[CISSP] Domain1_Security and Risk Management (1/11)

1. 보안의 구성요소

  => 방화벽 설치 후 가장 먼저 해야 할 일은? Default password 변경

  => 방화벽 도입 후 가장 먼저 해야 할 일은? 위험평가

 1. 경영진의 지원(Top management support)이 있어야만 성공할 수 있는 것은?

      > 보안 정책

      > 보안 인식

      > 침투테스트

      > 위험평가

      > BCP/DRP

 2. 보안 목표

 3. ISO7498-2 & NIST SP 800-33

   - ISO7498-2(OSI 7 Layer)

    > Availability(가용성)

    > Integrity(무결성)

    > Confidentiality(기밀성)

    > Accountability(책임추적성)

     => 보기중 부인방지, 인증, 접근통제 단어가 포함된 문제일 경우 OSI 7 Layer의 의미를 묻는 문제로

          가용성은 제공하지 않는 서비스이다

   - NIST SP800-33

    > Availability(가용성)

    > Integrity(무결성)

    > Confidentiality(기밀성)

    > Accountability(책임추적성)

    > Assurance(보증)

 4. Accountability(책임추적성)

    - 보안 사고 발생시 누구에 의해 어떤 방법으로 발생한 것인지 추측할 수 있어야 함

    - 사전 침입 의도 감소

    - 엉뚱한 책임을 물어 불이익을 당하지 않도록 하기 위함

    - 신원을 증명하고 활동에 대한 추적 능력에 의존

    - 식별, 인증, 권한부여, 접근통제, 감사의 개념 위에 세워진다

    - auditability와 동일한 의미

    - 시스템 로그, 데이터베이스 저널, auditing에 의해 수행된다

   4.1 사용자 측면에서 추적할 수 있는 로그

    - 로그인, 로그아웃 정보

    - 사용자 ID 변경

    - 패스워드 파일 접근 실패 기록

    - Keystroke 모니터링 로그 등

     => 로그 파일의 무결성 체크 방법? 해시함수

     => 로그 저장장치의 가용성(백업)? Rotation(로그순환)->로그서버운영

 5. 보안 목적 : Inter-dependencies(상호의존적)

    - Confidentiality is dependent on Integrity(기밀성은 무결성에 의존한다)

    - Integrity is dependent on Confidentiality(무결성은 기밀성에 의존한다)

    - Availability and Accountability are dependent on Confidentiality and Integrity

      (가용성과 책임추적성은 기밀성과 무결성에 의존한다) (2개임)

    - all of these objectives are interdependent with assurance

      (모든 목적은 보증과 상호의존적이다)

 6. IT 보안 관리

    - ISO27001 : 정보보안 관리 체계에 대한 문서의 수립- 요구사항 명시

    - ISO27002 : 정보보안 관리를 위한 실무 규약 - 정보보안 관리 지침

  

    - Covert channel(은닉채널)

     > 보안이 높은 등급이 보안이 낮은 등급을 통해 정보를 획득

     > 비인가 통신채널, Incherent risk(어쩔수 없는 위험)

     > 도구 : 스테가노그래픽, TCP, Ping

 7. 보안관리 프로세스

    - 기업 내 중요 자산파악 -> 자산의 위험 파악 -> 위험에 대한 대응책 강구 -> 보안프로그램 시행(교육)

 8. 조직내에서 정보보안을 실행하는데 있어서 가장 중요한 요소

    - 보안 정책, 목적, 활동들은 비즈니스 목적을 반영해야 한다

    - 경영진으로부터의 가시적인 지원과 승인을 얻어야 한다

    - 보안을 실행하는 접근법은 조직의 문화와 연관성이 있어야 한다

    - 정보보안 정책과 표준을 모든 임직원 및 계약자들에게 배포해야 한다

    - 적절한 교육과 인식을 제공해야 한다

 9. 보안 구현

    - 예방 : 이상적인 보안 기법, 전송되는 데이터의 기밀성에 대한 공격의 예방법? ESP

    - 탐지 : 침입 탐지 시스템에서의 도스 공격을 탐지 -> 교정(Response/Recovery)

    - 대응 : 공격을 탐지하면 시스템은 공격을 중지시키고 추가 손상을 막는 대응을 할수 있다

    - 복구 : 데이터의 무결성이 훼손되면 백업시스템을 사용하여 복원한다

      => 학생들의 성적 정보는 개인정보법에 의해 규제된다 : 기밀성

      => 병원의 데이터베이스에 저장된 환자의 알레르기 정보는 : 무결성

      => 중요한 시스템, 어플리케이션, 장비들에 인증 서비스를 제공하는 시스템 : 가용성