IPSec ipv4의 취약점을 보완하기 위해 개발된 솔루션으로, 인증 서비스를 패킷 단위로 제공하여 ip가 안전하게 동작하도록 지원한다. 동작 한 조직이 여러곳에 있는 lan을 사용 할때 ipsec을 통해 전송된다. 이 과정은 모두 투명하게 진행된다. 전송 모드와 터널 모드 전송 모드에서는 ip헤더는 변하지 않고 데이터 그램만 암호화 된다. 터널 모드에서는 전체 데이터 그램이 암호화 되고 ip패킷의 페이로드로서 전송된다. 보안 연관 (SA) ipsec을 이용하여 안전한 통신을 하기 위해서는 두 통신 개체가 사용할 암호가 필요하다. 고유 번호인 spi를 통해 sa들이 식별된다. ipsec에서의 통신 단계 1단계 : 자신의 sa 디바이스를 검색하여 sa를 찾는다 2단계 : 서로 암호 알고리즘을 파악하고 sp..

네트워크 보안 공격 유형 수동적 공격 데이터에 대한 도청이나 감시를 의미하며, 전송중인 데이터를 획득하는 목적으로 시도된다. 메시지 내용 공개와 트래픽 공격 등이 있다. 능동적 공격 데이터에 대해 불법적 수정이나 거짓 데이터의 생성을 수반하는 서비스 거부 공격 등으로 구분된다. DoS 공격등을 능동적 공격으로 부른다. 네트워크 보안 모델 안전한 전송을 위하여 제 3자를 둔다. 보안 관련 변환을 수행하는 알고리즘의 설계로 변환의 목적을 파괴할 수 없어야 한다. 변환 알고리즘 사용될 비밀 정보의 생성 비밀 정보를 배분하고 공유하기 위한 방법의 개발 특정 보안 서비스를 위한 보안 알고리즘과 비밀 정보를 사용할 두 통신 주체가 사용할 프로토콜 지정 네트워크 접근 보안 모델 문지기 기능으로 인가된 사용자 외에 정..

윈도우 시스템 보안 PC 운영체제로 광범위하게 사용되고 잇는 윈도우는 계정 및 패스워드 관리, 접근 통제, 시스템 보안, 서비스 보안, 모니터링 등의 영역에서 보안 관리가 필요하다. 계정 및 패스워드 관리 Guest 계정 및 불필요한 계정 삭제 계정 잠금 설정 접근통제 불필요한 공유 폴더 점검 시스템 보안 관리자 계정 자동 로그온 차단 시작 프로그램 점검 서비스 보안 불필요한 startup 서비스 중지 터미널 서비스 점검 유닉스 계열 시스템 보안 서버 운영체제로 광범위하게 사용되고 있는 유닉스 계열 운영체제는 유닉스, 리눅스 계열 운영체제가 있으며 계정 및 패스워드 관리, 시스템 보안, 모니터링, 서비스 보안 등이 필요하다. 계정 및 패스워드 관리 취약한 패스워드를 사용하는 계정 점검 Default 패스..

데이터베이스 보안의 3원칙 기밀성 데이터베이스 내에 저장된 정보 유출 차단 무결성 인거자만 데이터베이스 정보의 변경 허용 가용성 지속적이고 중단 없는 데이터베이스 서비스 보장 데이터베이스 보안 위협 웹 보안 위협 취약한 식별 및 인증 데이터 유출 암호 모듈 오용 데이터베이스 위협 대응 접근토제 가상테이블 암호화 데이터베이스 접근통제 임의적 접근통제 정책 주체나 주체가 속해 있는 그룹의 신원에 근거하여 접근을 제한하는 방식이다. 강제적 접근통제 정책 비밀성을 갖는 객체에 대하여 갖는 권한에 근거하여 접근을 제어하는 방식이다. 접근통제 구축 방식 에이전트 방식 에이전트를 설치하고 전용 클라이언트를 사용하여 접근하는 방식이다 게이트웨이 방식 서버로 접속하기 위한 모든 요청을 접근통제 서버를 경유하도록 하는 방..

시큐어 코딩 개발단계에서 보안 약점을 제거함으로써 소프트웨어의 취약점과 해킹의 위험성을 줄여주는 방어적 프로그래밍 기법이다. 시큐어 SDLC 요구사항 정의 단계 잠재적 위협에 따른 보안 취약점 및 영향도를 분석한다. 분석 단계 보안 요구사항을 정의하고 보안 시스템 구축을 위한 개발자 교육을 실시한다. 코딩 단계 프로그래밍 언어의 약점과 강점을 파악하여 코딩 규칙을 정의하고 조치 내용을 점검한다. 테스팅 단계 동적 단위 테스트를 실시하고 보안 적용된 프로그램의 사용성 테스트를 수행한다. 유지보수 단계 보안 영향도 평가를 수행하고, 취약성을 점검한다. 시큐어 코딩 기법 JAVA SQL 삽입 공격 대응 PreparedStatement 객체를 이용하여 DB에 쿼리문을 날린다. 위 객체는 특수문자 및 쿼리 예약어..

정보보호 관리 체계 정보보호 관리 체계 (ISMS) 정보자산의 기밀성, 무결성, 가용성을 유지하기 위하여 정보보호 대책을 관리하고, 위험을 기반으로 한 정보보호 구축 등의 과정을 지속적으로 관리하는 체계를 말한다. 위험관리 조직이 관리하고 있는 정보자산을 식별하여 가치를 산정하고, 수용가능한 목표 위험 수준을 초과하는 위험에 대해서 보호 대책을 마련하는 과정이다. 위험식별 정보자산별 가치를 산정하고, 각 자산이 가지는 위험을 식별한다. 위험평가 업무, 조직, 위치 및 기술적 특성에 따라 정보보호관리체계 범위에 근거한 위험분석 범위를 선정한다. 위험평가 방법 정량적 기법 정성적 기법 기준선 접근법 전문가 판단법 상세위험 접근법 복합적 접근법 정보보호 및 개인정보보호 관리체계 (ISMS-P) 기존 정보보호관..