資通安全(含社交工程)防護 解答
以下為「資通安全(含社交工程)防護」e等公務園+測驗解答,共 15 題,供公務人員學習參考。
資通安全管理法資安防護要求包含:
- 符合其所屬資通安全責任等級之要求事項
- 發生資通安全事應依規定於1個小時內完成通報,並依事件等級規定實踐時間完成應變處理作業
- 自行或委外開發之資通系統應進行分級,並檢視是否符合防護基準要求
- 以上皆是
勒索軟體及社交工程風險是現在及未來面臨的最大資安風險。
- ○
- ╳
社交工程會成為駭客攻擊主要手法是因為不需要具備頂尖的電腦專業技術及成功機率高。
- ○
- ╳
帳號、密碼管理何者為非?
- 應落實帳號管理機制(包含帳號之申請、建立、修改、啟用、停用及刪除之程序)
- 為了方便及及時處理可以將自己帳號密碼與辦公室同仁共用
- 密碼應依規定長度(至少8碼)及複雜度原則設定並定期變更密碼
- 權限設定應符合最小化原則
本局已有建置防火牆、防毒軟體、端點防護系統及郵件防護系統,所以收到郵件無須擔心可任意開啟附件或點選連結。
- ○
- ╳
社交工程攻擊管道有哪些?
- 簡訊
- 電子郵件
- 社群軟體
- 以上皆是
個人電腦、主機防護基本防護有哪些?
- 定期作業系統更新、應用軟體更新及做好安全設定
- 安裝啟動防毒、防駭軟體、定期更新病毒碼、掃毒、弱點通報軟體、端點防護軟體
- 不要安裝來源不明的軟體
- 以上皆是
委外辦理資通系統之建置、維運或資通服務,選任及監督受託者應注意那些事項?
- 受託者之作業環境應具備完善之資通安全管理措施或通過第三方驗證
- 受託者應配置擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員
- 委託關係終止或解除時,應確認受託者返還、移交、刪除或銷毀履行契約而持有之資料
- 以上皆是
零信任是一種 IT 安全性方法,依循「永不信任,一律驗證」的原則,不僅假設受信任的網路周邊並不存在,任何交易、個體與身分在獲得信任並持續維持信任之前,全都不可信任。
- ○
- ╳
社交工程是一種利用人性弱點的詐騙技術,它避開了嚴密的資通安全技術防護,是一種非常難以防範的攻擊模式,是駭客最廉價最有效的攻擊模式。
- ○
- ╳
我國零信任政策與推動規劃優先推動A級公務機關。
- ○
- ╳
零信任保護範圍包含:日常使用的裝置、身分鑑別、應用程式、資料及服務、網路流量。
- ○
- ╳
勒索軟體之風險除了檔案會被加密外,資料也可能遭竊取外洩。
- ○
- ╳
零信任概念何者為非?
- 內部網路因有防火牆等資安設施將資安威脅阻隔在外網,因此內網是可信任無須過度管制與防範
- 不是保護網路存取,而是保護資料/應用存取
- 無具體邊界,使用者/設備與資料/應用無處不在
- 任何資料存取永不信任且必須驗證
社交工程基本防護何者為是?
- 注意郵件來源之正確性
- 不輕易點選連結網址或圖片,點選前再三確認網址安全及正確
- 不瀏覽可疑或非法網站(防範釣魚網站、水坑式攻擊)
- 以上皆是