資訊處理 102 年資訊管理與資通安全考古題

公務和非公務機關平時應實施資通安全之管控與稽核工作，以減少電腦網路功能弱 點（Vulnerability）的發生。這些功能弱點包括如下： 身分驗證（Identification and Authentication） 存取控制（Access Control） 責任歸屬（Accountability） 物件再用（Object Reuse） 準確度（Accuracy） 服務可靠性（Reliability of Service） 試從資通安全觀點，說明上述六項的功能弱點特性。（25 分）

數位化企業必備那四個資訊系統？（8 分）請解釋此四個系統的功能。（12 分）

請試述下列名詞之意涵：（每小題5 分，共25 分） 揮發性資料（Volatile Data for Digital Acquisition） App 程式 智慧型代理人（Intelligent Agent） 零時差或零日攻擊（Zero-day Attack） 數位鑑識（Digital Forensics）

利用雲端運算（Cloud Computing）科技可以協助政府提升服務品質與效能。請列出 SaaS、PaaS、及IaaS 三種類型服務之中文或英文全名。（6 分）並請分別舉例說明 政府可以提供此三種類型之雲端服務。（14 分）

資訊科技可用來支援組織（如民間和政府等）之各種資訊化活動，包括作業性、管 理性和策略性等活動。請回答下列問題： 何謂作業性、管理性和策略性等活動。（6 分） 指出並說明作業性活動之五種任務項目及其相對應軟體名稱與其功能的作業支援。 （10 分） 近來國內發生一連串食品安全事件，引起各級政府對食品安全的重視。試從管理性 活動觀點，提出政府如何善用資訊科技於國內食品安全管控與稽核的看法。（9 分）

國內剛施行的個人資料保護法（簡稱個資法）中規定，公務機關保有個人資料檔案 者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩 漏。可見公務機關人員必須對個資法及資訊安全管理有一定程度的了解。 在個資法的規範裡，一般情況下有那五種特種個資不得蒐集、處理及利用？（10 分） 為防止個人資料被竊取、竄改、毀損、滅失或洩漏需採取技術及組織上的必要措 施為何？（10 分）

有關數位簽章（Digital Signature），請回答下列問題：（每小題5 分，共25 分） 何謂雜湊值（Hash Value）？ 雜湊函數（Hash Function）的主要用途。 若有文字型態之內容、編輯格式和字體大小等完全相同的兩個檔案，經由MD5 （Message-Digest Algorithm 5）所產生的雜湊值卻不相同，請說明其可能原因。 在蜜罐誘捕系統（Honeypot）之惡意程式網路活動分析上，說明採用MD5（或 SHA-256）之目的。 我國《個人資料保護法》（修正日期：民國99 年5 月26 日）第22 條第2 項規 定：「中央目的事業主管機關或直轄市、縣（市）政府為前項檢查時，對於得沒 入或可為證據之個人資料或其檔案，得扣留或複製之。」請說明如何進行證據之 取證（Acquisition）及使用MD5（或SHA-256）目的為何？

阻絕服務攻擊（Denial of Service, DOS）是目前最常見的網路攻擊行為之一，駭客透 過各種方式把目標主機的網路資源及系統資源耗盡，使之無法提供正常的服務。 請求氾濫攻擊（SYN Flooding Attack）是DOS 常見的攻擊手法之一，請描述該攻 擊的攻擊方式及過程。（8 分） 來源位址欺騙攻擊（Land Attack）是利用IP 欺騙（IP Spoofing）的方式讓封包中 的來源位址與目的地位址都是被攻擊目標主機的IP 位址，使得目標主機收到封 包後因無法回應訊息給自己而導致服務阻斷。請問何種安全通訊協定可用來鑑別 IP 來源位址的正確性？（4 分）並簡述其運作過程。（8 分）

由於HTTP 協定並未考慮到資料在傳遞時可能遭遇的安全問題，所以線上電子商務 服務常用SSL（Secure Socket Layer）安全傳輸協定來確保瀏覽器與Web 伺服器間 資料傳遞的安全。 SSL 安全傳輸協定屬於TCP/IP 通訊協定中那一層的服務？（4 分） 使用者如何辨識連結的網頁是否為SSL 保護的網頁？（4 分） 請簡述SSL 安全通訊協定能提供線上電子商務服務那些安全需求？（12 分）