第1題：

某網(wǎng)站在設(shè)計對經(jīng)過了威脅建模和攻擊面分析，在開發(fā)時要求程序員編寫安全的代碼，但是在部署時由于管理員將備份存放在WED 目錄下導(dǎo)致了攻擊者可直接下載備份，為了發(fā)現(xiàn)系統(tǒng)中是否存在其他類擬問題，一下那種測試方式是最佳的測試方法。（）

A.模糊測試

B.源代碼測試

C.滲透測試

D.軟件功能測試

信管網(wǎng)參考答案：C

信管網(wǎng)參考解析：滲透測試 （penetration test）并沒有一個標(biāo)準(zhǔn)的定義，國外一些安全組織達(dá)成共識的通用說法是：滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進(jìn)行的，并且從這個位置有條件主動利用安全漏洞。

換句話來說，滲透測試是指滲透人員在不同的位置（比如從內(nèi)網(wǎng)、從外網(wǎng)等位置）利用各種手段對某個特定網(wǎng)絡(luò)進(jìn)行測試，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測試報告，并提交給網(wǎng)絡(luò)所有者。網(wǎng)絡(luò)所有者根據(jù)滲透人員提供的滲透測試報告，可以清晰知曉系統(tǒng)中存在的安全隱患和問題。

我們認(rèn)為滲透測試還具有的兩個顯著特點(diǎn)是：滲透測試是一個漸進(jìn)的并且逐步深入的過程。滲透測試是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測試。

該題模擬黑客的攻擊方式來找出系統(tǒng)中的問題，采用滲透測試

第2題：

After discovering a security vulnerability in a third-party application that interfaces with several external systems, a patch is applied to a significant number of modules. Which of the following tests should an IS auditor recommend?

A、Stress

B、Black box

C、Interface

D、System

信管網(wǎng)參考答案：D

信管網(wǎng)參考解析：某第三方應(yīng)用作為多個外部系統(tǒng)的接口。在該應(yīng)用中發(fā)現(xiàn)安全漏洞后，大量的模塊被打上了補(bǔ)丁。IS審計員應(yīng)建議執(zhí)行以下哪個測試

A、Stress 負(fù)載

B、Black box 黑盒

C、Interface 接口

D、System 系統(tǒng)

注：由于貼片及其外部接口系統(tǒng)的擴(kuò)展性，系統(tǒng)測試是最合適的。接口測試是不夠的，壓力或黑盒測試是不夠的，在這種情況下。