31. 當偵測到一個可疑的惡意程式在企業內部網路中傳播，下列哪一項是最適當的立即處理方式？
(A) 斷開受感染設備的網路連線
(B) 關閉所有防毒軟體以防止誤報
(C) 向所有員工發送通知，要求他們自行檢查電腦
(D) 重新安裝受感染設備的作業系統

答案：登入後查看
統計： A(85), B(0), C(0), D(2), E(0) #3671667

hiiii

B2 · 2025/12/14

#7256030

這題的正確答案是：

(A) 斷開受感染設備的網路連線

這題考的是 資安事件應變 (Incident Response, IR) 標準程序中的 「封鎖與圍堵 (Containment)」 階段。

為什麼 (A) 是最佳的立即處理方式？

阻斷傳播 (Stop the Spread)： 惡意程式（如蠕蟲或勒索軟體）通常會嘗試進行「橫向移動 (Lateral Movement)」，掃描並感染同一網段內的其他電腦。
立即止血： 拔除網路線、關閉 Wi-Fi 或透過交換器 (Switch) 停用連接埠 (Port Disable)，能物理性或邏輯性地將受駭主機隔離，這是防止災害擴大的最快方法。

(B) 關閉所有防毒軟體以防止誤報：
- 大忌： 這等於是「解除武裝」。在遭受攻擊時，應該是加強監控或更新病毒碼，而不是關閉防禦機制。
(C) 向所有員工發送通知，要求他們自行檢查電腦：
- 效率過低： 一般員工通常不具備鑑識惡意程式的專業能力。
- 緩不濟急： 在員工檢查的同時，惡意程式可能已經感染了整個公司。通知是必要的溝通環節，但不是「技術上的立即處置」。
(D) 重新安裝受感染設備的作業系統：
- 順序錯誤： 這是 「復原 (Recovery)」 階段的動作。
- 破壞證據： 如果第一時間就重灌，會把記憶體內的惡意程式痕跡、Log 紀錄全部清除，導致後續無法進行 數位鑑識 (Digital Forensics)，找不出入侵原因，未來可能還會再次被駭。