公職王歷屆試題 （110 高考三等）

110 年公務人員高等考試三級考試試題
等 別：三等考試
類 科：資訊處理
科 目：資訊管理與資通安全

甲、申論題部分：
一、請根據資通安全事件通報及應變辦法回答下列問題：
請說明資通安全事件通報內容應包括之項目。(15 分)
請說明公務機關資通安全事件之通報及應變的流程。(15 分)
【解題關鍵】
《考題難易》：★★
《破題關鍵》資通安全管理法本題，掌握資通安全事件通報及應變辦法相關條文即可作答。
《命中特區》：講義補充之資通安全管理法子法資通安全事件通報及應變辦法完全命中。
【擬答】
依據資通安全事件通報及應變辦法第三條，資通安全事件之通報內容，應包括下列項目：
發生機關。
發生或知悉時間。
狀況之描述。
等級之評估。
因應事件所採取之措施。
外部支援需求評估。
其他相關事項。
公務機關資通安全事件之通報及應變的流程
公務機關知悉資通安全事件後，應於一小時內依主管機關指定之方式及對象，進行資通
安全事件之通報。
主管機關應於其自身完成資通安全事件之通報後，依下列規定時間完成該資通安全事件
等級之審核，並得依審核結果變更其等級：
通報為第一級或第二級資通安全事件者，於接獲後八小時內。
通報為第三級或第四級資通安全事件者，於接獲後二小時內。
公務機關知悉資通安全事件後，應依下列規定時間完成損害控制或復原作業，並依主管
機關指定之方式及對象辦理通知事宜：
第一級或第二級資通安全事件，於知悉該事件後七十二小時內。
第三級或第四級資通安全事件，於知悉該事件後三十六小時內。
公務機關依前項規定完成損害控制或復原作業後，應持續進行資通安全事件之調查及處
理，並於一個月內依主管機關指定之方式，送交調查、處理及改善報告。
上級、監督機關或主管機關就 3.之損害控制或復原作業及 4.送交之報告，認有必要，或
認有違反法令、不適當或其他須改善之情事者，得要求公務機關提出說明及調整。

共7頁 第1頁 全國最大公教職網站 https://www.public.com.tw

公職王歷屆
公 屆試題 （110 高考
考三等）
二、請回答下
二 下列資訊安
安全相關問題
題：
請說明
明雜湊函數 演算法。(1 0 分)
數與常見的演
請說明
明雜湊函數
數的碰撞與不 用之原因。(10 分)
不建議使用
【解題關鍵】
】
《考題難易》
》：★★
《破題關鍵》
》網安技術 術基本題，了 了解雜湊函
函數與演算法
法基本特性
性，並運用單
單向雜湊函
函數特性即可
可
得解。
》：講義 P6664-665 完全命中
《命中特區》

【擬答】
雜湊函 函式（Hashh function）又稱雜湊演 演算法，是 是一種從任何何一種資料 料中建立小的 的數字「指 指
紋」的 的方法。雜 雜湊函式把訊 訊息或資料 料壓縮成摘要 要，使得資
資料量變小 ，將資料的 的格式固定下 下
來。該 該函式將資 資料打亂混合 合，重新建 建立一個叫做 做雜湊值（hash valuess，hash cod
des，hash
sums，或 hashess）的指紋。 。雜湊值通 通常用一個短 短的隨機字字母和數字組 組成的字串 串來代表。[[1]
好的雜 雜湊函式在 在輸入域中很 很少出現雜 雜湊衝突。在 在雜湊表和
和資料處理中 中，不抑制 制衝突來區別 別
資料，會使得資 資料庫記錄更 更難找到。 常見的演算 算法：
平方 方值中間位 位數(Mid-squ uare)
就是 是先將識別 別字以二進位 位方式看待 待，如此可將 將值平方，取其中間的 的幾個位數 數來當作
buccket 的位址
址。
除法 法
就是 是將識別字 字的值用同餘 餘運算，也 也就是除以某 某一質數取
取其餘數作為 為 bucket 位址。其雜湊
位 湊
函數 數為 FD(X) = X MOD M。例如 M MD5 是輸入不定長度
入 度資訊，輸出 出固定長度 度 128-bits 的
演算 算法。經過 過程式流程，生成四個 個 32 位元資
資料，最後聯聯合起來成 成為一個 128-bits 雜湊 湊。

共7頁 第2頁 全國
國最大公教
教職網站 https:///www.public.com.tw
公職王歷屆
公 屆試題 （110 高考
考三等）
基本
本方式為，求餘、取餘 餘、調整長長度、與連結
結變數進行
行迴圈運算 。得出結果 果。
疊相加(foldding)
折疊
就是
是將識別字 字的值分成幾 幾段再相加加而得到雜湊
湊位址，
數值分析(diigit analysiss)
位數
就是
是事先分析 析符號表中識 識別字值的的位數，選擇
擇該位數的
的值均勻分佈 佈者，再依 依據符號表大 大
小選
選擇夠用的 的位數，以這 這一組位數數的值做為雜
雜湊位址。
如果
果兩個不同 同的資料經雜 雜湊函數對
對應到同一個
個雜湊值，，則稱為碰
碰撞。雜湊函 函數非常重 重要，
一個
個好的雜湊 湊函數不僅效 效能優越， 而且還會讓
讓儲存於底
底層陣列中的 的值分配的 的更加均勻，
減少
少衝突發生 生。之所以是 是減少衝突
突，是因爲取
取雜湊的過過程，實際
際上是將輸入 入鍵（定義 義域）
對映
映到一個非 非常小的空間 間中，所以以衝突是無法
法避免的，能做的只是 是減少雜湊 湊碰撞發生的 的
概率
率。
當雜
雜湊值用於 於唯一地識別 別機密資訊訊，則需要雜 是抗碰撞(colllision-resisstant)的，意
雜湊函數是 意
味著
著很難找到 到產生相同雜 雜湊值的資資料。所以如
如果雜湊函
函數會產生大 大量碰撞，就無法唯一 一
地識
識別機密資 資訊，因此不 不建議使用用。

共7頁 第3頁 全國
國最大公教
教職網站 https:///www.public.com.tw
公職王歷屆
公 屆試題 （110 高考
考三等）
三、請回答下
三 下列有關微
微型服務的問
問題：
請說明 務的特性。(6 分)
明微型服務
請說明
明微型服務 24 分)
務的優勢。(2
【解題關鍵】
】
《考題難易》
》：★★★
★
《破題關鍵》
》服務導向
向架構延伸進 掌握 SOA 特性與優點即
進階題，掌 特 即可解出。
》：講義 P131 延伸可
《命中特區》 可解。

【擬答】
微型服服務（Micrroservices）是一種軟體 體架構風格 格，它是以專 專注於單一 一責任與功能 能的小型功功
能區塊塊 (Small Building
B Blo
ocks) 為基礎 礎，利用模 模組化的方式 式組合出複 複雜的大型 型應用程式， ，
各功能能區塊使用 用與語言無關 關 (Languagge-Indepen ndent/Langu
uage agnosttic）的 API 集相互通
通訊。
依據 A
AWS(https://aws.amazzon.com/tw//microservicces/)，微型
型服務具有下 下列特性：
自發發
微型
型服務架構 構中的每項元 元件服務都 都可以自由開 開發、部署 署、運作和擴 擴展，並不 不會影響其他他
服務
務的功能。這些服務不 不需要與其 其他服務分享 享任何程式 式碼或實作 。獨立元件 件之間會經由由
義良好的 API
定義 A 進行所 所有通訊。每 每個服務都 都容易被取代 代，架構是 是對稱而非分 分層（即生生
產者
者與消費者 者的關係）。
專門門
每項
項服務專為 為一組功能設 設計，並著 著重於解決特 特定問題。如果開發人 人員不斷提 提供更多程式式
碼，導致服務 務變得更加複 複雜，可以 以將服務分解 解成較小型 型的服務。 服務是以能 能力來組織 織的，
例如
如使用者介 介面、前端、推薦系統 統、帳單或是 是物流等，由於功能被 被拆成多個 個服務，因此此
可以
以由不同的 的程式語言、資料庫實 實作。

共7頁 第4頁 全國
國最大公教
教職網站 https:///www.public.com.tw
公職王歷屆試題 （110 高考三等）
微型服務的優勢：(參考 https://aws.amazon.com/tw/microservices/)
敏捷性
微型服務促進組織組成小型獨立團隊，並具備其處理之服務的擁有權。團隊可在小型簡
易的環境中行動，並能夠更獨立且快速地工作，有助於縮短開發週期時間。
可彈性擴展
微型服務可讓每項服務獨立擴展，以滿足其支援的應用程式功能的需求。可讓團隊依架
構需求調整合適的大小、準確地衡量功能的成本，以及在服務出現需求激增時維持可用
性。
輕鬆部署
微型服務可持續整合和持續交付，方便嘗試新點子，並在發生問題時進行復原。失敗的
成本較低，可讓您進行實驗，以便更新程式碼，並縮短新功能的上市時間。
技術的自由
微型服務架構不適用於「一體適用」的方法。團隊可自行選擇可解決其特定問題的最佳
工具。因此，建立微型服務的團隊可為每項工作選擇最佳工具。
可重複使用的程式碼
將軟體劃分為定義良好的小型單元，可讓團隊將功能用於多種用途。專為特定功能撰寫
的服務可充當其他功能的建構模組。這可讓應用程式自行引導操作，以便開發人員建立
新功能，而無需從頭開始撰寫程式碼。
恢復能力
服務的獨立性可提升應用程式的受挫能力。在巨型架構中，如果單一元件故障，可能會
造成整個應用程式故障。在微型服務中，應用程式可將功能降級，以處理整個服務故障
問題，避免造成整個應用程式當機。

共7頁 第5頁 全國最大公教職網站 https://www.public.com.tw

公職王歷屆
公 屆試題 （110 高考
考三等）
四、請回答下
四 下列資訊系
系統風險評鑑 鑑相關問題
題：
請說明
明風險識別
別及其步驟。(8 分)
請說明
明風險估計
計及其步驟。(8 分)
請說明
明風險評估
估。(4 分)
【解題關鍵】
】
《考題難易》
》：★★
《破題關鍵》
》風險管理理概念題，可 可搭配 ISO 27001 與 IS
SO31000 中風險管理
中 ，參考 105
5 鐵三、105
司法類似
似題解答。
《命中特區》
》：參考講講義 P503、P
P592、P5998 發揮。

【擬答】
風險識識別就是要
要發掘可能發
發生風險之
之事件及其發發生之原因
因和方式，也也就是組纖
纖應辨識其風風
險的來來源、衝擊
擊的範圍、事
事件所引起
起原因及其潛潛在的後果
果,以達成其風
風險管理目目標。其步
步驟
為：
篩選選
即按
按一定的程
程式將具有潛
潛在風險的
的產品、過程程、事件、現象和人員員進行分類
類選擇。必須須
針對
對組織之整
整體性風險進
進行辨識,辯
辯識時亦應掌
掌握相關且
且最新的資訊訊,包括適當
當的背景資
資訊
與資
資料之更新
新。
監測測
是在
在風險出現
現後，對事件
件、過程、 現象、後果
果進行觀測
測、記錄和分分析的過程
程。且須經由由
擁有
有適當風險
險管理專業知
知識的人員
員,辨識其可能
能發生的原
原因、情境及及後果。
診斷斷
是對
對風險及損
損失的前兆、風險後果
果與各種原因因進行評價
價與判斷，找找出主要原
原因併進行仔仔

共7頁 第6頁 全國
國最大公教
教職網站 https:///www.public.com.tw
公職王歷屆試題 （110 高考三等）
細檢查的過程。對風險與機會之取捨作進一步的考量。
估計風險發生的可能性及其對項目的影響。應採取定性描述與定量分析相結合的方法對風
險做出全面估計。其步驟：
估計風險發生頻率
風險事件在確定時間內(如一年、一月或一周)發生的可能性即頻率的大小，估計這些風
險造成損失的嚴重性。
估計損失
根據風險事件發生的數量和損失嚴重程度估計總損失額的大小。
估計衝擊
游風險管理者預測風險事件發生的次數和損失嚴重程度，總損失額度等(平均損失頻率×
平均損失嚴重性=平均每年預期的損失金額)。
風險評估（Risk Assessment）
是風險管理的一個重要過程。風險管理國際標準 ISO 31000 定義風險評估的過程為：風險
評估是風險識別、風險分析及風險評價的全過程。用一個事件的後果（包括情況變化）和
對應的發生可能性這二者的結合來表示風險。
風險分析(Risk Analysis)：系統性的使用資訊，以識別緣由與估計風險。

共7頁 第7頁 全國最大公教職網站 https://www.public.com.tw