CISSP : Certified Information Systems Security Professional Study Guide

제1장 책임추궁성 및 접근 통제(Accountability and Access Control)

접근 통제 개요(Access Control Overview)
식별 및 인증 기법(Identification and Authentication Techniques)
패스워드(Passwords)
생체 인식(Biometrics)
토큰(Tokens)
티켓(Tickets)
접근 통제 기법(Access Control Techniques)
접근 통제 모델(Access Control Models)
상태 머신 모델(State Machine Model)
벨-라파듈라 모델(Bell-LaPadula Model)
비바(Biba)
클락-윌슨(Clark-Wilson)
정보 흐름 모델(Information Flow Model)
비간섭 모델(Noninterference Model)
Take-Grant 모델
접근 통제 매트릭스(Access Control Matrix)
접근 통제 방법론 및 구현(Access Control Methodologies and Implementation)
RADIUS 그리고 TACACS
접근 통제 관리(Access Control Administration)
계정 관리(Account Administration)
계정, 로그, 그리고 Journal 모니터링(Account, Log, and Journal Monitoring)
접근 권리 및 허가(Access Rights and Permissions)
요약
시험 필수
주요 용어
실전문제
해답

제2장 공격과 모니터링(Attacks and Monitoring)

모니터링(Monitoring)
침입 탐지(Intrusion Detection)
호스트 기반 및 네트워크 기반 IDS(Host-Based and Network-Based IDSs)
지식 기반 및 행동 기반 탐지(Knowledge-Based and Behavior-Based Detection)
IDS 관련 도구(IDS-Related Tools)
침투 테스팅(Penetration Testing)
공격 방식(Methods of Attacks)
Brute Force 및 사전 공격(Brute Force and Dictionary Attacks)
서비스 거부(Denial of Service)
스푸핑 공격(Spoofing Attacks)
Man-in-the-Middle Attacks
스니퍼 공격(Sniffer Attacks)
Spamming Attacks
크래커(Crackers)
요약
시험 필수
주요 용어
실전문제
해답

제3장 ISO 모델, 네트워크 보안, 그리고 프로토콜(ISO Model, Network Security, and Protocols)

OSI Model
Physical Layer
Data Link Layer
Network Layer
Transport Layer
Session Layer
Presentation Layer
Application Layer
통신 및 네트워크 보안(Communications and Network Security)
네트워크 케이블링(Network Cabling)
LAN 기술(LAN Technologies)
네트워크 토폴로지(Network Topologies)
TCP/IP 개요
인터넷/인트라넷/엑스트라넷 구성요소(Internet/Intranet/Extranet Components)
방화벽(Firewalls)
다른 네트워크 장치(Other Network Devices)
네트워크 및 프로토콜 보안 메커니즘(Network and Protocol Security Mechanisms)
네트워크 및 프로토콜 서비스(Network and Protocol Services)
요약
시험 필수
주요 용어
실전문제
해답

제4장 통신 보안과 대책(Communications Security and Countermeasures)

터널링(Tunneling)
가상 사설 네트워크(Virtual Private Network, VPN)
네트워크 주소 해석(Network Address Translation)
다양한 보안 통제 특징(Miscellaneous Security Control Characteristics)
E-MAIL 보안(E-Mail Security)
팩스 보안(Facsimile Security)
안전한 음성 통신(Secure Voice Communications)
보안 경계(Security Boundaries)
네트워크 공격과 대책(Network Attacks and Countermeasures)
요약
시험 필수
주요 용어
실전문제
해답

제5장 보안 관리 개념과 원칙(Security Management Concepts and Principles)

보안 관리 개념과 원칙(Security Management Concepts and Principles)
기밀성(Confidentiality)
무결성(Integrity)
가용성(Availability)
다른 보안 개념(Other Security Concepts)
보호 메커니즘(Protection Mechanisms)
변경 통제/관리(Change Control/Management)
데이터 분류(Data Classification)
요약
시험 필수
주요 용어
실전문제
해답

제6장 자산 가치, 정책, 그리고 역할(Asset Value, Policies, and Roles)

채용 정책과 수행(Employment Policies and Practices)
고용(Hiring)
보안 역할(Security Roles)
정책, 표준, 기준, 지침, 그리고 절차(Policies, Standards, Baselines, Guidelines, and Procedures)
위험 관리(Risk Management)
위험 용어(Risk Terminology)
위험 평가 방법론(Risk Assessment Methodologies)
정량적 위험 분석(Quantitative Risk Analysis)
정질적 위험 분석(Qualitative Risk Analysis)
위험 처리(Handling Risk)
보안 의식 교육(Security Awareness Training)
보안 관리 계획(Security Management Planning)
요약
시험 필수
주요 용어
실전문제
해답

제7장 데이터 및 응용프로그램 보안 논점(Data and Application Security Issues)

응용프로그램 논점(Application Issues)
로컬/비분산 환경(Local/Nondistributed Environment)
분산 환경(Distributed Environment)
데이터베이스와 데이터 웨어하우징(Databases and Data Warehousing)
데이터베이스 관리시스템(DBMS) 아키텍처(Database Management System(DBMS) Architecture)
다수준 보안(Multilevel Security)
집합(Aggregation)
추론(Inference)
다중실증(Polyinstantiation)
데이터 마이닝(Data Mining)
데이터/정보 스토리지(Data/Information Storage)
스토리지 유형(Types of Storage)
스토리지 위협(Storage Threats)
지식 기반 시스템(Knowledge-Based Systems)
전문가 시스템(Expert Systems)
신경 네트워크(Neural Networks)
보안 응용프로그램(Security Applications)
시스템 개발 통제(Systems Development Controls)
시스템 개발 수명 주기(Systems Development Life Cycle)
수명 주기 모델(Life Cycle Models)
보안 통제 아키텍처(Security Control Architecture)
서비스 수준 합의(Service Level Agreements)
요약
시험 필수
주요 용어
Written Lab
실전문제
해답
Written Lab에 대한 해답

제8장 악성 코드 및 응용프로그램 공격(Malicious Code and Application Attacks)

악성 코드(Malicious Code)
근원지(Sources)
바이러스(Viruses)
논리폭탄(Logic Bombs)
트로이 목마(Trojan Horses)
웜(Worms)
패스워드 공격(Password Attacks)
패스워드 추측(Password Guessing)
사전 공격(Dictionary Attacks)
사회 공학(Social Engineering)
대책(Countermeasures)
서비스 거부 공격(Denial of Service Attacks)
SYN 범람(SYN Flood)
Smurf
분산 DoS 도구모음(Distributed DoS Toolkits)
Teardrop
Ping of Death
응용프로그램 공격(Application Attacks)
버퍼 범람(Buffer Overflows)
Time-of-Check-to-Time-of-Use
Trap Doors
Rootkits
정찰 공격(Reconnaissance Attacks)
IP Probes
포트 스캔(Port Scans)
취약성 스캔(Vulnerability Scans)
Dumpster Diving
위장 공격(Masquerading Attacks)
IP 스푸핑(IP Spoofing)
Session Hijacking
유인 기법(Decoy Techniques)
Honey pots
허위 결점(Pseudo-flaws)
요약
시험 필수
주요용어
Written Lab
실전문제
해답
Written Lab에 대한 해답

제9장 암호화와 개인 키 알고리즘(Cryptography and Private Key Algorithms)

역사(History)
시저 암호(Caesar Cipher)
미 남북 전쟁(American Civil War)
Ultra 그리고 Enigma
암호화 기본(Cryptographic Basics)
암호화의 목표(Goals of Cryptography)
개념(Concepts)
암호와 수학(Cryptographic Mathematics)
암호(Ciphers)
현대적 암호화(Modern Cryptography)
암호화 키(Cryptographic Keys)
대칭 키 알고리즘(Symmetric Key Algorithms)
비대칭 키 알고리즘(Asymmetric Key Algorithms)
해싱 알고리즘(Hashing Algorithms)
대칭 암호화(Symmetric Cryptography)
데이터 암호화 표준(Data Encryption Standard, DES)
Triple DES(3DES)
국제 데이터 암호화 알고리즘(International Data Encryption Algorithm, IDEA)
Blowfish
Skipjack
Advanced Encryption Standard(AES)
키 분배(Key Distribution)
요약
시험 필수
주요 용어
Written Lab
실전 문제
해답
Written Lab에 대한 해답

제10장 PKI 그리고 암호화 응용(PKI and Cryptographic Applications)

비대칭 암호화(Asymmetric Cryptography)
공개 및 개인 키(Public and Private Keys)
RSA
El Gamal
타원 곡선(Elliptic Curve)
해시 함수(Hash Functions)
SHA
MD2
MD4
MD5
디지털 서명(Digital Signatures)
HMAC
디지털 서명 표준(Digital Signature Standard)
공개 키 인프라스트럭처(Public Key Infrastructure)
인증서(Certificates)
인증서 기관(Certificate Authorities)
인증서 생성 및 파기(Certificate Generation and Destruction)
암호화의 응용(Applied Cryptography)
전자 메일(Electronic Mail)
웹(Web)
전자 상거래(E-Commerce)
네트워킹(Networking)
암호화 공격(Cryptographic Attacks)
요약
시험 필수
주요 용어
실전문제
해답

제11장 컴퓨터 디자인의 원칙(Principles of Computer Design)

컴퓨터 아키텍처(Computer Architecture)
하드웨어(Hardware)
펌웨어(Firmware)
보호 메커니즘(Protection Mechanisms)
기술적 메커니즘(Technical Mechanisms)
정책 메커니즘(Policy Mechanisms)
요약
시험 필수
주요 용어
실전문제
해답

제12장 보안 모델의 원칙(Principles of Security Models)

보편적인 보안 모델, 아키텍처, 그리고 평가 기준(Common Security Models, Architectures, and Evaluation Criteria)
인증 및 인가(Certification and Accreditation)
폐쇄형 및 개방형 시스템(Closed and Open Systems)
제한, 한계, 그리고 격리(Confinement, Bounds, and Isolation)
객체와 주체(Objects and Subjects)
통제(Controls)
IP Security(IPSec)
TCSEC 클래스와 요구되는 기능성(TCSEC Classes and Required Functionality)
ITSEC 클래스와 요구되는 보증 및 기능성(ITSEC Classes and Required Assurance and Functionality)
Trusted Computing Base(TCB)
보안 경계선(Security Perimeter)
참조 모니터와 커널(Reference Monitors and Kernels)
보안 모델(Security Models)
토큰, 능력, 그리고 레이블(Tokens, Capabilities, and Labels)
보편적인 결점과 보안 논점(Common Flaws and Security Issues)
비밀 채널(Covert Channels)
초기화 및 실패 상태(Initialization and Failure States)
입력 및 매개변수 확인(Input and Parameter Checking)
Maintenance Hooks 그리고 Privileged Programs
프로그래밍(Programming)
타이밍, 상태 변경, 통신 단절(Timing, State Changes, Communication Disconnects)
전자기 방사선(Electromagnetic Radiation)
요약
시험 필수
주요 용어
실전문제
해답

제13장 관리적 관리(Administrative Management)

Antivirus 관리(Antivirus Management)
운영 보안 개념(Operations Security Concepts)
백업 관리유지(Backup Maintenance)
워크스테이션/위치 변경(Changes in Workstation/Location)
“Need to Know” 그리고 최소 특권 원칙(Need to Know and the Principle of Least Privilege)
특권 운영 기능(Privileged Operations Functions)
의무 및 실사 표준(Standards of Due Care and Due Diligence)
사적보호(Privacy)
법적 요구사항(Legal Requirements)
불법적 활동(Illegal Activities)
기록 보유(Record Retention)
민감한 정보 및 매체(Sensitive Information and Media)
보안 통제 유형(Security Control Types)
운영 통제(Operations Controls)
요약
시험 필수
주요 용어
실전문제
해답

제14장 감사와 모니터링(Auditing and Monitoring)

감사(Auditing)
감사 추적(Audit Trails)
보고 개념(Reporting Concepts)
샘플링(Sampling)
기록 보유(Record Retention)
모니터링(Monitoring)
모니터링 도구 및 기법(Monitoring Tools and Techniques)
침투 테스팅 기법(Penetration Testing Techniques)
War Dialing
스니핑 및 도청(Sniffing and Eavesdropping)
방사 모니터링(Radiation Monitoring)
Dumpster Diving
사회 공학(Social Engineering)
부적절한 활동(Inappropriate Activities)
불분명한 위협과 대책(Indistinct Threats and Countermeasures)
요약
시험 필수
주요 용어
실전문제
해답

제15장 비즈니스 연속성 계획(Business Continuity Planning)

비즈니스 연속성 계획(Business Continuity Planning)
프로젝트 범위 및 계획(Project Scope and Planning)
비즈니스 조직 분석(Business Organization Analysis)
BCP 팀 선택(BCP Team Selection)
리소스 요구사항(Resource Requirements)
법적 및 규제적 요구사항(Legal and Regulatory Requirements)
비즈니스 영향 평가(Business Impact Assessment)
우선순위 식별(Identify Priorities)
위험 식별(Risk Identification)
가능성 평가(Likelihood Assessment)
영향 평가(Impact Assessment)
리소스 우선순위 지정(Resource Prioritization)
연속성 전략(Continuity Strategy)
전략 개발(Strategy Development)
준비 및 과정(Provisions and Processes)
계획 승인(Plan Approval)
계획 구현(Plan Implementation)
훈련과 교육(Training and Education)
BCP 문서화(BCP Documentation)
연속성 계획 목표(Continuity Planning Goals)
중요성 진술(Statement of Importance)
우선순위 진술(Statement of Priorities)
조직의 책임 진술(Statement of Organizational Responsibility)
긴급성 및 타이밍 진술(Statement of Urgency and Timing)
위험 평가(Risk Assessment)
위험 수용/완화(Risk Acceptance/Mitigation)
필수적 기록 프로그램(Vital Records Program)
비상 대응 지침(Emergency Response Guidelines)
관리유지(Maintenance)
테스팅(Testing)
요약
시험 필수
주요 용어
실전문제
해답

제16장 재난 복구 계획(Disaster Recovery Planning)

재난 복구 계획(Disaster Recovery Planning)
자연 재난(Natural Disasters)
인공적 재난(Man-Made Disasters)
복구 전략(Recovery Strategy)
비즈니스 단위 우선순위(Business Unit Priorities)
위기 관리(Crisis Management)
비상 통신(Emergency Communications)
작업 그룹 복구(Work Group Recovery)
대안 처리 사이트(Alternative Processing Sites)
상호 협력 합의(Mutual Assistance Agreement)
데이터베이스 복구(Database Recovery)
복구 계획 개발(Recovery Plan Development)
비상 대응(Emergency Response)
직원 통보(Personnel Notification)
백업 및 오프사이트 스토리지(Backups and Offsite Storage)
Software Escrow Arrangements
외부 통신(External Communications)
공익 설비(Utilities)
물류 그리고 공급품(Logistics and Supplies)
복구 대 복원(Recovery vs. Restoration)
훈련과 문서화(Training and Documentation)
테스팅과 관리유지(Testing and Maintenance)
점검표 테스트(Checklist Test)
Structured Walk-Through
Simulation Test
병렬 테스트(Parallel Test)
완전 중단 테스트(Full-Interruption Test)
관리유지(Maintenance)
요약
시험 필수
주요 용어
Written Lab
실전문제
해답
Written Lab에 대한 해답

제17장 법과 조사(Law and Investigations)

법의 범주(Categories of Laws)
형법(Criminal Law)
민법(Civil Law)
행정법(Administrative Law)
법(Laws)
컴퓨터 범죄(Computer Crime)
지적 재산(Intellectual Property)
라이센싱(Licensing)
수입/수출(Import/Export)
사적보호(Privacy)
조사(Investigations)
증거(Evidence)
조사 과정(Investigation Process)
요약
시험 필수
주요 용어
Written Lab
실전문제
해답
Written Lab에 대한 해답

제18장 사건과 윤리(Incidents and Ethics)

컴퓨터 범죄의 주요 범주(Major Categories of Computer Crime)
군사 및 정보 수집 공격(Military and Intelligence Attacks)
비즈니스 공격(Business Attacks)
금융 공격(Financial Attacks)
테러리스트 공격(Terrorist Attacks)
Grudge Attacks
"Fun" Attacks
증거(Evidence)
사건 취급(Incident Handling)
보편적인 유형의 사건(Common Types of Incidents)
이례적 및 의심스러운 활동(Abnormal and Suspicious Activity)
장치, 소프트웨어, 그리고 데이터의 압수(Confiscating Equipment, Software, and Data)
사건 데이터 무결성과 유지(Incident Data Integrity and Retention)
사건 보고(Reporting Incidents)
윤리(Ethics)
(ISC)2 윤리 강령 [(ISC)2 Code of Ethics]
윤리와 인터넷(Ethics and the Internet)
요약
시험 필수
주요 용어
실전문제
해답

제19장 물리적 보안 요구사항(Physical Security Requirements)

물리적 보안 위협(Physical Security Threats)
시설물 요구사항(Facility Requirements)
물리적 접근 통제의 형태(Forms of Physical Access Controls)
담장, 출입구, 회전식 십자문, 그리고 함정(Fences, Gates, Turnstiles, and Mantraps)
조명(Lighting)
보안 경비원 및 경비견(Security Guards and Dogs)
키 및 조합 잠금 장치(Keys and Combination Locks)
배지(Badges)
동작 탐지기, 센서, 그리고 경보기(Motion Detectors, Sensors, and Alarms)
기술적 통제(Technical Controls)
환경 및 생명 안전(Environment and Life Safety)
화재 탐지 및 진압(Fire Detection and Suppression)
장치 고장(Equipment Failure)
요약
시험 필수
주요 용어
실전문제
해답

용어집(Glossary)

찾아보기