Тестовые задания к работе 6
Входной контроль
1. Укажите верное раскрытие аббревиатуры СУБД.
a)средства Управления Безопасной Деятельностью;
b)совокупность Устройств Борьбы с незаконной Деятельно-
стью;
c)стандарт Управления Безопасностью Данных;
d)система Управления Базой Данных;
e)правильных ответов нет.
2.Укажите верное определение СУБД.
a)совокупность технических средств для контроля работы пользователей на компьютере;
b)совокупность программных и лингвистических средств общего или специального назначения, обеспечивающих управление созданием и использованием баз данных;
c)специальным образом организованные файлы под управлением операционной системы;
d)диалоговая программа для приема информации от пользова-
телей;
e)правильных ответов нет.
3.Какие из нижеприводимых строк относятся к основным функциям СУБД?
a)управление данными во внешней памяти (на дисках);
b)управление данными в оперативной памяти с использованием дискового кэша;
c)журнализация изменений, резервное копирование и восстановление базы данных после сбоев;
d)поддержка языков БД (язык определения данных, язык манипулирования данными);
e)управление транзакциями;
f)правильных ответов нет.
4.Укажите угрозы программной среде СУБД.
a)неавторизованный доступ к СУБД;
b)неавторизованная модификация данных и программ под управлением СУБД;
161
c)несоответствующий доступ к ресурсам СУБД (ошибочное назначение прав доступа к ресурсу);
d)раскрытие данных;
e)угрозы специфичные для СУБД;
f)правильных ответов нет.
5.Какие основные механизмы в работе сканера безопасности баз данных (как законченного продукта) вы знаете?
a)написание пользователем специальных программных процедур на языке СУБД с включением в них вызовов сканера;
b)создание пользователем специальных таблиц базы данных и подключение их к базе данных сканера;
c)сканирование;
d)зондирование;
e)правильных ответов нет.
6.Укажите верное определение сканирования сканером безопасности баз данных.
a)механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия ‒ по косвенным признакам;
b)сканирование – это выявление текущих сессий всех пользователей БД под управлением СУБД;
c)сканирование – это имитация активных действий по «взлому» базы данных;
d)сканирование – это выявление всех запросов к базе данных привелигированных пользователей за указанный сканером период;
e)правильных ответов нет.
7.Укажите верное определение зондирования сканером безопасности баз данных.
a)регистрация сканером безопасности всех процессов и программных компонентов СУБД;
b)регистрация сканером безопасности прав пользователей ОС на файлы и процессы СУБД;
c)механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость (выполняется путем имитации атаки, использующей проверяемую уязвимость);
162
d)анализ сканером безопасности содержимого словаря базы данных;
e)правильных ответов нет.
8.Какие методы используются для получения неавторизованного доступа к базе данных под управлением СУБД?
a)общие пароли;
b)угадывание пароля;
c)перехват пароля;
d)шифрование пароля;
e)правильных ответов нет.
9.В чем заключается неавторизованная модификация данных и программ?
a)шифрование данных;
b)отсутствие механизмов защиты и контроля;
c)ошибочное назначение прав доступа к данным и програм-
мам;
d)шифрование программ;
e)правильных ответов нет.
10.В чем заключаются угрозы, специфичные для СУБД?
a)угадывание пароля;
b)отказ в своевременном доступе;
c)получение информации путем логических выводов;
d)агрегирование данных;
e)правильных ответов нет.
Выходной контроль
1. Как вы представляете общую технологию работы сканера безопасности баз данных AppDetectivePro?
a)сканер ждет обращений к нему от клиентского приложения СУБД Oracle;
b)сканер ищет уязвимости непосредственно в файлах, реализующих базу данных Oracle;
c)сканер проверяет контрольные суммы программных кодов, реализующих сервер Oracle;
d)сканер берет на себя функции сервера проверяемой базы данных;
e)правильных ответов нет.
163
2.Каким результатом должен закончиться процесс
Disvavery в работе сканера AppDetectivePro?
a)выявлением пароля пользователя SYS;
b)выявлением сессий всех пользователей БД под управлением СУБД;
c)выявлением всех баз данных, работающих в сети с диапазоном указанных IP-адресов;
d)выявлением всех прослушивающих процессов в сети с диапазоном указанных IP-адресов;
e)правильных ответов нет.
3.Укажите некоторые уязвимости, которые выявляют
PenTest в составе AppDetectivePro:
a)пароли, срок действия которых не ограничен;
b)повторяющиеся имена пользователей;
c)повторяющиеся пароли;
d)пользователей, пароли которых установлены по умолчанию;
e)правильных ответов нет.
4.Какие действия должен предпринять администратор базы данных для устранения выявленных PenTest уязвимостей?
a)пересоздать пользователей, уязвимость паролей которых выявил тестер;
b)поменять квоты памяти пользователей;
c)установить патчи Oracle, отсутствие которых зарегистриро-
вано;
d)переустановить сервер Oracle;
e)правильных ответов нет.
5.Какие категории уязвимостей выявляет утилита аудита в составе AppDetectivePro?
a)недостаточную сложность пароля;
b)излишние привилегии для работы со словарем базы данных;
c)наличие излишних объектных привилегий в схеме PUBLIC;
d)уязвимости по учетным записям демонстрационных схем;
e)правильных ответов нет.
6.Какие действия должен предпринять администратор базы данных для устранения выявленных аудитом уязвимостей?
a)переустановить expired пароли;
b)переустановить пароли пользователей, которые длительное время не менялись;
164
c)установить контроль действий пользователя SYS;
d)отобрать выданные «напрямую» системные привилегии у отдельных пользователей;
e)правильных ответов нет.
7. Что выявляет утилита регистрации прав пользователей в составе AppDetectivePro?
a)табличные объекты в схемах пользователей;
b)программные объекты в схемах пользователей;
c)роли, назначенные пользователям;
d)объектные привилегии пользователей;
e)правильных ответов нет.
165