Architektura i projektowanie bezpieczeństwa
1. Na który z poniższych ataków nie pozwoli kanał zaufany?
1. Atak Man-in-the-Middle
2. Podsłuchiwanie
3. Powtórz atak
4. Manipulacje fizyczne i logiczne
a. 1 i 2
b. 1 i 3
c. 1, 2 i 3
d. 1, 2, 3 i 4
1.d. Zaufany kanał to mechanizm, dzięki któremu moduł kryptograficzny zapewnia zaufaną, bezpieczną i dyskretną ścieżkę komunikacji dla wrażliwych parametrów bezpieczeństwa (SSP) i punktów końcowych komunikacji. Zaufany kanał chroni przed atakami typu man-in-the-middle (MitM), podsłuchiwaniem, atakami typu replay oraz fizycznym i logicznym manipulowaniem przez niepożądanych operatorów, podmioty, procesy, urządzenia, zarówno w obrębie modułu, jak i wzdłuż łącza komunikacyjnego modułu.
2. Która z poniższych platform IT najczęściej boryka się z sytuacją pojedynczego punktu awarii?
a. Komputery osobiste
b. Sieci lokalne
c. Serwery
d. Strony internetowe
2.b. Sieć lokalna (LAN) jest własnością jednej organizacji; może to być zaledwie dwa komputery PC podłączone do jednego koncentratora lub może obsługiwać setki użytkowników i wiele serwerów. Sieci LAN są narażone na pojedyncze punkty awarii z powodu zagrożeń dla systemu okablowania, takich jak przecięcia kabli, zakłócenia elektromagnetyczne i radiowe oraz uszkodzenia wynikające z ognia, wody i innych zagrożeń. W rezultacie w razie potrzeby można zainstalować nadmiarowe kable. Komputery stacjonarne, serwery i witryny internetowe nie napotykają problemów związanych z pojedynczym punktem awarii, jak w przypadku sieci LAN, ale mają problemy z tworzeniem kopii zapasowych danych i przechowywaniem danych w lokalizacji poza siedzibą firmy. Pozostałe trzy opcje wymagają zasad tworzenia kopii zapasowych danych, procedur równoważenia obciążenia i procedur reagowania na incydenty.
3. Która z poniższych zasad bezpieczeństwa nie działa skutecznie?
a. Bezpieczeństwo według zasad
b. Bezpieczeństwo przez ukrycie
c. Odmów domyślnie
d. Ukrywanie danych
3.b. Security-by-obscurity to zasada przeciwdziałania, która w praktyce nie działa skutecznie, ponieważ atakujący mogą w każdej chwili zagrozić bezpieczeństwu dowolnego systemu. Oznacza to, że próbujesz utrzymać coś w tajemnicy, gdy nie przynosi to więcej szkody niż pożytku. Pozostałe trzy opcje działają skutecznie. Security-by-rules i data-byhiding to powszechnie akceptowane zasady bezpieczeństwa. Domyślna odmowa blokuje cały ruch przychodzący i wychodzący, który nie został wyraźnie dozwolony przez zasady zapory.
4. Które z poniższych zapewnia zarządzanie pamięcią podręczną kluczy w celu ochrony kluczy używanych w szyfrowanym systemie plików (EFS)?
a. Zaufany system komputerowy
b. Zaufany układ modułu platformy
c. Zaufana baza obliczeniowa
d. Zaufany system operacyjny
4.b. Układ Trusted Platform Module (TPM) dzięki zarządzaniu pamięcią podręczną kluczy oferuje format ochrony kluczy używanych w szyfrowanym systemie plików (EFS). Chip TPM, który jest specyfikacją, zapewnia bezpieczne przechowywanie kluczy na komputerach. Pozostałe trzy opcje nie zapewniają zarządzania pamięcią podręczną kluczy.
5. W środowisku zaszyfrowanego systemu plików (EFS), który z poniższych elementów służy do zabezpieczania przechowywania kluczy szyfrowania kluczy na dysku twardym?
a. Zaufany system komputerowy
b. Zaufany układ modułu platformy
c. Zaufana baza obliczeniowa
d. Zaufany system operacyjny
5.b. Za pomocą układu zaufanego modułu platformy (TPM) klucze szyfrowania klucza są bezpiecznie przechowywane w układzie TPM. Ten klucz jest również używany do odszyfrowania każdego klucza szyfrowania pliku. Pozostałe trzy opcje nie zapewniają bezpiecznego przechowywania klucza szyfrowania klucza.
6. Które z poniższych zapewnia dodatkowe zabezpieczenie przechowywania kluczy symetrycznych używanych do szyfrowania plików, aby zapobiec atakowi wyczerpania?
a. Zaszyfruj klucze dzielone za pomocą silnego hasła.
b. Przechowuj losowe klucze na samym komputerze lub na tokenie sprzętowym.
c. Po podziale klucza przechowuj jeden kluczowy składnik na samym komputerze.
d. Po podziale klucza zapisz drugi kluczowy komponent na sprzęcie
6. a. Gdy klucz zostanie podzielony między token sprzętowy a komputer, osoba atakująca musi odzyskać oba elementy sprzętu, aby odzyskać (odszyfrować) klucz. Dodatkowe bezpieczeństwo zapewnia szyfrowanie fragmentów klucza za pomocą silnego hasła, aby zapobiec atakom na wyczerpanie w trybie offline.
7. Która z poniższych metod przechowywania systemu szyfrowania plików (FES) jest najtańszym rozwiązaniem?
a. Standard kryptografii klucza publicznego
b. Klucz szyfrowania klucz
c. Token sprzętowy
d. Asymetryczny klucz prywatny należący do użytkownika
7. a. System szyfrowania plików (FES) używa pojedynczego klucza symetrycznego do szyfrowania każdego pliku w systemie. Ten pojedynczy klucz jest generowany przy użyciu standardu kryptografii klucza publicznego (PKCS) z hasła użytkownika; stąd jest to najtańsze rozwiązanie. Klucz szyfrowania klucza to stosunkowo nowa technologia, w której klucze są przechowywane na tym samym komputerze, co plik. Wykorzystuje klucze szyfrowania na plik, które są przechowywane na dysku twardym, zaszyfrowane za pomocą klucza szyfrowania klucza. Asymetryczny klucz prywatny należący do użytkownika wykorzystuje klucze szyfrowania na plik, które są szyfrowane za pomocą asymetrycznego klucza prywatnego właściciela pliku. Wymaga hasła użytkownika lub tokena użytkownika.
8. Która z poniższych metod przechowywania systemu szyfrowania plików (FES) jest mniej bezpieczna?
a. Standard kryptografii klucza publicznego
b. Klucz szyfrowania klucz
c. Token sprzętowy
d. Asymetryczny klucz prywatny należący do użytkownika
8. a. Standard kryptografii klucza publicznego (PKCS) jest mniej bezpieczny, ponieważ bezpieczeństwo zależy tylko od siły użytego hasła. Klucz szyfrowania klucza to stosunkowo nowa technologia, w której klucze są przechowywane na tym samym komputerze, co plik. Wykorzystuje klucze szyfrowania na plik, które są przechowywane na dysku twardym, zaszyfrowane za pomocą klucza szyfrowania klucza. Asymetryczny klucz prywatny należący do użytkownika wykorzystuje klucze szyfrowania na plik, które są szyfrowane za pomocą asymetrycznego klucza prywatnego właściciela pliku. Wymaga hasła użytkownika lub tokena użytkownika.
9. Która z poniższych metod przechowywania systemu szyfrowania plików (FES) jest droższa?
a. Standard kryptografii klucza publicznego
b. Klucz szyfrowania klucz
c. Token sprzętowy
d. Asymetryczny klucz prywatny należący do użytkownika
9.c. System szyfrowania plików (FES) używa kluczy szyfrowania na plik, które są podzielone na dwa składniki, które będą operacją wyłączną lub (XORed) w celu odtworzenia klucza, przy czym jeden składnik klucza jest przechowywany na tokenie sprzętowym, a drugi składnik klucza pochodzą z hasła przy użyciu standardu kryptografii klucza publicznego (PKCS) w celu uzyskania klucza. Ze względu na podział kluczy tokeny sprzętowe są droższe. Standard kryptografii klucza publicznego (PKCS) generuje pojedynczy klucz z hasła użytkownika. Klucz szyfrowania klucza to stosunkowo nowa technologia, w której klucze są przechowywane na tym samym komputerze, co plik. Wykorzystuje klucze szyfrowania na plik, które są przechowywane na dysku twardym, zaszyfrowane za pomocą klucza szyfrowania klucza. Asymetryczny klucz prywatny należący do użytkownika wykorzystuje klucze szyfrowania na plik, które są szyfrowane za pomocą asymetrycznego klucza prywatnego właściciela pliku. Wymaga hasła użytkownika lub tokena użytkownika.
10. Która z poniższych metod przechowywania systemu szyfrowania plików (FES) jest wysoce bezpieczna?
a. Standard kryptografii klucza publicznego
b. Klucz szyfrowania klucz
c. Token sprzętowy
d. Asymetryczny klucz prywatny należący do użytkownika
10.c. Ze względu na podział kluczy tokeny sprzętowe są bardzo bezpieczne, jeśli są prawidłowo zaimplementowane. Pozostałe trzy opcje nie są wysoce bezpieczne. Standard kryptografii klucza publicznego (PKCS) generuje pojedynczy klucz z hasła użytkownika. Klucz szyfrowania klucza to stosunkowo nowa technologia, w której klucze są przechowywane na tym samym komputerze, co plik. Wykorzystuje klucze szyfrowania na plik, które są przechowywane na dysku twardym, zaszyfrowane za pomocą klucza szyfrowania klucza. Asymetryczny klucz prywatny należący do użytkownika wykorzystuje klucze szyfrowania na plik, które są szyfrowane za pomocą asymetrycznego klucza prywatnego właściciela pliku. Wymaga hasła użytkownika lub tokena użytkownika.
11. Które z poniższych może ograniczyć liczbę punktów dostępu do sieci w systemie informacyjnym, który umożliwia monitorowanie przychodzącego i wychodzącego ruchu sieciowego?
a. Zaufana ścieżka
b. Zaufany system komputerowy
c. Zaufana baza obliczeniowa
d. Zaufane połączenie internetowe
11.d. Inicjatywa zaufanego połączenia internetowego (TIC) jest przykładem ograniczenia liczby zarządzanych punktów dostępu do sieci. Pozostałe trzy opcje nie ograniczają liczby punktów dostępu do sieci.
12. Architektura IT i projekt bezpieczeństwa systemu powinny w pierwszej kolejności koncentrować się na którym z poniższych?
a. Dostępność informacji
b. Dostępność sprzętu
c. Dostępność oprogramowania
d. Dostępność systemu
12.d. W pierwszej kolejności należy skupić się na dostępności systemu, która obejmuje dostępność sprzętu i oprogramowania, a następnym należy zwrócić uwagę na dostępność informacji, ponieważ system zawiera informacje, a nie odwrotnie.
13. W odniesieniu do modułów kryptograficznych, które z poniższych stwierdzeń odnosi się do weryfikacji projektu pomiędzy modelem formalnym a specyfikacją funkcjonalną?
a. Dowód całości
b. Dowód pochodzenia
c. Dowód korespondencji
d. Dowód poprawności
13.c. Dowód korespondencji dotyczy weryfikacji projektu pomiędzy modelem formalnym a specyfikacją funkcjonalną. Dowód całości polega na tym, że wszystkie części lub składniki obiektu obejmują zarówno poczucie nienaruszonego stanu (tj. zdrowego stanu), jak i bycia zupełnym i niepodzielnym (tj. kompletności). Dotyczy to zachowania integralności obiektów w tym, że różne warstwy abstrakcji obiektów nie mogą być spenetrowane, a ich wewnętrzne mechanizmy nie mogą być modyfikowane ani niszczone. Dowód pochodzenia jest podstawą do udowodnienia twierdzenia. Na przykład prywatny klucz podpisu służy do generowania podpisów cyfrowych jako dowodu pochodzenia. Dowód poprawności stosuje matematyczne dowody poprawności w celu wykazania, że program komputerowy jest dokładnie zgodny ze swoimi specyfikacjami oraz w celu wykazania, że funkcje programów komputerowych są prawidłowe.
14. W przypadku modułów kryptograficznych implementacja którego kanału chroni zaufany kanał?
1. Krytyczne parametry bezpieczeństwa w postaci zwykłego tekstu
2. Oprogramowanie modułu kryptograficznego
3. Korzystanie z niezaufanego oprogramowania
4. Podszywanie się przez zdalny system
a. 1 i 2
b. 1 i 3
c. 3 i 4
d. 1, 2, 3 i 4
14.d. Wdrożenie zaufanego kanału chroni krytyczne parametry bezpieczeństwa (CSP) w postaci zwykłego tekstu oraz oprogramowanie modułu kryptograficznego przed innym niezaufanym oprogramowaniem, które może działać w systemie. Kanał zaufany chroni również przed podszywaniem się przez zdalny system.
15. W przypadku modułów kryptograficznych, poprzez które z poniższych zapewniona jest dodatkowa gwarancja cyklu życia?
1. Zautomatyzowane zarządzanie konfiguracją
2. Szczegółowy projekt
3. Testowanie niskiego poziomu
4. Uwierzytelnianie operatora
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
15.d. W przypadku modułów kryptograficznych dodatkowe zabezpieczenie cyklu życia jest zapewnione dzięki zautomatyzowanemu zarządzaniu konfiguracją, szczegółowym projektom, testom niskiego poziomu i uwierzytelnianiu operatora przy użyciu informacji uwierzytelniających dostarczonych przez dostawcę.
16. Z punktu widzenia zagrożenia bezpieczeństwa, która z poniższych sytuacji jest nie do przyjęcia?
a. Niepowodzenie w znanym stanie
b. Powrót do stanu operacyjnego
c. Niepowodzenie w bezpiecznym, ale nieznanym stanie
d. Przywróć do bezpiecznego stanu
16.c. Nie jest dobrze zakładać, że nieznany stan jest bezpieczny, dopóki nie zostanie udowodniony, ponieważ jest ryzykowny. Pozostałe trzy opcje są przykładami akceptowalnych sytuacji ze względu na niewielkie ryzyko lub brak ryzyka.
17. W jaki sposób zapewnia się ochronę pamięci?
1. Partycjonowanie systemu
2. Niemodyfikowalne programy wykonywalne
3. Izolacja zasobów
4. Separacja domen
a. 1 i 2
b. 1 i 4
c. 3 i 4
d. 1, 2, 3 i 4
17.d. Ochrona pamięci jest osiągana przez zastosowanie partycjonowania systemowego, niemodyfikowalnych programów wykonywalnych, izolacji zasobów i separacji domen. Nieodpowiednia ochrona pamięci prowadzi do wielu naruszeń bezpieczeństwa systemu operacyjnego i aplikacji.
18. Organizacje nie powinny projektować których z poniższych?
a. Systemy aplikacji niezależne od systemu operacyjnego
b. Techniki wirtualizacji
c. Aplikacje zależne od systemu operacyjnego
d. Sieć zwirtualizowana
18.c. Organizacje powinny projektować systemy aplikacji niezależne od systemu operacyjnego, ponieważ mogą one działać na wielu platformach systemów operacyjnych. Takie aplikacje zapewniają przenośność i odtwarzanie na różnych architekturach platform, zwiększając dostępność lub krytyczną funkcjonalność, podczas gdy systemy aplikacji zależne od systemu operacyjnego są atakowane. Techniki wirtualizacji zapewniają możliwość ukrycia systemów informatycznych, potencjalnie zmniejszając prawdopodobieństwo udanych ataków bez ponoszenia kosztów posiadania wielu platform. Sieć zwirtualizowana jest częścią technik wirtualizacji.
19. Które z poniższych elementów zazwyczaj nie obejmuje architektury komputerowej?
a. System operacyjny
b. Systemy aplikacji biznesowych
c. Układy pamięci komputera
d. Obwody sprzętowe
19.b. Architektura komputera obejmuje systemy operacyjne, układy pamięci komputera i obwody sprzętowe umożliwiające działanie komputera. Nie obejmuje jednak systemów aplikacji biznesowych, ponieważ są one wymagane do wykonywania zadania lub funkcji biznesowej. Systemy aplikacji biznesowych same w sobie nie powodują, że komputer działa.
20. W jaki sposób można zrealizować zaufany kanał?
1. Ścieżka komunikacji między modułem kryptograficznym a lokalnymi punktami końcowymi
2. Mechanizm kryptograficzny, który nie pozwala na niewłaściwe wykorzystanie przejściowych wrażliwych parametrów bezpieczeństwa (SSP)
3. Mechanizm kryptograficzny chroniący dostawców SSP podczas wprowadzania
4. Mechanizm kryptograficzny chroniący dostawców SSP podczas wysyłania
a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 1, 2, 3 i 4
20.d. Zaufany kanał można zrealizować w następujący sposób: Jest to ścieżka komunikacyjna między modułem kryptograficznym a punktami końcowymi, która jest całkowicie lokalna, bezpośrednio dołączona do modułu kryptograficznego i nie ma w niej systemów pośredniczących. Jest to mechanizm, który kryptograficznie chroni dostawców SSP podczas wejścia i wyjścia. Nie zezwala na niewłaściwe wykorzystanie jakichkolwiek przejściowych SSP.
21. W przypadku których z poniższych zwykle nie stosuje się zaufanej ścieżki?
a. Aby zapewnić uwierzytelnianie
b. Aby zapewnić ponowne uwierzytelnienie
c. Aby chronić klucze kryptograficzne
d. Aby chronić logowanie użytkownika
21.c. Zaufana ścieżka jest wykorzystywana dla połączeń o wysokim stopniu zaufania między funkcjami bezpieczeństwa systemu informacyjnego (tj. uwierzytelnianie i ponowne uwierzytelnianie) a użytkownikiem (np. do logowania). Ścieżka zaufana nie może chronić kluczy kryptograficznych. Z drugiej strony chip modułu zaufanej platformy (TPM) służy do ochrony niewielkich ilości poufnych informacji (np. haseł i kluczy kryptograficznych).
22. Rozproszone usługi bezpieczeństwa systemu nie mogą być silniejsze niż podstawowe:
a. Komponenty sprzętowe
b. Komponenty oprogramowania układowego
c. System operacyjny
d. Aplikacja systemowa
22.c. Usługi bezpieczeństwa systemu operacyjnego leżą u podstaw wszystkich usług rozproszonych. Dlatego zabezpieczenia systemu rozproszonego nie mogą być silniejsze niż podstawowy system operacyjny.
23. Które z poniższych stwierdzeń nie jest prawdziwe w odniesieniu do usług bezpieczeństwa systemu operacyjnego jako części wielowarstwowych usług bezpieczeństwa systemu rozproszonego?
a. Usługi bezpieczeństwa nie istnieją na żadnym poziomie modelu OSI.
b. Usługi bezpieczeństwa są logicznie rozmieszczone na warstwach.
c. Każda warstwa jest wspierana przez wyższe warstwy.
d. Usługi bezpieczeństwa są fizycznie rozproszone w sieci.
23.c. W wielowarstwowych usługach bezpieczeństwa systemów rozproszonych współpracujące elementy usług są fizycznie rozprowadzane w sieci i logicznie w warstwach. Usługi bezpieczeństwa systemu operacyjnego (niższa warstwa) leżą u podstaw wszystkich usług rozproszonych, a nad nimi znajdują się logiczne poziomy usług oprogramowania pośredniego, aplikacji użytkownika i usług bezpieczeństwa klient-serwer (warstwy wyższe). Bezpieczeństwo systemu nie może być silniejsze niż podstawowy system operacyjny. Każda warstwa zależy od możliwości dostarczanych przez warstwy niższe, bezpośrednio od mechanizmów systemu operacyjnego. Dlatego nie jest prawdą, że każda warstwa w wielowarstwowym systemie rozproszonym jest obsługiwana przez wyższe warstwy. Pozostałe wybory to prawdziwe stwierdzenia.
24. Domeny bezpieczeństwa nie zawierają którego z poniższych kluczowych elementów?
a. Elastyczność
b. Parametry domeny
c. Dopasowane zabezpieczenia
d. Powiązania między domenami
24.b. Parametry domeny są używane z algorytmami kryptograficznymi, które są zwykle wspólne dla domeny użytkowników (np. DSA lub ECDSA). Domeny bezpieczeństwa mogą być fizyczne lub logiczne, dlatego parametry domeny nie mają zastosowania. Domena bezpieczeństwa to system lub podsystem podlegający jednemu zaufanemu urzędowi. Domeny te mogą być zorganizowane (np. hierarchicznie) w celu utworzenia większych domen. Kluczowe elementy domen bezpieczeństwa obejmują elastyczność, dostosowane zabezpieczenia, wzajemne powiązania domen oraz wykorzystanie wielu perspektyw w celu określenia, co jest ważne w bezpieczeństwie IT.
25. Które z poniższych istnieje poza zaufaną bazą obliczeniową (TCB)?
a. Kanał pamięci
b. Kanał do wykorzystania
c. Kanał komunikacyjny
d. Kanał zgodny z bezpieczeństwem
25.b. Kanał możliwy do wykorzystania to ukryty kanał, który może być używany lub wykrywany przez podmioty spoza zaufanej bazy obliczeniowej (TCB). Pozostałe trzy wybory są nieprawidłowe, ponieważ nie istnieją poza TCB. Kanał pamięci jest oparty na pojemności procesora. Kanał komunikacyjny to fizyczne nośniki i urządzenia, które zapewniają środki do przesyłania informacji z jednego elementu sieci do innych elementów. Kanał zgodny z zabezpieczeniami wymusza zasady sieciowe.
26. Które z poniższych nie jest przykładem pierwszej linii obrony?
a. Bezpieczeństwo fizyczne
b. Monitory sieciowe
c. Testowanie oprogramowania
d. Zapewnienie jakości
26.c. Testowanie oprogramowania to ostatnia linia obrony, ponieważ jest to ostatni krok do zapewnienia prawidłowego działania kontroli bezpieczeństwa. Po przetestowaniu system jest zaimplementowany i gotowy do działania w świecie rzeczywistym. Pozostałe trzy opcje zapewniają pierwszą linię obrony. Bezpieczeństwo fizyczne dzięki strażnikom oraz kluczom i zamkom może zapobiegać zagrożeniom. Monitory sieciowe mogą chronić przed fałszowaniem. Programy zapewniania jakości mogą poprawić jakość produktów i procesów dzięki planowaniu z wyprzedzeniem.
27. Z punktu widzenia bezpieczeństwa, które z poniższych działań działa jak pierwsza linia obrony?
a. Zdalny serwer
b. serwer internetowy
c. Zapora
d. Bezpieczny program powłoki
27.c. Firewall może służyć jako pierwsza linia obrony, ale w żadnym wypadku nie może oferować kompletnego rozwiązania zabezpieczającego. Do uzupełnienia mechanizmu ochrony zapory potrzebna jest kombinacja elementów sterujących. Pozostałe trzy opcje nie mogą działać jak pierwsza linia obrony. Zarówno serwer zdalny, jak i serwer sieci Web są często celem atakującego. Program bezpiecznej powłoki zastępuje niezabezpieczone programy, takie jak polecenia rlogin, rsh, rcp, Telnet i rdist, bezpieczniejszą wersją, która dodaje mechanizmy uwierzytelniania i szyfrowania w celu zapewnienia większego bezpieczeństwa.
28. Normalne informacje można niezawodnie przesyłać wszystkimi następującymi sposobami, z wyjątkiem:
a. Zwiększanie przepustowości dla ukrytego kanału
b. Korzystanie z kodu korekcji błędów
c. Korzystanie z kodu hamminga
d. Wprowadzanie błędów stron losowych
28.a. Zwiększenie przepustowości może sprawić, że ukryty kanał będzie zaszumiony, ponieważ jednym z celów jest zmniejszenie przepustowości. Ukryte kanały są nie tylko trudne do znalezienia, ale także trudne do zablokowania. Normalnych informacji nie można niezawodnie przesyłać za pośrednictwem ukrytych kanałów. Pozostałe trzy opcje mogą niezawodnie przesyłać normalne informacje, ponieważ wykorzystują kod korygujący błędy (np. kod Hamminga) lub losowo wprowadzają błędy strony (tj. modulują szybkość stronicowania od 0 do 1). 29. W przypadku których z poniższych analiza ukrytych kanałów nie ma znaczenia?
a. Systemy międzydomenowe
b. Bezpieczne systemy wielopoziomowe
c. Systemy wielowarstwowe
d. Systemy o wielu poziomach bezpieczeństwa
29.c. Systemy wielowarstwowe to systemy rozproszone wymagające współpracujących ze sobą elementów rozmieszczonych fizycznie i logicznie w warstwach sieci. Analiza ukrytych kanałów nie ma znaczenia dla systemów rozproszonych, ponieważ nie są one typowymi celami dla ukrytych kanałów pamięci masowej i taktowania. Pozostałe trzy opcje są dobrymi kandydatami do analizy ukrytych kanałów i powinny być testowane na wszystkich docelowych kanałach ukrytych zidentyfikowanych przez dostawcę.
30. Wszystkie poniższe czynniki są czynnikami sprzyjającymi akceptowalności ukrytego kanału, z wyjątkiem:
a. Pływająca etykieta
b. Niska przepustowość
c. Naprawiono etykietę
d. Brak oprogramowania aplikacyjnego
30.c. Stała etykieta zawiera etykietę maksymalnego bezpieczeństwa podmiotu, która dominuje nad etykietą pływającą. W związku z tym stała etykieta nie sprzyja akceptowalności ukrytego kanału. Pozostałe trzy opcje faworyzują ukryty kanał.
31. Z punktu widzenia bezpieczeństwa informacji, strategia "Security-in-Depth" oznacza, które z poniższych?
a. Szkolenie i świadomość użytkowników
b. Warunki i procedury
c. Zabezpieczenia warstwowe
d. Sprzęt nadmiarowy
31.c. Dzięki zastosowaniu wielu nakładających się podejść do ochrony, awaria lub obejście jakiegokolwiek indywidualnego podejścia do ochrony nie pozostawia systemu bez ochrony. Dzięki szkoleniom i świadomości użytkowników, dobrze opracowanym zasadom i procedurom oraz nadmiarowości mechanizmów ochrony, zabezpieczenia warstwowe umożliwiają skuteczne zabezpieczenie zasobów IT w celu osiągnięcia celów bezpieczeństwa organizacji. Pozostałe trzy opcje są częścią ochrony warstwowej.
32. Miernik czasu do wykorzystania może być wykorzystany do określenia obecności których z poniższych?
a. Kanał pamięci
b. Kanał komunikacyjny
c. Ukryty kanał
d. Kanał do wykorzystania
32.c. Miernik czasu do wykorzystania jest mierzony jako czas, jaki upłynął między wykryciem luki a momentem jej wykorzystania. Ukryte kanały są zwykle możliwe do wykorzystania. Pozostałe trzy wybory są częścią ukrytego kanału.
33. Wszystkie poniższe są poza zakresem Wspólnych Kryteriów (CC), z wyjątkiem:
a. Schemat oceny
b. Metodologia oceny
c. Baza ewaluacyjna
d. Procesy certyfikacji
33. c. Baza ewaluacyjna, składająca się z oceny profilu ochrony (PP), celu bezpieczeństwa (ST) lub celu oceny (TOE) według zdefiniowanych kryteriów, mieści się w zakresie Common Criteria (CC). Za schemat ewaluacji, metodologię ewaluacji i procesy certyfikacji odpowiadają organy ewaluacyjne, które prowadzą programy ewaluacji i są poza zakresem CC. CC do oceny bezpieczeństwa IT to nowy standard określania i oceny funkcji bezpieczeństwa produktów i systemów komputerowych na całym świecie. CC ma na celu zastąpienie dotychczasowych kryteriów bezpieczeństwa stosowanych w Ameryce Północnej i Europie standardem, który może być skutecznie stosowany na całym świecie od początku 1999 roku.
34. Które z poniższych nie może zostać zainicjowane przez niezaufane oprogramowanie?
a. Zaufany kanał
b. Kanał jawny
c. Kanał zgodny z bezpieczeństwem
d. Kanał do wykorzystania
34. a. Kanał zaufany nie może zostać zainicjowany przez niezaufane oprogramowanie ze względu na jego konstrukcję. Pozostałe trzy opcje nie są tak godne zaufania jak kanał zaufany ze względu na ich konstrukcję. Kanał jawny to ścieżka w systemie komputerowym lub sieci przeznaczona do autoryzowanego przesyłania danych. Kanał zgodny z zabezpieczeniami wymusza zasady sieciowe. Kanał nadający się do wykorzystania to ukryty kanał, którego celem jest naruszenie polityki bezpieczeństwa.
35. Które z poniższych środków zaradczych przeciwko atakom emanacyjnym?
1. Wysoka polityka znaku wodnego
2. Etykieta informacyjna
3. Strefy kontrolne
4. Biały szum
a. 1 i 2
b. 1 i 3
c. 2 i 3
d. 3 i 4
35.d. Strefy kontrolne i biały szum to środki zaradcze przeciwko atakom emanacyjnym. Strefa kontrolna to przestrzeń otaczająca sprzęt przetwarzający poufne informacje, która jest pod wystarczającą fizyczną i techniczną kontrolą, aby zapobiec nieuprawnionemu wejściu lub naruszeniu bezpieczeństwa. Biały szum to rozkład jednolitego widma losowych sygnałów elektrycznych, tak że intruz nie może odszyfrować rzeczywistych danych z losowych danych (szumów) ze względu na użycie stałej szerokości pasma. Zasada wysokiego znaku wodnego służy do utrzymania górnej granicy danych połączonych. Etykieta informacyjna wynika z etykiety pływającej. Polityka wysokiego znaku wodnego, etykieta informacyjna i pływająca etykieta są częścią ukrytego kanału.
36. Które z poniższych może zwiększyć ataki emanacyjne?
a. Większa separacja między systemem a odbiornikiem
b. Wyższy stosunek sygnału do szumu
c. Bezprzewodowe połączenia sieci lokalnej
d. Więcej stacji roboczych tego samego typu w tej samej lokalizacji
36.c. Trend w kierunku bezprzewodowych połączeń w sieci lokalnej (WLAN) może zwiększyć prawdopodobieństwo pomyślnego przechwycenia, prowadzącego do ataku emanacyjnego. Pozostałe trzy opcje zmniejszają ataki emanacyjne.
37. W hierarchii zaufania systemu komputerowego, które z poniższych jest najmniej zaufane?
a. System operacyjny
b. Użytkownik systemu
c. Sprzęt/oprogramowanie układowe
d. Aplikacja systemowa
37. c. W systemie komputerowym zaufanie jest budowane od najniższej warstwy w górę, przy czym każda warstwa ufa wszystkim warstwom leżącym poniżej, co do wykonywania oczekiwanych usług w sposób niezawodny i godny zaufania. Warstwa sprzętu/oprogramowania układowego znajduje się na dole hierarchii zaufania i jest najmniej zaufana. Warstwa użytkownika systemu znajduje się na szczycie hierarchii zaufania i jest najbardziej zaufana. Na przykład użytkownicy ufają, że system aplikacji będzie zachowywał się w sposób, jakiego od niego oczekują. Warstwy od góry do dołu obejmują użytkownika systemu, system aplikacji, system operacyjny i sprzęt/oprogramowanie układowe.
38. W organizacjach oddzielenie funkcji bezpieczeństwa systemu informatycznego od funkcji niezwiązanych z bezpieczeństwem osiąga się poprzez:
1. Separacja sprzętu
2. Niezależne moduły
3. Struktura warstwowa
4. Minimalne interakcje
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
38. d. System informacyjny izoluje funkcje bezpieczeństwa od funkcji niezwiązanych z bezpieczeństwem za pomocą partycji i domen, w tym kontroli dostępu i integralności sprzętu, oprogramowania i oprogramowania sprzętowego, które wykonują te funkcje bezpieczeństwa. System utrzymuje oddzielną domenę wykonawczą (np. przestrzeń adresową) dla każdego wykonywanego procesu. Wykorzystuje techniki separacji sprzętowej, dzieli funkcje kontroli dostępu i przepływu informacji, utrzymuje funkcje bezpieczeństwa w w dużej mierze niezależnych modułach, co pozwala uniknąć niepotrzebnych interakcji między modułami, oraz utrzymuje funkcje bezpieczeństwa w strukturze warstwowej, minimalizując interakcje między warstwami projektu.
39. W środowisku zaufanej bazy obliczeniowej (TCB) kompromis wynikający z uruchomienia konia trojańskiego można zbadać z której z poniższych perspektyw?
a. Kompromis z góry
b. Kompromis od wewnątrz
c. Kompromis od dołu
d. Kompromis z wielu domen
39. a. Kompromis wynikający z wykonania konia trojańskiego nadużywającego mechanizmu dyskrecjonalnej kontroli dostępu (DAC) jest przykładem powyższego kompromisu. Pozostałe trzy opcje nie pozwalają na takie badanie. Naruszenie bezpieczeństwa od wewnątrz występuje, gdy uprzywilejowany użytkownik lub proces nadużywa przydzielonych uprawnień. Kompromis od dołu występuje w wyniku przypadkowej awarii bazowego zaufanego komponentu. Kompromis z wielu domen nie ma tutaj znaczenia.
40. Wszystkie poniższe są najprostszymi i najpraktyczniejszymi podejściami do kontrolowania dokumentów z aktywną treścią i kodu mobilnego, z wyjątkiem:
a. Izolacja na poziomie systemu
b. Izolacja na poziomie fizycznym
c. Izolacja na poziomie programu
d. Izolacja na poziomie logicznym
40. b. Izolację można zastosować na różnych poziomach, aby zminimalizować szkody wynikające z wstawienia złośliwego ukrytego kodu. Najprostszym z nich jest całkowita izolacja na poziomie systemu (wysokim), a najtrudniejszym jest na poziomie fizycznym (niski poziom) podczas kontrolowania dokumentów treści aktywnej i kodu mobilnego. Poziom fizyczny oznacza bycie blisko sprzętu, obwodów i płyt głównych komputera/stacji roboczej, co nie jest praktyczne w przypadku zdalnego przetwarzania. Oznacza to, że fizyczna izolacja nie zawsze jest możliwa ze względu na zmienne lokalizacji. Jeśli chodzi o izolację na poziomie systemu, produkcyjny system komputerowy, który nie może odbierać dokumentów z aktywną zawartością, nie może być narażony na wstawienie złośliwego kodu ukrytego. Izolacja na poziomie logicznym polega na użyciu ustawień routera lub zestawów reguł zapory. Izolacja na poziomie programu oznacza izolowanie ściśle powiązanych, prawnie zastrzeżonych komponentów programu. Integrując produkty różnych producentów, można skutecznie odizolować komponenty programu od nieużywania standardowych udokumentowanych interfejsów.
41. Które z poniższych zakłada, że kontrola nad wszystkimi lub większością zasobów jest możliwa?
a. Bezpieczeństwo i jakość
b. Niezawodność i dostępność
c. Bezpieczeństwo i przeżywalność
d. Integralność i trwałość
41.c. Wymagania dotyczące bezpieczeństwa i przeżywalności oparte są na koncepcji systemu ograniczonego, która zakłada, że możliwa jest kontrola nad wszystkimi zasobami. Bezpieczeństwo i przeżywalność muszą być częścią początkowego projektu, aby osiągnąć najwyższy poziom skuteczności. Bezpieczeństwo nie powinno być czymś dodanym później w celu poprawy jakości, niezawodności, dostępności, integralności lub trwałości lub gdy pozwala na to budżet lub po ataku już miał miejsce.
42. Które z poniższych eliminuje pojedynczy punkt awarii?
a. SCSI
b. PATA
c. RAID
d. SATA
42. c. Nadmiarowe macierze niezależnych dysków (RAID) chronią przed pojedynczymi punktami awarii. Technologia RAID zapewnia większą niezawodność danych dzięki nadmiarowości - dane mogą być przechowywane na wielu dyskach twardych w macierzy, eliminując w ten sposób pojedyncze punkty awarii i znacznie zmniejszając ryzyko utraty danych. Systemy RAID często adykalnie zwiększ przepustowość zarówno odczytu, jak i zapisu, a także ogólną pojemność, rozprowadzając informacje na wielu dyskach. Początkowo kontrolery RAID były oparte na interfejsie małych systemów komputerowych (SCSI), ale obecnie obsługiwane są wszystkie popularne formy dysków, w tym Parallel-ATA (PATA), Serial-ATA (SATA) i SCSI.
43. W środowisku komputerowym użytkownika końcowego, jaka jest najmniej istotna obawa dla analityka bezpieczeństwa informacji?
a. Eksploracja danych
b. Integralność danych
c. Dostępność danych
d. Przydatność danych
43. a. Eksploracja danych to koncepcja, w której dane są magazynowane do przyszłego wyszukiwania i wykorzystania. Eksploracja danych odgrywa ważną rolę w środowisku mainframe, w przeciwieństwie do środowiska komputera osobistego (użytkownika końcowego). Zarządzanie na wszystkich poziomach opiera się na informacjach generowanych przez systemy komputerowe użytkowników końcowych. Dlatego bezpieczeństwo, integralność, dostępność i użyteczność danych należy uwzględniać w ogólnych planach biznesowych, wymaganiach i celach. Bezpieczeństwo danych chroni poufność, aby zapewnić, że dane są ujawniane tylko upoważnionym osobom. Integralność danych dotyczy takich właściwości, jak dokładność, autoryzacja, spójność, terminowość i kompletność. Dostępność danych zapewnia, że dane są dostępne w dowolnym miejscu i czasie dla upoważnionych stron. Użyteczność danych zapewnia, że dane są wykorzystywane przy podejmowaniu decyzji lub prowadzeniu działalności biznesowej.
44. W środowisku zaufanej bazy obliczeniowej (TCB), które z poniższych nie jest wystarczającym czynnikiem projektowym do wdrożenia separacji domen?
a. Mapowanie pamięci
b. Sprzęt wielostanowy
c. Oprogramowanie wielostanowe
d. Kompilator wielostanowy
44.a. Samo mapowanie pamięci, które polega na manipulowaniu rejestrami mapowania pamięci, nie wystarcza do spełnienia wymogu separacji domen, ale może być użyte do zwiększenia izolacji sprzętu. Pozostałe trzy opcje są przykładami dobrych rozważań projektowych.
45. Egzekwowanie polityki bezpieczeństwa systemu nie oznacza, które z poniższych?
a. Spójność
b. Efektywność
c. Niezawodność
d. Skuteczność
45. b. Zapewnienie zaufania wymaga egzekwowania polityki bezpieczeństwa systemu. Egzekwowanie oznacza spójność, niezawodność i skuteczność. Nie oznacza wydajności, ponieważ skuteczność jest lepsza niż wydajność.
46. Aby zaufana baza obliczeniowa (TCB) mogła egzekwować politykę bezpieczeństwa, musi zawierać które z poniższych elementów?
a. Jednowarstwowa i oddzielna domena
b. Uprzywilejowany użytkownik i proces uprzywilejowany
c. Odporny na manipulacje i bezkompromisowy
d. Zaufana baza reguł i zaufany program
46.c. Aby zaufana baza obliczeniowa (TCB) mogła egzekwować politykę bezpieczeństwa, baza TCB musi być zarówno odporna na manipulacje, jak i bez kompromisów. Pozostałe trzy opcje nie są mocne.
47. W środowisku zaufanej bazy obliczeniowej (TCB) izolacja zasobów nie oznacza, które z poniższych?
a. Powstrzymywanie podmiotów i przedmiotów
b. Kontrola ochrony systemu operacyjnego
c. Nałożenie obowiązkowej kontroli dostępu
d. Audyt podmiotów i przedmiotów
47. c. Zaufana baza obliczeniowa (TCB) nakłada uznaniowe kontrole dostępu (DAC), a nie obowiązkowe kontrole dostępu (MAC). Pozostałe trzy opcje, wraz z arbitralną kontrolą dostępu, zapewniają izolację zasobów.
48. Które z poniższych może prowadzić do pojedynczego punktu awarii?
a. Zdecentralizowane zarządzanie tożsamością
b. Rejestr opisu uniwersalnego, wykrywania i integracji
c. Interfejs aplikacji do programowania
d. Język opisu usług internetowych
48. b. Rejestr uniwersalnego opisu, wykrywania i integracji (UDDI) w usługach sieci Web obsługuje wyświetlanie listy wielu identyfikatorów URI (Universal Resource Identifier) dla każdej usługi sieci Web. Gdy jedno wystąpienie usługi sieci Web nie powiodło się, requestery mogą użyć alternatywnego identyfikatora URI. Użycie UDDI do obsługi przełączania awaryjnego powoduje, że rejestr UDDI staje się awarią pojedynczego punktu. Scentralizowane zarządzanie tożsamością, a nie zdecentralizowane zarządzanie tożsamością, jest podatne na pojedynczy punkt awarii. Interfejs programowania aplikacji (API) i język opisu usług sieci Web (WSDL) nie są podatne na pojedynczy punkt awarii, ponieważ API jest zdefiniowane jako biblioteka podprogramów, a WSDL uzupełnia standard UDDI.
49. Które z poniższych jest najbardziej podatne na pojedynczy punkt awarii?
a. Serwer kwarantanny
b. Serwer proxy
c. Scentralizowany serwer uwierzytelniania
d. Serwer bazy danych
49.c. Rozwiązanie jednokrotnego logowania (SSO) zwykle obejmuje jeden lub więcej scentralizowanych serwerów uwierzytelniania zawierających poświadczenia uwierzytelniania dla wielu użytkowników. Taki serwer staje się pojedynczym punktem awarii do uwierzytelniania do wielu zasobów, więc dostępność serwera wpływa na dostępność wszystkich zasobów, na których polega on na serwerze w zakresie usług uwierzytelniania. Ponadto każde naruszenie serwera może narazić poświadczenia uwierzytelniania dla wielu zasobów. Serwery w pozostałych trzech opcjach nie zawierają poświadczeń uwierzytelniających.
50. Które z poniższych zapewnia scentralizowane podejście do wymuszania aspektów zarządzania tożsamością i bezpieczeństwem implementacji architektury zorientowanej na usługi (SOA) przy użyciu usług sieci Web?
a. Ujednolicony język modelowania (UML)
b. Bramki Extensible Markup Language (XML)
c. Rozszerzony język znaczników hipertekstowych (XHTML)
d. Rozszerzalny język znaczników kontroli dostępu (XACML)
50. b. Bramy Extensible Markup Language (XML) to rozwiązania sprzętowe lub programowe do wymuszania tożsamości i zabezpieczeń dla architektury SOA. Brama XML to dedykowana aplikacja, która umożliwia bardziej scentralizowane podejście na obwodzie sieci. Pozostałe trzy opcje nie zapewniają funkcji zarządzania tożsamością i zabezpieczeniami. UML upraszcza złożony proces projektowania oprogramowania. XHTML to ujednolicający standard, który łączy zalety XML z tymi, jakie daje HTML. XACML to język ogólnego przeznaczenia do określania zasad kontroli dostępu.
51. Które funkcje zabezpieczeń architektury SOA z rozszerzalnym językiem znaczników (XML) opartej na bramach nie zawierają następujących elementów?
a. Zapora
b. Infrastruktura klucza publicznego
c. Podpis cyfrowy
d. Szyfrowanie
51. a. Funkcje zabezpieczeń SOA oparte na bramce XML obejmują infrastrukturę klucza publicznego (PKI), podpisy cyfrowe, szyfrowanie, weryfikację schematów XML, ochronę antywirusową i rozpoznawanie wzorców. Nie zawiera funkcji zapory; chociaż działa jak zapora na obwodzie sieci.
52. Które z poniższych usług bezpieczeństwa nie są potrzebne do celu bezpieczeństwa rozliczalności?
a. Rewizja
b. Niezaprzeczalność
c. Egzekwowanie kontroli dostępu
d. Prywatność transakcji
52. d. Prywatność transakcji to usługa bezpieczeństwa, która spełnia cel bezpieczeństwa poufności. Pozostałe trzy wybory spełniają cel bezpieczeństwa rozliczalności.
53. Która z poniższych usług bezpieczeństwa nie jest wspólna dla celu bezpieczeństwa dostępności i celu bezpieczeństwa zapewnienia?
a. Rewizja
b. Upoważnienie
c. Egzekwowanie kontroli dostępu
d. Dowód całości
53. a. Usługa audytu jest potrzebna dla celu zapewnienia bezpieczeństwa, ale nie dla celu bezpieczeństwa dostępności. Pozostałe trzy opcje są wspólne dla dostępności i celu bezpieczeństwa.
54. Ograniczenie stosowania procedur dynamicznej alokacji portów jest częścią następujących działań mających na celu zabezpieczenie wielu użytkowników i wieloplatformowych środowisk?
a. Kontrola zarządzania
b. Kontrola techniczna
c. Kontrole fizyczne
d. Kontrole proceduralne
54. b. Kontrolowanie wielu użytkowników i multiplatform wymaga kontroli technicznych, takich jak ograniczanie użycia procedur dynamicznej alokacji portów. Kontrole techniczne są wdrażane za pomocą mechanizmów bezpieczeństwa zawartych w sprzęcie, oprogramowaniu lub składnikach oprogramowania układowego systemu. Kontrole zarządcze dotyczą zarządzania ryzykiem, polityk, dyrektyw, zasad zachowania, odpowiedzialności i decyzji dotyczących bezpieczeństwa personelu. Kontrole fizyczne i kontrole proceduralne są częścią kontroli operacyjnych, które są codziennymi procedurami, w których są wdrażane i wykonywane przez ludzi, a nie przez systemy.
55. Które z poniższych odnosi się do rozwiązań logicznej izolacji systemu w celu zapobiegania naruszeniom bezpieczeństwa?
1. Strefy zdemilitaryzowane
2. Ekranowane zapory podsieci
3. Bramki poczty elektronicznej
4. Serwery proxy
a. 1 i 2
b. 1 i 3
c. 3 i 4
d. 1, 2, 3 i 4
55. a. Izolacja systemu oznacza oddzielenie od siebie modułów lub komponentów systemu w celu wyeliminowania lub ograniczenia uszkodzeń. Warstwy usług i mechanizmów bezpieczeństwa obejmują strefy zdemilitaryzowane (DMZ) i zapory sieciowe podsieci. Bramy poczty e-mail i serwery proxy są przykładami kontroli bezpieczeństwa na granicy logicznego dostępu.
56. W którym z poniższych modeli operacyjnych zabezpieczeń minimalna poświadczenia użytkownika nie została wyczyszczona, a maksymalna ilość danych?
wrażliwość nie jest sklasyfikowana?
a. Dedykowany tryb bezpieczeństwa
b. Tryb ograniczonego dostępu
c. Tryb wysokiego bezpieczeństwa systemu
d. Tryb partycjonowany
56. b. Polityki bezpieczeństwa definiują tryby bezpieczeństwa. Tryb bezpieczeństwa to tryb działania, w którym kierownictwo akredytuje działanie systemu komputerowego. Jednym z takich trybów jest tryb ograniczonego dostępu, w którym minimalne zezwolenie użytkownika nie jest usuwane, a maksymalna wrażliwość danych nie jest klasyfikowana, ale wrażliwa. Dedykowany tryb bezpieczeństwa jest nieprawidłowy. Jest to tryb działania, w którym system jest specjalnie i wyłącznie przeznaczony i kontrolowany do przetwarzania określonego rodzaju lub klasyfikacji informacji, czy to w pełnym wymiarze godzin, czy przez określony czas. Tryb wysokiego poziomu bezpieczeństwa systemu jest nieprawidłowy. Jest to tryb działania, w którym sprzęt lub oprogramowanie systemu jest zaufane, aby zapewniać tylko niezbędną ochronę między użytkownikami. W tym trybie cały system, w tym wszystkie elementy połączone elektrycznie i/lub fizycznie, musi działać ze środkami bezpieczeństwa współmiernymi do najwyższej klasyfikacji i wrażliwości przetwarzanych i/lub przechowywanych informacji. Wszyscy użytkownicy systemu w tym środowisku muszą posiadać upoważnienia i upoważnienia do wszystkich informacji zawartych w systemie, a wszystkie dane wyjściowe systemu muszą być wyraźnie oznaczone najwyższą klasyfikacją i wszystkimi zastrzeżeniami systemu, dopóki informacje nie zostaną ręcznie sprawdzone przez upoważnioną osobę w celu zapewnienia odpowiednich wprowadzono klasyfikacje i zastrzeżenia. Tryb partycjonowania jest nieprawidłowy. Jest to tryb działania, w którym wszystkie osoby mają zgodę, ale niekoniecznie konieczność posiadania wiedzy i formalną zgodę na dostęp, do wszystkich danych obsługiwanych przez system komputerowy.
57. Które z poniższych nie jest jak zawartość aktywna?
a. Dokumenty postaci
b. Automatyczne uruchamianie akcji
c. Przenośne instrukcje
d. Interpretowalna treść
57. a. Ogólnie rzecz biorąc, zawartość aktywna odnosi się do dokumentów elektronicznych, które w przeciwieństwie do dokumentów z dawnymi znakami opartych na ASCII, mogą automatycznie wykonywać lub uruchamiać działania bez bezpośredniego lub świadomego wywoływania działań przez osobę fizyczną. Technologie zawartości aktywnej umożliwiają wykonanie kodu w postaci skryptu, makra lub innego rodzaju przenośnej reprezentacji instrukcji podczas renderowania dokumentu. Przykładami aktywnej zawartości są dokumenty PostScript, strony internetowe zawierające aplety Java i instrukcje JavaScript, zastrzeżone pliki w formacie aplikacji komputerowych zawierające makra, formuły arkuszy kalkulacyjnych lub inną dającą się zinterpretować zawartość, a także interpretowane formaty poczty elektronicznej z osadzonym kodem lub zawierające wykonywalne załączniki. Poczta elektroniczna i strony WWW dostępne za pośrednictwem Internetu zapewniają skuteczne sposoby przekazywania aktywnych treści, ale nie są jedynymi. Technologie zawartości aktywnej obejmują szeroką gamę produktów i usług i obejmują różne środowiska obliczeniowe, w tym te związane z komputerami stacjonarnymi, stacjami roboczymi, serwerami i bramami.
58. Które z poniższych tworzy ukryty kanał?
a. Stosowanie stałych etykiet
b. Stosowanie etykiet zmiennych
c. Korzystanie z pływających etykiet
d. Korzystanie z niepływających etykiet
58.c. Problem z ukrytym kanałem wynikający z użycia pływających etykiet może prowadzić do błędnych etykiet informacyjnych, ale nie może być używany do naruszania polityki kontroli dostępu narzuconej przez stałe etykiety. Etykieta stała zawiera poziom "wrażliwości" i jest jedyną etykietą używaną do kontroli dostępu. Pływająca etykieta zawiera poziom "informacyjny", który składa się z drugiego poziomu wrażliwości i dodatkowych oznaczeń bezpieczeństwa.
59. Atakujący instalujący oprogramowanie szpiegujące i łączący platformę komputerową z botnetem są przykładami których z poniższych?
a. Ataki zorientowane na przeglądarkę
b. Ataki zorientowane na serwer
c. Ataki zorientowane na sieć
d. Ataki zorientowane na użytkownika
59. a. Atakujący mogą wykorzystać luki w przeglądarkach w środowiskach wykonywania kodu mobilnego. Atakujący mogą instalować oprogramowanie szpiegujące, łączyć platformę komputerową z botnetem lub modyfikować konfigurację platformy, co jest przykładami ataków na przeglądarkę.
60. Które z poniższych dotyczy wszystkich aspektów projektu systemu lub rozwiązanie zabezpieczające?
a. Polityka
b. Procedura
c. Standard
d. Kontrola
60. a. Polityka bezpieczeństwa jest stosowana do wszystkich aspektów projektowania systemu lub rozwiązania zabezpieczającego. Polityka określa cele bezpieczeństwa (tj. poufność, integralność i dostępność), które system powinien wspierać, a cele te wyznaczają procedury, standardy i mechanizmy kontrolne stosowane w projektowaniu architektury bezpieczeństwa IT.
61. System wykorzystuje wystarczające środki integralności sprzętu i oprogramowania, aby umożliwić jego wykorzystanie do jednoczesnego przetwarzania szeregu informacji wrażliwych lub niejawnych. Które z poniższych pasuje do tego opisu?
a. System granic
b. Zaufany system
c. Otwarty system
d. Zamknięty system
61. b. Zaufany system wykorzystuje wystarczające środki integralności sprzętu i oprogramowania, aby umożliwić jego użycie do jednoczesnego przetwarzania szeregu informacji wrażliwych lub niejawnych. System granic może ustanowić granice zewnętrzne i granice wewnętrzne w celu monitorowania i kontrolowania komunikacji między systemami. System graniczny wykorzystuje urządzenia zabezpieczające granice (np. serwery proxy, bramy, routery, zapory ogniowe, ochronę sprzętu/oprogramowania i szyfrowane tunele) na zarządzanych interfejsach. Otwarty system to system niezależny od dostawcy, zaprojektowany w celu łatwego łączenia się z produktami innych dostawców. System zamknięty jest przeciwieństwem systemu otwartego, ponieważ wykorzystuje system zależny od dostawcy.
62. Usterkę w systemie komputerowym można wykorzystać. Które z poniższych jest najlepszym lekarstwem?
a. Zatrudnij więcej analityków bezpieczeństwa IT.
b. Zatrudnij więcej audytorów systemów IT.
c. Zainstaluj więcej zabezpieczeń warstwowych IT.
d. Zatrudnij więcej wykonawców bezpieczeństwa IT.
62. c. Warstwowe zabezpieczenia (dogłębna obrona) mogą być zainstalowane, aby zapobiec możliwości wykorzystania. Projekt systemu architektonicznego może również pomóc w zapobieganiu możliwości wykorzystania. Warstwowe zabezpieczenia obejmują najmniej przywilejów, ponowne wykorzystanie obiektów, separację procesów, modułowość i zaufane systemy. Pozostałe trzy opcje nie zapewniają najlepszego środka zaradczego.
63. W przypadku standardu bezpieczeństwa danych w branży kart płatniczych (PCIDSS), który z poniższych środków bezpieczeństwa nie może spełnić celów kontrolnych związanych z budową i utrzymaniem bezpiecznej sieci?
a. Zainstaluj konfiguracje zapory.
b. Nie używaj domyślnych haseł systemowych.
c. Szyfruj transmisję danych posiadacza karty.
d. Nie używaj wartości domyślnych dla parametrów bezpieczeństwa.
63. c. Szyfrowanie transmisji danych posiadacza karty w otwartych sieciach publicznych spełnia inny cel kontroli ochrony danych posiadacza karty, a nie cel kontroli budowania i utrzymywania bezpiecznej sieci. Pozostałe trzy opcje spełniają cel budowy i utrzymania bezpiecznej sieci.
64. W przypadku standardu bezpieczeństwa danych w branży kart płatniczych (PCIDSS), który z poniższych środków bezpieczeństwa nie może spełnić celu kontroli, jakim jest utrzymywanie programu zarządzania podatnością na zagrożenia?
a. Regularnie aktualizuj oprogramowanie antywirusowe.
b. Chroń przechowywane dane posiadaczy kart.
c. Utrzymuj bezpieczne systemy operacyjne.
d. Utrzymuj bezpieczne systemy aplikacji.
64. b. Ochrona przechowywanych danych posiadaczy kart spełnia inny cel kontroli niż ochrona danych posiadaczy kart, a nie ten, o którym mowa w pytaniu. Pozostałe trzy opcje spełniają cel kontrolny polegający na utrzymaniu programu zarządzania podatnościami.
65. Które z poniższych jest związane z używaniem plików cookie w Internecie?
a. Problem z integralnością
b. Kwestia prywatności
c. Problem z łącznością
d. Kwestia odpowiedzialności
65. b. Pliki cookie zostały wymyślone, aby umożliwić stronom internetowym zapamiętywanie swoich użytkowników od wizyty do wizyty. Ponieważ pliki cookie gromadzą dane osobowe o użytkowniku sieci, rodzi to kwestie prywatności, takie jak informacje, które są gromadzone i jak są wykorzystywane. Pliki cookie nie powodują problemów z integralnością, łącznością ani odpowiedzialnością.
66. Które z poniższych nie stanowi samo w sobie ryzyka dla Strukturyzowanego Serwera Języka Zapytań (SQL)?
a. Transakcje równoległe
b. Impas
c. Odmowa usługi
d. Utrata integralności danych
66. a. Równoczesna transakcja sama w sobie nie stanowi ryzyka. Serwer SQL musi zapewnić uporządkowany dostęp do danych, gdy współbieżne transakcje próbują uzyskać dostęp do tych samych danych i je zmodyfikować. Serwer SQL musi zapewniać odpowiednie funkcje zarządzania transakcjami, aby zapewnić synchronizację tabel i elementów w tabelach. Pozostałe trzy opcje to ryzyka wynikające z obsługi transakcji równoległych.
67. Pewności systemu nie można zwiększyć o które z poniższych?
a. Stosowanie bardziej złożonych rozwiązań technicznych
b. Korzystanie z bardziej godnych zaufania komponentów
c. Ograniczanie zakresu podatności
d. Instalowanie nietechnicznych środków zaradczych
67. a. Zapewnienie systemu jest podstawą zaufania, że podmiot spełnia swoje cele bezpieczeństwa, a także cechy systemu, które dają pewność, że system spełnia swoje zamierzone przeznaczenie. Stosowanie bardziej złożonych rozwiązań technicznych może zwiększyć złożoność wdrażania kontroli bezpieczeństwa. Proste rozwiązania są lepsze. Pozostałe trzy opcje mogą zwiększyć pewność systemu.
68. Które z poniższych usług bezpieczeństwa mają zastosowanie do celu ochrony poufności?
a. Usługi prewencyjne
b. Usługi wykrywania
c. Usługi korekcyjne
d. Usługi odzyskiwania
68. a. Tylko służby prewencyjne są potrzebne do zachowania celu bezpieczeństwa poufności. W przypadku utraty poufności nie można przywrócić. Pozostałe trzy opcje nie mają zastosowania do celu bezpieczeństwa poufności.
69. Usługi bezpieczeństwa, które zapewniają cele bezpieczeństwa dostępności, określają również, który z poniższych celów bezpieczeństwa?
a. Uczciwość
b. Poufność
c. Odpowiedzialność
d. Zapewnienie
69. a. Przykłady powszechnych usług bezpieczeństwa między celami dostępności i integralności obejmują autoryzację dostępu i egzekwowanie kontroli dostępu. Podstawowe usługi dostępności to te, które bezpośrednio wpływają na zdolność systemu do utrzymania efektywności operacyjnej. Jednym z aspektów utrzymania efektywności operacyjnej jest ochrona przed nieautoryzowanymi zmianami lub usunięciem poprzez zdefiniowanie autoryzowanego dostępu i egzekwowanie kontroli dostępu. Skuteczność operacyjną utrzymuje się również poprzez wykrywanie włamań, wykrywanie utraty całości i zapewnianie środków powrotu do bezpiecznego stanu. Usługi zapewniające dostępność zapewniają również integralność. Dzieje się tak, ponieważ utrzymanie lub przywrócenie integralności systemu jest zasadniczą częścią utrzymania dostępności systemu. Z definicji integralność to właściwość polegająca na tym, że chronione i wrażliwe dane nie zostały zmodyfikowane lub usunięte w nieautoryzowany i niewykryty sposób. Z definicji dostępność oznacza zapewnienie terminowości i niezawodności dostępu do danych i informacji oraz korzystanie z nich przez upoważnionych użytkowników. W jaki sposób dane są dostępne dla upoważnionych użytkowników, jeśli zostały usunięte lub zniszczone? Usługi bezpieczeństwa świadczone w celu spełnienia celów bezpieczeństwa, takich jak dostępność, poufność, odpowiedzialność i zapewnienie bezpieczeństwa, nie mają ze sobą nic wspólnego.
70. Którego z poniższych przykładów jest fałszowanie stron internetowych przy użyciu ataku typu man-in-the-middle?
a. Ataki zorientowane na przeglądarkę
b. Ataki zorientowane na serwer
c. Ataki zorientowane na sieć
d. Ataki zorientowane na użytkownika
70. c. Atakujący może uzyskać informacje, podszywając się pod serwer sieci Web za pomocą ataku typu man-in-the-middle (MitM), w którym żądania i odpowiedzi są przekazywane przez oszusta jako czujnego pośrednika. Taki atak Web spoofing umożliwia oszustowi śledzenie nie tylko jednego docelowego serwera, ale także każdego kolejnego serwera, do którego uzyskano dostęp w sieci.
71. Które z poniższych jest przykładem zabezpieczenia technicznego, aby ograniczyć ryzyko związane z korzystaniem z treści aktywnych?
a. Filtry
b. Obsługa reakcji na incydent
c. Polityka bezpieczeństwa
d. Ocena ryzyka
71. a. Filtry mogą badać kod programu w punktach wejścia i blokować lub wyłączać go, jeśli zostanie uznany za szkodliwy. Przykłady filtrów obejmują filtrowanie przychodzące, filtrowanie wychodzące i systemy wykrywania włamań. Inne trzy wybory to przykłady zabezpieczeń zarządczych i operacyjnych (kontroli).
72. Które z poniższych jest przykładem zabezpieczenia technicznego, aby złagodzić ryzyko związane z korzystaniem z treści aktywnych?
a. Audyt bezpieczeństwa
b. Oceniana technologia
c. Ustawienia aplikacji
d. Klatki programowe
72. d. Klatki programowe lub mechanizmy kwarantanny (zabezpieczenia techniczne) mogą ograniczać zachowanie kodu programu podczas jego wykonywania poprzez dynamiczne przechwytywanie i udaremnianie przez kod podmiotu prób podjęcia niedopuszczalnych działań, które naruszają politykę bezpieczeństwa. Pozostałe trzy opcje to przykłady zabezpieczeń zarządczych i operacyjnych.
73. Które z poniższych jest przykładem zabezpieczenia technicznego, aby złagodzić ryzyko związane z korzystaniem z treści aktywnych?
a. Kontrola wersji
b. Podpisy cyfrowe
c. Zarządzanie poprawkami
d. Izolacja systemu
73. b. Podpisy cyfrowe mogą uniemożliwić wykonanie kodu programu, chyba że jest on podpisany cyfrowo przez zaufane źródło (zabezpieczenie techniczne). Pozostałe trzy opcje to przykłady zabezpieczeń zarządczych i operacyjnych.
74. Które z poniższych jest przykładem zabezpieczenia technicznego, aby ograniczyć ryzyko związane z korzystaniem z treści aktywnych?
a. Wirtualizacja
b. Izoluj zastrzeżone komponenty programu
c. Kod dowodu noszenia
d. Izoluj ściśle powiązane programy
74.c. Kod przenoszenia dowodu (zabezpieczenie techniczne) zawiera właściwości bezpieczeństwa kodu programu. Kod i dowód są przesyłane razem do odbiorcy kodu (użytkownika), gdzie można zweryfikować właściwości bezpieczeństwa przed wykonaniem kodu. Pozostałe trzy opcje to przykłady zabezpieczeń zarządczych i operacyjnych.
75. Które z poniższych stwierdzeń dotyczących działania chipa modułu zaufanej platformy (TPM) są prawdziwe?
1. Układ TPM jest obchodzony, gdy jest wyłączony z dostępem fizycznym.
2. Układ TPM ma hasło właściciela, aby chronić poufność danych.
3. Dane TPM nie są usuwane po zresetowaniu układu TPM po utracie hasła.
4. Kopię zapasową danych modułu TPM lub hasła właściciela należy utworzyć w alternatywnej bezpiecznej lokalizacji.
a. 1 i 3
b. 2 i 4
c. 3 i 4
d. 1, 2, 3 i 4
75. b. Każdy chip zaufanego modułu platformy (TPM) wymaga hasła właściciela w celu ochrony poufności danych. Dlatego wybrane hasła powinny być silne. Należy utworzyć kopię zapasową hasła właściciela lub danych w module TPM w alternatywnej bezpiecznej lokalizacji. Układu TPM nie można obejść nawet po jego wyłączeniu przez osobę mającą fizyczny dostęp do systemu, ponieważ układ znajduje się na płycie głównej komputera. Jeśli hasło właściciela zostanie zgubione, skradzione lub zapomniane, chip można zresetować przez wyczyszczenie modułu TPM, ale ta czynność spowoduje również wyczyszczenie wszystkich danych przechowywanych w module TPM.
76. Które z poniższych elementów może chronić chip modułu zaufanej platformy (TPM)?
1. Podpisy cyfrowe
2. Certyfikaty cyfrowe
3. Hasła
4. Klucze kryptograficzne
a. 1 i 2
b. 2 i 4
c. 3 i 4
d. 1, 2, 3 i 4
76. c. Chip Trusted Platform Module (TPM) to odporny na manipulacje układ scalony wbudowany w niektóre płyty główne komputerów, który może wykonywać operacje kryptograficzne (w tym generowanie kluczy) i chronić niewielkie ilości poufnych informacji, takich jak hasła i klucze kryptograficzne. Układ TPM nie może chronić podpisów cyfrowych i certyfikatów, ponieważ wymagają one złożonych algorytmów kryptograficznych do generowania i weryfikacji podpisów cyfrowych oraz do walidacji certyfikatów cyfrowych.
77. Które z poniższych środków bezpieczeństwa są potrzebne do ochrony cyfrowych i niecyfrowych nośników w spoczynku na wybranych dodatkowych urządzeniach pamięci masowej?
1. Kryptografia
2. Kontrole bezpieczeństwa fizycznego
3. Zablokowany pojemnik do przechowywania
4. Proceduralne kontrole bezpieczeństwa
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
77. a. Zarówno cyfrowe, jak i niecyfrowe nośniki powinny być chronione za pomocą kryptografii (szyfrowania) i fizycznych zabezpieczeń, gdy znajdują się w spoczynku na wybranych dodatkowych urządzeniach pamięci masowej. Zamknięte pojemniki do przechowywania i proceduralne zabezpieczenia nie są odpowiednie dla nośników w stanie spoczynku.
78. Podejścia poliinstancyjne mają na celu rozwiązanie, które z następujące problemy w bazach danych?
a. Brak spokoju
b. Brak refleksyjności
c. Brak przechodniości
d. Brak dwoistości
78. a. Brak spokoju ujawnia problem, który nazwano "konfliktem wielokrotnych aktualizacji". Najlepszym rozwiązaniem tego problemu są podejścia oparte na poliinstancjacjach. Tranquility to właściwość stosowana do zbioru kontrolowanych podmiotów mówiąca, że ich poziom bezpieczeństwa może się nie zmienić. Zasadą spokoju jest to, że zmiany atrybutów kontroli dostępu obiektu są zabronione, o ile jakikolwiek podmiot ma dostęp do obiektu. Zwrotność i przechodniość to dwie podstawowe właściwości przepływu informacji. Dualność to związek między nieujawnianiem a integralnością.
79. Która z poniższych strategii służy do ochrony przed zagrożeniami i słabymi punktami na każdym etapie cyklu życia systemu, sieci i produktu?
a. Obrona w błocie
b. Obrona w głębi
c. Obrona w technologii
d. Obrona w czasie
79. a. Strategia obrony w szerokim zakresie służy do identyfikowania, zarządzania i ograniczania ryzyka możliwych do wykorzystania luk w zabezpieczeniach na każdym etapie cyklu życia systemu, sieci lub produktu. Osiąga się to poprzez zastosowanie uzupełniających się, wzajemnie wzmacniających się strategii bezpieczeństwa w celu łagodzenia zagrożeń, słabych punktów i ryzyka. Ochrona w głąb wykorzystuje warstwy zabezpieczeń, technologia obrony w czasie wykorzystuje kompatybilne platformy technologiczne, a obrona w czasie uwzględnia różne strefy czasowe na świecie do obsługi globalnych systemów informatycznych.
80. Które z poniższych jest prawdziwym stwierdzeniem dotyczącym zawartości Active-X?
1. Zależy od języka.
2. Jest specyficzny dla platformy.
3. Jest niezależny od języka.
4. Nie jest specyficzna dla platformy.
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1 i 4
80. b Ponieważ Active-X jest strukturą dla technologii komponentów oprogramowania firmy Microsoft, jest on specyficzny dla platformy, ponieważ zawartość Active-X może być wykonywana na 32-bitowej lub 64-bitowej platformie Windows. Jest niezależny od języka, ponieważ zawartość Active-X może być napisana w kilku różnych językach, w tym C, C++, Visual Basic i Java. Pamiętaj, że Java, Active-X i wtyczki mogą być złośliwe lub wrogie.
81. Co oznacza wdrożenie funkcji bezpieczeństwa w systemie informatycznym z wykorzystaniem struktury warstwowej?
1. Korzystanie z wielopoziomowych bezpiecznych systemów
2. Korzystanie z systemów o wielu poziomach bezpieczeństwa
3. Unikanie zależności niższych warstw od funkcjonalności wyższych warstw
4. Minimalizacja interakcji między warstwami projektu
a. 1 i 3
b. 2 i 4
c. 3 i 4
d. 1, 2, 3 i 4
81. c. Funkcje bezpieczeństwa w systemie informatycznym powinny być zaimplementowane przy użyciu struktury warstwowej, która minimalizuje interakcje między warstwami projektu i unika zależności warstw niższych od funkcjonalności lub poprawności warstw wyższych. Wielopoziomowe lub wielopoziomowe nie mają interakcji ani zależności, tak jak warstwy, ponieważ zajmują się poświadczeniami bezpieczeństwa i autoryzacjami dostępu.
82. Które z poniższych jest przykładem hybrydowych zabezpieczeń technicznych, aby złagodzić ryzyko związane z wykorzystaniem treści aktywnych?
a. Analiza ryzyka i zarządzanie bezpieczeństwem
b. Warstwowe zabezpieczenia i polityka bezpieczeństwa
c. Klatki programowe i podpisy cyfrowe
d. Minimalna funkcjonalność i najmniej przywilejów
82. c. Hybrydowe zabezpieczenia łączą więcej niż jedną kontrolę. Połączenie klatek oprogramowania i podpisów cyfrowych jest przykładem hybrydowego zabezpieczenia technicznego. Pozostałe trzy opcje to przykłady zabezpieczeń zarządczych i operacyjnych.
83. Które z poniższych jest przykładem hybrydowych zabezpieczeń technicznych, aby złagodzić ryzyko korzystania z treści aktywnych?
a. Dowód przenoszenia kodu i filtrów
b. Polityka bezpieczeństwa i audyt bezpieczeństwa
c. Kontrola wersji i zarządzanie poprawkami
d. Izolacja systemu i ustawienia aplikacji
83. a. Hybrydowe zabezpieczenia techniczne łączą więcej niż jedną kontrolę. Połączenie kodu dowodowego i filtrów jest przykładem hybrydowego zabezpieczenia technicznego. Połączenie kodu przenoszącego dowód i klatki oprogramowania jest znane jako kod przenoszący model. Pozostałe trzy opcje to przykłady zabezpieczeń zarządczych i operacyjnych.
84. Która z poniższych platform IT boryka się z sytuacją pojedynczego punktu awarii?
a. Sieci rozległe
b. Systemy rozproszone
c. Systemy mainframe
d. Strony internetowe
84. a. Sieć rozległa (WAN) to sieć transmisji danych składająca się z co najmniej dwóch sieci lokalnych (LAN) rozproszonych na dużym obszarze geograficznym. Łącza komunikacyjne, zwykle dostarczane przez operatora publicznego, umożliwiają interakcję jednej sieci LAN z innymi sieciami LAN. Jeśli używane są redundantne łącza komunikacyjne, ważne jest, aby zapewnić, że łącza są fizycznie odseparowane i nie podążają tą samą ścieżką; w przeciwnym razie pojedynczy incydent, taki jak przecięcie kabla, może zakłócić działanie obu łączy. Podobnie, jeśli nadmiarowe łącza komunikacyjne są dostarczane przez wielu dostawców usług sieciowych (NSP), ważne jest, aby zapewnić, że dostawcy NSP w żadnym momencie nie współdzielą wspólnych urządzeń. W związku z tym łącza komunikacyjne i dostawcy usług sieciowych mogą stać się pojedynczym punktem awarii sieci WAN. Systemy rozproszone, systemy mainframe i witryny internetowe nie mają problemów z pojedynczym punktem awarii, ponieważ sieci WAN są bardziej skomplikowane.
85. Które z poniższych nie jest powiązane z pozostałymi?
a. Piaskownica
b. S-box
c. Dynamiczna piaskownica
d. Piaskownica behawioralna
85. b. S-box jest nieliniową tablicą podstawień używaną w kilku transformacjach podstawienia bajtów w procedurze rozwijania klucza kryptograficznego w celu wykonania podstawienia jeden do jednego wartości bajtu. S-box nie jest powiązany z trzema opcjami. Aplikacja w piaskownicy ma zazwyczaj ograniczony dostęp do systemu plików lub sieci (np. JavaApplet). Rozszerzone technologie piaskownicy obejmują dynamiczną piaskownicę lub monitor środowiska uruchomieniowego (tj. piaskownicę behawioralną), które są używane w klatkach oprogramowania i kodzie dowodowym w celu ochrony przed aktywną zawartością i kontrolowania zachowania kodu mobilnego.
86. W przypadku luk w zabezpieczeniach informacji, co to jest niezależna walidacja systemu informatycznego prowadzona przez?:
a. Testy penetracyjne
b. Testy zgodności
c. Testowanie czerwonej drużyny
d. Testowanie zespołu niebieskiego
86. b. Testy zgodności to rodzaj testów zgodności przeprowadzanych przez niezależne strony w celu zapewnienia kierownictwa, że specyfikacje systemu są przestrzegane poprzez walidację, która może obejmować testowanie. Na przykład, testowanie zgodności jest przeprowadzane na module kryptograficznym pod kątem standardów algorytmu kryptograficznego. Testy penetracyjne przeprowadzane są przez zespół czerwony lub zespół niebieski.
87. Które z poniższych stwierdzeń nie jest prawdziwe? Hurtownia danych to:
a. Rozpowszechniane
b. Zorientowany na przedmiot
c. Wariant czasowy
d. Statyczny charakter
87. a. Bazy danych mogą być dystrybuowane, ale nie hurtownia danych. Rozproszona hurtownia danych może mieć wszystkie problemy związane z bezpieczeństwem, z jakimi boryka się rozproszona baza danych. Z punktu widzenia bezpieczeństwa hurtownia danych zapewnia możliwość centralnego zarządzania dostępem do danych organizacji niezależnie od konkretnej lokalizacji. Hurtownia danych ma charakter przedmiotowy, zmienny w czasie i statyczny.
88. Systemy aplikacji bazodanowych mają podobieństwa i różnice w stosunku do tradycyjnych systemów aplikacji plików płaskich. W którym z poniższych obszarów kontrolnych systemy baz danych różnią się najbardziej?
a. Więzy integralności
b. Kontrola dostępu
c. Procedury edycji i walidacji danych
d. Odzyskiwanie danych
88. a. Integralność referencyjna oznacza, że żaden rekord nie może zawierać odniesienia do klucza podstawowego nieistniejącego rekordu. Kaskadowe usuwanie, jedna z funkcji sprawdzania integralności referencyjnej, występuje, gdy rekord jest usuwany, a wszystkie inne rekordy, do których się odwołuje, są automatycznie usuwane. Jest to szczególna cecha aplikacji bazodanowych. Pozostałe trzy wybory są niepoprawne, ponieważ są takie same dla systemów plików tekstowych i baz danych. Obaj potrzebują kontroli dostępu, aby uniemożliwić nieautoryzowanym użytkownikom dostęp do systemu, obaj potrzebują kontroli edycji i sprawdzania poprawności danych, aby zapewnić integralność danych, i oba potrzebują technik odzyskiwania danych w celu odzyskania z uszkodzonego lub utraconego pliku.
89. Reengineering oprogramowania ma miejsce, gdy:
a. Techniki inżynierii oprogramowania są stosowane do naprawy starego oprogramowania.
b. Istniejący system jest analizowany i dodawany jest nowy system.
c. Istniejący kod programistyczny jest ręcznie konwertowany na bazę danych.
d. Techniki inżynierii oprogramowania są stosowane do projektowania nowego systemu.
89. b. Reengineering oprogramowania to podejście polegające na dodaniu nowej funkcjonalności do istniejącego systemu. W przeciwieństwie do inżynierii oprogramowania wstecznego, która ma na celu przetworzenie istniejących specyfikacji w całkowicie nowy system, reengineering oprogramowania rozszerza funkcjonalność systemu bez jego ponownego tworzenia. Inżynieria oprogramowania to stosowanie systematycznego, zdyscyplinowanego, wymiernego podejścia do rozwoju, obsługi i konserwacji oprogramowania; czyli wykorzystanie zasad inżynierskich w tworzeniu oprogramowania. Wykorzystuje połączenie zautomatyzowanego i ręczne narzędzia, techniki i procedury.
90. Stosowane są mechanizmy zarządzania transakcjami, aby zapewnić, że baza danych w strukturalnym języku zapytań (SQL) pozostaje przez cały czas w spójnym stanie. Które z poniższych instrukcji SQL nie jest częścią funkcji zarządzania transakcjami?
a. Wycofanie
b. Do przodu
c. Popełniać
d. Punkt zapisu
90. b. Baza danych może być w stanie spójnym lub niespójnym. Spójny stan oznacza, że wszystkie tabele (lub wiersze) odzwierciedlają pewne zmiany w świecie rzeczywistym. Niespójny stan oznacza, że niektóre tabele (lub wiersze) zostały zaktualizowane, ale inne nadal odzwierciedlają stary świat. Mechanizm zarządzania transakcjami umożliwia powrót bazy danych do poprzedniego spójnego stanu w przypadku wystąpienia błędu. Roll-forward przywraca bazę danych od momentu, w którym wiadomo, że jest poprawna, do późniejszego czasu. Wycofanie zmian jest niepoprawne, ponieważ instrukcja wycofania przerywa transakcję i anuluje wszystkie zmiany w bazie danych, w tym zmiany danych lub schematu. Powoduje to powrót bazy danych do poprzedniego spójnego stanu. Commit jest niepoprawny, ponieważ instrukcja commit kończy transakcję i zatwierdza wszystkie zmiany w bazie danych, w tym zmiany danych i schematu. Dzięki temu zmiany są dostępne dla innych aplikacji. Jeśli oświadczenie zatwierdzające nie może zakończyć transakcji pomyślnie, na przykład ograniczenie nie jest spełnione, zgłaszany jest wyjątek i wykonywane jest niejawne wycofanie. Savepoint jest niepoprawny, ponieważ funkcja savepoint umożliwia użytkownikowi zaznaczanie punktów w transakcji, tworząc podtransakcje. Dzięki tej funkcji użytkownik może wycofać części transakcji bez wpływu na inne podtransakcje.
91. Serwer języka zapytań strukturalnych (SQL) umożliwia wielu użytkownikom równoczesny dostęp do tej samej bazy danych. Która z poniższych blokad jest utrzymywana do końca transakcji?
a. Ekskluzywny zamek
b. Blokada strony
c. Blokada stołu
d. Blokada odczytu
91. a. Bardzo ważne jest odizolowanie transakcji wykonywanych przez różnych użytkowników, aby upewnić się, że jeden użytkownik nie odczytuje niezatwierdzonych transakcji innego użytkownika. Blokady na wyłączność są utrzymywane do końca transakcji i używane tylko do operacji modyfikacji danych. Serwer SQL blokuje strony lub całe tabele, w zależności od planu kwerend dla transakcji. Blokady odczytu są zwykle utrzymywane tylko na tyle długo, aby przeczytać stronę, a następnie są zwalniane. Są to sposoby zapobiegania zakleszczeniu, gdy kilku użytkowników jednocześnie żąda tego samego zasobu.
92. Które z poniższych jest przykładem ostatniej linii obrony?
a. Bariery obwodowe
b. Ubezpieczenie mienia
c. Rozdzielenie obowiązków
d. Oprogramowanie do weryfikacji integralności
92. b. Ubezpieczenie mienia od klęsk żywiołowych lub katastrof spowodowanych przez człowieka jest przykładem ostatniej linii obrony, podczas gdy pozostałe trzy opcje są przykładami mechanizmów pierwszej linii obrony. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają one ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych. Linia obrony stanowi zasadniczą część strategii pogłębionej obrony lub strategii pogłębionego bezpieczeństwa.
93. Które z poniższych jest przykładem drugiej linii obrony?
a. Techniki izolacji systemu
b. Minimalne kontrole bezpieczeństwa
c. Testy penetracyjne
d. Procedury podziału wiedzy
93. c. Testy penetracyjne (np. testowanie zespołu niebieskiego lub zespołu czerwonego) przeciwko obchodzeniu zabezpieczeń systemu komputerowego jest przykładem drugiej linii obrony. Pozostałe trzy opcje to przykłady mechanizmów pierwszej linii obrony. Testy penetracyjne następują po skanowaniu podatności i skanowaniu sieci, przy czym te ostatnie są pierwszą linią obrony. Test penetracyjny udowadnia lub obala luki zidentyfikowane w skanowanie podatności/sieci. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają one ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych. Linia obrony stanowi zasadniczą część strategii pogłębionej obrony lub strategii pogłębionego bezpieczeństwa.
94. Które z poniższych jest przykładem ostatniej linii obrony?
a. Zapewnienie jakości
b. Administratorzy systemu
c. Kontrole bezpieczeństwa fizycznego
d. Pokrycie obligacji pracowniczych
94.d. Ochrona kaucji pracowniczych jest formą ubezpieczenia od nieuczciwych zachowań i działań i jest przykładem ostatniej linii obrony. Pozostałe trzy opcje to przykłady mechanizmów pierwszej linii obrony. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają one ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych.
95. Który z poniższych elementów zapewnia ochronę po stronie serwera w środowisku chmury publicznej?
a. Szyfrowane wymiany sieciowe
b. Wtyczki i dodatki
c. Rejestratory naciśnięć klawiszy
d. Wirtualne zapory ogniowe
95.d. Wirtualne zapory mogą służyć do izolowania grup maszyn wirtualnych od innych hostowanych grup, takich jak system produkcyjny od systemu programistycznego lub system programistyczny od innych systemów rezydujących w chmurze. W celu wygenerowania obrazów maszyn wirtualnych do wdrożenia powinno nastąpić wzmocnienie systemu operacyjnego i aplikacji. Uważne zarządzanie obrazami maszyn wirtualnych jest również ważne, aby uniknąć przypadkowego wdrażania obrazów w trakcie opracowywania lub zawierających luki w zabezpieczeniach. Wtyczki, dodatki, trojany typu backdoor i rejestratory naciśnięć klawiszy to przykłady zagrożeń po stronie klienta lub zagrożeń, przed którymi należy się chronić. Szyfrowane wymiany sieciowe zapewniają ochronę po stronie klienta.
96. Które z poniższych nie jest podstawową częścią strategii obrony w głąb?
a. Najmniejsza funkcjonalność
b. Zabezpieczenia warstwowe
c. Partycjonowanie systemu
d. Linia obrony
96. a. Najmniejsza funkcjonalność lub minimalna funkcjonalność oznacza skonfigurowanie systemu informatycznego w taki sposób, aby zapewniał tylko podstawowe funkcje, a w szczególności zakaz lub ograniczenie korzystania z ryzykownych (domyślnie) i niepotrzebne funkcje, porty, protokoły i/lub usługi. Czasami jednak wygodnie jest świadczyć wiele usług z jednego miejsca składnik systemu informatycznego, ale zwiększa to ryzyko ograniczenia usług świadczonych przez dowolny element. Tam, gdzie to możliwe, organizacje IT ograniczają funkcjonalność komponentów do jednej funkcji na urządzenie (np. serwer poczty e-mail lub serwer sieci Web, a nie oba). Ponieważ najmniejsza funkcjonalność dotyczy użyteczności systemu, nie może wspierać strategii obrony w głąb (tj. ochrony przed naruszeniami bezpieczeństwa). Koncepcje ochrony warstwowej, partycjonowania systemu i linii obrony stanowią podstawową część strategii bezpieczeństwa w głąb lub obrony w głąb. Dzięki zastosowaniu wielu nakładających się mechanizmów ochrony, awaria lub obejście indywidualnego podejścia do ochrony nie pozostawi systemu bez ochrony. Dzięki szkoleniu i świadomości użytkowników, dobrze opracowanym zasadom i procedurom oraz nadmiarowości mechanizmów ochrony, zabezpieczenia warstwowe umożliwiają skuteczną ochronę zasobów IT w celu osiągnięcia wyznaczonych celów. Partycjonowanie systemu oznacza, że składniki systemu znajdują się w oddzielnych domenach fizycznych. Zarządzane interfejsy ograniczają dostęp do sieci i przepływ informacji między partycjonowanymi komponentami systemu. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają one ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych.
97. Większość programów narzędziowych do wykrywania i usuwania programów szpiegujących szuka w szczególności których z poniższych?
a. Szyfrowane pliki cookie
b. Sesyjne pliki cookie
c. Trwałe pliki cookie
d. Śledzące pliki cookie
97. d. Informacje gromadzone przez śledzące pliki cookie są często sprzedawane innym podmiotom i wykorzystywane do kierowania reklam i innych treści skierowanych do użytkownika. Większość programów narzędziowych do wykrywania i usuwania programów szpiegujących szuka w systemach śledzenia plików cookie. Zaszyfrowane pliki cookie są nieprawidłowe, ponieważ chronią dane przed nieautoryzowanym dostępem. Pliki cookie sesji są nieprawidłowe, ponieważ są tymczasowymi plikami cookie, które są ważne tylko dla jednej sesji witryny. Trwałe pliki cookie są nieprawidłowe, ponieważ są przechowywane na komputerze przez czas nieokreślony, aby witryna mogła zidentyfikować użytkownika podczas kolejnych wizyt.
98. System znajduje się w stanie awarii, gdy nie znajduje się w:
1. Stan ochrony
2. Stan osiągalny
3. Stan systemu
4. Stan początkowy
a. 1 lub 2
b. 1 i 3
c. 3 i 4
d. 1, 2, 3 i 4
98. d. System musi być w stanie ochrony lub w stanie osiągalnym. Jeśli nie, system jest w stanie awarii. Stan ochrony jest częścią stanu systemu, podczas gdy stan osiągalny jest uzyskiwany ze stanu początkowego.
99. Atak przepełnienia bufora jest przykładem, która z poniższych kategorii zagrożeń dotyczy systemów w Internecie?
a. Zorientowany na przeglądarkę
b. Zorientowany na użytkownika
c. Zorientowany na serwer
d. Zorientowany na sieć
99.c. Atak przepełnienia bufora to (i) metoda przeciążenia określonej ilości miejsca w buforze, co może potencjalnie nadpisać i uszkodzić dane w pamięci oraz (ii) stan na interfejsie, w którym więcej danych wejściowych można umieścić w buforze lub obszar przechowywania danych niż przydzielona pojemność, nadpisując inne informacje. Atakujący wykorzystują te metody i warunki za pośrednictwem serwerów, aby spowodować awarię systemu lub wstawić specjalnie spreparowany kod, który pozwala im przejąć kontrolę nad systemem. Subtelne zmiany wprowadzone do serwera WWW mogą radykalnie zmienić zachowanie serwera (na przykład zmienić zaufany podmiot w złośliwy), dokładność obliczeń (na przykład zmienić algorytmy obliczeniowe w celu uzyskania nieprawidłowych wyników) lub poufność informacji (na przykład ujawnienie zebranych Informacji). Pozostałe trzy opcje są nieprawidłowe, ponieważ nie obejmują ataków przepełnienia bufora. Zagrożenia związane z przeglądarką internetową mogą uruchamiać ataki na składniki i technologie przeglądarki internetowej. Aplikacje internetowe często wykorzystują sztuczki, takie jak ukryte pola w formularzu, aby zapewnić ciągłość między transakcjami, co może stanowić drogę ataku. Przykładami zagrożeń zorientowanych na użytkownika są socjotechnika. Przykłady zagrożeń sieciowych obejmują ataki typu spoofing, maskarada i podsłuchiwanie.
100. Ogólnie, które z poniższych jest legalne w ramach praktyk inżynierii odwrotnej?
a. Oprogramowanie komputerowe do inżynierii wstecznej z zamiarem wprowadzenia na rynek komercyjny z podobnym projektem.
b. Odtwórz inżynierię wsteczną projektu chipów komputerowych do powielania.
c. Odtwórz program komputerowy, aby zobaczyć, jak to działa i co to robi.
d. Inżynieria wsteczna podstawowego systemu wejścia/wyjścia komputera osobistego w celu powielania.
100. c. Inżynieria odwrotna to proces analizowania systemu przedmiotowego w celu zidentyfikowania komponentów systemu i ich wzajemnych relacji oraz stworzenia reprezentacji systemu w innej formie lub na wyższym poziomie abstrakcji. Niektóre umowy dotyczące pakowania w folię termokurczliwą zawierają wyraźny zakaz inżynierii wstecznej, dekompilacji lub dezasemblacji. Prawidłowa odpowiedź nie szkodzi właścicielowi praw autorskich do oprogramowania i jest legalna. Pozostałe trzy opcje są oparte na złych intencjach użytkownika i dlatego mogą być nielegalne.
101. Kiedy wymagania ram Systemów Zarządzania Bezpieczeństwem Informacji ISO (ISO/IEC 27001) są stosowane do dowolnego środowiska komputerowego, do którego z następujących etapów cyklu PDCA należą "zmierz i ulepsz kontrole"?
a. Plan
b. Robić
c. Sprawdzać
d. Działać
101. c. Według Międzynarodowej Organizacji Normalizacyjnej (ISO) cykl Planuj-Wykonaj-Sprawdź-Działaj (PDCA) jest zasadą działania standardów systemu zarządzania ISO. Krok "sprawdzenie" mierzy wyniki. W szczególności mierzy i monitoruje, w jakim stopniu rzeczywiste osiągnięcia spełniają zaplanowane cele. Krok "plan" ustala cele i rozwija plany. W szczególności analizuje sytuację organizacji, ustala ogólne cele, wyznacza cele pośrednie i opracowuje plany ich osiągnięcia. Krok "do" realizuje plany. Krok "działaj" koryguje i ulepsza plany, wprowadzając je w życie. W szczególności sprawia, że uczymy się na błędach w celu poprawy i osiągania lepszych wyników następnym razem.
102. Jeśli chodzi o Common Criteria (CC), które z poniższych nie jest wystarczające do zastosowania we wspólnej metodologii oceny?
1. Powtarzalność
2. Obiektywizm
3. Wyrok
4. Wiedza
a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 3 i 4
102. c. Zastosowanie wspólnej metodologii oceny przyczynia się do powtarzalności i obiektywności wyników, ale samo w sobie nie jest wystarczające. Wiele kryteriów oceny wymaga zastosowania oceny eksperckiej i podstawowej wiedzy, dla których spójność jest trudniejsza do osiągnięcia.
103. W odniesieniu do Common Criteria (CC) dokładna i uniwersalna ocena produktów bezpieczeństwa IT jest niewykonalna z powodu którego z poniższych?
1. Zmniejszenie ryzyka
2. Ochrona aktywów
3. Elementy celu
4. Elementy subiektywne
a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 3 i 4
103. d. Ocena powinna prowadzić do obiektywnych i powtarzalnych wyników, które można przytoczyć jako dowód, nawet jeśli nie istnieje całkowicie obiektywna skala reprezentująca wyniki oceny bezpieczeństwa. Ponieważ zastosowanie kryteriów zawiera elementy obiektywne i subiektywne, precyzyjne i uniwersalne oceny bezpieczeństwa IT są niewykonalne. Redukcja ryzyka i ochrona aktywów to wyniki celu oceny (TOE).
104. W odniesieniu do Common Criteria (CC), jak powinien być używany cel bezpieczeństwa (ST)?
1. Przed oceną
2. Po ocenie
3. Szczegółowa specyfikacja
4. Pełna specyfikacja
a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 3 i 4
104. c. Typowy cel bezpieczeństwa (ST) spełnia dwie role, takie jak przed i podczas oceny oraz po ocenie. Dwie role, których ST nie powinien pełnić, obejmują szczegółową specyfikację i pełną specyfikację.
105. W przypadku Common Criteria (CC), jak powinien być używany profil ochrony (PP)?
1. Specyfikacja pojedynczego produktu
2. Pełna specyfikacja
3. Specyfikacja wymagań
4. Linia bazowa
a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 3 i 4
105. d. Profil ochrony (PP) jest zwykle używany jako część specyfikacji wymagań, część regulacji określonej jednostki regulacyjnej lub podstawa zdefiniowana przez grupę programistów IT. Trzy role, których PP nie powinien pełnić to szczegółowa specyfikacja, kompletna specyfikacja oraz specyfikacja pojedynczego produktu.
106. W odniesieniu do Common Criteria (CC), wynik celu ewaluacji (TOE) prowadzi do którego z poniższych?
1. Obiektywne wyniki
2. Powtarzalne wyniki
3. Wyniki dające się obronić
4. Wyniki dowodowe
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
106. d. Cel ewaluacji (TOE) w Common Criteria (CC) prowadzi do obiektywnych i powtarzalnych wyników, które można obronić i przytoczyć jako dowód.
107. W odniesieniu do Common Criteria (CC) koncepcja monitora referencyjnego jest stosowana w celu egzekwowania, które z poniższych?
a. Cel bezpieczeństwa (ST)
b. Cel oceny (TOE)
c. Profil ochronny (PP)
d. Specyfikacje systemu
107. b. Pojęcie monitora odniesienia to koncepcja kontroli dostępu odnosząca się do abstrakcyjnej maszyny, która pośredniczy we wszystkich dostępach do obiektów przez podmioty. Jest stosowany do wymuszenia polityki kontroli dostępu celu ocen (TOE) podczas projektowania TOE. Common Criteria (CC) zawiera kryteria, które mają być stosowane przez oceniających przy formułowaniu opinii na temat zgodności Przedmiotów Oceny (TOE) z ich wymaganiami bezpieczeństwa. KK opisuje zestaw ogólnych działań, które ewaluator ma wykonać, ale nie określa procedur, które należy stosować przy wykonywaniu tych działań. Profil ochrony (PP) to szablon dla celu bezpieczeństwa (ST). Podczas gdy ST zawsze opisuje konkretny TOE (np. firewall v18.5), PP ma opisywać typ TOE (np. firewall). PP jest niezależną od implementacji deklaracją potrzeb bezpieczeństwa dla typu produktu, a ST jest konstrukcją zależną od implementacji. ST może opierać się na jednym lub więcej PP. Specyfikacje systemu odnoszą się do ról, które ST lub PP powinien lub nie powinien pełnić.
108. Czym jest kanał komunikacji, który umożliwia procesowi przekazywanie informacji w sposób naruszający tzw. politykę bezpieczeństwa systemu?
a. Kanał komunikacyjny
b. Ukryty kanał
c. Kanał do wykorzystania
d. Kanał jawny
108. b. To jest definicja ukrytego kanału. Kanał komunikacyjny to nośnik fizyczny i urządzenie, które zapewnia środki do przesyłania informacji z jednego elementu sieci do innych elementów. Kanał, który można wykorzystać, jest użyteczny lub wykrywalny przez podmioty spoza Trusted Computing Base (TCB). Kanał jawny to ścieżka w sieci przeznaczona do autoryzowanego przesyłania danych. Jest to w przeciwieństwie do ukrytego kanału.
109. Technologie bezpieczeństwa sieci oparte na obwodzie, takie jak zapory ogniowe, są niewystarczające do ochrony architektur zorientowanych na usługi (SOA) świadczących usługi sieci Web, z jakich powodów?
1. Zabezpieczenia warstwy transportowej (TLS)
2. Protokół przesyłania hipertekstu (HTTP)
3. Prosty protokół dostępu do obiektów (SOAP)
4. Odwrotne SOAP
a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 1, 2, 3 i 4
109. d. Technologie bezpieczeństwa sieci oparte na obwodzie (np. zapory) są niewystarczające do ochrony SOA z następujących powodów:
* Transport Layer Security (TLS), który jest używany do uwierzytelniania i szyfrowania wiadomości internetowych, jest niewystarczający do ochrony wiadomości SOAP, ponieważ został zaprojektowany do działania między dwoma punktami końcowymi. TLS nie może uwzględniać nieodłącznych możliwości usług sieci Web do przesyłania wiadomości do wielu innych usług sieci Web jednocześnie.
* SOAP jest przesyłany przez protokół Hypertext Transfer Protocol (HTTP), który może przepływać bez ograniczeń przez większość zapór. Zapory rozpoznające aplikacje w postaci serwerów proxy HTTP dla ruchu opartego na HTTP umożliwiają organizacjom ograniczenie tego, co może, a czego nie może zrobić protokół warstwy aplikacji.
* Ponieważ protokół SOAP jest przesyłany przez HTTP, jest tradycyjnie pozostawiony otwarty dla ruchu internetowego w zaporach obwodowych. Ponadto dzięki specyfikacji Reverse SOAP (PAOS) komunikaty SOAP mogą przechodzić przez zapory, które ograniczają przychodzący ruch HTTP, ale zezwalają na wychodzący ruch HTTP. Niektóre zapory zaczęły obsługiwać blokowanie lub zezwalanie na żądania SOAP w oparciu o źródło lub miejsce docelowe żądania, ale do ochrony sieci przed złośliwymi atakami SOAP potrzebne są niezawodne i inteligentne zapory.
* Architektura SOA jest dynamiczna i rzadko można ją w pełni ograniczyć do fizycznych granic pojedynczej sieci.
110. Które z poniższych nie mogą chronić komunikatów protokołu SOAP (Simple Object Access Protocol) w architekturze zorientowanej na usługi (SOA) dostarczania usług internetowych?
a. Szyfrowanie XML
b. Brama XML
c. Podpis XML
d. Parser XML
110. d. Zapewnienie bezpieczeństwa usług internetowych polega na uzupełnieniu tradycyjnych mechanizmów bezpieczeństwa o struktury bezpieczeństwa oparte na wykorzystaniu mechanizmów uwierzytelniania, autoryzacji, poufności i integralności. To rozszerzenie obejmuje użycie szyfrowania XML, bram XML i podpisu XML, które są środkami zaradczymi. Zawsze korzystne jest zaimplementowanie dogłębnej ochrony za pomocą bram XML na obwodzie wraz z WS-Security lub HTTPS dla wszystkich wewnętrznych usług sieci Web. Parsery XML są często celem ataków, ponieważ są pierwszą częścią usługi sieci Web, która przetwarza dane wejściowe z innych usług sieci Web. Źle zaprojektowane lub skonfigurowane parsery XML mogą zostać użyte do złamania zabezpieczeń parsera, niezależnie od tego, jak bezpieczna jest usługa sieci Web.
111. Które z poniższych są używane do wnioskowania o danych?
a. Kanały pamięci i procesora
b. Eksploatowalne i wykrywalne kanały
c. Kanały przechowywania i taktowania
d. Kanały buforowe i jawne
111. c. Informacje wrażliwe można wywnioskować, korelując dane na nośnikach pamięci lub obserwując efekty czasowe niektórych operacji. Kanały przechowywania i synchronizacji są częścią kanałów ukrytych, w których nieautoryzowana ścieżka komunikacyjna jest wykorzystywana do przesyłania informacji w sposób naruszający politykę bezpieczeństwa. Kanał, który można wykorzystać, jest użyteczny lub wykrywalny przez podmioty spoza Trusted Computing Base (TCB). Kanał jawny to ścieżka w sieci przeznaczona do autoryzowanego przesyłania danych. Kanały pamięci, procesora i bufora rozpraszają uwagę.
112. Model przetwarzania usług sieci Web zabezpieczający komunikaty protokołu SOAP (ang. Simple Object Access Control Protocol) i dokumenty w języku XML (Extensible Markup Language) nie dotyczy których z poniższych?
a. Sieć licytatorów
b. Sieć dostawców
c. Łańcuch pośredników
d. Łańcuch konsumentów
112. a. Rynek aukcji elektronicznych (e-aukcji) odbywający się w Internecie zajmuje się siecią licytatorów, a nie usługami sieciowymi. Pozostałe trzy opcje dotyczą usług internetowych. Model przetwarzania usług sieci Web wymaga możliwości zabezpieczania komunikatów protokołu SOAP i dokumentów XML, ponieważ są one przekazywane wzdłuż potencjalnie długich i złożonych łańcuchów usług konsumenta, dostawcy i pośrednika. Charakter przetwarzania usług sieci Web sprawia, że usługi te są przedmiotem unikatowych ataków, a także odmian znanych ataków wymierzonych w serwery sieci Web.
113. Które z poniższych nie jest pojedynczym punktem awarii?
a. Topologia siatki
b. Topologia gwiazdy
c. Topologia magistrali
d. Topologia drzewa
113. a. Topologia siatki to sieć, w której znajdują się co najmniej dwa węzły z co najmniej dwiema ścieżkami między nimi. Jeśli jedna ścieżka ulegnie awarii, sieć przekierowuje ruch na alternatywną ścieżkę, zapewniając w ten sposób wysoki stopień odporności na błędy. Dzięki temu topologia siatki nie jest podatna na pojedynczy punkt awarii. Pozostałe trzy wybory podlegają pojedynczemu punktowi awarii. Pojedynczy centralny koncentrator w topologii gwiazdy i drzewa oraz pojedynczy kabel w topologii magistrali są podatne na pojedynczy punkt awarii.
114. Które z poniższych opisów opisuje jeden proces sygnalizujący informację drugiemu przez modulowanie własnego wykorzystania zasobów systemowych w taki sposób, że ta manipulacja wpływa na rzeczywisty czas odpowiedzi obserwowany przez drugi proces?
a. Kanał komunikacji
b. Ukryty kanał przechowywania
c. Ukryty kanał czasowy
d. Kanał nadający się do wykorzystania
114. c. Oświadczenie pasuje do opisu ukrytego kanału czasowego. Kanał komunikacyjny to nośnik fizyczny i urządzenie, które zapewnia środki do przesyłania informacji z jednego elementu sieci do innych elementów. Kanał nadający się do wykorzystania to dowolny kanał, który może być używany lub wykrywany przez podmioty spoza Trusted Computing Base (TCB).
115. Które z poniższych nie jest podatne na pojedynczy punkt awarii?
a. Internet
b. Sieć konwergentna
c. Synchronizacja haseł
d. Serwer systemu nazw domen
115. a. Pomimo słabości bezpieczeństwa, Internet nie jest podatny na awarię pojedynczego punktu, ponieważ wykorzystuje protokół punkt-punkt (PPP) jako podstawowy protokół warstwy łącza danych w liniach punkt-punkt. Protokół PPP obsługuje wykrywanie błędów, obsługuje wiele mechanizmów ramek, przeprowadza kompresję danych i niezawodną transmisję, umożliwia negocjowanie adresów IP w czasie połączenia oraz umożliwia uwierzytelnianie. Jeśli jedna ścieżka lub punkt ulegnie awarii, Internet przełącza się na inną ścieżkę lub punkt, zapewniając w ten sposób solidne połączenie. Pozostałe trzy opcje są podatne na pojedynczy punkt awarii. Sieć konwergentna łączy zarówno dane, jak i głos, i jako taka jest podatna na ataki. Synchronizacja haseł może być pojedynczym punktem awarii, ponieważ używa tego samego hasła dla wielu zasobów. Serwer systemu nazw domen (DNS) może stać się pojedynczym punktem awarii, jeśli nie ma mechanizmów odpornych na błędy i nadmiarowych.
116. Najlepiej założyć, że zewnętrzne systemy komputerowe to:
a. Prosty
b. Bezpieczne
c. Niepewny
d. Złożony
116. c. Ogólnie rzecz biorąc, zewnętrzne systemy komputerowe należy uznać za niepewne. Dopóki system zewnętrzny nie zostanie uznany za zaufany, można bezpiecznie założyć, że nie jest on bezpieczny. Systemy mogą być proste lub złożone w konstrukcji, co może, ale nie musi wpływać na bezpieczeństwo.
117. Który z poniższych mechanizmów ochrony pamięci dotyczy poziomów wpływu na bezpieczeństwo?
a. Partycjonowanie systemu
b. Niemodyfikowalne programy wykonywalne
c. Izolacja zasobów
d. Separacja domen
117. a. Organizacja dzieli system informacyjny na komponenty znajdujące się w oddzielnych domenach fizycznych lub środowiskach, jeśli uzna to za konieczne. Partycjonowanie systemu informacyjnego jest częścią strategii obrony w głąb. Partycjonowanie systemu jest oparte na poziomach wpływu systemu (tj. niskim, średnim lub wysokim). Zarządzane interfejsy ograniczają dostęp do sieci i przepływ informacji między partycjonowanymi komponentami systemu. Pozostałe trzy opcje są nieprawidłowe, ponieważ nie dotyczą poziomów wpływu na bezpieczeństwo. Niemodyfikowalny program wykonywalny to taki, który ładuje i uruchamia środowisko operacyjne i system aplikacji z nośników sprzętowych i tylko do odczytu (np. napędy dysków CD-R/DVDR). Izolacja zasobów to zamknięcie podmiotów i obiektów w systemie w taki sposób, że są one od siebie oddzielone. Separacja domen dotyczy mechanizmów, które chronią obiekty w systemie.
118. Które z poniższych utrzymuje integralność informacji przesyłanych kanałem?
a. Kanał komunikacyjny
b. Kanał zgodny z bezpieczeństwem
c. Zaufany kanał
d. Kanał pamięci
118. c. Zaufany kanał utrzymuje integralność przesyłanych przez niego informacji. Pozostałe trzy opcje nie mogą zachować integralności, ponieważ nie są godne zaufania.
119. Które z poniższych wymusza politykę sieciową?
a. Kanał do wykorzystania
b. Kanał komunikacyjny
c. Kanał zgodny z bezpieczeństwem
d. Kanał pamięci
119. c. Kanał zgodny z zabezpieczeniami wymusza politykę sieciową i zależy tylko od charakterystyki kanału uwzględnionego w ocenie lub przyjętego jako ograniczenie instalacji.
120. Które z poniższych może prowadzić do istnienia ukrytego kanału?
a. Etykieta danych
b. Podwójna etykieta
c. Pływająca etykieta
d. Naprawiono etykietę
120.c. Problem z ukrytymi kanałami wynikający z używania pływających etykiet może prowadzić do błędnych etykiet informacyjnych. Etykieta stała jest częścią etykiety podwójnej.
121. Które z poniższych jest potrzebne do prawidłowego działania innych mechanizmów bezpieczeństwa?
a. Ukryty kanał przechowywania
b. Zaufany kanał
c. Ukryty kanał czasowy
d. Kanał jawny
121. b. Do prawidłowego działania innych mechanizmów bezpieczeństwa potrzebny jest zaufany kanał. Kanał jawny może nie być zaufany. Ukryty kanał przechowywania i taktowania jest częścią ukrytego kanału.
122. Które z poniższych określa zakres, w jakim zmiany w systemie informatycznym wpłynęły na stan bezpieczeństwa systemu?
a. Granica systemu informacyjnego
b. Odporność systemu informacyjnego
c. Analiza wpływu na bezpieczeństwo
d. Ocena kontroli bezpieczeństwa
122. c. Analiza wpływu na bezpieczeństwo jest przeprowadzana w celu określenia, w jakim stopniu zmiany w systemie informatycznym wpłynęły na stan bezpieczeństwa systemu. Pozostałe trzy opcje nie dotyczą stanów bezpieczeństwa. Granica systemu informacyjnego oznacza, że wszystkie elementy systemu, które mają być autoryzowane do działania, mają określoną granicę i wyklucza oddzielnie autoryzowane systemy, do których system jest podłączony. Odporność systemu informacyjnego to zdolność systemu do kontynuowania działania podczas ataku, nawet w stanie zdegradowanym lub osłabionym, oraz do szybkiego przywrócenia zdolności operacyjnych dla podstawowych funkcji po udanym ataku. Ocena kontroli bezpieczeństwa to testowanie i/lub ocena kontroli bezpieczeństwa (tj. kontroli zarządczych, operacyjnych i technicznych) w celu określenia zakresu, w jakim kontrole są poprawnie wdrożone, działające zgodnie z przeznaczeniem i dające pożądany efekt w zakresie spełnienia wymagań bezpieczeństwa systemu informatycznego.
123. W środowisku zaufanej bazy obliczeniowej (TCB) do którego z poniższych odnosi się przypadkowa awaria zaufanego komponentu?
a. Kompromis z góry
b. Kompromis od wewnątrz
c. Kompromis od dołu
d. Kompromis z wielu domen
123. c. Narażenie od dołu występuje w wyniku złośliwej lub przypadkowej awarii bazowego zaufanego komponentu. Kompromis z powyższego występuje, gdy nieuprzywilejowany użytkownik może napisać niezaufany kod, który wykorzystuje lukę. Naruszenie bezpieczeństwa od wewnątrz występuje, gdy uprzywilejowany użytkownik lub proces nadużywa przydzielonych uprawnień. Kompromis z wielu domen nie ma tutaj znaczenia.
124. Podczas tworzenia lub nabywania nowych systemów aplikacji, które z poniższych rozwiązań dotyczą konkretnie wymogów bezpieczeństwa danych?
a. Plan sekwencjonowania
b. Cykl życia systemu
c. Architektura techniczna
d. Architektura logiczna
124. d. Architektura logiczna (funkcjonalna) definiuje w kategoriach biznesowych działania lub podfunkcje, które wspierają główne obszary działalności, relacje między tymi działaniami lub podfunkcjami oraz dane wymagane do wspierania tych działań lub podfunkcji. Architektura techniczna (fizyczna) definiuje podsystemy, elementy konfiguracji, alokacje danych, interfejsy i usługi wspólne, które łącznie zapewniają fizyczny widok środowiska systemów docelowych. Połączenie architektury logicznej i technicznej może stanowić całkowitą architekturę organizacji. Plan sekwencjonowania określa działania, które należy podjąć i ich harmonogramów, wraz z kosztami, aby w opłacalny sposób ewoluować z obecnego do przyszłego środowiska operacyjnego systemów. Cykl życia systemu definiuje zasady, procesy i produkty służące do zarządzania inwestycjami w technologie informatyczne od koncepcji, rozwoju i wdrożenia po konserwację, wsparcie i obsługę.
125. Architektura informacji nie reguluje, które z poniższych?
a. Kolekcja danych
b. Zarządzanie danymi
c. Wykorzystanie danych
d. Archiwizacja danych
125. d. Architektura informacji, która jest częścią architektury funkcjonalnej, definiuje informacje potrzebne do osiągnięcia celów misji oraz sposób, w jaki systemy informacyjne mogą współpracować, aby osiągnąć te cele. Architektura zapewnia standardowe ramy do zarządzania gromadzeniem, opracowywaniem, wdrażaniem, zarządzaniem i wykorzystywaniem danych i zasobów w celu realizacji misji i celów. Archiwizacja danych to kwestia operacyjna, a nie architektoniczna.
126. Przydatna architektura informacji lepiej łączy się z którym z poniższych?
a. Planowanie biznesowe do planowania technologii informacyjnej
b. Inżynieria informacyjna do systemów informatycznych
c. Bezpieczeństwo aplikacji do bezpieczeństwa logicznego
d. Bezpieczeństwo sieci do metod szyfrowania
126. a. Użytecznej architektury informacji nie można opracować, dopóki organizacja nie ustanowi procesu planowania biznesowego i nie połączy go ze strategicznym planowaniem technologii informacyjnej. Jest to wysiłek planowania wysokiego poziomu, podczas gdy pozycje w pozostałych trzech opcjach są działaniami planowania niskiego poziomu. Inżynieria informacyjna to systematyczny proces, w którym tworzone są systemy informacyjne, które precyzyjnie wspierają działalność organizacji.
127. Który z poniższych elementów działań nie jest częścią zasady bezpieczeństwa "zmniejszanie podatności"?
a. Dąż do prostoty
b. Zaimplementuj najmniejszy przywilej
c. Oprzyj bezpieczeństwo na otwartych standardach przenośności i interoperacyjności
d. Zminimalizuj elementy systemu, którym należy ufać
127. c. Element działania "Oparcie bezpieczeństwa na otwartych standardach przenoszenia i interoperacyjności" jest częścią zasady bezpieczeństwa łatwości użytkowania. Pozostałe trzy opcje są częścią zasady bezpieczeństwa redukcji luk.
128. Które z poniższych środków bezpieczeństwa są potrzebne do ochrony mediów cyfrowych i niecyfrowych podczas ich transportu?
1. Kryptografia
2. Kontrole bezpieczeństwa fizycznego
3. Zablokowany pojemnik do przechowywania
4. Proceduralne kontrole bezpieczeństwa
a. 1 i 2
b. 2 i 3
c. 3 i 4
d. 1, 2, 3 i 4
128. d. Zarówno nośniki cyfrowe, jak i niecyfrowe podczas transportu powinny być chronione za pomocą kryptografii (szyfrowania), kontroli bezpieczeństwa fizycznego, zamkniętych pojemników do przechowywania i kontroli bezpieczeństwa proceduralnego.
129. Partycjonowanie systemu informatycznego jest częścią której z poniższych strategii ochrony?
a. Obrona w błocie
b. Obrona w głębi
c. Obrona w technologii
d. Obrona w czasie
129. b. Stosując strategię ochrony dogłębnej, system informacyjny można podzielić na komponenty znajdujące się w oddzielnych domenach fizycznych lub środowiskach, aby zapewnić bezpieczne działanie. Integruje ludzi, technologię i operacje, aby ustanowić zmienne bariery w wielu warstwach i wielu funkcjach. Strategia obrony w szerokim zakresie służy do identyfikowania, zarządzania i ograniczania ryzyka możliwych do wykorzystania luk w zabezpieczeniach na każdym etapie cyklu życia systemu, sieci lub produktu. Technologia obrony w czasie wykorzystuje kompatybilne platformy technologiczne, a obrona w czasie uwzględnia różne strefy czasowe na świecie do obsługi globalnych systemów informatycznych.
130. Które z poniższych tworzy kilka niezależnych stref zdemilitaryzowanych (DMZ) w sieci?
a. Wiele metod szyfrowania
b. Wielosieciowe zapory sieciowe
c. Wieloukładowe moduły kryptograficzne
d. Przełączniki wielowarstwowe
130. b. Wielosieciowe zapory ogniowe zapewniające wiele linii obrony mogą tworzyć kilka niezależnych stref zdemilitaryzowanych (DMZ) - jeden sprzęgający się z Internetem (sieć publiczna), jeden sprzęgający się z segmentami DMZ, a drugi sprzęgający się z wewnętrzną siecią firmową (tj. intranet). Te zapory obsługują więcej niż jedną kartę sieciową (NIC). Pozostałe trzy opcje nie umożliwiają tworzenia kilku niezależnych stref DMZ w sieci.
131. Które z poniższych technik pułapkowania przeciwko atakom osób postronnych?
a. Pierwsza linia obrony
b. Druga linia obrony
c. Ostatnia linia obrony
d. Wiele linii obrony
131. a. Techniki pułapek stanowią pierwszą linię obrony przed atakami osób postronnych przy użyciu fałszywych danych i systemów (wabików, honeypotów i systemów honeynet). Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych.
132. Który z poniższych elementów nie jest składnikiem architektury systemu?
a. Funkcjonalny
b. Techniczny
c. Fizyczny
d. Mechaniczny
132. d. Architektura systemu definiuje krytyczne atrybuty zbioru systemów informatycznych organizacji zarówno pod względem biznesowym/funkcjonalnym, jak i technicznym/fizycznym. Mechaniczny nie jest wliczony w cenę.
133. Które z poniższych może przedstawiać pojedynczy punkt awarii dla aplikacji hosta?
a. Chmura obliczeniowa
b. Inteligentne przetwarzanie sieciowe
c. Obliczenia użytkowe
d. Obliczenia kwantowe
133. a. Przetwarzanie w chmurze, które jest formą przetwarzania rozproszonego, może stać się pojedynczym punktem awarii z powodu awarii usług przechowywania w chmurze, urządzeń sieciowych, klastrów baz danych i aktualizacji sieci dla hostowanych tam aplikacji. W takich sytuacjach usługi drugiego dostawcy chmury mogą być wykorzystywane do tworzenia kopii zapasowych danych przetwarzanych przez głównego (pierwszego) dostawcę, aby zapewnić, że podczas przedłużającego się zakłócenia lub poważnej awarii w głównej lokalizacji dane pozostaną dostępne do natychmiastowego wznowienia operacje. Należy pamiętać, że zarówno dane użytkownika, jak i podstawowe usługi bezpieczeństwa mogą znajdować się i być zarządzane w chmurze sieciowej. Inteligentne sieci komputerowe składają się z interoperacyjnych standardów i protokołów, które ułatwiają scentralizowane wytwarzanie energii elektrycznej, w tym rozproszone zasoby energii odnawialnej i magazynowanie energii. Zapewnienie cyberbezpieczeństwa inteligentnej sieci jest niezbędne, ponieważ poprawia niezawodność, jakość i odporność zasilania. Celem jest zbudowanie bezpiecznej inteligentnej sieci, która będzie interoperacyjna i kompleksowa. Inteligentna sieć wymaga środków bezpieczeństwa cybernetycznego, ponieważ wykorzystuje cyberprzetwarzanie danych. Przetwarzanie narzędziowe oznacza umożliwienie użytkownikom funkcjonalnym (użytkownikom końcowym) dostępu do usług opartych na technologii w celu wykonywania określonych i prostych zadań (na przykład uruchamiania programu do tworzenia kopii zapasowych pamięci masowej i programu do odzyskiwania dysków/plików) bez konieczności posiadania dużej wiedzy technicznej. Obliczenia kwantowe zajmują się komputerami o dużych rozmiarach słów.
134. Które z poniższych elementów zapewnia ochronę po stronie klienta w środowisku chmury publicznej?
a. Szyfrowane wymiany sieciowe
b. Wtyczki i dodatki
c. Rejestratory naciśnięć klawiszy
d. Wirtualne zapory ogniowe
134. a. Klienci w chmurze mogą być oparte na przeglądarce lub aplikacjach. Niektóre organizacje wdrażają wzmocnione środowiska przeglądarek, które szyfrują wymianę sieci i chronią przed rejestrowaniem naciśnięć klawiszy. Wtyczki, dodatki, trojany typu backdoor i rejestratory naciśnięć klawiszy to przykłady zagrożeń po stronie klienta lub zagrożeń, przed którymi należy się chronić. Dodatek to urządzenie sprzętowe, takie jak karta rozszerzeń lub układ scalony, które można dodać do komputera w celu rozszerzenia jego możliwości. Dodatek może być również programem uzupełniającym, który może rozszerzyć możliwości aplikacji. Wtyczka to mały program, który podłącza się do większej aplikacji w celu zapewnienia dodatkowych funkcji (takich jak pliki graficzne, wideo i audio). Rejestrator naciśnięć klawiszy to program przeznaczony do rejestrowania, które klawisze są naciskane na klawiaturze komputera i służy do uzyskiwania haseł lub kluczy szyfrowania, a tym samym do ominięcia innych środków bezpieczeństwa.
135. Jeśli właściciele witryn chcą chronić dane przed nieautoryzowanym dostępem, co powinni zrobić?
a. Twórz zaszyfrowane pliki cookie
b. Twórz sesyjne pliki cookie
c. Twórz trwałe pliki cookie
d. Utwórz śledzące pliki cookie
135. a. Plik cookie to mały plik danych, który przechowuje informacje o korzystaniu z określonej witryny. Pliki cookie często przechowują dane w postaci zwykłego tekstu, co może umożliwić nieupoważnionej stronie, która uzyskuje dostęp do pliku cookie, wykorzystanie lub zmianę przechowywanych w nim danych. Niektóre witryny internetowe tworzą zaszyfrowane pliki cookie, które chronią dane przed nieautoryzowanym dostępem podczas sesji przeglądania sieci przez użytkownika. Pliki cookie sesji są nieprawidłowe, ponieważ są tymczasowymi plikami cookie, które są ważne tylko dla jednej sesji witryny. Trwałe pliki cookie są nieprawidłowe, ponieważ są przechowywane na komputerze przez czas nieokreślony, aby witryna mogła zidentyfikować użytkownika podczas kolejnych wizyt. Te pliki cookie mogą pomóc witrynom bardziej efektywnie obsługiwać swoich użytkowników. Niestety, trwałe pliki cookie mogą być również niewłaściwie wykorzystywane jako oprogramowanie szpiegujące do śledzenia aktywności przeglądania Internetu przez użytkownika z wątpliwych powodów bez wiedzy lub zgody użytkownika. Śledzące pliki cookie są nieprawidłowe, ponieważ są umieszczane na komputerze użytkownika w celu śledzenia aktywności użytkownika na różnych stronach internetowych, tworząc szczegółowy profil zachowania użytkownika.
136. Które z poniższych wymagań wymaga infrastruktury wykrywania i reagowania w celu zapewnienia informacji?
1. Wykrywanie włamań
2. Infrastruktura zarządzania kluczami kryptograficznymi
3. Oprogramowanie monitorujące
4. Infrastruktura klucza publicznego
a. 1 i 2
b. 1 i 3
c. 2 i 3
d. 3 i 4
136. b. Infrastruktura wykrywania i reagowania umożliwia szybkie wykrywanie włamań i reagowanie na nie. Wymagana infrastruktura obejmuje rozwiązania techniczne, takie jak wykrywanie włamań, oprogramowanie monitorujące oraz wykwalifikowanych specjalistów, często określanych mianem zespołu reagowania na sytuacje awaryjne (CERT). Infrastruktura zarządzania kluczami kryptograficznymi (KMI), która obejmuje infrastrukturę kluczy publicznych (PKI), zapewnia wspólny ujednolicony proces bezpiecznego tworzenia, dystrybucji i zarządzania certyfikatami klucza publicznego oraz tradycyjnymi kluczami symetrycznymi. KMI i PKI nie są bezpośrednio związane z wykrywaniem i reagowaniem; chociaż wszystkie są częścią infrastruktury wspierającej zapewnienie informacji.
137. Które z poniższych są głównymi podejściami do łagodzenia ryzyka związanego z korzystaniem z aktywnych treści?
1. Zasady
2. Praktyki
3. Unikanie
4. Redukcja szkód
a. Tylko 1
b. Tylko 2
c. 1 i 2
d. 3 i 4
137.d. Dwa główne podejścia do ograniczania zagrożeń związanych z używaniem treści aktywnych obejmują unikanie, czyli trzymanie się całkowicie z dala od znanych i potencjalnych luk w zabezpieczeniach, oraz ograniczanie szkód, polegające na stosowaniu środków ograniczających potencjalne straty spowodowane narażeniem. Pozostałe trzy wybory są nieprawidłowe, ponieważ zasady i praktyki są częścią polityki bezpieczeństwa, która jest częścią zabezpieczeń lub kontroli.
138. Wdrożenie warstwowych i zróżnicowanych zabezpieczeń w systemie informacyjnym oznacza:
1. Ataki są stopniowo osłabiane.
2. Ataki są ostatecznie pokonane.
3. Umieszczanie kolejno identycznych kontrolek.
4. Umieszczanie różnych elementów sterujących, które wzajemnie się uzupełniają.
a. 1 i 2
b. 1 i 3
c. 2 i 4
d. 1, 2, 3 i 4
138. d. Obrona systemu informatycznego wymaga zabezpieczeń stosowanych nie tylko w punktach wejścia, ale także w całym systemie. Najlepiej byłoby, gdyby wybór i umieszczenie kontroli bezpieczeństwa odbywało się w taki sposób, aby wszystkie ataki były stopniowo osłabiane i ostatecznie pokonane. Posiadanie identycznej kontroli z rzędu wydłuża czas trwania ataku. Stosowanie różnych rodzajów kontroli, które wzajemnie się uzupełniają i wzajemnie się wspierają, jest znacznie bardziej skutecznym podejściem (tj. strategia obrony w głąb).
139. Zagrożenia bezpieczeństwa języka SQL (Structured Query Language) obejmują które z poniższych?
a. Pobieranie i manipulacja danymi
b. Agregacja i wnioskowanie
c. Definicja schematu i manipulacja
d. Zarządzanie transakcjami i diagnostyką
139. b. Agregacja jest wynikiem gromadzenia lub łączenia odrębnych jednostek danych podczas przetwarzania poufnych informacji. Agregacja danych na jednym poziomie wrażliwości może skutkować wyznaczeniem wszystkich danych na wyższym poziomie wrażliwości. Wnioskowanie to wyprowadzenie nowych informacji ze znanych informacji. Problem wnioskowania dotyczy faktu, że uzyskane informacje mogą być sklasyfikowane na poziomie, dla którego użytkownik nie jest dopuszczony. Pozycje zawarte w pozostałych trzech opcjach to funkcje i cechy SQL.
140. Który z poniższych jest słownikiem danych?
a. Jest to centralny katalog programów.
b. Jest to centralny katalog procesów.
c. Jest to centralny katalog danych.
d. Jest to centralny katalog obiektów.
140. c. Słownik danych to narzędzie, które pomaga organizacjom kontrolować ich zasoby danych, zapewniając centralny katalog danych. Słownik danych wymaga ochrony bezpieczeństwa.
141. Co to jest relacja bazy danych zawierająca wiele wierszy z tym samym kluczem podstawowym o nazwie?
a. Poliinstancja
b. Wielopostaciowość
c. Wnioskowanie
d. Zbiór
141. a. Poliinstancjacja umożliwia relację zawieranie wielu wierszy z tym samym kluczem podstawowym. Wiele instancji różni się poziomem bezpieczeństwa. W polimorfizmie nazwa może oznaczać obiekty należące do wielu różnych klas, które są powiązane przez jakąś wspólną nadklasę. Wnioskowanie to wyprowadzenie nowych informacji ze znanych informacji. Agregacja jest wynikiem łączenia odrębnych jednostek danych podczas obsługi poufnych informacji.
142. Który z poniższych elementów zawiera hurtownia danych?
a. Surowe dane
b. Masowane dane
c. Dane źródłowe
d. Data transakcji
142. b. Baza danych zawiera dane surowe, podczas gdy hurtownia danych zawiera dane masowane (tj. dane podsumowane lub dane skorelowane). Dane źródłowe i dane transakcyjne są takie same jak dane surowe .
143. Które z poniższych narzędzi jest najbardziej przydatne w wykrywaniu włamań do zabezpieczeń?
a. Narzędzia do eksploracji danych
b. Narzędzia do optymalizacji danych
c. Narzędzia do reorganizacji danych
d. Narzędzia dostępu do danych
143. a. Eksploracja danych to zestaw zautomatyzowanych narzędzi, które konwertują dane w hurtowni danych na przydatne informacje. Wybiera i raportuje informacje uznane za istotne z hurtowni danych lub bazy danych. Techniki eksploracji danych mogą być również wykorzystywane do wykrywania włamań, wykrywania oszustw i audytu baz danych. Możesz zastosować narzędzia do eksploracji danych, aby wykryć nieprawidłowe wzorce danych, które mogą dostarczyć wskazówek dotyczących oszustwa. Narzędzia do optymalizacji danych poprawiają wydajność bazy danych. Narzędzia do reorganizacji danych pomagają przenieść dane, aby ułatwić szybszy dostęp. Narzędzia dostępu do danych pomagają w dotarciu do pożądanych danych.
144. Który z poniższych elementów można najłatwiej wykorzystać podczas wykonywania za zaporami ogniowymi?
a. Poczta elektroniczna
b. Żądania internetowe
c. Kontrolki Active-X
d. Protokół Przesyłania Plików
144. c. Zapory ogniowe skutecznie zapobiegają ujawnieniu się w Internecie luk w zabezpieczeniach oprogramowania znajdującego się wewnątrz zapory. Jednak zapory zezwalają żądaniom internetowym na dostęp do określonego oprogramowania działającego na komputerach znajdujących się za zaporą. Dotyczy to poczty e-mail, żądań sieci Web, protokołu przesyłania plików (FTP) i sesji telnet. Problem z zaufanymi formantami Active-X polega na tym, że formant Active-X może z łatwością wykorzystać luki w zaporze, które umożliwiają nawiązywanie połączenia z powrotem z serwerem sieciowym. Oznacza to, że formant Active-X może zachowywać się złośliwie zgodnie z projektem lub poprzez manipulację przez złośliwy serwer. Zdolność formantów Active-X do akceptowania poleceń skryptowych czyni je podatnymi na manipulacje ze złośliwych serwerów.
145. Która z poniższych opcji ma solidny model zabezpieczeń zapobiegający zachowaniu złośliwego kodu?
a. Kontrolki Active-X
b. Aplety Java
c. JavaScript
d. Załączniki do e-maili
145. b. Aplety Java mają solidny model zabezpieczeń, który zapobiega złośliwemu działaniu kodu w porównaniu z kontrolkami Active-X, skryptami JavaScript i załącznikami do wiadomości e-mail. Aplety Java używają zorientowanej na technologię polityki zwanej koncepcją piaskownicy. Java Sandbox uniemożliwia apletom Java korzystanie z wrażliwych usług systemowych. W przypadku wszystkich innych form zawartości aktywnej polityka bezpieczeństwa jest oparta na zaufaniu. Oznacza to, że użytkownik musi ufać źródłu aktywnej zawartości i podjąć ryzyko w przypadku, gdy aktywna zawartość wyrządzi szkodę, czy to przez złośliwe zamiary, czy przez nieumyślne błędy w kodzie. Chociaż większość złośliwych załączników do plików ma podejrzane rozszerzenia plików, takie jak .bat, .cmd, .exe, .pif, .vbs i .scr, używanie niegdyś łagodnych rozszerzeń plików, takich jak .zip, stało się bardziej powszechne w przypadku złośliwych plików załączniki .
146. Która z poniższych funkcji i mechanizmów bezpieczeństwa jest określona przez standardy strukturalnego języka zapytań (SQL)?
a. Identyfikacja i uwierzytelnianie
b. Zarządzanie transakcjami
c. Audyt
d. Tolerancja błędów
146. b. Język bazy danych SQL jest standardowym interfejsem do uzyskiwania dostępu do relacyjnych baz danych i manipulowania nimi. Wiele krytycznych funkcji bezpieczeństwa nie jest określonych przez SQL; inne są określone w jednej wersji SQL, ale pominięte we wcześniejszych wersjach. Baza danych może być w stanie spójnym lub niespójnym. Spójny stan oznacza, że wszystkie tabele (lub wiersze) odzwierciedlają pewne zmiany w świecie rzeczywistym. Niespójny stan oznacza, że niektóre tabele (lub wiersze) zostały zaktualizowane, ale inne nadal odzwierciedlają stary świat. Mechanizmy zarządzania transakcjami są stosowane w celu zapewnienia, że baza danych pozostaje przez cały czas w spójnym stanie. Mechanizmy te umożliwiają powrót bazy danych do poprzedniego spójnego stanu w przypadku wystąpienia błędu. Mechanizmy identyfikacji i uwierzytelniania nie są określone w SQL. Są jednak wymagane w sposób dorozumiany. W najprostszym przypadku użytkownik uwierzytelnia swoją tożsamość w systemie podczas logowania. Informacje te są utrzymywane przez całą sesję. Informacje są przekazywane do SZBD, gdy SZBD uzyskuje dostęp. Siła uwierzytelniania różni się w zależności od typu, implementacji i zarządzania mechanizmami uwierzytelniania. Specyfikacja SQL nie zawiera wymagań dotyczących audytu, ale produkty SQL mogą zawierać pewne funkcje audytu. Mechanizmy ostrzegawcze są ściśle związane z wymaganiami audytu. Jeśli procesor SQL obejmuje audyt, system operacyjny musi mieć wystarczającą kontrolę dostępu, aby uniemożliwić modyfikację lub dostęp do ścieżki audytu. Odporność na awarie nie jest wymagana przez żadną specyfikację SQL, ale jest cechą niektórych implementacji SQL. Systemy odporne na błędy rozwiązują awarię systemu; Technologia macierzy dyskowych może być wykorzystana do rozwiązania problemu awarii nośników pamięci.
147. Która z poniższych cech charakteryzuje technologię relacyjnych baz danych?
a. Wiersze i kolumny
b. Węzły i gałęzie
c. Bloki i strzały
d. Rodzice i dzieci
147. a. Technologia relacyjnych baz danych zajmuje się tabelami, wierszami i kolumnami. Hierarchiczny model danych (struktura drzewa) składa się z węzłów i gałęzi oraz rodziców i dzieci. Najwyższy węzeł nazywa się korzeniem. Typy węzłów nazywane są typami segmentów. Typ węzła głównego nazywa się typem segmentu głównego. W sieciowym modelu danych można znaleźć bloki i strzałki.
148. W systemie zarządzania relacyjnymi bazami danych, który z poniższych typów mechanizmów blokowania zabezpieczającego najlepiej spełnia koncepcję blokowania drobnoziarnistego?
a. Blokowanie na poziomie rzędu
b. Blokowanie na poziomie stołu
c. Blokowanie na poziomie bloku
d. Blokowanie na poziomie pliku
148. a. Mechanizm blokowania zabezpieczeń uniemożliwia jednej transakcji odczytywanie lub aktualizowanie rekordu, zanim inna transakcja zwolni blokady na tych rekordach. Blokady na poziomie wiersza są używane dla tabel danych i indeksów, co może zapobiec spadkowi wydajności, gdy baza danych jest modyfikowana przez wielu użytkowników jednocześnie. Pozostałe trzy opcje są nieprawidłowe, ponieważ oferują mechanizmy blokowania zabezpieczeń gruboziarnistych. Dzieje się tak, ponieważ wiersz jest najmniejszym poziomem w bazie danych.
149. Która z poniższych cech jest wadą rozproszonych systemów zarządzania bazami danych w porównaniu ze scentralizowanymi systemami zarządzania bazami danych?
a. Autonomia
b. Niezawodność
c. Elastyczność
d. Backup danych
149. d. Rozproszone systemy zarządzania bazami danych są skomplikowane w opracowywaniu i utrzymywaniu, a dane o znaczeniu krytycznym mogą wymagać centralnego umieszczenia w celu korzystania z urządzeń do tworzenia kopii zapasowych zwykle dostępnych w centralnej lokalizacji. Oto niektóre wady dystrybucji. Pozostałe trzy wybory są nieprawidłowe. Lokalne kierownictwo zapewnia autonomię i lepszą kontrolę. Zwiększona niezawodność; oznacza to, że jeśli jeden serwer ulegnie awarii, większość danych pozostanie dostępna. Zapewniona jest elastyczność; oznacza to, że użytkownicy częściej żądają danych utworzonych i utrzymywanych lokalnie niż danych z innych lokalizacji. To są zalety bycia dystrybuowanym.
150. Który z poniższych modeli danych jest odpowiedni dla z góry określonych relacji danych?
a. Hierarchiczny model danych
b. Model danych sieciowych
c. Relacyjny model danych
d. Rozproszony model danych
150. a. Hierarchiczne struktury danych są odpowiednie dla z góry określonych relacji danych, tak często spotykanych, które mają lepsze/gorsze skojarzenia, jak rodzice z dzieckiem, menedżer z podwładnym, całość z częściami i tak dalej. Pomimo tego naturalizmu model ten wymaga od użytkownika zrozumienia dość skomplikowanych ustaleń, gdy jest z nim łączona duża, zróżnicowana baza danych. W zależności od implementacji DBMS, model ten może być wydajny w oszczędzaniu pamięci i przetwarzaniu dużych ilości, rutynowych transakcji przy jednoczesnym dostępie do rekordów. Okazał się również skutecznym modelem technik zapytań operujących na zestawach rekordów. Model sieciowy zapewnia nieco bardziej ogólne struktury niż hierarchiczny, do powiązania zróżnicowanych danych z troską o oszczędność pamięci. Wynikowa baza danych może być złożona, a użytkownik, zwykle programista, musi uważnie śledzić aktualną pozycję odniesienia wśród wystąpień danych. Z tego powodu mówi się, że struktura sieci indukuje podejście nawigacyjne w przetwarzaniu transakcji. Model sieci jest zdolny do wysokiej wydajności w zakresie wydajności i wykorzystania pamięci masowej. Funkcje zapytań, chociaż dostępne, są mniej rozwinięte dla tego modelu niż dla innych modeli. Model relacyjny jest powszechnie akceptowany jako najbardziej odpowiedni dla użytkowników końcowych, ponieważ jego podstawowe sformułowanie jest łatwe do zrozumienia, a jego tabelaryczna struktura danych jest oczywista i atrakcyjna dla laików. Innowacje w języku zapytań są najbardziej widoczne w tym modelu niż w innych. Rozproszony model może być postrzegany jako posiadający wiele węzłów sieciowych i ścieżek dostępu między komputerem centralnym i lokalnym oraz w obrębie lokalnych witryn komputerowych. Bezpieczeństwo bazy danych staje się głównym problemem w prawdziwie rozproszonym środowisku, w którym same dane są rozproszone i istnieje wiele ścieżek dostępu do danych z odległych lokalizacji.
151. Mechanizm restartu i odzyskiwania systemu zarządzania bazami danych (DBMS) nie obejmowałby którego z poniższych elementów?
a. Podejście do wycofywania
b. Reorganizacja
c. Podejście do cienia
d. Funkcja wersjonowania
151. b. Reorganizacja bazy danych następuje przy początkowym załadowaniu i każdym późniejszym przeładowaniu. Reorganizacja eliminuje niewykorzystaną przestrzeń między ważnymi rekordami w wyniku usunięcia niektórych rekordów. Poza odzyskiwaniem niewykorzystanej przestrzeni, reorganizacja może uporządkować rekordy w taki sposób, że ich kolejność fizyczna jest taka sama lub prawie taka sama jak kolejność logiczna. Reorganizacja nie ma nic wspólnego z restartem i odzyskiwaniem. DBMS musi mieć kompleksowy i niezawodny system odzyskiwania, który wykorzystuje podejście wycofywania, w którym tworzone są kopie zapasowe nieprawidłowych lub niekompletnych transakcji i obrazów bazy danych; lub podejście shadowing z kronikowaniem (lub rejestrowaniem transakcji) i odzyskiwaniem poprzez ponowne zastosowanie transakcji względem poprzedniej wersji bazy danych. Obiekty te powinny również uwzględniać wybrane odzyskiwanie dla określonych plików, rekordy lub rekordy logiczne. Ponadto DBMS powinien mieć również funkcję wersjonowania do śledzenia i rejestrowania zmian danych w czasie w historii zmian projektowych. System zarządzania wersjami powinien śledzić następców i poprzedników wersji. Chociaż podejście wycofywania używa obrazów przed, podejście wycofywania używa obrazów po. Oba te obrazy są przechowywane na taśmie dziennika. Jeśli baza danych jest uszkodzona, kopie poobrazów można dodać do kopii zapasowej bazy danych. Baza danych jest przewijana od momentu, w którym wiadomo, że jest poprawna, do późniejszego czasu.
152. Które z poniższych stwierdzeń jest prawdziwe w odniesieniu do słowników danych?
a. Słownik danych musi być zawsze aktywny, aby był użyteczny.
b. Aktywny słownik danych musi być zależny od systemów zarządzania bazami danych.
c. Pasywny słownik danych jest ważną cechą systemów zarządzania bazami danych.
d. Słownik danych może istnieć tylko w systemie bazy danych.
152. b. W przypadku aktywnego słownika danych nie ma opcji, co oznacza, że słownik danych i system zarządzania bazą danych idą w parze; potrzebują siebie nawzajem, aby skutecznie funkcjonować. Pozostałe trzy wybory nie są poprawne, ponieważ (i) zarówno aktywne, jak i pasywne słowniki danych są przydatne, (ii) pasywny słownik danych może, ale nie musi, wymagać sprawdzania aktualności opisów danych przed wykonaniem programu, oraz (iii) systemy niebędące bazami danych mogą mieć słowniki danych.
153. Sytuacje śmiertelnego objęcia lub zakleszczenia w bazie danych można najlepiej rozwiązać przez które z poniższych?
a. Zapobieganie
b. Wykrycie
c. Korekta
d. Ignorowanie
153. a. Istnieją dwie ogólne metody radzenia sobie z zakleszczeniami. Preferowana metoda polega na wykrywaniu prawdopodobieństwa zakleszczenia i zapobieganiu jego wystąpieniu. Druga metoda polega na wykrywaniu zakleszczenia w momencie jego wystąpienia i robieniu czegoś, aby go naprawić. Zakleszczeniom można zapobiec dzięki dobremu projektowi bazy danych, zwłaszcza przy fizycznym projektowaniu. Sytuacje impasu są zbyt powszechne, aby je zignorować. Konsekwentne korzystanie z bazy danych może zminimalizować ryzyko zakleszczenia.
154. Które z poniższych nie jest przykładem pierwszej linii obrony?
a. Warunki i procedury
b. Kontrole wewnętrzne
c. Ścieżki audytu i dzienniki
d. Szkolenie, świadomość i edukacja
154. c. Ścieżki audytu i dzienniki dostarczają informacji po fakcie w celu wykrycia anomalii i dlatego nie mogą stanowić pierwszej linii obrony w zakresie zapobiegania anomalii. Ścieżki audytu i dzienniki zapewniają drugą linię obrony, podczas gdy wszystkie pozostałe trzy opcje zapewniają mechanizmy pierwszej linii obrony.
155. Które z poniższych jest przykładem ostatniej linii obrony?
a. Czujność pracowników
b. Sterowanie zmianą programu
c. Techniki odporne na awarie
d. Ochrona zewnętrzna
155. a. Ludzie potrafią wykryć anomalie, których maszyny nie potrafią za pomocą zdrowego rozsądku; dlatego czujność pracowników jest ostatnią linią obrony przed wszystkim, co umknęło mechanizmom pierwszej i/lub drugiej linii obrony. Zabezpieczenia zewnętrzne, takie jak ściany i sufity mające na celu zapobieganie nieautoryzowanemu wejściu, są przykładami drugiej linii obrony, podczas gdy pozostałe trzy opcje są przykładami mechanizmów pierwszej linii obrony. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają one ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych. Linia obrony stanowi zasadniczą część strategii pogłębionej obrony lub strategii pogłębionej ochrony.
156. Które z poniższych nie obejmują głównych aspektów strategii obrony w głąb, mającej na celu osiągnięcie skutecznej postawy zapewniania informacji?
a. Ludzie
b. Procesy
c. Technologia
d. Operacje
156. b. Strategia obrony w głąb zapewnia efektywną postawę zapewniania informacji i obejmuje ludzi, technologię i operacje, ale nie procesy. Organizacje zaspokajają potrzeby w zakresie zapewnienia informacji za pomocą osób wykonujących operacje wspierane przez technologię.
157. Operacje, jeden z głównych aspektów strategii obrony w głąb, nie obejmuje którego z poniższych?
a. Certyfikacja i akredytacja
b. Wykrywanie ataku i ostrzeganie
c. Ocena ryzyka systemowego
d. Odzyskiwanie i rekonstytucja
157.c. Ocena ryzyka systemowego jest częścią zasady technologicznej, podczas gdy inne opcje są częścią zasady operacyjnej. Strategia Defencein depth koncentruje się na ludziach, technologii i operacjach.
158. Technologia, jeden z głównych aspektów strategii pogłębionej obrony, nie obejmuje którego z poniższych?
a. Architektura zapewniania informacji
b. Środki zaradcze dla obiektów
c. Kryteria zapewnienia informacji
d. Integracja akwizycyjna ocenianych produktów
158. b. Środki zaradcze dla obiektów są częścią zasady ludzi, podczas gdy wszystkie inne wybory są częścią zasady technologii. Strategia obrony w głąb koncentruje się na ludziach, technologii i operacjach.
159. Dla których z poniższych potrzebna jest strategia ochrony warstwowej?
1. Wiele punktów podatności
2. Pojedyncze punkty awarii
3. Granice sieci
4. Starsze systemy informatyczne
a. 1 i 2
b. 2 i 3
c. 1, 2 i 3
d. 1, 2, 3 i 4
159. c. Infrastruktury informacyjne składają się ze skomplikowanych systemów z wieloma punktami podatności, pojedynczymi punktami awarii i krytycznymi obszarami, takimi jak granice sieci. Potrzebne są warstwy rozwiązań technologicznych, aby ustanowić odpowiednią postawę zapewnienia informacji. Organizacje wydały znaczne sumy pieniędzy na rozwój dużych starszych systemów informatycznych, aby zaspokoić wyjątkowe potrzeby misji lub biznesu. Te starsze systemy pozostaną na miejscu przez jakiś czas i będą powoli zastępowane przez komercyjne, gotowe oprogramowanie. Ochrona warstwowa nie jest potrzebna w przypadku starszych systemów, które wkrótce wygasną.
160. Należy odmówić dostępu do wszystkich poniższych informacji, z wyjątkiem:
a. Pliki cookie HTTP
b. Skrypty CGI
c. Program do wycinania ciasteczek PGP
d. Aplety
160. c. Pełna nazwa pliku cookie to trwały plik cookie stanu klienta HTTP, który może stanowić ingerencję w prywatność użytkownika sieci Web. Plik cookie to podstawowy plik tekstowy przesyłany między serwerem sieciowym a klientem sieciowym (przeglądarką), który śledzi, gdzie użytkownik przeszedł na stronę internetową, jak długo przebywał w każdym obszarze i tak dalej. Zbieranie tych informacji za kulisami może być postrzegane jako ingerencja w prywatność. Dostęp do plików cookie protokołu przesyłania hipertekstu (HTTP) może zostać zablokowany. Całkiem dobry program do wycinania plików cookie (PGP) może zapobiec przechwytywaniu informacji o użytkowniku. Skrypt wspólnego interfejsu bramy (CGI) to mały program do wykonywania pojedynczego zadania na serwerze sieci Web. Skrypty te są przydatne do wypełniania i przesyłania formularzy internetowych oraz do przechowywania informacji o serwerze, na którym są uruchomione. Ta informacja jest również przydatna dla atakującego, co czyni ją ryzykowną. Skrypt może zostać zaatakowany podczas działania. Aplety umożliwiają pobranie małego programu komputerowego wraz ze stroną internetową. Aplety mają zarówno dobre, jak i złe cechy. Dobrym aspektem jest wzbogacenie wyglądu strony internetowej w funkcje. Wysysanie plików i kasowanie dysku twardego to tylko niektóre przykłady złych aspektów.
161. Jaki jest najmniej efektywny sposób obsługi skryptów Common Gateway Interface (CGI)?
a. Unikaj ich.
b. Usuń ich.
c. Wykonaj je.
d. Odsuń je.
161. c. Niektóre serwery protokołu przesyłania hipertekstu (HTTP) mają domyślny katalog skryptów CGI. Najlepiej usunąć lub uniknąć te programy lub przenieść je w inne miejsce. Skrypty CGI są niebezpieczne, ponieważ są podatne na ataki podczas wykonywania.
162. Który z poniższych elementów działań nie jest częścią zasady bezpieczeństwa "zwiększenia odporności"?
a. Wdrażaj zabezpieczenia warstwowe, aby zapewnić brak pojedynczego punktu podatności.
b. Używaj wspólnych języków podczas opracowywania wymagań bezpieczeństwa.
c. Ogranicz lub zawierają luki w zabezpieczeniach.
d. Użyj mechanizmów granicznych do oddzielenia systemów obliczeniowych i sieci.
162. b. Akcja "Użyj wspólnych języków w opracowywaniu wymagań bezpieczeństwa" jest częścią zasady łatwości użytkowania. Pozostałe trzy opcje są częścią zasady bezpieczeństwa zwiększającej odporność.
163. Które z poniższych nie jest powszechnym podejściem do bezpieczeństwa stosowanym przez Javę i Active-X?
a. Sprzęt komputerowy
b. Oprogramowanie
c. ludzki osąd
d. Podpis cyfrowy
163. a. Technologia Active-X opiera się na ocenie człowieka i wykorzystaniu podpisów cyfrowych. Java w większym stopniu opiera się na oprogramowaniu. Nie są zależne od sprzętu.
164. Jaka jest najskuteczniejsza kontrola programów Active-X?
a. Używaj podpisów cyfrowych.
b. Wydaj oświadczenie dotyczące zasad.
c. Akceptuj tylko zatwierdzone programy Active-X.
d. Zabroń wszystkich programów Active-X.
164. d. Problem z programami Active-X polega na tym, że użytkownicy mogą pobrać program podpisany przez kogoś, z kim użytkownik nie jest zaznajomiony. Deklaracja zasad o tym, komu można zaufać, jest trudna do wdrożenia. Najskuteczniejszą kontrolą jest zablokowanie wszystkich programów Active-X.
165. Która z poniższych sytuacji przedstawia pojedynczy punkt awarii?
a. Serwer sieciowy
b. Serwer bazy danych
c. Zapora
d. Router
165. c. Zapora ma tendencję do skupiania bezpieczeństwa w jednym punkcie, co może prowadzić do potencjalnego naruszenia bezpieczeństwa całej sieci w jednym punkcie. Jeśli zapora ulegnie awarii, cała sieć może zostać zaatakowana. Pozostałe trzy opcje nie są przykładami pojedynczego punktu awarii.
166. Które z poniższych jest przykładem drugiej linii obrony?
a. Monitoring systemów i pracowników
b. Systemy wabika
c. Systemy Honeypot
d. Monitorowanie sieci
166. a. Przykładem drugiej linii obrony jest monitorowanie systemów i pracowników przed nieuprawnionymi działaniami. Przykładem jest monitorowanie pracy pracownika za pomocą klawiatury. Pozostałe trzy opcje to przykłady mechanizmów pierwszej linii obrony. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych. Linia obrony stanowi zasadniczą część strategii pogłębionej obrony lub strategii pogłębionego bezpieczeństwa.
167. Które z poniższych stwierdzeń nie jest prawdziwe w odniesieniu do systemu profilu ochrony (PP) w formacie Common Criteria (CC)?
a. Rejestruje rozważane zagrożenia.
b. Jest to wynik wstępnej analizy bezpieczeństwa.
c. Dokumentuje realizowane cele bezpieczeństwa.
d. Rejestruje rzeczywiste specyfikacje bezpieczeństwa podczas ich tworzenia.
167. b. Do prezentacji wyników określania potrzeb i analizy wymagań można wykorzystać format profilu ochrony systemu (PP) Common Criteria (CC). Ponadto system PP działa jako zapis analizy bezpieczeństwa przeprowadzonej podczas tego procesu generowania specyfikacji. PP zapewnia wszystkie rzeczy wymienione w pozostałych trzech opcjach. Dlatego system PP powinien być postrzegany jako ewoluujący dokument, który nie jest po prostu "wynikiem" wstępnej analizy bezpieczeństwa, ale jest również pełnym zapisem analizy bezpieczeństwa przeprowadzonej w trakcie procesu generowania specyfikacji.
168. Które z poniższych działań nie jest częścią zasady bezpieczeństwa zwiększania odporności?
a. Obsługuj system informatyczny, aby ograniczyć szkody i być odpornym na reagowanie.
b. Nie wdrażaj niepotrzebnych mechanizmów bezpieczeństwa.
c. Odizoluj systemy dostępu publicznego od zasobów o znaczeniu krytycznym.
d. Wdrażaj mechanizmy audytu w celu wykrywania nieautoryzowanego użycia i wspierania dochodzeń w sprawie incydentów.
168. b. Akcja "Nie wdrażaj zbędnych mechanizmów bezpieczeństwa" wpisuje się w zasadę bezpieczeństwa redukcji podatności. Pozostałe trzy opcje są częścią zasady bezpieczeństwa zwiększającej odporność.
169. Które z poniższych elementów jest wymagane, aby rozproszony system informacyjny obsługiwał migrację do nowej technologii lub aktualizację nowych funkcji?
1. Modułowa konstrukcja
2. Wspólny język
3. Interoperacyjność
4. Przenośność
a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 1, 2, 3 i 4
169. d. Projekt zabezpieczenia powinien być modułowy, tak aby poszczególne części projektu zabezpieczenia można było aktualizować bez konieczności modyfikowania całego systemu. Użycie wspólnego języka (np. Common Criteria) podczas opracowywania wymagań bezpieczeństwa pozwala organizacjom oceniać i porównywać produkty i funkcje bezpieczeństwa. Tę ocenę można przeprowadzić we wspólnym środowisku testowym. Aby rozproszone systemy informacyjne były efektywne, projektanci programów bezpieczeństwa powinni dołożyć wszelkich starań, aby włączyć interoperacyjność i przenośność do wszystkich środków bezpieczeństwa, w tym sprzętu i oprogramowania oraz praktyk implementacyjnych.
170. Z punktu widzenia względnego ryzyka, potrzeba zabezpieczenia warstwowego jest najważniejsza dla którego z poniższych systemów w celu ochrony przed wyrafinowanymi atakami?
a. Główne systemy informacyjne
b. Komercyjne systemy gotowe do użycia
c. Ogólne systemy wsparcia
d. Indywidualnie zaprojektowane systemy aplikacji
170. b. Potrzeba warstwowej ochrony bezpieczeństwa jest najważniejsza, gdy używane są komercyjne, gotowe produkty od dostawców oprogramowania. Praktyczne doświadczenie pokazuje, że obecny stan wiedzy w zakresie jakości zabezpieczeń komercyjnych produktów systemowych dostawcy nie zapewnia wysokiego stopnia ochrony przed wyrafinowanymi atakami. Potrzebne są dodatkowe środki kontroli bezpieczeństwa, aby zapewnić warstwową ochronę bezpieczeństwa, ponieważ produkt dostawcy jest produktem generycznym z minimalnymi kontrolami bezpieczeństwa do użytku przez wszystkich klientów. Systemy w pozostałych trzech opcjach są systemami wewnętrznymi organizacji, które zostały opracowane w określonym celu biznesowym i posiadają odpowiednie mechanizmy kontroli bezpieczeństwa. Ogólny system wsparcia to połączony zestaw zasobów informacyjnych pod tą samą bezpośrednią kontrolą zarządczą, które mają wspólną funkcjonalność, w tym sprzęt, oprogramowanie, dane/informacje, aplikacje, komunikacja i ludzie. System informatyczny jest klasyfikowany jako system główny, gdy jego rozwój, utrzymanie i koszty operacyjne są wysokie i gdy odgrywa znaczącą rolę w ogólnych operacjach organizacji.
171. Które z poniższych są wymagane, aby system informacyjny stał się odporny?
1. Możliwości wykrywania i reagowania
2. Zarządzaj pojedynczymi punktami awarii
3. Wdróż strategię reagowania
4. Opracuj system raportowania
a. 1 i 2
b. 2 i 3
c. 1 i 3
d. 1, 2, 3 i 4
171. d. Aby systemy informacyjne stały się odporne, organizacje powinny stworzyć możliwości wykrywania i reagowania, zarządzać pojedynczymi punktami awarii w swoich systemach, wdrożyć strategię reagowania i opracować system raportowania dla kierownictwa.
172. Które z poniższych nie stanowi pierwszej linii obrony dla ochrony danych?
a. Hasła
b. Dublowanie dysku
c. Ścieżki audytu
d. Nadmiarowa macierz niezależnych dysków
172. c. Ścieżki audytu dostarczają informacji po fakcie. Nie zapobiegają występowaniu złych rzeczy. Dublowanie dysków, nadmiarowa macierz niezależnych dysków (RAID) i hasła to pierwsza linia obrony. Dublowanie dysków i RAID stanowią pierwszą linię obrony przed utratą danych. Nieprawidłowe wprowadzenie hasła zostanie odrzucone, uniemożliwiając w ten sposób wejście do systemu informatycznego osobie nieuprawnionej. Zarówno dublowanie dysków, jak i RAID zapewniają usługi nadmiarowe. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają one ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych. Linia obrony stanowi zasadniczą część strategii pogłębionej obrony lub strategii pogłębionego bezpieczeństwa.
173. Które z poniższych jest ostatnią (ostateczną) linią obrony dla strategia obrony w głąb?
a. Bezpieczeństwo oparte na obwodzie
b. Środowisko komputerowe oparte na sieci
c. Środowisko komputerowe oparte na hoście
d. Bezpieczeństwo oparte na hoście
173. c. Wykrywaj i reaguj na działania skutecznie łagodząc skutki ataków, które przenikają i narażają sieć. Środowisko komputerowe oparte na hoście jest ostatnią (ostateczną) linią obrony dla strategii obrony w głąb. Podejście do ochrony musi uwzględniać pewne fakty, takie jak stacje robocze i serwery, które mogą być podatne na ataki z powodu złej postawy bezpieczeństwa, błędnej konfiguracji, wad oprogramowania lub niewłaściwego użytkowania przez użytkownika końcowego. Bezpieczeństwo oparte na obwodzie jest nieprawidłowe, ponieważ jest to technika zabezpieczenia sieci poprzez kontrolę dostępu do wszystkich punktów wejścia i wyjścia z sieci. Środowisko komputerowe oparte na sieci jest nieprawidłowe, ponieważ skupia się na skutecznej kontroli i monitorowaniu przepływu danych do iz enklawy, która składa się z wielu sieci LAN, ISDN i WAN podłączonych do Internetu. Stanowi pierwszą linię obrony. Bezpieczeństwo oparte na hoście jest nieprawidłowe, ponieważ jest to technika zabezpieczania pojedynczego systemu przed atakami. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają one ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych. Linia obrony stanowi zasadniczą część strategii pogłębionej obrony lub strategii pogłębionego bezpieczeństwa.
174. Co obejmują podstawowe cele obrony pogłębionej?
a. Skradaj się i zerkaj
b. Pułapka i ślad
c. Wykryj i odpowiedz
d. Chroń i wykrywaj
174. c. Podstawowym założeniem strategii obrony w głąb jest zapobieganie przeniknięciu sieci przez cyberataki oraz wykrywanie i skuteczne reagowanie w celu złagodzenia skutków ataków, które to robią. Możliwości wykrywania i reagowania to złożone struktury, które obejmują gamę wykrywania, charakteryzowania i reagowania włamań i ataków. Skradanie się i podglądanie są nieprawidłowe, ponieważ są elementem amerykańskiej ustawy Patriot Act z 2001 r., która została opracowana w celu zapewnienia wygody organom ścigania w przypadku terroryzmu. Pułapka i ślad są nieprawidłowe, ponieważ stanowią część dochodzenia karnego. Ochrona i wykrywanie są nieprawidłowe, ponieważ stanowią część funkcji ochrony fizycznej.
175. Która z poniższych kontroli stanowi pierwszą linię obrony przed potencjalnymi zagrożeniami bezpieczeństwa, ryzykiem lub stratami w sieci?
a. Hasła i identyfikatory użytkowników
b. Testowanie oprogramowania
c. Modem wdzwaniany
d. Dzienniki transakcji
175. a. Hasła i identyfikacja użytkownika to pierwsza linia obrony przed naruszeniem bezpieczeństwa sieci. Na hasła można nałożyć kilka ograniczeń, aby poprawić ich skuteczność. Ograniczenia te mogą obejmować minimalną długość i format oraz wymuszone okresowe zmiany hasła. Testowanie oprogramowania to ostatnia linia obrony zapewniająca integralność i bezpieczeństwo danych. Dlatego oprogramowanie musi być dokładnie przetestowane przez użytkowników końcowych, pracowników systemów informatycznych oraz pracowników obsługi komputera. Porty przełączane (nie przełączniki Cisco) należą do najbardziej narażonych na ataki punktów bezpieczeństwa w sieci. Umożliwiają one wdzwanianie się i wydzwanianie. Stanowią zagrożenie bezpieczeństwa, ponieważ umożliwiają użytkownikom z terminalami telefonicznymi dostęp do systemów. Chociaż oddzwanianie lub oddzwanianie jest potencjalną kontrolą jako pierwsza linia obrony, niekoniecznie jest najskuteczniejsze ze względu na możliwości przekierowywania połączeń w obwodach telefonicznych. W przypadku aplikacji online rejestrowanie wszystkich transakcji przetwarzanych lub odzwierciedlanych przez programy wejściowe zapewnia pełną ścieżkę audytu rzeczywistych i próbowanych wpisów, zapewniając w ten sposób ostatnią linię obrony. Dziennik może być przechowywany na taśmie lub w plikach dyskowych w celu późniejszej analizy. Kontrola logowania powinna obejmować datę, godzinę, użyty identyfikator użytkownika i hasło, lokalizację oraz liczbę wykonanych nieudanych prób. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają one ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych. Linia obrony stanowi zasadniczą część strategii pogłębionej obrony lub strategii pogłębionego bezpieczeństwa.
176. Które z poniższych umożliwia odpowiednie uwierzytelnienie użytkownika na mobilnym urządzeniu ręcznym?
a. Pierwsza linia obrony
b. Druga linia obrony
c. Trzecia linia obrony
d. Ostatnia linia obrony
176. a. Umożliwienie odpowiedniego uwierzytelnienia użytkownika jest pierwszą linią obrony przed nieautoryzowanym użyciem bez nadzoru, zgubionego lub skradzionego przenośnego urządzenia przenośnego, takiego jak osobisty asystent cyfrowy (PDA) i smartfony. Uwierzytelnianie to pierwsza linia obrony.
177. Które z poniższych wspiera strategię bezpieczeństwa w głąb?
a. Abstrakcja
b. Ukrywanie danych
c. Warstwy
d. Szyfrowanie
177. c. Dzięki zastosowaniu wielu nakładających się mechanizmów ochrony, awaria lub obejście indywidualnego podejścia do ochrony nie pozostawi systemu bez ochrony. Pojęcie ochrony warstwowej nazywa się strategią bezpieczeństwa w głąb lub strategii obrony w głąb. Abstrakcja, ukrywanie danych i szyfrowanie to tylko niektóre przykłady mechanizmów ochrony, które są częścią strategii szczegółowego bezpieczeństwa.
178. Jeśli kontrola A pudłuje 30 procent ataków, a kontrola B również nie trafia w 30 procent ataków, to jaki procent ataków zostanie przechwycony?
a. 40 procent
b. 60 procent
c. 70 procent
d. 91 procent
178. d. Kontrole działają w sposób addytywny, co oznacza, że ich łączny efekt jest znacznie większy niż suma każdego indywidualnego efektu. W połączeniu obie kontrole powinny przegapić tylko 9 procent (tj. 0,3 x 0,3) ataków. Oznacza to, że 91 procent (tj. 100 procent - 9 procent) ataków powinno zostać przechwyconych. Czterdzieści procent jest niepoprawne, ponieważ dodaje 30 procent i 30 procent i odejmuje wynik od 100%. Sześćdziesiąt procent jest niepoprawne, ponieważ po prostu dodaje 30 procent dla kontroli A i B. Siedemdziesiąt procent jest niepoprawne, ponieważ odejmuje 30 procent od 100 procent, co daje 70 procent.
179. Które z poniższych są przykładami ataków typu pharming?
a. Ataki zorientowane na przeglądarkę
b. Ataki zorientowane na serwer
c. Ataki zorientowane na sieć
d. Ataki zorientowane na użytkownika
179. c. Atakujący może zmodyfikować mechanizm systemu nazw domen (DNS), aby skierować go na fałszywą stronę internetową. Techniki te są często wykorzystywane do przeprowadzania ataków typu pharming, podczas których użytkownicy mogą ujawniać poufne informacje. Należy pamiętać, że ataki typu pharming można również inicjować poprzez podważanie plików komputera hosta ofiary.
180. Które z poniższych jest przykładem pojedynczego przegranego punktu?
a. Administracja bezpieczeństwa
b. Jednokrotne logowanie
c. Wiele haseł
d. Zmiany w sieci
180. b. System pojedynczego logowania (SSO) jest przykładem pojedynczego punktu awarii, w którym ryzyko jest skoncentrowane, a nie rozproszone. Jeśli system wpisywania się zostanie naruszony, cały system jest zagrożony. Pozostałe trzy opcje są przykładami wielu punktów awarii, w których wiele rzeczy może pójść nie tak w wielu miejscach przez wiele osób. Za każdym razem, gdy pracownik jest zwalniany lub zmieniane są części sieci, administrator bezpieczeństwa musi dezaktywować wszystkie hasła pracownika i ponownie skonfigurować sieć. Tutaj ryzyko jest rozłożone, a nie skoncentrowane.
181. Które z poniższych jest przykładem drugiej linii obrony w rozpoznawaniu ataku?
a. Zapora
b. Oprogramowanie do wykrywania ataków
c. Hasło
d. Kontrole wewnętrzne
181. b. Zapora, hasło i kontrola wewnętrzna to pierwsza linia obrony przed atakami i oszustwami. Zapora ogniowa może zostać ominięta przez sprytnego napastnika za pomocą ataku fałszowania protokołu internetowego (IP) lub przez ominięcie go całkowicie i uzyskanie dostępu do sieci bezpośrednio przez modem. Ze względu na trudności w konfiguracji zapory potrzebna jest druga linia obrony, a jest to oprogramowanie do wykrywania ataków zainstalowane na hoście lub w sieci. Jeśli nie można zapobiec atakowi, należy go przynajmniej wykryć. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych. Linia obrony stanowi zasadniczą część strategii obrony w głąb lub strategii w głąb bezpieczeństwa.
182. Który z poniższych mechanizmów bezpieczeństwa fizycznego stanowi pierwszą linię obrony dla centrum danych?
a. Powierzchnie wewnętrzne w budynku
b. Ściany zewnętrzne budynku
c. Bariery obwodowe na zewnątrz budynku
d. Sufity budynku
182. c. Bariery obwodowe, takie jak bramy i osłony, które znajdują się na zewnętrznej krawędzi posesji, stanowią pierwszą linię obrony. Zewnętrzne ściany, sufity, dachy i podłogi samego budynku stanowią drugą linię obrony. Obszary wewnętrzne w budynku, takie jak drzwi i okna, stanowią trzecią linię obrony. Wszystkie te przykłady są fizyczne mechanizmy bezpieczeństwa. Pierwsza linia obrony jest zawsze lepsza od pozostałych ze względu na koszty, czas i czynniki efektywności. Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych. Linia obrony stanowi zasadniczą część strategii obrony w głąb lub strategii w głąb bezpieczeństwa.
183. Które z poniższych jest właściwym podejściem systemu informatycznego do oddzielenia funkcjonalności użytkownika od funkcjonalności zarządzania?
a. Partycjonowanie aplikacji
b. Ochrona granic
c. Parametry bezpieczeństwa
d. Kontrolowane interfejsy
183. a. Partycjonowanie aplikacji oznacza, że system informacyjny fizycznie lub logicznie oddziela usługi interfejsu użytkownika (np. publiczne strony internetowe) od usług przechowywania i zarządzania systemem informacyjnym (np. zarządzanie bazami danych). Separację można osiągnąć za pomocą różnych komputerów, różnych procesorów, różnych instancji systemu operacyjnego, różnych adresów sieciowych lub kombinacji tych lub innych metod. Ochrona granic jest nieprawidłowa, ponieważ oznacza kontrolowanie komunikacji na zewnętrznych granicach systemu informacyjnego oraz na kluczowych granicach wewnętrznych systemu. Organizacja fizycznie przydziela publicznie dostępne komponenty systemu informacyjnego (np. publiczne serwery WWW) do oddzielnych podsieci z oddzielnymi, fizycznymi interfejsami sieciowymi. Parametry bezpieczeństwa są nieprawidłowe, ponieważ zawierają etykiety i oznaczenia zabezpieczające, które są powiązane z informacjami wymienianymi między systemami informacyjnymi. Kontrolowane interfejsy są nieprawidłowe, ponieważ obejmują urządzenia takie jak serwery proxy, bramy, routery, zapory i szyfrowane tunele zapewniające kontrolowane interfejsy do Internetu lub sieci zewnętrznych.
184. Z punktu widzenia polityki bezpieczeństwa, przetrwały system powinien być zbudowany w oparciu o określone:
a. Sprzęt komputerowy
b. Oprogramowanie
c. Architektura
d. Sprzedawca
184. c. Aby osiągnąć przeżywalność, należy przyjąć podejście oparte na architekturze. Oznacza to, że należy przyjąć podejście, w którym kwestie projektowe, a nie konkretne produkty sprzętowe lub programowe lub dostawcy są kluczem do stworzenia takiego systemu.
185. Który z poniższych mechanizmów ochrony pamięci może wyeliminować możliwość wstawienia złośliwego kodu?
a. Partycjonowanie systemu
b. Niemodyfikowalne programy wykonywalne
c. Izolacja zasobów
d. Separacja domen
185. b. Niemodyfikowalny program wykonywalny to taki, który ładuje i uruchamia środowisko operacyjne i system aplikacji z nośników sprzętowych i tylko do odczytu (np. napęd dyskowy CD-R/DVD-R). Termin środowisko operacyjne definiuje się jako kod, na którym są hostowane systemy aplikacji (np. monitor, system wykonawczy, system operacyjny lub system aplikacji działający bezpośrednio na platformie sprzętowej). Użycie niemodyfikowalnej pamięci masowej zapewnia integralność oprogramowania od momentu utworzenia obrazu tylko do odczytu. Może wyeliminować możliwość wstawienia złośliwego kodu za pośrednictwem trwałej, zapisywalnej pamięci masowej. Partycjonowanie systemu oznacza rozbicie systemu na komponenty, aby znajdowały się w oddzielnych domenach fizycznych lub środowiskach, jeśli uzna się to za konieczne. Izolacja zasobów to zamknięcie podmiotów i obiektów w systemie w taki sposób, że są one od siebie oddzielone. Separacja domen dotyczy mechanizmów chroniących obiekty w systemie.
186. Które z poniższych zapewnia organizacjom możliwość ukrycia systemów informatycznych i zmniejszenia prawdopodobieństwa udanych ataków bez ponoszenia kosztów posiadania wielu platform?
a. Obliczenia wirtualne
b. Oprogramowanie maszyny wirtualnej
c. Technologie wirtualizacji
d. Sieć zwirtualizowana
186. c. Technologie wirtualizacji zapewniają organizacjom możliwość ukrywania systemów informatycznych, potencjalnie zmniejszając prawdopodobieństwo udanych ataków bez ponoszenia kosztów posiadania wielu platform. Chociaż częste zmiany w systemach operacyjnych i systemach aplikacji stanowią wyzwanie w zakresie zarządzania konfiguracją, zmiany te powodują zwiększony czynnik pracy przeciwników w celu przeprowadzenia skutecznych ataków. Zmiana pozornego systemu operacyjnego lub systemu aplikacji, w przeciwieństwie do rzeczywistego systemu operacyjnego lub systemu aplikacji, powoduje wirtualne zmiany, które nadal utrudniają atakującemu sukces, jednocześnie pomagając zmniejszyć wysiłek związany z zarządzaniem konfiguracją. Aby osiągnąć ten cel, organizacje powinny wykorzystywać losowość we wdrażaniu technologii wirtualizacji. Wiele rozwiązań wirtualizacyjnych umożliwia jednoczesne działanie więcej niż jednego systemu operacyjnego na jednym komputerze, z których każdy wygląda tak, jakby był prawdziwym komputerem. Stało się to ostatnio popularne, ponieważ pozwala organizacjom na bardziej efektywne wykorzystanie sprzętu komputerowego. Większość tego typu systemów wirtualizacji obejmuje zwirtualizowaną sieć, która pozwala wielu systemom operacyjnym komunikować się tak, jakby korzystały ze standardowej sieci Ethernet, nawet jeśli nie ma rzeczywistego sprzętu sieciowego. Maszyna wirtualna (VM) to oprogramowanie, które umożliwia jednemu komputerowi hosta uruchamianie jednego lub więcej systemów operacyjnych gościa. Ponieważ każda maszyna wirtualna jest identyczna z prawdziwym sprzętem, każda z nich może uruchomić dowolny system operacyjny, który będzie działał bezpośrednio na sprzęcie. W rzeczywistości różne maszyny wirtualne mogą działać inaczej . Maszyny wirtualne mogą służyć do zapobiegania wykorzystywaniu systemu operacyjnego przez potencjalnie złośliwe oprogramowanie do nielegalnych działań. Zwykle znajdują się między systemem operacyjnym a fizycznym sprzętem. Ta warstwa pośrednictwa między oprogramowaniem a sprzętem jest potężną funkcją, która zapobiega bezpośredniemu łączeniu się potencjalnie złośliwego oprogramowania z rzeczywistym sprzętem. Maszyny wirtualne zwykle zapewniają wirtualne zasoby systemowi operacyjnemu. Robaki, które próbują działać w takim środowisku, mogą uszkodzić tylko wirtualnych zasobów, a nie prawdziwego systemu operacyjnego lub sprzętu. Maszyny wirtualne mogą również pomóc użytkownikowi odzyskać system po wykryciu ataku. Często mają możliwość przywrócenia systemu do poprzedniego, niezainfekowanego stanu. Wirtualne przetwarzanie i zwirtualizowana sieć są częścią technik lub technologii wirtualizacji.
187. Które z poniższych jest przykładem ryzyka po stronie klienta w sieci?
a. Narzędzia do tworzenia oprogramowania
b. Skrypty
c. Formaty dokumentów
d. Kontrolki Active-X
187. d. Po stronie przeglądarki (klienta) niepotrzebne wtyczki, dodatki lub kontrolki Active-X powinny zostać usunięte. Zaleca się również zastępowanie programów o mniejszej funkcjonalności zamiast w pełni zdolnych aplikacji pomocniczych lub wtyczek. Pozostałe trzy opcje to ryzyko po stronie serwera. Po stronie serwera należy również usunąć wszelkie niepotrzebne oprogramowanie, które nie jest potrzebne do świadczenia usług sieci Web, w szczególności wszelkie narzędzia programistyczne, które mogłyby zostać użyte do dalszego ataku, gdyby intruz zdołał uzyskać wstępny przyczółek. W idealnym przypadku skrypty po stronie serwera powinny ograniczać użytkowników do niewielkiego zestawu dobrze zdefiniowanych funkcji i weryfikować rozmiar i wartości parametrów wejściowych, tak aby atakujący nie mógł przekroczyć granic pamięci lub użyć arbitralnych poleceń w celu wykonania. Skrypty powinny być uruchamiane tylko z minimalnymi uprawnieniami (tj. bez uprawnień administratora), aby uniknąć narażenia całej witryny w przypadku, gdy skrypty mają luki w zabezpieczeniach. Potencjalne słabości zabezpieczeń można wykorzystać nawet wtedy, gdy aplikacje internetowe działają z ustawieniami niskich uprawnień. Na przykład, podważony skrypt może mieć wystarczające uprawnienia, aby wysłać systemowy plik haseł, zbadać mapy informacji o sieci lub uruchomić logowanie do portu o wysokim numerze. W miarę możliwości dostawcy treści i operatorzy witryn powinni dostarczać materiały zakodowane w mniej szkodliwych formatach dokumentów. Na przykład, jeśli destylatory dokumentów nie są dostępne do konwersji dokumentów tekstowych na przenośny format dokumentu (PDF), alternatywą jest udostępnienie wersji w formacie .rtf (format tekstu sformatowanego), a nie zastrzeżonego słowa formatu przetwarzania.
188. Które z poniższych jest problemem, gdy mamy do czynienia z informacjami międzydomenowymi?
a. Polityka uwierzytelniania
b. Poziom zaufania
c. Wspólna infrastruktura
d. Wspólna infrastruktura
188. b. Domena informacyjna to zbiór aktywnych jednostek (np. osoba, proces lub urządzenia) i ich obiekty danych. Poziom zaufania jest zawsze problemem, gdy mamy do czynienia z interakcjami międzydomenowymi ze względu na niezaufane źródła. Polityka uwierzytelniania oraz wykorzystanie wspólnej i współdzielonej infrastruktury z odpowiednimi zabezpieczeniami na poziomie systemu operacyjnego, systemu aplikacji i stacji roboczej to tylko niektóre z rozwiązań zapewniających efektywne interakcje międzydomenowe.
189. Które z poniższych podejść izoluje dostęp publiczny systemu z zasobów o znaczeniu krytycznym?
1. Fizyczna izolacja
2. Strefy zdemilitaryzowane
3. Podsieci ekranowane
4. Polityki i procedury bezpieczeństwa
a. 1 i 2
b. 2 i 3
c. 1 i 4
d. 1, 2, 3 i 4
189. d. Zasoby o znaczeniu krytycznym obejmują dane, systemy i procesy, które powinny być fizycznie lub logicznie chronione przed systemami publicznego dostępu. Fizyczna izolacja może obejmować zapewnienie, że nie istnieje fizyczne połączenie między publicznymi zasobami informacyjnymi organizacji a krytycznymi informacjami organizacji. Wdrażając rozwiązanie z izolacją logiczną, należy ustanowić warstwy usług i mechanizmów bezpieczeństwa pomiędzy systemami publicznymi a bezpiecznymi systemami prywatnymi odpowiedzialnymi za ochronę zasobów o znaczeniu krytycznym. Warstwy bezpieczeństwa mogą obejmować wykorzystanie projektów architektury sieci, takich jak strefy zdemilitaryzowane (DMZ) i podsieci ekranowane. Wreszcie, projektanci i administratorzy systemów powinni egzekwować polityki i procedury bezpieczeństwa organizacji dotyczące korzystania z systemów publicznego dostępu.
190. Granica enklawy dla zapewnienia informacji jest zdefiniowana jako która z poniższych?
1. Moment, w którym informacja trafia do organizacji
2. Moment, w którym informacja opuszcza enklawę
3. Fizyczna lokalizacja ma znaczenie dla organizacji
4. Logiczna lokalizacja ma znaczenie dla enklawy
a. 1 i 3
b. 2 i 4
c. 3 i 4
d. 1, 2, 3 i 4
190. d. Granica enklawy to punkt, w którym informacje wchodzą lub opuszczają enklawę lub organizację. Ze względu na wiele punktów wejścia i wyjścia potrzebna jest warstwa ochrony, aby zapewnić, że wprowadzane informacje nie wpływają na działanie lub zasoby organizacji, a opuszczanie informacji jest autoryzowane. Zasoby informacyjne znajdują się w fizycznych i logicznych lokalizacjach, a między tymi lokalizacjami istnieją granice.
191. Operacje, jeden z głównych aspektów strategii obrony w głąb, nie obejmuje którego z poniższych?
a. Oceny gotowości
b. Zarządzanie bezpieczeństwem
c. Zarządzanie kluczami kryptograficznymi
d. Bezpieczeństwo fizyczne
191. d. Bezpieczeństwo fizyczne jest częścią zasady ludzi, podczas gdy wszystkie pozostałe trzy opcje są częścią zasady operacji.
192. Które z poniższych funkcji zapewniają routery graniczne, zapory ogniowe i zabezpieczenia programowe/sprzętowe?
a. Pierwsza linia obrony
b. Druga linia obrony
c. Ostatni w obronie
d. Wiele linii obrony
192. a. Routery graniczne, zapory ogniowe i strażnicy oprogramowania/sprzętu stanowią pierwszą linię obrony przed włamaniami do sieci (np. atakami osób postronnych). Linia obrony to mechanizmy bezpieczeństwa służące do ograniczania i kontrolowania dostępu do zasobów systemu komputerowego oraz korzystania z nich. Wywierają ukierunkowany lub powstrzymujący wpływ na zachowanie jednostek i zawartość systemów komputerowych.
193. W jaki sposób podatny jest skrypt Common Gateway Interface (CGI)?
a. Ponieważ jest interpretowany.
b. Ponieważ daje dostęp do roota.
c. Ponieważ akceptuje sprawdzone dane wejściowe.
d. Ponieważ może być prekompilowany.
193. a. Skrypty CGI (Common Gateway Interface) są interpretowane, a nie prekompilowane. W związku z tym istnieje ryzyko, że skrypt może zostać zmodyfikowany w trakcie przesyłania i nie będzie wykonywać swoich oryginalnych działań. Skrypty CGI nie powinny akceptować niesprawdzonych danych wejściowych.
194. Które z poniższych tworzą podstawową technologię komponentów szkieletu Active-X?
a. Kontrolki Active-X
b. Kontenery Active-X
c. Dokumenty Active-X
d. Skrypty Active-X
194. a. Active-X to struktura technologii komponentów oprogramowania firmy Microsoft, która umożliwia osadzanie programów umieszczonych w jednostkach zwanych "kontrolkami" na stronach internetowych. Programista może opracować program, umieścić go w interfejsie Active-X, skompilować i umieścić na stronie sieci Web. Gdy użytkownicy końcowi wskazują stronę internetową w swoich przeglądarkach internetowych (obsługujących technologię Active-X), formant Active-X pobiera i próbuje wykonać ją na ich komputerze. Ponieważ formanty Active-X to po prostu programy, mogą robić wszystko, do czego są zaprogramowane, w tym powodować uszkodzenia poprzez usuwanie krytycznych plików. Inne technologie Active-X obejmują kontenery, dokumenty i skrypty Active-X. Kontener Active-X to aplikacja Active-X, a dokument Active-X to jeden rodzaj kontenera. Dokumenty pozwalają na rozszerzenie funkcjonalności kontroli. W ten sposób kontrolki Active-X tworzą podstawową technologię komponentów szkieletu Active-X. Kontenery i skrypty Active-X stanowią zagrożenie dla bezpieczeństwa użytkownika końcowego.
195. Na czym w pierwszej kolejności należy skoncentrować się na ulepszeniach bezpieczeństwa w systemie klient/serwer?
a. Poziom oprogramowania aplikacji
b. Poziom serwera bazy danych
c. Poziom bazy danych
d. Poziom serwera aplikacji
195. c. Pierwszym miejscem, w którym należy skoncentrować się na ulepszeniach bezpieczeństwa, jest poziom bazy danych. Jedną z zalet jest to, że zabezpieczenia nałożone na poziomie bazy danych będą spójne we wszystkich aplikacjach w systemie klient/serwer.
196. Źle zaimplementowane śledzenie sesji może stanowić drogę do której z poniższych?
a. Ataki zorientowane na przeglądarkę
b. Ataki zorientowane na serwer
c. Ataki zorientowane na sieć
d. Ataki zorientowane na użytkownika
196. b. Aplikacje internetowe często używają ścieżek, takich jak identyfikatory sesji, aby zapewnić ciągłość między transakcjami. Źle zaimplementowane śledzenie sesji może stanowić drogę do ataków zorientowanych na serwer.
197. Które z poniższych pozwala na warstwową strategię bezpieczeństwa dla systemów informatycznych?
1. Wdrażanie rozwiązań o niższym poziomie pewności przy niższych kosztach w celu ochrony mniej krytycznych systemów
2. Wdrożenie wszystkich kontroli zarządczych, operacyjnych i technicznych dla wszystkich systemów
3. Wdrożenie wszystkich kompensacyjnych i wspólnych kontroli dla wszystkich systemów
4. Wdrażanie rozwiązań o wyższym poziomie pewności tylko w najbardziej krytycznych obszarach systemu
a. 1 i 2
b. 1 i 4
c. 2 i 3
d. 1, 2, 3 i 4
197. b. Kierownictwo powinno rozpoznać wyjątkowość każdego systemu, aby umożliwić warstwową strategię bezpieczeństwa. Osiąga się to poprzez wdrażanie rozwiązań o niższym stopniu pewności przy niższych kosztach w celu ochrony mniej krytycznych systemów i rozwiązań o wyższym stopniu pewności tylko w najbardziej krytycznych obszarach systemu. Wdrażanie wszystkich kontroli zarządczych, operacyjnych, technicznych, kompensacyjnych i wspólnych dla wszystkich systemów jest niepraktyczne i nieopłacalne.
198. Które z poniższych obejmuje warstwowe podejście do zabezpieczeń w celu ochrony przed konkretnym zagrożeniem lub zmniejszenia podatności?
1. Korzystanie z routerów filtrujących pakiety
2. Korzystanie z bramy aplikacji
3. Używanie silnych kontroli haseł
4. Odpowiednie szkolenie użytkowników
a. 1 i 2
b. 1 i 3
c. 2 i 3
d. 1, 2, 3 i 4
198. d. Projekty zabezpieczeń powinny uwzględniać warstwowe podejście do rozwiązania lub ochrony przed konkretnym zagrożeniem lub zmniejszenia podatności. Na przykład użycie routera filtrującego pakiety z bramą aplikacji i systemem wykrywania włamań łączy się w celu zwiększenia współczynnika pracy, który atakujący musi poświęcić, aby skutecznie zaatakować system. Dodanie dobrych kontroli haseł i odpowiedniego przeszkolenia użytkowników jeszcze bardziej poprawia stan bezpieczeństwa systemu.
199. W środowisku zaufanej bazy obliczeniowej (TCB) do którego z poniższych odnosi się awaria wynikająca z modyfikacji sprzętu?
a. Kompromis z góry
b. Kompromis od wewnątrz
c. Kompromis od dołu
d. Kompromis z wielu domen
199.c. Kompromis z poniższych jest rezultatem awarii spowodowanej modyfikacją sprzętu. Dzieje się tak, ponieważ sprzęt znajduje się na dole hierarchii. Kompromis z powyższego występuje, gdy nieuprzywilejowany użytkownik może napisać niezaufany kod, który wykorzystuje lukę. Naruszenie bezpieczeństwa od wewnątrz występuje, gdy uprzywilejowany użytkownik lub proces nadużywa przydzielonych uprawnień. Kompromis z wielu domen nie ma tutaj znaczenia.
200. Która z poniższych jest najważniejszą właściwością dobrze zaprojektowanych systemów rozproszonych?
a. Odporność na awarie dzięki redundancji
b. Ochrona bezpieczeństwa poprzez izolację
c. Rozszerzalność poprzez adaptacyjność
d. Przejrzystość dystrybucji dzięki rozdzieleniu komponentów
200.d. Przejrzystość dystrybucji zapewnia ujednolicony interfejs do zbioru zasobów obliczeniowych korzystających z tych samych nazw i operacji, niezależnie od ich lokalizacji. Oznacza to, że usługi są dostarczane wszędzie tam, gdzie znajduje się użytkownik. Do systemu można dodawać nowe komponenty bez przerywania pracy systemu. Pozostałe trzy możliwości to zalety dobrze zaprojektowanych systemów rozproszonych.
201. Jeśli chodzi o Common Criteria (CC), które z poniższych stwierdzeń zapewnia niezależną od implementacji deklarację potrzeb w zakresie bezpieczeństwa?
a. Cel oceny (TOE)
b. Cel bezpieczeństwa (ST)
c. Profil ochronny (PP)
d. Ocena poziomu pewności (EAL)
201.c. Profil ochrony (PP) to niezależna od implementacji deklaracja potrzeb w zakresie bezpieczeństwa dla danego typu produktu. TOE jest nieprawidłowy, ponieważ jest to produkt, który został zainstalowany i jest obsługiwany zgodnie z jego wytycznymi. ST jest niepoprawne, ponieważ jest to zależne od implementacji oświadczenie o potrzebach bezpieczeństwa dla określonego zidentyfikowanego Przedmiotu Oceny (TOE). EAL jest niepoprawny, ponieważ jest to pakiet poświadczający, składający się z wymagań poświadczających, reprezentujących punkt na predefiniowanej skali wiarygodności CC.
202. Które z poniższych zawiera jądro bezpieczeństwa, niektóre funkcje zaufanego kodu, sprzęt i niektóre kanały komunikacji?
a. Domena bezpieczeństwa
b. Model bezpieczeństwa
c. Obwód bezpieczeństwa
d. Parametry bezpieczeństwa
202. c. Granica bezpieczeństwa to granica, w obrębie której stosowane są zabezpieczenia w celu ochrony zasobów informacyjnych. Domena bezpieczeństwa to zbiór elementów, polityka bezpieczeństwa, autorytet i zbiór odpowiednich działań. Model bezpieczeństwa to formalna prezentacja polityki bezpieczeństwa narzuconej przez system. Przykładami parametrów bezpieczeństwa są hasła i klucze szyfrowania.
203. Które z poniższych przykładów są najczęściej atakami phishingowymi?
a. Ataki zorientowane na przeglądarkę
b. Ataki zorientowane na serwer
c. Ataki zorientowane na sieć
d. Ataki zorientowane na użytkownika
203. d. W ataku phishingowym osoby atakujące próbują nakłonić użytkowników do uzyskania dostępu do fałszywej witryny i ujawnienia danych osobowych. W atakach phishingowych wykorzystywane są metody socjotechniki. Pamiętaj, że niektóre ataki phishingowe mogą być atakiem mieszanym wymierzonym w przeglądarkę.
204. W którym z poniższych trybów bezpieczeństwa dostęp do systemu jest zabezpieczony co najmniej na najwyższym poziomie?
a. Wielopoziomowy tryb bezpieczeństwa
b. Dedykowany tryb bezpieczeństwa
c. Tryb bezpieczeństwa z przedziałami
d. Tryb kontrolowany
204. c. Tryb bezpieczeństwa z przedziałami to tryb działania, który pozwala systemowi na przetwarzanie dwóch lub więcej typów informacji z przedziałami (informacje wymagające specjalnej autoryzacji) lub dowolnego typu informacji z przedziałami z informacjami innymi niż przedziały. W tym trybie dostęp do systemu jest zabezpieczony co najmniej do poziomu ściśle tajnego, ale wszyscy użytkownicy systemu niekoniecznie muszą być formalnie upoważnieni do uzyskiwania dostępu do wszystkich rodzajów informacji podzielonych na przedziały, które są przetwarzane i/lub przechowywane w systemie. Wielopoziomowy tryb zabezpieczeń jest nieprawidłowy. Jest to tryb działania, który pozwala na jednoczesne przetwarzanie dwóch lub więcej poziomów klasyfikacji informacji w tym samym systemie, gdy niektórzy użytkownicy nie mają dostępu do wszystkich obecnych poziomów informacji. Dedykowany tryb bezpieczeństwa jest nieprawidłowy. Jest to tryb działania, w którym system jest specjalnie i wyłącznie przeznaczony i kontrolowany do przetwarzania określonego rodzaju lub klasyfikacji informacji, czy to w pełnym wymiarze godzin, czy przez określony czas. Tryb kontrolowany jest nieprawidłowy. Jest to rodzaj wielopoziomowego zabezpieczenia, w którym bardziej ograniczony poziom zaufania jest pokładany w sprzęcie/oprogramowaniu systemu, z wynikającymi z tego ograniczeniami poziomów klasyfikacji i poziomów bezpieczeństwa, które mogą być obsługiwane.
205. Zgodnie ze Common Criteria (CC) wymagania funkcjonalne zabezpieczeń nie obejmują których z poniższych?
a. Ochrona danych użytkownika
b. Zarządzanie bezpieczeństwem
c. Zarządzanie konfiguracją
d. Utylizacja zasobów
205. c. Zgodnie z Common Criteria (CC) zarządzanie konfiguracją jest częścią wymagań zapewnienia bezpieczeństwa, a nie wymaganiem funkcjonalnym. Pozostałe trzy opcje są częścią wymagań funkcjonalnych zabezpieczeń.
206. Zgodnie ze wspólnymi kryteriami (CC) wymogi zapewnienia bezpieczeństwa nie obejmują których z poniższych?
a. Prywatność
b. Rozwój
c. Testy
d. Ocena podatności
206. a. Zgodnie z Common Criteria (CC) prywatność jest częścią wymagań funkcjonalnych bezpieczeństwa, a nie wymogiem zapewnienia bezpieczeństwa. Pozostałe trzy opcje są częścią wymagań dotyczących zapewnienia bezpieczeństwa.
207. Który z poniższych czynników sprzyja akceptowalności kanału ukrytego?
a. Wysoka przepustowość
b. Niska przepustowość
c. Wąska przepustowość
d. Szeroka przepustowość
207. b. Czynniki sprzyjające akceptowalności ukrytego kanału obejmują niską przepustowość i brak oprogramowania aplikacyjnego, które może wykorzystywać ukryte kanały.
208. Które z poniższych powinno zapewniać zasada bezpieczeństwa technologii informacyjnej?
a. Brak jednego punktu dostępu
b. Brak pojedynczego punktu użytkowania
c. Brak jednego punktu odpowiedzialności
d. Brak pojedynczego punktu podatności
208. d. Dobre zasady IT stanowią podstawę lepszego bezpieczeństwa IT. Na przykład solidna polityka bezpieczeństwa zapewnia mocną podstawę do projektowania systemu. Podobnie, wdrożenie warstwowego podejścia do bezpieczeństwa zapewnia brak pojedynczego punktu podatności w systemie komputerowym. Problem polega na tym, że jeśli wystąpi pojedynczy punkt awarii z powodu wykorzystania luki, cały system może zostać naruszony, co jest ryzykowne.
209. Jaki jest najlepszy czas na wdrożenie systemu słownika danych?
a. Podczas opracowywania nowego systemu aplikacji
b. Podczas przebudowy systemu aplikacji
c. Podczas przebudowy systemu aplikacji
d. Podczas modyfikacji systemu aplikacji
209. a. Chociaż najlepiej jest zaimplementować słownik danych podczas opracowywania nowego systemu aplikacji, można go również zaimplementować podczas poważnego przeprojektowania, przeprojektowania lub konserwacji istniejącego systemu aplikacji.
210. Częścią którego z poniższych elementów jest mapowanie potrzeb w zakresie bezpieczeństwa informacji do danych biznesowych w celu zabezpieczenia środowisk wieloużytkownikowych i wieloplatformowych?
a. Kontrola zarządzania
b. Kontrola techniczna
c. Kontrole fizyczne
d. Kontrole proceduralne
210. a. Kontrole zarządcze dotyczą polityk i dyrektyw. Mapowanie potrzeb w zakresie bezpieczeństwa informacji na dane biznesowe to polityka zarządzania. Kontrole techniczne dotyczą technologii i systemów. Kontrole fizyczne i kontrole proceduralne są częścią kontroli operacyjnych, które są codziennymi procedurami.
211. Który z poniższych nie jest przykładem podstawowych składników ogólnej przeglądarki internetowej?
a. Jawa
b. Active-X
c. Grafika komputerowa
d. Wtyczki
211. c. Wspólny interfejs bramy (CGI) to branżowy standard komunikacji między serwerem sieci Web a innym programem. Jest częścią ogólnego serwera WWW. Java, Active X i wtyczki są niepoprawne, ponieważ są częścią ogólnej przeglądarki internetowej.
212. Maskarada jest przykładem, które z następujących kategorii zagrożeń, które dotyczą systemów w Internecie?
a. Zorientowany na przeglądarkę
b. Zorientowany na oprogramowanie
c. Zorientowany na serwer
d. Zorientowany na sieć
212. a. Zagrożenia związane z Internetem dzielą się na trzy kategorie: zorientowane na przeglądarkę, zorientowane na serwer i zorientowane na sieć. Oprogramowanie zorientowane na oprogramowanie jest ogólną kategorią przydatną dla innych kategorii. Zagrożenia związane z oprogramowaniem mogą wynikać ze złożoności, konfiguracji i jakości oprogramowania. Serwery sieci Web mogą przeprowadzać ataki na składniki i technologie przeglądarki sieci Web. Ponieważ przeglądarki mogą obsługiwać wielokrotne skojarzenia z różnymi serwerami sieci Web jako oddzielne konteksty okienkowe, kod mobilny jednego kontekstu może również kierować do innego kontekstu. Nieautoryzowany dostęp może nastąpić po prostu z powodu braku odpowiednich mechanizmów kontroli dostępu lub słabych mechanizmów kontroli identyfikacji i uwierzytelniania, które pozwalają niezaufanemu kodowi działać lub maskować się jako zaufany komponent. Po uzyskaniu dostępu informacje znajdujące się na platformie mogą zostać ujawnione lub zmienione.
213. Które z poniższych jest wymagane, aby zapewnić niezawodność zabezpieczenia kodem mobilnym?
a. Zapory sieciowe
b. Oprogramowanie antywirusowe
c. Systemy wykrywania i zapobiegania włamaniom
d. Kaskadowe środki obrony dogłębnej
213. d. Kaskadowe, szczegółowe środki ochrony zbliżają się do zapewnienia niezawodnego zabezpieczenia kodu mobilnego, czego przykładami są zapory ogniowe, oprogramowanie antywirusowe, systemy wykrywania i zapobiegania włamaniom oraz technologie blokowania zachowań. Chociaż zapory ogniowe, oprogramowanie antywirusowe oraz systemy wykrywania i zapobiegania włamaniom zapewniają przydatne zabezpieczenia, nie zapewniają one silnego bezpieczeństwa ze względu na istnienie różnych technik oszustwa, takich jak mutacja, segmentacja i maskowanie za pomocą rozszerzonego kodowania zestawu znaków.
214. Common Criteria (CC) dopuszcza które z poniższych wyników pomiędzy wynikami niezależnych ocen bezpieczeństwa?
a. Użyteczność
b. Porównywalność
c. Skalowalność
d. Niezawodność
214. b. Wspólne kryteria (CC) umożliwiają porównywanie wyników niezależnych ocen bezpieczeństwa. Proces oceny ustala poziom pewności, że funkcje bezpieczeństwa produktów IT oraz środki zapewnienia stosowane do tych produktów IT spełniają wspólny zestaw wymagań. CC ma zastosowanie do funkcji bezpieczeństwa IT zaimplementowanych w sprzęcie, oprogramowaniu układowym lub oprogramowaniu. Użyteczność jest nieprawidłowa, ponieważ oznacza takie rzeczy, jak łatwość uczenia się i zapamiętywania, zwiększanie produktywności, odporność na błędy i przyjazne funkcje. Skalowalność jest nieprawidłowa, ponieważ oznacza, że system może mieć większą lub mniejszą moc obliczeniową, konfigurując go z większą lub mniejszą liczbą procesorów, ilością pamięci, przepustowością połączeń, przepustowością wejścia/wyjścia i ilością pamięci masowej. Niezawodność jest nieprawidłowa, ponieważ oznacza to, że można liczyć na to, że system będzie działał zgodnie z oczekiwaniami.
215. Common Criteria (CC) nie jest użytecznym przewodnikiem dla którego z poniższych elementów podczas oceny funkcjonalności zabezpieczeń produktów IT?
a. Rozwój
b. Ocena
c. Nabywanie
d. Realizacja
215. d. CC jest przydatny jako przewodnik dla rozwoju, oceny i/lub zakupu produktów z funkcjami bezpieczeństwa IT. CC nie jest przydatny we wdrożeniu, ponieważ scenariusze wdrażania mogą się różnić w zależności od organizacji.
216. Common Criteria (CC) odnosi się do których z poniższych w nietypowy sposób?
a. Poufność
b. Zagrożenia
c. Uczciwość
d. Dostępność
216. b. Common Criteria (CC) dotyczy ochrony informacji przed nieautoryzowanym ujawnieniem (poufność), modyfikacją (integralność) lub utratą użytkowania (dostępność), co jest powszechnym sposobem. Kodeks ma również zastosowanie do zagrożeń wynikających z działalności człowieka (złośliwej lub innej) oraz do zagrożeń wynikających z działań innych niż ludzkie, co jest rzadkością.
217. Które z poniższych kryteriów obejmuje zakres Common Criteria (CC)?
a. Ochrona fizyczna
b. Bezpieczeństwo administracyjne
c. Kontrola emanacji elektromagnetycznej
d. Jakość algorytmu kryptograficznego
217. a. W szczególności wspólne kryteria (CC) dotyczą niektórych aspektów ochrony fizycznej. CC nie zawiera kryteriów oceny bezpieczeństwa odnoszących się do administracyjnych środków bezpieczeństwa niezwiązanych bezpośrednio z funkcjonalnością bezpieczeństwa IT. CC nie obejmuje oceny technicznych fizycznych aspektów bezpieczeństwa IT, takich jak kontrola emisji elektromagnetycznej. CC nie obejmuje nieodłącznych cech algorytmów kryptograficznych.
218. Które z poniższych wymaga, aby wszyscy użytkownicy mieli formalne zatwierdzenie dostępu?
a. Tryb bezpieczeństwa z przedziałami
b. Tryb wysokiego poziomu bezpieczeństwa systemu
c. Tryb kontrolowany
d. Tryb ograniczonego dostępu
218. b. Tryb wysokiego poziomu bezpieczeństwa systemu wymaga, aby jeśli system przetwarzał specjalne informacje dostępowe, wszyscy użytkownicy muszą mieć formalne zatwierdzenie dostępu.
219. Ochrona urządzeń komunikacyjnych wykorzystujących wzajemne połączenia jest częścią której z poniższych opcji zabezpieczania środowisk wieloużytkownikowych i wieloplatformowych?
a. Kontrola zarządzania
b. Kontrola techniczna
c. Kontrole fizyczne
d. Kontrole proceduralne
219. c. Kontrole fizyczne i kontrole proceduralne są częścią kontroli operacyjnych, które są codziennymi procedurami. Kontrole bezpieczeństwa fizycznego (np. zamknięte pokoje i szafy) są wykorzystywane do ochrony urządzeń komunikacyjnych. Kontrole zarządcze dotyczą polityk i dyrektyw. Kontrole techniczne dotyczą technologii i systemów.
220. Które z poniższych nie jest szeroko zakrojonym celem bezpieczeństwa dla zapewnienia ochrony systemów informatycznych?
a. Przygotuj się i zapobiegaj
b. Złamanie i uszkodzenie
c. Wykryj i odpowiedz
d. Buduj i rozwijaj
220. b. Naruszenie i uszkodzenie są wąskimi celami bezpieczeństwa, ponieważ oznaczają wystąpienie incydentu bezpieczeństwa i naprawienie jego uszkodzenia. Zakres przygotowania i zapobiegania obejmuje minimalizację możliwości znaczącego ataku na krytyczne zasoby informacyjne i sieci. Wykrywanie i reagowanie obejmuje identyfikowanie i ocenę ataku w odpowiednim czasie. Budowanie i rozwój to budowanie organizacji i obiektów, zatrudnianie i szkolenie ludzi oraz ustanawianie zasad i procedur.
221. Która z poniższych obejmuje wszystkie mechanizmy ochrony stosowane do egzekwowania polityki bezpieczeństwa?
a. Zaufana baza obliczeniowa
b. Zaufana ścieżka
c. Zaufane oprogramowanie
d. Zaufany podmiot
221. a. Zaufana baza obliczeniowa (TCB) to całość mechanizmów ochrony w systemie komputerowym, w tym sprzęt, oprogramowanie układowe i oprogramowanie, których połączenie jest odpowiedzialne za egzekwowanie polityki bezpieczeństwa. Pozostałe trzy opcje są częścią TCB.
222. Wymaganie podpisanych oświadczeń o konflikcie interesów i nieujawnianiu informacji jest częścią następujących elementów w celu zabezpieczenia wielu użytkowników i środowiska wieloplatformowe?
a. Kontrola zarządzania
b. Kontrola techniczna
c. Kontrole fizyczne
d. Kontrole proceduralne
222. d. Kontrole fizyczne i kontrole proceduralne są częścią kontroli operacyjnych, które są codziennymi procedurami. Wymaganie podpisanych oświadczeń o konflikcie interesów i poufności stanowią część kontroli proceduralnych. Kontrole zarządcze dotyczą polityk i dyrektyw. Kontrole techniczne dotyczą technologii i systemów.
223. Doprowadzony do skrajności, czym staje się zawartość aktywna?
a. Wbudowane przetwarzanie makr
b. Mechanizm dostarczania kodu mobilnego
c. Język skryptowy
d. Maszyna wirtualna
223. b. Doprowadzona do skrajności, aktywna zawartość staje się w efekcie mechanizmem dostarczania kodu mobilnego. Zawartość aktywna obejmuje szereg nowych technologii, takich jak wbudowane przetwarzanie makr, język skryptowy i maszyna wirtualna.
224. Atak typu "odmowa usługi" jest przykładem, która z poniższych kategorii zagrożeń dotyczy systemów w Internecie?
a. Zorientowany na przeglądarkę
b. Zorientowany na użytkownika
c. Zorientowany na serwer
d. Zorientowany na sieć
224. d. Ataki mogą być przeprowadzane na infrastrukturę sieciową używaną do komunikacji między przeglądarką a serwerem. Atakujący może uzyskać informacje, podszywając się pod serwer sieci Web, wykorzystując atak typu "man-in-the middle", w którym żądania i odpowiedzi są przekazywane przez oszusta jako czujnego pośrednika. Taki atak polegający na fałszowaniu stron internetowych umożliwia oszustowi śledzenie nie tylko jednego docelowego serwera, ale także każdego kolejnego serwera, do którego uzyskano dostęp. Inne oczywiste metody ataków leżą poza strukturą przeglądarka-serwer i obejmują ukierunkowanie na komunikację lub platformy wspierające. Inną możliwością są ataki typu "odmowa usługi" (DoS) za pośrednictwem dostępnych interfejsów sieciowych, podobnie jak exploity wykorzystujące wszelkie istniejące luki w zabezpieczeniach platformy.
225. W środowisku zaufanej bazy obliczeniowej (TCB), w którym z poniższych jest mowa o administratorze bezpieczeństwa przypadkowo lub celowo konfigurującym tabele dostępu nieprawidłowo?
a. Kompromis z góry
b. Kompromis od wewnątrz
c. Kompromis od dołu
d. Kompromis z wielu domen
225. b. Narażenie od wewnątrz wyników, gdy administrator bezpieczeństwa przypadkowo lub celowo nieprawidłowo konfiguruje tabele dostępu. Kompromis z powyższego występuje, gdy nieuprzywilejowany użytkownik może napisać niezaufany kod, który wykorzystuje lukę. Kompromis od dołu występuje w wyniku przypadkowej awarii bazowego zaufanego komponentu. Kompromis z wielu domen nie ma tutaj znaczenia.
