[정보보보안기사] 01.정보보호관리의 개념
1. 정보보호의 목표
| 구문 | 개념 | 위협요소 |
| 기밀성 | 오직 인가된 사람,프로세스, 시스템 만 접근해야 한다. | 도청, 사회공학(접근) |
| 무결성 | 정보의 내용이 불법적으로 생성/변경/삭제 되지 않도록 보호되어야 한다. | 논리폭탄, 백도어, 바이러스 |
| 가용성 | 정당한 사용자가 시스템의 자원을 필요할 때에는 즉시 자원에 접근하여 사용되어야 한다. | Dos,DDoS,물리적 위험 요소 |
| 인증성 | 임의 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는데 사용되는 성질 | |
| 책임추적성 | 주체의 행동을 추적해서 찾아낼 수 있어야한다.(디지털서명, 워터마킹,인증서 등) | |
| 부인방지 | 특정 이벤트나 행위에 대해 증명하여 나중에 부인하지 못하도록 하는 것(오리발 금지) |
2. 정보보호 관리 및 정보보호 대책
[+] 개념: 정보가 비인가자에게 노출 시 위험을 초래할 수 있어 정보는 관리되어야 한다.
[+] 관리적 > 물리적 > 기술적
| 대책 | 설명 |
| 기술적 보호 대책 | 데이터를 보호하기 위한 기본적인 대책 ( 접근통제, 백업, 암호화, 보안이 강화된 SW 등) |
| 물리적 보호 대책 | 자연 재해로 부터 정보시스템을 보호하기 위한 자연재해 대책 (출입통제,CCTV, 잠금 장치, 생체 인증 등) |
| 관리적 기술 대책 | 위험 분석 및 보안 감사를 시행하여 정보시스템의 안정성관 신뢰를 확보하기 위한 대책(정책,교육, 진무분리, 감사 |
3. OSI 보안 구조
[+] 개념 : 보안 공격에 대비하기 위한 보안메커니즘을 적용한 보안 서비스를 제공
[+] OSI 정의
보안공격 : 기관이 소유한 정보의 안정성을 침해하는 제반 행위
보안 메커니즘: 보안 공격에 대한 예방 통제, 탐지 통제를 수행하는 절차
보안 서비스 : 보안 공격에 대응하기 위해 하나 이상의 보안 메커니즘을 사용하여 서비스를 제공하는 것
[+]보안공격
- 보안의 3가지 목표(기밀성,무결성,가용성)는 보안 공격에 위협받을 수 있다.
- 보안 목표 3가지 그룹과 공격으로 인한 시스템에 미치는 2가지 유형
※ 스누핑(도청), 스푸핑 (바꿔치기) 스누핑/트래픽은 소극적 공격에 해당.
4. 소극적 공격과 적극적 공격
[+] 소극적 공격 (Passive Attack)
- 시스템자원에 영향을 끼치지 않는 공격
- 공격 목표는 정보만 얻는 것!
- 소극적 공격은 탐지가 힘들어 예방에 신경써야한다. (암호화)
[+] 적극적 공격 (Active Attack)
- 시스템 자원에 영향을 끼치는 공격 (무결성,가용성 위협 == 수정,삭제,변경)
- 소극적 공격으로 얻은 정보를 통해 공격이 이루어 진다.
- 예방보다는 탐지에 신경을 써야 함(IDS :Intrusion Detection System 침입 탐지 시스템)
5. 시점별 통제(Control)
[+] 취약점을 감소시키거나 억제하기 위해 사용되는 메커니즘을 통틀어 통제라고 한다.
- 예방통제 : 사전에 위협과 취약점을 대처하는 통제 ( 방화벽, 보안인식 교육)
- 탐지통제 : 위협을 탐지하는 통제(CCTV,감사로고, IDS)
- 교정 통제 : 이미 탐지된 위협이나 취약점에 대처하거나, 취약점을 감소시키는 통제(데이터 백업/복구, BCP/DRP)
6. 기본적인 보안 용어 정리
- 자산 : 조직이 보호해야하는 대상
- 취약점 : 시스템 보안 정책을 위반 할 수 있는 시스템 설계, 구현, 혹은 운영, 관리상의 오류 및 약점(weakpoint)
- 위협 : 보안을 침해하고 손해를 가져올 수 있는 상황, 행위,이벤트가 존재할 때의 잠재적 보안 위반
- 위험 : 위협의 주체가 취약점을 활용할 수 있는 가능성
즉, 취약점을 알고 있다면 위협을 통해 자산의 악역향을 줄 수있는 위험한 상황(자산x위협x위험)
-사회 공학 : 인간 관계의 신뢰를 바탕으로 사람을 속여 정상적인 보안 절차를 깨트리는 것
- 노출 : 위협 주체로 인해서 손실이 발생할 수 있는 경우