5. 정보보안개론

인적 보안

- 신입직원

신원조사, 서약서(NDA)

- 업무통제

1.직무분리 -> 권한독점방지, 부정예방, 하지만 공모가 발생할 수 있음

2. 직무순환 -> 공모예방, 부정탐지

3. 강제휴가 -> 부정탐지, 횡령예방

- 퇴직직원

1.서약서

2.ID와 PW반납( 논리적 )

3.퇴직 후 회사입장 시 보안요원 등반( 물리적)

★[ 그림 ]

1. 사회공학 (Social Engineering)

1 - 1. 사회공학의 정의

사람의 심리를 이용해 정보를 취득하는 기술

1 - 2. 사회공학 공격

1 - 2 - 1.공격 순서

1) 정보수집 : Footprinting

2) 관계형성 : 동정심유발(Sympathy), 협박(blackmail), 설득

3) 공격 : 공격대상에게 공격 요청

4) 실행 : 공격실행

1 - 2 - 2. 사회공학 유형                                                        예방법

1) Sholder Surffing(어깨넘어 훔쳐보기)                       >    칸막이

2) Dumpster Diving(쓰레기통 뒤지기)                          >    파쇄기, 소각기

3) Piggy banking(업어가다, 권한 사용자 뒤따라가기)    >    ManTrap

4) Pishing(공공기관 사칭)

5)고위층 사칭

1 - 2 - 3. 최선의 대응책

보안인식교육

2. 접근통제

2 - 1. 접근통제란의 정의

보안정책에 근거하여 접근을 승인,거부함으로써 비인가자에게 불법적 자원 접근 및 파괴를 예방하는 H/W, S/W 및 행정관리를 총칭

2 - 2. 접근단계

1) 식별 (Identification)

2) 인증 (Authentication)

3) 허가 (Authorization)

★2 - 3. 접근철학

1) 알 필요성의 원칙(Need to Know) : 업무수행에 꼭 필요한 권한만 가지도록 하는 것

2) 최소권한의 원칙(Least Privileage Policy) : 업무수행에 필요한 최소한의 제한적 권한만 생성

3) 직무분리(Separation of Duty) : 업무권한의 독점방지

2 - 4. 참조 모니터(Reference Monitor)

2 - 4 - 1. 참조모니터의 정의

접근통제결정을 중재하는 OS의 요소     (방화벽, 비밀번호 등등)

2 - 4 - 2. 3가지 요소

1) 완전성 ( Compeleteness) : 우회를 불가능하게 해야함

2) 격리성 ( Isolation ) : 부정조작은 불가해야함

3) 검증가능성(Verifiability ) : 영향이 미미할정도로 작아야함

3. 식별과 인증 (Identification, Authentication)

3 - 1. 식별의 정의

본인이 누구인지 시스템에게 밝히는 것

3 - 2. 인증의 정의

식별된 사용자를 증명하는 과정

3 - 2 - 1. 인증방식의 분류

TYPE Ⅰ : Something You Know ( 지식기반 )

TYPE Ⅱ : Something You Have ( 소유 기반 )

TYPE Ⅲ : Something You Are ( 존재 기반 )

TYPE Ⅳ : Something You Do ( 행동 기반 )

One Factor Authentication < Various Factor Authetication

한개보다 여러개의 인증방식을 쓰는 것이 인증에 더 강하다

3 - 2 - 2. PASSWORD

1) 패스워드의 문제점 : 안전하지않음, 쉽게 깨짐, 외우기 불편, 하나의 패스워드 공유시 부인가능, 평문으로 보낼시 도청당함

2) 패스워드 정책

최소 8개 문자의 조합구성, 공유X ( 책임추적성을 수립하기 위해 )시도횟수 제한(Clipping Level), 감시기록 유지

3) 패스워드의 종류

I . 인식 패스워드

II . 일회용 패스워드 (One - Time Password) : 가장안전한 패스워드 제공

III . 사실기반

IV. 암호절 : 23개 이상의 문자권장

4) 패스워드 공격기법

Brute Force Attack(무차별 대입 공격)

Dictonary Attack(사전 대입공격) : Jack The Ripper, Crack

트로이목마 로그인 프로그램

전자 모니터링(도청)

패스워드 파일 접근

사회공학

5) 대응책

랜덤패스워드, Clipping Level 설정, Password Salting

6) PW 추측공격확률