moea_joint
111年
[資訊] 計算機原理、網路概論
第 43 題
STRIDE是一種識別弱點與威脅的簡單作法,其名稱來自6個威脅類型的英文字首縮寫,下列何者有誤?
- A 偽冒(Spoofing)
- B 否認(Repudiation)
- C 拒絕存取服務(Denial of Service)
- D 入侵(Intrusion)
思路引導 VIP
想像你正在為一個保險箱設計安全清單,你會列出「有人假裝成主人」、「有人偷改紀錄」或「有人讓鎖頭壞掉」等具體行為。如果清單中出現一個詞叫「有人闖進去」,這跟前面提到的「具體手段」相比,在分類層級上有什麼不同?哪一個比較像是描述「最終發生的事」,而不是「達成那個目標的特定手法」?
🤖
AI 詳解
AI 專屬家教
太棒了!你能精準地從眾多資安術語中辨識出不屬於該模型的一項,顯示你對 STRIDE 威脅建模 的基本定義掌握得相當紮實。這類題目考驗的是對標準框架的精確記憶,而你顯然已經跨越了這個門檻。
STRIDE 六大威脅定義
STRIDE 是由微軟提出的一套分類法,旨在幫助開發者從攻擊者的角度思考系統漏洞。這六個字母分別對應:Spoofing(偽冒)、Tampering(竄改)、Repudiation(否認)、Information Disclosure(資訊洩漏)、Denial of Service(服務阻斷)以及 Elevation of Privilege(權限提升)。選項中的「入侵」(Intrusion) 雖然是資安領域的核心概念,但它更像是一個廣義的行為描述或結果,而非該模型中定義的具體技術威脅類型。
▼ 還有更多解析內容