就業考試大猜題 Part 2

此次準備研訓院的就業考試以計算機概論及資訊安全概論為主，主要皆是以問答題來呈現，從其他網站看到過去的出題範圍，發現這個考題徧向實務，而非理論面。整理一些過去題目及使用GPT解題作一個整理。答案正確性請自行核實，本站無法保證可以拿分。

Q: Microsoft 的 Configuration Manager 與 Windows Server 和 SQL Server 可以完全整合協助進行系統管理，請條列說明 Configuration Manager 的主要功能為何？又在安裝 Unix 的用戶端之後，可使用何種工具來更新用戶端上的憑證撤銷清單（CRL）？

Microsoft Configuration Manager 的主要功能

軟體部署與管理：
- 允許集中化管理和部署軟體應用程序和更新，包括自動化的部署流程和計劃。
- 提供軟體庫管理，可有效控制和組織不同版本的軟體。
裝置管理：
- 管理各種裝置（如桌面、筆記型電腦、行動裝置）的配置、安全性和遙測。
- 支持設備發現和存儲設備屬性，有助於全面了解網絡中的裝置狀態和配置。
操作系統部署：
- 提供自動化的操作系統部署（如 Windows 安裝）和更新管理。
- 支持映像和無狀態操作系統安裝，可根據需要快速配置新的裝置。
更新管理：
- 提供更新服務，管理和部署操作系統和應用程序的安全和非安全更新。
- 支持自動化的更新流程和計劃，確保系統和應用程序保持最新的安全狀態。
監控與報告：
- 監控裝置和應用程序的運行狀態和性能。
- 提供多種預先定義和可自定義的報告，用於分析和評估系統運行情況和合規性。
安全性和合規性：
- 提供安全性配置和合規性檢查，確保系統和應用程序符合安全標準和法規要求。
- 支持安全漏洞評估和修補管理，減少安全風險和漏洞。
用戶端管理：
- 集中管理用戶端的設置、應用程序和遙測，以及設置與部署用戶端管理工具。
集成與擴展性：
- 與其他 Microsoft 產品（如 Active Directory、Exchange）和第三方工具集成，提供更強大的管理能力。
- 支持擴展性，可根據組織需求和規模進行部署和擴展。

更新 Unix 用戶端上的憑證撤銷清單（CRL）

在安裝 Unix 用戶端後，可以使用以下工具來更新用戶端上的憑證撤銷清單（CRL）：

OpenSSL：OpenSSL 是一個廣泛使用的開源加密庫，它包含一個用於憑證操作的命令列工具。在 Unix 系統上，可以使用 OpenSSL 的命令來更新和管理憑證和憑證撤銷清單。

具體來說，使用 OpenSSL 的 openssl crl 命令可以進行憑證撤銷清單的操作，包括下載最新的 CRL、檢視 CRL 的內容和狀態、以及更新系統中的 CRL。

示例命令如下：

bash複製程式碼# 下載最新的 CRL
openssl crl -inform DER -in crl_file.crl -outform PEM -out crl_file.pem

# 檢視 CRL 內容
openssl crl -in crl_file.pem -text

# 更新系統中的 CRL
openssl crl -inform PEM -in crl_file.pem -outform DER -out crl_file.crl

這些命令使 Unix 管理員能夠有效地更新並管理憑證撤銷清單，確保系統中使用的憑證保持最新並有效。

Q: 在 Linux 及 Windows 環境分別使用哪個指令得知本機的網路 IP 設定等資料？

Linux 環境：

指令：ifconfig 或 ip addr show
說明：這兩個指令可以顯示本機的網路接口配置，包括 IP 地址、網關、子網掩碼等。ifconfig 是傳統的指令，而 ip addr show 是較新的工具，並且在現代的 Linux 發行版中更推薦使用。

Windows 環境：

指令：ipconfig
說明：ipconfig 指令可以顯示 Windows 系統中的網路配置，包括 IPv4 和 IPv6 地址、子網掩碼、默認網關等。

Q: 在 Linux 及 Windows 環境分別使用哪個檢測工具指令可以追蹤從本機到 www.google.com 的網路封包經過的路由？

Linux 環境：
- 指令：traceroute
- 說明：traceroute 工具用於顯示網絡封包從本機到目的地（例如 www.google.com）所經過的每一跳路由器。它可以幫助診斷網絡連接問題。
示例：bash複製程式碼traceroute www.google.com
Windows 環境：
- 指令：tracert
- 說明：tracert 工具功能與 Linux 的 traceroute 類似，用於跟蹤從本機到目的地的網路封包所經過的路由。這個工具顯示每一跳的 IP 地址和相應的延遲時間。
示例：cmd複製程式碼tracert www.google.com

這些指令和工具可以幫助用戶了解和診斷網絡配置和連接問題，並且在 Linux 和 Windows 環境下都有相應的命令來實現這些功能。

Q: 企業於網際網路傳輸文件資料時，加入「數位簽章」（Digital Signature）之目的為何？

數位簽章在網際網路傳輸文件資料時的主要目的如下：

驗證身份（Authentication）：
- 確認發送者的身份，保證文件確實來自聲稱的發送者，而非偽裝者。
數據完整性（Data Integrity）：
- 確保文件在傳輸過程中沒有被篡改。任何對文件的改動都會使數位簽章無效，從而檢測出篡改行為。
不可否認性（Non-repudiation）：
- 發送者無法否認自己曾發送該文件，因為數位簽章是唯一與發送者的私鑰相關聯的。

這些目的共同保護了文件在傳輸過程中的安全性和可靠性。

Q:　傳送端建立數位簽章以及接收端驗證數位簽章時，於收送兩端各須使用何種類型「金鑰」（key）？

傳送端建立數位簽章：
- 私鑰（Private Key）：傳送端使用自己的私鑰對文件進行數位簽章。這個私鑰應該是秘密保護的，只有發送者擁有。
接收端驗證數位簽章：
- 公鑰（Public Key）：接收端使用發送者的公鑰來驗證數位簽章。這個公鑰是公開的，任何人都可以獲得，用來驗證數位簽章的有效性。

這種公私鑰對的使用確保了數位簽章的安全性，只有持有相應私鑰的人才能生成有效的數位簽章，而任何人都可以用公鑰來驗證簽章。

Q:　於企業作業安全管理規範上，何謂「最小權限原則」（principle of least privilege, POLP）？請說明之。

最小權限原則（Principle of Least Privilege, POLP） 是指在企業作業安全管理中，授予用戶、程序或系統最少的權限，僅夠完成其必要任務或工作。這一原則有以下幾點說明：

限制權限：
- 用戶或應用程序僅獲得其工作所需的最低限度的權限，避免過多的權限授予。
降低風險：
- 減少權限濫用或被惡意利用的風險，保護系統和數據免受未經授權的訪問或修改。
控制訪問範圍：
- 嚴格控制對系統資源的訪問範圍，確保用戶只能訪問與其職責相關的資源和數據。
提高安全性：
- 實施最小權限原則有助於提高整體安全性，減少內部威脅和外部攻擊的影響範圍。
定期審查和調整：
- 定期審查用戶和應用程序的權限，確保它們依然符合最小權限原則，並根據需求進行調整。

最小權限原則是企業安全管理的重要策略，有助於維護系統的安全性和穩定性，減少潛在的安全威脅。

Q:以 SQL 語言定義資料庫時，資料型態 char（12）、nchar（12）、varchar（40）和 nvarchar（40）等四種模式有何不同又各佔幾個 Byte？另外，DB2 之 SMALLINT 型態可以儲存之值的範圍為何？

SQL 中的資料型態及其佔用的 Byte 數

char(12):
- 描述：固定長度的字元串，長度為 12 字元。
- 佔用 Byte 數：每個字元佔用 1 Byte，因此總共佔用 12 Byte。
nchar(12):
- 描述：固定長度的 Unicode 字元串，長度為 12 字元。
- 佔用 Byte 數：每個字元佔用 2 Byte，因此總共佔用 24 Byte。
varchar(40):
- 描述：可變長度的字元串，最大長度為 40 字元。
- 佔用 Byte 數：實際佔用的 Byte 數依據儲存的字元數而定，每個字元佔用 1 Byte。最大可佔用 40 Byte。
nvarchar(40):
- 描述：可變長度的 Unicode 字元串，最大長度為 40 字元。
- 佔用 Byte 數：實際佔用的 Byte 數依據儲存的字元數而定，每個字元佔用 2 Byte。最大可佔用 80 Byte。

DB2 中的 SMALLINT 型態儲存範圍

描述：SMALLINT 是一種短整數型態。
範圍：-32,768 到 32,767

詳細解釋

char(12): 固定長度，無論實際儲存的字元數是多少，總是佔用 12 Byte，適用於長度固定的資料。
nchar(12): 固定長度的 Unicode 字元串，使用 2 Byte 表示一個字元，無論實際儲存的字元數是多少，總是佔用 24 Byte，適用於長度固定且需要多語言支援的資料。
varchar(40): 可變長度，依據實際儲存的字元數佔用對應的 Byte 數，最多佔用 40 Byte，適用於長度變化的資料，節省空間。
nvarchar(40): 可變長度的 Unicode 字元串，依據實際儲存的字元數佔用對應的 Byte 數，最多佔用 80 Byte，適用於長度變化且需要多語言支援的資料。
SMALLINT: 範圍是 -32,768 到 32,767，適用於儲存範圍較小的整數資料，節省空間。

請依 TCP/IP 協定相關技術，回答下列問題

Q: 條列說明 TCP 協定之主要功能。

TCP（Transmission Control Protocol）是一種可靠的、面向連接的協定，主要功能包括：

連接建立和管理：
- 提供可靠的連接建立、維護和終止機制，確保通信雙方能夠建立穩定的連接。
數據傳輸可靠性：
- 使用確認機制（Acknowledgment）和重傳機制（Retransmission）確保數據可靠傳輸，即使在不可靠的網絡環境中，也能保證數據完整到達。
數據流控制：
- 通過滑動窗口（Sliding Window）機制控制數據的傳輸速率，防止發送方傳輸速度過快導致接收方無法處理。
錯誤檢測與校正：
- 使用校驗和（Checksum）來檢測數據在傳輸過程中的錯誤，確保數據完整性。
有序數據傳輸：
- 保證數據包按順序到達，通過序列號（Sequence Number）和確認號（Acknowledgment Number）來實現數據的有序傳輸。
全雙工通信：
- 支持雙向同時傳輸數據，允許發送方和接收方同時進行數據通信。

Q: 條列並說明”Three-Way Handshake”的各步驟。

TCP 連接的 “Three-Way Handshake” 是建立可靠通信連接的過程，包括以下三個步驟：

SYN（Synchronize）：
- 步驟：客戶端向服務器發送一個 SYN 包（同步序列號），表明客戶端想要建立連接。
- 細節：SYN 包中包含初始序列號（Sequence Number, 假設為 x）。
- 方向：Client → Server
SYN-ACK（Synchronize-Acknowledgment）：
- 步驟：服務器收到 SYN 包後，回應一個 SYN-ACK 包，確認收到的 SYN 包並同意建立連接。
- 細節：SYN-ACK 包中包含服務器自己的初始序列號（假設為 y）和對客戶端 SYN 包的確認號（x+1）。
- 方向：Server → Client
ACK（Acknowledgment）：
- 步驟：客戶端收到 SYN-ACK 包後，回應一個 ACK 包，確認收到的 SYN-ACK 包，表示連接建立完成。
- 細節：ACK 包中包含對服務器序列號的確認號（y+1）。
- 方向：Client → Server

Three-Way Handshake 總結

Client 發送 SYN（初始序列號 x）→ Server
Server 發送 SYN-ACK（初始序列號 y，確認號 x+1）→ Client
Client 發送 ACK（確認號 y+1）→ Server

完成這三個步驟後，TCP 連接成功建立，雙方可以開始穩定可靠的數據傳輸。

Q: 企業電腦網站若獲得網路安全 VeriSign 認證標章，則與該網站連線時是以 SSL/TLS 作為資料加密保護機制，請問 SSL 之英文（或中文）全名為何？

SSL 的英文全名：Secure Sockets Layer

SSL 的中文全名：安全套接層

TLS 的英文全名：Transport Layer Security

TLS 的中文全名：傳輸層安全協定

TLS（Transport Layer Security）是 SSL 的後繼版本，但兩者經常一起提及，因為它們都用於保護網路通信。

主要改進了安全性和性能。以下是 SSL 和 TLS 的主要差異：

1. 安全性改進

加密算法：
- SSL 使用的加密算法較舊，有些算法已被證明不安全。
- TLS 引入了更強大的加密算法，並淘汰了已知不安全的算法。
消息驗證碼（MAC）：
- SSL 使用的 MAC 算法較弱，容易受到攻擊。
- TLS 改進了消息驗證碼的生成方式，增加了安全性。

2. 協議版本

SSL 有三個主要版本：SSL 1.0（未公開）、SSL 2.0 和 SSL 3.0。
- SSL 2.0 和 SSL 3.0 都存在嚴重的安全漏洞，目前已不再被建議使用。
TLS 是 SSL 的升級版，有多個版本：TLS 1.0、TLS 1.1、TLS 1.2 和 TLS 1.3。
- 每個新版本都修復了前一版本的安全漏洞，並引入了新的功能和改進。

3. 握手過程

SSL 的握手過程較為簡單，但存在已知的漏洞，如 POODLE 攻擊。
TLS 改進了握手過程，引入了 Forward Secrecy（前向安全性）等特性，增強了協議的安全性。

4. 加密套件協商

SSL 的加密套件協商過程較為簡單，但存在協商不當可能導致安全風險。
TLS 改進了加密套件的協商過程，並引入了更安全的協商機制。

5. 密鑰交換

SSL 支持的密鑰交換方法較少，並且有些方法已被證明不安全。
TLS 支持更多的密鑰交換方法，並且大部分方法具有更高的安全性，如 Elliptic Curve Diffie-Hellman (ECDHE)。

6. 訊息加密

SSL 的訊息加密方法較舊，存在已知的弱點。
TLS 引入了更強大的訊息加密方法，如 AES-GCM（Galois/Counter Mode）。

7. 協議版本滅活

SSL 協議的老版本已被多數現代瀏覽器和伺服器禁用。
TLS 1.0 和 1.1 也逐漸被淘汰，現代網絡應用主要使用 TLS 1.2 和 TLS 1.3。

總結

TLS 是 SSL 的升級版，主要改進了安全性和性能，解決了 SSL 中存在的多數安全問題。TLS 提供了更強大的加密算法、更安全的密鑰交換方法和更安全的握手過程。隨著網絡安全要求的提高，TLS 已經成為現代網絡通信加密的主要協議。

Q: 企業電腦系統連線至網際網路若安全防護性不足，易遭受各樣式的駭客攻擊或病毒碼入侵，屬於惡意程式（malware）的「電腦蠕蟲」(worm)，其如何入侵與危害企業電腦？請分別說明之。

1. 電腦蠕蟲的入侵方式

電腦蠕蟲是一種自我複製的惡意程式，能夠利用網絡和系統漏洞進行擴散和入侵。以下是蠕蟲入侵企業電腦的主要方式：

利用系統漏洞：
- 蠕蟲常常利用操作系統或應用程序的漏洞進行自動擴散。一旦發現漏洞，蠕蟲會自動侵入並安裝在受害電腦中。
網絡傳播：
- 蠕蟲能夠通過網絡連接進行傳播，特別是在局域網中更為迅速。它們可以掃描網絡中的其他設備，尋找未打補丁的系統進行攻擊。
電子郵件：
- 蠕蟲經常使用帶有惡意附件的電子郵件進行傳播。用戶一旦打開附件，蠕蟲便會進入系統並開始複製和擴散。
移動設備和可移動媒體：
- 蠕蟲可以利用 USB 驅動器和其他可移動媒體進行傳播。一旦插入受感染的媒體，蠕蟲就會自動複製到主機設備。

2. 電腦蠕蟲對企業電腦的危害

電腦蠕蟲的危害多種多樣，可能對企業的系統和數據造成嚴重損害。主要危害包括：

系統資源消耗：
- 蠕蟲會在受感染系統中不斷複製，消耗大量的 CPU、內存和網絡帶寬資源，導致系統性能下降，甚至使系統癱瘓。
數據丟失或損壞：
- 某些蠕蟲可能會刪除或修改系統中的重要數據，造成數據丟失或損壞，對企業的業務運作造成嚴重影響。
後門植入：
- 許多蠕蟲會在受感染系統中植入後門，使攻擊者可以遠程控制系統，進行數據竊取、系統破壞等惡意行為。
網絡擴散：
- 蠕蟲能夠迅速在局域網內擴散，攻擊更多的設備和系統，擴大感染範圍，給整個企業網絡帶來嚴重的安全威脅。
服務中斷：
- 大量的蠕蟲活動可能會導致網絡擁堵和服務中斷，影響企業正常的業務運作和客戶服務。

總結

電腦蠕蟲是一種高危的惡意程式，其通過利用系統漏洞、網絡傳播、電子郵件、移動設備等方式入侵企業電腦，並且會造成系統資源消耗、數據丟失或損壞、後門植入、網絡擴散和服務中斷等多方面的危害。因此，企業需要加強安全防護措施，定期更新系統補丁，使用防病毒軟件和防火牆，並提高員工的安全意識，以有效防範蠕蟲的入侵和攻擊。

Q: 作業系統(Operation System 簡稱 OS)是一套用來管理電腦資源的程式，而電腦資源管理包括哪些？

1. 處理器管理（Processor Management）

行程管理（Process Management）：
- OS 管理系統中所有的行程（進程），包括行程的創建、調度、終止等。
- 負責行程的狀態轉換和行程間的同步與通信。
行程調度（Process Scheduling）：
- OS 使用調度演算法決定行程在 CPU 上的執行順序，確保各行程公平且有效地使用 CPU 資源。
- 演算法包括先來先服務（FCFS）、短作業優先（SJF）、輪詢（Round Robin）等。

2. 記憶體管理（Memory Management）

主記憶體管理（Main Memory Management）：
- OS 負責記憶體分配和釋放，確保各行程在執行過程中能夠獲得所需的記憶體。
- 包括分段、分頁和虛擬記憶體技術，以提高記憶體使用效率和系統穩定性。
虛擬記憶體（Virtual Memory）：
- OS 通過虛擬記憶體技術允許行程使用比實際物理記憶體更多的記憶體。
- 使用分頁（paging）或分段（segmentation）機制將記憶體劃分為小塊，動態映射到物理記憶體中。

3. 檔案系統管理（File System Management）

檔案管理（File Management）：
- OS 負責檔案的創建、讀取、寫入、刪除等操作，並提供檔案系統接口供應用程式使用。
- 組織和管理磁碟上的數據，使其可以有效存取和管理。
目錄管理（Directory Management）：
- OS 維護目錄結構，管理檔案的層次結構和命名空間。
- 支援目錄操作，如創建、刪除、重命名等。

4. 裝置管理（Device Management）

I/O 裝置管理（I/O Device Management）：
- OS 管理所有輸入和輸出裝置，包括鍵盤、滑鼠、顯示器、打印機等。
- 使用裝置驅動程式（Device Drivers）來抽象和控制具體硬體裝置的操作，提供統一的接口供應用程式使用。
裝置排程（Device Scheduling）：
- OS 排程 I/O 操作，確保多個行程能夠有效地共享 I/O 裝置。
- 使用 I/O 排程演算法，如先來先服務（FCFS）、最短尋道時間優先（SSTF）等。

5. 儲存管理（Storage Management）

次級儲存管理（Secondary Storage Management）：
- OS 管理硬碟、固態硬碟等次級儲存裝置，確保數據的持久性和有效性。
- 包括磁碟分區、檔案系統格式化、磁碟空間分配等。
緩存管理（Cache Management）：
- OS 使用緩存技術加速數據存取，緩解主記憶體和次級儲存之間的速度差異。
- 包括頁面快取、磁碟快取等技術。

6. 網絡管理（Network Management）

網絡協定管理（Network Protocol Management）：
- OS 實現和管理各種網絡協定，如 TCP/IP、UDP 等，提供網絡通信功能。
- 管理網絡連接、數據傳輸和錯誤處理。
網絡資源管理（Network Resource Management）：
- OS 負責網絡資源的分配和監控，如 IP 地址、帶寬等。
- 管理網絡安全，防止未經授權的存取和攻擊。

7. 安全與訪問控制（Security and Access Control）

使用者認證（User Authentication）：
- OS 提供認證機制，如用戶名和密碼驗證，確保只有授權用戶能夠訪問系統資源。
訪問控制（Access Control）：
- OS 通過存取控制清單（ACL）和其他機制管理用戶對系統資源的訪問權限，保護數據和資源安全。

8. 用戶界面（User Interface）

命令行界面（CLI）：
- OS 提供命令行界面，允許用戶通過文本命令與系統互動。
圖形用戶界面（GUI）：
- OS 提供圖形用戶界面，允許用戶通過圖形和圖標與系統互動，提高易用性和友好性。

這些資源管理功能共同協作，確保操作系統能夠高效、穩定地運行，並提供應用程式和用戶所需的各種服務。

Q: 資料庫系統於設計時為避免資料的操作異常，需針對資料庫儲存的資料作正規化，請問 1NF、2NF 及 3NF 須注意哪些原則？請說明之。

在設計資料庫系統時，正規化是一個重要的步驟，旨在減少資料冗餘，避免資料異常。正規化過程中常用的三個主要正規化形式（1NF、2NF、3NF）各有其原則和要求，下面分別說明：

第一正規化（1NF, First Normal Form）

原則：

原子性：資料庫表中的每一個欄位都必須是原子的，也就是說，欄位的值不能再被進一步分割。
唯一性：每一行應當是唯一的，這通常通過定義主鍵來實現。

要求：

每個欄位都應該包含單一的、不可分割的值。
表格中的每個欄位都必須包含相同類型（域）的值。

例子：將以下不符合 1NF 的表格轉換成符合 1NF 的表格：

不符合 1NF 的表格：

學生ID	姓名	電話
1	張三	123456, 789012
2	李四	345678

符合 1NF 的表格：

學生ID	姓名	電話
1	張三	123456
1	張三	789012
2	李四	345678

第二正規化（2NF, Second Normal Form）

原則：

1NF：必須符合第一正規化。
消除部分函數依賴：所有非主鍵欄位必須完全依賴於主鍵，而不能只依賴於主鍵的一部分。

要求：

如果一個表有複合主鍵，則表中的非主鍵欄位應當依賴於主鍵的所有部分，而不是僅僅依賴於其中的一部分。

例子：將以下符合 1NF 但不符合 2NF 的表格轉換成符合 2NF 的表格：

符合 1NF 但不符合 2NF 的表格：

訂單ID	產品ID	產品名	數量
1001	A1	鉛筆	10
1002	A2	原子筆	5

符合 2NF 的表格：產品表：

產品ID	產品名
A1	鉛筆
A2	原子筆

訂單表：

訂單ID	產品ID	數量
1001	A1	10
1002	A2	5

第三正規化（3NF, Third Normal Form）

原則：

2NF：必須符合第二正規化。
消除傳遞函數依賴：非主鍵欄位不能依賴於其他非主鍵欄位，所有非主鍵欄位都應當直接依賴於主鍵。

要求：

表中的每個非主鍵欄位應當只依賴於主鍵，而不是依賴於其他非主鍵欄位。

例子：將以下符合 2NF 但不符合 3NF 的表格轉換成符合 3NF 的表格：

符合 2NF 但不符合 3NF 的表格：

訂單ID	客戶ID	客戶名	數量
1001	C1	張三	10
1002	C2	李四	5

符合 3NF 的表格：客戶表：

客戶ID	客戶名
C1	張三
C2	李四

訂單表：

訂單ID	客戶ID	數量
1001	C1	10
1002	C2	5

總結

1NF：確保欄位值的原子性。
2NF：在符合 1NF 的基礎上，消除部分函數依賴。
3NF：在符合 2NF 的基礎上，消除傳遞函數依賴。

通過這些正規化步驟，資料庫設計可以更有效地避免資料冗餘和資料異常，從而提高資料的一致性和完整性。

Q: 解釋下列兩種網站攻擊方式：(1) cookie tampering (2) cross-site scripting

(1) Cookie Tampering

Cookie tampering 是指攻擊者修改或竄改使用者的瀏覽器中存儲的 HTTP cookie 的過程或行為。HTTP cookie 是一種存儲在用戶端（例如瀏覽器）中的小型數據塊，它們通常用於維護用戶在網站之間的狀態信息，例如登錄狀態、會話識別碼等。

攻擊方式及影響：

攻擊方式：攻擊者可以截取和修改用戶端的 cookie，尤其是包含敏感信息的 cookie，如登錄憑證或會話識別碼。
影響：如果攻擊成功，攻擊者可以偽裝成合法用戶，進而執行各種操作，例如未經授權地訪問用戶帳戶、修改用戶信息，或者甚至進行金融交易等操作。

防護措施：

使用 HTTPS 來加密數據在傳輸過程中的安全性，防止中間人攻擊。
在設計應用程序時，應盡可能地減少在 cookie 中存儲敏感信息，並使用安全的方法來處理敏感數據。

(2) Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) 是一種網站應用程式中常見的安全漏洞，它允許攻擊者在受害者的瀏覽器上執行惡意的客戶端腳本代碼。

攻擊方式及影響：

攻擊方式：攻擊者將含有惡意腳本的輸入數據（通常是通過網站上的表單或參數傳遞）提交給目標網站，當受害者訪問包含該腳本的頁面時，這些腳本將在受害者的瀏覽器中執行。
影響：XSS 攻擊可以允許攻擊者盜取受害者的會話 cookie、修改網頁內容、重定向用戶到惡意網站、執行用戶未經授權的操作等。

防護措施：

對所有的輸入數據進行有效的輸入驗證和過濾，避免任何未經過濾的數據進入到網頁內容中。
使用適當的 HTML 轉義來避免將用戶提供的數據當作 HTML 或 JavaScript 代碼來執行。
實施 Content Security Policy (CSP) 來限制執行腳本的來源和類型，以防止 XSS 攻擊。

這些措施能夠有效地減少或防止這兩種常見的網站攻擊方式對系統的影響和損害。

Q: SSL/TLS(Secure Socket Layer/Transport Layer Security)協定採用何種機制以確定連線通訊之對象是否為本尊？

數位憑證（Digital Certificates）
數位憑證：SSL/TLS 使用數位憑證來驗證伺服器的身份。數位憑證由受信任的第三方憑證機構（Certificate Authority，CA）簽發。
憑證內容：數位憑證中包含了伺服器的公鑰以及其他身份信息，如伺服器的域名、憑證有效期等。CA 確認這些信息的真實性並對憑證進行簽名。
公鑰基礎設施（PKI, Public Key Infrastructure）
公鑰和私鑰：在 SSL/TLS 協定中，伺服器會有一對公鑰和私鑰。公鑰用於加密數據，而私鑰用於解密數據。
憑證鏈：數位憑證會形成一個憑證鏈，從最終用戶憑證到根 CA 憑證，每個中間憑證都由上一個層級的 CA 簽發，最終由根 CA 進行信任背書。
憑證驗證過程
憑證傳送：當客戶端（如網頁瀏覽器）與伺服器建立 SSL/TLS 連線時，伺服器會將其數位憑證發送給客戶端。
憑證驗證：客戶端會驗證該憑證：
檢查憑證是否由受信任的 CA 簽發。
檢查憑證是否在有效期內。
檢查憑證中的域名是否與客戶端請求的域名匹配。
驗證憑證鏈上的所有中間憑證，直至根 CA 憑證。
私鑰擁有權驗證
握手過程：在 SSL/TLS 握手過程中，伺服器必須證明自己擁有與數位憑證中公鑰相對應的私鑰：
伺服器使用其私鑰對某個挑戰（如隨機數）進行加密。
客戶端使用從數位憑證中獲得的公鑰解密該挑戰，驗證是否匹配。
雙向驗證（可選）
客戶端憑證：在某些應用場景中，伺服器也會要求客戶端提供數位憑證，以進行雙向驗證，確保客戶端的身份也是可信的。
握手流程簡介
客戶端 Hello：客戶端發送一個 hello 訊息，包括其支持的加密協定和隨機數。
伺服器 Hello：伺服器回應一個 hello 訊息，包括其選擇的加密協定和隨機數。
伺服器憑證：伺服器發送其數位憑證給客戶端。
伺服器密鑰交換：伺服器可能發送一個伺服器密鑰交換訊息（可選，取決於協議）。
伺服器 Hello 完成：伺服器發送一個 hello 完成訊息。
客戶端憑證：如果需要，客戶端發送其數位憑證給伺服器。
客戶端密鑰交換：客戶端發送一個密鑰交換訊息，包含生成會話密鑰的必要信息。
完成握手：雙方完成握手過程，開始加密通信。
總結
SSL/TLS 協定通過使用數位憑證和公鑰基礎設施來驗證通信雙方的身份，確保連線通訊的對象是本尊。通過憑證驗證和私鑰擁有權驗證，客戶端可以確保伺服器是合法的，並且在需要時，伺服器也可以驗證客戶端的身份。

Q: 根據安全程度，一般以防火牆為中心將網路環境劃分成四個不同的區域（安全分區），廣域網路區(WAN Zone)為其一例。請問另外三個安全分區為何？

在網路安全架構中，以防火牆為中心劃分網路環境，可以分成不同的安全分區，以提升整體的安全性。除了廣域網路區（WAN Zone），另外三個常見的安全分區如下：

1. 內部網路區（Internal Network Zone）

內部網路區，通常被稱為內網（Intranet），是組織內部的網路環境，主要包括公司內部的工作站、伺服器和其他網路設備。

特點：

高信任度：通常被認為是最安全的區域，因為只有內部員工和受信任的設備才能進入。
設備：內部的伺服器（如檔案伺服器、應用伺服器）、工作站和內部通訊設備等。

2. 非軍事區（DMZ, Demilitarized Zone）

非軍事區，通常簡稱為 DMZ，是一個位於內部網路和外部網路之間的中間區域，用來托管對外服務的伺服器，這些伺服器既需要與外部用戶交互，也需要與內部網路進行連接。

特點：

中等信任度：對外公開，但受到嚴格的防火牆規則保護，避免對內部網路的直接訪問。
設備：公共網頁伺服器、電子郵件伺服器、DNS 伺服器等對外提供服務的設備。

3. 訪客網路區（Guest Network Zone）

訪客網路區專門用於訪客或外部人員的臨時訪問，提供受控的網路連接，以防止訪客對內部網路造成威脅。

特點：

低信任度：專為訪客設計，與內部網路隔離，限制訪客對內部資源的訪問。
設備：訪客無線接入點、公共工作站等。

總結

總結起來，根據安全程度，除了廣域網路區（WAN Zone）之外，另外三個主要的安全分區是內部網路區（Internal Network Zone）、非軍事區（DMZ, Demilitarized Zone）和訪客網路區（Guest Network Zone）。這種劃分方法有助於根據不同的安全需求和風險級別，對網路流量進行有效的管理和控制，從而保護組織的網路安全。

Q: 就加密作法可分為對稱金鑰(Symmetric-key)加密及公開金鑰(Public-key)加密兩種方式。請問 SSL 是採用何種方式？

SSL（Secure Sockets Layer）協定採用了對稱金鑰加密和公開金鑰加密兩種方式的結合。具體來說，SSL 的工作過程如下：

公開金鑰加密（Public-key Encryption）
SSL 使用公開金鑰加密來實現安全的密鑰交換，確保在不安全的網路環境中可以安全地傳輸加密過程中使用的對稱金鑰。這個過程通常發生在 SSL 握手階段：

握手過程：當客戶端（如網頁瀏覽器）連接到伺服器時，伺服器會向客戶端發送其數位憑證，其中包含伺服器的公開金鑰。
密鑰交換：客戶端使用伺服器的公開金鑰來加密一個隨機生成的會話密鑰，並將這個加密的會話密鑰發送給伺服器。伺服器使用其私鑰解密會話密鑰，這樣雙方就共享了一個對稱金鑰。

對稱金鑰加密（Symmetric-key Encryption）
一旦雙方都擁有了相同的對稱金鑰，後續的通訊就使用對稱金鑰加密來進行，因為對稱金鑰加密比公開金鑰加密更高效，適合大數據量的加密傳輸：

數據加密：所有後續的數據傳輸使用對稱金鑰進行加密和解密。這樣可以保證數據的機密性和完整性，同時也能提供較好的性能。
總結
因此，SSL 協定採用了公開金鑰加密和對稱金鑰加密的結合方式：

公開金鑰加密用於 SSL 握手階段的密鑰交換，確保安全地傳輸對稱金鑰。
對稱金鑰加密用於後續的數據傳輸，確保數據在傳輸過程中的機密性和完整性。

Q:路由器的動態路由表(routing table)資訊常透過執行「開放式最短路徑優先協定 (Open Short Path First, OSPF)」交換與更新。這是一種很廣泛應用的「連結狀態協定(Link State Protocol)」，其中「Link」和「State」分別代表什麼意義？

Link：

在 OSPF 協定中，”Link” 代表的是路由器與其鄰居之間的網絡接口或連接。每一個路由器都可以有多個連接（link），這些連接將其連接到不同的網段和其他路由器。

State：

“State” 代表的是連接（link）的狀態和屬性，例如連接是否可用、連接的帶寬、延遲等信息。這些狀態信息有助於路由器了解其鄰居以及網絡的整體拓撲結構。

Q:簡要說明「Basic Firewall、UTM(unified thread management)、NGFW(next generation firewall)」三者之不同。

Basic Firewall：

基本防火牆主要是基於靜態規則進行數據包過濾。它通常使用訪問控制列表（ACL）來允許或拒絕流量，根據 IP 地址、端口號、協議等基本信息進行過濾。
功能：基本數據包過濾、狀態檢查。
層級：主要工作在 OSI 模型的第 3 層（網絡層）和第 4 層（傳輸層）。

Unified Threat Management (UTM)：

UTM 是一種綜合性安全設備，集成了多種安全功能，如防火牆、入侵防禦系統（IPS）、防病毒、內容過濾、VPN 等於一體，提供統一的安全管理。
功能：除了基本防火牆功能外，還包括防病毒、反垃圾郵件、內容過濾、VPN、入侵防禦等多功能安全防護。
層級：工作在多層，從第 3 層（網絡層）到第 7 層（應用層）。

Next Generation Firewall (NGFW)：

NGFW 是比 UTM 更先進的防火牆，除了 UTM 的所有功能外，還提供深度包檢查（DPI）、應用識別和控制、高級威脅防護（如沙箱技術）等功能。它能夠根據應用程序的行為和特徵進行精確的流量控制和安全策略應用。
功能：深度包檢查、應用層過濾、入侵防禦、行為分析、高級威脅防護。
層級：主要工作在 OSI 模型的第 7 層（應用層），但也涵蓋其他層。

Q: 假設有一個 C 類 IP 網路 195.214.32.0 要分割成五個子網路，每個子網路的 IP 位址需求（電腦）數量如下：子網路 1：49 個，子網路 2：50 個，子網路 3： 51 個，子網路 4：29 個，子網路 5：30 個。
(1)請問應採用何種技術才能處理不同大小的子網路以符合上述需求？
(2)請列出各子網路的子網路遮罩(subnetwork mask)。

(1) 技術

可變長度子網掩碼（VLSM, Variable Length Subnet Masking）：

為了處理不同大小的子網需求，應採用 VLSM 技術。這種技術允許在同一個網絡中使用多個不同大小的子網掩碼，使得子網劃分更靈活且資源利用更高效。

(2) 子網劃分和子網掩碼

給定的 C 類網路 195.214.32.0/24，以下是對應的子網劃分：

子網 1：需要 49 個 IP 地址
- 子網地址：195.214.32.0/26
- 可用 IP 範圍：195.214.32.1 – 195.214.32.62
- 子網掩碼：255.255.255.192
子網 2：需要 50 個 IP 地址
- 子網地址：195.214.32.64/26
- 可用 IP 範圍：195.214.32.65 – 195.214.32.126
- 子網掩碼：255.255.255.192
子網 3：需要 51 個 IP 地址
- 子網地址：195.214.32.128/26
- 可用 IP 範圍：195.214.32.129 – 195.214.32.190
- 子網掩碼：255.255.255.192
子網 4：需要 29 個 IP 地址
- 子網地址：195.214.32.192/27
- 可用 IP 範圍：195.214.32.193 – 195.214.32.222
- 子網掩碼：255.255.255.224
子網 5：需要 30 個 IP 地址
- 子網地址：195.214.32.224/27
- 可用 IP 範圍：195.214.32.225 – 195.214.32.254
- 子網掩碼：255.255.255.224

這樣，五個子網的需求都得到了滿足，每個子網都有足夠的 IP 地址供其使用。