Kontrola Dostępu
1. W przypadku możliwości systemu wykrywania włamań i zapobiegania, stanowa analiza protokołów wykorzystuje które z poniższych?
1. Czarne listy
2. Białe listy
3. Próg
4. Przeglądanie kodu programu
a. 1 i 2
b. 1, 2 i 3
c. Tylko 3
d. 1, 2, 3 i 4
1.d : Stanowa analiza protokołu (znana również jako głęboka inspekcja pakietów) to proces porównywania z góry określonych profili ogólnie przyjętych definicji łagodnej aktywności protokołu dla każdego stanu protokołu z obserwowanymi zdarzeniami w celu identyfikacji odchyleń. Stanowa analiza protokołów wykorzystuje czarne listy, białe listy, progi i przeglądanie kodu programu, aby zapewnić różne funkcje bezpieczeństwa. Czarna lista to lista odrębnych jednostek, takich jak hosty lub aplikacje, które zostały wcześniej określone jako powiązane ze złośliwą aktywnością. Biała lista to lista odrębnych jednostek, takich jak hosty lub aplikacje znane jako niegroźne. Progi określają granice między normalnym a nietypowym zachowaniem systemów wykrywania i zapobiegania włamaniom (IDPS). Funkcje przeglądania i edycji kodu programu służą do wyświetlania kodu programowania związanego z detekcją w IDPS.
2. Od którego z poniższych rozpoczyna się uwierzytelnianie elektroniczne?
a. Token
b. Poświadczenie
c. Subsktybent
d. Dostawca usługi poświadczeń
2.c : Wnioskodawca składa wniosek do punktu rejestracji (RA) o uzyskanie statusu subskrybenta dostawcy usług poświadczających (CSP) i jako subskrybent otrzymuje lub rejestruje sekret, zwany tokenem, oraz poświadczenie (certyfikat klucza publicznego), które wiąże token do nazwy i innych atrybutów zweryfikowanych przez RA. Token i dane uwierzytelniające mogą być używane w kolejnych zdarzeniach uwierzytelniania.
3. Kto przeprowadza weryfikację tożsamości w procesie uwierzytelniania elektronicznego?
a. Subskrybent
b. Punkt rejestracji
c. Aplikant
d. Dostawca usługi poświadczeń
3.b: PR przeprowadza weryfikację tożsamości po zarejestrowaniu wnioskodawcy w CSP. Aplikant zostaje subskrybentem CSP.
4. W przypadku uwierzytelniania elektronicznego, które z poniższych dostarcza uwierzytelnionych informacji stronie ufającej w celu podejmowania decyzji dotyczących kontroli dostępu?
a. Ubiegający się / Subskrybent
b. Aplikant / Subskrybent
c. Weryfikator / Ubiegający się
d. Weryfikator / Dostawca usług uwierzytelniających
4.d. : Strona ufająca może wykorzystać uwierzytelnione informacje dostarczone przez weryfikatora / CSP do podejmowania decyzji dotyczących kontroli dostępu lub decyzji dotyczących autoryzacji. Weryfikator sprawdza, czy wnioskodawca jest subskrybentem / wnioskodawcą za pomocą protokołu uwierzytelniania. Weryfikator przekazuje twierdzenie o tożsamości subskrybenta stronie ufającej. Weryfikator i CSP mogą, ale nie muszą należeć do tej samej tożsamości.
5. W przypadku uwierzytelnienia elektronicznego między którym z poniższych ustanawiana jest uwierzytelniona sesja?
a. Ubiegający się i strona ufająca
b. Wnioskodawca i punkt rejestracji
c. Subskrybent i dostawca usługi poświadczeń
d. Urząd certyfikacji i punkt rejestracji
5.a : Uwierzytelniona sesja zostaje nawiązana między ubiegający się a stroną ufającą. Czasami weryfikator jest również stroną ufającą. Pozostałe trzy opcje są nieprawidłowe, ponieważ prawidłowa odpowiedź opiera się na faktach.
6. W których z poniższych okoliczności uwierzytelniania elektronicznego weryfikator musi komunikować się bezpośrednio z CSP w celu zakończenia czynności uwierzytelniania?
a. Korzystanie z certyfikatu cyfrowego
b. Fizyczne łącze między weryfikatorem a CSP
c. Rozproszone funkcje weryfikatora, strony ufającej i CSP
d. Logiczne powiązanie między weryfikatorem a CSP
6.b. Korzystanie z certyfikatów cyfrowych stanowi raczej logiczne łącze między weryfikatorem a dostawcą CSP, a nie łącze fizyczne. W niektórych implementacjach weryfikator, strona ufająca i funkcje CSP mogą być rozproszone i rozdzielone. Weryfikator musi komunikować się bezpośrednio z CSP tylko wtedy, gdy istnieje między nimi fizyczne łącze. Innymi słowy, weryfikator nie musi bezpośrednio komunikować się z CSP w przypadku pozostałych trzech wyborów.
7. W przypadku uwierzytelniania elektronicznego, kto prowadzi rejestry rejestracji, aby umożliwić odzyskanie danych rejestracyjnych?
a. Dostawca usługi poświadczeń
b. Subskrybent
c. Strona ufająca
d. Punkt rejestracji
7.a. CSP przechowuje rekordy rejestracji dla każdego subskrybenta, aby umożliwić odzyskiwanie rekordów rejestracyjnych. Inne obowiązki CSP obejmują: CSP jest odpowiedzialny za ustanowienie odpowiednich polityk odnawiania i ponownego wydawania tokenów i poświadczeń. Podczas odnawiania okres użytkowania lub ważności tokena i poświadczenia jest przedłużany bez zmiany tożsamości lub tokena subskrybenta. Podczas ponownego wystawiania tworzone jest nowe poświadczenie dla subskrybenta z nową tożsamością i / lub nowym tokenem. Dostawca CSP jest odpowiedzialny za utrzymanie statusu odwołania poświadczeń i zniszczenie poświadczeń pod koniec ich życia. Na przykład certyfikaty kluczy publicznych są odwoływane za pomocą list odwołania certyfikatów (CRL) po ich rozpowszechnieniu. Weryfikator i CSP mogą, ale nie muszą należeć do tego samego podmiotu. Dostawca CSP jest odpowiedzialny za ograniczanie zagrożeń dla tokenów i poświadczeń oraz zarządzanie ich operacjami. Przykłady zagrożeń obejmują ujawnienie, fałszowanie, niedostępność, nieautoryzowane odnowienie lub ponowne wydanie, opóźnione cofnięcie lub zniszczenie danych uwierzytelniających oraz użycie tokena po wycofaniu z eksploatacji. Pozostałe trzy opcje są niepoprawne, ponieważ (i) subskrybent jest stroną, która otrzymała poświadczenie lub token od CSP, (ii) strona ufająca to podmiot, który polega na poświadczeniach subskrybenta lub potwierdzeniu tożsamości przez weryfikatora, oraz (iii) ) punkt rejestracji (RA) to zaufany podmiot, który ustala i potwierdza tożsamość subskrybenta CSP. RA może być integralną częścią CSP lub może być niezależny od CSP, ale ma związek z CSP (-ami).
8. Które z poniższych jest wykorzystywane do jednoznacznej identyfikacji pracowników i kontrahentów?
a. Token do weryfikacji tożsamości
b. Hasła
c. Certyfikaty PKI
d. Biometria
8.a. Sugeruje się, aby do unikalnej identyfikacji pracowników i kontrahentów stosować token karty osobistej weryfikacji tożsamości (PIV). PIV to fizyczny artefakt (np. dowód osobisty lub karta inteligentna) wydany osobie, który zawiera przechowywane dane uwierzytelniające (np. Zdjęcie, klucze kryptograficzne lub cyfrowy odcisk palca). Pozostałe trzy opcje są używane w zarządzaniu uwierzytelniaczem użytkownika, a nie w zarządzaniu identyfikatorami użytkowników. Przykłady uwierzytelniaczy użytkownika obejmują hasła, tokeny, klucze kryptograficzne, identyfikację osobistą ,numery (PIN), dane biometryczne, certyfikaty infrastruktury klucza publicznego (PKI) i karty-klucze. Przykłady identyfikatorów użytkowników obejmują użytkowników wewnętrznych, użytkowników zewnętrznych, kontrahentów, gości, karty PIV, hasła, tokeny i dane biometryczne.
9. W przypadku uwierzytelniania elektronicznego, który z poniższych elementów tworzy element uwierzytelniający używany w procesie uwierzytelniania?
a. Zaszyfrowany klucz i hasło
b. Token i klucz kryptograficzny
c. Klucz publiczny i weryfikator
d. Klucz prywatny i wnioskodawca
9.b. Token może być elementem sprzętu, który zawiera klucz kryptograficzny, który tworzy element uwierzytelniający używany w procesie uwierzytelniania do uwierzytelnienia zgłaszającego. Klucz jest chroniony przez zaszyfrowanie go hasłem. Pozostałe trzy wybory nie mogą stworzyć elementu uwierzytelniającego. Klucz publiczny to publiczna część asymetrycznej pary kluczy zwykle używana do weryfikowania podpisów lub szyfrowania danych. Weryfikator to jednostka, która weryfikuje tożsamość wnioskodawcy. Klucz prywatny to tajna część asymetrycznej pary kluczy, zwykle używana do cyfrowego podpisywania lub odszyfrowywania danych. Wnioskodawca to strona, której tożsamość ma zostać zweryfikowana za pomocą protokołu uwierzytelniania.
10. W przypadku uwierzytelniania elektronicznego, na którym z poniższych bazują wspólne sekrety?
1. Klucze asymetryczne
2. Klucze symetryczne
3. Hasła
4. Pary kluczy publicznych
a. Tylko 1
b. 1 lub 4
c. 2 lub 3
d. 3 lub 4
10.c. Współdzielone hasła są oparte na kluczach symetrycznych lub hasłach. Klucze asymetryczne są używane w parach kluczy publicznych. W sensie protokołów wszystkie wspólne sekrety są podobne i mogą być używane w podobnych protokołach uwierzytelniania.
11. W przypadku uwierzytelniania elektronicznego, które z poniższych nie jest przykładem twierdzeń?
a. Ciasteczka
b. Język znaczników potwierdzeń bezpieczeństwa
c. Certyfikaty X.509
d. Bilety Kerberos
11.c. Asercja to oświadczenie weryfikatora skierowane do strony ufającej, zawierające informacje o tożsamości subskrybenta. Asercje mogą być obiektami podpisanymi cyfrowo lub można je uzyskać z zaufanego źródła za pomocą bezpiecznego protokołu. Certyfikaty X.509 są przykładami poświadczeń elektronicznych, a nie asercjami. Pliki cookie, język znaczników asercji zabezpieczeń (SAML) i bilety protokołu Kerberos to przykłady asercji.
12. W uwierzytelnianiu elektronicznym poświadczenia elektroniczne są przechowywane jako dane w katalogu lub bazie danych. Które z poniższych odnosi się do tego kiedy katalog lub baza danych jest zaufana?
a. Podpisane poświadczenia są przechowywane jako dane podpisane.
b. Niepodpisane poświadczenia są przechowywane jako dane niepodpisane.
c. Podpisane poświadczenia są przechowywane jako dane niepodpisane.
d. Niepodpisane poświadczenia są przechowywane jako dane podpisane.
12.b. Poświadczenia elektroniczne to obiekty podpisane cyfrowo, w którym to przypadku weryfikowana jest ich integralność. Gdy serwer katalogu lub bazy danych jest zaufany, niepodpisane poświadczenia mogą być przechowywane jako dane niepodpisane.
13. W uwierzytelnianiu elektronicznym poświadczenia elektroniczne są przechowywane jako dane w katalogu lub bazie danych. Które z poniższych dotyczy sytuacji, gdy katalog lub baza danych nie są zaufane?
a. Samouwierzytelnianie
b. Uwierzytelnianie wobec strony ufającej
c. Uwierzytelnianie do weryfikatora
d. Uwierzytelnianie do dostawcy usług poświadczeń
13.a. Gdy poświadczenia elektroniczne są przechowywane w katalogu lub serwerze bazy danych, katalog lub baza danych może być niezaufaną jednostką, ponieważ dostarczane przez nią dane są samouwierzytelniane. Alternatywnie serwer katalogu lub bazy danych może być zaufaną jednostką, która uwierzytelnia się wobec strony ufającej lub weryfikatora, ale nie wobec dostawcy CSP.
14. Prawidłowe przepływy i właściwe interakcje między stronami zaangażowanymi w uwierzytelnianie elektroniczne obejmują:
a. Wnioskodawca ? Organ rejestracyjny ? Subskrybent ? Powód
b. Punkt Rejestracyjny ? Wnioskodawca ? Powód ? Subskrybent
c. Abonent ? Wnioskodawca ? Organ rejestracyjny ? Powód
d. Powód Subskrybent ? Organ rejestracyjny ? Wnioskodawca
14.a. Prawidłowe przepływy i właściwe interakcje między różnymi stronami zaangażowanymi w uwierzytelnianie elektroniczne obejmują następujące elementy: Indywidualny wnioskodawca składa wniosek do organu rejestracyjnego (RA) poprzez proces rejestracji, aby zostać subskrybentem dostawcy usług poświadczeń (CSP) Dowód tożsamości RA, że wnioskodawca Po pomyślnym potwierdzeniu tożsamości RA wysyła do dostawcy CSP wiadomość z potwierdzeniem rejestracji Poufny token i odpowiednie poświadczenia są ustanawiane między dostawcą CSP a nowym subskrybentem do wykorzystania w kolejnych zdarzeniach uwierzytelniania Strona, która ma zostać uwierzytelniona, nazywana jest roszczącym (subskrybentem) i strona weryfikująca tożsamość nazywana jest weryfikatorem. Pozostałe trzy wybory są nieprawidłowe, ponieważ nie reprezentują prawidłowych przepływów i właściwych interakcji.
15. W uwierzytelnianiu elektronicznym, które z poniższych stanowi poprawną kolejność przekazywania informacji o asercjach?
a. Abonent ?Dostawca usług poświadczeń ?Urząd rejestracyjny
b. Weryfikator ?Powód Strona ufająca
c. Strona ufająca ?Powód ?Organ rejestracyjny
d. Weryfikator ?Dostawca usług poświadczeń ?Strona ufająca
15.b. Asercja to oświadczenie weryfikatora skierowane do strony ufającej, które zawiera informacje o tożsamości subskrybenta (tj. osoby wnoszącej roszczenie). Te twierdzenia są wykorzystywane do przekazywania informacji o powodzie od weryfikatora do strony ufającej. Asercje mogą być obiektami podpisanymi cyfrowo lub można je uzyskać z zaufanego źródła za pomocą bezpiecznego protokołu. Gdy weryfikator i strony uzależnione są oddzielnymi jednostkami, weryfikator przekazuje wynik protokołu uwierzytelniania stronie uzależnionej. Obiekt utworzony przez weryfikatora w celu przekazania wyniku protokołu uwierzytelniania jest nazywany asercją. Dostawca usługi poświadczeń i urząd rejestracji nie są częścią procesu potwierdzania.
16. Z punktu widzenia kontroli dostępu, które z poniższych modeli są ograniczonymi modelami kontroli dostępu?
1. Polityka kontroli dostępu oparta na tożsamości
2. Polityka kontroli dostępu oparta na atrybutach
3. Model kontroli dostępu Bell-LaPadula
4. Model kontroli dostępu wymuszania typu domeny
a. 1 i 2
b. 2 i 3
C. 3 i 4
D. 1, 2, 3 i 4
16.c. Zarówno model Bell-LaPadula, jak i model egzekwowania typu domeny wykorzystują modele ograniczonej kontroli dostępu, ponieważ są one stosowane w systemach o krytycznym znaczeniu dla bezpieczeństwa, takich jak systemy wojskowe i lotnicze. W modelu z ograniczeniami zasady kontroli dostępu są wyrażane tylko raz przez zaufanego zleceniodawcę i ustalane na cały okres istnienia systemu. Zasady kontroli dostępu oparte na tożsamości i atrybutach nie są oparte na modelach ograniczonej kontroli dostępu, ale odpowiednio na tożsamościach i atrybutach.
17. Jeśli chodzi o zagrożenia związane z odgadywaniem haseł i łamaniem haseł, które z następujących może pomóc złagodzić takie zagrożenia?
a. Hasła z niską entropią, większymi solami i mniejszym rozciąganiem
b. Hasła o wysokiej entropii, mniejszych solach i mniejszym rozciąganiu
c. Hasła z wysoką entropią, większymi solami i większym rozciąganiem
d. Hasła z niską entropią, mniejszymi solami i większym rozciąganiem
17.c. Entropia w systemie informacyjnym jest miarą nieporządku lub losowości w systemie. Hasła wymagają wysokiej entropii, ponieważ niska entropia jest bardziej prawdopodobna do odzyskania przez ataki typu brute force. Salting to włączenie losowej wartości do procesu haszowania hasła, co znacznie zmniejsza prawdopodobieństwo, że identyczne hasła zwrócą ten sam skrót. Większe sole skutecznie sprawiają, że korzystanie z Rainbow Tables (tabel przeglądowych) przez atakujących jest niewykonalne. Wiele systemów operacyjnych implementuje mechanizmy haszowania solonych haseł, aby zmniejszyć skuteczność łamania haseł. Rozciąganie, które jest kolejną techniką łagodzenia używania tęczowych tabel, polega na mieszaniu każdego hasła i jego soli tysiące razy. Większe rozciąganie sprawia, że tworzenie tęczowych tablic jest bardziej czasochłonne, co nie jest dobre dla atakującego, ale dobre dla atakowanej organizacji. Tabele tęczowe to tabele wyszukiwania zawierające wstępnie obliczone skróty haseł. Dlatego hasła z wysoką entropią, większymi wartościami soli i większym rozciąganiem mogą ograniczyć próby zgadywania haseł i łamania haseł przez atakujących.
18. W uwierzytelnianiu elektronicznym z wykorzystaniem tokenów, w ogólnym przypadku uwierzytelniający jest funkcją której z poniższych?
a. Żetonowy sekret i sól lub wyzwanie
b. Tokenowy sekret i zalążek lub wyzwanie
c. Tokenowy sekret i jednorazowy lub wyzwanie
d. Tokenowy sekret i podkładka lub wyzwanie
18.c. Uwierzytelniacz jest generowany przy użyciu tokena. W trywialnym przypadku elementem uwierzytelniającym może być sam klucz tajny tokena, gdzie token jest hasłem. W ogólnym przypadku element uwierzytelniający jest generowany przez wykonanie funkcji matematycznej przy użyciu klucza tajnego tokena i jednej lub więcej opcjonalnych wartości wejściowych tokena, takich jak wartość jednorazowa lub wyzwanie. Sól to nieukryta wartość używana w procesie kryptograficznym, zwykle w celu zapewnienia, że wyniki obliczeń dla jednej instancji nie mogą być ponownie wykorzystane przez atakującego. Ziarno jest wartością początkową do generowania wektorów inicjujących. Jednorazowa wartość to identyfikator, wartość lub liczba użyta tylko raz. Używanie nonce jako wyzwania jest innym wymogiem niż losowe wyzwanie, ponieważ nonce jest przewidywalne. Podkładka to warstwa kodu wykrywania włamań i zapobiegania włamaniom na hoście, umieszczona między istniejącymi warstwami kodu na hoście, która przechwytuje dane i je analizuje.
19. W uwierzytelnianiu elektronicznym wykorzystanie jednego tokena do uzyskania dostępu do drugiego tokena nazywa się:
a. Schemat jednotokenowy, wieloczynnikowy
b. Schemat jednotokenowy, jednoczynnikowy
c. Multitoken, schemat wieloczynnikowy
d. Wielostopniowy schemat uwierzytelniania
19.b. Użycie jednego tokena w celu uzyskania dostępu do drugiego tokena jest uważane za pojedynczy token i schemat jednoczynnikowy, ponieważ wszystko, co jest potrzebne do uzyskania dostępu, to początkowy token. Dlatego, gdy stosuje się ten schemat, rozwiązanie złożone jest tak silne, jak token o najniższym poziomie pewności. Pozostałe wybory są nieprawidłowe, ponieważ nie mają zastosowania w tej sytuacji.
20. W ramach scentralizowanych rozwiązań do zarządzania hasłami, które z poniższych stwierdzeń dotyczących synchronizacji haseł jest prawdziwych?
1. Brak scentralizowanego katalogu
2. Brak serwera uwierzytelniania
3. Łatwiejsze do wdrożenia niż technologia jednokrotnego logowania
4. Tańsza niż technologia jednokrotnego logowania
a. 1 i 3
b. 2 i 4
C. 3 i 4
D. 1, 2, 3 i 4
20.d. Rozwiązanie do synchronizacji haseł pobiera hasło od użytkownika i zmienia hasła w innych zasobach tak, aby były takie same jak to hasło. Użytkownik następnie uwierzytelnia się bezpośrednio do każdego zasobu przy użyciu tego hasła. Nie ma scentralizowanego katalogu ani serwera uwierzytelniania wykonującego uwierzytelnianie w imieniu zasobów. Główną zaletą synchronizacji haseł jest zmniejszenie liczby haseł, które użytkownicy muszą zapamiętać; może to pozwolić użytkownikom na wybieranie silniejszych haseł i łatwiejsze ich zapamiętywanie. W przeciwieństwie do technologii logowania jednokrotnego (SSO), synchronizacja haseł nie zmniejsza liczby uwierzytelniania użytkowników. Rozwiązania do synchronizacji haseł są zazwyczaj łatwiejsze, tańsze i mniej bezpieczne w implementacji niż technologie SSO.
21. W ramach scentralizowanych rozwiązań do zarządzania hasłami synchronizacja haseł staje się pojedynczym punktem awarii, z powodu którego z poniższych?
A. Używa tego samego hasła do wielu zasobów.
B. Może umożliwić atakującemu złamanie zabezpieczeń zasobu o niskim poziomie bezpieczeństwa w celu uzyskania dostępu do zasobu o wysokim poziomie bezpieczeństwa.
C. Wykorzystuje podejście oparte na najniższym wspólnym mianowniku do siły hasła.
D. Może to prowadzić do niezsynchronizowania haseł.
21.a. Wszystkie cztery wybory to problemy z rozwiązaniem synchronizacji haseł. Ponieważ to samo hasło jest używane do wielu zasobów, złamanie dowolnego wystąpienia hasła narusza wszystkie wystąpienia, stając się w ten sposób pojedynczym punktem awarii. Synchronizacja haseł wymusza stosowanie podejścia o najniższym wspólnym mianowniku do siły hasła, co skutkuje słabszymi hasłami ze względu na ograniczenia dotyczące znaków i długości. Hasła mogą stać się niezsynchronizowane, gdy użytkownik zmieni hasło do zasobu bezpośrednio z tym zasobem, zamiast przechodzić przez interfejs użytkownika synchronizacji haseł. Hasło może również zostać zmienione z powodu awarii zasobów, która wymaga przywrócenia kopii zapasowej.
22. RuBAC to kontrola dostępu oparta na regułach; RADAC to kontrola dostępu dostosowująca się do ryzyka; UDAC to kontrola dostępu kierowana przez użytkownika; MAC jest obowiązkową kontrolą dostępu; ABAC to kontrola dostępu oparta na atrybutach; RBAC to kontrola dostępu oparta na rolach; IBAC to kontrola dostępu oparta na tożsamości; a PBAC to kontrola dostępu oparta na zasadach. Z punktu widzenia kontroli dostępu, separacja domen jest osiągana za pomocą którego z poniższych?
A. RuBAC lub RADAC
B. UDAC lub MAC
C. ABAC lub RBAC
D. IBAC lub PBAC
22.c. Polityka kontroli dostępu może skorzystać na rozdzieleniu usług sieci Web na różne domeny lub przedziały. Ta separacja może zostać zaimplementowana w ABAC przy użyciu atrybutów zasobów lub poprzez dodatkowe role zdefiniowane w RBAC. Pozostałe trzy opcje nie obsługują separacji domen.
23. Jeśli chodzi o wybór hasła administratora lokalnego, które z poniższych może stać się pojedynczym punktem awarii?
A. Używanie tego samego hasła do lokalnego konta root we wszystkich systemach
B. Korzystanie z wbudowanych kont root
C. Przechowywanie lokalnych haseł w systemie lokalnym
D. Uwierzytelnianie lokalnych haseł w systemie lokalnym
23. Posiadanie wspólnego hasła dla wszystkich lokalnych administratorów lub kont root na wszystkich komputerach w sieci upraszcza konserwację systemu, ale jest to powszechna słabość bezpieczeństwa, która staje się pojedynczym punktem awarii. Jeśli jeden komputer zostanie zhakowany, osoba atakująca może odzyskać hasło i użyć go do uzyskania dostępu do wszystkich innych komputerów, które używają współdzielonego hasła. Dlatego dobrze jest unikać używania tych samych haseł administratora lokalnego lub konta root w wielu systemach. Pozostałe trzy opcje, choć ryzykowne na swój sposób, nie dają ani jednego punktu awarii.
24. Które z poniższych stwierdzeń dotyczących wielostopniowego schematu tokenów nie jest prawdziwe w przypadku uwierzytelniania elektronicznego?
A. Dodatkowy token służy do elektronicznego odbioru transakcji.
B. Zapewnienie schematu wielostopniowego jest wyższe niż zapewnienie schematu wielotokenowego przy użyciu tego samego zestawu tokenów.
C. Dodatkowy token służy jako mechanizm potwierdzenia.
D. Dwa tokeny są używane w dwóch etapach w celu podniesienia poziomu pewności.
24.b. W wielostopniowym schemacie tokenów dwa tokeny są wykorzystywane w dwóch etapach, a dodatkowe tokeny są wykorzystywane do odbioru transakcji i mechanizmu potwierdzania w celu uzyskania wymaganego poziomu bezpieczeństwa. Poziom pewności połączenia tych dwóch etapów nie może być wyższy niż możliwy dzięki schematowi uwierzytelniania wielotokenowego przy użyciu tego samego zestawu tokenów.
25. Zgadywanie online jest zagrożeniem dla tokenów używanych w elektronice uwierzytelniania. Które z poniższych jest środkiem zaradczym aby złagodzić zagrożenie zgadywania online?
A. Używaj tokenów, które generują uwierzytelnienia o wysokiej entropii.
B. Używaj sprzętowych tokenów kryptograficznych.
C. Używaj tokenów z dynamicznymi uwierzytelniającymi.
D. Użyj tokenów wieloczynnikowych.
25.a. Entropia to niepewność zmiennej losowej. Tokeny, które generują elementy uwierzytelniające o wysokiej entropii, zapobiegają zgadywaniu w trybie online tajnych tokenów zarejestrowanych na uprawnionego wnioskodawcę i łamaniu tokenów w trybie offline. Pozostałe trzy opcje nie mogą zapobiec zgadywaniu tokenów lub haseł online.
26. Duplikacja tokena jest zagrożeniem dla tokenów wykorzystywanych do celów elektronicznego uwierzytelniania. Które z poniższych jest środkiem zaradczym aby złagodzić zagrożenie duplikacją tokena?
A. Używaj tokenów, które generują uwierzytelnienia o wysokiej entropii.
B. Używaj sprzętowych tokenów kryptograficznych.
C. Używaj tokenów z dynamicznymi uwierzytelniającymi.
D. Użyj tokenów wieloczynnikowych.
26.b. W duplikacji tokena token subskrybenta został skopiowany za wiedzą subskrybenta lub bez niej. Środkiem zaradczym jest użycie sprzętowych tokenów kryptograficznych, które są trudne do zduplikowania. Fizyczne mechanizmy bezpieczeństwa mogą być również używane do ochrony skradzionego tokena przed duplikacją, ponieważ zapewniają dowody manipulacji, wykrywanie i możliwości reagowania. Pozostałe trzy opcje nie poradzą sobie z problemem duplikatów tokenów.
27. Podsłuch stanowi zagrożenie dla tokenów służących do elektronicznego uwierzytelniania. Która z poniższych opcji jest środkiem zaradczym w celu złagodzenia zagrożenia podsłuchiwania?
A. Używaj tokenów, które generują uwierzytelnienia o wysokiej entropii.
B. Używaj sprzętowych tokenów kryptograficznych.
C. Używaj tokenów z dynamicznymi uwierzytelniającymi.
D. Użyj tokenów wieloczynnikowych.
27.c. Środkiem zaradczym mającym na celu złagodzenie zagrożenia podsłuchiwaniem jest użycie tokenów z dynamicznymi uwierzytelniającymi, w których wiedza o jednym uwierzytelniającym nie pomaga w wyprowadzeniu kolejnego uwierzytelniającego. Inne opcje są nieprawidłowe, ponieważ nie zapewniają dynamicznego uwierzytelniania.
28. Zarządzanie identyfikatorami ma zastosowanie do którego z poniższych rachunków?
A. Konta grupowe
B. Konta użytkowników lokalnych
C. Konta gości
D. Konta anonimowe
28.b. Wszyscy użytkownicy uzyskujący dostęp do systemów informatycznych organizacji muszą być jednoznacznie zidentyfikowani i uwierzytelnieni. Zarządzanie identyfikatorami ma zastosowanie do kont użytkowników lokalnych, w przypadku których konto jest ważne tylko na komputerze lokalnym, a jego tożsamość można przypisać do osoby. Zarządzanie identyfikatorami nie ma zastosowania do współdzielonych kont systemu informacyjnego, takich jak konta grupowe, gościnne, domyślne, puste, anonimowe i niespecyficzne.
29. Phishing lub pharming stanowi zagrożenie dla tokenów wykorzystywanych do elektronicznego uwierzytelniania. Która z poniższych opcji jest środkiem zaradczym w celu złagodzenia zagrożenia phishingiem lub pharmingiem?
A. Używaj tokenów, które generują uwierzytelnienia o wysokiej entropii.
B. Używaj sprzętowych tokenów kryptograficznych.
C. Używaj tokenów z dynamicznymi uwierzytelniającymi.
D. Użyj tokenów wieloczynnikowych.
29.c. Środkiem zaradczym w celu złagodzenia zagrożenia phishingiem lub pharmingiem jest użycie tokenów z dynamicznymi uwierzytelnieiami, w których wiedza o jednym uwierzytelniającym nie pomaga w wyprowadzeniu kolejnego uwierzytelniającego. Inne opcje są nieprawidłowe, ponieważ nie zapewniają dynamicznego uwierzytelniania. Phishing polega na nakłanianiu osób do ujawnienia poufnych danych osobowych za pomocą oszukańczych środków komputerowych. Ataki phishingowe wykorzystują socjotechnikę i podstępy techniczne do kradzieży danych osobowych konsumentów i danych uwierzytelniających do kont finansowych. Obejmuje oszustów internetowych, którzy wysyłają spam lub wyskakujące wiadomości, aby zwabić dane osobowe (np. numery kart kredytowych, informacje o koncie bankowym, numery ubezpieczenia społecznego, hasła lub inne poufne informacje) od niczego niepodejrzewających ofiar. Pharming źle kieruje użytkowników do oszustów witryn internetowych lub serwerów proxy, zwykle poprzez przejęcie lub zatrucie DNS.
30. Kradzież jest zagrożeniem dla tokenów służących do elektronicznego uwierzytelniania. Które z poniższych jest środkiem zaradczym w celu złagodzenia zagrożenia kradzieżą?
A. Używaj tokenów, które generują uwierzytelnienia o wysokiej entropii.
B. Używaj sprzętowych tokenów kryptograficznych.
C. Używaj tokenów z dynamicznymi uwierzytelniającymi.
D. Użyj tokenów wieloczynnikowych.
30.d. Środkiem zaradczym mającym na celu złagodzenie zagrożenia kradzieżą tokena jest użycie tokenów wieloczynnikowych, które należy aktywować za pomocą kodu PIN lub danych biometrycznych. Inne wybory są nieprawidłowe, ponieważ nie zapewniają tokenów wieloczynnikowych.
31. Socjotechnika stanowi zagrożenie dla tokenów wykorzystywanych do uwierzytelniania elektronicznego. Które z poniższych jest środkiem zaradczym w celu złagodzenia zagrożenia socjotechnicznego?
a. Używaj tokenów, które generują uwierzytelnienia o wysokiej entropii.
b. Użyj sprzętowych tokenów kryptograficznych.
c. Używaj tokenów z dynamicznymi uwierzytelniającymi.
d. Użyj tokenów wieloczynnikowych.
31.c. Środkiem zaradczym w celu złagodzenia zagrożenia socjotechnicznego jest użycie tokenów z dynamicznymi uwierzytelniającymi, gdzie wiedza o jednym wystawcy uwierzytelnienia nie pomaga w uzyskiwaniu kolejnego uwierzytelniacza. Inne opcje są nieprawidłowe, ponieważ nie zapewniają dynamicznego uwierzytelniania.
32. W przypadku uwierzytelniania elektronicznego, które z poniższych jest wykorzystywane do weryfikacji dowodu posiadania zarejestrowanych urządzeń lub identyfikatorów?
a. Wyszukaj tajny token
b. Token poza pasmem
c. Funkcja blokowania tokena
d. Fizyczny mechanizm bezpieczeństwa
32. b. Tokeny pozapasmowe mogą służyć do weryfikacji dowodu posiadania zarejestrowanych urządzeń (np. telefonów komórkowych) lub identyfikatorów (np. identyfikatory e-mail). Pozostałe trzy opcje nie mogą zweryfikować dowodu posiadania. Tajne tokeny wyszukiwania można kopiować. Niektóre tokeny mogą się zablokować po wielu nieudanych próbach aktywacji. Fizyczne mechanizmy bezpieczeństwa mogą służyć do ochrony skradzionego tokena przed duplikacją, ponieważ zapewniają one możliwość dowodu manipulacji, wykrywania i reagowania.
33. W przypadku uwierzytelniania elektronicznego, które z poniższych są przykładami słabo powiązanych referencji?
1. Nieszyfrowane pliki haseł
2. Podpisane pliki haseł
3. Niepodpisane certyfikaty klucza publicznego
4. Podpisane certyfikaty klucza publicznego
a. Tylko 1
b. 1 i 3
c. 1 i 4
d. 2 i 4
33. b. Nieszyfrowane pliki haseł i niepodpisane certyfikaty kluczy publicznych to przykłady słabo powiązanych poświadczeń. Powiązanie między tożsamością a tokenem w słabo powiązanym poświadczeniu można łatwo cofnąć i można łatwo utworzyć nowe powiązanie. Na przykład plik haseł jest słabo powiązanym poświadczeniem, ponieważ każdy, kto ma dostęp "zapis" do pliku haseł, może potencjalnie zaktualizować skojarzenie zawarte w pliku.
34. W przypadku uwierzytelniania elektronicznego, które z poniższych przykładów są przykładami poświadczeń silnie powiązanych?
1. Nieszyfrowane pliki haseł
2. Podpisane pliki haseł
3. Niepodpisane certyfikaty klucza publicznego
4. Podpisane certyfikaty klucza publicznego
a. Tylko 1
b. 1 i 3
c. 1 i 4
d. 2 i 4
34. d. Podpisane pliki haseł i podpisane certyfikaty kluczy publicznych to przykłady silnie powiązanych poświadczeń. Skojarzenia między tożsamością a tokenem w ramach silnie powiązanego poświadczenia nie można łatwo cofnąć. Na przykład podpis cyfrowy wiąże tożsamość z kluczem publicznym w certyfikacie klucza publicznego; manipulowanie tym podpisem można łatwo wykryć poprzez weryfikację podpisu.
35. W uwierzytelnianiu elektronicznym, które z poniższych elementów można wykorzystać do wyprowadzenia, odgadnięcia lub złamania wartości klucza tajnego tokena lub sfałszowania posiadania tokena?
a. Poświadczenia prywatne
b. Poświadczenia publiczne
c. Poświadczenia papierowe
d. Poświadczenia elektroniczne
35. a. Prywatny obiekt poświadczeń łączy tożsamość użytkownika z reprezentacją tokenu w taki sposób, że ujawnienie poświadczeń osobom nieupoważnionym może prowadzić do ujawnienia tajemnicy tokena. Poświadczeń prywatnych można użyć do uzyskania, odgadnięcia lub złamania wartości klucza tajnego tokena lub sfałszowania posiadania tokena. Dlatego ważne jest, aby zawartość prywatnego poświadczenia była poufna (np. zaszyfrowane wartości hasła). Poświadczenia publiczne są szeroko udostępniane, nie prowadzą do ujawnienia tajemnicy tokena i mają niewielkie lub żadne wymagania dotyczące poufności. Poświadczenia papierowe to dokumenty potwierdzające tożsamość osoby (np. paszporty, akty urodzenia i dowody tożsamości pracowników) oparte na pisemnych podpisach, pieczęciach, specjalnych dokumentach i specjalnych atramentach. Poświadczenia elektroniczne wiążą nazwisko osoby fizycznej z tokenem za pomocą certyfikatów X.509 i biletów Kerberos.
36. Kontrole autoryzacji są częścią których z poniższych?
a. Kontrole dyrektywy
b. Kontrole prewencyjne
c. Kontrola detektywistyczna
d. Kontrole korygujące
36 b. Kontrole autoryzacji, takie jak macierze kontroli dostępu i testy zdolności, są częścią kontroli prewencyjnych, ponieważ blokują nieautoryzowany dostęp. Kontrole prewencyjne przede wszystkim zapobiegają incydentom związanym z bezpieczeństwem. Kontrole dyrektyw są szeroko zakrojonymi mechanizmami kontroli incydentów bezpieczeństwa i obejmują polityki, procedury i dyrektywy kierownictwa. Kontrole detektywistyczne zwiększają bezpieczeństwo poprzez monitorowanie skuteczności kontroli prewencyjnych oraz wykrywanie incydentów bezpieczeństwa, w których kontrole prewencyjne zostały ominięte. Kontrole naprawcze to procedury reagowania na incydenty związane z bezpieczeństwem i podejmowania na czas działań naprawczych. Kontrole korygujące wymagają odpowiedniego planowania i przygotowania, ponieważ w większym stopniu opierają się na osądzie człowieka.
37. W uwierzytelnianiu elektronicznym, po utworzeniu poświadczenia, który z poniższych jest odpowiedzialny za utrzymanie poświadczenia w magazynie?
a. Weryfikator
b. Strona ufająca
c. Dostawca usług poświadczeń
d. Organ rejestracyjny
37. c. Dostawca usług poświadczeń (CSP) jest jedynym odpowiedzialnym za utrzymywanie poświadczeń w magazynie. Weryfikator i CSP mogą, ale nie muszą należeć do tego samego podmiotu. Pozostałe trzy wybory są nieprawidłowe, ponieważ nie mają zastosowania w tej sytuacji.
38. Która z poniższych jest poprawną definicją zarządzania uprawnieniami?
a. Zarządzanie uprawnieniami = Atrybuty jednostki + Zasady jednostki
b. Zarządzanie uprawnieniami = Zarządzanie atrybutami + Zarządzanie polityką
c. Zarządzanie uprawnieniami = Atrybuty zasobów + Zasady dotyczące zasobów
d. Zarządzanie uprawnieniami = Atrybuty środowiska + Zasady Środowiska
38. b Zarządzanie uprawnieniami jest definiowane jako proces, który tworzy, zarządza i przechowuje atrybuty i polityki potrzebne do ustalenia kryteriów, które mogą być użyte do podjęcia decyzji, czy należy przyznać prośbie uwierzytelnionego podmiotu o dostęp do pewnych zasobów. Zarządzanie uprawnieniami jest koncepcyjnie podzielone na dwie części: zarządzanie atrybutami i zarządzanie zasadami. Zarządzanie atrybutami jest dalej definiowane w kategoriach atrybutów encji, atrybutów zasobów i atrybutów środowiska. Podobnie zarządzanie polityką jest dalej definiowane w kategoriach polityki jednostki, polityki zasobów i polityki środowiskowej.
39. Rozszerzalny język znaczników kontroli dostępu (XACML) nie może zdefiniować ani nie wspiera, które z poniższych?
a. Zarządzanie zaufaniem
b. Zarządzanie uprawnieniami
c. Język polityki
d. Język zapytań
39. a Rozszerzalny język znaczników kontroli dostępu (XACML) to standard zarządzania polityką kontroli dostępu i obsługuje zarządzanie uprawnieniami na poziomie przedsiębiorstwa. Zawiera język zasad i język zapytań. Jednak XACML nie definiuje delegowania uprawnień i zarządzania zaufaniem.
40. W przypadku funkcji zabezpieczeń systemu wykrywania włamań i zapobiegania im (IDPS), które z poniższych działań zapobiegawczych należy wykonać jako pierwsze, aby zmniejszyć ryzyko nieumyślnego zablokowania łagodnych działalności?
1. Możliwość włączenia alertów.
2. Możliwość wyłączania alertów.
3. Możliwość uczenia się czujnika.
4. Możliwość trybu symulacji czujnika.
a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4
40. d. Niektóre czujniki systemu wykrywania i zapobiegania włamaniom (IDPS) mają tryb uczenia się lub tryb symulacji, który wstrzymuje wszystkie działania prewencyjne i zamiast tego wskazuje, kiedy należało je wykonać. Ta możliwość umożliwia administratorom monitorowanie i dostosowywanie konfiguracji funkcji prewencyjnych przed włączeniem działań prewencyjnych, co zmniejsza ryzyko nieumyślnego zablokowania niegroźnej aktywności. Alerty można później włączyć lub wyłączyć.
41. Które z poniższych elementów w procesie uwierzytelniania elektronicznego jest słabo odporne na ataki typu man-in-the-middle (MitM)?
a. Mechanizm blokady konta
b. Losowe dane
c. Wysyłanie hasła przez uwierzytelniony serwer TLS
d. Chwilowo
41.c. Mówi się, że protokół ma słabą odporność na ataki MitM, jeśli zapewnia stronie wnoszącej roszczenie mechanizm umożliwiający ustalenie, czy wchodzi on w interakcję z prawdziwym weryfikatorem, ale nadal pozostawia nieuważnemu wnioskodawcy możliwość ujawnienia tokena uwierzytelniającego nieupoważnionej stronie, która może być używane do podszywania się pod wnoszącego roszczenie wobec prawdziwego weryfikatora. Na przykład wysyłanie hasła przez zabezpieczenia warstwy transportowej uwierzytelnionej przez serwer (TLS) jest słabo odporne na ataki MitM. Przeglądarka umożliwia stronie wnoszącej roszczenie weryfikację tożsamości weryfikatora; jeśli jednak powód nie będzie wystarczająco czujny, hasło zostanie ujawnione osobie nieuprawnionej, która może nadużyć informacji. Pozostałe trzy opcje nie dotyczą ataków MitM, ale mogą usprawnić ogólny proces uwierzytelniania elektronicznego. W weryfikatorze zaimplementowano mechanizm blokowania konta, aby zapobiec odgadnięciu haseł w trybie online przez atakującego, który próbuje uwierzytelnić się jako uprawniony podmiot wnoszący roszczenie. Do ukrycia prawdziwych danych można użyć danych losowych i jednorazowych.
42. Które z poniższych elementów w procesie uwierzytelniania elektronicznego jest silnie odporne na ataki typu man-in-the-middle (MitM)?
a. Szyfrowana wymiana kluczy (EKE)
b. Prosta wykładnicza wymiana klucza hasła (SPEKE)
c. Bezpieczny protokół zdalnego hasła (SRP)
d. Zabezpieczenia warstwy transportowej uwierzytelnionej przez klienta (TLS)
42. d Mówi się, że protokół jest wysoce odporny na ataki typu man-in-the-middle (MitM), jeśli nie umożliwia stronie występującej z roszczeniem ujawnienie osobie atakującej podszywającej się pod weryfikującego informacji (np. tajnych tokenów i elementów uwierzytelniających), które mogą być używane przez tego ostatniego do maskowania prawdziwego weryfikatora jako prawdziwego wnioskodawcy. Na przykład w przypadku zabezpieczeń TLS z uwierzytelnionym klientem przeglądarka i serwer sieci Web uwierzytelniają się nawzajem przy użyciu poświadczeń infrastruktury klucza publicznego (PKI), dzięki czemu są wysoce odporne na ataki MitM. Pozostałe trzy opcje są nieprawidłowe, ponieważ są przykładami słabej odporności na ataki MitM i przykładami protokołu haseł o zerowej wiedzy, w którym strona wnosząca roszczenie jest uwierzytelniana przed weryfikatorem bez ujawniania sekretu tokena.
43. W przypadku uwierzytelniania elektronicznego, która z poniższych kontroli jest skuteczna w przypadku luk w zabezpieczeniach XSS (cross site scripting)?
a. Oczyść dane wejściowe, aby uniemożliwić ich wykonywanie.
b. Wstaw losowe dane do dowolnego połączonego jednolitego lokalizatora zasobów.
c. Wstaw losowe dane do ukrytego pola.
d. Użyj hasła współdzielonego na sesję.
43. a. W przypadku luki w zabezpieczeniach XSS (cross site scripting) osoba atakująca może użyć wstrzykniętego języka XML (Extensible Markup Language) w celu wykonania odpowiednika XSS, w którym żądania prawidłowej usługi sieci Web są w sposób przezroczysty przekierowywane do usługi sieci Web kontrolowanej przez atakującego, która wykonuje złośliwe operacje. Aby zapobiec podatności XSS , strona ufająca powinna oczyścić dane wejściowe od wnioskodawców lub subskrybentów, aby upewnić się, że nie są one wykonywalne lub przynajmniej nie są złośliwe, przed wyświetleniem ich jako treści w przeglądarce subskrybenta. Pozostałe trzy wybory są nieprawidłowe, ponieważ nie mają zastosowania w tej sytuacji.
44. W przypadku uwierzytelniania elektronicznego, która z poniższych kontroli nie jest skuteczna w przypadku ataku typu cross site request forgery (CSRF)?
a. Oczyść dane wejściowe, aby uniemożliwić ich wykonywanie.
b. Wstaw losowe dane do dowolnego połączonego jednolitego lokalizatora zasobów.
c. Wstaw losowe dane do ukrytego pola.
d. Wygeneruj wspólny sekret dla sesji.
44. a. Cross site request forgery (CSRF) to rodzaj ataku polegającego na przejmowaniu sesji, w którym złośliwa witryna zawiera łącze do adresu URL legalnej strony ufającej. Aplikacje internetowe, nawet te chronione przez Secure Sockets Layer/Transport Layer Security (SSL/TLS), nadal mogą być podatne na atak CSRF. Jedną z kontroli w celu ochrony ataku CSRF jest wstawianie losowych danych, dostarczonych przez stronę ufającą, do dowolnego połączonego, jednolitego lokalizatora zasobów ze skutkami ubocznymi oraz do ukrytego pola w dowolnym formularzu na stronie internetowej strony ufającej. Generowanie sekretu współdzielonego na sesję jest skuteczne w przypadku problemu z przejmowaniem sesji. Oczyszczanie danych wejściowych w celu uniemożliwienia ich wykonywania jest skuteczne w przypadku ataków XSS (cross site scripting), a nie ataków CSRF.
45. W uwierzytelnianiu elektronicznym, które z poniższych może łagodzić groźbę wytworzenia i/lub modyfikacji twierdzenia?
a. Podpis cyfrowy i TLS/SSL
b. Znacznik czasu i krótki okres ważności
c. Podpis cyfrowy z kluczem wspierającym niezaprzeczalność
d. HTTP i TLS
45.a. Asercja to oświadczenie weryfikatora skierowane do strony ufającej, zawierające informacje o tożsamości subskrybenta. Aby złagodzić zagrożenie wytwarzaniem i/lub modyfikacją asercji, asercja może być podpisana cyfrowo przez weryfikatora i przesłana przez chroniony kanał, taki jak TLS/SSL. Pozostałe trzy wybory są nieprawidłowe, ponieważ nie mają zastosowania w tej sytuacji.
46. W przypadku uwierzytelniania elektronicznego, które z poniższych elementów mogą złagodzić zagrożenie ponownego wykorzystania asercji?
a. Podpis cyfrowy i TLS/SSL
b. Znacznik czasu i krótki okres ważności
c. Podpis cyfrowy z kluczem wspierającym niezaprzeczalność
d. HTTP i TLS
46.b. Asercja to oświadczenie weryfikatora skierowane do strony ufającej, zawierające informacje o tożsamości subskrybenta. Aby złagodzić zagrożenie ponownego wykorzystania asercji, asercja powinna zawierać znacznik czasu i krótki okres ważności. Pozostałe trzy wybory są nieprawidłowe, ponieważ nie mają zastosowania w tej sytuacji.
47. W uwierzytelnianiu elektronicznym, które z poniższych mogą złagodzić zagrożenie odrzuceniem asercji?
a. Podpis cyfrowy i TLS/SSL
b. Znacznik czasu i krótki okres ważności
c. Podpis cyfrowy z kluczem wspierającym niezaprzeczalność
d. HTTP i TLS
47. c. Asercja to oświadczenie weryfikatora skierowane do strony ufającej, zawierające informacje o tożsamości subskrybenta. Aby złagodzić zagrożenie odrzuceniem asercji, asercja może być podpisana cyfrowo przez weryfikatora przy użyciu klucza obsługującego niezaprzeczalność. Pozostałe trzy wybory są nieprawidłowe, ponieważ nie mają zastosowania w tej sytuacji.
48. W uwierzytelnianiu elektronicznym, które z poniższych mogą złagodzić zagrożenie substytucją asercji?
a. Podpis cyfrowy i TLS/SSL
b. Znacznik czasu i krótki okres ważności
c. Podpis cyfrowy z kluczem wspierającym niezaprzeczalność
d. HTTP i TLS
48. d. Asercja to oświadczenie weryfikatora skierowane do strony ufającej, zawierające informacje o tożsamości subskrybenta. Aby złagodzić zagrożenie podstawieniem asercji, asercja może zawierać kombinację protokołu HTTP do obsługi kolejności komunikatów i TLS do wykrywania i blokowania złośliwej zmiany kolejności pakietów. Pozostałe trzy wybory są nieprawidłowe, ponieważ nie mają zastosowania w tej sytuacji.
49. Poważne luki w zabezpieczeniach istnieją, gdy:
a. Niezaufanej osobie przyznano nieautoryzowany dostęp.
b. Zaufanej osobie przyznano autoryzowany dostęp.
c. Osobie niezaufanej przyznano autoryzowany dostęp.
d. Zaufanej osobie przyznano nieautoryzowany dostęp.
49.a. Luki zwykle pojawiają się, gdy niezaufana osoba dostała nieautoryzowany dostęp do systemu. Udzielanie nieautoryzowanego dostępu jest bardziej ryzykowne niż udzielanie autoryzowanego dostępu osobie niezaufanej, a osoby zaufane są lepsze niż osoby niezaufane. Zarówno zaufanie, jak i autoryzacja są ważne, aby zminimalizować luki w zabezpieczeniach. Pozostałe trzy wybory są nieprawidłowe, ponieważ mogą nie istnieć w nich poważne luki.
50. W uwierzytelnianiu urządzeń mobilnych przykładem jest uwierzytelnianie hasłem i osobistym numerem identyfikacyjnym (PIN) z następujących?
a. Dowód przez posiadanie
b. Dowód za wiedzą
c. Dowód według właściwości
d. Dowód pochodzenia
50.b. Potwierdzenie wiedzy to sytuacja, w której strona wnosząca roszczenie uwierzytelnia swoją tożsamość przed weryfikatorem za pomocą hasła lub kodu PIN (tj. czegoś, o czym wiesz), o czym ma wiedzę. Proof-by-posiesion i proof-by-property, wraz z proof-byknowledge, są wykorzystywane do uwierzytelniania urządzeń mobilnych i niezawodnego uwierzytelniania. Dowód pochodzenia jest podstawą do udowodnienia twierdzenia. Na przykład prywatny klucz podpisu służy do generowania podpisów cyfrowych jako dowodu pochodzenia.
51. W przypadku uwierzytelniania urządzeń mobilnych uwierzytelnianie odciskiem palca jest przykładem którego z poniższych?
a. Dowód przez posiadanie
b. Dowód za wiedzą
c. Dowód według właściwości
d. Dowód pochodzenia
51. c. Dowód według właściwości to sytuacja, w której wnioskodawca uwierzytelnia swoją tożsamość przed weryfikatorem za pomocą próbki biometrycznej, takiej jak odciski palców (tj. kimś, kim jesteś). Weryfikacja przez posiadanie i weryfikacja przez wiedzę, wraz z weryfikacją przez właściwość, są wykorzystywane do uwierzytelniania urządzeń mobilnych i niezawodnego uwierzytelniania. Dowód pochodzenia jest podstawą do udowodnienia twierdzenia. Na przykład prywatny klucz podpisu służy do generowania podpisów cyfrowych jako dowodu pochodzenia.
52. Które z poniższych działań jest skuteczne w przypadku przeglądania kont gości/anonimowych, kont tymczasowych, kont nieaktywnych i kont awaryjnych?
a. Wyłączanie
b. Audyt
c. Powiadamianie
d. Zakończenie
52. b.Wszystkie konta wymienione w pytaniu można wyłączyć, powiadomić lub zamknąć, ale nie jest to skuteczne. Audyt tworzenia, modyfikacji, powiadamiania, wyłączania i zamykania konta (tj. całego cyklu konta) jest skuteczny, ponieważ może identyfikować anomalie w procesie cyklu konta.
53. Jeśli chodzi o egzekwowanie dostępu, który z poniższych mechanizmów nie powinien być stosowany, gdy konieczna jest natychmiastowa reakcja w celu zapewnienia bezpieczeństwa publicznego i ochrony środowiska?
a. Podwójny kabel
b. Podwójna autoryzacja
c. Certyfikat podwójnego zastosowania
d. Podwójny szkielet
53. b. Mechanizmy podwójnej autoryzacji wymagają do wykonania dwóch form zgody. Organizacja nie powinna stosować mechanizmu podwójnej autoryzacji, gdy konieczna jest natychmiastowa reakcja w celu zapewnienia bezpieczeństwa publicznego i środowiskowego, ponieważ może to spowolnić potrzebną reakcję. Pozostałe trzy opcje są odpowiednie, gdy konieczna jest natychmiastowa reakcja.
54. Które z poniższych nie jest przykładem nieuznaniowej kontroli dostępu?
a. Kontrola dostępu na podstawie tożsamości
b. Obowiązkowa kontrola dostępu
c. Kontrola dostępu oparta na rolach
d. Ograniczenia czasowe
54. a. Nieuznaniowe zasady kontroli dostępu mają reguły, które nie są ustalane według uznania użytkownika. Te kontrolki mogą być zmieniane tylko przez działania administracyjne, a nie przez użytkowników. Decyzja kontroli dostępu opartej na tożsamości (IBAC) przyznaje lub odrzuca żądanie na podstawie obecności jednostki na liście kontroli dostępu (ACL). IBAC i uznaniowa kontrola dostępu są uważane za równoważne i nie są przykładami nieuznaniowej kontroli dostępu. Pozostałe trzy opcje są przykładami nieuznaniowej kontroli dostępu. Obowiązkowa kontrola dostępu dotyczy reguł, kontrola dostępu oparta na rolach dotyczy stanowisk i funkcji, a ograniczenia czasowe dotyczą ograniczeń czasowych i kontrolują czynności zależne od czasu.
55. Szyfrowanie jest stosowane w celu zmniejszenia prawdopodobieństwa nieuprawnionego ujawnienia i zmian informacji, gdy system znajduje się w których następujące bezpieczne, niesprawne stany systemu?
a. Rozwiązywanie problemów
b. Offline w celu konserwacji
c. Uruchamianie
d. Zamknąć
55. b. Bezpieczne, nieoperacyjne stany systemu to stany, w których system informacyjny nie wykonuje przetwarzania związanego z działalnością. Stany te obejmują tryb offline w celu konserwacji, rozwiązywania problemów, uruchamiania i zamykania. Dane offline powinny być przechowywane z szyfrowaniem w bezpiecznej lokalizacji. Usunięcie informacji z magazynu online do magazynu offline eliminuje możliwość uzyskania przez osoby nieautoryzowanego dostępu do tych informacji za pośrednictwem sieci.
56. Obiekty bitmapowe i obiekty tekstowe są częścią których przestrzegasz filtrów zasad bezpieczeństwa?
a. Filtry sprawdzające typ pliku
b. Filtry treści metadanych
c. Nieustrukturyzowane filtry danych
d. Ukryte filtry treści
56.c. Dane nieustrukturyzowane składają się z dwóch podstawowych kategorii: obiektów bitmapowych (np. pliki graficzne, audio i wideo) oraz obiektów tekstowych (np. wiadomości e-mail i arkusze kalkulacyjne). Filtry zasad bezpieczeństwa obejmują filtry sprawdzające typy plików, filtry brudnych słów, filtry danych strukturalnych i niestrukturalnych, filtry zawartości metadanych i filtry zawartości ukrytej.
57. Egzekwowanie kontroli przepływu informacji za pomocą zestawów reguł ograniczających usługi systemu informatycznego zapewnia:
1. Ustrukturyzowane filtry danych
2. Filtry treści metadanych
3. Filtry pakietów
4. Filtry wiadomości
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
57. c. Filtry pakietów opierają się na informacjach nagłówka, podczas gdy filtry wiadomości są oparte na treści przy użyciu wyszukiwania słów kluczowych. Zarówno filtry pakietów, jak i filtry wiadomości wykorzystują zestawy reguł. Filtry danych strukturalnych i filtry treści metadanych nie korzystają z zestawów reguł.
58. W przypadku wymuszania przepływu informacji, jakie są jawne atrybuty bezpieczeństwa używane do kontroli?
a. Udostępnienie danych wrażliwych
b. Zawartość danych
c. Struktura danych
d. Obiekty źródłowe
58.a. Wymuszanie przepływu informacji przy użyciu jawnych atrybutów bezpieczeństwa służy do kontrolowania uwalniania niektórych rodzajów informacji, takich jak dane wrażliwe. Treść danych, struktura danych oraz obiekty źródłowe i docelowe to przykłady niejawnych atrybutów bezpieczeństwa.
59. Co obejmują mechanizmy egzekwowania polityki, używane do przesyłania informacji między różnymi domenami bezpieczeństwa przed transferem?
1. Zasady osadzania
2. Zasady zwalniania
3. Zasady filtrowania
4. Zasady sanityzacji
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
59. c. Mechanizmy egzekwowania zasad obejmują filtrowanie i/lub reguły oczyszczania, które są stosowane do informacji przed przeniesieniem do innej domeny bezpieczeństwa. Reguły osadzania i reguły zwalniania nie obsługują przesyłania informacji.
60. Które z poniższych nie jest przykładem reguł polityki dla transferów międzydomenowych?
a. Zakaz więcej niż dwóch poziomów osadzania
b. Ułatwienie decyzji politycznych dotyczących źródła i przeznaczenia
c. Zakaz przekazywania zarchiwizowanych informacji
d. Ograniczanie wbudowanych komponentów w innych komponentach
60. b. Analizowanie przesyłanych plików ułatwia podejmowanie decyzji dotyczących zasad dotyczących źródła, miejsca docelowego, certyfikatów, podmiotu klasyfikacji lub załączników. Pozostałe trzy opcje to przykłady reguł zasad dotyczących transferów międzydomenowych.
61. Które z poniższych są sposobami ograniczenia zakresu potencjalnie złośliwej zawartości podczas przesyłania informacji między różnymi domenami bezpieczeństwa?
1. Ogranicz długość plików
2. Ogranicz zestawy znaków
3. Schematy ograniczeń
4. Ogranicz struktury danych
a. 1 i 3
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
61. d. System informacyjny podczas przesyłania informacji między różnymi domenami bezpieczeństwa implementuje filtry polityki bezpieczeństwa, które ograniczają długość plików, zestawy znaków, schematy, struktury danych i umożliwiają wyliczenia w celu zmniejszenia zakresu potencjalnie złośliwej i/lub niesankcjonowanej zawartości.
62. Które z poniższych nie mogą wykryć niesankcjonowanych informacji i zabronić przesyłania takich informacji między różnymi domenami bezpieczeństwa (tj. egzekwowania typu domeny)?
a. Wdrażanie przepływów jednokierunkowych
b. Sprawdzanie informacji pod kątem złośliwego oprogramowania
c. Implementacja wyszukiwania brudnej listy słów
d. Stosowanie atrybutów bezpieczeństwa do metadanych
62. a. Przepływy jednokierunkowe są realizowane przy użyciu mechanizmów sprzętowych do kontrolowania przepływu informacji w systemie i między połączonymi systemami. W związku z tym nie mogą wykryć niesankcjonowanych Informacji. Pozostałe trzy opcje wykrywają niesankcjonowane informacje i zabraniają przesyłania za pomocą działań, takich jak sprawdzanie wszystkich przesyłanych informacji pod kątem złośliwego oprogramowania, wdrażanie przeszukiwania listy brudnych słów w przesyłanych informacjach oraz stosowanie atrybutów bezpieczeństwa do metadanych, które są podobne do ładunków informacyjnych.
63. Które z poniższych łączy atrybuty bezpieczeństwa z informacjami w celu ułatwienia egzekwowania zasad przepływu informacji?
a. Etykiety zabezpieczające
b. Etykiety rozdzielczości
c. Etykiety nagłówka
d. Etykiety plików
63. b. Sposoby wiązania i egzekwowania przepływu informacji obejmują etykiety rozdzielczości, które rozróżniają systemy informacyjne i ich określone komponenty oraz osoby zaangażowane w przygotowywanie, wysyłanie, odbieranie lub rozpowszechnianie informacji. Pozostałe trzy typy etykiet nie mogą wiązać atrybutów bezpieczeństwa z informacjami.
64. Który z poniższych mechanizmów egzekwowania dostępu zapewnia zwiększone bezpieczeństwo informacji w organizacji?
a. Listy kontroli dostępu
b. System aplikacji biznesowych
c. Macierze kontroli dostępu
d. Kryptografia
64. b. Normalne mechanizmy wymuszania dostępu obejmują listy kontroli dostępu, macierze kontroli dostępu i kryptografię. Zwiększone bezpieczeństwo informacji jest zapewnione na poziomie systemu aplikacji (tj. systemów księgowych i marketingowych) dzięki zastosowaniu hasła i kodu PIN.
65. d. Co zawierają rozwiązania architektoniczne w zakresie bezpieczeństwa w celu egzekwowania polityk bezpieczeństwa dotyczących informacji w połączonych systemach?
1. Wdrożenie mechanizmów tylko dostępu
2. Wdrożenie mechanizmów transferu w jedną stronę
3. Wykorzystanie mechanizmów sprzętowych w celu zapewnienia jednolitych kierunków przepływu
4. Wdrożenie mechanizmów regradingu w celu ponownego przypisania atrybutów bezpieczeństwa
a. Tylko 1
b. Tylko 2
c. Tylko 3
d. 1, 2, 3 i 4
65. d. Konkretne architektoniczne rozwiązania zabezpieczające mogą zmniejszyć ryzyko nieodkrytych luk w zabezpieczeniach. Rozwiązania te obejmują wszystkie cztery wymienione pozycje.
66. Z punktu widzenia kontroli dostępu podział obowiązków jest dwojakiego rodzaju: statyczny i dynamiczny. Które z poniższych są przykładami statycznego podziału obowiązków?
1. Kontrola dostępu oparta na rolach
2. Polityka przepływu pracy
3. Kontrola dostępu oparta na regułach
4. Polityka chińskiego muru
a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4
66. b. Oddzielenie ograniczeń obowiązków wymaga, aby dwie role wzajemnie się wykluczały, ponieważ żaden użytkownik nie powinien mieć uprawnień z obu ról. Zarówno kontrola dostępu oparta na rolach, jak i regułach są przykładami statycznego rozdziału obowiązków. Dynamiczne rozdzielenie obowiązków jest egzekwowane w czasie dostępu, a decyzja o przyznaniu dostępu odwołuje się do historii dostępu w przeszłości. Przykłady dynamicznego rozdziału obowiązków obejmują politykę przepływu pracy i politykę Muru Chińskiego.
67. W przypadku technik identyfikacji i uwierzytelniania opartych na biometrii, które z poniższych stwierdzeń dotyczących błędów biometrycznych są prawdziwe?
1. Preferowany jest wysoki wskaźnik fałszywych odrzuceń.
2. Preferowany jest niski wskaźnik fałszywej akceptacji.
3. Wysoki współczynnik błędu krzyżowania oznacza niską dokładność.
4. Niski współczynnik błędu krzyżowania oznacza niską dokładność.
a. 1 i 3
b. 1 i 4
c. 2 i 3
d. 2 i 4
67.c. Celem technik identyfikacji i uwierzytelniania opartych na danych biometrycznych dotyczących błędów biometrycznych jest uzyskanie niskich wartości zarówno dla błędów fałszywego współczynnika odrzucenia, jak i fałszywego współczynnika akceptacji. Innym celem jest uzyskanie niskiego współczynnika błędu krzyżowania, ponieważ reprezentuje on wysoką dokładność lub wysokiego współczynnika błędu krzyżowania, ponieważ reprezentuje niską dokładność.
68. W przypadku zarządzania hasłami hasła wybierane przez użytkownika zazwyczaj zawierają które z poniższych elementów?
1. Mniej entropii
2. Łatwiejsze do zapamiętania dla użytkowników
3. Słabsze hasła
4. Łatwiejsze odgadnięcie przez atakujących
a. Tylko 2
b. 2 i 3
c. 2, 3 i 4
d. 1, 2, 3 i 4
68. d. Hasła wybierane przez użytkownika zazwyczaj zawierają mniej entropii, są łatwiejsze do zapamiętania przez użytkowników, używają słabszych haseł, a jednocześnie są łatwiejsze do odgadnięcia lub złamania przez atakujących.
69. W ramach scentralizowanego rozwiązania do zarządzania hasłami, która z poniższych architektur dla technologii pojedynczego logowania staje się pojedynczym punktem awarii?
a. Usługa uwierzytelniania Kerberos
b. Lekki protokół dostępu do katalogu
c. Hasła domeny
d. Scentralizowany serwer uwierzytelniania
69. d. Wspólną architekturą dla jednokrotnego logowania (SSO) jest posiadanie usługi uwierzytelniania, taka jak Kerberos, służąca do uwierzytelniania użytkowników SSO oraz baza danych lub usługa katalogowa, taka jak lekki protokół dostępu do katalogu (LDAP), która przechowuje informacje uwierzytelniające dla zasobów, dla których uwierzytelnianie jest obsługiwane przez jednokrotne logowanie. Z definicji technologia SSO wykorzystuje hasło, a rozwiązanie SSO zwykle obejmuje jeden lub więcej scentralizowanych serwerów zawierających dane uwierzytelniające dla wielu użytkowników. Taki serwer staje się pojedynczym punktem awarii do uwierzytelniania do wielu zasobów, więc dostępność serwera wpływa na dostępność wszystkich zasobów, które opierają się na tym serwerze.
70. Jeśli nie zostanie przeprowadzone właściwe wzajemne uwierzytelnienie, co to jest technologia pojedynczego logowania podatna na?
a. Atak Man-in-the-Middle
b. Powtórzony atak
c. Atak socjotechniczny
d. Atak phishingowy
70. a. Uwierzytelnianie użytkownika w technologii jednokrotnego logowania (SSO) jest ważne. Jeśli nie zostanie wykonane prawidłowe uwierzytelnienie wzajemne, technologia SSO wykorzystująca hasła jest podatna na atak typu man-in-the-middle (MitM). Ataki socjotechniczne i phishing opierają się na hasłach, a ataki typu Replay nie wykorzystują haseł.
71. Z punktu widzenia kontroli dostępu podział obowiązków jest dwojakiego rodzaju: statyczny i dynamiczny. Które z poniższych są przykładami dynamicznego podziału obowiązków?
1. Zasada dwóch osób
2. Separacja obowiązków oparta na historii
3. Czas projektowania
4. Czas pracy
a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4
71. a. Zasada dwóch osób mówi, że pierwszy użytkownik może być dowolnym autoryzowanym użytkownikiem, ale drugi użytkownik może być dowolnym autoryzowanym użytkownikiem innym niż pierwszy. Podział obowiązków na podstawie historii reguluje, że ten sam podmiot (rola lub użytkownik) nie może uzyskać dostępu do tego samego obiektu (programu lub urządzenia) zmienną liczbę razy. Czas projektowania i czas wykonywania są używane w zasadach przepływu pracy.
72. Z punktu widzenia kontroli dostępu polityka chińskiego muru koncentruje się na którym z poniższych?
a. Poufność
b. Integralność
c. Dostępność
d. Zapewnienie
72. a. Zasady chińskiego muru stosuje się, gdy poufne informacje firmy (tj. poufność) są podzielone na wzajemnie rozłączne kategorie konfliktów interesów. Model Biba skupia się na uczciwości. Dostępność, pewność i integralność to inne składniki zasad bezpieczeństwa, które nie mają związku z polityką Muru Chińskiego.
73. Z punktu widzenia kontroli dostępu, który z poniższych elementów zapewnia spójność między danymi wewnętrznymi a oczekiwaniami użytkowników wobec tych danych?
a. Polityka bezpieczeństwa
b. Polityka przepływu pracy
c. Polityka kontroli dostępu
d. Polityka chińskiego muru
73. b. Celem polityki przepływu pracy jest zachowanie spójności między danymi wewnętrznymi a zewnętrznymi (użytkownikami) oczekiwaniami dotyczącymi tych danych. Dzieje się tak, ponieważ przepływ pracy to proces składający się z zadań, dokumentów i danych. Polityka Muru Chińskiego zajmuje się dzieleniem danych wrażliwych na osobne kategorie. Polityka bezpieczeństwa i polityka kontroli dostępu są zbyt ogólne, aby miały tutaj jakiekolwiek znaczenie.
74. Z punktu widzenia kontroli dostępu oddzielenie obowiązków nie jest związane z którym z poniższych?
a. Bezpieczeństwo
b. Niezawodność
c. Oszustwo
d. Bezpieczeństwo
74. b. Systemy komputerowe muszą być projektowane i rozwijane z myślą o bezpieczeństwie i bezpieczeństwie, ponieważ niezabezpieczone i niebezpieczne systemy mogą powodować obrażenia ludzi i uszkodzenia mienia (np. systemy wojskowe i lotnicze). Dzięki rozdzieleniu obowiązków (SOD) oszustwa można zminimalizować, gdy wrażliwe zadania są oddzielone od siebie (np. podpisanie czeku od żądania czeku). Niezawodność jest bardziej terminem inżynieryjnym, ponieważ oczekuje się, że system komputerowy będzie działał z wymaganą precyzją w sposób ciągły. Z drugiej strony SOD zajmuje się ludźmi i ich działaniami związanymi z pracą, które nie są precyzyjne i spójne.
75. Które z poniższych stwierdzeń dotyczących kontroli dostępu, bezpieczeństwa, zaufania i rozdziału obowiązków są prawdziwe?
1. Nie zezwala się na wyciek uprawnień dostępu osobom nieuprawnionym.
2. Żadne uprawnienia dostępu nie mogą być eskalowane do nieautoryzowanego podmiotu.
3. Brak zaufania zleceniodawców oznacza brak bezpieczeństwa.
4. Brak podziału obowiązków oznacza brak bezpieczeństwa.
a. Tylko 1
b. Tylko 2
c. 1, 2 i 3
d. 1, 2, 3 i 4
75. d. Jeśli pełne zaufanie zleceniodawcy nie jest praktyczne, istnieje możliwość naruszenia bezpieczeństwa. W niektórych modelach kontroli dostępu do egzekwowania bezpieczeństwa i ochrony stosuje się koncepcję podziału obowiązków. W przypadku, gdy jest wielu użytkowników (podmiotów), obiektów i relacji między podmiotami i przedmiotami, bezpieczeństwo należy dokładnie rozważyć.
76. Z punktu widzenia konfiguracji bezpieczeństwa, koncepcja rozdziału obowiązków nie jest egzekwowana w którym z poniższych?
a. Obowiązkowa polityka kontroli dostępu
b. Model kontroli dostępu Bell-LaPadula
c. Model macierzy kontroli dostępu
d. Model kontroli dostępu wymuszania typu domeny
76. c. Koncepcja oddzielenia obowiązków nie jest wymuszana przez model macierzy kontroli dostępu, ponieważ nie jest on skonfigurowany pod kątem bezpieczeństwa i opiera się na arbitralnym ograniczeniu. Pozostałe trzy opcje wykorzystują modele ograniczonej kontroli dostępu z ograniczeniami dostępu, które opisują wymagania bezpieczeństwa dowolnej konfiguracji.
77. Które z poniższych stwierdzeń dotyczących kontroli dostępu i bezpieczeństwa są prawdziwe?
1. Bardziej złożone polityki bezpieczeństwa wymagają bardziej elastycznych kontroli dostępu.
2. Dodanie elastyczności do modeli z ograniczoną kontrolą dostępu zwiększa problemy z bezpieczeństwem.
3. Istnieje kompromis między ekspresyjną siłą modelu kontroli dostępu a łatwością egzekwowania bezpieczeństwa.
4. W modelu niejawnych ograniczeń dostępu egzekwowanie bezpieczeństwa jest stosunkowo łatwiejsze niż w modelu ograniczeń arbitralnych.
a. 1 i 3
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
77. d. Ogólnie rzecz biorąc, modele wyrażania polityki kontroli dostępu, takie jak modele oparte na rolach i macierzach kontroli dostępu, działają na arbitralnych ograniczeniach, a egzekwowanie bezpieczeństwa jest trudne. W niejawnych (ograniczonych) modelach ograniczeń dostępu (np. Bell-LaPadula) egzekwowanie bezpieczeństwa jest osiągalne.
78. Celem statycznego rozdziału obowiązków jest rozwiązanie problemów, takich jak statyczna wyłączność i zasada pewności. Które z poniższych odnosi się do problemu wyłączności statycznej?
1. Aby zmniejszyć prawdopodobieństwo oszustwa.
2. Aby zapobiec utracie obiektywizmu użytkownika.
3. Jeden użytkownik jest mniej skłonny do popełnienia oszustwa, gdy jest częścią wielu użytkowników zaangażowanych w transakcję biznesową.
4. Niewielu użytkowników jest mniej skłonnych do zmowy, gdy są oni częścią wielu użytkowników zaangażowanych w transakcję biznesową.
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
78. a. Problem wyłączności statycznej jest stanem, w przypadku którego uzyskanie autoryzacji dla sprzecznego zestawu możliwości dostępu jest uważane za niebezpieczne dla każdego użytkownika. Motywacją do relacji na wyłączność jest zmniejszanie prawdopodobieństwa oszustwa lub zapobieganie utracie obiektywizmu użytkownika. Zasada pewności dotyczy popełnienia oszustwa lub zmowy, gdy wielu użytkowników jest zaangażowanych w obsługę transakcji biznesowej.
79. Kontrola dostępu oparta na rolach i zasada najmniejszych uprawnień nie pozwalają na włączenie których z poniższych?
a. Dostęp z możliwością odczytu do określonego pliku
b. Dostęp do zapisu w określonym katalogu
c. Połącz dostęp do danego komputera hosta
d. Jeden administrator z uprawnieniami dostępu superużytkownika
79. d. Pojęcie ograniczenia dostępu lub najmniejszych uprawnień polega po prostu na zapewnieniu nie większej autoryzacji, niż jest to konieczne do wykonywania wymaganych funkcji. Najlepsza praktyka sugeruje, że lepiej jest mieć kilku administratorów z ograniczonym dostępem do zasobów bezpieczeństwa niż jednego administratora z uprawnieniami dostępu superużytkownika. Zasada najmniejszych uprawnień jest powiązana z kontrolą dostępu opartą na rolach, ponieważ każdej roli przypisuje się uprawnienia dostępu potrzebne do wykonywania jej funkcji, jak wspomniano w pozostałych trzech opcjach.
80. Framework Extensible Access Control Markup Language (XACML) obsługuje który z poniższych?
a. Kontrola dostępu oparta na regułach (RuBAC)
b. Obowiązkowa kontrola dostępu (MAC)
c. Kontrola dostępu oparta na rolach (RBAC)
d. Uznaniowa kontrola dostępu (DAC)
80.c. Rozszerzalny język znaczników kontroli dostępu (XACML) nie zapewnia obsługi reprezentowania tradycyjnej kontroli dostępu (np. RuBAC, MAC i DAC), ale zawiera obsługę kontroli dostępu opartej na rolach (RBAC). Specyfikacja XACML opisuje bloki konstrukcyjne, z których tworzone jest rozwiązanie RBAC.
81. Z punktu widzenia kontroli dostępu, który z poniższych elementów najbardziej wymaga audytu?
a. Konta dostępu publicznego
b. Konta niepubliczne
c. Konta uprzywilejowane
d. Konta nieuprzywilejowane
81. c. Celem jest ograniczenie narażenia na działanie z poziomu konta lub roli uprzywilejowanej. Zmiana roli użytkownika lub procesu powinna zapewniać ten sam stopień pewności przy zmianie uprawnień dostępu dla tego użytkownika lub procesu. Ten sam stopień pewności jest również potrzebny, gdy ma miejsce zmiana między kontem uprzywilejowanym a kontem nieuprzywilejowanym. Inspekcja kont uprzywilejowanych jest wymagana głównie w celu zapewnienia, że użytkownicy kont uprzywilejowanych używają tylko kont uprzywilejowanych, a użytkownicy kont nieuprzywilejowanych używają tylko kont nieuprzywilejowanych. Audyt nie jest wymagany w przypadku kont dostępu publicznego ze względu na niewielkie ryzyko lub brak ryzyka. Konta uprzywilejowane są bardziej ryzykowne niż konta niepubliczne.
82. Z punktu widzenia egzekwowania polityki przepływu informacji, które z poniższych umożliwia kryminalistyczne rekonstrukcje zdarzeń?
1. Atrybuty bezpieczeństwa
2. Zasady bezpieczeństwa
3. Punkty źródłowe
4. Punkty docelowe
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
82. c. Możliwość identyfikacji punktów źródłowych i docelowych dla informacji przepływających w systemie informatycznym pozwala na kryminalistyczne rekonstrukcje zdarzeń i zwiększa zgodność z politykami bezpieczeństwa. Atrybuty bezpieczeństwa są kluczowymi składnikami koncepcji bezpieczeństwa operacji.
83. Z punktu widzenia egzekwowania zasad kontroli dostępu, któremu z poniższych nie należy przyznawać uprzywilejowanego konta użytkownika, aby uzyskać dostęp do funkcji bezpieczeństwa podczas normalnych operacji?
1. Dział administrowania siecią
2. Dział administracji bezpieczeństwa
3. Dział użytkownika końcowego
4. Dział audytu wewnętrznego
a. 1 i 2
b. Tylko 3
c. Tylko 4
d. 3 i 4
83. d. Konta użytkowników uprzywilejowanych powinny być zakładane i administrowane zgodnie ze schematem dostępu opartym na rolach, aby uzyskać dostęp do funkcji bezpieczeństwa. Uprzywilejowane role obejmują administrację siecią, administrację bezpieczeństwa, administrację systemem, administrację baz danych oraz administrację WWW i należy im zapewnić dostęp do funkcji bezpieczeństwa. Użytkownicy końcowi i audytorzy wewnętrzni nie powinni mieć uprzywilejowanego konta umożliwiającego dostęp do funkcji bezpieczeństwa w trakcie normalnych operacji.
84. Z punktu widzenia zarządzania kontem kontroli dostępu implementacje architektury zorientowanej na usługi opierają się na którym z poniższych elementów?
a. Dynamiczne uprawnienia użytkownika
b. Statyczne uprawnienia użytkownika
c. Wstępnie zdefiniowane uprawnienia użytkownika
d. Dynamiczne tożsamości użytkowników
84. a. Implementacje architektury zorientowanej na usługi (SOA) opierają się na decyzjach dotyczących kontroli dostępu w czasie wykonywania wspomaganych przez dynamiczne uprawnienia kierownicze. W przeciwieństwie do tego, konwencjonalne implementacje kontroli dostępu wykorzystują statyczne konta informacyjne i predefiniowane zestawy uprawnień użytkownika. Chociaż tożsamości użytkowników pozostają względnie stałe w czasie, uprawnienia użytkowników mogą zmieniać się częściej w zależności od bieżących wymagań biznesowych i potrzeb operacyjnych organizacji.
85. W przypadku zarządzania uprawnieniami, które z poniższych jest poprawnym porządkiem?
a. Kontrola dostępu?Zarządzanie dostępem?Zarządzanie uwierzytelnianiem?Zarządzanie uprawnieniami
b. Zarządzanie dostępem?Kontrola dostępu?Zarządzanie uprawnieniami?Zarządzanie uwierzytelnianiem
c. Zarządzanie uwierzytelnianiem?Zarządzanie uprawnieniami?Kontrola dostępu?Zarządzanie dostępem
d. Zarządzanie uprawnieniami?Zarządzanie dostępem?Kontrola dostępu?Zarządzanie uwierzytelnianiem
85. c. Zarządzanie uprawnieniami definiuje się jako proces, który tworzy, zarządza i przechowuje atrybuty i zasady potrzebne do ustalenia kryteriów, które mogą być użyte do decydowania, czy należy udzielić dostępu do jakiegoś zasobu przez uwierzytelnioną jednostkę. Zarządzanie uwierzytelnianiem zajmuje się tożsamościami, poświadczeniami i wszelkimi innymi danymi uwierzytelniającymi potrzebnymi do ustanowienia tożsamości. Zarządzanie dostępem, które obejmuje zarządzanie uprawnieniami i kontrolę dostępu, obejmuje naukę i technologię tworzenia, przypisywania, przechowywania i uzyskiwania dostępu do atrybutów i zasad. Te atrybuty i zasady są używane do decydowania, czy żądanie dostępu jednostki powinno być dozwolone, czy odrzucone. Innymi słowy, typowa decyzja o dostępie zaczyna się od zarządzania uwierzytelnianiem, a kończy na zarządzaniu dostępem, podczas gdy zarządzanie uprawnieniami znajduje się pomiędzy.
86. Z punktu widzenia kontroli dostępu, które z poniższych są przykładamikont superużytkowników?
a. Konta root i gości
b. Konta administratora i root
c. Konta anonimowe i root
d. Konta tymczasowe i użytkowników końcowych
86. b. Konta superużytkowników są zwykle określane jako konta administratora lub konta root. Dostęp do kont superużytkowników powinien być ograniczony wyłącznie do wyznaczonych pracowników ds. bezpieczeństwa i administracji systemu, a nie do kont użytkowników końcowych, kont gości, kont anonimowych lub kont tymczasowych. Pracownicy ds. bezpieczeństwa i administracji systemu korzystają z kont superużytkowników, aby uzyskać dostęp do kluczowych parametrów bezpieczeństwa/systemu i poleceń.
87. Z którym z poniższych wdrażane są odpowiedzi na nieudane próby logowania i blokady sesji?
a. System operacyjny i oprogramowanie układowe
b. System aplikacji i sprzęt
c. System operacyjny i system aplikacji
d. Sprzęt i oprogramowanie układowe
87.c. Reakcja na nieudane próby logowania może być zaimplementowana zarówno na poziomie systemu operacyjnego, jak i aplikacji. Blokada sesji jest zazwyczaj implementowana na poziomie systemu operacyjnego, ale może być na poziomie systemu aplikacji. Sprzęt i oprogramowanie układowe nie są wykorzystywane do nieudanych prób logowania i blokowania sesji.
88. Które z poniższych stwierdzeń dotyczących blokady sesji w kontroli dostępu nie jest prawdziwe?
a. Blokada sesji zastępuje wylogowanie się z systemu.
b. Blokadę sesji można aktywować na urządzeniu z ekranem wyświetlacza.
c. Blokada sesji umieszcza publicznie widoczny wzór na ekranie urządzenia.
d. Blokada sesji ukrywa to, co było wcześniej widoczne na ekranie wyświetlającym urządzenia.
88. a. Blokada sesji uniemożliwia dalszy dostęp do systemu informatycznego po określonym czasie bezczynności. Blokada sesji nie zastępuje wylogowania się z systemu, jak w przypadku wylogowania na koniec dnia pracy. Pozostałe trzy opcje to prawdziwe stwierdzenia dotyczące blokady sesji.
89. Które z poniższych działań użytkownika są dozwolone bez identyfikacji lub uwierzytelnienia?
1. Dostęp do publicznych stron internetowych
2. Sytuacje awaryjne
3. Nieudane próby logowania
4. Przywracanie blokady sesji
a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 3 i 4
89.c. Dostęp do publicznych witryn internetowych i sytuacje awaryjne to przykłady działań dozwolonych przez użytkownika, które nie wymagają identyfikacji ani uwierzytelniania. Zarówno nieudane próby logowania, jak i ponowne ustanowienie blokady sesji wymagają odpowiednich procedur identyfikacji lub uwierzytelniania. Blokada sesji jest utrzymywana do momentu przedłożenia, zaakceptowania i ponownego ustanowienia właściwej identyfikacji lub uwierzytelnienia.
90. Które z poniższych okoliczności wymagają dodatkowych zabezpieczeń dla urządzeń mobilnych po nieudanych próbach logowania?
a. Gdy urządzenie mobilne wymaga logowania do siebie, a nie konta użytkownika na urządzeniu
b. Gdy urządzenie mobilne uzyskuje dostęp do nośnika wymiennego bez logowania
c. Gdy informacje na urządzeniu mobilnym są szyfrowane
d. Kiedy logujesz się do dowolnego konta na urządzeniu mobilnym
90. a. Dodatkowa ochrona bezpieczeństwa jest potrzebna dla urządzenia mobilnego (np. PDA) wymagającego logowania, gdy logowanie odbywa się na samym urządzeniu mobilnym, a nie na jednym koncie na urządzeniu. Dodatkowa ochrona nie jest potrzebna, gdy dostęp do nośników wymiennych jest możliwy bez logowania, a informacje na urządzeniu mobilnym są szyfrowane. Pomyślne logowanie do dowolnego konta na urządzeniu mobilnym resetuje licznik nieudanych logowań do zera.
91. System informacyjny dynamicznie rekonfiguruje się, z którym z poniższych elementów, gdy informacje są tworzone i łączone?
a. Atrybuty bezpieczeństwa i struktury danych
b. Atrybuty bezpieczeństwa i polityki bezpieczeństwa
c. Atrybuty bezpieczeństwa i obiekty informacyjne
d. Atrybuty bezpieczeństwa i etykiety bezpieczeństwa
91.b. System informacyjny dynamicznie rekonfiguruje atrybuty bezpieczeństwa zgodnie ze zidentyfikowaną polityką bezpieczeństwa w miarę tworzenia i łączenia informacji. System obsługuje i utrzymuje powiązanie atrybutów bezpieczeństwa z informacjami przechowywanymi, przetwarzanymi i przesyłanymi. Termin etykieta bezpieczeństwa jest często używany do powiązania zestawu atrybutów bezpieczeństwa z określonym obiektem informacyjnym jako częścią struktur danych (np. rekordów, buforów i plików) dla tego obiektu.
92. W przypadku zarządzania tożsamością międzynarodowe standardy nie stosują której z poniższych zasad kontroli dostępu do podejmowania decyzji dotyczących kontroli dostępu?
1. Uznaniowa kontrola dostępu (DAC)
2. Obowiązkowa kontrola dostępu (MAC)
3. Kontrola dostępu na podstawie tożsamości (IBAC)
4. Kontrola dostępu oparta na regułach (RuBAC)
a. 1 i 2
b. 1 i 3
c. 2 i 3
d. 3 i 4
92. a. Międzynarodowe standardy dotyczące decyzji dotyczących kontroli dostępu nie korzystają z uznaniowych lub obowiązkowych zasad kontroli dostępu obowiązujących w Stanach Zjednoczonych. Zamiast tego używają opartych na tożsamości i regułach zasad kontroli dostępu.
93. Które z poniższych jest przykładem mniej niż bezpiecznych protokołów sieciowych dla sesji zdalnego dostępu?
a. Bezpieczna powłoka-2
b. Wirtualna sieć prywatna z włączonym trybem blokowania
c. Szyfrowanie zbiorcze
d. Protokoły sieciowe peer-to-peer
93. d. Organizacja musi zapewnić, że sesje dostępu zdalnego w celu uzyskania dostępu do funkcji bezpieczeństwa stosują środki bezpieczeństwa i że są one kontrolowane. Szyfrowanie zbiorcze, szyfrowanie w warstwie sesji, bezpieczna powłoka 2 (SSH-2) i wirtualna sieć prywatna (VPN) z włączonym blokowaniem to standardowe środki bezpieczeństwa. Sieci Bluetooth i peer-to-peer (P2P) to przykłady mniej niż bezpiecznych protokołów sieciowych.
94. W przypadku dostępu bezprzewodowego, w jaki z poniższych sposobów organizacja ogranicza komunikację bezprzewodową do granic kontrolowanych przez organizację?
1. Zmniejszenie mocy transmisji bezprzewodowej i kontrolowanie bezprzewodowych emanacji
2. Skonfigurować ścieżkę dostępu bezprzewodowego tak, aby była typu punkt-punkt w naturze
3. Korzystanie z protokołów wzajemnego uwierzytelniania
4. Skanowanie w poszukiwaniu nieautoryzowanych bezprzewodowych punktów dostępowych i połączeń
a. Tylko 1
b. Tylko 3
c. 2 i 4
d. 1, 2, 3 i 4
94. d. Działania, które można podjąć w celu ograniczenia komunikacji bezprzewodowej do granic kontrolowanych przez organizację, obejmują wszystkie cztery wymienione elementy. Protokoły wzajemnego uwierzytelniania obejmują EAP/TLS i PEAP. Zmniejszenie mocy transmisji bezprzewodowej oznacza, że transmisja nie może wykraczać poza fizyczne granice organizacji. Obejmuje to również instalację środków TEMPEST do kontroli emanacji.
95. W przypadku kontroli dostępu do urządzeń mobilnych, które z poniższych określeń przypisuje odpowiedzialność i odpowiedzialność za usuwanie znanych luk w zabezpieczeniach mediów?
a. Korzystanie z zapisywalnych nośników wymiennych
b. Korzystanie z osobistych nośników wymiennych
c. Korzystanie z nośników wymiennych należących do projektu
d. Korzystanie z nośników wymiennych nienależących do właściciela
95.c. Możliwy do zidentyfikowania właściciel (np. pracownik, organizacja lub projekt) nośników wymiennych pomaga zmniejszyć ryzyko korzystania z takiej technologii poprzez przypisanie odpowiedzialności za rozwiązanie znanych luk w zabezpieczeniach nośnika (np. wstawienie złośliwego kodu). Użycie nośników wymiennych należących do projektu jest dopuszczalne, ponieważ nośniki są przypisane do projektu, a pozostałe trzy opcje są niedopuszczalne, ponieważ nie są do nich dołączone żadne funkcje odpowiedzialności. Ograniczenie używania zapisywalnych nośników wymiennych to dobra praktyka bezpieczeństwa.
96. W przypadku kontroli dostępu dla urządzeń mobilnych, które z poniższych działań mogą uruchomić proces obsługi odpowiedzi na incydent?
a. Korzystanie z zewnętrznych modemów lub interfejsów bezprzewodowych w urządzeniu
b. Podłączanie niesklasyfikowanych urządzeń mobilnych do niesklasyfikowanych systemów
c. Korzystanie z modemów wewnętrznych lub interfejsów bezprzewodowych w urządzeniu
d. Podłączanie niesklasyfikowanych urządzeń mobilnych do niejawnych systemów
96. d. Gdy niesklasyfikowane urządzenia mobilne są podłączone do niejawnych systemów zawierających informacje niejawne, jest to sytuacja ryzykowna, ponieważ naruszana jest polityka bezpieczeństwa. Ta akcja powinna uruchomić proces obsługi odpowiedzi na incydent. Połączenie niesklasyfikowanego urządzenia mobilnego z niesklasyfikowanym systemem nadal wymaga zatwierdzenia; chociaż jest mniej ryzykowny. Korzystanie z wewnętrznych lub zewnętrznych modemów lub interfejsów bezprzewodowych w urządzeniu mobilnym powinno być zabronione.
97. W przypadku najmniejszej funkcjonalności organizacje wykorzystują które z poniższych elementów do identyfikowania i zapobiegania używaniu zabronionych funkcji, portów, protokołów i usług?
1. Narzędzia do skanowania sieci
2. Systemy wykrywania i zapobiegania włamaniom
3. Zapory sieciowe
4. Systemy wykrywania włamań oparte na hoście
a. 1 i 3
b. 2 i 4
c. 3 i 4
d. 1, 2, 3 i 4
97. d. Organizacje mogą wykorzystywać narzędzia do skanowania sieci, systemy wykrywania i zapobiegania włamaniom (IDPS), zabezpieczenia punktów końcowych, takie jak zapory sieciowe, oraz oparte na hoście systemy wykrywania włamań do identyfikowania i zapobiegania używaniu zabronionych funkcji, portów, protokołów i usług.
98. System informacyjny wykorzystuje mechanizmy uwierzytelniania wieloskładnikowego, aby zminimalizować potencjalne ryzyko dla której z poniższych sytuacji?
1. Dostęp sieciowy do kont uprzywilejowanych
2. Lokalny dostęp do kont uprzywilejowanych
3. Dostęp sieciowy do kont nieuprzywilejowanych
4. Lokalny dostęp do kont nieuprzywilejowanych
a. 1 i 2
b. 1 i 3
c. 3 i 4
d. 1, 2, 3 i 4
98. d. System informacyjny musi wykorzystywać mechanizmy uwierzytelniania wieloskładnikowego zarówno dla dostępu do sieci (uprzywilejowanego, jak i nieuprzywilejowany) oraz dostęp lokalny (uprzywilejowany i nieuprzywilejowany), ponieważ obie sytuacje są ryzykowne. Administratorzy systemu/sieci mają konta administracyjne (uprzywilejowane), a osoby te mają dostęp do zestawu "praw dostępu" w danym systemie. Złośliwi użytkownicy kont nieuprzywilejowanych są tak samo ryzykowni jak użytkownicy kont uprzywilejowanych, ponieważ mogą spowodować uszkodzenie danych i plików programów.
99. Które z poniższych stwierdzeń dotyczących wymagań dotyczących identyfikacji i uwierzytelniania nie jest prawdziwe?
a. Weryfikatory grupowe powinny być używane z indywidualnym uwierzytelniającym
b. Weryfikatory grupowe powinny być używane z unikalnym uwierzytelniaczem
c. Unikalne podmioty uwierzytelniające na kontach grupowych wymagają większej odpowiedzialności
d. Poszczególne weryfikatory powinny być używane w tym samym czasie, co uwierzytelnianie grup
99. d. Musisz wymagać, aby osoby były uwierzytelniane za pomocą indywidualnego modułu uwierzytelniającego przed użyciem modułu uwierzytelniającego grupy. Pozostałe trzy wybory to prawdziwe stwierdzenia.
100. Które z poniższych może zapobiec atakom typu "replay" w procesie uwierzytelniania dostępu sieciowego do kont uprzywilejowanych i nieuprzywilejowanych?
1. Nonces
2. Wyzwania
3. Uwierzytelniacze synchroniczne czasowo
4. Jednorazowe uwierzytelnienia typu challenge-respons
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
100. d. Proces uwierzytelniania jest odporny na ataki polegające na powtórzeniu, jeśli uzyskanie pomyślnego uwierzytelnienia przez nagranie i odtworzenie poprzedniej wiadomości uwierzytelniającej jest niepraktyczne. Techniki stosowane w przypadku ataków typu powtórka obejmują protokoły, które używają jednorazowych lub wezwania (np. TLS) oraz jednorazowych uwierzytelnień synchronicznych lub typu challenge-response.
101. W celu identyfikacji i uwierzytelniania urządzenia uwierzytelnianie między urządzeniami i połączeniami z sieciami jest przykładem na:
a. Uwierzytelnianie dwukierunkowe
b. Uwierzytelnianie grupowe
c. Uwierzytelnianie unikalne dla urządzenia
d. Uwierzytelnianie indywidualne
101. a. System informacyjny uwierzytelnia urządzenia przed nawiązaniem zdalnych i bezprzewodowych połączeń sieciowych przy użyciu dwukierunkowego uwierzytelniania między urządzeniami opartymi na kryptografii. Przykłady identyfikatorów urządzeń obejmują adresy kontroli dostępu do nośnika (MAC), adresy IP, identyfikatory e-mail i unikalne dla urządzenia identyfikatory tokenów. Przykładami narzędzi uwierzytelniających urządzenia są certyfikaty i hasła cyfrowe/PKI. Pozostałe trzy opcje nie są poprawne, ponieważ brakuje w nich uwierzytelniania dwukierunkowego.
102. W przypadku identyfikacji i uwierzytelniania urządzeń proces dynamicznej alokacji adresów dla urządzeń jest znormalizowany za pomocą którego z poniższych?
a. Protokół dynamicznej konfiguracji hosta
b. Uwierzytelnianie dynamiczne
c. Dynamiczny język znaczników hipertekstowych
d. Wiązanie dynamiczne
102. a. W przypadku dynamicznego przydzielania adresów urządzeniom klienci z obsługą protokołu dynamicznej konfiguracji hosta (DHCP) uzyskują dzierżawy adresów protokołu internetowego (IP) od serwerów DHCP. Dlatego proces dynamicznego przydzielania adresów urządzeniom jest standaryzowany za pomocą protokołu DHCP. Pozostałe trzy opcje nie umożliwiają uzyskania dzierżawy adresów IP.
103. W przypadku zarządzania identyfikatorami implementacje architektury zorientowanej na usługi nie odpowiadają na które z poniższych elementów?
a. Tożsamości dynamiczne
b. Dynamiczne atrybuty i uprawnienia
c. Wstępnie zarejestrowani użytkownicy
d. Wstępnie ustanowione relacje zaufania
103. c. Konwencjonalne podejścia do identyfikacji i uwierzytelniania wykorzystują statyczne konta systemu informacyjnego dla znanych wstępnie zarejestrowanych użytkowników. Implementacje architektury zorientowanej na usługi (SOA) nie opierają się na tożsamościach statycznych, ale polegają na ustanawianiu tożsamości w czasie wykonywania dla jednostek (tj. tożsamości dynamicznych), które były wcześniej nieznane. Tożsamości dynamiczne są powiązane z dynamicznymi atrybutami i uprawnieniami, ponieważ opierają się na wcześniej ustalonych relacjach zaufania.
104. W przypadku zarządzania uwierzytelnianiem, który z poniższych przedstawia znaczące zagrożenie bezpieczeństwa?
a. Przechowywane uwierzytelnienia
b. Domyślne uwierzytelnienia
c. Ponownie użyte uwierzytelnienia
d. Odświeżone uwierzytelnienia
104. b. Organizacje powinny zmienić domyślne elementy uwierzytelniające po instalacji systemu informatycznego lub wymagać od dostawców i/lub producentów dostarczenia unikalnych elementów uwierzytelniających przed dostawą. Dzieje się tak, ponieważ domyślne poświadczenia uwierzytelniania są często dobrze znane, łatwo wykrywalne i stanowią poważne zagrożenie bezpieczeństwa, dlatego należy je zmienić podczas instalacji. Przechowywany lub osadzony token uwierzytelniający może być ryzykowny w zależności od tego, czy jest zaszyfrowany, czy niezaszyfrowany. Zarówno ponownie używane, jak i odświeżane uwierzytelnienia są mniej ryzykowne w porównaniu z domyślnymi i przechowywanymi uwierzytelniającymi, ponieważ są pod kontrolą organizacji użytkownika.
105. Które z poniższych jest ryzykowne i prowadzi do możliwych alternatyw w przypadku zarządzania uwierzytelniającymi?
a. Mechanizm jednokrotnego logowania
b. Ten sam identyfikator użytkownika i różne autoryzatory użytkownika we wszystkich systemach
c. Ten sam identyfikator użytkownika i ten sam autoryzator użytkownika we wszystkich systemach
d. Różne identyfikatory użytkowników i różne autoryzatory użytkowników w każdym systemie
105. c. Przykłady identyfikatorów użytkowników obejmują użytkowników wewnętrznych, kontrahentów, użytkowników zewnętrznych, gości, hasła, tokeny i dane biometryczne. Przykłady narzędzi uwierzytelniających użytkownika obejmują hasła, kody PIN, tokeny, dane biometryczne, PKI/certyfikaty cyfrowe i karty-klucze. Gdy dana osoba ma konta w wielu systemach informatycznych, istnieje ryzyko, że jeśli jedno konto zostanie naruszone i dana osoba użyje tego samego identyfikatora użytkownika i uwierzytelniacza, inne konta również zostaną naruszone. Możliwe alternatywy obejmują (i) posiadanie tego samego identyfikatora użytkownika, ale różnych elementów uwierzytelniających we wszystkich systemach, (ii) posiadanie różnych identyfikatorów użytkowników i różnych elementów uwierzytelniających użytkowników w każdym systemie, (iii) stosowanie mechanizmu pojedynczego logowania lub (iv) posiadanie jednego hasła czasowe we wszystkich systemach.
106. W przypadku zarządzania uwierzytelnianiem, które z poniższych jest najmniej ryzykowna sytuacja w porównaniu z innymi?
a. Authenticatory wbudowane w system aplikacji
b. Authenticatory osadzone w skryptach dostępu
c. Uwierzytelniacze przechowywane na klawiszach funkcyjnych
d. Identyfikatory tworzone w czasie wykonywania
106. d. Dynamiczne zarządzanie identyfikatorami, atrybutami i uprawnieniami dostępu jest mniej ryzykowne. Identyfikatory czasu wykonywania są tworzone na bieżąco dla nieznanych wcześniej jednostek. Zarządzanie bezpieczeństwem informacji powinno zapewniać, że niezaszyfrowane, statyczne elementy uwierzytelniające nie są osadzone w systemach aplikacji lub skryptach dostępu ani nie są przechowywane w klawiszach funkcyjnych. To dlatego, że te podejścia są ryzykowne. W tym przypadku problemem jest ustalenie, czy osadzony lub przechowywany token uwierzytelniający jest w postaci zaszyfrowanej, czy niezaszyfrowanej.
107. Która z poniższych zasad autoryzacji dostępu ma zastosowanie, gdy organizacja ma listę oprogramowania, które nie jest autoryzowane do uruchamiania w systemie informacyjnym?
a. Odrzuć wszystko, zezwól na wyjątek
b. Zezwól na wszystko, odmów przez wyjątek
c. Zezwól na wszystko, domyślnie odrzuć
d. Odrzuć wszystko, zaakceptuj za pozwoleniem
107. a. Organizacja stosuje zasadę autoryzacji typu "odmowa wszystkich", "zezwolenie po wyjątku" w celu zidentyfikowania oprogramowania, którego nie wolno uruchamiać w systemie. Pozostałe trzy wybory są nieprawidłowe, ponieważ prawidłowa odpowiedź opiera się na określonej polityce autoryzacji dostępu.
108. Szyfrowanie jest częścią którego z poniższych?
a. Kontrole dyrektywy
b. Kontrole prewencyjne
c. Kontrola detektywistyczna
d. Kontrole korygujące
108. b. Szyfrowanie zapobiega nieautoryzowanemu dostępowi i chroni dane i programy, gdy są przechowywane (w spoczynku) lub w trakcie przesyłania. Kontrole prewencyjne przede wszystkim zapobiegają incydentom związanym z bezpieczeństwem. Kontrole dyrektyw to szeroko zakrojone kontrole służące do obsługi incydentów związanych z bezpieczeństwem i obejmują polityki, procedury i dyrektywy kierownictwa. Kontrole detektywistyczne zwiększają bezpieczeństwo poprzez monitorowanie skuteczności kontroli prewencyjnych oraz wykrywanie incydentów bezpieczeństwa, w których kontrole prewencyjne zostały ominięte. Kontrole naprawcze to procedury reagowania na incydenty związane z bezpieczeństwem i podejmowania na czas działań naprawczych. Kontrole korygujące wymagają odpowiedniego planowania i przygotowania, ponieważ w większym stopniu opierają się na osądzie człowieka.
109. Która z poniższych zasad autoryzacji dostępu ma zastosowanie do sieci zewnętrznych za pośrednictwem zarządzanych interfejsów wykorzystujących urządzenia zabezpieczające granice, takie jak bramy lub zapory?
a. Odrzuć wszystko, zezwól na wyjątek
b. Zezwól na wszystko, odmów przez wyjątek
c. Zezwól na wszystko, domyślnie odrzuć
d. Odrzuć wszystko, zaakceptuj za pozwoleniem
109. a. Przykłady zarządzanych interfejsów wykorzystujących urządzenia ochrony granic obejmują serwery proxy, bramy, routery, zapory ogniowe, ochronę sprzętu/oprogramowania oraz szyfrowane tunele w strefie zdemilitaryzowanej (DMZ). Ta zasada "odrzuć wszystko, zezwól na wyjątek" domyślnie odrzuca ruch sieciowy i włącza ruch sieciowy tylko według wyjątku. Pozostałe trzy wybory są nieprawidłowe, ponieważ prawidłowa odpowiedź opiera się na określonej polityce autoryzacji dostępu. Listy kontroli dostępu (ACL) mogą być stosowane do ruchu wchodzącego do sieci wewnętrznej ze źródeł zewnętrznych.
110. Które z poniższych są potrzebne, gdy egzekwowanie normalnych zasad, procedur i reguł bezpieczeństwa jest trudne do wdrożenia?
1. Kontrola kompensacji
2. Zamknij nadzór
3. Recenzja pracy zespołu
4. Recenzja pracy
a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 1, 2, 3 i 4
110. d. Gdy egzekwowanie normalnych zasad, procedur i reguł bezpieczeństwa jest trudne, nabiera innego wymiaru niż wymaganie umów, oddzielenie obowiązków i kontrola dostępu do systemu. W takich sytuacjach konieczne są kontrole kompensacyjne w postaci ścisłego nadzoru, po którym następuje wzajemna i zespołowa ocena jakości pracy.
111. Które z poniższych jest kluczowe dla zrozumienia zasad kontroli dostępu?
a. Stan osiągalny
b. Stan ochrony
c. Stan użytkownika
d. Stan systemu
111. b. Stan ochrony to ta część stanu systemu, która ma kluczowe znaczenie dla zrozumienia zasad kontroli dostępu. System musi być w stanie ochrony lub w stanie osiągalnym. Stan użytkownika nie jest krytyczny, ponieważ jest to tryb najmniej uprzywilejowany.
112. Które z poniższych nie powinny być używane w implementacji uwierzytelniania Kerberos?
a. Standard szyfrowania danych (DES)
b. Zaawansowany standard szyfrowania (AES)
c. Rivest, Shamir i Adelman (RSA)
d. Diffiego-Hellmana (DH)
112. a. DES jest słaby i nie powinien być używany z powodu kilku udokumentowanych słabości bezpieczeństwa. Można użyć pozostałych trzech opcji. AES może być używany, ponieważ jest silny. RSA jest używany w transporcie kluczy, w którym serwer uwierzytelniający generuje klucz symetryczny użytkownika i wysyła klucz do klienta. DH jest używany w umowie klucza między serwerem uwierzytelniającym a klientem.
113. Z punktu widzenia decyzji dotyczących kontroli dostępu, awarie spowodowane wadami systemów opartych na uprawnieniach mają tendencję do wykonywania następujących czynności?
a. Autoryzuj dozwolone działania
b. Bezpieczny z odmową pozwolenia
c. Nie autoryzuj zabronionych działań
d. Udziel nieautoryzowanych uprawnień
113. b. Gdy awarie występują z powodu wad systemów opartych na uprawnieniach, mają tendencję do zabezpieczania przed awariami w przypadku odmowy uprawnień. Istnieją dwa rodzaje decyzji dotyczących kontroli dostępu: oparte na uprawnieniach i wykluczeniach.
114. Procedury wzmacniania hosta i systemu aplikacji są częścią których z poniższych?
a. Kontrole dyrektywy
b. Kontrole prewencyjne
c. Kontrola detektywistyczna
d. Kontrole korygujące
114. b. Procedury wzmacniania systemu hosta i aplikacji są częścią kontroli prewencyjnych, ponieważ obejmują oprogramowanie antywirusowe, zapory sieciowe i zarządzanie kontami użytkowników. Kontrole prewencyjne przede wszystkim zapobiegają incydentom związanym z bezpieczeństwem. Kontrole dyrektyw to szeroko zakrojone kontrole służące do obsługi incydentów związanych z bezpieczeństwem i obejmują polityki, procedury i dyrektywy kierownictwa. Kontrole detektywistyczne zwiększają bezpieczeństwo poprzez monitorowanie skuteczności kontroli prewencyjnych oraz wykrywanie incydentów bezpieczeństwa, w których kontrole prewencyjne zostały ominięte. Kontrole naprawcze to procedury reagowania na incydenty związane z bezpieczeństwem i podejmowania na czas działań naprawczych. Kontrole korygujące wymagają odpowiedniego planowania i przygotowania, ponieważ w większym stopniu opierają się na osądzie człowieka.
115. Z punktu widzenia decyzji w zakresie kontroli dostępu, ustawienia domyślne odporne na awarie działają na którym z poniższych?
1. Wyklucz i odrzuć
2. Zezwól i zezwól
3. Brak dostępu, tak domyślnie
4. Tak dostęp, tak domyślnie
a. Tylko 1
b. Tylko 2
c. 2 i 3
d. Tylko 4
115. c. Domyślne ustawienia bezpieczne w razie awarii oznaczają, że decyzje dotyczące kontroli dostępu powinny być oparte na zasadach zezwalania i zezwalania (tj. zezwolenia, a nie wykluczenie). Odpowiada to warunkowi, w którym brak dostępu jest stanem domyślnym (tzn. brak dostępu, tak domyślny). "Zezwól na wszystko i domyślnie odmów" odnosi się do sytuacji typu "tak" i "tak-domyślnie".
116. Do zarządzania hasłami, automatycznie generowane losowo hasła zwykle zawierają które z poniższych?
1. Większa entropia
2. Hasła trudne do odgadnięcia przez atakujących
3. Silniejsze hasła
4. Hasła trudne do zapamiętania przez użytkowników
a. Tylko 2
b. 2 i 3
c. 2, 3 i 4
d. 1, 2, 3 i 4
116. d. Automatycznie generowane losowe (lub pseudolosowe) hasła zwykle zapewniają większą entropię, są trudne do odgadnięcia lub złamania przez atakujących, silniejsze hasła, ale jednocześnie są trudne do zapamiętania dla użytkowników.
117. Które z poniższych technik identyfikacji i uwierzytelniania opartych na danych biometrycznych wskazuje, że zabezpieczenia są niedopuszczalnie słabe?
a. Niski współczynnik fałszywej akceptacji
b. Niski współczynnik fałszywych odrzuceń
c. Wysoki współczynnik fałszywej akceptacji
d. Wysoki współczynnik fałszywych odrzuceń
117. c. Sztuczka polega na zrównoważeniu kompromisu między współczynnikiem fałszywej akceptacji (FAR) a współczynnikiem fałszywego odrzucenia (FRR). Wysoki FAR oznacza, że bezpieczeństwo jest niedopuszczalnie słabe. FAR to prawdopodobieństwo, że system biometryczny może błędnie zidentyfikować osobę lub nie odrzucić oszusta. Podany FAR zwykle zakłada pasywne próby oszusta, a niski FAR jest lepszy. FAR jest określany jako stosunek liczby fałszywych akceptacji do liczby prób identyfikacji. FRR to prawdopodobieństwo, że system biometryczny nie zidentyfikuje osoby lub nie zweryfikuje uzasadnionej deklarowanej tożsamości osoby. Niski FRR jest lepszy. FRR jest określany jako stosunek liczby fałszywych odrzuceń do liczby prób identyfikacji.
118. W przypadku technik identyfikacji i uwierzytelniania opartych na danych biometrycznych, które z poniższych stwierdzeń wskazuje, że technologia zastosowana w systemie biometrycznym nie jest opłacalna?
a. Niski współczynnik fałszywej akceptacji
b. Niski współczynnik fałszywych odrzuceń
c. Wysoki współczynnik fałszywej akceptacji
d. Wysoki współczynnik fałszywych odrzuceń
118. d. Wysoki współczynnik fałszywych odrzuceń (FRR) oznacza, że technologia jest uciążliwa (PP) dla fałszywie odrzuconych użytkowników, podważając w ten sposób akceptację użytkowników i kwestionując rentowność zastosowanej technologii. Może to również oznaczać, że technologia jest przestarzała, nieodpowiednia i/lub nie spełnia zmieniających się potrzeb użytkownika. Wskaźnik fałszywej akceptacji (FAR) to prawdopodobieństwo, że system biometryczny nieprawidłowo zidentyfikuje osobę lub nie odrzuci oszusta. Podany FAR zwykle zakłada pasywne próby oszusta, a niski FAR jest lepszy, a wysoki FAR wskazuje na źle działający system biometryczny, niezwiązany z technologią. FAR jest określany jako stosunek liczby fałszywych akceptacji do liczby prób identyfikacji. FRR to prawdopodobieństwo, że system biometryczny nie zidentyfikuje osoby lub nie zweryfikuje uzasadnionej deklarowanej tożsamości osoby. A niski FRR jest lepszy. FRR jest określany jako stosunek liczby fałszywych odrzuceń do liczby prób identyfikacji.
119. W przypadku technik identyfikacji i uwierzytelniania opartych na danych biometrycznych, jaki jest środek zaradczy w celu złagodzenia zagrożenia fałszowaniem tożsamości?
a. Wykrywanie żywotności
b. Podpisy cyfrowe
c. Odrzucanie dokładnych dopasowań
d. Blokada sesji
119. a. Przeciwnik może przedstawić coś innego niż własne dane biometryczne, aby oszukać system w celu zweryfikowania czyjejś tożsamości, co nazywa się podszywaniem się. Jednym z rodzajów łagodzenia zagrożenia fałszowaniem tożsamości jest wykrywanie aktywności (np. odczytywanie tętna lub ruchu warg). Pozostałe trzy opcje nie umożliwiają wykrywania żywotności.
120. W przypadku technik identyfikacji i uwierzytelniania opartych na danych biometrycznych, jaki jest środek zaradczy w celu złagodzenia zagrożenia podszywania się?
a. Wykrywanie żywotności
b. Podpisy cyfrowe
c. Odrzucanie dokładnych dopasowań
d. Blokada sesji
120. b. Atakujący mogą wykorzystać dane szczątkowe w czytniku biometrycznym lub w pamięci, aby podszywać się pod osobę, która wcześniej się uwierzytelniła. Metody kryptograficzne, takie jak podpisy cyfrowe, mogą uniemożliwić atakującym wprowadzanie lub zamianę danych biometrycznych bez wykrycia. Pozostałe trzy opcje nie zapewniają środków kryptograficznych zapobiegających atakom personifikacji.
121. W technikach identyfikacji i uwierzytelniania opartych na danych biometrycznych, jaki jest środek zaradczy w celu złagodzenia zagrożenia atakiem typu powtórka?
a. Wykrywanie żywotności
b. Podpisy cyfrowe
c. Odrzucanie dokładnych dopasowań
d. Blokada sesji
121. c. Atak typu powtórka ma miejsce, gdy ktoś może przechwycić ważne dane biometryczne użytkownika i wykorzystać je w późniejszym czasie w celu uzyskania nieautoryzowanego dostępu. Potencjalnym rozwiązaniem jest odrzucenie dokładnych dopasowań, co wymaga od użytkownika dostarczenia kolejnej próbki biometrycznej. Pozostałe trzy opcje nie zapewniają dokładnych dopasowań.
122. W przypadku technik identyfikacji i uwierzytelniania opartych na danych biometrycznych, jaki jest środek zaradczy w celu złagodzenia zagrożenia naruszenia bezpieczeństwa w wyniku nieudanych prób uwierzytelnienia?
a. Wykrywanie żywotności
b. Podpisy cyfrowe
c. Odrzucanie dokładnych dopasowań
d. Blokada sesji
122. d. Dobrze jest ograniczyć liczbę prób uwierzytelnienia, które każdy użytkownik może bezskutecznie podjąć. Blokadę sesji należy umieścić w miejscu, w którym system blokuje użytkownika i rejestruje zdarzenie związane z bezpieczeństwem, gdy użytkownik przekroczy określoną liczbę nieudanych prób logowania w określonym przedziale czasowym. Pozostałe trzy opcje nie mogą zatrzymać nieudanych prób uwierzytelnienia. Na przykład, jeśli przeciwnik może wielokrotnie przesyłać fałszywe dane biometryczne w nadziei na dokładne dopasowanie, powoduje to naruszenie bezpieczeństwa bez blokady sesji. Ponadto odrzucenie dokładnych dopasowań powoduje złą wolę prawdziwego użytkownika.
123. W technologii jednokrotnego logowania sygnatury czasowe udaremniają które z poniższych?
a. Atak Man-in-the-Middle
b. Powtórz atak
c. Atak socjotechniczny
d. Atak phishingowy
123. b. W transmisjach poświadczeń logowania jednokrotnego (SSO) należy uwzględnić znaczniki czasu lub inne mechanizmy udaremniania ataków polegających na powtarzaniu. Ataki typu Manin-the-middle (MitM) opierają się na uwierzytelnianiu i socjotechnice, a ataki phishingowe na hasłach.
124. Które z poniższych prawidłowo przedstawia przepływ w procesie tożsamości i uwierzytelniania związany z uwierzytelnianiem elektronicznym?
a. Powód ⇒Protokół uwierzytelniania ⇒Weryfikator
b. Powód Weryfikator ⇒Weryfikator
c. Weryfikator ⇒Powód Strona ufająca
d. Strona wnosząca roszczenie ⇒ Weryfikator ⇒Strona ufająca
124. d. Strona, która ma zostać uwierzytelniona, nazywana jest stroną roszczącą, a strona weryfikująca tożsamość to weryfikator. Gdy strona wnosząca roszczenie pomyślnie wykaże weryfikatorowi posiadanie i kontrolę nad tokenem podczas uwierzytelniania online za pomocą protokołu uwierzytelniania, weryfikator może zweryfikować, czy strona wnosząca roszczenie jest subskrybentem. Weryfikator przekazuje potwierdzenie tożsamości subskrybenta stronie ufającej. Weryfikator musi zweryfikować, czy strona wnosząca roszczenie posiada i kontroluje token, który weryfikuje jego tożsamość. Powód uwierzytelnia swoją tożsamość przed weryfikatorem za pomocą tokena i protokołu uwierzytelniania, zwanego protokołem dowodu posiadania. Pozostałe trzy wybory są nieprawidłowe w następujący sposób:
• Przebieg procesu uwierzytelniania z udziałem wnioskodawcy ⇒ protokołu uwierzytelniania ⇒ weryfikatora: proces uwierzytelniania ustala tożsamość wnioskodawcy względem weryfikatora z pewnym stopniem pewności. Jest realizowany poprzez wymianę komunikatów protokołu uwierzytelniania, a także mechanizmy zarządzania na każdym końcu, które dodatkowo ograniczają lub zabezpieczają aktywność uwierzytelniania. Jedna lub więcej wiadomości protokołu uwierzytelniania może wymagać przeniesienia w chronionym kanale.
• Przepływ tokenów i poświadczeń obejmujących Powód⇒Weryfikatora⇒Weryfikatora: Tokeny są na ogół czymś, co osoba wnosząca roszczenie posiada i kontroluje, co może być użyte do uwierzytelnienia tożsamości strony wnoszącej roszczenie. W uwierzytelnianiu elektronicznym strona roszcząca uwierzytelnia się w systemie lub aplikacji za pośrednictwem sieci, udowadniając, że posiada token. Token generuje dane wyjściowe o nazwie token uwierzytelniający, które są używane w procesie uwierzytelniania, aby udowodnić, że strona żądająca posiada token i kontroluje go.
• Przepływ twierdzeń z udziałem weryfikatora⇒powoda⇒strony ufającej: twierdzenia to oświadczenia od weryfikatora do strony ufającej, które zawierają informacje o subskrybencie (powodze). Asercje są używane, gdy strona ufająca i weryfikator nie są ze sobą powiązani (np. są połączeni przez wspólną sieć). Strona ufająca wykorzystuje informacje zawarte w twierdzeniu do identyfikacji powoda i podejmowania decyzji autoryzacyjnych dotyczących jego dostępu do zasobów kontrolowanych przez stronę ufną.
125. Która z poniższych technik uwierzytelniania jest odpowiednia do uzyskiwania dostępu do niewrażliwych zasobów informatycznych z wielokrotnym wykorzystaniem tego samego czynnika uwierzytelniania?
a. Uwierzytelnianie jednoskładnikowe
b. Uwierzytelnianie dwuskładnikowe
c. Uwierzytelnianie trójskładnikowe
d. Uwierzytelnianie wieloskładnikowe
125. a. Wielokrotne użycie tego samego czynnika uwierzytelniania (np. używanie tego samego hasła więcej niż jeden raz) jest odpowiednie do uzyskiwania dostępu do niewrażliwych zasobów IT i jest znane jako uwierzytelnianie jednoskładnikowe. Pozostałe trzy czynniki nie są potrzebne do uwierzytelniania o niskim ryzyku bezpieczeństwa i niewrażliwych zasobów.
126. Z punktu widzenia skuteczności kontroli dostępu, który z poniższych elementów reprezentuje weryfikację biometryczną, gdy użytkownik najpierw przesyła kombinację osobistego numeru identyfikacyjnego (PIN), a następnie próbki biometrycznej do uwierzytelnienia?
a. Dopasowanie jeden do jednego
b. Dopasowanie jeden do wielu
c. Dopasowanie wiele do jednego
d. Dopasowanie wiele do wielu
126. a. Ta kombinacja uwierzytelniania reprezentuje coś, co znasz (PIN) i coś, czym jesteś (biometryka). Na monit systemu uwierzytelniania, użytkownik wprowadza kod PIN, a następnie przesyła pobraną na żywo próbkę biometryczną. System porównuje próbkę biometryczną z referencyjnymi danymi biometrycznymi powiązanymi z wprowadzonym kodem PIN, co stanowi dopasowanie jeden do jednego weryfikacji biometrycznej. Pozostałe trzy wybory są nieprawidłowe, ponieważ prawidłowa odpowiedź opiera się na jej definicji.
127. Z punktu widzenia skuteczności kontroli dostępu, który z poniższych elementów reprezentuje identyfikację biometryczną, gdy użytkownik przesyła połączenie najpierw próbki biometrycznej, a następnie osobistego numeru identyfikacyjnego (PIN) w celu uwierzytelnienia?
a. Dopasowanie jeden do jednego
b. Dopasowanie jeden do wielu
c. Dopasowanie wiele do jednego
d. Dopasowanie wiele do wielu
127. b. Ta kombinacja uwierzytelniania reprezentuje coś, co znasz (PIN) i coś, czym jesteś (biometryka). Użytkownik najpierw przedstawia próbkę biometryczną czujnikowi, a system przeprowadza dopasowanie jeden-do-wielu identyfikacji biometrycznej. Użytkownik jest proszony o podanie kodu PIN, który dostarczył referencyjne dane biometryczne. Pozostałe trzy wybory są nieprawidłowe, ponieważ prawidłowa odpowiedź opiera się na jej definicji.
128. Które z poniższych czynności podczas identyfikacji biometrycznej mogą skutkować spowolnieniem czasu odpowiedzi systemu i zwiększeniem kosztów?
a. Dopasowanie jeden do jednego
b. Dopasowanie jeden do wielu
c. Dopasowanie wiele do jednego
d. Dopasowanie wiele do wielu
128. b. Identyfikacja biometryczna z dopasowaniem jeden do wielu może skutkować wolniejszymi czasami odpowiedzi systemu i może być droższa w zależności od rozmiaru bazy danych biometrycznych. Oznacza to, że im większy rozmiar bazy danych, tym wolniejszy czas odpowiedzi systemu. Osobisty numer identyfikacyjny (PIN) jest wprowadzany jako drugi czynnik uwierzytelniający, a dopasowanie jest powolne.
129. Które z poniższych czynności podczas weryfikacji biometrycznej może skutkować szybszym czasem reakcji systemu i może być mniej kosztowne?
a. Dopasowanie jeden do jednego
b. Dopasowanie jeden do wielu
c. Dopasowanie wiele do jednego
d. Dopasowanie wiele do wielu
129. a. Weryfikacja biometryczna z dopasowaniem jeden do jednego może skutkować szybszym czasem reakcji systemu i może być tańsza, ponieważ osobisty numer identyfikacyjny (PIN) jest wprowadzany jako pierwszy uwierzytelniający, a dopasowanie jest szybkie.
130. Z punktu widzenia skuteczności kontroli dostępu, które z poniższych jest przedstawiane, gdy użytkownik przesyła kombinację tokena sprzętowego i osobistego numeru identyfikacyjnego (PIN) w celu uwierzytelnienia?
1. Słaba forma uwierzytelniania dwuskładnikowego
2. Silna forma uwierzytelniania dwuskładnikowego
3. Obsługuje dostęp fizyczny
4. Obsługuje dostęp logiczny
a. Tylko 1
b. Tylko 2
c. 1 i 3
d. 2 i 4
130. c. Ta kombinacja reprezentuje coś, co masz (tj. token sprzętowy) i coś, co znasz (tj. PIN). Token sprzętowy może zostać zgubiony lub skradziony. Dlatego jest to słaba forma uwierzytelniania dwuskładnikowego, której można użyć do obsługi nienadzorowanej kontroli dostępu tylko dla dostępu fizycznego. Logiczna kontrola dostępu jest oparta na oprogramowaniu i jako taka nie obsługuje tokena sprzętowego.
131. Z punktu widzenia skuteczności kontroli dostępu, które z poniższych jest przedstawiane, gdy użytkownik przesyła kombinację kluczy infrastruktury klucza publicznego (PKI) i osobistego numeru identyfikacyjnego (PIN) w celu uwierzytelnienia?
1. Słaba forma uwierzytelniania dwuskładnikowego
2. Silna forma uwierzytelniania dwuskładnikowego
3. Obsługuje dostęp fizyczny
4. Obsługuje logiczny dostęp
a. Tylko 1
b. Tylko 2
c. 1 i 3
d. 2 i 4
131. d. Ta kombinacja reprezentuje coś, co masz (np. klucze PKI) i coś, co znasz (np. PIN). Nie ma tokena sprzętowego do zgubienia lub kradzieży. Dlatego jest to silna forma uwierzytelniania dwuskładnikowego, której można użyć do obsługi dostępu logicznego.
132. RuBAC to kontrola dostępu oparta na regułach, ACL to lista kontroli dostępu, IBAC to kontrola dostępu oparta na tożsamości, DAC to dostęp uznaniowy kontroli, a MAC jest obowiązkową kontrolą dostępu. W przypadku zarządzania tożsamością, które z poniższych jest równoznaczne z zasadą kontrolią dostępu i decyzje między terminologią amerykańską a międzynarodowymi standardami?
1. RuBAC = ACL
2. IBAC = ACL
3. IBAC = DAC
4. RuBAC = MAC
a. Tylko 1
b. Tylko 2
c. Tylko 3
d. 3 i 4
132. d. Kontrola dostępu oparta na tożsamości (IBAC) i uznaniowa kontrola dostępu (DAC) są uważane za równoważne. Kontrola dostępu oparta na regułach (RuBAC) i obowiązkowa kontrola dostępu (MAC) są uważane za równoważne. IBAC używa list kontroli dostępu (ACL), podczas gdy RuBAC nie.
133. W przypadku zarządzania tożsamością większość sieciowych systemów operacyjnych opiera się na której z poniższych zasad kontroli dostępu?
a. Kontrola dostępu oparta na regułach (RuBAC)
b. Kontrola dostępu oparta na tożsamości (IBAC)
c. Kontrola dostępu oparta na rolach (RBAC)
d. Kontrola dostępu oparta na atrybutach (ABAC)
133. b. Większość sieciowych systemów operacyjnych jest zaimplementowanych z zasadą kontroli dostępu opartej na tożsamości (IBAC). Jednostki uzyskują dostęp do zasobów na podstawie dowolnej tożsamości ustanowionej podczas logowania do sieci, która jest porównywana z co najmniej jedną listą kontroli dostępu (ACL). Listy te mogą być administrowane indywidualnie, mogą być administrowane centralnie i dystrybuowane do poszczególnych lokalizacji lub mogą znajdować się na jednym lub większej liczbie serwerów centralnych. Kontrola dostępu oparta na atrybutach (ABAC) dotyczy podmiotów i obiektów, oparta na regułach (RuBAC) dotyczy reguł, a oparta na rolach (RBAC) dotyczy ról lub funkcji zadań.
134. RBAC to kontrola dostępu oparta na rolach, MAC to obowiązkowa kontrola dostępu, DAC to uznaniowa kontrola dostępu, ABAC to kontrola dostępu oparta na atrybutach, PBAC to kontrola dostępu oparta na politykach, IBAC to kontrola dostępu oparta na tożsamości, RuBAC to dostęp oparty na regułach kontroli, RADAC to kontrola dostępu dostosowująca się do ryzyka, a UDAC to kontrola dostępu kierowana przez użytkownika. W przypadku zarządzania tożsamością, która z poniższych zasad RBAC jest zdefiniowana?
a. RBAC = MAC + DAC
b. RBAC = ABAC + PBAC
c. RBAC = IBAC + RuBAC
d. RBAC = RADAC + UDAC
134. c. Polityka kontroli dostępu oparta na rolach (RBAC) to złożona polityka kontroli dostępu między polityką kontroli dostępu opartej na tożsamości (IBAC) a polityką kontroli dostępu opartej na regułach (RuBAC) i należy ją traktować jako wariant obu. W takim przypadku tożsamość jest przypisywana do grupy, której nadano uprawnienia. Tożsamości mogą należeć do jednej lub kilku grup.
135. Kombinacja czegoś, co masz (jednorazowo), czegoś, co masz (drugim razem) i czegoś, o czym wiesz, jest używane do reprezentowania następującego schematu sprawdzania uwierzytelniania osobistego?
a. Uwierzytelnianie jednoskładnikowe
b. Uwierzytelnianie dwuskładnikowe
c. Uwierzytelnianie trójskładnikowe
d. Uwierzytelnianie czteroskładnikowe
135. b. Ta sytuacja pokazuje, że wiele wystąpień tego samego czynnika (tj. coś, co masz, jest używane dwa razy) skutkuje uwierzytelnianiem jednoskładnikowym. Kiedy jest to połączone z czymś, co teraz, daje to schemat uwierzytelniania dwuskładnikowego.
136. Zdalna kontrola dostępu jest częścią której z poniższych?
a. Kontrole dyrektywy
b. Kontrole prewencyjne
c. Kontrola detektywistyczna
d. Kontrole korygujące
136. b. Zdalna kontrola dostępu jest częścią kontroli prewencyjnych, ponieważ obejmuje filtrowanie pakietów protokołu internetowego (IP) przez routery graniczne i zapory ogniowe przy użyciu list kontroli dostępu. Kontrole prewencyjne przede wszystkim zapobiegają incydentom związanym z bezpieczeństwem. Kontrole dyrektyw to szeroko zakrojone kontrole służące do obsługi incydentów związanych z bezpieczeństwem i obejmują polityki, procedury i dyrektywy kierownictwa. Kontrole detektywistyczne zwiększają bezpieczeństwo poprzez monitorowanie skuteczności kontroli prewencyjnych oraz wykrywanie incydentów bezpieczeństwa, w których kontrole prewencyjne zostały ominięte. Kontrole naprawcze to procedury reagowania na incydenty związane z bezpieczeństwem i podejmowania na czas działań naprawczych. Kontrole korygujące wymagają odpowiedniego planowania i przygotowania, ponieważ w większym stopniu opierają się na osądzie człowieka.
137. Co to jest za pomocą dwóch różnych haseł dostępu do dwóch różnych systemów w tej samej sesji wywołanej?
a. Uwierzytelnianie jednoskładnikowe
b. Uwierzytelnianie dwuskładnikowe
c. Uwierzytelnianie trójskładnikowe
d. Uwierzytelnianie czteroskładnikowe
137. b. Wymaganie dwóch różnych haseł w celu uzyskania dostępu do dwóch różnych systemów w tej samej sesji jest bezpieczniejsze niż wymaganie jednego hasła dla dwóch różnych systemów. Odpowiada to uwierzytelnianiu dwuskładnikowemu. Wymaganie wielu dowodów uwierzytelnienia stwarza wiele barier utrudniających dostęp intruzom. Z drugiej strony, używanie tego samego hasła (jednoskładnikowego) w celu uzyskania dostępu do wielu systemów w tej samej sesji jest uwierzytelnianiem jednoskładnikowym, ponieważ używany jest tylko jeden typ (i ten sam typ) dowodu. Kluczową kwestią jest to, czy przedstawiony rodzaj dowodu jest taki sam, czy inny.
138. Co to jest za pomocą dowodu osobistego z strzeżonym dostępem (np. ochroniarz) i numeru PIN?
a. Uwierzytelnianie jednoskładnikowe
b. Uwierzytelnianie dwuskładnikowe
c. Uwierzytelnianie trójskładnikowe
d. Uwierzytelnianie czteroskładnikowe
138. b. Na pozór taka sytuacja może wydawać się uwierzytelnianiem trójskładnikowym, ale w rzeczywistości jest to uwierzytelnianie dwuskładnikowe, ponieważ używana jest tylko karta (dowód jednego czynnika) i PIN (dowód drugiego czynnika), w wyniku czego -uwierzytelnianie czynnikowe. Należy zauważyć, że nie jest to najsilniejsze uwierzytelnianie dwuskładnikowe ze względu na dostęp nadzorowany. Ochroniarz jest przykładem dostępu nadzorowanego, który sprawdza ważność karty i jest liczony jako uwierzytelnianie jednoskładnikowe. Inne przykłady nadzorowanego dostępu to koledzy, koledzy i przełożeni, którzy ręczą za tożsamość odwiedzającego, który ma dostęp do obiektów fizycznych.
139. Kierowca ciężarówki, który jest pracownikiem wykonawcy obrony, przewozi bardzo wrażliwe części i komponenty z zakładu produkcyjnego wykonawcy obrony do instalacji wojskowej w bardzo bezpiecznym miejscu. Wojskowy oddział odbiorczy śledzi fizyczną lokalizację kierowcy, aby upewnić się, że nie ma problemów z bezpieczeństwem w drodze do instalacji. Po przybyciu do instalacji kierowca ciężarówki pokazuje swoją legitymację pracowniczą ze zdjęciem wydanym przez wykonawcę obrony, wpisuje swoje hasło i PIN oraz pobiera biometryczną próbkę odcisku palca przed wejściem do instalacji i rozładunkiem zawartości ciężarówki. Co przedstawia ten opisany scenariusz?
a. Uwierzytelnianie jednoskładnikowe
b. Uwierzytelnianie dwuskładnikowe
c. Uwierzytelnianie trójskładnikowe
d. Uwierzytelnianie czteroskładnikowe
139. d. Śledzenie fizycznej lokalizacji kierowcy (być może za pomocą GPS lub sieci czujników bezprzewodowych) jest przykładem miejsca, w którym się znajdujesz (dowód pierwszego czynnika). Pokazanie pracownikowi fizycznej plakietki ze zdjęciem jest przykładem czegoś, co masz (dowód drugiego czynnika). Wprowadzanie hasła i kodu PIN jest przykładem czegoś, co znasz (dowód trzeciego czynnika). Pobranie biometrycznej próbki odcisku palca jest przykładem czegoś, czym jesteś (dowód czwartego czynnika). Dlatego ten scenariusz reprezentuje uwierzytelnianie czteroskładnikowe. Kluczową kwestią jest to, że nie ma znaczenia, czy przedstawiony dowód dotyczy jednego przedmiotu, czy więcej przedmiotów z tej samej kategorii (np. gdzieś, gdzie jesteś, coś, co masz, coś, co wiesz, i coś, czym jesteś).
140. Która z poniższych sytuacji jest osiągana, gdy zostaną zaimplementowane dwa dowody uwierzytelnienia czegoś, co posiadasz?
a. Najmniejsza pewność
b. Zwiększona pewność
c. Maksymalna pewność
d. Zapewnienie równoważne
140. a. Najmniejszą pewność uzyskuje się, gdy zaimplementowane są dwa dowody uwierzytelnienia czegoś, co posiadasz (np. karta, klucz i urządzenie mobilnego identyfikatora), ponieważ karta i klucz mogą zostać zgubione lub skradzione. W związku z tym wielokrotne użycie czegoś, co masz, zapewnia mniejszą kontrolę dostępu niż użycie kombinacji technik uwierzytelniania wieloskładnikowego. Zapewnienie równoważne jest neutralne i nie wymaga żadnych dalszych działań.
141. Która z poniższych sytuacji jest osiągana, gdy zaimplementowane są dwa dowody uwierzytelnienia czegoś, o czym wiesz?
a. Najmniejsza pewność
b. Zwiększona pewność
c. Maksymalna pewność
d. Równoważna pewność
141. b. Większą pewność uzyskuje się, gdy zaimplementowane są dwa dowody uwierzytelnienia czegoś, co znasz (np. użycie dwóch różnych haseł z kodami PIN lub bez nich). Wiele dowodów czegoś, o czym wiesz, daje większą pewność niż wiele dowodów czegoś, co masz. Jednak wielokrotne użycie czegoś, co znasz, zapewnia równoważną pewność, jak kombinacja technik uwierzytelniania wieloskładnikowego.
142. Która z poniższych sytuacji jest osiągana, gdy zaimplementowane są "dwa dowody uwierzytelnienia czegoś, czym jesteś"?
a. Najmniejsza pewność
b. Zwiększona pewność
c. Maksymalna pewność
d. Równoważna pewność
142. c. Najwyższą pewność uzyskuje się, gdy wdrożone są dwa dowody uwierzytelnienia czegoś, czym jesteś (np. osobiste rozpoznanie przez współpracownika, użytkownika lub strażnika oraz weryfikacja biometryczna). Wiele dowodów na coś, czym jesteś, daje największą pewność niż wiele dowodów na coś, co masz lub coś, co znasz, używanych pojedynczo lub w połączeniu. Zapewnienie dwuwartościowe jest neutralne i nie wymaga żadnych dalszych działań.
143. W przypadku kluczowych funkcji technologii systemów wykrywania i zapobiegania włamaniom (IDPS), które z poniższych elementów odnoszą się do zmiany konfiguracji IDPS?
a. Strojenie
b. Uchylanie się
c. Bloking
d. Normalizacja
143. a. Zmiana konfiguracji systemu wykrywania i zapobiegania włamaniom (IDPS) w celu poprawy jego dokładności wykrywania nazywana jest strojeniem. Technologie IDPS nie zawsze zapewniają całkowicie dokładne wykrywanie. Dostęp do docelowego hosta jest blokowany z konta użytkownika lub adresu IP naruszającego prawo. Unikanie polega na modyfikowaniu formatu lub czasu złośliwej aktywności tak, że zmienia się jej wygląd, ale efekt jest taki sam. Atakujący używają technik unikania, aby zapobiec wykrywaniu ich ataków przez technologie systemów wykrywania i zapobiegania włamaniom (IDPS). Większość technologii IDPS może obejść popularne techniki obejścia przez powielenie specjalnego przetwarzania wykonywanego przez docelowy host. Jeśli konfiguracja IDPS jest taka sama, jak na docelowym hoście, techniki unikania nie będą skuteczne w ukrywaniu ataków. Niektóre technologie systemów zapobiegania włamaniom (IPS) mogą usuwać lub zastępować złośliwe części ataku, aby uczynić go łagodnym. Złożonym przykładem jest IPS, który działa jako proxy i normalizuje przychodzące żądania, co oznacza, że proxy przepakowuje ładunki żądań, odrzucając informacje nagłówka. Może to spowodować odrzucenie niektórych ataków w ramach procesu normalizacji.
144. Ponowne użycie hasła systemu operacyjnego użytkownika do uwierzytelniania przed uruchomieniem nie powinno być praktykowane podczas wdrażania których z poniższych produktów do uwierzytelniania szyfrowania pamięci masowej?
a. Szyfrowanie całego dysku
b. Szyfrowanie woluminów
c. Szyfrowanie dysku wirtualnego
d. Szyfrowanie plików/folderów
144. a. Ponowne użycie hasła systemu operacyjnego użytkownika do uwierzytelniania przed uruchomieniem w pełnym (całym) wdrożeniu szyfrowania dysku umożliwiłoby atakującemu poznanie tylko jednego hasła w celu uzyskania pełnego dostępu do informacji o urządzeniu. Hasło można uzyskać metodami technicznymi, takimi jak infekowanie urządzenia złośliwym oprogramowaniem, lub środkami fizycznymi, takimi jak obserwowanie, jak użytkownik wpisuje hasło w miejscu publicznym. Właściwy wybór jest ryzykowny w porównaniu z wyborami niewłaściwymi, ponieważ te ostatnie nie zajmują się uruchamianiem komputera ani uwierzytelnianiem przed uruchomieniem.
145. Wszystkie następujące produkty do uwierzytelniania szyfrowania pamięci masowej mogą korzystać z uwierzytelniania systemu operacyjnego do jednokrotnego logowania, z wyjątkiem:
a. Szyfrowanie całego dysku
b. Szyfrowanie woluminów
c. Wirtualne szyfrowanie dysku
d. Szyfrowanie plików/folderów
145. a. Produkty, takie jak szyfrowanie woluminów, szyfrowanie dysków wirtualnych lub szyfrowanie plików/folderów, mogą korzystać z uwierzytelniania systemu operacyjnego do logowania jednokrotnego (SSO). Po uwierzytelnieniu użytkownika w systemie operacyjnym w czasie logowania, użytkownik może uzyskać dostęp do zaszyfrowanego pliku bez dalszego uwierzytelniania, co jest ryzykowne. Nie należy używać tego samego jednoskładnikowego narzędzia uwierzytelniającego do wielu celów. Szyfrowanie całego dysku zapewnia lepsze bezpieczeństwo niż pozostałe trzy opcje, ponieważ szyfrowany jest cały dysk, a nie jego część.
146. Który z poniższych mechanizmów bezpieczeństwa dla produktów uwierzytelniania szyfrowania pamięci masowej wysokiego ryzyka zapewnia ochronę przed próbami odgadnięcia uwierzytelnienia i przedkłada bezpieczeństwo nad funkcjonalność?
a. Ostrzegaj o kolejnych nieudanych próbach logowania.
b. Zablokuj komputer na określony czas.
c. Zwiększ opóźnienie między próbami.
d. Usuń chronione dane z urządzenia.
146. d. W sytuacjach o wysokim poziomie bezpieczeństwa produkty uwierzytelniające szyfrowanie pamięci masowej można skonfigurować tak, aby zbyt wiele nieudanych prób spowodowało usunięcie przez produkt wszystkich chronionych danych z urządzenia. Takie podejście zdecydowanie przedkłada bezpieczeństwo nad funkcjonalność. Pozostałe trzy opcje można wykorzystać w sytuacjach o niskim poziomie bezpieczeństwa.
147. Które z poniższych kryteriów wymagają mechanizmów odzyskiwania rozwiązań uwierzytelniania szyfrowania pamięci masowej?
a. Kompromis między poufnością a bezpieczeństwem
b. Kompromis między integralnością a bezpieczeństwem
c. Kompromis między dostępnością a bezpieczeństwem
d. Kompromis między odpowiedzialnością a bezpieczeństwem
147. c. Mechanizmy odzyskiwania zwiększają dostępność rozwiązań uwierzytelniania szyfrowania pamięci masowej dla poszczególnych użytkowników, ale mogą również zwiększać prawdopodobieństwo uzyskania przez atakującego nieautoryzowanego dostępu do zaszyfrowanego magazynu poprzez nadużycie mechanizmu odzyskiwania. Dlatego zarządzanie bezpieczeństwem informacji powinno uwzględniać kompromis między dostępnością a bezpieczeństwem przy wyborze i planowaniu mechanizmów odzyskiwania. Pozostałe trzy opcje nie zapewniają mechanizmów odzyskiwania.
148. Które z poniższych elementów wymaga uwierzytelniania wieloskładnikowego w przypadku zarządzania tożsamością?
a. Architektura użytkownik-host
b. Architektura peer-to-peer
c. Architektura klient-host-serwer
d. Zaufana architektura stron trzecich
148. a. Gdy użytkownik loguje się do komputera hosta lub stacji roboczej, musi zostać zidentyfikowany i uwierzytelniony przed przyznaniem dostępu do hosta lub sieci. Ten proces wymaga mechanizmu uwierzytelniania rzeczywistej osoby na maszynie. Najlepsze metody w tym zakresie obejmują wiele form uwierzytelniania z wieloma czynnikami, takimi jak coś, co znasz (hasło), coś, co masz (token fizyczny) i coś, czym jesteś (weryfikacja biometryczna). Pozostałe trzy opcje nie wymagają uwierzytelniania wieloskładnikowego, ponieważ korzystają z różnych metod uwierzytelniania. Architektura peer-to-peer, czasami nazywana protokołem wzajemnego uwierzytelniania, obejmuje bezpośrednią komunikację informacji uwierzytelniających między komunikującymi się jednostkami (np. peer-to-peer lub klient host-serwer). Architektura uwierzytelniania zaufanej strony trzeciej (TTP) wykorzystuje podmiot trzeci, któremu ufają wszystkie podmioty, do dostarczania informacji uwierzytelniających. Należy ocenić stopień zaufania, jakim obdarzył podmiot trzeci. Metody ustanawiania i utrzymywania poziomu zaufania do TTP obejmują oświadczenia o praktykach certyfikacyjnych (CPS), które określają zasady, procesy i procedury stosowane przez urząd certyfikacji (CA) w celu zapewnienia integralności procesu uwierzytelniania i korzystania z bezpiecznych protokołów do interfejsu z serwerami uwierzytelniającymi. TTP może dostarczać informacje uwierzytelniające w każdym przypadku uwierzytelnienia, w czasie rzeczywistym lub jako prekursor wymiany z CA.
149. W przypadku zarządzania hasłami, które z poniższych zapewnia siłę hasła?
a. Hasła z maksymalną przestrzenią na klucze, krótsze hasła, niska entropia i proste hasła
b. Hasła ze zrównoważoną przestrzenią kluczy, dłuższymi hasłami, wysoką entropią i złożonymi hasłami
c. Hasła z minimalną przestrzenią na klucze, krótsze hasła, wysokie entropia i proste hasła
d. Hasła z najbardziej prawdopodobną przestrzenią kluczy, dłuższe hasła, niska entropia i złożone hasła
149. b. Siła hasła jest określana przez długość hasła i jego złożoność, która jest określana przez nieprzewidywalność jego postaci. Hasła oparte na wzorcach, takich jak przestrzeń kluczy, mogą spełniać wymagania dotyczące złożoności hasła i długości, ale znacznie zmniejszają przestrzeń kluczy, ponieważ osoby atakujące są świadome tych wzorców. Idealna przestrzeń kluczy to zrównoważona przestrzeń między scenariuszami maksymalnymi, najbardziej prawdopodobnymi i minimalnymi. Proste i krótkie hasła mają niską entropię, ponieważ składają się z połączonych słów słownikowych, które są łatwe do odgadnięcia i zaatakowania. Dlatego hasła powinny być złożone i dłuższe, aby zapewnić wysoką entropię. Hasła ze zrównoważoną przestrzenią kluczy, dłuższe hasła, wysoka entropia i złożone hasła zapewniają siłę hasła.
150. Jeśli chodzi o zarządzanie hasłami, który z poniższych elementów skutecznie wymusza wymagania dotyczące siły hasła?
a. Edukuj użytkowników w zakresie siły hasła.
b. Uruchom program do łamania haseł, aby zidentyfikować słabe hasła.
c. Wykonaj operację łamania w trybie offline.
d. Użyj programu narzędziowego do filtrowania haseł.
150. d. Jednym ze sposobów zapewnienia siły hasła jest dodanie programu narzędziowego do filtrowania haseł, który jest specjalnie zaprojektowany do sprawdzania, czy hasło utworzone przez użytkownika jest zgodne z polityką haseł. Dodanie filtra haseł jest bardziej rygorystycznym i proaktywnym rozwiązaniem, podczas gdy pozostałe trzy opcje są mniej rygorystycznymi i reaktywnymi rozwiązaniami. Program narzędziowy do filtrowania haseł jest również nazywany programem do wymuszania złożoności hasła.
151. Która z poniższych kontroli nad telepracą używa tokenów i/lub hasła jednorazowe?
a. Zapory sieciowe
b. Solidne uwierzytelnianie
c. Urządzenia zabezpieczające port
d. Szyfrowanie
151. b. Solidne uwierzytelnianie zwiększa bezpieczeństwo na dwa istotne sposoby. Może wymagać od użytkownika posiadania tokena oprócz hasła lub osobistego numeru identyfikacyjnego (PIN). Tokeny używane z kodami PIN zapewniają znacznie większe bezpieczeństwo niż hasła. Aby haker lub inna osoba podająca się za kogoś innego mogła podszywać się pod kogoś innego, osoba podszywająca się musi mieć zarówno prawidłowy token, jak i odpowiedni kod PIN. Jest to znacznie trudniejsze niż uzyskanie poprawnej kombinacji hasła i identyfikatora użytkownika. Solidne uwierzytelnianie może również tworzyć hasła jednorazowe. Monitorowanie elektroniczne (podsłuchiwanie lub podsłuchiwanie) lub obserwowanie wpisywanego przez użytkownika hasła nie stanowi zagrożenia w przypadku haseł jednorazowych, ponieważ za każdym razem, gdy użytkownik jest uwierzytelniany na komputerze, używane jest inne "hasło". (Haker mógłby nauczyć się hasła jednorazowego poprzez monitorowanie elektroniczne, ale nie miałoby to żadnej wartości). Zapora jest nieprawidłowa, ponieważ wykorzystuje bezpieczną bramę lub serię bram do blokowania lub filtrowania dostępu między dwiema sieciami, często między prywatnymi oraz większą, bardziej publiczną sieć, taką jak Internet lub publiczna sieć komutowana (np. system telefoniczny). Zapora nie używaj tokenów i haseł tak bardzo, jak solidnego uwierzytelniania. Urządzenie ochrony portu (PPD) jest nieprawidłowe, ponieważ jest zamontowane w porcie komunikacyjnym komputera hosta i autoryzuje dostęp do samego portu, przed i niezależnie od własnych funkcji kontroli dostępu komputera. PPD może być oddzielnym urządzeniem w strumieniu komunikacyjnym lub może być włączony do urządzenia komunikacyjnego (np. modemu). Aby uzyskać dostęp do portu komunikacyjnego, pliki PPD zazwyczaj wymagają oddzielnego uwierzytelnienia, takiego jak hasło. Jednym z najczęstszych plików PPD jest modem z połączeniem zwrotnym. PPD nie używa tokenów i haseł tak bardzo, jak solidne uwierzytelnianie. Szyfrowanie jest nieprawidłowe, ponieważ jest droższe niż uwierzytelnianie niezawodne. Jest to najbardziej przydatne, gdy konieczne jest przesłanie wysoce poufnych danych lub gdy dane umiarkowanie poufne są przesyłane w obszarze wysokiego zagrożenia. Szyfrowanie jest najczęściej stosowane w celu ochrony poufności danych i ich integralności (wykrywa zmiany w plikach). Szyfrowanie nie wykorzystuje tokenów i haseł w takim stopniu, jak niezawodne uwierzytelnianie.
152. Które z poniższych stwierdzeń dotyczących systemu kontroli dostępu nie jest prawdziwe?
a. Jest to zazwyczaj wymuszane przez konkretną aplikację.
b. Wskazuje, co mógł zrobić konkretny użytkownik.
c. Rejestruje nieudane próby wykonania poufnych działań.
d. Rejestruje nieudane próby dostępu do zastrzeżonych danych.
152. a. Niektóre aplikacje używają kontroli dostępu (zazwyczaj wymuszanej przez system operacyjny) w celu ograniczenia dostępu do pewnych typów informacji lub funkcji aplikacji. Może to być pomocne w ustaleniu, co mógł zrobić konkretny użytkownik aplikacji. Niektóre aplikacje rejestrują informacje związane z kontrolą dostępu, takie jak nieudane próby wykonania poufnych działań lub dostęp do zastrzeżonych danych.
153. Co dzieje się w przypadku ataku typu man-in-the-middle (MitM) na protokół uwierzytelniania elektronicznego?
1. Atakujący podszywa się za weryfikatora dla strony wnoszącej roszczenie.
2. Atakujący podszywa się przed weryfikatorem jako powód.
3. Atakujący podszywa się pod CA dla RA.
4. Atakujący podszywa się pod RA do CA.
a. Tylko 1
b. Tylko 3
c. Tylko 4
d. 1 i 2
153. d. W ataku typu man-in-the-middle (MitM) na protokół uwierzytelniania atakujący wstawia się między stronę wnoszącą roszczenie i weryfikatora, udając weryfikatora dla strony wnoszącej roszczenie i jako strony roszczącej dla weryfikatora. Atakujący poznaje w ten sposób wartość tokena uwierzytelniającego. Urząd rejestracji (RA) i urząd certyfikacji (CA) nie pełnią żadnej roli w ataku MitM.
154. Które z poniższych nie jest środkiem zapobiegającym atakom włamań do sieci?
a. Zapory sieciowe
b. Audyt
c. Konfiguracja systemu
d. System wykrywania włamań
154. b. Audyt jest działaniem wykrywającym, a nie środkiem zapobiegawczym. Przykłady środków zapobiegawczych mających na celu zmniejszenie ryzyka ataków włamań do sieci obejmują zapory ogniowe, konfigurację systemu i system wykrywania włamań.
155. Przykładem którego z poniższych jest uwierzytelnianie za pomocą karty inteligentnej?
a. Dowód za wiedzą
b. Dowód według właściwości
c. Dowód przez posiadanie
d. Dowód koncepcji
155. c. Karty inteligentne to plastikowe karty wielkości karty kredytowej, które zawierają wbudowany chip komputerowy zawierający system operacyjny, programy i dane. Uwierzytelnianie za pomocą karty inteligentnej jest prawdopodobnie najbardziej znanym przykładem dowodu przez posiadanie (np. klucz, karta lub token). Hasła są przykładem weryfikacji przez wiedzę. Przykładem właściwości dowodu są odciski palców. Proof-of-concept dotyczy testowania produktu przed zbudowaniem rzeczywistego produktu.
156. W przypadku zagrożeń tokenowych w uwierzytelnianiu elektronicznym stosowane są środki zaradcze, w przypadku których występuje jedno z następujących zagrożeń różni się od pozostałych trzech zagrożeń?
a. Zgadywanie online
b. Podsłuchiwanie
c. Phishing i pharming
d. Inżynieria społeczna
156. a. W uwierzytelnianiu elektronicznym środek zaradczy przeciwko groźbie zgadywania tokenów online wykorzystuje tokeny, które generują uwierzytelnienia o wysokiej entropii. Typowe środki zaradcze przeciwko zagrożeniom wymienionym w pozostałych trzech opcjach są takie same i nie używają uwierzytelniania o wysokiej entropii. Te wspólne środki zaradcze obejmują (i) użycie tokenów z dynamicznymi uwierzytelniającymi, gdzie wiedza o jednym uwierzytelniającym nie pomaga w wyprowadzeniu kolejnego uwierzytelniającego oraz (ii) użycie tokenów, które generują uwierzytelniające na podstawie wartości wejściowej tokena.
157. Który z poniższych elementów jest składnikiem, który zapewnia usługę bezpieczeństwa dla aplikacji karty inteligentnej używanej do uwierzytelniania urządzenia mobilnego?
a. Protokół wyzwanie-odpowiedź
b. Dostawca usługi
c. Menedżer zasobów
d. Sterownik czytnika kart inteligentnych
157. a. Podstawowy mechanizm używany do uwierzytelniania użytkowników za pomocą kart inteligentnych opiera się na protokole typu wyzwanie-odpowiedź między urządzeniem a kartą inteligentną. Na przykład osobisty asystent cyfrowy (PDA) wzywa kartę inteligentną do odpowiedniej i poprawnej odpowiedzi, której można użyć do sprawdzenia, czy karta jest oryginalnie zarejestrowana przez właściciela urządzenia PDA. Protokół challenge-response zapewnia usługę bezpieczeństwa. Trzy główne składniki oprogramowania, które obsługują aplikację kart inteligentnych, obejmują dostawcę usług, menedżera zasobów i sterownik czytnika kart inteligentnych.
158. Który z poniższych nie jest wyrafinowanym atakiem technicznym na karty inteligentne?
a. Inżynieria odwrotna
b. Usterka wtrysku
c. Wyciek sygnału
d. Podszywanie się
158. d. W przypadku uwierzytelniania użytkownika podstawowym zagrożeniem jest osoba atakująca podszywająca się pod użytkownika i przejmując kontrolę nad urządzeniem i jego zawartością. Ze wszystkich czterech możliwości podszywanie się jest prostym atakiem technicznym. Karty inteligentne są zaprojektowane tak, aby opierały się manipulacjom i monitorowaniu karty, w tym wyrafinowanym atakom technicznym, które obejmują inżynierię wsteczną, wstrzykiwanie błędów i wyciek sygnału.
159. Które z poniższych jest przykładem uwierzytelniania bez sondowania?
a. Karta inteligentna
b. Hasło
c. Token pamięci
d. Sygnał komunikacyjny
159. b. Uwierzytelnianie niepolled jest dyskretne; po ustaleniu werdyktu jest on nienaruszalny do czasu kolejnej próby uwierzytelnienia. Przykłady uwierzytelniania bez sondowania obejmują hasło, odcisk palca i weryfikację głosową. Uwierzytelnianie przez ankietę jest ciągłe; obecność lub brak jakiegoś tokena lub sygnału określa stan uwierzytelnienia. Przykłady uwierzytelniania odpytywania obejmują kartę inteligentną, token pamięci i sygnał komunikacyjny, przy czym brak urządzenia lub sygnału wyzwala stan braku uwierzytelnienia.
160. Które z poniższych nie uzupełnia systemów wykrywania włamań (IDS)?
a. Miodowce
b. Komórki wnioskowania
c. Wyściełane komórki
d. Narzędzia do oceny podatności
160. b. Systemy Honeypot, wyściełane systemy komórkowe i narzędzia do oceny podatności uzupełniają IDS, aby zwiększyć zdolność organizacji do wykrywania włamań. Komórki wnioskowania nie uzupełniają IDS. System honeypot to komputer-host, który jest przeznaczony do zbierania danych o podejrzanej aktywności i nie ma autoryzowanych użytkowników innych niż administratorzy bezpieczeństwa i osoby atakujące. Komórki wnioskowania prowadzą do ataku wnioskowania, gdy użytkownik lub intruz jest w stanie wywnioskować uprzywilejowane informacje ze znanych informacji. W systemach wyściełanych komórek atakujący jest bezproblemowo przenoszony do specjalnego hosta wyściełanej komórki. Narzędzia do oceny podatności określają, kiedy sieć lub host jest podatny na znane ataki.
161. Snifing poprzedza które z poniższych?
a. Phishing i pharming
b. Podszywanie się i porwanie
c. Podsłuchiwanie i skanowanie
d. Łamanie i oszustwa
161. b. Sniffing to obserwowanie i monitorowanie pakietów przechodzących w ruchu sieciowym za pomocą snifferów pakietów. Wąchanie poprzedza podszywanie się lub porwanie. Spoofing polega po części na wykorzystaniu różnych technik do obalania kontroli dostępu opartej na protokole IP, podszywając się pod inny system przy użyciu ich adresu IP. Podszywanie się to próba uzyskania dostępu do systemu poprzez udawanie autoryzowanego użytkownika. Inne przykłady fałszowania obejmują fałszowanie pakietów w celu ukrycia źródła ataku w systemie DoS, fałszowanie nagłówków wiadomości e-mail w celu ukrycia spamu oraz fałszowanie numerów telefonów w celu oszukania identyfikatora dzwoniącego. Podszywanie się jest równoznaczne z podszywaniem się, maskaradą lub naśladowaniem, ale nie jest równoznaczne z wąchaniem. Przejęcie kontroli to atak, który następuje podczas uwierzytelnionej sesji z bazą danych lub systemem. Snooping, skanowanie i sniffing to czynności mające na celu poszukiwanie wymaganych i cennych informacji. Polegają na rozglądaniu się w poszukiwaniu słabych punktów i planowaniu ataku. Są to działania przygotowawcze przed rozpoczęciem poważnych ataków penetracyjnych. Phishing polega na nakłanianiu osób do ujawnienia poufnych danych osobowych za pomocą oszukańczych środków komputerowych. Ataki phishingowe wykorzystują socjotechnikę i podstępy techniczne w celu kradzieży danych osobowych konsumentów i danych uwierzytelniających do kont finansowych. Obejmuje oszustów internetowych, którzy wysyłają spam lub wyskakujące wiadomości, aby zwabić dane osobowe (np. numery kart kredytowych, informacje o koncie bankowym, numer ubezpieczenia społecznego, hasła lub inne poufne informacje) od niczego niepodejrzewających ofiar. Pharming to nieprawidłowe kierowanie użytkowników do fałszywych witryn internetowych lub serwerów proxy, zazwyczaj poprzez przejęcie lub zatrucie DNS. Łamanie polega na łamaniu haseł i omijaniu kontroli oprogramowania w elektronicznym systemie uwierzytelniania, takim jak rejestracja użytkownika. Oszustwo to podszywanie się pod legalną firmę korzystającą z Internetu. Kupujący powinien sprawdzić sprzedawcę przed zakupem towarów lub usług. Sprzedawca powinien podać adres fizyczny wraz z działającym numerem telefonu.
162. Które z poniższych przykładów to hasła i osobiste numery identyfikacyjne (PIN)?
a. Proceduralne kontrole dostępu
b. Fizyczne kontrole dostępu
c. Logiczna kontrola dostępu
d. Kontrola dostępu administracyjnego
162. c. Kontrole logiczne, fizyczne i administracyjne to przykłady mechanizmów kontroli dostępu. Hasła, kody PIN i szyfrowanie to przykłady logicznej kontroli dostępu.
163. Które z poniższych stwierdzeń nie jest prawdziwe w odniesieniu do dzienników "honeypotów"?
a. Honeypoty to zwodnicze środki.
b. Honeypoty zbierają dane o wskazaniach.
c. Honeypoty to hosty, które nie mają autoryzowanych użytkowników.
d. Honeypoty są uzupełnieniem prawidłowego zabezpieczenia sieci,systemy i aplikacje.
163. b. Honeypoty to zwodnicze środki gromadzące lepsze dane na temat prekursorów, a nie wskazań. Prekursor to znak, że w przyszłości może dojść do incydentu. Wskazanie jest znakiem, że incydent mógł mieć miejsce lub może mieć miejsce teraz. Honeypoty to hosty, które nie mają autoryzowanych użytkowników innych niż administratorzy honeypotów, ponieważ nie pełnią one żadnej funkcji biznesowej; wszelkie działania skierowane przeciwko nim są uważane za podejrzane. Atakujący skanują i atakują honeypoty, dając administratorom dane na temat nowych trendów i narzędzi ataku/atakującego, w szczególności złośliwego kodu. Jednak honeypoty są uzupełnieniem, a nie zamiennikiem, odpowiednio zabezpieczając sieci, systemy i aplikacje.
164. Każdy użytkownik otrzymuje najniższe uprawnienia potrzebne do wykonywania autoryzowanych zadań. Która z poniższych zasad jest taka?
a. Zasada najmniejszych przywilejów
b. Zasada rozdziału obowiązków
c. Zasada rozliczenia systemu
d. Zasada akredytacji systemu
164. a. Zasada najmniejszych uprawnień wymaga, aby każdemu podmiotowi (użytkownikowi) w systemie nadano najbardziej restrykcyjny zestaw uprawnień (lub najniższych uprawnień) niezbędnych do wykonywania autoryzowanych zadań. Stosowanie tej zasady ogranicza szkody, które mogą wynikać z wypadku, błędu i/lub nieuprawnionego użycia. Zasada rozdziału obowiązków mówi, że żadna osoba nie może mieć pełnej kontroli nad transakcją lub zadaniem biznesowym. Zasada kontroli dostępu do systemu stanowi, że prawa dostępu użytkowników powinny być oparte na ich statusie pracy (tj. wrażliwe lub niewrażliwe). Zasada akredytacji systemów stanowi, że wszystkie systemy powinny być zatwierdzone przez kierownictwo przed ich uruchomieniem.
165. Która z poniższych metod wykrywania i zapobiegania włamaniom (IDPS) jest odpowiednia do analizy zarówno aktywności opartej na sieci, jak i na hoście?
a. Wykrywanie oparte na sygnaturach
b. Wykrywanie nadużyć
c. Wykrywanie anomalii
d. Analiza protokołu stanowego
165. d. Technologie IDPS wykorzystują wiele metodologii wykrywania incydentów. Podstawowe klasy metodologii wykrywania obejmują analizę protokołów opartych na sygnaturach, anomaliach i stanowych, przy czym ta ostatnia jako jedyna analizuje zarówno aktywność opartą na sieci, jak i na hoście. Wykrywanie oparte na sygnaturach to proces porównywania sygnatur z zaobserwowanymi zdarzeniami w celu zidentyfikowania możliwych incydentów. Sygnatura to wzorzec odpowiadający znanemu zagrożeniu. Czasami jest błędnie określany jako wykrywanie nadużyć lub analiza protokołu stanowego. Wykrywanie nadużyć odnosi się do ataków z wewnątrz organizacji. Wykrywanie na podstawie anomalii to proces porównywania definicji tego, jaka aktywność jest uważana za normalną, z zaobserwowanymi zdarzeniami w celu zidentyfikowania znaczących odchyleń i nieprawidłowego zachowania. Analiza protokołu stanowego (znana również jako głęboka inspekcja pakietów) to proces porównywania z góry określonych profili ogólnie akceptowanych definicji łagodnej aktywności protokołu dla każdego stanu protokołu z zaobserwowanymi zdarzeniami w celu zidentyfikowania odchyleń. Protokół stanowy jest odpowiedni do analizy zarówno aktywności opartej na sieci, jak i na hoście, podczas gdy głęboka inspekcja pakietów jest odpowiednia tylko dla aktywności opartej na sieci. Jeden sieciowy IDPS może nasłuchiwać w segmencie sieci lub przełączniku i monitorować ruch sieciowy mający wpływ na wiele hostów podłączonych do segmentu sieci. Jeden IDPS oparty na hoście działa na informacjach zebranych z pojedynczego systemu komputerowego i określa, które procesy i konta użytkowników są zaangażowane w konkretny atak.
166. Model bezpieczeństwa Clarka-Wilsona skupia się na następującym?
a. Poufność
b. Integralność
c. Dostępność
d. Odpowiedzialność
166. b. Model bezpieczeństwa Clark-Wilson to podejście, które zapewnia integralność danych w typowych działaniach komercyjnych. Jest to specyficzny model zajmujący się "uczciwością", która jest jednym z pięciu celów bezpieczeństwa. Pięć celów to: poufność, integralność, dostępność, odpowiedzialność i pewność.
167. Na którym z poniższych skupia się model bezpieczeństwa Biba?
a. Poufność
b. Integralność
c. Dostępność
d. Odpowiedzialność
167. b. Model bezpieczeństwa Biba to model integralności, w którym żaden podmiot nie może polegać na mniej zaufanym obiekcie, w tym na innym podmiocie. Jest to specyficzny model odnoszący się tylko do jednego z celów bezpieczeństwa, takich jak poufność, integralność, dostępność i odpowiedzialność.
168. Na którym z poniższych skupia się model bezpieczeństwa Take-Grant?
a. Poufność
b. Odpowiedzialność
c. Dostępność
d. Prawa dostępu
168. d. Model bezpieczeństwa Take-Grant wykorzystuje ukierunkowany wykres do określenia praw, które podmiot może przenieść na obiekt lub które podmiot może odebrać innemu podmiotowi. Nie dotyczy celów bezpieczeństwa, takich jak poufność, integralność, dostępność i odpowiedzialność. Prawa dostępu są częścią modeli kontroli dostępu.
169. Które z poniższych jest oparte na wstępnie obliczonych skrótach haseł?
a. Brutalny atak
b. Atak słownikowy
c. Atak tęczowy
d. Atak hybrydowy
169. c. Ataki tęczowe są formą techniki łamania haseł, która wykorzystuje tęczowe tabele, czyli tabele wyszukiwania zawierające wstępnie obliczone skróty haseł. Tabele te umożliwiają atakującemu próbę złamania hasła w najkrótszym czasie w systemie ofiary i bez konieczności ciągłego ponownego generowania skrótów, jeśli atakujący próbuje złamać wiele kont. Pozostałe trzy opcje nie są oparte na wstępnie obliczonych skrótach haseł; chociaż wszystkie są powiązane z hasłami. Atak brute force to forma ataku zgadywania, w którym atakujący używa wszystkich możliwych kombinacji znaków z danego zestawu znaków i haseł o określonej długości. Atak słownikowy to forma ataku polegającego na zgadywaniu, w którym osoba atakująca próbuje odgadnąć hasło, korzystając z listy możliwych haseł, która nie jest wyczerpująca. Atak hybrydowy to forma ataku polegającego na zgadywaniu, w którym atakujący używa słownika, który zawiera możliwe hasła, a następnie wykorzystuje odmiany oryginalnych haseł ze słownika metodami brute force do tworzenia nowych potencjalnych haseł.
170. W przypadku wykrywania włamań i funkcji systemu zapobiegania, wykrywanie oparte na anomaliach wykorzystuje które z poniższych?
1. Czarne listy
2. Białe listy
3. Próg
4. Przeglądanie kodu programu
a. 1 i 2
b. 1, 2 i 3
c. Tylko 3
d. 1, 2, 3 i 4
170. c. Wykrywanie na podstawie anomalii to proces porównywania definicji tego, jaka aktywność jest uważana za normalną, z zaobserwowanymi zdarzeniami w celu zidentyfikowania znaczących odchyleń. Progi są najczęściej używane do wykrywania anomalii. Próg to wartość, która wyznacza granicę między zachowaniem normalnym a nienormalnym. Wykrywanie oparte na anomaliach nie korzysta z czarnych list, białych list i przeglądania kodu programu. Czarna lista to lista odrębnych jednostek, takich jak hosty lub aplikacje, które zostały wcześniej określone jako powiązane ze złośliwą aktywnością. Biała lista to lista odrębnych jednostek, takich jak hosty lub aplikacje, o których wiadomo, że są łagodne. Funkcje przeglądania i edycji kodu programu są ustanowione, aby zobaczyć kod programowania związany z detekcją w systemie wykrywania i zapobiegania włamaniom (IDPS).
171. Który z poniższych modeli bezpieczeństwa dotyczy koncepcji "rozdzielenia obowiązków"?
a. Model Biby
b. Model Clark-Wilson
c. Model Bell-LaPadula
d. Model Sutherlanda
171. b. Model bezpieczeństwa Clarka i Wilsona dotyczy koncepcji rozdzielenia obowiązków wraz z dobrze uformowanymi transakcjami. Rozdzielenie obowiązków ma na celu zapewnienie zewnętrznej spójności obiektów danych. Odnosi się również do konkretnego celu dotyczącego integralności, jakim jest uniemożliwienie autoryzowanym użytkownikom dokonywania niewłaściwych modyfikacji. Pozostałe trzy modele nie odnoszą się do koncepcji rozdziału obowiązków.
172. Z punktu widzenia bezpieczeństwa komputera, polityka dotycząca muru chińskiego jest powiązana z którym z poniższych?
a. Problem agregacji
b. Problem klasyfikacji danych
c. Problem z kontrolą dostępu
d. Problem wnioskowania
172. c. Jak przedstawili Brewer i Nash, polityka chińskiego muru jest obowiązkową polityką kontroli dostępu dla analityków giełdowych. Zgodnie z polityką analityk rynku może prowadzić interesy z dowolną firmą. Jednak za każdym razem, gdy analityk otrzymuje poufne informacje "wewnętrzne" od nowej firmy, polityka uniemożliwia mu prowadzenie interesów z jakąkolwiek inną firmą z tej samej branży, ponieważ wiązałoby się to z konfliktem interesów. Innymi słowy, współpraca z jedną firmą stawia chiński mur między nim a wszystkimi innymi firmami z tej samej branży. Polityka chińskiego muru nie spełnia definicji problemu agregacji; nie ma pojęcia, że niektóre informacje są wrażliwe, a agregat jest bardziej wrażliwy. Polityka chińskiego muru to polityka kontroli dostępu, w której reguła kontroli dostępu nie jest oparta tylko na poufności informacji, ale na informacjach, do których już uzyskano dostęp. Nie jest to ani wnioskowanie, ani problem klasyfikacji danych.
173. Który z poniższych modeli zabezpieczeń promuje poświadczenia bezpieczeństwa i klasyfikacje wrażliwości?
a. Model Biby
b. Model Clark-Wilson
c. Model Bell-LaPadula
d. Model Sutherlanda
173. c. W modelu Bella-LaPadula schemat odprawy/klasyfikacji jest wyrażony w postaci sieci. Aby określić, czy określony model dostępu jest dozwolony, zezwolenie podmiotu jest porównywane z klasyfikacją obiektu i dokonywane jest określenie, czy podmiot jest uprawniony do korzystania z określonego trybu dostępu. Pozostałe trzy modele nie dotyczą poświadczeń bezpieczeństwa i klasyfikacji wrażliwości.
174. Które z poniższych rozwiązań problemu z zarządzaniem hasłami do kont lokalnych może wykorzystać osoba atakująca?
a. Użyj uwierzytelniania wieloskładnikowego, aby uzyskać dostęp do bazy danych.
b. Użyj lokalnego hasła opartego na skrótach i standardowego hasła.
c. Używaj losowo generowanych haseł.
d. Użyj centralnej bazy haseł.
174. b. Hasło lokalne może być oparte na hashu kryptograficznym adresu kontroli dostępu do nośnika i standardowym haśle. Jeśli jednak osoba atakująca odzyska jedno hasło lokalne, może łatwo określić inne hasła lokalne. Osoba atakująca nie może wykorzystać pozostałych trzech opcji, ponieważ są one bezpieczne. Inne pozytywne rozwiązania to wyłączanie wbudowanych kont, przechowywanie haseł w bazie danych w postaci zaszyfrowanej oraz generowanie haseł na podstawie nazwy komputera lub adresu kontroli dostępu do nośnika.
175. Które z poniższych stwierdzeń dotyczących wtargnięcia jest prawdziwe w systemie wykrywania (IDS) i zapory?
a. Firewalle zastępują IDS.
b. Firewalle są alternatywą dla IDS.
c. Firewalle są uzupełnieniem systemu IDS.
d. Firewalle zastępują IDS.
175. c. IDS powinien być używany jako uzupełnienie firewalla, a nie jego substytut. Razem dają efekt synergiczny.
176. Model Bella-LaPadula dla polityki bezpieczeństwa komputera dotyczy którego z poniższych?
a. $ -własność
b. @ -własność
c. Gwiazdka (*) -właściwość
d. # -własność
176. c. Właściwość Star (* -property) to reguła bezpieczeństwa Bell-LaPadula umożliwiająca podmiotowi dostęp do zapisu w obiekcie tylko wtedy, gdy poziom bezpieczeństwa obiektu dominuje nad poziomem bezpieczeństwa podmiotu.
177. Które z poniższych nie mogą zapobiec surfingowi na ramieniu?
a. Promowanie edukacji i świadomości
b. Zapobieganie zgadywaniu hasła
c. Instalowanie technik szyfrowania
d. Proszenie ludzi, aby nie oglądali podczas wpisywania hasła
177. c. Kluczową sprawą w shoulder surfing jest upewnienie się, że nikt nie obserwuje użytkownika podczas wpisywania hasła. Szyfrowanie nie pomaga tutaj, ponieważ jest stosowane po wprowadzeniu hasła, a nie przed. Właściwa edukacja i świadomość oraz używanie trudnych do odgadnięcia haseł może wyeliminować ten problem.
178. Co oznacza gwiazda.właściwość Bell-LaPadula (* -właściwość)?
a. Niedozwolone jest uzupełnianie.
b. Odpisy nie są dozwolone.
c. Odczytywanie nie jest dozwolone.
d. Żadne odczyty nie są dozwolone.
178. b. Właściwość gwiazdka oznacza brak odpisu i tak odpis. Podmiot może pisać obiekty tylko na poziomie bezpieczeństwa, który dominuje na poziomie podmiotu. Oznacza to, że podmiot o jednej wyższej etykiecie nie może pisać na żadnym przedmiocie o niższej etykiecie zabezpieczającej. Jest to również znane jako własność odosobnienia. Podmiot nie może kopiować danych z jednej wyższej klasyfikacji do niższej klasyfikacji. Innymi słowy, podmiot nie może napisać niczego poniżej poziomu tego podmiotu.
179. Który z poniższych modeli zabezpieczeń obejmuje integralność?
a. Model Bell-LaPadula
b. Model Biby
c. Model przepływu informacji
d. Model Take-Grant
179. b.Model Biba jest przykładem modelu uczciwości. Model Bell-LaPadula jest formalnym modelem przejścia między stanami polityki bezpieczeństwa komputera, który opisuje zestaw reguł kontroli dostępu. Zarówno modele Bell-LaPadula, jak i Take-Grant są częścią modeli kontroli dostępu.
180. Który z poniższych modeli zabezpieczeń obejmuje poufność?
a. Model Bell-LaPadula
b. Model Biby
c. Model przepływu informacji
d. Model na dotację
180. a. Model Bell-LaPadula zajmuje się poufnością, opisując różne poziomy bezpieczeństwa klasyfikacji bezpieczeństwa dla przedmiotów. Te poziomy klasyfikacji, od najmniej wrażliwego do najbardziej niewrażliwego, obejmują Niesklasyfikowane, Poufne, Tajne i Ściśle tajne.
181. Który z poniższych nie jest mechanizmem uwierzytelniania?
a. Co wie użytkownik
b. Co ma użytkownik
c. Co może zrobić użytkownik
d. Kim jest użytkownik
181. c. "Co użytkownik może zrobić" jest zdefiniowane w regułach dostępu lub profilach użytkownika, które są dostępne po pomyślnym uwierzytelnieniu. Pozostałe trzy opcje są częścią procesu uwierzytelniania. Czynnik uwierzytelniający "wie" oznacza hasło lub kod PIN, "has" oznacza klucz lub kartę, a "is" oznacza tożsamość biometryczną.
182. Który z poniższych modeli służy do ochrony poufności informacji niejawnych?
a. Model Biba i model Bell-LaPadula
b. Model Bella-LaPadula i model przepływu informacji
c. Model Bell-LaPadula i model Clark-Wilson
d. Model Clarka-Wilsona i model przepływu informacji
182. b. Model Bell-LaPadula służy do ochrony poufności informacji niejawnych w oparciu o wielopoziomowe klasyfikacje bezpieczeństwa. Model przepływu informacji, będący podstawą modelu Bell-LaPadula, zapewnia przepływ informacji na danym poziomie bezpieczeństwa tylko na równy lub wyższy poziom. Każdy obiekt ma przypisany poziom bezpieczeństwa. Poziom obiektu wskazuje poziom bezpieczeństwa zawartych w nim danych. Te dwa modele zapewniają poufność informacji niejawnych. Model Biba jest podobny do modelu Bell-LaPadula, ale chroni integralność informacji zamiast ich poufności. Model Clarka-Wilsona jest modelem mniej formalnym, mającym na celu zapewnienie integralności informacji, a nie poufności. Model ten wdraża tradycyjne kontrole księgowe, w tym rozdział obowiązków, audyt i dobrze uformowane transakcje, takie jak księgowość z podwójnym zapisem. Zarówno modele Biby, jak i Clarka-Wilsona są przykładami modeli uczciwości.
183. Która z poniższych jest najważniejszą częścią wykrywania i powstrzymywania włamań?
a. Zapobiegać
b. Wykryć
c. Reagować
d. Raport
183. c. Niezbędne jest wykrywanie niebezpiecznych sytuacji, aby reagować w odpowiednim czasie. Niewiele też przydaje się do wykrywania naruszenia bezpieczeństwa, jeśli nie można zainicjować skutecznej odpowiedzi. Żaden zestaw środków zapobiegawczych nie jest doskonały. Raportowanie to ostatni krok w procesie wykrywania i powstrzymywania włamań.
184. Które z poniższych jest sercem systemów wykrywania włamań?
a. Silnik mutacji
b. Silnik przetwarzania
c. Maszyna stanowa
d. Maszyna wirtualna
184. b. Silnik przetwarzania jest sercem systemu wykrywania włamań (IDS). Składa się z instrukcji (języka) do sortowania informacji pod kątem trafności, identyfikowania kluczowych dowodów włamań, eksploracji bazy danych dla sygnatur ataków oraz podejmowanie decyzji dotyczących progów alertów i inicjowania działań reagowania. Na przykład silnik mutacji jest używany do zaciemniania wirusa, polimorficznego lub nie, aby wspomóc proliferację wspomnianego wirusa. Maszyna stanów jest podstawą wszystkich systemów komputerowych, ponieważ jest to model obliczeń obejmujący wejścia, wyjścia, stany i funkcje zmiany stanu. Maszyna wirtualna to oprogramowanie, które umożliwia uruchamianie jednego komputera hosta przy użyciu jednego lub kilku systemów operacyjnych gościa.
185. Z punktu widzenia decyzji dotyczących kontroli dostępu, awarie spowodowane wadami systemów opartych na wykluczeniach mają tendencję do wykonywania następujących czynności?
a. Autoryzuj dozwolone działania
b. Bezpieczny z odmową pozwolenia
c. Nie autoryzuj zabronionych działań
d. Udziel nieautoryzowanych uprawnień
185. d. Gdy awarie występują z powodu wad systemów opartych na wykluczeniach, mają tendencję do przyznawania nieautoryzowanych uprawnień. Dwa rodzaje decyzji dotyczących kontroli dostępu są oparte na uprawnieniach i wykluczeniach.
186. Które z poniższych jest głównym problemem związanym z wdrażaniem systemów wykrywania włamań?
a. Fałszywe negatywne powiadomienie
b. Fałszywie pozytywne powiadomienie
c. Powiadomienie prawdziwie negatywne
d. Powiadomienie prawdziwie pozytywne
186. b. Jednym z największych pojedynczych problemów związanych z implementacją systemu wykrywania włamań (IDS) jest obsługa powiadomień fałszywie dodatnich. System IDS oparty na anomaliach generuje dużą liczbę fałszywych alarmów (fałszywie dodatnich) z powodu nieprzewidywalnego charakteru użytkowników i sieci. Zautomatyzowane systemy są podatne na błędy, a różnicowanie potencjalnych ataków przez ludzi wymaga dużych zasobów.
187. Która z poniższych opcji zapewnia silne uwierzytelnianie dla scentralizowanych serwerów uwierzytelniających w przypadku korzystania z zapór sieciowych?
a. Identyfikatory użytkowników
b. Hasła
c. Tokeny
d. Numery kont
187. c. W przypadku uwierzytelniania podstawowego identyfikatory użytkowników, hasła i numery kont są używane do uwierzytelniania wewnętrznego. Scentralizowane serwery uwierzytelniające, takie jak RADIUS i TACACS/TACACS+, można zintegrować z uwierzytelnianiem opartym na tokenach, aby zwiększyć bezpieczeństwo administrowania zaporą.
188. Czym różni się autoryzacja od uwierzytelniania?
a. Autoryzacja następuje po uwierzytelnieniu.
b. Autoryzacja i uwierzytelnianie są takie same.
c. Autoryzacja to weryfikacja tożsamości użytkownika.
d. Autoryzacja następuje przed uwierzytelnieniem.
188. a. Autoryzacja następuje po uwierzytelnieniu, ponieważ użytkownik uzyskuje dostęp do programu (autoryzacja) po pełnym uwierzytelnieniu. Autoryzacja to pozwolenie na zrobienie czegoś z informacjami w komputerze. Autoryzacja i uwierzytelnianie to nie to samo, gdzie pierwsza weryfikuje uprawnienia użytkownika, a druga weryfikuje tożsamość użytkownika.
189. Który z poniższych elementów jest wymagany, aby udaremnić ataki na serwer bezpieczeństwa Kerberos?
a. Uwierzytelnianie wstępne
b. Uwierzytelnianie wstępne
c. Po uwierzytelnieniu
d. Ponowne uwierzytelnienie
189. b. Najprostsza forma początkowego uwierzytelniania wykorzystuje identyfikator użytkownika i hasło, które występują na kliencie. Serwer nie ma wiedzy, czy uwierzytelnianie się powiodło. Problem z tym podejściem polega na tym, że każdy może wysłać żądanie do serwera, potwierdzając dowolną tożsamość, umożliwiając atakującemu zbieranie odpowiedzi z serwera i pomyślne przeprowadzenie prawdziwego ataku na te odpowiedzi. Podczas wstępnego uwierzytelniania użytkownik wysyła do serwera dowód swojej tożsamości w ramach wstępnego procesu uwierzytelniania. Klient musi dokonać uwierzytelnienia przed wydaniem przez serwer poświadczeń (biletu) klientowi. Dowodem tożsamości używanym we wstępnym uwierzytelnianiu może być karta inteligentna lub token, które można zintegrować z procesem początkowego uwierzytelniania Kerberos. W tym przypadku procesy po-uwierzytelniania i ponownego uwierzytelnienia nie mają zastosowania, ponieważ jest już za późno, aby z niego skorzystać.
190. Które z poniższych stwierdzeń nie jest prawdziwe w odniesieniu do arbitralnej kontroli dostępu?
a. Dostęp odbywa się na podstawie autoryzacji udzielonej użytkownikowi.
b. Wykorzystuje listy kontroli dostępu.
c. Używa przyznawania lub cofania dostępu do obiektów.
d. Użytkownicy i właściciele są różni.
190. d. Uznaniowa kontrola dostępu (DAC) pozwala na przyznawanie i odbieranie uprawnień kontroli dostępu do uznania indywidualnych użytkowników. Uznaniowy mechanizm kontroli dostępu umożliwia użytkownikom przyznanie lub cofnięcie dostępu do dowolnego z kontrolowanych obiektów. W związku z tym mówi się, że użytkownicy są właścicielami obiektów znajdujących się pod ich kontrolą. Wykorzystuje listy kontroli dostępu.
191. Które z poniższych nie zapewnia niezawodnego uwierzytelniania?
a. Kerberos
b. Bezpieczne zdalne wywołania procedur
c. Hasła wielokrotnego użytku
d. Certyfikaty cyfrowe
191. c. Solidne uwierzytelnianie oznacza silne uwierzytelnianie, które powinno być wymagane w celu uzyskania dostępu do wewnętrznych systemów komputerowych. Solidne uwierzytelnianie zapewnia Kerberos, hasła jednorazowe, wymiana typu wyzwanie-odpowiedź, certyfikaty cyfrowe i bezpieczne zdalne wywołania procedur (Secure RPC). Hasła wielokrotnego użytku zapewniają słabe uwierzytelnianie.
192. Które z poniższych stwierdzeń nie jest prawdziwe w odniesieniu do protokołu Kerberos?
a. Kerberos używa kryptografii z kluczem asymetrycznym.
b. Kerberos korzysta z zaufanej strony trzeciej.
c. Kerberos to system uwierzytelniania oparty na poświadczeniach.
d. Kerberos używa kryptografii z kluczem symetrycznym.
192. a. Kerberos korzysta z kryptografii klucza symetrycznego i zaufanej strony trzeciej. Użytkownicy protokołu Kerberos uwierzytelniają się między sobą przy użyciu poświadczeń protokołu Kerberos wydanych przez zaufaną firmę zewnętrzną. Rozmiar bitowy Kerberos jest taki sam jak DES, czyli 56 bitów, ponieważ Kerberos używa algorytmu klucza symetrycznego podobnego do DES.
193. Który z poniższych typów uwierzytelniania jest najskuteczniejszy?
a. Uwierzytelnianie statyczne
b. Solidne uwierzytelnianie
c. Przerywane uwierzytelnianie
d. Ciągłe uwierzytelnianie
193. d. Ciągłe uwierzytelnianie chroni przed oszustami (aktywnymi atakami), stosując algorytm podpisu cyfrowego do każdego bitu danych przesyłanych od strony wnoszącej roszczenie do weryfikatora. Ponadto ciągłe uwierzytelnianie zapobiega przejmowaniu sesji i zapewnia integralność. Uwierzytelnianie statyczne wykorzystuje hasła wielokrotnego użytku, które mogą zostać złamane przez ataki typu replay. Solidne uwierzytelnianie obejmuje hasła jednorazowe i podpisy cyfrowe, które mogą zostać złamane przez przejęcie sesji. Uwierzytelnianie przerywane nie jest przydatne ze względu na luki w weryfikacji użytkownika.
194. Które z poniższych stwierdzeń jest prawdziwe w przypadku głównych funkcji technologii systemów wykrywania włamań i zapobiegania im?
1. Nie można wyeliminować wszystkich wyników fałszywie dodatnich i fałszywie ujemnych.
2. Redukcja wyników fałszywie pozytywnych zwiększa liczbę fałszywie negatywnych i odwrotnie.
3. Zawsze preferowane jest zmniejszanie wyników fałszywie ujemnych.
4. Potrzeba więcej analiz, aby odróżnić fałszywie pozytywnych od fałszywie negatywnych
a. Tylko 1
b. Tylko 2
c. Tylko 3
d. 1, 2, 3 i 4
194. d. Technologie systemów wykrywania i zapobiegania włamaniom (IDPS) nie mogą zawsze zapewnić całkowicie dokładnego wykrywania. Wszystkie cztery pozycje są prawdziwymi stwierdzeniami. Gdy IDPS nieprawidłowo zidentyfikuje niegroźną aktywność jako złośliwą, wystąpił fałszywy alarm. Gdy IDPS nie potrafi zidentyfikować złośliwej aktywności, wystąpił fałszywy negatyw.
195. Która z poniższych technik uwierzytelniania jest niemożliwa do podrobienia?
a. Co wie użytkownik
b. Co ma użytkownik
c. Kim jest użytkownik
d. Gdzie jest użytkownik
195. d. Hasła i kody PIN są często podatne na zgadywanie, przechwycenie lub atak typu brute force. Urządzenia takie jak tokeny dostępu i karty kryptograficzne mogą zostać skradzione. Dane biometryczne mogą być podatne na ataki przechwytywania i powtarzania. Lokalizacja nie może być inna niż to, czym jest. Techniki użyte w pozostałych trzech opcjach nie są niezawodne. Jednak określenie "gdzie znajduje się użytkownik" oparte na lokalizacji geodezyjnej jest niezawodne, ponieważ nie można go sfałszować ani przejąć. Lokalizacja geodezyjna, obliczona na podstawie sygnatury lokalizacji, dodaje czwarty, nowy wymiar do mechanizmów uwierzytelniania użytkowników i kontroli dostępu. Podpis pochodzi z lokalizacji użytkownika. Może służyć do określenia, czy użytkownik próbuje zalogować się z zatwierdzonej lokalizacji. Wykrycie nieautoryzowanej aktywności z autoryzowanej lokalizacji może ułatwić znalezienie użytkownika odpowiedzialnego za tę aktywność.
196. Jak działa mechanizm kontroli dostępu oparty na regułach?
a. Opiera się na regułach filtrowania.
b. Opiera się na zasadach tożsamości.
c. Opiera się na zasadach dostępu.
d. Opiera się na zasadach biznesowych.
196. c. Mechanizm kontroli dostępu oparty na regułach opiera się na określonych regułach odnoszących się do charakteru podmiotu i obiektu. Te szczegółowe zasady są wbudowane w zasady dostępu. Reguły filtrowania są określone w firewallach. Nie mają tu zastosowania zarówno zasady dotyczące tożsamości, jak i biznesowe.
197. Które z poniższych jest przykładem narzędzia integralności systemu używanego w kategorii kontroli bezpieczeństwa technicznego?
a. Audyt
b. Przywróć do bezpiecznego stanu
c. Dowód całości
d. Narzędzie do wykrywania włamań
197. c. Kontrola dowodu całości jest narzędziem integralności systemu, które analizuje integralność systemu i nieprawidłowości oraz identyfikuje narażenia i potencjalne zagrożenia. Zasada proof-of-wholeness wykrywa naruszenia polityk bezpieczeństwa. Audyt to kontrola detektywistyczna, która umożliwia monitorowanie i śledzenie nieprawidłowości w systemie. "Przywróć do stanu bezpiecznego" to kontrola odzyskiwania, która umożliwia systemowi powrót do stanu, o którym wiadomo, że jest bezpieczny, po wystąpieniu naruszenia bezpieczeństwa. Narzędzia do wykrywania włamań wykrywają naruszenia bezpieczeństwa.
198. Odpowiedzialność indywidualna nie obejmuje których z poniższych?
a. Unikalne identyfikatory
b. Zasady dostępu
c. Ścieżki audytu
d. Warunki i procedury
198. d. Podstawową zasadą bezpieczeństwa IT jest to, że poszczególne osoby muszą być odpowiedzialne za swoje działania. Jeśli nie będzie to przestrzegane i egzekwowane, nie jest możliwe skuteczne ściganie osób, które umyślnie uszkadzają lub zakłócają systemy, ani przeszkolenie tych, których działania mają niezamierzone negatywne skutki. Koncepcja indywidualnej odpowiedzialności napędza potrzebę wielu zabezpieczeń, takich jak unikalne identyfikatory (użytkownika), ścieżki audytu i reguły autoryzacji dostępu. Polityki i procedury wskazują, co należy osiągnąć i jak osiągnąć cele. Same w sobie nie wymagają indywidualnej odpowiedzialności.
199. Z punktu widzenia kontroli dostępu, które z poniższych jest obliczane na podstawie hasła?
a. Hasło dostępu
b. Hasło osobiste
c. Ważne hasło
d. Hasło wirtualne
199.d. Hasło wirtualne to hasło obliczane na podstawie hasła, które spełnia wymagania dotyczące przechowywania haseł (np. 56 bitów dla DES). Hasło to ciąg znaków dłuższy niż dopuszczalna długość zwykłego hasła, który jest przekształcany przez system haseł w wirtualne hasło o dopuszczalnej długości. Hasło dostępu to hasło służące do autoryzacji dostępu do danych i jest przekazywane wszystkim osobom uprawnionym do podobnego dostępu do tych danych. Hasło osobiste to hasło znane tylko jednej osobie i używane do uwierzytelnienia tożsamości tej osoby. Prawidłowe hasło to osobiste hasło, które uwierzytelnia tożsamość osoby po przedstawieniu jej w systemie haseł. Jest to również hasło dostępu, które umożliwia żądany dostęp po przedstawieniu w systemie haseł.
200. Która z poniższych funkcji jest niekompatybilną funkcją dla administratora bazy danych?
a. Administracja danymi
b. Administracja systemami informacyjnymi
c. Bezpieczeństwo systemów
d. Planowanie systemów informatycznych
200.c. Funkcja administratora baz danych (DBA) zajmuje się krótkoterminowym rozwojem i użytkowaniem baz danych i odpowiada za dane z jednej lub kilku konkretnych baz danych. Funkcja DBA powinna być oddzielona od funkcji bezpieczeństwa systemów ze względu na możliwy konflikt interesów związany z manipulacją przywilejami dostępu i zasadami dla korzyści osobistych. Funkcję DBA można łączyć z administracją danych, administracją systemami informacyjnymi lub planowaniem systemów informatycznych, ponieważ nie szkodzi organizacji.
201. Kerberos używa którego z poniższych elementów do ochrony przed atakami typu powtórka?
a. Karty
b. Znaczniki czasu
c. Tokeny
d. Klucze
201. b. Atak z powtórką odnosi się do nagrywania i retransmisji pakietów wiadomości w sieci. Chociaż atak polegający na odtwarzaniu jest często niewykrywany, można mu zapobiec, stosując znaczniki czasu pakietów. Kerberos używa sygnatur czasowych, ale nie kart, tokenów i kluczy.
202. Które z poniższych technik identyfikacji i uwierzytelniania użytkowników zależą od profili referencyjnych lub szablonów?
a. Tokeny pamięci
b. Karty inteligentne
c. Kryptografia
d. Systemy biometryczne
202. d. Systemy biometryczne wymagają tworzenia i przechowywania profili lub szablonów osób chcących uzyskać dostęp do systemu. Obejmuje to cechy fizjologiczne, takie jak odciski palców, geometrię dłoni lub wzory siatkówki, lub cechy behawioralne, takie jak wzory głosu i odręczne podpisy. Tokeny pamięci i karty inteligentne obejmują tworzenie i dystrybucję urządzenia tokenowego z kodem PIN oraz danymi, które informują komputer, jak rozpoznać ważne tokeny lub kody PIN. Kryptografia wymaga generowania, dystrybucji, przechowywania, wprowadzania, używania, dystrybucji i archiwizowania kluczy kryptograficznych.
203. Gdy produkty zabezpieczające nie mogą zapewnić wystarczającej ochrony poprzez szyfrowanie, administratorzy systemów powinni rozważyć użycie których z poniższych rozwiązań do ochrony wykrywania włamań i zapobiegania komunikacji zarządzania systemem?
1. Fizycznie odseparowana sieć
2. Logicznie odseparowana sieć
3. Wirtualna sieć prywatna
4. Szyfrowane tunelowanie
a. 1 i 4
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
203. c. Administratorzy systemu powinni zapewnić, że cała komunikacja zarządzania systemami wykrywania i zapobiegania włamaniom (IDPS) jest chroniona przez separację fizyczną (sieć zarządzania) lub separację logiczną (sieć wirtualna) lub przez szyfrowanie przy użyciu zabezpieczeń warstwy transportowej (TLS). Jednak w przypadku produktów zabezpieczających, które nie zapewniają wystarczającej ochrony poprzez szyfrowanie, administratorzy powinni rozważyć użycie wirtualnej sieci prywatnej (VPN) lub innej szyfrowanej metody tunelowania w celu ochrony ruchu sieciowego.
204. Jaki jest cel rozdziału obowiązków?
a. Nikt nie ma pełnej kontroli nad transakcją lub działaniem.
b. Pracownicy z różnych działów nie ze sobą dobrze współpracują.
c. Dostępne są elementy sterujące, które chronią wszystkie zapasy.
d. Kontrole są na miejscu, aby obsługiwać cały sprzęt.
204. a. Celem jest ograniczenie tego, co ludzie mogą zrobić, zwłaszcza w sytuacjach konfliktowych lub niekompatybilnych funkcjach, w taki sposób, aby żadna osoba nie miała pełnej kontroli nad transakcją lub czynnością od początku do końca. Celem jest ograniczenie możliwości ukrywania nieprawidłowości lub oszustw. Pozostałe trzy opcje nie są związane z rozdziałem obowiązków.
205. Jakie nazwy nosi macierz kontroli dostępu?
a. Użytkownicy w każdym wierszu i nazwy obiektów w każdej kolumnie
b. Programy w każdym wierszu i nazwy użytkowników w każdej kolumnie
c. Użytkownicy w każdej kolumnie i nazwy urządzeń w każdym wierszu
d. Tematy w każdej kolumnie i nazwy procesów w każdym wierszu
205. a. Uznaniowa kontrola dostępu to proces identyfikacji użytkowników i obiektów. Macierz kontroli dostępu może być wykorzystana do zaimplementowania arbitralnego mechanizmu kontroli dostępu, w którym umieszcza nazwy użytkowników (tematów) w każdym wierszu oraz nazwy obiektów w każdej kolumnie macierzy. Podmiot to aktywny byt, zwykle w postaci osoby, procesu lub urządzenia, który powoduje przepływ informacji między obiektami lub zmienia stan systemu. Obiekt to pasywny byt, który zawiera lub otrzymuje informacje. Dostęp do obiektu potencjalnie oznacza dostęp do zawartych w nim informacji. Przykładami obiektów są rekordy, programy, strony, pliki i katalogi. Macierz kontroli dostępu opisuje powiązanie obiektów i podmiotów w celu uwierzytelnienia praw dostępu.
206. W jakiej sytuacji nie używa się protokołu Kerberos?
a. Zarządzanie prawami dostępu rozproszonego
b. Zarządzanie kluczami szyfrowania
c. Zarządzanie scentralizowanymi prawami dostępu
d. Zarządzanie uprawnieniami dostępu
206. a. Kerberos to system uwierzytelniania klucza prywatnego, który wykorzystuje centralną bazę danych do przechowywania kopii kluczy prywatnych wszystkich użytkowników. Cały system może być zagrożony ze względu na centralną bazę danych. Kerberos służy do zarządzania scentralizowanymi prawami dostępu, kluczami szyfrowania i uprawnieniami dostępu.
207. Który z poniższych mechanizmów kontroli bezpieczeństwa jest najłatwiejszy do administrowania?
a. Uznaniowa kontrola dostępu
b. Obowiązkowa kontrola dostępu
c. Lista kontroli dostępu
d. Logiczna kontrola dostępu
207. b. Obowiązkowe kontrole dostępu są najprostsze w użyciu, ponieważ można ich użyć do przyznania szerokiego dostępu do dużych zestawów plików i szerokich kategorii informacji. Uznaniowe kontrole dostępu nie są łatwe w użyciu ze względu na ich drobniejszy poziom szczegółowości w procesie kontroli dostępu. Zarówno lista kontroli dostępu, jak i logiczna kontrola dostępu wymagają znacznego nakładu pracy administracyjnej, ponieważ opierają się na szczegółach poszczególnych użytkowników.
208. Jaka implementacja jest przykładem polityki kontroli dostępu dla kasjera bankowego?
a. Polityka oparta na rolach
b. Polityka oparta na tożsamości
c. Polityka skierowana do użytkownika
d. Polityka oparta na regułach
208. a. W przypadku kontroli dostępu opartej na rolach decyzje dotyczące dostępu są oparte na rolach, jakie mają poszczególni użytkownicy w ramach organizacji. Użytkownicy przyjmują przypisane role (takie jak lekarz, pielęgniarka, kasjer bankowy i menedżer). Prawa dostępu są pogrupowane według nazwy roli, a korzystanie z zasobów jest ograniczone do osób upoważnionych do przyjęcia powiązanej roli. Wykorzystanie ról do kontroli dostępu może być skutecznym sposobem opracowywania i egzekwowania zasad bezpieczeństwa specyficznych dla przedsiębiorstwa oraz usprawnienia procesu zarządzania bezpieczeństwem. Zasady oparte na tożsamości i ukierunkowane na użytkownika są nieprawidłowe, ponieważ są przykładami arbitralnej kontroli dostępu. Kontrola dostępu oparta na tożsamości opiera się tylko na tożsamości podmiotu i obiektu. W kontroli dostępu kierowanego przez użytkownika podmiot może zmienić prawa dostępu z pewnymi ograniczeniami. Polityka oparta na regułach jest niepoprawna, ponieważ jest przykładem obowiązkowego rodzaju kontroli dostępu i opiera się na określonych regułach odnoszących się do charakteru podmiotu i przedmiotu.
209. Który z poniższych mechanizmów dostępu stwarza potencjalny problem z bezpieczeństwem?
a. Mechanizm dostępu oparty na lokalizacji
b. Mechanizm dostępu oparty na adresie IP
c. Mechanizm dostępu oparty na tokenach
d. Internetowy mechanizm dostępu
209. b. Mechanizmy dostępu oparte na adresach IP wykorzystują adresy źródłowe protokołu internetowego (IP), które nie są bezpieczne i podlegają atakom polegającym na fałszowaniu adresów IP. Adres IP zajmuje się tylko identyfikacją, a nie uwierzytelnianiem. Mechanizm dostępu oparty na lokalizacji jest nieprawidłowy, ponieważ dotyczy adresu fizycznego, a nie adresu IP. Mechanizm dostępu oparty na tokenach jest nieprawidłowy, ponieważ wykorzystuje tokeny jako środek identyfikacji i uwierzytelniania. Mechanizm dostępu oparty na sieci Web jest nieprawidłowy, ponieważ do uwierzytelniania używa bezpiecznych protokołów. Pozostałe trzy opcje umożliwiają zarówno identyfikację, jak i uwierzytelnianie i nie stwarzają problemów związanych z bezpieczeństwem, jak to ma miejsce w przypadku mechanizmu dostępu opartego na adresie IP.
210. Uszereguj następujące mechanizmy uwierzytelniania zapewniające najbardziej do najmniejszą ochronę przed atakami typu powtórka?
a. Tylko hasło, hasło i kod PIN, odpowiedź na żądanie i hasło jednorazowe
b. Hasło i kod PIN, wezwanie do odpowiedzi, hasło jednorazowe i tylko hasło
c. Odpowiedź na wezwanie, hasło jednorazowe, hasło i kod PIN oraz tylko hasło
d. Wyzwanie-odpowiedź, hasło i kod PIN, hasło jednorazowe i tylko hasło
210. c. Protokół wyzwanie-odpowiedź jest oparty na kryptografii i polega na tym, że komputer generuje wyzwanie, takie jak losowy ciąg liczb. Następnie inteligentny token generuje odpowiedź na podstawie wyzwania. Jest to odsyłane do komputera, który uwierzytelnia użytkownika na podstawie odpowiedzi. Tokeny inteligentne korzystające z protokołów challengeresponse lub dynamicznego generowania haseł mogą tworzyć hasła jednorazowe, które zmieniają się okresowo (np. co minutę). Jeżeli zostanie podana poprawna wartość, logowanie jest dozwolone, a użytkownik uzyskuje dostęp do systemu komputerowego. Monitoring elektroniczny nie stanowi problemu z hasłami jednorazowymi, ponieważ za każdym razem, gdy użytkownik jest uwierzytelniany na komputerze, używane jest inne "hasło". Haker mógłby nauczyć się hasła jednorazowego poprzez monitoring elektroniczny, ale nie miałoby to żadnej wartości. Hasła i osobiste numery identyfikacyjne (PIN) mają słabe punkty, takie jak ujawnianie i zgadywanie. Hasła w połączeniu z kodami PIN są lepsze niż same hasła. Zarówno hasła, jak i kody PIN podlegają monitoringowi elektronicznemu. Proste szyfrowanie hasła, które zostanie użyte ponownie, nie rozwiązuje problemu monitorowania, ponieważ zaszyfrowanie tego samego hasła tworzy ten sam zaszyfrowany tekst; zaszyfrowany tekst staje się hasłem.
211. Niektóre organy bezpieczeństwa uważają, że ponowne uwierzytelnienie każdej transakcji zapewnia silniejsze procedury bezpieczeństwa. Który z poniższych mechanizmów zabezpieczeń jest najmniej skuteczny i najmniej skuteczny w przypadku ponownego uwierzytelniania?
a. Powtarzające się hasła
b. Hasła jednorazowe
c. Tokeny pamięci
d. Inteligentne tokeny
211. a. Hasła cykliczne są hasłami statycznymi, które można ponownie wykorzystać i są uważane za stosunkowo słaby mechanizm bezpieczeństwa. Użytkownicy mają tendencję do używania łatwych do odgadnięcia haseł. Inne słabości obejmują podszywanie się pod użytkowników, kradzież haseł przez obserwowanie naciśnięć klawiszy oraz udostępnianie haseł przez użytkowników. Nieautoryzowane użycie haseł przez osoby postronne (hakerzy) lub osoby wtajemniczone jest głównym problemem i jest uważane za najmniej wydajny i najmniej skuteczny mechanizm zabezpieczający do ponownego uwierzytelniania. Hasła jednorazowe są nieprawidłowe, ponieważ zapewniają silną formę ponownego uwierzytelnienia. Przykłady obejmują protokół wyzwanie-odpowiedź lub dynamiczny generator haseł, w którym dla każdej sesji generowana jest unikatowa wartość. Wartości te nie powtarzają się i są dobre tylko dla tej sesji. Tokeny mogą pomóc w ponownym uwierzytelnieniu użytkownika lub transakcji. Tokeny pamięci przechowują, ale nie przetwarzają informacji. Tokeny inteligentne rozszerzają funkcjonalność tokena pamięci poprzez włączenie jednego lub więcej układów scalonych do samego tokena. Innymi słowy, inteligentne tokeny przechowują i przetwarzają informacje. Z wyjątkiem haseł wszystkie inne metody wymienione w pytaniu są przykładami zaawansowanych metod uwierzytelniania, które można zastosować do ponownego uwierzytelniania.
212. Które z poniższych zawiera parę kompatybilnych funkcji w organizacji IT?
a. Operacje komputerowe i programowanie aplikacji
b. Programowanie systemów i administracja bezpieczeństwem danych
c. Zapewnienie jakości i administracja bezpieczeństwem danych
d. Planowanie zadań produkcyjnych i operacje komputerowe
212. c. Rozdzielenie obowiązków to pierwsza linia obrony przed zapobieganiem, wykrywaniem i korygowaniem błędów, zaniechań i nieprawidłowości. Celem jest zapewnienie, że żadna osoba nie ma pełnej kontroli nad transakcją podczas jej inicjowania, autoryzacji, rejestrowania, przetwarzania i raportowania. Jeśli całkowite ryzyko jest do zaakceptowania, można połączyć dwie różne prace. Jeśli ryzyko jest niedopuszczalne, nie należy łączyć tych dwóch miejsc pracy. Zarówno zapewnienie jakości, jak i bezpieczeństwo danych są funkcjami personelu i nie zajmą się codziennymi zadaniami operacyjnymi. Pozostałe trzy wybory są nieprawidłowe, ponieważ są przykładami niekompatybilnych funkcji. Uzasadnieniem jest zminimalizowanie takich funkcji, które nie sprzyjają dobrej strukturze kontroli wewnętrznej. Na przykład, jeśli operator komputera jest również odpowiedzialny za planowanie zadań produkcyjnych, może przesyłać nieautoryzowane zadania produkcyjne.
213. Która z poniższych zasad kontroli dostępu obsługuje etykietę bezpieczeństwa lub mechanizm kontroli dostępu?
a. Polityka oparta na rolach
b. Polityka oparta na tożsamości
c. Polityka skierowana do użytkownika
d. Obowiązkowa polityka kontroli dostępu
213. d. Obowiązkowa kontrola dostępu to rodzaj kontroli dostępu, który nie może być bardziej liberalny przez podmioty. Opierają się na poufnych informacjach, takich jak etykiety zabezpieczające do odprawy i klasyfikacji danych. Polityki oparte na regułach i zarządzane przez administratora są przykładami obowiązkowej polityki kontroli dostępu. Polityka oparta na rolach jest przykładem nieuznaniowej kontroli dostępu. Decyzje dotyczące kontroli dostępu są oparte na rolach poszczególnych użytkowników przyjmowanie organizacji. Obejmuje to określenie obowiązków, odpowiedzialności, zobowiązań i kwalifikacji (np. kasjer lub urzędnik ds. Pożyczek związanych z systemem bankowym). Zarówno zasady oparte na tożsamości, jak i zasady ukierunkowane na użytkownika są przykładami arbitralnej kontroli dostępu. Jest to rodzaj kontroli dostępu, który umożliwia podmiotom określenie kontroli dostępu z pewnymi ograniczeniami. Kontrola dostępu oparta na tożsamości opiera się tylko na tożsamości podmiotu i obiektu. Kontrola ukierunkowana na użytkownika to rodzaj kontroli dostępu, w którym podmioty mogą zmieniać prawa dostępu z pewnymi ograniczeniami.
214. Zasada najmniejszych uprawnień odnosi się do celu bezpieczeństwa polegającego na przyznaniu użytkownikom tylko tych praw dostępu, których potrzebują do wykonywania swoich obowiązków służbowych. Które z poniższych działań jest niezgodne z zasadą najmniejszych uprawnień?
a. Pełzanie autoryzacji
b. Ponowna autoryzacja w przypadku zmiany stanowiska przez pracowników
c. Użytkownicy mają niewielki dostęp do systemów
d. Użytkownicy mają znaczny dostęp do systemów
214. a. Pełzanie autoryzacji ma miejsce, gdy pracownicy nadal utrzymują prawa dostępu do wcześniej zajmowanych stanowisk w organizacji. Taka praktyka jest niezgodna z zasadą najmniejszych przywilejów. Wszystkie pozostałe trzy wybory są błędne, ponieważ są zgodne z zasadą najmniejszych przywilejów. Ponowna autoryzacja może wyeliminować pełzanie autoryzacji i nie ma znaczenia, ilu użytkowników ma dostęp do systemu lub jak duży dostęp do systemu, o ile ich dostęp opiera się na koncepcji "potrzebnej wiedzy". Trwałe zmiany są konieczne, gdy pracownicy zmieniają stanowiska w organizacji. W takim przypadku proces nadawania uprawnień do rachunków następuje ponownie. W tym momencie jednak ważne jest również usunięcie uprawnień dostępu z wcześniejszej pozycji. Wiele przypadków pełzania autoryzacji miało miejsce, gdy pracownicy nadal utrzymywali prawa dostępu do wcześniej zajmowanych stanowisk w organizacji. Ta praktyka jest niezgodna z zasadą najmniejszych uprawnień i stanowi lukę w zabezpieczeniach.
215. Odpowiedzialność jest ważna przy wdrażaniu polityk bezpieczeństwa. Które z poniższych jest najmniej skuteczne w egzekwowaniu odpowiedzialności od użytkowników systemu?
a. Wymagania audytowe
b. Wymagania dotyczące hasła i identyfikatora użytkownika
c. Kontrola identyfikacji
d. Kontrola uwierzytelniania
215. b. Odpowiedzialność oznacza pociąganie poszczególnych użytkowników do odpowiedzialności za ich działania. Ze względu na kilka problemów z hasłami i identyfikatorami użytkowników uważa się je za najmniej skuteczne w egzekwowaniu odpowiedzialności. Problemy te obejmują łatwe do odgadnięcia hasła, łatwe do sfałszowania haseł użytkowników, łatwe do kradzieży haseł i łatwe udostępnianie haseł. Najbardziej skuteczne mechanizmy kontroli egzekwowania odpowiedzialności obejmują politykę, schemat autoryzacji, kontrole identyfikacji i uwierzytelniania, kontrole dostępu, ścieżki audytu i audyt.
216. Które z poniższych stwierdzeń nie jest prawdziwe w przypadku uwierzytelniania elektronicznego?
a. Organ rejestracyjny i dostawca usług uwierzytelniających mogą być tą samą jednostką
b. Weryfikator i strona ufająca mogą być tym samym podmiotem
c. Weryfikator, dostawca usług uwierzytelniających i strona ufająca mogą być odrębnymi podmiotami
d. Weryfikator i strona ufająca mogą być odrębnymi podmiotami
216. a. Relacja między urzędem rejestracyjnym (RA) a dostawcą usług uwierzytelniających (CSP) jest złożona i trwa relacja. W najprostszym i być może najczęstszym przypadku RA i CSP są oddzielnymi funkcjami tej samej jednostki. Jednak RA może być częścią firmy lub organizacji, która rejestruje subskrybentów u niezależnego dostawcy CSP lub kilku różnych dostawców CSP. Dlatego CSP może być integralną częścią RA lub może mieć relacje z wieloma niezależnymi RA, a RA może mieć również relacje z różnymi CSP. Stwierdzenia w pozostałych trzech opcjach są prawdziwe. Strona, która ma zostać uwierzytelniona, nazywana jest roszczącym (subskrybentem), a strona weryfikująca tożsamość nazywana jest weryfikatorem. Gdy subskrybent musi dokonać uwierzytelnienia w celu wykonania transakcji, staje się on pretendentem do weryfikatora. Strona ufająca polega na wynikach uwierzytelniania online w celu ustalenia tożsamości lub atrybutu subskrybenta na potrzeby jakiejś transakcji. Strony ufające wykorzystują uwierzytelnioną tożsamość subskrybenta i inne czynniki wpływające na kontrolę dostępu lub decyzje dotyczące autoryzacji. Weryfikator i strona ufająca mogą być tą samą jednostką lub mogą być odrębnymi jednostkami. W niektórych przypadkach weryfikator nie musi komunikować się bezpośrednio z dostawcą CSP, aby zakończyć czynność uwierzytelniającą (np. wykorzystanie certyfikatów cyfrowych), co stanowi raczej logiczne łącze między dwoma podmiotami niż łącze fizyczne. W niektórych implementacjach weryfikator, funkcje CSP i strona ufająca mogą być dystrybuowane i rozdzielone.
217. Techniki uwierzytelniania oparte na lokalizacji dla firm transportowych mogą być skutecznie wykorzystywane do zapewnienia których z poniższych?
a. Uwierzytelnianie statyczne
b. Uwierzytelnianie przerywane
c. Ciągłe uwierzytelnianie
d. Solidne uwierzytelnianie
217. c. Firmy transportowe mogą stale używać technik uwierzytelniania opartych na lokalizacji, ponieważ nie ma ograniczeń czasowych i zasobów. Nie wymaga żadnych tajnych informacji do ochrony po stronie hosta lub użytkownika. Uwierzytelnianie ciągłe jest lepsze niż uwierzytelnianie Robus, które może być przerywane.
218. Administratorzy systemu stwarzają zagrożenie dla bezpieczeństwa komputerów ze względu na swoje prawa dostępu i przywileje. Które z poniższych stwierdzeń jest prawdziwe w przypadku organizacji z jednym administratorem?
a. Można zapobiec maskaradzie przez administratora systemu.
b. Dostęp administratora systemu do systemu może być ograniczony.
c. Można wykryć działania administratora systemu.
d. Administrator systemu nie może naruszać integralności systemu.
218. c. Dane uwierzytelniające muszą być bezpiecznie przechowywane, a ich wartość polega na ich poufności, integralności i dostępności. Jeśli poufność zostanie naruszona, ktoś może wykorzystać te informacje do podszycia się pod uprawnionego użytkownika. Jeśli administratorzy systemu mogą odczytać plik uwierzytelniania, mogą podszywać się pod innego użytkownika. Wiele systemów używa szyfrowania do ukrywania danych uwierzytelniających przed administratorami systemu. Nie można całkowicie zapobiec maskaradzie przez administratorów systemu. W przypadku naruszenia integralności można dodać dane uwierzytelniające lub system może zostać zakłócony. W przypadku naruszenia dostępności system nie może uwierzytelnić użytkowników, a użytkownicy mogą nie być w stanie pracować. Ponieważ kontrole audytu byłyby poza kontrolą administratora, kontrole można skonfigurować w taki sposób, aby w rekordach audytu mogły zostać wykryte niewłaściwe działania administratorów systemu. Ze względu na ich szerszą odpowiedzialność nie można ograniczać dostępu administratorów systemu do systemu. Administratorzy systemu mogą zagrozić integralności systemu; ponownie ich działania można wykryć w zapisach audytu. Jest duża różnica, czy organizacja ma jednego lub więcej niż jednego administratora systemu do rozdzielenia obowiązków, czy też do działania zasady "najmniejszych uprawnień". W przypadku kilku administratorów systemu można skonfigurować konto administratora systemu, aby jedna osoba miała możliwość dodawania kont. Inny administrator może mieć uprawnienia do ich usunięcia. Gdy zatrudniony jest tylko jeden administrator systemu, rozbicie obowiązków nie jest możliwe.
219. Logiczne kontrole dostępu zapewniają techniczne środki kontroli dostępu do systemów komputerowych. Która z poniższych opcji nie jest korzyścią wynikającą z logicznej kontroli dostępu?
a. Integralność
b. Dostępność
c. Niezawodność
d. Poufność
219. c. Kontrole dostępu oparte na komputerze są nazywane logicznymi kontrolami dostępu. Kontrole te mogą określać nie tylko, kto lub co ma mieć dostęp do określonego zasobu systemowego, ale także rodzaj dozwolonego dostępu, zwykle w oprogramowaniu. Niezawodność to raczej problem ze sprzętem. Logiczna kontrola dostępu może pomóc w ochronie (i) systemów operacyjnych i innego oprogramowania systemowego przed nieautoryzowaną modyfikacją lub manipulacją (a tym samym pomóc zapewnić integralność i dostępność systemu); (ii) integralność i dostępność informacji poprzez ograniczenie liczby użytkowników i procesów z dostępem; oraz (iii) informacje poufne przed ujawnieniem osobom nieupoważnionym.
220. Która z poniższych metod wewnętrznej kontroli dostępu oferuje silną formę kontroli dostępu i jest istotnym czynnikiem zniechęcającym do jej stosowania?
a. Etykiety zabezpieczające
b. Hasła
c. Listy kontroli dostępu
d. Szyfrowanie
220. a. Etykiety zabezpieczające to silna forma kontroli dostępu. W przeciwieństwie do list kontroli dostępu, etykiet zwykle nie można zmienić. Ponieważ etykiety są trwale powiązane z określonymi informacjami, dane nie mogą zostać ujawnione przez użytkownika kopiującego informacje i zmieniającego dostęp do tego pliku, tak aby informacje były bardziej dostępne niż zamierzył pierwotny właściciel. Etykiety zabezpieczające doskonale nadają się do konsekwentnego i jednolitego egzekwowania ograniczeń dostępu, chociaż ich administracja i brak elastyczności mogą znacząco zniechęcać do ich używania. Hasła są słabą formą kontroli dostępu, chociaż są łatwe w użyciu i administrowaniu. Chociaż szyfrowanie jest silną formą kontroli dostępu, nie odstrasza go od używania w porównaniu z etykietami. W rzeczywistości złożoność i trudność szyfrowania może zniechęcać do jego używania.
221. Bardzo ważne jest, aby kontrola dostępu chroniąca system komputerowy działała razem. Który z poniższych rodzajów kontroli dostępu powinien być najbardziej szczegółowy?
a. Fizyczny
b. Aplikacja systemowa
c. System operacyjny
d. System komunikacji
221. b. Przynajmniej cztery podstawowe rodzaje kontroli dostępu powinny być brane pod uwagę: fizyczne, system operacyjny, komunikacja i aplikacja. Ogólnie rzecz biorąc, kontrola dostępu w aplikacji jest najbardziej specyficzna. Jednak, aby kontrola dostępu do aplikacji była w pełni skuteczna, muszą być wspierane przez kontrolę dostępu do systemu operacyjnego i systemu komunikacyjnego. W przeciwnym razie dostęp do zasobów aplikacji można uzyskać bez przechodzenia przez aplikację. Kontrole dostępu do systemu operacyjnego, komunikacji i aplikacji muszą być wspierane przez fizyczne mechanizmy kontroli dostępu, takie jak zabezpieczenia fizyczne i planowanie awaryjne.
222. Który z poniższych typów logicznych mechanizmów kontroli dostępu nie opiera się na fizycznej kontroli dostępu?
a. Kontrola szyfrowania
b. Kontrola dostępu do systemu aplikacji
c. Kontrola dostępu do systemu operacyjnego
d. Programy użytkowe
222. a. Większość systemów może zostać naruszona, jeśli ktoś może fizycznie uzyskać dostęp do procesora lub głównych komponentów, na przykład ponownie uruchamiając system z innym oprogramowaniem. Logiczne kontrole dostępu są zatem zależne od kontroli dostępu fizycznego (z wyjątkiem szyfrowania, które może zależeć wyłącznie od siły algorytmu i tajności klucza). Systemy aplikacji, systemy operacyjne i programy narzędziowe są w dużym stopniu zależne od logicznych kontroli dostępu w celu ochrony przed nieautoryzowanym użyciem.
223. Mechanizm systemu i ścieżki audytu pomagają menedżerom biznesowym w rozliczaniu poszczególnych użytkowników z ich działań. Aby wykorzystać te ślady audytu, który z poniższych mechanizmów kontrolnych jest warunkiem wstępnym skuteczności mechanizmu?
a. Fizyczny
b. Środowiskowy
c. Kierownictwo
d. Dostęp logiczny
223. d. Informując użytkowników, że są osobiście odpowiedzialni za swoje działania, które są śledzone przez ścieżkę audytu, która rejestruje działania użytkowników, menedżerowie mogą pomóc w promowaniu właściwego zachowania użytkowników. Użytkownicy są mniej skłonni do próby obejścia polityki bezpieczeństwa, jeśli wiedzą, że ich działania zostaną zapisane w dzienniku audytu. Ścieżki audytu współpracują z logicznymi kontrolami dostępu, które ograniczają wykorzystanie zasobów systemowych. Ponieważ logiczne kontrole dostępu są egzekwowane za pomocą oprogramowania, ścieżki audytu są wykorzystywane do zachowania odpowiedzialności jednostki. Pozostałe trzy opcje gromadzą pewne dane w formie ścieżki audytu, a ich wykorzystanie jest ograniczone ze względu na ograniczenie gromadzonych użytecznych danych.
224. Które z poniższych jest najlepszym miejscem na umieszczenie protokołu Kerberos?
a. Warstwa aplikacji
b. Warstwa transportowa
c. Warstwa sieci
d. Wszystkie warstwy sieci
224. d. Umieszczenie protokołu Kerberos poniżej warstwy aplikacji i we wszystkich warstwach sieci zapewnia najlepszą ochronę bez konieczności modyfikowania aplikacji.
225. Nieodłączne ryzyko wiąże się z logicznym dostępem, który jest trudny do zapobieżenia lub złagodzenia, ale można go zidentyfikować poprzez przegląd ścieżek audytu. Z którym z poniższych rodzajów dostępu wiąże się to ryzyko najbardziej?
a. Prawidłowo używany autoryzowany dostęp
b. Niewłaściwie wykorzystany autoryzowany dostęp
c. Nieudany nieautoryzowany dostęp
d. Udany nieautoryzowany dostęp
225. b. Prawidłowo autoryzowany dostęp, a także niewłaściwie wykorzystany autoryzowany dostęp, mogą wykorzystywać analizę ścieżki audytu, ale w tym ostatnim przypadku ze względu na wysokie ryzyko. Chociaż nie można uniemożliwić użytkownikom korzystania z zasobów, do których mają uzasadnione uprawnienia dostępu, do zbadania ich działań wykorzystywana jest analiza ścieżki audytu. Podobnie próby nieautoryzowanego dostępu, udane lub nie, mogą zostać wykryte poprzez analizę ścieżek audytu.
226. Wiele systemów komputerowych zapewnia konta serwisowe dla usług diagnostycznych i wsparcia. Która z poniższych technik zabezpieczeń jest najmniej preferowana w celu zapewnienia zmniejszonej podatności na zagrożenia podczas korzystania z tych kont?
a. Potwierdzenie oddzwonienia
b. Szyfrowanie komunikacji
c. Inteligentne tokeny
d. Hasło i identyfikator użytkownika
226. d. Wiele systemów komputerowych zapewnia konta serwisowe. Te specjalne konta logowania są zwykle wstępnie skonfigurowane w fabryce za pomocą gotowych, powszechnie znanych słabych haseł. Bardzo ważne jest, aby zmienić te hasła lub w inny sposób wyłączyć konta, dopóki nie będą potrzebne. Jeżeli konto ma być używane zdalnie, uwierzytelnienie dostawcy usług serwisowych można przeprowadzić za pomocą potwierdzenia oddzwonienia. Pomaga to upewnić się, że zdalne działania diagnostyczne faktycznie pochodzą z ustalonego numeru telefonu w siedzibie dostawcy. Pomocne mogą być również inne techniki, w tym szyfrowanie i odszyfrowywanie komunikacji diagnostycznej, silne techniki identyfikacji i uwierzytelniania, takie jak inteligentne tokeny i zdalna weryfikacja rozłączenia.
227. Poniżej znajduje się lista par, które są ze sobą powiązane. Która para elementów reprezentuje całkowite poleganie na pierwszym elemencie w celu wymuszenia drugiego?
a. Zasada rozdziału obowiązków, zasada najmniejszych przywilejów
b. Kontrola parzystości, kontrola limitu
c. System jednokluczowy, algorytm Rivesta-Shamira-Adelmana (RSA)
d. System z dwoma kluczami, algorytm Data Encryption Standard (DES)
227. a. Zasada rozdziału obowiązków jest powiązana z zasadą "najmniejszego przywileju"; oznacza to, że użytkownicy i procesy w systemie powinni mieć jak najmniej uprawnień i przez minimalny czas niezbędny do wykonania przydzielonych im zadań. Uprawnienia i zdolność do pełnienia określonych funkcji powinny być rozdzielone i delegowane na różne osoby. Zasada ta jest często stosowana do podziału uprawnień do pisania i zatwierdzania transakcji pieniężnych między dwie osoby. Można go również zastosować do oddzielenia uprawnień do dodawania użytkowników do systemu i innych obowiązków administratora systemu od uprawnień do przydzielania haseł, przeprowadzania audytów i wykonywania innych obowiązków administratora bezpieczeństwa. Nie ma związku między kontrolą parzystości, która jest oparta na sprzęcie, a kontrolą graniczną, która jest aplikacją programową. Kontrola parzystości to kontrola, która sprawdza, czy liczba jedynek (1s) lub zer (0s) w tablicy cyfr binarnych jest parzysta czy nieparzysta. Nieparzystość jest standardem dla transmisji synchronicznej, a parzystość dla transmisji asynchronicznej. Podczas sprawdzania limitu program testuje określone pola danych pod kątem określonych górnych lub niskich wartości granicznych pod kątem akceptowalności przed dalszym przetwarzaniem. Algorytm RSA jest niepoprawny, ponieważ używa dwóch kluczy: prywatnego i publicznego. DES jest niepoprawny, ponieważ używa tylko jednego klucza zarówno do szyfrowania, jak i odszyfrowywania (klucz tajny lub prywatny).
228. Która z poniższych metod jest najskuteczniejszą metodą tworzenia hasła?
a. Korzystanie z generatorów haseł
b. Korzystanie z doradców haseł
c. Przypisywanie haseł użytkownikom
d. Wdrażanie haseł wybranych przez użytkownika
228. b. Doradcy haseł to programy komputerowe, które badają wybory użytkowników dotyczące haseł i informują użytkowników, jeśli hasła są słabe. Hasła generowane przez generatory haseł są trudne do zapamiętania, podczas gdy hasła wybrane przez użytkownika są łatwe do odgadnięcia. Użytkownicy zapisują hasło na kartce, gdy jest im przydzielone.
229. Który z poniższych elementów jest bardziej niezawodnym urządzeniem uwierzytelniającym niż pozostałe?
a. Naprawiono system oddzwaniania
b. Zmienny system oddzwaniania
c. Stały i zmienny system oddzwaniania
d. System kart inteligentnych
229. d. Uwierzytelnianie to zapewnienie tożsamości podmiotu lub obiektu; na przykład zapewnienie, że konkretny użytkownik jest tym, za kogo się podaje. System kart inteligentnych wykorzystuje inteligentne tokeny oparte na kryptografii, które zapewniają dużą elastyczność i mogą rozwiązać wiele problemów związanych z uwierzytelnianiem, takich jak fałszerstwo i maskarada. Token inteligentny zazwyczaj wymaga od użytkownika podania czegoś, co użytkownik zna (tj. kodu PIN lub hasła), co zapewnia silniejszą kontrolę niż sam token inteligentny. Karty inteligentne nie wymagają wywołania zwrotnego, ponieważ kody używane w karcie inteligentnej często się zmieniają, czego nie można powtórzyć. Systemy oddzwaniania służą do uwierzytelniania osoby. Stały system oddzwaniania oddzwania do znanego telefonu skojarzonego ze znanym miejscem. Jednak osoba wezwana może nie być znana i jest to problem z maskaradą. Jest nie tylko niepewna, ale i nieelastyczna, ponieważ jest przywiązana do konkretnego miejsca. Nie ma zastosowania, jeśli dzwoniący się porusza. Zmienny system oddzwaniania jest bardziej elastyczny niż stały, ale wymaga większej obsługi zmiennych numerów telefonów i lokalizacji. Te numery telefonów mogą zostać nagrane lub odszyfrowane przez hakera.
230. Co zawiera przykład wady kart inteligentnych?
a. Środek kontroli dostępu
b. Sposób przechowywania danych użytkownika
c. Sposób na uzyskanie nieautoryzowanego dostępu
d. Środki kontroli dostępu i przechowywania danych
230.c. Ponieważ cenne dane są przechowywane na karcie inteligentnej, karta jest bezużyteczna, jeśli zostanie zgubiona, uszkodzona lub zapomniana. Nieupoważniona osoba może uzyskać dostęp do systemu komputerowego w przypadku braku innych silnych kontroli. Karta inteligentna to urządzenie wielkości karty kredytowej zawierające jeden lub więcej układów scalonych, które pełni funkcje mikroprocesora, pamięci i interfejsu wejścia/wyjścia. Karty inteligentne mogą być używane (i) jako środek kontroli dostępu, (ii) jako nośnik do przechowywania i przenoszenia odpowiednich danych oraz (iii) połączenie (1) i (2).
231. Która z poniższych opcji jest prostszą i podstawową kontrolą logowania?
a. Sprawdzanie nazwy użytkownika i hasła
b. Monitorowanie nieudanych logowań
c. Wysyłanie alertów do operatorów systemu
d. Wyłączanie kont w przypadku włamania
231. a. Kontrola logowania określa warunki, które muszą spełnić użytkownicy, aby uzyskać dostęp do systemu komputerowego. W większości prostych i podstawowych przypadków dostęp będzie możliwy tylko po podaniu nazwy użytkownika i hasła. Bardziej złożone systemy przyznają lub odmawiają dostępu na podstawie typu logowania do komputera; czyli lokalny, dialup, zdalny, sieciowy, wsadowy lub podproces. System bezpieczeństwa może ograniczyć dostęp w zależności od typu terminala lub dostęp zdalnego komputera zostanie przyznany tylko wtedy, gdy użytkownik lub program znajduje się na wyznaczonym terminalu lub zdalnym systemie. Dostęp można również zdefiniować według pory dnia i dnia tygodnia. Jako kolejny środek ostrożności, bardziej złożone i wyrafinowane systemy monitorują nieudane logowania, wysyłają wiadomości lub alerty do operatora systemu i wyłączają konta w przypadku włamania.
232. Między kontrolami istnieją kompromisy. W którym z poniższych obszarów polityka bezpieczeństwa byłaby najbardziej użyteczna?
1. Hasła generowane przez system a hasła generowane przez użytkownika
2. Dostęp a poufność
3. Kontrole techniczne a kontrole proceduralne
4. Sterowanie ręczne a sterowanie automatyczne
a. 1 i 2
b. 3 i 4
c. 2 i 3
d. 2 i 4
232. c. Polityka bezpieczeństwa to ramy, w których organizacja ustala niezbędne poziomy bezpieczeństwa informacji, aby osiągnąć pożądane cele w zakresie poufności. Polityka jest deklaracją wartości informacji, odpowiedzialności za ochronę i zaangażowania organizacyjnego w system komputerowy. Jest to zbiór praw, zasad i praktyk, które regulują sposób, w jaki organizacja zarządza, chroni i rozpowszechnia poufne informacje. Istnieją kompromisy między kontrolami, takimi jak kontrole techniczne i kontrole proceduralne. Jeżeli kontrole techniczne nie są dostępne, kontrole proceduralne mogą być stosowane do momentu znalezienia rozwiązania technicznego. Niemniej jednak kontrole techniczne są bezużyteczne bez kontroli proceduralnych i solidnej polityki bezpieczeństwa. Podobnie istnieje kompromis między dostępem a poufnością; czyli system spełniający standardy dostępu umożliwia upoważnionym użytkownikom dostęp do zasobów informacyjnych na bieżąco. Nacisk kładziony na poufność, integralność i dostęp zależy od charakteru aplikacji. Pojedynczy system może poświęcić poziom jednego wymagania, aby uzyskać wyższy stopień innego. Na przykład, aby umożliwić zwiększony poziom dostępności informacji, można obniżyć standardy poufności. W związku z tym specyficzne wymagania i środki kontroli bezpieczeństwa informacji mogą się różnić. Hasła i kontrole również wiążą się z kompromisami, ale na niższym poziomie. Hasła wymagają wyboru między hasłami generowanymi przez system, co może zapewnić większe bezpieczeństwo niż hasła generowane przez użytkowników, ponieważ hasła generowane przez system są losowo generowanymi pseudosłowami, których nie ma w słowniku. Jednak hasła generowane przez system są trudniejsze do zapamiętania, zmuszając użytkowników do ich zapisania, co uniemożliwia osiągnięcie celu. Kontrole wymagają wyboru między kontrolą ręczną a automatyczną lub wybrania kombinacji kontroli ręcznych i automatycznych. Jedna kontrola może działać jako kontrola kompensacyjna dla drugiej.
233. Ważne jest zapewnienie integralności danych i programu. Która z poniższych kontroli najlepiej stosuje zasadę rozdziału obowiązków w zautomatyzowanym środowisku operacji komputerowych?
a. Kontrolki umieszczania plików
b. Konwencje nazewnictwa plików danych
c. Kontrolki biblioteki programów
d. Programy i konwencje nazewnictwa zadań
233. c. Kontrolki biblioteki programów umożliwiają uruchamianie w środowisku produkcyjnym tylko przypisanych programów i eliminują problem przypadkowego wejścia programów testowych do środowiska produkcyjnego. Oddzielają również dane produkcyjne i testowe, aby zapewnić, że żadne dane testowe nie są używane w normalnej produkcji. Praktyka ta opiera się na zasadzie "rozdzielenia obowiązków". Mechanizmy kontroli rozmieszczania plików zapewniają, że pliki znajdują się na odpowiednim urządzeniu pamięci masowej o bezpośrednim dostępie, dzięki czemu zestawy danych nie trafią przypadkowo do niewłaściwego urządzenia. Konwencje nazewnictwa plików danych, programów i zadań wdrażają zasadę rozdziału obowiązków, jednoznacznie identyfikując nazwy plików danych produkcyjnych i testowych, nazwy programów, nazwy zadań i użycie terminala.
234. Które z poniższych par usług systemowych wysokiego poziomu zapewniają kontrolowany dostęp do sieci?
a. Listy kontroli dostępu i uprawnienia dostępu
b. Identyfikacja i uwierzytelnianie
c. Certyfikacja i akredytacja
d. Akredytacja i zapewnienie
234. b. Kontrolowanie dostępu do sieci zapewniają usługi identyfikacji i uwierzytelniania sieci, które idą w parze. Usługa ta ma kluczowe znaczenie dla zapewnienia kontrolowanego dostępu do zasobów i usług oferowanych przez sieć oraz weryfikacji, czy mechanizmy zapewniają odpowiednią ochronę. Identyfikacja to proces, który umożliwia rozpoznanie podmiotu przez system komputerowy, zazwyczaj za pomocą unikalnych nazw użytkowników, które mogą być odczytywane maszynowo. Uwierzytelnianie to weryfikacja identyfikacji podmiotu. Wtedy gospodarz, któremu jednostka musi udowodnić swoją tożsamość, ufa (poprzez proces uwierzytelniania), że jednostka jest tym, za kogo się podaje. Zagrożeniem dla sieci, przed którym musi chronić usługa identyfikacji i uwierzytelniania, jest podszywanie się. Lista kontroli dostępu (ACL) i uprawnienia dostępu nie zapewniają kontrolowanego dostępu do sieci, ponieważ ACL jest listą podmiotów, które mają dostęp do obiektu oraz praw dostępu (uprawnień) każdego podmiotu. Ta usługa jest dostępna po wstępnej identyfikacji i uwierzytelnieniu. Usługi certyfikacji i akredytacji nie zapewniają kontrolowanego dostępu do sieci, ponieważ certyfikacja jest czynnością administracyjną polegającą na zatwierdzaniu systemu komputerowego do użytku w określonej aplikacji. Akredytacja to formalna akceptacja przez kierownictwo adekwatności bezpieczeństwa systemu komputerowego. Certyfikacja i akredytacja mają podobną koncepcję. Ta usługa jest dostępna po wstępnej identyfikacji i uwierzytelnieniu. Usługi akredytacji i zapewnienia nie zapewniają kontrolowanego dostępu do sieci, ponieważ akredytacja jest formalną akceptacją przez kierownictwo adekwatności bezpieczeństwa systemu komputerowego. Pewność to pewność, że projekt systemu komputerowego spełnia jego wymagania. Ponownie, ta usługa jest dostępna po wstępnej identyfikacji i uwierzytelnieniu.
235. Które z poniższych nie jest przedmiotem ataków personifikacji?
a. Powtórka pakietów
b. Fałszerstwo
c. Przekaźnik
d. Przechwycenie
235. a. Odtwarzanie pakietów jest jednym z najczęstszych zagrożeń bezpieczeństwa systemów sieciowych, podobnym do podszywania się i podsłuchiwania pod względem uszkodzeń, ale niepodobnym pod względem funkcji. Odtwarzanie pakietów odnosi się do nagrywania i retransmisji pakietów wiadomości w sieci. Jest to poważne zagrożenie dla programów, które wymagają sekwencji uwierzytelniania, ponieważ intruz może odtworzyć prawidłowe wiadomości o sekwencji uwierzytelniania, aby uzyskać dostęp do systemu. Powtarzanie pakietów jest często niewykrywalne, ale można temu zapobiec, stosując znaczniki czasu pakietów i zliczanie sekwencji pakietów. Fałszerstwo jest niepoprawne, ponieważ jest to jeden ze sposobów przeprowadzenia ataku polegającego na podszywaniu się. Fałszerstwo to próba odgadnięcia lub innego sfabrykowania dowodów, które podszywający się zna lub posiada. Przekaźnik jest niepoprawny, ponieważ jest to jeden ze sposobów realizacji ataku personifikacji. Relay to miejsce, w którym można podsłuchiwać wymianę uwierzytelniania innej osoby i nauczyć się wystarczająco dużo, aby podszywać się pod użytkownika. Przechwytywanie jest nieprawidłowe, ponieważ jest to jeden ze sposobów, w jaki można przeprowadzić atak polegający na podszywaniu się. Przechwytywanie to miejsce, w którym można wślizgnąć się między komunikację i "przejąć" kanał komunikacyjny.
236. Które z poniższych zabezpieczeń nie jest zgodne z zasadą najmniejszych uprawnień?
a. Przywileje wszystko albo nic
b. Szczegółowość przywilejów
c. Ograniczenie czasowe przywileju
d. Dziedziczenie przywilejów
236. a. Celem mechanizmu uprawnień jest zapewnienie możliwości przyznania określonym użytkownikom lub procesom możliwości wykonywania działań związanych z bezpieczeństwem przez ograniczony czas i pod restrykcyjnym zestawem warunków, przy jednoczesnym umożliwieniu zadań prawidłowo autoryzowanych przez administratora systemu. To jest motyw leżący u podstaw zasady bezpieczeństwa najmniejszych przywilejów. Nie oznacza przywileju "wszystko albo nic". Szczegółowość uprawnień jest nieprawidłowa, ponieważ jest to jedna z funkcji bezpieczeństwa obsługiwanych przez zasadę najmniejszych uprawnień. Mechanizm uprawnień, który obsługuje szczegółowość uprawnień, może umożliwić procesowi nadpisanie tylko tych funkcji związanych z bezpieczeństwem, które są potrzebne do wykonania zadania. Na przykład program do tworzenia kopii zapasowych musi omijać tylko ograniczenia odczytu, a nie ograniczenia zapisu lub wykonywania na plikach. Ograniczenie czasowe uprawnień jest nieprawidłowe, ponieważ jest to jedna z funkcji bezpieczeństwa obsługiwanych przez zasadę najmniejszych uprawnień. Ograniczenie czasowe uprawnień wiąże się z tym, że uprawnienia wymagane przez aplikację lub proces mogą być włączane i wyłączane, gdy aplikacja lub proces ich potrzebuje. Dziedziczenie uprawnień jest nieprawidłowe, ponieważ jest to jedna z funkcji zabezpieczeń obsługiwanych przez zasadę najmniejszych uprawnień. Dziedziczenie uprawnień umożliwia obrazowi procesu żądanie przekazania wszystkich, niektórych lub żadnych uprawnień do następnego obrazu procesu. Na przykład programy użytkowe, które uruchamiają inne programy narzędziowe, nie muszą przekazywać żadnych uprawnień, jeśli program narzędziowy ich nie wymaga.
237. Uwierzytelnianie to ochrona przed nieuczciwymi transakcjami. Proces uwierzytelniania nie zakłada, które z poniższych?
a. Ważność lokalizacji wysyłanej wiadomości
b. Ważność stacji roboczych, które wysłały wiadomość
c. Integralność przekazywanej wiadomości
d. Ważność nadawcy wiadomości
237. c. Uwierzytelnianie zapewnia, że otrzymane dane pochodzą z domniemanego źródła. Nie obejmuje integralności przesyłanych danych lub wiadomości. Uwierzytelnianie stanowi jednak ochronę przed nieuczciwymi transakcjami poprzez ustalenie ważności wysłanych wiadomości, ważności stacji roboczych, które wysłały wiadomość, oraz ważności autorów wiadomości. Nieprawidłowe wiadomości mogą pochodzić z prawidłowego źródła, a uwierzytelnianie nie może temu zapobiec.
238. Hasła są wykorzystywane jako podstawowy mechanizm identyfikacji i uwierzytelniania użytkownika systemu. Którego z poniższych czynników związanych z hasłami nie można przetestować za pomocą automatycznych narzędzi do testowania luk w zabezpieczeniach?
a. Długość hasła
b. Żywotność hasła
c. Tajemnica hasła
d. Przechowywanie haseł
238. c. Żadne zautomatyzowane narzędzie do testowania luk w zabezpieczeniach nie może zagwarantować, że użytkownicy systemu nie ujawnili swoich haseł; w związku z tym nie można zagwarantować tajności. Długość hasła można przetestować, aby upewnić się, że krótkie hasła nie są wybierane. Czas życia hasła można przetestować, aby upewnić się, że ma on ograniczony czas życia. Hasła powinny być regularnie zmieniane lub zawsze, gdy zostały naruszone. Przechowywanie haseł można przetestować, aby zapewnić ich ochronę przed ujawnieniem lub nieautoryzowaną modyfikacją.
239. W przypadku którego z poniższych mechanizmów najczęściej stosowanym mechanizmem jest użycie identyfikatorów logowania i haseł?
a. Zapewnienie dynamicznej weryfikacji użytkownika
b. Zapewnienie statycznej weryfikacji użytkownika
c. Zapewnienie silnego uwierzytelniania użytkownika
d. Systemy komputerowe zarówno wsadowe, jak i online
239. b. Z definicji weryfikacja statyczna odbywa się tylko raz na początku każdej sesji logowania. Hasła mogą, ale nie muszą być wielokrotnego użytku. Dynamiczna weryfikacja użytkownika następuje, gdy osoba wpisuje na klawiaturze i zostawia podpis elektroniczny w postaci naciśnięcia klawisza opóźnienia w czasie między naciśnięciami klawiszy. W przypadku dobrze znanych, regularnych ciągów znaków ta sygnatura może być dość spójna. Oto, jak działa mechanizm dynamicznej weryfikacji: Gdy osoba chce uzyskać dostęp do zasobu komputera, musi się zidentyfikować, wpisując swoje imię i nazwisko. Wektor opóźnienia naciśnięć klawiszy o tej nazwie jest porównywany z sygnaturą referencyjną przechowywaną na komputerze. Jeśli wektor opóźnienia strony wnoszącej roszczenie i sygnatura referencyjna są statystycznie podobne, użytkownik uzyskuje dostęp do systemu. Użytkownik jest proszony o wpisanie swojego nazwiska kilka razy, aby podać wektor średnich opóźnień do wykorzystania jako odniesienie. Można to postrzegać jako podpis elektroniczny użytkownika. Hasła nie zapewniają silnego uwierzytelniania użytkownika. Gdyby tak było, nie byłoby dzisiaj problemu z hakerami. Hasła zapewniają najsłabsze uwierzytelnianie użytkowników ze względu na ich udostępnianie i odgadny charakter. Tylko systemy online wymagają od użytkownika identyfikatora i hasła ze względu na ich interaktywny charakter. Tylko zadania i pliki wsadowe wymagają identyfikatora użytkownika i hasła podczas przesyłania zadania lub modyfikowania pliku. Systemy wsadowe nie są interaktywne.
240. Która z poniższych procedur wyboru hasła byłaby najtrudniejsza do zapamiętania?
a. Odwróć lub zmień kolejność znaków w dniu urodzin użytkownika
b. Odwróć lub zmień kolejność znaków w rocznej pensji użytkownika
c. Odwróć lub zmień kolejność znaków w imieniu małżonka użytkownika
d. Użyj losowo generowanych znaków
240. d. Wybór hasła to trudne zadanie, aby zrównoważyć skuteczność hasła i jego zapamiętywanie przez użytkownika. Wybrane hasło powinno być łatwe do zapamiętania dla siebie i trudne do poznania dla innych. Nie ma żadnej korzyści z naukowo wygenerowanego hasła, jeśli użytkownik go nie pamięta. Używanie losowo generowanych znaków jako hasła jest nie tylko trudne do zapamiętania, ale także łatwe do opublikowania. Użytkownicy będą kuszeni, aby zapisać je w widocznym miejscu, jeśli hasło będzie trudne do zapamiętania. Podejścia w pozostałych trzech opcjach byłyby stosunkowo łatwe do zapamiętania ze względu na znajomość przez użytkownika pochodzenia hasła. Prostą procedurą jest użycie dobrze znanych danych osobowych, które są przearanżowane.
241. Jak działa mechanizm kontroli dostępu oparty na rolach?
a. W oparciu o koncepcję rozszerzenia pracy
b. W oparciu o koncepcję obowiązków zawodowych
c. Na podstawie koncepcji wzbogacenia pracy
d. W oparciu o koncepcję rotacji stanowisk
241.b. Użytkownicy przejmują przypisane role, takie jak lekarz, pielęgniarka, kasjer i menedżer. Dzięki mechanizmowi kontroli dostępu opartemu na rolach decyzje dotyczące dostępu są oparte na rolach, jakie poszczególni użytkownicy pełnią w ramach organizacji, czyli na obowiązkach służbowych. Rozszerzenie pracy oznacza dodanie szerokości do pracy; wzbogacenie pracy oznacza dodanie głębi do pracy; a rotacja pracy sprawia, że osoba jest dobrze zaokrąglona.
242. Co obejmują środki zaradcze przeciwko atakowi tęczy wynikającemu z zagrożenia złamaniem hasła?
a. Hasło jednorazowe i skrót jednokierunkowy
b. Przestrzeń klucza i hasło
c. Solenie i rozciąganie
d. Entropia i blokada konta użytkownika
242. c. Salting to włączenie losowej wartości do procesu haszowania hasła, co znacznie zmniejsza prawdopodobieństwo, że identyczne hasła zwrócą ten sam skrót. Jeśli dwóch użytkowników wybierze to samo hasło, solenie może sprawić, że ich skróty będą takie same. Większe sole skutecznie sprawiają, że korzystanie z tęczowych stołów jest niewykonalne. Rozciąganie polega na mieszaniu każdego hasła i jego soli tysiące razy. To sprawia, że tworzenie tęczowych tablic jest odpowiednio bardziej czasochłonne, a jednocześnie ma niewielki wpływ na ilość wysiłku potrzebnego systemom organizacji do weryfikacji prób uwierzytelnienia hasła. Przestrzeń kluczy to duża liczba możliwych wartości kluczy (kluczy) utworzonych przez algorytm szyfrowania do użycia podczas przekształcania wiadomości. Hasło to ciąg znaków przekształcony przez system haseł w hasło wirtualne. Entropia jest miarą niepewności, z jaką napastnik musi się zmierzyć, aby określić wartość sekretu.
243. W których z poniższych miejsc hasła można bezpiecznie przechowywać?
a. Plik inicjujący
b. Plik skryptu
c. Plik hasła
d. Plik wsadowy
243. c. Hasła nie powinny być umieszczane w plikach inicjujących, plikach skryptów ani plikach wsadowych z powodu możliwego naruszenia bezpieczeństwa. Zamiast tego powinny być przechowywane w pliku haseł, najlepiej zaszyfrowanym.
244. Która z poniższych nie jest powszechną metodą uzyskiwania nieautoryzowanego dostępu do systemów komputerowych?
a. Udostępnianie hasła
b. Zgadywanie hasła
c. Przechwytywanie hasła
d. Sfałszowanie hasła
244. d. Podszywanie się pod hasła polega na tym, że intruzi oszukują zabezpieczenia systemu, aby zezwolić na normalnie niedozwolone połączenia sieciowe. Zdobyte hasła pozwalają im złamać zabezpieczenia lub wykraść cenne informacje. Na przykład zdecydowana większość ruchu internetowego jest niezaszyfrowana, a zatem łatwa do odczytania. W związku z tym wiadomości e-mail, hasła i przesyłanie plików można uzyskać za pomocą łatwo dostępnego oprogramowania. Podszywanie się pod hasła nie jest tak powszechne. Pozostałe trzy wybory są nieprawidłowe, ponieważ są to najczęściej stosowane metody uzyskiwania nieautoryzowanego dostępu do systemów komputerowych. Udostępnianie haseł umożliwia nieautoryzowanemu użytkownikowi uzyskanie dostępu do systemu i przywilejów uprawnionego użytkownika, przy wiedzy i akceptacji uprawnionego użytkownika. Odgadywanie haseł ma miejsce, gdy używane są łatwe w użyciu lub łatwe do zapamiętania kody i gdy inni użytkownicy o nich wiedzą (np. hobby, sport, ulubione gwiazdy i wydarzenia towarzyskie). Przechwytywanie haseł to proces, w którym legalny użytkownik nieświadomie ujawnia identyfikator logowania i hasło użytkownika. Można to zrobić za pomocą programu typu koń trojański, który dla użytkownika wygląda jak legalny program do logowania; jednak koń trojański jest przeznaczony do przechwytywania haseł.
245. Jakie są przykłady modelu kontroli dostępu Bell-LaPadula i obowiązkowej polityki kontroli dostępu?
a. Kontrola dostępu oparta na tożsamości (IBAC)
b. Kontrola dostępu oparta na atrybutach (ABAC)
c. Kontrola dostępu oparta na rolach (RBAC)
d. Kontrola dostępu oparta na regułach (RuBAC)
245. d. Kontrola dostępu oparta na regułach (RuBAC) opiera się na określonych regułach odnoszących się do charakteru podmiotu i obiektu. Decyzja RuBAC wymaga porównania informacji autoryzacyjnych i informacji o ograniczeniach przed przyznaniem dostępu. Zarówno model kontroli dostępu Bell-LaPadula, jak i obowiązkowa polityka kontroli dostępu dotyczą reguł. Pozostałe trzy opcje nie dotyczą zasad.
246. Które z poniższych rozwiązań bezpieczeństwa dla kontroli dostępu jest prosty w obsłudze i łatwy w administrowaniu?
a. Hasła
b. Tokeny kryptograficzne
c. Klucze sprzętowe
d. Zaszyfrowane pliki danych
246. c. Klucze sprzętowe to urządzenia, które nie wymagają skomplikowanego procesu administrowania prawami użytkowników i uprawnieniami dostępu. Są prostymi kluczami, podobnymi do kluczy do drzwi, które można podłączyć do komputera osobistego, zanim osoba będzie mogła pomyślnie zalogować się, aby uzyskać dostęp do kontrolowanych plików danych i programów. Każdy użytkownik otrzymuje komplet kluczy do własnego użytku. Klucze sprzętowe są proste w użyciu i łatwe w administrowaniu. Hasła to nieprawidłowa odpowiedź, ponieważ wymagają pewnej ilości pracy administracyjnych w zakresie bezpieczeństwa, takiej jak skonfigurowanie konta i pomoc użytkownikom, gdy zapomną hasła. Hasła są proste w użyciu, ale trudne w administrowaniu. Tokeny kryptograficzne to nieprawidłowa odpowiedź, ponieważ wymagają pewnej pracy administracyjnej w zakresie bezpieczeństwa. Tokeny należy przypisywać, programować, śledzić i usuwać. Zaszyfrowane pliki danych to nieprawidłowa odpowiedź, ponieważ wymagają pewnej pracy administracyjnej w zakresie bezpieczeństwa. Klucze szyfrowania należy przypisać właścicielom do celów szyfrowania i odszyfrowywania. 247. Systemy uwierzytelniania kryptograficznego muszą określać, w jaki sposób będą używane algorytmy kryptograficzne. Który z poniższych systemów uwierzytelniania zmniejszyłby ryzyko podszywania się w środowisku sieciowych systemów komputerowych?
a. System uwierzytelniania oparty na protokole Kerberos
b. System uwierzytelniania oparty na hasłach
c. System uwierzytelniania oparty na tokenach pamięci
d. Inteligentny system uwierzytelniania oparty na tokenach
247.a. Podstawowym celem protokołu Kerberos jest uniemożliwienie użytkownikom systemu ubiegania się o tożsamość innych użytkowników w przetwarzaniu rozproszonym środowisku. System uwierzytelniania Kerberos opiera się na kryptografii klucza tajnego. Protokół Kerberos zapewnia silne uwierzytelnianie użytkowników i systemów komputerowych hosta. Ponadto Kerberos korzysta z zaufanej strony trzeciej do zarządzania relacjami klucza kryptograficznego, które mają kluczowe znaczenie dla procesu uwierzytelniania. Użytkownicy systemu mają znaczny stopień kontroli nad stacjami roboczymi używanymi do uzyskiwania dostępu do usług sieciowych, dlatego należy uznać te stacje robocze za niezaufane. Kerberos został opracowany w celu świadczenia rozproszonych usług uwierzytelniania sieciowego obejmujących systemy klient/serwer. Podstawowym zagrożeniem w tego typu systemie klient/serwer jest możliwość podania przez jednego użytkownika tożsamości innego użytkownika (podszywanie się), a tym samym uzyskania dostępu do usług systemowych bez odpowiedniej autoryzacji. Aby chronić się przed tym zagrożeniem, Kerberos zapewnia zaufaną stronę trzecią dostępną dla podmiotów sieciowych, która obsługuje usługi wymagane do uwierzytelniania między tymi podmiotami. Ta zaufana strona trzecia jest znana jako serwer dystrybucji kluczy Kerberos, który udostępnia tajne klucze kryptograficzne każdemu klientowi i serwerowi w określonej dziedzinie. Model uwierzytelniania Kerberos opiera się na resentacji biletów kryptograficznych w celu udowodnienia tożsamości klientów żądających usług z systemu hosta lub serwera. Pozostałe trzy wybory są nieprawidłowe, ponieważ nie mogą zmniejszyć ryzyka podszywania się. Na przykład: (i) hasła mogą być udostępniane, odgadywane lub przechwytywane oraz (ii) tokeny pamięci i inteligentne tokeny mogą zostać zgubione lub skradzione. Ponadto te trzy opcje nie wykorzystują zaufanej strony trzeciej do wzmocnienia kontroli, jak robi to Kerberos.
248. Co zawierają słabe punkty Kerberos?
1. Podlega atakom słownikowym.
2. Współpracuje z istniejącym oprogramowaniem systemów bezpieczeństwa.
3. Przechwytywanie i analizowanie ruchu sieciowego jest trudne.
4. Każda aplikacja sieciowa musi zostać zmodyfikowana.
a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 3 i 4
248. c. Kerberos to system uwierzytelniania z mechanizmami szyfrowania, które zapewniają bezpieczeństwo ruchu sieciowego. Słabe strony protokołu Kerberos to (i) jest przedmiotem ataków słownikowych, w których atakujący może wykraść hasła oraz (ii) wymaga modyfikacji całego kodu źródłowego aplikacji sieciowych, co jest problemem w przypadku aplikacji opracowanych przez producentów, których kod źródłowy nie jest dostarczany użytkownikom . Zaletą protokołu Kerberos jest to, że można go dodać do istniejącego systemu bezpieczeństwa i utrudnia przechwytywanie i analizowanie ruchu sieciowego. Wynika to z użycia szyfrowania w Kerberos.
249. Mniej powszechne sposoby inicjowania ataków polegających na podszywaniu się pod inne osoby w sieci obejmują użycie którego z poniższych?
a. Zapory sieciowe i nazwy kont
b. Hasła i nazwy kont
c. Kontrole biometryczne i klucze fizyczne
d. Hasła i certyfikaty cyfrowe
249. c. Ataki polegające na podszywaniu się pod inne osoby, polegające na użyciu kluczy fizycznych i kontroli biometrycznych, są mniej prawdopodobne ze względu na potrzebę fizycznego przebywania osoby atakującej w sieci przy sprzęcie biometrycznym. Hasła i nazwy kont są nieprawidłowe, ponieważ są najczęstszym sposobem inicjowania ataków personifikacji w sieci. Zapora to mechanizm chroniący witryny informatyczne przed atakami z Internetu. Większość certyfikatów cyfrowych jest chroniona hasłem i zawiera zaszyfrowany plik zawierający informacje identyfikujące ich posiadacza.
250. Które z poniższych usług bezpieczeństwa najlepiej obsługuje Kerberos?
a. Uwierzytelnianie
b. Poufność
c. Integralność
d. Dostępność
250.a. Kerberos to de facto standard protokołu uwierzytelniania, zapewniający solidną metodę uwierzytelniania. Kerberos został opracowany, aby umożliwić aplikacjom sieciowym bezpieczną identyfikację swoich równorzędnych użytkowników i może być używany do lokalnego/zdalnego logowania, zdalnego wykonywania, przesyłania plików, przezroczystego dostępu do plików (tj. dostępu do zdalnych plików w sieci tak, jakby były one lokalne) oraz dla klienta /żądania serwera. System Kerberos obejmuje serwer Kerberos, aplikacje korzystające z uwierzytelniania Kerberos oraz biblioteki do wykorzystania w tworzeniu aplikacji korzystających z uwierzytelniania Kerberos. Oprócz bezpiecznego zdalnego wywoływania procedur (Secure RPC), Kerberos zapobiega podszywaniu się w środowisku sieciowym i zapewnia jedynie usługi uwierzytelniania. Inne usługi, takie jak poufność, integralność i dostępność, muszą być świadczone w inny sposób. Dzięki Kerberos i bezpiecznemu RPC hasła nie są przesyłane przez sieć w postaci zwykłego tekstu. W Kerberos dwa elementy muszą potwierdzać uwierzytelnienie. Pierwszy to bilet, a drugi to uwierzytelnienie. Bilet składa się z żądanej nazwy serwera, nazwy klienta, adresu klienta, czasu wystawienia biletu, okresu istnienia biletu, klucza sesji, który ma być używany między klientem a serwerem oraz kilku innych pól. Bilet jest zaszyfrowany za pomocą tajnego klucza serwera i dlatego nie może być poprawnie odszyfrowany przez użytkownika. Jeśli serwer może poprawnie odszyfrować bilet, gdy klient go przedstawi, a klient przedstawi token uwierzytelniający zaszyfrowany przy użyciu klucza sesji zawartego w bilecie, serwer może mieć zaufanie do tożsamości użytkownika. Authenticator zawiera nazwę klienta, adres, aktualny czas i kilka innych pól. Program uwierzytelniający jest szyfrowany przez klienta przy użyciu klucza sesji udostępnionego serwerowi. Uwierzytelniający zapewnia walidację czasową poświadczenia. Jeśli użytkownik posiada zarówno właściwe dane uwierzytelniające, jak i narzędzie uwierzytelniające zaszyfrowane poprawnym kluczem sesji i przedstawia te elementy w okresie istnienia biletu, tożsamość użytkownika może zostać uwierzytelniona. Poufność jest nieprawidłowa, ponieważ zapewnia, że dane są ujawniane tylko uprawnionym podmiotom. Integralność jest niepoprawna, ponieważ jest to właściwość polegająca na tym, że obiekt jest zmieniany tylko w określony i autoryzowany sposób. Dostępność jest nieprawidłowa, ponieważ jest to właściwość, dzięki której dany zasób będzie można wykorzystać w danym okresie.
251. Jaka jest główna zaleta pojedynczego logowania?
a. Zmniejsza pracę kierowniczą.
b. To udogodnienie dla użytkownika końcowego.
c. Uwierzytelnia użytkownika raz.
d. Zapewnia scentralizowaną administrację.
251. b. W ramach pojedynczego logowania (SSO) użytkownik może uwierzytelnić się raz, aby uzyskać dostęp do wielu aplikacji, które zostały wcześniej zdefiniowane w systemie bezpieczeństwa. System SSO jest wygodny dla użytkownika końcowego, ponieważ zapewnia mniej obszarów do zarządzania w porównaniu z systemami wielokrotnego logowania, ale logowanie jednokrotne jest ryzykowne. W systemach wielokrotnego logowania istnieje wiele punktów awarii, ponieważ są one niewygodne dla użytkownika końcowego ze względu na wiele obszarów do zarządzania.
252. Kerberos może zapobiec któremu z następujących ataków?
a. Atak tunelowania
b. Atak odtwarzania
c. niszczycielski atak
d. Atak procesu
252. b. W ataku polegającym na odtwarzaniu (odtwarzaniu) wiadomości otrzymane od czegoś lub skądś są odtwarzane z powrotem. Nazywa się to również atakiem odbicia. Kerberos umieszcza w żądaniu porę dnia, aby uniemożliwić podsłuchującemu przechwycenie żądania usługi i ponowne przesłanie go z tego samego hosta w późniejszym czasie. Atak tunelowy ma na celu wykorzystanie słabości systemu, która istnieje na niższym poziomie abstrakcji niż poziom użyty przez programistę do zaprojektowania systemu. Na przykład atakujący może odkryć sposób na zmodyfikowanie mikrokodu procesora używanego podczas szyfrowania niektórych danych, zamiast próbować złamać algorytm szyfrowania systemu. Ataki niszczące niszczą informacje w sposób uniemożliwiający obsługę. Atakom tym można zapobiec, ograniczając dostęp do krytycznych plików danych i chroniąc je przed nieautoryzowanymi użytkownikami. W atakach procesowych jeden użytkownik sprawia, że komputer staje się bezużyteczny dla innych, którzy korzystają z niego w tym samym czasie. Ataki te dotyczą komputerów współużytkowanych.
253. Z punktu widzenia kontroli dostępu, które z poniższych są przykładami zasad kontroli dostępu opartych na historii?
1. Kontrola dostępu oparta na rolach
2. Polityka przepływu pracy
3. Kontrola dostępu oparta na regułach
4. Polityka chińskiego muru
a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4
253. c. Strategie kontroli dostępu oparte na historii są definiowane w kategoriach tematów i zdarzeń, w których zdarzenia systemu są określone jako operacje dostępu do obiektów związane z aktywnością na określonym poziomie bezpieczeństwa. Zakłada to, że polityka bezpieczeństwa jest zdefiniowana w kategoriach sekwencji zdarzeń w czasie i że polityka bezpieczeństwa decyduje, które zdarzenia w systemie są dozwolone, aby zapewnić, że informacje nie przepływają w nieautoryzowany sposób. Zasady kontroli dostępu oparte na historii nie są oparte na standardowym mechanizmie kontroli dostępu, ale na praktycznych zastosowaniach. W politykach kontroli dostępu opartych na historii, poprzednie zdarzenia dostępu są wykorzystywane jako jeden z czynników decyzyjnych dla następnej autoryzacji dostępu. Przepływ pracy i zasady chińskiego muru są przykładami zasad kontroli dostępu opartych na historii.
254. Które z poniższych jest najczęściej używane w implementacji macierzy kontroli dostępu?
a. Uznaniowa kontrola dostępu
b. Obowiązkowa kontrola dostępu
c. Lista kontroli dostępu
d. Logiczna kontrola dostępu
254. c. Lista kontroli dostępu (ACL) jest najbardziej użytecznym i elastycznym typem implementacji macierzy kontroli dostępu. Lista ACL pozwala dowolnemu użytkownikowi na dostęp lub zabronienie dostępu do dowolnego obiektu. Kolumny ACL pokazują listę użytkowników dołączonych do chronionych obiektów. Z każdym obiektem można bezpośrednio powiązać prawa dostępu dla osób i zasobów. Pozostałe trzy opcje wymagają rozległej pracy administracyjnej i są przydatne, ale nie tak elastyczne.
255. Co to jest Kerberos?
a. System ochrony zorientowany na dostęp
b. System ochrony zorientowany na bilet
c. System ochrony zorientowany na listę
d. System ochrony zorientowany na zamek i klucz
255. b. Kerberos został opracowany, aby umożliwić aplikacjom sieciowym bezpieczną identyfikację swoich partnerów. Wykorzystuje bilet, który identyfikuje klienta, oraz element uwierzytelniający, który służy do potwierdzania użycia tego biletu i uniemożliwia intruzowi ponowne odtworzenie tego samego biletu na serwer w przyszłej sesji. Bilet jest ważny tylko na określony przedział czasowy. Po zakończeniu interwału bilet wygasa, a wszelkie późniejsze wymiany uwierzytelniania wymagają nowego biletu. System ochrony zorientowany na dostęp może opierać się na sprzęcie lub oprogramowaniu lub ich kombinacji, aby zapobiegać i wykrywać nieautoryzowany dostęp oraz zezwalać na autoryzowany dostęp. W systemach ochrony zorientowanych listowo każdy chroniony obiekt ma listę wszystkich podmiotów upoważnionych do dostępu do niego. System ochrony zorientowany na zamek i klucz polega na dopasowaniu klucza lub hasła do określonego wymogu dostępu. Pozostałe trzy opcje nie zapewniają silnej ochrony uwierzytelniania, tak jak Kerberos.
256. W przypadku funkcji wykrywania włamań i zapobiegania włamaniom przy użyciu wykrywania opartego na anomaliach administratorzy powinni sprawdzić, które z poniższych elementów wymagają dostosowania w celu skompensowania zmian w systemie i zmian zagrożeń?
a. Białe listy
b. Progi
c. Przeglądanie kodu programu
d. Czarne listy
256. b. Administratorzy powinni sprawdzić progi systemu wykrywania włamań i zapobiegania im (IDPS) oraz ustawienia alertów, aby określić czy wymagają okresowej korekty, aby skompensować zmiany w otoczeniu systemowym i zmiany zagrożeń. Pozostałe trzy opcje są nieprawidłowe, ponieważ wykrywanie na podstawie anomalii nie korzysta z białych list, czarnych list i przeglądania kodu programu.
257. Systemy wykrywania włamań nie mogą wykonywać następujących czynności?
a. Zgłoś zmiany w plikach danych
b. Śledź aktywność użytkownika
c. Zrekompensuj słabe uwierzytelnianie
d. Interpretuj logi systemowe
257. c. System wykrywania włamań (IDS) nie może działać jak "srebrna kula", kompensująca słabe mechanizmy identyfikacji i uwierzytelniania, słabości protokołów sieciowych lub brak polityki bezpieczeństwa. IDS może wykonać pozostałe trzy opcje, takie jak rozpoznawanie i raportowanie zmian w plikach danych, śledzenie aktywności użytkownika od punktu wejścia do punktu wyjścia lub uderzenia oraz interpretowanie masy informacji zawartych w dziennikach systemu operacyjnego i dziennikach ścieżek audytu.
258. Które z poniższych mogą wykonywać systemy wykrywania włamań?
a. Analizuj cały ruch w ruchliwej sieci
b. Rozwiązuj problemy związane z atakami na poziomie pakietów
c. Rozpoznaj znany typ ataku
d. Radzenie sobie z szybkimi sieciami w trybie transmisji asynchronicznej
258. c. Systemy wykrywania włamań (IDS) potrafią rozpoznać, kiedy na system został popełniony znany typ ataku. Jednak IDS nie może wykonać następujących czynności: (i) analizować cały ruch w zajętej sieci, (ii) kompensować otrzymanie błędnych informacji ze źródeł systemowych, (iii) zawsze radzić sobie z problemami związanymi z atakami na poziomie pakietów (np. intruz używający sfabrykowane pakiety, które wymykają się wykryciu w celu uruchomienia ataku lub wielu pakietów, aby zablokować sam system IDS) oraz (iv) radzą sobie z szybkimi sieciami w trybie asynchronicznego transferu, które wykorzystują fragmentację pakietów w celu optymalizacji przepustowości.
259. Jaka jest najbardziej ryzykowna część pierwotnego charakteru kontroli dostępu?
a. Skonfigurowany lub źle skonfigurowany
b. Włączone lub wyłączone
c. Uprzywilejowany lub nieuprzywilejowany
d. Zaszyfrowane lub odszyfrowane
259. b. Oprogramowanie kontroli dostępu można włączyć lub wyłączyć, co oznacza, że funkcja bezpieczeństwa może być włączona lub wyłączona. Po wyłączeniu funkcja rejestrowania nie działa. Pozostałe trzy opcje są nieco ryzykowne, ale nie tak bardzo, jak włączone lub wyłączone.
260. Wykrywanie włamań odnosi się do procesu identyfikacji prób penetracji systemu komputerowego i uzyskania nieautoryzowanego dostępu. Która z poniższych opcji pomaga w wykrywaniu włamań?
a. Zapisy audytu
b. Listy kontroli dostępu
c. Świadectwa bezpieczeństwa
d. Uwierzytelnianie oparte na hoście
260. a. Jeśli zapisy audytu pokazujące ślady zostały zaprojektowane i wdrożone w celu rejestrowania odpowiednich informacji, mogą one pomóc w wykrywaniu włamań. Zazwyczaj rekordy audytu zawierają istotne dane (np. datę, godzinę, stan akcji, identyfikatory użytkowników i identyfikatory zdarzeń), które mogą pomóc w wykrywaniu włamań. Listy kontroli dostępu odnoszą się do rejestru użytkowników, którym nadano uprawnienia do korzystania z określonego zasobu systemowego oraz rodzajów dostępu, do których zostali uprawnieni. Poświadczenia bezpieczeństwa są powiązane z podmiotem (np. osobą i programem) w celu uzyskania dostępu do obiektu (np. plików, bibliotek, katalogów i urządzeń). Uwierzytelnianie oparte na hoście zapewnia dostęp na podstawie tożsamości hosta, z którego pochodzi żądanie, a nie tożsamości użytkownika zgłaszającego żądanie. Pozostałe trzy opcje nie mają możliwości rejestrowania aktywności dostępu i dlatego nie mogą pomóc w wykrywaniu włamań.
<
261. Która z poniższych jest techniką stosowaną do wykrywania anomalii w systemach wykrywania włamań, w których zachowania użytkownika i systemu są wyrażane w postaci liczebności?
a. Statystyki parametryczne
b. Środki wykrywania progu
c. Środki oparte na regułach
d. Statystyki nieparametryczne
261. b. Detektory anomalii identyfikują nienormalne, nietypowe zachowanie (anomalie) na hoście lub sieci. W miarach wykrywania progów, niektóre atrybuty zachowania użytkownika i systemu są wyrażone w postaci liczebności, przy czym pewien poziom jest dopuszczalny. Takie atrybuty zachowania mogą obejmować liczbę plików, do których użytkownik uzyskuje dostęp w danym okresie. Miary statystyczne obejmują parametryczne i nieparametryczne. W miarach parametrycznych zakłada się, że rozkład profilowanych atrybutów pasuje do określonego wzorca. W miarach nieparametrycznych rozkład profilowanych atrybutów jest "uczony" ze zbioru wartości danych historycznych, obserwowanych w czasie. Miary oparte na regułach są podobne do nieparametrycznych miar statystycznych, ponieważ zaobserwowane dane definiują dopuszczalne wzorce użytkowania, ale różnią się tym, że wzorce te są określone jako reguły, a nie ilości liczbowe.
262. Które z poniższych najlepiej zastąpi używanie osobistych numerów identyfikacyjnych (PIN) w świecie bankomatów ?
a. Technologia wykrywania tęczówki
b. Technologia głosowa
c. Technologia ręczna
d. Technologia odcisków palców
262. a. Klient bankomatu może stanąć w odległości trzech stóp od kamery, która automatycznie lokalizuje i skanuje tęczówkę oka. Zeskanowany kod kreskowy jest następnie porównywany z kodem zapisanym wcześniej w pliku banku. Technologia Irisdetection jest znacznie lepsza pod względem dokładności w porównaniu z dokładnością systemów identyfikacji głosu, twarzy, dłoni i odcisków palców. Technologia Iris nie wymaga kodu PIN.
263. Które z poniższych stwierdzeń dotyczy biometrii?
a. Najtańszy i najmniej bezpieczny
b. Najdroższy i najmniej bezpieczny
c. Najdroższy i najbezpieczniejszy
d. Najtańszy i najbezpieczniejszy
263. c. Biometria wydaje się być najdroższa i najbezpieczniejsza. Ogólnie rzecz biorąc, hasła są najtańszą techniką uwierzytelniania i ogólnie najmniej bezpieczną. Tokeny pamięci są tańsze niż tokeny inteligentne, ale mają mniejszą funkcjonalność. Inteligentne tokeny z interfejsem człowieka nie wymagają sprzętu do czytania, ale są wygodniejsze w użyciu.
264. Które z poniższych jest preferowane w środowiskach o wysokim ryzyku fałszowania tożsamości?
a. Podpis cyfrowy
b. Hasła jednorazowe
c. Certyfikat cyfrowy
d. Wzajemne uwierzytelnianie
264. d. Jeśli do uwierzytelnienia inicjatora (zazwyczaj wojownika drogowego) względem respondenta (zazwyczaj bramy IPsec) używana jest metoda jednokierunkowa, do uwierzytelnienia osoby odpowiadającej względem inicjatora używany jest podpis cyfrowy. Uwierzytelnianie jednokierunkowe, takie jak hasła jednorazowe lub certyfikaty cyfrowe na tokenach, dobrze nadaje się do użytku w ruchu drogowym, podczas gdy uwierzytelnianie wzajemne jest preferowane w środowiskach o wysokim ryzyku fałszowania tożsamości, takich jak sieci bezprzewodowe.
265. Które z poniższych nie zastępuje wylogowania się z systemu informacyjnego?
a. Powiadomienie o poprzednim logowaniu
b. Jednoczesna kontrola sesji
c. Blokada sesji
d. Zakończenie sesji
265.c. Zarówno użytkownicy, jak i system mogą inicjować mechanizmy blokowania sesji. Jednak blokada sesji nie zastępuje wylogowania się z systemu informatycznego, ponieważ odbywa się na koniec dnia pracy. Powiadomienie o poprzednim logowaniu pojawia się w momencie logowania. Kontrola sesji współbieżnych dotyczy zarówno zezwalania, jak i blokowania wielu sesji w tym samym czasie. Zakończenie sesji może nastąpić w przypadku zerwania łącza telekomunikacyjnego lub innych problemów z działaniem sieci.
266. Które z poniższych narusza prywatność użytkownika?
a. Oprogramowanie bezpłatne
b. Oprogramowanie układowe
c. Programy szpiegujące
d. Sprzęt do kaleki
266. c. Oprogramowanie szpiegujące to złośliwe oprogramowanie (tj. złośliwe oprogramowanie), które ma na celu naruszenie prywatności użytkownika, ponieważ atakuje wiele systemów komputerowych w celu monitorowania działań osobistych i przeprowadzania oszustw finansowych. Freeware jest niepoprawne, ponieważ jest to oprogramowanie udostępniane publicznie bez żadnych kosztów, ale autor zachowuje prawa autorskie i może nakładać ograniczenia na sposób korzystania z programu. Niektóre freeware mogą być nieszkodliwe, podczas gdy inne są szkodliwe. Nie każde darmowe oprogramowanie narusza prywatność użytkownika. Firmware jest niepoprawny, ponieważ jest to oprogramowanie na stałe zapisane w urządzeniu sprzętowym, które umożliwia odczyt, ale nie zapis lub modyfikację. Najpopularniejszym urządzeniem dla oprogramowania układowego jest pamięć tylko do odczytu (ROM). Crippleware jest nieprawidłowe, ponieważ umożliwia próbne (ograniczone) wersje produktów dostawców, które działają tylko przez ograniczony czas. Crippleware nie narusza prywatności użytkownika.
267. Sieciowe systemy zapobiegania włamaniom (IPS) są zazwyczaj rozmieszczone:
a. Inine
b. Otline
c. Online
d. Offline
267. a. Oparty na sieci IPS wykonuje sniffing pakietów i analizuje ruch sieciowy, aby zidentyfikować i zatrzymać podejrzaną aktywność. Zazwyczaj są one wdrażane w trybie inline, co oznacza, że oprogramowanie działa jak zapora sieciowa. Odbiera pakiety, analizuje je i decyduje, czy powinny być dozwolone, i przepuszcza akceptowalne pakiety. Wykrywają niektóre ataki na sieci, zanim dotrą do zamierzonych celów. Pozostałe trzy opcje nie mają tutaj znaczenia.
268. Złodzieje tożsamości mogą uzyskać dane osobowe, przez które następujące środki?
1. Nurkowanie w śmietniku
2. Skimming
3. Phishing
4. Preteksty
a. Tylko 1
b. Tylko 3
c. 1 i 3
d. 1, 2, 3 i 4
268. d. Złodzieje tożsamości zdobywają dane osobowe, kradnąc zapisy lub informacje podczas pracy, przekupując pracownika, który ma dostęp do tych zapisów, hakując zapisy elektroniczne i wyszukując informacje od pracowników. Źródła danych osobowych obejmują: nurkowanie w śmietniku, które obejmuje grzebanie w osobistych śmieciach, śmieciach firmowych lub publicznych wysypiskach śmieci. Skimming obejmuje kradzież numerów kart kredytowych lub debetowych poprzez przechwytywanie informacji w urządzeniu do przechowywania danych. Phishing i preteksty polegają na kradzieży informacji za pośrednictwem poczty e-mail lub telefonu, podszywając się pod legalne firmy i twierdząc, że masz problem ze swoim kontem. Praktyka ta nazywana jest odpowiednio phishingiem online lub pretekstem (inżynieria społeczna) przez telefon.
269. Który z poniższych typów uwierzytelniania aplikacji jest ryzykowny?
a. Uwierzytelnianie zewnętrzne
b. Uwierzytelnianie zastrzeżone
c. Uwierzytelnianie przekazywane
d. Uwierzytelnianie hosta/użytkownika
269. c. Uwierzytelnianie przekazywane odnosi się do przekazywania poświadczeń systemu operacyjnego (np. nazwy użytkownika i hasła) w postaci niezaszyfrowanej z systemu operacyjnego do systemu aplikacji. Jest to ryzykowne ze względu na niezaszyfrowane dane uwierzytelniające. Pamiętaj, że uwierzytelnianie przekazujące może być szyfrowane lub nieszyfrowane. Uwierzytelnianie zewnętrzne jest nieprawidłowe, ponieważ korzysta z serwera katalogowego, co nie jest ryzykowne. Uwierzytelnianie zastrzeżone jest nieprawidłowe, ponieważ nazwa użytkownika i hasło są częścią aplikacji, a nie systemu operacyjnego. To jest mniej ryzykowne. Uwierzytelnianie hosta/użytkownika jest nieprawidłowe, ponieważ jest przeprowadzane w kontrolowanym środowisku (np. zarządzane stacje robocze i serwery w organizacji). Niektóre aplikacje mogą polegać na wcześniejszym uwierzytelnieniu wykonywanym przez system operacyjny. To jest mniej ryzykowne.
270. Na których z poniższych opierają się ataki wnioskowania?
a. Sprzęt i oprogramowanie
b. Oprogramowanie układowe i bezpłatne
c. Dane i informacje
d. Oprogramowanie pośredniczące i materiały szkoleniowe
270. c. Atak wnioskowania polega na tym, że użytkownik lub intruz może wywnioskować informacje, do których nie miał uprawnień, z informacji, do których ma uprawnienia.
271. Ataki pozapasmowe na protokoły uwierzytelniania elektronicznego to które z poniższych?
1. Atak polegający na zgadywaniu hasła
2. Powtórz atak
3. Atak podszywania się pod weryfikatora
4. Atak typu Man-in-the-middle
a. Tylko 1
b. Tylko 3
c. 1 i 2
d. 3 i 4
271. d. W ataku poza pasmem atak jest skierowany przeciwko protokołowi uwierzytelniania, w którym atakujący przyjmuje rolę subskrybenta z prawdziwym weryfikatorem lub stroną ufającą. Atakujący uzyskuje tajne i wrażliwe informacje, takie jak hasła i numery kont oraz kwoty, gdy subskrybent ręcznie wprowadzi je do urządzenia hasła jednorazowego lub kodu potwierdzającego wysłanego do weryfikatora lub strony ufającej. W ataku poza pasmem osoba atakująca zmienia kanał protokołu uwierzytelniania poprzez przejmowanie sesji, podszywanie się pod weryfikatora lub ataki typu man-in-the-middle (MitM). W ataku polegającym na podszywaniu się pod weryfikatora osoba atakująca podszywa się pod weryfikatora i nakłania stronę wnoszącą roszczenie do ujawnienia swojego tajnego tokena. Atak MitM to atak na protokół uwierzytelniania, w którym atakujący ustawia się pomiędzy stroną roszczącą a weryfikatorem, aby móc przechwycić i zmienić dane przesyłane między nimi. W ataku polegającym na odgadywaniu hasła oszust próbuje odgadnąć hasło w wielokrotnych próbach logowania i odnosi sukces, gdy może zalogować się do systemu. W ataku z powtórzeniem atakujący rejestruje i odtwarza część poprzedniego dobrego protokołu do weryfikatora. Zarówno zgadywanie hasła, jak i ataki z powtarzaniem są przykładami ataków wewnątrzpasmowych. W ataku wewnątrzpasmowym atak jest skierowany przeciwko protokołowi uwierzytelniania, w którym osoba atakująca przyjmuje rolę strony roszczącej z prawdziwym weryfikatorem lub aktywnie zmienia kanał uwierzytelniania. Celem ataku jest uzyskanie uwierzytelnionego dostępu lub poznanie tajemnic uwierzytelniania.
272. Która z poniższych rodzin kontroli bezpieczeństwa informacji wymaga podejścia przekrojowego?
a. Kontrola dostępu
b. Audyt i odpowiedzialność
c. Świadomość i szkolenie
d. Zarządzanie konfiguracją
272.a. Kontrola dostępu wymaga podejścia przekrojowego, ponieważ jest związana z kontrolą dostępu, reagowaniem na incydenty, audytem i odpowiedzialnością oraz rodzinami (obszarami) kontroli zarządzania konfiguracją. Przekrojowe oznacza, że kontrola w jednym obszarze wpływa na kontrole w innych powiązanych obszarach. Pozostałe trzy opcje wymagają podejścia specyficznego dla kontroli.
273. Kontrole poufności obejmują które z poniższych?
a. Kryptografia
b. Hasła
c. Tokeny
d. Biometria
273. a. Kryptografia, która jest częścią kontroli technicznej, zapewnia cel poufności. Pozostałe trzy opcje są częścią kontroli identyfikacji i uwierzytelniania użytkownika, które są również częścią kontroli technicznej.
274. Które z poniższych nie jest przykładem autoryzacji i kontroli dostępu?
a. Logiczna kontrola dostępu
b. Kontrola dostępu oparta na rolach
c. Rekonstrukcja transakcji
d. Uprawnienia systemowe
274. c. Rekonstrukcja transakcji jest częścią mechanizmów ścieżki audytu. Pozostałe trzy opcje są częścią autoryzacji i kontroli dostępu.
275. Które z poniższych nie jest przykładem polityki kontroli dostępu?
a. Polityka oparta na wydajności
b. Polityka oparta na tożsamości
c. Polityka oparta na rolach
d. Polityka oparta na regułach
275.a. Polityka oparta na wydajności służy do oceny wydajności pracownika co roku lub w innym czasie. Pozostałe trzy opcje są przykładami polityki kontroli dostępu, w której kontrolują dostęp między użytkownikami i obiektami w systemie informacyjnym.
276. Z punktu widzenia bezpieczeństwa i ochrony, które z poniższych nie wspiera statycznego rozdzielenia obowiązków?
a. Wzajemnie wykluczające się role
b. Zmniejszone szanse na zmowę
c. Konflikt interesów w zadaniach
d. Niejawne ograniczenia
276. d. Trudno jest spełnić wymagania dotyczące bezpieczeństwa przy elastycznych politykach kontroli dostępu wyrażonych w niejawnych ograniczeniach, takich jak kontrola dostępu oparta na rolach (RBAC) i kontrola dostępu oparta na regułach (RuBAC). Ograniczenia statycznego rozdziału obowiązków wymagają, aby dwie role poszczególnych osób wzajemnie się wykluczały, ograniczenia muszą zmniejszać prawdopodobieństwo zmowy, a ograniczenia muszą minimalizować konflikt interesów w przydzielaniu zadań pracownikom.
277. Które z poniższych są kompatybilne w parze w wykonywaniu podobnych funkcji w bezpieczeństwie informacji?
a. Jednokrotne logowanie i RSO
b. DES i DNS
c. ARP i PPP
d. SLIP i SKIP
277. a. Technologia pojedynczego logowania (SSO) umożliwia użytkownikowi jednorazowe uwierzytelnienie, a następnie uzyskanie dostępu do wszystkich zasobów, do których używania użytkownik jest upoważniony. Technologia zredukowanego logowania (RSO) umożliwia użytkownikowi jednorazowe uwierzytelnienie, a następnie uzyskanie dostępu do wielu, ale nie wszystkich zasobów, do których używania użytkownik jest upoważniony. Stąd SSO i RSO pełnią podobne funkcje. Pozostałe trzy opcje nie spełniają podobnych funkcji. Standard szyfrowania danych (DES) to algorytm szyfrowania szyfrowania symetrycznego. System nazw domen (DNS) zapewnia usługę tłumaczenia internetowego, która tłumaczy nazwy domen na adresy protokołu internetowego (IP) i odwrotnie. Protokół rozpoznawania adresów (ARP) jest używany do uzyskania fizycznego adresu węzła. Protokół punkt-punkt (PPP) to protokół ramkowania łącza danych używany do ramkowania pakietów danych na liniach typu punkt-punkt. Protokół internetowy (SLIP) łącza szeregowego przenosi protokół internetowy (IP) przez asynchroniczną linię komunikacji szeregowej. PPP zastąpił SLIP. Proste zarządzanie kluczami dla protokołu internetowego (SKIP) jest zaprojektowane do pracy z IPsec i działa w warstwie sieciowej protokołu TCP/IP i działa bardzo dobrze z bezsesyjnymi protokołami datagramowymi.
278. Czym identyfikacja różni się od uwierzytelniania?
a. Identyfikacja następuje po uwierzytelnieniu.
b. Identyfikacja wymaga hasła, a uwierzytelnianie wymaga identyfikatora użytkownika.
c. Identyfikacja i uwierzytelnianie są takie same.
d. Identyfikacja następuje przed uwierzytelnieniem.
278. d. Identyfikacja to proces używany do rozpoznawania jednostki, takiej jak użytkownik, program, proces lub urządzenie. Jest wykonywany jako pierwszy, a następnie wykonywany jest uwierzytelnianie. Identyfikacja i uwierzytelnianie to nie to samo. Identyfikacja wymaga identyfikatora użytkownika, a uwierzytelnianie wymaga hasła.
279. Odpowiedzialność nie jest związana z którym z poniższych celów bezpieczeństwa informacji?
a. Identyfikacja
b. Dostępność
c. Uwierzytelnianie
d. Audyt
279. b. Odpowiedzialność jest zazwyczaj osiągana poprzez identyfikację i uwierzytelnianie użytkowników systemu, a następnie śledzenie ich działań poprzez ścieżki audytu (tj. audyt).
280. Które z poniższych stwierdzeń dotyczących obowiązkowej kontroli dostępu jest prawdziwe?
a. Nie używa poziomów czułości.
b. Używa tagów.
c. Nie używa etykiet zabezpieczających.
d. Zmniejsza wydajność systemu.
280. d. Obowiązkowa kontrola dostępu jest kosztowna i powoduje obciążenie systemu, powodując zmniejszenie wydajności systemu bazy danych. Obowiązkowa kontrola dostępu wykorzystuje poziomy czułości i etykiety bezpieczeństwa. Uznaniowe kontrole dostępu wykorzystują tagi.
281. O jakiej kontroli mówi się, gdy audytor przegląda kontrole dostępu i dzienniki?
a. Kontrola dyrektywy
b. Kontrola prewencyjna
c. Kontrola korekcyjna
d. Kontrola detektywistyczna
281. d. Celem audytorów przeglądających kontrole dostępu i dzienniki jest ustalenie, czy pracownicy przestrzegają zasad bezpieczeństwa i reguł dostępu oraz wykrycie wszelkich naruszeń i anomalii. Raport z audytu pomaga kierownictwu w poprawie kontroli dostępu.
282. Logiczne kontrole dostępu są technicznym środkiem wdrażania decyzji dotyczących polityki bezpieczeństwa. Wymaga wyważenia często rywalizujących interesów. Który z poniższych kompromisów powinien cieszyć się największym zainteresowaniem?
a. Przyjazność dla użytkownika
b. Zasady bezpieczeństwa
c. Wymagania operacyjne
d. Ograniczenia techniczne
282.a. Urzędnik zarządzający odpowiedzialny za konkretny system aplikacji, podsystem lub grupę systemów opracowuje politykę bezpieczeństwa. Opracowanie polityki kontroli dostępu może nie być łatwym przedsięwzięciem. Największym zainteresowaniem powinna cieszyć się przyjazność dla użytkownika, ponieważ system jest przeznaczony dla użytkowników, a o użytkowaniu systemu decyduje jego przyjazność dla użytkownika. Pozostałe trzy opcje mają sprzeczny interes w polityce bezpieczeństwa, ale nie są tak ważne jak kwestia przyjazności dla użytkownika. Przykładem zasady bezpieczeństwa jest "najmniejszy przywilej".
283. Który z poniższych rodzajów haseł przynosi efekt przeciwny do zamierzonego?
a. Hasła generowane przez system
b. Zaszyfrowane hasła
c. Hasła jednorazowe
d. Hasła czasowe
283. a. Program generujący hasła może tworzyć hasła w sposób losowy, zamiast polegać na hasłach wybranych przez użytkownika. Hasła generowane przez system są zwykle trudne do zapamiętania, zmuszając użytkowników do ich zapisania. To niweczy cały cel silniejszych haseł. Zaszyfrowane hasła chronią przed nieautoryzowanym przeglądaniem lub używaniem. Zaszyfrowany plik haseł jest przechowywany w bezpiecznym miejscu z uprawnieniami dostępu nadanymi administratorowi bezpieczeństwa w celu konserwacji lub samemu systemowi haseł. Takie podejście jest produktywne, jeśli chodzi o bezpieczeństwo i tajność haseł. hasła wielokrotnego użytku są używane tylko raz. Szereg haseł jest generowany przez bezpieczny algorytm kryptograficzny i przekazywany użytkownikowi do użycia w momencie logowania. Każde hasło wygasa po pierwszym użyciu i nie jest nigdzie powtarzane ani przechowywane. Takie podejście jest produktywne, jeśli chodzi o bezpieczeństwo i tajność haseł. W hasłach czasowych hasło zmienia się mniej więcej co minutę. Karta inteligentna wyświetla pewne liczby, które są funkcją aktualnego czasu i tajnego klucza użytkownika. Aby uzyskać dostęp, użytkownik musi wprowadzić numer na podstawie własnego klucza i aktualnej godziny. Każde hasło jest niepowtarzalne i dlatego nie trzeba go zapisywać ani odgadywać. Takie podejście jest produktywne i skuteczne w utrzymaniu bezpieczeństwa i tajności haseł.
284. Która z poniższych kwestii jest ściśle związana z logiką kontroli dostępu?
a. Problemy pracownicze
b. Problemy sprzętowe
c. Problemy z oprogramowaniem systemów operacyjnych
d. Problemy z oprogramowaniem aplikacji
284. a. Największa ekspozycja na ryzyko pozostaje po stronie pracowników. Środki bezpieczeństwa personelu mają na celu zatrudnianie uczciwych, kompetentnych i zdolnych pracowników. Wymagania dotyczące zadań muszą być zaprogramowane w oprogramowaniu do kontroli dostępu logicznego. Polityka jest również ściśle powiązana z kwestiami personalnymi. Efekt odstraszający pojawia się wśród pracowników, gdy mają świadomość, że ich niewłaściwe zachowanie (zamierzone lub niezamierzone) może zostać wykryte. Istotny jest również wybór odpowiedniego typu i poziomu dostępu dla pracowników, informowanie, którzy pracownicy potrzebują kont dostępu oraz jakiego typu i poziomu dostępu potrzebują, a także informowanie o zmianach wymagań dostępu. Konta i dostępy nie powinny być przyznawane ani utrzymywane pracownikom, którzy nie powinni ich mieć w pierwszej kolejności. Pozostałe trzy opcje są daleko związane z logiką kontroli dostępu w porównaniu z kwestiami pracowniczymi.
285. Która z poniższych metod hasła jest oparta na faktach lub opiniach?
a. Hasła statyczne
b. Hasła dynamiczne
c. Hasła kognitywne
d. Konwencjonalne hasła
285. c. Hasła poznawcze wykorzystują oparte na faktach i opiniach dane poznawcze jako podstawę do uwierzytelniania użytkowników. Wykorzystuje interaktywne procedury oprogramowania, które mogą obsługiwać początkowe rejestracje użytkowników i późniejszą wymianę odpowiedzi na cue w celu uzyskania dostępu do systemu. Hasła kognitywne są oparte na doświadczeniach i wydarzeniach życiowych danej osoby, o których wie tylko ta osoba lub jej rodzina. Przykłady obejmują imiona, kolory, kwiaty, potrawy i miejsca ulubionych nauczycieli szkół średnich. Procedury dotyczące haseł kognitywnych nie zależą od "pamięci ludzi", często kojarzonej z konwencjonalnym dylematem hasła. Jednak wdrożenie mechanizmu haseł kognitywnych może kosztować pieniądze i zająć więcej czasu na uwierzytelnienie użytkownika. Hasła kognitywne są łatwiejsze do zapamiętania i trudne do odgadnięcia przez innych. Tradycyjne (statyczne) hasła są trudne do zapamiętania, niezależnie od tego, czy zostały utworzone przez użytkownika, czy wygenerowane przez system, i są łatwe do odgadnięcia przez innych. Hasła dynamiczne zmieniają się za każdym razem, gdy użytkownik loguje się do komputera. Nawet w środowisku dynamicznych haseł użytkownik musi zapamiętać początkowy kod, aby komputer mógł go rozpoznać. Hasła konwencjonalne są wielokrotnego użytku, natomiast dynamiczne nie. Konwencjonalne hasła opierają się na pamięci.
286. Który z kodów zabezpieczających jest najdłuższy, co utrudnia odgadnięcie?
a. Hasła
b. Hasła
c. Blokady
d. Kody dostępu
286. a. Hasła mają tę zaletę, że mają długość (np. do 80 znaków), co czyni je trudnymi do odgadnięcia i uciążliwymi do odkrycia przez wyczerpujący atak metodą prób i błędów na system. Liczba znaków używanych w pozostałych trzech opcjach jest mniejsza (np. od czterech do ośmiu znaków) niż w przypadku haseł. Wszystkie cztery kody bezpieczeństwa to mechanizmy identyfikacji użytkownika. Hasła są jednoznacznie skojarzone z jednym użytkownikiem. Hasła zabezpieczające to generowane przez system hasła terminalowe udostępniane użytkownikom. Hasła są kombinacją hasła i dowodu osobistego.
287. Które z poniższych metod wykrywania anomalii stosowane w systemach wykrywania włamań (IDS) wymagają?
a. Zestawy narzędzi
b. Zestawy umiejętności
c. Zestawy treningowe
d. Zbiory danych
287. c. Metody wykrywania anomalii często wymagają obszernych zestawów szkoleniowych zapisów zdarzeń systemowych w celu scharakteryzowania normalnych wzorców zachowań. Zestawy umiejętności są również ważne dla analityka bezpieczeństwa IT. Zestawy narzędzi i zestawy danych nie mają tutaj znaczenia, ponieważ zestawy narzędzi mogą zawierać oprogramowanie lub sprzęt, a zestawy danych mogą zawierać pliki danych i bazy danych.
288. Jak nazywa się oznaczenie przypisane do zasobu obliczeniowego?
a. Znacznik bezpieczeństwa
b. Etykieta bezpieczeństwa
c. Poziom bezpieczeństwa
d. Atrybut bezpieczeństwa
288. b. Etykieta bezpieczeństwa to oznaczenie powiązane z zasobem (którym może być jednostka danych), które określa lub określa atrybuty bezpieczeństwa tego zasobu. Znacznik zabezpieczający to jednostka informacyjna zawierająca reprezentację pewnych informacji związanych z bezpieczeństwem (np. restrykcyjna mapa bitowa atrybutów). Poziom bezpieczeństwa to hierarchiczny wskaźnik stopnia wrażliwości na określone zagrożenie. Oznacza to, zgodnie z narzucaną polityką bezpieczeństwa, określony poziom ochrony. Atrybut bezpieczeństwa to cecha obiektu związana z bezpieczeństwem. Atrybuty bezpieczeństwa mogą być reprezentowane jako poziomy hierarchiczne, bity w mapie bitowej lub liczby. Przedziały, zastrzeżenia i oznaczenia wydania to przykłady atrybutów bezpieczeństwa.
289. Które z poniższych jest najbardziej ryzykowne?
a. Stały dostęp
b. Dostęp dla gościa
c. Dostęp tymczasowy
d. Dostęp wykonawcy
289. c. Największy problem z tymczasowym dostępem jest taki, że raz dostęp tymczasowy jest przyznawany pracownikowi, nie jest przywracany do poprzedniego stanu po zakończeniu projektu. Może to być spowodowane zapominaniem po obu stronach pracownika i pracodawcy lub brakiem formalnego systemu zgłaszania zmian. Może istnieć formalny system powiadamiania o zmianach dla stałego dostępu, a dostęp gościa lub wykonawcy jest usuwany po zakończeniu projektu.
290. Które z poniższych dotyczy kontroli dostępu według grup?
a. Uznaniowa kontrola dostępu
b. Obowiązkowa kontrola dostępu
c. Lista kontroli dostępu
d. Logiczna kontrola dostępu
290. a. Uznaniowe kontrole dostępu dotyczą koncepcji celów kontroli lub kontroli poszczególnych aspektów procesów lub zasobów przedsiębiorstwa. Opierają się na tożsamości użytkowników i obiektów, do których chcą uzyskać dostęp. Uznaniowe kontrole dostępu są wdrażane przez jednego użytkownika lub administratora sieci/systemu w celu określenia, jakie poziomy dostępu mogą mieć inni użytkownicy. Obowiązkowe kontrole dostępu są wdrażane w oparciu o poświadczenie bezpieczeństwa lub poziom zaufania użytkownika oraz szczególne oznaczenie wrażliwości każdego pliku. Właściciel pliku lub obiektu nie może decydować, kto może uzyskać do niego dostęp. Lista kontroli dostępu jest oparta na tym, który użytkownik może uzyskać dostęp do jakich obiektów. Logiczna kontrola dostępu opiera się na podanym przez użytkownika numerze identyfikacyjnym lub kodzie i haśle. Uznaniowa kontrola dostępu odbywa się na podstawie powiązania grupy, podczas gdy obowiązkowa kontrola dostępu odbywa się na podstawie poziomu czułości.
291. Które z poniższych zapewnia wyższy poziom szczegółowości (tj. bardziej restrykcyjne bezpieczeństwo) w procesie kontroli dostępu?
a. Obowiązkowa kontrola dostępu
b. Uznaniowa kontrola dostępu
c. Lista kontroli dostępu
d. Logiczna kontrola dostępu
291. b. Uznaniowa kontrola dostępu zapewnia wyższy poziom szczegółowości w procesie kontroli dostępu. Obowiązkowe mechanizmy kontroli dostępu mogą zapewnić dostęp do szerokich kategorii informacji, podczas gdy uznaniowe mechanizmy kontroli dostępu mogą być wykorzystywane do dostrajania tych szerokich mechanizmów kontrolnych, w razie potrzeby omijania obowiązkowych ograniczeń i uwzględniania szczególnych okoliczności.
292. W przypadku zarządzania tożsamością, który z poniższych elementów wspiera ustalenie autentycznej tożsamości?
1. Struktura uwierzytelniania X.509
2. PKI grupy zadaniowej ds. inżynierii internetowej
3. Bezpieczne inicjatywy DNS
4. Prosta infrastruktura klucza publicznego
a. Tylko 1
b. Tylko 2
c. Tylko 3
d. 1, 2, 3 i 4
292. d. Kilka infrastruktur jest poświęconych dostarczaniu tożsamości i sposobom ich uwierzytelniania. Przykłady infrastruktury obejmują strukturę uwierzytelniania X.509, PKI Internet Engineering Task Force (PKI IETF), inicjatywy systemu bezpiecznych nazw domen (DNS) oraz prostą infrastrukturę klucza publicznego (SPKI).
293. Która z poniższych metodologii lub technik zapewnia najskuteczniejszą strategię ograniczania dostępu do poszczególnych wrażliwych plików?
a. Lista kontroli dostępu oraz zarówno uznaniowa, jak i obowiązkowa kontrola dostępu
b. Obowiązkowa kontrola dostępu i lista kontroli dostępu
c. Uznaniowa kontrola dostępu i lista kontroli dostępu
d. Fizyczna kontrola dostępu do sprzętu i listy kontroli dostępu z uznaniową kontrolą dostępu
293. a. Najlepszą kontrolą ochrony poufnych plików jest stosowanie obowiązkowych kontroli dostępu uzupełnionych o uznaniowe mechanizmy kontroli dostępu i zaimplementowanych za pomocą listy kontroli dostępu. Uzupełniający obowiązkowy mechanizm kontroli dostępu może zapobiec atakowi konia trojańskiego, na który może zezwolić uznaniowa kontrola dostępu. Obowiązkowa kontrola dostępu uniemożliwia systemowi przekazywanie poufnych informacji każdemu użytkownikowi, który nie jest wyraźnie upoważniony do dostępu do zasobu.
294. Który z poniższych mechanizmów kontroli bezpieczeństwa jest najłatwiejszy do administrowania?
a. Uznaniowa kontrola dostępu
b. Obowiązkowa kontrola dostępu
c. Lista kontroli dostępu
d. Logiczna kontrola dostępu
294. b. Obowiązkowe kontrole dostępu są najprostsze w użyciu, ponieważ można ich użyć do przyznania szerokiego dostępu do dużych zestawów plików i szerokich kategorii informacji. Uznaniowe kontrole dostępu nie są łatwe w użyciu ze względu na ich drobniejszy poziom szczegółowości w procesie kontroli dostępu. Zarówno lista kontroli dostępu, jak i logiczna kontrola dostępu wymagają znacznego nakładu pracy administracyjnej, ponieważ opierają się na szczegółach poszczególnych użytkowników.
295. Które z poniższych wykorzystuje dane w wierszach do reprezentacji macierzy kontroli dostępu?
a. Możliwości i profile
b. Bity ochrony i lista kontroli dostępu
c. Profile i bity ochronne
d. Możliwości i lista kontroli dostępu
295. a. Funkcje i profile służą do reprezentowania danych macierzy kontroli dostępu według wierszy i łączenia dostępnych obiektów z użytkownikiem. Z drugiej strony, system ochrony oparty na bitach i lista kontroli dostępu przedstawia dane według kolumny, łącząc listę użytkowników z obiektem.
296. Dla którego z poniższych ważny jest proces identyfikacji użytkowników i obiektów?
a. Uznaniowa kontrola dostępu
b. Obowiązkowa kontrola dostępu
c. Kontrola dostępu
d. Kontrola bezpieczeństwa
296. a. Uznaniowa kontrola dostępu to sposób ograniczania dostępu do obiektów na podstawie tożsamości podmiotów i/lub grup, do których należą. W obowiązkowym mechanizmie kontroli dostępu właściciel pliku lub obiektu nie ma decyzji co do tego, kto może uzyskać do niego dostęp. Zarówno kontrola bezpieczeństwa, jak i kontrola dostępu są zbyt szerokie i niejasne, aby miały tutaj znaczenie.
297. Który z poniższych plików jest ukrytym plikiem?
a. Plik starzenia się hasła
b. Plik weryfikacji hasła
c. Plik ponownego użycia hasła
d. Plik z ukrytym hasłem
297. d. Plik ukrytych haseł to ukryty plik, który przechowuje hasła wszystkich użytkowników i może być odczytywany tylko przez użytkownika root. Plik sprawdzania poprawności hasła używa pliku cienia haseł przed zezwoleniem użytkownikowi na zalogowanie się. Plik przestarzałego hasła zawiera datę wygaśnięcia, a plik ponownego użycia hasła uniemożliwia użytkownikowi ponowne użycie poprzednio używanego hasła. Pliki wymienione w pozostałych trzech opcjach nie są ukryte.
298. Z punktu widzenia kontroli dostępu, które z poniższych są przykładami transakcji zadaniowych i rozdzielenia konfliktów interesów?
1. Kontrola dostępu oparta na rolach
2. Polityka przepływu pracy
3. Kontrola dostępu oparta na regułach
4. Polityka chińskiego muru
a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 3 i 4
298. c. Polityka przepływu pracy to proces, który działa na zasadach i procedurach. Przepływ pracy jest określony jako zestaw zadań i zestaw zależności między zadaniami, a kolejność tych zadań jest ważna (tj. Transakcje zadań). Różne zadania w przepływie pracy są zwykle wykonywane przez kilku użytkowników zgodnie z regułami organizacyjnymi reprezentowanymi przez politykę przepływu pracy. Polityka chińskiego muru dotyczy kwestii konfliktu interesów w celu zapobiegania nielegalnemu przepływowi informacji, który może skutkować konfliktem interesów. Polityka Muru Chińskiego jest prosta i łatwa do opisania, ale trudna do wdrożenia. Kontrola dostępu oparta na rolach i regułach może powodować konflikty interesów z powodu niezgodności ról pracowników z regułami zarządzania.
299. W przypadku zarządzania tożsamością, które z poniższych kryteriów kwalifikuje się jako uwierzytelnianie ciągłe?
a. Unikalny identyfikator
b. Podpisany certyfikat X.509
c. Hasło z listą kontroli dostępu
d. Szyfrowanie
299. d. Powszechnie stosowaną metodą zapewnienia ciągłej kontroli i uwierzytelniania dostępu do sesji komunikacyjnej jest stosowanie mechanizmów szyfrowania, aby zapobiec utracie kontroli nad sesją w wyniku kradzieży lub przejęcia sesji. Inne metody, takie jak podpisane certyfikaty x.509 i pliki haseł powiązane z listami kontroli dostępu (ACL), mogą wiązać jednostki z unikalnymi identyfikatorami. Chociaż te inne metody są dobre, nie zapobiegają utracie kontroli nad sesją.
300. Co to jest kontrola uniemożliwiająca nieautoryzowanemu użytkownikowi uruchomienie alternatywnego systemu operacyjnego?
a. Hasło w tle
b. Hasło do szyfrowania
c. Hasło uruchomieniowe
d. Hasło sieciowe
300. c. System komputerowy może być chroniony hasłem uruchomieniowym, które uniemożliwia nieautoryzowanemu użytkownikowi uruchomienie alternatywnego systemu operacyjnego. Pozostałe trzy wymienione rodzaje haseł nie mają charakteru prewencyjnego, podobnie jak hasło uruchomieniowe.
301. Na którym z poniższych opiera się koncepcja najmniejszego przywileju?
a. Ocena ryzyka
b. Egzekwowanie przepływu informacji
c. Egzekwowanie dostępu
d. Zarządzanie kontem
301. a. Organizacja praktykuje koncepcję najmniejszych uprawnień dla określonych obowiązków zawodowych i systemów informatycznych, w tym określonych obowiązków, portów sieciowych, protokołów i usług zgodnie z ocenami ryzyka. Praktyki te są niezbędne do odpowiedniego ograniczenia ryzyka dla działalności organizacji, aktywów i osób. Pozostałe trzy opcje to specyficzne elementy kontroli dostępu.
302. Która z poniższych jest podstawową techniką wykorzystywaną przez dostępne na rynku systemy wykrywania i zapobiegania włamaniom (IDPS) do analizowania zdarzeń w celu wykrywania ataków?
a. IDPS oparte na sygnaturach
b. IDPS na podstawie anomalii
c. IDPS oparte na zachowaniu
d. IDPS na podstawie statystyk
302. a. Istnieją dwa podstawowe podejścia do analizowania zdarzeń w celu wykrywania ataków: wykrywanie sygnatur i wykrywanie anomalii. Wykrywanie sygnatur jest podstawową techniką stosowaną w większości systemów komercyjnych; jednak wykrywanie anomalii jest przedmiotem wielu badań i jest wykorzystywane w ograniczonej formie przez wiele systemów wykrywania i zapobiegania włamaniom (IDPS). IDPS oparte na zachowaniu i statystyce jest częścią IDPS opartego na anomaliach.
303. W przypadku uwierzytelniania elektronicznego, który z poniższych przykładów jest przykładem ataku pasywnego?
a. Podsłuchiwanie
b. Człowiek w środku
c. Personifikacja
d. Przejęcie sesji
303. a. Atak pasywny to atak na protokół uwierzytelniania, w którym osoba atakująca przechwytuje dane przesyłane w sieci między stroną roszczącą a weryfikatorem, ale nie zmienia danych. Podsłuchiwanie jest przykładem ataku pasywnego. Atak typu man-in-the-middle (MitM) jest niepoprawny, ponieważ jest to aktywny atak na uruchomiony protokół uwierzytelniania, w którym atakujący ustawia się między stroną roszczącą a weryfikatorem, aby mógł przechwycić i zmienić dane przesyłane między nimi. Podszywanie się jest nieprawidłowe, ponieważ jest to próba uzyskania dostępu do systemu komputerowego przez udawanie autoryzowanego użytkownika. To to samo, co maskarada, podszywanie się i naśladowanie. Przechwytywanie sesji jest nieprawidłowe, ponieważ jest to atak, który ma miejsce podczas sesji uwierzytelniania w bazie danych lub systemie. Atakujący wyłącza komputer stacjonarny użytkownika, przechwytuje odpowiedzi aplikacji i odpowiada w sposób sondujący sesję. Man-in-themiddle, personifikacja i przejmowanie sesji to przykłady aktywnych ataków. Należy pamiętać, że ataki MitM mogą być pasywne lub aktywne w zależności od intencji napastnika, ponieważ istnieją łagodne lub silne ataki MitM.
304. Która z poniższych uzupełniających strategii łagodzenia zagrożeń tokenowych podnosi próg udanych ataków?
a. Fizyczne mechanizmy bezpieczeństwa
b. Wiele czynników bezpieczeństwa
c. Złożone hasła
d. Kontrola bezpieczeństwa systemu i sieci
304. b. Zagrożenia tokenami obejmują maskaradę, ataki offline i odgadywanie haseł. Wiele czynników podnosi próg udanych ataków. Jeśli atakujący musi ukraść token kryptograficzny i odgadnąć hasło, współczynnik pracy może być zbyt wysoki. Fizyczne mechanizmy bezpieczeństwa są nieprawidłowe, ponieważ mogą być wykorzystywane do ochrony skradzionego tokena przed duplikacją. Fizyczne mechanizmy bezpieczeństwa mogą dostarczać dowodów manipulacji, wykrywania i reagowania. Złożone hasła są nieprawidłowe, ponieważ mogą zmniejszać prawdopodobieństwo udanego ataku polegającego na zgadywaniu. Wymagając używania długich haseł, które nie występują w powszechnych słownikach, atakujący mogą być zmuszeni do wypróbowania każdego możliwego hasła. Kontrole bezpieczeństwa systemu i sieci są nieprawidłowe, ponieważ mogą być stosowane, aby uniemożliwić atakującemu uzyskanie dostępu do systemu lub zainstalowanie złośliwego oprogramowania (złośliwego oprogramowania).
305. Które z poniższych jest poprawnym opisem ról między urzędem rejestracji (RA) a dostawcą usług poświadczeń (CSP) zaangażowanym w sprawdzanie tożsamości?
a. RA może być częścią CSP.
b. RA może być odrębnym podmiotem.
c. RA może być relacją zaufaną.
d. RA może być niezależnym podmiotem.
305. c. RA może być częścią CSP lub może być oddzielną i niezależną jednostką; jednak zawsze istnieje zaufana relacja między RA a CSP. RA lub CSP muszą prowadzić rejestry rejestracji. RA i CSP mogą świadczyć usługi w imieniu organizacji lub mogą świadczyć usługi dla społeczeństwa.
306. Co to jest podszywanie się?
a. Aktywny atak
b. Atak pasywny
c. Atak nadzoru
d. Wyczerpujący atak
306. a. Podszywanie się to manipulacja i aktywny atak. Wąchanie jest czynnością inwigilacyjną i jest atakiem pasywnym. Wyczerpujący atak (tj. atak brute force) polega na odkryciu tajnych danych poprzez wypróbowanie wszystkich możliwości i sprawdzenie poprawności. W przypadku czterocyfrowego hasła możesz zacząć od 0000 i przejść do 0001 i 0002 do 9999.
307. Które z poniższych jest przykładem zagrożeń infrastrukturalnych związanych z procesem rejestracji wymaganym do weryfikacji tożsamości?
a. Rozdzielenie obowiązków
b. Ewidencjonowanie
c. Personifikacja
d. Niezależne audyty
307.c. Istnieją dwie ogólne kategorie zagrożeń dla procesu rejestracji: podszywanie się oraz kompromitacja lub nieprzyjemność z infrastrukturą (RA i CSP). Zagrożenia dla infrastruktury są rozwiązywane przez normalne kontrole bezpieczeństwa komputerowego, takie jak rozdział obowiązków, prowadzenie dokumentacji i niezależne audyty.
308. Które z poniższych nie jest godne zaufania w uwierzytelnianiu elektronicznym?
a. Powodowie
b. Punkty rejestracji
c. Dostawcy usług poświadczeń
d. Weryfikatorzy
308. a. Organy rejestracji (RA), dostawcy usług poświadczeń (CSP), weryfikatorzy i strony ufające są zwykle godne zaufania w tym sensie, że są prawidłowo wdrożone i nie są celowo złośliwe. Jednak wnioskodawcy lub ich systemy mogą nie być godne zaufania lub można po prostu zaufać ich twierdzeniom o tożsamości. Co więcej, podczas gdy RA, CSP i weryfikatorzy są zwykle godni zaufania, nie są nietykalni i mogą ulec uszkodzeniu. Dlatego należy unikać protokołów, które ujawniają długoterminowe sekrety uwierzytelniania bardziej niż jest to absolutnie wymagane, nawet zaufanym podmiotom.
309. Organizacja doświadcza nadmiernej rotacji pracowników. Które z poniższych jest najlepszą polityką kontroli dostępu?
w takich sytuacjach?
a. Kontrola dostępu oparta na regułach (RuBAC)
b. Obowiązkowa kontrola dostępu (MAC)
c. Kontrola dostępu oparta na rolach (RBAC)
d. Uznaniowa kontrola dostępu (DAC)
309. c. Pracownicy mogą przychodzić i odchodzić, ale ich role się nie zmieniają, np. lekarz czy pielęgniarka w szpitalu. W przypadku kontroli dostępu opartej na rolach decyzje dotyczące dostępu są oparte na rolach, jakie mają poszczególni użytkownicy w ramach organizacji. Nazwiska pracowników mogą się zmienić, ale role nie. Ta kontrola dostępu jest najlepsza dla organizacji, w których występuje nadmierna rotacja pracowników. Kontrola dostępu oparta na regułach i kontrola dostępu obowiązkowego są tym samym, ponieważ opierają się na określonych regułach odnoszących się do charakteru podmiotu i obiektu. Uznaniowa kontrola dostępu to sposób ograniczania dostępu do obiektów na podstawie tożsamości podmiotów i/lub grup, do których należą.
310. Które z poniższych wspiera zasada najmniejszych przywilejów?
a. Przywileje wszystko albo nic
b. Uprawnienia superużytkownika
c. Odpowiednie uprawnienia
d. Pełzające przywileje
310. c. Zasada najmniejszych uprawnień odnosi się do przyznawania użytkownikom tylko tych praw dostępu, które są niezbędne do wykonywania ich obowiązków. Jedynie pojęcie "odpowiedniego przywileju" wspiera zasada najmniejszego przywileju.
311. Czego przykładem jest zarządzanie hasłami?
a. Kontrola dyrektywy
b. Kontrola prewencyjna
c. Kontrola detektywistyczna
d. Kontrola korekcyjna
311. b. Zarządzanie hasłami jest przykładem kontroli prewencyjnych polegającej na tym, że hasła powstrzymują nieautoryzowanych użytkowników przed dostępem do systemu, chyba że znają hasło w inny sposób.
312. Która z poniższych zasad kontroli dostępu wykorzystuje do jej realizacji macierz kontroli dostępu?
a. Uznaniowa kontrola dostępu (DAC)
b. Obowiązkowa kontrola dostępu (MAC)
c. Kontrola dostępu oparta na rolach (RBAC)
d. Listy kontroli dostępu (ACL)
312. a. Model uznaniowej kontroli dostępu (DAC) wykorzystuje macierz kontroli dostępu, w której umieszcza nazwy użytkowników (podmiotów) w każdym wierszu oraz nazwy obiektów (plików lub programów) w każdej kolumnie macierzy. Pozostałe trzy opcje nie wykorzystują macierzy kontroli dostępu.
313. Mechanizmy kontroli dostępu obejmują które z poniższych?
a. Kontrole dyrektywne, prewencyjne i detektywistyczne
b. Kontrole naprawcze, naprawcze i zapobiegawcze
c. Kontrole logiczne, fizyczne i administracyjne
d. Kontrole zarządcze, operacyjne i techniczne
313. c. Mechanizmy kontroli dostępu obejmują kontrole logiczne (hasła i szyfrowanie), fizyczne (klucze i tokeny) oraz administracyjne (formularze i procedury). Kontrole dyrektywne, zapobiegawcze, detektywistyczne, korygujące i odzyskiwania są kontrolami poprzez działanie. Kontrole zarządcze, operacyjne i techniczne są z natury kontrolami.
314. Która z poniższych zasad kontroli dostępu wykorzystuje etykiety zabezpieczające?
a. Uznaniowa kontrola dostępu (DAC)
b. Obowiązkowa kontrola dostępu (MAC)
c. Kontrola dostępu oparta na rolach (RBAC)
d. Listy kontroli dostępu (ACL)
314. b. Etykiety i interfejsy zabezpieczające służą do określania dostępu na podstawie zasady obowiązkowej kontroli dostępu (MAC). Etykieta bezpieczeństwa to środek używany do powiązania zestawu atrybutów bezpieczeństwa z konkretnym obiektem informacyjnym w ramach struktury danych tego obiektu. Etykiety mogą być oznaczane jako dane zastrzeżone lub dane publiczne. Pozostałe trzy opcje nie wykorzystują etykiet zabezpieczających.
315. Które z poniższych są systemami wykrywania i zapobiegania włamaniom?
a. Mechanizm barierowy
b. Mechanizm monitorowania
c. Mechanizm rozliczalności
d. Mechanizm penetracji
315. b. Systemy wykrywania i zapobiegania włamaniom (IDPS) służą jako mechanizmy monitorujące, obserwujące działania i podejmujące decyzje, czy obserwowane zdarzenia są podejrzane. IDPS może wykryć napastników obchodzących zapory i zgłosić je administratorom systemu, którzy mogą podjąć kroki w celu zapobieżenia uszkodzeniom. Zapory ogniowe służą jako mechanizmy barierowe, blokujące dostęp do niektórych rodzajów ruchu sieciowego i przepuszczające inne, w oparciu o zasady zapory.
316. Które z poniższych mogą współistnieć w zapewnianiu silnych mechanizmów kontroli dostępu?
a. Uwierzytelnianie Kerberos i system jednokrotnego logowania
b. System uwierzytelniania Kerberos i podpisu cyfrowego
c. Uwierzytelnianie Kerberos i system kluczy asymetrycznych
d. Uwierzytelnianie Kerberos i system certyfikatów cyfrowych
316. a. Gdy uwierzytelnianie Kerberos jest połączone z systemami pojedynczego logowania, wymaga ustanowienia i obsługi serwerów uprawnień. Kerberos używa kryptografii z kluczem symetrycznym, a pozostałe trzy opcje są przykładami kryptografii z kluczem asymetrycznym.
317. Jakie są zastosowania honeypotów i wyściełanych komórek?
a. Implikacje społeczne
b. Konsekwencje prawne
c. Implikacje techniczne
d. Implikacje psychologiczne
317. b. Prawne implikacje używania honeypotów i systemów wyściełanych komórek nie są dobrze zdefiniowane. Ważne jest, aby przed podjęciem decyzji o skorzystaniu z któregokolwiek z tych systemów zasięgnąć porady radcy prawnego.
318. Z punktu widzenia bezpieczeństwa i bezpieczeństwa egzekwowanie bezpieczeństwa jest powiązane do którego z poniższych?
a. Rotacja pracy
b. Opis pracy
c. Rozszerzenie zakresu prac
d. Wzbogacenie pracy
318. b. Bezpieczeństwo ma fundamentalne znaczenie dla zapewnienia egzekwowania najbardziej podstawowych zasad kontroli dostępu. Egzekwowanie to jest powiązane z opisem stanowiska pracy pojedynczego pracownika poprzez uprawnienia dostępu (np. uprawnienia i przywileje). Opis stanowiska zawiera listę zadań, obowiązków, ról i obowiązków oczekiwanych od pracownika, w tym wymagania dotyczące bezpieczeństwa i ochrony. Pozostałe trzy opcje nie zapewniają egzekwowania bezpieczeństwa. Rotacja stanowisk sprawia, że pracownik jest dobrze zaokrąglony, ponieważ poszerza doświadczenie zawodowe pracownika, rozszerzenie stanowiska zwiększa szerokość pracy, a wzbogacenie pracy dodaje głębi pracy.
319. Która z poniższych jest poprawną sekwencją działań w mechanizmach kontroli dostępu?
a. Profile dostępu, uwierzytelnianie, autoryzacja i identyfikacja
b. Zasady bezpieczeństwa, identyfikacja, autoryzacja i uwierzytelnianie
c. Identyfikacja, uwierzytelnianie, autoryzacja i odpowiedzialność
d. Ścieżki audytu, autoryzacja, odpowiedzialność i identyfikacja
319. c. Identyfikacja następuje przed uwierzytelnieniem, a autoryzacja następuje po uwierzytelnieniu. Odpowiedzialność jest ostatnią, w której rejestrowane są działania użytkownika.
320. Z którym z poniższych celów bezpieczeństwa najściślej wiąże się zasada najmniejszych uprawnień?
a. Poufność
b. Integralność
c. Dostępność
d. Niezaprzeczalność
320. b. Zasada najmniejszych uprawnień dotyczy mechanizmów autoryzacji kontroli dostępu i jako taka zapewnia integralność danych i systemów poprzez ograniczenie dostępu do danych/informacji i systemów informatycznych.
321. Która z poniższych jest główną luką w modelu Kerberos?
a. Użytkownik
b. serwer
c. Klient
d. Serwer-dystrybucji kluczy
321. d. Główną słabością modelu Kerberos jest to, że jeśli serwer dystrybucji kluczy zostanie zaatakowany, każdy tajny klucz używany w sieci zostanie naruszony. Podmioty zaangażowane w model Kerberos obejmują użytkownika, klienta, centrum dystrybucji kluczy, usługę przyznawania biletów i serwer świadczący żądane usługi.
322. W przypadku uwierzytelniania elektronicznego potwierdzanie tożsamości obejmuje które z poniższych elementów?
a. CSP
b. RA
c. CSP i RA
d. CA i CRL
322. c. Sprawdzanie tożsamości to proces, w którym dostawca usług poświadczeń (CSP) i urząd rejestracyjny (RA) weryfikują wystarczające informacje, aby jednoznacznie zidentyfikować osobę. Urząd certyfikacji (CA) nie bierze udziału w potwierdzaniu tożsamości. CA to zaufany podmiot, który wystawia i odwołuje certyfikaty klucza publicznego. Lista odwołania certyfikatów (CRL) nie jest zaangażowana w sprawdzanie tożsamości. Lista CRL to lista unieważnionych certyfikatów kluczy publicznych utworzonych i podpisanych cyfrowo przez urząd certyfikacji.
323. Kratowy model bezpieczeństwa jest przykładem której z poniższych zasad kontroli dostępu?
a. Uznaniowa kontrola dostępu (DAC)
b. Nie-DAC
c. Obowiązkowa kontrola dostępu (MAC)
d. Inne niż MAC
323. b. Kratowy model bezpieczeństwa oparty jest na modelu nieuznaniowej kontroli dostępu (bez DAC). Model kratowy jest zbiorem częściowo uporządkowanym, dla którego każda para elementów (obiektów i przedmiotów) ma największe ograniczenie dolne i najmniejsze ograniczenie górne. Podmiot ma największą dolną granicę, a przedmiot ma najmniejszą górną granicę.
324. Które z poniższych nie jest powszechnym typem poświadczeń elektronicznych?
a. Asercje SAML
b. Certyfikaty tożsamości klucza publicznego X.509
c. Certyfikaty atrybutów X.509
d. Bilety Kerberos
324. a. Poświadczenia elektroniczne to dokumenty cyfrowe używane do uwierzytelniania, które wiążą tożsamość lub atrybut z tokenem subskrybenta. Język SAML (Security Assertion Markup Language) to specyfikacja kodowania potwierdzeń zabezpieczeń w rozszerzalnym języku znaczników (XML). Asercje SAML nie mają nic wspólnego z danymi elektronicznymi, ponieważ weryfikator może ich użyć do złożenia oświadczenia stronie ufającej o tożsamości strony wnoszącej roszczenie. Certyfikat tożsamości klucza publicznego X.509 jest nieprawidłowy, ponieważ powiązanie tożsamości z kluczem publicznym jest powszechnym typem poświadczeń elektronicznych. Certyfikat atrybutu X.509 jest niepoprawny, ponieważ powiązanie tożsamości lub klucza publicznego z jakimś atrybutem jest powszechnym typem poświadczeń elektronicznych. Bilety protokołu Kerberos są nieprawidłowe, ponieważ zaszyfrowane wiadomości wiążące posiadacza z pewnym atrybutem lub uprawnieniem są powszechnym typem poświadczeń elektronicznych.
325. Oszustwo rejestracyjne w uwierzytelnianiu elektronicznym można odstraszyć, utrudniając jego wykonanie lub zwiększając prawdopodobieństwo którego z poniższych?
a. Kierunek
b. Zapobieganie
c. Wykrycie
d. Korekta
325. c. Utrudnienie wykonania lub zwiększenie prawdopodobieństwa wykrycia może zniechęcić do oszustw związanych z rejestracją. Celem jest utrudnienie podszywania się.
326. Która z poniższych zasad kontroli dostępu traktuje użytkowników i właścicieli tak samo?
a. Uznaniowa kontrola dostępu (DAC)
b. Obowiązkowa kontrola dostępu (MAC)
c. Kontrola dostępu oparta na rolach (RBAC)
d. Listy kontroli dostępu (ACL)
326. a. Mechanizm uznaniowej kontroli dostępu (DAC) umożliwia użytkownikom przyznawanie lub odwoływanie dostępu do dowolnych obiektów znajdujących się pod ich kontrolą. W związku z tym mówi się, że użytkownicy są właścicielami obiektów znajdujących się pod ich kontrolą. Użytkownicy i właściciele różnią się w pozostałych trzech opcjach.
327. W przypadku zagrożeń związanych z protokołem uwierzytelniania elektronicznego, które z poniższych zakłada się, że są fizycznie zdolne do przechwycenia przebiegów protokołu uwierzytelniania?
a. Podsłuchiwacze
b. Oszuści subskrybentów
c. Weryfikatorzy oszustów
d. Porywacze
327. a. Zakłada się, że podsłuchujący są fizycznie w stanie przechwycić przebiegi protokołu uwierzytelniania; jednak protokół może być zaprojektowany tak, aby przechwycone wiadomości stały się niezrozumiałe lub opierać się analizie, która umożliwiłaby podsłuchującemu uzyskanie informacji przydatnych do podszywania się pod osobę wnoszącą roszczenie. Oszuści subskrybentów są niepoprawni, ponieważ potrzebują tylko normalnego dostępu komunikacyjnego do weryfikatorów lub stron ufających. Weryfikatory oszustów są nieprawidłowe, ponieważ mogą mieć specjalne możliwości sieciowe do przekierowywania, wstawiania lub usuwania pakietów. Jednak w wielu przypadkach takie ataki można przeprowadzić, oszukując subskrybentów niepoprawnymi linkami lub wiadomościami e-mail lub na stronach sieci Web, albo używając nazw domen podobnych do nazw stron ufających lub weryfikatorów. Dlatego oszuści niekoniecznie muszą mieć jakieś niezwykłe możliwości sieciowe. Porywacze są niepoprawne, ponieważ muszą przekierowywać sesje komunikacyjne, ale obecnie ta funkcja może być stosunkowo łatwa do osiągnięcia, gdy wielu abonentów korzysta z dostępu do sieci bezprzewodowej.
328. Które z poniższych elementów nie są powszechnie wykrywane i zgłaszane przez systemy wykrywania i zapobiegania włamaniom (IDPS)?
a. Ataki polegające na skanowaniu systemu
b. Ataki typu "odmowa usługi"
c. Ataki penetracyjne systemu
d. Ataki polegające na fałszowaniu adresów IP
328. d. Atakujący może wysyłać pakiety ataku przy użyciu fałszywego źródłowego adresu IP, ale zorganizować podsłuchiwanie odpowiedzi ofiary na fałszywy adres. Atakujący może to zrobić bez dostępu do komputera pod fałszywym adresem. Ta manipulacja adresowaniem IP nazywana jest podszywaniem się pod adres IP. Atak polegający na skanowaniu systemu ma miejsce, gdy atakujący sonduje docelową sieć lub system, wysyłając różnego rodzaju pakiety. Ataki typu "odmowa usługi" mają na celu spowolnienie lub zamknięcie docelowych systemów lub usług sieciowych. Ataki penetracyjne systemu obejmują nieautoryzowane pozyskiwanie i/lub zmianę uprawnień systemowych, zasobów lub danych.
329. Które z poniższych ataków typu in-band na protokoły uwierzytelniania elektronicznego obejmują?
a. Zgadywanie hasła
b. Personifikacja
c. Zgadywanie i powtarzanie hasła
d. Personifikacja i człowiek pośrodku
329. c. W ataku typu in-band atakujący przyjmuje rolę pretendenta z prawdziwym weryfikatorem. Należą do nich atak polegający na odgadywaniu hasła i atak powtórkowy. W ataku polegającym na odgadywaniu hasła oszust próbuje odgadnąć hasło w wielokrotnych próbach logowania i odnosi sukces, gdy może zalogować się do systemu. W ataku z powtórzeniem atakujący rejestruje i odtwarza część poprzedniego dobrego protokołu do weryfikatora. W ataku polegającym na podszywaniu się pod weryfikatora osoba atakująca podszywa się pod weryfikatora i nakłania stronę wnoszącą roszczenie do ujawnienia swojego tajnego tokena. Atak typu man-in-the-middle to atak na protokół uwierzytelniania, w którym osoba atakująca ustawia się między stroną roszczącą a weryfikatorem, aby móc przechwycić i zmienić dane przesyłane między nimi.
330. Która z poniższych zasad lub modeli kontroli dostępu zapewnia bezpośredni sposób przyznania lub odmowy dostępu określonemu użytkownikowi?
a. Kontrola dostępu oparta na rolach (RBAC)
b. Listy kontroli dostępu (ACL)
c. Obowiązkowa kontrola dostępu (MAC)
d. Uznaniowa kontrola dostępu (DAC)
330. b. Lista kontroli dostępu (ACL) to obiekt skojarzony z plikiem i zawierający wpisy określające dostęp, jaki mają poszczególni użytkownicy lub grupy użytkowników do pliku. Listy ACL zapewniają prosty sposób przyznawania lub odmawiania dostępu dla określonego użytkownika lub grup użytkowników. Inne opcje nie są tak proste, ponieważ używają etykiet, tagów i ról.
331. Co to jest podszywanie się pod użytkownika lub system?
a. Atak szpiegowski
b. Atak fałszowania
c. Atak wąchania
d. Atak spamowania
331. b. Podszywanie się to nieautoryzowane użycie legalnych danych identyfikacyjnych i uwierzytelniających, takich jak identyfikatory użytkowników i hasła. Przechwycone nazwy użytkowników i hasła mogą służyć do podszywania się pod użytkownika na hoście serwera logowania lub transferu plików, do którego użytkownik uzyskuje dostęp. Ataki typu snooping i sniffing są takie same, ponieważ sniffing polega na obserwowaniu przechodzącego pakietu w sieci. Spamowanie to wysyłanie identycznych wiadomości do wielu niepowiązanych ze sobą grup dyskusyjnych w Internecie lub wysyłanie niechcianych wiadomości e-mail wysyłanych bezkrytycznie do wielu użytkowników.
332. Która z poniższych zasad lub modeli kontroli dostępu wymaga poświadczeń bezpieczeństwa dla podmiotów?
a. Uznaniowa kontrola dostępu (DAC)
b. Obowiązkowa kontrola dostępu (MAC)
c. Kontrola dostępu oparta na rolach (RBAC)
d. Listy kontroli dostępu (ACL)
332. b. Obowiązkowa kontrola dostępu (MAC) ogranicza dostęp do obiektów na podstawie wrażliwości informacji zawartych w obiektach oraz formalnego upoważnienia (tj. zezwolenia) podmiotów na dostęp do informacji o takiej wrażliwości.
333. Które z poniższych nie jest przykładem ataków na dane i informacje?
a. Ukryty kod
b. Wnioskowanie
c. Podszywanie się
d. Analiza ruchu
333. c. Podszywanie się polega na użyciu różnych technik w celu obalania kontroli dostępu opartej na protokole IP, podszywając się pod inny system za pomocą jego adresu IP. Ataki, takie jak ukryty kod, wnioskowanie i analiza ruchu, opierają się na danych i informacjach.
334. Systemy Honeypot nie zawierają których z poniższych?
a. Wyzwalacze zdarzeń
b. Wrażliwe monitory
c. Dane wrażliwe
d. Rejestratory zdarzeń
334. c. System honeypot jest wyposażony w wrażliwe monitory, wyzwalacze zdarzeń i rejestratory zdarzeń, które wykrywają nieautoryzowane dostępy i zbierają informacje o działaniach napastnika. Systemy te są wypełnione sfabrykowanymi danymi, które mają wyglądać na wartościowe.
335. Systemy wykrywania włamań i zapobiegania im analizują naruszenia zasad bezpieczeństwa:
a. Statycznie
b. Dynamicznie
c. liniowo
d. Nieliniowo
335. b. Systemy wykrywania i zapobiegania włamaniom (IDPS) dynamicznie poszukują określonych symptomów włamań i naruszeń zasad bezpieczeństwa. IDPS są analogiczne do kamer monitorujących bezpieczeństwo. Systemy analizy podatności przyjmują statyczny obraz symptomów. Liniowe i nieliniowe nie mają tu zastosowania, ponieważ są to pojęcia matematyczne.
336. W przypadku dokładności biometrycznej, które z poniższych określeń określa punkt, w którym współczynniki fałszywych odrzuceń i fałszywych akceptacji są sobie równe?
a. Błąd typu I
b. Błąd typu II
c. Współczynnik błędu crossover
d. Błąd typu I i II
336. c. W biometrii stopa błędu krzyżowania jest definiowana jako punkt gdzie fałszywe wskaźniki odrzucenia i fałszywe wskaźniki akceptacji są równe. Błąd typu I, zwany współczynnikiem fałszywego odrzucenia, jest nieprawidłowy, ponieważ prawdziwi użytkownicy są odrzucani jako oszuści. Błąd typu II, zwany wskaźnikiem fałszywej akceptacji, jest niepoprawny, ponieważ oszuści są akceptowani jako prawdziwi użytkownicy.
337. Które z poniższych nie pomaga w zapobieganiu oszustwom?
a. Rozdzielenie obowiązków
b. Rozszerzenie zakresu prac
c. Rotacja pracy
d. Obowiązkowe wakacje
337. b. Rozdział obowiązków, rotacja stanowisk i obowiązkowe urlopy to kontrole zarządcze, które mogą pomóc w zapobieganiu oszustwom. Rozszerzenie i wzbogacenie miejsc pracy nie zapobiegają oszustwom, ponieważ nie są to kontrole; ich celem jest rozszerzenie zakresu pracy pracownika dla lepszego doświadczenia i awansu.
338. Trójki dostępu stosowane w implementacji modelu bezpieczeństwa Clark-Wilson obejmują które z poniższych?
a. Polityka, procedura i przedmiot
b. Klasa, dziedzina i przedmiot
c. Temat, program i dane
d. Poziom, etykieta i tag
338. c. Model Clarka-Wilsona dzieli obiekty na programy i dane dla każdego podmiotu, tworząc potrójny dostęp do podmiotu/programu/danych. Ogólny model trójek dostępu to
