본문 바로가기

정보보호14

정보보호개론] 20. 정보보호 운영적 대책 정보보호 운영적 대책 ○ 물리적 보안 및 환경보안 • 자연대책 보안 - 화재, 수해, 지진, 태풍 - 동물, 기타(가스, 진동, 염분) • 건물 및 시설의 안전성 - 건물, 건물내 주요시설 - 옥외시설, 부대시설 • 컴퓨터의 보안관리 - 컴퓨터실, 컴퓨터실 장비, 데이터 • 생체측정에 대한 보호 대책 ○ 정보시스템 비상계획 - 일반적인 비상계획 및 재해복구계획이란 용어는 업무지속성계획과 상호교환해서 사용 - 비상계획 및 재해복구계획 : 재해복구에 치중, 정보기술에 기초한 비상계획 • 비상계획의 분류 - 비상대책 - 백업설비 및 절차 - 복구절차 • 비상대책 - 정해진 절차에 따라 비상사태시 체계를 명확히 수립하며 통신망에 대한 위험분석 및 정보처리 자원의 중요도를 기초로 하여 수립 - 목적 : 자산, 자.. 2013. 5. 17.
정보보호개론] 19. 정보시스템 위험분석관리 정보시스템 위험분석관리 ○ 정보시스템 위험관리 - 보안관리 과정에서 가장 중요한 요소 중 하나 - 조직 내 주요한 자산의 가치 및 민감도를 측정하고 이에 대한 위협 및 취약성을 분석하여 위험을 측정하고 이를 조직에 적합한 위험수준으로 조정하기 위해 보안 대책을 선택하는 일련의 활동 - 위험분석과 위험관리는 상호 보완적 - 위험분석은 보안대책을 수립할 때 근거 - 위험관리는 위험분선에서 나온 근거를 바탕으로 적절한 수준의 보안대책을 수립하고 정보의 무결성, 가용성, 비밀성 등을 유지할 수 있도록 하는데 목적 ○ 위험관리 - 위험관리는 자산에 대한 위험을 분석하고 비용효과적 측면에서 적절한 대책을 수립함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정 - 체계적인 위험분석 과정 필요 - 위험분석이.. 2013. 5. 17.
정보보호개론] 18. 정보보호 정책 ○ 정보보호정책 - 조직체 내에서 정보보호 임무를 관리하기 위한 수단 · 보안프로그램을 생성하고, 그 목표를 설정하며, 책임을 부여하는 등 최고 관리자의 지시 의미 · 특정한 시스템을 위한 보안 규칙을 의미 ○ 정보보호정책의 유형 • 프로그램 정책 - 일반적으로 조직의 최고관리자가 수립 - 상위수준의 정책 : 프로그램의 목적과 적용범위, 관리 및 책임을 부서에 부여 - 프로그램 정책 구성요소 : 목적, 범위, 책임, 규정준수 • 문제 지향 정책 - 특정한 관심분야에 초점을 맞추어 개발되는 정책 - 최근 법률의 개정처럼 새로운 문제 발생시 - 프로그램 정책은 광범위하므로 자주 변경하지 않지만, 문제지향정책은 자주 - 구성요소 : 문제기술, 조직입장, 적용가능서, 역할책임 등등 - 프로그램정책, 문제지향정책.. 2013. 5. 17.
정보보호개론] 17. 정보보호시스템 평가기준, 표준화 * 정보보호 시스템 평가기준 및 제도 ○ 정보보호 시스템 평가기준 및 제도 - 선진 각국에서는 정보보호 시스템의 성능과 신뢰도를 평가하기 위해 자국의 실정에 맞는 평가 기준을 제정 · 미국 : 오렌지 북으로 불리는 평가기준 TCSEC 제정 · FC(Federal Criteria) 발표 → NIST+NSA(시행은 안됨) · 영국 : 그린 북 시리즈 · 독일 : 블루 & 화이트 북 · 프랑스 : 블루-화이트-레드 북 · 유럽의 공동적인 평가 기준서 ITSEC - 영,독.프,네 · 캐나다 : CTCPEC · ISO : 국제 표준 평가 기준 개발 작업 => ISO/IEC JTC1/SC27/WG3 에 할당 ○ 미국의 평가기준 및 제도 - 오렌지 북으로 불리는 평가기준을 TCSEC 초안을 수정하여 1985년 미 국.. 2013. 5. 17.
정보보호개론] 16. 전자상거래 보안 * 전자상거래 보안 ○ 전자상거래 보안 개요 - 협의 : 인터넷상 홈페이지에서 물건을 거래하는 것 - 광의 ; 소비자와의 거래뿐 아니라 거래와 관련된 공급자, 금융기관, 정부기관, 운송기관 등과 같이 거래에 관련되는 모든 기관과의 관련행위 - 전자상거래의 보안요구사항 · 기존의 응용 시스템 : 사용자의 접근 통제 및 시스템 이용에 대한 이력 자료의 관리를 근간으로 · 전자상거래 : 접근통제 이외에 사용자의 실체증명, 데이터 내용에 대한 사후 검증 수단 확보에 중점(전자서명) ○ 기본적 보안요구사항 - 비밀성, 무결성, 인증, 권한부여 → 보안기술로 해결 - 보증 및 프라이버시 → 보안을 위한 기술적인 해결책의 시행 책임을 갖는 조직이나 개인에 의존하며 또한 판매자 부정에 대하여 고객보호 위한 법률의 구속.. 2013. 5. 17.
정보보호개론] 15. 침입차단 시스템 * 침입차단 시스템 ○ 침입차단 시스템(firewall) - 방화벽 시스템이라고도 하며 컴퓨터 네트워크 환경에서 네트워크 보안사고가 주변 혹은 내부로 확대되는 것을 막기위해 내부와 외부 네트워크 사이의 정보 흐름을 안전하게 통제하는 시스템 - 목적 : 외부 네트워크로부터 내부 네트워크 보호 - 침입차단 시스템의 용어 · 일반적으로 네트워크를 보호하기 위한 다양한 보안 장치의 구조와 보안기능을을 포괄적으로 · 경우에 따라서 하드웨어 암호화 장치나 스크린라우터, 응용게이트웨이 같은 네트워크 보안 장치만을 나타냄 - 침입차단 시스템의 특징 · 침입차단 시스템은 활성화된 인터넷 서비스를 접속함과 동시에 내부 네트워크의 보안 수준을 향상 · 침입차단 시스템을 이용한 네트워크 보안은 전체 호스트의 보안을 동시에 강.. 2013. 5. 17.
정보보호개론] 14. WWW 보안 * WWW 보안 ○ WWW - 인터넷의 많은 서비스 중 가장 최근에 개발된 멀티미디어 서비스 - 유럽 입자물리학연구소(CERN)이 처음 개발 - GUI 서비스와 하이퍼텍스트 제공 - 하이퍼텍스트는 HTML로 제공되며 HTTP 통신 프로토콜 사용 ○ 인터넷이 정보보호에 취약한 이유 - 인터넷의 개방성 - 인터넷이 사용하는 유닉스, TCP/IP 등의 원시코드 개방 - 침입자들의 정보교환 용이 ○ WWW 보안위협 - 응용프로그램의 오류 이용 : 유닉스의 취약점과 웹서버, 웹브라우저, CGI - 네트워크 구조적 결함 이용 : IP위장, TCP 용량초과 공격, ICMP폭탄 같은 - 불법적 웹 서버 설치 공격 : 성인사이트 - 웹 브라우저와 외부 표시기에 존재할 수 있는 보안구멍으로 인한 치명적 위협요소 ○ WWW.. 2013. 5. 17.
정보보호개론] 13. 악성 소프트웨어 * 컴퓨터 바이러스 ○ 악성 소프트웨어 - 컴퓨터 바이러스, 트로이목마, 웜, 논리폭탄, 트랩도어 ○ 컴퓨터 바이러스 - 자기자신을 복제할 수 있는 기능 - 시스템이나 실행파일 감염 - 주로 어셈블리어와 C로 작성 - 새로운 바이러스가 나오면 변형바이러스도 나옴 ○ 바이러스의 발전단계 • 1세대 : 원시형 바이러스(예루살렘, 스톤) - 초기 바이러스 • 2세대 : 암호화 바이러스(폭포,느림보) - 백신이 진단하기 어렵게 바이러스 프로그램을 암호화 - 실행하는 첫부분 암호를 해독하는 부분이 항상 일정하므로 실효를 거두지 못함 • 3세대 : 은폐형 바이러스(브레인,조쉬,512,4096) - 파일의 길이가 증가하지 않도록 보이게 - 백신이 감염부분을 읽으려면 그 이전의 내용을 보여줌 • 4세대 : 갑옷형 바이.. 2013. 5. 17.
정보보호개론] 12. 데이터베이스 보안 * 데이터베이스 보안 ○ 데이터베이스 보안개요 - 데이터베이스 환경 : 데이터베이스 환경에서 다양한 응용시스템을 사용하는 사용자들은 데이터베이스가 지니고 있는 인터페이슬 통하여 상호연관되고 통합된 대량의 데이터를 쉽게 검색 - 데이터베이스관리시스템(DBMS) : DBMS의 기능으로 데이터베이스 환경에서의 정보보안이 정확히 명시되어야 한다 - 데이터베이스 보안 : 데이터베이스에 저장된 데이터를 보호 ○ 데이터베이스 보안의 특성 및 보안위협 - 비밀성 → 부적절한 정보의 노출 - 무결성 → 부적절한 데이터의 변경 - 가용성 → 사용자 거부 ○ 데이터베이스 보안 요구사항 - 부적절한 접근방지 : 승인된 사용자의 접근요청을 DBMS에 의해 검사 - 추론방지 : 일반적 데이터로부터 비밀정보를 획득하는 추론이 불가.. 2013. 5. 17.