<정보보호의 목표 (NIST의 정보보호 5원칙) >
1) 기밀성(Confidentiality)
오직 인가된 사람, 프로세스, 시스템만이 알필요성(Need to know)에 근거하여 시스템에 접근해야 한다는 원칙이다.
데이터 처리의 모든 접속점에서 Secrecy가 강제되고, 정보 유출 예방을 보장한다.
ex ) 접근제어, 암호화
2) 무결성(Integrity)
정보의 내용이 불법적으로 변경, 삭제, 생성되지 않는다.
ex) 접근제어, 메시지 인증 / 복구를 위한 백업, 침입탐지 기술이 필요하다.
3) 가용성(Avaliability)
시스템이 지체없이 동작하도록 하고, 합법적 사용자가 서비스 사용을 거절당하지 않도록 한다.
4) 인증성(Authentication & Authenicity)
신뢰할 수 있는 출처, 사용자, 진짜라는 성질을 확인 할 수 있는 것을 의미한다.
3) 책임추정성(Accountability)
침해 추적 또는 책임이 있는 곳 까지의 추적이 가능해야 한다.
ex) Non-Repudiation, forensic
<정보보호 관리>
1) 관리적 보호대책 : 법, 제도, 규칙 등
2) 물리적 보호대책 : 위병소, 출입통제, 시건 등
3) 기술적 보호대책 : 접근통제, 암호기술, 백업체제, Software 등
<OSI 보안구조>
| 1 | Security Attack |
| 2 | Security Mechanism |
| 3 | Security Service |
| 기밀성 위협 | 무결성 위협 | 가용성 위협 |
| Snooping | 조작 | DOS |
| 트래픽 분석 | Masquerading(가장, 假裝) | |
| Passive Attack | Active Attack | |
<용어 정리>
|
Asset |
이용자가 가치를 부여한 실체, 조직이 보호해야 할 대상 |
| Vulnerability | |
| Threat | Interruption, Interception, Modification, Fabrication |
| Risk | Asset X Threat X Vulnerability |
| Exposure | 위협주체로 인해서 손실이 발생할 수 있는 경우 |
| Countermeasure , Safeguard | 대책, 안전장치, SW/HW적 대처 또는 절차 등 |
| Defense in Depth | 다계층 보안, 심층 방어 |
| Social engineering | 비기술적 침입수단 (피싱 등) |
| Due care, Due Diligence, Due | 주의, 노력, 의무 |
| 시점별 통제 | Preventive Control, Detective Control, Corrective Control |