CT_SEC_安全性测试工程师2016版模拟卷问题v1.0（中文版）.pdf

模拟卷-问题

高级大纲

安全性测试

GA版本–2016/03

国际软件测试资质认证委员会

版权声明

在标注来源的情况下，可以全文复制或摘录本文档。

修订历史

版本日期备注

1.0–Beta2015/09/22模拟题Beta版本

1.0-GA候选2016/03/04经考试工作组评审后更新–18和29题更新到K3

level，确定35题，确定#25-#32题的分数分布情况

1.0–GA2016/03/15经过稍微的改动后，发布了GA版本去除了学习目标的内容.

版本1.0页码2-152016/03/15

©国际软件测试认证委员会

问题#1（1分）

以下哪些是安全审计的目的?

a.防止用户使用简单的密码

b.显示供应商提供的补丁更新不足

c.阻止非法入侵者访问系统

d.要求用户在预设天数后更改密码

问题#2（3分）

你负责确保为项目从外部引入的新供应商完全符合政府规定的指导方针，作为您的风险评估的一部分。

为确保这些外部供应商持续符合要求，你应该主要关注哪些利益相关方

a.客户、用户和供应商，确保他们之间有良好的沟通

b.公众用户和遵守法律的供应商，因其适用于信息源

c.传达要遵守的指导方针的联邦和地方机构

d.将使用这些信息来进一步分析风险的内外部源

问题#3（1分）

将系统或设备的访问最大程度地降至可接受水平，下列哪些是该方针的后果？

a.添加更多的设备以减轻影响

b.禁止对路由器等自配置设备进行适当的控制

c.从无线网络中删除不符合的设备

d.访问VPN受到严格限制

问题#4（3分）

作为安全管理员，你的角色是帮助您的组织了解整个企业安全策略和过程的有效性。你将在完成分析后

向高级管理层报告关于有效性的结果。下面哪个是实现这一目标的最佳策略?

a.针对策略和过程独立实施静态分析评估

b.分析安全性测试结果以验证有效性

c.针对当前威胁和攻击，评估安全性测试结果

d.评估新的和正在出现的软件威胁的静态测试结果

问题#5（1分）

如果一个组织遇到安全漏洞和法律行动的结果,它是如何帮助组织完成安全性测试的?

a.它可以表明该组织已实施尽职调查，以防止发生此类事件

b.安全性测试的文档可以用来追踪犯罪者

c.由于在安全性测试之前会备份所有重要的信息，可以使用该备份恢复任何受损信息

d.通过追踪测试记录，安全性测试团队可以发现违规行为的可能性

版本1.0页码3-152016/03/15

©国际软件测试认证委员会

问题#6（1分）

下面哪项是正确的陈述?

a.信息安全是安全性测试的一部分

b.信息安全和安全性测试是同一事物的两个术语

c.安全性测试是信息安全的一部分

d.这两个术语指的是安全的不同领域。

问题#7（2分）

您作为安全性测试团队的一员在银行工作。在最近的安全审计中，有人指出用户的密码强度不够。自那

时起，已经发布了一套新的要求来确保密码强度。考虑到这些信息，通用密码规则测试的一组合理安全

目标是什么？

1．确认密码长度满足要求

2．确认密码符合使用字符、数字、字母和大写的要求

3．确认密码可以重试三次

4．确认密码不能在一年时间内重新使用

5．确认密码每三个月必须重置

6．确认用户可以通过邮件获取他们的密码

7．确认系统管理员可以重置锁定的密码

a.1、2、3、4

b.1、2、4、5

c.3、4、6、7

d.4、5、6、7

问题#8（2分）

安全漏洞导致客户机密信息被盗后，贵公司最近成为头条新闻。管理层已经作出反应，指出安全