Spis Treści



• Certyfikat ZEND

• Zostań PenTesterem

• CompTIA A+ Certified Professional

• CISSP w Praktyce

• Test Penetracyjny NESSUS

• Test Penetracyjny BACKBOX

• Test Penetracyjny BASH SHELL

• Test Penetracyjny METASPLOIT





CISSP : Kontrola dostępu

CISSP : Bezpieczeństwo telekomunikacji i sieci

CISSP : Zarządzanie bezpieczeństwem informacji i zarządzanie ryzykiem



Certyfikat A+



Ocena wstępna : zanim zagłębisz się alej, znajdziesz zestaw pytań sprawdzających, które pozwolą sprawdzić Twoją początkową wiedzę na temat obszarów objętych egzaminami A+. Poświęć trochę czasu na przejrzenie każdego pytania, aby zobaczyć, na czym stoisz, a następnie zweryfikuj swoją pracę za pomocą odpowiedzi, które następują.

Sekcja 1: Tworzenie podstaw A+ : Dowiesz się, o co chodzi w certyfikacji A+ i z czego będziesz testowany podczas zdawania egzaminów A+. Poznasz również podstawowe wytyczne dotyczące bezpieczeństwa i ogólne "umiejętności miękkie", takie jak sposób komunikowania się z klientami.

Sekcja 2: Inside the Box: Dowiesz się o wnętrzu komputera i o tym, co go napędza. Zapuszczasz się w wnętrze swojego komputera, takie jak płyty główne, pamięć i procesory, a także widzisz, jak zainstalować i zaktualizować te komponenty.

Sekcja 3: Outside the Box: Sekcja 3 omawia tematy związane z tym, co dzieje się poza komputerem. Dowiesz się o różnych portach z tyłu komputera i o tym, jak zainstalować urządzenia, takie jak karty wideo, karty dźwiękowe i karty sieciowe, które zapewniają wyjście (pomyśl o dźwięku i wideo).

Sekcja 4: Konserwacja i rozwiązywanie problemów: Dotyczy konserwacji i rozwiązywania problemów omawia, w jaki sposób dbasz o komputer, aby zapobiec problemom lub awariom sprzętu. Omówiono również sposoby rozwiązywania problemów z różnymi komponentami sprzętowymi i diagnozowania problemu.

Sekcja 5: Podstawy systemu operacyjnego: Sekcja 5 jest specjalna, ponieważ stanowi przejście od tematów sprzętowych do tematów dotyczących systemu operacyjnego. Dowiesz się, jaki jest cel systemu operacyjnego i jakich głównych plików potrzebuje system operacyjny do działania. Dowiesz się również, jak zainstalować i zaktualizować system Windows.

Sekcja 6: Zarządzanie systemem operacyjnym : Omawia i demonstruje w praktyczny sposób, jak zarządzać aspektami systemów operacyjnych Windows. Dowiesz się, jak załadować sterowniki oraz jak zainstalować i obsługiwać aplikacje, a także zacząć korzystać z wielu narzędzi do rozwiązywania problemów dostępnych w systemie Windows.

Sekcja 7: Odzyskiwanie systemów: Dowiesz się, jakie pliki podstawowe są potrzebne do uruchomienia komputera z systemem Windows i jak naprawić komputery, które nie uruchamiają się. Znajdziesz tu również tematy związane z odzyskiwaniem systemu, takie jak tworzenie kopii zapasowej systemu i wykonywanie operacji przywracania.

Sekcja 8: Networking: Egzaminy A+ sprawdzają Twoją znajomość podstawowych pojęć sieciowych i zapewniają, że wiesz, jak połączyć w sieć dwa komputery. Zapewnia podstawy sieciowe, których potrzebujesz, aby zdać egzaminy A+. Poznajesz podstawy technologii sieciowych i dowiesz się, jak rozwiązywać problemy z systemami w sieci TCP/IP.

Sekcja 9: Systemy zabezpieczające: Obejmuje tematy związane z zabezpieczaniem środowiska. Omawia podstawowe pojęcia związane z bezpieczeństwem sieci, a także jak wykonywać takie zadania, jak tworzenie kont użytkowników, ustawianie uprawnień, przeprowadzanie skanowania antywirusowego i aktualizowanie systemu Windows.





Pre-Testy A+


1. Który z poniższych typów dysków może skorzystać na okresowej defragmentacji dysku?

(A) Dysk twardy
(B) DVD-RW
(C) CompactFlash
(D) SSD

2. Pomagasz klientowi w uaktualnieniu z Windows 7 do Windows 8.1. Którą metodę aktualizacji zaleciłbyś, gdyby użytkownik stwierdził, że komputer został w niedalekiej przeszłości zainfekowany złośliwym oprogramowaniem?

(A) Instalacja nienadzorowana
(B) Czysta instalacja
(C) Napraw instalację
(D) Reset systemu

3. Pojawienie się zastrzeżonego ekranu awarii może wskazywać na:

(A) Nieprawidłowo odłączony dysk USB
(B) Uszkodzona aktualizacja systemu Windows
(C) Niezgodność sprzętu
(D) Brak programu ładującego GRUB

4. Która z poniższych funkcji systemu Windows 8.1 przywraca cały system do stanu z poprzedniego momentu?

(A) Windows RE
(B) Przywracanie systemu
(C) Odświeżanie systemu
(D) Odzyskiwanie obrazu systemu

5. Którego z poniższych urządzeń należy użyć, aby współużytkować jedną klawiaturę i mysz z wieloma komputerami?

(A) KVM
(B) Replikator portów
(C) Dekoder
(D) Karta rozszerzająca

6. Planujesz zabezpieczyć drukarkę sieciową dla klienta poprzez wdrożenie protokołu szyfrowania WPA2. Której metody połączenia z drukarką należy użyć?

(A) Bluetooth
(B) 802.11
(C) Podczerwień
(D) USB 3.0

7. Pomagasz klientowi, który potrzebuje drugiego przewodowego interfejsu Ethernet w swoim laptopie. Która z poniższych opcji jest zalecana?

(A) Zainstaluj kartę PCI Ethernet
(B) Użyj klucza USB do RJ-11
(C) Użyj klucza sprzętowego USB do RJ-45
(D) Wyłącz wbudowaną kartę WiFi

8. Który z poniższych systemów plików jest powszechny w systemach Linux?

(A) HFS
(B) FAT32
(C) NTFS
(D) ZEW.3

9. Klient podrzucił system w celu uaktualnienia procesora. Która z poniższych cech gniazd procesora ułatwia wymianę procesora?

(A) Bit XD
(B) Wirtualizacja
(C) Rdzenie
(D) ZIF

10. Jesteś technikiem serwisowym w firmie księgowej i potrzebujesz zaktualizować pamięć RAM w wysokiej klasy stacjonarnej stacji roboczej. Pobierasz z magazynu moduł SODIMM o pojemności 8 GB i masz problem z jego zainstalowaniem. Które z poniższych przedstawia przyczynę problemu z instalacją?

(A) Stacja robocza zajmuje tylko moduły 4 GB
(B) Moduł nie jest kompatybilny
(C) Zaawansowane stacje robocze używają pamięci flash
(D) Wysokiej klasy stacje robocze używają pamięci półprzewodnikowej

11. Instalujesz nową płytę główną dla stacji roboczej w swoim biurze. Podłączając zasilanie do płyty głównej, zauważysz 6-pinowe złącze zasilania. Do jakiego komponentu zazwyczaj dostarcza on energię?

(A) Karta graficzna
(B) PROCESOR
(C) Dyski SATA
(D) Napędy EIDE

12. Konfigurujesz zabezpieczenia sieci bezprzewodowej klienta. Który z poniższych elementów identyfikuje najmniej bezpieczny protokół szyfrowania sieci bezprzewodowej?

(A) WPA
(B) WPA2
(C) WEP
(D) TKIP

13. Konfigurujesz małą sieć LAN dla jednego ze swoich klientów. Chciałbyś zaimplementować NAT. Którego z poniższych urządzeń użyłbyś?

(A) Koncentrator
(B) Przełącznik
(C) Modem
(D) Router

14. Konfigurujesz zabezpieczenia w folderze, który znajduje się na woluminie NTFS i został udostępniony jako dane. Uprawnienia NTFS dają Bobowi uprawnienie do modyfikowania folderu, ale folder został udostępniony, dając Bobowi uprawnienie do odczytu. Jakie są skuteczne uprawnienia Roberta, gdy łączy się z folderem udostępnionym?

(A) Pełna kontrola
(B) Odczyt
(C) Zmień
(D) Brak pozwolenia

15. Zainstalowałeś oprogramowanie do wirtualizacji na komputerze i próbujesz utworzyć maszynę wirtualną, ale nadal pojawia się błąd. Jaka jest najbardziej prawdopodobna przyczyna?

(A) Wyłącz pamięć podręczną w systemie BIOS
(B) Włącz XD-bit w systemie BIOS
(C) Zmień kolejność rozruchu w systemie BIOS
(D) Włącz wirtualizację w systemie BIOS

16. Zauważyłeś, że twój serwer działał powoli w ciągu ostatnich kilku dni i nagle nikt nie może nawiązać połączenia z serwerem. Przeglądając pliki dziennika serwera, ustaliłeś, że był on atakowany. Jaki typ ataku prawdopodobnie miał miejsce?

(A) DoS
(B) MTM
(C) Nurkowanie w śmietniku
(D) Słownik

17. Rozwiązujesz problemy ze stacjami roboczymi Roberta, aby określić, dlaczego nie może uzyskać dostępu do Internetu. Używasz polecenia ipconfig i uzyskujesz następujące dane wyjściowe. Jaka jest prawdopodobna przyczyna?

PS C:\> ipconfig /all
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . : dcatt.ca
Description … … … : Qualcomm Atheros PCI-E Fast Ethernet
Physical Address … … … : 20-1A-06-34-2B-66
DHCP Enabled … … …: No
IPv4 Address … … … : 192.168.1.138
Subnet Mask … … … : 255.255.255.0
Default Gateway … … … : 192.168.2.1
DNS Servers … … … : 192.168.1.1

(A) Brak adresu MAC przypisanego do systemu
(B) Sufiks DNS jest nieprawidłowy
(C) Domyślny adres bramy jest nieprawidłowy
(D) Serwer DNS jest nieprawidłowy

18. CompTIA ma sześciostopniowy proces rozwiązywania problemów. Jaki jest trzeci krok w tym procesie?

(A) Zidentyfikuj problem
(B) Przetestuj teorię, aby określić przyczynę
(C) Ustal plan działania w celu rozwiązania problemu i wdrożenia rozwiązania
(D) Dokumentuj ustalenia, działania i wyniki

19. Pracujesz z komputerem, na którym występuje problem z ładowaniem profilu użytkownika i pliku Interfejs Eksploratora Windows. Masz dostęp do okna wiersza poleceń. Jakie polecenie zakończy niekontrolowany proces o nazwie RunAway.exe z PID 3375?

(A) Lista zadań / Fl RunAway.exe
(B) Taskkill / FI RunAway
(C) Lista zadań / PID 3375
(D) Taskkill / PID 3375

20. Planujesz wyprowadzić się ze starego biura z powodu problemów z zasilaniem w sąsiedztwie. W sąsiedztwie jesteś stale narażony na zaniki prądu, przepięcia, skoki i spadki napięcia. Które urządzenie ochroni Cię przed wszystkimi tymi problemami?

(A) Tłumik przepięć
(B) UPS
(C) Kondycjoner linii
(D) Tester mocy

21. Wezwano Cię do komputera klienta, aby pomóc jej rozwiązać niedawny problem, który rozwinęła się podczas uruchamiania aplikacji. Myślisz, że może to być spowodowane składnikami, które ładują się automatycznie podczas uruchamiania i ładowania systemu Windows. Którego narzędzia możesz użyć do wyłączenia usług lub przeprowadzenia selektywnego uruchamiania systemu Windows?

(A) diskpart.exe
(B) chkdsk.exe
(C) msconfig.exe
(D) defrag.exe

22. Zarządzając grupą pracowników obsługujących komputery w Twoim warsztacie, otrzymałeś od nich skargi, że widzą wiele incydentów wyładowań elektrostatycznych. Martwią się o komponenty, z którymi pracują. Jakie kroki możesz podjąć, aby zmniejszyć ryzyko wyładowania elektrostatycznego lub ESD?

(A) Zwiększyć wilgotność względną
(B) Zmniejsz wilgotność względną
(C) Zwiększyć temperaturę
(D) Zmniejsz temperaturę

23. Użytkownik zadzwonił do Ciebie, gdy pracujesz w dziale pomocy technicznej. Ma problem z ustawieniami zarządzania energią, które są wypychane do użytkowników za pośrednictwem obiektów zasad grupy (GPO) usługi Active Directory. Po dostosowaniu obiektu zasad grupy w celu rozwiązania problemu chciałbyś, aby komputer kliencki natychmiast przetwarzał zmiany GPO. Jakiego narzędzia użyjesz do przetwarzania zmian GPO?

(A) attrib
(B) gpresult
(C) expand
(D) gpupdate
24. Współpracujesz z członkiem zespołu administracyjnego IT, aby ustawić uprawnienia na serwerze Linux w Twojej sieci. Musisz zmienić uprawnienia przyznane grupie użytkowników, którzy będą mieli dostęp do katalogu. Jakiego polecenia użyjesz do zmiany uprawnień?

(A) chmod
(B) chown
(C) grep
(D) iwconfig

25. Twój lokalny administrator IT wprowadził zmiany w C: \ boot.ini, aby zmienić proces ładowania na swoim komputerze z systemem Windows 8.1, ale wydaje się, że nie miało to żadnego wpływu na proces rozruchu. Jaki składnik kontroluje konfigurację rozruchu, a tym samym proces rozruchu na komputerze z systemem Windows 8.1?

(A) ntoskrnl.exe
(B) winload.exe
(C) ntdetect.com
(D) BCD


1. A. Magnetyczny dysk twardy (HDD) zdecydowanie korzysta z okresowej defragmentacji dysku, ponieważ jego działanie mechaniczne prowadzi do fragmentacji.
2. B. Osobiście nie zaryzykowałbym aktualizacji, jeśli system jest podejrzany. Zamiast tego zalecam utworzenie kopii zapasowej stanu użytkownika, wykonanie czystej instalacji systemu Windows 8.1 i przywrócenie stanu użytkownika (który nie obejmuje plików programu) w zaktualizowanym systemie.
3. C. Zwykle pojawienie się "Niebieskiego ekranu śmierci" w systemie Windows lub "Spinning Beach Ball of Death" (OS X) oznacza niezgodność sprzętu. Na przykład, być może przypadkowo zainstalowałeś w systemie niewłaściwy typ pamięci RAM.
4. D. Odzyskiwanie obrazu systemu polega na utworzeniu obrazu całego dysku systemowego. Dlatego przywrócenie komputera z wcześniej utworzonym obrazem odzyskiwania przywraca całe środowisko systemu operacyjnego do stanu z poprzedniego punktu w czasie.
5. A. Przełącznik klawiatura-wideo-mysz (KVM) jest dokładnie tym, czego potrzebujesz w tej sytuacji. Często można znaleźć KVM w centrach danych, dzięki czemu inżynierowie mogą łatwo zarządzać kilkoma systemami znajdującymi się w tej samej szafie serwerowej.
6. B. Szyfrowanie WiFi Protected Access 2 (WPA2) jest dostępne tylko w sieciach WiFi IEEE 802.11. Skoro już o tym mowa, nigdy nie używaj Wired Equivalent Privacy (WEP), który jest zasadniczo zepsutym protokołem bezpieczeństwa Wi-Fi.
7. C. Jeśli pamiętasz, że Ethernet używa typu złącza RJ-45, to za każdym razem odpowiesz poprawnie na to pytanie. Przypomnijmy, że RJ-11 jest używany do tradycyjnych telefonów i (fuj) analogowych połączeń modemowych.
8. D. Komputery z systemem Linux zazwyczaj używają systemów plików EXT3 lub EXT4, chociaż mogą obsługiwać inne systemy plików w celu zapewnienia zgodności z innymi platformami systemów operacyjnych.
9. D. Gniazdo o zerowej sile wkładania (ZIF) to rodzaj gniazda używanego z układami scalonymi PGA i LGA, które umożliwiają łatwe wyjmowanie i instalowanie układu procesora. Gniazdo ZIF posiada dźwignię umożliwiającą zwolnienie procesora i wyciągnięcie go z gniazda.
10. B. Komputery stacjonarne używają DIMM podczas instalowania pamięci RAM w komputerze. SODIMM są używane przez laptopy.
11. A. 6-stykowe złącze zasilania jest zwykle używane do zasilania karty graficznej PCI.
12. C. W dzisiejszych czasach należy unikać protokołu szyfrowania WEP podczas konfigurowania zabezpieczeń sieci bezprzewodowej, ponieważ szyfrowanie za pomocą WEP jest łatwe do złamania. Szyfrując ruch bezprzewodowy, zawsze używaj nowszych protokołów, takich jak WPA2.
13. D. Translacja adresów sieciowych (NAT) to usługa sieciowa, która umożliwia wielu systemom i urządzeniom w sieci dostęp do Internetu przy użyciu jednego adresu IP. NAT jest zazwyczaj usługą dostarczaną wraz z routerami.
14. B. Gdy uprawnienia NTFS są w konflikcie z uprawnieniami do folderu współdzielonego, najbardziej restrykcyjne uprawnienie będzie uprawnieniem efektywnym. W takim przypadku odczyt jest bardziej restrykcyjny niż modyfikowanie.
15. D. Przed przystąpieniem do konfigurowania maszyn wirtualnych w systemie należy sprawdzić, czy w systemie BIOS została włączona obsługa wirtualizacji.
16. O. Atak typu "odmowa usługi" (DoS) ma miejsce, gdy system jest przeciążony żądaniami hakera, co powoduje, że serwer nie odpowiada na prawidłowe żądania klientów lub w końcu powoduje jego awarię.
17. C. Domyślny adres bramy jest nieprawidłowy. Domyślny adres bramy musi odnosić się do tego samego identyfikatora sieci, co system klienta; w takim przypadku adres powinien zaczynać się od identyfikatora sieci 192.168.1.x zamiast 192.168.2.x.
18. B. Trzecim krokiem w problemie CompTIA jest przetestowanie teorii w celu określenia przyczyny.
19. D. Taskkill.exe obsługuje kilka opcji kończenia zadania według nazwy lub PID. Aby zakończyć zadanie za pomocą PID, należy użyć taskkill.exe / PID 3375, a do zakończenia według nazwy - taskkill.exe / IM notepad.exe.
20. B. Jedynym urządzeniem chroniącym przed awarią jest UPS.
21. C. Narzędzie konfiguracji systemu (msconfig.exe) może służyć do wybiórczego uruchamiania systemu Windows w celu pomocy w rozwiązywaniu problemów. Defrag.exe jest używany do defragmentacji dysku; diskpart.exe służy do partycjonowania dysku; a chkdisk.exe służy do sprawdzania dysków pod kątem błędów.
22. A. Aby zmniejszyć ryzyko wyładowań elektrostatycznych, należy zwiększyć wilgotność względną. Ryzyko wyładowania elektrostatycznego jest zwiększone w suchym powietrzu.
23. D. Polecenie gpupdate służy do wyzwalania przetwarzania obiektów GPO katalogu aktywności, podczas gdy gpresult wyświetla efektywne wyniki obiektów zasad grupy. Polecenie attribute służy do dostosowywania atrybutów plików, takich jak tylko do odczytu i archiwum, natomiast polecenie expand służy do rozwijania skompresowanych plików systemowych
24. A. Poleceniem zmiany uprawnień jest chmod, podczas gdy chown zmieni właściciela i grupę, która ma dostęp do zasobu. Polecenie grep wyświetli i przefiltruje zawartość plików lub dane wyjściowe poleceń, a iwconfig służy do zarządzania konfiguracjami bezprzewodowymi.
25. D. BCD lub baza danych konfiguracji rozruchu przechowuje ustawienia konfiguracji rozruchu, które są używane podczas procesu rozruchu. Plik ntoskrnl.exe jest jądrem systemu operacyjnego; winload.exe to program ładujący system operacyjny; a ntdetect.com był plikiem ładowania systemu operacyjnego ze starszych systemów operacyjnych Windows.














Certyfikat ZEND




Test penetracyjny - proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.    Wikipedia



Zostań PenTesterem : Odpowiedzi

Zostań PenTesterem II : Odpowiedzi II

Zostań PenTesterem III : Odpowiedzi III

Zostań PenTesterem IV : Odpowiedzi IV

Zostań PenTesterem V : Odpowiedzi V

Zostań PenTesterem VI : Odpowiedzi VI

Zostań PenTesterem VII : OdpowiedziVII

Zostań PenTesterem VIII : Odpowiedzi VIII

Zostań PenTesterem IX : Odpowiedzi IX

Zostań PenTesterem X : Odpowiedzi X

Zostań PenTesterem XI : Odpowiedzi XI

Zostań PenTesterem XII : Odpowiedzi XII

Zostań PenTesterem XIII : Odpowiedzi XIII




Egzaminy A+

Czy jesteś zainteresowany egzaminami certyfikacyjnymi CompTIA A+? Ta Część wprowadza Cię w egzaminy i daje dobre wyobrażenie o tym, czego możesz się spodziewać po ich podejściu. Wiedza o tym, czego się spodziewać w odniesieniu do procedur i formatu egzaminu, usunie tę niepewność, która może ciążyć na twoim umyśle. Zapoznaj się z procedurami tutaj; wtedy będziesz mógł skoncentrować się na faktach egzaminacyjnych, które pomogą Ci szybko przejść przez egzaminy. Mam nadzieję, że ten rozdział pomoże ci usunąć część tego zwykłego strachu przed nieznanym, dostarczając ci informacji o faktycznym procesie pisania testu. Ten rozdział pomoże ci również rozwinąć dobre umiejętności pisania testów.

Certyfikat CompTIA A+ i dlaczego go potrzebujesz

Zaletą certyfikatu CompTIA A+ jest to, że jest on dowodem, że znasz i potwierdzasz wiedzę o sprzęcie i oprogramowaniu niezbędną do rozwiązywania problemów i naprawy komputerów. Certyfikat CompTIA A+ można przedstawić zarówno pracodawcom, jak i klientom jako dowód kompetencji i umiejętności w tej dziedzinie. Ten certyfikat jest ważny przez trzy lata od dnia uzyskania certyfikatu, po czym należy go odnowić, przystępując do najnowszej wersji egzaminu lub przystępując do egzaminu certyfikacyjnego wyższego poziomu. Utworzona w 1982 roku firma CompTIA nosiła początkowo nazwę Association of Better Computer Dealers. Jest to firma skoncentrowana na zapewnianiu możliwości badawczych, nawiązywania kontaktów i współpracy partnerskiej 19 000 jej członków w 100 krajach. W 1993 roku, w odpowiedzi na potrzebę certyfikacji komputerów klasy podstawowej, neutralnej dla dostawców, firma stworzyła certyfikat A+. Przed utworzeniem przez CompTIA certyfikatu A+ istniało wiele miejsc, w których można było uzyskać certyfikaty sprzętu i oprogramowania. Jednak takie szkolenia były często bardzo drogie, trudne do zdobycia i nie zostały zaprojektowane z myślą o dostępności dla większości ludzi. Microsoft, Novell, IBM i inne firmy oferujące oprogramowanie oferowały certyfikaty oprogramowania, ale były one szczególnie skoncentrowane na nauczaniu umiejętności pomocy technicznej na wysokim poziomie dla tych produktów, były trudne do zdobycia dla przeciętnych użytkowników lub osób zajmujących się wsparciem i nie miały znaczenia dla większości codziennych czynności. dzień pracy. IBM, HP, Compaq, Sun i inne firmy oferujące sprzęt oferowały certyfikaty naprawy i konserwacji sprzętu, ale znowu były one skoncentrowane w szczególności na ich sprzęcie - a więcej na cechach ich własnych platform, a nie zawsze obejmowały podstawy konfiguracji i konserwacji . CompTIA wkroczyła, aby wypełnić lukę, w którą wpadła większość użytkowników, co jest certyfikatem neutralnym dla sprzętu i oprogramowania, obejmującym wszystkie podstawy wymagane przez osobę obsługującą. W razie potrzeby po certyfikacji można następnie uzyskać certyfikaty oparte na dostawcach, ale sam certyfikat A+ świadczy o mocnym zrozumieniu podstaw. Certyfikacja A+ daje pracodawcom pewność, że obecni pracownicy lub nowi pracownicy posiadają poziom wiedzy, dzięki któremu mogą efektywnie wykonywać swoją pracę. Daje również pracodawcom miarę, według której można mierzyć rekrutów i pracowników. Certyfikat A+ daje również klientom pewność, że osoba, którą zatrudnią do naprawy ich komputerów, ma odpowiednią wiedzę, aby to zrobić bez wysadzania sprzętu lub usuwania cennych danych. Zapewnia to klientom spokój ducha i zwiększa liczbę powtarzalnych transakcji. W końcu, mając po swojej stronie certyfikat CompTIA A+, masz więcej możliwości na swojej ścieżce kariery.

Sprawdzanie egzaminów i ich celów

Aby uzyskać certyfikat CompTIA A+, musisz zdać dwa egzaminy. Oba egzaminy są wymagane. Pierwszym wymaganym egzaminem jest CompTIA A+ Exam 220-1001, który koncentruje się na sprzętowych aspektach naprawy komputera. Drugim wymaganym egzaminem jest CompTIA A+ Exam 220-1002, który koncentruje się na konfiguracji i rozwiązywaniu problemów aspektu oprogramowania systemu w środowisku sieci korporacyjnej. Zrewidowane egzaminy CompTIA A+ zostały wydane w 2019 r. Oprócz tradycyjnych pytań wielokrotnego wyboru, egzaminy CompTIA A+ zawierają nieokreśloną liczbę pytań opartych na wynikach (PBQ); to są krótkie ćwiczenia, które sprawdzają twoją umiejętność rozwiązywania problemów w symulowanym środowisku. Witryna CompTIA zawiera przykładowe pytanie dotyczące wydajności. Na każdy egzamin masz 90 minut; CompTIA udostępnia egzaminy jako egzaminy w formacie liniowym - egzaminy w standardowym czasie - zdawane na komputerze. Gdy CompTIA zgromadzi statystyki ocen, może ponownie opublikować egzaminy jako egzaminy adaptacyjne (co robiła CompTIA w przeszłości), ale obecnie nie ma żadnych informacji, że jest to planowane. W tym adaptacyjnym egzaminie zostaniesz poproszony o minimalną liczbę pytań (zwykle około 15), a następnie zadamy dodatkowe pytania na podstawie błędnych odpowiedzi. Egzamin dostosowuje się do Twoich błędnych odpowiedzi, wybierając dla Ciebie dodatkowe pytania z obszaru, w którym jesteś słabszy.

Egzamin CompTIA A+ 220-1001

Egzamin CompTIA A+ 220-1001 obejmuje podstawy dotyczące sprzętu komputerowego, sprzętu sieciowego i urządzeń mobilnych. Ten egzamin kładzie duży nacisk na komponenty i sprzęt komputerowy.

Egzamin CompTIA A+ 220-1002

Oprócz egzaminu CompTIA A+ 220-1001 musisz przystąpić do drugiego egzaminu. Egzamin ten to CompTIA A+ Exam 220-1002, który jest przeznaczony do mierzenia umiejętności wymaganych do konserwacji i rozwiązywania problemów z systemami operacyjnymi i urządzeniami mobilnymi. W oparciu o podział domen ten egzamin ma najszerszy zakres tematów dla wszechstronnego specjalisty IT.

Używanie materiału do przygotowania się do egzaminów

Egzaminy są stresujące dla większości ludzi, ale jeśli jesteś dobrze przygotowany, twój poziom stresu powinien być znacznie niższy. Jeśli przeczytasz i zrozumiesz materiał, nie powinieneś mieć problemu z żadnym z egzaminów. Pytania przeglądowe na końcu każdej części mają na celu przygotowanie Cię na to, co Cię czeka. Mamy holistyczne podejście do nauki do egzaminów. Przejrzyj wszystkie znalezione tutaj materiały, a następnie będziesz przygotowany do przystąpienia do jednego z wybranych przez siebie egzaminów, ponieważ można je zdawać w dowolnej kolejności. Polecam przystąpienie do obu egzaminów w krótkim czasie, aby uniknąć zapomnienia informacji, których się nauczyłeś. Przeanalizuj cele każdej Części, zanim zagłębisz się w treść, aby użyć ich jako przewodnika, na których sekcjach możesz się skoncentrować. Po dokładnym przeczytaniu treści, spróbuj przejść do sekcji Test przygotowawczy na końcu . Jeśli słabo wypadniesz w teście przygotowawczym, wróć do celów, aby zobaczyć, gdzie potrzebujesz więcej wysiłku. Kiedy ponownie przeczytasz sekcje, spróbuj zbadać treść z innego punktu widzenia, aby pomóc ci powiązać informacje z pytaniami i celami. Na przykład odmienny punkt widzenia może dotyczyć użytkownika komputera, pracownika działu pomocy technicznej lub technika pomocy technicznej. Jeśli nie jesteś w stanie osiągnąć wyniku 85 procent lub lepszego, powinieneś kontynuować przegląd obszarów, w których jesteś słaby.




Bezpieczeństwo rozwoju oprogramowaniam



1. Która z poniższych czynności jest poprawną sekwencją kroków, które należy wykonać w procesie kontroli zmian oprogramowania aplikacji?

1. Przetestuj zmiany.
2. Planuj zmiany.
3. Zainicjuj żądanie zmiany.
4. Wydaj zmiany w oprogramowaniu.

a. 1, 2, 3 i 4
b. 2, 1, 3 i 4
c. 3, 2, 1 i 4
d. 4, 3, 1 i 2

1.c. Każda zmiana oprogramowania aplikacji musi zaczynać się od żądania zmiany od użytkownika funkcjonalnego. Osoba informatyczna (IT) może zaplanować, przetestować i opublikować zmianę po zatwierdzeniu przez użytkownika funkcjonalnego.

2. Które z poniższych podejść zapewnia najlepsze rozwiązanie, aby przezwyciężyć opór przed zmianą?

a. Zmiana jest dobrze zaplanowana.
b. Zmiana jest w pełni zakomunikowana.
c. Zmiana jest wdrażana terminowo.
d. Zmiana jest w pełni zinstytucjonalizowana.

2.d. Zarządzanie zmianą to trudny proces. Ludzie opierają się zmianom ze względu na pewien dyskomfort, jaki zmiana może przynieść. Nie ma znaczenia, jak dobrze zmiana jest zaplanowana, zakomunikowana lub wdrożona, jeśli nie jest ona równomiernie rozłożona w całej organizacji. Instytucjonalizacja zmiany oznacza zmianę klimatu firmy. Należy to zrobić w spójny i uporządkowany sposób. Wszelkie większe zmiany powinny być dokonywane przy użyciu podejścia pilotażowego. Po pomyślnym zakończeniu kilku programów pilotażowych nadszedł czas, aby wykorzystać te historie sukcesu jako dźwignię do zmiany całej firmy.

3. Podczas projektowania systemu procedur kontrolnych wprowadzania danych najmniej uwagi należy poświęcić którym z poniższych elementów?

a. Upoważnienie
b. Walidacja
c. Konfiguracja
d. Powiadomienie o błędzie

3.c. Zarządzanie konfiguracją to procedura stosowania wskazówek technicznych i administracyjnych oraz monitorowania w celu (i) identyfikowania i dokumentowania funkcjonalnych i fizycznych właściwości przedmiotu lub systemu, (ii) kontrolowania wszelkich zmian dokonanych w takich właściwościach oraz (iii) rejestrowania i raportowania status zmiany, procesu i wdrożenia. Proces autoryzacji może być ręczny lub zautomatyzowany. Wszystkie autoryzowane transakcje powinny być rejestrowane i wprowadzane do systemu w celu przetworzenia. Walidacja zapewnia, że wprowadzone dane spełniają predefiniowane kryteria pod względem atrybutów. Powiadamianie o błędach jest tak samo ważne jak poprawianie błędów.

4. Które z poniższych pytań powinno przede wszystkim dotyczyć zarządzania konfiguracją oprogramowania (SCM)?

a. Jak oprogramowanie ewoluuje podczas tworzenia systemu?
b. Jak oprogramowanie ewoluuje podczas konserwacji systemu?
c. Co stanowi oprogramowanie w dowolnym momencie?
d. Jak planowany jest produkt programowy?

4.c. Zarządzanie konfiguracją oprogramowania (SCM) to dziedzina zarządzania ewolucją produktów komputerowych, zarówno na początkowych etapach rozwoju, jak i poprzez konserwację i zakończenie produktu końcowego. Widoczność statusu rozwijającego się oprogramowania jest zapewniona poprzez przyjęcie SCM w projekcie oprogramowania. Deweloperzy oprogramowania, testerzy, kierownicy projektów, personel ds. zapewnienia jakości i klienci czerpią korzyści z informacji SCM. SCM odpowiada na pytania takie jak (i) co stanowi oprogramowanie w dowolnym momencie? (ii) Jakie zmiany zostały wprowadzone w oprogramowaniu? Sposób planowania, rozwijania lub utrzymywania oprogramowania nie ma znaczenia, ponieważ opisuje historię ewolucji oprogramowania, jak opisano w innych opcjach.

5. Jaka jest główna funkcja zarządzania konfiguracją oprogramowania (SCM)?

a. Śledzenie wszystkich zmian oprogramowania
b. Identyfikacja poszczególnych komponentów
c. Korzystanie z narzędzi inżynierii oprogramowania wspomaganego komputerowo
d. Korzystanie z kompilatorów i asemblerów

5. a. Zarządzanie konfiguracją oprogramowania (SCM) jest praktykowane i zintegrowane z procesem tworzenia oprogramowania przez cały cykl życia produktu. Jedną z głównych funkcji SCM jest śledzenie wszystkich zmian oprogramowania. Identyfikacja poszczególnych komponentów jest nieprawidłowa, ponieważ jest częścią funkcji identyfikacji konfiguracji. Celem identyfikacji konfiguracji jest stworzenie możliwości identyfikacji komponentów systemu w całym jego cyklu życia oraz zapewnienie identyfikowalności pomiędzy oprogramowaniem a powiązanymi elementami identyfikacji konfiguracji. Narzędzia, kompilatory i asemblery wspomaganej komputerowo inżynierii oprogramowania (CASE) są nieprawidłowe, ponieważ są przykładami czynników technicznych. SCM jest zasadniczo dyscypliną stosującą kierownictwo techniczne i administracyjne oraz monitorowanie do zarządzania ewolucją produktów programów komputerowych na wszystkich etapach rozwoju i konserwacji. Niektóre przykłady czynników technicznych obejmują użycie narzędzi CASE, kompilatorów i asemblerów.

6. Który z poniższych obszarów zarządzania konfiguracją oprogramowania (SCM) jest wykonywany jako ostatni?

a. Identyfikacja
b. Zmień kontrolę
c. Księgowanie statusu
d. Rewizja

6.d. Istnieją cztery elementy zarządzania konfiguracją. Pierwszym elementem jest identyfikacja konfiguracji, polegająca na doborze elementów konfiguracyjnych dla systemu i zapisaniu ich cech funkcjonalnych i fizycznych w dokumentacji technicznej. Drugim elementem jest kontrola zmian konfiguracji, polegająca na ocenie, koordynacji, zatwierdzeniu lub odrzuceniu oraz wprowadzeniu zmian do elementów konfiguracji po formalnym ustaleniu ich identyfikacji konfiguracji. Trzecim elementem jest rozliczanie stanu konfiguracji, polegające na rejestrowaniu i raportowaniu informacji potrzebnych do efektywnego zarządzania konfiguracją. Czwartym elementem jest audyt konfiguracji oprogramowania, polegający na okresowym wykonywaniu przeglądu w celu upewnienia się, że praktyki i procedury SCM są rygorystycznie przestrzegane. Audyt jest przeprowadzany jako ostatni po tym, jak wszystkie elementy są na miejscu, aby ustalić, czy działają prawidłowo.

7. Które z poniższych jest przykładem błędu walidacji danych wejściowych?

a. Błąd weryfikacji dostępu
b. Błąd konfiguracji
c. Błąd przepełnienia bufora
d. Błąd warunków wyścigu

7.c. W przypadku błędu sprawdzania poprawności danych wejściowych dane wejściowe otrzymane przez system nie są odpowiednio sprawdzane, co skutkuje luką, którą można wykorzystać, wysyłając określoną sekwencję wejściową. W przypadku przepełnienia bufora dane wejściowe odbierane przez system są dłuższe niż oczekiwana długość danych wejściowych, ale system nie sprawdza tego warunku. W przypadku błędu sprawdzania dostępu system jest podatny na ataki, ponieważ mechanizm kontroli dostępu jest wadliwy. Błąd konfiguracji występuje, gdy ustawienia kontrolowane przez użytkownika w systemie są tak skonfigurowane, że system jest zagrożony. Błąd warunków wyścigu występuje, gdy występuje opóźnienie między czasem, w którym system sprawdza, czy operacja jest dozwolona przez model zabezpieczeń, a czasem, w którym system faktycznie wykonuje operację.

8. Z punktu widzenia zarządzania ryzykiem, nowe interfejsy systemu są adresowane w której z następujących faz cyklu życia systemu (SDLC)?

a. Inicjacja
b. Rozwój / przejęcie
c. Realizacja
d. Eksploatacja/konserwacja

8.d. W fazie eksploatacji/utrzymania SDLC działania związane z zarządzaniem ryzykiem są wykonywane za każdym razem, gdy w systemie informatycznym w jego środowisku operacyjnym (produkcyjnym) wprowadzane są poważne zmiany (np. nowe interfejsy systemowe).

9. Które z poniższych wymaga zapewnienia systemu?

1. Dowód pochodzenia
2. Dowód dostawy
3. Techniki
4. Metryki

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4

9.d. Zapewnienie systemu jest podstawą pewności, że zestaw zamierzonych kontroli bezpieczeństwa w systemie informatycznym jest skuteczny w ich stosowaniu. Zapewnienie systemu wymaga (i) technik pozwalających na osiągnięcie integralności, poufności, dostępności i odpowiedzialności oraz (ii) mierników do ich pomiaru. Dowód pochodzenia i dowód dostawy są wymagane w przypadku niezaprzeczalności.

10. Która z poniższych części nie obejmuje etapu inicjacji procesu certyfikacji bezpieczeństwa i akredytacji?

a. Przygotowanie
b. Identyfikacja zasobów
c. Plan działania i kamienie milowe
d. Akceptacja planu bezpieczeństwa

10.c. Plan działania i dokument dotyczący kamieni milowych to ostatnia część etapów certyfikacji bezpieczeństwa i akredytacji, która opisuje środki, które zostały wdrożone lub zaplanowane w celu skorygowania wszelkich niedociągnięć zauważonych podczas oceny środków bezpieczeństwa oraz zmniejszenia lub wyeliminowania znanych podatności systemu. Pozostałe trzy opcje są częścią fazy inicjacji, która jest pierwszą fazą, w której jest za wcześnie na opracowanie planu działania i kamieni milowych.


11. Które z poniższych jest pierwsze w procesie certyfikacji bezpieczeństwa i akredytacji systemu informatycznego?

a. Certyfikacja bezpieczeństwa
b. Ponowna certyfikacja bezpieczeństwa
c. Akredytacja bezpieczeństwa
d. Ponowna akredytacja bezpieczeństwa

11.a. Prace nad certyfikacją bezpieczeństwa są na pierwszym miejscu, ponieważ określają, w jakim stopniu mechanizmy bezpieczeństwa w systemie informatycznym są prawidłowo zaimplementowane, działają zgodnie z przeznaczeniem i zapewniają pożądaną postawę bezpieczeństwa systemu. To zapewnienie jest osiągane poprzez ocenę bezpieczeństwa systemu. Pakiet akredytacji bezpieczeństwa dokumentuje wyniki certyfikacji bezpieczeństwa. Ponowna certyfikacja i ponowna akredytacja odbywają się okresowo i sekwencyjnie za każdym razem, gdy następuje istotna zmiana w systemie lub jego środowisku operacyjnym w ramach ciągłego monitorowania kontroli bezpieczeństwa.

12. Który z poniższych scenariuszy decyzyjnych organu akredytacji bezpieczeństwa wymaga uzasadnienia decyzji?

1. Pełna akredytacja systemu
2. Akredytuj system z warunkami
3. Odmów akredytacji systemu
4. Odroczenie akredytacji systemu

a. Tylko 1
b. Tylko 2
c. 1, 2 lub 3
d. 1, 2, 3 lub 4

12.c. Organ akredytacji bezpieczeństwa ma do pracy trzy główne scenariusze: (i) pełną akredytację systemu, (ii) akredytację systemu z warunkami lub (iii) odmowę akredytacji systemu. W każdym przypadku, potrzebne jest uzasadnienie (uzasadnienie) decyzji. W niektórych przypadkach akredytacja systemu może zostać odroczona w wyniku nagłych zmian wymagań regulacyjnych lub nieoczekiwanych fuzji i przejęć w firmie. Zarząd może wrócić do odroczonej decyzji później.

13. W fazie ciągłego monitorowania procesu certyfikacji bezpieczeństwa i akredytacji, na której podstawie opiera się bieżąca ocena środków kontroli bezpieczeństwa?

a. Dokumenty dotyczące zarządzania konfiguracją
b. Plan działania i dokumenty dotyczące kamieni milowych
c. Dokumenty kontroli konfiguracji
d. Analizy wpływu na bezpieczeństwo dokumentów

13.b. Aby określić, jakie mechanizmy bezpieczeństwa wybrać do bieżącego przeglądu, organizacje powinny najpierw nadać priorytet testom w odniesieniu do elementów "planu działania i kamieni milowych", które zostaną zamknięte. Te nowo wdrożone mechanizmy kontrolne należy najpierw zweryfikować. Pozostałe trzy dokumenty są częścią fazy ciągłego monitorowania i wchodzą w grę, gdy zachodzą poważne zmiany lub modyfikacje systemu operacyjnego.

14. Jaki jest główny cel zarządzania konfiguracją?

a. Aby zmniejszyć ryzyko związane z wstawieniem systemu
b. Aby zmniejszyć ryzyko związane z instalacją systemu
c. Aby zmniejszyć ryzyko związane z modyfikacjami
d. Aby zminimalizować skutki negatywnych zmian

14.d. Celem zarządzania konfiguracją jest zminimalizowanie wpływu negatywnych zmian lub różnic w konfiguracjach na system informatyczny lub sieć. Pozostałe trzy opcje są przykładami pomniejszych celów, wszystkie prowadzą do celu głównego. Należy zauważyć, że modyfikacje mogą być właściwe lub niewłaściwe, gdy te ostatnie prowadzą do negatywnego efektu, a te pierwsze do pozytywnego.

15. W której z poniższych faz cyklu życia rozwoju systemu (SDLC) przeprowadzana jest główna implementacja procesu zarządzania konfiguracją?

a. Inicjacja
b. Akwizycja/rozwój
c. Realizacja
d. Eksploatacja/konserwacja

15.d. Podstawowa implementacja procesu zarządzania konfiguracją jest wykonywana podczas fazy eksploatacji/konserwacji SDLC, fazy eksploatacji/konserwacji. Inne fazy są zbyt wczesne, aby ten proces mógł się odbyć.

16. Która z poniższych faz certyfikacji bezpieczeństwa i proces akredytacji dotyczy przede wszystkim zarządzania konfiguracją?

a. Inicjacja
b. Certyfikacja bezpieczeństwa
c. Akredytacja bezpieczeństwa
d. Ciągłe monitorowanie

16.d. Czwarta faza procesu certyfikacji i akredytacji bezpieczeństwa, ciągłe monitorowanie, dotyczy przede wszystkim zarządzania konfiguracją. Dokumentowanie zmian systemu informatycznego i ocena potencjalnego wpływu tych zmian na bezpieczeństwo systemu jest istotną częścią ciągłego monitorowania i utrzymywania akredytacji bezpieczeństwa.

17. Za pomocą którego z poniższych przeprowadza się stały monitoring systemu informatycznego?

1. Zarządzanie ryzykiem
2. Certyfikacja bezpieczeństwa
3. Akredytacja bezpieczeństwa
4. Procesy zarządzania konfiguracją

a. 1 i 2
b. 2 i 3
c. 1, 2 i 3
d. 1, 2, 3 i 4

17.d. Prowadzony jest stały monitoring systemu w celu zidentyfikowania możliwych zagrożeń dla systemu, tak aby można było je rozwiązać poprzez procesy zarządzania ryzykiem, certyfikacji i akredytacji bezpieczeństwa oraz zarządzania konfiguracją.

18. Które z poniższych nie należą do obowiązków komisji przeglądu kontroli konfiguracji?

1. Omawianie wniosków o zmianę
2. Przeprowadzenie analizy wpływu zmian
3. Prośba o finansowanie na wdrożenie zmian
4. Powiadamianie użytkowników o zmianach w systemie

a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4

18.c. Przeprowadzanie analizy wpływu zmian i powiadamianie użytkowników o zmianach w systemie należy do obowiązków menedżera konfiguracji, natomiast omawianie wniosków o zmiany i zwracanie się o finansowanie na wdrożenie zmian należy do obowiązków komisji rewizyjnej kontroli konfiguracji.

19. W którym z poniższych etapów procesu zarządzania konfiguracją przeprowadzana jest analiza wpływu zmian?

a. Zidentyfikuj zmiany.
b. Oceń prośbę o zmianę.
c. Wdrażaj decyzje.
d. Implementuj zatwierdzone prośby o zmianę.

19.b. Po zainicjowaniu żądania zmiany należy ocenić wpływ, jaki zmiana może mieć na określony system lub inne powiązane systemy. Analiza wpływu zmiany prowadzona jest w kroku "ocena wniosku o zmianę". Ewaluacja jest końcowym wynikiem identyfikacji zmian, decydowania, jakie zmiany należy zatwierdzić i jak je wdrożyć, oraz faktycznego wdrożenia zatwierdzonych zmian.

20. W którym z poniższych wyborów operacyjnych dotyczących procesu zarządzania konfiguracją mogą być potrzebne dodatkowe testy lub analizy?

a. Zatwierdzić
b. Wprowadzić w życie
c. Zaprzeczyć
d. Odraczać

20.d. W przypadku wyboru "odroczone" natychmiastowa decyzja zostaje odroczona do odwołania. W takiej sytuacji przed podjęciem ostatecznej decyzji mogą być potrzebne dodatkowe testy lub analizy. Z drugiej strony zatwierdzanie, wdrażanie i odrzucanie wyborów nie wymaga dodatkowych testów i analiz, ponieważ kierownictwo jest już zadowolone z testów i analiz.


21. Które z poniższych zadań nie jest zwykle wykonywane podczas fazy inicjacji procesu cyklu życia rozwoju systemu (SDLC)?

a. Wstępna ocena ryzyka
b. Wstępne plany bezpieczeństwa systemu
c. Plany testów bezpieczeństwa wysokiego poziomu
d. Architektura systemu bezpieczeństwa wysokiego poziomu

21.c. Plan testów bezpieczeństwa, zarówno wysokiego, jak i niskiego poziomu, jest opracowywany w fazie rozwoju/pozyskiwania. Pozostałe trzy wybory są dokonywane w fazie inicjacji.

22. W której z poniższych faz cyklu rozwoju systemu (SDLC) zaprojektowano i wdrożono środki kontroli bezpieczeństwa?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Sprzedaż

22.b. Kontrole bezpieczeństwa są opracowywane, projektowane i wdrażane w fazie rozwoju/nabycia. Dodatkowe kontrole mogą zostać opracowane w celu wsparcia kontroli już istniejących lub planowanych.

23. W której z poniższych faz cyklu rozwoju systemu (SDLC) określa się koszty nabycia i integracji produktu?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Sprzedaż

23.b. Koszty nabycia i integracji produktów, które można przypisać bezpieczeństwu informacji w całym cyklu życia systemu, są określane w fazie rozwoju/nabycia. Koszty te obejmują sprzęt, oprogramowanie, personel i szkolenia.

24. W której z poniższych faz cyklu rozwoju systemu (SDLC) uzyskuje się formalne zezwolenie na prowadzenie systemu informatycznego?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Sprzedaż

24.c. W fazie wdrożenia organizacja konfiguruje i udostępnia funkcje bezpieczeństwa systemu, testuje funkcjonalność tych funkcji, instaluje lub wdraża system, a na koniec uzyskuje formalne upoważnienie do obsługi systemu.

25. Które z poniższych daje pewność w ramach wymagań bezpieczeństwa i funkcjonalnych systemu zdefiniowanych dla systemu informatycznego?

a. Kontrola dostępu
b. Kontrole w tle dla programistów systemu
c. Świadomość
d. Trening

25.b. Wymagania dotyczące bezpieczeństwa i funkcjonalności mogą być wyrażone jako techniczne (na przykład kontrola dostępu), zapewnienia (na przykład sprawdzenie przeszłości dla twórców systemu) lub praktyki operacyjne (na przykład świadomość i szkolenia).

26. Użytkownicy systemu muszą wykonać które z poniższych czynności, gdy nowe mechanizmy bezpieczeństwa są dodawane do istniejącego systemu aplikacji?

a. Testów jednostkowych
b. Testowanie podsystemów
c. Pełne testowanie systemu
d. Testy akceptacyjne

26.d. Jeśli do istniejącego systemu aplikacji lub systemu wsparcia zostaną dodane nowe mechanizmy bezpieczeństwa, użytkownicy systemu muszą przeprowadzić dodatkowe testy akceptacyjne tych nowych mechanizmów kontrolnych. Takie podejście zapewnia, że nowe kontrolki spełniają specyfikacje bezpieczeństwa i nie powodują konfliktu z istniejącymi kontrolkami ani nie unieważniają ich.

27. W której z następujących faz cyklu rozwoju systemu (SDLC) przeprowadza się okresową reakredytację systemu?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

27.d. Dokumentowanie zmian systemu informacyjnego i ocena potencjalnego wpływu tych zmian na bezpieczeństwo systemu jest istotną częścią ciągłego monitorowania i kluczem do uniknięcia utraty ponownej akredytacji bezpieczeństwa systemu. Okresowa reakredytacja odbywa się w fazie operacyjnej.

28. Który z poniższych testów jest oparty na wymaganiach systemowych?

a. Testowanie czarnoskrzynkowe
b. Testowanie białoskrzynkowe
c. Testowanie szarej skrzynki
d. Testy integracyjne

28.a. Testowanie czarnoskrzynkowe, znane również jako testowanie funkcjonalne, wykonuje część lub całość systemu w celu sprawdzenia, czy wymagania użytkownika są spełnione. Testowanie białoskrzynkowe, znane również jako testowanie strukturalne, bada logikę jednostek i może być wykorzystywane do obsługi wymagań oprogramowania w zakresie pokrycia testów, tj. ile programu zostało wykonane. Testy szarej skrzynki można traktować jako wszystko, co nie jest testowane w białej lub czarnej skrzynce. Testy integracyjne są przeprowadzane w celu zbadania, w jaki sposób jednostki łączą się i współdziałają ze sobą, przy założeniu, że jednostki i obiekty (na przykład dane), którymi manipulują, przeszły pomyślnie testy jednostkowe.

29. W której z poniższych faz cyklu rozwoju systemu (SDLC) przeprowadzana jest integracja systemu?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

29.c. Nowy system jest integrowany w miejscu operacyjnym, w którym ma zostać wdrożony do eksploatacji. Ustawienia i przełączniki kontroli bezpieczeństwa są włączone.

30. W której z poniższych faz cyklu życia systemu (SDLC) przeprowadzana jest formalna ocena ryzyka?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

30.b. Formalna ocena ryzyka jest przeprowadzana na etapie rozwoju/nabycia w celu określenia wymagań dotyczących ochrony systemu. Analiza ta opiera się na wstępnej (wstępnej lub nieformalnej) ocenie ryzyka przeprowadzonej w fazie początkowej, ale będzie bardziej dogłębna i szczegółowa.


31. Która z poniższych faz cyklu życia systemu (SDLC) ustanawia początkową linię bazową komponentów sprzętu, oprogramowania i oprogramowania układowego dla systemu informatycznego?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

31.d. Procedury zarządzania konfiguracją i kontroli mają kluczowe znaczenie dla ustalenia początkowej linii bazowej komponentów sprzętu, oprogramowania i oprogramowania układowego dla systemu informatycznego. To zadanie jest wykonywane w fazie eksploatacji/konserwacji, aby można było śledzić i monitorować zmiany. Przed tą fazą system jest w stanie płynnym, co oznacza, że nie można ustalić początkowych wartości bazowych.

32.Kontrolowanie i utrzymywanie dokładnej inwentaryzacji wszelkich zmian w systemie informatycznym jest możliwe dzięki temu?

a. Zarządzanie konfiguracją i sterowanie
b. Ciągłe monitorowanie
c. Certyfikacja bezpieczeństwa
d. Akredytacja bezpieczeństwa

32. a. Zarządzanie konfiguracją i kontrola, która jest częścią fazy eksploatacji i utrzymania systemu, zajmuje się kontrolowaniem i utrzymywaniem dokładnej inwentaryzacji wszelkich zmian w systemie. Certyfikacja bezpieczeństwa i akredytacja bezpieczeństwa są częścią fazy wdrożenia systemu, natomiast ciągły monitoring jest częścią fazy eksploatacji i utrzymania.

33. Które z poniższych nie ułatwia samooceny lub niezależnych audytów bezpieczeństwa systemu informatycznego?

a. Przeglądy kontroli wewnętrznej
b. Testy penetracyjne
c. Opracowywanie kontroli bezpieczeństwa
d. Listy kontrolne bezpieczeństwa

33. c. Asesorzy lub audytorzy systemów nie rozwijają zabezpieczeń kontroli z powodu utraty obiektywizmu w myśleniu i utraty niezależności w wyglądzie. Kontrole bezpieczeństwa powinny być tworzone przez projektantów systemów i programistów przed przeprowadzeniem przeglądów kontroli wewnętrznej, przeprowadzeniem testów penetracyjnych lub wykorzystaniem list kontrolnych bezpieczeństwa przez osoby oceniające lub audytorów systemów. Przeglądy kontroli wewnętrznej, testy penetracyjne i listy kontrolne bezpieczeństwa po prostu ułatwiają późniejszą samoocenę lub niezależne audyty systemu informatycznego.

34. W zadaniu określania potrzeb fazy inicjacji cyklu życia systemu (SDLC), który z poniższych elementów optymalizuje potrzeby systemowe organizacji w ramach ograniczeń budżetowych?

a. Analiza luki dopasowania
b. Ocena ryzyka
c. Analiza inwestycji
d. Analiza wrażliwości

34.c. Analiza inwestycyjna definiowana jest jako proces zarządzania portfelem systemów informatycznych przedsiębiorstwa i określania odpowiedniej strategii inwestycyjnej. Analiza inwestycji optymalizuje potrzeby systemowe organizacji w ramach ograniczeń budżetowych. Analiza luki dopasowania identyfikuje różnice między tym, co jest wymagane, a tym, co jest dostępne; lub jak dwie rzeczy pasują lub jaka jest luka między nimi. Analiza ryzyka określa wielkość ryzyka a analiza wrażliwości może określić granice ryzyka w zakresie zmian wartości wejściowych i towarzyszących im zmian wartości wyjściowych.

35. W zadaniu wstępnej oceny ryzyka fazy inicjacji cyklu życia systemu (SDLC) potrzeby w zakresie integralności z perspektywy użytkownika lub właściciela są definiowane pod kątem tego, które z nich?

a. Miejsce danych
b. Aktualność danych
c. Forma danych
d. Jakość danych

35.d. Integralność można badać z kilku perspektyw. Z perspektywy użytkownika lub właściciela aplikacji integralność to jakość danych oparta na atrybutach, takich jak dokładność i kompletność. Pozostałe trzy wybory nie odzwierciedlają atrybutów uczciwości.

36. Przeprowadzane jest dogłębne badanie determinacji potrzeb dla nowego systemu będącego w fazie rozwoju, w której z poniższych faz cyklu rozwoju systemu (SDLC)?

a. Inicjacja
b. Rozwój/nabycie
c. Realizacja
d. Eksploatacja/konserwacja

36. b. Zadaniem analizy wymagań w fazie rozwoju SDLC jest dogłębne badanie zapotrzebowania na nowy system. Analiza wymagań czerpie i rozwija pracę wykonaną w fazie inicjacji. Czynność określania potrzeb jest wykonywana na wysokim poziomie x funkcjonalności w fazie inicjacji.

37. Które z poniższych czynności należy wykonać przed zatwierdzeniem specyfikacji projektu systemu dla nowego systemu w trakcie opracowywania?

a. Architektura bezpieczeństwa korporacyjnego
b. Połączone systemy
c. Formalna ocena ryzyka
d. Specyfikacje bezpieczeństwa systemu

37. c. Formalna ocena ryzyka bezpieczeństwa powinna być przeprowadzona przed zatwierdzeniem specyfikacji projektu systemu. Pozostałe trzy opcje są brane pod uwagę podczas formalnego procesu oceny ryzyka bezpieczeństwa.

38. Które z poniższych jest często pomijane przy określaniu kosztu nabycia lub rozwoju nowego systemu?

a. Sprzęt komputerowy
b. Oprogramowanie
c. Trening
d. Bezpieczeństwo

38. d. Proces planowania kapitału określa, ile będzie kosztować zakup lub rozwój nowego systemu w całym jego cyklu życia. Koszty te obejmują sprzęt, oprogramowanie, personel i szkolenia. Innym krytycznym obszarem, często pomijanym, jest bezpieczeństwo.

39. Które z poniższych jest wymagane, gdy organizacja odkryje braki w zabezpieczeniach stosowanych do ochrony systemu informatycznego?

a. Opracuj prewencyjne kontrole bezpieczeństwa.
b. Opracuj plan działania i kamienie milowe.
c. Opracuj detektywistyczne kontrole bezpieczeństwa.
d. Zmodyfikuj nieskuteczne mechanizmy bezpieczeństwa.

39. b. Szczegółowe plany działań i harmonogramy kamieni milowych (POA&M) są wymagane w celu udokumentowania środków naprawczych potrzebnych do zwiększenia skuteczności kontroli bezpieczeństwa i zapewnienia wymaganego bezpieczeństwa systemu informatycznego przed autoryzacją bezpieczeństwa. Pozostałe trzy opcje nie są działaniami naprawczymi wymagającymi planów działania i harmonogramów kamieni milowych.

40. Dokument planowania bezpieczeństwa opracowany w fazie rozwoju/nabycia cyklu rozwoju systemu (SDLC) nie zawiera którego z poniższych elementów?

a. Oświadczenie o rozwoju pracy
b. Plan zarządzania konfiguracją
c. Plan awaryjny
d. Plan reagowania na incydenty

40. a. Oświadczenie o rozwoju pracy jest częścią innych elementów planowania w fazie rozwoju/przejęcia cyklu życia rozwoju systemu (SDLC). Pozostałe trzy opcje są częścią dokumentu planowania bezpieczeństwa.





[ 508 ]