國考資訊處理工作室(高考二級資訊處理/高考三級資訊處理/調查局三等/關務人員三等/地方特考三等)

九九年高考三級資訊管理與資通安全
一、IT 的治理 (Information Technology Governance)日受矚目，而 IT 若要提供商業價值，必須落實在 IT 每日運作的七個項目中，包括：「策略規劃」、「財務管理」、「價值創新」、「系統開發」、「服務提供」、「設施管理」、「人力資源管理」；並管理好「願景關係」、「創新關係」及「廠商關係」。IT部門在執行上述七項工作時，有些工作必須透過上述三項關係相關人員來合作完成。
IT 部門的組織設計，就是來設定執行上述七項工作時，IT 人員與相關人員的職權如何劃分。學理上，IT 部門組織設計原則有二：(一)鼓勵 IT 部門與企業其他部門共同進化 (co-evolution) 及(一)提供孕育 IT 創新應用之環境。
以下有兩種 IT 部門的組織圖(1)合夥式組織結構 (Partner Model)、(2)平台式組織結構 (Platform Model)：
(1)合夥式組織結構

(2)平台式組織結構

試討論上述兩種組織結構：
(一)在執行上述七項工作時有何不同？（5分）
(二)在管理上述三項關係時有何不同？（5分）
(三)各如何達成學理上所要求的兩項IT組織設計原則？（5分）
(四)各適合於怎樣的企業組織？（5分）

二、電子商務之交易安全，是推動電子商務的基本前提，目前用來保障線上交易安全的主要技術之一即安全電子交易 SET (Secure Electronic Transaction)。SET 能夠滿足付費與訂購資訊的保密性、確保所有傳輸資料的完整性、確保每一個信用卡帳戶持卡人都是合法的、確保商家與金融機構的關係、保護電子商務交易上的合法當事人及促成軟體與網路提供者之間的合作等需求。
(一)請列出 SET 的特色，以滿足以上的需求。（10分）
(二)請描繪完下圖，以說明 SET 的付款交易程序。（10分）


三、全球熱門網站遭到入侵、攻擊的個案屢屢出現，造成了網站停擺、會員資料被盜等重大影響，因此，企業愈來愈重視網路安全的議題與入侵偵測系統(Intrusion Detection System，IDS) 的建置。美國國家標準暨技術機構 (National Institute of Standards and Technology，NIST) 即建議企業需審慎選擇合適的偵測策略及解決方案。
(一)試簡述入侵偵測的目的。（3分）
(二)入侵偵測的方法，可分為?異常統計偵測法 (statistical anomaly detection)，做法包括偵測門檻法與個人檔案基礎方法及?規則偵測法(rule-based detection)，做法包括偵測異常現象與分析辨識法，請分別說明這兩個方法的基本原理與做法。（18分）
(三)網路型IDS主要藉偵測器來蒐集資料，因此偵測器正確的配置極其重要，根據 NIST，偵測器可擺於四個點，包括防火牆外側、主要網路骨幹、重要子網路及 DMZ (Demilitarized Zone)，以監測不同的攻擊。網路圖與防火牆外側之配置點和功能分別如下圖、表。試以本圖為本，標示其餘三個偵測器配置點 (各一個點即可)，並完成表格。（9分）


四、自西元2000年以來，網路技術與整體網路環境越趨成熟，全世界各大企業的高階主管都十分確認，全球化創造了一個強大的需求──「組織內外要能共享資訊」，因此，功能強大而又具有彈性的資訊科技基礎建設 (Information Technology Infrastructure，ITI)，遂成為做生意的先決條件。這些高階主管們都同樣關切著一個共同的議題──ITI 的建置，ITI 成為資訊管理主要的關鍵議題。
客製化加上全球化競爭，要求企業同時擁有兩種看似無法並存的能力：
● 集中式的大規模經濟利益所帶來的成本效率和緊密整合的能力
● 非集中式的快速回應個別客戶需求的能力
要同時擁有這兩種能力，企業才具競爭力，才能生存。
(一)試討論 ITI 能為企業提供怎樣的 IT 能力？（4分）
(二) ITI 為什麼能讓企業同時擁有上述二種看似無法並存的能力？（4分）
(三) ITI 包含那些資訊科技？（4分）
(四) ITI 的核心理念就是標準化與整合，試問 ITI 涉及那些管理上的問題？（4分）
(五) ITI 的建置，要考量那些關鍵性的議題？（4分）
(六) ITI 建置的理論，有「策略主導的調準論」和「運作模型主導的融合論」，試問兩說的著重點何在？建置 ITI 該取那一個說法？兩說互斥嗎？兩說可以並用嗎？如何並用？（10分）