All in One Cissp Exam Guide

1장 CISSP 자격 취득하기 1
1.1 CISSP를 취득해야 되는 이유 1
1.2 CISSP 인증시험 3
1.3 CISSP : 간단한 역사 7
1.4 CISSP는 어떻게 되는가? 8
1.5 인증 갱신 요구사항 8
1.6 이 책의 범위는? 9
1.7 CISSP 인증시험을 위한 팁 10
1.8 이 책의 활용법 12
연습문제 13
정답 및 해설 17

2장 보안 동향 19
2.1 어떻게 보안이 이슈화되는가? 19
2.2 보안 분야 23
2.3 정보전 24
해킹 진화의 증거 25 / 국가가 받은 영향 28 / 기업이 받은 영향 30 / 미국 정부의 활동 31 / 그렇다면 이것이 우리에게 의미하는 것은? 33
2.4 해킹과 공격 33
2.5 경영관리 35
2.6 인터넷 및 웹 활동들 36
2계층 구조 39 / 데이터베이스의 역할 42
2.7 계층적 접근 46
다른 계층들에서의 보안 46
2.8 구조적 관점 47
취약한 계층 50 / 계층들의 통합 50
2.9 정치와 법 51
2.10 교육 53
2.11 요약 54

3장 보안 관리 수행 55
3.1 보안 관리 55
3.2 보안 관리 책임 57
보안의 하향 접근법 58
3.3 보안 관리 및 지원 통제 59
3.4 보안 기본 원칙 61
가용성 61 / 무결성 63 / 기밀성 64
3.5 보안 용어 정의 64
3.6 조직적 보안 모델 67
보안 프로그램 구성요소 69 / 비즈니스 요구사항 vs 민간 기업과 군사 조직 72
3.7 정보 위험 관리 72
누가 위험 관리를 제대로 이해하는가? 73 / 정보 위험 관리 정책 74 / 위험 관리 팀 75
3.8 위험 분석 75
위험 분석팀 77 / 정보와 자산의 가치 78 / 가치를 구성하는 비용들 78 / 위협 식별하기 79 / 정량적 위험 분석 81 / 정성적 위험 분석 87 / 정량적 위험 분석과 정성적 위험 분석의 비교 90 / 보호 메커니즘 91 / 통합하기 94 / 전체 위험과 잔여 위험 94 / 위험 처리 95
3.9 정책, 표준, 기준, 지침, 절차 96
보안 정책 97 / 표준 99 / 기준 100 / 지침 101 / 절차 102 / 구현 103
3.10 정보 분류 104
민간 조직과 군대 조직의 정보 분류 비교 105 / 정보 분류 통제 109
3.11 책임의 계층 109
데이터 소유자 110 / 데이터 관리자 111 / 시스템 소유자 111 / 보안 관리자 111 / 보안 분석가 112 / 응용프로그램 소유자 112 / 감독관 13 / 변경 통제 분석가 113 / 테이터 분석가 113 / 프로세스 소유자 114 / 솔루션 공급자 114 / 사용자 114 / 생산 라인 관리 114 / 역할이 많은 이유 115 / 사람 116 / 구조 116 / 고용 통제 117 / 직원 통제 118 / 퇴직 통제 118
3.12 보안 인식 훈련 119
다른 유형의 보안 인식 훈련 120 / 프로그램 평가하기 121 / 특수 보안 훈련 122
3.13 요약 122
3.14 Quick Tips 123
연습문제 126
정답 및 해설 131

4장 접근 통제 135
4.1 접근 통제 개요 135
4.2 보안 기초 136
가용성 137 / 무결성 138 / 기밀성 138
4.3 식별, 인증 그리고 권한 139
식별과 인증 142 / 허가 161
4.4 접근 통제 모델 178
DAC(임의적 접근 통제) 179 / MAC(강제적 접근 통제) 180 / 역할 기반 접근 통제 182
4.5 접근 통제 기술과 기술론 184
규칙 기반 접근 통제 184 / 제한된 사용자 인터페이스 186 / 접근 통제 매트릭스 187 / 내용 의존성 접근 통제 189 / 문맥 의존성 접근 통제 189
4.6 접근 통제 관리 190
중앙 집중식 접근 통제 관리 191 / 분산 접근 통제 관리 199
4.7 접근 통제 기법 199
접근 통제 계층 200 / 관리적 통제 201 / 물리적 통제 203 / 기술적 통제 205
4.8 접근 통제 유형 209
예방적, 관리적 통제 211 / 예방적, 물리적 통제 211 / 예방적, 기술적 통제 211
4.9 책임추적성 213
감사 정보 검토 215 / 키보드 입력 모니터링 216 / 감사 데이터와 로그 정보 보호 217
4.10 접근 통제 연습 218
비인가된 정보의 유출 219
4.11 접근 통제 모니터링 222
침입 탐지 222 / 침입 방지 시스템 233
4.12 접근 통제에 대한 위협 237
사전 공격 237 / 무차별 공격 238 / 로그온 스푸핑 239
4.13 요약 241
4.14 Quick Tips 241
연습문제 243
정답 및 해설 247

5장 보안 모델과 아키텍처 모델 251
5.1 컴퓨터 아키텍처 253
중앙처리장치 254 / 운영체제 구조 260 / 프로세스 활동 267 / 메모리 관리 269 / 메모리 종류 271 / 가상 메모리 280 / CPU 모드와 보호 링 282 / 운영체제 아키텍처 285 / 도메인 288 / 계층화와 데이터 숨김 290 / 가상 머신 291 / 추가 저장 장치 292 / I / O 장치 관리 293
5.2 시스템 아키텍처 297
주체와 객제의 서브셋 정의 299 / TCB 300 / 보안 경계선 304 / 참조 모니터와 보안 커널 304 / 보안 정책 306 / 최소 권한 307
5.3 보안 모델 308
상태 머신 모델 310 / 벨-라파듈라 모델 312 / 정보 흐름 모델 321 / 비간섭 모델 325 / 격자 모델 326 / 부루어와 내시 모델 328 / 그레이함-데닝 모델 330
5.4 운영 보안 모드 332
전용 보안 모드 332 / 시스템 상위 보안 모드 332 / 구획된 보안 모드 333 / 다중 수준 보안 모드 334 / 신뢰와 보증 336
5.5 시스템 평가 방법 337
제품에 대한 평가를 하는 이유 337 / 오렌지 북 338
5.6 무지개 시리즈 343
레드 북 345
5.7 ITSEC 346
5.8 공통평가기준(CC) 349
5.9 인증과 인가 352
인증 352 / 인가 354
5.10 개방형 시스템과 폐쇄형 시스템 354
개방형 시스템 354 / 폐쇄형 시스템 355
5.11 보안 모델과 아키텍처에 대한 위협들 356
유지보수 갈고리 356 / TOC/TOU 공격 357 / 버퍼 오버플로우 359 / 스택이란 무엇이고 어떻게 동작하는가? 360
5.12 요약 364
5.13 Quick Tips 364
연습문제 368
정답 및 해설 372

6장 물리적 보안 377
6.1 물리적 보안의 개요 377
6.2 계획 절차 380
환경 설계를 이용한 범죄 예방 384 / 물리적 보안 프로그램의 설계 389
6.3 자산 보호 403
6.4 내부 지원 시스템 405
전력 405 / 환경 이슈들 411 / 통풍 414 / 화재 예방, 탐지 및 진압 414
6.5 경계선 보안 422
시설 접근 통제 423 / 인적 접근 통제 430 / 외부 경계 보호 매커니즘 431 / 침입 탐지 시스템 440 / 순찰 요원과 경비원 444 / 물리적 접근의 감사 445
6.6 요약 446
6.7 Quick Tips 446
연습문제 449
정답 및 해설 454

7장 통신과 네트워킹 보안 459
7.1 OSI 참조 모델 461
응용 프로그램 계층 465 / 표현 계층 466 / 세션 계층 467 / 전송 계층 469 / 네트워크 계층 470 / 데이터링크 계층 472 / 물리적 계층 474 / OSI 모델의 프로토콜과 기능 474 / 계층 결합하기 476
7.2 TCP/IP 478
TCP 479 / IP 주소 지정 484 / IPv6 486
7.3 전송 종류 486
아날로그와 디지털 487 / 비동기와 동기 488 / 브로드밴드와 베이스밴드 489
7.4 LAN 네트워킹 490
네트워크 토폴로지 491 / LAN 매체 접근 기술 495 / 케이블 503 / 전송 방법 509 / 매체 접근 기술 511 / LAN 프로토콜 515
7.5 라우팅 프로토콜 519
7.6 네트워킹 장비 523
브리지 524 / 라우터 527 / 스위치 530 / 게이트웨이 534 / PBXs 536 / 침입차단 시스템 538 / 허니팟 558
7.7 네트워킹 서비스와 프로토콜 559
네트워크 운영 시스템 560 / DNS 561 / 디렉토리 서비스 569 / LDAP 571 / NAT 572
7.8 인트라넷과 엑스트라넷 574
7.9 MAN 576
7.10 WAN 578
전화통신의 진화 579 / 전용선 582 / WAN 기술 584
7.11 원격 접속 601
ISDN 602 / DSL 604 / 케이블 모뎀 605 / VPN 607 / 인증 프로토콜 614 / 원격 사용자 지침 617
7.12 무선 기술 618
무선 통신 619 / WLAN 구성 요소 623 / 무선 표준 625 / WAP 639 / i-모드 641 / 휴대폰 보안 641 / War Driving for WLANs 643 / 위성 통신 645 / 3G 무선 통신 646
7.13 루트킷 648
7.14 요약 652
7.15 Quick Tips 653
연습 문제 657
정답 및 해설 661

8장 암호화 665
8.1 암호화의 역사 666
Vigenere 암호화 669
8.2 암호화 정의와 개념 673
Kerckhoff의 원칙 676 / 암호시스템의 강도 676 / 암호시스템의 서비스 677 / 일회용 패드 679 / 실행 및 은폐 암호 682 / Steganography 683
8.3 암호화에 대한 정부의 관여 684
바세나르 협정 685
8.4 암호의 종류 686
대체 암호 686 / 치환 암호 687
8.5 암호화 방식 689
대칭 알고리즘 vs 비 대칭 알고리즘 689 / 블록과 스트림 암호 696
8.6 대칭 시스템의 형태 706
Data Encryption Standard 706 / Triple-DES 715 / Advanced Encryption Standard 716 / International Data Encryption Algorithm 717 / Blowfish 717 / RC4 718 / RC5 718 / RC6 718
8.7 비 대칭 시스템의 형태 718
Diffie-Hellman Algorithm 719 / RSA 722 / El Gamal 726 / Elliptic Curve Cryptosystem 726 / LUC 727 / Knapsack 728 / Zero Knowledge Proof 728
8.8 메시지 무결성 729
한 방향 해시 729 / 다양한 해싱 알고리즘 733 / 한 방향 해시 함수에 대한 공격 736 / 전자 서명 738 / Digital Signature Standard 740
8.9 공개 키 기반구조 741
인증 기관 742 / 인증서 745 / 등록 기관 745 / PKI 단계 745
8.10 키 관리 748
키 관리 원칙 750
8.11 링크 암호화 vs 단대단 암호화 751
8.12 이메일 표준 754
Multipurpose Internet Mail Extension 755 / Privacy-Enhanced Mail 756 / Message Security Protocol 757 / Pretty Good Privacy 757
8.13 인터넷 보안 759
기본으로 시작하기 760
8.14 공격 771
암호문 단독 공격(Ciphertext-only attack) 772 / 알려진 평문 공격(Known-plaintext attack) 772 / 선택된 평문 공격(Chosen - Plaintext Attack) 773 / 미분 암호분석 774 / 선형 암호분석 774 / Side Channel Attacks 775 / 재생 공격 776
8.15 요약 776
8.16 Quick Tips 777
연습문제 780
정답 및 해설 785

9장 비즈니스 연속성 계획 789
9.1 비즈니스 연속성과 재난 복구 790
비즈니스 연속성 단계 792 / BCP를 보안 정책과 프로그램의 한 부분으로 만들기 794 / 프로젝트 개시 796
9.2 비즈니스 연속성 계획의 요구사항 798
비즈니스 영향 분석 799 / 예방적 방법 806 / 복구 전략 807 / 비즈니스 과정 복구 809 / 시설물 복구 810 / 공급과 기술적 복구 816 / 사용자 환경 823 / 데이터 백업 대안 824 / 보험 832 / 복구와 복원 833 / 계획을 위한 목표 개발 837 / 전략을 구현하기 839 / 계획을 시험하고 교정하기 840 / 계획을 관리하기 846
9.3 요약 848
9.4 Quick Tips 848
연습문제 850
정답 및 해설 855

10장 법, 조사 그리고 윤리 859
10.1 사이버법의 다양한 국면 860
10.2 윤리 861
Computer Ethics Institute 862 / Internet Architecture Board 863 / Generally Accepted Information Security Principles 863 / 동기, 기회, 그리고 수단 865
10.3 해커와 크래커 866
운영 보안 867
10.4 유명한 컴퓨터 범죄 873
The Cuckoo’s Egg 874 / Kevin Mitnick 875 / Chaos Computer Club 875 / Cult of the Dead Cow 875 / 전화 프리커 876
10.5 식별, 보호, 그리고 기소 877
10.6 책임과 그것의 파급 효과 879
개인 정보 883 / 해커 침입 883
10.7 법의 형태 884
지적재산법 886
10.8 장비와 소프트웨어 폐기 논점 892
10.9 컴퓨터 범죄 조사 892
사건 대응 893 / 사고 처리 897 / 법정에서 허용되는 것은 무엇인가? 899 / 감시, 수색 그리고 압수 903 / 대담과 심문 904
10.10 수출입법 905
국경 간의 정보 흐름 905
10.11 사적 보호 906
10.12 법, 명령 그리고 규정 908
건강 보험 이식성과 책임 추궁성 법령 909 / 1999년의 그램 리치 브릴리 법령 910 / 컴퓨터 사기와 남용 법령 910 / 1974년의 연방 사적 보호 법령 911 / 사적 보호에 대한 유럽 연합의 원칙 912 / 1987년의 컴퓨터 보안 법령 912 / 암호화를 통한 보안과 자유 법령 913 / 연방 판결 지침 913 / 1996년의 경제 스파이 행위 법령 913
10.13 국제적인 협력 노력 914
Group of Eight 914 / 인터폴 914 / 유럽 집행위원회 914
10.14 요약 915
10.15 Quick Tips 915
연습문제 918
정답 및 해설 923

11장 애플리케이션 및 시스템 개발 927
11.2 장치 대 소프트웨어 보안 928
11.3 다른 환경은 서로 다른 보안을 요구한다 929
클라이언트 / 서버 모델 931
11.4 주변환경 대 애플리케이션 통제 931
11.5 기능의 복잡성 932
11.6 데이터 유형, 형식 그리고 길이 933
11.7 구현 및 디폴트 논점 934
구현 935
11.8 실패 상태 936
11.9 데이터베이스 관리 936
데이터베이스 관리 소프트웨어 937 / 데이터베이스 모델 938 / 데이터베이스 인터페이스 언어 941 / 관계형 데이터베이스 구성요소 942 / 데이터 사전 942 / 무결성 945 / 데이터베이스 보안 논점 948 / 데이터웨어 하우징 및 데이터 마이닝 953
11.10 시스템 개발 955
개발 관리 956 / 수명 주기 단계 956 / 소프트웨어 개발 방식 970 / 변경 통제 971 / 능력 성숙 모델 973 / Software Escrow 974
11.11 애플리케이션 개발 방법론 975
객체 지향 개념 976 / 데이터 모델링 983 / 소프트웨어 아키텍처 983/데이터 구조 984 / ORB와 CORBA 986 / 컴퓨터-보조 소프트웨어 엔지니어링 989 / Prototyping 990/COM과 DCOM 990 / Open Database Connectivity 991 / Object Linking and Embedding 992 / 동적 데이터 교환 993 / 분산 컴퓨팅 환경 993 / 모바일 코드 995 / Enterprise JavaBeans 995 / 전문가 시스템 및 지식 기반 시스템 996 / 인공 신경 네트워크 998 / 자바 1001/ActiveX 1003 / 악성 소프트웨어 1004 / 공격 1009
11.12 요약 1018
11.13 Quick Tips 1018
연습문제 1022
정답 및 해설 1027

12장 운영 보안 1031
12.1 운영 부서의 역할 1032
관리 경영 1033 / 책임추궁성 1036 / 보안 운영과 제품 평가 1037 / 입력과 출력 통제 1045
12.2 네트워크와 리소스의 가용성 1046
실패의 단일 지점 1047/RAID 1047 / 클러스터링 1049 / 백업 1050
12.3 E-Mail 보안 1051
E-mail 동작 원리 1053 / 팩스 보안 1057 / 해킹과 공격 방법 1059 / 침투 테스팅 1069 / 운영 부서 1073
12.4 요약 1075
12.5 Quick Tips 1075
연습문제 1077
정답 및 해설 1082

부록 A : CD-ROM에 대하여 1087
부록 B : 보안 관련 기관 1093
색인 1099