1. DB보안위협1. 집성(Aggregation)낮은 보안등급의 정보조각을 조합하여 높은 등급의 정보를 알아내는 것.예) 공개된 지사별 영업실적으로 1등급인 총 매출액을 유추해낼 수 있다. 2. 추론(Inference)보안으로 분류되지 않은 정보에 접근한 후 기밀정보를 유추하는 것 *) 추론 방지방법같은 수준의 데이터의 입력을 허용하는 기술(다중 인스턴스화)를 지원한다. 2. DB보안통제1. VIEW : 자동으로 보안 제공(필요한 정보만 보이게 할 수 있기 때문)2. DCL(제어어) : 권한설정 - Grant ~to 권한해제 - Revoke ~ From3. 보안모델(MAC,DAC,RDAC)4. Granularity : 보안등급의 세분화5. 암호화 3. Data WareHouse따로 존재하는 지사별 중요한..
1. 분산기술1.1 DCE(Distributed Computing Environment)단말기에 고유번호(UUID)를 부여한다. 1.2 DCOM(Distributed Component Object Model)단말기에 고유식별자(GUID)를 부여한다. 1.3 COBAOMB(Object Management Group) - 객체지향 표준IDL언어 - JAVA C++, 다른 언어간 호환을 위한 언어 2. 악성 모바일 코드 해결책 *)Agent : 원격제어 S/W 대리인Agent 프로그램이 감염된것이 악성 AgentMoblie Code : 서버로부터 다운받아서 실행되는것, 애플릿, Active X 자원을 컴퓨터의 일정량만 쓸 수 있도록 Sand-box를 만든다.Active X 의 해결책으로는 인증서가 있다. 3...
ATTACK / DEFENCE ITUT-X.800 Security Attack Security Mechanism Security Services Passive Interception 도청, 트래픽 분석 Encryption Confidentiality ActiveModification Modification ofMessage Hash Integrity Key Hash Integrity, Authentication Interruption DoS,DDoS Anti-Dos Availability Fabrication Session HijackingSniffing+Spoffing Anti_spoffing Authentication 1. Passive Attack1.1 Sniffing프로그램을 사용하여 트래픽을 분..
1. 응용 서비스1.1 DNS도메인 네임을 IP로, IP를 도메인주소로 변환해주는 시스템1.1.1 동작a - 클라이언트가 DNS 서버에 질의(Recursive, Interative)Recursive - DNS Query 패킷을 받은 서버안에서만 검색Interative - (.)하위부터 (www)상위까지 모든 DNS 서버를 검색 b - DNS는 IP주소 테이블 정보를 검색, IP 응답c - IP 정보를 얻어 접속1.1.2 이중화Primary DNS 서버 장애를 대비하여 Secondary DNS 서버가 필요하다.Primary DNS의 정보를 Secondary DNS로 옮기는 것이 Zone Transfer이라고 한다. ★UDP 53 - DNS Query★TCP 53 - Zone Transfer 1.1.3 DN..
* 침입 차단 시스템 : 방화벽(Firewall)* 침입 탐지 시스템 : IDS* 침입 예방 시스템 : IPS* IDS+IPS = ESM(Enterprise Security Management) 1. 방화벽1.1정의외부에서 내부로의 진입을 필터링(통제), 정상은 통과시키고, 비정상은 거부한다. 1.2 기능*접근통제*인증*암호화*로깅 1.3 구성장치Screend(Screening) RouterProxy ServerBastion Host 2. IDS2.1 침입 탐지 시스템이미 인증된 사용자나 이를 가장한 침입자에 의한 공격에는 취약한 F/W의 취약점을 보완하기 위한 시스템 IDS F/W 주 목적 탐지 예방 물리적 위치 내부 불법 탐지 외부 출입자에 대한 방어 설계 정책 금지만 금지 허용외 금지 장애시 네트워..
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆ MAC DAC RBAC 접근권한 부여자 시스템 관리자 데이터 소유자 Central Authority 접근여부 결정기준 보안 레이블 신분 역할 정책 경직 유연 유연 오렌지북 B C C 장점 안전 | 중앙 집중 관리 구현이 용이 다양한 접근권한 단점 구현, 비용, 성능이 문제 신분위장 ★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆ 1. 접근통제 기술 1) 접근통제 매트릭스ACL(객체기반) + CC(주체기반)Access Control Matrix File 1 File2 직원 A Read Write 직원 B Read/Write No Access 직원 C No Access Read/Write 2) 내용의존성 통제 : 접근제어가 CONTENTS의 내용에 의거하여 이루어지는 접근제..
재생공격 (Reply Attack) : 데이터(ID/PW)를 다시사용하는 공격 ★★1. Time Stamp (시간)2. Sequence Number (순서번호)3. Nonce (난수, Random) 1. 패스워드의 종류 1 - 1. OTP (One Time Password) : 카드형, 토큰형OTP 종류 : 동기식(시간), 비동기식(시도 - 응답) 암호화 방법[그림] 1) 동기식생성요소 : TimeStamp, 비밀키 값, 알고리즘 2) 비동기식 (시도 - 응답 방식)상호 인증 방식생성요소 : Challenge 값(난수), 비밀키 값, 알고리즘 1 - 2. 스마트 카드한장의 카드로 인증, 지불, 통합서비스를 지원한다. ★공격방법★1) MicroProbing : 직접 표면에 접근하여 정보를 빼내는 기술2) ..
인적 보안 - 신입직원신원조사, 서약서(NDA) - 업무통제1.직무분리 -> 권한독점방지, 부정예방, 하지만 공모가 발생할 수 있음2. 직무순환 -> 공모예방, 부정탐지3. 강제휴가 -> 부정탐지, 횡령예방 - 퇴직직원1.서약서2.ID와 PW반납( 논리적 )3.퇴직 후 회사입장 시 보안요원 등반( 물리적) ★[ 그림 ] 1. 사회공학 (Social Engineering)1 - 1. 사회공학의 정의사람의 심리를 이용해 정보를 취득하는 기술 1 - 2. 사회공학 공격 1 - 2 - 1.공격 순서1) 정보수집 : Footprinting2) 관계형성 : 동정심유발(Sympathy), 협박(blackmail), 설득3) 공격 : 공격대상에게 공격 요청4) 실행 : 공격실행 1 - 2 - 2. 사회공학 유형 예방법..
1. 보안교육 1 - 1.보안관리 절차1) 자산 식별2) 위험 관리( R = VAT != 0)3) 보안대책 수립심층적 보안 {a. 관리적 보안 : 정책, 교육, 인적보안b. 기술적 보안 : F/W,IDS, IPS, 암호화c. 물리적 보안 : 시설보안} 1 - 2. 보안교육의 목적과 목표개개인의 보안의식을 높이기 위함.그로인한 이점에는 직원태도개선, 책임추적성 증가, 부정감소, 허가받지 않은 행동 감소, 회사 자원의 개인적 사용 감소 등이 있다. 1 - 3.보안교육의 과정보안 교육의 인식 : 보안이 무엇인지 인지시키는 것훈련직무교육(1-1은 전부, 1-2, 1-3은 보안직원들이 받는다.) ★1 - 4. 보안 인식교육 주제1) 보안정책 ★2) PDA 보안통제 (Personal digital assistant..
1. 보안 프로그램보안을 위한 관리적 통제이다. (컴퓨터에서 사용하는 백신 X) 2. 보안 정책2 - 1. 정의반드시 충족해야할 요구사항 또는 규칙에 대한 윤곽을 명시한 문서(High-Level-Statement) 2 - 2. 서술 기법간단명료하고 포괄적인 용어로 작성되어야함. (헌법같은 높은 레벨의 문서이기 때문에) 정책개요목적범위정책시행(위반시 처벌 내용 등)정의수정기록 ★3. 보안 정책의 종류상위 정책 : 모든 조직에 적용되는 정책하위 정책 : 부서, 장비별 적용되는 정책ex) i. AUP(Acceptable Use Policy) : 회사의 장비는 사적으로 사용하면 안된다. (허가된 사용에 대한 정책) ii. 계정정책 iii. 인증정책 iv. 원격접속에 대한 정책 v. 엑스트라넷 연결 정책참고 )인..