嗨 我是 CCChen
有參加2025/08/23 iPAS 資安工程師-中級 考試
今天08/25 官網馬上公告考試題目與答案大家趕快去下載題目與答案, 比對一下自己的考試結果
連結網址:
https://www.ipas.org.tw/ISE/AbilityPageContent.aspx?pgeno=92664c36-72cf-418c-98a9-c4e8a769dd64
晚一點, 有空時, 我再稍微整理一下, 分享這一次 資安中級跨領域考試的心得.
2025/08/26 更新 官方公布題目與答案後
出題比例與分析 ~使用AI工具 ChatGPT 5 分析
(科目一 I21 資訊安全規劃實務)
1️⃣ 個資保護 / 法規遵循(題號 1–4, 22)
- 比例:約 12%(5 題 / 40 題)
- 考點:個資法告知義務、ISO 27001:2022 沟通要求、證交所重大資安事件揭露、ISO 27701、BS10012。
- 分析:強調「合規」與「資訊揭露」,考驗考生是否熟悉 台灣法規 與 國際標準 的落差。
2️⃣ 零信任架構 ZTA(題號 3, 6, 7, 9, 19, 23)
- 比例:約 15%(6 題 / 40 題)
- 考點:金管會 ZTA 分級、Micro-segmentation、PEP/PDP、內網橫向移動、OT 場域挑戰。
- 分析:ZTA 是本次重點,涵蓋 政策制定、技術實作(微切分、MFA)、產業應用(金融、製造 OT)。
3️⃣ 勒索軟體防護(題號 5, 18, 20, 37–40)
- 比例:約 15%(6 題 / 40 題)
- 考點:法規要求通報、端點防護(EDR)、備份、風險處理、保險轉移、多層備份。
- 分析:從「事件回應 → 技術控制 → 風險處理 → 備援方案」全鏈條考察,顯示 勒索軟體防護 為高頻考點。
4️⃣ AI / Deepfake / AI 治理(題號 12–16)
- 比例:13%(5 題 / 40 題)
- 考點:Liveness Detection、生物辨識、多重審批、ISO 42001、AI Trustworthiness 指標。
- 分析:反映 新興威脅與治理標準,特別是 深度偽造防護 與 AI 可信任性(Robustness, Reliability, Controllability)。
5️⃣ 風險管理與 ISO 標準(題號 25–36)
- 比例:30%(12 題 / 40 題)
- 考點:ISO 27005、ISO 31000、風險識別/分析/評估、範疇界定、風險處理策略(Avoid, Modify, Retain, Transfer)、風險處理計畫。
- 分析:此區域為 最大比重,全面檢驗考生是否熟悉 風險管理流程 與 標準實務應用。
6️⃣ 供應鏈安全 / OT 安全(題號 7, 17, 19, 32)
- 比例:10%(4 題 / 40 題)
- 考點:SBOM、OT 與 IT 區隔、ICS 老舊設備風險、供應鏈軟體安全。
- 分析:配合 美國 EO 14028 與 NIST 指引 趨勢,SBOM 與 OT 安全成為重點。
7️⃣ 其他主題(題號 10, 11, 27, 35)
- 比例:5%(2–3 題)
- 考點:SOD(職務分離)、量子運算風險、APT 威脅、網站憑證使用。
- 分析:屬於 補充型考題,但仍需具備最新趨勢知識。
📌 總結出題趨勢
- 三大重點板塊
- 風險管理 & ISO 標準(30%)
- 勒索軟體防護(15%)
- 零信任架構(15%)
- 新興考點
- AI 治理 & Deepfake(13%)
- 供應鏈安全與 OT 安全(10%)
- 合規與法規
- 個資法 / ISO 27701 / 證交所重大事件揭露(12%)
📊 重點建議:
- 優先準備:ISO 27001/27005/31000 的風險管理流程與控制措施。
- 務必掌握:ZTA 架構、勒索軟體事件回應、EDR、備份策略。
- 持續關注:AI 治理(ISO 42001)、Deepfake 防護、OT/ICS 的資安挑戰。
📊 科目二《資訊安全防護實務》出題比例與分析
1️⃣ Web 應用程式安全
- 題號:1, 2, 4, 5–8, 29–36, 37–40
- 題數:18 題
- 比例:45%
- 重點內容:
- 常見攻擊:SQL Injection, XSS, Command Injection, SSRF
- 弱點修補與防護技術:Prepared Statement, CSP, Output Encoding
- 攻擊框架與工具:Struts2 RCE, sqlmap, nikto, Burp Suite, SAST/DAST
- Broken Authentication / Access Control
- 分析:這是 最大比重,顯示考試強調實務滲透與防護,符合現行 OWASP Top 10 與 DevSecOps 趨勢。
2️⃣ 惡意程式 / 勒索軟體 / APT 防禦
- 題號:10, 12, 13, 18, 19, 20, 25–28
- 題數:10 題
- 比例:25%
- 重點內容:
- SOC/EDR 警報處理、記憶體鑑識
- ICS/OT 環境的勒索攻擊應變
- DDoS 攻擊與防禦:SYN Cookies、CDN、防火牆、流量清洗
- MITRE ATT&CK 與 CTI 應用
- 分析:高度聚焦於 事件回應與 SOC 實務,尤其是勒索軟體與 DDoS,顯示實務場景題比重增加。
3️⃣ 人工智慧與新興威脅 (AI / LLM / Deepfake)
- 題號:14
- 題數:1 題
- 比例:2.5%
- 重點內容:
- LLM 安全風險:Prompt Injection、DLP、RBAC
- 分析:首次納入 GenAI 安全,反映出 生成式 AI 資安治理 已成最新考點。雖僅 1 題,但具指標性。
4️⃣ 法規 / 框架 / 管控
- 題號:9, 11, 15, 16, 22, 23, 24, 32
- 題數:8 題
- 比例:20%
- 重點內容:
- NIST CSF、NIST SP800-34、TLP(紅綠燈協定)
- Android TEE、身份驗證事件閾值
- 政府 GCB(OS/Browser/DB)
- 分析:題目涵蓋 資安治理框架 + 作業平台控管,強調考生是否能將標準對應到實務。
5️⃣ 其他(滲透測試 / 應用程式檢測 / 程式碼安全)
- 題號:29–31, 37–39
- 題數:6 題
- 比例:15%
- 重點內容:
- 原始碼檢測、逆向工程、CSPM、測試報告重點
- Python 程式隱藏惡意行為分析
- 分析:著重 安全測試與原始碼安全審查,符合目前企業 DevSecOps 與 AppSec 要求。
📌 總結出題趨勢
- 核心大宗:
- Web 應用程式安全(45%)
- 惡意程式 / APT / 勒索 / DDoS(25%)
- 次要重點:
- 法規 / 框架治理(20%)
- 新興考點:
- 生成式 AI 安全(2.5%)
- 考試風格:
- 題目偏 情境題組(滲透測試、SOC 警報、ICS/OT 勒索場景)。
- 重視 工具與技術名詞的應用(nmap/sqlmap/Burp Suite/ATT&CK/SAST)。
CCChen
