阿摩線上測驗
4. 依據 NIST SP800 - 30 Guide for
Conducting Risk Assessments 文件對於「弱點(Vulnerability)」之
敘述係指「系統安全程序、設計、裝置、或內部控制的一個瑕疵
或缺陷,若被利用後,會破壞安全性或違背系統安全政策」。請
問關於「弱點」的敘述,下列何項錯誤?
(A) 微軟發布之 Windows 作業系統漏洞
(B) 系統管理人員依程序於每季末將離職人員之帳號停用
(C) IoT 設備無法變更預設密碼及帳號
(D) 組織內部人員違反資安規定,私自攜帶外接式儲存設備
並連接至組織內部重要伺服器使用,進而導致檔案伺服
器遭受勒索病毒感染,重要資料遭受加密無法使用
答案:登入後查看
統計: A(22), B(120), C(53), D(219), E(0) #3294484
統計: A(22), B(120), C(53), D(219), E(0) #3294484
詳解 (共 2 筆)
hiiii
#6211115
(A) 微軟發布之 Windows 作業系統漏洞
- 解釋:微軟定期發布 Windows 作業系統的漏洞資訊,這些漏洞代表了系統設計或實施中的弱點,可能被攻擊者利用。
(B) 系統管理人員依程序於每季末將離職人員之帳號停用
- 解釋:若系統管理人員只在每季末停用離職人員的帳號,這表示在員工離職到帳號被停用之間存在一段時間差。這種延遲可能被惡意人員利用,屬於程序上的弱點。
(C) IoT 設備無法變更預設密碼及帳號
- 解釋:無法變更預設帳號和密碼的 IoT 設備存在設計上的弱點,攻擊者可以利用這些預設資訊進行未經授權的存取。
(D) 組織內部人員違反資安規定,私自攜帶外接式儲存設備並連接至組織內部重要伺服器使用,進而導致檔案伺服器遭受勒索病毒感染,重要資料遭受加密無法使用
- 解釋:這描述的是一個安全事件,而非弱點。內部人員故意違反資安規定屬於內部威脅,該行為本身不是系統的弱點,而是違規行為導致的安全問題。
因此,答案是 (D)。
(D) 的敘述錯誤,因為它描述的是安全事件或內部威脅,而非系統的弱點。
5
0
