분류 전체보기(266)
-
9. 데이터베이스 보안의 개요
데이터베이스 보안의 3원칙 기밀성 데이터베이스 내에 저장된 정보 유출 차단 무결성 인거자만 데이터베이스 정보의 변경 허용 가용성 지속적이고 중단 없는 데이터베이스 서비스 보장 데이터베이스 보안 위협 웹 보안 위협 취약한 식별 및 인증 데이터 유출 암호 모듈 오용 데이터베이스 위협 대응 접근토제 가상테이블 암호화 데이터베이스 접근통제 임의적 접근통제 정책 주체나 주체가 속해 있는 그룹의 신원에 근거하여 접근을 제한하는 방식이다. 강제적 접근통제 정책 비밀성을 갖는 객체에 대하여 갖는 권한에 근거하여 접근을 제어하는 방식이다. 접근통제 구축 방식 에이전트 방식 에이전트를 설치하고 전용 클라이언트를 사용하여 접근하는 방식이다 게이트웨이 방식 서버로 접속하기 위한 모든 요청을 접근통제 서버를 경유하도록 하는 방..
2021.10.17 -
8. 애플리케이션 보안
시큐어 코딩 개발단계에서 보안 약점을 제거함으로써 소프트웨어의 취약점과 해킹의 위험성을 줄여주는 방어적 프로그래밍 기법이다. 시큐어 SDLC 요구사항 정의 단계 잠재적 위협에 따른 보안 취약점 및 영향도를 분석한다. 분석 단계 보안 요구사항을 정의하고 보안 시스템 구축을 위한 개발자 교육을 실시한다. 코딩 단계 프로그래밍 언어의 약점과 강점을 파악하여 코딩 규칙을 정의하고 조치 내용을 점검한다. 테스팅 단계 동적 단위 테스트를 실시하고 보안 적용된 프로그램의 사용성 테스트를 수행한다. 유지보수 단계 보안 영향도 평가를 수행하고, 취약성을 점검한다. 시큐어 코딩 기법 JAVA SQL 삽입 공격 대응 PreparedStatement 객체를 이용하여 DB에 쿼리문을 날린다. 위 객체는 특수문자 및 쿼리 예약어..
2021.10.17 -
7. 보안관리체계와 표준
정보보호 관리 체계 정보보호 관리 체계 (ISMS) 정보자산의 기밀성, 무결성, 가용성을 유지하기 위하여 정보보호 대책을 관리하고, 위험을 기반으로 한 정보보호 구축 등의 과정을 지속적으로 관리하는 체계를 말한다. 위험관리 조직이 관리하고 있는 정보자산을 식별하여 가치를 산정하고, 수용가능한 목표 위험 수준을 초과하는 위험에 대해서 보호 대책을 마련하는 과정이다. 위험식별 정보자산별 가치를 산정하고, 각 자산이 가지는 위험을 식별한다. 위험평가 업무, 조직, 위치 및 기술적 특성에 따라 정보보호관리체계 범위에 근거한 위험분석 범위를 선정한다. 위험평가 방법 정량적 기법 정성적 기법 기준선 접근법 전문가 판단법 상세위험 접근법 복합적 접근법 정보보호 및 개인정보보호 관리체계 (ISMS-P) 기존 정보보호관..
2021.10.13 -
6. 최신기술 관련 보안 동향
IoT 보안 인터넷에 연결된 장치 수의 증가를 통해 위협 요소가 확장되었다. 물리적 조작을 많이하기 때문에 경제적 피해를 넘어 인명 피해가 발생할 수도 있다. 설계/적용 기기의 오용을 최소화 하면서 경량화 할 수 있는 방안을 고려한다. 프라이버시 보호 방법론을 적용한다. 보안 하드웨어 개발 기술 적용 시큐어 코딩 적용 소프트웨어 보안성 검증 시큐어 하드웨어 장치 활용 소프트웨어 보안 기술과 하드웨어 보안 기술 융합 클라우드 보안 클라우드 특성에 따라 저장된 데이터의 정확한 위치를 파악하기 어렵고, 여러 데이터가 뭉쳐있다는 것이 보안 우려의 출발점이 된다. 클라우드의 보안 위협 하이퍼바이저 감염 가상 머신 공격 공격자 추적 어려움 가상머신의 이동성 위협 대응 방안 송수신 데이터 보호 데이터의 저장 시 암호..
2021.10.12 -
5. 최신 정보 보안 위협
APT 공격 공젹자가 취약한 시스템이나 직원들의 컴퓨터 감염 악성코드를 이용하여 내부 네트워크 침투 침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집 및 공격 준비 취약한 시스템으로부터 중요 정보 유출, 시스템 파괴 APT 대응 방안 보안관리 및 운영, 교육 강화 엔드포인트 보안 접근권한 관리 중요정보 암호화 파밍 홈페이지를 접속할 때 가짜 사이트로 유도되어 접속 정보를 탈취하는 사기수법이다. 악성코드가 미리 설치되어 설정을 바꾸어야 성립된다. 파밍 대응방법 웹 브라우저의 보안 수준 강화 백신 프로그램을 업데이트한다 PC의 호스트 파일 위변조 여부를 수시로 확인 큐싱 QR 코드로 악성 링크로 접속하게 하거나 직접 악성코드를 감염시키는 공격기법이다. 파밍과 큐싱의 결합 악성코드가 기존 컴퓨터 인터넷 ..
2021.10.10 -
4. 접근 통제 기술
개요 접근통제란 사용자와 시스템이 상호작용을 하면서 누가 시스템에 접근하여 무슨 작업을 할 수 있는지를 통제하는 것을 말한다. 크게 3단계로 나뉜다. 식별 주체의 고유한 증표를 이용하여 시스템에 신원을 밝히는 과정이다. 인증 주체가 식별된 본인이 맞다는 것을 시스템에 증명해 보이는 과정이다. 인가 시스템이 인증된 사용자로 하여금 어떤 일을 할 수 있고, 어떤 객체에 접근할 수 있는가 제어하는 과정이다. 접근통제 정책 최소권한 정책 시스템 주체들은 그들의 활동을 위하여 필요한 최소 분량의 정보를 사용해야한다. 객체접근에 대하여 강력한 통제를 부여한다. 최대권한 정책 데이터 공유의 장점을 증대시키기 위하여 적용하는 최대 가용성 원리에 기반한다. 데이터 교환의 신뢰성으로 적용한다. 접근통제 정책 종류 강제적 ..
2021.10.10