4. 인터넷보안

1. 경계보안

- 시설 운영시 : 인가, 비인가자의 구분

- 시설 닫힌경우 : 감시 매커니즘

- 접근통제, 감시 모니터링, 침입탐지 및 교정

2. 접근통제 유형

2.1 자물쇠

가장 저렴한 접근통제 매커니즘

침입 지연 장치

A. 기계식 자물쇠

Warded lock , 일반적 키 자물쇠

Tumbler Lock, 스프링을 이용한 자물쇠

Combination Lock, 숫자조합 자물쇠

B. 전자식 자물쇠

Progrmmable lock(Cipher Lock)

키패드를 사용한 자물쇠

Smart Lock

카드를 사용한 자물쇠

2.2 인적 접근통제

마그네틱 카드

무선접근판독기(RFID)

전자접근제어 - 스마트 카드

2.3 출입문

강제접근 시도에 견뎌야한다.

ManTrap - PiggyBacking의 예방책

출입기록의 유지(Detectile Control)

예방과 탐지 모두 할 수 있다.

탐지통제

2.4 울타리

예방 매커니즘

일반적으로 3,4 피트

가시철망 8피트 - 강력한 재산보호임을 인식시킴

철망을 설치할때 외각으로 45도로 설치한다.

보호기둥(Bollard) - 차의 진입을 막음

경계 침입탐지 시스템 - F(+) 오류가 높음(비정상 -> 정상)

2.5 조명

예방 및 보호를 제공하는 가장 일반적인 물리적 통제수단

NIST 권고안

8피트 높이에서 2피트 츠광으로 조명이 비쳐져야 한다.

Stand By Lighting

타이머에 의해 켜지고 꺼짐

일정시간마다 조도에 따라 자동 작동한다.

2.6 CCTV

탐지가 목적

구입시 고려사항

-FOV, 시야각

디지털 카메라에서 중요한 것은 CCD(과거 필름)와 렌즈

특정 부분을 잘 나타내기 위해서는 심도가 중요하다.

심도가 깊으면 전체를 다 나타낼 수 있고

심도가 얕으면 특정 부분을 강조해 볼 수 있다.

2.7 보안요원, 경비원

분별력이 필요

최상의 보안 매커니즘

3. 침입탐지 시스템(IDS)

목적 : 움직임 감지, 경보 발생

유형 : 전기, 기계

용량 측정(Capacitance Detector) - 특정지역에 측정가능한 것을 탐지한다

문제점

비싸다. 비상시 대체전력이 필요

Fail Safe(OPEN)

4. 저장장치 매체보안

표시 : 라벨, 마크, 바코드

취급 : 물리적 보호

보관 : 열 ,온도, 습도

★저장매체 삭제 방법

재활용 - 포맷 최소 7번, 덮어쓰기 최소 3번

폐기  - Degausser : 자성제거 및 중화, 물리적 파괴 : 효과 우수, 광디스크

5. 거버넌스

거버넌스란?

방향을 설정한다는 의미

다양한 행위 주체들이 공동의 목표달성을 위해 상호협력 및 조정을 이루어가는 과정

5.1 IT 거버넌스

IT 유지와 조직 전략 및 목적을 확장 보증

관리가 아닌 지배구조(경영)

IT 거버넌스와 기업의 목표는 일치한다.

5가지 중점영역

★1. 기업의 전략, IT 전력과의 연계

2. IT 운영과 관련된 위험관리

3. IT 운영과 관련된 가치 창출

4. IT 운영과 관련된 성과 측정

★(주관식 출제)COBIT 모형

IT 자원들을 이용하여 IT 프로세스가 구축되고 그 결과 경영진의 요구사항을 만족한다.

★준거성(Compliance)

법률, 규정, 계약사항과 같은 정책을 준수 하는것

5.2 IT 프로세스

1. 계획 수립 및 조직화

도입 및 구축

운영 및 지원

모니터링 및 평가

IT 거버넌스를 통해 비즈니스 목표와 일치시킬 수 있다.

5.3 E,A 전사적 아키텍쳐( ITA )

정보화 설계도라고도 할 수 있다.

IT 거버넌스와 EA 거버넌스의 관계는 서로 상호보완적 관계

EA에서 보안 부분을 떼어 만든것이 SA

5.4 SA

CIA를 강화하기 위한 보안영역 구성요소와의 관계 구체화

조직 내 보안 수준 진단, 보안 영역 보안 요구사항 파악

기대 효과

관리, 물리, 기술적 보안 이행

보안관리 능력 향상

일관성있는 보안 수준 유지

목표

관리체계 구축 가이드

★정보보호 관리체계 구축 가이드(ISMS)

★5.5 ISMS

조직 내 정보자산을 보호하기 위해

정보보호관리 절차와 과정을 체계적으로 수립하여 지속적 관리, 운영하기 위한 종합적 체계

★A. ISMS 통제영역

정보보호 관리과정 5단계

1. 정책 수립 및 범위설정 (정책은 공개됨)

2. 경영진 책임 및 조직 구성

3. 위험관리

4. 정보보호 대책구현

5. 사후관리

정보보호 관리체계 구축 준비 및 전략 수립단계

1. 정책 수립단계

★정책은 공개하되 나머지는 기밀로 하여야한다.

범위설정

회사의 데이터 분석을 통해 적용

2. 경영진 책임 및 조직 구성 단계

ISMS의 최종 책임은 경영진

조직도 구성

3. 위험관리단계

위험식별 - 위협, 취약점, 자산, 분류, 식별

위험분석 - 정량적, 정성적 피해평가 -> ( 위험감소, 위험전가, 위험회피, 위험수용 고려)

위험완화 - ( 위험감소, 위험전가, 위험회피, 위험수용 선택 )

4. 정보보호 대책 구현단계

1. 관리, 기술, 물리적 보안 구현

2. 내부 공유 및 공유 : 인식교육, 직무교육

3. 사후관리 단계 : 법적 요구사항 및 준거성 검토, ISMS 운영현황 관리, 내부감사