中華郵政股份有限公司 110 年職階人員甄試試題
職階/甄選類科【代碼】:專業職(一)/資安與網路管理(1)【S0206】、資安與網路管理(2)【S0207】
第一節/專業科目(1):資訊系統安全管理概要
*入場通知書編號:_______________
注意:作答前先檢查答案卷,測驗入場通知書編號、座位標籤、應試科目等是否相符,如有不同應立即 請監試人員處理。使用非本人答案卷作答者,該節不予計分。
本試卷為一張單面,非選擇題共 4 大題,每題 25 分,共 100 分。
非選擇題限以藍、黑色鋼筆或原子筆於答案卷上採橫式作答,並請依標題指示之題號於各題指定 作答區內作答。
請勿於答案卷上書寫姓名、入場通知書編號或與答案無關之任何文字或符號。
本項測驗僅得使用簡易型電子計算器(不具任何財務函數、工程函數、儲存程式、文數字編輯、內 建程式、外接插卡、攝(錄)影音、資料傳輸、通訊或類似功能),且不得發出聲響。應考人如有下 列情事扣該節成績 10 分,如再犯者該節不予計分。1.電子計算器發出聲響,經制止仍執意續犯 者。2.將不符規定之電子計算器置於桌面或使用,經制止仍執意續犯者。
答案卷務必繳回,未繳回者該節以零分計算。
第一題:
請回答下列問題:
(一)遭受勒索軟體攻擊事件,例如中油、台塑、力成半導體等,駭客集團的狩獵目標 已經逐漸轉向企業端,不僅僅是製造業領域而已,未來勢必針對營運損失影響性 大的目標為勒索對象。對此資安問題,資訊人(IT)有何省思?【4 分】
(二)(1)請簡述容錯式磁碟陣列(RAID, Redundant Array of Independent Disks)。【4 分】
(2) RAID 5 採用分散式奇偶校驗資料(disrributed parity)技術,具有何種容錯的能 力?【4 分】
(三)(1)何謂 Web Application Firewall(WAF)?【4 分】
(2)網站需要 WAF 嗎?【4 分】
(四)就網際網路傳輸層協定 TCP 與 UDP 而言,此兩種傳輸何者較可靠(reliable)?請 說明原因。【5 分】
第二題:
請回答下列問題:
(一)請寫出 HTTPS 協定之英文全名,並解釋 HTTPS 和 HTTP 之差異,以及和 SSL 的關係。【6 分】
(二)何謂單一登入(Single Sign-On,SSO)?使用單一登錄的好處有哪些?請以安全 性方面說明。【6 分】
(三)請說明 IPsec VPN 的作法。【6 分】
(四)開放網路軟體安全計畫,簡稱 OWASP(Open Web Application Security Project),其中當屬最知名的 OWASP Top 10(OWASP 十大網路應用系統安 全弱點)。2020 年 OWASP 十大資安風險中,例:Cross Site Scripting(XSS)、
Insecure Direct Object Reference 、 Injection Flaws 、 Failure to Restrict URL Access、Broken Authentication and Session Management 及 Broken Authentication 等等,何者受到的攻擊風險最高?其中提到的 Injection Flaws 為何?有何建議的控制措施?【7 分】
第三題:
為了保持電腦系統安全,請分別簡述此五項之安全管理。【25 分】。
(一)作業程序。
(二)系統規劃。
(三)軟體控制。
(四)日常作業。
(五)電腦媒體。
第四題:
請回答下列問題:
(一)請說明安全軟體開發生命週期(Secure Software Development Life Cycle)的特 性。【5 分】
(二)承第(一)小題,請簡述各階段的重點活動。【20 分】