資訊安全管理概論(二) 11-20題解析 吳玄玉

 11.電子簽章機制，無法提供下列何種安全保證? (A)機密性(Confidentiality) (B)完整性(Integrity) (C)不可否認性(Non-repudiation) (D)鑑別性(Authentication)

電子簽章使用公鑰加密的技術，來驗證數位資訊， 不是指將簽名掃描成數位圖像，更不是落款。 電子簽章又稱公鑰數位簽章、數位簽章。 電子簽章使用公鑰加密的技術，來驗證數位資訊， 不是指將簽名掃描成數位圖像，更不是落款。 電子簽章有： 鑑別性 數位簽章有助於確保簽署者即為簽署者本人。 完整性 數位簽章有助於確保內容在數位簽署之後，沒有經過變更或遭到竄改。 不可否認性 數位簽章有助於向各方證明所簽署內容的來源。

12.有關「對稱式密碼系統(Symmetric Cryptography)」，下列敍述何者錯誤? (A)亦稱為秘密金鑰密碼系統(Secret Key Cryptosystem) (B)是將機密資料文件(明文)以袐密金鑰經過加密的演算法進行加密， 　產出無法看懂的亂碼(密文) (C)每個使用者皆有兩把金鑰，一把是公開給所有人知道的，用以 　加密訊息，稱作公開金鑰(Public Key)，另一把金鑰則為私人所保 　管，用以解密訊息，稱為私密金鑰(Private Key) (D)常見的軟體有winrar 

密碼系統主要可分為三種類型: 「對稱式金鑰密碼系統」(Symmetric Key) 「非對稱式金鑰密碼系統」(Asymmetric Key) 「信託式密碼系統」(Key Escrow)

「對稱式金鑰密碼系統」(Symmetric Key) 又稱為「秘密金鑰系統」(Secret Key) 特色： 傳送與接收雙方使用相同之鍵值(金鑰)進行加解密，亦即雙方擁有相同之秘 密金鑰 優點： 加解密的速度較同等安全程度的非對稱金鑰密碼系統快 缺點： 在傳送加密訊息之前，傳送者與接收者雙方必須找到一個安全交換秘密金鑰 的方法 在與不同對象進行訊息傳送時也必須使用不同的秘密金鑰

非對稱式金鑰密碼系統(Asymmetric Key) 又稱為「公開金鑰系統」(Public Key) 特色： 在於傳送與接收雙方使用兩組不同之鍵值(金鑰)進行加解密，此兩組金鑰是成對的 其概念為每一個人均擁有一組公開金鑰(Public key)及一組私人金鑰(Private key)，訊 息傳送者必須使用接收者對外開放之公開金鑰對訊息進行加密 接收者取得訊息後，再使用其不對外洩露之私人金鑰進行解密 優點： 與對稱式金鑰密碼系統相較之下，免除了必須找到安全交換秘密金鑰方式的考量 所有傳送者對某特定接收者傳遞訊息時只需使用一致的接收者公開金鑰即可，而不像對稱 式金鑰密碼系統，必須分別持有不同與接收者的秘密金鑰方能進行加密 缺點： 非對稱式金鑰系統缺點在於較同等安全程度的對稱金鑰密碼系統慢

信託金鑰密碼系統(Key Escrow) 美國政府於1993年宣佈一種一般人民可以享受秘密通訊，但政府能在必 要時對於可疑的秘密通訊加以監聽的密碼系統，即稱為「信託金鑰式密 碼系統」 「信託金鑰密碼系統」最初是以抑制資訊犯罪為目的，逐漸發展為「金 鑰回復密碼系統」 主要使用「第三託管加密標準」，其目的從抑制資訊犯罪轉移至商業用 途，使一般密碼系統使用者在其私人金鑰遺失時，不至於失去以該金鑰 加密的所有資訊： 在此系統中必須有一個公正第三者－「金鑰保管回復中心」保管備份 金鑰，在必要時可以進行金鑰回復 「金鑰保管回復中心」必須採用嚴密之內部安全控制機制，以避免其 所保管的金鑰因監守自盜而外洩， 透過「秘密共用」的方式，可將所保管的每一個金鑰分割成數個部份， 再分別由不同的系統或人員保管，在取用金鑰前，必須彙整所有切割 的分段金鑰方能得到完整的金鑰

13.在ISMS的建立及規劃過程中，最重要的第一步是： (A)辨認及分析資訊資產的相關風險 (B)決定適當的保護措施及控制方法 (C)界定範圍 (D)減低風險之等級及其可能之影響 

14.設定存取控制政策時，應考慮下列哪些要點?(複選)  (A)個別應用系統之安全需求 (B)原則開放，例外禁止 (C)不同資訊系統或網路間之安全政策應具備差異性 (D)應定期審查使用者權限 

存取控制查核重點 存取控制政策及管理文件 依職能分工原則，適當授與資訊系統存取權限 是否定期審查存取權限 特別權限之管理及監控 資訊系統是否設定帳號密碼控管功能 防火牆是否設定適當之安全管理與控制程序 對於離職或異動員工帳號，是否立即採取相對之控管 措施 網路中繼節點設備（路由設備）是否列入控管 系統公用程式是否訂有相關控管程序 對高風險應用系統之管制作業

15.內部稽核係屬於資安管理推動之「規劃-執行-查核-行動(Plan-Do-Check-Act，PDCA)」流程模型中之何種活動? (A)Plan & Do (B)Do (C)Check (D)Act & Do 

16.下列哪些狀況應採取矯正與預防措施，以持續改進資訊安全管理系統?(複選)  (A)內部稽核發現之缺失 (B)資安事件 (C)管理審查未達目標項目 (D)不可接受之風險  

矯正預防進行時機： 當發現資訊作業過程中存在（或潛在）影響本系統資 訊安全的事件，必須進行矯正（或預防）措施。 對於內/外部稽核報告所列建議改善事項，應於管理審 查會議定期提出檢討矯正預防措施之有效性。 風險評鑑之後的風險改善計畫需要進行矯正和預防措 施。

17.資訊安全管理系統重要元素，包括：(複選)  (A)保護資訊資產 (B)資訊安全風險評估與處理 (C)資訊儲存及呈現的形式多元 (D)瞭解資訊安全管理的標準  

 18.為何需要資訊安全管理? (A)資訊安全攸關能否維繫競爭能力、現金流量、獲利能力、適法 性及商業形象 (B)資訊安全管理主要針對組織內所有員工及組織外的員工 (C)火災或水災等天然的災害除外不納入資訊安全，其他人為攻擊 才是資訊安全要注意的重點 (D)資訊安全系統並無太多安全控管的概念

資訊安全的重要性 資訊安全的種類 電腦犯罪類型有以下幾類： 隨著電腦運用的普及與網際網路的蓬勃發展，已帶給人類急速而巨大的衝擊，也改變了人類生活模式。 然而隨著資訊便利而來的則是令人擔憂的資訊安全問題，因此，我們必須做好資訊安全防護措施，唯有 在確保資訊安全之前提下享受資訊便利，才是面對資訊世紀來臨的正確態度，進而迎接未來更大的挑戰 與衝擊。 資訊安全的種類 硬體安全：包含硬體環境控制及人為管理控制等。 軟體安全：包含資料安全、程式安全及通訊安全等 個人安全防護：包含人身安全、個人隱私權安全、通訊（網路）安全等。 電腦犯罪類型有以下幾類： 資料竄改：利用一些非法的手段來改變電腦系統中重要的資料。 特洛伊木馬：是指在電腦程式中擅加一些指令，而使得此程式不但能正常工作，而且還能 執行一些未經授權的作業。 邏輯炸彈：是指一個程式或片段程式，它們可以被設計成隨時或在某個特定的時刻來執行 某些為授權的行為。 電腦病毒：通常是經由網路下載程式的方式或磁碟，所傳輸的一段破壞性的程式。 電腦駭客：是指人們因興趣而利用電腦或終端機強行突破某些電腦系統的安全管制措施的 行為。 電腦蟑螂：專門在網路上登記知名企業的名稱作為網址，然後再以高價向企業兜售的人。 軟體盜版：凡是未經過授權的複製或使用電腦程式都算構成犯罪。 盜拷電話：是指將欺瞞手機的擁有人和電話公司，不花分毫的使用電話。

 19.下列何者為資訊安全的重要觀念? (A)不用電腦處理資料，就無資訊安全問題 (B)資安只要有經費投入就可以 (C)使用適當的成本，來保護資訊資產 (D)追求一百分的安全性 

Winggy：『沒有不安全的系統，只有不安全的人』 錯誤認知 防火牆加愈多層愈安全 買了昂貴的入侵偵測或是入侵防禦系統，就高枕無憂 防火牆開愈少 port， 就不會被入侵 在 Switch 下不會被竊廳 防毒軟體沒有通知，就是沒有病毒 所謂「道高一尺魔高一丈」 即使裝了防火牆，各種防毒軟體，或是各種防禦工 具，還是沒有 100% 完全防禦。因為黑客也在試著 跳過各種入侵偵測系統、找出新的入侵手法，入侵 您的系統。 資訊安全不是你我的責任，是每個人的責任。

20.讓沒有進入權限的人或系統能够未經授權使用他人資源，其目的在破壞資訊的何種性質?  (A)保密性 (B)完整性 (C)可用性 (D)否認性