Vardy.log Vardy.log

Certification/정보보안기사_필기

• 정보보안 관리 및 법규 오답노트

  Certification/정보보안기사_필기 2020. 11. 2. 23:15

  1. 정보보호 정책서의 주요 구성 목차 - 정책서 목적과 구성, 기본 방침, 정보보호 실행 계획 수립, 보안에 대한 역할과 책임, 정보자산의 보안, 정보시스템의 보안, 규정의 준수, 보안정책의 운용 (정보보호 선언 X) 2. 위험관리 절차 - 자산식별 -> 위험 분석 및 평가 -> 정보보호대책 수립 -> 정보보호계획 수립 -> 주기적 재검토 3. 업무연속성 관리 지침 - 책임과 역할, 업무의 중요도 및 영향 분석, 복구전략수립, 교육 및 훈련, 사후관리, 비상연락망 4. ISMS-P 인증 심사 시 요구되는 관리체계 수립 및 운영 4단계 - 관리체계기반마련 -> 위험 관리 -> 관리체계운영 -> 관리체계 점검 및 개선 5. 개인정보보호법 - 개인정보 수집 시 그 목적에 필요한 최소한의 개인정보를 수집해야 ..

  Read More
• 애플리케이션 보안 오답노트

  Certification/정보보안기사_필기 2020. 11. 2. 22:02

  1. FTP - 서버 제어 연결 = 21 포트, 데이터 연결 = 20포트 or 1024이상 포트 - 디폴트는 active, mode변환은 클라이언트가 결정 * mode - active : 서버가 21, 20 포트 사용, 서버에서는 2개의 포트만 열면 서비스 가능, 두번째 conn은 서버->클라이언트 접속, 클라이언트에 방화벽 설치시 이용 불가 - passive : 서버가 21, 1024이후 포트 사용, 서버에서 클라이언트에 접속해야하는 모순 해결, 서버에서는 21과 1024이후 모든 포트 오픈, 보안을 위해 passive모드에서 사용될 포트 제한 필요, 대부분 웹브라우저는 ftp:// 를 이용하여 FTP에 접속할 때 수동모드만을 지원 - USER, PASS, LIST, RETR * 연결 순서(passiv..

  Read More
• 네트워크 보안 오답노트

  Certification/정보보안기사_필기 2020. 10. 30. 19:10

  1. 데이터링크 계층 - Frame(단위) 사이의 구분을 위해 FLAG 삽입 -> 송수신의 동기를 맞추기 위함 - 흐름제어, 에러제어 - 데이터 링크 제어 / 매체 접근 제어로 구성 - 비트/바이트 스터핑 - link to link 2. 전송 계층 - End to End - 프로세스에서 다른 프로세스로 메시지 전달하는 책임 - 3. Well-Known Port - 0 ~ 1023, 서버측 응용에 배정 4. ARP - 송신자는 목적지 물리 주소가 필요하므로, 물리주소 요청을 위한 ARP요청 패킷을 브로드캐스트(FF-FF-FF-FF-FF-FF)로 전송(주소를 모르니 모두에게..) - 모든 호스트와 라우터는 ARP 메시지 수신 - 해당되는 수신자만 자신의 IP, MAC을 유니캐스트로 회신(Cache에 저장) ..

  Read More
• 시스템 보안 오답노트

  Certification/정보보안기사_필기 2020. 10. 29. 22:40

  1. 보안운영체제(Secure OS) 특징 - 운영체제에 내재된 결함으로 인해 발생할 수 있는 각종 해킹으로부터 보호하기 위해 보안 기능이 통합된 보안 커널을 추가로 이식한 운영체제 - 계정 관리 및 서비스 관리에 있어 좀 더 나은 보안 체계를 가지고 운영될 수 있도록 한다. - 시스템에서 일어나는 프로세스의 활동이 보안 정책에 위반되지 않는지를 검사하지만 시스템 성능에는 거의 영향이 없다. - 현재 열려있는 취약한 서비스를 모두 차단한다고 볼 수는 없다.... 2. 암호 키 보호에 하드웨어를 사용하는 기술 - 스마트카드, HSM(Hardware Security Module), TPM(Trusted Platform Module) 3. 악성코드 치료 방법 - 바이러스, 웜, 트로이목마 -> 백신 - 스파이..

  Read More
• 접근통제 오답노트

  Certification/정보보안기사_필기 2020. 10. 28. 23:03

  1. 사용자 인증기술 관련 용어 - 사용자 인증 기술 : A가 B에게 자신이 A임을 확인해줌 - 개인 식별 기술 : B가 C에게 A인 척을 할 수 없게 해줌 - 개인 식별 방법 : 생체정보, 비밀번호 등(개인만 알거나 소유한 사설 정보 이용) - 사용자 인증의 보안 요구사항 : 식별, 인증, 인가, 책임추적성 등 2. Brute Force 및 Dictionary Attack 등 패스워드 크래킹 약점 점검 도구 - John the Ripper, L0phtcrack, Pwdump 3. One Time Password 종류 및 특징 * Challenge/Response - 비밀정보를 활용하여 이루어지며 타임스템프, 세션 랜덤 값, 순서 번호 등을 이용하는데, 그 이유는 재연(Replay)공격을 방지하기 위함이..

  Read More
• 암호학 오답노트

  Certification/정보보안기사_필기 2020. 10. 28. 08:24

  1. 암호시스템 관련 용어 - 암호해독 : 해독이란 복호화키를 모르는 적 또는 암호분석가가 복호화키를 찾아내거나 평문 내용을 알아내는 비정상적인 과정 2. 대칭암호화 매커니즘 암호화 알고리즘은 평문에 transformation과 substitution을 적용하여 암호문을 만들어 낸다. - transformation = transposition = 전치암호 = permutation : 원문을 다른 문서로 대체하지 않지만 원문을 여기저기 움직이게 한다. 즉 비트, 문자, 블록이 원래 의미를 감추도록 재배열 한다. - substitution = 치환암호 = 대치암호 : 비트, 문자, 블록을 다른 비트, 문자, 블록으로 대체한다. 3. 스트림 암호의 특징 - 원타임 패스워드를 실용적으로 구현할 목적으로 개발 -..

  Read More
• 정보보호 개요 오답노트

  Certification/정보보안기사_필기 2020. 10. 28. 07:50

  1. 정보보호 관리 - 취약점 : 정보시스템의 결함 - 위협 : 정보시스템에 해를 끼치는 사건 및 행동 - 위험 : 정보시스템에 예상되는 위협에 의해 자산에 손실이 발생할 가능성 * 위험 = 자산 X 위협 X 취약점 2. 정보보호 대책의 통제 - 예방통제 : 사전에 미리 위협과 취약점에 대해 대처하는 통제 - 탐지통제 : 위협을 탐지하는 통제로, 빠르게 탐지할수록 대처에 용이 - 교정통제 : 탐지된 위협이나 취약점에 대해 대처하거나, 위협을 줄이거나 취약점을 감소시키는 통제 * 통제의 순서 : 예방 -> 탐지 -> 교정

  Read More