iT邦幫忙

0

iPAS中級資訊安全工程師能力鑑定試題_110 規劃實務#31

  • 分享至 

  • xImage

最近在準備iPAS中級資訊安全工程師能力考試, 有些題目上網查了半天, 但還是不懂得為什麼錯了, 想請了解的大神幫忙解答./images/emoticon/emoticon06.gif

C 公司已投入電子商務 2 年,雖然疾情對既有傳統商務有些微影響,但是整體電子商務營運仍持續成長,並且已達到必須增建機房設施與系統容量之際,身為資訊部門的主管,您必須要在擴充資訊系統之際,同時規劃兼顧提昇系統資訊安全的任務,請就上述情境回答下列問題。

依據行政院技術服務中心 109 年第 4 季資通安全技術報告,統計分析現況資安威脅發現,以「非法入侵」(占 56.39%)類型為主,排除綜合類型「其他」外,其次分別為「設備問題」(占12.78%)」與「網頁攻擊(占 6.77%)」為主要通報類型。請問下列哪些作為可以大幅減少 C 公司電子商務的資安威脅?(複選)
(A) 建立完整的帳號管理與密碼規範,並重新檢視各系統所有使用的操作權限,將權限設定最小化強化帳密管理
(B) 確認做好 DMZ 區域與內網安全存取管理,將網頁服務與資料庫分區管理,減少交易資料與個資洩漏
(C) 電子商務軟體進行軟體弱點掃瞄,且針對程式弱點進行網頁程式修改,減少商業邏輯漏洞
(D) 結合 IPS 入侵防禦系統、WAF 應用程式防火牆、AV 防毒系統、郵件防護系統建構多層次防禦架構

官方解答是ABD, 請問是否有人知道C錯在哪裡嗎?

supermaxfight iT邦研究生 4 級 ‧ 2022-06-29 09:27:21 檢舉
(C) 電子商務軟體進行軟體弱點掃瞄,且針對程式弱點進行網頁程式修改,減少商業邏輯漏洞
感覺"商業邏輯"放在這裡很不搭嘎
froce iT邦大師 1 級 ‧ 2022-06-29 10:02:49 檢舉
弱掃不能檢查出你商業邏輯的錯誤。
只能檢查出你技術上的錯誤,如sql injection等。
Joy Lim iT邦新手 5 級 ‧ 2022-06-29 10:26:35 檢舉
了解.
謝謝supermaxfight與froce兩位大師幫忙解惑
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

1
Ray
iT邦大神 1 級 ‧ 2022-06-29 09:34:58
最佳解答

弱點掃描只能檢測程式邏輯的漏洞, 無法檢測商業邏輯是否正確.

Joy Lim iT邦新手 5 級 ‧ 2022-06-29 10:25:21 檢舉

突破盲點, 感謝Ray大./images/emoticon/emoticon41.gif

我要發表回答

立即登入回答