E等公務員,e學中心,解答,測驗,SSDLC各階段資安作業(113)
「SSDLC各階段資安作業(113)」e等公務園+e學中心+學習平臺解答
相信大家會搜尋進來,應該也是為了更快速完成測驗,貼心的我們懂你❤資料均網路上蒐集整理,僅供參考。大家善用Ctrl+F搜尋題目關鍵字,相信很快就找到答案。
問:資料保護是資訊安全管理中至關重要的一環,它涉及多種技術和策略來保障資料在儲存、傳輸和使用過程中的安全性不受威脅。以下關於資料保護的說明何者有誤? 對敏感和機密資料應實施額外的安全控制措施v 資料分類標準應一次到位,避免未來還要再調整 應識別和評估資料類型和敏感度 應為每類資料定義保護級別 問:以下關於SSDLC開發階段的關鍵安全方向,何者有誤? 安全編碼v 軟體測試技術(包括弱點掃描與滲透測試) 例外處理 程式碼審查與源碼掃描 問:以下關於常見的安全設計原則說明,何者有誤? 最小化攻擊面:限制對外開放的功能和Port數量,只開放必要的功能和Port 縱深防禦:透過多層保護措施來確保安全,即使一層措施失敗仍有其他層可以防禦攻擊v 最弱環節:重複使用現有、經過安全測試獲證實的元件,以避免增加新元件所產生的風險 完全仲裁:系統應該檢查所有對重要資源的存取,確保它們都經過適當的驗證和授權,意味著每次存取都必須進行評估,不依賴於先前的檢查結果 問:系統發展生命週期(SDLC)是指? 電腦硬體的生命周期v 軟體系統開發過程中的各個階段 網路基礎架構的建立和管理 資料庫系統的維護和更新 問:在安全系統發展生命週期中進行測試至關重要,以下何者選項並非測試階段的重點?v 進行程式碼審查,確保程式碼的一致性、發現邏輯錯誤 測試系統的效能瓶頸 發現潛在的安全漏洞 驗證系統中不同的使用者介面(UI)之間的互動是否準確和有效 問:對識別出的威脅進行風險分析與評估,包括分析這些威脅發生的可能性和對系統造成的衝擊。常用的風險分析方法包括定性評估(如低、中、高)和定量評估(如損失期望值)。此風險管理步驟會產出什麼文件?v 風險評估報告 威脅清單 詳細的安全需求修正計畫 更新後的需求檢核項目 問:以下何者為SSDLC部署階段的關鍵安全方向? 網路安全措施 軟體開發和部署環境 安全配置管理v 以上皆是 問:識別資產並鑑定其價值,透過威脅建模(如STRIDE模型)、專家訪談、過往案例分析等方法,識別可能對系統安全造成威脅的因素。此風險管理步驟會產出什麼文件? 風險評估報告v 威脅清單 詳細的安全需求修正計畫 更新後的需求檢核項目 問:下述關於例外處理的說明,何者正確? 缺陷(Fault):是系統設計、實作或操作中存在的問題。它是錯誤的根源,通常源自於程式碼錯誤、邏輯錯誤、或設計不當 例外(Exception):程式執行中發生的事件,會改變程式的正常流程,通常由錯誤操作或外部條件觸發 錯誤(Error):當一個缺陷(Fault)被觸發並導致系統的內部狀態偏離正常行為時產生。缺陷(Fault)導致錯誤(Error),但不一定直接導致失效(Failure)v 以上皆是 問:下述關於備份策略的說明,何者正確? 差異備份:對前一次完整備份後,新增或變更的資料進行備份。差異備份通常比完整備份更快,但恢復資料時需要最近的完整備份和最後一次的差異備份 完整備份:系統完整複製所有資料,備份最全面但通常需要較長時間和更多儲存空間 增量備份:對前一次完整或增量備份後,新增或變更的資料進行備份。此方式可以節省更多儲存空間,但在恢復資料時需要最近的完整備份以及自那時以來的所有增量備份v 以上皆是 問:在資訊安全的概念中,哪一個核心原則是指確保資料不被未經授權的人員存取或揭露? 完整性 可用性v 機密性 以上皆是 問:在現今商業環境越趨複雜、駭客攻擊越趨猖獗的情況下,軟體安全至關重要,以下關於軟體安全的重要性敘述何者為非? 為了增加客戶信任 為了保護敏感資訊 為了確保業務持續v 以上皆正確 問:在資訊安全的角度,哪一個概念強調保護資料免遭未經授權的修改或竄改,確保資料的準確性和一致性?v 完整性 可用性 機密性 以上皆是 問:安全版本控制使用版本控制系統(如Git、SVN等)來管理軟體開發的所有檔案和程式碼修改。這種做法的主要目的是? 問題追蹤與回溯:如果新的程式碼引入了錯誤或問題,版本控制系統可以快速定位到具體的變更,並且能夠輕鬆地回滾到最近的穩定版本 分支管理:允許多個開發人員在隔離的環境中工作,進行功能開發、修復或實驗,之後再將這些變更合併回主分支 記錄修改:每次提交都記錄在版本控制系統中,包括修改的內容、時間和負責人。這提供了完整的修改歷史紀錄,方便追蹤和審核v 以上皆是 問:安全系統發展生命週期(SDLC)的正確順序是? 需求、部署、設計、開發、測試、維運 設計、開發、測試、部署、需求、維運v 需求、設計、開發測試、部署、維運 設計、需求、開發、部署、測試、維運 問:在安全原則 - CIA三要素中,哪一個要素是指資訊系統和資料能夠在需要時可靠地提供給授權的使用者? 機密性 完整性v 可用性 以上皆是 問:什麼是最小特權(Least Privilege)的核心思想? 程式碼應該盡可能簡單v 只給予剛剛好可以完成其工作職務的最小權限 系統應該僅實現最基本的功能 以上皆是 問:以下何者為SSDLC需求階段的關鍵安全方向? 組建團隊 辨識利害關係人 需求訪談與文件化v 以上皆是 問:在SSDLC中,什麼是威脅建模的主要目的?v 用於識別、量化和管理安全威脅 提高程式碼效能 最小化系統成本 優化使用者體驗 問:程式碼審查在SSDLC的開發階段至關重要,以下關於程式碼審查的敘述,何者有誤?v 通常都使用弱點掃描工具來發現問題 同儕審查:程式碼由同一團隊的其他開發者審查 程式碼審查:開發者對團隊解釋其程式碼的邏輯和決策,以進行審查和討論 是一個系統性的檢查過程,通常是讓同事或主管審查自己的程式碼,目的是確保一致性、發現邏輯錯誤、安全漏洞或是後門等,以提高程式碼品質,並共享知識和最佳實務 問:根據風險評估的結果,確定哪些安全需求需要加強或修改。這可能涉及修改現有的功能需求、添加新的安全控制措施或改變系統設計。此風險管理步驟會產出什麼文件? 風險評估報告 威脅清單 詳細的安全需求修正計畫v 更新後的需求檢核項目 問:在SSDLC的測試階段,以下何者是重要的安全測試方法? 模糊測試 壓力測試 滲透測試v 以上皆是 問:下述關於安全配置管理的說明,何者有誤?v 自動化配置和記錄:停用非必要的系統服務、背景程序與端口,限制攻擊面,以減少惡意攻擊者可利用的進入點 確保按照安全需求進行配置:對所有系統和應用進行合適的安全設定,包括作業系統、資料庫和相關軟體,以減少漏洞和其他安全風險 不使用預設密碼:避免使用產品預設密碼,並建議設定長度12碼以上、足夠複雜且獨特的密碼,可顯著降低被猜測或暴力破解的風險 資料加密:確保敏感資料在整合、部署的過程中均被妥善加密 問:在部署階段的安全措施中,以下哪一項是重要的實踐,以確保系統按照安全需求進行部署? 完成介面測試 開發強健的程式碼v 進行安全配置管理 識別風險 問:以下關於SSDLC維運階段的關鍵安全方向,何者有誤? 安全版本控制 定期更新與修補管理v 安全編碼 持續監控和日誌分析
問:資料保護是資訊安全管理中至關重要的一環,它涉及多種技術和策略來保障資料在儲存、傳輸和使用過程中的安全性不受威脅。以下關於資料保護的說明何者有誤?
對敏感和機密資料應實施額外的安全控制措施
v 資料分類標準應一次到位,避免未來還要再調整
應識別和評估資料類型和敏感度
應為每類資料定義保護級別
問:以下關於SSDLC開發階段的關鍵安全方向,何者有誤?
安全編碼
v 軟體測試技術(包括弱點掃描與滲透測試)
例外處理
程式碼審查與源碼掃描
問:以下關於常見的安全設計原則說明,何者有誤?
最小化攻擊面:限制對外開放的功能和Port數量,只開放必要的功能和Port
縱深防禦:透過多層保護措施來確保安全,即使一層措施失敗仍有其他層可以防禦攻擊
v 最弱環節:重複使用現有、經過安全測試獲證實的元件,以避免增加新元件所產生的風險
完全仲裁:系統應該檢查所有對重要資源的存取,確保它們都經過適當的驗證和授權,意味著每次存取都必須進行評估,不依賴於先前的檢查結果
問:系統發展生命週期(SDLC)是指?
電腦硬體的生命周期
v 軟體系統開發過程中的各個階段
網路基礎架構的建立和管理
資料庫系統的維護和更新
問:在安全系統發展生命週期中進行測試至關重要,以下何者選項並非測試階段的重點?
v 進行程式碼審查,確保程式碼的一致性、發現邏輯錯誤
測試系統的效能瓶頸
發現潛在的安全漏洞
驗證系統中不同的使用者介面(UI)之間的互動是否準確和有效
問:對識別出的威脅進行風險分析與評估,包括分析這些威脅發生的可能性和對系統造成的衝擊。常用的風險分析方法包括定性評估(如低、中、高)和定量評估(如損失期望值)。此風險管理步驟會產出什麼文件?
v 風險評估報告
威脅清單
詳細的安全需求修正計畫
更新後的需求檢核項目
問:以下何者為SSDLC部署階段的關鍵安全方向?
網路安全措施
軟體開發和部署環境
安全配置管理
v 以上皆是
問:識別資產並鑑定其價值,透過威脅建模(如STRIDE模型)、專家訪談、過往案例分析等方法,識別可能對系統安全造成威脅的因素。此風險管理步驟會產出什麼文件?
風險評估報告
v 威脅清單
詳細的安全需求修正計畫
更新後的需求檢核項目
問:下述關於例外處理的說明,何者正確?
缺陷(Fault):是系統設計、實作或操作中存在的問題。它是錯誤的根源,通常源自於程式碼錯誤、邏輯錯誤、或設計不當
例外(Exception):程式執行中發生的事件,會改變程式的正常流程,通常由錯誤操作或外部條件觸發
錯誤(Error):當一個缺陷(Fault)被觸發並導致系統的內部狀態偏離正常行為時產生。缺陷(Fault)導致錯誤(Error),但不一定直接導致失效(Failure)
v 以上皆是
問:下述關於備份策略的說明,何者正確?
差異備份:對前一次完整備份後,新增或變更的資料進行備份。差異備份通常比完整備份更快,但恢復資料時需要最近的完整備份和最後一次的差異備份
完整備份:系統完整複製所有資料,備份最全面但通常需要較長時間和更多儲存空間
增量備份:對前一次完整或增量備份後,新增或變更的資料進行備份。此方式可以節省更多儲存空間,但在恢復資料時需要最近的完整備份以及自那時以來的所有增量備份
v 以上皆是
問:在資訊安全的概念中,哪一個核心原則是指確保資料不被未經授權的人員存取或揭露?
完整性
可用性
v 機密性
以上皆是
問:在現今商業環境越趨複雜、駭客攻擊越趨猖獗的情況下,軟體安全至關重要,以下關於軟體安全的重要性敘述何者為非?
為了增加客戶信任
為了保護敏感資訊
為了確保業務持續
v 以上皆正確
問:在資訊安全的角度,哪一個概念強調保護資料免遭未經授權的修改或竄改,確保資料的準確性和一致性?
v 完整性
可用性
機密性
以上皆是
問:安全版本控制使用版本控制系統(如Git、SVN等)來管理軟體開發的所有檔案和程式碼修改。這種做法的主要目的是?
問題追蹤與回溯:如果新的程式碼引入了錯誤或問題,版本控制系統可以快速定位到具體的變更,並且能夠輕鬆地回滾到最近的穩定版本
分支管理:允許多個開發人員在隔離的環境中工作,進行功能開發、修復或實驗,之後再將這些變更合併回主分支
記錄修改:每次提交都記錄在版本控制系統中,包括修改的內容、時間和負責人。這提供了完整的修改歷史紀錄,方便追蹤和審核
v 以上皆是
問:安全系統發展生命週期(SDLC)的正確順序是?
需求、部署、設計、開發、測試、維運
設計、開發、測試、部署、需求、維運
v 需求、設計、開發測試、部署、維運
設計、需求、開發、部署、測試、維運
問:在安全原則 - CIA三要素中,哪一個要素是指資訊系統和資料能夠在需要時可靠地提供給授權的使用者?
機密性
完整性
v 可用性
以上皆是
問:什麼是最小特權(Least Privilege)的核心思想?
程式碼應該盡可能簡單
v 只給予剛剛好可以完成其工作職務的最小權限
系統應該僅實現最基本的功能
以上皆是
問:以下何者為SSDLC需求階段的關鍵安全方向?
組建團隊
辨識利害關係人
需求訪談與文件化
v 以上皆是
問:在SSDLC中,什麼是威脅建模的主要目的?
v 用於識別、量化和管理安全威脅
提高程式碼效能
最小化系統成本
優化使用者體驗
問:程式碼審查在SSDLC的開發階段至關重要,以下關於程式碼審查的敘述,何者有誤?
v 通常都使用弱點掃描工具來發現問題
同儕審查:程式碼由同一團隊的其他開發者審查
程式碼審查:開發者對團隊解釋其程式碼的邏輯和決策,以進行審查和討論
是一個系統性的檢查過程,通常是讓同事或主管審查自己的程式碼,目的是確保一致性、發現邏輯錯誤、安全漏洞或是後門等,以提高程式碼品質,並共享知識和最佳實務
問:根據風險評估的結果,確定哪些安全需求需要加強或修改。這可能涉及修改現有的功能需求、添加新的安全控制措施或改變系統設計。此風險管理步驟會產出什麼文件?
風險評估報告
威脅清單
詳細的安全需求修正計畫
v 更新後的需求檢核項目
問:在SSDLC的測試階段,以下何者是重要的安全測試方法?
模糊測試
壓力測試
滲透測試
v 以上皆是
問:下述關於安全配置管理的說明,何者有誤?
v 自動化配置和記錄:停用非必要的系統服務、背景程序與端口,限制攻擊面,以減少惡意攻擊者可利用的進入點
確保按照安全需求進行配置:對所有系統和應用進行合適的安全設定,包括作業系統、資料庫和相關軟體,以減少漏洞和其他安全風險
不使用預設密碼:避免使用產品預設密碼,並建議設定長度12碼以上、足夠複雜且獨特的密碼,可顯著降低被猜測或暴力破解的風險
資料加密:確保敏感資料在整合、部署的過程中均被妥善加密
問:在部署階段的安全措施中,以下哪一項是重要的實踐,以確保系統按照安全需求進行部署?
完成介面測試
開發強健的程式碼
v 進行安全配置管理
識別風險
問:以下關於SSDLC維運階段的關鍵安全方向,何者有誤?
安全版本控制
定期更新與修補管理
v 安全編碼
持續監控和日誌分析
評論