セキュリティ評価とテストのシナリオを構築する

脆弱性評価を実施する

テストソフトウェアコードのレビューとテスト

セキュリティ管理プロセスを実装する

セキュリティ評価およびテスト プログラムの重要性を理解します。セキュリティ評価およびテスト プログラムは、セキュリティ管理が引き続き有効であるかどうかを検証するための重要なメカニズムです。セキュリティ評価とライブ テストの方法には、脆弱性評価、侵入テスト、ソフトウェア テスト、監査、制御の有効性を検証するためのセキュリティ管理タスクなどのさまざまなツールが含まれます。すべての組織は、定義された実用的なセキュリティ評価およびテスト プログラムを備えている必要があります。

脆弱性評価と侵入テストを実施します。脆弱性評価では、自動化ツールを使用して、システム、アプリケーション、ネットワークの既知の脆弱性を検出します。これらの脆弱性には、漏洩したパッチ、構成ミス、または欠陥のあるコードが含まれる可能性があり、組織をセキュリティ リスクにさらします。ペネトレーション テストと脆弱性スキャンは同じツールを使用しますが、ペネトレーション テストは、評価者が脆弱性を悪用してシステム権限を取得しようとするために使用する攻撃手法でツールを補完します。

ソフトウェア テストを実行して、実稼働環境にデプロイされたコードを検証します。ソフトウェア テスト テクノロジは、コード機能が設計要件を満たしているかどうか、およびセキュリティ上の欠陥がないかどうかを検証します。コード レビューでは、ピア レビュー プロセスを使用して、コードを本番環境にデプロイする前に正式または非公式にコードを検証します。インターフェイス テストでは、API テスト、ユーザー インターフェイス テスト、物理インターフェイス テストを通じて、コンポーネントとユーザー間の対話を評価します。

静的ソフトウェア テストと動的ソフトウェア テストの違いを理解します。コード レビューなどの静的テスト手法は、ソフトウェアを実行せずにソース コードまたはコンパイルされたプログラムを分析することにより、ソフトウェアのセキュリティを評価します。動的テスト手法は、ソフトウェアの実行中にソフトウェアのセキュリティを評価するもので、多くの場合、他社が開発したアプリケーションを導入する組織にとっては、これが唯一のオプションです。

ファズテストの概念を説明します。ファズ テストでは、変更された入力を使用して、予期しない条件下でソフトウェアがどのように動作するかをテストします。ミューテーション ファズ テストは、既知の入力を変更することによって合成入力を生成します。これにより、ソフトウェアの異常な動作が引き起こされる可能性があります。事前生成されたファズ テストは、予想される入力モデルに基づいて入力を生成し、突然変異ファズ テストと同じタスクを完了します。

セキュリティ管理タスクを実行し、情報セキュリティ計画の実施を監督します。安全管理者はさまざまな活動を実行する必要があります。情報セキュリティプログラムの適切な管理を確保します。ログ検査、特に管理者のアクティビティのクロスチェックにより、システムが悪用されていないことを確認できます。アカウント管理チェックにより、許可されたユーザーのみが情報システムにアクセスできるようになります。バックアップ検証により、組織のサポート プロセスが適切に機能していることが確認されます。主要なパフォーマンス指標とリスク指標は、セキュリティ プログラムの有効性を多層的に把握するのに役立ちます。

内部監査および第三者監査を実施または促進します。セキュリティ監査は、情報資産を保護するための組織のセキュリティ管理を第三者が評価するときに行われます。内部監査は、管理目的のみを目的として組織内の担当者によって実行されます。外部監査は、通常は企業の統治機関に対して行われるサードパーティ企業によって実行されます。

安全プロセスデータを収集します。安徽省固有の情報セキュリティ プログラムの多くは、セキュリティ評価プロセスに重要なデータを受け入れます。これらのコンポーネントには、アカウント管理プロセス、管理者のレビューと承認、主要なパフォーマンスとリスクの指標、バックアップ検証データ、トレーニングと意識の指標、災害復旧と事業継続計画によって生成されたデータが含まれます。

1. ネットワーク検出スキャンを実行するために主に使用されるツールは次のどれですか? A.nmap B.OpenVAS C. Metasploit フレームワーク D.アイソフ

2. アダムは最近、組織のネットワーク上で実行されている Web サーバー上でネットワーク ポート スキャンを実行しました。彼は外部ネットワークからスキャンして、攻撃者の観点からスキャン結果を取得します。次の結果のうち、アラートをトリガーする可能性が最も高いのはどれですか? A.80/オープン B.22/フィルター済み C.443/オープン D.1433/オープン

3. 特定のシステムのセキュリティ テスト プログラムを計画する際に、考慮する必要がない要素は次のうちどれですか? A. システムに保存されている情報の機密性 B. テストの実行の難しさ C. 新しいテストツールを試してみたい D. 攻撃者のシステムに対する欲望

4. 通常、セキュリティ評価に含まれないものは次のうちどれですか? A. 脆弱性スキャン B.リスク評価 C. 脆弱性の軽減 D. 脅威の評価

5. セキュリティ評価レポートの対象者は誰ですか? A.管理 B. セキュリティ監査人 C セキュリティ専門家 D.顧客

6 ウェンディは、組織内での脆弱性スキャナーの使用について考えています。脆弱性スキャナーの正しい役割は何ですか? A. 侵入を試みるアクティブなスキャン。 B. おとりとして機能する。 C．既知のセキュリティ脆弱性を特定します。 D. Baidong はシステムをより安全な状態に再構成します。

7. Almn は、nnnsp を使用してサーバーをスキャンし、サーバー上でポート 80 が開いていることを確認します。サービスの展開とサービス プロバイダーのアイデンティティに関する最も有用な追加情報をアランに提供するツールはどれですか? A.SSH B. ウェブブラウザ C.Telnet D.ピン

8. SSH 端末から管理接続を受信するために通常どのポートが使用されますか? A.20 B.22 C.25 D.80

9.次のテストのうち、サーバーのセキュリティ ステータスに関する最も正確かつ詳細な情報が得られるのはどれですか? A. 認証されていないスキャン B. ポートスキャン C. セミオープンスキャン D.本人認証後のスキャン

10. TCP ハンドシェイクの最初の 2 つのステップのみを利用するネットワーク検出スキャンはどれですか? A. TCP 接続のスキャン B. クリスマススキャン C. TCPSYN スキャン D. TCPACK スキャン

11. Matthew は、ネットワーク上のシステムに SQL インジェクションの脆弱性がないかテストしたいと考えています。この目的に最も適したツールは次のどれですか タスク？ A. ポートスキャナ B. ネットワーク脆弱性スキャナー C. ネットワーク検出スキャナー D.Web 脆弱性スキャナー

12. Badin Bank は、電子商取引の注文やクレジット カード取引を処理する Web アプリケーション Cheng Yu を運営しています。したがって、銀行は PCIDSS の対象となります。銀行はアプリケーションに対して Web 脆弱性スキャンを実行しましたが、満足のいく結果は得られませんでした。銀行はどのくらいの頻度で申請書を再スキャンする必要がありますか? A. 用途変更時のみ B. 少なくとも月に 1 回 C. 少なくとも年に 1 回 D. 再スキャンする必要はありません

13. Grace は顧客のネットワークで侵入テストを実施しており、ツールを使用して一般的な脆弱性の悪用を自動化したいと考えています。次のセキュリティ ツールのうち、最もニーズを満たすのはどれですか? A.nmap B. Metasploit フレームワーク C.OpenVAS D.ニクト

14. Paul は、前の入力にわずかな変更を加えてアプリケーションをテストしたいと考えています。ポールはどのような種類のテストを実行しようとしていますか? A. コードレビュー B. アプリケーションの脆弱性のレビュー C. 突然変異ファズテスト D. 事前に生成されたファズテスト

15. 銀行ユーザーは、存在しない口座から資金を引き出しようとする場合があります。開発者はそのような脅威を認識し、それらから保護するコードを開発します。開発者がまだ脆弱性にパッチを当てていない場合、どのような種類のソフトウェア テストで脆弱性が見つかる可能性がありますか? A. 誤用ケースのテスト B. SQL インジェクションのテスト C. ファズテスト D.コードのレビュー

16. プログラムのコマンド ライン インターフェイスの欠陥を特定できるインターフェイス テストの種類は何ですか? A. アプリケーション プログラミング インターフェイスのテスト B. ユーザーインターフェイスのテスト C. 物理インターフェイスのテスト D. セキュリティインターフェイスのテスト

17. 侵入テスト中、テスターは常にシステム構成情報にアクセスできますか? A. ブラックボックス侵入テスト B. ホワイトボックス侵入テスト C. グレーボックス侵入テスト D. レッドボックス侵入テスト

18. 暗号化されていない HTTP サーバーを実行しているシステムでは、通常どのポートが開かれますか? A.22 B.80 C.143 D.443

19. Robrt 氏は最近、顧客と SOC 声明に署名し、6 か月の評価を完了した後の KGB のセキュリティ管理の適合性と有効性についての自社の評価を説明する報告書を準備中です。ロバートはどのような種類のレポートを準備していますか? A. ク​​ラス I カテゴリーB.I C四川クラス D. カテゴリー IV

20. 組織のデータ保護要件を満たすには、どのような情報セキュリティ管理タスクが効果的ですか? アカウント管理 B. バックアップの検証 C. ログのレビュー D.主要業績評価指標