【精選】 - iPAS◆資訊安全管理概論◆初級難度:(151~175)-阿摩線上測驗

阿摩：重複學習，方可千錘百鍊。

24分

(21 秒)

模式:循序漸進模式
【精選】 - iPAS◆資訊安全管理概論◆初級難度:(151~175)

繼續測驗

再次測驗下載

下載收錄

1(C).

26. 發生資安事件攻擊時，若其損失在組織可容忍範圍，可採取下列何種風險處置策略？
(A) 風險接受（Acceptance）
(B) 風險降低（Reduction）
(C) 風險移轉（Transfer）
(D) 風險避免（Avoidance）

2(C).

7. 資訊安全管理系統之法規遵循與適法性要求，旨在降低公司單位違反法律的風險，請問若公司要避免違反智慧財產權的相關法律，下列何者「不」包含在智慧財產權中？
(A) 著作權（Literary Property）
(B) 商標權（Trademark）
(C) 電子簽章法（Electronic Signature）
(D) 營業秘密（Trade Secret）

3(C).

19. 某公司的派工系統，原先未在高風險資產項目中，但近一年來接連遇到幾次服務中斷事件，造成極大的損失，若要重新檢視該公司資產風險評鑑要素，下列何者「不」是適當的考量項目？
(A) 資訊資產重要性
(B) 資訊資產威脅
(C) 資訊資產殘值
(D) 資訊資產脆弱點

4(C).

36. 依據資通安全事件通報及應變辦法所訂定的資安事件影響等級，共分為幾種等級？
(A) 3 級
(B) 4 級
(C) 5 級
(D) 6 級

5(　).

1. 使用專用帳號及密碼登入 CRM（Customer Relationship Management）系統，主要是基於下列何種原則？
(A) 可靠性
(B) 可用性
(C) 機密性
(D) 完整性

6(　).

30. 下列身份認證所需的相關元素，其中何者遭公開或竊取時，「不」會影響身份認證的安全性？
(A) 憑證公鑰（Public Key）
(B) 密碼（Password）
(C) 通行碼（Pin Code）
(D) 憑證私鑰（Private Key）

7(C).

6. 在未經授權的情況下取得網路傳輸資料，或者針對傳輸網路進行流量分析，請問上述行為屬於下列何者常見的網路威脅？
(A) 截斷（Interruption）
(B) 竊取（Interception）
(C) 偽造（Fabrication）
(D) 篡改（Modification）

8(　).

18. 關於資安組織 OWASP（開放 Web 軟體安全計畫—Open Web Application Security Project），下列敘述何者不正確？
(A) 是一個開放社群、營利性組織
(B) 主要目標是研議協助解決 Web 軟體安全之標準、工具與技術文件
(C) 長期協助政府或企業暸解並改善網頁應用程式與網頁服務的安全性
(D) 美國聯邦貿易委員會（FTC）強烈建議所有企業需遵循 OWASP 所發佈的十大 Web 弱點防護守則

9(C).

52. 下列何種安全機制最弱？
(A)WEP
(B) WPA
(C)WPA2-Personal
(D)WPA2-Enterprise

10(C).

84. 下列哪個資訊儲存媒體，相較於其他選項，不太適合企業作為大量資料備份用途？
(A)LTO Tape
(B) SD Memory Card
(C)Disk Array（磁碟陣列系統）
(D)Tape Library（磁帶櫃）

11(C).

91. 「留存日誌」是為了達成資訊安全的何種特性？
(A) 機密性（Confidentiality）
(B) 可用性（Availability）
(C) 可靠性（Reliability）
(D) 不可否認性（Non-Repudiation）

12(C).

98. 在物聯網裡，電器設備透過無線通訊協定互聯時，有可能因為外來超強訊號的干擾而產生「蓋臺」的現象，這是屬於哪一類的攻擊手法？
(A) 中間人攻擊（Man-In-The-Middle Attack）
(B) 資料隱碼攻擊（SQL Injection Attack）
(C) 隱藏欄位攻擊（Hidden-Field-Tampering Attack）
(D) 阻斷服務攻擊（Denial-of-Service Attack）

13(C).

102. 下列哪種攻擊可以用來繞過實體（Physical）和邏輯（Logical）主機安全機制？
(A) 暴力攻擊（Brute-Force Attack）
(B) 阻斷服務攻擊（Denial-of-Service Attack）
(C) 社交工程（Social Engineering）
(D) 通訊埠掃描（Port Scan）

14(　).

120. 請問下列何者不是 XSS（Cross-Site Scripting）攻擊語法？
(A)
(B)
(C)
(D)

15(C).

22. 存取控制大概可分為三類，系統、實體與網路存取控制。以下哪種行為是屬於實體存取控制？
(A) 讀取公司郵件
(B) 列印生產報表
(C) 進入機房巡檢
(D) 上網瀏覽新聞

16(C).

27. 下列何者不屬於實體控制（Physical Controls）層面？
(A) 門禁系統
(B) 安全政策
(C) 纜線保護
(D) 大樓保全或警衛

17(C).

58. 資訊安全管理系統遵照計畫（Plan）、執行（Do）、檢查（Check）及行動（Act）等四個程序，不斷的改進。關於 PDCA 四個程序，下列說明何者不正確？
(A) 計畫（Plan）：依照組織政策，建立必要的資安目標
(B)執行（Do）：實施此計畫的過程
(C)檢查（Check）：針對資安目標，確認監督及量測過程，並報告及結果
(D) 行動（Act）：單位執行內部稽核

18(C).

60. 資訊資產分類一般可分為硬體、軟體、資料、文件、人員、服務。請問下列哪一種可分類為服務資產？
(A) 網路設備
(B)電力
(C)請假單
(D) 資訊部門主管

19(C).

84. 身分認證存取控制是一種限制資源存取的處理方式及程序，其目的在保護系統資源不會被非經授權者或授權者進行不當的存取。請問使用者身分被認證後，授予其應有的權限的程序稱為？
(A) Identification（識別）
(B)Authentication（認證）
(C)Authorization（授權）
(D) Accountability（可歸責）

20(C).

89. 如發現駭客正試圖攻擊路由器或防火牆，尚未入侵網路系統。稱之為？
(A) 資訊安全事件
(B) 資訊安全事故
(C) 資訊安全風險
(D) 資訊安全分析

21(C).

108. 資訊安全政策是資訊安全管理系統中的最高指導原則，有不可缺少的重要性，下列敘述何者正確？
(A) 滿足相關的要求事項的承諾後，無需持續改善
(B) 在四階管理文件中屬於第二階管理程序文件
(C) 建立的資訊安全政策必須符合組織的目的及資安目標
(D) 屬於內部或機密文件，不可對外公告

22(C).

126. 常見的密碼驗證攻擊中，以下何種方法「不是」透過反覆嘗試密碼的方式破解密碼？
(A) 雜湊注入（Pass-the-Hash）
(B) 暴力攻擊（Exhaustive Search Attack）
(C) 字典攻擊（Dictionary Attack）
(D) 猜測攻擊（Guessing Attack）

23(C).

139. 企業委託信賴的第三方團隊，對企業網路目標範圍進行安全性評估，找出存在的弱點或錯誤安全設定問題；並藉此瞭解員工對各種攻擊異常事件的反應。該進行哪種測試？
(A) 原始碼測試( Source Code Review)
(B) 壓力測試(Stress Testing)
(C) 迴歸測試（Regression Testing）
(D) 滲透測試( Penetration Test)

24(C).

149. 下列稽核的程序活動中，何者較為優先？
(A) 評估內部控制之有效性
(B) 規劃稽核目標及範圍
(C) 營運活動的觀察
(D) 準備稽核報告

25(C).

39. 關於密碼技術使用的基本要求，兼顧成本與效率之考量，下列敘述何項最為適切？
(A) 選用密碼技術時，須納入適用法律及法規要求事項
(B) 選用密碼技術時，無須考量資訊機密性
(C) 不論所要求保護資訊分類之等級，密碼演算法的強度皆須為一致
(D) 使用密碼技術主要用以保護使用者端點裝置上資訊，網路傳輸不在考量範圍內