【問卷-英文學習功能需求】只要填寫就能獲得500Y,結束時間 2024/06/03 12:00。 前往查看
阿摩:身處何地並不重要,重要的是未來的方向。
100
(2 分55 秒)
模式:試卷模式
試卷測驗 - 107 年 - 107 初級資訊安全工程師能力鑑定試題:資訊安全技術概論#117052		 繼續測驗
再次測驗 下載 下載收錄
1(C).

1. 下列哪一項不是阻斷式服務攻擊(Denial-of-Service Attack)?
(A) 利用程式漏洞消耗 100%的 CPU 運算能力
(B) 向系统持續發送惡意封包,導致主機當機
(C) 寄送釣魚郵件給公司所有人員
(D) 向某個電子郵件地址發送成千上萬封電子郵件



2(A).

2. 下列何種安全機制最弱?
(A) WEP
(B) WPA
(C) WPA2-Personal
(D) WPA2-Enterprise



3(C).

3. 下列敘述何者正確?
(A) 巨集病毒只會感染 Excel 檔案,但不會感染 Word 檔案
(B) 開機型病毒藏匿於硬碟非主要開機磁區
(C) 非常駐型病毒將自己寄生在 *.COM、 *.EXE 或是 *.SYS 的檔案中
(D) 檔案型病毒只會感染 .COM 檔



4(B).

4. 請問防火牆的功能為?
(A) 檢核原始碼安全
(B) 保護網路安全
(C) 保護實體安全
(D) 保護人員安全



5(B).

5. 下列何者是一般管理員採用動態路由協定(Dynamic Routing Protocol) 以取代靜態路由(Static Routes)的主要理由?
(A) 動態路由的路由器負載較輕
(B) 動態路由能夠延展到較大的網絡
(C) 動態路由較安全
(D) 動態路由有較快的網路傳輸能力



6(D).

6. 下列何種網路攻擊「不會」造成伺服器主機系統處理效率下降或發生 錯誤?
(A) 死亡偵測攻擊(Ping-of-Death Attack)
(B) 分割重組攻擊(Teardrop Attack)
(C) 分散式攻擊(Distributed Attack)
(D) 中間人攻擊(Man-In-The-Middle Attack)



7(C).

7. 有一種防火牆的功能如下:「檢查來源端及目的端的 IP 位址、埠號 (Port),若有符合網路安全管理人員所設定的安全規則就准許通過, 否則拒絕其進入。」請問此為何種防火牆的描述?
(A) 應用代理閘道(Application-Proxy)防火牆
(B) 狀態檢查(Stateful inspection)防火牆
(C) 封包過濾(Packet Filter)防火牆
(D) 個人(Personal)防火牆



8(C).

8. 在電子商務的交易過程中,可以運用「電子簽章技術」來確保資訊的 哪一種特性?
(A) 可測試性
(B) 可維護性
(C) 不可否認性
(D) 易使用性



9(A).

9. 「虛擬私有網路(VPN)」主要是透過什麼技術來建立網路上的安全通 訊連線?
(A) 通道(Tunnel)技術
(B) 資料壓縮技術
(C) 調變與解調變技術
(D) 無線通訊技術



10(D).

10. TCP/IP 通訊協定中,負責提供定址與路由工作的是哪一層之任務?
(A) 應用層
(B) 表達層
(C) 傳輸層
(D) 網路層



11(D).

11. 請問常見的 DNS 資源記錄類型 CNAME 為?
(A) IPv4 主機位址
(B) 文字字串
(C) 郵件交換
(D) 別名



12(B).

12. 公司管理人員正在設定交換器,並且需要確保只有授權的裝置才可以透過交換器存取公司網路。下列何者為最安全的做法?
(A) 設定 MAC 篩選基礎的連接埠安全性(Port Security)
(B) 使用 802.1x
(C) 創造每個裝置的 VLAN
(D) 啟用 BPDU Guard 功能



13(D).

13. 基於系統安全的基礎,系統管理者對所管理的伺服器(包含:應用程 式、平台、資料庫等)應進行相關安全性設定,下列敘述何者正確?
(A) 系統上線後仍保留預設帳戶
(B) 使用系統預設開啟的連接埠
(C) 錯誤訊息應開放詳細資訊以便問題修正
(D) 過期的 OS、Web / App Server、DBMS、API、函式庫等,應評估 並進行更新



14(B).

14. 當作業系統安裝好之後,為了避免因為安全因素導致作業系統遭受駭 客入侵,應採取下列何項措施較佳?
(A) 更新病毒碼
(B) 更新修補程式
(C) 更新防火牆設定
(D) 更新入侵偵測系統



15(A).

15. 下列何者並非攻擊者入侵主機後,常見使用來下載外部後門的指令?
(A) PING
(B) WGET
(C) CURL
(D) FTP



16(A).

16. 公司某部門有台 Windows 10 的電腦,允許所有部門員工登入使用,但 基於安全性考量,除了管理員之外,希望能夠禁止一般員工在此電腦 上使用 USB 行動碟,請問管理員應利用何種工具完成此項安全性需求 作業?
(A) 本機群組原則
(B) 磁碟重組工具
(C) 行動裝置管理員
(D) 具有進階安全性的 Windows 防火牆



17(B).

17. 下列何者不是微軟 Windows 作業系統中,具特權權限之帳號?
(A) Administrator
(B) root
(C) 在 Administrators 群組中之一般使用者帳號
(D) Local System



18(D).

18. 有一種資安風險的描述為:「因為開發者暴露了內部檔案、檔案夾、金鑰、或資料庫的紀錄,來作為 URL 或是 Form 的參數,使攻擊者可藉由操作這些參數擅自進入其他 Objects 中」。此為下列何項風險的描 述?
(A) 跨站腳本攻擊(Cross-Site Scripting)
(B) API 未受防護(Underprotected APIs)
(C) 注入攻擊(Injection)
(D) 無效的存取控制(Broken Access Control)



19(A).

19. 下列何者不是 Blind SQL Injection 的特性?
(A) SQL 錯誤資訊會顯示在頁面中
(B) SQL 錯誤資訊不會顯示在頁面中
(C) 常利用 wait for delay 語法來測試
(D) 常與 Time base SQL injection 一起發生



20(C).

20. 下列何者不是網頁攻擊手法?
(A) Cross-Site Scripting
(B) SQL Injection
(C) Parameterized Query
(D) Cross-Site Request Forgery



21(B).

21. 請問針對作業系統訂定的資訊安全策略中,下列何種安全模式是統一 由管理者進行檔案存取授權後,使用者才可以進行檔案存取?
(A) 自由存取控制(Discretionary Access Control,DAC)
(B) 強制存取控制(Mandatory Access Control,MAC)
(C) 角色存取控制(Role-based Access Control,RBAC)
(D) 屬性存取控制(Attribute-based Access Control,ABAC)



22(C).

22. 攻擊者針對網站應用程式漏洞,將 HTML 或 Script 指令插入網頁中, 造成使用者瀏覽網頁時,執行攻擊者惡意製造的網頁程式。以上是說 明哪一種攻擊手法?
(A) 資料隱碼攻擊(SQL injection)
(B) 跨站請求偽照(Cross-Site Request Forgery, CSRF)
(C) 跨網站腳本攻擊(Cross-Site Scripting, XSS)
(D) 搜尋引擎攻擊(Google Hacking)



23(C).

23. 關於跨站請求偽造(Cross-Site Request Forgery, CSRF),下列何者是最佳的解決辦法?
(A) 加入 HttpOnly
(B) 過濾不必要特殊字元
(C) 加入圖形驗證碼
(D) 使用 HTTPS



24(B).

24. 下列何者為防禦(Cross-Site Scripting, XSS)的最佳方式?
(A) 輸入參數黑名單過濾
(B) 輸入參數白名單過濾
(C) 輸入參數長度過濾
(D) 輸出頁面過濾



25(A).

25. HTTP Cookie 的用途是?
(A) 在瀏覽器中儲存資訊(如 Session ID 等)
(B) 瀏覽器的設定檔
(C) 幫助防禦 XSS 攻擊
(D) 幫助防禦 XML Injection 攻擊



26(A).

26. 安全性測試人員可以使用反組譯器(Disassemblers)、除錯器 (Debuggers)和反編譯器(Decompilers)來判斷與檢查,是否存在何 種程式碼的弱點?
(A) 缺乏逆向工程(Reverse Engineering)保護
(B) 注入缺失(注射缺陷)
(C) 跨網站指令碼(Cross-Site Scripting)
(D) 不安全的物件參考(Insecure Direct Object Reference)



27(D).

27. 下列何者不是 Windows 安全開發必須注意的地方?
(A) Socket 設計
(B) 多執行緒設計
(C) 常駐程式設計
(D) 封包流量設計



28(D).

28. 下列何者並非防毒軟體偵測的方式?
(A) 特徵碼掃描
(B) 檔案完整性掃描
(C) 沙箱檢測
(D) 程式碼檢核



29(D).

29. 關於弱點掃描,下列敘述何者不正確?
(A) 弱點掃描工具的使用,可能會觸發入侵偵測系統的警告
(B) 弱點掃描可算是滲透測試的前置作業之一
(C) Ping 工具的使用,可算是弱點掃描的前置作業之一
(D) 部署 Web 應用程式防火牆,即可避免遭受弱點掃描的探測



30(B).

30. 下列哪些是 rootkits 的主要特性? (1)讓駭客取得最高權限 (2)具隱藏性 (3)在系統內大量自我複製 (4)讓駭客執行遠端控制
(A) (1)(2)(3)
(B) (1)(2)(4)
(C) (2)(3)(4)
(D) (1)(2)(3)(4)



31(B).

31. 你的老闆閱讀了一篇關於新發現嚴重漏洞的文章,而廠商所提供的修 復漏洞修正檔也已於今天被釋出,他要求你立即更新所有系統此一修 正檔,請問你應該採用下列何種做法?
(A) 立即將修正檔套用到所有系統
(B) 先測試修正檔,無誤後再行修補
(C) 先更新防毒軟體之後再行修補
(D) 先執行漏洞掃描,再進行修正檔套用



32(C).

32. 下列何者不是電腦病毒的傳染途徑?
(A) 經由網路下載的軟體傳染
(B) 經由電子郵件的附加檔案中傳染
(C) 經由應用程式存取資料庫資料
(D) 經由已被感染的可移式媒體(如:USB、CD 等)



33(D).

33. 關於備份管理作業,下列敘述何者不正確?
(A) 資訊系統資料需排定備份計畫,並定期執行備份作業
(B) 系統備份結果之相關作業紀錄須留存備查
(C) 規劃備份作業應包含系統設定、應用程式及資料庫等項目
(D) 備份資料需排定執行資料回復測試,並將測試結果記錄於本機紀 錄檔



34(B).

34. 下列哪個資訊儲存媒體,相較於其他選項,不太適合企業作為大量資料備份用途?
(A) LTO Tape
(B) SD Memory Card
(C) Disk Array(磁碟陣列系統)
(D) Tape Library(磁帶櫃)



35(C).

35. 某一個組織針對先前備份的資料進行復原時,發現先前備份的資料無法順利還原,請問這個組織可能是在以下哪個環節上出了問題?
(A) 沒有設定適當的 RTO 時間
(B) 因為備份的時間太長,以致影響了復原的可靠度
(C) 因為先前備份好的媒體,沒有定期進行復原測試
(D) 組織在訂定備份政策時,沒有定義好要執行備份的頻率



36(C).

36. 為確保公司備份資料之完整性,下列何者方式最佳?
(A) 加解密
(B) 身分驗證
(C) 雜湊計算
(D) 資訊隱藏



37(B).

37. 某組織之上班尖峰時間為上午 9 點至 12 點,下午為 13 至 17 點,該組 織為了資料安全,採取備份控制措施,請問該組織的備份控制措施最 佳策略,應為下列何者?
(A) 中午 12 點執行完全備份,晚上 20 點進行差異備份
(B) 中午 12 點執行差異備份,晚上 20 點進行完全備份
(C) 上午 10 點執行完全備份,下午 15 點進行差異備份
(D) 上午 10 點執行差異備份,下午 15 點進行完全備份



38(D).

38. 關於 Syslog 系統日誌或系統記錄,下列敘述何者不正確?
(A) Syslog 是一種用來在 TCP/IP 網路中傳遞記錄檔訊息的標準
(B) Syslog 系統日誌訊息可以被以 UDP 協定及 TCP 協定來傳送
(C) Syslog 通常被用於資訊系統管理及資安稽核
(D) Syslog 是以明碼型態被傳送,無法透過 SSL 或 TLS 方式加密



39(A).

39. 關於「系統日誌」應該採取的適當保護措施,下列敘述何者不正確?
(A) 防止侵害個人隱私,不須記錄使用者識別碼
(B) 防止系統日誌被未經授權的存取
(C) 防範日誌記錄檔被修改或刪除
(D) 防範超過媒體記錄容量時所產生的錯誤



40(C).

40. 請問「主要記錄系統本身登入/登出行為,例如系統管理人員透過遠端 登入系統等」係下列哪個記錄檔之功能?
(A) 系統日誌檔
(B) 應用程式日誌檔
(C) 安全性日誌檔
(D) 網路日誌檔



41(D).

41. 「留存日誌」是為了達成資訊安全的何種特性?
(A) 機密性(Confidentiality)
(B) 可用性(Availability)
(C) 可靠性(Reliability)
(D) 不可否認性(Non-Repudiation)



42(B).

42. 關於雲端蜜罐(Honeypot)技術,下列敘述何者不正確?
(A) 任何攻擊蜜罐的行為都是可疑的
(B) 通常設置在真正的運作環境之中
(C) 偽裝成有利用價值的網路、資料或電腦系統,並在裡面設置漏洞, 誘使駭客攻擊
(D) 為取得電腦病毒樣本的其中一種方法



43(A).

43. 對雲端服務的安全管理而言,實施稽核是一項必要的作法,可確認雲端服務提供商是否已符合相關的資安要求。下列何者不是確保雲端服 務的安全需考量的事項?
(A) 用戶應選擇單一的雲端服務提供商所提供的服務
(B) 將實施稽核的權利納入合約之中
(C) 用戶應選擇熟悉雲端服務和法規的稽核人員
(D) 用戶可要求雲端服務提供商定期審查、更新、發佈和資安有關的 流程與文件



44(A).

44. 使用雲端架設的 Http 服務時,若伺服器回傳 404 的 HTTP 狀態碼,請 問是以下何種情況?
(A) Not Found,請求失敗,請求所希望得到的資源未在伺服器上被發現
(B) OK,請求已成功,所請求的回應標頭或資料本體將被送回
(C) Gateway Timeout,伺服器嘗試執行請求時,未能及時從其他伺服 器取得回應
(D) I'm a teapot,要求伺服器煮咖啡時應當回傳此狀態碼



45(D).

45. 針對行動裝置的安全防護,下列敘述何者不正確?
(A) 行動裝置充電時應儘量使用變壓器座充,避免連接電腦
(B) 行動裝置應設置密碼或鍵盤鎖等防護措施
(C) 行動裝置應避免下載或安裝來路不明之安裝程式
(D) 行動裝置不會中毒,所以不需安裝防毒 App,以免影響行動裝置 安全與效能



46(B).

46. 關於提高行動裝置連線的安全性,下列敘述何者不正確?
(A) 當不需要開啟定位功能(GPS)時,應保持關閉
(B) 當有第三方免費提供 Wi-Fi 服務時就直接用,不需了解服務提供 者身份
(C) 應小心使用藍牙功能,無使用需求時應予以關閉
(D) 當使用公眾場合所提供之手機充電功能時,應確保手機相關傳輸 功能未被開啟或先手動關閉



47(D).

47. 關於行動裝置上運用 HCE(Host Card Emulation)行動支付方式的安 全,下列敘述何者不正確?
(A) 從雲端支付平台取得的金鑰是有時效性的
(B) 無需挑選通過服務平台安全認證的手機
(C) 手機無需具備安全元件來儲存支付資訊
(D) 需更換具備安全防護特殊的 SIM 卡才能支援



48(D).

48. 在物聯網裡,電器設備透過無線通訊協定互聯時,有可能因為外來超 強訊號的干擾而產生「蓋臺」的現象,這是屬於哪一類的攻擊手法?
(A) 中間人攻擊(Man-In-The-Middle Attack)
(B) 資料隱碼攻擊(SQL Injection Attack)
(C) 隱藏欄位攻擊(Hidden-Field-Tampering Attack)
(D) 阻斷服務攻擊(Denial-of-Service Attack)



49(A).

49. 目前在物聯網裡,連網的智慧家電多數是採用安全性不高的通訊協 定,駭客可以利用這些不安全的通訊協定,進行什麼樣的攻擊? (1) 中間人攻擊(Man-in-the-Middle) (2) 劫持(TCP/IP Hijacking) (3) 重播攻擊(Replay) (4) 垃圾搜尋攻擊(Dumpster Diving)
(A) (1), (2), (3)
(B) (1), (2), (4)
(C) (1), (3), (4)
(D) (2), (3), (4)



50(D).

50. 物聯網安全漏洞有很多因素,下列敘述何者不正確?
(A) 物聯網軟體組件安全性不足,應將安全納入設計程序中
(B) 物聯網需要不斷的更新,並建立漏洞管理
(C) 物聯網安全必須建立在被驗證過的安全機制上
(D) 物聯網技術必須建立在黑盒子內,太透明風險更高



最頂
快捷工具
完全正確!

試卷測驗 - 107 年 - 107 初級資訊安全工程師能力鑑定試題:資訊安全技術概論#117052-阿摩線上測驗

黃仁泓剛剛做了阿摩測驗,考了100分