★1. 보안의 목적(보안의 3대 요소)
★기밀성(Confidentiality) : 정보 누출의 방지
★무결성(Integrity) : 정보 변경의 방지
★가용성(Availability) : 정보 파괴의 방지
★2. 위험(?)
★R = VAT
★Risk = Vulnerability, Asset, Threat != 0
원하지 않는 사건(위협)이 발생하여 자산의 약점(취약성)을 이용하여 자산에 영향(손실)을 미칠 가능성
마지막의 != 0은 자산이 있으면 위험은 항상 존재한다라는 의미다
3. 공격의 특성
보안공격 |
보안 매커니즘 |
보안요소 | ||
소극적 |
가로채기 |
도청, 트래픽 분석 |
암호학 |
기밀성 |
적극적 |
변조 |
메세지 수정 |
해시함수 |
무결성 |
차단 |
Dos,DDos |
Anti-Dos |
가용성 | |
위조 |
세션하이재킹, 스푸핑 |
Anti-Spoofing |
인증 |
스니핑(Sniffing) : 네트워크 상에서 주고받은 패킷을 추출하여 통신내용을 엿보는 기술
스푸핑(Spoofing) : 패킷을 전송할 때 다른 사람의 신분으로 위장하여 통신
서비스 거부(Denial Of Service) : 취약점을 공격하여 정상적인 서비스를 불가능하게 하는 공격
사회공학 : 사람의 심리를 이용해 정보를 빼내는 방벅
4. Client와 Server의 관계
4-1. C/S, 시스템, 네트워크 환경
Client : 서비스를 요청하는 것 (보통 Client가 Server에 서비스를 요청한다.)
Server : 서비스를 제공하는 것
4-2. Peer To Peer 환경
Client가 Client, Server의 역할을 모두 수행한다.
★5. 신원과 접근관리
자원을 사용하기 위해 거쳐야하는 단계이다.
총 3단계, 식별(Identification) - 인증(Authentication) - 허가(Authorization)으로 이루어져있다.
5-1. 접근 철학
알 필요성의 원칙(Need to know) : 관련있는 업무에만 접근할 수 있어야한다.
최소권한의 원칙(Least Privilege Policy) : 업무수행에 필요한 최소 권한만 허용해야한다.
직무분리의 원칙(Separation of Duty) : 권한의 독점을 방지해야한다.
5-2. 인증
인증이란, 식별된 사용자를 증명(확인)하는 과정이다.
5-2-1. 인증방식분류
i.What you know : 지식기반(패스워드, 핀)
ii.What you have : 소유기반(스마트카드, 토큰)
iii.What you are : 존재기반(홍채, 정맥, 지문)
iv.What you do : 행동기반(음성, 서명)