| 標準答案 學生答案 | |||
| 配分:[10.00] |  得分: | 1. 資通安全責任等級分級辦法係要求C級以上公務機關及關鍵基礎設施提供者完成導入,所以VANS系統不開放D級以下機關使用。 | |
| 配分:[10.00] | 得分: | 2. VANS系統之弱點呈現方式為CVE,每一個弱點都有一個專屬CVE編號。 | |
| 配分:[10.00] | 得分: | 3. VANS機制資訊資產蒐集範圍僅包含Windows平台資通系統與使用者電腦之軟體資產。 | |
| 配分:[10.00] | 得分: | 4. VANS系統可透過設定CVSS分數門檻,寄發弱點通知。 | |
| 配分:[10.00] | 得分: | 5. 每當微軟類資產執行安全性更新後,CPE亦將隨之更新。 | |
| 配分:[10.00] | 得分: | 6. VANS系統可針對機關目標主機進行掃描,以產出弱點比對結果。 | |
| 配分:[10.00] | 得分: | 7. 微軟類資產之弱點,可於弱點資訊中查看修補KBID,檢視修補此弱點應安裝之KBID。 | |
| 配分:[10.00] | 得分: | 8. NVD為專門蒐集各種弱點資訊之資料庫網站,自MITRE取得CVE列表,並增加修補建議連結、嚴重性評分(CVSS分數)及影響等級等資訊,另建立CPE與CVE對應關係,以解決弱點與資訊資產之對應關係。 | |
| 配分:[10.00] | 得分: | 9. 透過網頁上傳與API傳輸資訊資產,均為以覆蓋方式更新資訊資產。 | |
| 配分:[10.00] | 得分: | 10. 透過更新資訊資產版本修補弱點後,毋須再到VANS系統進行資訊資產版本更新。 | |
| 標準答案 學生答案 | |||
| 配分:[10.00] | 得分: | 1. 透過更新資訊資產版本修補弱點後,毋須再到VANS系統進行資訊資產版本更新。 | |
| 配分:[10.00] | 得分: | 2. VANS機制資訊資產蒐集範圍僅包含Windows平台資通系統與使用者電腦之軟體資產。 | |
| 配分:[10.00] | 得分: | 3. 每當微軟類資產執行安全性更新後,CPE亦將隨之更新。 | |
| 配分:[10.00] |  得分: | 4. VANS系統所寄發弱點通知,包含詳細的弱點與受影響資產資訊。 | |
| 配分:[10.00] | 得分: | 5. CPE條目格式主要分為三大類:作業系統(o)、應用程式(a)及硬體(h),目前VANS系統可針對作業系統(o)、應用程式(a)等軟體資產進行比對。 | |
| 配分:[10.00] | 得分: | 6. 透過網頁上傳與API傳輸資訊資產,均為以覆蓋方式更新資訊資產。 | |
| 配分:[10.00] | 得分: | 7. 機關可依據自身之ISMS規範之弱點修補基準,執行弱點評估與修補作業。 | |
| 配分:[10.00] | 得分: | 8. CPE格式係由美國國家標準技術研究所(NIST)所提出標準化方式,VANS藉由使用正規化後之CPE資產格式,使得以利用NVD弱點資料庫進行比對。 | |
| 配分:[10.00] | 得分: | 9. 同一項資產之同一個弱點僅於首次比對時進行1次通知,之後不會再出現相同之弱點通知。 | |
| 配分:[10.00] | 得分: | 10. VANS系統可針對機關目標主機進行掃描,以產出弱點比對結果。 | |
沒有留言:
張貼留言