資通網路與安全概要 考題與擬答

--- PAGE 1 ---
一、無線網路(Wireless Network)是1種利用無線電波(RF)在網路節點間傳輸數據資料的電腦網路,無需實體網路線即可連接網際網路。請回答下列問題:(每小題10分,共30分)
(一)請說明無線網路關鍵組成元件:無線存取點(Access Point, AP)、無線終端設備(Client)及無線訊號(Radio Waves)的功能。
(二)請描述無線區域網路(WLAN/Wi-Fi)、無線個人區域網路(WPAN)及無線廣域網路(WWAN)等3種主要類型無線網路的特性。
(三)請列出4個在公共場所使用 Wi-Fi 無線區域網路的安全注意事項。[115身障四等]4
解題關鍵
《考題難易》★
《破題關鍵》掌握無線網路實體層與鏈結層的基礎元件定義;依「傳輸覆蓋範圍(Range)」精確區分PAN、LAN、WAN;安全事項須列舉如使用VPN、避免登入機敏帳號與關閉自動連線等實務操作。
《使用學說》涵蓋 IEEE 802系列無線通訊標準協定、無線網路基礎架構與分級理論(PAN/LAN/WAN),以及公共區域無線傳輸之資訊安全防護實務。
《命中特區》115A5A35資通網路講義P4-16命中組成元件。
擬答:
(一)無線網路關鍵組成元件的功能說明
1. 無線存取點(Access Point, AP):功能為擔任無線訊號的發射與接收中心。它是連接無線網路與實體有線網路(如乙太網路)的橋樑。AP會接收來自有線網路的數據,將其轉換為無線電波發送給終端設備;同時接收終端設備發出的無線電波,轉換回有線數據傳送至網際網路或內部伺服器。
2. 無線終端設備(Client):功能為發起網路通訊與接收資料的終端節點。這些設備(如筆記型電腦、智慧型手機、物聯網感測器等)內部具備無線網路介面卡(WNIC),能夠接收 AP 廣播的無線電波進行解碼,並將使用者產生的數據編碼成無線電波發送給AP。
3. 無線訊號(Radio Waves):功能為提供資料傳輸的「實體媒介」。在沒有實體網路線的情況下,數據資料會透過特定的調變技術加載於特定頻率(如2.4GHz或5GHz)的無線電波上,讓資訊得以在空氣中進行遠距離、穿透障礙物的物理傳遞。
(二)三種主要類型無線網路的特性描述
1. 無線區域網路(WLAN/Wi-Fi):特性:覆蓋範圍通常為一棟建築物、辦公室或校園內部(約數十至一百公尺)。主要基於IEEE 802.11 系列標準,具相較於WPAN較高,低於有線網路(如乙太網),建置與維護成本較低,是目前家庭與企業最常使用的區域連網方式。
2. 無線個人區域網路(WPAN):特性:覆蓋範圍極小,通常限制在個人工作空間周圍(約10公尺以內)。代表性技術為藍牙(Bluetooth) 與 Zigbee。其最大特點是耗電量極低、設備配對與連線快速,主要用於連接個人周邊設備(如無線耳機、智慧手錶、無線滑鼠)或短距離物聯網感測器。
--- PAGE 2 ---
3. 無線廣域網路(WWAN): 特性:覆蓋範圍極廣,可跨越城市、國家甚至全球。主要是由電信營運商建置的行動蜂巢式通訊網路(如4GLTE、5G)。使用者只要在基地台的訊號範圍內即可隨時連網,具備極佳的移動性,但通常需要向電信商申請門號並繳納月租費或傳輸費。
(三)在公共場所使用 Wi-Fi 無線區域網路的4個安全注意事項
1. 避免處理機敏資料:在使用公共Wi-Fi(如咖啡廳、機場的免費網路)時,絕不登入網路銀行進行轉帳,也避免進行線上刷卡購物或傳送重要的商業機密文件。
2. 使用虛擬私人網路(VPN):若必須在公共網路環境下連線上網,應全程開啟VPN服務。VPN會將傳輸的資料進行端對端加密,即使無線封包被駭客攔截或側錄,也無法解讀出其中的真實內容。
3. 關閉檔案與印表機共用功能:連上公共網路前,應確保作業系統的「檔案與印表機共用」功能已完全關閉,並將網路連線類型設定為「公用網路」,以防止同一網段的陌生使用者輕易掃描或存取你的電腦磁碟。
4. 確認網站具備HTTPS加密連線:在瀏覽網站或輸入任何帳號密碼前,務必檢查瀏覽器網址列是否有顯示安全鎖頭圖示(即採用HTTPS協定)。若網站僅為HTTP明文傳輸,應立刻停止輸入任何個人資訊,以免遭中間人攻擊竊取。
二、我國資通安全管理法旨在建立公私部門的資安防護體系,重點在於確立主管機關落實關鍵基礎設施保護、執行分級管理與定期稽核、要求委外廠商遵循規範、全面禁用「危害國家資安產品」,並強化專職人員配置與重大事件通報機制,請回答下列問題:(每小題10分,共20分)
(一)依據資通安全責任等級分級辦法,請說明公務機關及特定非公務機關之資通安全責任等級分級評定原則,並列出高至低共分為那些等級?
(二)依據資通安全事件通報應變及演練辦法,資通安全事件分為幾級?請說明資通安全事件通報及處理原則。[115身障四等]安1
解題關鍵
《考題難易》★★★
《破題關鍵》須精確列出責任分級的A至E五大等級評定標準;並熟記資安事件的1至4級分類基準,以及通報與應變之法定時效要求。
《使用學說》我國《資通安全管理法》及其子法《資通安全責任等級分級辦法》與《資通安全事件通報及應變辦法》之條文規定與實務。
《命中特區》115A5A36資通安全講義P1-9命中資通安全責任等級分級。
擬答:
(一)資通安全責任等級分級評定原則及等級分類
1. 分級評定原則:依據「資通安全責任等級分級辦法」第3條規定,公務機關及特定非公務機關之資通安全責任等級,主要是綜合考量下列四項業務屬性與影響程度來進行評定:(1)國家機密之維護:機關業務是否涉及處理或保存國家機密資訊。(2)全國性民眾服務或跨機關資料處理之提供:機關是否提供全國性之重要基礎服務,或涉及大量跨機關之資料處理與交換。(3)關鍵基礎設施之營運:機關是否為負責維運國家關鍵基礎設施(Critical Infrastructure, CI)的提供者。(4)機關之層級或業務性質:考量政府機關的組織層級(如中央一級機關 or 地方鄉鎮市公所)或特定非公務機關的業務規模與營運屬性。
2. 責任等級分類(由高至低): 依據評估結果,機關的資通安全責任等級,由高至低共分為五個等級:A級、B級、C級、D級、E級(A級為最高責任等級,E級為最低責任等級)。
(二)資通安全事件分級與通報及處理原則
1. 資通安全事件分為幾級:依據「資通安全事件通報應變及演練辦法」第2條規定,資通安全事件依其影響資訊機密性、完整性、可用性的範圍與損害程度,共分為四個等級:第一級、第二級、第三級、第四級(其中第一級為最輕微,第四級為最嚴重之資安事件)。
2. 資通安全事件通報及處理原則:
(1)通報原則:
  • 時效要求:機關「知悉」發生資通安全事件後,必須於「一小時內」至主管機關指定之系統平臺完成通報。若後續事件等級發生變更,亦須依規定續行通報。
  • 內容要求:通報內容必須具體明確,包含發生機關、發生或知悉時間、狀況之描述、等級之評估以及初步因應措施等。
(2)處理(應變)原則:
  • 損害控制:事件發生當下,機關應變小組須立即採取適當的管制、網路隔離或系統降級等措施,以防止資安威脅擴散或損害程度持續擴大。
  • 復原時效:機關必須在法規要求的時限內完成系統或業務之復原。一般而言,第一級與第二級事件須於知悉後72小時內完成復原;影響重大的第三級與第四級事件,則須於36小時內完成復原。
  • 鑑識調查與紀錄保全:處理過程中必須嚴格保全與事件相關的系統日誌(Log)、連線紀錄與實體跡證,以利後續進行數位鑑識與肇因調查。
  • 檢討與改善機制:事件處理並復原後,機關須進行根本原因分析,並訂定具體的改善對策與防護機制,防堵漏洞以避免類似資安事件再次發生。
--- PAGE 3 & PAGE 4 ---
三、如圖所示,路由器 R1fa0/0介面的網段有7台主機,路由器 R2 fa0/0介面的網段有90台主機,路由器 R3 fa0/0 介面的網段有23台主機,請回答下列問題:
(一)如果有下列6個IP位址,192.168.55.57/27、192.168.55.29/28、192.168.55.1/30、192.168.55.132/25、192.168.55.3/30及192.168.55.127/26,請選擇4個IP 位址設定到 R2s0/0/0、R1fa0/0、R2fa0/0及R3fa0/0等4個介面,並說明選擇的原因。(16分)
(二)請寫出這4個IP 位址的網路遮罩(Network mask)。(8分)請寫出 R2 fa0/0及R3fa0/0 網段的廣播位址。(6分)
[圖形拓樸文本描述:R1(192.168.55.2/30, 7 hosts 在 fa0/0), R2(90 hosts 在 fa0/0, 具備 s0/0/0 與 s0/0/1), R3(23 hosts 在 fa0/0, 具備 0/0/1)] [115身障四等]5
解題關鍵
《考題難易》★★★
《破題關鍵》依各網段的主機數量需求推算出所需的位元數,利用VLSM 挑選容量相符的CIDR網段;並精確換算對應的子網路遮罩與廣播位址。
《使用學說》涵蓋變動長度子網路遮罩(VLSM) 分配計算、無類別域間路由(CIDR)表示法,以及IPv4 網段架構與廣播位址原理。
《命中特區》115A5A35資通網路講義P5-160114司法三等類似題。
擬答:
(一)介面IP設定與選擇原因:
1. R2 s0/0/0介面:選擇192.168.55.1/30 選擇原因:從圖中可知R1的s0/0/0介面IP為192.168.55.2/30,這是一條點對點的序列連線。/30的子網路僅提供2個可用的主機IP位址(該網段為192.168.55.0,可用IP為.1與.2)。既然R1已經使用了.2,為了讓兩台路由器能在同一網段內互通,R2的s0/0/0必然只能設定為剩下的192.168.55.1/30。

2. R1 fa0/0介面:選擇192.168.55.29/28 選擇原因:R1fa0/0連接的網段有7台主機,若加上路由器介面本身需要的1個IP,共需至少8個可用IP位址。/28的子網路可提供14個可用IP(2的4次方減2=14),是清單中最符合且最不浪費IP空間的選擇。

3. R2 fa0/0介面:選擇192.168.55.132/25 選擇原因:R2fa0/0連接的網段高達90台主機,加上路由器介面共需至少91個可用 IP。/25 的子網路可提供126個可用IP(2的7次方 2 =126),是清單中唯一足以容納此龐大主機數量的網段選擇。

4. R3 fa0/0介面:選擇192.168.55.57/27 選擇原因:R3fa0/0連接的網段有23台主機,加上路由器介面共需至少24個可用IP。/27的子網路可提供30個可用IP(2的5次方減2 =30),剛好滿足此網段的主機數量需求。

(備註:清單中的192.168.55.3/30是廣播位址,192.168.55.127/26在其所屬/26子網中為廣播位址,因此不可使用,皆無法設定在介面或主機上。)
(二)這4個IP 位址的網路遮罩(Network mask):
1. 192.168.55.1/30的網路遮罩為:255.255.255.252
2. 192.168.55.29/28的網路遮罩為:255.255.255.240
3. 192.168.55.132/25的網路遮罩為:255.255.255.128
4. 192.168.55.57/27的網路遮罩為:255.255.255.224
(三)R2 fa0/0及R3fa0/0網段的廣播位址:
1. R2 fa0/0 網段(192.168.55.132/25):該IP所在的網路位址為192.168.55.128。由於是/25,區塊大小為128,涵蓋範圍從.128到.255。因此該網段的廣播位址為:192.168.55.255
2. R3 fa0/0 網段(192.168.55.57/27):該IP所在的網路位址為192.168.55.32。由於是/27,區塊大小為32,涵蓋範圍從.32到.63。因此該網段的廣播位址為:192.168.55.63
--- PAGE 5 & PAGE 6 ---
四、有關伺服器主機安全防護核心原則為「縱深防禦」(Defense in Depth),透過分層防禦機制保障資料機密性、完整性與可用性,請回答下列問題:(每小題10分,共20分)
(一)請說明伺服器主機系統強化與更新(System Hardening & Patching)的安全防護原則。
(二)請說明伺服器主機存取控制與身份驗證(Access Control & Authentication)的安全防護原則。[115身障四等]安1
解題關鍵
《考題難易》★★
《破題關鍵》點出系統強化需關閉不必要服務並落實修補更新;存取控制則須強調最小權限原則與多因素驗證(MFA)機制。
《使用學說》涵蓋縱深防禦架構(Defense in Depth)、最小權限原則(Least Privilege),以及身分與存取管理(IAM)理論。
《命中特區》115A5A36資通安全講義P6-17~18針對OWASP A10伺服端請求偽造防禦措施。
擬答:
(一)伺服器主機系統強化與更新(System Hardening & Patching)的安全防護原則
1. 最小化攻擊面(Minimize Attack Surface): 伺服器應落實「最小化安裝」原則。在安裝作業系統與應用程式時,僅安裝營運所必需的軟體套件。系統上線前,必須全面關閉所有不必要的網路連接埠(Ports)、通訊協定與背景服務,藉此大幅減少駭客可利用的潛在漏洞與攻擊途徑。
2. 嚴格的修補程式管理(Patch Management): 系統管理員必須建立常態性的弱點監控與更新機制。當作業系統原廠、應用程式開發商發布最新的安全性修補程式(Security Patches)時,應在經過測試環境的相容性驗證後,儘速部署至正式營運主機上,以防範已知漏洞被惡意程式或駭客利用(如防範零日攻擊或勒索軟體)。
3. 建立安全組態基準(Secure Configuration Baseline): 伺服器出廠的預設設定通常是為了方便而非安全。實務上應導入國際公認的安全標準(例如CIS Benchmarks 或政府組態基準GCB),強制更改所有預設的帳號與密碼,並關閉系統預設的隱藏共享資料夾。
4. 檔案系統與目錄防護:針對伺服器內的檔案系統設定嚴格的讀取、寫入與執行權限限制。重要的系統設定檔與日誌檔應設為唯讀或僅限系統管理員存取,防止惡意程式竄改核心檔案。
(二)伺服器主機存取控制與身份驗證(Access Control & Authentication)的安全防護原則
1. 最小權限原則(Principle of Least Privilege): 在分配系統操作權限時,每一個使用者帳號或應用程式服務,都應該只被賦予完成其特定工作任務所需的「最少權限」。絕對避免將系統管理員(Administrator / Root)權限直接授予一般使用者或前端網頁服務,以限縮帳號遭盜用時的損害範圍。
2. 強身份驗證機制(Strong Authentication):單一的靜態密碼容易遭到暴力破解或釣魚竊取。伺服器登入應強制實施多因子驗證(MFA, Multi-Factor Authentication),結合「使用者知道的」(如高強度密碼)、「使用者擁有的」(如手機動態密碼、硬體憑證)或「使用者本身的特徵」(如生物辨識)來確認登入者身分。
3. 特權帳號管理與職責分離(Privileged Access Management & Separation of Duties): 嚴格控管具備最高權限的特權帳號。實務上應禁止多名管理員共用同一組 Administrator 或Root帳號,每位管理員都應有獨立的個人帳號以釐清責任。此外,應落實職責分離,例如系統開發人員不應同時具備正式營運環境的修改權限。
4. 詳盡的日誌記錄與稽核監控(Logging & Auditing): 伺服器必須開啟完整的稽核與日誌功能,詳實記錄所有帳號的登入成功與失敗紀錄、權限變更行為以及重要檔案的存取動作。這些日誌應集中收集並加以保護,同時搭配異常監控機制,一旦發現連續登入失敗或非上班時間的異常存取,便立即發出警報。
--- PAGE 7 ---