1. Which of the following contains the primary goals and objectives of security?
A. A network`s border perimeter
B. The CIA Triad
C. A stand-alone system
D. The internet
보안의 주요 목적/목표를 위해서는 CIA Triad를 고려해야 한다.
The CIA Triad: Confidentiality, Integrity, Availability, primary goals and objectives of a security infrastructure, security eseentials.
A. Network`s border perimeter (네트워크 접경 영역)는 내부 네트워크와 외부 네트워크 사이에 존재하는 중립적 네트워크 또는 완충 지역으로 'DMZ'라고도 불린다.
C. Standalone system (독립 시스템)은 내부 네트워크와 단절되고, 외부 네트워크와 연결된 시스템을 뜻한다.
D. The internet (인터넷)은 외부 네트워크 그 자체이다.
2. Vulerabilitieis and risks are evaluated based on their threats against which of the following?
A. One or more of the CIA Triad principles.
B. Data usefulness
C. Due care
D. Extent of liabliity
취약성과 위험은 CIA와 지정된 위협들을 비교한 내용을 기준으로 하여 평가된다.
Data usefulness: 데이터 유용성?
Due Care: 조직이 보안에 대한 관심을 가질 수 있도록 유지하는 것 (계획 - security standards, baseline, guidelines, 반댓말 negligence)
Due Diligence: due care의 노력을 유지하기 위한 활동들을 실천하는 것 (적용)
특정 목적을 위하여 필요하거나 요구되는 충분한 주의
Extent of liabliity: 책임의 정도?
3. Which of the following is a principle of the CIA Triad that means authorized subjects are granted timely and uninterrupted access to objects?
A. Identification
B. Availability
C. Encryption
D. Layering
Identification:
4. Which of the followings is not considered a violation of confidentiality?
A. Stealing password
B. Eavesdropping
C. Hardware destruction
D. Social engineering
Eavesdropping: 엿듣기, 도청
Hardware destruction is a violation of availability and possibily integrity.
Availablity의 정의는 "권한이 있는 주체가 대상에 적시에 접근할 수 있는 것"
그런 관점에서 하드웨어 파괴는 Availability를 위반한 것이지 Confidentiality를 위반한 것은 아니다.
"possibily integrity"라고 표현한 것은,
Integrity의 개념 "데이터의 신뢰성과 정확성을 보호하는 것"의 개념에서 봤을 때, 파괴함으로써 신뢰성을 회복했기 때문에 부분적으로는 Integrity가 될 수 있다.
Violation of Confidentiality의 종류: capturing network traffic, stealing password files, social engineering, port scanning, shoulder surfing eavesdropping, and sniffing (패킷 가로채기).
5. Which of the following is not true?
A. Violations of confidentiality include human error.
B. Violations of confidentiality include management oversight.
C. Violations of confidentiality are limited to direct intentional attacks.
D. Violations of confidentiality can occur when a transmission is not properly encrypted.
기밀성 위반은 직접적인 고의성의 공격에만 해당하는 것은 아니다.
human error, management oversight (관리 실수/간과), inepitude (기량부족), transmission에서의 encryption이 잘 안되었을 때 기밀성이 위반되었다고 할 수 있다.
6. STRIDE is often used in relation to assessing threats against applications or operating systems. Which of the following is not an element of STRIDE?
A. Spoofing
B. Elevation of privilege
C. Repudiation
D. Disclosure
STRIDE: computer security threats를 identify하고 시스템으로의 위협을 찾기 위해 (to find threats to a system) Microsoft에서 만든 a model of threats
Threat | Desired property | ||
1 | Spoofing |
Authenticity 인증: 신뢰할만한 제 3자가 그 사람의 신분을 증명하는 것 |
Spoofing = (IP를) 속이다. 스푸핑은 의도적인 행위를 위해 타인의 신분으로 위장하는 것 승인받은 사용자인 것처럼 혹은 네트워크상에서 허가된 주소로 가장하여 시스템에 접근 |
2 | Tampering |
Integrity 무결성: 정확하고 틀림이 없는 상태 |
Tampering = 함부로 변경하는 것 |
3 | Repudiation |
Non-repudiability 부인방지 |
Repudiation = 메시지 송수신자가, 송수신 행위를 부정하는 것 |
4 | Information disclosure |
Confidentiality 기밀성 |
Information disclosure = 공개되면 안되는 정보가 노출되는 것. |
5 | Denial of Service |
Availability 가용성 |
|
6 | Elevation of Privilege |
Authorization 허가 |
Elevation of Privilege = 권한 상승 허용 권한의 수준을 명확히 정의한다. (인증은 처음 매체가 접근하는 순간 신분을 확인하는 것, 허가는 들어오고 나서 허용되는 권한의 수준을 나누는 것) |
7. If a security mechanism offers availability, then it offers a high level of assurance that authorized subjects can ( ) the data, objects, and resources.
A. Control
B. Audit
C. Access
D. Repudiate
나는 Control을 하였다. 이유: 가용성이 좋으면 많이 시스템을 사용할 수 있으니깐.
하지만 availabliity는 access와 연관이 있다. 결국 시스템이 가용할 수 없는 상태이면 접근이 안되니깐.
Accessibility of data, objects, and resources is the goal of availability. If a security mechanism offers availabiltiy, then it is highly likely that the data, objects, and resources are accessible to authorized subjects.
8. ( ) refers to keeping information confidential that is personally identifiable or that might cause harm, embarrassment, or disgrace to someone if revealed.
A. Seclusion
B. Concealment
C. Privacy
D. Criticality
Seculusion(은둔): to store somthing in an out-of-the-way location.
Concealment(은폐): the act of hiding or preventing disclosure.
9. All but which of the following items requires awareness for all individuals affected?
A. Restricting personal email
B. Recording phone conversations
C. Gathering information about surfing habits
D. The backup mechanism used to retain email messages.
the backup mechanism used to perform this operation does not need to be disclosed to them
10. What element of data catagorization management can override all other forms of access control?
A. Classification
B. Physical access
C. Custodian responsibilities
D. Taking ownership
taking ownership (권한을 취하는 것): 사용자에게 ownership을 부여함으로써 이전에 소유한 object를 넘은 능력과 권한을 받을 수 있다. ownership을 taking하려는 행동으로 access control (접근 제어)의 limitation (한계)를 넘을 수 있다.
11. What ensures that the subject of an activity or event cannot deny that the event occurred?
A. CIA Triad
B. Abstaraction
C. Nonrepudiation
D. Hash totals
Hash totals: 오류 검출을 목적으로 데이터 항목들의 해시값을 합산한 값. 오류 검출이 목적이기 때문의 합산값이 다른 의미를 가지지는 않는다.
Abstaraction: 추상화란 객체가 구현이 되기 위해 필드 및 메서드의 기준을 선정의하여 제시하는 것. 인터페이스 간 정의된 내용만 알면 되고, 실제 구체적인 소스나 정보를 알 필요가 없다는 점에서, 개인적으로는 기밀성의 역할을 할 수 있다고 본다.