4. 依據 NIST SP800 - 30 Guide for Conducting Risk Assessments 文件對於「弱點(Vulnerability)」之 敘述係指「系統安全程序、設計、裝置、或內部控制的一個瑕疵 或缺陷,若被利用後,會破壞安全性或違背系統安全政策」。請 問關於「弱點」的敘述,下列何項錯誤?
(A) 微軟發布之 Windows 作業系統漏洞
(B) 系統管理人員依程序於每季末將離職人員之帳號停用
(C) IoT 設備無法變更預設密碼及帳號
(D) 組織內部人員違反資安規定,私自攜帶外接式儲存設備 並連接至組織內部重要伺服器使用,進而導致檔案伺服 器遭受勒索病毒感染,重要資料遭受加密無法使用

答案:登入後查看
統計: A(24), B(153), C(67), D(277), E(0) #3294484

詳解 (共 3 筆)

#6211115

(A) 微軟發布之 Windows 作業系統漏洞

  • 解釋:微軟定期發布 Windows 作業系統的漏洞資訊,這些漏洞代表了系統設計或實施中的弱點,可能被攻擊者利用。

(B) 系統管理人員依程序於每季末將離職人員之帳號停用

  • 解釋:若系統管理人員只在每季末停用離職人員的帳號,這表示在員工離職到帳號被停用之間存在一段時間差。這種延遲可能被惡意人員利用,屬於程序上的弱點。

(C) IoT 設備無法變更預設密碼及帳號

  • 解釋:無法變更預設帳號和密碼的 IoT 設備存在設計上的弱點,攻擊者可以利用這些預設資訊進行未經授權的存取。

(D) 組織內部人員違反資安規定,私自攜帶外接式儲存設備並連接至組織內部重要伺服器使用,進而導致檔案伺服器遭受勒索病毒感染,重要資料遭受加密無法使用

  • 解釋:這描述的是一個安全事件,而非弱點。內部人員故意違反資安規定屬於內部威脅,該行為本身不是系統的弱點,而是違規行為導致的安全問題。

因此,答案是 (D)。

(D) 的敘述錯誤,因為它描述的是安全事件或內部威脅,而非系統的弱點。

6
0
#6303207
根據 NIST SP 800-30 漏...
(共 1875 字,隱藏中)
前往觀看
6
1
#7322519
這題是 iPAS 資訊安全工程師 非常經典的「名詞定義辨析題」。要解這題,必須緊扣 NIST SP 800-30 對「弱點 (Vulnerability)」的極簡定義:「瑕疵或缺陷 (Flaw or Weakness)」
以下是針對四個選項的詳細分析,說明為何 (D) 是錯誤的:
ㅤㅤ
(A) 微軟發布之 Windows 作業系統漏洞
  • 分析: 這是典型的技術性弱點
  • 符合點: 作業系統在撰寫程式碼時產生的「瑕疵」。它是一個靜態存在的缺陷,等待被修補。
  • 結論: 敘述正確。
(B) 系統管理人員依程序於每季末將離職人員之帳號停用
  • 分析: 這是管理程序上的弱點(瑕疵)
  • 符合點: 雖然這是一個「程序」,但「每季末才停用」代表帳號在員工離職後可能會有長達三個月的空窗期。這種內部控制的設計不當,就是 NIST 定義中的「程序瑕疵」。
  • 結論: 敘述正確(它描述了一個「不夠嚴謹的瑕疵」)。
ㅤㅤ
(C) IoT 設備無法變更預設密碼及帳號
  • 分析: 這是硬體/韌體設計上的弱點
  • 符合點: 這是裝置出廠時就存在的「設計缺陷」。因為無法變更,駭客可以輕易利用已知資訊入侵。
  • 結論: 敘述正確。
ㅤㅤ
(D) 組織內部人員違反資安規定... 進而導致檔案伺服器遭受勒索病毒感染...
  • 分析: 這是「安全事件 (Security Incident)」「風險情境 (Risk Scenario)」
  • 為什麼錯誤:
    • 這段敘述包含了:威脅源(內部人員)、威脅行為(違規攜帶外接設備)、觸發過程(連接伺服器)、以及損害結果(感染病毒、資料被加密)。
    • NIST SP 800-30 定義「弱點」時,只關注那個「洞」(例如:USB 埠沒封鎖、或資安規定沒落實)。
    • 選項 (D) 描述的是「有人穿過那個洞並造成了破壞」。這已經是一個事件的結果,超出了「弱點(瑕疵/缺陷)」本身的範疇。
  • 結論: 敘述錯誤(描述層級不對)。
1
0

私人筆記 (共 1 筆)

私人筆記#6792156
未解鎖
解析: 根據 NIST SP800-3...
(共 693 字,隱藏中)
前往觀看
2
0