試題詳解

1.目前有一個大企業，員工超過5000人、系統超過500個，想要定期對內部進行弱點掃描，請問在實務考量下(人力、資源、時間都有限)，下列觀念何者較為正確？
(A)無論弱點的風險等級是重大、高、中、低，無論弱點數量有多少個，無論資訊部門的人力是否足夠，都應該在一天之內把所有弱點都修補完畢，才能確保企業是安全的
(B)只要掃描出來的弱點類型屬於OWASPTop10其中之一，就應該立刻進行修補，不需要對弱點進行任何評估
(C)掃描結果出爐後，應先針對每個弱點的風險等級、實際影響程度、有無出現攻擊利用程式(Exploit)進行評估，同時也要考慮重開機或停機對企業服務的影響程度，最後再來規劃每個弱點的修補時程
(D)當某台伺服器的弱點掃描結果出現作業系統弱點時，如果該作業系統的官方網站沒有釋出任何修補更新檔(patch)，維運人員就不需要對該伺服器做任何處置