中華郵政股份有限公司

(1)

職階／甄選類科【代碼】：營運職／資通安全管理【N8805】

第四節／專業科目（1）：資訊系統及網路安全

＊入場通知書編號：_______________

注意：作答前應先檢查答案卷，測驗入場通知書編號、座位標籤、應試科目是否相符，如有不同應立即請監試人員處理。使用非本人答案卷作答者，該節不予計分。

本試卷為一張單面，非選擇題共 4 大題，請參考各題配分，共 100 分。

非選擇題限以藍、黑色鋼筆或原子筆於答案卷上採橫式作答，並請依標題指示之題號於各題指定作答區內作答。

請勿於答案卷上書寫姓名、入場通知書編號或與答案無關之任何文字或符號。

本項測驗僅得使用簡易型電子計算器(不具任何財務函數、工程函數、儲存程式、文數字編輯、

內建程式、外接插卡、攝(錄)影音、資料傳輸、通訊或類似功能)，且不得發出聲響。應考人如有下列情事扣該節成績 10 分，如再犯者該節不予計分。1.電子計算器發出聲響，經制止仍執意 續犯者。2.將不符規定之電子計算器置於桌面或使用，經制止仍執意續犯者。

答案卷務必繳回，未繳回者該節以零分計算。

第一題：

公開金鑰基礎建設(Public Key Infrastructure, PKI)是一組由硬體、軟體、參與者、管理政策與流程組成的基礎架構，其基礎建置中的一個重要角色就是憑證機構 (Certificate Authority, CA)。

（一）何謂 CA？並請說明 CA 在 PKI 中所提供的功能為何？【10 分】

（二） PKI 提供確保網路世界中所傳輸之資訊的機密性 (confidentiality) 、完整性 (integrity)、鑑定性(authentication)以及不可否認性(non-repudiation)的基礎。請分別說明何謂機密性，完整性，鑑定性以及不可否認性。【10 分】

（三）請說明分別透過哪些電腦密碼學技術，可以達成上述所提的機密性，完整性，鑑定性以及不可否認性（每一項寫出一個對應的電腦密碼學技術，並舉例一個此技術目前可用的演算法或工具。例如：技術是利用社交軟體，而社交軟體的代表工具則是 FB 或 line）【10 分】

第二題：

駭客攻擊的方式有許多種手法。請針對以下幾種攻擊手法進行說明：

（一）社交工程(Social Engineering)【5 分】

（二）阻斷服務攻擊(Denial of Service, DoS)【5 分】

（三）零時差攻擊(Zero-day Attack)【5 分】

（四）跨站腳本攻擊(Cross-Site Scripting, XSS)【5 分】

第三題：

對於資訊系統與網站的安全性防護，企業組織通常不只使用單一種類的資安相關工具來確保，而是同時採用「黑箱測試(Black-Box Testing)」和「白箱測試(White-Box Testing)」的混合式解決方案：

（一）請分別說明「黑箱測試」與「白箱測試」。【10 分】

（二）請分別寫出「黑箱測試」與「白箱測試」的優點與缺點。【20 分】

第四題：

「金融機構辦理電腦系統資訊安全評估辦法」中，律定電腦系統依其重要性應執行適當的資訊安全評估作業。請分別說明下列兩項資訊安全評估作業項目中的作業內容：1.客戶端應用程式檢測、2.安全設定檢視。【20 分】