iPAS◆資訊安全規劃實務◆中級題庫 下載題庫

(題組題 5)
醫療設備大廠 XYZ 出產的兩款醫療設備，區域醫院 QAZ 為了即時取得醫療資訊，透過網路方式使用這兩款設備，安全廠商 ABC 在區域醫院 QAZ 的安全測試時發現嚴重漏洞，可讓連上同一網路的攻擊者遠端變更系統設定，包括：藥劑、氣體、關閉警鈴和機器數值。但是 XYZ 強調這兩款設備並沒有網路連線能力，僅提供序列埠及 USB 認為漏洞並非出在機器本身，並未發布修補程式。安全廠商 ABC 聲稱雖然這兩款醫療設備本身沒有連網能力，但的確可由 TCP/IP 網路進行連線並下達指令。
【題組】38. 上述情境中，若您是資訊安全顧問，您認為應如何改善整體事件的安全性？
(A)立即更新這兩款醫療設備的韌體
(B) 建立網路隔離機制，並強化身份認證與存取管控
(C) 建立 VPN 使可以由遠端加密連線至醫療設備
(D)立即更新這兩款醫療設備的通行碼