阿摩線上測驗
8. 【題組 1 背景描述如附圖】下列哪些是資訊安全管理系統實
施中須考量的系統弱點?
(A) 源碼掃描後的高風險結果
(B) 滲透測試後的高風險結果
(C) Microsoft 定期發布的 Windows Update 檔案
(D) 網路供應商定期提供的網路防火牆韌體更新資訊
答案:登入後查看
統計: A(538), B(554), C(448), D(442), E(0) #3102139
統計: A(538), B(554), C(448), D(442), E(0) #3102139
詳解 (共 1 筆)
hiiii
#6316636
題目問的是:「下列哪些是資訊安全管理系統(ISMS)實施中,必須考量的『系統弱點』?」
在 ISMS 的脆弱性管理流程中,凡是可能反映出「系統潛在漏洞或待修補風險」的資訊,都應被納入管理與評估。以下逐一解析:
(A) 源碼掃描後的高風險結果
- 源碼檢測 (Source Code Review / SAST) 如果掃描出高風險結果,表示程式碼中可能存在嚴重安全漏洞(例如未經驗證的使用者輸入、硬編碼密碼、SQL 注入風險等)。
- 這些是「直接顯示應用程式可能出現弱點」的依據,絕對需要納入 ISMS 的風險評估與修補行動。
(B) 滲透測試後的高風險結果
- 滲透測試 (Penetration Testing) 若發現能成功入侵、取得高權限、或針對系統造成重大影響的弱點,也意味存在明顯安全風險。
- 同樣屬於 ISMS 必須密切關注與修補的高優先事項。
(C) Microsoft 定期發布的 Windows Update 檔案
- 作業系統更新 (Windows Updates) 通常是修補已知漏洞的主要來源。
- 當 Microsoft 釋出安全性更新時,代表作業系統或相關元件中存在已被揭露的安全弱點。
- 即使尚未對組織產生實際攻擊,也屬「已知的潛在系統弱點」,故在 ISMS 中也要評估、測試與規劃修補。
(D) 網路供應商定期提供的網路防火牆韌體更新資訊
- 網路設備韌體更新 (Firewall Firmware Updates) 同理,若防火牆廠商釋出更新,通常包含安全性補丁或功能修正,表示之前的韌體可能存在漏洞或安全缺陷。
- 若不及時更新,攻擊者可能利用既有的已知漏洞進行攻擊。
- 因此,在 ISMS 的弱點管理流程中,也應該把此資訊納入考量並及時處理。
總結
上述四項 (A)(B)(C)(D) 都代表著「可能存在已知或潛在弱點」的訊息來源或直接證據,皆應納入 ISMS 的弱點管理程序進行評估、修補或風險處置。
答案: (A)(B)(C)(D)
0
0