Section 01. 정보 보호 ★★
1. 무결성
- 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있는 보안 요소
# 기밀성(Confientiality, 비밀성) : 인가된 사용자만이 데이터에 접근할 수 있도록 제한하는 것
# 부인 방지 : 송 수신자 간에 전송된 메시지에 대해서, 송신자는 메시지 송신 사실을, 수신자는 메시지 수신 사실을 부인하지 못하도록 함
# 가용성(Availability) : 인가된 사용자가 원하는 시간이나 장소에서 필요 정보에 접근할 수 있고, 사용할 수 있도록 보장하는 성질
2. 정보보호의 목적 중 '기밀성'을 보장하기 위한 방법
- 접근 통제 및 암호화
3. 정보보안의 3대 요소
- 기밀성, 무결성, 가용성
4. XSS
- 웹 페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도함으로써, 정보 유출 등의 공격을 유발할 수 있는 취약점
- 취약한 홈페이지의 소스 코드를 분석하여 수정한 뒤, 홈페이지에 접근하는 사용자에게 링크 클릭을 유도하여 사용자의 컴퓨터에 악성 프로그램이 불법적으로 설치되도록 하는 데 가장 많이 사용됨
# Ransomware : 인터넷 사용자의 컴퓨터에 침입해 내부 문서 파일 등을 암호화해 사용자가 열지 못하게 하는 공격, 암호 해독용 프로그램의 전달을 조건으로 사용자에게 돈을 요구하는 악성 프로그램
# Pharming : 사용자가 자신의 웹 브라우저에서 정확한 웹 페이지 주소를 입력해도 가짜 웹 페이지에 접속하게 하여 개인정보를 훔치는 것
# Phising : 특정 웹 사이트를 가짜로 개설하여 기존 이용자들에게 접근하도록 한 후 정보를 빼내는 악의적인 기술
# Click Jacking(클릭 탈취) : 공격자가 사용자로 하여금 거의 자신도 모르게 어떤 것을 클릭하도록 속이는 것, 사용자는 특정 웹 페이지를 클릭하지만 실제로는 다른 불법 페이지의 콘텐츠를 클릭하게 되는 것
Section 02. 시스템 보안 ★★★
1. 가용성
- 시스템에 로그인하여 명령을 내리는 과정에서 시스템의 동작에 대해 기록하지 않는 로그(인증, 인가, 계정에 대한 로그)
2. 로그 설정 파일 중 메시지의 우선 순위
ⓞ emerg
① alert
② crit
③ err
④ warning
⑤ notice
⑥ info
⑦ debug
3. 시스템 로그 파일은 여러 개가 존재하며 수록되는 로그 정보도 다양함
로그파일과 그 역할 연결
utmp : 현재 사용자의 정보를 기록
syslog : 운영체제와 응용 프로그램의 실행 내용을 기록
acct : 사용자가 실행한 응용 프로그램 관리 기록
wtmp : 로그인, 리부팅한 정보를 기록
btmp : 5번이상 로그인 실패한 정보를 기록
5. 로그 설정 파일의 옵션
* : 모든 레벨 적용
= : 해당 레벨만 적용
! : 해당 레벨만 제외
Section 03. 시스템 인증 ★★★
1. 단일 사용자 인증은 하나의 인증요소만 사용하는 방법으로 3가지 중의 하나를 이용하여 인증을 받는 방법
- What you know : 비밀번호나 PIN
- What you have : 인증키, 인증카드
- What you are : 지문, 망막
2. 생체 인증 기법
- 정적인 신체적 특성 또는 동적인 행위적 특성을 이용할 수 있음
- 인증 정보를 망각하거나 분실할 우려가 거의 없음
- 지식 기반이나 소유 기반의 인증 기법에 비해 일반적으로 인식 오류 발생 가능성이 적지 않기 때문에 많은 기술 개발이 필요
- 인증 시스템 구축 비용이 비교적 많이 든다
3. RBAC(Role-Based Access Control,역할 기반 접근 제어) 모델
- 대상 기반의 접근 제어가 아니라 특정한 역할들을 정의하고 각 역할에 따라 접근 권한을 지정하고 제어하는 방식
- 조직의 사용자가 수행해야 하는 직무와 직무 권한 등급을 기준으로 객체애 대한 접근을 제어
4. 정보의 접근 통제 정책
정책 MAC DAC RBAC 권한 부여 시스템 데이터 소유자 중앙 관리자 접근 결정 보안 등급(Label) 신분(identity) 역할(Role) 정책 변경 고정적(변경 어려움) 변경 용이 변경 용이 장점 안정적 중앙집중적 구현 용이, 유연함 관리 용이
5. 핫 사이트(Hot Site)
- 재해복구센터에 주 센터와 동일한 수준의 시스템을 대기 상태로 두어, 동기적 또는 비동기적 방식으로 실시간 복제를 통하여 최신의 데이터 상태를 유지하고 있다가, 재해시 재해복구센터의 시스템을 활성화 상태로 전환하여 복구하는 방식
예상문제
1. 정보보호
- 정보의 송수신 중 발생할 수 있는 정보의 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단을 마련하는 것
# 암호 분석 : 보호된 정보를 사전에 정보 없이 해독하는 기술
# 무결성 : 중요한 정보가 전송 과정에서 변경되지 않았는가를 확인하는 기술
# 암호화 : 전달하려는 정보를 지정한 사람 외에는 알아보지 못하도록 표현하는 기술
2. 보안 서비스
- 데이터 무결성 : 메시지가 중간에 복제 추가 수정되거나 순서가 바뀌거나 재전송됨이 없이 그대로 전송되는 것을 보장
- 접근 통제 : 비인가된 접근으로부터 데이터를 보호하고 인가된 해당 개체에 적합한 접근 권한을 부여
- 부인 봉쇄 : 송수신자 간에 전송된 메시지에 대해서, 송신자는 메시지 송신 사실을, 수신자는 메시지 수신 사실을 부인하지 못하도록 함
4. 정보보호의 주요 목적
- 기밀성(Confidentiality) : 인가된 사용자만이 데이터에 접근할 수 있도록 제한하는 것
- 가용성(Availability) : 필요할 때 데이터에 접근할 수 있는 능력
- 무결성(Integrity) : 정보를 권한이 없는 사용자에 의해서 변경, 변조 삭제되지 않도록 유지하는 성질
- 가용성 : 식별, 인증 및 인과 과정을 성공적으로 수행했거나 수행중일 때 발생하는 활동
- 책임성(Accountability) : 제재, 부인방지, 오류 제한, 침입 탐지 및 방지, 사후 처리 등을 지원하는 것을 말함
6. SQL Injection
- 공격자가 사용자의 명령어나 질의어에 특정한 코드를 삽입하여 DB 인증을 우회하거나 데이터를 조작
- 특정 홈페이지의 아이디와 패스워드를 입력받아 인증을 받는 텍스트 박스등과 같은 곳에 데이터 베이스 SQL 조건의 허점을 이용하여 공격자가 침범하는 공격 행위
7. 패스워드의 할당은 규정된 관리 절차에 의해 통제한다. 패스워드 관리의 설명
- 패스워드를 사용자들이 직접 관리하는 경우, 초기에 관리자에 의해 제공되는 임시 패스워드를 사용자들이 즉시 바꾸어 관리하도록 함
- 임시 패스워드는 안전한 방법으로 사용자에게 제공해야 함
- 제3자 활용 또는 보호되지 않은 명확한 문구나 전자우편은 피해야 함
- 패스워드 분실로 임시 패스워드를 교부하는 경우 사용자의 신원을 확인한다
- 패스워드의 안전성을 확보하기 위해 스마트카드, 일회용 패스워드, 지문 인식 등 다른 방법등의 사용을 고러
8. 패스워드 요건
- 일반 사전 단어 사용을 금지
- 연속 숫자 4자리 이상 사용을 금지
- 접속 시 일정 횟수 이상 패스워드 실패 시 강제 잠금 기능을 활성화
- 패스워드를 영대문자, 영소문자, 숫자, 특수문자 중 2종류로 생성한 경우 최소 10자리 이상 자릿수를 부여
- 패스워드를 영대문자, 영소문자, 숫자, 특수문자 중 3종류로 생성한 경우 최소 8자리 이상 자릿수를 부여
10. 계정(Account)
- 계정은 컴퓨터 시스템 내의 자신의 작업 영억
- 시스템 관리자 계정은 사용자 계정과 암호의 할당, 보안 접근 수준 설정 등의 작업을 수행
- 패스워드는 컴퓨터 시스템에 접속을 요구하는 사용자가 정상 사용자임을 확인하기 위해 사용되는 일련의 문자열
- 계정은 여러 사람이 사용하는 컴퓨터 시스템을 사용하기 위해 로그인 할 수 있는 권리를 부여하는 것으로 네트워크에 접속할 때 반드시 필요
12. 로그 설정 파일의 서비스 이름과 메시지 내용
auth : 보안 및 인증 관련 메시지로 패스워드 변경
lpr : 프린트 데몬의 메시지
cron : 클론 데몬(정해진 시간에만 실행되는 프로그램)에 의해 발생되는 메시지
uucp : 유닉스와 유닉스 시스템 사이에서 발생하는 통신 메시지
authpriv : 개인별 보안 및 인증 관련 메시지로 인증 성공, 실패, 계정 정보 변경 내용
'자격증 > 정보처리산업기사' 카테고리의 다른 글
| Part 03. 데이터베이스 활용 | Chapter 01. 데이터베이스의 개요 (0) | 2022.02.08 |
|---|---|
| Part 02. 프로그래밍 언어 활용 | Chapter 05. 보안 공격 및 예방 (0) | 2022.02.08 |
| Part 02. 프로그래밍 언어 활용 | Chapter 02. 프로그램 구현 (0) | 2022.02.07 |
| Part 02. 프로그래밍 언어 활용 | Chapter 02. 프로그래밍 언어 활용 (0) | 2022.02.06 |
| Part 02. 프로그래밍 언어 활용 | Chapter 01. 프로그래밍 언어 기초 (0) | 2022.02.06 |
