Bezpieczeństwo rozwoju oprogramowania



1. Która z poniższych czynności jest poprawną sekwencją kroków, które należy wykonać w procesie kontroli zmian oprogramowania aplikacji?

1. Przetestuj zmiany.
2. Planuj zmiany.
3. Zainicjuj żądanie zmiany.
4. Wydaj zmiany w oprogramowaniu.

a. 1, 2, 3 i 4
b. 2, 1, 3 i 4
c. 3, 2, 1 i 4
d. 4, 3, 1 i 2

1.c. Każda zmiana oprogramowania aplikacji musi zaczynać się od żądania zmiany od użytkownika funkcjonalnego. Osoba informatyczna (IT) może zaplanować, przetestować i opublikować zmianę po zatwierdzeniu przez użytkownika funkcjonalnego.

2. Które z poniższych podejść zapewnia najlepsze rozwiązanie, aby przezwyciężyć opór przed zmianą?

a. Zmiana jest dobrze zaplanowana.
b. Zmiana jest w pełni zakomunikowana.
c. Zmiana jest wdrażana terminowo.
d. Zmiana jest w pełni zinstytucjonalizowana.

2.d. Zarządzanie zmianą to trudny proces. Ludzie opierają się zmianom ze względu na pewien dyskomfort, jaki zmiana może przynieść. Nie ma znaczenia, jak dobrze zmiana jest zaplanowana, zakomunikowana lub wdrożona, jeśli nie jest ona równomiernie rozłożona w całej organizacji. Instytucjonalizacja zmiany oznacza zmianę klimatu firmy. Należy to zrobić w spójny i uporządkowany sposób. Wszelkie większe zmiany powinny być dokonywane przy użyciu podejścia pilotażowego. Po pomyślnym zakończeniu kilku programów pilotażowych nadszedł czas, aby wykorzystać te historie sukcesu jako dźwignię do zmiany całej firmy.

3. Podczas projektowania systemu procedur kontrolnych wprowadzania danych najmniej uwagi należy poświęcić którym z poniższych elementów?

a. Upoważnienie
b. Walidacja
c. Konfiguracja
d. Powiadomienie o błędzie

3.c. Zarządzanie konfiguracją to procedura stosowania wskazówek technicznych i administracyjnych oraz monitorowania w celu (i) identyfikowania i dokumentowania funkcjonalnych i fizycznych właściwości przedmiotu lub systemu, (ii) kontrolowania wszelkich zmian dokonanych w takich właściwościach oraz (iii) rejestrowania i raportowania status zmiany, procesu i wdrożenia. Proces autoryzacji może być ręczny lub zautomatyzowany. Wszystkie autoryzowane transakcje powinny być rejestrowane i wprowadzane do systemu w celu przetworzenia. Walidacja zapewnia, że wprowadzone dane spełniają predefiniowane kryteria pod względem atrybutów. Powiadamianie o błędach jest tak samo ważne jak poprawianie błędów.

4. Które z poniższych pytań powinno przede wszystkim dotyczyć zarządzania konfiguracją oprogramowania (SCM)?

a. Jak oprogramowanie ewoluuje podczas tworzenia systemu?
b. Jak oprogramowanie ewoluuje podczas konserwacji systemu?
c. Co stanowi oprogramowanie w dowolnym momencie?
d. Jak planowany jest produkt programowy?

4.c. Zarządzanie konfiguracją oprogramowania (SCM) to dziedzina zarządzania ewolucją produktów komputerowych, zarówno na początkowych etapach rozwoju, jak i poprzez konserwację i zakończenie produktu końcowego. Widoczność statusu rozwijającego się oprogramowania jest zapewniona poprzez przyjęcie SCM w projekcie oprogramowania. Deweloperzy oprogramowania, testerzy, kierownicy projektów, personel ds. zapewnienia jakości i klienci czerpią korzyści z informacji SCM. SCM odpowiada na pytania takie jak (i) co stanowi oprogramowanie w dowolnym momencie? (ii) Jakie zmiany zostały wprowadzone w oprogramowaniu? Sposób planowania, rozwijania lub utrzymywania oprogramowania nie ma znaczenia, ponieważ opisuje historię ewolucji oprogramowania, jak opisano w innych opcjach.

5. Jaka jest główna funkcja zarządzania konfiguracją oprogramowania (SCM)?

a. Śledzenie wszystkich zmian oprogramowania
b. Identyfikacja poszczególnych komponentów
c. Korzystanie z narzędzi inżynierii oprogramowania wspomaganego komputerowo
d. Korzystanie z kompilatorów i asemblerów

5. a. Zarządzanie konfiguracją oprogramowania (SCM) jest praktykowane i zintegrowane z procesem tworzenia oprogramowania przez cały cykl życia produktu. Jedną z głównych funkcji SCM jest śledzenie wszystkich zmian oprogramowania. Identyfikacja poszczególnych komponentów jest nieprawidłowa, ponieważ jest częścią funkcji identyfikacji konfiguracji. Celem identyfikacji konfiguracji jest stworzenie możliwości identyfikacji komponentów systemu w całym jego cyklu życia oraz zapewnienie identyfikowalności pomiędzy oprogramowaniem a powiązanymi elementami identyfikacji konfiguracji. Narzędzia, kompilatory i asemblery wspomaganej komputerowo inżynierii oprogramowania (CASE) są nieprawidłowe, ponieważ są przykładami czynników technicznych. SCM jest zasadniczo dyscypliną stosującą kierownictwo techniczne i administracyjne oraz monitorowanie do zarządzania ewolucją produktów programów komputerowych na wszystkich etapach rozwoju i konserwacji. Niektóre przykłady czynników technicznych obejmują użycie narzędzi CASE, kompilatorów i asemblerów.

6. Który z poniższych obszarów zarządzania konfiguracją oprogramowania (SCM) jest wykonywany jako ostatni?

a. Identyfikacja
b. Zmień kontrolę
c. Księgowanie statusu
d. Rewizja

6.d. Istnieją cztery elementy zarządzania konfiguracją. Pierwszym elementem jest identyfikacja konfiguracji, polegająca na doborze elementów konfiguracyjnych dla systemu i zapisaniu ich cech funkcjonalnych i fizycznych w dokumentacji technicznej. Drugim elementem jest kontrola zmian konfiguracji, polegająca na ocenie, koordynacji, zatwierdzeniu lub odrzuceniu oraz wprowadzeniu zmian do elementów konfiguracji po formalnym ustaleniu ich identyfikacji konfiguracji. Trzecim elementem jest rozliczanie stanu konfiguracji, polegające na rejestrowaniu i raportowaniu informacji potrzebnych do efektywnego zarządzania konfiguracją. Czwartym elementem jest audyt konfiguracji oprogramowania, polegający na okresowym wykonywaniu przeglądu w celu upewnienia się, że praktyki i procedury SCM są rygorystycznie przestrzegane. Audyt jest przeprowadzany jako ostatni po tym, jak wszystkie elementy są na miejscu, aby ustalić, czy działają prawidłowo.

7. Które z poniższych jest przykładem błędu walidacji danych wejściowych?

a. Błąd weryfikacji dostępu
b. Błąd konfiguracji
c. Błąd przepełnienia bufora
d. Błąd warunków wyścigu

7.c. W przypadku błędu sprawdzania poprawności danych wejściowych dane wejściowe otrzymane przez system nie są odpowiednio sprawdzane, co skutkuje luką, którą można wykorzystać, wysyłając określoną sekwencję wejściową. W przypadku przepełnienia bufora dane wejściowe odbierane przez system są dłuższe niż oczekiwana długość danych wejściowych, ale system nie sprawdza tego warunku. W przypadku błędu sprawdzania dostępu system jest podatny na ataki, ponieważ mechanizm kontroli dostępu jest wadliwy. Błąd konfiguracji występuje, gdy ustawienia kontrolowane przez użytkownika w systemie są tak skonfigurowane, że system jest zagrożony. Błąd warunków wyścigu występuje, gdy występuje opóźnienie między czasem, w którym system sprawdza, czy operacja jest dozwolona przez model zabezpieczeń, a czasem, w którym system faktycznie wykonuje operację.

8. Z punktu widzenia zarządzania ryzykiem, nowe interfejsy systemu są adresowane w której z następujących faz cyklu życia systemu (SDLC)?

a. Inicjacja
b. Rozwój / przejęcie
c. Realizacja
d. Eksploatacja/konserwacja

8.d. W fazie eksploatacji/utrzymania SDLC działania związane z zarządzaniem ryzykiem są wykonywane za każdym razem, gdy w systemie informatycznym w jego środowisku operacyjnym (produkcyjnym) wprowadzane są poważne zmiany (np. nowe interfejsy systemowe).

9. Które z poniższych wymaga zapewnienia systemu?

1. Dowód pochodzenia
2. Dowód dostawy
3. Techniki
4. Metryki

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4

9.d. Zapewnienie systemu jest podstawą pewności, że zestaw zamierzonych kontroli bezpieczeństwa w systemie informatycznym jest skuteczny w ich stosowaniu. Zapewnienie systemu wymaga (i) technik pozwalających na osiągnięcie integralności, poufności, dostępności i odpowiedzialności oraz (ii) mierników do ich pomiaru. Dowód pochodzenia i dowód dostawy są wymagane w przypadku niezaprzeczalności.

10. Która z poniższych części nie obejmuje etapu inicjacji procesu certyfikacji bezpieczeństwa i akredytacji?

a. Przygotowanie
b. Identyfikacja zasobów
c. Plan działania i kamienie milowe
d. Akceptacja planu bezpieczeństwa

10.c. Plan działania i dokument dotyczący kamieni milowych to ostatnia część etapów certyfikacji bezpieczeństwa i akredytacji, która opisuje środki, które zostały wdrożone lub zaplanowane w celu skorygowania wszelkich niedociągnięć zauważonych podczas oceny środków bezpieczeństwa oraz zmniejszenia lub wyeliminowania znanych podatności systemu. Pozostałe trzy opcje są częścią fazy inicjacji, która jest pierwszą fazą, w której jest za wcześnie na opracowanie planu działania i kamieni milowych.


11. Które z poniższych jest pierwsze w procesie certyfikacji bezpieczeństwa i akredytacji systemu informatycznego?

a. Certyfikacja bezpieczeństwa
b. Ponowna certyfikacja bezpieczeństwa
c. Akredytacja bezpieczeństwa
d. Ponowna akredytacja bezpieczeństwa

11.a. Prace nad certyfikacją bezpieczeństwa są na pierwszym miejscu, ponieważ określają, w jakim stopniu mechanizmy bezpieczeństwa w systemie informatycznym są prawidłowo zaimplementowane, działają zgodnie z przeznaczeniem i zapewniają pożądaną postawę bezpieczeństwa systemu. To zapewnienie jest osiągane poprzez ocenę bezpieczeństwa systemu. Pakiet akredytacji bezpieczeństwa dokumentuje wyniki certyfikacji bezpieczeństwa. Ponowna certyfikacja i ponowna akredytacja odbywają się okresowo i sekwencyjnie za każdym razem, gdy następuje istotna zmiana w systemie lub jego środowisku operacyjnym w ramach ciągłego monitorowania kontroli bezpieczeństwa.

12. Który z poniższych scenariuszy decyzyjnych organu akredytacji bezpieczeństwa wymaga uzasadnienia decyzji?

1. Pełna akredytacja systemu
2. Akredytuj system z warunkami
3. Odmów akredytacji systemu
4. Odroczenie akredytacji systemu

a. Tylko 1
b. Tylko 2
c. 1, 2 lub 3
d. 1, 2, 3 lub 4

12.c. Organ akredytacji bezpieczeństwa ma do pracy trzy główne scenariusze: (i) pełną akredytację systemu, (ii) akredytację systemu z warunkami lub (iii) odmowę akredytacji systemu. W każdym przypadku, potrzebne jest uzasadnienie (uzasadnienie) decyzji. W niektórych przypadkach akredytacja systemu może zostać odroczona w wyniku nagłych zmian wymagań regulacyjnych lub nieoczekiwanych fuzji i przejęć w firmie. Zarząd może wrócić do odroczonej decyzji później.

13. W fazie ciągłego monitorowania procesu certyfikacji bezpieczeństwa i akredytacji, na której podstawie opiera się bieżąca ocena środków kontroli bezpieczeństwa?

a. Dokumenty dotyczące zarządzania konfiguracją
b. Plan działania i dokumenty dotyczące kamieni milowych
c. Dokumenty kontroli konfiguracji
d. Analizy wpływu na bezpieczeństwo dokumentów

13.b. Aby określić, jakie mechanizmy bezpieczeństwa wybrać do bieżącego przeglądu, organizacje powinny najpierw nadać priorytet testom w odniesieniu do elementów "planu działania i kamieni milowych", które zostaną zamknięte. Te nowo wdrożone mechanizmy kontrolne należy najpierw zweryfikować. Pozostałe trzy dokumenty są częścią fazy ciągłego monitorowania i wchodzą w grę, gdy zachodzą poważne zmiany lub modyfikacje systemu operacyjnego.

14. Jaki jest główny cel zarządzania konfiguracją?

a. Aby zmniejszyć ryzyko związane z wstawieniem systemu
b. Aby zmniejszyć ryzyko związane z instalacją systemu
c. Aby zmniejszyć ryzyko związane z modyfikacjami
d. Aby zminimalizować skutki negatywnych zmian

14.d. Celem zarządzania konfiguracją jest zminimalizowanie wpływu negatywnych zmian lub różnic w konfiguracjach na system informatyczny lub sieć. Pozostałe trzy opcje są przykładami pomniejszych celów, wszystkie prowadzą do celu głównego. Należy zauważyć, że modyfikacje mogą być właściwe lub niewłaściwe, gdy te ostatnie prowadzą do negatywnego efektu, a te pierwsze do pozytywnego.

15. W której z poniższych faz cyklu życia rozwoju systemu (SDLC) przeprowadzana jest główna implementacja procesu zarządzania konfiguracją?

a. Inicjacja
b. Akwizycja/rozwój
c. Realizacja
d. Eksploatacja/konserwacja

15.d. Podstawowa implementacja procesu zarządzania konfiguracją jest wykonywana podczas fazy eksploatacji/konserwacji SDLC, fazy eksploatacji/konserwacji. Inne fazy są zbyt wczesne, aby ten proces mógł się odbyć.

16. Która z poniższych faz certyfikacji bezpieczeństwa i proces akredytacji dotyczy przede wszystkim zarządzania konfiguracją?

a. Inicjacja
b. Certyfikacja bezpieczeństwa
c. Akredytacja bezpieczeństwa
d. Ciągłe monitorowanie

16.d. Czwarta faza procesu certyfikacji i akredytacji bezpieczeństwa, ciągłe monitorowanie, dotyczy przede wszystkim zarządzania konfiguracją. Dokumentowanie zmian systemu informatycznego i ocena potencjalnego wpływu tych zmian na bezpieczeństwo systemu jest istotną częścią ciągłego monitorowania i utrzymywania akredytacji bezpieczeństwa.

17. Za pomocą którego z poniższych przeprowadza się stały monitoring systemu informatycznego?

1. Zarządzanie ryzykiem
2. Certyfikacja bezpieczeństwa
3. Akredytacja bezpieczeństwa
4. Procesy zarządzania konfiguracją

a. 1 i 2
b. 2 i 3
c. 1, 2 i 3
d. 1, 2, 3 i 4

17.d. Prowadzony jest stały monitoring systemu w celu zidentyfikowania możliwych zagrożeń dla systemu, tak aby można było je rozwiązać poprzez procesy zarządzania ryzykiem, certyfikacji i akredytacji bezpieczeństwa oraz zarządzania konfiguracją.

18. Które z poniższych nie należą do obowiązków komisji przeglądu kontroli konfiguracji?

1. Omawianie wniosków o zmianę
2. Przeprowadzenie analizy wpływu zmian
3. Prośba o finansowanie na wdrożenie zmian
4. Powiadamianie użytkowników o zmianach w systemie

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4

18.c. Przeprowadzanie analizy wpływu zmian i powiadamianie użytkowników o zmianach w systemie należy do obowiązków menedżera konfiguracji, natomiast omawianie wniosków o zmiany i zwracanie się o finansowanie na wdrożenie zmian należy do obowiązków komisji rewizyjnej kontroli konfiguracji.

19. W którym z poniższych etapów procesu zarządzania konfiguracją przeprowadzana jest analiza wpływu zmian?

a. Zidentyfikuj zmiany.
b. Oceń prośbę o zmianę.
c. Wdrażaj decyzje.
d. Implementuj zatwierdzone prośby o zmianę.

19.b. Po zainicjowaniu żądania zmiany należy ocenić wpływ, jaki zmiana może mieć na określony system lub inne powiązane systemy. Analiza wpływu zmiany prowadzona jest w kroku "ocena wniosku o zmianę". Ewaluacja jest końcowym wynikiem identyfikacji zmian, decydowania, jakie zmiany należy zatwierdzić i jak je wdrożyć, oraz faktycznego wdrożenia zatwierdzonych zmian.

20. W którym z poniższych wyborów operacyjnych dotyczących procesu zarządzania konfiguracją mogą być potrzebne dodatkowe testy lub analizy?

a. Zatwierdzić
b. Wprowadzić w życie
c. Zaprzeczyć
d. Odraczać

20.d. W przypadku wyboru "odroczone" natychmiastowa decyzja zostaje odroczona do odwołania. W takiej sytuacji przed podjęciem ostatecznej decyzji mogą być potrzebne dodatkowe testy lub analizy. Z drugiej strony zatwierdzanie, wdrażanie i odrzucanie wyborów nie wymaga dodatkowych testów i analiz, ponieważ kierownictwo jest już zadowolone z testów i analiz.


21. Które z poniższych zadań nie jest zwykle wykonywane podczas fazy inicjacji procesu cyklu życia rozwoju systemu (SDLC)?

a. Wstępna ocena ryzyka
b. Wstępne plany bezpieczeństwa systemu
c. Plany testów bezpieczeństwa wysokiego poziomu
d. Architektura systemu bezpieczeństwa wysokiego poziomu

21.c. Plan testów bezpieczeństwa, zarówno wysokiego, jak i niskiego poziomu, jest opracowywany w fazie rozwoju/pozyskiwania. Pozostałe trzy wybory są dokonywane w fazie inicjacji.

22. W której z poniższych faz cyklu rozwoju systemu (SDLC) zaprojektowano i wdrożono środki kontroli bezpieczeństwa?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Sprzedaż

22.b. Kontrole bezpieczeństwa są opracowywane, projektowane i wdrażane w fazie rozwoju/nabycia. Dodatkowe kontrole mogą zostać opracowane w celu wsparcia kontroli już istniejących lub planowanych.

23. W której z poniższych faz cyklu rozwoju systemu (SDLC) określa się koszty nabycia i integracji produktu?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Sprzedaż

23.b. Koszty nabycia i integracji produktów, które można przypisać bezpieczeństwu informacji w całym cyklu życia systemu, są określane w fazie rozwoju/nabycia. Koszty te obejmują sprzęt, oprogramowanie, personel i szkolenia.

24. W której z poniższych faz cyklu rozwoju systemu (SDLC) uzyskuje się formalne zezwolenie na prowadzenie systemu informatycznego?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Sprzedaż

24.c. W fazie wdrożenia organizacja konfiguruje i udostępnia funkcje bezpieczeństwa systemu, testuje funkcjonalność tych funkcji, instaluje lub wdraża system, a na koniec uzyskuje formalne upoważnienie do obsługi systemu.

25. Które z poniższych daje pewność w ramach wymagań bezpieczeństwa i funkcjonalnych systemu zdefiniowanych dla systemu informatycznego?

a. Kontrola dostępu
b. Kontrole w tle dla programistów systemu
c. Świadomość
d. Trening

25.b. Wymagania dotyczące bezpieczeństwa i funkcjonalności mogą być wyrażone jako techniczne (na przykład kontrola dostępu), zapewnienia (na przykład sprawdzenie przeszłości dla twórców systemu) lub praktyki operacyjne (na przykład świadomość i szkolenia).

26. Użytkownicy systemu muszą wykonać które z poniższych czynności, gdy nowe mechanizmy bezpieczeństwa są dodawane do istniejącego systemu aplikacji?

a. Testów jednostkowych
b. Testowanie podsystemów
c. Pełne testowanie systemu
d. Testy akceptacyjne

26.d. Jeśli do istniejącego systemu aplikacji lub systemu wsparcia zostaną dodane nowe mechanizmy bezpieczeństwa, użytkownicy systemu muszą przeprowadzić dodatkowe testy akceptacyjne tych nowych mechanizmów kontrolnych. Takie podejście zapewnia, że nowe kontrolki spełniają specyfikacje bezpieczeństwa i nie powodują konfliktu z istniejącymi kontrolkami ani nie unieważniają ich.

27. W której z następujących faz cyklu rozwoju systemu (SDLC) przeprowadza się okresową reakredytację systemu?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

27.d. Dokumentowanie zmian systemu informacyjnego i ocena potencjalnego wpływu tych zmian na bezpieczeństwo systemu jest istotną częścią ciągłego monitorowania i kluczem do uniknięcia utraty ponownej akredytacji bezpieczeństwa systemu. Okresowa reakredytacja odbywa się w fazie operacyjnej.

28. Który z poniższych testów jest oparty na wymaganiach systemowych?

a. Testowanie czarnoskrzynkowe
b. Testowanie białoskrzynkowe
c. Testowanie szarej skrzynki
d. Testy integracyjne

28.a. Testowanie czarnoskrzynkowe, znane również jako testowanie funkcjonalne, wykonuje część lub całość systemu w celu sprawdzenia, czy wymagania użytkownika są spełnione. Testowanie białoskrzynkowe, znane również jako testowanie strukturalne, bada logikę jednostek i może być wykorzystywane do obsługi wymagań oprogramowania w zakresie pokrycia testów, tj. ile programu zostało wykonane. Testy szarej skrzynki można traktować jako wszystko, co nie jest testowane w białej lub czarnej skrzynce. Testy integracyjne są przeprowadzane w celu zbadania, w jaki sposób jednostki łączą się i współdziałają ze sobą, przy założeniu, że jednostki i obiekty (na przykład dane), którymi manipulują, przeszły pomyślnie testy jednostkowe.

29. W której z poniższych faz cyklu rozwoju systemu (SDLC) przeprowadzana jest integracja systemu?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

29.c. Nowy system jest integrowany w miejscu operacyjnym, w którym ma zostać wdrożony do eksploatacji. Ustawienia i przełączniki kontroli bezpieczeństwa są włączone.

30. W której z poniższych faz cyklu życia systemu (SDLC) przeprowadzana jest formalna ocena ryzyka?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

30.b. Formalna ocena ryzyka jest przeprowadzana na etapie rozwoju/nabycia w celu określenia wymagań dotyczących ochrony systemu. Analiza ta opiera się na wstępnej (wstępnej lub nieformalnej) ocenie ryzyka przeprowadzonej w fazie początkowej, ale będzie bardziej dogłębna i szczegółowa.


31. Która z poniższych faz cyklu życia systemu (SDLC) ustanawia początkową linię bazową komponentów sprzętu, oprogramowania i oprogramowania układowego dla systemu informatycznego?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

31.d. Procedury zarządzania konfiguracją i kontroli mają kluczowe znaczenie dla ustalenia początkowej linii bazowej komponentów sprzętu, oprogramowania i oprogramowania układowego dla systemu informatycznego. To zadanie jest wykonywane w fazie eksploatacji/konserwacji, aby można było śledzić i monitorować zmiany. Przed tą fazą system jest w stanie płynnym, co oznacza, że nie można ustalić początkowych wartości bazowych.

32.Kontrolowanie i utrzymywanie dokładnej inwentaryzacji wszelkich zmian w systemie informatycznym jest możliwe dzięki temu?

a. Zarządzanie konfiguracją i sterowanie
b. Ciągłe monitorowanie
c. Certyfikacja bezpieczeństwa
d. Akredytacja bezpieczeństwa

32. a. Zarządzanie konfiguracją i kontrola, która jest częścią fazy eksploatacji i utrzymania systemu, zajmuje się kontrolowaniem i utrzymywaniem dokładnej inwentaryzacji wszelkich zmian w systemie. Certyfikacja bezpieczeństwa i akredytacja bezpieczeństwa są częścią fazy wdrożenia systemu, natomiast ciągły monitoring jest częścią fazy eksploatacji i utrzymania.

33. Które z poniższych nie ułatwia samooceny lub niezależnych audytów bezpieczeństwa systemu informatycznego?

a. Przeglądy kontroli wewnętrznej
b. Testy penetracyjne
c. Opracowywanie kontroli bezpieczeństwa
d. Listy kontrolne bezpieczeństwa

33. c. Asesorzy lub audytorzy systemów nie rozwijają zabezpieczeń kontroli z powodu utraty obiektywizmu w myśleniu i utraty niezależności w wyglądzie. Kontrole bezpieczeństwa powinny być tworzone przez projektantów systemów i programistów przed przeprowadzeniem przeglądów kontroli wewnętrznej, przeprowadzeniem testów penetracyjnych lub wykorzystaniem list kontrolnych bezpieczeństwa przez osoby oceniające lub audytorów systemów. Przeglądy kontroli wewnętrznej, testy penetracyjne i listy kontrolne bezpieczeństwa po prostu ułatwiają późniejszą samoocenę lub niezależne audyty systemu informatycznego.

34. W zadaniu określania potrzeb fazy inicjacji cyklu życia systemu (SDLC), który z poniższych elementów optymalizuje potrzeby systemowe organizacji w ramach ograniczeń budżetowych?

a. Analiza luki dopasowania
b. Ocena ryzyka
c. Analiza inwestycji
d. Analiza wrażliwości

34.c. Analiza inwestycyjna definiowana jest jako proces zarządzania portfelem systemów informatycznych przedsiębiorstwa i określania odpowiedniej strategii inwestycyjnej. Analiza inwestycji optymalizuje potrzeby systemowe organizacji w ramach ograniczeń budżetowych. Analiza luki dopasowania identyfikuje różnice między tym, co jest wymagane, a tym, co jest dostępne; lub jak dwie rzeczy pasują lub jaka jest luka między nimi. Analiza ryzyka określa wielkość ryzyka a analiza wrażliwości może określić granice ryzyka w zakresie zmian wartości wejściowych i towarzyszących im zmian wartości wyjściowych.

35. W zadaniu wstępnej oceny ryzyka fazy inicjacji cyklu życia systemu (SDLC) potrzeby w zakresie integralności z perspektywy użytkownika lub właściciela są definiowane pod kątem tego, które z nich?

a. Miejsce danych
b. Aktualność danych
c. Forma danych
d. Jakość danych

35.d. Integralność można badać z kilku perspektyw. Z perspektywy użytkownika lub właściciela aplikacji integralność to jakość danych oparta na atrybutach, takich jak dokładność i kompletność. Pozostałe trzy wybory nie odzwierciedlają atrybutów uczciwości.

36. Przeprowadzane jest dogłębne badanie determinacji potrzeb dla nowego systemu będącego w fazie rozwoju, w której z poniższych faz cyklu rozwoju systemu (SDLC)?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

36. b. Zadaniem analizy wymagań w fazie rozwoju SDLC jest dogłębne badanie zapotrzebowania na nowy system. Analiza wymagań czerpie i rozwija pracę wykonaną w fazie inicjacji. Czynność określania potrzeb jest wykonywana na wysokim poziomie x funkcjonalności w fazie inicjacji.

37. Które z poniższych czynności należy wykonać przed zatwierdzeniem specyfikacji projektu systemu dla nowego systemu w trakcie opracowywania?

a. Architektura bezpieczeństwa korporacyjnego
b. Połączone systemy
c. Formalna ocena ryzyka
d. Specyfikacje bezpieczeństwa systemu

37. c. Formalna ocena ryzyka bezpieczeństwa powinna być przeprowadzona przed zatwierdzeniem specyfikacji projektu systemu. Pozostałe trzy opcje są brane pod uwagę podczas formalnego procesu oceny ryzyka bezpieczeństwa.

38. Które z poniższych jest często pomijane przy określaniu kosztu nabycia lub rozwoju nowego systemu?

a. Sprzęt komputerowy
b. Oprogramowanie
c. Trening
d. Bezpieczeństwo

38. d. Proces planowania kapitału określa, ile będzie kosztować zakup lub rozwój nowego systemu w całym jego cyklu życia. Koszty te obejmują sprzęt, oprogramowanie, personel i szkolenia. Innym krytycznym obszarem, często pomijanym, jest bezpieczeństwo.

39. Które z poniższych jest wymagane, gdy organizacja odkryje braki w zabezpieczeniach stosowanych do ochrony systemu informatycznego?

a. Opracuj prewencyjne kontrole bezpieczeństwa.
b. Opracuj plan działania i kamienie milowe.
c. Opracuj detektywistyczne kontrole bezpieczeństwa.
d. Zmodyfikuj nieskuteczne mechanizmy bezpieczeństwa.

39. b. Szczegółowe plany działań i harmonogramy kamieni milowych (POA&M) są wymagane w celu udokumentowania środków naprawczych potrzebnych do zwiększenia skuteczności kontroli bezpieczeństwa i zapewnienia wymaganego bezpieczeństwa systemu informatycznego przed autoryzacją bezpieczeństwa. Pozostałe trzy opcje nie są działaniami naprawczymi wymagającymi planów działania i harmonogramów kamieni milowych.

40. Dokument planowania bezpieczeństwa opracowany w fazie rozwoju/nabycia cyklu rozwoju systemu (SDLC) nie zawiera którego z poniższych elementów?

a. Oświadczenie o rozwoju pracy
b. Plan zarządzania konfiguracją
c. Plan awaryjny
d. Plan reagowania na incydenty

40. a. Oświadczenie o rozwoju pracy jest częścią innych elementów planowania w fazie rozwoju/przejęcia cyklu życia rozwoju systemu (SDLC). Pozostałe trzy opcje są częścią dokumentu planowania bezpieczeństwa.


41. Przy tworzeniu bezpiecznej sieci, które z poniższych odzwierciedla największą potrzebę ograniczenia dostępu poprzez bezpieczną lokalizację?

a. Pliki transakcji
b. Pliki konfiguracyjne
c. Pliki robocze
d. Pliki tymczasowe

41. b. Pliki konfiguracyjne, pliki systemowe lub pliki zawierające poufne informacje nie mogą być migrowane na inne nośniki pamięci i muszą być przechowywane w bezpiecznej lokalizacji ze względu na ograniczenia dostępu. Pliki wymienione w pozostałych trzech opcjach nie są wrażliwe; są tymczasowe i nie trzeba ich przechowywać po zakończeniu ich użytkowania.

42. Która z poniższych sytuacji ma miejsce po dostawie i instalacji nowego systemu informatycznego w trakcie nabywania?

a. Testów jednostkowych
b. Testowanie podsystemów
c. Pełne testowanie systemu
d. Testy integracyjne i akceptacyjne

42. d. Testy integracyjne i akceptacyjne następują po dostarczeniu i zainstalowaniu nowego systemu informatycznego. Testowanie jednostki, podsystemu i całego systemu nie jest przeprowadzane dla nabytego systemu, ale dla systemu opracowanego wewnętrznie. Testy integracyjne i akceptacyjne są przeprowadzane dla nabytego systemu.

43. Które z poniższych czynności należy wykonać przed ostatecznym wdrożeniem systemu do eksploatacji?

a. Przeprowadź proces certyfikacji bezpieczeństwa.
b. Opisz znane podatności w systemie.
c. Ustanowienie technik weryfikacji kontroli w celu zapewnienia pewności.
d. Udokumentuj zabezpieczenia, które są stosowane w celu ochrony systemu.

43. a. Przed ostatecznym wdrożeniem systemu należy przeprowadzić certyfikację bezpieczeństwa, aby zapewnić, że środki bezpieczeństwa ustanowione w odpowiedzi na wymagania bezpieczeństwa są częścią procesu rozwoju systemu. Pozostałe trzy opcje są częścią zakresu procesu certyfikacji bezpieczeństwa.

44. Które z poniższych postanowień odzwierciedla decyzja o akredytacji bezpieczeństwa?

a. Decyzja na podstawie testów
b. Decyzja oparta na ryzyku
c. Decyzja oparta na ocenie
d. Decyzja oparta na wynikach

44. b. Decyzja o akredytacji bezpieczeństwa jest decyzją opartą na ryzyku, która zależy w dużej mierze, ale nie wyłącznie, od testów bezpieczeństwa i wyników oceny uzyskane podczas procesu weryfikacji kontroli bezpieczeństwa. Akredytacja bezpieczeństwa koncentruje się na ryzyku, natomiast akredytacja systemowa skupia się na ocenie na podstawie testów i ich wyników.

45. Które z poniższych są dwoma kluczowymi etapami bezpieczeństwa informacji w fazie operacyjnej w cyklu rozwoju systemu (SDLC)?

1. Ochrona informacji
2. Akredytacja bezpieczeństwa
3. Zarządzanie konfiguracją i kontrola
4. Ciągłe monitorowanie

a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 3 i 4

45.d. Zarządzanie i kontrolowanie konfiguracji systemu oraz zapewnienie procesu ciągłego monitorowania to dwa kluczowe etapy bezpieczeństwa informacji w fazie eksploatacji/utrzymania SDLC. Ochrona informacji jest czynnością w fazie usuwania, natomiast akredytacja bezpieczeństwa jest czynnością w fazie wdrażania SDLC.

46. Które z poniższych są sposobami ciągłego monitorowania skuteczności kontroli bezpieczeństwa?

1. Przeglądy bezpieczeństwa
2. Samooceny
3. Test i ocena bezpieczeństwa
4. Niezależne audyty bezpieczeństwa

a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 1, 2, 3 i 4

46.d. Bieżące monitorowanie skuteczności kontroli bezpieczeństwa może być realizowane na różne sposoby, w tym przeglądy bezpieczeństwa, samooceny, testy i oceny bezpieczeństwa oraz niezależne audyty bezpieczeństwa.

47. Które z poniższych jest dobrą definicją monitorowania kontroli bezpieczeństwa?

a. Weryfikowanie ciągłej skuteczności kontroli bezpieczeństwa w czasie
b. Weryfikację ciągłej skuteczności kontroli bezpieczeństwa w czasie
c. Weryfikację skuteczności rozwoju kontroli bezpieczeństwa w czasie
d. Weryfikowanie skuteczności planowania kontroli bezpieczeństwa w czasie

47. a. Organizacje potrzebują okresowych i ciągłych testów i oceny mechanizmów kontroli bezpieczeństwa w systemie informatycznym, aby zapewnić, że mechanizmy kontrolne są skuteczne w ich stosowaniu. Monitorowanie kontroli bezpieczeństwa oznacza weryfikację ciągłej skuteczności tych kontroli w czasie.

48. Które z poniższych stwierdzeń dotyczących cyklu życia systemu (SDLC) nie jest prawdziwe?

a. Systemy poddawane są udoskonaleniom technologicznym.
b. Plany bezpieczeństwa ewoluują wraz z systemem śledzenia.
c. Jest definitywny koniec SDLC.
d. Wiele poprzednich kontroli operacyjnych dotyczy systemu śledzenia.

48.c. Zazwyczaj proces SDLC nie ma ostatecznego końca, ponieważ system może stać się systemem przestarzałym na długi czas lub ostatecznie może zostać zastąpiony nowym systemem. Systemy ewoluują lub przechodzą do następnej generacji jako kolejne systemy ze zmieniającymi się wymaganiami i technologią. Plany bezpieczeństwa ewoluują wraz z systemem. Wiele kontroli zarządzania i operacji w starym, przestarzałym systemie jest nadal istotnych i użytecznych przy opracowywaniu planu bezpieczeństwa dla systemu kontynuacyjnego.

49. Jeśli istnieje wątpliwość, czy w systemie pozostają poufne informacje, które z poniższych informacji należy sprawdzić przed zbyciem systemu?

a. Właściciel systemu informacyjnego
b. Funkcjonariusz ds. bezpieczeństwa systemu informatycznego
c. Właściciel informacji
d. Urzędnik ds. certyfikacji i akredytacji

49. b. Niektóre systemy mogą zawierać poufne informacje po usunięciu nośnika pamięci. W przypadku wątpliwości, czy w systemie pozostają poufne informacje, przed zbyciem systemu należy skonsultować się z inspektorem bezpieczeństwa systemu informatycznego, ponieważ zajmuje się on technicznymi aspektami systemu. Inne wymienione strony nie skupiają się na kwestiach technicznych, lecz na działalności biznesowej.

50. Które z poniższych jest podobne do certyfikacji bezpieczeństwa i akredytacji?

a. Zapewnienie jakości
b. Kontrola jakości
c. Kontrola operacyjna
d. Kontrola zarządzania

50. b. Kontrola jakości jest zbliżona do certyfikacji bezpieczeństwa i akredytacji pod względem zakresu prac i celów. Kontrola jakości to kontrola techniczna. Zapewnienie jakości jest zawarte w planowaniu bezpieczeństwa, które jest kontrolą zarządczą. Kontrola operacyjna dotyczy codziennych procedur.


51. Które z poniższych są istotnymi elementami procesu certyfikacji bezpieczeństwa i akredytacji?

1. Ocena ryzyka
2. Wymagania bezpieczeństwa
3. Plany bezpieczeństwa
4. Kontrola bezpieczeństwa

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4

51. b. Zarówno ocena ryzyka, jak i plany bezpieczeństwa są podstawowymi elementami procesu certyfikacji bezpieczeństwa i akredytacji. Te dwa komponenty dokładnie odzwierciedlają wymagania bezpieczeństwa i mechanizmy kontroli bezpieczeństwa poprzez metodologię cyklu życia systemu (SDLC). Wymagania bezpieczeństwa i środki kontroli bezpieczeństwa (planowane lub zaprojektowane) napędzają proces oceny ryzyka i plany bezpieczeństwa.

52. Dokonując akredytacji systemu informacyjnego, urzędnik kierownictwa organizacji wykonuje które z poniższych czynności?

a. Unika ryzyka
b. Ogranicza ryzyko
c. Akceptuje ryzyko
d. Przenosi ryzyko

52. c. Akredytując system informacyjny, urzędnik zarządzający organizacji akceptuje ryzyko związane z obsługą systemu i związane z tym konsekwencje dla bezpieczeństwa operacji, aktywów lub osób fizycznych organizacji.

53. W jaki sposób zapewnia się system informatyczny?
1. Zrozumienie środowiska zagrożeń
2. Ocena zestawów wymagań systemowych
3. Znajomość zasad inżynierii sprzętu i oprogramowania
4. Dostępność wyników oceny produktu i systemu

a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4

53. d. Zapewnienie systemu to podstawa pewności, że system spełnia jego oczekiwania w zakresie bezpieczeństwa. Dobre zrozumienie środowiska zagrożeń, ocena zestawów wymagań systemowych, znajomość zasad inżynierii sprzętu i oprogramowania oraz dostępność wyników oceny produktu i systemu są wymagane do gwarancji systemowej.

54. Co powinno być na miejscu przed certyfikacją bezpieczeństwa i procesu akredytacji?

a. Plan bezpieczeństwa jest analizowany.
b. Plan bezpieczeństwa został zaktualizowany.
c. Plan bezpieczeństwa został zaakceptowany.
d. Opracowany zostaje plan bezpieczeństwa.

54. d. W trakcie procesu certyfikacji bezpieczeństwa i akredytacji plan bezpieczeństwa systemu jest analizowany, aktualizowany i akceptowany. Aby to się stało, plan bezpieczeństwa systemu musi być opracowany i na miejscu.

55. Która z poniższych sytuacji powinna nastąpić przed istotną zmianą w przetwarzaniu systemu informatycznego?

a. Recertyfikacja systemu
b. Ponowna akredytacja systemu
c. Ponowna autoryzacja systemu
d. Ponowna ocena systemu

55.c. Ponowna autoryzacja powinna nastąpić przed istotną zmianą w przetwarzaniu systemu informatycznego. Okresowy przegląd kontroli powinien również przyczynić się do przyszłych zezwoleń.

56. Skuteczną kontrolę uzyskuje się, gdy kontrola zarządzania konfiguracją jest ustanowiona przed rozpoczęciem której z poniższych czynności?

a. Analiza wymagań
b. Projekt
c. Kodowanie
d. Testowanie

56. b. Faza projektowania przekłada wymagania na reprezentację oprogramowania. Projekt podlega kontroli zarządzania konfiguracją przed rozpoczęciem kodowania. Analiza wymagań jest niepoprawna, ponieważ skupia się na zebraniu wymagań, aby zrozumieć naturę programów, które mają zostać zbudowane. Projekt musi zostać przetłumaczony na formę czytelną dla kodu. Etap kodowania wykonuje to zadanie. Kod jest weryfikowany na przykład w procesie inspekcji i poddawany kontroli zarządzania konfiguracją przed rozpoczęciem formalnego testowania. Po wygenerowaniu kodu rozpoczyna się testowanie programu. Testowanie koncentruje się na logice wewnętrznej oprogramowania, upewniając się, że wszystkie instrukcje zostały przetestowane, oraz na funkcjonalnych elementach zewnętrznych; to znaczy przeprowadzanie testów w celu wykrycia błędów, aby upewnić się, że zdefiniowane dane wejściowe mogą generować rzeczywiste wyniki, które są zgodne z wymaganymi wynikami.

57. Dokument planowania bezpieczeństwa opracowany w fazie rozwoju/nabycia cyklu rozwoju systemu (SDLC) nie zawiera którego z poniższych elementów?

a. Umowy o przyłączenie systemów
b. Testy bezpieczeństwa i wyniki oceny
c. Prośba o propozycję
d. Plan działań i kamienie milowe

57. c. Zapytanie o opracowanie wniosku, ocena i akceptacja są częścią innych elementów planowania w fazie opracowywania/nabywania SDLC. Jest częścią działań związanych z zarządzaniem projektami. Pozostałe trzy opcje są częścią dokumentu planowania bezpieczeństwa.

58. Robak zainfekował system. Jaki powinien być pierwszy krok w obsłudze incydentu związanego z robakiem?

a. Przeanalizuj komputer hosta.
b. Odłącz zainfekowany system.
c. Przeanalizuj serwer.
d. Zidentyfikuj zachowanie robaka.

58. b. Incydenty związane z robakami często wymagają jak najszybszej reakcji, ponieważ zainfekowany system może atakować inne systemy zarówno wewnątrz, jak i na zewnątrz organizacji. Organizacje mogą zdecydować się na natychmiastowe odłączenie zainfekowanych systemów od sieci, zamiast przeprowadzać najpierw analizę hosta. Następnie analityk może zbadać stałe (nieulotne) cechy systemu operacyjnego serwera, takie jak wyszukiwanie kont użytkowników i grup na poziomie administracyjnym, które mogły zostać dodane przez robaka. Ostatecznie analityk powinien zebrać wystarczającą ilość informacji, aby zidentyfikować zachowanie robaka z wystarczającą szczegółowością, aby zespół reagowania na incydenty mógł skutecznie działać w celu powstrzymania, wyeliminowania i odzyskania po incydencie.

59. Robak zainfekował system. Z punktu widzenia ruchu sieciowego, które z poniższych zawiera bardziej szczegółowe informacje?

a. Sieciowe IDS i zapory sieciowe
b. Routery
c. IDS i zapory sieciowe oparte na hoście
d. Serwery zdalnego dostępu

59. c. System wykrywania włamań oparty na hoście (IDS) i produkty zapory działające w zainfekowanym systemie mogą zawierać bardziej szczegółowe informacje niż sieciowe systemy wykrywania włamań i produkty zapory. Na przykład IDS oparty na hoście może identyfikować zmiany w plikach lub ustawieniach konfiguracyjnych na hoście, które zostały wprowadzone przez robaka. Informacje te są pomocne nie tylko w planowaniu działań związanych z powstrzymywaniem, eliminacją i odzyskiwaniem poprzez określenie, w jaki sposób robak wpłynął na hosta, ale także w identyfikowaniu robaka, który zainfekował system. Jednak ponieważ wiele robaków wyłącza mechanizmy kontroli bezpieczeństwa oparte na hoście i niszczy wpisy w dziennikach, dane z systemów IDS opartych na hoście i oprogramowania zapory mogą być ograniczone lub może ich brakować. Jeśli oprogramowanie zostało skonfigurowane do przekazywania kopii swoich dzienników do scentralizowanych serwerów dzienników, zapytania do tych serwerów mogą dostarczyć przydatnych informacji (zakładając, że integralność dzienników hosta nie budzi wątpliwości). IDS oparty na sieci jest nieprawidłowy, ponieważ wskazuje, który serwer został zaatakowany i na jakim numerze portu, co wskazuje, która usługa sieciowa była celem. Zapory sieciowe są zwykle skonfigurowane do rejestrowania prób zablokowanych połączeń, które obejmują zamierzony docelowy adres IP i numer portu. Inne urządzenia obwodowe, przez które mógł przechodzić ruch robaków, takie jak routery, bramy wirtualnej sieci prywatnej (VPN) i serwery dostępu zdalnego, mogą rejestrować informacje podobne do rejestrowanych przez zapory sieciowe.

60. W której z poniższych faz cyklu rozwoju systemu (SDLC) aktywność związana z czyszczeniem mediów jest zwykle najbardziej intensywna?

a. Rozwój/nabycie
b. Realizacja
c. Eksploatacja/konserwacja
d. Sprzedaż

60. d. Dezynfekcja nośnika zapewnia, że dane są usuwane, kasowane i nadpisywane w razie potrzeby. Działania związane z oczyszczaniem mediów i usuwaniem informacji są zwykle najbardziej intensywne w fazie usuwania w cyklu życia systemu. Jednak przez cały okres użytkowania systemu informacyjnego wiele rodzajów nośników danych będzie przeniesionych poza kontrolę pozytywną, a niektóre zostaną ponownie wykorzystane we wszystkich fazach SDLC. Ta czynność oczyszczania nośnika może być spowodowana konserwacją, aktualizacją systemu lub aktualizacją konfiguracji.


61. W które z poniższych działań zaangażowany jest rzeczoznawca certyfikacji bezpieczeństwa?

a. Rozwój systemu
b. Sterowanie systemem
c. Implementacja systemu
d. Operacje systemowe

61. b. Oceniający certyfikację bezpieczeństwa jest zaangażowany w ocenę mechanizmów kontroli bezpieczeństwa w systemie informatycznym w celu wydania bezstronnej opinii. Niezależność asesora oznacza, że nie jest on zaangażowany w rozwój, wdrażanie ani eksploatację systemu informatycznego.

62. Które z poniższych zagrożeń opiera się wyłącznie na technikach socjotechnicznych?

1. Koń trojański
2. Kod mobilny
3. Phishing
4. Oszustwa wirusowe

a. 1 i 2
b. 2 i 3
c. 1 i 3
d. 3 i 4

62. d. Zarówno phishing, jak i oszustwa wirusowe opierają się całkowicie na socjotechniki, która jest ogólnym terminem określającym osoby atakujące próbujące nakłonić ludzi do ujawnienia poufnych informacji lub wykonania określonych czynności, takich jak pobieranie i uruchamianie plików, które wydają się być niegroźne, ale w rzeczywistości są złośliwe. Phishing odnosi się do stosowania oszukańczych metod komputerowych w celu nakłonienia osób do ujawnienia poufnych danych osobowych. Fałszywe oszustwa wirusowe to fałszywe ostrzeżenia o wirusach. Większość ostrzeżeń o wirusach, które są wysyłane za pośrednictwem poczty e-mail wśród użytkowników, to w rzeczywistości oszustwa. Koń trojański jest niepoprawny, ponieważ jest to niereplikujący się program, który wydaje się być łagodny, ale w rzeczywistości ma ukryty złośliwy cel. Kod mobilny jest niepoprawny, ponieważ jest to oprogramowanie przesyłane z systemu zdalnego w celu wykonania w systemie lokalnym, zazwyczaj bez wyraźnej instrukcji użytkownika. Koń trojański i kod mobilny nie opierają się na inżynierii społecznej.

63. Definiowanie ról i obowiązków jest ważne przy identyfikowaniu zainfekowanych hostów z incydentami złośliwego oprogramowania, zanim wystąpią incydenty bezpieczeństwa. Która z poniższych grup może przede wszystkim pomóc w analizie routerów?

a. Administratorzy bezpieczeństwa
b. Administratorzy systemu
c. Administratorzy sieci
d. Administratorzy pulpitu

63. c. Organizacje powinny określić, które osoby lub grupy mogą pomóc w wysiłkach identyfikacji infekcji. Administratorzy sieci są dobrzy w analizowaniu routerów wraz z analizowaniem ruchu sieciowego za pomocą snifferów pakietów i błędnych konfiguracji. Role administratorów zdefiniowane w pozostałych trzech opcjach różnią się ze względu na oddzielenie obowiązki, niezależność i obiektywność punktów widzenia.

64. Które z poniższych nie jest częścią integralności oprogramowania i informacji w zakresie bezpieczeństwa aplikacji komercyjnych?

a. Kontrola parzystości
b. Cykliczne kontrole nadmiarowości
c. Nieudane testy bezpieczeństwa
d. Hasze kryptograficzne

64. c. Organizacja wykorzystuje zautomatyzowane mechanizmy powiadamiania o nieudanych testach bezpieczeństwa, co jest kontrolą wykorzystywaną w weryfikacji funkcjonalności bezpieczeństwa. Organizacja wykorzystuje aplikacje do weryfikacji integralności w systemie informatycznym w celu poszukiwania dowodów manipulacji informacjami, błędów i pominięć. Organizacja stosuje dobre praktyki inżynierii oprogramowania dla komercyjnych, gotowych mechanizmów integralności (na przykład kontrole parzystości, cykliczne kontrole nadmiarowości i skróty kryptograficzne) oraz wykorzystuje narzędzia do automatycznego monitorowania integralności systemu informacyjnego i hostowanych na nim aplikacji.

65. Atakujący mogą wykorzystać którą z poniższych luk, aby uzyskać dostęp do kont użytkowników, przeglądać poufne pliki lub korzystać z nieautoryzowanych funkcji?

a. Uszkodzona kontrola dostępu
b. Nieprawidłowe dane wejściowe
c. Uszkodzone uwierzytelnianie
d. Błędy cross-site scripting

65. a. Gdy ograniczenia dotyczące tego, co mogą robić uwierzytelnieni użytkownicy, nie są odpowiednio egzekwowane, prowadzi to do złamania luki w kontroli dostępu w aplikacjach internetowych. Pozostałe trzy opcje nie dotyczą dostępu do kont użytkowników, przeglądania poufnych plików lub korzystania z nieautoryzowanych funkcji.

66. Jak nazwać osobę atakującą, która może osadzić złośliwe polecenia w parametrach aplikacji, co spowoduje, że system zewnętrzny wykona te polecenia w imieniu aplikacji sieci Web?

a. Przepełnienia bufora
b. Wady wtrysku
c. Odmowa usługi
d. Niewłaściwa obsługa błędów

66. b. Aplikacje internetowe przekazują parametry, gdy uzyskują dostęp do systemów zewnętrznych lub lokalnego systemu operacyjnego. Błędy wstrzykiwania występują, gdy atakujący może osadzić złośliwe polecenia w tych parametrach; system zewnętrzny może wykonać te polecenia w imieniu aplikacji sieci Web. Pozostałe trzy opcje nie mają tu zastosowania, ponieważ nie zawierają złośliwych poleceń.

67. Podczas których z poniższych przeprowadza się zarówno testy czarnoskrzynkowe, jak i białoskrzynkowe?

a. Testów jednostkowych
b. Testy integracyjne
c. Testowanie systemu
d. Testy akceptacyjne

67. a. Test jednostkowy to test elementów oprogramowania na najniższym poziomie rozwoju. Testowanie czarnoskrzynkowe, znane również jako testowanie funkcjonalne, wykonuje część lub całość systemu w celu sprawdzenia, czy wymagania użytkownika są spełnione. Testowanie białoskrzynkowe, znane również jako testowanie strukturalne, bada logikę jednostek i może być wykorzystywane do obsługi wymagań oprogramowania w zakresie pokrycia testów, tj. ile programu zostało wykonane. Ponieważ test jednostkowy jest pierwszym przeprowadzonym testem, jego zakres powinien być na tyle obszerny, aby obejmował oba rodzaje testów, czyli czarną skrzynkę i białą skrzynkę. Testowanie integracji jest nieprawidłowe, ponieważ następuje po zakończeniu testów jednostkowych. Test integracyjny jest przeprowadzany w celu zbadania, w jaki sposób jednostki łączą się i oddziałują ze sobą, przy założeniu, że jednostki i obiekty (na przykład dane), którymi manipulują, przeszły testy jednostkowe. Testy integracji oprogramowania sprawdzają, jak jednostki współdziałają z innymi bibliotekami oprogramowania i sprzętem. Testowanie systemu jest nieprawidłowe, ponieważ następuje po zakończeniu testów integracyjnych. Testuje całkowicie zintegrowany system i sprawdza, czy oprogramowanie spełnia jego wymagania. Testy akceptacyjne są nieprawidłowe, ponieważ następują po zakończeniu testów integracyjnych. Jest to testowanie wymagań użytkownika w trybie operacyjnym przez użytkowników końcowych i obsługę komputera.

68. Jeśli ręczne kontrole nad zmianami programu byłyby słabe, które z poniższych byłyby skuteczne?

a. Zautomatyzowane sterowanie
b. Pisemne zasady
c. Procedury pisemne
d. Pisemne standardy

68. a. Ogólnie rzecz biorąc, automatyczne kontrole kompensują słabości lub brak kontroli ręcznych lub odwrotnie (tj. kontrola kompensacyjna). Na przykład zautomatyzowany system zarządzania oprogramowaniem może pomóc we wzmocnieniu kontroli poprzez przenoszenie programów z produkcji do bibliotek testowych iz powrotem. Minimalizuje błędy ludzkie w przenoszeniu niewłaściwych programów lub zapominaniu o przeniesieniu właściwych. Pisemne zasady, procedury i standardy są równie niezbędne w środowiskach ręcznych i zautomatyzowanych.

69. Które z poniższych określa formalną akceptację przez kierownictwo adekwatności bezpieczeństwa systemu aplikacji?

a. Certyfikacja systemu
b. Certyfikacja bezpieczeństwa
c. Akredytacja systemu
d. Akredytacja bezpieczeństwa

69. c. Akredytacja systemu to formalna akceptacja przez kierownictwo adekwatności bezpieczeństwa systemu aplikacji. Akredytujący są odpowiedzialni za ocenę dowodów certyfikacji, decydowanie o dopuszczalności zabezpieczeń aplikacji, zatwierdzanie działań korygujących, zapewnianie, że działania korygujące są realizowane oraz wydawanie oświadczenia akredytacyjnego. Certyfikacja systemu to techniczna ocena zgodności z wymaganiami bezpieczeństwa na potrzeby akredytacji. Ocena techniczna wykorzystuje kombinację technik oceny bezpieczeństwa (na przykład analizę ryzyka, plany bezpieczeństwa, walidację, weryfikację, testowanie, ocenę zabezpieczeń i audyt) i kończy się techniczną oceną zakresu, w jakim zabezpieczenia spełniają wymagania bezpieczeństwa. Certyfikacja bezpieczeństwa to formalne testowanie zabezpieczeń (zabezpieczeń) wdrożonych w systemie komputerowym w celu określenia, czy spełniają one odpowiednie wymagania i specyfikacje. Akredytacja bezpieczeństwa to formalne upoważnienie przez urzędnika akredytującego (zarządzającego) do obsługi systemu i wyraźna akceptacja ryzyka. Zwykle jest poparte przeglądem systemu, w tym jego kontroli zarządczej, operacyjnej i technicznej. Najpierw przeprowadzana jest certyfikacja systemu, a następnie akredytacja systemu, ponieważ ta pierwsza wspiera tę drugą. Procesy certyfikacji bezpieczeństwa i akredytacji bezpieczeństwa są zgodne z procesami certyfikacji systemów i akredytacji systemów.

70. Który z poniższych wirusów jest wirusem nierezydentnym?
a. Wirus głównego sektora rozruchowego
b. Wirus infekujący pliki
c. Wirus makro
d. Infektor sektora rozruchowego

70. c. Wirusy makr to wirusy nierezydentne. Wirus rezydentny jest na nim, który ładuje się do pamięci, przechwytuje jedno lub więcej przerwań i pozostaje nieaktywny w pamięci aż do jakiegoś zdarzenia wyzwalającego. Wszystkie wirusy rozruchowe i najpopularniejsze wirusy plikowe są wirusami rezydentnymi. Wirusy makr znajdują się w dokumentach, a nie na dyskach.


71. Które z poniższych to backdoory?

a. Są punktami wejścia do programu komputerowego.
b. Są dławikami w programie komputerowym.
c. Są punktami zatrzymania w programie komputerowym.
d. Są punktami wyjścia do programu komputerowego.

71. a. Programiści często tworzą punkty wejścia (tylne drzwi) do programu w celu debugowania i/lub wstawiania nowych kodów programu w późniejszym terminie. Pozostałe trzy opcje nie mają tu zastosowania, ponieważ nie dotyczą punktów wejścia.

72. Większości koni trojańskich można zapobiegać i wykrywać je za pomocą którego z poniższych?

a. Usuwanie uszkodzeń
b. Ocena szkód
c. Instalowanie kontroli zmiany programu
d. Naprawianie szkód

72. c. Większości koni trojańskich można zapobiegać i wykrywać je dzięki silnej kontroli zmian programu, w której każda zmiana jest niezależnie sprawdzana przed wprowadzeniem do użytku. Po wykryciu konia trojańskiego lekarstwem jest jego usunięcie. Następnie spróbuj znaleźć wszystkie wyrządzone szkody i napraw je.

73. Z punktu widzenia analizy ryzyka, co obejmuje główny wrażliwy obszar w komputerowym systemie aplikacji?

a. Wewnętrzne przetwarzanie komputerowe
b. Wejścia i wyjścia systemu
c. Telekomunikacja i sieci
d. Zewnętrzne przetwarzanie komputerowe

73. b. Największym zagrożeniem jest ręczna obsługa danych przed ich wprowadzeniem do systemu aplikacji lub po ich pobraniu z systemu w formie papierowej. Ponieważ interwencja człowieka jest tutaj znacząca, ryzyko jest wyższe. Kontrole nad wewnętrznym i zewnętrznym przetwarzaniem komputerowym oraz telekomunikacją i siecią można wzmocnić dzięki automatycznym kontrolom.

74. W którym z poniższych elementów najbardziej prawdopodobne jest manipulowanie lub manipulacja?

a. Plik konfiguracyjny
b. Plik hasła
c. Plik dziennika
d. Plik systemowy

74.c. Plik dziennika najprawdopodobniej zostanie zmanipulowany (zmanipulowany) przez osoby z wewnątrz lub osoby z zewnątrz, ponieważ zawiera nieudane próby logowania lub użycie systemu. Plik konfiguracyjny zawiera parametry systemowe. Plik haseł zawiera hasła i identyfikatory użytkowników, podczas gdy plik systemowy zawiera ogólne informacje o sprzęcie i oprogramowaniu systemu komputerowego.

75. Który z poniższych procesów zapewniania oprogramowania jest odpowiedzialny za zapewnienie, że wszelkie zmiany w wynikach oprogramowania podczas procesu tworzenia systemu są dokonywane w sposób kontrolowany i kompletny?

a. Procesy zarządzania konfiguracją oprogramowania
b. Procesy zarządzania projektami oprogramowania
c. Procesy zapewniania jakości oprogramowania
d. Procesy weryfikacji i walidacji oprogramowania

75. a. Cele zarządzania konfiguracją oprogramowania SCM) ma na celu śledzenie różnych wersji oprogramowania i zapewnienie, że każda wersja oprogramowania zawiera dokładne dane wyjściowe oprogramowania wygenerowane i zatwierdzone dla tej wersji. SCM jest odpowiedzialny za zapewnienie, że wszelkie zmiany w danych wyjściowych oprogramowania podczas procesów rozwoju są dokonywane w sposób kontrolowany i kompletny. Celem procesu zarządzania projektem jest ustalenie struktury organizacyjnej projektu i przypisanie odpowiedzialności. Proces ten wykorzystuje dokumentację wymagań systemowych i informacje o celu oprogramowania, krytyczności oprogramowania, wymaganych produktach oraz dostępnym czasie i zasobach do planowania i zarządzania procesami tworzenia oprogramowania i zapewniania oprogramowania. Ustanawia lub zatwierdza standardy, praktyki monitorowania i raportowania oraz politykę wysokiego poziomu w zakresie jakości, a także cytuje polityki i przepisy. Celem procesu zapewniania jakości oprogramowania jest zapewnienie, że proces tworzenia oprogramowania i procesy zapewniania oprogramowania są zgodne z planami i standardami zapewniania oprogramowania oraz rekomendowanie usprawnień procesu. Proces ten wykorzystuje wymagania systemowe oraz informacje o celu i krytyczności oprogramowania do oceny wyników procesów tworzenia oprogramowania i zapewniania oprogramowania. Celem procesu weryfikacji i walidacji oprogramowania (SV&V) jest kompleksowa analiza i testowanie oprogramowania jednocześnie z procesami wytwarzania i utrzymania oprogramowania. Proces ten określa, czy oprogramowanie prawidłowo wykonuje zamierzone funkcje, zapewnia, że nie wykonuje niezamierzonych funkcji oraz mierzy jego jakość i niezawodność. SV&V to szczegółowa ocena inżynierska mająca na celu ocenę stopnia, w jakim oprogramowanie spełnia swoje wymagania techniczne, w szczególności cele w zakresie bezpieczeństwa, ochrony i niezawodności, oraz w celu zapewnienia, że wymagania dotyczące oprogramowania nie są sprzeczne z jakimikolwiek normami lub wymaganiami mającymi zastosowanie do innych elementów systemu.

76. Która z poniższych koncepcji dotyczy monitora referencyjnego?

a. Zależy to od obowiązkowej polityki kontroli dostępu.
b. Jest niezależny od jakiejkolwiek polityki kontroli dostępu.
c. Jest niezależny od opartej na rolach polityki kontroli dostępu.
d. Zależy to od uznaniowej polityki kontroli dostępu.

76. b. Koncepcja monitora odniesienia jest niezależna od jakiejkolwiek konkretnej polityki kontroli dostępu, ponieważ pośredniczy we wszystkich typach dostępu do obiektów przez podmioty. Obowiązkowa polityka kontroli dostępu jest sposobem ograniczania dostępu do obiektów na podstawie wrażliwości informacji zawartych w obiektach oraz formalnego upoważnienia podmiotów do dostępu do informacji o takiej wrażliwości. W przypadku zasad kontroli dostępu opartych na rolach decyzje dotyczące dostępu są oparte na rolach (na przykład kasjer, analityk i kierownik), które poszczególni użytkownicy pełnią w ramach organizacji. Uznaniowa polityka kontroli dostępu to sposób ograniczania dostępu do obiektów na podstawie tożsamości podmiotów.

77. Które z poniższych są podstawowymi działaniami kompleksowego programu bezpieczeństwa informacji dla organizacji na bieżąco?

1. Ochrona informacji
2. Test i ocena bezpieczeństwa
3. Monitorowanie kontroli bezpieczeństwa
4. Raportowanie stanu bezpieczeństwa

a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 3 i 4

77.d. Monitorowanie kontroli bezpieczeństwa i raportowanie stanu systemu informatycznego do odpowiednich organów zarządzających to podstawowe działania kompleksowego programu bezpieczeństwa informacji. Ochrona informacji jest częścią fazy usuwania, natomiast testowanie i ocena bezpieczeństwa jest częścią fazy implementacji cyklu życia systemu (SDLC). Monitorowanie kontroli bezpieczeństwa i raportowanie stanu bezpieczeństwa są częścią fazy obsługi i konserwacji SDLC, co ułatwia bieżącą pracę.

78. Na poparcie którego z poniższych wystawia się certyfikat bezpieczeństwa?

a. Akredytacja bezpieczeństwa
b. Kontrola zarządzania
c. Sterowanie operacyjne
d. Kontrola techniczna

78. a. Certyfikacja bezpieczeństwa to kompleksowa ocena zarządzania, operacyjnych i technicznych środków kontroli w systemie informacyjnym, dokonana w celu wsparcia akredytacji bezpieczeństwa, w celu określenia zakresu, w jakim środki kontroli są prawidłowo wdrożone, działają zgodnie z przeznaczeniem i przynoszą pożądane rezultaty.

79. Które z poniższych nie jest jednym z głównych celów certyfikacji i akredytacji systemów informatycznych?

a. Aby umożliwić spójną ocenę kontroli bezpieczeństwa
b. Promowanie lepszego zrozumienia zagrożeń w całej organizacji
c. Dostarczanie kierownictwu wiarygodnych informacji
d. Przeprowadzać okresowe przeglądy reakredytacyjne

79. d. Okresowe przeprowadzanie przeglądów reakredytacyjnych jest krokiem mechanicznym (produkt uboczny celu) i celem drugorzędnym. Podstawowymi celami certyfikacji i akredytacji systemów informatycznych są: (i) umożliwienie bardziej spójnych, porównywalnych i powtarzalnych ocen zabezpieczeń w systemach informatycznych, (ii) promowanie lepszego zrozumienia zagrożeń związanych z organizacją, wynikających z działania systemów informatycznych oraz (iii) stworzyć pełniejsze, bardziej wiarygodne i wiarygodne informacje dla urzędników upoważniających (kierownictwo), aby ułatwić podejmowanie bardziej świadomych decyzji dotyczących akredytacji w zakresie bezpieczeństwa.

80. Który z poniższych elementów nie obejmuje etapu akredytacji bezpieczeństwa?
a. Plan bezpieczeństwa systemu
b. Raport oceny bezpieczeństwa systemu
c. Plan działań i kamienie milowe
d. Analizy wpływu na bezpieczeństwo

80. d. Analizy wpływu na bezpieczeństwo przeprowadzane są w fazie ciągłego monitorowania, ilekroć zachodzą zmiany w systemie informatycznym. Pozostałe trzy opcje są częścią fazy akredytacji bezpieczeństwa, która poprzedza fazę ciągłego monitorowania.


81. Które z poniższych nie jest zwykłym częstym błędem lub luką w systemach informatycznych?

a. Błędy szyfrowania
b. Przepełnienia bufora
c. Błędy formatowania ciągów
d. Niepowodzenie sprawdzania danych wejściowych pod kątem ważności

81. a. Zazwyczaj algorytmy szyfrowania nie zawodzą ze względu na ich szeroko zakrojone testy, a klucz szyfrowania jest coraz dłuższy, co utrudnia włamanie. Wiele błędów pojawia się ponownie, w tym przepełnienia bufora, wyścigi, błędy ciągu formatującego, niepowodzenie sprawdzania poprawności danych wejściowych oraz przyznawanie programom komputerowym nadmiernych uprawnień dostępu.

82. Za które z poniższych nie odpowiada menedżer konfiguracji?

a. Dokumentowanie planu zarządzania konfiguracją
b. Zatwierdzanie, odrzucanie lub odraczanie zmian
c. Ocena informacji metryk zarządzania konfiguracją
d. Zapewnienie udokumentowania ścieżki audytu zmian

82. c. Ocena informacji dotyczących metryki zarządzania konfiguracją jest obowiązkiem komisji przeglądu kontroli konfiguracji, podczas gdy pozostałe trzy opcje są odpowiedzialnością menedżera konfiguracji.

83. Które z poniższych zadań są wykonywane na etapie ciągłego monitorowania procesu zarządzania konfiguracją (CM)?

1. Testy weryfikacji konfiguracji
2. Audyty systemowe
3. Zarządzanie poprawkami
4. Zarządzanie ryzykiem

a. 1 i 2
b. 2 i 3
c. 1, 2 i 3
d. 1, 2, 3 i 4

83. d. Proces zarządzania konfiguracją (CM) wymaga ciągłego monitorowania systemu, aby upewnić się, że działa on zgodnie z przeznaczeniem i że wprowadzone zmiany nie wpływają negatywnie ani na wydajność, ani na stan bezpieczeństwa systemu. Testy weryfikacyjne konfiguracji, audyty systemu, zarządzanie poprawkami i działania związane z zarządzaniem ryzykiem są przeprowadzane w celu osiągnięcia celu CM.

84. Który z poniższych poziomów modelu dojrzałości możliwości oprogramowania (CMM) jest najbardziej podstawowy w ustanawianiu dyscypliny i kontroli w procesie tworzenia oprogramowania?

a. Poziom początkowy
b. Zdefiniowany poziom
c. Powtarzalny poziom
d. Zarządzany poziom

84. c. Instytut Inżynierii Oprogramowania (SEI) jest uznanym w całym kraju, finansowanym ze środków federalnych centrum badawczo-rozwojowym założonym w Stanach Zjednoczonych w celu rozwiązywania problemów związanych z tworzeniem oprogramowania. Opracowano ramy dojrzałości procesu, które pomogłyby organizacji usprawnić proces tworzenia oprogramowania. Ogólnie rzecz biorąc, CMM służy jako wskaźnik prawdopodobnego zakresu kosztów, harmonogramu i wyników jakościowych, które mają zostać osiągnięte przez projekty rozwoju systemu w organizacji. Na poziomie powtarzalnym ustalane są podstawowe procesy zarządzania projektami w celu śledzenia kosztów, harmonogramu i funkcjonalności. Dyscyplina procesu jest niezbędna, aby powtórzyć wcześniejsze sukcesy w projektach o podobnych zastosowaniach. Pozostałe trzy opcje nie mają zastosowania, ponieważ prawidłowa odpowiedź opiera się na definicji poziomów CMM.

85. Nieautoryzowany użytkownik z powodzeniem uzyskał dostęp do komputerowego systemu aplikacji. Która z kontroli prewencyjnych nie zadziałała?

a. Testy zgodności
b. Kontrole ważności
c. Kontrole etykiet bezpieczeństwa
d. Testy poufności

85. a. W ramach kontroli prewencyjnych stosowane są testy zgodności w celu określenia, czy akceptowalny użytkownik może korzystać z systemu. Ten test koncentruje się na hasłach, regułach dostępu i uprawnieniach systemowych. Sprawdzanie poprawności jest nieprawidłowe, ponieważ sprawdza dokładność kodów, takich jak stan, stawki podatku i numer dostawcy. Sprawdzanie etykiety bezpieczeństwa jest nieprawidłowe, ponieważ sprawdza określone oznaczenie przypisane do zasobu systemowego, takiego jak plik, którego nie można zmienić z wyjątkiem sytuacji awaryjnych. Test poufności jest nieprawidłowy, ponieważ zapewnia, że dane są ujawniane tylko upoważnionym osobom.

86. W rozproszonym środowisku obliczeniowym replikowane serwery mogą mieć negatywny wpływ na które z poniższych?

a. Mechanizmy odporne na uszkodzenia
b. Dostępność
c. Skalowalność
d. Odzyskiwalność

86. c. Podobnie jak replikacja komplikuje kontrolę współbieżności, może wpływać na skalowalność. Głównym problemem związanym ze skalowalnością jest określenie wpływu zwiększonej skali na wydajność klienta. Dodatkowe lokacje pamięci masowej zwiększają ilość pracy, jaką serwery muszą wykonać, aby utrzymać spójny stan systemu plików. Podobnie klienci w zreplikowanym systemie plików mogą mieć więcej pracy podczas dokonywania aktualizacji plików. Z tego powodu zarówno klienci, jak i serwery współdzielą część pracy zarządzania systemem. Mechanizmy odporne na awarie, dostępność i odzyskiwanie są nieprawidłowe. Replikowane serwery mają pozytywny wpływ na dostępność i odzyskiwanie systemu. Jeśli serwer podstawowy ulegnie awarii, serwer zreplikowany przejmie kontrolę, udostępniając w ten sposób system użytkownikom systemu. Protokoły odzyskiwania pomagają zarówno serwerom, jak i klientom odzyskać sprawność po awariach systemu. Mechanizmy odporne na awarie, takie jak dublowanie dysków i dupleksowanie dysków, pomagają w przywracaniu sprawności po awarii systemu. Wszystkie mają pozytywny wpływ.

87. Które z poniższych stwierdzeń dotyczących systemów eksperckich nie jest PRAWDĄ?

a. Systemy ekspertowe mają na celu rozwiązywanie problemów przy użyciu podejścia algorytmicznego.
b. Systemy ekspertowe mają na celu rozwiązywanie problemów, które charakteryzują się nieregularną strukturą.
c. Systemy ekspertowe mają na celu rozwiązywanie problemów charakteryzujących się niepełną informacją.
d. Systemy ekspertowe mają na celu rozwiązywanie problemów o znacznej złożoności.

87. a.Systemy eksperckie są nastawione na problemy, które nie zawsze mogą być rozwiązane przy użyciu podejścia czysto algorytmicznego. Problemy te często charakteryzują się nieregularną strukturą, niepełnymi lub niepewnymi informacjami oraz znaczną złożonością.

88. W kontekście systemów eksperckich heurystyka nie jest:

a. Praktyczna zasada
b. Znany fakt
c. Znana procedura
d. Procedura gwarantowana

88.d. Heurystyka to praktyczna zasada, znany fakt, a nawet znana procedura, której można użyć do rozwiązania niektórych problemów, ale nie jest to gwarantowane. Może się nie udać. Heurystykę można wygodnie traktować jako uproszczenie kompleksowych formalnych opisów systemów w świecie rzeczywistym. Te heurystyki są nabywane poprzez naukę i doświadczenie.

89. Która z poniższych architektury systemu ekspertowego nie obejmuje?

a. Baza wiedzy
b. Środowisko komputerowe
c. Silnik wnioskowania
d. Interfejs użytkownika końcowego

89.b. Środowisko komputerowe obejmuje sprzęt, języki programowania, edytory i kompilatory, narzędzia do zarządzania plikami, przeglądanie kodu programu, debugowanie i śledzenie wykonywania programu oraz programowanie graficzne. To środowisko obliczeniowe znajduje się poza architekturą systemów eksperckich, ponieważ może zmieniać się w zależności od organizacji. Z drugiej strony, baza wiedzy, silnik wnioskowania i interfejs użytkownika końcowego są integralnymi częściami architektury systemów eksperckich. Wiedza jest przechowywana w bazie wiedzy za pomocą symboli i struktur danych reprezentujących ważne pojęcia. Mówi się, że symbole i struktury danych reprezentują wiedzę. Moduł oprogramowania zwany silnikiem wnioskowania wykonuje procedury wnioskowania. Jeżeli użytkownikiem systemu eksperckiego jest osoba, komunikacja z użytkownikiem końcowym jest obsługiwana za pośrednictwem interfejsu użytkownika końcowego.

90. Systemy eksperckie różnią się od systemów konwencjonalnych wszystkimi następującymi cechami z wyjątkiem:

a. Wiedza o systemie eksperckim jest reprezentowana w sposób deklaratywny.
b. Obliczenia systemu eksperckiego wykonywane są poprzez rozumowanie symboliczne.
c. Specjalistyczna wiedza o systemie jest połączona z kontrolą programu.
d. Systemy eksperckie potrafią wyjaśnić swoje własne działania.

90.c. Programy systemów eksperckich różnią się od systemów konwencjonalnych na cztery ważne sposoby. Po pierwsze, wiedza jest oddzielona od kontroli programu; baza wiedzy i silnik wnioskowania są oddzielne. Po drugie, wiedza jest reprezentowana deklaratywnie. Po trzecie, systemy eksperckie dokonują obliczeń poprzez rozumowanie symboliczne. I wreszcie, systemy eksperckie mogą wyjaśnić swoje własne działania.


91. Która z poniższych kategorii czynności związanych z rozwiązywaniem problemów najlepiej nadaje się do systemów eksperckich?

a. Zadania oparte na ograniczonej domenie
b. Zadania oparte na wiedzy zdroworozsądkowej
c. Zadania wymagające wiedzy percepcyjnej
d. Zadania oparte na kreatywności

91. a. Rozmiar gotowych systemów eksperckich jest często duży i składa się z setek lub tysięcy reguł. Jeśli zadanie jest zbyt szerokie, prace programistyczne mogą zająć zbyt dużo czasu, a nawet być niemożliwe. Dwie ważne wytyczne dotyczące oceny zakresu i rozmiaru problemu obejmują zadanie, które musi być ściśle skoncentrowane, a zadanie powinno być rozkładalne. Innymi słowy, zadania systemu ekspertowego powinny być oparte na ograniczonej domenie. Pozostałe trzy opcje to obszary, których należy unikać w przypadku metod systemu eksperckiego. Należą do nich (i) zadania oparte na zdrowym rozsądku, (ii) zadania wymagające wiedzy percepcyjnej (widzenia lub dotyku) oraz (iii) zadania wymagające kreatywności. Kreatywni są ludzie, a nie systemy eksperckie.

92. Które z poniższych stwierdzeń nie jest prawdziwe w odniesieniu do sztucznych sieci neuronowych (SSN)?

a. Intencją SSN jest odtworzenie działania ludzkiego mózgu.
b. Celem SSN jest opracowywanie komputerów, które mogą uczyć się na doświadczeniu.
c. Sieci SSN mają zdolność generalizowania.
d. Sieci SSN uzupełniają istniejącą konstrukcję komputerów.

92. a. Intencją nie jest odtworzenie działania ludzkiego mózgu, ale użycie prostego modelu, aby sprawdzić, czy niektóre mocne strony ludzkiego mózgu mogą być pokazane przez komputery oparte na tym modelu. Ważnym celem jest rozwój komputerów, które mogą uczyć się na doświadczeniu. W procesie uczenia się na podstawie doświadczenia SSN wykazują zdolność do uogólniania. Oznacza to rozpoznanie nowego problemu jako "bliskiego" temu, który znają i oferującego to samo rozwiązanie. SSN nie mają na celu zastąpienia lub zastąpienia istniejącego projektu komputerów. Mają je uzupełniać.

93. Definiowanie ról i obowiązków jest ważne przy identyfikowaniu zainfekowanych hostów z incydentami związanymi ze złośliwym oprogramowaniem. Która z poniższych grup może pomóc w skanowaniu hosta?

a. Administratorzy bezpieczeństwa
b. Administratorzy systemu
c. Administratorzy sieci
d. Administratorzy pulpitu

93. a. Organizacje powinny określić, które osoby lub grupy mogą pomóc w wysiłkach identyfikacji infekcji. Administratorzy bezpieczeństwa są dobrzy w analizowaniu skanów hostów wraz z oprogramowaniem antywirusowym, oprogramowaniem systemu zapobiegania włamaniom (IPS), zaporom ogniowym i wynikami oceny podatności.

94. Które z poniższych zadań należy wykonać przed wprowadzeniem systemu informatycznego do produkcji?

1. Analizuj wymagania funkcjonalne.
2. Przeanalizuj wymagania dotyczące zapewnienia.
3. Przeprowadzaj przeglądy projektu systemu.
4. Wykonaj testy systemu.

a. 1 i 2
b. 2 i 3
c. 2 i 4
d. 3 i 4

94.d. Przeglądy projektu systemu i testy systemu powinny być wykonywane w fazie wdrożenia przed wprowadzeniem systemu do eksploatacji produkcyjnej, aby upewnić się, że spełnia wszystkie wymagane specyfikacje bezpieczeństwa. Wyniki przeglądów projektów lub testów systemowych powinny być w pełni udokumentowane, aktualizowane w miarę przeprowadzania nowych przeglądów lub testów. Analiza wymagań funkcjonalnych i wymagań zapewniających odbywa się w fazie rozwoju/przejęcia, czyli przed fazą wdrożenia.

95. W której z poniższych faz cyklu rozwoju systemu (SDLC) monitorowana jest wydajność systemu?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

95.d. Podczas fazy eksploatacji/utrzymania organizacja powinna stale monitorować działanie systemu, aby zapewnić, że jest on zgodny z wcześniej ustalonymi wymaganiami użytkownika i bezpieczeństwa oraz, że wszystkie niezbędne modyfikacje systemu są włączone do systemu. Monitorowanie odbywa się w fazie eksploatacji/konserwacji SDLC, ponieważ wszystkie prace rozwojowe zostały zakończone, a system powinien zacząć dostarczać wyniki. W fazie wdrożenia system jest testowany, pracownicy są szkoleni, a system nie jest jeszcze gotowy do uruchomienia produkcji/fazy konserwacji w celu monitorowania wydajności systemu.

96. W zadaniu określania potrzeb w fazie inicjacji cyklu życia systemu (SDLC), które z poniższych jest istotnym czynnikiem kosztowym?

a. Wymagania dotyczące wydajności
b. Wymagania atestacyjne
c. Wymagania dotyczące obsługi
d. Wymagania funkcjonalne

96. b. Zapewnienie systemu jest podstawą pewności, że zestaw zamierzonych kontroli bezpieczeństwa w systemie informatycznym jest skuteczny w ich stosowaniu. Potrzeby w zakresie bezpieczeństwa informacji powinny uwzględniać odpowiedni poziom pewności, ponieważ jest to istotny czynnik generujący koszty. Im wyższy wymagany poziom pewności, tym wyższy koszt i na odwrót. Zazwyczaj analiza inwestycji jest skonstruowana w taki sposób, aby przełożyć potrzeby i misję systemu na wymagania dotyczące wydajności na wysokim poziomie, zapewnienia, funkcjonalności i możliwości wsparcia. Jednak wymagania dotyczące zapewnienia bezpieczeństwa są istotnym czynnikiem generującym koszty, ponieważ integrują wszystkie inne wymagania na najwyższym poziomie.

97. Dokument planowania bezpieczeństwa utworzony w fazie rozwoju/nabycia cyklu rozwoju systemu (SDLC) nie zawiera którego z poniższych elementów?

a. Świadomość bezpieczeństwa i plan szkoleń
b. Plany i procesy kontraktowania
c. Zasady zachowania
d. Ocena ryzyka

97. b. Opracowywanie i realizacja niezbędnych planów i procesów kontraktowych są częścią innych elementów planowania w fazie rozwoju/nabycia SDLC. Pozostałe trzy opcje są częścią dokumentu planowania bezpieczeństwa.

98. Decyzja o akredytacji bezpieczeństwa nie zależy wyłącznie od którego z poniższych?

a. Zweryfikowana skuteczność kontroli bezpieczeństwa
b. Ukończony plan bezpieczeństwa
c. Wyniki testów bezpieczeństwa i oceny
d. Plan działań i kamienie milowe

98. c. Urzędnik zatwierdzający odpowiedzialny za proces akredytacji bezpieczeństwa opiera się przede wszystkim na pozostałych trzech opcjach, ale nie wyłącznie na wynikach testów bezpieczeństwa i oceny uzyskanych podczas procesu weryfikacji kontroli bezpieczeństwa. Urzędnik zatwierdzający zwraca większą uwagę na pozostałe trzy wybory ze względu na ich znaczenie.

99. Które z poniższych czynności należy wykonać w przypadku istotnej zmiany w procesie zarządzania konfiguracją?

1. Certyfikacja systemu
2. Akredytacja systemu
3. Recertyfikacja systemu
4. Ponowna akredytacja systemu

a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4

99.c. Jeśli w procesie zarządzania konfiguracją wprowadzono istotną zmianę, system musi zostać ponownie certyfikowany i ponownie akredytowany. Certyfikacja systemu i akredytacja systemu są wykonywane po zainstalowaniu i wdrożeniu nowego systemu, przed wprowadzeniem jakichkolwiek zmian.

100. W której z poniższych faz cyklu życia rozwoju systemu (SDLC) ma miejsce kontrola i audyt zmian w zarządzaniu konfiguracją?

a. Inicjacja
b. Akwizycja/rozwój
c. Realizacja
d. Eksploatacja/konserwacja

100. d. Kontrola zmian zarządzania konfiguracją i audyt odbywa się w fazie eksploatacji/utrzymania SDLC. Fazy w pozostałych trzech opcjach są zbyt wczesne, aby to działanie mogło się odbyć.


101. W którym z poniższych procesów zarządzania konfiguracją przeprowadzane są analizy wpływu na bezpieczeństwo?

a. Konfiguracja podstawowa
b. Kontrola zmiany konfiguracji
c. Monitorowanie zmian konfiguracji
d. Ustawienia konfiguracji

101. c. Organizacja monitoruje zmiany w systemie informatycznym i przeprowadza analizy wpływu na bezpieczeństwo w celu określenia skutków zmian. Pozostałe trzy wybory są nieprawidłowe, ponieważ mają miejsce przed monitorowaniem.

102. W którym z poniższych sposobów uzyskuje się partycjonowanie aplikacji?

1. Funkcjonalność użytkownika jest oddzielona od usług przechowywania informacji.
2. Funkcjonalność użytkownika jest oddzielona od usług zarządzania informacją.
3. Stosowane są zarówno fizyczne, jak i logiczne techniki separacji.
4. Do separacji wykorzystywane są różne komputery i systemy operacyjne.

a. 1 i 2
b. Tylko 3
c. 1, 2 i 3
d. 1, 2, 3 i 4

102. d. System informacyjny fizycznie lub logicznie oddziela funkcjonalność użytkownika (w tym usługi interfejsu użytkownika) od usług przechowywania informacji i zarządzania nimi (na przykład zarządzania bazą danych). Oddzielenie można osiągnąć za pomocą różnych komputerów, różnych procesorów, różnych instancji systemu operacyjnego, różnych adresów sieciowych lub kombinacji tych metod.

103. Do których z poniższych należą procedury uzgadniania w systemach aplikacji?

a. Kontrola autoryzacji
b. Kontrola integralności lub walidacji
c. Kontrola dostępu
d. Mechanizmy ścieżki audytu

103. b. Kontrole integralności lub walidacji, które są częścią kontroli technicznej, obejmują procedury uzgadniania w systemach aplikacji. Wchodzące w skład kontroli technicznej uprawnienia i kontrole dostępu umożliwiają osobom uprawnionym dostęp do zasobów systemu. Mechanizmy ścieżki audytu obejmują monitorowanie transakcji.

104. Które z poniższych jest najskuteczniejszym podejściem do identyfikowania zainfekowanych hostów z incydentami ze złośliwym oprogramowaniem oraz do zachowania równowagi między szybkością, dokładnością i terminowością?

a. Identyfikacja kryminalistyczna
b. Aktywna identyfikacja
c. Ręczna identyfikacja
d. Wiele identyfikatorów

104. d. Złośliwe oprogramowanie to złośliwe oprogramowanie i złośliwy kod. W wielu przypadkach najskuteczniejsze jest jednoczesne lub sekwencyjne stosowanie wielu podejść do identyfikacji, aby zapewnić najlepsze wyniki dla uzyskania równowagi między szybkością, dokładnością i terminowością. Wiele identyfikacji obejmuje sytuacje, w których infekcja złośliwym kodem prowadzi do nieautoryzowanego dostępu do hosta, który jest następnie wykorzystywany do uzyskania nieautoryzowanego dostępu do dodatkowych hostów (na przykład ataki DoS i DDoS). Identyfikacja kryminalistyczna jest skuteczna, gdy dane są aktualne; chociaż dane mogą nie być wyczerpujące. Aktywna identyfikacja daje najdokładniejsze wyniki; chociaż często nie jest to najszybszy sposób identyfikacji infekcji ze względu na skanowanie każdego hosta w organizacji. Ręczna identyfikacja nie jest możliwa do kompleksowej identyfikacji w całym przedsiębiorstwie, ale jest niezbędną częścią identyfikacji, gdy inne metody nie są dostępne i może wypełnić luki, gdy inne metody są niewystarczające.

105. Tradycyjnie, które z poniższych narzędzi atakujących złośliwe oprogramowanie jest najtrudniejsze do wykrycia?

a. Backdoory
b. Rootkity
c. Rejestratory naciśnięć klawiszy
d. Śledzące pliki cookie

105. b. Kategorie złośliwego oprogramowania obejmują wirusy, robaki, konie trojańskie i złośliwy kod mobilny, a także ich kombinacje, zwane atakami mieszanymi. Złośliwe oprogramowanie obejmuje również narzędzia atakującego, takie jak backdoory, rootkity, rejestratory naciśnięć klawiszy i śledzące pliki cookie używane jako oprogramowanie szpiegujące. Ze wszystkich typów narzędzi atakujących złośliwe oprogramowanie, rootkity są tradycyjnie najtrudniejsze do wykrycia, ponieważ często zmieniają system operacyjny na poziomie jądra, co pozwala na ukrycie ich przed oprogramowaniem antywirusowym. Nowsze wersje rootkitów mogą ukrywać się w głównym rekordzie rozruchowym, podobnie jak niektóre wirusy.

106. Która z poniższych technik maskowania wirusów jest trudna do pokonania przez oprogramowanie antywirusowe?

a. Samoszyfrowanie
b. Wielopostaciowość
c. Metamorfizm
d. Podstęp

106. c. Starsze techniki zaciemniania, w tym samoszyfrowanie, polimorfizm i ukrywanie się, są zazwyczaj skutecznie obsługiwane przez oprogramowanie antywirusowe. Jednak nowsze, bardziej złożone techniki zaciemniania, takie jak metamorfizm, wciąż się pojawiają i mogą być znacznie trudniejsze do pokonania przez oprogramowanie antywirusowe. Głównym celem metamorfizmu jest zmiana zawartości samego wirusa, a nie ukrywanie zawartości za pomocą szyfrowania. Samoszyfrowanie jest nieprawidłowe, ponieważ niektóre wirusy mogą szyfrować i odszyfrowywać kody swoich wirusów, ukrywając je przed bezpośrednim badaniem. Polimorfizm jest niepoprawny, ponieważ jest to szczególnie solidna forma samoszyfrowania, w której zawartość podstawowego kodu wirusa nie ulega zmianie; szyfrowanie zmienia tylko jego wygląd. Wirus Stealth jest nieprawidłowy, ponieważ wykorzystuje różne techniki ukrywania cech infekcji, takie jak ingerowanie w rozmiary plików.

107. Celem której z poniższych technik zaciemniania wirusa jest uniemożliwienie analizy funkcji wirusa poprzez dezasemblację?

a. Pancerz
b. Tunelowanie
c. Samoodszyfrowywanie
d. Metamorfizm

107. a. Celem opancerzenia jest napisanie wirusa, który będzie próbował uniemożliwić oprogramowaniu antywirusowemu lub ekspertom ludzkim analizę funkcji wirusa poprzez dezasemblację (tj. technikę inżynierii wstecznej), ślady i inne środki. Tunelowanie jest nieprawidłowe, ponieważ dotyczy systemu operacyjnego. Wirus wykorzystujący tunelowanie wstawia się na niższy poziom systemu operacyjnego, aby mógł przechwycić wywołania systemu operacyjnego niskiego poziomu. Umieszczając się poniżej oprogramowania antywirusowego, wirus próbuje manipulować systemem operacyjnym, aby zapobiec wykryciu przez oprogramowanie antywirusowe. Samodeszyfrowanie jest nieprawidłowe, ponieważ niektóre wirusy mogą szyfrować i odszyfrowywać kody swoich wirusów, ukrywając je przed bezpośrednim badaniem. Metamorfizm jest niepoprawny, ponieważ jego ideą jest zmiana zawartości samego wirusa, a nie ukrywanie zawartości za pomocą szyfrowania.

108. Które z poniższych robią robaki?

1. Zasoby systemu kanalizacyjnego
2. Zasoby sieci odpadów
3. Zainstaluj backdoory
4. Wykonywanie rozproszonych ataków typu "odmowa usługi"

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 1, 2, 3 i 4

108. d. Chociaż niektóre robaki są przeznaczone głównie do marnowania zasobów systemowych i sieciowych, wiele robaków uszkadza systemy, instalując backdoory, przeprowadzać rozproszone ataki typu "odmowa usługi" (DDoS) na inne hosty lub wykonywać inne złośliwe działania.

109. Które z poniższych stwierdzeń dotyczących złośliwego oprogramowania są prawdziwe dla kodu mobilnego?

1. Nie infekuje plików.
2. Nie próbuje się rozmnażać.
3. Wykorzystuje domyślne uprawnienia.
4. Używa języków takich jak Java i ActiveX.

a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4

109. d. Złośliwy kod mobilny znacznie różni się od wirusów i robaków tym, że nie infekuje plików ani nie próbuje się rozprzestrzeniać. Zamiast wykorzystywać konkretne luki, często atakuje systemy, wykorzystując domyślne uprawnienia przyznane kodowi mobilnemu. Wykorzystuje popularne języki, takie jak Java, ActiveX, JavaScript i VBScript. Chociaż kod mobilny jest zazwyczaj łagodny, osoby atakujące przekonały się, że złośliwy kod może być skutecznym sposobem atakowania systemów, a także dobrym mechanizmem przesyłania wirusów, robaków i koni trojańskich na stacje robocze użytkowników.

110. Które z poniższych wykorzystują ataki mieszane?

1. Wiele metod infekcji
2. Wiele metod transmisji
3. Wiele metod transmisji jednocześnie
4. Wiele metod infekcji w sekwencji

a. Tylko 1
b. Tylko 2
c. Tylko 3
d. 1, 2, 3 i 4

110. d. Atak mieszany to przypadek złośliwego oprogramowania, które wykorzystuje wiele metod infekcji lub transmisji. Ataki mieszane mogą rozprzestrzeniać się za pośrednictwem takich usług, jak wiadomości błyskawiczne i udostępnianie plików w sieciach równorzędnych (P2P). Ataki mieszane nie muszą korzystać z wielu metod jednocześnie, aby się rozprzestrzeniać; mogą również wykonywać po kolei wiele infekcji.


111. Na których z poniższych backdoory nasłuchują poleceń?

1. Port źródłowy
2. Port docelowy
3. Port TCP
4. Port UDP

a. Tylko 1
b. Tylko 2
c. 1 lub 2
d. 3 lub 4

111. d. Backdoor to ogólne określenie szkodliwego programu, który nasłuchuje poleceń na określonym porcie TCP lub UDP. Większość backdoorów składa się z komponentu klienta i komponentu serwera. Klient znajduje się na zdalnym komputerze intruza, a serwer na zainfekowanym systemie. Po nawiązaniu połączenia między klientem a serwerem zdalny intruz ma pewien stopień kontroli nad zainfekowanym komputerem. Zarówno port źródłowy, jak i port docelowy są niepoprawne, ponieważ są zbyt ogólne, aby mogły być tutaj użyte.

112. Aktywną rolą w ochronie organizacji przed awariami, awariami lub katastrofami związanymi z komputerami jest:

a. Przeszkol każdego pracownika z procedur awaryjnych.
b. Regularnie co miesiąc przeprowadzaj ćwiczenia przeciwpożarowe.
c. Przeszkol cały personel IT w zakresie procedur rotacji plików.
d. Uwzględnij wymagania dotyczące odzyskiwania w projekcie systemu.

112. d. Włączenie wymagań dotyczących odzyskiwania do projektu systemu może zapewnić automatyczne procedury tworzenia kopii zapasowych i odzyskiwania. Pomaga to w odpowiednim czasie przygotować się na katastrofy. Szkolenie każdego pracownika z procedur awaryjnych jest błędne, ponieważ nie gwarantuje, że w razie potrzeby będzie mógł zareagować na katastrofę w optymalny sposób. Regularne przeprowadzanie ćwiczeń przeciwpożarowych co miesiąc jest nieprawidłowe, ponieważ zakres ćwiczeń przeciwpożarowych może nie uwzględniać wszystkich możliwych scenariuszy. Odzyskiwanie po awarii wykracza poza ćwiczenia przeciwpożarowe; chociaż ćwiczenia przeciwpożarowe są dobrą praktyką. Szkolenie całego personelu IT w zakresie procedur rotacji plików jest nieprawidłowe, ponieważ trzeba przeszkolić tylko kluczowe osoby.

113. Rootkity są często używane do instalowania których z poniższych narzędzi atakujących?

1. Wtyczki do przeglądarek internetowych
2. Generatory e-maili
3. Backdoory
4. Rejestratory naciśnięć klawiszy

a. Tylko 1
b. Tylko 2
c. Tylko 3
d. 3 i 4

113. d. Rootkit to zbiór plików zainstalowanych w systemie w celu zmiany standardowej funkcjonalności systemu w złośliwy i ukryty sposób. Rootkity są często używane do instalowania w systemie narzędzi atakujących, takich jak backdoory i rejestratory naciśnięć klawiszy. Wtyczka przeglądarki internetowej umożliwia wyświetlanie lub uruchamianie określonych typów treści za pomocą przeglądarki internetowej. Atakujący czasami tworzą złośliwe wtyczki, które działają jak oprogramowanie szpiegujące. Przykładem jest dialer spyware, który wykorzystuje linie modemowe do wybierania numerów telefonów bez zgody lub wiedzy użytkownika. Niektóre dialery występują w innych formach niż wtyczki do przeglądarek internetowych, takie jak konie trojańskie. Złośliwe oprogramowanie może dostarczyć do systemu program generujący wiadomości e-mail, który może być używany do tworzenia i wysyłania dużych ilości wiadomości e-mail do innych systemów bez zgody lub wiedzy użytkownika. Atakujący często konfigurują generatory poczty e-mail tak, aby wysyłały złośliwe oprogramowanie, oprogramowanie szpiegujące, spam lub inną niechcianą zawartość na adresy e-mail z określonej listy.

114. Które z poniższych są zagrożeniami niezłośliwymi?

1. Wirusy
2. Robaki
3. Phishing
4. Oszustwa wirusowe

a. 1 i 2
b. 2 i 3
c. 1 i 3
d. 3 i 4

114.d. Istnieją dwie formy zagrożeń niezwiązanych ze złośliwym oprogramowaniem, które często są kojarzone ze złośliwym oprogramowaniem. Pierwszym z nich są ataki phishingowe, które często umieszczają w systemach złośliwe oprogramowanie lub inne narzędzia atakującego. Drugi to oszustwa wirusowe, które są fałszywymi ostrzeżeniami przed nowymi zagrożeniami ze strony złośliwego oprogramowania. Wirusy i robaki to prawdziwe formy zagrożeń złośliwym oprogramowaniem.

115. Które z poniższych nie jest przykładem techniki łagodzenia podatności na złośliwe oprogramowanie?

a. Zarządzanie poprawkami
b. Oprogramowanie antywirusowe
c. Najmniejszy przywilej
d. Środki hartowania hosta

115. b. Oprogramowanie antywirusowe jest przykładem techniki ograniczania zagrożeń dla złośliwego oprogramowania. Oprogramowanie antywirusowe, oprogramowanie narzędziowe do wykrywania i usuwania programów szpiegujących, systemy zapobiegania włamaniom, zapory i routery oraz ustawienia aplikacji to narzędzia zabezpieczające, które mogą ograniczać zagrożenia ze strony złośliwego oprogramowania. Złośliwe oprogramowanie często atakuje systemy, wykorzystując luki w systemach operacyjnych, usługach i aplikacjach. Podatność można zwykle złagodzić przez zarządzanie poprawkami, najmniejsze uprawnienia i środki wzmacniające hosta.

116. Które z poniższych ustawień aplikacji używanych do zapobiegania incydentom związanym ze złośliwym oprogramowaniem nie zatrzyma dostarczania phishingu i oprogramowania szpiegującego?

a. Filtrowanie spamu
b. Filtrowanie treści witryny
c. Ograniczanie używania makr
d. Blokowanie wyskakujących okien przeglądarki internetowej

116. c. Aplikacje, takie jak edytory tekstu i arkusze kalkulacyjne, często zawierają języki makr; Wykorzystują to wirusy makr. Większość popularnych aplikacji z funkcjami makr oferuje funkcje zabezpieczeń makr, które zezwalają na makra tylko z zaufanych lokalizacji lub monitują użytkownika o zatwierdzenie lub odrzucenie każdej próby uruchomienia makra. Ograniczenie używania makr nie może zatrzymać dostarczania phishingu i oprogramowania szpiegującego. Filtrowanie spamu jest nieprawidłowe, ponieważ spam jest często wykorzystywany do phishingu i dostarczania oprogramowania szpiegującego (na przykład pluskwy internetowe często są zawarte w spamie), a czasami zawiera inne rodzaje złośliwego oprogramowania. Korzystanie z oprogramowania do filtrowania spamu na serwerach lub klientach poczty e-mail lub na urządzeniach sieciowych może znacznie zmniejszyć ilość spamu docierającego do użytkowników, prowadząc do odpowiedniego spadku liczby incydentów związanych ze złośliwym oprogramowaniem wyzwalanym przez spam. Filtrowanie zawartości witryny jest nieprawidłowe, ponieważ oprogramowanie do filtrowania zawartości witryny zawiera listy witryn wyłudzających informacje i innych witryn, które są znane jako wrogie (tj. próba rozpowszechniania złośliwego oprogramowania wśród odwiedzających). Oprogramowanie może również blokować niepożądane typy plików, takie jak rozszerzenie pliku. Blokowanie wyskakujących okienek przeglądarki internetowej jest nieprawidłowe, ponieważ niektóre wyskakujące okienka są zaprojektowane tak, aby wyglądały jak prawidłowe okna wiadomości systemowych lub witryny i mogą nakłaniać użytkowników do odwiedzania fałszywych witryn internetowych, w tym witryn wykorzystywanych do wyłudzania informacji lub autoryzacji zmian w swoich systemach, między innymi działania. Większość przeglądarek internetowych może blokować wyskakujące okienka; inni mogą to zrobić, dodając do przeglądarki internetowej bloker wyskakujących okienek innej firmy.

117. Które z poniższych nie jest dodatkowym źródłem wykrywania incydentów związanych ze złośliwym oprogramowaniem?

a. Oprogramowanie antywirusowe
b. Pliki dziennika zapory
c. Sieciowe czujniki IPS
d. Przechwytuj pliki ze snifferów pakietów

117. a. Oprogramowanie antywirusowe jest głównym źródłem danych do wykrywania incydentów związanych ze złośliwym oprogramowaniem. Przykłady źródeł dodatkowych obejmują (i) pliki dziennika zapory i routera, które mogą pokazywać zablokowane próby połączenia, (ii) pliki dziennika z serwerów poczty e-mail i sieciowych czujników IPS, które mogą rejestrować nagłówki wiadomości e-mail lub nazwy załączników, ( iii) pliki przechwytywania pakietów z snifferów pakietów, sieciowych czujników IPS i sieciowych narzędzi do analizy śledczej, które mogą zawierać zapis ruchu sieciowego związanego ze złośliwym oprogramowaniem. IPS oparty na hoście jest również źródłem dodatkowym.

118. W środowisku bezpieczeństwa aplikacji, dzięki której z poniższych zasad bezpieczeństwa osiąga się przejrzystość systemu lub sieci?

a. Izolacja procesów i segmentacja sprzętu
b. Abstrakcja i odpowiedzialność
c. Jądro bezpieczeństwa i monitor referencyjny
d. Kompletna mediacja i otwarty projekt

118. a. Przejrzystość to możliwość uproszczenia zadania tworzenia aplikacji do zarządzania, ukrywając szczegóły dystrybucji. Istnieją różne aspekty przejrzystości, takie jak awaria dostępu, lokalizacja, replikacja migracji i transakcja. Przejrzystość oznacza, że elementy lub segmenty sieci nie są widoczne dla osób z wewnątrz i z zewnątrz, a działania jednej grupy użytkowników nie mogą być obserwowane przez inne grupy użytkowników. Przejrzystość osiąga się dzięki zasadom izolacji procesów i segmentacji sprzętu. Zasada izolacji lub separacji procesu jest stosowana w celu zachowania całości obiektu i przestrzegania przez podmiot kodeksu zachowania. Konieczne jest zapobieganie kolizji obiektów lub kolizji z jednym innym i zapobiegać działaniom aktywnych czynników (podmiotów) w ingerowanie lub zmowa ze sobą. Zasada segmentacji sprzętowej zapewnia przejrzystość sprzętu, gdy sprzęt jest zaprojektowany w sposób modułowy, a jednocześnie połączony. Awaria jednego modułu nie powinna wpływać na działanie innych modułów. Podobnie moduł zaatakowany przez intruza nie powinien narażać całego systemu. Architektura systemu powinna być zorganizowana w taki sposób, aby wrażliwe sieci lub segmenty sieci można było szybko odizolować lub przenieść do trybu offline w przypadku ataku. Przykłady sprzętu, który należy podzielić na segmenty, w tym przełączniki sieciowe, obwody fizyczne i sprzęt zasilający. Zasada abstrakcji związana jest ze stopniowym udoskonalaniem i modułowością programów. W miarę rozwoju projektu oprogramowania każdy poziom modułu w strukturze programu reprezentuje udoskonalenie poziomu abstrakcji oprogramowania. Abstrakcja jest prezentowana na poziomach, w których na najwyższym poziomie abstrakcji (w fazach wymagań i analizy) jest definiowany problem, a rozwiązanie jest przedstawione, a na najniższych poziomach abstrakcji generowany jest kod źródłowy (w fazie programowania). Zasada odpowiedzialności nakłada na jednostkę odpowiedzialność za swoje działania. Z tej zasady wyprowadzone są wymagania, aby jednoznacznie zidentyfikować i uwierzytelnić osobę, autoryzować jej działania w systemie, ustalić historyczny zapis lub opis tych działań i ich skutków oraz monitorować lub kontrolować to historyczne konto pod kątem odchyleń od określony kod działania. Zasada jądra bezpieczeństwa jest centralną częścią systemu komputerowego (oprogramowania i sprzętu), która implementuje podstawowe procedury bezpieczeństwa w celu kontrolowania dostępu do zasobów systemowych. Zasada monitora referencyjnego jest podstawową abstrakcją umożliwiającą uporządkowaną ocenę samodzielnego systemu komputerowego pod kątem jego zdolności do egzekwowania zarówno obowiązkowych, jak i uznaniowych kontroli dostępu. Zasada pełnej mediacji podkreśla, że każdy wniosek o dostęp do każdego obiektu należy sprawdzić uprawnienia. Wymóg ten wymusza globalną perspektywę kontroli dostępu we wszystkich fazach funkcjonalnych (na przykład normalnej eksploatacji i konserwacji). Podkreśla się również wiarygodność źródeł żądań dostępu do identyfikacji oraz niezawodne utrzymanie zmian we władzach. Zasada otwartego projektowania podkreśla, że tajemnica projektowa lub poleganie na niewiedzy użytkownika nie jest solidną podstawą bezpiecznych systemów. Otwarty projekt umożliwia otwartą debatę i badanie mocnych stron lub źródeł braku siły tego konkretnego projektu. Poufność można wdrożyć za pomocą haseł i kluczy kryptograficznych, zamiast tajności w projektowaniu.

119. Które z poniższych jest reaktywnym środkiem zaradczym w obronie przed robakami?

a. Zapory sieciowe filtrujące pakiety
b. Ochrona stosu
c. Narzędzie do skanowania wirusów
d. Maszyna wirtualna

119. c. Skanery antywirusowe, będące jednym z reaktywnych (detektywnych) środków zaradczych, szukaj "ciągów podpisu" lub stosuj algorytmy do wykrywania w celu identyfikacji znanych wirusów. Te reaktywne metody nie mają nadziei na zapobieganie szybkiemu rozprzestrzenianiu się robaków lub robaków, które wykorzystują do swoich ataków exploity typu zero-day. Pozostałe trzy opcje są przykładami proaktywnych (zapobiegających) środków zaradczych. Zapory sieciowe filtrujące pakiety blokują cały ruch przychodzący z wyjątkiem tego, co jest potrzebne do funkcjonowania sieci. Stackguarding uniemożliwia robakom uzyskanie zwiększonych uprawnień w systemie. Maszyna wirtualna zapobiega wykorzystywaniu systemu operacyjnego przez potencjalnie złośliwe oprogramowanie do nielegalnych działań.

120. Które z poniższych jest lepsze do szkolenia personelu IT w zakresie obsługi incydentów dotyczących złośliwego oprogramowania?

a. Użyj izolowanego systemu testowego.
b. Użyj zainfekowanego systemu produkcyjnego.
c. System testowy i system produkcyjny należy fizycznie oddzielić.
d. Należy logicznie oddzielić system testowy od systemu produkcyjnego.

120. a. Systemy i środowiska testujące złośliwe oprogramowanie są pomocne nie tylko w analizie aktualnych zagrożeń związanych ze złośliwym oprogramowaniem bez ryzyka nieumyślnego spowodowania dodatkowych szkód w organizacji, ale także w szkoleniu personelu w zakresie obsługi incydentów związanych ze złośliwym oprogramowaniem. Zainfekowany system produkcyjny lub obraz dysku zainfekowanego systemu produkcyjnego można również umieścić w izolowanym środowisku testowym. Fizyczna separacja może nie być zawsze możliwa; chociaż możliwe jest logiczne oddzielenie. Zarówno fizyczna, jak i logiczna separacja są ważne, ale nie tak ważne jak użycie izolowanego systemu testowego.


121. Które z poniższych nie jest częścią fazy wykrywania i analizy incydentów dotyczących złośliwego oprogramowania?

a. Zrozumienie oznak incydentów związanych ze złośliwym oprogramowaniem
b. Pozyskiwanie narzędzi i zasobów
c. Identyfikowanie cech incydentów dotyczących złośliwego oprogramowania
d. Priorytetyzacja reakcji na incydent

121. b. Pozyskiwanie narzędzi i zasobów jest częścią fazy przygotowawczej. Te narzędzia i zasoby mogą obejmować sniffery pakietów i analizatory protokołów. Pozostałe trzy wybory są nieprawidłowe, ponieważ są częścią fazy wykrywania. Cykl życia reakcji na incydent związany ze złośliwym oprogramowaniem składa się z czterech faz, w tym (i) przygotowania, (ii) wykrywania i analizy, (iii) powstrzymywania, eliminacji i odzyskiwania oraz (iv) działań po incydencie.

122. Które z poniższych stwierdzeń dotyczących testowania oprogramowania aplikacyjnego jest prawdziwe?

a. Testowanie podstawowe to testowanie czarnoskrzynkowe.
b. Kompleksowe testowanie to testowanie czarnoskrzynkowe.
c. Testowanie podstawowe to testowanie szarej skrzynki.
d. Kompleksowe testowanie to skoncentrowane testowanie.

122. a. Testowanie podstawowe to metodologia testowania, która zakłada brak znajomości struktury wewnętrznej i szczegółów implementacji obiektu oceny. Testowanie podstawowe jest również znane jako testowanie czarnoskrzynkowe. Kompleksowe testowanie to metodologia testów, która zakłada jawną i merytoryczną znajomość wewnętrznej struktury oraz szczegółów implementacji obiektu oceny. Kompleksowe testowanie jest również znane jako testowanie białoskrzynkowe. Testowanie skoncentrowane to metodologia testów, która zakłada pewną znajomość struktury wewnętrznej i szczegółów implementacji obiektu oceny. Testowanie skoncentrowane jest również znane jako testowanie szarej skrzynki.

123. Które z poniższych nie może obsłużyć całego obciążenia związanego z incydentem związanym ze złośliwym oprogramowaniem i nie może zapewnić szczegółowej strategii obrony?

a. Oprogramowanie antywirusowe
b. Filtrowanie e-maili
c. Oprogramowanie do sieciowego systemu zapobiegania włamaniom
d. Oprogramowanie IPS oparte na hoście

123. a. W powszechnym incydencie, jeśli złośliwego oprogramowania nie można zidentyfikować za pomocą zaktualizowanego oprogramowania antywirusowego lub zaktualizowane sygnatury nie zostały jeszcze w pełni wdrożone, organizacje powinny być przygotowane na użycie innych narzędzi bezpieczeństwa w celu powstrzymania złośliwego oprogramowania, dopóki sygnatury antywirusowe nie będą w stanie skutecznie go powstrzymać. Oczekiwanie, że oprogramowanie antywirusowe poradzi sobie z całym obciążeniem związanym z incydentem związanym ze złośliwym oprogramowaniem, jest nierealne w przypadku infekcji o dużej liczbie. Stosując dogłębną strategię wykrywania i blokowania złośliwego oprogramowania, organizacja może rozłożyć obciążenie na wiele komponentów. Samo oprogramowanie antywirusowe nie może zapewnić dogłębnej strategii obrony. Aby zapewnić kompleksową strategię obrony, potrzebne są zautomatyzowane metody wykrywania inne niż oprogramowanie antywirusowe. Te metody wykrywania obejmują filtrowanie poczty e-mail, oprogramowanie sieciowe systemu zapobiegania włamaniom (IPS) oraz oprogramowanie IPS oparte na hoście.

124. Definiowanie ról i obowiązków jest ważne przy identyfikowaniu zainfekowanych hostów z incydentami złośliwego oprogramowania, zanim wystąpią incydenty bezpieczeństwa. Która z poniższych grup może przede wszystkim pomóc w identyfikowaniu zainfekowanych serwerów?

a. Administratorzy bezpieczeństwa
b. Administratorzy systemu
c. Administratorzy sieci
d. Administratorzy pulpitu

124. b. Organizacje powinny określić, które osoby lub grupy mogą pomóc w wysiłkach identyfikacji infekcji. Administratorzy systemu są dobrzy w identyfikowaniu zainfekowanych serwerów, takich jak system nazw domen (DNS), poczta e-mail i serwery WWW. Role pozostałych trzech administratorów różnią się od podziału obowiązków, niezależności i punktu widzenia obiektywizmu.

125. Które z poniższych stwierdzeń dotyczy wirusa ukrywającego się?

a. Łatwo go wykryć.
b. To wirus rezydentny.
c. Może ujawnić wzrost rozmiaru pliku.
d. Nie musi być aktywny, aby wykazywać cechy ukrycia.

125. b. Wirus ukrywający się to rezydentny wirus, który próbuje uniknąć wykrycia, ukrywając swoją obecność w zainfekowanych plikach. Aktywny wirus ukrytych plików zazwyczaj nie może ujawnić żadnego wzrostu rozmiaru zainfekowanych plików i musi być aktywny, aby wykazywać swoje właściwości ukrywania.

126. Które z poniższych nie jest powszechnym narzędziem do usuwania złośliwego oprogramowania z zainfekowanego hosta?

a. Oprogramowanie antywirusowe
b. Oprogramowanie do filtrowania spamu
c. Oprogramowanie narzędziowe do wykrywania i usuwania oprogramowania szpiegującego
d. Oprogramowanie do zarządzania poprawkami

126. b. Oprogramowanie do filtrowania spamu, zarówno oparte na hoście, jak i sieci, skutecznie powstrzymuje znane złośliwe oprogramowanie wykorzystujące pocztę e-mail, które korzysta z usług poczty e-mail organizacji, i skutecznie powstrzymuje niektóre nieznane złośliwe oprogramowanie. Najpopularniejsze narzędzia do zwalczania to oprogramowanie antywirusowe, oprogramowanie narzędziowe do wykrywania i usuwania programów szpiegujących, oprogramowanie do zarządzania poprawkami oraz dedykowane narzędzie do usuwania złośliwego oprogramowania.

127. Organizacje powinny zdecydowanie rozważyć przebudowę systemu, który ma następujące cechy incydentu złośliwego oprogramowania?

1. Nieautoryzowany dostęp na poziomie administratora.
2. Zmiany w plikach systemowych.
3. System jest niestabilny.
4. Zakres uszkodzeń jest niejasny.

a. Tylko 1
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4

127. d. Jeśli incydent spowodował nieautoryzowany dostęp na poziomie administratora, zmiany w plikach systemowych, niestabilny system, a zakres uszkodzeń jest niejasny, organizacje powinny być przygotowane do odbudowy każdego systemu, którego dotyczy problem.

128. Który z poniższych sposobów należy wykorzystać do odbudowania zainfekowanego hosta z incydentem dotyczącym złośliwego oprogramowania?

1. Ponowna instalacja systemu operacyjnego
2. Ponowna instalacja systemów aplikacji
3. Zabezpieczenie systemów operacyjnych i aplikacji
4. Przywracanie danych ze znanych dobrych kopii zapasowych

a. 1 i 2
b. Tylko 3
c. 1, 2 i 3
d. 1, 2, 3 i 4

128. d. Odbuduj każdy system, którego dotyczy problem, ponownie instalując i konfigurując jego system operacyjny i aplikacje, zabezpieczając system operacyjny i aplikacje oraz przywracając dane ze znanych dobrych kopii zapasowych.

129. Wnioski wyciągnięte z poważnych incydentów związanych ze złośliwym oprogramowaniem poprawiają, którez następujących?

1. Polityka bezpieczeństwa
2. Konfiguracje oprogramowania
3. Wdrożenia oprogramowania do zapobiegania złośliwemu oprogramowaniu
4. Wdrożenia oprogramowania do wykrywania złośliwego oprogramowania
a. Tylko 1
b. 1 i 2
c. 3 i 4
d. 1, 2, 3 i 4

129. d. Przechwycenie lekcji po obsłudze incydentu związanego ze złośliwym oprogramowaniem powinno pomóc organizacji poprawić jej możliwości obsługi incydentów i ochronę przed złośliwym oprogramowaniem, w tym potrzebne zmiany w polityce bezpieczeństwa, konfiguracjach oprogramowania oraz wdrożeniach oprogramowania do wykrywania i zapobiegania złośliwemu oprogramowaniu.

130. Które z poniższych jest poprawną sekwencją wdrażania narzędzi i technologii w celu powstrzymania incydentów związanych ze złośliwym oprogramowaniem, w szczególności gdy robak atakuje usługę sieciową?

1. Granica internetowa i routery wewnętrzne
2. Zapory sieciowe oparte na sieci
3. Oprogramowanie antywirusowe oparte na sieci i hoście
4. Zapory sieciowe oparte na hoście
a. 1, 2, 4 i 3
b. 2, 3, 1 i 4
c. 3, 4, 2 i 1
d. 4, 2, 1 i 3

130. c. Kiedy organizacje opracowują strategie powstrzymywania incydentów związanych ze złośliwym oprogramowaniem, powinny rozważyć opracowanie narzędzi pomagających osobom zajmującym się obsługą incydentów w szybkim wyborze i wdrażaniu strategii powstrzymywania w przypadku wystąpienia poważnego incydentu. Oprogramowanie antywirusowe działające w sieci i na hoście wykrywa i zatrzymuje robaka oraz identyfikuje i czyści zainfekowane systemy. Zapory oparte na hostach blokują aktywność robaków przed wejściem lub wyjściem z hostów, rekonfigurują samą zaporę hosta, aby zapobiec wykorzystywaniu go przez robaka i aktualizują oprogramowanie zapory hosta, aby nie było już możliwe do wykorzystania. Zapory sieciowe wykrywają i powstrzymują robaka przed wejściem lub wyjściem z sieci i podsieci. Internetowe routery graniczne i wewnętrzne wykrywają i powstrzymują robaka przed wejściem lub wyjściem z sieci i podsieci, jeśli natężenie ruchu jest zbyt duże, aby zapory sieciowe mogły obsłużyć lub jeśli niektóre podsieci wymagają większej ochrony. Nieprawidłowe sekwencje wymienione w pozostałych trzech opcjach nie zawierają incydentów związanych ze złośliwym oprogramowaniem, ponieważ ich połączony efekt nie jest tak silny i skuteczny jak poprawna sekwencja.


131. Wszystkie poniższe elementy są cechami środowiska zarządzanego zajmującego się zapobieganiem i obsługą złośliwego oprogramowania, z wyjątkiem:

a. Instalowanie oprogramowania antywirusowego
b. Wymaganie uprawnień administratora od użytkowników końcowych
c. Korzystanie z domyślnych zasad odmowy
d. Stosowanie poprawek oprogramowania

131. b. Wymaganie uprawnień na poziomie administratora jest cechą środowiska niezarządzanego, w którym właściciele i użytkownicy systemu mają znaczną kontrolę nad własnym systemem. Właściciele i użytkownicy mogą zmieniać konfiguracje systemu, osłabiając bezpieczeństwo. W środowisku zarządzanym jedna lub więcej scentralizowanych grup ma znaczną kontrolę nad systemem operacyjnym serwera i stacji roboczej oraz konfiguracjami aplikacji w całym przedsiębiorstwie. Zalecane procedury bezpieczeństwa obejmują instalowanie i aktualizowanie oprogramowania antywirusowego na wszystkich hostach, stosowanie domyślnych zasad odmowy na zaporach oraz stosowanie poprawek do systemów operacyjnych i aplikacji. Te praktyki umożliwiają utrzymanie spójnego stanu bezpieczeństwa w całym przedsiębiorstwie.

132. Które z poniższych jest wymagane do kontrolowania działań kodu mobilnego, kodu stacjonarnego lub kodu pobranego?

a. Kontrola techniczna
b. Kontrola administracyjna
c. Kontrole behawioralne
d. Kontrole fizyczne

132. c. Koncepcyjnie, kontrole behawioralne mogą być postrzegane jako klatka oprogramowania lub mechanizm kwarantanny, który dynamicznie przechwytuje i udaremnia próby podejmowania przez kod podmiotu niedopuszczalnych działań, które naruszają zasady. Podobnie jak w przypadku zapór ogniowych i produktów antywirusowych, metody, które dynamicznie ograniczają kod mobilny, zrodziły się z konieczności uzupełnienia istniejących mechanizmów i reprezentują nową klasę produktów zabezpieczających. Takie produkty mają na celu uzupełnienie produktów zapory ogniowej i antywirusowych, które odpowiednio blokują transakcje sieciowe lub kod mobilny na podstawie predefiniowanych sygnatur (tj. inspekcja treści) i mogą odnosić się do takich metod, jak dynamiczna piaskownica, dynamiczne monitory i monitory zachowania, używane do kontrolowania zachowanie kodu mobilnego. Oprócz kodu mobilnego ta klasa produktów może mieć również zastosowanie do kodu stacjonarnego lub kodu pobranego, którego wiarygodność jest wątpliwa. Kontrole techniczne, administracyjne i fizyczne są nieprawidłowe, ponieważ nie są wystarczająco silne jako kontrole behawioralne do zwalczania kodu mobilnego.

133. Które z poniższych jest podstawowym, niskimi uprawnieniami dostępu do komputera?

a. Dostęp do aplikacji
b. Dostęp administracyjny
c. Uprzywilejowany dostęp
d. Dostęp do roota

133. a. Dostęp do aplikacji to podstawowy dostęp o niskich uprawnieniach. Może obejmować dostęp do wprowadzania danych, aktualizacji danych, zapytań o dane, wyprowadzania danych lub programów raportujących. Dostęp administracyjny, uprzywilejowany i root to zaawansowane poziomy dostępu do systemu komputerowego, które obejmują możliwość wprowadzania znaczących zmian konfiguracyjnych w systemie operacyjnym komputera.

134. Załóżmy, że pojawił się nowy robak komputerowy, który może się szybko rozprzestrzeniać i uszkadzać każdy komputer w organizacji, o ile nie zostanie zatrzymany. Organizacja posiada 1000 komputerów, budżet na wewnętrzne wsparcie techniczne wynosi 500 000 USD rocznie, a budżet na outsourcing pomocy technicznej wynosi 600 000 USD. Jeden pracownik pomocy technicznej potrzebuje średnio 4 godziny, aby odbudować komputer w cenie 70 USD za godzinę na wynagrodzenie i świadczenia. Jaki jest całkowity koszt nie łagodzenia skutków uwolnienia robaka?

a. 280.000$
b. 500 000 $
c. 560 000 $
d. 600 000 $

134. c. Koszt nie złagodzenia = W × T × R, gdzie W to liczba komputerów lub stacji roboczych, T to czas poświęcony na naprawę systemów oraz utracona produktywność użytkownika, a R to godzinowa stawka czasu spędzonego lub utraconego. W czasie przestoju właściciel lub użytkownik komputera nie ma komputera do wykonywania swojej pracy, co należy doliczyć do czasu potrzebnego na odbudowę komputera. Przekłada się to na 560 000 USD (tj. 1000 komputerów × 8 godzin × 70 USD za godzinę). 280 000 USD jest niepoprawne, ponieważ nie uwzględnia straconego czasu produktywności użytkownika. Przekłada się to na 280 000 USD (tj. 1000 komputerów × 4 godziny × 70 USD za godzinę). 500 000 USD jest niepoprawne, ponieważ zakłada budżet na wewnętrzne wsparcie techniczne. 600 000 USD jest niepoprawne, ponieważ zakłada budżet na zewnętrzne wsparcie techniczne.

135. Jaka jest główna zasada zarządzania konfiguracją?

a. Aby zmniejszyć ryzyko naruszenia poufności danych
b. Aby zmniejszyć ryzyko naruszenia integralności danych
c. Aby zmniejszyć ryzyko związane z dostępnością danych
d. Aby zapewnić powtarzalny mechanizm wprowadzania zmian w systemie

135. d. Główną zasadą zarządzania konfiguracją jest zapewnienie powtarzalnego mechanizmu wprowadzania modyfikacji systemu w kontrolowanym środowisku. Osiągnięcie powtarzalnego mechanizmu może automatycznie osiągnąć pozostałe trzy wybory.

136. Które z poniższych odnosi się do koncepcji Monitora Referencyjnego?

a. Jest to koncepcja kontroli dostępu do systemu.
b. Jest to koncepcja penetracji systemu.
c. Jest to koncepcja bezpieczeństwa systemu.
d. Jest to koncepcja monitorowania systemu.

136. a. Koncepcja monitora odniesienia to koncepcja kontroli dostępu, która odnosi się do abstrakcyjnego komputera pośredniczącego we wszystkich dostępach do obiektów przez podmioty. Jest przydatny w każdym systemie zapewniającym wielopoziomowe, bezpieczne urządzenia obliczeniowe i kontrole.

137. Które z poniższych jest złośliwym kodem, który replikuje się przy użyciu programu-hosta?

a. Wirus sektora rozruchowego
b. Robak
c. Wirus wieloczęściowy
d. Powszechny wirus

137.d. Powszechny wirus to kod, który umieszcza swoją wersję w dowolnym programie, który może modyfikować. Jest to samoreplikujący się segment kodu dołączony do pliku wykonywalnego hosta. Wirus sektora rozruchowego działa podczas uruchamiania komputera, podczas którego główny sektor rozruchowy i kod sektora rozruchowego są odczytywane i wykonywane. Robak to samoreplikujący się program, który jest samowystarczalny i nie wymaga programu-hosta. Wirus wieloczęściowy łączy zarówno wirusy sektorowe, jak i infekujące pliki.
138. Które z poniższych nie jest przykładem wbudowanej cechy zabezpieczenia?

a. Kontrole uwierzytelniania zostały zaprojektowane podczas procesu rozwoju systemu.
b. Zainstalowano zabezpieczenia typu fail-soft.
c. W okresie powdrożeniowym zainstalowano zasady najmniejszych przywilejów.
d. Wdrożono bezpieczne funkcje bezpieczeństwa.

138. c. Wbudowane zabezpieczenia oznaczają, że funkcje zabezpieczające są projektowane w systemie podczas jego rozwoju, a nie później. Każda funkcja, która jest zainstalowana podczas powdrożeń systemu jest przykładem zabezpieczenia wbudowanego, a nie wbudowanego. Funkcje bezpieczeństwa i kontroli muszą być wbudowane z perspektywy kosztów i korzyści.

139. Skuteczna obrona przed nowymi wirusami komputerowymi nie obejmuje których z poniższych?

a. Sterowanie zmianą programu
b. Programy do skanowania wirusów
c. Sprawdzanie integralności
d. Izolacja systemu

139. b. Ochrona przed wirusami komputerowymi jest kosztowna w użyciu, nieskuteczna z biegiem czasu i nieskuteczna w przypadku poważnych napastników. Programy do skanowania wirusów są skuteczne w przypadku zgłoszonych wirusów i nieskuteczne w przypadku nowych wirusów lub wirusów napisanych w celu zaatakowania określonej organizacji. Kontrola zmian programu ogranicza wprowadzanie nieautoryzowanych zmian, takich jak wirusy. Redundancja może być często wykorzystywana do ułatwienia integralności. Sprawdzanie integralności za pomocą kryptograficznych sum kontrolnych w powłokach integralności jest ważne dla ochrony przed wirusami. Dobra jest również izolacja systemu lub sprzętu w celu ograniczenia rozprzestrzeniania się wirusów.

140. Które z poniższych w pełni charakteryzuje bezpieczeństwo systemu informatycznego?

a. Poufność
b. Uczciwość
c. Zapewnienie
d. Dostępność

140. c. Zapewnienie systemu jest podstawą pewności, że środki bezpieczeństwa, zarówno techniczne, jak i operacyjne, działają zgodnie z przeznaczeniem, aby chronić system oraz przetwarzane przez niego dane i informacje. Na przykład zapewnienie oprogramowania zapewnia wiarygodność i przewidywalne wykonanie. Trzy dobrze akceptowane i podstawowe cele bezpieczeństwa to poufność, integralność i dostępność, a zapewnienie można uznać za cel bezpieczeństwa na poziomie zaawansowanym, ponieważ pierwszy z nich kończy się drugim. Jaki jest pożytek z systemu informatycznego, który nie może zapewnić pełnej pewności co do swojego bezpieczeństwa?


141. Które z poniższych jest przykładem zarówno kontroli prewencyjnej, jak i detektywistycznej?

a. Ścieżki audytu
b. Oprogramowanie antywirusowe
c. Warunki i procedury
d. Plany awaryjne

141. b. Oprogramowanie antywirusowe to kontrola prewencyjna, która zapobiega przedostawaniu się znanego wirusa do systemu komputerowego. Jest to również kontrola detektywistyczna, ponieważ powiadamia o wykryciu znanego wirusa. Ścieżki audytu to kontrole detektywistyczne; polityki i procedury są kontrolami dyrektyw, podczas gdy plany awaryjne są przykładem kontroli odzyskiwania.

142. Które z poniższych stwierdzeń dotyczących zasad bezpieczeństwa nie jest prawdziwe podczas zabezpieczania środowiska aplikacji?

a. Funkcje bezpieczeństwa informacji powinny być odizolowane od funkcji niezwiązanych z bezpieczeństwem.
b. Projekt mechanizmów zabezpieczających powinien być prosty i mały rozmiar.
c. Podobne kontrole bezpieczeństwa powinny być umieszczone szeregowo iw kolejności, aby osiągnąć strategię obrony w głąb.
d. Techniki ukrywania danych należy ćwiczyć podczas testowania programu i konserwacji oprogramowania.

142. c. Obrona systemu informatycznego wymaga stosowania zabezpieczeń w całym systemie, a także w punktach wejścia. Wybór i rozmieszczenie kontroli bezpieczeństwa powinno odbywać się w taki sposób, aby stopniowo osłabiać lub pokonywać wszystkie ataki. Posiadanie serii podobnych kontrolek po kolei zwykle wydłuża czas trwania ataku, co nie jest dobre. Stosowanie różnych rodzajów kontroli, które wzajemnie się uzupełniają i wzajemnie się wspierają, jest znacznie bardziej skutecznym podejściem do realizacji strategii obrony w głąb. Chociaż możliwości dostępnych zabezpieczeń mogą w pewnym stopniu się pokrywać, łączny efekt powinien przewyższać skutki każdej kontroli stosowanej indywidualnie. Pozostałe trzy opcje to prawdziwe stwierdzenia dotyczące zapewniania bezpieczeństwa w środowisku aplikacji. System informacyjny izoluje funkcje bezpieczeństwa od funkcji niezwiązanych z bezpieczeństwem realizowanych przez partycje i domeny, które kontrolują dostęp do i chronią integralność sprzętu, oprogramowania i oprogramowania sprzętowego, które wykonują te funkcje bezpieczeństwa. Funkcje bezpieczeństwa powinny być oddzielone od siebie. Projektowanie systemów informatycznych oraz projektowanie mechanizmów ochronnych w tych systemach powinno być jak najprostsze. Złożoność leży u podstaw wielu problemów związanych z bezpieczeństwem. Zasada ukrywania danych powinna być przydatna podczas testowania programów i konserwacji oprogramowania.

143. b. Kontrole bezpieczeństwa i ścieżki audytu powinny być wbudowane w systemy komputerowe, w której z następujących faz cyklu życia systemu (SDLC)?

a. Faza inicjacji systemu
b. Faza rozwoju systemu
c. Faza wdrożenia systemu
d. Faza pracy systemu

143. W fazie rozwoju systemu system jest projektowany, kupowany, programowany, rozwijany lub konstruowany w inny sposób. W tej fazie użytkownicy funkcjonalni i administratorzy systemu/bezpieczeństwa opracowują mechanizmy kontroli systemu i ścieżki audytu wykorzystywane w fazie operacyjnej.

144. Które z poniższych poziomów modelu dojrzałości możliwości oprogramowania dotyczą wymagań bezpieczeństwa?

a. Poziom początkowy
b. Powtarzalny poziom
c. Zdefiniowany poziom
d. Poziom optymalizacji

144. b. Na poziomie powtarzalności modelu dojrzałości możliwości oprogramowania określone są wymagania systemowe; obejmują one bezpieczeństwo, wydajność, jakość i terminy dostaw. Celem jest ustalenie wspólnego porozumienia między klientem a zespołem projektowym rozwoju oprogramowania. Pozostałe trzy wybory nie są poprawne, ponieważ każdy poziom dotyczy określonych wymagań.

145. Która z poniższych nie jest bezpośrednią metodą przeprowadzania ataków wycieku danych?

a. Koń trojański
b. Ataki asynchroniczne
c. Bomby logiczne
d. Metody oczyszczania

145. b. Wyciek danych to usuwanie danych z systemu w sposób niejawny i może być dokonywany bezpośrednio przy użyciu konia trojańskiego, bomby logicznej lub metod oczyszczania. Ataki asynchroniczne to ataki pośrednie na program komputerowy, których działanie polega na zmianie legalnych danych lub kodów w czasie, gdy program jest bezczynny, a następnie powoduje dodanie zmian do programu docelowego podczas późniejszego wykonywania.

146. Które z poniższych infekuje zarówno sektory startowe, jak i infektory plików?

a. Robak
b. Wirus linków
c. Wielostronny
d. Makro

146. c. Wirusy wieloczęściowe są kombinacją wirusów infekujących sektory i pliki, które mogą być rozprzestrzeniane obiema metodami. Robak jest samoreplikującym się, samodzielnym programem i nie wymaga programu-hosta. Wirusy łączy manipulują strukturą katalogów nośnika, na którym są przechowywane, kierując system operacyjny na kod wirusa zamiast na prawidłowy kod. Wirusy makr są przechowywane w arkuszu kalkulacyjnym lub dokumencie edytora tekstu.

147. Które z poniższych środków zapobiegawczych przeciwko atakom z użyciem ukrytego kodu?

1. Użyj oprogramowania do wybierania numerów wojennych.
2. Używaj zapór.
3. Użyj warstwowych zabezpieczeń.
4. Wyłącz kod zawartości aktywnej.
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1 i 4

147. c. Ataki ukrytego kodu opierają się na danych i informacjach. Stosowanie zabezpieczeń warstwowych i wyłączanie kodu zawartości aktywnej (na przykład ActiveX i JavaScript) w przeglądarce internetowej to skuteczna kontrola przed takimi atakami. Oprogramowanie do nawiązywania połączeń wojennych jest dobre w wykrywaniu zapadni (modemów z tylnymi drzwiami) i nie jest dobre w przypadku ataków zapadkowych. Zapory ogniowe skutecznie zapobiegają atakom typu spoofing.

148. Zakres audytu konfiguracji funkcjonalnej nie obejmuje którego z poniższych?

a. Ocena kontroli zmian
b. Testowanie oprogramowania
c. Śledzenie wymagań systemowych
d. Ocena podejścia testowego i wyników

148. a. Ocena kontroli zmian jest częścią audytu konfiguracji fizycznej, podczas gdy inne opcje są częścią audytu konfiguracji funkcjonalnej. Audyt konfiguracji fizycznej zapewnia niezależną ocenę, czy komponenty w wersji powykonawczej oprogramowania odpowiadają specyfikacji oprogramowania. W szczególności audyt ten jest przeprowadzany w celu sprawdzenia, czy oprogramowanie i jego dokumentacja są wewnętrznie spójne i gotowe do dostarczenia. Czynności zwykle planowane i wykonywane w ramach audytu konfiguracji fizycznej obejmują ocenę składu i struktury produktu, jego funkcjonalności oraz kontrolę zmian. Audyt konfiguracji funkcjonalnej zapewnia niezależną ocenę elementów konfiguracji w celu określenia, czy rzeczywista funkcjonalność i wydajność są zgodne ze specyfikacjami wymagań. W szczególności audyt ten jest przeprowadzany przed dostarczeniem oprogramowania w celu sprawdzenia, czy wszystkie wymagania określone w dokumencie wymagań zostały spełnione. Czynności zwykle planowane i wykonywane w ramach audytu konfiguracji funkcjonalnej obejmują testowanie oprogramowania, śledzenie wymagań systemowych od ich początkowej specyfikacji poprzez testowanie systemowe, ocenę podejścia testowego i uzyskanych wyników oraz ocenę spójności pomiędzy podstawowymi elementami produktu.

149. Które z poniższych stwierdzeń nie dotyczy apletów?

a. Aplety to duże programy użytkowe.
b. Aplety pisane są głównie w języku Java. c. Aplety są pobierane automatycznie.
d. Aplety to małe programy użytkowe.

149. a. Aplety to małe aplikacje, w większości napisane w języku programowania Java, które są automatycznie pobierane i uruchamiane przez przeglądarki internetowe obsługujące aplety.

150. W której z poniższych faz cyklu życia systemu (SDLC) należy przetestować procesy awaryjne?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

150. c. Procesy awaryjne powinny być testowane i utrzymywane w fazie wdrażania SDLC. W fazie inicjacji należy rozważyć możliwość odzyskania i odtwarzania danych. Strategie naprawy powinny być brane pod uwagę w fazie rozwoju. Plan awaryjny powinien być realizowany i utrzymywany w fazie eksploatacji/utrzymania.


151. Programiści często tworzą punkty wejścia do programu w celu debugowania i/lub wstawiania nowych kodów programu w późniejszym terminie. Jak nazywają się te punkty wejścia?

a. Bomby logiczne
b. Robaki
c. Backdoory
d. konie trojańskie

151. c. Backdoory są również nazywane hakami i zapadniami. Bomba logiczna jest niepoprawna, ponieważ jest to program, który uruchamia nieautoryzowane, złośliwe działanie, gdy wystąpi jakiś predefiniowany warunek. Robaki są nieprawidłowe, ponieważ przeszukują sieć w poszukiwaniu nieaktywnych zasobów obliczeniowych i wykorzystują je do wykonywania programu w małych segmentach. Konie trojańskie są nieprawidłowe, ponieważ koń trojański to program produkcyjny, który ma dostęp do niedostępnych w inny sposób plików i jest zmieniany przez dodanie dodatkowych, nieautoryzowanych instrukcji. Ukrywa wirusy komputerowe.

152. Sprzedawcy oprogramowania i kontrahenci mogą instalować wejście typu backdoor we własnych produktach lub systemach komputerowych klienta. Które z poniższych są głównymi zagrożeniami wynikającymi z takiej instalacji?

a. Odłączenie oprogramowania i wejście hakera
b. Zdalne monitorowanie i zdalna konserwacja
c. Odłączenie oprogramowania i zdalne monitorowanie
d. Zdalna konserwacja i wpis hakerów

152. a. Niektórzy dostawcy mogą zainstalować wejście typu backdoor lub trapdoor w celu zdalnego monitorowania i konserwacji. Dobrą wiadomością jest to, że backdoor to wygodne podejście do rozwiązywania problemów operacyjnych. Zła wiadomość jest taka, że tylne drzwi są szeroko otwarte dla hakerów. Ponadto sprzedawca może dowolnie modyfikować oprogramowanie bez wiedzy lub zgody użytkownika. Niezadowolony sprzedawca może odłączyć użytkownika od dostępu do oprogramowania w ramach kary za brak płatności lub spory dotyczące płatności. Kody dostępu powinny być wymagane do zdalnego monitorowania i konserwacji.

153. Makrowirus jest najtrudniejszy do:

a. Zapobiegania
b. Wykrycia
c. Prawidłowego
d. Dołączania

153. b. Wirus makr jest powiązany z plikiem edytora tekstu, który może uszkodzić system komputerowy. Wirusy makr z łatwością przechodzą przez zaporę, ponieważ są zwykle przekazywane jako wiadomość e-mail lub po prostu pobierane jako dokument tekstowy. Wirus makr stanowi poważne zagrożenie, ponieważ jest trudny do wykrycia. Wirus makr składa się z instrukcji w programach Word Basic, Visual Basic dla aplikacji lub niektórych innych językach makr i znajduje się w dokumentach. Każda aplikacja obsługująca makra uruchamiane automatycznie jest potencjalną platformą dla wirusów makr. Obecnie dokumenty są szerzej udostępniane za pośrednictwem sieci i Internetu niż za pośrednictwem dysków.

154. Który z poniższych elementów jest najbardziej podatny na ataki koni trojańskich?

a. Uznaniowa kontrola dostępu
b. Obowiązkowa kontrola dostępu
c. Lista kontroli dostępu
d. Logiczna kontrola dostępu

154. a. Ponieważ dyskrecjonalny system kontroli dostępu ogranicza dostęp na podstawie tożsamości, niesie ze sobą nieodłączną wadę, która czyni go podatnym na ataki koni trojańskich. Większość programów uruchamianych w imieniu użytkownika dziedziczy arbitralne prawa dostępu tego użytkownika.

155. Które z poniższych jest najlepszym miejscem do sprawdzenia wirusa komputerowego?

a. Każdy komputer
b. Każda stacja robocza
c. Serwer e-mail
d. Każda sieć

155. c. Programy antywirusowe monitorują komputery i wyszukują złośliwy kod. Problem polega na tym, że programy antywirusowe muszą być zainstalowane na każdym komputerze, stacji roboczej lub w sieci, co powoduje powielanie oprogramowania za dodatkową opłatą. Najlepszym miejscem do korzystania z programów antywirusowych jest skanowanie załączników wiadomości e-mail na serwerze pocztowym. W ten sposób większość wirusów jest zatrzymywana, zanim dotrą do użytkowników.

156. Jak nazywasz ataki, które mogą ujawnić token sesji użytkownika końcowego i zaatakować lokalną maszynę?

a. Uszkodzona kontrola dostępu
b. Nieprawidłowe dane wejściowe
c. Uszkodzone uwierzytelnianie
d. Błędy cross-site scripting

156. d. W przypadku luk cross-site scripting (XSS) aplikacja internetowa może być wykorzystana jako mechanizm do przenoszenia ataku do przeglądarki użytkownika końcowego. Udany atak może ujawnić token sesji użytkownika końcowego, zaatakować komputer lokalny lub sfałszować zawartość w celu oszukania użytkownika.

157. Wirus polimorficzny wykorzystuje które z poniższych?

a. Silnik wnioskowania
b. Silnik heurystyczny
c. Silnik mutacji
d. Wyszukiwarka

157. c. Twórcy wirusów używają silnika mutacji do przekształcania prostych wirusów w wirusy polimorficzne w celu rozprzestrzeniania się i unikania wykrycia. Pozostałe trzy opcje nie dotyczą procesu transformacji.

158. Wszystkie poniższe techniki mogą pomóc w osiągnięciu zasady bezpieczeństwa izolacji procesu, z wyjątkiem:

a. Kapsułkowanie
b. Wyróżnienia nazewnictwa
c. Wirtualne mapowanie
d. Jądro bezpieczeństwa

158. d. Jądro bezpieczeństwa jest definiowane jako elementy sprzętu, oprogramowania układowego i oprogramowania Trusted Computing Base (TCB), które implementują koncepcję monitora referencyjnego. Jądro bezpieczeństwa nie może osiągnąć izolacji procesu. Techniki, takie jak enkapsulacja, multipleksacja czasowa współdzielonych zasobów, rozróżnienie nazewnictwa i mapowanie wirtualne, są wykorzystywane do zastosowania zasady izolacji lub separacji procesu. Te zasady separacji są wspierane przez wprowadzenie zasady najmniejszych przywilejów.

159. Definiowanie ról i obowiązków jest ważne przy identyfikowaniu zainfekowanych hostów z incydentami złośliwego oprogramowania, zanim wystąpią incydenty bezpieczeństwa. Która z poniższych grup może przede wszystkim pomóc przy zmianach w skryptach logowania?

a. Administratorzy bezpieczeństwa
b. Administratorzy systemu
c. Administratorzy sieci
d. Administratorzy pulpitu

159. d. Organizacje powinny określić, które osoby lub grupy mogą pomóc w wysiłkach identyfikacji infekcji. Administratorzy komputerów stacjonarnych są dobrzy w identyfikowaniu zmian w skryptach logowania wraz ze skanowaniem rejestru systemu Windows lub plików, a także w implementowaniu zmian w skryptach logowania. Role pozostałych trzech administratorów różnią się od podziału obowiązków, niezależności i punktu widzenia obiektywizmu.

160. Które z poniższych jest reaktywnym środkiem zaradczym w obronie przed robakami?

a. Kontrolery integralności
b. Łatanie oprogramowania
c. Zapory hosta
d. Zapory stanowe

160. b. Łatanie oprogramowania, będące jednym z reaktywnych (detektywistycznych) środków zaradczych, odbywa się głównie po wykryciu podatności lub błędu programistycznego/projektowego. Te reaktywne metody nie mają nadziei na powstrzymanie szybko rozprzestrzeniających się robaków lub robaków, które wykorzystują do swoich ataków exploity typu zero-day. Pozostałe trzy opcje są przykładami proaktywnych (zapobiegających) środków zaradczych. Kontrolery integralności przechowują skróty kryptograficzne znanych dobrych wystąpień plików, dzięki czemu można w dowolnym momencie dokonać porównań integralności. Zapory hosta wymuszają reguły określające sposób, w jaki określone aplikacje mogą korzystać z sieci. Zapory stanowe śledzą połączenia sieciowe i monitorują ich stan.


161. Które z poniższych jest skutecznym sposobem zapobiegania i wykrywania wirusów komputerowych pochodzących z zewnątrz do sieci?

a. Zainstaluj program antywirusowy w sieci.
b. Zainstaluj program antywirusowy na każdym komputerze osobistym.
c. Wszystkie dyski z nośnikami wymiennymi należy certyfikować przed ich użyciem.
d. Przeszkol wszystkich pracowników w zakresie potencjalnych zagrożeń.

161. c. W niektórych organizacjach powszechną praktyką jest certyfikowanie wszystkich dysków wymiennych przychodzących do organizacji z zewnątrz przed ich użyciem. Odbywa się to przez scentralizowaną grupę dla całej lokalizacji i wymaga przetestowania dysku pod kątem ewentualnego włączenia wirusów. Pozostałe trzy opcje są skuteczne jako wewnętrzne mechanizmy ochrony przed wirusami.

162. Wszystkie poniższe przykłady są przykładami środków ochrony przed wirusami komputerowymi, z wyjątkiem:

a. Kontrola dostępu
b. Ścieżki audytu
c. Hasła
d. Zasada najmniejszych przywilejów

162. c. Hasła są kontrolami administracyjnymi; chociaż kontrole dostępu są kontrolami technicznymi. Kontrola dostępu obejmuje uznaniowe kontrole dostępu i obowiązkowe kontrole dostępu. Ścieżka audytu to zbiór danych, który umożliwia śledzenie działań użytkownika, dzięki czemu zdarzenia związane z bezpieczeństwem można prześledzić do działań określonej osoby. Aby w pełni wdrożyć program ścieżek audytu, wymagane są również narzędzia do redukcji audytu i analizy. Najmniejszy przywilej to pojęcie, które zajmuje się ograniczaniem szkody poprzez egzekwowanie rozdzielenia obowiązków. Odwołuje się do zasady, że użytkownicy i procesy nie powinny działać z większymi uprawnieniami niż te, które są potrzebne do pełnienia obowiązków związanych z rolą, którą obecnie pełnią.

163. Która z poniższych zasad bezpieczeństwa równoważy różne zmienne, takie jak koszt, korzyści, wysiłek, wartość, czas, narzędzia, techniki, zysk, strata, ryzyko i możliwości związane z udanym kompromisem funkcji bezpieczeństwa?

a. Nagrywanie kompromisowe
b. Czynnik pracy
c. Akceptacja psychologiczna
d. Najmniej powszechny mechanizm

163. b. Celem zasady współczynnika pracy jest zwiększenie współczynnika pracy napastnika w złamaniu systemu informatycznego lub zabezpieczeń sieci. Ilość pracy wymaganej do złamania systemu lub sieci przez atakującego (współczynnik pracy) powinna przekraczać wartość, którą atakujący uzyskałby dzięki udanemu włamaniu. Różne zmienne, takie jak koszt i korzyści; wysiłek; wartość (ujemna i dodatnia); czas; narzędzia i techniki; Zyski i straty; wiedza, umiejętności i zdolności (KSA); a ryzyko i szanse związane z udanym kompromisem zabezpieczeń muszą być zrównoważone. Zasada rejestrowania włamań oznacza, że komputerowe lub ręczne zapisy i dzienniki powinny być utrzymywane, aby w przypadku włamania dostępne były dowody ataku. Zarejestrowane informacje mogą być wykorzystane do lepszego zabezpieczenia hosta lub sieci w przyszłości i mogą pomóc w identyfikacji i ściganiu napastników. Zasada psychologicznej akceptowalności zachęca do rutynowego i prawidłowego korzystania z mechanizmów ochronnych, czyniąc je łatwymi w użyciu, dzięki czemu użytkownicy nie mają powodu do prób ich obchodzenia. Mechanizmy bezpieczeństwa muszą odpowiadać własnemu wyobrażeniu użytkownika o celach ochrony. Zasada najmniej wspólnego mechanizmu wymaga minimalnego współdzielenia mechanizmów wspólnych dla wielu użytkowników lub zależnych od wszystkich użytkowników. Udostępnianie reprezentuje możliwe ścieżki komunikacji między podmiotami używane do obchodzenia zasad bezpieczeństwa.

164. Potrzeby w zakresie certyfikacji i akredytacji muszą być brane pod uwagę we wszystkich następujących fazach cyklu życia systemu, z wyjątkiem:

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

164. d. Certyfikacje wykonywane na opracowywanych aplikacjach są przeplatane procesem rozwoju systemu. Potrzeby w zakresie certyfikacji i akredytacji należy uwzględnić w fazach walidacji, weryfikacji i testowania stosowanych w całym procesie rozwoju systemu (tj. rozwoju i wdrażania). Nie dotyczy fazy eksploatacji/konserwacji.

165. W której z poniższych faz cyklu rozwoju systemu (SDLC) tworzone są raporty z oceny bezpieczeństwa i oświadczenie akredytacyjne?

a. Inicjacja
b. Rozwój/nabycie
c. Eksploatacja/konserwacja
d. Realizacja

165. d. Główne wyniki fazy wdrożenia (testowania) obejmują raport oceny bezpieczeństwa i oświadczenie akredytacyjne. Celem fazy testowania jest wykonanie różnych testów (jednostkowych, integracyjnych, systemowych i akceptacyjnych). Funkcje zabezpieczeń są testowane, aby sprawdzić, czy działają, a następnie są certyfikowane.

166. Która z poniższych faz cyklu życia rozwoju systemu (SDLC) nie powinna być tak bardzo skompresowana, aby prawidłowo opracować prototyp?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

166. c. Testowanie systemu, które jest częścią wdrożenia, jest ważne dla określenia, czy kontrole wewnętrzne i mechanizmy bezpieczeństwa działają zgodnie z założeniami i są zgodne z ustalonymi zasadami i procedurami. W środowisku prototypowania istnieje tendencja do skompresowania faz inicjacji systemu, definicji, projektowania, programowania i szkolenia. Jednak faza testowania nie powinna być tak bardzo skompresowana ze względu na jakość. Z definicji prototypowanie wymaga pewnej kompresji czynności i czasu ze względu na szybki charakter metodologii tworzenia prototypów bez utraty głównych cech, funkcji i jakości.

167. Działanie, które różniłoby się między podejściem do tworzenia prototypów a tradycyjnym podejściem do tworzenia systemów, to:

a. Jak mają być realizowane działania?
b. Czego użytkownicy potrzebują od systemu?
c. Co powinien zawierać plan projektu?
d. Jak definiuje się indywidualne obowiązki?

167. a. Menedżerowie nadal muszą określić, czego chcą od systemu, nadal potrzebna jest pewna ocena kosztów/korzyści i nadal wymagany jest plan postępowania z indywidualnymi obowiązkami. Różnica może polegać na sposobie realizacji działań. Narzędzia, techniki, metody i podejścia stosowane w projekcie rozwoju prototypu i tradycyjnym projekcie rozwoju systemu są różne.

168. Która z następujących sekwencji zadań obejmuje ogólną strategię testowania dla przeprowadzania testów regresji oprogramowania aplikacji?

a. Czytaj, wstawiaj i usuwaj
b. Prekompiluj, łącz i kompiluj
c. Przygotuj, wykonaj i usuń
d. Testuj, debuguj i rejestruj

168.c. Każdy program testowy obejmuje przygotowanie programu wykonywalnego, wykonanie go i usunięcie. Oszczędza to miejsce w pamięci masowej i generuje kompletny dziennik. To podejście jest zalecane do celów debugowania i sprawdzania poprawności. Czytanie, wstawianie i usuwanie obejmuje przeniesienie wszystkich wierszy z tabeli A do tabeli B w tym, że tabela jest odczytywana, wstawiana i usuwana. Program źródłowy jest prekompilowany, połączony i skompilowany, aby stać się obiektem lub programem wykonywalnym. Program źródłowy jest testowany (wykryte błędy), debugowany (błędy usuwane) i rejestrowany w celu sprawdzenia i dalszych działań.

169. Który z poniższych testów zostanie przeprowadzony, gdy system aplikacji w organizacji wymienia dane z zewnętrznymi aplikacjami systemu?

a. Test jednostkowy
b. Test integracyjny
c. Test od końca do końca
d. Test akceptacyjny systemu

169. c. Celem testów typu end-to-end jest sprawdzenie, czy określony zestaw powiązanych ze sobą systemów, które wspólnie wspierają podstawowy obszar działalności lub funkcję organizacji, współdziałają zgodnie z zamierzeniami w środowisku operacyjnym. Te wzajemnie powiązane systemy obejmują nie tylko te, które są własnością organizacji i przez nią zarządzane, ale także systemy zewnętrzne, z którymi się łączą. Test jednostkowy jest nieprawidłowy, ponieważ jego celem jest sprawdzenie, czy najmniejszy zdefiniowany moduł oprogramowania (tj. poszczególne podprogramy, podprogramy lub procedury) działa zgodnie z przeznaczeniem. Te moduły są wewnętrznymi modułami organizacji. Test integracji jest nieprawidłowy, ponieważ jego celem jest sprawdzenie, czy połączone jednostki oprogramowania współpracują ze sobą zgodnie z przeznaczeniem. Zazwyczaj wiele jednostek oprogramowania jest zintegrowanych lub połączonych ze sobą, tworząc aplikację. Ponownie, ten test jest wykonywany wewnętrznie w organizacji. Test akceptacyjny systemu jest nieprawidłowy, ponieważ jego celem jest sprawdzenie, czy kompletny system spełnia określone wymagania i jest akceptowalny dla użytkowników końcowych.

170. Które z poniższych może dawać fałszywe poczucie bezpieczeństwa?
a. Narzędzie testowe wymagające planowania.
b. Narzędzie testowe, które tworzy wolne od błędów oprogramowanie.
c. Narzędzie testowe, które wymaga czasu i wysiłku.
d. Narzędzie testowe, którego używanie wymaga doświadczenia

170. b. Narzędzie testowe nie gwarantuje bezbłędnego oprogramowania; nie jest to ani lekarstwo na wszystko, ani srebrna kula. Niektórym może to dawać fałszywe poczucie bezpieczeństwa. Narzędzie testowe nadal wymaga starannego planowania, czasu, wysiłku i doświadczenia, z których może korzystać i czerpać korzyści.


171. Która z poniższych funkcji zarządzania konfiguracją oprogramowania dostępnych dla systemów klient/serwer może pomóc w wykrywaniu i korygowaniu błędów?

a. Zainstaluj moduły zameldowania/wymeldowania.
b. Kod źródłowy archiwum.
c. Zezwalaj na cofanie się.
d. Składaj nowe kompilacje.

171. c. Błędy są popełniane w kilku miejscach i czasach: (i) podczas opracowywania kodu źródłowego, (ii) podczas początkowego pisania modułów, (iii) podczas dodawania rozszerzenia do modułu, (iv) po naprawieniu innego błędu oraz (v) gdy kod jest przenoszony z jednego modułu do drugiego. Produkty do zarządzania konfiguracją oprogramowania mają funkcję śledzenia wstecznego, która poprawia tego typu błędy. Produkt powinien zawierać listę dokładnych zmian w kodzie źródłowym, które składają się na każdą kompilację. Następnie zmiany te są sprawdzane w celu określenia, które z nich mogą spowodować nowy błąd. Koncepcja oprogramowania do zameldowania/wymeldowania umożliwia wielu programistom pracę nad projektem bez wzajemnego nadpisywania swojej pracy. Jest to podstawowa metoda zapobiegania dołączaniu lub ponownemu wprowadzaniu błędów do modułów oprogramowania.

172. Które z poniższych wymaga wyższego poziomu ochrony pod względem kontroli bezpieczeństwa?

a. Procedury testowe
b. Przypadki testowe
c. Repozytorium testowe
d. Plany testów

172. c. Repozytorium testów składa się z planów testów, przypadków testowych, procedur testowych, wymagań testowych i celów testów utrzymywanych przez kierownika testów oprogramowania. Ze względu na skoncentrowane produkty pracy repozytorium testów wymaga wyższego poziomu ochrony przed nieautoryzowanymi zmianami. Procedury testowe, przypadki testowe i plany testów są częścią repozytorium testów.

173. Z punktu widzenia bezpieczeństwa, które z poniższych stwarzają poważny problem z bezpieczeństwem?

a. Nienadzorowane operacje komputerowe
b. Bezobsługowy terminal komputerowy
c. Nienadzorowane testowanie oprogramowania
d. Faks bez nadzoru

173. b. Nienadzorowany terminal komputerowy stanowi poważne naruszenie bezpieczeństwa. Nieupoważniony użytkownik może wykorzystać możliwość dostępu do poufnych danych. Dane można kopiować, usuwać, dodawać lub modyfikować. Intruz może również wykorzystać tę okazję do modyfikacji plików wykonywalnych. Wirus, koń trojański lub program do wyłapywania haseł można łatwo i szybko wślizgnąć do systemu. Potrzebna jest logika bezpieczeństwa, która wykrywa bezczynny terminal. Nienadzorowane operacje komputerowe są nieprawidłowe, ponieważ reprezentują sytuację, w której większość zadań operacyjnych komputera wykonują maszyny (roboty), a mniej ludzie. Nienadzorowane testowanie oprogramowania jest nieprawidłowe, ponieważ testowanie jest przeprowadzane za pomocą automatycznych narzędzi testowych bez udziału osoby obserwującej proces testowania. Narzędzie testowe kontynuuje wykonywanie sesji testowych, odtwarzając jeden lub więcej skryptów testowych. Z wdziękiem radzi sobie z nieprzewidzianymi okolicznościami. Faks bez nadzoru jest nieprawidłowy, ponieważ może prowadzić do ataków socjotechnicznych. Nienadzorowane operacje komputerowe, testowanie oprogramowania i faks stwarzają mniejsze ryzyko niż nienadzorowany terminal komputerowy.

174. Co zawierają najczęściej używane metryki struktury projektowania aplikacji?

a. Wskaźniki zameldowania i wymeldowania
b. Wskaźniki fan-in i check-out
c. Wskaźniki rozproszenia i rozproszenia
d. Wskaźniki fan-out i wskaźniki check-in

174. c. Fan-in i fan-out są oparte na sprzężeniu programów. Fan-in to liczba modułów, które wywołują dany moduł, a fan-out to liczba modułów, które są wywoływane przez dany moduł. Zarówno rozłożenie jak i rozłożenie mierzy złożoność programu. Zaewidencjonowanie i wyewidencjonowanie to kontrole zmiany programu, w których dokumenty lub pliki danych/programów będą miały wskaźnik zaewidencjonowania lub wyewidencjonowania w bibliotekach systemowych, aby zapobiec ich równoczesnemu użyciu przez programistów i programy komputerowe.

175. Która z poniższych bibliotek oprogramowania aplikacji może budzić pytania dotyczące praw własności danych?

a. Biblioteka testowa
b. Biblioteka zapewniania jakości
c. Biblioteka wielokrotnego użytku
d. Biblioteka produkcyjna

175. c. Biblioteka wielokrotnego użytku może poprawić produktywność i jakość oprogramowania, zwiększając efektywne ponowne wykorzystanie wolnego od błędów kodu zarówno dla nowego, jak i zmodyfikowanego oprogramowania aplikacyjnego. "Kto jest właścicielem kodu wielokrotnego użytku?" jest pytaniem prawnym, które wymaga uważnej odpowiedzi ze względu na trudności w namierzeniu pierwotnego autora oprogramowania. Biblioteka testowa jest nieprawidłowa, ponieważ jest miejscem opracowywania nowego oprogramowania lub modyfikowania istniejącego oprogramowania. Zapewnienie jakości biblioteki jest nieprawidłowe, ponieważ jest to obszar przejściowy, w którym odbywają się końcowe przeglądy jakości i procedury konfiguracji produkcji. Produkcja biblioteki jest nieprawidłowa, ponieważ jest to oficjalne miejsce, w którym działa , programy rezydują i wykonują w celu przetwarzania danych. Prawa własności danych w tych trzech bibliotekach (test, zapewnienie jakości i produkcja) są jasne i możliwe do prześledzenia do autora (autorów).

176. Które z poniższych podejść do testowania oprogramowania aplikacji nie wymaga kodów pośredniczących ani sterowników?

a. Podejście odgórne
b. Podejście oddolne
c. Podejście kanapkowe
d. Podejście Wielkiego Wybuchu

176. d. Podejście typu "big bang" obejmuje wszystkie jednostki lub moduły razem, bez odcinków i sterowników. W nim wszystkie jednostki programu są kompilowane i testowane jednocześnie. Podejście odgórne jest nieprawidłowe, ponieważ używa kodów pośredniczących. Rzeczywisty kod jednostek niższego poziomu jest zastępowany kodem pośredniczącym, który jest kodem jednorazowym, który zastępuje rzeczywisty kod. Podejście oddolne jest nieprawidłowe, ponieważ wykorzystuje sterowniki. Jednostki na wyższych poziomach są zastępowane sterownikami, które emulują wywołania procedur. Sterowniki są również formą kodu jednorazowego użytku. Podejście kanapkowe jest nieprawidłowe, ponieważ wykorzystuje kombinację podejścia od ogółu do szczegółu (odcinki) i systemowego (sterowniki).

177. Która z poniższych jest mniej formalną techniką przeglądu?

a. Inspekcje
b. Analiza identyfikowalności
c. Opinie
d. Przewodniki

177. d. Instruktaż to technika oceny, w której projektant lub programista prowadzi jednego lub więcej członków zespołu programistycznego przez segment projektu lub kodu, podczas gdy inni członkowie zadają pytania i komentują technikę, styl oraz identyfikują możliwe błędy, naruszenia standardów rozwoju i innych problemów. Przewodniki są podobne do recenzji, ale są mniej formalne. Kontrole są nieprawidłowe, ponieważ są techniką oceny, w której wymagania dotyczące oprogramowania aplikacji, projekt, kod lub inne produkty są sprawdzane przez osobę lub grupę inną niż autor w celu wykrycia błędów, naruszeń standardów programistycznych i innych problemów. Inspekcje są bardziej formalne niż instruktaże. Analiza identyfikowalności jest niepoprawna, ponieważ jest to proces weryfikacji, czy każde określone wymaganie zostało wdrożone w projekcie/kodzie, czy wszystkie aspekty projektu/kodu mają swoją podstawę w określonych wymaganiach oraz czy testowanie daje wyniki zgodne z określonymi wymaganiami . Analiza identyfikowalności jest bardziej formalna niż przewodniki. Recenzje są nieprawidłowe, ponieważ recenzja jest spotkaniem, na którym wymagania, projekt, kod lub inne produkty projektu rozwoju oprogramowania są przedstawiane użytkownikowi, sponsorowi lub innym zainteresowanym stronom w celu skomentowania i zatwierdzenia, często jako warunek wstępny do zawarcia danego faza procesu tworzenia oprogramowania. Recenzje są bardziej formalne niż poradniki.

178. Inspekcje nie mogą wykryć, który z poniższych błędów w oprogramowaniu aplikacyjnym?

a. Błędy niekompletnych wymagań
b. Niewykonalne błędy wymagań
c. Błędy sprzecznych wymagań
d. Błędy opisu wejścia/wyjścia

178. d. Inspekcja to technika oceny, w której wymagania oprogramowania, projekt, kod lub inne produkty są sprawdzane przez osobę lub grupę, inną niż autor, w celu wykrycia błędów, naruszeń standardu rozwoju i inne problemy. Błędy opisu wejścia/wyjścia są wykrywane w fazie testowania interfejsu. Typ błędów wykrytych podczas inspekcji obejmuje niekompletne błędy wymagań, niewykonalne błędy wymagań i sprzeczne błędy wymagań.

179. Które z poniższych jest przykładem dynamicznej analizy w celu wykrycia błędów oprogramowania aplikacji?

a. Inspekcje
b. Czytanie kodu
c. Testowanie
d. Rysunek kalkowy

179. c. Techniki analizy dynamicznej obejmują wykonanie produktu i analizę jego odpowiedzi na zestawy danych wejściowych w celu określenia jego ważności i wykrycia błędów. Obserwuje się również behawioralne właściwości programu. Najpopularniejszym rodzajem techniki analizy dynamicznej jest testowanie. Testowanie oprogramowania jest zwykle przeprowadzane na poszczególnych komponentach (np. podprogramach i modułach) w miarę ich tworzenia, na podsystemach oprogramowania, gdy są one zintegrowane ze sobą lub z innymi komponentami systemu, oraz na całym systemie. Innym rodzajem testów są testy akceptacyjne wykonywane przed zaakceptowaniem produktu przez użytkownika. Inspekcje, odczytywanie kodu i śledzenie to przykłady analizy statycznej. Analiza statyczna to analiza wymagań, projektu, kodu lub innych elementów ręcznie lub automatycznie, bez wykonywania przedmiotu analizy w celu określenia jego właściwości leksykalnych i składniowych w przeciwieństwie do jego właściwości behawioralnych.

180. W której z poniższych faz cyklu życia rozwoju systemu (SDLC) stosuje się tabele decyzyjne?
a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

180. a. Celem tabel decyzyjnych jest zapewnienie jasnej i spójnej analizy złożonych kombinacji logicznych i relacji. Ta metoda wykorzystuje dwuwymiarowe tabele do zwięzłego opisu relacji logicznych między zmiennymi programu logicznego (na przykład AND i OR). Zaletami tabel decyzyjnych są (i) ich zwięzłość i tabelaryczny charakter umożliwiający analizę złożonych kombinacji logicznych wyrażonych w kodzie oraz (ii) potencjalnie wykonywalne, jeśli są używane jako specyfikacje. Wadą jest to, że wymagają żmudnego wysiłku. Analiza wymagań, będąca częścią fazy inicjacji, jest najlepszym miejscem do wykorzystania tablicy decyzyjnej.


181. W której z poniższych faz cyklu rozwoju systemu (SDLC) stosuje się diagramy przepływu danych?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

181. a. Diagramy przepływu danych służą do opisu przepływu danych przez program w formie diagramu. Pokazują, w jaki sposób dane wejściowe są przekształcane w dane wyjściowe, przy czym każdy etap reprezentuje odrębną transformację. Diagramy wykorzystują trzy rodzaje komponentów:

1. Bąbelki z adnotacjami reprezentują centra transformacji, a adnotacja określa transformację.
2. Strzałki z adnotacjami reprezentują przepływ danych do iz centrów transformacji; adnotacje określają, jakie są dane.
3. Operatory (AND i OR) łączą strzałki z adnotacjami.

Diagramy przepływu danych opisują tylko dane i nie powinny zawierać informacji dotyczących sterowania ani sekwencjonowania. Każdą bańkę można uznać za czarną skrzynkę, która, gdy tylko dostępne są jej dane wejściowe, przekształca je w dane wyjściowe. Każdy bąbelek powinien reprezentować odrębną transformację, której wyjście różni się w jakiś sposób od jego wejścia.

182. W której z poniższych faz cyklu rozwoju systemu (SDLC) stosuje się sprawdzanie danych?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

182. c. W desk-checkingu kod programistyczny jest odczytywany przez eksperta innego niż autor kodu, który wykonuje jedną z następujących czynności: (i) przeglądanie kodu pod kątem oczywistych defektów, (ii) sprawdzanie poprawności interfejsów procedur, (iii ) czytanie komentarzy w celu zorientowania się, co robi kod, a następnie porównywanie go z jego specyfikacją zewnętrzną, (iv) porównywanie komentarzy z dokumentacją projektową, (v) przechodzenie z warunkami wejściowymi wymyślonymi w celu sprawdzenia wszystkich ścieżek, w tym tych niezwiązanych bezpośrednio z specyfikacje zewnętrzne, (vi) sprawdzanie zgodności ze standardami i konwencjami programowania lub (vii) dowolną ich kombinację. Jak widać, desk-checking to techniczne ćwiczenie wykonywane przez programistów.

183. Automaty skończone (FSM) są używane w której z poniższych faz cyklu życia systemu (SDLC)?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

183 a. Celem automatu skończonego (FSM) jest zdefiniowanie lub zaimplementowanie struktury sterowania systemu. Wiele systemów można zdefiniować pod względem ich stanów, danych wejściowych i działań. Definiując działania systemu dla każdego wejścia w każdym stanie, możesz całkowicie zdefiniować system. Powstały model systemu to FSM, który może wykrywać niekompletne lub niespójne specyfikacje wymagań.

184. W której z poniższych faz cyklu rozwoju systemu (SDLC) przeprowadzana jest analiza mutacji?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

184. c. Celem analizy mutacji jest określenie dokładności, z jaką program został przetestowany, a tym samym wykrycie błędów. Ta procedura obejmuje utworzenie dużego zestawu wersji lub mutacji oryginalnego programu, z których każda jest pochodną zmiany pojedynczego elementu programu (na przykład zmiany operatora, zmiennej lub stałej). Każdy mutant jest następnie testowany przy użyciu danej kolekcji zestawów danych testowych. Ponieważ każdy mutant zasadniczo różni się od oryginału, testy powinny wykazać, że każdy z nich jest inny. Jeśli każde wyjście stworzone przez mutanty różni się od wyjścia oryginalnego programu i od siebie nawzajem, wtedy program jest uważany za odpowiednio przetestowany i poprawny. Analiza mutacji wymaga dobrych zautomatyzowanych narzędzi, aby była skuteczna.

185. W której z poniższych faz cyklu rozwoju systemu (SDLC) przeprowadzana jest analiza wrażliwości?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

185. c. Analiza wrażliwości to nowa metoda ilościowego określania ultra niezawodnego oprogramowania na etapie wdrażania. Opiera się na modelu oprogramowania typu błąd-awaria i opiera się na założeniu, że testowalność oprogramowania może przewidzieć prawdopodobieństwo wystąpienia awarii w przypadku wystąpienia błędu przy określonym rozkładzie danych wejściowych. Wrażliwa lokalizacja to taka, w której usterki nie mogą się ukryć podczas testowania. Stany wewnętrzne są zaburzone w celu określenia czułości. Ta technika wymaga oprzyrządowania kodu i generuje całkowitą liczbę wykonań w ramach operacji, oszacowanie wskaźnika infekcji oraz analizę propagacji.

186. W której z poniższych faz cyklu życia systemu (SDLC) przeprowadzana jest analiza wartości granicznej?

a. Wymagania
b. Projekt
c. Realizacja
d. Konserwacja

186. c. Celem analizy wartości brzegowych jest wykrycie i usunięcie błędów występujących na granicach lub granicach parametrów. Domena wejściowa programu podzielona jest na kilka klas wejściowych. Testy powinny obejmować granice i ekstrema klas. Testy sprawdzają, czy granice domeny wejściowej specyfikacji pokrywają się z granicami w programie. Przypadki testowe powinny być również zaprojektowane tak, aby wymusić na wyjściu jego skrajne wartości. Jeśli to możliwe, należy określić przypadek testowy, który powoduje, że dane wyjściowe przekraczają wartości graniczne specyfikacji. Jeśli wyjście jest sekwencją danych, szczególną uwagę należy zwrócić na pierwszy i ostatni element oraz na listy zawierające zero, jeden i dwa elementy.

187. W której z poniższych faz cyklu rozwoju systemu (SDLC) jest sadzone rozsiewanie błędów?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

187. c. Celem rozsiewania błędów jest określenie, czy zestaw przypadków testowych jest odpowiedni. Do programu wstawiane są niektóre znane typy błędów, a program jest wykonywany z przypadkami testowymi w warunkach testowych. Jeśli zostaną znalezione tylko niektóre z początkowych błędów, zestaw przypadków testowych nie jest odpowiedni. Liczbę pozostałych błędów można oszacować, odejmując liczbę znalezionych błędów rzeczywistych od całkowitej liczby błędów rzeczywistych. Następnie można oszacować pozostały wysiłek testowy. Jeśli zostaną znalezione wszystkie inicjowane błędy, oznacza to, że albo zestaw przypadków testowych jest odpowiedni, albo że błędy inicjowane były zbyt łatwe do znalezienia.

188. Formalne metody lub weryfikacja oprogramowania aplikacyjnego jest przeprowadzana w której z poniższych faz rozwoju systemu cykl życia (SDLC)?

a. Inicjacja i rozwój
b. Rozwój i wdrożenie
c. Wdrażanie i eksploatacja
d. Eksploatacja i utylizacja

188. a. Celem metod formalnych jest sprawdzenie, czy oprogramowanie spełnia zamierzoną funkcję. Polega na wykorzystaniu modeli teoretycznych i matematycznych do udowodnienia poprawności programu bez jego wykonywania. Wymagania powinny być napisane w formalnym języku specyfikacji (na przykład VDM i Z), tak aby wymagania te można było następnie zweryfikować za pomocą dowodu poprawności. Korzystając z tej metody, program jest reprezentowany przez twierdzenie i jest udowadniany za pomocą rachunku predykatów pierwszego rzędu. Szereg asercji znajduje się w różnych miejscach w programie i jest używany jako warunki wstępne i końcowe różnych ścieżek w programie. Dowód polega na wykazaniu, że program przenosi warunki wstępne do warunków końcowych zgodnie z zestawem reguł logicznych i że program się kończy.

189. Która z poniższych technik nie może być stosowana we wszystkich fazach cyklu rozwoju systemu (SDLC)?

a. Prototypowanie
b. Opinie
c. Symulacja
d. Przewodniki

189. a. Celem prototypowania jest sprawdzenie wykonalności wdrożenia systemu pod kątem zadanych ograniczeń oraz przekazanie klientowi interpretacji systemu przez zamawiającego w celu zlokalizowania nieporozumień. Wybrano podzbiór funkcji systemowych, ograniczeń i wymagań dotyczących wydajności. Prototyp jest budowany przy użyciu narzędzi wysokiego poziomu i jest oceniany pod kątem kryteriów klienta; w wyniku tej oceny wymagania systemowe mogą ulec zmianie. Zazwyczaj prototypowanie służy do zdefiniowania wymagań użytkownika systemu. Przegląd to spotkanie, na którym wymagania, projekt, kod lub inne produkty projektu rozwoju oprogramowania są przedstawiane użytkownikowi, sponsorowi lub innym zainteresowanym stronom w celu skomentowania i zatwierdzenia, często jako warunek wstępny do zakończenia danej fazy proces tworzenia oprogramowania. Przegląd jest zwykle przeprowadzany pod koniec etapu, ale można go zwołać, gdy pojawią się problemy. Symulacja służy do testowania funkcji systemu oprogramowania wraz z jego interfejsem do rzeczywistego środowiska, bez jakiejkolwiek modyfikacji środowiska. Symulacja może być tylko oprogramowaniem lub kombinacją sprzętu i oprogramowania. Instruktaż to technika oceny, w której projektant lub programista prowadzi jednego lub więcej innych członków zespołu programistycznego przez segment projektu lub kodu, podczas gdy inni członkowie zadają pytania i komentują technikę i styl oraz identyfikują możliwe błędy, naruszenia standardów rozwoju i innych problemów. Przewodniki są podobne do recenzji, ale są mniej formalne.

190. Techniki takie jak prototypowanie i symulacja nie mogą być stosowane w której z poniższych faz cyklu życia systemu (SDLC)?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

190. d. Celem prototypowania jest sprawdzenie wykonalności wdrożenia systemu pod kątem zadanych ograniczeń oraz przekazanie klientowi interpretacji systemu przez zamawiającego w celu zlokalizowania nieporozumień. Wybrano podzbiór funkcji systemowych, ograniczeń i wymagań dotyczących wydajności. Prototyp jest budowany przy użyciu narzędzi wysokiego poziomu i jest oceniany pod kątem kryteriów klienta; w wyniku tej oceny wymagania systemowe mogą ulec zmianie. Zazwyczaj prototypowanie służy do zdefiniowania wymagań użytkownika i projektu systemu. Symulacja lub modelowanie służy do testowania funkcji systemu oprogramowania, wraz z jego interfejsem do rzeczywistego środowiska, bez jakiejkolwiek modyfikacji środowiska. Symulacja może być tylko oprogramowaniem lub kombinacją sprzętu i oprogramowania. Tworzony jest model systemu, który ma być kontrolowany przez rzeczywisty testowany system. Model ten naśladuje zachowanie kontrolowanego systemu i służy wyłącznie do celów testowych. Chociaż prototypowanie i symulacja mogą być wykorzystywane w fazie konserwacji systemu, zwrot z inwestycji byłby mniejszy niż w fazie rozwoju. Zwykle zakres utrzymania systemu może być niewielki i niewielki, co uniemożliwia stosowanie technik prototypowania i symulacji.


191. Które z poniższych wymagają dużego wysiłku testowego w projekcie integracji systemu aplikacji?

a. Testy regresji
b. Testowanie interoperacyjności
c. Testowanie obciążenia
d. Testy bezpieczeństwa

191. b. Przestrzeganie wspólnego standardu zapewnia interoperacyjność komponentów oprogramowania. Wymagane są szeroko zakrojone testy, aby upewnić się, że komponenty oprogramowania mogą skutecznie komunikować się zarówno w środowiskach jednoprocesorowych, jak i rozproszonych. W środowisku sieciowym należy pamiętać, że po dodaniu lub wymianie/uaktualnieniu dowolnego komponentu należy przeprowadzić dużą liczbę testów, aby zapewnić zachowanie integralności i wydajności sieci. Dlatego testy muszą być powtarzalne i dobrze udokumentowane. Dlatego konieczne są testy regresji. W testowaniu obciążenia na składniki konfiguracji sieciowej można nałożyć wiele kombinacji i permutacji wzorców obciążenia. Chociaż przetestowanie ich wszystkich byłoby trudne, jeśli nie niemożliwe, wymagana jest dokładna analiza oczekiwanego obciążenia pracą w celu zidentyfikowania najbardziej prawdopodobnych wzorców ruchu dla tej procedury testowej. Ze swej natury systemy sieciowe dają wiele możliwości naruszenia bezpieczeństwa systemu. Jest to szczególnie ważne, gdy poziomy bezpieczeństwa nie są równomiernie narzucane w konfiguracji złożonej z wielu połączonych ze sobą sieci lokalnych. Testowanie bezpieczeństwa całego systemu jest wymagane w celu zidentyfikowania wszelkich błędów bezpieczeństwa, które mogły zostać przeoczone w projekcie systemu zintegrowanego.

192. W którym z poniższych podejść testowych bada się zdolność systemu aplikacji do przetrwania nadużycia przez naiwnych użytkowników?

a. Testy funkcjonalności
b. Test wydajności
c. Testy odporności
d. Testy odzyskiwania

192. c. Testy odporności mierzą trwałość systemu. W testach funkcjonalnych poprawność działania systemu w warunkach normalnych pokazano warunki pracy. W testach wydajności demonstrowana jest przepustowość systemu i czasy odpowiedzi w różnych warunkach obciążenia. W testach odzyskiwania określana jest zdolność systemu do wznowienia działania po częściowej lub całkowitej awarii systemu. Zarówno system, jak i poszczególne komponenty są testowane w celu określenia zdolności do działania w ramach struktury awaryjnej i przywracania ustanowionej dla systemu.

193. Z testowego punktu widzenia, kiedy zaczyna się formalny mechanizm kontroli zmian?

a. Po zakończeniu testów integracyjnych
b. Po zakończeniu testów jednostkowych
c. Po zakończeniu testów systemów
d. Po zakończeniu testów akceptacyjnych

193. a. Testowanie integracyjne jest punktem odcięcia dla projektu programistycznego, a po integracji jest oznaczone jako backend. Integracja to faza rozwoju, w której różne części i komponenty są integrowane w celu utworzenia całego oprogramowania, a zwykle po integracji, produkt jest pod formalną kontrolą zmian. W szczególności po testach integracyjnych każda zmiana oprogramowania musi mieć konkretny powód i muszą być udokumentowane i śledzone. Jest zbyt wcześnie, aby mieć formalny mechanizm kontroli zmian podczas testów jednostkowych z powodu ciągłych zmian w kodzie programu. Jest już za późno na formalny mechanizm kontroli zmian po zakończeniu testów systemowych i akceptacyjnych.

194. Jaka jest prawidłowa kolejność testowania oprogramowania aplikacyjnego?

a. Test integracyjny, test jednostkowy, test systemów, test akceptacyjny
b. Test jednostkowy, test systemowy, test integracyjny, test akceptacyjny
c. Test akceptacyjny, test jednostkowy, test integracyjny, test systemów
d. Test jednostkowy, test integracyjny, test systemowy, test akceptacyjny

194. d. Cykl życia rozwoju systemu przechodzi w tej kolejności przez test jednostkowy, test integracyjny, test systemowy i test akceptacyjny. Programiści wykonują zarówno testy jednostkowe, jak i testy integracyjne, natomiast testy systemowe prowadzone są wspólnie przez użytkowników i programistów. Użytkownicy końcowi i personel operacji produkcyjnych, z własnego punktu widzenia, przeprowadzają testy akceptacyjne. Jakość systemu komputerowego poprawia się, jeśli ta sekwencja jest przestrzegana podczas testowania oprogramowania.

195. Skuteczne kontrole na etapie testowania oprogramowania aplikacyjnego obejmują które z poniższych elementów?

a. Przypadki testowe i dokumentacja testowa
b. Podsumowania testów i raporty z wykonania testów
c. Dzienniki aktywności, raporty o incydentach i wersjonowanie oprogramowania
d. Przypadki testowe odrzucone i przypadki testowe zaakceptowane

195. c. Dzienniki aktywności zawierają zapis wszystkich wykonanych przypadków testowych.Raporty o incydentach pokazują priorytety przypisane problemom testowym podczas wykonywania testów. Wszystkie zarejestrowane incydenty powinny zostać rozwiązane w rozsądnym czasie. Wersjonowanie oprogramowania kontroluje wersje źródła programu, aby zapewnić, że nie ma duplikacji ani pomyłek między wieloma wersjami. Przypadki testowe i dokumentacja testowa są nieprawidłowe, ponieważ przypadki testowe zawierają listę wszystkich możliwych testów do wykonania wraz z powiązanymi z nimi danymi, a dokumentacja testowa zawiera plany testów, cele testów i podejścia. Podsumowania testów i raporty z wykonania testów są nieprawidłowe, ponieważ podsumowanie testów to krótki opis zmian. Słowa kluczowe są używane, aby personel projektu czytający dziennik mógł skanować w poszukiwaniu elementów, które mogą wpływać na ich pracę. Raporty z wykonania testów przedstawiają kierownictwu stan wykonania testów oprogramowania wraz z informacjami podsumowującymi. Przypadki testowe odrzucone i zaakceptowane przypadki testowe są nieprawidłowe, ponieważ zawierają jedynie listę przypadków testowych, które zostały odrzucone lub zaakceptowane. Dokumenty takie jak przypadki testowe, dokumentacja testów, podsumowania testów, raporty z wykonania testów oraz przypadki testowe odrzucone i zaakceptowane nie mają takiego samego wpływu na monitorowanie i kontrolowanie, jak dokumenty takie jak dzienniki aktywności, raporty o incydentach i wersjonowanie oprogramowania.

196. Który z poniższych poziomów testowania oprogramowania jest najmniej rozumiany przez twórców oprogramowania i użytkowników końcowych?

a. Testy integracyjne
b. Testów jednostkowych
c. Testowanie systemu
d. Testowanie modułów

196. a. Testowanie integracji jest przeprowadzane, gdy jednostki oprogramowania są zintegrowane z innymi jednostkami oprogramowania lub komponentami systemu. Jego celem jest przetestowanie interfejsów pomiędzy oddzielnie testowanymi jednostkami programowymi. Testy integracji oprogramowania sprawdzają, jak jednostki współdziałają z innym oprogramowaniem (na przykład bibliotekami) i sprzętem. Testowanie integracji jest pośrodku; nie jest to ani testowanie jednostkowe, ani testowanie systemowe. Podejście do testowania integracyjnego jest różne i obejmuje podejście odgórne, oddolne, kombinację podejścia odgórnego i oddolnego (sandwich) lub podejścia "wszystko naraz" (big-bang). Ze względu na wiele różnych sposobów można przeprowadzić testowanie integracyjne, a brak podstawowego dokumentu, takiego jak specyfikacje, na którym można by polegać podczas testowania, utrudnia jasne zrozumienie celów testowania integracyjnego. Testowanie jednostkowe i testowanie modułów są nieprawidłowe, ponieważ są najlepiej rozumiane ze wszystkich. Testowanie jednostkowe jest takie samo jak testowanie modułów. Przypadki testowe jednostki/modułu pochodzą ze szczegółowej dokumentacja projektu jednostki. Każda jednostka lub moduł ma określony początek i koniec oraz zajmuje się określonymi wejściami i wyjściami. Granice są również dobrze określone. Testowanie systemowe jest nieprawidłowe, ponieważ jest lepiej rozumiane niż testowanie integracyjne. Użytkownicy końcowi wiedzą, czego oczekują od systemu, ponieważ opiera się on na wiedzy funkcjonalnej, a nie strukturalnej. Przypadki testowe systemu pochodzą z dokumentu specyfikacji wymagań.

197. Które z poniższych podejść do tworzenia systemu jest najlepsze, gdy wymagania systemowe są w pełni zrozumiałe przez użytkownika końcowego lub programistę?

a. Model wodospadu
b. Model rozwoju przyrostowego
c. Ewolucyjny model rozwoju
d. Model szybkiego prototypowania

197. a. Dekompozycja funkcjonalna działa najlepiej, gdy wymagania systemowe są całkowicie zrozumiałe przez programistę lub użytkownika końcowego. Model wodospadu działa zgodnie z zasadą funkcjonalnej dekompozycji. Zakłada, że wymagania systemowe można dokładnie zdefiniować, a użytkownicy końcowi dokładnie wiedzą, czego chcą od systemu. Przyrostowe i ewolucyjne modele rozwoju są nieprawidłowe, ponieważ kolejne wersje systemu są opracowywane z uwzględnieniem ograniczonej technologii lub zasobów. Wymagania są dodawane warstwowo. Model szybkiego prototypowania jest niepoprawny, ponieważ jest przeciwieństwem modelu kaskadowego. Oznacza to, że dobrze jest, gdy wymagania nie są w pełni zrozumiałe przez obie strony. Ze względu na proces iteracyjny skraca się czas cyklu przekazywania informacji zwrotnych od specyfikacji do klienta, dzięki czemu powstają wczesne wersje systemu.

198. Która z poniższych opcji jest najmniej korzystna z dziennika testów oprogramowania aplikacji?

a. Nagrywanie działań w celu rozwiązania problemu
b. Śledzenie zdarzeń na podstawie post-test
c. Zgłaszanie problemów dotyczących zgodności z polityką
d. Promowanie odpowiedzialności testerów

198. c. Dziennik testów oprogramowania aplikacji ma kilka zalet. Najmniej korzystne jest zgłaszanie problemów w celu zgłoszenia/zgodności z polityką lub procedurą. To, co dzieje się z raportem, jest ważniejsze niż samo raportowanie. Pozostałe trzy wybory są błędne, ponieważ są najważniejszymi korzyściami. Dziennik zawiera zapis wszystkich problemów napotkanych podczas testowania, dzięki czemu można śledzić zdarzenia w celu weryfikacji. Dziennik może być również używany jako narzędzie szkoleniowe dla nowych testerów, ponieważ dziennik pokazuje, co wydarzyło się w przeszłości. Przede wszystkim dziennik wskazuje, co tester zrobił lub czego nie zrobił podczas testowania. Zmusza testerów do dokumentowania działań lub decyzji podjętych podczas testowania.

199. Cel testu oprogramowania aplikacyjnego polegający na weryfikacji warunków brzegowych programu jest osiągany w którym z następujących typów podejść do testowania oprogramowania?

a. Test naprężeń
b. Testowanie konwersji
c. Test wydajności
d. Testy regresji

199. a. Testy obciążeniowe obejmują reakcję systemu na ekstremalne warunki (na przykład przy wyjątkowo dużym obciążeniu pracą w krótkim czasie) w celu zidentyfikowania słabych punktów w oprogramowaniu i wykazania, że system może wytrzymać normalne obciążenia. Przykłady warunków testowych, które można zastosować podczas testów warunków skrajnych, obejmują: (i) jeśli rozmiar bazy danych odgrywa ważną rolę, wówczas zwiększ go poza normalne warunki, (ii) zwiększ zmiany wejściowe lub wymagania w jednostce czasu poza normalne warunków, (iii) dostroić czynniki wpływające do ich maksymalnej lub minimalnej prędkości, oraz (iv) w najbardziej ekstremalnych przypadkach, umieścić wszystkie czynniki wpływające na warunki brzegowe w tym samym czasie. Testy obciążeniowe mogą wykryć błędy projektowe związane z wymaganiami pełnej obsługi systemu oraz błędy w planowaniu domyślnych, gdy system jest przeciążony. Testowanie konwersji jest nieprawidłowe, ponieważ określa, czy stare pliki danych i salda rekordów są przenoszone dokładnie, w całości i prawidłowo do nowego systemu. Testowanie wydajności jest nieprawidłowe, ponieważ mierzy wymagane zasoby, takie jak pamięć i dysk, oraz określa czas odpowiedzi systemu. Testowanie regresji jest nieprawidłowe, ponieważ sprawdza, czy zmiany nie wprowadzają nowych błędów.

200. W którym z poniższych modeli cyklu życia rozwoju systemu (SDLC) uwzględniono koncepcję ponownego wykorzystania oprogramowania aplikacyjnego?

a. Model wodospadu
b. Model obiektowy
c. Model prototypowy
d. Model spiralny

200. b. Pojęcie ponownego wykorzystania komponentów oprogramowania zostało opracowane wraz z wynalezieniem podejścia programistycznego zorientowanego obiektowo. Po utworzeniu modelu projektu twórca oprogramowania przegląda bibliotekę lub repozytorium, które zawiera istniejące komponenty programu, aby określić, czy którykolwiek z komponentów może być użyty w danym projekcie. Jeśli zostaną znalezione komponenty wielokrotnego użytku, są one wykorzystywane jako klocki do budowy prototypu oprogramowania. Model kaskadowy jest niepoprawny, ponieważ przyjmuje liniowy, sekwencyjny widok procesu inżynierii oprogramowania. Metoda wodospadu to inna nazwa klasycznego cyklu życia oprogramowania. Model prototypu jest niepoprawny, ponieważ jest to proces, który umożliwia programiście stworzenie modelu oprogramowania zbudowanego w sposób ewolucyjny. Model spiralny jest nieprawidłowy, ponieważ jest to inny rodzaj modelu ewolucyjnego. Został opracowany, aby zapewnić najlepszą cechę zarówno klasycznego podejścia do cyklu życia, jak i prototypowania. Żadna z tych trzech opcji nie przewiduje ponownego wykorzystania oprogramowania.


201. W której z poniższych faz cyklu życia systemu aplikacji (SDLC) przeprowadzana jest kategoryzacja zabezpieczeń?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Operacje/konserwacja

201. a. Standardy kategoryzacji zabezpieczeń zapewniają wspólne ramy do wyrażania potrzeb w zakresie bezpieczeństwa. Kategoryzacja opiera się na ocenie potencjalnego wpływu (tj. niskiego, umiarkowanego lub wysokiego), jaki utrata poufności, integralności lub dostępności systemów informatycznych miałaby na działalność organizacyjną, aktywa organizacyjne lub osoby. Jest to zadanie wykonywane w fazie inicjacji.

202. W której z poniższych faz cyklu życia rozwoju systemu (SDLC) przeprowadza się zarządzanie konfiguracją i kontrolę?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Operacje/konserwacja

202. d. Zarządzanie konfiguracją i kontrola zapewnia odpowiednie uwzględnienie potencjalnych wpływów na bezpieczeństwo ze względu na określone zmiany w systemie informacyjnym lub jego otoczeniu. Jest to zadanie wykonywane w fazie eksploatacji/konserwacji.

203. Prowadzi się ciągłe monitorowanie, w których fazy cyklu rozwoju systemu (SDLC)?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Operacje/konserwacja

203. d. Ciągłe monitorowanie zapewnia, że kontrole są nadal skuteczne w ich stosowaniu dzięki okresowym testom i ocenie. Jest to zadanie wykonywane w fazie eksploatacji/konserwacji.

204. Które z poniższych są przykładami lokalnych zagrożeń w systemach Windows Extreme Programming (XP)?

a. Nieautoryzowany dostęp lokalny i złośliwe ładunki
b. Proces uruchamiania i eskalacja uprawnień
c. Usługi sieciowe i ujawnianie danych
d. Proces rozruchu i ujawnienie danych

204. b. Zagrożenia lokalne w systemach Windows XP obejmują proces rozruchu, nieautoryzowany dostęp lokalny i eskalację uprawnień. Zagrożenie procesu rozruchu występuje, gdy nieupoważniona osoba uruchamia komputer z nośników innych firm (na przykład dysków wymiennych i urządzeń pamięci masowej z tokenami uniwersalnej magistrali szeregowej [USB]), co pozwala atakującemu na obejście zabezpieczeń systemu operacyjnego. Zagrożenie nieautoryzowanego dostępu lokalnego występuje, gdy osoba, która nie ma dostępu do systemu komputerowego, uzyskuje dostęp lokalny. Zagrożenie eskalacją uprawnień pojawia się, gdy autoryzowany użytkownik z normalnymi uprawnieniami na poziomie użytkownika eskaluje uprawnienia konta, aby uzyskać dostęp na poziomie administratora. Zagrożenia zdalne w systemach Windows XP obejmują usługi sieciowe, ujawnienie danych i złośliwe ładunki. Zagrożenie usług sieciowych powstaje, gdy zdalni atakujący wykorzystują podatne na ataki usługi sieciowe w systemie komputerowym. Obejmuje to uzyskanie nieautoryzowanego dostępu do usług i danych oraz spowodowanie stanu odmowy usługi (DoS). Zagrożenie ujawnieniem danych powstaje, gdy osoba trzecia przechwytuje poufne dane przesyłane przez sieć. Złośliwy ładunek występuje, gdy złośliwe ładunki (na przykład wirusy, robaki, konie trojańskie i zawartość aktywna) atakują systemy komputerowe za pomocą wielu wektorów. Użytkownicy końcowi systemu mogą przypadkowo uruchomić złośliwe ładunki.

205. Atakujący mogą wykorzystać którą z poniższych luk do atakowania komponentów zaplecza za pośrednictwem aplikacji internetowej?

a. Uszkodzona kontrola dostępu
b. Nieprawidłowe dane wejściowe
c. Uszkodzone uwierzytelnianie
d. Błędy cross-site scripting

205. b. Według otwartego projektu bezpieczeństwa aplikacji internetowych, informacje z żądań internetowych nie są sprawdzane przed użyciem przez aplikację internetową, co prowadzi do powstania luki w zabezpieczeniach z powodu nieprawidłowych danych wejściowych.

206. Jak to nazywasz, gdy ataki zużywają zasoby aplikacji sieci Web do punktu, w którym inni prawowici użytkownicy nie mogą już uzyskać dostępu do aplikacji ani z niej korzystać?

a. Przepełnienia bufora
b. Wady wtrysku
c. Odmowa usługi
d. Niewłaściwa obsługa błędów

206. c. W przypadku ataków typu "odmowa usługi" osoby atakujące mogą zużywać zasoby aplikacji sieci Web do punktu, w którym inni prawowici użytkownicy nie mogą już uzyskać dostępu do aplikacji ani z niej korzystać. Atakujący mogą również zablokować użytkownikom swoje konta, a nawet spowodować awarię całej aplikacji.

207. Jak to nazwać, gdy atak może spowodować wystąpienie błędów, których aplikacja internetowa nie obsługuje?

a. Przepełnienia bufora
b. Wady wtrysku
c. Odmowa usługi
d. Niewłaściwa obsługa błędów

207. d. Niewłaściwa obsługa błędów oznacza, że błędy występujące podczas normalnej pracy nie są obsługiwane prawidłowo. Jeśli atakujący może spowodować błędy, których aplikacja internetowa nie obsługuje, może uzyskać szczegółowe informacje o systemie, odmówić usługi, spowodować awarię mechanizmów bezpieczeństwa lub awarię serwera.

208. Udział analityka bezpieczeństwa systemów informatycznych, w której z następujących faz cyklu życia systemu (SDLC) zapewnia maksymalne korzyści organizacji?

a. Definicja wymagań systemowych
b. Projekt systemu
c. Rozwój programu
d. Testowanie programu

208. a. To właśnie w fazie definiowania wymagań systemowych zespół projektowy identyfikuje wymagane mechanizmy kontrolne potrzebne dla systemu. Zidentyfikowane kontrole są następnie włączane do systemu w fazie projektowania. Gdy istnieje możliwość wyboru między fazą definiowania wymagań systemowych a fazą projektowania, audytor odniósłby największe korzyści z udziału w pierwszej fazie. Analityk nie musi uczestniczyć w fazie rozwoju lub testowania programu.

209. Co to jest złośliwe nieautoryzowane działanie, które jest uruchamiane po zainicjowaniu wcześniej zdefiniowanego zdarzenia lub warunku i znajduje się w programie komputerowym znanym jako?

a. Bomba logiczna
b. Wirus komputerowy
c. Robak
d. Atak NAK

209. a. Bomba zegarowa jest częścią bomby logicznej. Bomba zegarowa to koń trojański ustawiony na wyzwalanie w określonym czasie, podczas gdy bomba logiczna jest ustawiona na wyzwalanie w określonym warunku, zdarzeniu lub poleceniu. Bomba logiczna może być programem komputerowym lub fragmentem kodu. Wirus komputerowy jest niepoprawny, ponieważ "rozmnaża się", tworząc jego kopie i umieszczając je w innych programach. Robak jest niepoprawny, ponieważ przeszukuje sieć w poszukiwaniu nieaktywnych zasobów obliczeniowych i używa ich do wykonywania programu w małych segmentach. Atak NAK (negative acknowledgement character) jest niepoprawny, ponieważ jest to technika penetracji wykorzystująca potencjalną słabość systemu operacyjnego, który nie obsługuje prawidłowo przerwań asynchronicznych, pozostawiając system w stanie niezabezpieczonym podczas takich przerwań. NAK używa binarnej komunikacji synchronicznej, w której znak sterujący transmisją jest wysyłany jako negatywna odpowiedź na odebrane dane. W tym przypadku negatywna odpowiedź oznacza, że dane nie zostały odebrane poprawnie lub że polecenie było nieprawidłowe lub nie do przyjęcia.

210. Jak nazywa się złośliwe działanie programu komputerowego, który wygląda normalnie, ale zawiera szkodliwy kod?

a. Klapa w podłodze
b. Koń trojański
c. Robak
d. Bomba zegarowa

210. b. Koń trojański pasuje do opisu. Jest to program, który wykonuje użyteczną funkcję i nieoczekiwaną akcję, a także formę wirusa. Trapdoor jest niepoprawny, ponieważ jest punktem wejścia wbudowanym w program stworzony przez programistów do celów debugowania. Robak jest niepoprawny, ponieważ przeszukuje sieć w poszukiwaniu nieaktywnych zasobów obliczeniowych i używa ich do wykonywania programu w małych segmentach. Bomba zegarowa jest nieprawidłowa, ponieważ jest częścią bomby logicznej, w której po pewnym czasie po ustawieniu bomby następuje uszkadzanie.


211. W modelu dojrzałości możliwości oprogramowania, na którym z poniższych poziomów ma miejsce ciągłe doskonalenie procesów?

a. Zarządzany poziom
b. Poziom optymalizacji
c. Zdefiniowany poziom
d. Powtarzalny poziom

211. b. Oczekuje się ciągłej poprawy procesu w optymalizacji poziomu modelu dojrzałości możliwości oprogramowania. Jest to możliwe dzięki ilościowym informacjom zwrotnym z procesu oraz pilotowaniu innowacyjnych pomysłów i technologii.

212. Który z poniższych testów identyfikuje luki w systemach aplikacji?

a. Test funkcjonalny
b. Test wydajności
c. Test wysiłkowy
d. Test bezpieczeństwa

212. d. Celem testów bezpieczeństwa jest ocena odporności funkcji bezpieczeństwa systemu (na przykład obiektów fizycznych, procedur, sprzętu, oprogramowania i komunikacji) oraz identyfikowania luk w zabezpieczeniach. Wszystkie testy wymienione w pytaniu są częścią testów akceptacyjnych systemu, których celem jest sprawdzenie, czy kompletny system spełnia określone wymagania i jest akceptowalny dla użytkowników końcowych. Test funkcjonalny jest nieprawidłowy, ponieważ celem testowania funkcjonalnego lub blackbox jest sprawdzenie, czy system poprawnie wykonuje określone funkcje. Test wydajności jest nieprawidłowy, ponieważ celem testowania wydajności jest ocena, jak dobrze system spełnia określone wymagania wydajności. Przykłady obejmują określone czasy odpowiedzi systemu przy normalnym obciążeniu (na przykład zdefiniowane wolumeny transakcji) oraz określone poziomy dostępności systemu i naprawy średniego czasu. Test warunków skrajnych jest niepoprawny, ponieważ celem testów warunków skrajnych jest analiza zachowania systemu przy coraz większym obciążeniu (na przykład wyższe wskaźniki transakcji), trudnych warunkach operacyjnych (na przykład wyższe wskaźniki błędów, niższe wskaźniki dostępności komponentów), a w szczególności do identyfikacji punktów awarii systemu.

213. Kiedy pojawia się główne ryzyko podczas prototypowania oprogramowania aplikacyjnego?

a. Prototyp staje się gotowym systemem.
b. Oczekiwania użytkownika są zawyżone.
c. Zbyt dużą wagę przywiązuje się do detali kosmetycznych.
d. Model jest powtarzany zbyt wiele razy.

213. a. Prototyp oprogramowania aplikacyjnego, który staje się gotowym systemem, stanowi poważne ryzyko w prototypowaniu, chyba że jest to świadoma decyzja, jak w przypadku prototypowania ewolucyjnego, w którym budowany jest system pilotażowy, wyrzucany, budowany jest inny system i tak dalej. Zawyżone oczekiwania użytkowników to ryzyko, którym można zarządzać poprzez odpowiednią edukację i szkolenie. Zwracanie uwagi na szczegóły kosmetyczne nie jest złe, poza tym, że marnuje cenny czas. Prototypowy model ma być wielokrotnie powtarzany, ponieważ jest to najlepszy sposób na zdefiniowanie i przedefiniowanie wymagań użytkownika i funkcji bezpieczeństwa, dopóki nie zostaną spełnione.

214. Planowanie bezpieczeństwa przeprowadza się w którym z poniższych fazy cyklu rozwoju systemu (SDLC)?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Operacje/konserwacja

214. b. Planowanie bezpieczeństwa zapewnia, że uzgodnione środki bezpieczeństwa, zaplanowane lub wprowadzone, są w pełni udokumentowane. Jest to zadanie wykonywane w fazie rozwoju/akwizycji.

215. W której z poniższych faz cyklu życia systemu (SDLC) przeprowadza się certyfikację bezpieczeństwa i akredytację?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Operacje/konserwacja

215.c. Certyfikacja bezpieczeństwa zapewnia, że kontrole są skutecznie wdrażane za pomocą ustalonych technik i procedur weryfikacji oraz daje organizacji pewność, że istnieją odpowiednie zabezpieczenia i środki zaradcze w celu ochrony systemów informatycznych organizacji. Akredytacja bezpieczeństwa zapewnia niezbędną autoryzację bezpieczeństwa systemu informatycznego do przetwarzania, przechowywania lub przesyłania wymaganych informacji. W fazie wdrożenia realizowane są zarówno zadania związane z certyfikacją bezpieczeństwa, jak i akredytacją.

216. Które z poniższych działań jest wykonywane w fazie szczegółowego projektowania projektu cyklu życia systemu (SDLC)?

a. Definiowanie wymagań w zakresie kontroli, bezpieczeństwa i audytu
b. Opracowywanie przepływów ekranów ze specyfikacjami
c. Identyfikacja głównych celów systemu
d. Opracowanie uzasadnienia systemu

216. b. Szczegółowy projekt ma miejsce po ukończeniu ogólnego projektu, w którym znane zadania są opisane i zidentyfikowane w znacznie bardziej szczegółowy sposób i są gotowe do projektowania i kodowania programu. Obejmuje to opracowywanie przepływów ekranów/programów ze specyfikacjami, specyfikacjami plików wejściowych i wyjściowych oraz specyfikacjami raportów. Pozostałe trzy wybory są błędne, ponieważ z definicji są przykładami działań zachodzących w ogólnej fazie projektowania. Wymagania systemowe są danymi wejściowymi do ogólnego projektu, w którym system jest oglądany od góry do dołu i gdzie rozwiązywane są problemy projektowe wyższego poziomu. Obejmuje to (i) identyfikację celu i głównych funkcji systemu i jego podsystemów, (ii) zdefiniowanie wymagań w zakresie kontroli, bezpieczeństwa i audytu oraz (iii) opracowanie uzasadnienia systemu dla zatwierdzenia analizy alternatywnych wyborów projektowych.

217. Która z poniższych wad może doprowadzić do złamania haseł, kluczy i plików cookie sesji przez atakujących?

a. Uszkodzona kontrola dostępu
b. Nieprawidłowe dane wejściowe
c. Uszkodzone uwierzytelnianie
d. Błędy cross-site scripting

217. c. Uszkodzone uwierzytelnianie oznacza, że dane uwierzytelniające konta i tokeny sesji nie są odpowiednio chronione. Atakujący, którzy mogą złamać hasła, klucze, pliki cookie sesji lub inne tokeny, mogą pokonać ograniczenia uwierzytelniania i przejąć tożsamość innych użytkowników.

218. Którą z poniższych czynności atakujący wykorzystują do uszkodzenia stosu wykonawczego aplikacji sieci Web?

a. Przepełnienia bufora
b. Wady wtrysku
c. Odmowa usługi
d. Niewłaściwa obsługa błędów

218. a. Przepełnienie bufora występuje, gdy składniki aplikacji internetowych (na przykład wspólny interfejs bramy, biblioteki, sterowniki i Web serwery aplikacji), które nie sprawdzają prawidłowo danych wejściowych, mogą ulec awarii, a w niektórych przypadkach mogą zostać wykorzystane do przejęcia kontroli nad procesem.

219. Kiedy aplikacje internetowe wykorzystują czynniki kryptograficzne, które okazały się trudne do prawidłowego zakodowania, może to prowadzić do których z poniższych?

a. Niepewne przechowywanie
b. Niewłaściwa obsługa błędów
c. Wady wtrysku
d. Zarządzanie niezabezpieczoną konfiguracją

219. a. Aplikacje internetowe często używają funkcji kryptograficznych do ochrony informacji i poświadczeń w pamięci masowej. Te funkcje i kod do ich integracji okazały się trudne do prawidłowego zakodowania, co często skutkuje słabą ochroną.

220. Mechanizmy ochrony zdefiniowane w architekturze projektowania zabezpieczeń obejmują które z poniższych?

a. Warstwy, abstrakcje i ukrywanie danych
b. Izolacja, segmentacja i separacja
c. Jądro bezpieczeństwa, monitor referencyjny i wysoki poziom systemu
d. Odpowiedzialność, integralność i poufność

220. a Warstwy, abstrakcje i ukrywanie danych są częścią architektury projektowania zabezpieczeń. Pozostałe trzy opcje dotyczą architektury kontroli bezpieczeństwa. Warstwowanie wykorzystuje wiele nakładających się mechanizmów ochrony w celu uwzględnienia ludzi, technologii i operacyjnych aspektów IT. Abstrakcja wiąże się ze stopniowym udoskonalaniem i modułowością programów komputerowych. Ukrywanie danych jest ściśle związane z modularnością i abstrakcją, a następnie z pielęgnowalnością programu.

221. Które z poniższych najlepiej definiuje odpowiednie bezpieczeństwo informacji?

1. Bezpieczeństwo współmierne do ryzyka i szkody.
2. Systemy operacyjne i aplikacje działają skutecznie.
3. Systemy operacyjne i aplikacje spełniają cele bezpieczeństwa.
4. Systemy operacyjne i aplikacje wykorzystują opłacalne mechanizmy bezpieczeństwa.

a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4

221. d. Odpowiednie środki bezpieczeństwa informacji (i) bezpieczeństwo współmierne do ryzyka i wielkości szkód wynikających z utraty, niewłaściwego użycia lub nieuprawnionego dostępu do informacji lub ich modyfikacji, (ii) systemy operacyjne i aplikacje działają skutecznie, (iii) systemy operacyjne i aplikacje zapewnić odpowiednią poufność (C), integralność (I) i dostępność (A), znane jako cele bezpieczeństwa CIA, oraz (iv) cele bezpieczeństwa stosują opłacalne zarządzanie, kontrole operacyjne i techniczne (kontrole bezpieczeństwa).

222. Wirusy komputerowe nadal stanowią zagrożenie dla następującej usługi komputerowej z wyjątkiem:

a. Uczciwość
b. Dostępność
c. Poufność
d. Użyteczność

222. c. Poufność nie ma wpływu na obecność wirusów komputerowych w systemach komputerowych, ponieważ poufność zapewnia, że dane są ujawniane tylko uprawnionym podmiotom. Jednak wirusy komputerowe wpływają na integralność, dostępność i użyteczność. Programy komputerowe mogą być usuwane lub modyfikowane, tracąc w ten sposób integralność, system komputerowy może być niedostępny z powodu zakłócenia lub odmowy świadczenia usług komputerowych, a użytkownicy końcowi nie mogą korzystać z systemu z powodu utraty plików lub zakłócenia usług.

223. Które z poniższych powinny mieć bardzo ograniczony dostęp w środowisku klient/serwer?

a. Kod źródłowy
b. Kod obiektu
c. Kod wykonywalny
d. Kod maszynowy

223. a. Dostęp do kodu źródłowego może zapewnić ogromną pomoc każdemu przestępcy, który chce przeniknąć do zabezpieczeń systemu. Bez kodu źródłowego intruz musi przeszukać system, aby znaleźć jego wady. Dostęp do kodu źródłowego pomaga intruzowi zidentyfikować luki lub luki w zabezpieczeniach. Ważne jest, aby zapewnić odpowiednie bezpieczeństwo kodu źródłowego systemu. Nie jest dobrze, aby kod źródłowy znajdował się na komputerach klienckich lub na serwerze. Powinien znajdować się tylko na stacji roboczej należącej do grupy zarządzania konfiguracją. Stacja robocza powinna mieć bardzo ograniczony dostęp. Jeśli stacja robocza może być przez większość czasu odłączona od sieci, zapewniłoby to dodatkowe zabezpieczenie kodu źródłowego. Ponadto kod źródłowy jest w formacie czytelnym dla człowieka, podczas gdy pozostałe trzy wymienione typy kodów nie są.

224. W kontekście koncepcji monitora referencyjnego odniesienia mechanizmuwalidacji nie musi spełniać, którego z przestrzeganych wymagań projektowych?

a. Mechanizm weryfikacji referencji musi być odporny na manipulacje.
b. Mechanizm walidacji referencji musi być duży.
c. Nie można ominąć mechanizmu walidacji referencji.
d. Zawsze należy wywoływać mechanizm walidacji referencji.

224. b. Pojęcie monitora referencyjnego to pojęcie kontroli dostępu, które odnosi się do abstrakcyjnej maszyny (komputera), która pośredniczy we wszystkich dostępach do obiektów przez podmioty. Pięć wymagań projektowych, które musi spełnić mechanizm walidacji referencji, obejmuje (i) musi być odporny na manipulacje, (ii) nie można go ominąć, (iii) musi być zawsze wywoływany, (iv) musi być wystarczająco mały, aby można go było podlega analizie i testom oraz (v) musi dawać pewność, że pozostałe cztery pozycje są zapewnione. Koncepcja monitora referencyjnego jest użyteczna w każdym systemie zapewniającym wielopoziomowe bezpieczne funkcje obliczeniowe i kontrole.

225. Które z poniższych podejść do tworzenia systemów aplikacji najlepiej przenosi operacyjny punkt widzenia do fazy specyfikacji wymagań?

a. Model wodospadu
b. Model rozwoju przyrostowego
c. Ewolucyjny model rozwoju
d. Model szybkiego prototypowania

225. d. Dzięki iteracyjnemu procesowi i zaangażowaniu użytkownika końcowego, model szybkiego prototypu przenosi punkt widzenia operacyjnego do fazy specyfikacji wymagań. Wymagania są definiowane, dopracowywane, testowane i zmieniane do momentu, aż użytkownik końcowy nie będzie mógł ich już zmienić. Później te wymagania staną się danymi wejściowymi do prac projektowych. Model kaskadowy jest nieprawidłowy, ponieważ nie przeniesie punktu widzenia operacyjnego do fazy wymagań, dopóki system nie zostanie całkowicie wdrożony. Chociaż model rozwoju przyrostowego i ewolucyjne modele rozwoju są lepsze niż model kaskadowy, nie są tak dobre jak szybkie prototypowanie pod względem dostosowania operacyjnego punktu widzenia do specyfikacji wymagań.





[ 1135 ]