資訊管理與資通安全研究考古題｜歷屆國考試題彙整

1986 年R.O. Mason 提出PAPA 模式，被廣為採納做為資訊倫理議題的 重要框架。請詳述PAPA 模式的具體內容。（25 分）

請詳述企業組織之資訊委外（Outsourcing）的決策因素，並從經濟面、 管理面、技術面及策略面分別說明資訊委外的利益。（25 分）

隨著美國國家標準及技術研究所（National Institute of Standards and Technology, 簡稱NIST）逐步公布後量子密碼演算法（Post Quantum Cryptography, 簡稱PQC）標準，全球各界正加速建立後量子密碼遷移指 引（PQC Migration Guideline）。請詳述後量子密碼遷移指引應涵蓋的具 體內容。（25 分）

使用者身分識別（User Identification）及設備鑑別（Device Authentication） 是建立零信任架構（Zero Trust Architecture）的重要基礎。 請說明至少3 種使用者身分識別方法。（15 分） 請說明至少2 種設備鑑別方法。（10 分）

紅隊演練（Red Team Assessment）是一個機構用來發覺本身存在的資安 漏洞的方式之一，請說明紅隊演練中，紅隊、藍隊、紫隊各自的目標， 這三者如何合作來達到演練的效果，以及機構可以有什麼做法來防止或 限縮紅隊演練的進行所造成的資安危害？（25 分）

請試述零時差漏洞（zero-day vulnerability）的定義以及為何零時差漏洞 會層出不窮？零時差攻擊（zero-day attack）與零時差漏洞是否有關？對 應零時差攻擊，有效的資安防護手段為何？（25 分）

近年來供應鏈安全成為資安界的熱門討論議題，請試從軟體產品在技術 面以及社交工程兩個面向的資安風險著眼，申論供應鏈安全為何應被重 視；亦請說明SBOM（Software Bill of Material）在軟體產品供應鏈管理 的重要性。（25 分）

資訊安全三要素是機密性、完整性與可用性，然而若考量到資訊的使用 者，則尚可加入可鑑別性（Authenticity）與可歸責性（Accountability）。 請說明這兩個性質為何？兩者間是否有關？並舉例說明兩者的必要性。 （25 分）

「行政院及所屬機關（構）使用生成式AI 參考指引」，其中第三點：「製 作機密文書應由業務承辦人親自撰寫，禁止使用生成式AI。」請就資安 保密、責任歸屬、技術風險、法律合規等面向說明應如此限制的原因？ （24 分）

「零信任架構」（Zero Trust Architecture）是一種概念，請用最簡單白話 的方式或比喻描述這個概念究竟是什麼？實施重點有身分鑑別、設備鑑 別及信任推斷三大關鍵技術，請加以說明？（24 分）

容器和虛擬主機是兩種不同的虛擬化技術，請說明它們的運作上的隔離 程度、資源需求、啟動速度、部署管理等差異？（28 分）

請分別針對機密性、完整性、可用性，舉例說明有那些惡意行為或攻擊 會造成這三類危害？（24 分）

請說明數位轉型（Digital Transformation）的定義，並詳述推動數位轉型 時可能面臨的資安風險及相對應的防護措施。（25 分）

請分別詳述監督式機器學習（Supervised Machine Learning）及非監督式 機器學習（Unsupervised Machine Learning）的運作原理，並說明具體的 應用實例。（25 分）

依據我國政府資訊公開法的相關規定，政府機關對於民眾欲申請使用開 放資料時，請說明在那些情況之下應加以限制或不予提供。（25 分）

請分別詳述利用靜態分析（Static Analysis）及動態分析（Dynamic Analysis）進行程式碼檢測（Code Testing）的實務做法並比較這兩種檢 測方式的優缺點。（25 分）

經常可見使用網路表單進行活動報名或資料調查，但曾經有多起案例因 為表單設定錯誤導致使用者可以查閱其他人填寫的資料。面對這樣的情 況，對於使用網路表單時的資料蒐集原則、存取控制設定、傳輸保護方 式、資料儲存安全、資料保存期限等五項應教育宣導表單設計管理者注 意那些重點？（25 分）

在資通安全責任等級分級辦法規定中級系統的帳號管理及身分驗證管 理有幾項必要的設計，像是帳戶鎖定機制、防範自動化程式登入、密碼 重設機制、閒置帳號禁用、最小權限原則，請詳述這五項機制之執行 邏輯應如何？（25 分）

資通系統開發過程安全系統發展生命週期（SSDLC）的五個階段依序 為何？（5 分） 而開發、測試、正式三個作業環境應如何進行作業與部署？（10 分） 在最後一個階段的正式作業環境要特別加強管理的工作有那些？（10 分）

請說明區塊鏈的技術原理。（10 分） 以區塊鏈實施書證電子化（如畢業證書、檢定證照等）在證書保存、 真偽判斷、查證成本等三方面相較於紙本證書的優點是什麼？（15 分）

面臨工業4.0的來臨，國家基礎建設與工業控制系統也需要隨之因應，以 便持續運作。請說明營運技術（Operational Technology，簡稱OT）與資 訊科技（Information Technology，簡稱IT）之差異性、工業4.0可能帶來 組織與企業那些風險，以及如何降低這些風險。（25分）

某企業收集客戶資料，並開發一套採用卷積神經網路（convolutional neural network，簡稱CNN）模型，預測客戶是否會購買其產品。此模型 採用10折交叉驗證（10-fold cross validation），宣稱其預測準確率 （accuracy）為90%。請說明何謂準確率？有那些效能評量可以評估此模 型之效能？又那些方式可改善此預測效能？（25分）

隨著資訊科技的發展，「資訊戰」成為現今戰爭主流。資訊緊急應變能力 與網路基礎設施是維護國家經濟、國防安全、政府效率的必要條件。新 一代資訊戰，利用新興資訊科技，進行破壞。秉承資安即國安，組織與 企業也應研擬因應之道，以確保我國家安全。請說明如何利用新興科技 進行資訊戰，並說明資訊安全因應之策。（25分）

因疫情關係，許多組織企業鼓勵員工在家上班，利用VPN 連回公司處理 業務，因此目錄伺服器（Directory Server）管理變得格外重要。請說明因 應此政策之改變，如何做好企業內部網路與目錄伺服器之資訊安全管 理，以保護好組織重要資產，避免遭受攻擊。（25分）

ISO/IEC 27001 資訊安全管理系統（ISMS ：Information Security Management System）提供了一個流程導向的管理模式，透過「規劃—執 行—檢查—行動（Plan-Do-Check-Act, PDCA）」四個程序來建立、實施、 監控、審查、維護及改進組織的資訊安全管理系統，請以電子郵件安全 管理為例，說明這四個程序的實施內容。（25 分）

資料備份依其作業方式的不同可分為「完全備份」、「差異備份」及「增 量備份」，請說明這三種備份的作業方式，並比較其優缺點。（25 分）

「資料遮罩」（Data Masking）是常見的去識別化技術，可使個人資料不 再具有直接或間接識別性，資料遮罩技術又可分為「靜態資料遮罩」及 「動態資料遮罩」，請說明這兩種資料遮罩技術的運作方式，並比較兩 者技術上的差異及優缺點。（25 分）

安全的軟體開發生命週期（SSDLC：Secure Software Development Life Cycle）係指發展一套安全軟體的程序，請說明安全的軟體開發生命週期 包含那些階段，各階段的順序及其主要工作內容為何？並解釋其與傳統 軟體開發生命週期間的差異。（25 分）

近年來資安事件頻傳，為強化各機關對資安事件應變能力，需明確訂定資安事件應 變作業程序，其中應變作業應含事前安全防護、事中緊急應變及事後復原作業，請 列舉五項有關事中緊急應變作業的具體措施。（25 分）

為使執行資安事件調查時，能有效保全及運用數位證據，確保數位證據的同一性， 請說明人員於執行數位證據識別、蒐集、擷取、封緘及運送，五個作業程序的內容 為何？（25 分）

請說明如何利用公開金鑰密碼系統來達到下列四種資訊安全控制需求：機密性 （Confidentiality）、身分鑑別（Authentication）、完整性（Integrity）與不可否認性 （Non-repudiation）。（25 分）

區塊鏈被視為是金融科技（Fintech）與物聯網（IoT）等產業不可或缺的應用趨勢， 請說明區塊鏈技術中如何利用單向雜湊函數（One-way Hash Function）等技術來達到 不可竄改及去中心化等特性？（25 分）

在2016 年英國開放知識基金會的普查結果，臺灣因為積極推動那種資訊政策而 在全球122 個國家從兩年前35 名成為排名世界第一？除了寫出該名詞並請加以 定義。（10 分） 承上小題，國家發展委員會在2015 年提出該政策在推動中有一個重要的問題，是 機關的主動性及資料價值認知度仍不足，請就這部分舉例說明已知的較佳成果或 可行之推動方式。（15 分）

試說明雲端服務相關的幾個重要概念：VM、CDN、BaaS、XaaS、RESTful，若能具 體舉例更佳。（25 分）

政府機關的資安分級制度的A 級單位在2016 年底都必須將全部核心資訊系統導入 資安管理制度（ISMS），此外每年至少辦理二次網站安全弱點檢測，也必須至少辦 理一次系統滲透測試。請說明資訊安全的C.I.A.特性是什麼？（15 分） 承上小題，弱點檢測與滲透測試之差異為何？（10 分）

FinTECH 是近年相當重視的觀念，請定義何謂FinTECH？（10 分） 承上小題，這類的創新推動在各國會進行Regulatory Sandbox 配套措施，請說明其 意義。（15 分）

請說明何謂資料超市（Data Mart）及資料倉儲（Data Warehouse）？並請詳細比較 資料超市、資料倉儲及資料庫。（25 分）

請說明何謂OLTP（線上交易處理）及OLAP（線上分析處理）？並請列出及說明 五種資料探勘（Data Mining）的分析技術。（25 分）

請回答下列有關分散式阻斷服務（Distributed Denial of Service, DDoS）的問題： 分散式阻斷服務攻擊造成服務中斷的主要兩項原因為何？（10 分） 請說明分散式反射阻斷服務（Distributed Reflection Denial of Service, DRDoS）原 理，並舉一實際案例說明。（15 分）

請回答下列有關零時差（Zero-day）漏洞攻擊及進階持續滲透攻擊（Advanced Persistent Threat, APT）的問題： 請說明何謂零時差漏洞攻擊。（10 分） 請說明何謂進階持續滲透攻擊，並列舉出其兩項特色。（15 分）

系統發展生命週期（System Development Life Cycle, SDLC）包括系統規劃（System Planning）、系統分析 （System Analysis）、系統評估（System Evaluation）、系統 設計（System Design）、系統實作（System Implementation）等階段，請說明各階 段的工作內容。（25 分）

請說明雲端計算（Cloud Computing）環境所面臨的資通安全風險及相對應的解決方案。 （25 分）

為賦予電子簽章及電子文件具有法律地位，參考聯合國及歐盟等國際組織的立法原 則，請說明我國電子簽章法的立法原則。（25 分）

防火牆（Firewall）可用於檢驗進出內外網路的封包。請分別說明常見的封包過濾 （Packet Filtering）、狀態檢視（Stateful Inspection）、應用層閘道（Application Level Gateway）、網路位址轉譯（Network Address Translation, NAT）等四種類型防 火牆技術的運作原理。（25 分）

試回答下列有關網路安全問題：（每小題5 分，共20 分） SSL是設計以提供可靠的安全性網際網路傳輸服務，其所使用的傳輸層通訊協定 為何？ 預防資料洩漏是個人資料的保護方法之一，試問常用的兩種預防資料洩漏的方式 為何？ 網際網路上網頁（Web pages）互相傳輸之安全性標準通訊協定為何？ 網際網路層（Internet Layer）主要的安全性通訊協定為何？

試回答下列有關網際網路（Internet）問題：（每小題10 分，共20 分） 試定義DHCP，並說明其功能。 試定義DNS，並列出DNS 四大主要的元件。

TCP/IP 網路中，試定義SNMP，另SNMP 於傳輸層中所使用的通訊協定為何？請 說明理由。（15 分）

試回答下列有關雲端運算（Cloud Computing）問題： 試說明Intranet Computing 與Cloud Computing 兩種之間的差異性。（10 分） 試列出雲端Hadoop 平台三大主要的元件並說明每一元件之功能。（15 分）

軟體再利用（Software Reuse）是較新的軟體工程方法，試問軟體再利用有那些優點 與缺點（分別列出三項）？（20 分）

何謂雲端運算（Cloud Computing）？雲端運算的概念通常可以衍生出那四種類型的 服務？請說明之。（25 分）

若要建置一套符合組織期望的資訊安全管理系統（Information Security Management System, ISMS）以強化組織資訊安全的能力，請列出建置ISMS 的步驟，並加以說 明。（25 分）

何謂阻斷服務攻擊（DoS: Denial of Service Attack）？請列舉四種常見駭客（Hacker） 對政府網站進行DoS 攻擊方式，並簡述之。（25 分）

資訊人員建置管理資訊系統，以提升政府效能。請列舉五種建置管理資訊系統方法， 並簡述其優缺點。（25 分）

依據Laudon & Laudon 所述欲成為一位卓越的資訊管理人員，其應接受技術理論層 面方法（technical approach）及行為層面方法（behavioral approach）的訓練，試述 各approach 所強調之基礎或問題為何？其應包含那些科學或學科？並分別敘述各科 學或學科中之研究或學習重點。（30 分）

試述利用資訊科技可使組織達到那四種不同的結構性改變？此四種結構性改變對組 織之意義為何？（20 分）

試述資訊安全與控制的組織價值？（25 分）

資訊系統控制分為一般控制（general controls）與應用控制（application controls）， 試分別說明何謂一般控制與應用控制？並分別解釋說明其所包含之控制。（25 分）

人事資訊系統可讓人事部門的行政人員透過身分鑑別機制進入系統做人事資料的維 護及管理，人事資料中有部分資料如薪資與考績資料屬敏感性資料，必須確保其機 密性，若你是此部門的行政人員，請就此業務內容闡述你的資訊安全風險處理策略 為何？（25 分）

電腦資料是企業的重要的資產，故企業都會將資料做定期備份（Backup）處理，試 問有那幾種不同型態的資料備份策略？請以同地及異地備援（Disaster Recovery）解 釋之，並說明其優缺點。（25 分）

請闡述數位簽章技術的概念為何？以及認證中心（Certification Authority）和數位憑 證與數位簽章間的關係為何？（25 分）

請以使用者觀點、系統觀點及資料觀點分別來闡述資訊系統中所使用的安全技術有 那些？並說明這些安全技術能滿足資訊系統的那些安全需求？（25 分）

請簡述何謂電子化。試用表格以建置方式、企業差異、需求面、發展方向、優勢、 思考方向與網路角色來比較企業電子化和電子化企業的差異。請根據差異討論導入 企業資源規劃系統（ERP）屬於那一種類？如一企業為了電子化導入ERP 系統，請 問應進行那些考量？（25 分）

為有效抵擋來自系統內外部的攻擊，大部分公司都配有入侵偵測系統、防火牆、防 毒軟體和誘捕系統，請簡述四者的主要功能，並繪出四者的配置圖。（25 分）

陸續有公司與政府單位為了符合資訊安全的規範，建立了資訊安全管理系統。試問 資訊安全管理系統由那個標準所規範建置指引？請由PDCA 來說明如何讓資訊安全 管理系統持續營運。並請說明ISO 17799 與ISO 27001 之差異。（25 分）

學者Porter 對策略的定義為因應環境變化的手段或方法。現有Porter 的五力分析和 SWOT 分析兩種工具，應以如何的順序來對策略進行分析？請簡述之。請利用上述 工具討論自身已搭載Inter CULV 核心的輕薄筆記型電腦進入市場之可行性（假設已 有CULV 技術）。（25 分）