SPICE에 대한 자세한 프로세스
- 기(초) : 고객-공급, 공학
- 조(직) : 관리, 조직
- 지(원) : 지원
ISO 12207 :생명주기 프로세스의 각 공정이 핵심 포인트
- 기(본 공정주기) : 획득, 공급, 개발, 운영, 유지보수 프로세스
- 조(직공정주기) : 기반구조, 관리, 개선, 훈련 프로세스
- 지(원 공정주기) : 문서화, 품질보증, 형상관리, 검증, 확인, 문제해결, 합동 검토, 감사
네트워크 구성
- LAN : 단거리, 회선비용 없음, 종류 = 이더넷&토큰링&FDDI
- WAN : 서비스 제공업자 소유로 사용자는 임대
ISMS-P 인증 심사 기준
- 정보보호를 위한 인증기준이 적합함을 증명하는 제도
- 첫 인증 이후 유효기간 3년
- 보호대책 요구사항, 개인정보 처리 단계별 요구사항, 관리체계 수립 및 운영
참조모니터 Reference Monitor
Isolation : 부정조작 금지
Completeness : 우회가 안되니 항상 호출
Verifiability : 분석하고 테스트가 가능하게 작아야 함
데이터베이스 표준화
데이터 명칭 : 유일 식별의 이름
데이터 정의 : 데이터가 의미하는 범위와 자격
데이터 형식 : 형태 정의를 통해 입력 오류와 통제 최소화
데이터 규칙 : 발생 가능 데이터값 사전 정의 후 오류 최소화
데이터베이스의 동시성 제어
- 한 순간에 한명만 데이터 수정 가능
- 기능 = 2PL(오류 사전 예방되나 교착발생), TIMESTAMP(교착없음, 롤백 가능성 큼), Validation낙관적검증(속도는 빠르나 철회비용 큼)
NULL pointer 역참조 : null이 될 수 있는 래퍼런스는 참조 전 널값인지 검사하여 안전할때만 사용
SDLC 절차별 활동
- 요구사항 분석단계 : 명세서 작성
- 설계 : 위협 모델링
- 구현 : 소스코드 보안약점 지낟 및 개선
- 테스트 : 동적분석으로 보안취약점 확인 후 개선
- 유지보수 : 보안패치
보안취약점 : SQL삽입(유효성검사X일때), 비제거 디버거 코드 , 민감 데이터를 가진 내부 클래스 사용, 부적절 자원 해제
코드 오류 취약점 : NULL pointer 역참조, 부적절 자원 해제, 해제 자원 사용, 비초기화 변수 사용
서버인증 프로토콜
- SSL : 개인정보를 취급하는 모든 사이트, 40/128bit를 가진 암호화 통신, 4계층 프로토콜, https로 시작, 지정포트 443
CoAP = Constraned Application Protocol
- REST 아키텍쳐 기반으로 최근 IoT 환경 사용 프로토콜
보안솔루션
- NAC네트워크접근제어 : 보안정책 준수 검사로 접속 통제
- UTM : 통합 보안 관리
- WAF : 네트워크에서 HTTP를 검증 및 분석
- VPN : 가상 사설망
- Anti-D Dos : 과도한 서비스 요청에 대한 방어
- IP(revention)S : 침입경고 이전에 공격 중단
개발방법론 추가
- RAD : 60~90간 짧은 주기로 개발 목적
- JR(equirement)P ~ JA(pplication)D ~ 구축/운영 ~ Cutover=이전
- 진화형 : 핵심 요구사항 중심으로 개발 초기 불분명할 때 사용, Release 계획 필수 필요
효과적 프로젝트 관리를 위한 3P : People + Problem + Process
문제
Q. 네트워크 암호화 기법 중 IP를 기반한 OSI 3계층에서 동작하는 터널링 기술은?
1.PPTP 2.L2TP 3.IPSec 4.SSL
=> PPTP는 직렬 인터페이스 통신시 사용하는 2계층프로토콜, L2TP는 시스코프가 만든 2계층프로토콜, SSL은 40/128bit키로 암호화 통신하는 4계층프로토콜
A. 3
Q. 강제 접근 통제(MAC)에 대한 장점으로 옳지 않은 것은?
1. 규칙이 단순해서 관리가 용이하다.
2. 중앙에서 강력하게 통제할 수 있다.
3. 이직률이 높은 회사에서 유리하다.
4. 개인,데이터별로 명확한 보안등급을 가진다.
=> MAC은 중앙집중형으로 통제 권한은 제3자가 갖는다. 사용자 역할 기반의 권한 부여받는 경우 역할 기반 접근통제(RBAC)가 유리하다.
A. 3.
Q. 다음 중 CSRF 취약점의 특징이 아닌 것은?
1. 특정 소수가 아닌 불특정 다수를 대상으로 한다.
2. 원래 의도된 기능이 아닌, 데이터 변경, 삭제 등이 가능해진다.
3. XSS에서 진보한 공격이라고 보는 의견이 있다.
4. XSS는 서버에서, CSRF는 클라이언트에서 악성코드가 실행된다.
=> XSS는 클라이언트에서 악성코드가 실행되고, CSRF는 서버에서 악성코드가 실행된다.
A. 4.
'관련 도서 및 지식 > 자격증' 카테고리의 다른 글
| [PM BOK] 7판 1시간 만에 끝내기 - 제 1강 (0) | 2023.04.09 |
|---|---|
| [정보처리기사] 필기 합격 + 실기 접수일 공유 (0) | 2023.03.23 |
| [ 정보처리기사 기사패스- 정보처리기사 필기 적중문제 ] 오답 및 추가 상식 요약(3파트, 4파트) (0) | 2023.01.23 |
| [ 정보처리기사 기사패스- 정보처리기사 필기 적중문제 ] 오답 및 추가 상식 요약(1파트,2파트) (1) | 2023.01.23 |
| [ 정보처리기사 실기 ] C언어 - 기본적 문법 구조 (2) | 2023.01.21 |