Горбатов Аттестационные испытания автоматизированных систем от 2014
.pdfТестовые задания к работе 6
Входной контроль
1. Укажите верное раскрытие аббревиатуры СУБД.
a)средства Управления Безопасной Деятельностью;
b)совокупность Устройств Борьбы с незаконной Деятельно-
стью;
c)стандарт Управления Безопасностью Данных;
d)система Управления Базой Данных;
e)правильных ответов нет.
2.Укажите верное определение СУБД.
a)совокупность технических средств для контроля работы пользователей на компьютере;
b)совокупность программных и лингвистических средств общего или специального назначения, обеспечивающих управление созданием и использованием баз данных;
c)специальным образом организованные файлы под управлением операционной системы;
d)диалоговая программа для приема информации от пользова-
телей;
e)правильных ответов нет.
3.Какие из нижеприводимых строк относятся к основным функциям СУБД?
a)управление данными во внешней памяти (на дисках);
b)управление данными в оперативной памяти с использованием дискового кэша;
c)журнализация изменений, резервное копирование и восстановление базы данных после сбоев;
d)поддержка языков БД (язык определения данных, язык манипулирования данными);
e)управление транзакциями;
f)правильных ответов нет.
4.Укажите угрозы программной среде СУБД.
a)неавторизованный доступ к СУБД;
b)неавторизованная модификация данных и программ под управлением СУБД;
161
c)несоответствующий доступ к ресурсам СУБД (ошибочное назначение прав доступа к ресурсу);
d)раскрытие данных;
e)угрозы специфичные для СУБД;
f)правильных ответов нет.
5.Какие основные механизмы в работе сканера безопасности баз данных (как законченного продукта) вы знаете?
a)написание пользователем специальных программных процедур на языке СУБД с включением в них вызовов сканера;
b)создание пользователем специальных таблиц базы данных и подключение их к базе данных сканера;
c)сканирование;
d)зондирование;
e)правильных ответов нет.
6.Укажите верное определение сканирования сканером безопасности баз данных.
a)механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия ‒ по косвенным признакам;
b)сканирование – это выявление текущих сессий всех пользователей БД под управлением СУБД;
c)сканирование – это имитация активных действий по «взлому» базы данных;
d)сканирование – это выявление всех запросов к базе данных привелигированных пользователей за указанный сканером период;
e)правильных ответов нет.
7.Укажите верное определение зондирования сканером безопасности баз данных.
a)регистрация сканером безопасности всех процессов и программных компонентов СУБД;
b)регистрация сканером безопасности прав пользователей ОС на файлы и процессы СУБД;
c)механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость (выполняется путем имитации атаки, использующей проверяемую уязвимость);
162
d)анализ сканером безопасности содержимого словаря базы данных;
e)правильных ответов нет.
8.Какие методы используются для получения неавторизованного доступа к базе данных под управлением СУБД?
a)общие пароли;
b)угадывание пароля;
c)перехват пароля;
d)шифрование пароля;
e)правильных ответов нет.
9.В чем заключается неавторизованная модификация данных и программ?
a)шифрование данных;
b)отсутствие механизмов защиты и контроля;
c)ошибочное назначение прав доступа к данным и програм-
мам;
d)шифрование программ;
e)правильных ответов нет.
10.В чем заключаются угрозы, специфичные для СУБД?
a)угадывание пароля;
b)отказ в своевременном доступе;
c)получение информации путем логических выводов;
d)агрегирование данных;
e)правильных ответов нет.
Выходной контроль
1. Как вы представляете общую технологию работы сканера безопасности баз данных AppDetectivePro?
a)сканер ждет обращений к нему от клиентского приложения СУБД Oracle;
b)сканер ищет уязвимости непосредственно в файлах, реализующих базу данных Oracle;
c)сканер проверяет контрольные суммы программных кодов, реализующих сервер Oracle;
d)сканер берет на себя функции сервера проверяемой базы данных;
e)правильных ответов нет.
163
2.Каким результатом должен закончиться процесс
Disvavery в работе сканера AppDetectivePro?
a)выявлением пароля пользователя SYS;
b)выявлением сессий всех пользователей БД под управлением СУБД;
c)выявлением всех баз данных, работающих в сети с диапазоном указанных IP-адресов;
d)выявлением всех прослушивающих процессов в сети с диапазоном указанных IP-адресов;
e)правильных ответов нет.
3.Укажите некоторые уязвимости, которые выявляют
PenTest в составе AppDetectivePro:
a)пароли, срок действия которых не ограничен;
b)повторяющиеся имена пользователей;
c)повторяющиеся пароли;
d)пользователей, пароли которых установлены по умолчанию;
e)правильных ответов нет.
4.Какие действия должен предпринять администратор базы данных для устранения выявленных PenTest уязвимостей?
a)пересоздать пользователей, уязвимость паролей которых выявил тестер;
b)поменять квоты памяти пользователей;
c)установить патчи Oracle, отсутствие которых зарегистриро-
вано;
d)переустановить сервер Oracle;
e)правильных ответов нет.
5.Какие категории уязвимостей выявляет утилита аудита в составе AppDetectivePro?
a)недостаточную сложность пароля;
b)излишние привилегии для работы со словарем базы данных;
c)наличие излишних объектных привилегий в схеме PUBLIC;
d)уязвимости по учетным записям демонстрационных схем;
e)правильных ответов нет.
6.Какие действия должен предпринять администратор базы данных для устранения выявленных аудитом уязвимостей?
a)переустановить expired пароли;
b)переустановить пароли пользователей, которые длительное время не менялись;
164
c)установить контроль действий пользователя SYS;
d)отобрать выданные «напрямую» системные привилегии у отдельных пользователей;
e)правильных ответов нет.
7. Что выявляет утилита регистрации прав пользователей в составе AppDetectivePro?
a)табличные объекты в схемах пользователей;
b)программные объекты в схемах пользователей;
c)роли, назначенные пользователям;
d)объектные привилегии пользователей;
e)правильных ответов нет.
165
Работа 7
КОНТРОЛЬ НАСТРОЕК МЕХАНИЗМОВ ОБНОВЛЕНИЯ СИСТЕМНОГО И ПРИКЛАДНОГО ПО
Цель: получение начальных знаний по контролю настроек механизмов обновления системного и прикладного программного обеспечения. Рассмотрение данного вопроса будет происходить на примере обновления операционной системы.
ПОРЯДОК ПРОВЕДЕНЯ РАБОТЫ
Часть 1. До обновления
Раздел 1. «Ревизор Сети».
1.Запустите «Ревизор Сети» на своем компьютере.
2.Настройте параметры сессии. Особое внимание обратите при вводе IP-адреса вашего компьютера.
3.Сформируйте план сканирования сети.
4.Выполните план проверки.
5.По окончании сканирования сформируйте отчет и проанализируйте его.
Часть 2. Обновления операционной системы
1.Произведите обновление операционной системы с помощью приложения Microsoft Update. Это приложение находится в меню Пуск => Все программы => Microsoft Update.
2.После установки обновления произвести перезагрузку компьютера.
Часть 3. После обновления
Раздел 1. «Ревизор Сети».
1. Запустите «Ревизор Сети» на своем компьютере.
166
2.Настройте параметры сессии. Особое внимание обратите при вводе IP-адреса вашего компьютера.
3.Сформируйте план сканирования сети.
4.Выполните план проверки.
5.По окончании сканирования сформируйте отчет и проанализируйте его.
Часть 4. Выводы по сканированию
1.Сравните отчеты до обновления операционной системы и
после.
2.Есть ли существенные отличия в них? Если есть, то попробуйте объяснить, чем это вызвано.
Ожидаемые результаты
В процессе лабораторной работы могут быть получены результаты, приведенные в табл.7.1.
|
|
Таблица 7.1 |
|
|
|
|
|
Уровень уязвимости |
До обновлений |
После обновлений |
|
системы |
системы |
|
|
|
|
||
Серьезная |
2 |
3 |
|
Уязвимость |
8 |
8 |
|
Информация |
- |
- |
|
Таким образом, после поставленных обновлений система стала более уязвимой к несанкционированному проникновению. При этом сканер «Ревизор Сети» нашел больше возможностей для проникновения в систему, чем до обновлений. Очевидно, что обновления обновлениям рознь. И предпочтительней использовать комбинированный способ сканирования сети для определения уязвимостей.
167
Тестовые задания к работе 7
Входной контроль
1. Кем утверждаются руководящие документы ФСТЭК?
a)Государственной технической комиссией при Президенте Российской Федерации;
b)Правительством России;
c)Президентом России.
2.Что такое «информационная безопасность»?
a)состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства;
b)состояние защищенности аппаратной среды;
c)все перечисленное;
d)нет верного ответа.
3.Какую информацию из перечисленного не предоставляет сканер «Ревизор Сети»?
а) общая информация об узлах сети;
b)информация о найденных уязвимостях;
c)информация об открытых TCP и UDP портах;
d)информация о пользователях и группах, зарегистрированных на узле сети;
e)информация о доступных сетевых ресурсах;
f)подробная информация по узлу;
j)нет информации, не предоставляемой сканером безопасности.
4.Подвязываются ли результаты работы сканера «Ревизор Сети» к конкретному IP-адресу?
a)всегда;
b)нет;
c)иногда.
5.Какой основной вопрос задается в процессе анализа?
a)Что на выходе?
b)Что на входе?
c)Что должно быть сделано?
6.Какова основная цель аттестации?
а) получение Аттестата соответствия уровню безопасности системы;
168
b) проверка соответствия механизмов безопасности АС предъявляемым к ним требованиям «Единые критерии оценки безопас-
ности ИТ» (Common Criteria for Information Technology Security Evaluation);
с) получение Протокола аттестационных испытаний.
7.Согласно «Единым критериям» этапы оценки защищенности TOE выделяют два основных этапа проведения оценивания: Оценка базовых Профилей защиты и Анализ Объекта оценки. Какой из этих этипов включает анализ угроз безопасности?
a) оценка базовых Профилей защиты; b) анализ Объекта оценки.
8.Принято семь уровней адекватности оценки: EAL1, EAL2, …, EAL7. Какой из этих уровней предназначен для обнаружения только самых очевидных уязвимостей защиты при минимальных издержках, а какой представляет верхнюю границу уровней адекватности оценки АС, которую реально достичь на практике?
a) EAL1 – минимальный уровень защиты, EAL7 – максимальный;
b) EAL7 – минимальный уровень защиты, EAL1 – максимальный;
с) уровни принципиально не отличаются в оценке.
9.Является ли уничтожение или повреждение имущества по неосторожности преступлением против собственности в информационной сфере?
a) да; b) нет;
с) не всегда.
10.Контрольные испытания:
a)это испытания, проводимые для контроля качества объекта;
b)это испытания, проводимые для контроля формы объекта; с) это испытания, проводимые для контроля свойств объекта.
11. Лицензия:
a) документ, устанавливающий полномочия физических и юридических лиц в соответствии с настоящим Федеральным законом и иными правовыми актами для осуществления деятельности в области связи;
169
b)разрешение (право) на осуществление лицензируемого вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю;
c)официальный документ, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока;
d)все перечисленное.
12. Конкретные перечни показателей определяют классы защищенности СВТ. Допускается ли уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ?
a)допускается;
b)не допускается.
Выходной контроль
1.Верно ли утверждение, что примерами обновлений могут служить пакеты обновления, обновленные версии программ, обновления для системы безопасности, драйверы и т.д.?
a) нет; b) да;
с) не совсем.
2.Какие уязвимости более всего находит «Ревизор Сети»?
a)серьезные;
b)информация; с) уязвимость.
3.Могут ли поставленные обновления отрицательно повлиять на работу системы?
a) нет, обновления всегда положительно влияют на систему, уязвимостей становится всегда меньше;
b) может, так как обновления обновлениям рознь; c) не имеет значения.
4.Что предлагается сделать на этом скрин-шоте (рис. 7.1)? a) выбрать ОС для установки;
b) закрыть ОС после установки; c) экран можно пропустить.
170