본문 바로가기
728x90
반응형

자격증/CISA24

[끝][CISA 요약정리] Domain 5. 정보자산의 보호 | 9장. 환경 및 물리적 통제 & 10. 정보 보안 감사 - Domain 5 끝 - -CISA 요약 끝 - 9. 환경 및 물리적 통제 (1) 환경 통제(Environment Control): IPF(정보 처리 시설)의 기술적 성능에 영향에 주는 환경 요인들에 대한 통제 1) 의의 2) 부지 및 건물: CPTED(Crime Prevention Through Environmental Design, 환경적 설계를 통한 범죄 예방) 사상을 적용 3) 설계 및 건축적 요소: 4) 온도/습도/먼지/정전기/수도/환기/자기장: 장소/전원공급여부/샘플링검사/위치표시여부 등 확인 - 습기탐지기: 장비 설치 장소/경보기능/이중바닥 아래와 배수구 근처 및 직원이 상주하지 않는 장비 설치 장소 ** 낮은 습도: 정전기 축적 발생, 높은 습도: 응결(Condensation) 발생 - 연기탐지기: 천장타일 위/아래 및 이중 바닥 아래(.. 2022. 8. 19.
[CISA 요약정리] Domain 5. 정보자산의 보호 | 7장. 암호기술 & 8장. 안전한 통신 서비스 7. 암호 기술 (1) 쌍방향 암호 시스템 1) 핵심 개념 - 평문(Plaintext): 암호화 과정을 거치기 전의 메시지 또는 전자 파일 - 암호문(Ciphertext): 암호화 과정을 거친 후의 메시지 또는 전자 파일(원래 메시지와 동일한 길이) - 암호화(Encryption): 평문을 암호문으로 변환하는 체계적인 수학적 연산 과정, 암호화 알고리즘으로 연산 수행 - 복호화(Decryption): 암호문을 평문으로 역변환하는 체계적인 수학적 연산 과정, 복호화 알고리즘으로 연산 수행 - 키(Key): 평문/암호문과 함께 암/복호화 과정에 투입하는 일련의 정보 (정적키보다 동적키가 더 안전함) - 암호의 안전성은 오로지 키의 비밀성(Secrecy)에만 의존 -> 키 길이가 길고 정기적으로 변경할수록 안.. 2022. 8. 19.
[CISA 요약정리] Domain 5. 정보자산의 보호 | 5장. 네트워크 보안 & 6장. 인터넷 보안 대책 5. 네트워크 보안 (1) LAN 보안: 네트워크 다이어그램검토 -> 노드 목록/인증 -> 인수 테스트 보고서 검토 -> 사용자 목록 검토 1) LAN 보안통제 - LAN 자원(프로그램, 파일, 저장 장치 등)에 소유자를 지정하고 보호 책임을 명시 - 동시성 통제(Concurrency control): 동시 갱신을 예방하기 위해 잠금(Locking)을 설정(무결성 유지) 및 타임스탬프 기능 - 접근 권한을 제한하고 데이터 수정이 불필요 한 경우 읽기 전용으로만 권한 부여 - 사용자 ID 와 패스워드를 사용한 로그온 절차를 포함하여 강력한 인증 절차 구현 2) 다이얼 업 접근 통제: 모뎀 접속에 대한 다이얼 백 절차를 사용하고 스마트 토큰이나 생체 인식 등을 병행 ** 모뎀을 사용하여 서버에 접속할 경우 .. 2022. 6. 27.
[CISA 요약정리] Domain 5. 정보자산의 보호 | 3장. 사회 공학과 컴퓨터 범죄 & 4장. 논리적 접근 통제 3. 사회 공학과 컴퓨터 범죄 (1) 사회 공학 1) 사회 공학(Social engineering): 대중의 태도나 행동에 영향력을 행사하는 효과적 방법을 연구하는 분야 2) 관련 기법(IS 감사인이 물리적 보안감사를 수행하는 수단이기도 함) - 협박(Blackmail): 개인 약점, 안전 등을 볼모로 특정 행위나 이익을 요구 - 설문 메일(Mail Out): 설문 조사를 가장하여 개인 신상이나 가족 관계 등의 정보를 획득 - 훔쳐보기(숄더 서핑, Shoulder Surfing): 패스워드나 PIN(개인식별번호)를 입력할 때 몰래 엿보는 행위 - (물리적) 피기백킹(Piggybacking): 인증을 거치고 출입하는 사용자의 동의를 구하고 뒤따라 감 - 꼬리물기(Tailgating): 정당한 사용자를 동의.. 2022. 6. 27.
728x90
반응형