컴퓨터 구조 [그림] 1. 저장장치 1 - 1. RAM( 주 기억장치 )Random Access Memory소멸성(휘발성) 기억장치, 임시적인 저장소쓰기, 읽기 가능 1 - 2. ROM( 주 기억장치 )Read Only Memory비소멸성(비휘발성), 메모리에 임의접근 가능, 영구성BIOS 부팅관련 프로그램이 들어있다.펌웨어라고 부른다. 하드웨어와 소프트웨어의 중간단계 [그림] 저장장치 계층 2. 중앙처리 장치 2 - 1. CPU(Center Processing Unit) 연산장치, 제어장치, 레지스트들의 세 부분으로 구성된다.그리고 주 기억장치를 비롯한 다른 장치들과는 시스템 버스로 연결되어있다. ★[그림] - 하나의 명령어를 실행하는 과정1. 인출2. 해독3. 실행 1CLOCK(주파수, Hz) - 1..
재생공격 (Reply Attack) : 데이터(ID/PW)를 다시사용하는 공격 ★★1. Time Stamp (시간)2. Sequence Number (순서번호)3. Nonce (난수, Random) 1. 패스워드의 종류 1 - 1. OTP (One Time Password) : 카드형, 토큰형OTP 종류 : 동기식(시간), 비동기식(시도 - 응답) 암호화 방법[그림] 1) 동기식생성요소 : TimeStamp, 비밀키 값, 알고리즘 2) 비동기식 (시도 - 응답 방식)상호 인증 방식생성요소 : Challenge 값(난수), 비밀키 값, 알고리즘 1 - 2. 스마트 카드한장의 카드로 인증, 지불, 통합서비스를 지원한다. ★공격방법★1) MicroProbing : 직접 표면에 접근하여 정보를 빼내는 기술2) ..
인적 보안 - 신입직원신원조사, 서약서(NDA) - 업무통제1.직무분리 -> 권한독점방지, 부정예방, 하지만 공모가 발생할 수 있음2. 직무순환 -> 공모예방, 부정탐지3. 강제휴가 -> 부정탐지, 횡령예방 - 퇴직직원1.서약서2.ID와 PW반납( 논리적 )3.퇴직 후 회사입장 시 보안요원 등반( 물리적) ★[ 그림 ] 1. 사회공학 (Social Engineering)1 - 1. 사회공학의 정의사람의 심리를 이용해 정보를 취득하는 기술 1 - 2. 사회공학 공격 1 - 2 - 1.공격 순서1) 정보수집 : Footprinting2) 관계형성 : 동정심유발(Sympathy), 협박(blackmail), 설득3) 공격 : 공격대상에게 공격 요청4) 실행 : 공격실행 1 - 2 - 2. 사회공학 유형 예방법..
1. 보안교육 1 - 1.보안관리 절차1) 자산 식별2) 위험 관리( R = VAT != 0)3) 보안대책 수립심층적 보안 {a. 관리적 보안 : 정책, 교육, 인적보안b. 기술적 보안 : F/W,IDS, IPS, 암호화c. 물리적 보안 : 시설보안} 1 - 2. 보안교육의 목적과 목표개개인의 보안의식을 높이기 위함.그로인한 이점에는 직원태도개선, 책임추적성 증가, 부정감소, 허가받지 않은 행동 감소, 회사 자원의 개인적 사용 감소 등이 있다. 1 - 3.보안교육의 과정보안 교육의 인식 : 보안이 무엇인지 인지시키는 것훈련직무교육(1-1은 전부, 1-2, 1-3은 보안직원들이 받는다.) ★1 - 4. 보안 인식교육 주제1) 보안정책 ★2) PDA 보안통제 (Personal digital assistant..
1. 컴퓨터의 역할과 4대기능1 - 1. 컴퓨터의 정의데이터를 정보로 만드는 기계(과정을 처리나 계산이라고 한다.) 데이터(data)는 현실 세계에서 단순히 관찰하거나 측정하여 수집한 사실(fact)이나 값(value)으로, 자료라고도 한다.정보(information)는 데이터를 의사 결정에 유용하게 활용할 수 있도록 처리하여 체계적으로 조직한 결과물이다.[네이버 지식백과] 데이터와 정보 (데이터베이스 개론, 2013. 6. 30., 한빛아카데미(주))1 - 2. 컴퓨터의 네가지 기능처리(Processing), 입력(Input), 출력(Output), 저장(Store)이 있다. 2. H/W S/W 분류2 - 1. 하드웨어데이터의 입력,출력,저장,제어하는데 사용하는 물리적인 기계장치이다. 2 - 2. 소프..
1. 보안 프로그램보안을 위한 관리적 통제이다. (컴퓨터에서 사용하는 백신 X) 2. 보안 정책2 - 1. 정의반드시 충족해야할 요구사항 또는 규칙에 대한 윤곽을 명시한 문서(High-Level-Statement) 2 - 2. 서술 기법간단명료하고 포괄적인 용어로 작성되어야함. (헌법같은 높은 레벨의 문서이기 때문에) 정책개요목적범위정책시행(위반시 처벌 내용 등)정의수정기록 ★3. 보안 정책의 종류상위 정책 : 모든 조직에 적용되는 정책하위 정책 : 부서, 장비별 적용되는 정책ex) i. AUP(Acceptable Use Policy) : 회사의 장비는 사적으로 사용하면 안된다. (허가된 사용에 대한 정책) ii. 계정정책 iii. 인증정책 iv. 원격접속에 대한 정책 v. 엑스트라넷 연결 정책참고 )인..
★1. 보안의 최종 목표 ISMS(Information Security Management System) : 정보보안관리 체계1. 관리적 보안 : 정책, 조직, 교육, 인력자원2. 기술적 보안 : 보안장비, 암호화, 접근통제3. 물리적 보안 : 시설보안 이 모든것을 만족하면 KISA에서 인증서를 발급해준다. (복습, 및 추가사항)보안의 목적, 3대 요소기밀성(Confidentiality) : 정보의 누출 방지무결성(Integrity) : 정보의 변경 방지가용성(Availiability) : 정보의 파괴 방지+ ) 보안의 요소들은 모두 상호의존적이다. 이 3개중 하나라도 파괴,변경,누출된다면 다른 요소에도 영향이 가므로 정보보안 관리체계를 확실히 해야한다. R = VAT(Risk = Vulnerabilit..
★1. 보안의 목적(보안의 3대 요소) ★기밀성(Confidentiality) : 정보 누출의 방지 ★무결성(Integrity) : 정보 변경의 방지 ★가용성(Availability) : 정보 파괴의 방지 ★2. 위험(?) ★R = VAT ★Risk = Vulnerability, Asset, Threat != 0 원하지 않는 사건(위협)이 발생하여 자산의 약점(취약성)을 이용하여 자산에 영향(손실)을 미칠 가능성 마지막의 != 0은 자산이 있으면 위험은 항상 존재한다라는 의미다 3. 공격의 특성 보안공격 보안 매커니즘 보안요소 소극적 가로채기 도청, 트래픽 분석 암호학 기밀성 적극적 변조 메세지 수정 해시함수 무결성 차단 Dos,DDos Anti-Dos 가용성 위조 세션하이재킹, 스푸핑 Anti-Spoo..