본문 바로가기

보안28

AIX 계정에 관한 보안 설정 AIX 관련 보안 설정 참고루트가 수행하는 보안 관련 활동의 더 나은 책임성을 보장하기 위해 사용자가 루트로 로그인하는 대신에 먼저 일반 사용자 ID를 사용하여 로그인한 후 su 명령을 실행하여 루트로 명령을 실행하도록 하십시오. 그러면 시스템에서 복수 사용자가 루트 비밀번호를 알고 있고 사용하는 경우 루트 계정을 사용하여 수행되는 활동과 여러 사용자를 연관시킬 수 있습니다.표 1. AIX Security Expert 로그인 정책 권장사항조치 버튼 이름설명AIX Security Expert에서 설정된 값실행 취소로그인 실패 간 간격포트가 사용 불가능하게 되기 전에 포트에 대한 로그인 시도 실패가 발생해야 하는 시간 간격(초)을 지정하는 /etc/security/login.cfg의 logininterval.. 2018. 8. 14.
OpenSSL 취약점 - HeartBleed 대응 ㅇ 취약점 내용 - OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이 검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점- 하트비트 : 클라이언트와 서버 간의 연결 상태 체크를 위한 OpenSSL 확장 모듈 ㅇ 공격형태- 본 취약점은 원격에서 발생 가능한 취약점으로, 공격자는 메시지 길이 정보가 변조된 HeartBeat Request 패킷을 취약한 OpenSSL 버전을 사용하는 서버에 전송할 경우, 정해진 버퍼 밖의 데이터를 공격자에게 전송하게 되어 시스템 메모리에 저장된 개인정보 및 인증 정보 등을 탈취할 수 있음 ㅇ 영향받는 OpenSSL 버전 - Open.. 2014. 4. 18.
보안점검 체크리스트 3 (용역업체 보안관리) 3. 용역업체 보안관리 구 분착 안 사 항전산장비 보안대책 o 노트북 등 전산장비는 보안담당관 인가후 반출ㆍ입 o 전산장비 반출ㆍ입시마다 최신 백신프로그램으로 악성코드 감염여부 점검 o 망분리 기관은 업무망 접속용 전산장비와 인터넷망 접속용 장비를 구분하여 활용하고 망간 혼용금지 o 용역업체 PC 인터넷 접속통제 - 외부사이트 접속이 필요한 전산장비 사전 지정 - 와이브로, 무선랜 등 무선인터넷 접속 금지 - P2P, 웹하드, 메신저 등 자료공유사이트 원천차단 - 외부사이트 접속 노트북PC에서 업무 수행 및 업무 관련자료 저장 금지 o 최신 백신 프로그램 설치, 패스워드 설정, 비인가 저장매체ㆍ통신기기 접속통제 o 패스워드는 숫자ㆍ영문자ㆍ특수문자를 혼합하여 9자리 이상 설정 및 분기 1회 변경 o 용역업.. 2014. 2. 16.
보안점검 체크리스트 2 (정보통신망 보안관리) 2. 정보통신망 보안관리 구 분착 안 사 항정보통신망 보안관리 o 네트워크 구성의 적절성 여부 - 웹서버 등 외부 접근이 불가피한 서버는 DMZ 구간에, DB서버 등 중요서버는 내부영역에 위치 - 중요 DB서버나 웹서버에 NIC카드 중복 설치로 방화벽 우회 금지 o 방화벽ㆍ백신서버ㆍ패치관리서버 등 주요서버 관리 PC 인터넷 연결 차단 o 인터넷 연결이 차단된 관리자PC에서만 시스템 관리기능에 접속토록 침입차단 시스템 설정 등 기술적 통제수단 강구 * 노트북PC 등 휴대형 정보시스템을 시스템 관리용 PC로 활용 금지 o 비인가 단말기 및 무선AP 네트워크 접속 차단 o 백신 자동 업데이트 및 실시간 감시기능 설정 o 악성코드 감염ㆍ자료유출 유발 가능한 P2P, 메신저, 웹하드 등 유해사이트 접속제한 조치 .. 2014. 2. 16.
보안점검 체크리스트 1 (제어시스템 보안관리) 상급기관에서 보안점검 나올 때 점검하는 체크리스트. 1. 제어시스템 보안관리(제어시스템 운영기관) 구 분착 안 사 항 제어시스템 보안업무 수행체계o 제어시스템 운영ㆍ보안지침 유무 및 적절성 o 제어시스템 운영부서에 IT전문인력 현황 o IT부서 보안담당관과의 업무협조 관계 제어시스템 장애ㆍ해킹 보안대책o 장애ㆍ해킹 등 사고대응 계획과 실효성 (운영자에 대한 사고대응 절차 교육 실적 등) o 장애처리 규정 및 처리결과 (장애에 대한 원인규명과 재발방지 노력 등)제어시스템 도입절차o 제어시스템 도입시 검수항목에 보안관련 항목 유무 및 적절성 - 제어시스템의 각 구성요소에 대한 최신 보안취약점 유무 및 대책 - 보안패치 및 백신 운영 가능 여부 - 중요 보안취약점 발견시 제작사ㆍ납품사 등의 지원 범위제어시스템.. 2014. 2. 16.
NT서버 특정 IP에서만 접속하도록 설정 리눅스의 TCPWrapper처럼 Windows서버에서 특정 IP에서만 접근하도록 허용하는 방법. 고급 보안이 포함된 Windows 방화벽 - 인바운드 규칙 - 원격 데스크톱(TCP-In)에서 설정 XP 방화벽에서 설정하는 방법과 자세한 내용은 SNOOPY님 블로그 참조.(http://snoopybox.co.kr/1617) 2014. 1. 14.
국정원 보안적합성 검증 및 CC인증 ㅇ 보안적합성 검증 보안적합성 검증은 국가통신망의 보안수준을 제고하고, 외부의 사이버위협에 대응하기 위해 전자정부법 제56조 및 동법 시행령 제69조에 의거, 국가 및 공공기관이 도입하는 IT 제품의 보안기능에 대한 안정성을 검증하는 제도 - 법적근거 전자정부법 제56조 제56조(정보통신망 등의 보안대책 수립ㆍ시행) ① 국회, 법원, 헌법재판소, 중앙선거관리위원회 및 행정부는 전자정부의 구현에 필요한 정보통신망과 행정정보 등의 안전성 및 신뢰성 확보를 위한 보안대책을 마련하여야 한다. ② 행정기관의 장은 제1항의 보안대책에 따라 소관 정보통신망 및 행정정보 등의 보안대책을 수립ㆍ시행하여야 한다. ③ 행정기관의 장은 정보통신망을 이용하여 전자문서를 보관ㆍ유통할 때 위조ㆍ변조ㆍ훼손 또는 유출을 방지하기 위하.. 2013. 5. 24.
정보보호개론] 20. 정보보호 운영적 대책 정보보호 운영적 대책 ○ 물리적 보안 및 환경보안 • 자연대책 보안 - 화재, 수해, 지진, 태풍 - 동물, 기타(가스, 진동, 염분) • 건물 및 시설의 안전성 - 건물, 건물내 주요시설 - 옥외시설, 부대시설 • 컴퓨터의 보안관리 - 컴퓨터실, 컴퓨터실 장비, 데이터 • 생체측정에 대한 보호 대책 ○ 정보시스템 비상계획 - 일반적인 비상계획 및 재해복구계획이란 용어는 업무지속성계획과 상호교환해서 사용 - 비상계획 및 재해복구계획 : 재해복구에 치중, 정보기술에 기초한 비상계획 • 비상계획의 분류 - 비상대책 - 백업설비 및 절차 - 복구절차 • 비상대책 - 정해진 절차에 따라 비상사태시 체계를 명확히 수립하며 통신망에 대한 위험분석 및 정보처리 자원의 중요도를 기초로 하여 수립 - 목적 : 자산, 자.. 2013. 5. 17.
정보보호개론] 19. 정보시스템 위험분석관리 정보시스템 위험분석관리 ○ 정보시스템 위험관리 - 보안관리 과정에서 가장 중요한 요소 중 하나 - 조직 내 주요한 자산의 가치 및 민감도를 측정하고 이에 대한 위협 및 취약성을 분석하여 위험을 측정하고 이를 조직에 적합한 위험수준으로 조정하기 위해 보안 대책을 선택하는 일련의 활동 - 위험분석과 위험관리는 상호 보완적 - 위험분석은 보안대책을 수립할 때 근거 - 위험관리는 위험분선에서 나온 근거를 바탕으로 적절한 수준의 보안대책을 수립하고 정보의 무결성, 가용성, 비밀성 등을 유지할 수 있도록 하는데 목적 ○ 위험관리 - 위험관리는 자산에 대한 위험을 분석하고 비용효과적 측면에서 적절한 대책을 수립함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정 - 체계적인 위험분석 과정 필요 - 위험분석이.. 2013. 5. 17.