1. 정보보호 관리

정보보호의 목표 : 기밀성 무결성 가용성(CIA) 인증(사용자 인증, 메시지 인증) 부인방지 책임추적성

    기밀성(confidentiality)

        정보의 소유자가 원하는 대로 정보의 비빌이 유지되어야 한다는 원칙(보안 기술 : 접근통제, 암호화 등)

        소유자의 인가를 받은 사람만이 접근할 수 있어야 함

    무결성(Integrity)

        비인가된 자에 의한 정보의 변경, 삭제 등으로부터 보호되어야 함

    가용성(Availability)

        정보시스템은 적절한 방법으로 작동되어야 함

    인증

        어떤 주체나 객체가 틀림없음을 보장함

    책임추적성

        개체의 행동을 유일하게 추적할 수 있음을 보장

 

정보보호대책

    100% 완벽한 보안통제는 불가능해서 수용가능한 위험 수준을 설정해야 함

    관리적 보호대책

        정책, 절차, 보안계획

        교육이 매우 중요함

    물리적 보호대책

        출입통제, 재해대비

    기술적 보호대책

        백업, 암호화, 접근통제

 

소극적 공격(기밀성)과 적극적 공격(무결성, 가용성)

    소극적 공격

        시스템에 영향을 안미침

        스누핑, 트래픽분석

    적극적 공격

        시스템에 영향을 끼침

       변경, 가장, 재연, 부인, Dos

 

위험 = 취약점 * 자산 * 위협

    위험(Risk)

        위협 주체가 취약점을 활용할 수 있는 가능성과 그와 관련된 영향

    취약점(Vulnerability)

        자산의 약점

    자산(Asset)

        자산 소유자가 가치를 부여한 실체

    위협(Threat)

        자산에 손실을 초래할 수 있는 잠재적 원인이나 행위

    사회공학

        사람을 속여 비밀 정보를 획득

 

시점별 통제

    예방통제

        사전에 취약점과 위협에 대처

    탐지통제(접근위반로그)

        위협 탐지

    교정통제(트렌잭션로그)

        탐지된 위협이나 취약점 대처

        위협이나 취약점을 감소시킴