114-1 (3 月考) 和 114-2 (8 月考) 兩份 I21 資訊安全防護實務試題做範疇歸類結果合併,做成一份 跨期對照表,可以直接比較出題重點與趨勢
| 題號範圍 | 114-1 出題重點 | 114-2 出題重點 | 範疇趨勢比較 |
|---|---|---|---|
| 治理(Governance) | - NIST CSF 2.0 新增 Govern- DRP/BCP/ISCP 區分- SOC、SIEM、SOAR- EOS 防火牆風險- 情資分享 ISAC | - NIST CSF v2 六大面向 & Govern 重點- BIA (NIST SP 800-34)- GCB 政府組態基準- SOC 建立考量(雲端、OT、CTI、SOP)- 滲透測試報告要素 | 114-1 偏基礎治理框架與控制措施114-2 加強 組織治理(BIA、GCB、CTI) 與 AI/DevSecOps 治理 |
| 存取(Access Control) | - Zero Trust:微分割、IAM、信任評等- WAF、DLP、防火牆限制- CWE Top 25 弱點- Broken Access Control(OWASP A01)- 檔案上傳漏洞、DLL Side Loading、Webshell | - SSRF、Command Injection、Credential Harvesting- SQLi/XSS 防護(參數化查詢、CSP)- Broken Authentication / Access Control- Android TEE- AI 安全(Prompt Injection、DLP、RBAC)- DevSecOps:SAST 自動化 | 114-1 偏重傳統弱點(SQLi、XSS、WAF、Webshell)114-2 加入 AI 安全、DevSecOps、行動平台(TEE)、SSRF |
| 事件(Incident Response) | - 勒索軟體指令 (fsutil, vssadmin)- SOC / SIEM 功能- Honeypot / Honeynet- Persistence 技巧(crontab、SSH key)- Pass the Ticket 攻擊- Log 分析(phpinfo, passwd) | - MITRE ATT&CK 框架應用- SOC 快速遏制 (Cobalt Strike Beacon)- OT 安全事件(Modbus IPS、勒索軟體)- DNS Flood / SYN Flood 防禦- 郵件事件:操作失誤 vs 資安事件- EDR 偵測價值 | 114-1 偏向 **事件調查與經典案例(勒索、AD 攻擊、Webshell)**114-2 偏向 SOC/CTI、OT、AI 對抗、EDR,更強調 即時應變 |
| 法規(Compliance) | - 金管會通報義務(勒索事件)- 情資分享平台(H-ISAC, F-ISAC) | - CERT/CSIRT + TLP 紅綠燈協定- BIA 法規面(NIST SP 800-34)- 政府 GCB 基準 | 114-1 偏重 金融/情資法規****114-2 強調 CERT/CSIRT、TLP 與 政府合規(GCB) |
小結:
下面是針對 114-2 中比較「新增加」/比較強調的考試內容(像 SSRF、Prompt Injection/AI 安全、政府組態基準 GCB、OT/DevSecOps 安全實務等),我整理了一些推薦的學習與參考資源,包括技術文章、教學課程、政府文件等。你可以針對你不熟的部分深入讀這些。
| 範疇 | 114-1 題數(比例) | 114-2 題數(比例) | 趨勢 |
|---|---|---|---|
| 治理 | 10 題(25%) | 12 題(30%) | ⬆️ 上升,治理題目更重視(特別是 BIA、GCB、SOC 架構) |
| 存取 | 15 題(37.5%) | 17 題(42.5%) | ⬆️ 上升,尤其加入 AI 安全、SSRF、TEE、DevSecOps |
| 事件 | 12 題(30%) | 9 題(22.5%) | ⬇️ 下降,傳統事件題稍微減少,偏向 SOC/CTI/EDR 實務 |
| 法規 | 3 題(7.5%) | 2 題(5%) | ⬇️ 減少,法規題比例降低,偏向 CERT/CSIRT、TLP |
小結:
| 主題 | 資源名稱 & 類型 | 重點內容 / 為什麼有用 |
|---|---|---|
| SSRF (Server-Side Request Forgery) | Portswigger 的 SSRF 專題 (portswigger.net) | 解釋 SSRF 是什麼、常見漏洞例子、如何測試與防禦。非常適合理解漏洞本質與攻擊路徑。 |
| Snyk Learn:SSRF 課程 (Snyk Learn) | 分步教學從實作到防禦措施,還有 quiz,可以實際演練。 | |
| OWASP SSRF 頁面 (OWASP) | OWASP 方法與建議是權威,裡面有常見案例與防禦最好做法。 | |
| Prompt Injection / AI 安全 | OWASP GenAI Security Project — Prompt Injection (OWASP Gen AI Security Project) | 官方對於 LLM 安全與 prompt injection 的風險描述與防禦建議。很務實。 |
| IBM:What Is a Prompt Injection Attack? (IBM) | 解釋 prompt injection 是什麼、運作方式、常見類型,以及怎麼管理這類風險。 | |
| Prompt Security Blog — Prompt Injection 101 (prompt.security) | 有實際例子、示範,以及各種防禦方法(比較適合做題時或實務中查)。 | |
| The Big List Of AI Prompt Injection References And Resources (Brian D. Colwell) | 是一個資源列表/學術論文彙整,非常適合做深入研究/論文參考。 | |
| 政府組態基準 (GCB, Government Configuration Baseline) | 國家資通安全研究院:GCB 說明文件專區 (nics.nat.gov.tw) | 政府官方文件,包含 GCB 的標準、導入資源、數位教材等。最應該看這個。 |
| 「政府組態基準(GCB)說明網站 (中正大學等機構)」 (gcb.cc.ncku.edu.tw) | 學校或地方政府對於 GCB 導入實作面的說明,適合瞭解實際操作中會碰到的問題。 | |
| 資安法常見問題:GCB 導入作業注意事項 (moda.gov.tw) | 解釋哪些機關要在什麼時間內導入,哪些情況可例外、應注意的流程。對合規考題很有幫助。 | |
| 其他 / 延伸:AI 安全工具與實務防禦 | Azure AI Content Safety:Prompt Shields (Microsoft Learn) | 微軟在生成式 AI 安全中如何防禦 prompt 注入、怎麼做輸入審查或過濾。可以當參考。 |
| LearnPrompting.org — Prompt Injection 教學 (learnprompting.org) | 這個網站專門做 prompt 訓練與 prompt 安全,有許多直觀的範例。 |
為了系統地掌握這些比較新的知識點,下面是建議的一個學習順序與學習方式:
iThome鐵人賽
看影片追技術
看更多
