資訊管理與資通安全考古題｜歷屆國考試題彙整

密碼可以用來做身分認證，但是缺點是密碼太長容易忘記！比較新的認 證方式是運用生物辨識技術： 何謂生物辨識技術？列舉至少五種生物辨識技術，並依安全性 （Security）和方便性（Convenience）等級（假設分3 級：優、良、普） 做論述。（20 分） 目前手機的認證大部分是利用何種生物辨識技術？它有何優缺點？（5 分）

電腦系統或網路設備在做資料傳輸時，為了減少資料重送次數，一般會 利用錯誤更正碼技術做資料傳輸： 所謂漢明錯誤更正碼（Error Correction Code, ECC）是把8 個位元݀ଵ ݀ଶ݀ଷ݀ସ݀ହ݀଺݀଻଼݀的資料加入4 個同位位元（Parity Bit）݌ଵ݌ଶ ݌ସ݌଼（假設偶同位），使其成為݌ଵ݌ଶ݀ଵ݌ସ݀ଶ݀ଷ݀ସ݌଼݀ହ݀଺݀଻ ଼݀的ECC 碼。詳細說明每個同位位元檢驗的位置。（10 分） 給定一個8 位元的資料，10010010，它的ECC 碼為何？（10 分） 若收到111100110110，接收端如何更正錯誤？（5 分）

深度學習（Deep Learning）是目前相當熱門的技術，它的應用非常廣泛， 諸如病毒碼檢測、聊天機器人、汽車防碰撞、醫學腫瘤影像辨識等。說 明深度學習訓練時以分類為例子，為何其最後一級採用的是歸一化指數 函數（Softmax）做分類，但實際應用時卻用支援向量機（Support Vector Machine, SVM）技術做分類？（25 分）

2022 年諾貝爾物理學獎由法國學者阿斯佩（Alain Aspect)、美國學者克 勞澤(John F. Clauser)以及奧地利學者塞林格(Anton Zeilinger)共同獲 得，表揚他們發現量子糾纏（Quantum Entanglement）並打下了量子電腦、 量子密鑰系統的基礎，確立了可違反貝爾不等式，和開創性的量子通訊 科學。何謂量子電腦？它對目前資安的密碼學有何影響？(25 分)

請回答下列有關網際網路與通訊網路問題：（25 分） TCP/IP 網路中，OSPF 通訊協定是屬於那一層次架構？又其英文全名 為何？ TCP/IP 網路中，HTTPS 是屬於那一層次架構？又其英文全名為何？ TCP/IP 網路中，SSL 是屬於那一層次架構？又其英文全名為何？ 網際網路上網址中.com 與.org 指的是什麼？ 請定義什麼是ADSL（含英文全名）？

請根據資通安全事件通報及應變辦法回答下列問題： 請說明資通安全事件通報內容應包括之項目。（15 分） 請說明公務機關資通安全事件之通報及應變的流程。（15 分）

請回答下列資訊安全相關問題： 請說明雜湊函數與常見的演算法。（10 分） 請說明雜湊函數的碰撞與不建議使用之原因。（10 分）

請寫出下列防火牆（Firewall）之定義與其相關問題： 請定義什麼是防火牆？並寫出防火牆之四項主要的功能？（17 分） 請說明系統或網路管理師管控防火牆時，為什麼必須先了解應用層 （Applicationlayer）中那一些通訊協定之應用埠（Port）可被使用？（8 分）

請回答下列有關微型服務的問題： 請說明微型服務的特性。（6 分） 請說明微型服務的優勢。（24 分）

任何組織的應用資訊系統於網路安全控制上，資安或系統工程師必須 定期或即時執行風險評估，來了解其資訊安全機制是否需改善以減輕 其風險，請說明資訊系統之風險會因那三項主要的情境改變而有所 變化？（25 分）

請定義大數據（Big Data）中5V 的意義；以及進行大數據分析（Big Data Analytics）時處理的程序（Process），請依順序說明應含那些步驟以期獲 得較佳的分析結果？（25 分）

請回答下列資訊系統風險評鑑相關問題： 請說明風險識別及其步驟。（8 分） 請說明風險估計及其步驟。（8 分） 請說明風險評估。（4 分）

電腦設備和網際網路已成為新興的犯罪工具或媒介，因此，面臨訴訟爭議 時，常會涉及數位證據的運用： 何謂數位鑑識？（10分） 何謂證據同一性？（10分） 當第一線人員取證檔案做證據時，請列出什麼情境，該檔案是有證據能 力的；而什麼情境，該檔案是沒有證據能力的？（5分）

請先說明何謂軟體開發生命週期（Software Development Life Cycle, SDLC）？然後詳細說明以下四種軟體開發方法的內涵、特點及其各適用 的情境：瀑布式（Waterfall）、螺旋式（Spiral）、敏捷式（Agile）、DevOps。 （25分）

電腦系統或網路設備，或多或少都有弱點存在，為防止駭客進行惡意入 侵，系統應有相對的防禦工具： 何謂網路型入侵偵測系統？（5分） 說明網路型入侵偵測系統，其部署位置及運作狀況（可以示意圖表示）， 並陳述其優缺點。（10分） 當資訊人員遇到攻擊封包或病毒，於企業內迅速擴散時，未更新的主機 不斷的散布攻擊封包，資訊人員必須與時間競爭，其處理方法為何？ （10分）

何謂勒索軟體（Ransomware）？通常資料備份是防範勒索軟體攻擊的重 要手段，但是許多企業或是組織的備份資料仍可能遭受勒索病毒的攻 擊，請先解釋其理由何在？然後詳細說明有那些作法可以降低備份資料 遭受勒索攻擊的風險？（25分）

何謂儲存型跨站攻擊（Stored Cross-Site Scripting（XSS））/反射型跨站攻擊 （Reflected Cross-Site Scripting（XSS））？依攻擊者（Attacker）、目標網站 （Website）、受害者（User）分別說明出其關係（可以示意圖表示），並描 述其攻擊步驟。（25分）

因應Covid-19肺炎疫情，許多企業或是組織採取在家上班，這對組織的 資安防護帶來很大的挑戰。請列舉在家上班的資安防護應有那些作為並 詳細說明其作法。（25分）

專家系統（Expert System）是一種在特定領域內，具有專家水平解決問題 能力的程式系統： 專家系統主要由6個部分構成，請說明該6個部分之關係（可以示意圖表 示），並描述各部分之功能。（20分） 說明專家系統和人工智慧的關係。（5分）

資訊系統是否滿足使用者需求，往往決定於軟體專案的管理是否得當。 請詳細說明軟體專案管理的五個階段（phase）及四個專案需滿足的目標 為何？（25分）

鑑於國內外資安情資來源逐漸多元，且數量日益增加，國家資安資訊分 享與分析中心於107 年正式運作。試說明分享資安情資的好處與重要 性。（25 分）

支援向量機（Support Vector Machine, SVM）是常見的資料分類演算法。 請詳述支援向量機的運作原理，並舉出兩個採用支援向量機進行資料分 類的應用實例。（25 分）

第五代行動通訊（5G）即將進入商用階段，其具備高頻寬、高密度、及 低延遲等優良特性，可乘載智慧物聯網多元應用服務，將帶動高品質視 聽娛樂、智慧醫療、智慧工廠、自駕車、無人機、智慧城市等創新應用。 因應5G 與智慧物聯網的加入，說明組織內部網路如何管理與防禦攻 擊。（25 分）

智慧城市（Smart City）是現代化城市的創新建構。請說明智慧城市的 定義，並舉出兩個智慧城市的應用實例及其搭配採用的相關資訊科技。 （25 分）

部分企業與組織的網路或是資訊管理系統是外包廠商負責，例如會計資 訊管理系統由A 廠商開發，網站應用程式由B 廠商開發維護等。說明組 織如何做好控管，確保資訊隱私安全與預防攻擊事件。（25 分）

依據行政院所屬各機關資訊業務委外服務作業參考原則，除相關法令另 有規定或屬政府核心資訊業務者外，基於提升營運效率的考量，請詳述 政府機關有那些類型的資訊業務可委託民間資訊服務業者辦理？（25 分）

組織與企業廣泛應用商業智慧（business intelligence），分析巨量資料， 協助組織做決策。面臨巨量資料分析，說明如何運用雲端科技解決巨量 資料分析，提供即時商業智慧。（25 分）

公開金鑰基礎建設（Public Key Infrastructure，簡稱PKI）涵蓋技術、管 理、法令等三大議題。以發行數位憑證（Digital Certificate）為例，請詳 述這三大議題的主要具體內容。（25 分）

電子商務的行銷模式其中如何促銷（Promotion），乃行銷重要議題，也是電子商務有 別於傳統商務的重要特色之一。網路行銷（Network Marketing）是目前電子商務廣泛 使用於推廣其產品之行銷策略之一。 請定義網路行銷，並說明三種網路行銷手法。（10 分） 舉例並說明網路行銷與傳統行銷之差異性。（10 分） 請說明搜尋引擎行銷（Search Engine Marketing）運作模式，並舉例說明組織企業 如何採用搜尋引擎行銷推廣其產品？（10 分）

請回答以下關於資訊安全的問題： 在瀏覽器進行瀏覽時，常可見到「網站的安全性憑證不可靠」的訊息， 請說明跳出這訊息的可能原因與可能發生的風險。（5 分） 某政府機構遭到駭客偵測出網路管理員的機構信箱 [email protected]，之後駭客製作零時差漏洞打造的遠端存取工具寄 送至該信箱，致使該電腦遭感染後，持續遭到駭客控制與進行橫向擴 散，並導致重要機密文件外流。請進行上述事件分析，並請提出可能 的改善措施。（20 分）

隨著電子化與IT 科技進入組織企業中，經年累月累積的巨量資料，值得組織企業從 資料中分析出對組織與社會有幫助的資訊。然而巨量資料分析面臨挑戰與問題。 請說明巨量資料的應用有那些挑戰與面臨的問題？（10 分） 請說明巨量資料對產業與經濟產生之衝擊。（10 分）

許多資訊安全事件的資料外洩都是因軟體開發不安全所引起，如何撰寫 安全的軟體資訊系統已成當務之急，請論述至少三個面向以說明如何撰 寫一較具安全的軟體資訊系統。（25 分）

物聯網（Internet of Things，簡稱IoT）運用於智慧醫療、智慧城市、智慧家庭以及 智慧工廠等運算環境當中。提供許多自動化服務，然而也帶來許多威脅。 針對上述之運算環境的一種環境下，請舉例說明如何利用物聯網提供自動與智慧 化服務？（10 分） 物聯網攻擊造成組織企業資安損失。請說明其攻擊原理，以及防範措施。（10 分） 物聯網設備開發廠商應如何改善其設備，以提升其設備安全，避免使用者遭受攻擊？ （10 分）

因應快速發展及市占率日高的行動商務及新零售市場，如何完整規劃行 動支付開發專案，是每位資訊系統規劃人員所需要面對的立即挑戰。某 企業欲規劃開發行動支付系統專案，請申論說明企業可進行什麼樣的改 變及可提出那些創新服務的營運模式。（25 分）

企業資源規劃（Enterprise Resource Planning, ERP）系統是國內眾多公民 營企業均導入的資訊系統，請回答下列問題： 企業資源規劃系統導入勢必牽涉到企業流程再造，請問企業流程再造 包含那四個要素？（12 分） 請申論說明為何ERP 系統導入失敗的案例不少。（8 分） 請申論說明為何導入過程，常需要專業的ERP 顧問協助？（5 分）

為避免遭受攻擊，MIS 管理人員應了解最新資安訊息。近年來，威脅情資（Threat Intelligence）服務提供組織最新的資安資訊與駭客攻擊技術。 請說明威脅情資所採用之技術。（10 分） 請說明組織如何利用威脅情資提升資安防禦能力？（10 分）

依據波特（Michael Porter）提出的競爭力模式（Competitive Forces Model），請詳述 運用資訊科技或資訊系統可以強化企業競爭力的策略為何？（25 分）

金融科技（Fintech）已掀起全球熱潮，其運用資訊科技讓金融服務變得更有效率。 請說明何謂行動支付？何謂第三方支付？並分別舉例現有應用加以說明。（25 分）

何謂智慧合約（Smart Contract）？它與一般的應用程式有何不同？（25 分）

請試舉出7 種資料庫安全威脅。（10 分） 伺服器虛擬化已成為企業建置機房的趨勢。請說明何謂虛擬化（Virtualization）？ 並舉出4 項虛擬化的優點。（15 分）

請詳述「虛擬桌面」（Virtual Desktop）的定義及採行虛擬桌面的優點。（25 分）

請說明虛擬實境（Virtual Reality, VR）與擴增實境（Augmented Reality, AR）。請說明 透過各種體感元件來模擬各種人類的動作，這種以假亂真是屬於上面那一種應用？ 另請說明寶可夢（Pokemon GO）是屬於上面那一種應用？（25 分）

請詳述內建加解密或數位簽章模組之IC 卡或晶片卡可能面臨的安全威脅及攻擊，並 說明造成這些安全威脅或攻擊成功的原因。（25 分）

請回答下列有關瀏覽器相關的資訊安全問題： 請舉出五項瀏覽器對採用SSL 網站的安全檢查措施。（15 分） 請說明XSS 攻擊，並說明可防範的方式。（10 分）

何謂策略資訊系統（Strategic Information System; SIS）？它與決策支援系統（Decision Support System; DSS）有何不同？（25 分）

何謂智慧代理人技術？（10 分）請以供應鏈管理的實例說明企業如何應用智慧代理 人。（15 分）

從資料中發掘知識的過程稱之為資料探勘（Data Mining; DM），請問DM 的主要分析 類型除了聯結分析（Association Rule Analysis），還有那些類型？並請說明所有DM 分析類型（包含聯結分析）的目的。（25 分）

「開放資料」（Open Data）因公共利益之必要，發布統計資料以供研究時，需將資料 進行去識別化（De-identification）處理。請說明何謂「去識別化」？並解釋需去識別 化的資料中，何謂「直接識別」資料與「間接識別」資料？（10 分）請說明「K 匿 名框架」（k-Anonymity Framework）或「單元抑制」（Cell-suppression）其中任一種 「去識別化」技術的實作方法。（15 分）

雲端運算是一種動態且可被擴展的運算方式，其主要有三種類型服務：⑴基礎架構 雲端服務（Infrastructure as a Service; Iaas）⑵平台即服務（Platform as a Service; Paas） ⑶軟體即服務（Software as a Service; SaaS）。請說明在SaaS 中可能存在的安全性議 題有那些？（25 分）

「國家資通安全會報」為明確規範政府機關（構）資通安全責任等級分級作業流程， 透過資通安全管理，以防範潛在資安威脅，進而提升國家資安防護水準，訂定「政 府機關（構）資通安全責任等級分級作業規定」。依據此作業規定，請說明A、B 級 單位在「稽核方式」、「業務持續運作演練」、「防護縱深」、「監控管理」及「安全性 檢測」等五個項目的應辦理工作事項為何？（25 分）

RFID 在產業界已有廣泛的應用，例如電子票券、物流管理及履歷溯源等，這些應用 導入RFID 固然帶有許多便利，但也可能帶來隱私上的問題。請說明利用RFID 所可 能產生的隱私危害有那些？並說明可能的解決方案。（25 分）

進階持續性威脅（Advanced Persistent Threat, APT）攻擊是一種有針對性的網路攻擊 行動。請說明APT 攻擊的流程，（15 分）以及MIS 管理人員應如何因應此種攻擊？（10 分）

隨著寬頻網路與分散式運算技術的成熟與普及，企業與政府機關紛紛採用雲端運算 （Cloud Computing）解決方案。（每小題15 分，共30 分） 請敘述雲端運算的三種服務模式，並舉例說明。 請敘述上述三種雲端運算服務之核心技術。

請敘述美國國家標準與技術局（NIST）定義「雲端運算（Cloud Computing）」的 「五大重要特徵（Five Essential Characteristics）」之意涵。（10 分） 分別由財務、技術與維運三個面向來剖析雲端運算如何影響成本以及對企業帶來 的優勢。（15 分）

行動商務（Mobile Commerce）與無所不在運算（Ubiquitous Computing）對企業與政 府有許多影響。一些組織為節省成本與員工使用的便利性，採用BYOD（Bring Your Own Device）政策，允許員工使用自己的設備辦公。針對此項政策，請說明： （每小題15 分，共30 分） 對該組織之資訊安全與資產有何影響？ 資訊部門應採取那些防禦措施？

何謂「政府資料開放（Open Government Data）」？根據資料的「使用」、「散布」 與「分享」說明其特性。政府資料開放有何重要性？請舉例說明之。（25 分）

企業與政府組織需要一些決策資訊系統，協助主管做政策決定。請說明： （每小題10 分，共20 分） 高階主管支援管理系統。 企業智慧（Business Intelligence）。

在「網路鑑識（Network Forensics）」中，蒐集「網路數位證據（Network Digital Evidence）」是重要的一環。詳細分析存在於客戶端、伺服器端以及網路設備的 網路數位證據，並舉例說明。（15 分） 分析「瀏覽器」與「網路數位證據」之關係。（10 分）

許多公共場所提供無線網路，方便使用者上網。請說明：（每小題10 分，共20 分） 以通訊協定角度看，IEEE 802.3 所定義之LAN 與IEEE 802.11 所定義之WLAN 有 何差異？ 以資訊安全角度看，IEEE 802.3 所定義之LAN 與IEEE 802.11 所定義之WLAN 有 何差異？

何謂「數位憑證（Digital Certificate）」？數位憑證有那些種類？分別說明其用途。 （15 分） 試說明數位憑證在設計「Diffie-Hellman 金鑰交換協定（Diffie-Hellman Key Exchange Protocol）」的用處。（10 分）

電子商務（EC）的分類架構有許多種，例如：以經營模式來分類、以虛實的經營方 式來分類、以交易雙方對象來分類。以交易雙方對象分類，主要分成四類：B2B、 B2C、C2B 與C2C，請描述每一類別的意義，並分別舉一實例對照之。（20 分）

試敘述磁碟陣列RAID 0、RAID 1、RAID 5 及 RAID 6 的功能與運作原理。它們分 別最少需要多少個硬碟才能實現？（30 分）

請解釋何謂IT 治理（Corporate governance of information technology）？它與IT 管 理（IT management）的差別在那裡？（20 分）

什麼是網路實體隔離（Network Physical Isolation）設備？它與防火牆（Firewall）設 備有何不同？（20 分）

在企業或組織導入資訊安全管理系統（Information Security Management Systems, ISMS）的過程中，PDCA 的管理模型常常用來持續改進ISMS 的整體運作。請問 PDCA 英文全名為何？在ISMS 中，PDCA 的工作項目具體為何？（25 分）

解釋何謂對稱式加密技術與非對稱式加密技術。請說明其優缺點，並說明這兩種加 密技術分別適合的應用場合；此外，請針對這兩種加密技術各舉一個加密標準。 （20 分）

請問能力成熟度模型集成（CMMI）將工作程序的改善（process improvement）分成 那五個等級（level）？請說明每個等級的特色。（30 分）

在一通訊網路中，針對資訊流的安全攻擊（Security Attacks）依據X.509 及 RFC4949 分類為被動式攻擊（Passive Attacks）與主動式攻擊（Active Attacks），請 解釋被動式攻擊與主動式攻擊，並請分別舉例兩種被動式攻擊與兩種主動式攻擊的 方法。（20 分）

通常在入口網站的建置上，經常使用CAPTCHA 技術。請寫出CAPTCHA 的目的為 何？它有何應用？reCAPTCHA 是由卡內基美濃大學所發展的系統，它的作法為何？ （15 分）

公務和非公務機關平時應實施資通安全之管控與稽核工作，以減少電腦網路功能弱 點（Vulnerability）的發生。這些功能弱點包括如下： 身分驗證（Identification and Authentication） 存取控制（Access Control） 責任歸屬（Accountability） 物件再用（Object Reuse） 準確度（Accuracy） 服務可靠性（Reliability of Service） 試從資通安全觀點，說明上述六項的功能弱點特性。（25 分）

數位化企業必備那四個資訊系統？（8 分）請解釋此四個系統的功能。（12 分）

請試述下列名詞之意涵：（每小題5 分，共25 分） 揮發性資料（Volatile Data for Digital Acquisition） App 程式 智慧型代理人（Intelligent Agent） 零時差或零日攻擊（Zero-day Attack） 數位鑑識（Digital Forensics）

利用雲端運算（Cloud Computing）科技可以協助政府提升服務品質與效能。請列出 SaaS、PaaS、及IaaS 三種類型服務之中文或英文全名。（6 分）並請分別舉例說明 政府可以提供此三種類型之雲端服務。（14 分）

資訊科技可用來支援組織（如民間和政府等）之各種資訊化活動，包括作業性、管 理性和策略性等活動。請回答下列問題： 何謂作業性、管理性和策略性等活動。（6 分） 指出並說明作業性活動之五種任務項目及其相對應軟體名稱與其功能的作業支援。 （10 分） 近來國內發生一連串食品安全事件，引起各級政府對食品安全的重視。試從管理性 活動觀點，提出政府如何善用資訊科技於國內食品安全管控與稽核的看法。（9 分）

國內剛施行的個人資料保護法（簡稱個資法）中規定，公務機關保有個人資料檔案 者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩 漏。可見公務機關人員必須對個資法及資訊安全管理有一定程度的了解。 在個資法的規範裡，一般情況下有那五種特種個資不得蒐集、處理及利用？（10 分） 為防止個人資料被竊取、竄改、毀損、滅失或洩漏需採取技術及組織上的必要措 施為何？（10 分）

有關數位簽章（Digital Signature），請回答下列問題：（每小題5 分，共25 分） 何謂雜湊值（Hash Value）？ 雜湊函數（Hash Function）的主要用途。 若有文字型態之內容、編輯格式和字體大小等完全相同的兩個檔案，經由MD5 （Message-Digest Algorithm 5）所產生的雜湊值卻不相同，請說明其可能原因。 在蜜罐誘捕系統（Honeypot）之惡意程式網路活動分析上，說明採用MD5（或 SHA-256）之目的。 我國《個人資料保護法》（修正日期：民國99 年5 月26 日）第22 條第2 項規 定：「中央目的事業主管機關或直轄市、縣（市）政府為前項檢查時，對於得沒 入或可為證據之個人資料或其檔案，得扣留或複製之。」請說明如何進行證據之 取證（Acquisition）及使用MD5（或SHA-256）目的為何？

阻絕服務攻擊（Denial of Service, DOS）是目前最常見的網路攻擊行為之一，駭客透 過各種方式把目標主機的網路資源及系統資源耗盡，使之無法提供正常的服務。 請求氾濫攻擊（SYN Flooding Attack）是DOS 常見的攻擊手法之一，請描述該攻 擊的攻擊方式及過程。（8 分） 來源位址欺騙攻擊（Land Attack）是利用IP 欺騙（IP Spoofing）的方式讓封包中 的來源位址與目的地位址都是被攻擊目標主機的IP 位址，使得目標主機收到封 包後因無法回應訊息給自己而導致服務阻斷。請問何種安全通訊協定可用來鑑別 IP 來源位址的正確性？（4 分）並簡述其運作過程。（8 分）

由於HTTP 協定並未考慮到資料在傳遞時可能遭遇的安全問題，所以線上電子商務 服務常用SSL（Secure Socket Layer）安全傳輸協定來確保瀏覽器與Web 伺服器間 資料傳遞的安全。 SSL 安全傳輸協定屬於TCP/IP 通訊協定中那一層的服務？（4 分） 使用者如何辨識連結的網頁是否為SSL 保護的網頁？（4 分） 請簡述SSL 安全通訊協定能提供線上電子商務服務那些安全需求？（12 分）

電子商務： 網路行銷在電子商務的關係？（15 分） 說明網路行銷的優點？（10 分）

試比較封包過濾防火牆（Packet Filter Firewall）、網路型入侵偵測系統（Network- based Intrusion Detection System, IDS）與網路型入侵防禦系統（Network-based Intrusion Prevention System, IPS）在資安防護上之功能區別。（15 分）

倫理道德： 何謂個人資料保護法？（10 分） 何謂健康保險可攜性和責任法案（Health Insurance Portability and Accountability; HIPAA）？（10 分） 個人資料保護法與健康保險可攜性和責任法案的關係？（10 分）

跨網站腳本攻擊（Cross Site Script, XSS）與資料隱碼（SQL Injection）是目前政府 機關網頁應用程式最常受到的兩大威脅。試說明SQL Injection 與XSS 弱點發生原 因，並舉例說明測試方法以及其防範方式。（20 分）

網際網路： 何謂網際網路？（5 分） 何謂內部網路（Intranet）？（5 分） 何謂外部網路（Extranet）？（5 分）

請說明BS 25999 標準中，營運持續管理（Business Continuity Management, BCM） 實施的四個階段內容，包括：「了解組織」、「決定營運持續管理策略」、「發 展與執行營運持續管理作為」及「演練、維護與審查」。（20 分） 其中在「了解組織」中，最重要的就是以營運衝擊分析（Business Impact Analysis, BIA）與風險評鑑（Risk Assessments, RA）二大方法進行。試說明此二者實施目 的之不同。（5 分）

以知名公司為例，運用「競業禁止」維護資訊安全的案例。（10 分）

在資訊委外作業中，「委外服務水準的管控」被視為委外服務成敗的一個重要因素。 何謂服務水準協定（Service-Level Agreements, SLA）與操作水準協定（Operational Level Agreements, OLA）？（10 分） 雲端環境的委外比傳統委外更需注重那三個因素？（10 分）

解釋名詞：簡要說明下列名詞的意義。（每小題5 分，共20 分） 防火牆（Firewall） 數位化千禧年著作權法案（Digital Millennium Copyright Act） 數位簽章（Digital signature） 數位認證（Digital certificate）

智慧資本是企業與政府組織的寶貴資產，為了創造與保存這項資產，可以透過組織 管理與資訊科技的輔助而達成。 請說明組織在知識創造過程所扮演的角色與作為，並請舉例說明。（10 分） 資料挖掘（Data Mining）具備那些功能？並各舉一應用例。（10 分）

「文檔合一」為推動電子化政府之資訊管理的重要議題。以資訊系統設計者的角度， 請說明前端的「公文線上簽核」及後端的「電子檔案管理」應如何串接，方能達成 「文檔合一」的目標？（25 分）

如何經由麥可‧波特（Michael Porter）教授在「競爭策略」一書所提到的競爭分析架 構，來幫助企業找尋使用資訊和通訊科技（ICT）來建立企業競爭優勢的機會？試 舉例說明之。（30 分）

機密性（confidentiality）、完整性（integrity）、可取用性（availability）為資料的基 本安全需求。請分別說明達成傳輸資料之機密性、完整性、可取用性的實務作法。 （25 分）

一般組織獲得（acquire）應用系統的方式有那些？請簡要說明，並評估各種方案的 優缺點。（15 分）

通行密碼（password）為最常用的使用者識別機制之一。請說明通行密碼的使用原 則，並說明這些原則如何能兼顧通行密碼的安全強度及其使用方便性。（25 分）

何謂知識管理（Knowledge management）系統？系統的主要價值或目標為何？試從 知識管理的流程來說明知識管理系統應有的功能模組。（15 分）

管理資訊系統可能面臨「人為疏失」、「惡意行為」及「自然災害」等安全威脅來 源。請從「系統管理」的角度，說明防制「惡意行為」的實務作法。（25 分）

組織資訊安全的重要議題之一為近期內通過的個人資料保護法，請問該法中所指的 個人資料包含那些？試從資訊系統設計的角度，列舉至少四項企業防範觸犯個資法 應採取的措施。（20 分）

名詞解釋：請簡要說明下列名詞的意義。（每小題5 分，共20 分） CMM（capability maturity model） Saas（software as a service） private cloud CA（certificate authority）

IT 的治理（Information Technology Governance）日受矚目，而IT 若要 提供商業價值，必須落實在IT 每日運作的七個項目中，包括：「策略規 劃」、「財務管理」、「價值創新」、「系統開發」、「服務提供」、 「設施管理」、「人力資源管理」；並管理好「願景關係」、「創新關 係」及「廠商關係」。IT 部門在執行上述七項工作時，有些工作必須透 過上述三項關係相關人員來合作完成。 IT 部門的組織設計，就是來設定執行上述七項工作時，IT 人員與相關人 員的職權如何劃分。學理上，IT 部門組織設計原則有二：鼓勵IT 部 門與企業其他部門共同進化（co-evolution）及提供孕育IT 創新應用之 環境。 以下有兩種IT 部門的組織圖⑴合夥式組織結構（Partner Model）、⑵平 台式組織結構（Platform Model）： 供應廠商 執行長 高階管理團隊 資訊長 願景網路 事業單位 各事業單位的 資訊長 價值創新 系統開發 人力資源 管理 財務管理 策略規劃 設施管理 服務提供 尋找廠商之網絡 創新網路 ⑴合夥式組織結構 執行長 高階管理團隊 資訊長 願景網路 事業單位 事業單位 事業單位 IT業務經理 IT業務經理 IT業務經理 設 施 管 理 系 統 開 發 服 務 提 供 人 力 資 源 管 理 財 務 管 理 策 略 規 劃 尋找廠商之網絡 供應廠商 創新網路 創新網路 創新網路 ⑵平台式組織結構 試討論上述兩種組織結構： 在執行上述七項工作時有何不同？（5 分） 在管理上述三項關係時有何不同？（5 分） 各如何達成學理上所要求的兩項IT 組織設計原則？（5 分） 各適合於怎樣的企業組織？（5 分）

電子商務之交易安全，是推動電子商務的基本前提，目前用來保障線上 交易安全的主要技術之一即安全電子交易SET（Secure Electronic Transaction）。SET 能夠滿足付費與訂購資訊的保密性、確保所有傳輸資 料的完整性、確保每一個信用卡帳戶持卡人都是合法的、確保商家與金 融機構的關係、保護電子商務交易上的合法當事人及促成軟體與網路提 供者之間的合作等需求。 請列出SET 的特色，以滿足以上的需求。（10 分） 請描繪完下圖，以說明SET 的付款交易程序。（10 分） ? 1.確認電子商店之 合法性 持 卡 人 特 約 電 子 商 店 交貨 與發卡銀行 結算 ? 收 單 銀 行

全球熱門網站遭到入侵、攻擊的個案屢屢出現，造成了網站停擺、會員 資料被盜等重大影響，因此，企業愈來愈重視網路安全的議題與入侵偵 測系統（Intrusion Detection System，IDS）的建置。美國國家標準暨技術 機構（National Institute of Standards and Technology，NIST）即建議企業 需審慎選擇合適的偵測策略及解決方案。 試簡述入侵偵測的目的。（3 分） 入侵偵測的方法，可分為⑴異常統計偵測法（statistical anomaly detection），做法包括偵測門檻法與個人檔案基礎方法及⑵規則偵測法 （rule-based detection），做法包括偵測異常現象與分析辨識法，請分 別說明這兩個方法的基本原理與做法。（18 分） Internet Router Data Firewall IDS 偵測 網路型IDS 主要藉偵測器來蒐集資料，因此偵測器正確的配置極其重 要，根據NIST，偵測器可擺於四個點，包括防火牆外側、主要網路骨 幹、重要子網路及DMZ（Demilitarized Zone），以監測不同的攻擊。 網路圖與防火牆外側之配置點和功能分別如下圖、表。試以本圖為本， 標示其餘三個偵測器配置點（各一個點即可），並完成表格。（9 分） IDS 偵測器配置點 功 能 防火牆外側 可監測所有來自網際網路的攻 擊，有利網管人員分析與掌握