외로운 Nova의 작업실

- 정보통신 기반 보호법 1항 : 이법은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립 시행함으로써 동 시설을 안정적으로 운영하도록 하여 국가의 안전과 국민의생활의 보장하는 것을 목적으로 한다. 1항 : 정보통신기반시설이라 함은 국가안전보장 행정 국방 치안 금융 통신 운송 에너지 등의 업무와 관련된 전자적 제어 관리시스템 및 정보통신망 이용촉진 및 정보보호등에 관한 법률 제2조제1항제1호의 규정에 의한 정보통신망을 말한다. 2항 : 전자적 침해행위란 정보통신기반시설을 대상으로 해킹, 컴퓨터바이러스, 논리 메일 폭탄, 서비스거부또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격하는 행위를 말한다. 1항 : 주요정보통신기반시설의 보호에 관한 사항을 심의하기 위하여 국무총리 소..

- 주요 법률 및 기준 개인정보보호법, 개인정보의 안전성 확보 조치 기준(행정 규칙), 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보의 기술적 관리적 보호조치 기준, 위치정보의 보호 및 이용 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 - 개인정보보호법 개인정보보호법의 목적은 개인정보의 유출 오용 남용으로부터 사생활의 비밀등을 보호함으로써 국민의 권리와 이익을 증진하고 개인의 존엄과 가치를 구현하기위하여 개인정보의 처리에 관한 사항을 규정하는 것입니다. 개인정보보호법은 2011년3월에 제정되었습니다. 제1장(1조~6조) : 총칙 제2장(7조~14조) : 개인정보 보호정책의 수립 등 제3장(15조~28조) : 개인정보의 처리 제4장(29조~34조): 개인정보의 안전한 권리 제5장(3..

- 보안 제품 평가방법 및 기준 보증 평가는 시스템에서 보안과 관계되는 부분을 검사합니다. 예를 들어 TCB, 접근 통제 메커니즘, 참조 모니터, 커널, 보호 메커니즘 등의 항목을 검사합니다. 또한 이러한 구성요소들 사이의 상화작용 역시 평가됩니다. TCSEC는 orange book이라 불리는 rainbow series 라는 미국방부 문서중 하나입니다. TCSEC는 1960년대부터 시작된 컴퓨터 보안 연구를 통하여 1972년에 그 지침이 발표되었고 1983년에 세계 최초로 미국 정보보안 조례로 공표되었고 1995년에 공식화 되었습니다. TCB, 참조모니터, 보안 커널등의 개념을 도입하였고 효과적인 정보보호시스템 평가기준과 이러한 기준에 맞게 개발된 제품들을 평가하는데 초점을 두고 있습니다. A : 검증된..

- BCP(business continuty planning, 비즈니스 연속성 계획) BCP(business continuty planning)는 재난 발생시 비즈니스 연속성을 유지하려는 방법을 정의하는 문서로써 재해, 재난에도 정상적인 운영이 가능하도록 데이터 백업 및 단순 복구 뿐만아니라 고객 서비스 지속성 보장, 핵심 업무 기능을 지속하는 환경 조성을 목적으로 합니다. BCP(business continuty planning) 개발을 위해서는 기업이 운영하고 있는 시스템의 파악과 함께 비즈니스 영향 평가(BIA)가 선행되어야합니다. BCP는 사업활동이나 프로세스가 중단되는 것에대응하기위해 만들어졌습니다. - DRP(disaster recovery planning, 재난 복구 계획) DRP(disas..

- 위험 관리 위험 관리란 조직의 자산에대한 위험을 감수할 수 있는 수준으로 유지하기위하여 자산의 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정을 말합니다. 위험 관리 과정은 첫째 전략과 계획을 수립하고, 둘째 위험을 구성하는 요소들을 분석하고, 셋째 이러한 분석에 기초하여 위험을 평가하여, 넷째 필요한 정보보호 대책을 선정하고, 다섯째 이들을 구현할 계획을 수립하는 5가지 세부 과정으로 이루어집니다. 위험관리는 보안관리 활동에 있어 가장 핵심적인 부분입니다. 위험이란 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성을 의미합니다. 발생 가능성 * 손실의 정도로 표현할 수 있습니다. 또한 자산 * 위험 * 취약점으로도 표..

- 정보보호 거버넌스 정보보호 거버넌스는 회사의 이사회 및 경영진측에서 회사의 위험이 적절한 수준으로 관리되고 있음을 감독할 수 있는 메커니즘을 제공해야합니다. 거버넌스란 공유된 목적에 의해 일어나는 활동을 의미합니다. 책임성(Accountability) : 정보보호 활동의 성과에대해 누가 책임을 지는지를 말합니다. 비즈니스 연계성(Business Alignment) : 정보보호 활동이 기업의 비즈니스 목표 달성에 기여하는지를 말합니다. 준거성(Compliance) : 정보보호 활동이 원칙과 기준에 따라 수행되는지를 말합니다. 전략적 연계(strategic alignment) : 정보보호 거버넌스는 비즈니스, IT 목표 및 정보보안전략이 서로 연계되어야하며 최상위 정보보안 운영위원회의 역할과 책임을 명시..

- 각종 애플리케이션 보안 위협 및 대응책 감염된 시스템의 cpu와 네트워크 자원을 공격자 자신의 용도로 사용하는 종류로서 이렇게 감염된 시스템을 봇, 좀비라고합니다. 이 봇의 집합이 서로 협력하는 형태의 행동을 취할 수 있는데 이를 봇넷이라고 합니다. 악성 봇에 감염된 시스템은 악성 봇 유포자가 지정한 특정 서버에 접속하며 악성 봇에 감염된 시스템은 유포자의 명령에 따라 다른 시스템을 추가 공격하거나 사용자 정보를 유출합니다. 분산 dos : ddos 대상 컴퓨터 시스템이나 네트워크의 기능을 마비시키는 공격입니다. spamming 공격 : 수천대의 봇을 이용해서 매우 많은 양의 이메일을 보낼 수 있습니다. 새로운 악성코드 번식 : 새로운 봇을 번식시키는데 기존의 봇넷이 사용됩니다. IRC 채팅 공격 :..

- 침해사고 대응과 포렌식 cert(computer emergency response team)이란 해킹과 바이러스에 대항하는 보안 기술을 개발하고 서비스하는 컴퓨터 응급 대응센터입니다. 사고전 준비 과정 : 사고가 발생하기 전 침해사고 대응팀과 조직적인 대응을 준비합니다. 초기 탐지 : 정보보호 및 네트워크 장비에 의한 이상 징후 탐지, 관리자에의한 침해사고를 식별합니다. 초기 대응 : 초기 조사를 수행하고 기본적인 사고정황에대한 세부사항을 기록하며 사고대응팀 신고 및 소집과 침해사고 관련 부서에 통지합니다. 대응 전략 체계화 : 최적의 전략을 결정하고 관리자 승인을 획드합니다. 초기 조사 결과를 참고하여 소송이 ㅍ칠요한 사항인지 수사기관 공조가 필요한 사항인지를 판단합니다. 사고 조사 : 데이터 수집..

- 전자상거래 개요 광의적 개념의 전자상거래는 정부, 기업, 개인 간의 전자정보를 통하여 이루어지는 상거래 전반을 의미합니다. 협의적 개념의 전자상거래는 일반 소비자를 대상으로 인터넷이나 통신망을 이용한 상품 관련 정보를 제공, 협상, 주문, 마케팅, 판매활동을 수행하는 것을 말합니다. 전자상거래는 인터넷상의 불특정 다수간에 다양한 거래를 가능하게 하는 반면 정보보호의 측면에서는 커다란 불안요인을 안고 있습니다. - 전자상거래 보안 인증에대한 공격 : 공격자가 적절하지 못한 인증을 통해 다른 사용자로 위장합니다. 송수신 부인 공격 : 수행한 인증 및 거래 내역에대해 부인합니다. 기밀성에대한 공격 : 인증 정보 및 주요거래 정보가 유출됩니다. 무결성에대한 공격 : 거래정보등이 변조됩니다. 전자화폐란 디지털..

- 데이터베이스 기본개념 후보키(candidate key) : 키의 특성인 유일성과 최소성을 만족하는 키를 지칭합니다. 슈퍼키(super key) : 유일성을 만족하는 키를 지칭합니다. 기본키(primary key) : 여러개의 후보키중에서 하나를 선정하여 사용하는 것을 지칭합니다. 대체키(alternate key) : 여러개의 후보키 중에서 기본키로 선정ㄷ되고 남은 나머지키를 지칭합니다. 외래키(foreign key) : 어느 한 테이블이 다른 테이블의 기본키를 참조할때, 이 기본키를 외래키라합니다. 키 무결성(key integrity) : 한 테이블에 같은 키값을 가진 값이 있어서는 안됩니다. 개체 무결성(entity integrity) : 기본키에 속해있는 전체 또는 일부가 널값을 가질 수 없습니다..