資訊管理與資通安全概要考古題｜歷屆國考試題彙整

請說明何謂零信任安全模型（Zero Trust Security Model）？並請條列說 明該模型的5 項基本原則。（25 分）

請分析ChatGPT在顧客關係管理中（CRM）的應用與影響。（10分）

請說明身分驗證（Authentication）和授權（Authorization）的區別，並各 提供身分驗證和授權的兩個實際例子。（25 分）

請在手搖飲料產業中選擇一家手搖飲料企業，進行波特（Porter）競爭五 力分析。（20分）

請說明雲端運算（Cloud Computing）對資訊管理的影響，以及在雲端環 境中如何確保數據的安全和法令遵循。（25 分）

請闡述企業如何運用雲端技術？（20分）

請說明數據治理（Data Governance）的概念，並論述其在組織中的重要 性和好處。（25 分）

請回答下列各機關根據資通安全管理法施行細則委外辦理資通系統之相 關問題： 請舉出受託者環境、人員與複委託相關要求的條文。（12分） 請舉出客製化資通系統開發、受託者/委託機關知悉資通安全事件與委 託關係終止相關要求的條文。（8分）

請回答下列網路安全的相關問題：（每小題15分，共30分） 請說明變臉詐騙與常見手法。 請說明深偽技術（Deepfake）與核身（核對身分）注意事項。

請闡述資訊管理職場生涯的職種，包括資訊長（Chief Information Officer, CIO）、知識長（Chief Knowledge Officer, CKO）以及資訊安全長（Chief Security Information Officer, CSIO）的工作性質與所需具備的能力或經驗。 （20 分）

請闡述下列名詞的意涵：工作分解結構（Work Breakdown Structure）、組 織分解結構（Organization Breakdown Structure）、工作包（Workpackage） 以及工作項目（Activity），並且說明它們的關係。（20 分）

有一網路設備的網路設定如下：IP 位址為167.11.12.88、網路遮罩為 255.255.255.0。針對此網路設備的子網路，請回答下列問題： （每小題5 分，共10 分） 子網路ID（Subnet ID）為何？ 常用的預設閘道器的IP 位址為何？

密碼學是資通安全管理者必須知曉的基本知識，請回答下列問題： 傳統加密方法可分為取代法（Substitution）以及換位法（Transposition）， 請問著名的凱薩（Caesar）加密法是屬於那一種？回答時須附上正確 的理由才予以計分。（5 分） 請比較對稱式密鑰方法和非對稱式密鑰方法的特性與優缺點。（10 分） SSL（Secure Sockets Layer）安全協定是只利用對稱式密鑰方法，還是 只利用非對稱式密鑰方法或是兩種方法都使用？回答時須附上正確 的理由才予以計分。（10 分）

防火牆（Firewall）是現代企業重要的安全防護工具，請回答下列問題： 防火牆的工作原理包括封包過濾式（packet filtering）以及應用程式代 理（application proxy）兩種方法，請說明這兩種方法的特性與優缺點。 （10 分） 一般公司通常將web 伺服器放在防火牆的DMZ（Demilitarized Zone） 區，其理由為何？請詳細說明之。（10 分） 近年來一種稱為WAF（Web Application Firewall）的新型態防火牆受 到重視，請說明WAF 的功能及特性。（5 分）

請回答下列資訊安全問題：（每小題15 分，共30 分） 請說明變臉詐騙（Business Email Compromise），並提出預防方式。 請說明勒索病毒，並提出預防方式。

請回答下列資訊安全弱點相關問題：（每小題10 分，共20 分） 請說明OWASP TOP 10 用途。 請說明Injection 弱點與影響。

根據行政院國家資通安全會報技術服務中心之資通系統委外開發RFP 資安需求範本，請列舉並說明兩項系統與服務獲得時所需的安全需求。 （30 分）

請說明資料庫交易要符合那四個特性，並敘述其意涵。（20 分）

為保障原創者的權益和避免侵權行為： 何謂資訊倫理？（10分） 智慧財產權主要有那三種？試說明之？（15分）

隨著行動裝置和無線網路的普及化： 何謂智慧型手機的App（Application）？請敘述不同的作業系統，有何 種自己專屬的App銷售平台？（10分） 在不同的作業系統下，說明如何開發App？（5分） Line是即時通訊軟體的一種，除了Line外，還有那些即時通訊軟體？（5分） 他們有那些共同的功能（至少3項）？（5分）

開發資訊系統可因條件不同，採用不同的方案，說明雛型法的設計流程及 其優缺點。（25分）

隨著網路的發達，各種網路犯罪手法也越來越多元，其中網路釣魚 （Phishing）即為透過網路來騙取個人資料的方式之一。說明三種常用的 網路釣魚手法？以及如何防範網路釣魚？（25分）

請說明資料（Data）及資訊（Information）的定義，並說明如何評估資 料品質（Data Quality）？（25 分）

請分別說明自由軟體（Free Software）與開源軟體（Open Source Software） 的定義及特性，並比較它們之間的差異性。（25 分）

假設你是某機關的網管監控人員，當你發現系統網站突然流量激 增，系統服務受到重大影響，初步判斷可能遭受分散式阻斷服務攻 擊（Distributed Denial of Service，簡稱DDoS），請問你該如何處置？ （25 分）

何謂電子簽章（Electronic Signature）？經由密碼學演算法（Cryptographic Algorithm）產生的電子簽章將具備那些特性？（25 分）

機器學習（Machine Learning）是人工智慧（Artificial Intelligence）的一個分支；深 度學習（Deep Learning）則是機器學習的一個分支。 請說明深度學習與機器學習的差異性。（10 分） 請說明深度學習模型之基本概念。（10 分） 深度學習的辨識效能仰賴大量且有效的訓練資料集。請說明為何深度學習的辨識 效能較佳。（10 分）

因應巨量資料的來臨，資料不僅在數量上變多，而且日益複雜，資料倉儲系統面臨 許多挑戰與改變。 請說明資料倉儲系統的主要功能。（10 分） 面對巨量資料收集與分析，請說明巨量資料處理所需之主要技術與硬體架構。（10 分）

勒索軟體（Ransomware）是惡意軟體的一種，卻造成組織非常大的威脅。 請說明勒索軟體之惡意行為，並舉例說明遭受勒索軟體攻擊之原因。（10 分） 請說明勒索軟體運用的密碼學技術。（10 分） 請說明如何預防此類攻擊。（10 分）

安全資訊與事件管理（Security Information and Event Management，簡稱SIEM）乃結 合安全資訊管理（Security Information Management，簡稱SIM）與資安事件管理 （Security Event Management，SEM）之整合系統，提供管理者整合組織企業之資訊 安全管理所需資訊與管理功能。 請說明安全資訊與事件管理系統（SIEM）之基本目標與功能。（10 分） 請說明組織採用SIEM 系統時，應考量那些成本？（10 分）

請回答下列有關資料探勘問題： 資料探勘有那幾種模型？請說明每個模型。（15 分） 假設老闆要您分析顧客消費行為，您將會採取那種模型？說明其原因。（10 分）

請回答下列有關電子商務方面問題： 請說明搜尋引擎行銷（Search Engine Marketing, SEM）。（10 分） 智慧型手機以及行動上網的普及，使得電子商務的經營模式除了傳統的B2B、 B2C、C2B、C2C 之外，更產生O2O 的模式，請說明何謂O2O，並舉出兩個應用 案例。（15 分）

區塊鏈被視為被看好的金融科技技術，請說明區塊鏈是什麼？區塊鏈具有那些特色？ （25 分）

請說明弱點掃描與滲透測試的差異，並試說明OWASP TOP 10 2013 中的五項，再針 對OWASP TOP 10 2013 的第一名說明應用系統安全開發方式。（25 分）

數位化企業常包括不同的資訊系統，請寫出SCM、ERP、CRM、PLM 之中文及英文 全名，（8 分）並解釋這四種系統之功能。（12 分）

多工技術（Multiplex）主要原理是作為控制頻寬資源，使多人共同使用一條資訊通 道而不互相干擾，請舉出三種常見的多工技術並說明之。（30 分）

何謂供應鏈上之長鞭效應（Bullwhip Effect）？（10 分）如何解決長鞭效應在供應鏈 上可能造成的問題？（15 分）

在進行異地備援架構的設計時，所面臨最大的問題，通常是成本的考量。雲端災後 復原服務（Disaster Recovery as a Service, DRaaS）是近年來提供異地備援的一種方 式，請說明何謂雲端災後復原服務？（10 分）異地備援的模式可分為冷備援站（Cold Backup Site）、暖備援站（Warm Backup Site）及熱備援站（Hot Backup Site），請比 較傳統自建備援機房的異地備援方式與雲端災後復原服務，在這三種異地備援模式 上的成本差異？（15 分）

企業透過「顧客關係管理（CRM）系統」來蒐集與分析消費者的資訊，請條列並說 明所需之資訊科技。（25 分）

Tim O'Reilly 提出Web 2.0 有「七項關鍵原則（Seven Principles of Web 2.0）」，請 舉例並說明其中五項。（25 分）

知識具有什麼特性？根據知識的特性，請列舉三種現代常見的工作型態，說明為何 企業需要推行「知識管理（Knowledge Management）」的理由。（25 分）

「認證（Authentication）」與「存取控制」有何關係？何謂「生物特徵認證（Biometric Authentication）」？使用生物特徵認證技術有那些型態的「錯誤比率」？錯誤比率 與認證設備的「敏感度」有何關係？（25 分）

網際網路的快速擴展造就了電子商務的蓬勃發展，許多傳統產業也因應電子商務的 發展而變革，請比較網路書店與傳統書店的優缺點。網路書店是否存在傳統書店所 沒有的威脅？（25 分）

IoT 的中文及英文名稱為何？它是一種結合資通領域多項技術的科技平台，請問它 與那些技術有關？（25 分）

著名的策略理論專家麥克．波特（Michael Porter）解釋與分析企業競爭的五大壓力 來源，由於網際網路所形成的全球化網路經濟體系，企業所面對的五大壓力來源與 特質亦產生了很大的變化。請以電子商務產業為例，說明所面臨新的五大競爭壓力。 （25 分）

資訊安全管理系統（Information Security Management System, ISMS），目前最普遍 被採用的國際標準規範（Specification）為何？（請註明最新版本年代）。當企業或 組織導入資訊安全管理系統時，一個很重要的作業是對企業或組織內的重要資產 進行風險評鑑（Risk Assessment），請問這裡指的資產可能包括那些？除了硬體 （Hardware）、軟體（Software）之外，請額外再列舉出四項可能的資產。（25 分）