*최소권한의 원칙 : 최소한의 권한만 허용 하여 권한의 남용을 방지
직무분리 : 업무의 발생, 승인, 변경, 확인, 배포등이 한사람에 의해 처리되지 않게 분리
*참조 모니터 : 주체의 객체에 대한 접근 통제 결정을 중재하는 OS의 보안 커널로서 일련의 소프트웨어이다. 우회 불가능, 부정조작 불가능, 검증가능성 특성 만족
1. 완전성
2. 격리
3. 검증성
*MAC(Mandatory Access Control)
:자동으로 시행되는 어떤 규칙에 기반하고 있다. 실제로 시행하기 우해 사용자와 타깃에 대해서 광범위한 그룹형성이 요구된다. rule-based, 강제적 접근통제, 주체의 객체에 대한 접근이 주체의 비밀취급 인가 레이블 및 객체의 민감도 테이블, 관리자에 의해서 권한이 할당되고 해제된다. 데이터에 의한 접근을 시스템이 통제, 비밀성을 포함하고 있는 객체에 대해 주체가 가지고 있는 권한에 근거하여 객체의 접근을 제한하는 정책.
주체와 객체의 특성에 관계된 특정규칙에 따른 접근통제 방화벽, Administratively-directed MAC, 객체에 접근 할 수 있는 시스템 관리자에 의한 통제, Compartment- based(CBP), 일련의 객체 집합을 다른 객체들과 분리, 동일 수준의 접근 허가를 갖는 부서라도 다른 보안 등급을 가질 수 있음, Multi-level Policy(MLP), Top Secret, Secret...과 같이 각 객체별로 지정된 허용등급을 할당하여 운용, 미국 국방성 컴퓨터 보안 평가 지표에 사용.
*DAC(Discretionary Access Control)
:객체의 소유자가 권한 부여, 접근하려는 사용자에 대해 권한을 추가 및 삭제, User, Identity –base, 사용자 신분에 따라 임의로 접근 제어, Unix, DBMS등의 상용 OS에서 구현이 가능, 접근 통제 목록 사용(ACL): Read, Write, Execute
*Non-DAC: 주체의 역할에 따라 접근할 수 있는 객체 지정, 기업내 개인의 작은 이동 및 조직 특성에 밀접하게 적용하기 위한 통제방식, Role-based, Task-based, 중앙관리자에 의해 접근 규칙을 지정
*RBAC(Role Based Access Control)
:권한들의 묶음으로 role을 만들어서 사용자에게 role단위로 권한을 할당하고 관리, 권한 할당과 해제의 편의성을 증대시키는 접근통제방법, 관리수월, 보안관리 단순화, 최소권한, 직무관리
MAC | DAC | RBAC |
System | Data Ownder | Central Authority |
Security Label | Identity | Role |
구현 어려움, 높은 비용 | 트로이 목마 공격 취약, id도용 | 접근 제어 정책에 제대로 반영 어려움 |
방화벽 |
| HIPAA(보건 보험) |
*Capability List
:주체별로 객체를 링크드 리스트로 연결하고 권한 할당한 구조, 권한을 알기위해 탐색이 오래 걸리는 문제좀 존재
*Access Control List
:주체와 객체간의 접근권한을 테이블로 구성, 행에 주체 열에 객체 교차점에 권한, 분포도가 안정적일 때 적합, 객체기반 접근 제어(DAC), 테이블이 객체 관점
*Content Dependent Access Control(CDAC)
:데이터 베이스에서 가장 많이 사용되며 내용에 의해 이루어지는 접근통제방식 수행, 즉 데이터베이스에 사용자 정보 등록하고 입력된 정보와 비교하여 접근통제 수행
*패딩(Padding): 평문 마지막 블록이 암호되기 전 데이터로 채워지는지 정하는 법
*운영모드(operational Mode): 암호모드는 평문블록이 암호문블록으로 암호화 되는 방법을 결정
*대칭키 암호화 알고리즘
Transposition : 평문과 암호문 사용문자 집합 동일이 일대일
Substitution: 평문과 암호문 사용문자 집합 동일 상관없음
*암호문 단독공격: 암호 해독자는 단지 암호문만 가지고 평문, 키를 찾아내는 방법
기지 평문 공격 : 일정량 평문에 대응하는 암호문을 알고 공격
선택 평문 공격 : 평문을 선택해 암호문 습득 가능
선택 암호 공격 : 암호에 대해 평문 습득
*BLP : 허가된 비밀정보에 허가되지 않은 방식의 접근을 금지하는 기밀성 강조, MAC에 사용하는 최초의 수학적 모델
*Biba: 무결성을 목표로 주체에 대한 객체 접근 항목의 무결성을 다룬다.
*Clark-Wilson: 무결성 중심 상업적 모델로 주체, 소프트웨어, 객체, 직무분리 감사로 무결성 3가지 목적 구현
*위험수용 : 위험을 받아들이고 비용감수
위험감소 : 대책을 채택해 구현
위험회피 : 위험이 존재하는 프로세스나 사업 포기
위험전가 : 잠재적 비용을 제 3자에게 이전하거나 할당
*접근권한 부여, 변경, 말소에 대한 내역 기록
1. 개인안전 보호법 : 개인정보처리자 : 최소 3년
2. 정보통신망법 : 정보통신 서비스 제공자등 : 최소 5년
*접속 기록의 점검 및 관리
1. 개인정보보호법: 개인정보처리자 : 반기별 1회이상
2. 정보통신망법 : 정보처리자 : 월 1회 이상
*접속기록 보존관리
1. 개인정보보호법 : 개인정보처리자 : 6개월 이상
2. 정보통신망법 : 정보처리자 : 최소6개월 이상
3. 개인통신망법 : 기간통신사업자 : 최소 2년
*ISMS(Information Security Management System)
:한국인터넷진흥원에서 인증을 부여하는 것으로 정보통신 서비스를 제공하는 정보통신 제공자에 대한 인증이다.
의무 인증 대상자:
1. ISP 사업자로 전국적 통신망 서비스 제공사업자.
2. 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신 시설을 운영, 관리하는 사업자
3. 정보통신 매출액 100억 또는 이용자수 직전 3개월간의 일일 이용자수 100만명 이상인 사업자
4. 연간 매출액 및 세입이 1500억 이상인 기업중 상급종합병원, 1만명 이상 재학생이 있는 학교.
*주요 정보통신 기반시설의 지정
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가, 사회적 중요성
2. 제 1호 규정에 의한 기관이 수행하는 업무의 정보통신 기반시설에 대한 의존도
3. 다른 정보통신기반시설과의 상호 연계성
4. 침해사고가 발행할 경우 국가 안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 발생가능성 또는 그 복구의 용의성
*개인정보영향 평가시 고려사항
1. 처리하는 개인정보의 수
2. 개인정보의 제 3자 제공여부
3. 정보주체의 권리를 해할 가능성 및 그 위험도
4. 대통령 령으로 지정된 사항
5. 민감한 정보 또는 고유식별정보의 처리여부
6. 개인정보 보유기관
'정보보안기사 > 정보보안기사 필기' 카테고리의 다른 글
| 정보보안기사 필기정리8 (0) | 2018.04.08 |
|---|---|
| 정보보안기사 필기정리7 (0) | 2018.04.08 |
| 정보보안기사 필기정리5 (0) | 2018.04.08 |
| 정보보안기사 필기정리4 (0) | 2018.04.08 |
| 정보보안기사 필기정리3 (0) | 2018.04.08 |