歐盟的《一般資料保護規範》(General Data Protection Regulation, GDPR)中,對於「個人資料」(Personal Data)的定義,下列何者最為精確?
GDPR 對個人資料的定義非常廣泛,涵蓋任何可以直接或間接識別特定個人的資訊,例如姓名、身分證號碼、位置數據、線上識別碼(如 IP 位址、Cookie ID),甚至包括個人的生理、遺傳、心理、經濟、文化或社會身份的特定因素。選項A和C僅涵蓋部分個人資料,選項D則忽略了非公開資訊。
資訊安全的三大基本要素(CIA Triad)不包含下列哪一項?
D
不可否認性 (Non-repudiation)
資訊安全的 CIA 三要素是指:機密性(確保資訊僅被授權者存取)、完整性(確保資訊在儲存或傳輸過程中不被未授權修改)和可用性(確保資訊和系統在需要時可被授權者使用)。不可否認性(確保行為的發起者無法否認其行為)雖然也是資訊安全的重要概念,但通常不被列為核心的 CIA 三要素之一,有時會與問責性 (Accountability) 等一起被視為延伸要素。
下列哪一種技術旨在允許在加密數據上直接進行計算,而無需先解密,從而保護數據隱私?
A
差分隱私 (Differential Privacy)
B
同態加密 (Homomorphic Encryption)
C
聯邦學習 (Federated Learning)
同態加密是一種特殊的加密技術,允許第三方在不知道原始數據內容的情況下,對加密後的數據進行計算處理(如加法、乘法),其計算結果解密後與直接在原始數據上計算的結果相同。這使得數據可以在不犧牲隱私的情況下被外包處理。差分隱私是在數據分析結果中加入噪音以保護個體隱私。聯邦學習是將模型訓練分散到數據所在的本地端。數據遮罩是用虛假但看起來真實的數據替換敏感數據。
在數據生命週期的哪個階段,最需要關注數據的「最小化收集」原則?
數據最小化原則 (Data Minimization) 是許多隱私法規(如 GDPR)的核心要求,意指組織應僅收集為達成特定、明確且合法目的所必需的個人資料。這個原則主要應用在數據生命週期的起始點,即數據收集階段,以從源頭限制所持有的個人資料量,從而降低後續的隱私風險。其他階段雖然也需考慮合規性,但最小化原則的重點在於收集行為本身。
在人工智慧 (AI) 應用中,由於訓練數據中存在的歷史偏見或不平衡,導致模型對某些群體產生不公平或歧視性結果的現象,稱為什麼?
C
演算法偏見 (Algorithmic Bias)
D
對抗性攻擊 (Adversarial Attack)
演算法偏見是指 AI 系統性地產生對特定人口群體不公平的結果。這種偏見可能源於訓練數據本身的偏差(如歷史社會偏見、數據抽樣不均)、模型設計的缺陷或演算法的目標函數設定不當。模型漂移是指模型性能隨時間推移因數據分佈變化而下降。過度擬合是指模型過度學習訓練數據的細節和噪音,導致在新數據上表現不佳。對抗性攻擊是故意輸入惡意數據以欺騙模型。
下列何者是實施數據治理 (Data Governance) 的主要目的?
C
確保數據的品質、安全、合規性,並提升其作為組織資產的價值
數據治理是一個涵蓋數據政策、標準、流程、角色和控制的框架,旨在有效管理組織的數據資產。其目標是多方面的,包括確保數據的準確性、一致性和完整性(品質),保護數據免受未授權訪問和濫用(安全),滿足法律和法規要求(合規性),並最終使數據能夠被有效地利用以支持業務決策和創造價值。選項A與數據最小化原則相悖。選項B過於狹隘,合規只是治理的一部分。選項D是一種儲存策略,而非治理目標。
駭客發送大量看似合法的請求,癱瘓目標伺服器或網路資源,使其無法為正常使用者提供服務的攻擊手法,稱為什麼?
C
阻斷服務攻擊 (Denial of Service, DoS) 或 分散式阻斷服務攻擊 (Distributed Denial of Service, DDoS)
D
中間人攻擊 (Man-in-the-Middle, MitM)
阻斷服務 (DoS) 攻擊旨在消耗目標系統的資源(如頻寬、處理能力、記憶體),使其無法回應合法請求。分散式阻斷服務 (DDoS) 攻擊則是利用大量受感染的電腦(殭屍網路)同時發動攻擊,規模更大,更難防禦。網路釣魚是誘騙使用者洩露敏感資訊。勒索軟體是加密受害者檔案並要求贖金。中間人攻擊是竊聽或篡改雙方之間的通訊。
在公有雲環境中(如 AWS, Azure, GCP),客戶與雲端服務供應商之間的安全責任劃分模型通常被稱為什麼?
A
零信任模型 (Zero Trust Model)
B
責任共擔模型 (Shared Responsibility Model)
C
分層防禦模型 (Defense in Depth Model)
D
客戶全責模型 (Customer Full Responsibility Model)
責任共擔模型是雲端安全的基本概念。它明確指出雲端服務供應商 (CSP) 負責「雲本身」的安全(如基礎設施、硬體、網路),而客戶則負責「在雲中」的安全(如數據、應用程式、作業系統配置、身份和存取管理)。具體的責任劃分會因服務模式 (IaaS, PaaS, SaaS) 而異。零信任是一種安全策略,要求對所有訪問請求進行驗證。分層防禦是部署多層安全控制。客戶全責模型不適用於公有雲。
根據台灣的《個人資料保護法》,當企業收集個人資料時,必須履行的告知義務不包含下列何者?
台灣《個人資料保護法》第8條規定了告知義務的內容,主要包括:(1) 公務機關或非公務機關名稱;(2) 蒐集之目的;(3) 個人資料之類別;(4) 個人資料利用之期間、地區、對象及方式;(5) 當事人依第三條規定得行使之權利及方式;(6) 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。告知義務不要求企業揭露處理資料所使用的具體演算法細節。
使用對稱加密 (Symmetric Encryption) 時,其主要的安全挑戰是什麼?
對稱加密使用同一把金鑰進行加密和解密。其優點是速度快,適合加密大量數據。然而,最大的挑戰在於金鑰管理:通訊雙方必須在開始通訊前,透過一個安全的管道共享這把密鑰。如果金鑰在分發過程中被竊取,則加密的機密性將蕩然無存。選項A不正確,對稱加密通常比非對稱加密快。選項C不正確。選項D描述的是非對稱加密 (Asymmetric Encryption)。
差分隱私 (Differential Privacy) 的主要目標是?
差分隱私是一種提供嚴格數學定義的隱私保護框架。其核心思想是,在對數據集進行查詢或分析時,加入經過仔細計算的隨機噪音,使得查詢結果對於數據集中是否存在任何單一個體(或單一紀錄)不敏感。換句話說,無論某個特定個體的數據是否包含在數據集中,查詢結果的變化都非常小(在統計上難以區分),從而保護了個體隱私不被從匯總結果中推斷出來。它主要用於數據發布和分析階段。
數據去識別化 (De-identification) 過程中,常用的技術「遮罩」(Masking) 指的是?
數據遮罩是一種去識別化技術,通過替換數據中的敏感部分來保護隱私,同時盡可能保持數據的格式和可用性。例如,將身分證號碼的後幾位替換為'X'(如 A12345XXXX),或將姓名替換為隨機生成的假名。目的是讓數據對於測試、開發或分析等非生產環境仍然有用,但無法直接識別個體。完全刪除是另一種技術(抑制 Suppression)。加密是保護數據機密性,而去識別化旨在移除身份關聯。轉換為摘要信息屬於彙總 (Aggregation)。
AI 系統的「可解釋性」(Explainability) 為何在倫理和合規性方面很重要?
C
有助於理解模型決策過程、發現偏見、建立信任和滿足法規要求
可解釋性是指人類能夠理解 AI 模型做出特定決策或預測的原因。這對於:(1) 建立使用者和利益相關者的信任;(2) 偵測和修正模型中潛在的偏見或不公平性;(3) 確保模型行為符合預期和倫理規範;(4) 滿足特定法規(如 GDPR 中的解釋權要求)對透明度的要求;(5) 除錯和改進模型性能,都至關重要。可解釋性與訓練速度、準確率保證或程式碼長度沒有直接必然的關係。
下列何者通常不屬於數據治理 (Data Governance) 框架中的核心組成部分?
A
數據政策與標準 (Data Policies and Standards)
B
數據管理的角色與職責 (Roles and Responsibilities)
C
數據品質監控與度量 (Data Quality Monitoring and Metrics)
D
具體的資料庫查詢語法 (Specific Database Query Syntax)
數據治理關注的是管理數據的高層次策略、規則和流程。其核心組件通常包括定義數據相關的政策和標準、明確數據擁有者 (Owner)、管理者 (Steward) 等角色及其職責、建立數據品質的衡量標準和監控機制、管理數據字典和元數據、確保數據安全和合規性等。而具體的資料庫查詢語法(如 SQL 語句)屬於數據操作層面的技術細節,不屬於數據治理框架本身的核心內容。
下列哪項措施最能有效防禦網路釣魚 (Phishing) 攻擊?
C
提高使用者的安全意識,教育他們辨識可疑郵件和連結
網路釣魚主要利用社交工程手法誘騙使用者點擊惡意連結或開啟附件,從而竊取帳密或植入惡意軟體。雖然防毒軟體、強密碼和防火牆都是重要的安全措施,但它們可能無法完全阻擋精心設計的釣魚攻擊。最關鍵的防線是使用者本身,透過安全意識培訓,讓使用者學會辨識可疑郵件的特徵(如寄件人地址異常、語氣緊迫、要求提供敏感資訊、連結指向不明網域等),並謹慎處理,是降低釣魚攻擊成功率最有效的方法。多因素驗證 (MFA) 也是一個重要的技術防禦手段。
在雲端環境中,下列哪項安全措施是客戶的主要責任(尤其是在 IaaS 模式下)?
D
虛擬化管理程式 (Hypervisor) 的安全性
根據雲端責任共擔模型,在基礎設施即服務 (Infrastructure as a Service, IaaS) 模式下,雲端供應商負責底層的基礎設施,包括物理安全、網路基礎設施和 Hypervisor。而客戶則負責在此基礎設施之上部署和管理的部分,包括作業系統 (OS) 的安裝、補丁更新、安全配置、應用程式的部署與安全、數據的加密與備份、以及身份和存取管理 (Identity and Access Management, IAM) 等。因此,OS 的補丁和配置是客戶的主要責任。
GDPR 賦予數據主體 (Data Subject) 多項權利,下列何者不是 GDPR 保障的權利?
B
被遺忘權 (Right to be Forgotten / Erasure)
C
資料可攜權 (Right to Data Portability)
D
無限制分享其個人資料的權利 (Right to Share Personal Data without Limitation)
GDPR 保障數據主體多項權利,包括:知情權、存取權、更正權、刪除權(被遺忘權)、限制處理權、資料可攜權、反對權,以及與自動化決策和剖析相關的權利。這些權利旨在賦予個人對其數據更大的控制權。GDPR 並未賦予個人「無限制分享」其資料的權利,相反地,它規範的是數據控制者(企業)如何處理和保護個人資料,以及個人如何控制自己的資料被他人使用。
為了驗證使用者身份,除了密碼之外,還要求使用者提供手機驗證碼或使用生物辨識(如指紋),這種安全機制稱為什麼?
A
單一登入 (Single Sign-On, SSO)
B
多因素驗證 (Multi-Factor Authentication, MFA)
C
存取控制列表 (Access Control List, ACL)
D
加密雜湊函數 (Cryptographic Hash Function)
多因素驗證 (MFA) 是一種要求使用者提供兩種或兩種以上不同類型驗證因素 (Credentials) 來證明其身份的安全機制。常見的驗證因素類型包括:(1) 你所知道的事物 (Something you know),如密碼、PIN碼;(2) 你所擁有的物品 (Something you have),如手機(接收驗證碼)、實體安全金鑰;(3) 你是誰 (Something you are),如指紋、臉部辨識等生物特徵。MFA 能顯著提升帳戶安全性,因為即使密碼被盜,攻擊者通常也難以同時獲取其他驗證因素。
聯邦學習 (Federated Learning) 的主要優勢在於?
B
允許在分散的數據源上訓練模型,而無需將原始數據集中起來
聯邦學習是一種分散式的機器學習方法。其核心思想是將模型訓練任務推送到數據所在的本地設備(如手機、醫院伺服器),而不是將原始數據上傳到中央伺服器。各個設備使用本地數據訓練模型,然後只將模型的更新(如梯度或權重)傳回中央伺服器進行聚合,以更新全域模型。這樣做可以在利用分散數據的同時,保護本地數據的隱私和安全,因為原始數據不出本地。訓練速度不一定更快,偏見問題仍然存在,模型仍需更新。
當數據不再具有業務或法規保留的必要性時,應如何處理以降低風險?
數據生命週期的最後階段是處置或銷毀。根據數據保留政策 (Data Retention Policy),當數據的保留期限已過,且不再有法律、法規或業務需求時,應將其安全地銷毀(例如,物理銷毀儲存介質、使用軟體覆寫數據)或進行徹底的匿名化,使其無法再關聯到任何個人。這樣做可以最大限度地減少因數據洩露或不當使用而帶來的隱私和安全風險。僅僅移動到低成本儲存或無限期保留數據會增加不必要的風險。公開發布顯然違反隱私原則。
下列何種作法有助於減輕 AI 模型中的演算法偏見?
C
審查和平衡訓練數據,使用公平性指標評估模型,並採用偏見緩解技術
D
完全避免使用任何受保護特徵(如性別、種族)作為輸入
減輕演算法偏見需要多方面的努力:(1) 數據層面:仔細審查訓練數據是否存在偏見,並採取措施(如過採樣、欠採樣、重加權)使其更具代表性;(2) 模型層面:選擇合適的模型,並在訓練過程中或訓練後應用偏見緩解技術(如公平性約束、後處理調整);(3) 評估層面:使用多種公平性指標(如人口均等性、機會均等性)來評估模型在不同群體上的表現。僅增加數據量或選擇複雜模型可能無法解決甚至加劇偏見。完全移除受保護特徵有時可能導致代理歧視 (Proxy Discrimination)。
數據分類 (Data Classification) 在數據治理中的主要作用是?
B
根據數據的敏感性和重要性對其進行分級,以應用適當的安全控制
數據分類是數據治理和安全管理的重要實踐。它涉及根據預定義的標準(通常是數據的敏感度、價值或法規要求)將數據劃分為不同的類別或級別(例如,公開、內部、機密、高度機密)。這樣做的目的是為了能夠根據數據的級別,應用相應的、強度適當的安全控制措施(如存取控制、加密、監控),從而更有效地保護敏感數據,並合理分配安全資源。
下列哪項是針對惡意軟體 (Malware) 的主要防禦措施?
A
安裝和及時更新防毒/反惡意軟體,並定期掃描系統
惡意軟體(包括病毒、蠕蟲、木馬、勒索軟體、間諜軟體等)是常見的安全威脅。主要的防禦手段是使用信譽良好的防毒或反惡意軟體解決方案,保持其病毒定義碼為最新狀態,並定期對系統進行掃描以檢測和清除威脅。此外,及時更新作業系統和應用程式補丁、不點擊可疑連結或下載不明附件、使用防火牆等也是重要的輔助措施。HTTPS 主要保護傳輸中的數據機密性和完整性。增加記憶體與防禦惡意軟體無關。定期備份是應對勒索軟體等攻擊後果的重要恢復手段,但不是主要的預防措施。
雲端存取安全代理 (Cloud Access Security Broker, CASB) 解決方案的主要功能不包含下列哪項?
CASB 是一種位於使用者和雲端服務供應商之間的安全策略執行點,旨在擴展企業的安全控制到雲端環境。其核心功能通常包括四大支柱:(1) 可見性 (Visibility):監控使用者對雲端服務的訪問和活動;(2) 合規性 (Compliance):幫助組織滿足數據駐留和隱私法規要求;(3) 數據安全 (Data Security):實施數據丟失防護 (DLP)、加密、存取控制等策略;(4) 威脅防護 (Threat Protection):檢測惡意軟體、異常行為和未授權訪問。CASB 主要關注雲端服務的安全,不負責管理本地數據中心的物理硬體。
「隱私設計」(Privacy by Design, PbD) 的核心理念是?
B
在系統或服務設計開發的早期階段就將隱私保護措施嵌入其中
隱私設計 (PbD) 是一種主張採取預防性而非補救性措施來保護隱私的方法論。它強調應在技術、業務實踐和基礎設施設計的最開始階段就主動地、預設地將隱私考量和保護措施納入其中,而不是事後才添加。PbD 包含七項基本原則,如預設隱私 (Privacy by Default)、嵌入設計的隱私 (Privacy Embedded into Design)、端到端的安全 (End-to-End Security) 等,旨在將隱私保護作為系統的核心功能,而非附加選項。
雜湊函數 (Hash Function) 在密碼儲存中的主要用途是?
B
將密碼轉換為固定長度的不可逆字串,用於驗證而不儲存原始密碼
安全的密碼儲存實踐要求不直接儲存使用者的原始密碼。取而代之的是,使用密碼學上的雜湊函數(如 SHA-256)將使用者密碼轉換成一個固定長度的雜湊值 (Hash)。雜湊函數具有單向性(不可逆),即無法從雜湊值反推出原始密碼。當使用者登入時,系統會將輸入的密碼進行同樣的雜湊運算,並比較結果是否與資料庫中儲存的雜湊值匹配。這樣即使資料庫被盜,攻擊者也無法直接獲取原始密碼。通常還會結合加鹽 (Salting) 技術進一步提高安全性。
K-匿名 (K-Anonymity) 是一種數據去識別化技術,其目標是?
A
確保數據集中的每條紀錄至少與其他 K-1 條紀錄在準標識符 (Quasi-Identifiers) 上無法區分
K-匿名旨在防止透過連結攻擊 (Linking Attack) 重新識別個人。準標識符是指那些本身不是唯一識別碼,但組合起來可能識別個人的屬性(如郵遞區號、出生日期、性別)。K-匿名要求對數據進行修改(通常透過泛化 Generalization 或抑制 Suppression),使得對於任何一組準標識符的組合,至少有 K 條紀錄具有相同的組合值。這樣一來,即使攻擊者知道某人的準標識符,也無法將其精確地對應到數據集中的唯一紀錄,只能確定其屬於至少包含 K 個人的群組之一。
在數據處理活動前進行「數據保護影響評估」(Data Protection Impact Assessment, DPIA) 的主要目的是?
B
識別、評估和減輕高風險數據處理活動對個人隱私可能造成的風險
DPIA(在 GDPR 等法規下要求)是一個系統性的過程,用於評估預計進行的數據處理活動(特別是涉及新技術或可能對個人權利和自由產生高風險的活動)對個人數據保護的影響。其目的是在處理活動開始前,主動識別潛在的隱私風險,評估其嚴重性和可能性,並規劃採取適當的技術和組織措施來減輕這些風險,以確保合規性並保護數據主體的權利。
AI 倫理中的「透明度」(Transparency) 原則主要關注?
B
AI 系統的運作方式、使用的數據以及決策過程的可理解性
透明度原則是指 AI 系統的設計和運作應該是可理解和可追溯的。這涉及到向使用者和受影響者提供關於系統能力、局限性、所用數據來源以及決策邏輯的清晰資訊。透明度有助於建立信任、促進問責、發現和糾正錯誤或偏見,並使用戶能夠就系統的輸出做出明智的判斷。它與可解釋性 (Explainability) 密切相關,但更側重於資訊的公開和可獲得性。
下列哪項是確保數據合規性 (Compliance) 的關鍵活動?
C
定期進行內部審計,確保數據處理活動符合相關法律、法規和內部政策
數據合規性是指組織的數據處理活動遵守適用的法律(如 GDPR、個資法)、行業法規(如 HIPAA、PCI DSS)以及自身制定的內部政策和標準。確保合規性的關鍵活動包括:了解適用的法規要求、制定和實施合規的數據政策和流程、對員工進行培訓、部署適當的技術控制(如加密、存取控制),以及定期進行內部或外部審計,以驗證合規狀態並識別需要改進的領域。
下列哪種安全威脅是透過在合法網站的輸入欄位中注入惡意程式碼,使其在其他使用者瀏覽器中執行,從而竊取資訊或劫持會話?
A
跨網站指令碼 (Cross-Site Scripting, XSS)
B
SQL 資料隱碼攻擊 (SQL Injection)
D
暴力破解攻擊 (Brute Force Attack)
XSS 是一種常見的網站應用程式漏洞。攻擊者將惡意腳本(通常是 JavaScript)注入到受信任網站的內容中(例如,透過留言板、搜尋框)。當其他使用者瀏覽包含惡意腳本的頁面時,該腳本會在他們的瀏覽器中執行,使得攻擊者可以竊取 Cookies、Session Tokens,或者執行其他惡意操作。SQL Injection 是注入惡意 SQL 語句來操縱後端數據庫。DDoS 是癱瘓服務。暴力破解是嘗試大量密碼組合。
在選擇雲端服務供應商 (Cloud Service Provider, CSP) 時,下列哪個因素與數據主權 (Data Sovereignty) 最相關?
數據主權是指數據受到其儲存所在地國家的法律和治理結構約束的概念。當企業將數據儲存在雲端時,需要考慮 CSP 的數據中心位於哪個國家或地區,因為這將決定該數據受到哪個司法管轄區的法律(例如,關於政府監控、數據存取要求、隱私保護標準等)的約束。某些行業或國家可能有特定要求,規定敏感數據必須儲存在本國境內。因此,數據中心的地理位置是評估數據主權風險和合規性的關鍵因素。
根據數據隱私原則,「目的限制」(Purpose Limitation) 指的是?
B
個人資料的收集和處理應基於特定、明確且合法的目的,且不得以與該目的不符的方式進一步處理
目的限制是 GDPR 等隱私法規的關鍵原則之一。它要求數據控制者在收集個人資料時就必須確定清晰、具體的處理目的,並且告知數據主體。後續對資料的處理不得超出原先告知且合法的目的範圍,除非獲得數據主體的同意或有其他法律依據。這項原則旨在防止數據被濫用或用於未預期的目的。選項A是儲存限制原則。選項C涉及存取控制。選項D是數據最小化原則。
滲透測試 (Penetration Testing) 的主要目的是?
B
模擬真實世界的攻擊,主動發現和利用系統中的安全漏洞
滲透測試(也稱道德駭客 Ethical Hacking)是一種授權的、模擬的網路攻擊,旨在評估組織資訊系統的安全性。測試人員(滲透測試者)會嘗試利用各種技術和工具來繞過安全控制、發現並利用漏洞,以評估系統的弱點以及成功入侵可能造成的影響。其目的是在真正的攻擊者利用這些漏洞之前,主動識別風險並提出修補建議。監控流量是入侵檢測系統 (IDS) 的功能。
安全多方計算 (Secure Multi-Party Computation, SMPC) 允許一組互不信任的參與方?
B
在不洩露各自私密輸入數據的情況下,共同計算一個函數的結果
SMPC 是一組密碼學技術,允許多個持有私密數據的參與方協作計算一個共同的函數(例如,計算平均薪資、找出最高出價者),而過程中任何一方都無法得知其他方輸入的具體數據內容,只能得到最終的計算結果。這使得在保護各方數據隱私的前提下進行聯合數據分析或計算成為可能。
數據保留政策 (Data Retention Policy) 應基於哪些主要因素來制定?
數據保留政策規定了不同類型的數據應該被保留多長時間以及何時應該被安全銷毀。制定這項政策需要綜合考慮多種因素:(1) 法律和法規要求(某些法律可能規定了特定類型數據的最短或最長保留期);(2) 業務需求(數據對於營運、分析或報告是否仍有價值);(3) 潛在的法律訴訟或調查需求(可能需要保留特定數據作為證據)。儲存成本、收集日期和伺服器空間是次要考量或操作細節,而非決定保留期限的主要依據。
AI 倫理中的「問責性」(Accountability) 原則強調?
B
應明確 AI 系統的開發者、部署者和使用者對其行為和結果所應承擔的責任
問責性是指對於 AI 系統在其整個生命週期中的決策和結果,應有明確的責任歸屬機制。這意味著需要確定誰(開發者、部署者、擁有者、使用者等)應該對系統的設計、部署、運營以及可能造成的影響(包括錯誤、偏見或損害)負責。建立問責性有助於確保 AI 的開發和使用是負責任的,並為受到影響的人提供追索和補救的途徑。
數據血緣 (Data Lineage) 追蹤的主要目的是?
B
了解數據的來源、經過的轉換和處理流程,以及最終的去向
數據血緣記錄了數據在其生命週期中移動和變化的完整路徑。它描述了數據從何而來(來源系統、原始數據集),經歷了哪些處理步驟(清洗、轉換、聚合、模型訓練),以及最終流向何處(報告、儀表板、目標系統)。理解數據血緣對於數據治理、品質保證、故障排除、影響分析、合規性審計(例如,追蹤個人資料的使用)以及建立對數據分析結果的信任至關重要。
社交工程 (Social Engineering) 攻擊的主要目標是?
B
操縱或欺騙人類,使其違反安全程序或洩露敏感資訊
社交工程是一種非技術性的攻擊手段,它利用人性的弱點(如信任、好奇心、恐懼、助人為樂的傾向)來誘騙或操縱受害者,使其做出不安全的行為,例如點擊惡意連結(網路釣魚)、提供密碼、透露機密資訊、安裝惡意軟體或授予未授權的訪問權限。攻擊者可能透過電話、電子郵件、社交媒體甚至面對面的方式進行。防禦社交工程的關鍵在於提高人員的安全意識。
雲端存取安全代理 (Cloud Access Security Broker, CASB) 解決方案的主要功能不包含下列哪項?
CASB 是一種位於使用者和雲端服務供應商之間的安全策略執行點,旨在擴展企業的安全控制到雲端環境。其核心功能通常包括四大支柱:(1) 可見性 (Visibility):監控使用者對雲端服務的訪問和活動;(2) 合規性 (Compliance):幫助組織滿足數據駐留和隱私法規要求;(3) 數據安全 (Data Security):實施數據丟失防護 (DLP)、加密、存取控制等策略;(4) 威脅防護 (Threat Protection):檢測惡意軟體、異常行為和未授權訪問。CASB 主要關注雲端服務的安全,不負責管理本地數據中心的物理硬體。
個人可識別資訊 (Personally Identifiable Information, PII) 是指?
PII 是一個廣泛使用的術語,指任何單獨或與其他資訊結合後可用於識別特定個人的資訊。這包括直接標識符(如姓名、身分證號碼、電子郵件地址、電話號碼)和間接標識符(如出生日期、地址、生物特徵數據、某些情況下的 IP 位址等)。保護 PII 是數據隱私法規的核心要求。財務資訊是 PII 的一種,但 PII 範圍更廣。匿名化數據旨在移除 PII。商業機密是公司資訊,不是個人資訊。
防火牆 (Firewall) 的主要功能是?
防火牆是位於兩個或多個網路(通常是內部私有網路和外部公共網路,如網際網路)之間的網路安全設備或軟體。它的主要作用是像一道屏障,根據管理員設定的安全規則(例如,基於來源/目的 IP 位址、埠號、協定等),檢查流經它的網路封包,並決定允許哪些流量通過,阻止哪些流量,從而保護內部網路免受來自外部的未授權訪問和潛在威脅。清除病毒是防毒軟體的功能。加密硬碟是磁碟加密工具的功能。身份驗證是認證系統的功能。
下列哪項不是使用合成數據 (Synthetic Data) 作為隱私保護技術的潛在優點?
D
生成的數據保證 100% 反映真實世界的每一個細節
合成數據是人工生成的、旨在模仿真實數據統計模式和結構的數據,但不包含任何真實個體的記錄。其優點包括:(1) 隱私保護:因為不含真實 PII,可用於測試、開發或共享,而風險較低;(2) 數據擴增:可生成大量數據用於訓練模型;(3) 模擬稀有事件:可創建難以在現實中收集的數據。然而,合成數據是基於模型生成的,其品質取決於生成模型的能力,它可能無法完全捕捉真實數據的所有細微差別和複雜關係,因此不能保證 100% 反映真實世界的每一個細節。
數據生命週期管理 (Data Lifecycle Management, DLM) 中,將不常存取但仍需保留的數據移至成本較低的儲存層級的過程稱為什麼?
D
數據銷毀 (Data Destruction)
數據歸檔是指將不再頻繁使用(或處於非活動狀態)但仍需根據法規或業務需求保留的數據,從主要、高性能的儲存系統遷移到成本較低、容量較大的次級儲存(如磁帶、低成本雲儲存)的過程。目的是釋放主要儲存空間、降低儲存成本,同時確保數據在需要時仍可被檢索。數據備份是為了數據恢復而創建數據副本。數據加密是保護機密性。數據銷毀是最終處置。
「公平性」(Fairness) 作為 AI 倫理的重要考量,其評估通常是?
B
具有多種不同的定義和指標,需根據具體應用場景和社會價值觀來選擇
AI 中的公平性是一個複雜且多維度的概念,沒有單一的、放諸四海皆準的定義。不同的公平性定義(如群體公平性 Group Fairness vs. 個體公平性 Individual Fairness)和指標(如人口均等 Demographic Parity、機會均等 Equal Opportunity、預測均等 Predictive Parity 等)可能相互衝突。選擇哪種公平性標準取決於特定的應用背景、倫理考量和社會價值觀。評估和實現公平性往往需要在不同目標(如準確率與公平性)之間進行權衡,並涉及技術和非技術(如社會、法律)層面的考量。
元數據管理 (Metadata Management) 在數據治理中的重要性在於?
A
提供關於數據的描述性資訊(數據的數據),有助於理解、查找和使用數據
元數據是「關於數據的數據」,它描述了數據的背景資訊,例如數據的定義、來源、格式、結構、創建日期、擁有者、數據品質規則、存取權限、數據血緣等。有效的元數據管理對於數據治理至關重要,因為它:(1) 提高了數據的可發現性(讓人們能找到所需數據);(2) 增強了數據的可理解性(讓人們明白數據的意義和用法);(3) 促進了數據標準化和一致性;(4) 支持了數據品質和合規性活動;(5) 建立了對數據的信任。
零時差攻擊 (Zero-day Attack) 指的是?
A
利用軟體或硬體中尚未被開發商或公眾所知悉且尚未有修補程式的安全漏洞發起的攻擊
「零時差」(Zero-day) 指的是軟體開發商對於某個安全漏洞的知曉和修補時間為零天。零時差攻擊就是指駭客利用了這樣一個剛剛被發現(甚至還未被發現)且還沒有可用補丁的安全漏洞來進行攻擊。因為沒有現成的防禦措施(如補丁或更新的病毒定義),零時差攻擊通常非常危險且難以防禦,需要依賴更主動的威脅檢測技術(如行為分析、入侵防禦系統 IPS)來應對。
在雲端環境中,確保虛擬機器 (Virtual Machine, VM) 之間網路流量隔離的常用技術是?
B
虛擬區域網路 (Virtual Local Area Network, VLAN) 或 虛擬私有雲 (Virtual Private Cloud, VPC) 的安全群組/網路安全群組 (Security Groups / Network Security Groups, NSG)
C
內容傳遞網路 (Content Delivery Network, CDN)
D
網域名稱系統 (Domain Name System, DNS)
在雲端環境中,通常使用邏輯隔離機制來控制虛擬機器之間的網路通訊。VLAN 是一種傳統的網路分段技術。在現代公有雲平台(如 AWS, Azure, GCP)中,更常見的是使用 VPC 來創建邏輯上隔離的私有網路環境,並在其中配置子網 (Subnets)。而控制進出 VM 流量的關鍵機制是安全群組(AWS)或網路安全群組(Azure, GCP),它們作為狀態化的虛擬防火牆,允許定義基於 IP 位址、埠號和協定的入站和出站規則,從而實現精細的流量隔離和訪問控制。
當發生個人資料外洩事件時,根據台灣《個人資料保護法》施行細則,非公務機關應在查明後,以「適當方式」通知當事人。下列何者最不可能是「適當方式」?
台灣《個人資料保護法》第12條規定,發生個資外洩事故後,應查明事實並以適當方式通知當事人。其施行細則第22條進一步說明「適當方式」應考量事故狀況、通知成本等因素,可採言詞、書面、電話、簡訊、電子郵件、傳真、電子報或其他足以使當事人知悉或可得知悉的方式。當無法逐一通知時,可採網路公告、大眾傳播媒體公告或其他適當公開方式。目的是要讓受影響的當事人知情。僅口頭告知少數內部員工,顯然無法達到通知受影響當事人的目的,因此最不可能是適當方式。
最小權限原則 (Principle of Least Privilege) 在資訊安全中的核心思想是?
B
僅授予使用者或程式執行其指定功能所必需的最低級別權限
最小權限原則是資訊安全和存取控制的基本原則。它要求任何使用者、程式或系統元件都應該只被授予能夠完成其被授權任務所需的最小權限集合。這樣做的好處是,即使帳戶被盜用或程式出現漏洞,其可能造成的損害範圍也會被限制在該帳戶或程式的最小權限內,從而顯著降低安全風險。給予過多權限(如選項A)會增加風險。選項C和D與最小權限原則的定義無直接關係。