설명/참조: 대부분의 경우 사용자는 추측할 수 있는 암호를 선택하므로 암호는 위에 나열된 선택 중에서 가장 좋은 대답입니다. 다음 답변은 다음과 같은 이유로 올바르지 않습니다. 암호가 길기 때문에 암호보다 안전하므로 암호가 올바르지 않습니다. 1회용 비밀번호는 이름에서 알 수 있듯이 올바르지 않습니다. 한 번만 사용할 수 있으며 재사용할 수 없습니다. 토큰 장치는 암호 생성기이기도 하고 일회성 암호 메커니즘이기 때문에 올바르지 않습니다. 참조: Shon Harris AIO v3, Chapter-4: 액세스 제어, 페이지: 139, 142.
SSCP 문제 272
IT 보안 조치는 다음을 수행해야 합니다.
정답: B
섹션: 보안 운영 관리 설명/참조: 일반적으로 IT 보안 조치는 조직의 고유한 요구 사항에 따라 조정됩니다. 최우선 임무 요구 사항 및 지침과 같은 수많은 요소를 고려해야 하지만 근본적인 문제는 IT 보안 관련 부정적인 영향으로부터 임무 또는 비즈니스를 보호하는 것입니다. IT 보안 요구 사항이 균일하지 않기 때문에 시스템 설계자와 보안 실무자는 다른 외부 네트워크 및 내부 하위 도메인에 연결할 때 신뢰 수준을 고려해야 합니다. 각 시스템의 고유성을 인식하면 계층화된 보안 전략을 사용할 수 있습니다. 즉, 덜 중요한 시스템을 보호하기 위해 더 낮은 비용으로 더 낮은 보증 솔루션을 구현하고 가장 중요한 영역에서만 더 높은 보증 솔루션을 구현하는 것입니다. 메커니즘이 복잡할수록 악용 가능한 결함이 있을 가능성이 높아집니다. 단순한 메커니즘은 악용 가능한 결함이 적고 유지 관리가 덜 필요한 경향이 있습니다. 또한 구성 관리 문제가 단순화되기 때문에 간단한 메커니즘을 업데이트하거나 교체하는 과정이 덜 집중됩니다. 보안 설계는 특정 위협을 처리 또는 보호하거나 취약성을 줄이기 위해 계층화된 접근 방식을 고려해야 합니다. 예를 들어, 애플리케이션 게이트웨이 및 침입 탐지 시스템과 함께 패킷 필터링 라우터를 사용하면 공격자가 시스템을 성공적으로 공격하기 위해 소비해야 하는 작업 요소가 증가합니다. 우수한 암호 제어와 적절한 사용자 교육을 추가하면 시스템의 보안 상태가 훨씬 더 향상됩니다. COTS(commercial-off-the-shelf) 제품을 사용할 때 레이어 보호의 필요성은 특히 중요합니다. 실제 경험에 따르면 COTS 제품의 보안 품질에 대한 최신 기술은 정교한 공격에 대해 높은 수준의 보호를 제공하지 않습니다. 여러 컨트롤을 직렬로 배치하여 이러한 상황을 완화하는 데 도움이 될 수 있으며 목표를 달성하기 위해 공격자가 추가 작업을 수행해야 합니다. 출처: STONEBURNER, Gary & al, NIST(National Institute of Standards and Technology), NIST 특별 간행물 800-27, 정보 기술 보안을 위한 엔지니어링 원칙(보안 달성을 위한 기준선), 2001년 6월(9-10페이지).
SSCP 문제 273
다음 키 중 수명이 가장 짧은 것은 무엇입니까?
정답: C
세션 키는 서로 간에 메시지를 암호화하는 데 사용되는 대칭 키이므로 두 명의 사용자. 세션 키는 사용자 간의 하나의 통신 세션에만 적합합니다. 예를 들어, Tanya가 다음 사이의 메시지를 암호화하는 데 사용하는 대칭 키가 있는 경우 Lance와 그녀 자신이 항상 그렇다면 이 대칭 키는 재생성되지 않거나 변경되었습니다. 그들은 암호화를 사용하여 통신할 때마다 동일한 키를 사용합니다. 그러나 동일한 키를 반복적으로 사용하면 키가 캡처될 확률이 높아집니다. 보안 통신이 손상됩니다. 반면에 새로운 Lance와 Tanya가 통신을 원할 때마다 대칭 키가 생성되었습니다. 대화 중에만 사용된 다음 소멸됩니다. 그들이 의사 소통을 원했다면 한 시간 후 새 세션 키가 생성되고 공유됩니다. 다음과 같은 이유로 다른 답변은 올바르지 않습니다. 공개 키는 누구에게나 알려질 수 있습니다. 개인 키는 소유자만 알고 사용해야 합니다. 비밀 키는 대칭 키로 불리기도 합니다. 각 사용자는 키를 비밀로 유지하고 적절하게 보호해야 합니다. 참조: SHON HARRIS, 올인원 3판: 8장: 암호화, 페이지: 619-
SSCP 문제 274
비상 계획은 다음을 다루어야 합니다.
정답: D
섹션: 위험, 대응 및 복구 설명/참조: 모든 위험을 제거하는 것이 거의 불가능하거나 비용 효율적이기 때문에 위험 평가 프로세스를 통해 위험을 허용 가능한 수준으로 줄이려는 시도가 이루어집니다. 이 프로세스를 통해 일련의 잠재적 위험(가능성이 있든 없든)에서 식별된 가능한 위험 집합을 찾아낼 수 있습니다. 보안 제어를 구현하면 식별된 위험을 더 작은 잔여 위험 집합으로 줄일 수 있습니다. 이러한 잔여 위험은 시스템 성능에 영향을 미칠 수 있는 상황의 전체 집합을 나타내기 때문에 이 감소된 위험 집합만 처리하기 위해 비상 계획의 범위가 축소될 수 있습니다. 결과적으로 비상 계획은 협소하게 초점을 맞출 수 있어 자원을 절약하는 동시에 효과적인 시스템 복구 기능을 보장할 수 있습니다. 출처: SWANSON, Marianne 외, NIST(National Institute of Standards and Technology), NIST 특별 간행물 800-34, 정보 기술 시스템을 위한 비상 계획 가이드, 2001년 12월(페이지 7).
SSCP 문제 275
다음 중 Rijndael 블록 암호 알고리즘의 속성이 아닌 것은?
정답: C
위의 다른 모든 속성은 DES를 대체하기 위해 AES 표준으로 선택된 Rijndael 알고리즘에 적용됩니다. AES 알고리즘은 128비트, 192비트 및 256비트의 암호화 키를 사용하여 128비트 블록의 데이터를 암호화 및 해독할 수 있습니다. Rijndael은 추가 블록 크기와 키 길이를 처리하도록 설계되었지만 AES 표준에서는 채택되지 않았습니다. IDEA 암호 알고리즘은 64비트 일반 텍스트 블록에서 작동하며 128비트 키를 사용합니다. 이 질문에 사용된 참조: http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf 및 http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
