인적 보안
- 신입직원
신원조사, 서약서(NDA)
- 업무통제
1.직무분리 -> 권한독점방지, 부정예방, 하지만 공모가 발생할 수 있음
2. 직무순환 -> 공모예방, 부정탐지
3. 강제휴가 -> 부정탐지, 횡령예방
- 퇴직직원
1.서약서
2.ID와 PW반납( 논리적 )
3.퇴직 후 회사입장 시 보안요원 등반( 물리적)
★[ 그림 ]
1. 사회공학 (Social Engineering)
1 - 1. 사회공학의 정의
사람의 심리를 이용해 정보를 취득하는 기술
1 - 2. 사회공학 공격
1 - 2 - 1.공격 순서
1) 정보수집 : Footprinting
2) 관계형성 : 동정심유발(Sympathy), 협박(blackmail), 설득
3) 공격 : 공격대상에게 공격 요청
4) 실행 : 공격실행
1 - 2 - 2. 사회공학 유형 예방법
1) Sholder Surffing(어깨넘어 훔쳐보기) > 칸막이
2) Dumpster Diving(쓰레기통 뒤지기) > 파쇄기, 소각기
3) Piggy banking(업어가다, 권한 사용자 뒤따라가기) > ManTrap
4) Pishing(공공기관 사칭)
5)고위층 사칭
1 - 2 - 3. 최선의 대응책
보안인식교육
2. 접근통제
2 - 1. 접근통제란의 정의
보안정책에 근거하여 접근을 승인,거부함으로써 비인가자에게 불법적 자원 접근 및 파괴를 예방하는 H/W, S/W 및 행정관리를 총칭
2 - 2. 접근단계
1) 식별 (Identification)
2) 인증 (Authentication)
3) 허가 (Authorization)
★2 - 3. 접근철학
1) 알 필요성의 원칙(Need to Know) : 업무수행에 꼭 필요한 권한만 가지도록 하는 것
2) 최소권한의 원칙(Least Privileage Policy) : 업무수행에 필요한 최소한의 제한적 권한만 생성
3) 직무분리(Separation of Duty) : 업무권한의 독점방지
2 - 4. 참조 모니터(Reference Monitor)
2 - 4 - 1. 참조모니터의 정의
접근통제결정을 중재하는 OS의 요소 (방화벽, 비밀번호 등등)
2 - 4 - 2. 3가지 요소
1) 완전성 ( Compeleteness) : 우회를 불가능하게 해야함
2) 격리성 ( Isolation ) : 부정조작은 불가해야함
3) 검증가능성(Verifiability ) : 영향이 미미할정도로 작아야함
3. 식별과 인증 (Identification, Authentication)
3 - 1. 식별의 정의
본인이 누구인지 시스템에게 밝히는 것
3 - 2. 인증의 정의
식별된 사용자를 증명하는 과정
3 - 2 - 1. 인증방식의 분류
TYPE Ⅰ : Something You Know ( 지식기반 )
TYPE Ⅱ : Something You Have ( 소유 기반 )
TYPE Ⅲ : Something You Are ( 존재 기반 )
TYPE Ⅳ : Something You Do ( 행동 기반 )
One Factor Authentication < Various Factor Authetication
한개보다 여러개의 인증방식을 쓰는 것이 인증에 더 강하다
3 - 2 - 2. PASSWORD
1) 패스워드의 문제점 : 안전하지않음, 쉽게 깨짐, 외우기 불편, 하나의 패스워드 공유시 부인가능, 평문으로 보낼시 도청당함
2) 패스워드 정책
최소 8개 문자의 조합구성, 공유X ( 책임추적성을 수립하기 위해 )시도횟수 제한(Clipping Level), 감시기록 유지
3) 패스워드의 종류
I . 인식 패스워드
II . 일회용 패스워드 (One - Time Password) : 가장안전한 패스워드 제공
III . 사실기반
IV. 암호절 : 23개 이상의 문자권장
4) 패스워드 공격기법
Brute Force Attack(무차별 대입 공격)
Dictonary Attack(사전 대입공격) : Jack The Ripper, Crack
트로이목마 로그인 프로그램
전자 모니터링(도청)
패스워드 파일 접근
사회공학
5) 대응책
랜덤패스워드, Clipping Level 설정, Password Salting
6) PW 추측공격확률