免費開始練習
moea_joint_essay 111年 [資訊] 資訊管理、程式設計

第 二 題

📖 題組:
依據國家資通安全防護整合服務計畫 WEB 應用程式安全參考指引,針對安全系統發展生命週期(Secure System Development Life Cycle, SSDLC),請列出下列 3 個階段類別之控制措施。(3 題,共 20 分)
📝 此題為申論題,共 3 小題

小題 (二)

測試階段類別之 2 項控制措施。(4 分)

思路引導 VIP

測試階段(Testing Phase)主要透過工具和人為手段檢驗應用程式潛在弱點,包含靜態與動態的安全掃描。

🤖
AI 詳解
AI 專屬家教

測試階段的安全控制措施包含以下 2 項:

  1. 源碼檢測 (SAST):利用靜態應用程式安全測試工具掃描程式碼,在不執行的情況下找出潛在的安全漏洞及不安全的寫法。
  2. 弱點掃描及滲透測試 (DAST/Penetration Testing):在測試環境中透過弱點掃描工具與白帽駭客技術,模擬真實攻擊手法以驗證系統的防禦能力。

小題 (一)

開發階段類別之 5 項控制措施。(10 分)

思路引導 VIP

回顧 SSDLC 開發階段(Development Phase)如何實作安全編碼,應涵蓋輸入驗證、身分認證授權、連線保護等重點。

🤖
AI 詳解
AI 專屬家教

依據指引,開發階段(Secure Coding / Development)常見的安全控制措施包含以下5項:

  1. 實作安全輸入驗證 (Input Validation):對所有使用者輸入資料進行驗證與過濾,防範注入攻擊。
  2. 實作安全的身分驗證及授權機制:確保適當的通行碼複雜度、會話(Session)管理及權限管控機制。

小題 (三)

部署與維運階段類別之 3 項控制措施。(6 分)

思路引導 VIP

部署與維運階段(Deployment and Operation Phase)側重於環境的安全設定、持續監控與事件應變。

🤖
AI 詳解
AI 專屬家教

部署與維運階段的安全控制措施包含以下 3 項:

  1. 系統與網路安全組態基準化 (Secure Configuration / Hardening):移除系統與伺服器預設的非必要服務,並採行最低權限原則進行設定。
  2. 定期修補與更新 (Patch Management):持續監控作業系統及第三方應用程式元件的安全通報,並定期套用安全性修補程式。

🏷️ 相關主題

物件導向程式設計與系統分析核心概念
查看更多「[資訊] 資訊管理、程式設計」的主題分類考古題

📝 同份考卷的其他題目

查看 111年[資訊] 資訊管理、程式設計 全題

升級 VIP 無限刷題