阿摩線上測驗 登入

113年 - 113 臺灣中小企業銀行新進人員甄試試題_資安儲備人員_綜合科目:資訊安全管理概論、資訊安全技術概論#120075

科目:(1)資訊安全概論(2)計算機概要(3)金融業資訊安全相關法規要求(4)資訊安全管理制度稽核作業 | 年份:113年 | 選擇題數:80 | 申論題數:0

試卷資訊

所屬科目:(1)資訊安全概論(2)計算機概要(3)金融業資訊安全相關法規要求(4)資訊安全管理制度稽核作業

選擇題 (80)

1.下列何者不是「安全性」的三個元素之一? (A)驗證 (B)授權 (C)稽核 (D)管理
2.在管理設備安全時設定存取控制清單(ACL)是實施下列哪個特性的一個手段? (A)機密性 (B)完整性 (C)可用性 (D)強韌性
3.保護資料避免資料被蓄意修改,是下列哪一種資訊安全的特性? (A)機密性 (B)完整性 (C)可用性 (D)強韌性
4.駭客惡意攻擊使系統滿載,讓合法使用者無法存取,是針對哪一種資安特性的攻擊? (A)機密性 (B)完整性 (C)可用性 (D)強韌性
5.下列何者不是資訊安全要素中三個基本特性? (A)一致性 (B)機密性 (C)完整性 (D)可用性
6.資訊安全防護體系要達到四個目的稱為「安全四階」,下列何者錯誤? (A)嚇阻 (B)偵測 (C)攻擊 (D)拒絕
7.下列哪一項攻擊行為是一種利用人際關係透過電子郵件騙取重要資料? (A)電腦病毒 (B)後門程式 (C)電腦蠕蟲 (D)社交工程
8.下列哪種設定密碼方式較符合密碼安全性原則? (A)以自己生日設定密碼 (B)以公司代表號設定密碼 (C)以英文、特殊符號及數字組成八位以上字串設定密碼 (D)以身份證編號設定密碼
9.下列何者不是資通安全管理法所定義之「特定非公務機關」? (A)中油 (B)金管會 (C)電信業者 (D)電信技術中心
10.下列何者不符合全球資安威脅之趨勢? (A)勒索軟體攻擊風險激增 (B)關鍵資訊基礎設施資安風險逐漸減少 (C)物聯網與行動式設備資安弱點威脅升高 (D)進階持續性威脅(APT)鎖定式攻擊竊取機敏資料
11.在資安的考量下,對於廠商遠端維護設備之需求,應該採取何種態度? (A)無論如何皆不允許 (B)不需要特別限制 (C)原則禁止、特例開放 (D)原則開放、特例禁止
12.採用容錯式磁碟陣列(RAID)技術是確保資訊資產的哪個特性? (A)機密性 (B)完整性 (C)可用性 (D)一致性
13.下列何者是數位發展部資通安全署認可之「個人資料管理稽核」證照? (A) ISO/IEC 27001:2022 (B) ISO/IEC 27701:2019 (C) CompTIA Security+ (D) CCNA 200-301
14.網路攻擊方式「攻擊者竊聽在兩個人或網路與電腦之間來回傳送的資料。」屬於哪一種攻擊類型? (A)阻斷服務攻擊 (B)中間人攻擊 (C)釣魚攻擊 (D)勒索軟體攻擊
15.網路攻擊方式「攻擊者利用看似值得信賴的寄件者誘使收件者打開信件。」屬於哪一種攻擊類型? (A)阻斷服務攻擊 (B)中間人攻擊 (C)釣魚攻擊 (D)勒索軟體攻擊
16.下列哪一個網路設備的主要功能是透過網路位址(IP)與通訊埠(Port)來控制網路的存取? (A) Firewall (B) IDS (C) WAF (D) IPS
17.下列哪一個網路設備的主要功能是防止針對網站及網頁應用的攻擊? (A) Firewall (B) IDS (C) WAF (D) IPS
18.下列何者不是行動裝置可能有資安問題的徵兆? (A)電池壽命變短 (B)通話時有雜音 (C)電信費用異常 (D)行動裝置效能變差
19.下列何者不是「勒索軟體威脅」的預防措施? (A)使用防毒軟體,並及時更新系統、軟體和應用程序 (B)僅在需要時啟用 Microsoft Office 巨集 (C)立即斷開受感染設備與所有網路的連接 (D)人員的最小使用權限
20.下列何者會導致資安風險增加? (A)正確地設定軟體與應用程式的預設組態 (B)適當區隔使用者與管理者權限 (C)對主機和內部網路的流量進行充分的監控 (D)略過不必要的系統存取控制
21.最短密碼長度的設定以及密碼複雜度的確認,是下列哪一項的實例? (A)偵測控制 (B)控制目標 (C)稽核目標 (D)控制程序
22.數位簽章的用途為何? (A)做為一個密碼產生器 (B)提供資訊加密技術 (C)確保資訊來源有效 (D)確保資訊機密性
23.在制定災難復原計畫時,決定可接受停機時間的標準為何? (A)年度預期損失值 (B)服務品質目標 (C)資料遺失的數量 (D)最大可承受損失
24.在檔案伺服器上應用 1 級磁碟陣列冗餘(RAID 1)的主要目的是什麼? (A)改進性能 (B)提供客戶授權 (C)確保資料可用性 (D)確保資料機密性
25.在早期階段找到潛在的網路安全威脅與漏洞,最有效的方法為何? (A)持續的安全培訓 (B)入侵偵測系統 log 稽核 (C)滲透測試 (D)安裝最新的防火牆與入侵偵測系統
26.下列哪一項是資訊安全中的「機密性」原則? (A)確保資料的完整性 (B)確保資料只能被授權的人訪問 (C)確保系統的可用性 (D)確保系統能夠抵禦攻擊
27.公司的資安稽核人員發現,員工可以在不受限制的情況下訪問所有的文件和文件夾。下列哪一項控制可以改善這個 情況? (A)強制執行最小權限原則 (B)增加防火牆規則 (C)定期更換所有用戶的密碼 (D)限制連線 IP
28.為了減少資料處理過程中資料遺失的可能性,控制總數(Control Total)應被首先應用於何階段? (A)資料準備階段 (B)資料傳輸階段 (C)資料處理階段 (D)數據分析階段
29.哪一項措施能有效預防 SQL 隱碼攻擊? (A)使用最新的網頁瀏覽器 (B)定期更換密碼 (C)驗證用戶輸入內容 (D)安裝防火牆
30.什麼是多因素認證? (A)使用多個密碼登錄系統的過程 (B)在一個系統中創建多個使用者帳戶 (C)結合兩種以上的驗證方法來確認用戶身份的安全措施 (D)同時從多個位置訪問網路資源的技術
31.虛擬私人網路(VPN)主要用途是什麼? (A)建立一個包含加密伺服器的專用網路 (B)提供一條安全通道,透過它加密數據傳輸,保護資料免受攔截和竊取 (C)作為一種保護數據隱私的儲存技術,在私有雲環境中運作 (D)防止未經授權訪問企業網路的安全機制
32.使用常見單詞或短語組成的密碼最容易遭遇哪種安全攻擊? (A)社交網路攻擊 (B)字典式攻擊 (C)雜湊碰撞攻擊 (D)分散式拒絕服務攻擊
33.降低釣魚攻擊最有效的方法是什麼? (A)執行入侵偵測系統(IDS) (B)存取安全的網路地址 (C)強化認證 (D)使用者教育
34.入侵偵測系統(IDS)的特徵是什麼? (A)收集嘗試攻擊的證據 (B)確定策略定義的弱點 (C)阻擋對特定網站的連線 (D)防止某些使用者訪問特定的伺服器
35.分散式拒絕服務攻擊(DDoS)通常是透過哪種手段實施? (A)邏輯炸彈 (B)釣魚網站 (C)間諜軟體 (D)特洛伊木馬
36.下列哪一種控制方法能最有效發現網路傳輸過程中發生的突發錯誤碼? (A)奇偶檢測 (B)回傳檢測 (C)區塊檢查碼 (D)循環冗餘檢測
37.下列哪一項能保證發送者的真實性和電子郵件的機密性? (A)用發送者的私鑰對電子郵件進行數位簽名,然後用發送者的公鑰加密訊息 (B)用發送者的公鑰對電子郵件進行數位簽名,然後用發送者的私鑰加密訊息 (C)用發送者的私鑰對電子郵件進行數位簽名,然後用接收者的公鑰加密訊息 (D)用發送者的公鑰對電子郵件進行數位簽名,然後用接收者的公鑰加密訊息
38.如何確認連網的電腦是否成為暴力密碼破解攻擊的目標? (A)執行命令以顯示所有網路存取活動 (B)運用防毒軟體對電腦進行全面掃描 (C)檢查 Windows 資料夾中是否存在未經簽名的檔案 (D)查看安全性日誌文件以確認是否有大量失敗的驗證嘗試
39.信賴平台模組(TPM)的主要設計目的是什麼? (A)提高 CPU 運行速度 (B)生成、儲存和限制密碼金鑰的使用 (C)防止不正確授權值的猜測 (D)提升 GPU 圖形處理能力
40.傳輸層安全性協定(SSL)在傳輸時透過什麼實現保密性? (A)對稱加密 (B)訊息驗證碼 (C)雜湊函數 (D)數字簽名驗證
41. DES 目前已不被採用作為密碼技術原因為何? (A)金鑰太短會被暴力攻擊成功 (B)核心數學模型已被破解 (C)專利權太高,有不具專利權的替代技術 (D)計算效能太差
42.依資通安全事件通報及應變辦法,機關發生「未涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭嚴重竄改, 或一般公務機密、敏感資訊、涉及關鍵基礎設施維運之核心業務資訊或核心資通系統遭輕微竄改。」資通安全事件,屬第 幾級資通安全事件? (A)一 (B)二 (C)三 (D)四
43.具數位簽章的電子郵件具下列何種功能? (A)私密性 (B)不存在惡意程式 (C)可驗證寄件者 (D)可驗證收件者
44.下列何種資訊無法直接從 X.509 之數位憑證取得? (A)憑證發行 CA 的辨別名稱 (B)該數位憑證主體的私密金鑰 (C)該數位憑證主體的公開金鑰 (D) CA 用來簽署憑證的密碼編譯演算法識別碼
45.根據資通系統防護基準之身分驗證管理要求,通行碼變更時,至少不可以與前面多少次使用過之通行碼相同? (A)二 (B)三 (C)四 (D)五
46.下列何種設備或技術可以識別並協助預防對敏感性資料進行不安全或不當的共用、傳輸或使用? (A) DLP (B) IPS (C) IDS (D) WAF
47.下列何種設備或技術可以協助建立可加密個人資料的點對點通道、遮罩使用者 IP 位址,能讓使用者在網際網路跨越 網站封鎖和防火牆的限制? (A) WAP (B) VPN (C) IDS (D) WAF
48.下列何者為現行提供 WiFi 環境相對安全層級較高的安全協定? (A) WPA 3 (B) WPA (C) WEP (D) WLAN
49.下列何種設備或技術可以協助組織辨識惡意流量,並主動封鎖此類流量進入其網路? (A) DLP (B) IPS (C) IDS (D) TLS
50.下列何種類型設備或技術可以提供建立及管理避免網際網路威脅的規則,包括 IP 位址、HTTP 標頭、HTTP 主體、 URI 字串、跨網站命令檔(XSS)、SQL 隱碼攻擊? (A) IPS (B) DLP (C) VPN (D) WAF
51.資通安全事件通報及應變辦法第 19 條,特定非公務機關應配合主管機關規劃、辦理之資通安全演練作業,其明列得 包括之項目為何? A.網路攻防演練 B.社交工程演練 C.資通安全事件通報及應變演練 D.情境演練 (A)僅 BC (B)僅 AD (C)僅 ABC (D) ABCD
52.不同的資料備份做法中,何種方法進行備份速度最快? (A)完整備份 (B)差異備份 (C)增量備份 (D)全備份
53.有關 SSH 的敘述,下列何者錯誤? (A)無需將本機的連接埠暴露給網際網路,即可存取雲端服務 (B)安全地傳輸檔案 (C)預設連接埠為 443 (D)遠端管理伺服器、基礎架構和員工電腦
54. IPSec 未提供何種功能? (A)私密性 (B)完整性 (C)鑑別性 (D)可用性
55.下列何種技術在加密與解密時使用相同的金鑰? (A)對稱式加解密技術 (B)非對稱式加解密技術 (C)訊息摘要(Message Digest) (D)數位簽章
56.社交工程是目前最主要的一種滲透到被駭客鎖定企業之攻擊手法,通常涉及下列何者? (A)應用程式防火牆(Web Application Firewall) (B)軟體漏洞(Software vulnerabilities) (C)利用人性弱點(Human weakness) (D)密碼學解密演算法(Decryption Algorithms)
57.網路與系統弱點掃描在資安防護上扮演重要角色,請問弱點掃描的目的為何? (A)測試網路或系統中敏感資料加密強度是否足夠 (B)評估與測試網路或系統的安全漏洞 (C)阻擋對網路或系統弱點的攻擊 (D)建立對網路或系統新漏洞的阻擋機制
58.防火牆是企業資安防護的重要屏障,請問其主要功能為何? (A)對進出企業之網路流量進行監控 (B)識別來自網路的攻擊行為 (C)對進出企業網路的流量進行加解密 (D)對進出封包依所設規則放行或阻擋
59.網站應用程式的弱點之一為針對資料庫存取之 SQL 注入(SQL Injection),請問會造成 SQL 注入的原因為何? (A)未對輸入資料做好安全檢查 (B)不安全的資料庫系統設定 (C)使用不安全的 SQL 指令 (D)程式存取資料庫時使用參數化查詢(Parametrized query)
60.下列密碼組合,何者密碼強度最強? (A)只用 8 個以下不重複出現的小寫英文字母 (B)需含大小寫英文字母、數字與特殊符號 (C)一個在一般英文辭典中可以找到的單字 (D)只用 8 個可重複出現之大小寫英文字母
61.電腦系統中安裝防毒軟體的主要功能為何? (A)調整系統效能 (B)加密敏感資料 (C)監控網路流量 (D)清除惡意軟體
62.在公共無線網路上應該避免下列何者行為? (A)使用經過加密的基地台 (B)用 HTTPS 協議連線到網站 (C)用 HTTP 協議傳送如信用卡號等敏感資料 (D)使用供應商提供的帳號與密碼
63.資訊安全風險評估的主要目的為何? (A)識別、評估和管理可能的風險 (B)為了避免任何風險而隔離服務 (C)因為無法避免,所以接受所有風險 (D)討論如何導入資安設備將風險隱藏
64. VPN 的主要功能為何? (A)加速網路速度 (B)強化匿名上網 (C)防止網路釣魚 (D)提供加密通道
65.下列何者為惡意軟體? (A)防毒軟體 (B)特洛伊木馬 (C)共享軟體 (D) ChatGPT
66.備份是將資料複製到主機外部的儲存媒體中,請問下列何者不是備份 321 原則的做法? (A)至少一份備份資料存放到異地保存 (B)在該主機上複製兩份備份資料 (C)將備份分別存放到兩種不同儲存媒體 (D)至少製作三份備份資料
67.下列哪種入侵偵測系統是在單一主機上監視和分析系統活動以檢測潛在的入侵? (A)主機型入侵偵測系統 (B)網路型入侵偵測系統 (C)雲端安全閘道器 (D)主機上的防火牆
68. OWASP Top 10 指的是下列何者? (A)十個最有權威的開源資通訊安全組織 (B)十種最常見的網路協議與安全防護準則 (C)十大網站應用程式安全漏洞之描述文件 (D)十項最重要的硬體安全標準與設計程序
69.無線網路技術中,WPA3(WiFi Protected Access 3)相比於 WPA2 改進了什麼? (A)更簡易的連線設置程序 (B)更廣泛的裝置兼容性 (C)更高速的網路傳輸速度 (D)更複雜的加密演算法
70.單一登入(SSO)的主要優勢為何? (A)提高使用者密碼的複雜性 (B)僅限於特定設備上的登入 (C)簡化使用者登入體驗 (D)阻擋所有外部登入請求
71.有關網路位址轉換(Network Address Translation; NAT)的敘述,下列何者錯誤? (A)可降低公用 IP(Public IP)的需求數量 (B)對於網際網路而言,可隱藏內部 IP 位址 (C)內部網路原則使用私有 IP(Private IP)位址 (D)內部網路的裝置可以保證不會被攻擊
72.網站應用程式的弱點之一為跨站腳本攻擊(Cross-Site Scripting; XSS),請問 XSS 指的是下列何者? (A)是一種漏洞利用,攻擊者將代碼附加到合法網站上 (B)未經授權透過合法網站駭入其他網站後台 (C)阻擋網站腳本不能被用戶正常存取 (D)透過運用網站腳本提升網頁應用程式效能
73.魚叉式釣魚(Spear Phishing)攻擊是指什麼? (A)大量發送詐騙郵件 (B)在社交平台上進行心理戰 (C)針對特定個人的欺騙攻擊 (D)隨機攻擊社交媒體帳戶
74.網站應用程式防火牆(WAF)的主要功能為何? (A)對發送給網站之封包中的第三層(網路層)及/或第四層(傳輸層)之內容進行過濾 (B)防止網站遭受惡意攻擊(如注入攻擊)或不必要的流量(如應用層 DoS)等攻擊 (C)過濾隱藏在網站封包資料中的病毒與蠕蟲等惡意程式 (D)過濾惡意封包以提高網站運作的速度
75. CSRF(Cross-Site Request Forgery)攻擊是針對下列何者進行? (A)使用者的個資 (B)網站的伺服器 (C)網站的資料庫 (D)用戶的瀏覽器
76.企業級無線網路需要搭配 RADIUS (Remote Authentication Dial-In User Service),請問 RADIUS 的主要用途為何? (A)控制無線網路存取 (B)隱藏無線網路 SSID (C)監控無線網路流量 (D)加密無線網路流量
77.資訊安全常見要求對系統進行源碼檢測、弱點掃描與滲透測試,請問滲透測試的目的為何? (A)測試系統的負荷承載能力 (B)測試系統的安全性 (C)測試系統的日誌記錄能力 (D)測試系統的速度
78.下列何者正確描述封包過濾型防火牆的工作? (A)對封包中第七層(Application Layer)的資料內容(Payload)做檢查 (B)對於同一組的持續性連線(IP 與 Port 皆相同者)進行前後關聯分析 (C)只能對由外網朝內網傳送的封包做比對,由內網朝外網的封包則一率放行 (D)對封包中 IP 位址與 Port 號進行與設定的規則做比對
79. SHA-256 是什麼演算法? (A)數位簽章演算法 (B)雜湊(Hash)演算法 (C)對稱式加解密演算法 (D)非對稱式加解密演算法
80.去識別化是將資料中的一部分加以遮蔽,避免完整的個人資料被未授權者取得,請問下列對身分證字號去識別化方 案何者最佳? (A)數字部分前四碼 (B)數字部分中間四碼 (C)數字部分後四碼 (D)數字部分前 2 與後 2 碼

申論題 (0)