본문 바로가기

보안28

정보보호개론] 18. 정보보호 정책 ○ 정보보호정책 - 조직체 내에서 정보보호 임무를 관리하기 위한 수단 · 보안프로그램을 생성하고, 그 목표를 설정하며, 책임을 부여하는 등 최고 관리자의 지시 의미 · 특정한 시스템을 위한 보안 규칙을 의미 ○ 정보보호정책의 유형 • 프로그램 정책 - 일반적으로 조직의 최고관리자가 수립 - 상위수준의 정책 : 프로그램의 목적과 적용범위, 관리 및 책임을 부서에 부여 - 프로그램 정책 구성요소 : 목적, 범위, 책임, 규정준수 • 문제 지향 정책 - 특정한 관심분야에 초점을 맞추어 개발되는 정책 - 최근 법률의 개정처럼 새로운 문제 발생시 - 프로그램 정책은 광범위하므로 자주 변경하지 않지만, 문제지향정책은 자주 - 구성요소 : 문제기술, 조직입장, 적용가능서, 역할책임 등등 - 프로그램정책, 문제지향정책.. 2013. 5. 17.
정보보호개론] 17. 정보보호시스템 평가기준, 표준화 * 정보보호 시스템 평가기준 및 제도 ○ 정보보호 시스템 평가기준 및 제도 - 선진 각국에서는 정보보호 시스템의 성능과 신뢰도를 평가하기 위해 자국의 실정에 맞는 평가 기준을 제정 · 미국 : 오렌지 북으로 불리는 평가기준 TCSEC 제정 · FC(Federal Criteria) 발표 → NIST+NSA(시행은 안됨) · 영국 : 그린 북 시리즈 · 독일 : 블루 & 화이트 북 · 프랑스 : 블루-화이트-레드 북 · 유럽의 공동적인 평가 기준서 ITSEC - 영,독.프,네 · 캐나다 : CTCPEC · ISO : 국제 표준 평가 기준 개발 작업 => ISO/IEC JTC1/SC27/WG3 에 할당 ○ 미국의 평가기준 및 제도 - 오렌지 북으로 불리는 평가기준을 TCSEC 초안을 수정하여 1985년 미 국.. 2013. 5. 17.
정보보호개론] 16. 전자상거래 보안 * 전자상거래 보안 ○ 전자상거래 보안 개요 - 협의 : 인터넷상 홈페이지에서 물건을 거래하는 것 - 광의 ; 소비자와의 거래뿐 아니라 거래와 관련된 공급자, 금융기관, 정부기관, 운송기관 등과 같이 거래에 관련되는 모든 기관과의 관련행위 - 전자상거래의 보안요구사항 · 기존의 응용 시스템 : 사용자의 접근 통제 및 시스템 이용에 대한 이력 자료의 관리를 근간으로 · 전자상거래 : 접근통제 이외에 사용자의 실체증명, 데이터 내용에 대한 사후 검증 수단 확보에 중점(전자서명) ○ 기본적 보안요구사항 - 비밀성, 무결성, 인증, 권한부여 → 보안기술로 해결 - 보증 및 프라이버시 → 보안을 위한 기술적인 해결책의 시행 책임을 갖는 조직이나 개인에 의존하며 또한 판매자 부정에 대하여 고객보호 위한 법률의 구속.. 2013. 5. 17.
정보보호개론] 15. 침입차단 시스템 * 침입차단 시스템 ○ 침입차단 시스템(firewall) - 방화벽 시스템이라고도 하며 컴퓨터 네트워크 환경에서 네트워크 보안사고가 주변 혹은 내부로 확대되는 것을 막기위해 내부와 외부 네트워크 사이의 정보 흐름을 안전하게 통제하는 시스템 - 목적 : 외부 네트워크로부터 내부 네트워크 보호 - 침입차단 시스템의 용어 · 일반적으로 네트워크를 보호하기 위한 다양한 보안 장치의 구조와 보안기능을을 포괄적으로 · 경우에 따라서 하드웨어 암호화 장치나 스크린라우터, 응용게이트웨이 같은 네트워크 보안 장치만을 나타냄 - 침입차단 시스템의 특징 · 침입차단 시스템은 활성화된 인터넷 서비스를 접속함과 동시에 내부 네트워크의 보안 수준을 향상 · 침입차단 시스템을 이용한 네트워크 보안은 전체 호스트의 보안을 동시에 강.. 2013. 5. 17.
정보보호개론] 14. WWW 보안 * WWW 보안 ○ WWW - 인터넷의 많은 서비스 중 가장 최근에 개발된 멀티미디어 서비스 - 유럽 입자물리학연구소(CERN)이 처음 개발 - GUI 서비스와 하이퍼텍스트 제공 - 하이퍼텍스트는 HTML로 제공되며 HTTP 통신 프로토콜 사용 ○ 인터넷이 정보보호에 취약한 이유 - 인터넷의 개방성 - 인터넷이 사용하는 유닉스, TCP/IP 등의 원시코드 개방 - 침입자들의 정보교환 용이 ○ WWW 보안위협 - 응용프로그램의 오류 이용 : 유닉스의 취약점과 웹서버, 웹브라우저, CGI - 네트워크 구조적 결함 이용 : IP위장, TCP 용량초과 공격, ICMP폭탄 같은 - 불법적 웹 서버 설치 공격 : 성인사이트 - 웹 브라우저와 외부 표시기에 존재할 수 있는 보안구멍으로 인한 치명적 위협요소 ○ WWW.. 2013. 5. 17.
정보보호개론] 13. 악성 소프트웨어 * 컴퓨터 바이러스 ○ 악성 소프트웨어 - 컴퓨터 바이러스, 트로이목마, 웜, 논리폭탄, 트랩도어 ○ 컴퓨터 바이러스 - 자기자신을 복제할 수 있는 기능 - 시스템이나 실행파일 감염 - 주로 어셈블리어와 C로 작성 - 새로운 바이러스가 나오면 변형바이러스도 나옴 ○ 바이러스의 발전단계 • 1세대 : 원시형 바이러스(예루살렘, 스톤) - 초기 바이러스 • 2세대 : 암호화 바이러스(폭포,느림보) - 백신이 진단하기 어렵게 바이러스 프로그램을 암호화 - 실행하는 첫부분 암호를 해독하는 부분이 항상 일정하므로 실효를 거두지 못함 • 3세대 : 은폐형 바이러스(브레인,조쉬,512,4096) - 파일의 길이가 증가하지 않도록 보이게 - 백신이 감염부분을 읽으려면 그 이전의 내용을 보여줌 • 4세대 : 갑옷형 바이.. 2013. 5. 17.
정보보호개론] 12. 데이터베이스 보안 * 데이터베이스 보안 ○ 데이터베이스 보안개요 - 데이터베이스 환경 : 데이터베이스 환경에서 다양한 응용시스템을 사용하는 사용자들은 데이터베이스가 지니고 있는 인터페이슬 통하여 상호연관되고 통합된 대량의 데이터를 쉽게 검색 - 데이터베이스관리시스템(DBMS) : DBMS의 기능으로 데이터베이스 환경에서의 정보보안이 정확히 명시되어야 한다 - 데이터베이스 보안 : 데이터베이스에 저장된 데이터를 보호 ○ 데이터베이스 보안의 특성 및 보안위협 - 비밀성 → 부적절한 정보의 노출 - 무결성 → 부적절한 데이터의 변경 - 가용성 → 사용자 거부 ○ 데이터베이스 보안 요구사항 - 부적절한 접근방지 : 승인된 사용자의 접근요청을 DBMS에 의해 검사 - 추론방지 : 일반적 데이터로부터 비밀정보를 획득하는 추론이 불가.. 2013. 5. 17.
정보보호개론] 11. 분산객체환경의 보안 ○ 근거리 전산망(LAN) - 지리적으로 분산된 시스템을 효율적으로 사용 - 하위계층인 데이터링크계층과 물리계층만을 대상 - 구조상 접속된 모든 노드가 데이터 접근이 가능하며 동등개체간에 송수신되는 PDU에 대한 불법적인 변경의 위험이 존재 - 개방형 구조로 인하여 정보의 변경, 유출, 바이러스 감염 등에 취약 ○ SILS(Standard for Interoperable Local Area Network Security) - LAN의 정보보호를 위해 IEEE에서 제안한 표준안 - 데이터 발신처 인증, 비밀보장, 비접속무결성, 접근통제 서비스 제공 - SILS의 구성 · SILS모델 : LAN보안 서비스를 제공하기 위한 모델과 프로토콜의 구조적인 체계를 규정 · 안전한 데이터 교환(SDE : Secure .. 2013. 5. 17.
정보보호개론] 10. 네트워크 보안 ○ 네트워크 보안 - 현존하는 모든 통신회선상의 정보는 항상 획득가능 - 네트워크에서 제공하는 기본 정보보호 서비스 · 인증, 접근통제, 비밀보장, 무결성, 부인방지, 가용성 ○ 네트워크 시스템 보안위협 - 물리적 위협 - 기술적 위협 · 수동적 공격 : 통신회선상의 정보를 무단취득 -> 접속방지와 암호화 방법으로 · 능동적 공격 : 통신회선상의 정보를 변조, 위조 -> 암호화와 데이터결함 유무 확인 ○ 네트워크 보안 요구사항 - 비밀성의 유지 및 보장 - 무결성의 유지 및 보장 - 데이터 발신처 확인 - 통신 사실의 부인방지 - 사용자 신분확인 및 인증 - 인가된 접근의 허용 - 가용성의 향상 ○ OSI에서의 보안 프로토콜 구조 7계층 응용계층 MHS보안, FTAM보안, 디렉토리 보안 6계층 표현계층 .. 2013. 5. 17.

티스토리툴바