第1题：

某网站在设计对经过了威胁建模和攻击面分析，在开发时要求程序员编写安全的代码，但是在部署时由于管理员将备份存放在WED 目录下导致了攻击者可直接下载备份，为了发现系统中是否存在其他类拟问题，一下那种测试方式是最佳的测试方法。（）

A.模糊测试

B.源代码测试

C.渗透测试

D.软件功能测试

信管网参考答案：C

信管网参考解析：渗透测试 （penetration test）并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。

换句话来说，渗透测试是指渗透人员在不同的位置（比如从内网、从外网等位置）利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。

我们认为渗透测试还具有的两个显著特点是：渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。

该题模拟黑客的攻击方式来找出系统中的问题，采用渗透测试

第2题：

After discovering a security vulnerability in a third-party application that interfaces with several external systems, a patch is applied to a significant number of modules. Which of the following tests should an IS auditor recommend?

A、Stress

B、Black box

C、Interface

D、System

信管网参考答案：D

信管网参考解析：某第三方应用作为多个外部系统的接口。在该应用中发现安全漏洞后，大量的模块被打上了补丁。IS审计员应建议执行以下哪个测试

A、Stress 负载

B、Black box 黑盒

C、Interface 接口

D、System 系统

注：由于贴片及其外部接口系统的扩展性，系统测试是最合适的。接口测试是不够的，压力或黑盒测试是不够的，在这种情况下。