5. 정보보안개론

    목/정보보안개론 2017. 6. 11. 13:44

    1. DB보안위협

    1. 집성(Aggregation)

    낮은 보안등급의 정보조각을 조합하여 높은 등급의 정보를 알아내는 것.

    예) 공개된 지사별 영업실적으로 1등급인 총 매출액을 유추해낼 수 있다.


    2. 추론(Inference)

    보안으로 분류되지 않은 정보에 접근한 후 기밀정보를 유추하는 것


    *) 추론 방지방법

    같은 수준의 데이터의 입력을 허용하는 기술(다중 인스턴스화)를 지원한다.


    2. DB보안통제

    1. VIEW : 자동으로 보안 제공(필요한 정보만 보이게 할 수 있기 때문)

    2. DCL(제어어) : 권한설정 - Grant ~to 권한해제 - Revoke ~ From

    3. 보안모델(MAC,DAC,RDAC)

    4. Granularity : 보안등급의 세분화

    5. 암호화


    3. Data WareHouse

    따로 존재하는 지사별 중요한 정보를 모아 만든것이 데이터 웨어하우스.

    이는 경영진의 의사결정에 도움을 준다.


    데이터 처리를 OLTP라고 하며

    분석처리를 OLAP라고 한다. 분석 처리때 쓰는 도구를 데이터 마이닝(Data Mining)이라고 한다.


    3.1 특성

    주제별 데이터

    통합 데이터

    시계열 데이터

    비갱신 데이터

    다차원 데이터


    3.2 객체지향의 특징

    - 추상화 : 공통된 속성이나 기능을 묶어 이름을 붙이는 것

    - 캡슐화 : (Data+함수)로 묶는 것 - 정보은폐, 은닉, 변경의 파급효과의 최소화(즉, 프로그램 독립성 제공), 재사용성 증대

    - 다형성 : 하나의 메소드를 서로다른 방법으로 제공하는 것

    - 상속 : 상위 클래스에서 정의된 속성, 메소드를 하위클래스가 이용하는 것


    4. DB 복구

    - CheckPoint


    5. 시스템 개발 통제

    계획 - 분석 - 설계 - 구현 - 검사 - 운영 - 유지,보수


    5.1 SDLC(S/W 개발 생명 주기) 모델


    1. WaterFall(폭포수) Model

    모든 개발이 순차적(같이 하거나 건너뛸 수 없다.), 고전적 방식, 산출물 발생


    단점 : 사용자 요구반영이 어려움. (예를 들어 설계단계에서 사용자 요구가 들어오면 다시 계획단계로 돌아가게 된다.)


    2. Prototyping(프로토타입) Model

    시제품, 사용자 요구반영이 가능하다.


    3. Spiral(나선형) Model

    WaterFall + Prototyping

    분석단계에 위험분석을 포함시켰다.

    대규모, 반복적, 점층적


    4. CBD - Component(하나의 기능)들의 조합

    5. RAD - S/W 개발도구(CASE)를 이용하여 만듬, 빠르다.

    6. JAD - 사용자 + 개발자가 협업하여 만듬



    5.2 보안 고려사항


    전체 단계에서 보안을 적용해야한다.


    계획 - 보안 필요조건 확인

    분석 - 보안 요구사항 정의

    설계 - 보안 체크리스트

    구현 - 보안 관련코드 작성


    - 설계

    좋은 설계는 모듈(하나의 기능을 수행하는 코드)의 독립성을 확보하는 것이다.

    평가요소 : 결합도(모듈과 모듈사이의 관계성)의 낮음

      응집도(한 모듈의 구성요소의 관계성)의 높음


    - 구현

    코딩(표준화) - 순차, 선택, 반복


    - 검사(TEST)

    WHITE BOX : 논리구조 검사 , 소스코드 필요

    BLACK BOX : 기능 검사, 소스코드 불필요


    단계별 TEST

    1. 단위검사 : 모듈별 검사

    2. 통합 검사 : 모듈집합별 검사, 프로그램단위

    3. 시스템 검사 : 전체검사

    4. 인수 검사 - 알파 = 개발자가 검사, 베타 = 사용자가 검사


    TEST가 모두 완료되면 인정, 인가되고 CEO가 선언(발표)한다.

    *) 인증, 인정의 차이

    인증 : 제품의 기술적 검토

    인정 : 경영자의 확인 후 공식적 선언



    - 운영

    제품이 환경의 변화가 일어날 경우 또 다른 인증/ 인정 절차를 수행

    병행 테스트 - 과거와 새로운것의 입력값에 의한 출력이 같은것을 확인

    파일럿 테스트 - 특정 기능 별로 테스트

    회귀 테스트 - 반복적 테스트

    사회성 테스트 - 다른 시스템과 올바르게 연계되는가 확인


    5.3 소프트웨어 성숙도 모델(CMM) - 프로세스의 효율성(관리방법) 체크

    *) 처리하는 일련의 과정을 프로세스라고 한다.


    5.4 변경통제/관리

    제품의 모든 변경을 통제, 변경은 반드시 관리되어야한다.(보고,승인, 기록), 변경으로 인해 보안이 깨져서는 안됨


    전체 변경관리를 형상관리라고 한다.

    구현에서의 버전을 관리하는 것을 버전 관리라고 한다.


    즉, 버전 관리 < 변경 관리 < 형상 관리


    변경 통제의 마지막단계는 인정이다.



    저작자표시 비영리 변경금지

    ' > 정보보안개론' 카테고리의 다른 글

    4. 정보보안개론  (0) 2017.06.06
    3. 정보보안개론  (0) 2017.05.27
    2. 정보보안개론  (0) 2017.05.21
    1. 정보보안개론  (0) 2017.05.14
    7. 정보보안개론  (0) 2017.04.15
    '목/정보보안개론' 관련 글 more
    Posted by Config

티스토리툴바