HY03

HY03

저는 전문가가 아니고 이것 저것 알아보는 비전문가 입니다.
틀린 내용이 기술되어도 너그러이 봐주시고 댓글을 남겨주셨으면 좋겠습니다.

정보보안 - 정보보호관리

정보보호 개요

  • 정보화 사회
    • 정보화 사회 : 단일 생활권
      • 사회 모습 변화
      • 전자 메일, 인터넷으로 정보 교환, 재택근무, 홈뱅킹
      • 미래 사이버 전쟁
    • 정보화 역기능
      • 사회 문제 뿐만 아니라 국가 안위에까지 위협
      • 프라이버시 침해, 해커와 바이러스 기승, 컴퓨터 범죄 등
      • 스마트폰 사용으로 정보보호가 더 중요해짐
    • 사이버환경의 특징
      • 비대면성, 익명성, 시간 및 공간적 운영의 무제한성, 무제한적인 정보 및 신속한 전송, 미래의 범죄 및 전쟁 공간
  • 정보보호
    • 정의
      • 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위
      • 기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위하여 기술적/물리적/관리적 보호대책을 강구하는 것
      • 정보보호 관리, 컴퓨터 및 데이터 보안, 네트워크 보안과 정보보호 정책
    • 정보의 가용성과 안정성 (보안성)
      • 정보보호는 정보의 활용과 정보의 통제 사이에서 균형감각을 갖는 행위
      • 사용 가능한 자원을 쉽게 얻을 수 있으면서도 정보에 위협이 되는 요소들을 최소화
      • 정보의 활용 : 가용성의 극대화
      • 정보의 통제 : 안정성을 확보하기 위해 최대한 통제
    • 정보보호의 목표
      • 기밀성
        • 오직 인가된 사람, 인가된 프로세스, 시스템만이 알 필요성에 근거
        • 데이터 기밀성 : 개인정보나 기밀정보를 부정한 사용자가 이용하거나 그들에게 노출되지 않도록 하는 것
        • 프라이버시 : 개인과 관련된 어떤 정보가 수집되고 저장되는지, 누구에게 그 정보가 공개되는지, 누가 공개하는지 등을 통제하거나 영향이 미칠수 있도록 하는 것
        • 접근제어, 암호화 등
      • 무결성
        • 네트워크를 통하여 송수신되는 정보의 내용이 불법적으로 생성, 변경, 삭제되지 않도록 보호
        • 전력차단과 같은 시스템 중단이 정보에 예상치 못한 변형을 일으킬 수 있음
        • 접근제어, 메시지 인증, 침입 탐지, 백업
      • 가용성
        • 시스템이 지체없이 동작하도록 하고, 합법적 사용자가 서비스 사용을 거절당하지 않도록 하는 것
        • 정보는 지속적으로 변화, 인가된 자가 접근할 수 있어야 함.
        • 데이터 백업, 중복성 유지, 물리적 위협요소로부터의 보호
      • 인증성
        • 실체, 신뢰할 수 있는 데이터인지 확인
        • 전송 메시지나 메시지 출처에 대한 유효성, 신뢰성
      • 책임추적성
        • 부인방지 (부인봉쇄), 억제, 결함분리, 침입탐지 예방, 법적인 조치
        • 포렌식
  • 정보보호 관리
    • 정보보호 관리의 개념
      • 정보는 기업이나 공공기관의 중요한 자산
      • 비인가자에게 노출되지 않도록 관리해야 함
        • 기업이나 조직의 목적을 충족시키면서 위험 수위를 낮추는 것
        • 위험은 제거 대상이 아닌 관리(감소) 대상임
          • 최고 경영자의 지원과 관심 필요
      • 정보보호 관리시스템
        • ISMS : 정보보호 관리체계
    • 정보보호 관리와 정보보호 대책
      • < < <기술적 보호대책=""> 물리적 보호대책> 관리적 보호대책>
      • 기술적 보호대책
        • 정보 시스템, 통신망, 정보를 보호하기 위한 가장 기본적인 대책
        • 접근통제, 암호기술, 백업체계, 정보시스템 자체에 보안성이 강화된 시스템 소프트웨어 사용 등
      • 물리적 보호대책
        • 자연재해로부터 정보시스템이 위치한 정보처리시설을 보호하기 위한 재해대책
        • 불순 세력이나 적의 파괴로부터 출입통제, 시건장치 등
      • 관리적 보호대책
        • 법, 제도, 규정, 교육 등을 확립, 보안 계획을 수립하고 이를 운영
        • 위험 분석 및 보안감사 시행
        • 기술적 보호대책을 계획, 설계, 제도/정책/절차 생성
        • 내부자의 부당행위 방지 교육
    • 정보보호 관리
      • 정보보호 관리는 기업과 조직의 비즈니스 목적을 충족시키면서 수용가능한 수준으로 위험을 낮추는 것
      • 위험은 제거 대상이 아닌 관리 대상
      • 위험은 식별되거나 감소될 수 있지만 제거될 수 없음
      • 정보보호 관리를 위해서는 최고 경영진의 지원과 관심이 필요
  • OSI 보안 구조
    • 개요
      • 기본개념
        • ITU-T (국제 전기통신 연합 - 전기통신표준화 부문) X.800
          • 관리자가 효과적으로 보안문제를 조직화 할 수 있는 유용한 방법
        • 보안공격 : 기관이 소유한 정보의 안정성을 침해하는 제반 행위
        • 보안 매커니즘 : 보안공격을 탐지, 예방하거나 침해를 복구하는 절차
        • 보안 서비스 : 조직의 보안을 강화하기 위한 처리 또는 통신 서비스, 보안 공격에 대응, 하나 이상의 보안 메커니즘을 사용
      • 보안 공격
        • 보안의 세 가지 목표 (기밀성,무결성,가용성) 은 보안공격에 위협을 받을 수 있음
          • 기밀성을 위협하는 공격
            • 스누핑 (Snooping) : 데이터에 대한 비인가 접근 또는 탈취
            • 트래픽 분석 (Traffic Analysis) : 암호화 되어 있을지라도 온라인 트래픽을 분석해 다른 형태의 정보를 얻을 수 있음
          • 무결성을 위협하는 공격
            • 변경 (메시지 수정, Modification) : 적법한 메시지의 일부를 불법으로 수정하거나 메시지 전송 순서를 바꾸는 것
            • 가장 (Masquerading) : 신분위장은 한 개체가 다른 개체의 행세를 하는 것
            • 재연 (재전송, Replaying) : 적극적 공격의 하나로 획득한 데이터 단위를 보관하고 있다가 시간이 경과한 후에 재전송함으로써 인가되지 않은 사항에 접근하는 효과를 노리는 행위
            • 부인 (Repudiation) : 메시지의 송신이나 수신을 부인
          • 가용성을 위협하는 공격
            • 서비스 거부 (Denial of Service) : 매우 일방적인 공격. 시스템의 서비스를 느리게 하거나 완전히 차단
            • 물리적 공격
        • 소극적 공격과 적극적 공격
          • 소극적 공격 : 정보를 획득하거나 사용하려는 시도, 시스템 자원에는 영향을 끼치지 않음
            • Snooping
              • Snooping : 도청 + 탈취
              • Snipping : 도청
            • Traffic Analysis
            • 공격자의 목표는 정보 획득
          • 적극적 공격 : 시스템 자원을 변경하거나 시스템 작동에 영향을 끼치는 공격 형태
            • 변조, 가장, 재연, 부인
            • DoS, 물리적 공격
            • 무결성과 가용성을 위협
            • 공격자가 다양한 방법을 사용 : 방어보다 탐지가 더 쉬움
      • 보안 서비스
        • 보안 정책을 구현하고 보안 메커니즘에 의해 구현되는 것
        • 서비스 종류
          • 기밀성 / 무결성 / 가용성
          • 인증
          • 부인방지
          • 접근제어
  • 기본 보안용어 정의
    • 자산 (Asset)
      • 조직이 보호해야 할 대상, 데이터 혹은 자산 소유자가 가치를 부여한 실체
      • 하드웨어 : 컴퓨터 시스템, 데이터 처리/저장/통신 장비
      • 소프트웨어 : 운영체제, 시스템 도구, 어플리케이션
      • 데이터 : 파일, 데이터베이스, 암호파일과 같은 보안 관련 데이터
      • 통신 설비와 네트워크 : 지역과 광역 네트워크 통신 연결, 브리지, 라우터 등
    • 취약점 (Vulnerability)
      • 위협의 이용대상으로 관리적, 물리적, 기술적 약점 (정보보호 대책 미비)
    • 위협 (Threat)
      • 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합
        • 자연재해
        • 인간에 의한 의도적 위협 : 해커, 바이러스, 도청 등
        • 인간에 의한 비의도적 위협 : 실수, 태만
      • 보안에 해를 끼치는 행동이나 사건
      • 가로채기 (interception)
        • 비인가된 당사자가 자산으로의 접근을 획득한 것을 의미
        • 불법 복사, 도청 등
        • 기밀성에 영향
      • 가로막음 (interruption)
        • 시스템 자산이 손실되거나 사용 불가능하게 됨
        • 하드웨어 장치의 악의적 파괴, 파일 삭제, 서비스 거부 등
        • 가용성에 영향
      • 변조 (modification)
        • 비인가된 당사자가 접근하여 그 내용을 변경
        • 데이터베이스 값 변경, 특정 프로그램 변경
        • 무결성에 영향
      • 위조 (fabrication)
        • 비인가된 당사자가 컴퓨터 시스템 상 불법 객체의 위조 정보를 생성
        • 네트워크 통신에 가짜 거래 정보를 생성
        • 무결성에 영향
    • 위협원 (Threat agents)
      • 정보자산에 해를 끼치는 행동을 할 수 있는 실체
      • 해커, 일반 사용자, 컴퓨터 프로세스, 재난 등
      • 취약점을 이용하는 존재
    • 위험 (Risk)
      • 예상되는 위협에 의해 자산에 발생할 가능성이 있는 손실의 기대치
      • 자산의 가치, 취약점, 위협 요소의 능력, 보호 대책 효과 등에 의해 영향을 받음
      • 위협원이 취약점을 이용하여 위협이라는 행동을 통해 자산에 악영향을 미츤ㄴ 결과를 가져올 가능성
      • 위험 = 자산 * 위협 * 취약점
    • 노출 (Exposure)
      • 위협 주체에게 손실(losses)을 드러내 보이는 경우
      • 취약점은 발생 가능한 피해를 노출시킴
      • 패스워드 관리가 느슨하고 패스워드 규정이 집행되지 않으면, 사용자들의 패스워드가 유출되고 허가되지 않은 방법으로 사용될 가능성에 노출될 수 있음
    • 안전장치/보안대책 (Safeguard / Countermeasures)
      • 각종 위협이나 변경을 방어하거나 감소시키며 자산을 보호하는 기술, 정책 또는 절차
      • 위험을 완화하기 위한 예방적 수단
    • 잔여 위험 (Residual Risk)
      • 정보보호대책을 구현한 후 남아있는 위험
    • 다계층 보안 / 심층 방어 (Defense in Depth)
      • Multi Layered(Level) Security
      • 여러 계층의 보안 대책이나 대응수단을 구성하는 것
      • 한 가지 통제가 대응에 실패하더라도 전체 시스템을 위험에 빠트리지 않음
      • 시스템의 취할 수 있는 가장 최선의 보안 접근 방법
        • 보호, 탐지, 대응
    • 직무상의 신의성실, 노력 (Due Care, Due Dilligence)
      • Due : 특정 목적을 위하여 필요하거나 요구되는 적절하고 충분한 의무
      • Due Care : 특정 목적을 위하여 필요하거나 요구되는 충분한 주의
      • Due Diligence : 특정 목적을 위하여 필요하거나 요구되는 충분한 노력
    • 사회공학 (Social Engineering)
      • 컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람드을 속여 정상적인 보안절차를 깨트리기 위한 비기술적 침입 수단
      • 담당자와 신뢰를 쌓고 전화나 이메일을 통해 도움을 받고, 약점을 이용
    • 가장 약한 링크 원칙 (Principle of Weakness Link)
      • 보안은 가장 약한 링크보다 더 강할 수 없음
      • 방화벽에 전력을 공급하는 전원장치, 보안응용 기반으로 동작하는 운영체제, 제어수단을 기획/실현하고 관려하는 사람 중 어떤 하나의 제어수단의 실패가 전체 보안 실패를 야기
      • 보안 상 모든 취약점을 파악 vs 공격자는 하나의 취약점을 이용해 공격 (비대칭)
    • 시점별 통제(Control)
      • 취약점을 감소시키거나 억제하기 위해 사용되는 매커니즘
      • 예방통제 (Preventive Control)
        • 사전에 위협과 취약점을 대처
        • IPS
      • 탐지통제 (Detective Control)
        • 위협을 탐지하는 통제
        • 빠른 탐지일수록 대처에 용이
        • IDS
      • 교정통제 (Corrective Control)
        • 사후처리
        • 이미 탐지된 위협이나 취약점에 대처
        • 위협이나 취약점을 감소시키는 통제
      • 유효성의 원칙 : 제어수단이 효과적이고 적절하게 사용되어야 함.
    • 대응 : 피해 최소화, 보고, 장비, 기법, 행위, 방지

댓글남기기

참고