27. 題組背景描述如附圖。若要在應用式防火牆（ Application Firewall ）開 啟 FTP 服務提供 Internet 存取，下列何種開啟方式最佳？
(A) 防火牆設定允許連入的連接埠 20, 21
(B) 防火牆設定允許連入的連接埠 21
(C) 防火牆設定允許連入的應用服務 FTP
(D) 防火牆設定允許連入的連接埠 20

28. 題組背景描述如附圖。若要提升 POP3 服務的安全性，應使用下列何 種協定及連接埠？ (A) POP3s, 443 (B) POP3s, 1443 (C) POP3s, 995 (D) POP3s, 110

29. 題組背景描述如附圖。下列何者「不」是採用 HTTPS 的好處？ (A) 增加網頁連線的安全性 (B) 加速網頁的連線 (C) 有助確認網站伺服器的身份 (D) 可有效減中間人攻擊（ Man-In-The-Middle attack, MITM ）的發生

30. 題組背景描述如附圖。關於 Let's Encrypt 及其機制，下列敘述何者「不」 正確？ (A) Let's Encrypt 是一家全球性的憑證頒發機構（ Certificate Authority, CA ） (B) 所頒發的憑證有效期限較傳統 CA 短 (C) Let's Encrypt 協助確認網站的身份，有效避免詐欺與釣魚 (D) 可將憑證用在任何使用域名的服務上，如：網頁伺服器、郵件伺 服器和 FTP 伺服器

31. 題組背景描述如附圖。若想用 openssl 的指令完成產生並儲存自簽伺服 器憑證，下列指令何者正確？ (A) openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout selfsigned.key -out selfsigned.crt (B) openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout selfsigned.key (C) openssl req -x509 -days 365 -newkey rsa:2048 -keyout selfsigned.key -out selfsigned.crt (D) openssl generatekey -x509 -nodes -days 365 -newkey rsa:2048 -keyout selfsigned.key -out selfsigned.crt

32. 題組背景描述如附圖。由於 Let's Encrypt 無法產生 localhost 憑證，請 問如何在本機測試時避免 localhost 使用 HTTPS 時的警示訊息，以確保 HTTPS 的正常運作？ (A) 可向其他憑證機構提出申請本機憑證，如：TWCA 或 CHTCA (B) 可向網頁伺服器業者提供本機憑證申請 (C) 可由利用本機工具產生自簽憑證並設定信任自簽憑證解決此問 題，如：openssl (D) 無法解決本機測試產生的 HTTPS 時警示訊息

33. 題組背景描述如附圖。某日 A 公司內部資安人員收到一則漏洞資安通 報資訊如附圖，關於內容中通用漏洞評分系統（ Common Vulnerability Scoring System, CVSS ），下列敘述何者「不」正確？ (A) CVSS 的分數愈高，代表這個漏洞的嚴重等級愈高 (B) CVSS 的評分基準中，會考量這個漏洞已被公開的天數 (C) CVSS 的評分基準中，會考量這個漏洞或弱點在使用時，所需擁 有的權限等級（ Privileges Required ） (D) CVSS 的分數滿分為 10 分

34. 題組背景描述如附圖。承上題，關於這則漏洞通報（如附圖）中所揭 露的訊息，下列敘述何者正確？ (A) 通報內容有揭露此一漏洞的公布日期 (B) 通報內容沒有揭露受此一漏洞所影響的產品與版本 (C) 通報內容有揭露受此一漏洞所影響的產品、版本與解決方案 (D) 通報內容有揭露受此一漏洞所會造成的影響或弱點類型

35. 題組背景描述如附圖。承上題，當漏洞被公布後，資安人員在檢查受 漏洞影響設備的 Access Log 時，發現了附圖疑似遭攻擊的紀錄，由於 /vpn 路徑項下不是此 web 服務公開路徑，下列敘述何者正確？ (A) 疑似駭客嘗試讀取該主機的使用者帳號密碼列表 (B) 這個主機的 vpns 路徑不是 web 的公開目錄，但駭客曾成功讀取這 個目錄內的特定檔案內容 (C) 透過存取紀錄，可以推斷駭客是使用工具進行攻擊 (D) 透過存取紀錄，可以推斷這個漏洞會造成 XSS 的威脅

複選題36. 題組背景描述如附圖。承上題，因為透過 Access Log 研判駭客攻擊可 能成功，請問對於該事件後續的處理，下列敘述何者正確？（複選） (A) 資安人員應於知悉資安事件 1 小時內，依中央目的事業主管機關 指定之方式，進行資通安全事件之通報 (B) 資安人員應於資安事件發生 8 小時內，依中央目的事業主管機關 指定之方式，進行資通安全事件之通報 (C) 對一般而言，如果漏洞所屬的產品為網路設備或 Appliance，除設 備換新外，只能接受這個漏洞存在，亦無需關注與設備有關的漏 洞與處理方式等資訊 (D) 由於在進行資安事件通報時，主管機關核定該資安事件為二級， 資安人員最遲應於 72 小時內，完成損害控制或復原作業，並依指 定方式回報或通知

37. 題組背景描述如附圖。關於該公司與資安檢測團隊於滲透測試之前置 工作，下列敘述何者「不」正確？ (A) 簽訂保密協議（ Non-Disclosure Agreement ），要求測試細節與結果 未經授權不可任意揭露 (B) 招開起始會議（ Kickoff Meeting ）溝通雙方於專案之目標與期望， 並說明團隊分工、測試計畫、方法論與程序 (C) 執行預測試（ Early Testing ）以評估測試目標之可能範圍、弱點類 型、時間與投入資源，以利測試計畫產出 (D) 簽訂滲透測試契約使檢測團隊取得測試許可，內容需包含：測試 目標、時間、方法、限制、規範與聯繫方式等，並說明受測服務 可能遭受之影響

115年 - 115-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#139174

114年 - 114-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#130418

114年 - 114-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#126101

113年 - 113-2 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#121982

113年 - 113-1 資訊安全工程師能力鑑定中級試題：資訊安全防護實務#119309

112年 - 112-2 中級資訊安全工程師能力鑑定試題_科目1：I22資訊安全防護實務#116083

112年 - 112-1 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#114235

111年 - 111 ipas中級資訊安全工程師能力鑑定試題_科目 2：資訊安全防護實務#112999

110年 - 110 中級資訊安全工程師能力鑑定試題：資訊安全防護實務#104035

109年 - 109 中級資訊安全工程師能力鑑定：資訊安全防護實務#90128