*공격자관점
- ket point : 보안 조치를 통해 취약점을 제거하고 보안 위험을 줄일 수 있다!
: 경제적 측면을 고려하면서 보안 대책을 정의하려면 체계적인 접근이 필요하다.
1. 보안자산 (Security Asset)
- 제품의 이해 관계자에게 가치가 있는 것
- 유형, 무형의 상태
- 유형의 예로는 현금, 장비, 하드웨어
- 무형의 예로는 소프트웨어, 영업권 및 지적 재산권
2. 취약점 (Vulnerability)
- 정의 : 시스템을 위협의 영향에 노출시키는 시스템의 약점
- 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 열람을 가능하게 하는 약점을 포함한다.
- 사용자 및 관릴자의 부주의나 사회공학 기법에 의한 약점을 포함한다.
약점 : 개발 단계에서 발생하는 보안 관련 오류
: 공격에 활용될 여지가 있는 오류 / 즉, 이론상 존재하는 위험 요소
취약점 : 운영 단계에서 발생하는 보안 관련 오류
: 실제로 공격 구현이 가능한 오류 / 즉, 구현이 실제적으로 가능한 것
3. 위협 행동 (Threat Action)
- 정의 : 피해를 입힐 의도로 목표 대상에 취한 모든 조치. 공격자가 자신의 목표를 달성하기 위한 전략
위험 : 외부의 위협이 내부의 취약성을 이용하여 보유한 각종 자산에 피해를 입힐 수 있는 잠재적인 가능성
: 위협 요소가 일으킬 수 있는 피해
: 관리가 가능하다. (취약점/약점 또한 조치가 가능하다.)
위협 : 위험을 일으킬 소지가 다분한 요소
: 제어가 되지 않는다.
4. 적절한 보안 조치를 정의하는 방법은?
- 100% 완벽한 보안은 불가능하다.
- 경제적 관점의 보안 균형을 유지해야 한다. ( 위험과 비용의 균형)
- 보호하려는 대상의 위험을 알아야 한다.
*방어자관점
- key point : 보안 목적 정의는 보호 대상에 적용하려는 보안 개념의 기초를 설정하는 매우 중요한 단계이다.
: 하나의 보안 조치는 새로운 보안 목적과 요구사항을 발생 시킬 수 있다.
1. 보안목적 (Security Objective)
- 정의 : 정보 보호 시스템을 통하여 궁극적으로 달성하고자 하는 최종 보안 요구 사항을 뜻한다. 최종 보안 요구 사항으로는 기밀성, 무결성, 가용성 등이 있다.
- 보안의 3요소 "CIA"
1) 기밀성 Confidentiality : 인가된 사용자만 정보 자산에 접근할 수 있는 것 (암호, 방화벽, 패스워드)
2) 무결성 Integrity : 적절한 권한을 가진 사용자가 인가한 방법으로만 정보를 변경할 수 있도록 하는 것
3) 가용성 Availability : 필요한 시점에 정보 자산에 대한 접근이 가능하도록 하는 것
2. 보안 요구사항 (Security Requirement)
- 정의 : 보안 목적을 달성하기 위한 매우 자세한 기능적 / 비 기능적 사양
3. 보안조치 (Security measures)
- 정의 : 보안 조치는 기밀성, 무결성 또는 가용성의 손실을 예방, 탐지 및 복구하는 기술적인 메커니즘 또는 조직적인 대책이다.
4. 정보보호 기술 개발 프로세스
1) 보안 목적 식별
2) 보안 요구 사항 도출
3) 보안 조치 정의
4) 1~3 반복 (필요시)
'전공과목 스터디' 카테고리의 다른 글
[Git] 깃허브 사용법 / 깃허브 연결하기 (0) | 2024.02.23 |
---|---|
보안개론 중간고사 정리 (1) | 2023.05.15 |
Chapter 3 Lossless Data Compression (0) | 2023.05.13 |
Chapter 1 Multimedia Introduction (0) | 2023.05.06 |
모바일플랫폼 중간정리 <1> (0) | 2023.05.05 |