무료 온라인 액세스 ISC.CSSLP.v2022-12-21.q219 모의 시험 (Page 11)

CSSLP 문제 46

SoftTech Inc.에서 선임 프로젝트 관리자로 일하고 있습니다. 구성 관리를 사용하여 소프트웨어 프로젝트를 진행하고 있습니다. 구성 관리를 통해 검증 시스템을 구성 항목(CI)이라고 하는 식별 가능하고 이해 가능하고 관리 가능하며 추적 가능한 단위로 분해합니다. 귀하에 따르면 다음 중 검증 시스템을 구성 항목으로 분해하는 프로세스로 알려진 프로세스는 무엇입니까?

A. 구성 상태 계정

B. 구성 식별

C. 구성 감사

D. 구성 제어

정답: B

구성 식별은 검증 시스템을 구성 항목으로 분해하는 프로세스로 알려져 있습니다. 구성 식별은 구성 항목의 모든 측면을 정의하는 속성을 식별하는 프로세스입니다. 구성 항목은 최종 사용자 목적이 있는 제품(하드웨어 및/또는 소프트웨어)입니다. 이러한 속성은 구성 문서에 기록되고 기준이 됩니다. 속성을 기준으로 설정하면 이러한 속성이 변경되는 경우 공식적인 구성 변경 제어 프로세스가 적용됩니다. 답 D는 틀렸습니다. 구성 제어는 구성 관리의 절차입니다. 구성 제어는 구성 항목의 속성을 변경하고 기준을 다시 설정하는 데 필요한 일련의 프로세스 및 승인 단계입니다. 다양한 시점에서 소프트웨어의 기능적, 물리적 속성의 변경을 지원하고 식별된 속성의 변경을 체계적으로 제어합니다. 구성 제어는 시스템 변경 사항이 구현되기 전에 승인되었는지 확인하는 수단입니다. 제안 및 승인된 변경 사항만 구현되며 구현이 완전하고 정확합니다. 답변 A는 틀렸습니다. 구성 상태 회계 절차는 언제든지 각 구성 항목과 관련된 구성 기준선을 기록하고 보고하는 기능입니다. 다양한 시점에서 소프트웨어의 기능적, 물리적 속성을 지원하며, 소프트웨어 개발 수명 주기 전반에 걸쳐 소프트웨어 무결성 및 추적성을 유지하기 위해 식별된 속성에 대한 회계의 체계적인 제어를 수행합니다. 답 C는 틀렸습니다. 구성 감사는 구성 관리의 품질 보증 요소입니다. 회계 정보의 일관성과 완전성을 확립하고 모든 구성 관리 정책이 준수되고 있는지 확인하기 위한 주기적인 점검 과정에서 사용됩니다. 구성 감사는 기능적 구성 감사와 물리적 구성 감사로 나뉩니다. 전달 시 또는 변경을 적용하는 순간에 발생합니다. 기능 구성 감사는 구성 항목의 기능 및 성능 속성이 달성되었는지 확인합니다.

CSSLP 문제 47

다음 중 사건의 순서 및/또는 사건의 변화를 재구성하고 조사할 수 있도록 하는 시스템 활동의 연대순 기록은 무엇입니까?

A. 수정 제어

B. 감사 추적

C. 보안 감사

D. 형사 통제

E. 설명:
감사 추적 또는 감사 로그는 감사 레코드의 연대순으로, 각 감사 레코드에는 비즈니스 프로세스 또는 시스템 기능의 실행과 직접 관련되고 그 결과로 발생하는 증거가 포함되어 있습니다. 감사 기록은 일반적으로 개인, 시스템, 계정 또는 기타 엔터티에 의한 거래 또는 통신과 같은 활동의 결과입니다. 감사 추적을 생성하는 프로세스는 항상 권한 모드에서 실행되어야 하므로 모든 사용자의 모든 작업에 액세스하고 감독할 수 있으며 일반 사용자는 이를 중지/변경할 수 없습니다. 또한, 같은 이유로 트레일 파일이나 트레일이 있는 데이터베이스 테이블은 일반 사용자가 액세스할 수 없어야 합니다. 답 C는 틀렸습니다. 컴퓨터 보안 감사는 시스템 또는 응용 프로그램에 대한 수동 또는 체계적으로 측정 가능한 기술 평가입니다. 수동 평가에는 직원 인터뷰, 보안 취약성 스캔 수행, 애플리케이션 및 운영 체제 액세스 제어 검토, 시스템에 대한 물리적 액세스 분석. 자동 평가 또는 CAAT에는 시스템 생성 감사 보고서 또는 소프트웨어를 사용하여 시스템의 파일 및 설정에 대한 변경 사항을 모니터링하고 보고하는 것이 포함됩니다. 시스템에는 개인용 컴퓨터, 서버, 메인프레임, 네트워크 라우터 및 스위치가 포함될 수 있습니다.

CSSLP 문제 48

Henry는 회사의 QBG 프로젝트 프로젝트 관리자입니다. 이 프로젝트의 예산은 $4,576,900이며 완료하는 데 18개월이 소요될 것으로 예상됩니다. 프로젝트의 이해 관계자인 CIO는 프로젝트 작업의 일부로 추가 결과물에 대한 범위 변경 요청을 도입했습니다. 변경 제어 시스템의 어떤 구성 요소가 제안된 변경이 프로젝트 제품의 기능에 미치는 영향을 검토합니까?

A. 구성 관리 시스템

B. 범위 변경 제어 시스템

C. 비용 변경 관리 시스템

D. 통합 변경 제어

CSSLP 문제 49

John은 전문 윤리적 해커로 일하고 있습니다. 그는 www.we-are-secure.com의 보안을 테스트하는 프로젝트를 할당받았습니다. we-are-secure 서버의 열려 있는 모든 포트를 검색했습니다. 이제 다음 정보 수집 단계, 즉 수동 OS 지문을 수행하려고 합니다 . g. 다음 중 작업을 수행하는 데 사용할 수 있는 도구는 무엇입니까?

A. 슈퍼스캔

B. NBT스캔

C. 엔맵

D. P0f

정답: D

시나리오에 따르면 we-are-secure 서버의 열려 있는 모든 포트를 검색했습니다. 이제 다음 정보 수집 단계인 수동 OS 지문을 수행하려고 합니다. 이를 위해 P0f 도구를 사용하여 작업을 수행합니다. P0f는 장치가 패킷 방화벽 뒤에 있는 경우에도 캡처된 패킷을 간단히 검사하여 대상 호스트의 운영 체제를 식별하는 데 사용되는 수동 OS 지문 도구입니다. 추가 직접 또는 간접 네트워크 트래픽을 생성하지 않습니다. P0f는 또한 방화벽 존재, NAT 사용(정책 시행을 위해), 로드 밸런서 설정 존재, 원격 시스템까지의 거리 및 가동 시간 등과 같은 다양한 정보를 수집하는 데 사용할 수 있습니다. 답변 C는 올바르지 않습니다. Nmap은 활성 OS 지문에 사용됩니다. Nmap은 네트워크 탐색 및 보안 감사를 위한 무료 오픈 소스 유틸리티입니다. 컴퓨터 네트워크에서 컴퓨터와 서비스를 검색하여 네트워크의 "지도"를 만드는 데 사용됩니다. 많은 간단한 포트 스캐너와 마찬가지로 Nmap은 수동 서비스를 검색할 수 있습니다. 또한 Nmap은 원격 컴퓨터에 대한 다양한 세부 정보를 확인할 수 있습니다. 여기에는 운영 체제, 장치 유형, 가동 시간, 서비스를 실행하는 데 사용되는 소프트웨어 제품, 해당 제품의 정확한 버전 번호, 일부 방화벽 기술의 존재, 근거리 통신망의 경우 원격 네트워크 카드 공급업체 등이 포함됩니다. Nmap은 Linux, Microsoft Windows 등에서 실행됩니다. 답변 A는 올바르지 않습니다. SuperScan은 TCP/UDP 포트 스캐너입니다. 또한 ping 스위퍼 및 호스트 이름 해석기로도 작동합니다. 지정된 범위의 IP 주소를 ping하고 원격 시스템의 호스트 이름을 확인할 수 있습니다. SuperScan의 기능은 다음과 같습니다. 내장 목록 또는 지정된 범위에서 모든 포트 범위를 검색합니다. 모든 IP 범위를 사용하여 ping 스캔 및 포트 스캔을 수행합니다. 내장 편집기를 사용하여 포트 목록과 포트 설명을 수정합니다. 사용자 지정 "도우미" 응용 프로그램을 사용하여 발견된 열린 포트에 연결합니다. 전송 속도 제어 유틸리티가 있습니다. 답 B는 틀렸습니다. NBTscan은 NetBIOS 이름 정보에 대해 IP 네트워크를 스캔하는 스캐너입니다. NetBIOS 상태 쿼리를 제공된 범위의 각 주소로 보내고 수신된 정보를 사람이 읽을 수 있는 형식으로 나열합니다. 각 응답 호스트의 IP 주소, NetBIOS 컴퓨터 이름, 로그인한 사용자 이름 및 MAC 주소를 표시합니다. NBTscan은 nbtstat와 같은 방식으로 작동하지만 하나가 아닌 여러 주소에서 작동합니다. 내장 편집기를 사용하여 포트 목록과 포트 설명을 수정합니다. 사용자 지정 "도우미" 응용 프로그램을 사용하여 발견된 열린 포트에 연결합니다. 전송 속도 제어 유틸리티가 있습니다. 답 B는 틀렸습니다. NBTscan은 NetBIOS 이름 정보에 대해 IP 네트워크를 스캔하는 스캐너입니다. NetBIOS 상태 쿼리를 제공된 범위의 각 주소로 보내고 수신된 정보를 사람이 읽을 수 있는 형식으로 나열합니다. 각 응답 호스트의 IP 주소, NetBIOS 컴퓨터 이름, 로그인한 사용자 이름 및 MAC 주소를 표시합니다. NBTscan은 nbtstat와 같은 방식으로 작동하지만 하나가 아닌 여러 주소에서 작동합니다. 내장 편집기를 사용하여 포트 목록과 포트 설명을 수정합니다. 사용자 지정 "도우미" 응용 프로그램을 사용하여 발견된 열린 포트에 연결합니다. 전송 속도 제어 유틸리티가 있습니다. 답 B는 틀렸습니다. NBTscan은 NetBIOS 이름 정보에 대해 IP 네트워크를 스캔하는 스캐너입니다. NetBIOS 상태 쿼리를 제공된 범위의 각 주소로 보내고 수신된 정보를 사람이 읽을 수 있는 형식으로 나열합니다. 각 응답 호스트의 IP 주소, NetBIOS 컴퓨터 이름, 로그인한 사용자 이름 및 MAC 주소를 표시합니다. NBTscan은 nbtstat와 같은 방식으로 작동하지만 하나가 아닌 여러 주소에서 작동합니다. 답 B는 틀렸습니다. NBTscan은 NetBIOS 이름 정보에 대해 IP 네트워크를 스캔하는 스캐너입니다. NetBIOS 상태 쿼리를 제공된 범위의 각 주소로 보내고 수신된 정보를 사람이 읽을 수 있는 형식으로 나열합니다. 각 응답 호스트의 IP 주소, NetBIOS 컴퓨터 이름, 로그인한 사용자 이름 및 MAC 주소를 표시합니다. NBTscan은 nbtstat와 같은 방식으로 작동하지만 하나가 아닌 여러 주소에서 작동합니다. 답 B는 틀렸습니다. NBTscan은 NetBIOS 이름 정보에 대해 IP 네트워크를 스캔하는 스캐너입니다. NetBIOS 상태 쿼리를 제공된 범위의 각 주소로 보내고 수신된 정보를 사람이 읽을 수 있는 형식으로 나열합니다. 각 응답 호스트의 IP 주소, NetBIOS 컴퓨터 이름, 로그인한 사용자 이름 및 MAC 주소를 표시합니다. NBTscan은 nbtstat와 같은 방식으로 작동하지만 하나가 아닌 여러 주소에서 작동합니다.

CSSLP 문제 50

ISSO(Information System Security Officer)와 ISSE(Information System Security Engineer)는 각각 지원 및 고문 역할을 합니다. 다음 중 ISSO와 ISSE에 대한 설명으로 옳지 않은 것은? 각 정답은 완전한 솔루션을 나타냅니다. 해당되는 것을 모두 선택하십시오.

A. ISSE는 인증 및 인증(C&A) 예정인 정보 시스템의 보안을 관리합니다.

B. ISSE는 정보 시스템의 지속적인 모니터링에 대한 조언을 제공합니다.

C. ISSO는 인증 및 인증(C&A) 예정인 정보 시스템의 보안을 관리합니다.

D. ISSE는 시스템 변경의 영향에 대한 조언을 제공합니다.

E. ISSO는 시스템 변경을 구현하는 데 필요한 개발 활동에 참여합니다.