정보시스템 구축관리 - 시스템보안 구축
시스템보안설계 개념
- 비지니스문제를 방지하고 해결하기 위해 안전한 정보시스템 환경을 구축
- 관리적, 기술적, 물리적 차원의 보안
- 정보시스템 보안 구축 계획 수립
- 정보시스템 설계서를 작성
시스템 보안설계 대상
- 계정관리
- 사용자식별을 위한 가장 기본적인 수단
- 파일, 자원, 정보에 대한 소유권을 가진 계정
- 패스워드관리
- 허가없이 데이터베이스나 파일에 접속하는 것을 방지
- 세션관리
- 망 환경에서 사용자간 또는 컴퓨터간에 대화를 위한 논리적인 작업
- 접근통제
- 사용자가 컴퓨터 시스템이나 프로그램을 이용하기 위해 최초로 접속을 시도하는 것
- 권한관리
- 책임을 수행하기 위하여 필요한 권한의 의미로 직책 수행에 필요한 결정권 및 기타재능의 수단을 합한 것
- 취약점관리
- 공격자가 시스템의 정보보안을 낮추는데 사용되는 약점
- 취약점 관리는 취약점을 확인, 분류, 치료, 완화 시키는 주기적인 과정
서비스 공격유형
- 수동적 공격
- 네트워크나 시스템의 정보를 보기만 하는 것
- 스니핑 - 네트워크상에 지나다니는 패킷을 캡처하여 그 안에 있는 내용을 들여다 보는 기술
- 대화를 엿듣는것
- 도청
- 전기적신호를 분석해 정보를 찾아내는 것
- 능동적 공격
- 네트워크나 시스템의 취약점을 이용해 데이터를 변조하거나 수정하는 것
- 스푸핑
- IP스푸핑
- 다른 컴퓨팅 시스템인 것처럼 가장 하기위해 거짓 소스IP주소로 인터넷 프로토콜 패킷을 만드는 일
- DNS스푸핑
- 실제 도메인네임시스템서버를 해킹하거나 위조 DNS서버를 설치하여 공격하는 방법
- DOS
- Teardrop
- 서비스 거부 공격의 하나로 공격대상 컴퓨터에 헤더가 조작된 일련의 IP패킷조각을 전송함으로써 컴퓨터의 OS를 다운 시키는 공격
- Smurf공격
- 희생자의 스푸핑된 원본IP를 가진 수많은 인터넷 제어 메세지프로토콜 패킷들이 IP브로드캐스트 주소를 사용하여 컴퓨터 네트워크로 브로드캐스트하는 분산 서비스 거부 공격
- TCP SYN Flooding 공격
- TCP 초기 연결과정인 3-way Handshaking을 이용한 보안공격
- TCP 연결설정 과정의 취약점을 이용한 보안 공격
- DDOS
- 여러대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격을 하는 방법
- 트리누 공격
- 통합된 UDP folld서비스 공격을 유발하는데 사용되는 도구
- TFN(Tribe Flood Network)공격
- UDP flood, TCP SYN Flood, ICMP echo 요청, Smurf공격
- Stacheldraht공격
- TFN2K공격
- TFN의 발전된 형태 특정 포트를 사용하지 않고 암호화 수행
정보보안 침해 공격
- 웜 - 네트워크에서 주로 연속적인 복사기능을 수행함으로써 자가 증식해 기억장치를 소모하거나 파괴하는 것
- 랜섬웨어 - 파일에 접근을 차단하고 금품을 요구
- 백도어 - 외부에서 접근할 수 있는 빈틈을 만들어 해킹에 취약한 부분을 만들어 둠
- 현재 동작중인 프로세스 및 열린 포트 확인
- SetUID 파일검사
- 바이러스 및 백도어 탐지 툴 사용
- 무결성 검사
- 로그분석
- 트로이목마 - 컴퓨터에 몰래 숨어있다가 사용자의 정보를 몰래 유출하는 악성코드의 일종
시스템인증
- 인증이란 참이라는 근거가 있는 무엇인가를 확인하거나 확증하는 행위
- 어떤 대상을 인증하는 것은 이에 대한 출처를 확인하는 것을 뜻하는 반면, 사람을 인증하는 것은 신분을 구성하는 것을 말하며 인증은 하나이상의 인증 요인에 따라 달라진다.
- 컴퓨터 시스템 보안에서 인증은 로그인 요청등에 의해 통신상에서 보내는 사람의 디지털 정체성을 확인하는 시도의 과정이다.
접근통제모델
- DAC
- 임의적 접근 통제
- 정보소유자가 정보의 보안수준을 결정하고 그에 대한 접근 통제까지 설정하는 모델
- 중앙 집중화된 정보관리가 어렵다
- MAC
- 강제적 접근통제
- 중앙 집중화된 정보 관리
- Bell-Lapodulo모델
- Biba모델
- RBAC
- 역활기반 접근 통제
- 사람이 아닌 직책에 대한 권한을 부여하는 것
보안아키텍처
- 정보시스템의 무결성, 가용성, 기밀성을 확보하기 위해 관리적, 기술적, 물리적 보안요소 및 이들간의 관계를 식별하고 정의한 구조
- 보안 아키테처는 하나의 응집된 보안관련 설계로 특정환경이나 시나리오에 있어 인증, 권한 등과 같이 특정 위험의 요규사항들을 다룸으로써 어떤 보안 통제들이 어느 곳에 적용되어야 하는지 명시
- 정보보호 관리체계 구축가이드 제시
- 보안 표준 및 원칙 제시
- 보안 기술의 가이드 제시
- 정보자산을 보호하기 위한 다양한 보안 통제 대책 제시
- 기대효과
- 종합적인 보안개념수립
- 보안관리능력향상
- 일관된 보안수준 관리
보안프레임워크
- 정보보호의 목적을 이루기 위한 통제 프레임워크
시스템보안 구현개념
- 시스템 보안구현이란 안전하고 신뢰성있는 시스템 보안을 설계된 내용으로 실제 하드웨어 및 소프트웨어 등으로 구성된 시스템 보안을 작동할 수 있도록 서버 및 관련 소프트웨어의 구성을 변경하거나 각종 파라미터 등을 설정하는 것을 의미
- 시스템 보안의 구현 범위
- 하드웨어 서버, 소프트웨어 계정관리, 패스워드관리, 접속관리, 세션관리, 권한관리, 로그관리. 취약점 관리
로그분석
- 데이터를 기록한 것 혹은 데이터의 인쇄를 기록
- 시스템 내부 혹은 네트워크를 통한 외부에서 시스템에 어떤 영향을 미칠 경우 해당 사항을 기록하여 문제해결 및 예방활동에 활용
- 사용자가 시스템에 로그인하여 명령을 내리는 과정에 대한 시스템의동작에 대해 인증, 인가, 계정에 대한 로그를 기록
- 로그는 중앙시스템 또는 분산 관리
보안솔루션
- 네트워크의 방화벽
- 접근제어
- 로깅과 감사추적
- 침입 탐지 시스템(IDS)
- 침입 방지 시스템(IPS)
- VPN
- 가장 일반적인 보안 솔루션
- 저렴하고 공용망을 사설망으로 개인적으로 사용 가능
- NAC
- IP관리시스템에서 발전한 솔루션
- 접근제어 및 인증
- PC 및 네트워크 장치 통제(무결성)
- 해킹, 웜, 유해트래픽 탐지 및 차단
- 보안운영체제
- 운영체제에 내재된 결함으로 발생할 수 있는 해킹으로부터 시스템을 보호하기 위한 보안
- 스팸필터 솔루션
- DRM(디지털저작권관리)
- 문서보안에 초점을 둔 기술로 문서의 열람, 편집, 인쇄 등을 관리
- DPL(데이터유출방지)
- 다양한 데이터 전송 인터페이스를 제어하여 사용자 수준에서 정보가 유출되는 것을 막는 솔루션을 통칭
- 매체 제어
- 통신인터페이스 제어
- 인터넷통신 제어
취약점분석
- 취약점 분석 평가란 악성코드 유포, 해킹 등 사이버 위험에 대한 주요정보통신기반시설의 취약점을 종합적으로 분석 평가 개선하는 일련의 과정
- 취약점 분석 평가 단계
- 계획수립
- 대상선별
- 분석수행 - 관리적, 물리적, 기술적
- 평가수행 - 기밀성, 무결성, 가용성
시스템 보안 구현도구
- 시스템의 기밀성, 무결성, 가용성을 보장하기 위해 시스템 취약점으로부터 시스템 보안을 구현하기 위해 필요한 연장 혹은 수단 방법
- MBSA
- Nmap
- NBTScan
RIP프로토콜(Routing Information Protocol)
- 거리 벡터 방식을 사용하는 내부 라우팅 프로토콜 중 가장 간단하게 구현
- 경로를 서렁하는 기준은 거리 카운트로써 최대 15개 까지만 혀용
- 메모리등의 자원을 적게 사용하여 소규모 네트워크 상에서 효율적임
- 표준 라우팅 프로토콜로 모든 재조사의 라우터에서 지원
- 홉수가 16이상이면 네트워크를 찾지 못하여 데이터를 보내지 못함
댓글 영역