SSCP 문제 51
카테고리가 없으면 비교할 수 없습니다. 비교할 수 없는 것은 두 개의 분리된 민감도 레이블이 있는 경우입니다. 즉, 레이블 중 하나의 범주가 다른 레이블에 없는 것입니다. "어느 레이블도 다른 레이블의 모든 범주를 포함하지 않기 때문에 레이블을 비교할 수 없습니다. 비교할 수 없다고 합니다." 비교 가능성:
라벨:
일급비밀 [비너스 알파]
레이블 중 하나보다 "높음":
SECRET [비너스 알파] 일급비밀 [비너스]
그러나 레이블이 다음과 같이 말할 수는 없습니다.
일급 비밀 [비너스]
레이블보다 높음:
비밀 [알파]
어느 레이블에도 다른 레이블의 모든 범주가 포함되어 있지 않으므로 레이블을 비교할 수 없습니다. 비교불가라고 합니다. 의무적인 접근 통제 시스템에서 당신은 당신의 허가와 비교할 수 없는 레이블을 가진 파일에 접근할 수 없습니다.
다단계 보안 정책은 지배 관계로 알려진 레이블 간의 순서 지정 관계를 사용합니다. 직관적으로 우리는 다른 하나를 지배하는 레이블을 다른 레이블보다 "높은" 것으로 생각합니다.
유사하게, 우리는 다른 것에 의해 지배되는 레이블을 다른 것보다 "낮은" 것으로 생각합니다. 지배 관계는 허용된 작업 및 정보 흐름을 결정하는 데 사용됩니다.
권세
우세 관계는 레이블의 감도/간격 구성 요소의 순서와 구획 세트의 교차점에 의해 결정됩니다.
샘플 감도/클리어런스 주문은 다음과 같습니다.
일급 비밀 > 비밀 > 기밀 > 미분류
s3 > s2 > s1 > s0
공식적으로 레이블 1이 레이블 2를 지배하려면 다음 두 가지가 모두 충족되어야 합니다.
라벨 1의 감도/클리어런스는 라벨 2의 감도/클리어런스보다 크거나 같아야 합니다.
레이블 1의 구획과 레이블 2의 교차점은 레이블 2의 구획과 같아야 합니다.
추가로:
감도/간극 및 구획 세트가 정확히 동일한 경우 두 레이블이 동일하다고 합니다.
지배에는 평등이 포함됩니다.
한 레이블이 다른 레이블을 지배하지만 다른 레이블과 동일하지 않은 경우 다른 레이블을 엄격하게 지배한다고 합니다.
각 레이블에 다른 하나의 구획 세트에 포함되지 않은 구획이 하나 이상 있는 경우 두 레이블을 비교할 수 없다고 합니다.
지배 관계는 가능한 모든 MLS 레이블에 대해 부분적인 순서를 생성하여 MLS 보안 격자로 알려진 결과를 생성합니다.
다음 답변은 올바르지 않습니다.
두 레이블의 분류 수가 다릅니다. 범주는 분류가 아니라 비교 대상이기 때문에 올바르지 않습니다.
어느 레이블에도 다른 레이블의 모든 분류가 포함되어 있지 않습니다. 범주는 분류가 아니라 비교 대상이기 때문에 올바르지 않습니다.
두 레이블의 범주 수가 다릅니다. 범주가 한 민감도 레이블에 두 번 이상 존재하고 다른 민감도 레이블에 존재하여 비교할 수 있기 때문에 올바르지 않습니다.
이 질문에 사용된 참조:
OReilly - 컴퓨터 시스템 및 액세스 제어(3장)
http://www.oreilly.com/catalog/csb/chapter/ch03.html
그리고
http://rubix.com/cms/mls_dom
SSCP 문제 52
스푸핑 공격은 인증된 사용자나 시스템으로 가장하여 컴퓨터 시스템에 액세스하려는 시도입니다. 스팸은 정크 광고 및 원치 않는 메일을 발송하거나 게시하는 것을 말합니다. 스머프 공격은 PING과 스푸핑된 주소를 사용하는 일종의 서비스 거부 공격입니다. 스니핑은 네트워크를 통과하는 패킷을 관찰하는 것을 말합니다.
출처: KRUTZ, Ronald L. & VINES, Russel D., CISSP Prep Guide: Mastering the Ten Domains of Computer Security, John Wiley & Sons, 2001, 3장: 통신 및 네트워크 보안(페이지
77).
SSCP 문제 53
해고된 직원의 아이디와 비밀번호가 삭제되지 않았다면 해고된 직원의 정보에 대한 논리적 접근이 가능하지만 이는 해고 절차의 일부일 뿐입니다. 사용자 ID가 비활성화되거나 삭제되지 않으면 물리적 액세스 권한이 없는 직원이 회사 네트워크를 원격으로 방문하여 정보에 액세스할 수 있습니다.
이것은 다른 방식으로도 볼 수 있음을 유의하십시오. 가장 중요한 것은 사용자 ID와 비밀번호가 삭제되더라도 해지된 개인이 단순히 사회 공학적으로 돌아갈 수 있기 때문에 다른 사람에게 해당 사용자의 해지를 알리는 것일 수 있습니다. 함께 일했던 사람에게 전화를 걸어 액세스 권한을 요청합니다. 그는 시설에 침입하거나 다른 약점을 사용하여 해지된 후 정보에 액세스할 수 있습니다.
해당 회사 직원에게 해지에 대해 통지하면 차례로 계정 해지를 시작하고 직원에게 회사 자산을 반환하도록 요청하고 해당 개인에 대한 모든 자격 증명이 철회됩니다. 이 답변은 단순히 계정을 비활성화하는 것보다 더 완벽합니다.
이 일이 실제로 일어나면 가혹하고 냉정해 보이지만, 이런저런 이유로 직위가 박탈되자 회사를 질책하는 복수심에 불타는 직원들로 인해 너무 많은 회사들이 피해를 입었습니다. 직원이 어떤 식으로든 불만이 있거나 해고가 비우호적이면 해당 직원의 계정을 즉시 비활성화하고 모든 시스템의 모든 암호를 변경해야 합니다.
시험을 위해 아래 정보를 알아야 합니다.
직원 해고 프로세스
직원들은 매일 조직에 가입하고 탈퇴합니다. 그 이유는 퇴직, 감원, 정리해고, 이유 유무에 관계없이 해고, 다른 도시로의 이전, 다른 고용주와의 경력 기회 또는 비자발적 전근으로 인해 매우 다양합니다. 해고는 우호적이거나 비우호적일 수 있으며 결과적으로 다양한 수준의 관리가 필요합니다.
우호적인 종료
정규 해고는 해고가 회사와 직원 모두에게 동의하지 않는다고 믿을 만한 증거나 이유가 거의 또는 전혀 없는 경우입니다. 일반적으로 인사 부서에서 유지 관리하는 일련의 표준 절차는 회사 자산이 반환되고 모든 액세스 권한이 제거되도록 해고된 직원의 해고를 관리합니다. 이러한 절차에는 퇴장 인터뷰 및 열쇠, 신분증, 배지, 토큰 및 암호화 키 반환이 포함될 수 있습니다. 노트북, 케이블 잠금 장치, 신용 카드 및 전화 카드와 같은 기타 재산도 수집됩니다. 사용자 관리자는 보안 부서에 종료를 통보하여 모든 플랫폼 및 시설에 대한 액세스 권한이 취소되었음을 확인합니다.
일부 시설은 계정을 즉시 삭제하도록 선택하고 다른 시설은 최종 종료 날짜의 변경 또는 연장을 설명하기 위해 정책 정의 기간(예: 30일) 동안 계정을 비활성화하도록 선택합니다. 해고 절차에는 정보 기밀 유지에 대한 지속적인 책임에 대해 퇴사하는 직원과의 대화가 포함되어야 합니다.
비우호적인 종료
비우호적인 해고는 개인이 해고, 비자발적 전근, 해고되거나 조직이 해당 개인이 시스템에 잠재적으로 해를 끼칠 수단과 의도가 있다고 믿을 만한 이유가 있는 경우 발생할 수 있습니다. 시스템 관리자, 컴퓨터 프로그래머, 데이터베이스 관리자 또는 높은 권한을 가진 개인과 같이 기술적인 기술과 더 높은 수준의 액세스 권한을 가진 개인은 환경에 더 높은 위험을 초래할 수 있습니다. 이러한 개인은 파일을 변경하거나 논리 폭탄을 설치하여 향후 시스템 파일 손상을 생성하거나 민감한 정보를 제거할 수 있습니다. 불만을 품은 다른 사용자는 몇 달 동안 발견되지 않을 수 있는 잘못된 데이터를 시스템에 입력할 수 있습니다. 이러한 상황에서, 시스템 액세스의 즉각적인 종료는 종료 시 또는 종료를 직원에게 알리기 전에 보장됩니다. 고용 전부터 고용 후까지 보안의 인적 측면을 관리하는 것은 회사 정보를 보호할 비즈니스 목표를 달성하기 위해 신뢰할 수 있고 유능한 리소스를 사용하는 데 매우 중요합니다. 이러한 각 조치는 예방, 탐지 또는 수정 인력 통제에 기여합니다.
다음 답변은 올바르지 않습니다.
다른 옵션은 덜 중요합니다.
이 질문을 작성하는 데 다음 참조가 사용되었습니다.
CISA 리뷰 매뉴얼 2014 페이지 번호 99
손해리스(2012-10-18). CISSP 올인원 시험 가이드, 6판 (p. 129). 맥그로힐. 킨들 에디션.
SSCP 문제 54
설명/참조:
RBAC는 때때로 NDAC(non-discretionary access control)라고도 합니다(Ferraiolo가 "MAC의 정책 기반 세부 사항과 구별하기 위해" 말한 대로). NDAC 범주에 맞는 또 다른 모델은 규칙 기반 액세스 제어(RuBAC 또는 RBAC)입니다. 대부분의 CISSP 책은 두 모델에 대해 동일한 약어를 사용하지만 NIST는 두 모델을 구별하기 위해 R과 B 사이에 소문자 "u"를 사용하는 경향이 있습니다.
확실히 RBAC를 사용하여 MAC을 모방할 수 있지만 진정한 MAC은 개체의 민감도와 개체가 속한 범주가 포함된 레이블을 사용합니다. 레이블이 없다는 것은 MAC이 사용되지 않는다는 의미입니다.
조직이 내려야 하는 가장 기본적인 데이터 액세스 제어 결정 중 하나는 시스템 및 데이터 소유자가 해당 데이터의 사용자가 가질 액세스 수준을 지정할 수 있는 제어 수준입니다. 모든 조직에는 조직 및 시스템 정책에 의해 시행되는 액세스 제어와 정보 소유자가 특정 비즈니스 요구 사항에 따라 액세스 권한을 가질 수 있는 사람을 결정할 수 있는 능력 사이에 균형점이 있습니다. 이 균형을 실행 가능한 액세스 제어 모델로 변환하는 프로세스는 세 가지 일반 액세스 프레임워크로 정의할 수 있습니다.
임의 접근 제어
필수 액세스 제어
비임의적 접근 통제
RBAC(역할 기반 액세스 제어) 모델은 조직 내에서 사용자에게 할당된 역할(또는 기능)을 기반으로 액세스 제어 권한을 부여합니다. 리소스에 대한 액세스 권한이 있는 역할에 대한 결정은 DAC에서와 같이 데이터 소유자가 제어하거나 MAC에서와 같이 정책을 기반으로 적용할 수 있습니다.
액세스 제어 결정은 이전에 정책에 의해 정의되고 관리되는 직무 기능을 기반으로 하며 각 역할(직무 기능)에는 고유한 액세스 기능이 있습니다. 역할과 연결된 개체는 해당 역할에 할당된 권한을 상속합니다. 이는 사용자 그룹의 경우에도 마찬가지이므로 관리자는 사용자를 그룹에 할당하고 그룹을 역할에 할당하여 액세스 제어 전략을 단순화할 수 있습니다.
RBAC에는 여러 가지 접근 방식이 있습니다. 많은 시스템 제어와 마찬가지로 컴퓨터 시스템 내에서 적용할 수 있는 방법이 다양합니다.
네 가지 기본 RBAC 아키텍처가 있습니다.
1. 비 RBAC: 비 RBAC는 ACL과 같은 기존 매핑을 통해 단순히 사용자가 데이터 또는 애플리케이션에 대한 액세스 권한을 부여한 것입니다. 특정 사용자가 식별한 것 외에는 매핑과 관련된 공식적인 "역할"이 없습니다.
2. 제한된 RBAC: 제한된 RBAC는 사용자가 조직 전체의 역할 구조를 통하지 않고 단일 애플리케이션 내의 역할에 매핑될 때 달성됩니다. 제한된 RBAC 시스템의 사용자는 RBAC 기반이 아닌 응용 프로그램이나 데이터에도 액세스할 수 있습니다. 예를 들어, 사용자는 여러 응용 프로그램 내에서 여러 역할에 할당될 수 있으며 또한 할당된 역할과 관계없이 다른 응용 프로그램이나 시스템에 직접 액세스할 수 있습니다. 제한된 RBAC의 핵심 속성은 해당 사용자의 역할이 애플리케이션 내에서 정의되며 반드시 사용자의 조직적 직무 기능을 기반으로 하지 않는다는 것입니다.
3. 하이브리드 RBAC: 하이브리드 RBAC는 조직 내 사용자의 특정 역할을 기반으로 여러 애플리케이션 또는 시스템에 적용되는 역할의 사용을 도입합니다. 그런 다음 해당 역할은 조직의 역할 기반 모델을 구독하는 응용 프로그램이나 시스템에 적용됩니다. 그러나 "하이브리드"라는 용어에서 알 수 있듯이 주제가 특정 응용 프로그램 내에서만 정의된 역할에 할당되어 다른 시스템에서 사용하는 더 크고 포괄적인 조직 역할을 보완(또는 아마도 모순)할 수도 있습니다.
4. 전체 RBAC: 전체 RBAC 시스템은 조직의 정책 및 액세스 제어 인프라에 의해 정의된 역할에 의해 제어된 다음 기업 전체의 애플리케이션 및 시스템에 적용됩니다. 응용 프로그램, 시스템 및 관련 데이터는 특정 응용 프로그램이나 시스템에서 정의한 것이 아니라 해당 엔터프라이즈 정의를 기반으로 권한을 적용합니다.
MAC과 DAC를 서로 반대 방향으로 만들려고 하지 않도록 주의하십시오. RBAC는 MAC 및 DAC의 일부 제한 사항을 해결하기 위해 나중에 정의된 세 번째 전략인 두 가지 액세스 제어 전략입니다.
다음과 같은 이유로 다른 답변은 올바르지 않습니다.
필수 접근 제어는 정의상 임의적이지 않지만 "비 임의적 접근 제어"라고 하지 않기 때문에 올바르지 않습니다. MAC은 레이블을 사용하여 개체의 민감도를 표시하고 범주를 사용하여 알아야 할 필요성을 구현합니다.
레이블 기반 액세스 제어는 액세스 제어 유형의 이름이 아니라 단순히 가짜 비방자이기 때문에 올바르지 않습니다.
격자 기반 액세스 제어도 적절하지 않습니다. 격자는 일련의 수준이며 주제에는 일련의 수준 내에서 상한 및 하한이 부여됩니다. 이러한 수준은 민감도 수준이거나 기밀 수준이거나 무결성 수준일 수 있습니다.
이 질문에 사용된 참조:
올인원, 제3판, 165페이지.
Ferraiolo, D., Kuhn, D. & Chandramouli, R. (2003). 역할 기반 액세스 제어, p. 18.
Ferraiolo, D., Kuhn, D. (1992). 역할 기반 액세스 제어. http://csrc.nist.gov/rbac/ Role_Based_Access_Control-1992.html Schneiter, Andrew(2013-04-15). 공식(ISC)2 CISSP CBK 가이드, 제3판: 액세스 제어((ISC)
2) (Kindle Locations 1557-1584)를 누릅니다. Auerbach 간행물. 킨들 에디션.
슈나이터, 앤드류 (2013-04-15). 공식(ISC)2 CISSP CBK 가이드, 제3판: 액세스 제어((ISC)
2) (Kindle Locations 1474-1477)를 누릅니다. Auerbach 간행물. 킨들 에디션.
SSCP 문제 55
네트워크 계층(계층 3)은 동일한 네트워크 또는 상호 연결된 네트워크의 최종 시스템 간에 패킷이 라우팅되고 전달되는 방식을 정의합니다. 메시지 라우팅, 오류 감지 및 노드 트래픽 제어가 이 수준에서 관리됩니다.
이 질문에 사용된 참조:
KRUTZ, Ronald L. & VINES, Russel D., CISSP Prep Guide: Mastering the Ten Domains of Computer Security, John Wiley & Sons, 2001, 3장: 통신 및 네트워크 보안(82페이지).
- 최근 업로드
- 105WGU.Global-Economics-for-Managers.v2026-06-15.q48
- 107Databricks.Databricks-Certified-Data-Engineer-Professional.v2026-06-15.q112
- 107Oracle.1Z0-136.v2026-06-15.q46
- 106SAP.C-P2W10-2504.v2026-06-15.q29
- 111SAP.C_SAC_2601.v2026-06-15.q39
- 108Nutanix.NCP-NS.v2026-06-15.q39
- 143SAP.C_S4CPB_2602.v2026-06-13.q7
- 159SAP.C-S4CS-2602.v2026-06-13.q29
- 189Salesforce.Slack-Con-201.v2026-06-13.q86
- 190Oracle.1Z1-136.v2026-06-13.q46
PDF 파일 다운로드
메일 주소를 입력하시고 다운로드 하세요. ISC.SSCP.v2022-02-24.q999 모의시험 시험자료를 다운 받으세요.