무료 온라인 액세스 ISC.CSSLP.v2022-12-21.q219 모의 시험 (Page 20)

CSSLP 문제 91

다음 중 컴퓨터 시스템에 내장된 컴퓨터 보안 제어의 효율성을 평가하기 위한 기본 요구 사항을 설정하는 표준은 무엇입니까?

A. FITSAF

B. FIPS

C. TCSEC

D. SSAA

정답: C

TCSEC(신뢰할 수 있는 컴퓨터 시스템 평가 기준)는 컴퓨터 시스템에 내장된 컴퓨터 보안 제어의 효율성을 평가하기 위한 기본 요구 사항을 설정하는 미국 국방부(DoD) 표준입니다. TCSEC는 민감하거나 분류된 정보의 처리, 저장 및 검색을 위해 고려 중인 컴퓨터 시스템을 평가, 분류 및 선택하는 데 사용되었습니다. 이는 원래 2005년에 발행된 Common Criteria 국제 표준의 개발로 대체되었습니다. 종종 Orange Book이라고 하는 TCSEC는 DoD Rainbow Series 발행물의 핵심입니다. 답 D는 틀렸습니다. SSAA(System Security Authorization Agreement)는 미국 국방부(DoD)에서 네트워크 및 시스템을 설명하고 인증하는 데 사용하는 정보 보안 문서입니다. SSAA는 국방부 정보 기술 보안 인증 및 인증 프로세스 또는 DITSCAP(DIACAP로 대체)의 일부입니다. DoD 지침(DITSCAP을 설명하고 SSAA 문서에 대한 개요를 제공하는 1997년 12월 발행본은 DODI 5200.40입니다. 2000년 7월에 발행된 DITSCAP 응용 매뉴얼(DoD 8510.1-M)에 추가 세부 정보가 나와 있습니다. 답변 A는 정확하지 않습니다. FITSAF Federal Information Technology Security Assessment Framework의 약어 정보 시스템의 보안을 평가하는 방법론입니다. 연방 기관에 접근 방식을 제공합니다. 연방 기관이 기존 정책을 충족하고 목표를 설정하는 방법을 결정합니다. FITSAF의 주요 이점은 다음과 같습니다. 관리예산국(OMB)의 요구사항을 다룹니다. 또한 NIsT(National Institute of Standards and Technology)에서 제공하는 지침을 다룹니다. 답 B는 틀렸습니다. FIPS(연방 정보 처리 표준)는 모든 비군사 정부 기관 및 정부 계약업체에서 사용하기 위해 미국 연방 정부에서 개발한 공개적으로 발표된 표준입니다. 많은 FIPS 표준은 보다 광범위한 커뮤니티(ANSI, IEEE, ISO 등)에서 사용되는 표준의 수정된 버전입니다. 일부 FIPS 표준은 원래 미국 정부에서 개발했습니다. 예를 들어, 데이터 인코딩 표준(예: 국가 코드)이지만 데이터 암호화 표준(FIPS 46-3) 및 고급 암호화 표준(FIPS 197)과 같은 일부 암호화 표준이 더 중요합니다. 1994년, NOAA(Noaa)는 지역 방송국의 표준 기상 방송과 함께 FIPS(연방 정보 처리 시스템) 코드라고 하는 코딩된 신호를 방송하기 시작했습니다. 이 코드는 비상 사태의 유형과 비상 사태의 영향을 받는 특정 지리적 영역(예: 카운티)을 식별합니다.

CSSLP 문제 92

당신은 GHY 프로젝트의 프로젝트 관리자이며 부정적인 위험에 대한 위험 대응책을 만들기 위해 노력하고 있습니다. 귀하와 프로젝트 팀은 귀하가 만들고 있는 소프트웨어에 대한 사용자 안내서 작성으로 인해 경영진이 요구하는 대로 프로젝트가 제시간에 완료되지 않을 수 있는 위험을 식별했습니다. 요구 사항을 충족하고 위험 이벤트를 완화하기 위해 외부 작성자를 고용하기로 선택했습니다. 이 경우 어떤 유형의 위험 대응책을 사용하기로 선택했습니까?

A. 전이

B. 악용

C. 회피

D. 공유

CSSLP 문제 93

John은 전문 윤리적 해커로 일하고 있습니다. 그는 www.we-are-secure.com의 보안을 테스트하는 프로젝트를 할당받았습니다. 그는 We-are-secure 서버가 공격에 취약하다는 것을 발견했습니다. 이에 대한 대책으로 그는 네트워크 관리자가 서버에서 IPP 인쇄 기능을 제거해야 한다고 제안합니다. 그는 이것을 __________에 대한 대책으로 제안하고 있습니다.

A. SNMP 열거

B. IIS 버퍼 오버플로

C. NetBIOS NULL 세션

D. DNS 영역 전송

정답: B

서버에서 IPP 인쇄 기능을 제거하는 것은 IIS 버퍼 오버플로 공격에 대한 좋은 대책입니다. 네트워크 관리자는 IIS 버퍼 오버플로 공격으로부터 웹 서버를 방지하기 위해 다음 단계를 수행해야 합니다. 서버 취약점을 자주 검사합니다. Microsoft 서비스 팩의 업그레이드를 설치합니다. 효과적인 방화벽을 구현합니다. URLScan 및 IISLockdown 유틸리티를 적용합니다. IPP 인쇄 기능을 제거하십시오. 답 D는 틀렸습니다. DNS 영역 전송 대책은 다음과 같습니다. DNS 속성 시트를 사용하여 DNS 영역 전송을 허용하지 마십시오. a. DNS를 엽니다. b. DNS 영역을 마우스 오른쪽 버튼으로 클릭하고 속성을 클릭합니다. c. 영역 전송 탭에서 영역 전송 허용 확인란의 선택을 취소합니다. 보조 DNS 서버에서만 영역 전송을 허용하도록 마스터 DNS 서버를 구성합니다. a.Open DNS. b. DNS 영역을 마우스 오른쪽 버튼으로 클릭하고 속성을 클릭합니다. 씨. 영역 전송 탭에서 영역 전송 허용 확인란을 선택하고 다음 중 하나를 수행합니다. 이름 서버 탭에 나열된 DNS 서버로만 영역 전송을 허용하려면 이름 서버에 나열된 서버로만을 클릭합니다. 탭. 특정 DNS 서버에만 영역 전송을 허용하려면 다음 서버에만을 클릭하고 하나 이상의 서버의 IP 주소를 추가합니다. TCP 포트 53에 대한 모든 무단 인바운드 연결을 거부합니다. DNS 키와 암호화된 DNS 페이로드를 구현합니다. 답변 A는 틀렸습니다. SNMP 열거에 대한 대책은 다음과 같습니다. 1. SNMP 에이전트 제거 또는 SNMP 서비스 비활성화 2. 'SNMP 종료'가 옵션이 아닌 경우 기본 PUBLIC 커뮤니티 이름 변경 3.추가 제한이라는 그룹 정책 보안 옵션 구현 익명 연결 4. NULL 세션 파이프 및 NULL 세션 공유에 대한 액세스 제한 5. 최신 버전으로 SNMP 버전 1 업그레이드 6. 승인된 스테이션 또는 서브넷에서만 읽기-쓰기 커뮤니티에 대한 액세스를 허용하도록 액세스 제어 목록 필터링 구현 답변 C는 올바르지 않습니다. NetBIOS NULL 세션 취약점은 특히 인프라의 일부로 NetBIOS가 필요한 경우 예방하기 어렵습니다. NetBIOS NULL 세션 취약성을 제한하기 위해 다음 단계 중 하나 이상을 수행할 수 있습니다. 1.Null 세션은 네트워크 관리자가 비활성화할 수 있는 TCP 139 또는 TCP 445 포트에 대한 액세스가 필요합니다. 2. 네트워크 관리자는 인터페이스에서 WINS 클라이언트 TCP/IP의 바인딩을 해제하여 개별 호스트에서 SMB 서비스를 완전히 비활성화할 수도 있습니다. 3. 네트워크 관리자는 레지스트리 값을 편집하여 익명 사용자를 제한할 수도 있습니다. a. regedit32 열기, HKLM\SYSTEM\CurrentControlSet\LSA로 이동합니다. b. 편집 > 값 추가를 선택합니다. 값 이름: RestrictAnonymous 데이터 형식: REG_WORD 값: 2

CSSLP 문제 94

귀하는 조직의 QSL 프로젝트 프로젝트 관리자입니다. 프로젝트 팀 및 여러 주요 이해 관계자와 협력하여 시스템의 다양한 요소가 상호 관련되는 방식과 시스템 내 인과 관계 메커니즘을 보여주는 다이어그램을 만들고 있습니다. 위험 식별 프로세스의 일부로 어떤 다이어그램 기술을 사용하고 있습니까?

A. 원인과 결과 다이어그램

B. 영향도

C. 선행 및 후속 다이어그램 작성

D. 시스템 또는 프로세스 흐름도

CSSLP 문제 95

다음 미국 법률 중 "비용 효율적인 보안을 위한 위험 기반 정책"을 강조하고 기관 프로그램 담당자, 최고 정보 책임자 및 감사관(IG)이 기관의 정보 보안 프로그램에 대한 연례 검토를 수행하고 보고하도록 의무화한 것은 무엇입니까? 관리예산실에 결과가?

A. 2002년 연방 정보 보안 관리법(FISMA)

B. 1986년 전자 통신 개인 정보 보호법(ECPA)

C. 평등 신용 기회법(ECOA)

D. 공정신용보고법(FCRA)

정답: A

2002년 연방 정보 보안 관리법("FISMA", 44 USC 3541, et seq.)은 2002년 전자 정부법(Pub.L. 107-347, 116 통계 2899). 이 법은 미국의 경제 및 국가 안보 이익에 대한 정보 보안의 중요성을 인식했습니다. 이 법은 각 연방 기관이 다른 기관, 계약자, 또는 다른 소스. FISMA는 연방 정부 내에서 사이버 보안에 대한 관심을 불러일으키고 "비용 효율적인 보안을 위한 위험 기반 정책"을 명시적으로 강조했습니다. FISMA는 기관 프로그램 담당자, 최고 정보 책임자 및 감찰관(IG)이 기관의 정보 보안 프로그램에 대한 연례 검토를 수행하고 그 결과를 OMB(예산 관리국)에 보고하도록 요구합니다. OMB는 이 데이터를 사용하여 감독 책임을 지원하고 이 법안을 준수하는 기관에 대해 의회에 제출할 이 연례 보고서를 준비합니다. 답 C는 틀렸습니다. Equal Credit Opportunity Act(ECOA)는 1974년에 제정된 미국 법률(15 USC 1691 et seq.로 성문화됨)으로, 신용 거래의 모든 측면과 관련하여 채권자가 신청자를 차별하는 것을 불법으로 만듭니다. , 인종, 피부색, 종교, 출신 국가, 성별, 결혼 여부 또는 연령을 기준으로 합니다. 신청자의 소득의 전부 또는 일부가 공공 지원 프로그램에서 나온다는 사실; 또는 신청인이 소비자신용보호법에 따른 권리를 선의로 행사했다는 사실. 이 법은 은행, 소매업체, 은행 카드 회사, 금융 회사 및 신용 조합을 포함하여 일반적인 사업 과정에서 정기적으로 신용 결정에 참여하는 모든 사람에게 적용됩니다. 답 B는 틀렸습니다. 1986년 전자 통신 개인 정보 보호법(ECPA Pub.L. 99-508, Oct. 21, 1986, 100 Stat. 1848, 18 USC 2510)은 전화 통화에서 전화 도청에 대한 정부 제한을 확장하기 위해 미국 의회에서 제정했습니다. 컴퓨터에 의한 전자 데이터 전송을 포함합니다. 특히, ECPA는 1968년 옴니버스 범죄 통제 및 안전한 거리법(도청법)의 Title III에 대한 수정안이었습니다. 이는 주로 민간 전자 통신에 대한 무단 정부 액세스를 방지하도록 설계되었습니다. ECPA는 또한 저장된 전자 통신에 대한 액세스를 금지하는 새로운 조항을 추가했습니다(예: Stored Communications Act,18 USC 2701-2712). 답 D는 틀렸습니다. FCRA(공정 신용 보고법)는 소비자 신용 정보를 포함한 소비자 정보의 수집, 보급 및 사용을 규제하는 미국 연방법(15 USC 1681 et seq.로 성문화됨)입니다. FDCPA(Fair Debt Collection Practices Act)와 함께 미국 소비자 신용권의 기반을 형성합니다. 이 법안은 원래 1970년에 통과되었으며 미국 연방 무역 위원회에서 시행하고 있습니다. 2701-2712. 답 D는 틀렸습니다. FCRA(공정 신용 보고법)는 소비자 신용 정보를 포함한 소비자 정보의 수집, 보급 및 사용을 규제하는 미국 연방법(15 USC 1681 et seq.로 성문화됨)입니다. FDCPA(Fair Debt Collection Practices Act)와 함께 미국 소비자 신용권의 기반을 형성합니다. 이 법안은 원래 1970년에 통과되었으며 미국 연방 무역 위원회에서 시행하고 있습니다. 2701-2712. 답 D는 틀렸습니다. FCRA(공정 신용 보고법)는 소비자 신용 정보를 포함한 소비자 정보의 수집, 보급 및 사용을 규제하는 미국 연방법(15 USC 1681 et seq.로 성문화됨)입니다. FDCPA(Fair Debt Collection Practices Act)와 함께 미국 소비자 신용권의 기반을 형성합니다. 이 법안은 원래 1970년에 통과되었으며 미국 연방 무역 위원회에서 시행하고 있습니다.