728x90
목차
1. 시스템 보안
2. 시스템 보안 범위
3. 시스템 보안 설계
4. 시스템 보안 구현 환경
5. 시스템 인증
6. 접근 통제 보안 정책1. 시스템 보안
1-1. 시스템 보안의 개념
* 시스템 구성요소들 및 자원들의 CIA(기밀성, 무결성, 가용성) 보장
* 시스템 내부의 피해와 외부의 피해로부터 시스템과 정보자원을 보호하는 활동1-2. 시스템 보안 절차
1. 시스템 보안 절차의 정의
* 안전한 관리, 시스템 불법사용 금지, 정보자산 보호
2. 적용 범위 결정
* 회사의 주소 시스템과 이를 관리하는 담당자들을 대상
3. 역할과 책임 분배
* 정보보안 책임자: 보안정책 수립 및 시행 총괄
* 정보보안 관리자: 보안정책 구축 및 이행 관리
* 시스템 관리자: 시스템운영, 관리감독, 검토및 승인
* 시스템 담당자: 절차에 따라 관리 및 필요자원 요청2. 시스템 보안 범위
2-1. 계정(Account)
1. Default 계정 사용 제한
2. 공용계정 사용 제한
3. 주기별 사용자 현행화
4. 개발자 계정 삭제
5. 서버의 접근 권한 변경및 접근권한 삭제 프로세스화2-2. 암호(Password)
1. 패스워드 보안및 암호화
2. 계정과 패스워드의 보안 요구사항2-3. 세션(Session)
1. 세션의 개념
* 네트워크와 컴퓨터간의 논리적인 연결
* 컴퓨터 프로세스 사이의 통신하기 위한 메시지를 교환
* 서로 인식한 이후 통신을 마칠때 까지 시간을 의미
2. 세션 관리의 보안
* 비동기화 탐지: 서버와 시퀀스 넘버를 주기적으로 체크, 비동기화 상태시 탐지
* Ack Storm 탐지: 급격한 Ack(승인) 비율 증가
* 패킷의 유실과 재선송 증가 탐지: 공격자가 중간에 끼어서 작동
* 예상치 못한 접속의 리셋 탐지: 세션이 멈추거나 리셋되는 경우2-4. 접근 제어(Access Control) 관리
1. 데이터 접근의 개념
* 필요한 데이터를 얻는것
2. 접근 제어 관리의 보안
* 필요한 사람에게만 필요한 서비스 제공할수 있도록 전체시스템 차원에서 접근 통제2-5. 로그인(Login)
1. 로그인의 개념
* 사용자가 컴퓨터 시스템에 접근허가 증명을 얻기 위한 사용자 인증
2. 로깅 검사 요건
* 접근권한 변경기록
* 접속기록 관리
* 서버 운영 기록 로깅
* 연속된 접속 시도에 대한 로깅
* 시간 동기화3. 시스템 보안 설계
3-1. 시스템 보안 설계의 개념
* 비즈니스 문제를 방지하고 해결하기 위해 안전한 정보 시스템 환경을 구축하는것
* 보안의 3요소(CIA)를 보장하기 위한 조건, 장소등의 여러가지 여건을 마련3-2. 시스템 보안 설계 원칙
* 자원에 적용되는 보안수준은 적절하고 비용은 합리적이어야 한다
* 보안 아키텍처는 변화하는 보안의 필요와 요구사항을 수용할수 있도록 유연성과 확장성이 보장
* 조직으로 하여금 안전하게 전자적으로 업무를 수행할수 있도록 통합된 보안서비스를 제공
* 모든 컴퓨터 플랫폼에 걸쳐 일관성 있는 프레임워크를 제공4. 시스템 보안 구현 환경
4-1. 관리적 시스템 보안 구현 환경
1. 기업의 시스템 보안 정책
* 시스템 보안 구현을 위해서는 기업의 규모및 특성에 맞는 시스템 보안정책을 입수하여 준비
2. 시스템 보안 규정및 절차서
* 기업의 시스템 보안 정책에 맞는 시스템 보안 규정및 가이드가 필요
3. 시스템 보안 조직및 인원
* 시스템 보안 구현을 위해서는 시스템보안 조직및 담당자의 지정이 필요4-2. 기술적 시스템 보안 구현 환경
1. 아키텍처 및 설계서
* 안전하고 신뢰성있는 시스템 보안 구현을 위해 시스템 보안 아키텍처및 설계서를 준비
2. 솔루션 및 소프트웨어 준비
* 시스템 보안 구현을 위해 하드웨어, 소프트웨어, 솔루션등을 확보
3. 소프트웨어의 세부구현 절차서
* 시스템 보안 구현을 위한 하드웨어, 소프트웨어, 솔루션에 대해서 각각 세부적인 구현절차서 및 매뉴얼 준비4-3. 물리적 시스템 보안 구현 환경
1. 물리적 장소 확보
* 안전하고 신뢰성있는 물리적인 장소 확보가 중요
* IDC 혹은 별도 통제된 전산실등의 공간을 확보
2. 출입통제, 시건장비, 캐비닛
* 시스템 보안 구현을 위해 확보된 물리적 장소의 출입을 통제하고 보안이 필요한 요소들을 저장4-4. 시스템 보안 구현 계획시 교려사항
* 범위, 일정, 장소, 인원, 매뉴얼 및 도구를 계획에 포함4-5. 시스템 보안 구현 도구
1. 시스템 보안 구현 도구의 정의
* MBSA: windows 시스템에서 틀리기 쉬운 보안관련 설정
* nmap: 자체 시스템 스캔을 통해 취약점 탐색
* NBTScan: NetBIOS name 정보를 얻기위해 네트워크 점검5. 시스템 인증
5-1. 시스템 인증의 개념
* 참이라는 근거의 출처및 신분을 확인하는 행위
* 인증 방법은 하나이상의 인증요인에 따라 달라질수 있다
* 컴퓨터 시스템 보안에서 인증은 사용자의 디지털 정체성을 확인하는 시도5-2. 사용자 인증(User Authentication)
* 허가되지 않은 비정상적인 사용자가 들어올수 없도록 ID와 패스워드 확인5-3. 사용자 인증의 종류
1. 단순(Simple) 사용자 인증
* 하나의 패스워드를 사용하여 인증
2. 단일(Unique) 사용자 인증
* 하나의 인증 요소만 사용하는 인증방법
3. 이중(Two-factor) 사용자 인증
* 단일 사용자 인증요소중에 2개이상 조합5-4. 단일 사용자 인증의 종류
1. 지식기반(Something you know)
2. 소지기반(Something you have)
3. 생체기반(Something you are)
4. 위치기반(Somewhere You are)5-5. 토큰기반(Token-Based) 인증
1. 하드웨어와 소프트웨어의 토큰장치를 사용하는 인증기법
2. 비동기 방식: 한쪽에서만 인증을 요청하여 허가를 받는 방식
3. 동기 방식: 동시에 인증을 받는 방식6. 접근 통제 보안 정책
6-1. 임의적 접근 통제(DAC: Discretionary Access Control)
* 접근을 요청하는 자의 신원, 그리고 어떤 사람이 접근 승인이 되는 지 나타내는 접근규칙
* 한 개체가 자신의 의지로 다른 개체가 어떤 자원에 접근이 가능하도록 승인해주는 접근권한을 가짐
* ACL(Access Control List)을 통해서 구현하는것이 가장 일반적6-2. 강제적 접근 통제(MAC: Mandatory Access Control)
* 사용자의 의도와는 관계없이 의무적으로 접근을 제어하는 보안 전문가에 의해 생성되는 규칙기반 접근통제
* 보안 레이블과 보안 허가증을 비교하여 접근제어를 하는것을 말한다
* 모든 접근에 대해 레이블을 정의하고 보안 정책을 확인해야 하므로 성능 저하가 발생한다6-3. 역할 기반 접근 통제(RBAC: Role Based Access Control)
* MAC와 DAC의 단점을 보완한 방식으로 사용자의 역할에 기반을 두고 접근을 통제하는 모델
* 사용자 대신에 역할에 접근권한을 할당하고 이후에 사용자는 정적이나 동적으로 특정역할을 할당받게 된다
* 편한 관리 방법을 제공하며 관리업무의 효율성을 가져온다6-4. 접근통제 정책의 비교
| 정책 | MAC | DAC | RBAC |
|---|---|---|---|
| 권한부여 | 시스템 | 데이터 소유자 | 중앙관리자 |
| 접근결정 | 보안등급(label) | 신분(Identity) | 역할(Role) |
| 정책변경 | 고정적 | 변경 용이 | 변경용이 |
| 장점 | 안정적, 중앙집중적 | 구현용이, 유연함 | 관리용이 |
6-5. 다중 등급 접근 통제 정책
1. BLP(Bell-LaPadula) Model
* 기밀성을 강조하는 모델, 높은 등급의 정보가 낮은 레벨로 유출되는것을 통제
2. Biba Integrity Model
* BLP 모델의 단점인 무결성을 보완할수 있는 모델
3. Chinese Wall Model
* 어떤 회사의 특정업무에서 일했던 사람이 다른회사의 같은 영역의 자료에 접근 금지하는 모델
4. Clark-Wilson Model
* 정보의 무결성을 강조한 모델로서 Biba Integrity 모델보다 향상된 모델참고자료 : 이기적 환상콤비 정보처리기사
728x90
