35. 【題組 4】OSSTMM 開源安全測試方法手冊(The Open Source Security Testing Methodology Manual)其中所述,於測試安 全性前應適當定義安全測試(Security Test)以妥善管理複雜 性。關於錯誤類型(Error Type)之描述,下列何項錯誤?
(A) 假陽性(False Positive):測試結果被判斷為真實, 但實際證明其為虛假
(B) 假陰性(False Negative):測試結果被判斷為虛假, 但實際證明其為真實
(C) 抽樣誤差(Sampling Error):測試結果不具代表性, 因為範圍被改變
(D) 人為錯誤(Human Error):測試結果因受測者的行 為舉止而受到改變

答案:登入後查看
統計: A(14), B(18), C(212), D(334), E(0) #3102166

詳解 (共 2 筆)

#6186773

(A) 假陽性(False Positive):測試結果被判斷為真實,但實際證明其為虛假 這是正確的定義。假陽性是指測試錯誤地識別出一個不存在的問題。

 

(B) 假陰性(False Negative):測試結果被判斷為虛假,但實際證明其為真實 這也是正確的定義。假陰性是指測試未能識別出一個實際存在的問題。

 

(C) 抽樣誤差(Sampling Error):測試結果不具代表性,因為範圍被改變 這個定義是正確的。抽樣誤差通常是因為樣本不能完全代表整體而導致的誤差。

 

(D) 人為錯誤(Human Error):測試結果因受測者的行為舉止而受到改變 這個定義是不正確的。人為錯誤通常指的是測試者或分析者在執行測試或解釋結果時所犯的錯誤,而不是受測者的行為導致的變化。

 

正確的人為錯誤定義應該是:測試過程中因測試者的失誤、判斷錯誤或操作不當而導致的錯誤。這可能包括數據收集錯誤、分析錯誤、或者解釋錯誤等。

 

因此,答案是 (D)。這個選項錯誤地將人為錯誤歸因於受測者的行為,而不是測試者的錯誤。

2
0
#6343072

以下逐一解釋每個選項:

(A) 假陽性(False Positive):測試結果被判斷為真實,但實際證明其為虛假
正確
「假陽性」的情況指的是:原本不存在的問題或弱點,卻被測試結果判定為存在(錯誤地報告存在弱點)。

(B) 假陰性(False Negative):測試結果被判斷為虛假,但實際證明其為真實
正確
「假陰性」則是:明明存在的弱點或問題,卻被測試誤判為不存在(沒有發現真實存在的問題)。

(C) 抽樣誤差(Sampling Error):測試結果不具代表性,因為範圍被改變
正確
「抽樣誤差」發生在測試範圍被調整或樣本選擇不佳,使得測試的結果不能真正代表整體目標環境的真實狀況。

(D) 人為錯誤(Human Error):測試結果因受測者的行為舉止而受到改變
錯誤
「人為錯誤」指的是測試人員本身操作或判斷錯誤所導致的問題,而非因受測者(目標)行為導致。因此描述錯誤。

因此,本題錯誤選項為:

? (D)


67de97db21065.jpg

67de98a89ed74.jpg

錯誤類型(Error Type) vs. 描述(Description)

  1. False Positive(假陽性)

     

    中譯: 「被判定為真」的事物實際上卻是假的。

    目標的回應顯示某個狀態為真,但實際上該狀態並不成立。假陽性通常發生在分析人員對某狀態的判定或假設不適用於現實世界(現實情況往往並非非黑即白),導致與真實情況不符。

  2. False Negative(假陰性)

     

    中譯: 「被判定為假」的事物實際上卻是真的。

    目標的回應顯示某個狀態不成立,但實際上該狀態為真。假陰性通常發生在分析人員對目標的判定或假設不適用於現實世界、測試工具不符合需求、工具使用不當,或是分析人員經驗不足所致。假陰性相當危險,因為這相當於將並不存在的安全狀態誤診為安全。

  3. Gray Positive(灰色陽性)

     

    中譯: 即使狀態為假,也都被回應為真。

    目標的回應顯示某個狀態為真,但實際上該目標是設計成無論狀態真或假都會回應「為真」。這種「藉由混淆達成的安全模式」可能具有危險性,因為在不同刺激下,這種假象不保證都能一致生效。

  4. Gray Negative(灰色陰性)

     

    中譯: 即使狀態為真,也都被回應為假。

    目標的回應顯示某個狀態不成立,但實際上該目標是設計成無論狀態真或假都會回應「不成立」。這種「藉由混淆達成的安全模式」同樣可能具有危險性,因為在不同刺激下,這種假象無法保證都能一致生效。

    第 9 種:抽樣誤差(Sampling Error)
    回答無法代表整體,因為測試範圍已被改變。目標只是一個較大型系統或更多可能狀態中的「偏頗樣本」。此錯誤通常發生在測試期間某些權威人士對目標的運作狀態施加影響,例如測試有特定的時間限制,或只針對系統中標示為「重要」的部分進行測試。這會導致對整體營運安全的誤判。

    第 10 種:限制(Constraint)
    回答會因使用工具的限制而改變。由於人類感官或設備的能力有限,可能將某種狀態判定為真或假,實際卻不明。這並非源於判斷錯誤或設備選擇失當,而是未能察覺並考量到工具的先天限制所致。

    第 11 種:傳播(Propagation)
    回答被預設成某種狀態,即使未做任何測試。分析人員可能因先入為主的結果,而忽略某些測試或結果;這常是經驗盲點或確認偏誤的體現。有時為了達到預期結果,可能重複多次測試或調整工具和設備。一旦缺乏正確回饋,這些錯誤就會在後續過程中持續「傳播」。傳播性錯誤十分危險,因為在初期形成的錯誤不一定會在最後結論分析時被發現。要找出這類錯誤,往往需要全面檢視整個測試流程。

    第 12 種:人為錯誤(Human Error)
    回答因分析人員的技能而異。缺乏能力、經驗或理解力所造成的錯誤並非偏見,而是一種普遍存在的風險,不受測試方法或技術的影響。有經驗的分析人員雖然也可能犯下傳播性錯誤,但往往能及時辨識並補救;經驗不足的人員更容易忽視自身錯誤。從統計上看,經驗與人為錯誤之間存在間接關係:分析人員經驗越少,整個稽核過程中潛在的人為錯誤越多。

0
0

私人筆記 (共 1 筆)

私人筆記#6774195
未解鎖
題目解析 本題考察 O...
(共 1423 字,隱藏中)
前往觀看
1
0