[정보처리기사 필기] 정보 통신의 기초 - 시스템 보안 구축

 

시스템 보안 구축

 

 

 

정보보호 기본 요소 및 목적

    기밀성

        인가된 사용자만 데이터 접근

        기밀성 보장 방법

            접근 통제 및 암호화

 

    무결성

        결함이 없도록 하는 성질

        오직 인가된 사용자만 수정

 

    가용성

        인가된 사용자가 정보에 접근

        데이터에 접근할 수 있는 능력

 

    부인방지

        메시지 수신 사실을 부인하지 못 하도록 한다.

 

 

소프트웨어 개발 보안의 요구 공학 프로세스

    도출 - 분석 - 명세 - 확인

 

 

취약점 점검 계획과 침해 사고 조사 프로세스

    사고탐지 - 초기 대응 - 침해 사고 조사 - 보고서 작성 - 복구 및 해결

 

 

주요 취약점 사전 점검

    XSS (Cross Site Scripting)

        악의적인 스크립트 포함

        웹사이트 프로그램 코드 삽입

 

    인젝션

        의도하지 않은 명령어 수행

        악성 문구 삽입 공격

        명령어 질의어 특정한 코드 삽입

 

 

소프트웨어 개발 보안 테스트

    정적 분석 테스트

        소스코드 필요

    개발 과정에서 주로 사용

    초기 약점 발견 ,수정 비용 절감

    설계 구조 관점의 보안 취약점은 발견할 수 없다.

 

 

시큐어 코딩 목적

    안전한 고객 서비스 확대

    안정성 및 신뢰성 확보

    보안 취약점과 결함방지

 

 

패스워드

    패스워드 관리

    패스워드 최소 길이 제한

    패스워드 사용 기간 설정

    인증의 강화 적용

 

패스워드 할당

    임시 패스워드를 사용자들이 즉시 바꾸어 관리하도록

    임시 패스워드는 안전한 방법으로 사용자에게 제공

    보호되지 않은 명확한 문구나 전자우편은 피해야한다.

    패스워드 분실로 교부하는 경우 사용자의 신원 확인

    안정성확보 위해 스마트 카드, 일회용 패스워드, 지문인식

 

패스워드 요건

    2종류 최소 10자리

 

패스워드 보안 / 솔트(Salt)

    동일한 패스워드 서로 다르게 저장

    오프라인 사전적 공격 어렵게

    암호화된 상태로 Shadow 파일에 저장

---

계정

    컴퓨터 시스템 내의 자신의 작업 영역

    패스워드는 정상 사용자임을 확인하기 위한 일련의 문자열

    컴퓨터 시스템 사용 위해 로그인 권리 부여, 네트워크에 접속할 때 반드시 필요

 

 

시스템 보안 구현 계획

    범위, 일정, 장소, 인원, 매뉴얼 및 도구

 

 

접근 통제 보안 정책

    DAC 임의 접근 통제

        사용자의 신원 정보를 통해 권한의 부여 및 회수

    MAC 강제적 접근 통제

        보안 등급

    RBAC Role-Based \ 역할 기반 접근 통제

        각 역할에 따라 접근 권한 지정

        조직의 사용자가 수행해야 하는 직무와 직무 권한 등급을 기준으로 객체에 대한 접근 제어

---

사용자 인증

    이미 정해진 규칙이나 기록에 따라 사용자 접근 자격 확인 절차

    Unique User Authentication

    Token-Based Authentication

    One Time Password \ OTP

 

    인증 방법

        What you know \ 지식 기반

        What you have \ 소지 기반

        What you are \ 생체 기반

            오류 발생 가능성 작지 않다.

 

 

재해 복구 방식

    미러 사이트

    핫 사이트

        재해 시 활성화 상태

    웜 사이트

        재해복구센터에 저장

    콜드 사이트

    데이터만