ysuekkom의 IT study note

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain5 Identity & Access Management 5-1 신원과 접근관리 >개요 및 범위 접근 제어는 “인증”과 “승인”으로 나뉘어 진다. 1. “인증”은 사용자가 특정 시스템이나 자원에 접근하는 것을 허용할지의 여부를 System이 결정하는 것 **keyword: 인증 = 시스템에 대한 통제(PW, Token, 생체인증) Q) System이 사용자가 맞다라고 인증하는 개념은 무엇인가? a.인증(Authentication) b.승인 c. 접근통제 d.허가(Permission) 2. “승인”은 인증된 사용자도 자원 접근에 대한 제어가 이루어지는 것 **keyword: 승인 = 데이터에 대한 통제(MAC ..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain8 Software Development Security 8-2 II. 소프트웨어 개발 방법론 **전 과정에서 고려해야 하는 요소: 보안 1. Project Initiation and planning >개념적 정의 2. Functional requirements definition >기능요구사항 정의 >시스템 환경 사양 정의 3. System Desing Specification >시스템 기능 설계 >상세한 기능 분할 >사전 설계 >코드 설계 4. Development and implementation >프로그래밍 & 문서화 5. Documentation and common program controls >..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain8 Software Development Security 8-1 I. SDLC(Software Development Life Cycle) 방법론 -출제** 1. Waterfall Model(폭포수 모델) 시스템 개발을 단계별로 나누어, 각 단계에서 성과 확인/평가 후 다음 단계로 넘어가는 모델이며, 전 단계로 회귀할 수 없어 사양변경에 유연한 대처가 어렵다. -제조업 기반(공업사회를 근간으로 하여) 개발된 모델 -시간의 흐름을 기반으로 하여, 받아들이기 수월함 -매 단계 산출물이 반드시 존재하여 성과 관리에 유용함(산출물 = 다음 단계) -유사한 시스템의 개발 경험이 있는 경우 효율, 품질면에서 우수함 -전..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain2 Asset Security 2-2 III. GDPR 에서의 프라이버시 보호 -22년 하반기부터 직접적인 문제 출제 1. 개인정보 처리 원칙 1.1 적법성, 공정성, 투명성의 원칙(Lawfulness, fairness and transparency) 1.2 목적 제한의 원칙(Purpose Limitation) 1.3 개인정보처리의 최소화(Data minimisation) 1.4 정확성의 원칙(Accuracy) - OECD data 품질원칙(최신/정확/안전) 1.5 보유기간 제한의 원칙(Storage Limitation) 1.6 무결성과 기밀성의 원칙(Integrity and confidentiality) ..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain2 Asset Security 2-1 I. 정보 자산 확인 및 분류 # 자산 관리 주기 - 핵심: data Procure(조달) - Deploy(배포) - Manage(관리) - Decommission(폐기/해체-데이터 파기, 물리적, SW적 모두를 포함*) 1. 민감한 데이터 정의 1.1 개인식별 정보(Personally Identifiable Information): 특수 개인정보를 포함함(생체인식 등), 아이들 개인정보 기억 2. 데이터 등급 정의 데이터의 등급 분류는 다음 항목을 보장/보호하기 위해서 중요함 -기밀성과 무결성 -무결성과 가용성: 데이터 보존 정책의 목적이자 정의 -기밀성과 책임추적성 ..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain1 Security & Risk Management 1-5 IX. 사회공학(Social Engineering) 5. APT(지능형 지속 위협): NW/공격 파트에서 자세히 5.1 A.P.T(SandBoxing 대응) -Advanced: 공격자의 정교함을 의미 -Persistent:공격자들은 물러섬 없이 끊임없이 시도함을 의미 -Threat: 공격자들은 뚜렷한 목적을 가지고 있기 때문에 위협이 됨을 의미 5.2 방어법 - 출제* **keyword: 아웃바운드 트래픽에 집중, End point관리, Defense in depth X. 침투테스트 1. 침투테스트 개요 -출제** 1.1 침투테스트 성공 요소 -경영..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain1 Security & Risk Management 1-3 VI. 인적 자원 보안 1. 인적 관리의 개요 기업의 정보 시스템과 관련된 모든 직원들과 외주직원, 퇴직자들은 직무상 알게되었던 정보 시스템 관련 비밀을 지킬 의무가 있음을 주지 시키고 그 내용을 담고 있는 서약서에 서명하도록 한다. 모든 직원과 외주사들은 작업을 마무리할 때 기업의 소유물을 반환해야 하며, 이는 시스템 권한, 건물 출입 및 접근 권한 모두를 포함한다. 2. 고용 과정에서의 보안 2.1 직위 정의: 직무분리, 최소권한의 원칙 **주의: 직무 순환, 최소권한은 답이 아님 -직무 분리, 최소권한의 원칙이 답이 되는 경우 5가지(1.Dat..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain1 Security & Risk Management 1-2 IV. 글로벌 법과 규제 이슈, 전문가 윤리 [컴퓨터 범죄] 1. 컴퓨터와 연관된 범죄[미연방법] 1.1 Data Diddling(Input tampering): 대응책 출제 빈도 높음 고의적으로 데이터를 변경/위조 할 목적으로 잘못된 데이터 값을 입력하는 것(내부자 소행 가능성이 높음) -대응책: 직무분리와 최소권한의 원칙 Hash Total(무가치한 숫자(사번, 군번 등)의 합으로 탐지하는 방법) Financial Total(금전적 합으로는 에러나 오류를 잡아낼 수 없음) ex. 100만원 PC 100대를 1억에 주문 -> 출고사 ERP 상에 8..

cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함 Domain1 Security & Risk Management 1-1 I. 보안의 구성 요소 -보안 목적: Inter-dependencies(상호의존적): Assurance 1. 보안 목표 1.1 기밀성(Confidentiality) **keyword: sensitive, stringent, stringency(엄중) —군 기밀 데이터와 연관 *위협요소: 스니핑(도청) / 트래픽분석(-트래픽 패딩) *대응책: 암호-ESP(EST오타), VPN(트래픽 패딩) Q) 패딩을 삽입함으로써 예방할 수 있는 것은? a.트래픽 분석 1.2 무결성(Integrity) **keyword 완전/정확 —무결성을 위협하는 요소는 중간자공격..

CISSP(Certified Information System Security Professional) 자격증은 조직의 전반적인 보안 상태를 설계, 운영 그리고 관리하기 위해 요구되는 정보보안전문가 자격증이다. 심도있는 기술 및 관리 지식과 경험이 필요로 되는 자격증으로 총 8개 도메인으로 구성되어 있으며, CISSP자격증 취득 시 아래 8개 도메인에 대한 전문성이 인증된다. -Security and Risk Management -Asset Security -Security Architecture and Engineering -Communication and Netwrok Security -Identify and Access Management -Security Assessment and Testing ..