(1)정보화 사회의 특성과 정보화 역기능
1)정보화 사회의 특성
①정보통신 기반구조 바탕 단일 생활권
2)정보화 역기능
①개인의 프라이버시침해, 해커와 바이러스, 불법적인 위조 변조등을 통한 각종 컴퓨터 범죄행위, 정보시스템 파괴에의한 사회마비 등.
(2)정보보호
1)정의
①정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기위한 관리적, 기술적 수단, 또는 그러한 수단으로 이루어지는 행위.
②기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기위해 기술적, 물리적, 관리적 보호대책을 강구하는것.
③정보보호 시스템: 정보보호관리, 컴퓨터 및 데이터보안, 네트워크보안과 정보보호정책.
2)정보의 가용성과 안정성(보안성).
①정보의 가용성과 보안측면에서 정보보호란, 정보의 활용과 정보의 통제사이에서 균형감각을 갖는 행위.
②사용가능한 자원을 필요로하는 사람들이 쉽게 얻을 수 있도록 하면서도 정보에 위협이 되는 요소들을 최소화하는 균형점을 찾는것.
③정보의활용-정보의가용성극대화, 정보의통제-위협요소최소화,안정성확보를위해 통제최대화
3)정보보호의 목표
①기밀성(confidentiality)
- 데이터기밀성:개인정보나 기밀정보를 부정한 사용자가 이용하거나 그들에게 노출되지 않도록 하는것.
- 프라이버시:개인과 관련된 어떤 정보가 수집되고 저장되는지, 누구에게 그 정보가 공개되는지, 누가 공개하는지 등을 통제하거나 영향을 미칠 수 있도록 하는 것.
- 데이터무결성: 규정에 따라서 또는 허가된 상태에서만 정보나 프로그램을 변경할 수 있도록 하는 것.
- 시스템무결성: 시스템이 의도했던 기능을 손상없이 그대로 수행하거나 고의든 우연이든 간에 부정하게 시스템이 조작되지 않은 상태로 수행하도록 하는 것.
- 악의적인 행동의 결과 뿐 아니라 전력차단과 같은 시스템 중단이 정보에 예상치 못한 변형을 일으킬 수 있다.
- 시스템이 지체없이 동작하도록 하고, 합법적 사용자에게 서비스를 거절하지 않도록 하는 것.
- 정보는 지속적으로 변화하고 이는 인가된 자가 접근할 수 있어야 함을 의미함. 정보의 비가용성은 조직에 있어 기밀성이나 무결성의부족만큼이나 해롭다.
1)정보보호관리의 개념
①정보는 조직의 전략과 목적을 달성하는데 필수불가결한 요소로서 중요한 자산.
②의도하지 않은 비인가자에게 걸취당하게되면 의험초래.
2)정보보호 관리와 정보보호 대책
①기술적 보호 대책
- 정보시스템, 통신망, 정보(데이터)를 보호하기위한 가장 기본적인 대책.
- 접근통제, 암호기술, 백업체제, 정보시스템 자체에 보안성이 강화된 시스템 소프트웨어의 사용 등의 대책이 이에 속함.
- 화재, 수해, 지진, 태풍 등과같은 자연재해로부터 정보시스템이 위치한 정보처리시설을 보호하기위한 자연재해대책.
- 출입통제, 시건장치등.
- 법,제도,규정, 교육등을 확립하고, 보안계획을 수립하고 운영하며,보안감사를 시행하여 정보시스템의 안정성과 신뢰성 확보.
- 조직체의 정보보호를 효과적으로 보장하기위함.
- 내부자부당행위방지.
3.OSI보안구조
(1)개요
1)기본개념
①ITU-T권고안 X.800, OSI보안구조는 관리자가 효과적으로 보안문제를 조직화 할 수 있는 유용한 방법 제공.
②OSI구조 핵심
- 보안공격:
- 보안메커니즘: 보안공격을 탐지, 예방하거나 공걱으로 인한침해를 복구한느 절차.
- 보안서비스: 정보전송, 데이터처리시스템의 보안강화를 위한 처리 또는 서비스. 보안공격에 대응하기위한것이며 하나이상의 보안메커니즘을 사용해 서비스 제공.
1)개요
①보안의 세가지 목표는 보안공격에 의해 위협받을 수 있다.
2)기밀성을 위협하는 공격
①스누핑(snooping):데이터에대한 비인가접근 또는 탈취.
②트래픽분석(traffic analysis):데이터 암호화로 데이터자체의 탈취는 불가능해도 트레픽분석을 통해 다른형태의 정보를 얻는것이 가능-전에 웹어 동영상을 퍼오는 프로그램쓰는방법에 해당웹 트래픽 분석해서 트래픽 많아질때 이용하는 방법이 있었음 그런식의 응용?
3)무결성을 위협하는 공격
①변경(메시지수정,Modification): 적법한 메시지의 일부를 불법으로 수정, 전송지연, 순서바꿈 등으로 인가되지 않은 효과를 노리는 행위
②가장(Masquerading): 한 개체가 다른개체의 행세를 하는 것.
③재연(재전송, Replaying): 획득한 데이터단위를 보관하고 있다 시간이 경과한 후 재전송해 인가되지 않은 사항에 접근하는 효과를 노림.
④부인(Repudiation): 송신자는 송신을 부인하거나 수신자는 수신한것을 부인할 수 있음.
4)가용성을 위협하는 공격
①서비스 거부(Denial of Service): 시스템의 서비스를 느리게 혹은 완전한 차단이 가능. 공격자의 다양한 전력구사가 가능하다.
5)소극적 공격과 적극적 공격
①X.800, RFC2020에 따른 2가지분류
②소극적공격
- 시스템으로부터 정보획득
- 공격자는 시스템, 데이터에 해를끼치지 않음.
- 스누핑, 트래픽 분석.
③적극적 공격
- 시스템 자원을 변경하거나 시스템 작동에 영향을 끼치는 공격형태.
- 무결성과 가용성에대한 위협공격.
- 방어보다 탐지가 쉬움.
(3)보안서비스
1)개요
①시스템의 적절한 보안이나 데이터 전송의 보안을 보장하는 통신 개방 시스템의 프로토콜 계통에 의해 제공되는 서비스.
②보안서비스는 보안정책을 구현하고 보안메커니즘에 의해 구현된다.
2)기밀성(Confidentiality)
①소극적 공걱으로부터의 데이터보호.
②특정 기간동안 두 사용자 사이 전송된 데이터를 보호(넓은의미).
3)무결성(Intrgrity)
①메시지스트림, 단일메시지, 메시지안의 선별된 필드에 적용. 가장 유용,단순한방법은 스트림 전체를 보호하는것.
4)가용성(Availability)
①인가된 시스템이 자원에 접근할 필요가 있거나 사용하고자할 때 시스템의성능에 따라 시스템 자원에 접근할 수 있도록 하는 것. - "인가된"이 중요키워드인듯.
5)인증(Authentication)
①통신의 상대편에대한 인증제공.
②연결지향 - 대등 개체 인증: 통신상대의 신원 확인. 연결설정, 데이터전송과정 중 사용.
③비연결지향 - 데이터 출처 인증: 데이터단위의 출처에대한 인증.
6)부인방지(부인 봉쇄, Nonrepudiation)
①송신,수신자 양측이 매시지 수신,전송사실을 부인하지 못하도록함.
②수신자는 송신자라고 주장하는 주체로부터 송신되었음을 확인 가능.
③송신자는 수신자라고 주장한느 주체로부터 수신되었음을 확인 가능.
7)접근제어(Access Control)
①통신링크를 통한 호스트 시스템과 응용간의 접근을 제한하고 통제할 수 있는 능력.
4.기본 보안용어정리
1)자산(Asset)
①가치를 부여한 실체
②컴퓨터시스템에서
- H/W: 컴퓨터 시스템, 데이터처리,저장, 통신장비
- S/W: 운영체제, 시스템도구, 어플리케이션.
- 데이터: 파일, 데이터베이스, 암호화파일과 같은 보안관련 데이터.
- 통신 설비와 네트워크: 지역과 광역 네트워크 통신연결, 브릿지, 라우터 등
①위협의 이용대상- 관리,물리,기술적.
3)위협(Threat)
①손실, 손상의 원인 될 가능성을 제공하는 환경의집합, 보안에 해를끼치는 행동이나 사건.
②임의의 위협
- 가로채기(interception):비인가된 당사자가 자산으로의 접근을 획득한 것으로 불법복사,도청 등 - 기밀성에 영향
- 가로막음(untertuption): 시스템 자산은 손실되거나, 손에 넣을 수 없거나, 사용 불가능하게 됨(하드웨어 장치의 악의적 파괴, 파일 삭제, 서비스 거부 등) - 가용성에 영향
- 변조(modifidation): 비인가된 당사자가 접근하여 그 내용을 변경 - 무결성에 영향
- 위조(fabrication): 비인가된 당사자가 컴퓨팅 시스템상에 불법객체의 위조정보 생성 - 무결성에 영향
정보자산에 해를 끼치는 행동을 할 수 있는 실체.
5)위험(risk)
자산에 발생할 가능성이 있는 손실의 기대치.
자산의가치,취약점, 위협요소의 능력, 보호대책의효과등에 영향을받음.
6)노출(exposure)
위협주체에게 손실을 드러내보이는 경우.
7)안전장치/보안대책(safeguard/countermeasures)
각종 위협이나 변경을 방어하거나 감소시키며 자산을 보호하기위한 기술, 정책 또는 절차로써 위험을 완화하기위한 예방적 수단.
8)잔여위험(residual risk)
보안대책, 대응수단 이후 남은 위험.
9)다계층보안/심층방어(defence in depth,muilt layered(level) security)
한가지 통제가 대응에 실패해도 전체의 위험으로 이어지지않음.
시스템이 취할 수 있는 가장 최선의 보안접근방법으로 보호,탐지,대응으로 이루어짐.
10)직무상의 신의성실, 노력
due care: 목적을 위해 필요하거나 요구되는 충분한 주의
due diligence: 목적을 위해 필요하거나 요구되는 노력
11)사회공학(social engineering)
인간상호작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상적인 보안절차를 깨트리기위한 비기술적 침입수단.
12)시점별 통제(control)
취약점을 감소시키거나 억제하기위해 사용되는 매커니즘.
예방통제(preventive control):사전에 위협과 취약점에 대처.
탐지통제(detective control): 위협을 탐지.
교정통제(corrective control): 탐지된 위협이나 취약점에 대처,감소
댓글 없음:
댓글 쓰기