250x250
반응형
Notice
Recent Posts
Recent Comments
Link
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Archives
Today
Total
관리 메뉴

개발자라면 한번쯤은 보러오는 곳

[Information System Security] 정보보호와시스템보안 본문

학교 수업/Information System Security

[Information System Security] 정보보호와시스템보안

okpyo11 2022. 10. 9. 10:43
728x90
반응형

Security Goals

  • Confidentiality : 기밀성 -> 다른 사람에게 유출되면 안된다!
  • Integrity : 무결성 -> 내용이 바뀌지 않았음을 증명
  • Availability : 가용성

Confidentiality(기밀성)

- 허가 되지 않은 정보의 유출을 막는다.

- 기밀 유지에는 데이터 보수가 수반된다. 다른 사람들이 그 내용에 대해 알 수 없게 하며 해당 사람에게는 엑세스를 제공한다.

 

-> Encryption : 비밀을 이용한 정보 변형, 변환된 정보를 암호화 키라고 한다. 해독해야 읽을 수 있다.

-> Access control : 접근 제어, 기밀 정보에 대해 '알아야 할' 권한이 있는 사용자/시스템에게만 엑세스를 하도록 제한한다.

-> Authentication : 인증

    - something the person has / 그 사람이 가지고 있는 것 ex) 공인인증서, 차 스마트키, 학생증...

    - something the person knows / 그 사람이 가지고 알고 있는 것 ex) password...

    - something the person is / 그 사람인 것 ex) 지문, 홍채...

-> Authorization : 인가, 사용자/시스템이 액세스 제어 정책에 따라 리소스에 대한 액세스를 허용할지 여부 결정

-> Physical security : 물리적 보안 ex) 잠금장치, 금고...

Integrity(무결성)

- 정보가 무단으로 변경되지 않는 속성

 

-> Backups : 데이터의 정기적 보관

-> Checksums : 파일 내용을 숫자에 매핑하는 함수의 계산, 함수는 파일 전체 내용에 따라 달라짐, 작은 변경이라도 출력에 영향 -> 몇 비트가 깨졌는지 알 수 있음

-> Data correcting codes

 : 변경 사항을 감지하여 자동으로 수정 할 수 있도록 데이터 저장

 

Message M의 Integrity 검증

  1. CBC checksum
  2. Hash H(k||M)
  3. 전사 서명(K-A(m))

Availability(가용성)

- 권한이 부여된 자에 의해 적시에 정보에 접근하고 수정 할 수 있는 속성

- 서비스가 활성화되지 않는 보안은 의미가 없음

 

-> Physical protection : 물리적 문제가 발생해도 정보를 사용 할 수 있도록 하는 인프라

-> Computational redundancies : 시스템 장애에 대비한 여분의 컴퓨터와 저장 장치

Other Security Concepts

  • Assurance : 보증 -> 컴퓨터에서 신뢰가 제공되고 관리되는 방법
    • Policies, Permissions, Protections
  • Authenticity : 확실성, 검증 -> 전자 서명, nonrepudiation : 부인 봉쇄
  • Anonymity : 익명성
    • Aggregation : 집계, 어떤 개인과 연계되지 않도록 많은 개인의 데이터 결합, 평균, 총합..
    • Mixing : 어떤 개인도 추적 할 수 없는 방법으로 섞기
    • Proxies : 추적을 할 수 없는 방식, 웹 사이트 경유...
    • Pseudonyms : 가명, 실제 신분을 대체함

Treats and Attacks

  • Eavesdropping : 감청, 도청, 중간에 엿듣기
  • Alteration : 변조, 값 변화
  • Denial-of-service : 서비스 거부  ex) DDos 공격, email을 많이 보내서 중요메일 확인 불가
  • Masquerading : 다른 사람의 신원으로 속이기
  • Repudiation : 부인하기, 우기기 -> 이를 막기 위해 전사서명 필요
  • Correlation and traceback : 여러 데이터 정보 흐름 통합

Security Principles

  1. Economy of mechanism : 보안이 좋아도 경제성이 있어야 한다, 가치 -> 배보다 배꼽이 더 큰경우 
    1. ex) 1억을 지키기 위해 2억짜리 금고사용 x
  2. Fail-safe defaults
    1. ex) 보안 강화 장비의 고장, 우선순위를 잘 고려해야한다.
  3. Complete mediation
  4. Open design
  5. Separation of privilege : 권한을 최대한 나누어 놓기 -> 한 사람에게 모든 권한 부여 X
    1. 개발과 운영을 모두 잘하는 능력(DevOps)
  6. Least privilege : 권한 부여시 정해진 부분의 권한만 주기, 최소한의 권한
  7. Least common mechanism
  8. Psychological acceptability
  9. Work factor
  10. Compromise recording

Security Words

  • Role-based Access Control
    • 권한을 사람에게 주지 X, 역할에게 주어라, 정해진 역할에 대해서만 권한을 주어라.
  • Caesar Cipher(시저 암호)
    • 최초의 암호
    • 3개의 단어의 위치를 미는것
  • Digital Signature : 전자 서명
    • 자신의 개인키로 암호화 -> 전사 서명을 확인하고자 하는 사람이 대응하는 공개키로 확인
  • Cryptographic Hash functions
    • A checksum on a message
    • One-way : 단방향, Y=H(m)은 계산하기 쉬워야 하지만, 주어진 Y로만 M을 찾는 것은 어렵다.
    • Collision-resistant : 충돌 방지, H(m) = H(n) 과 같은 m, n 의 두 메세지를 찾긴 어렵다.
    • ex) SHA-1, SHA-256
  • Message Authentication Codes

Crypto Protocol

Symmetric-key algorithm : 대칭키 알고리즘

- 모든 사람들이 같은 비밀 키를 가지고 있는 것

  • Encryption : Ks(m)
  • Decryption : Ks(Ks(m)) = m

Asymmetric-key algorithm : 비대칭키 알고리즘, 공개키 암호 알고리즘 = asymetic crypto

  • Encryption : Ks+(m) -> 공개키로 암호화
  • Decryption : Ks-(Ks+(m)) = m -> 공개키에 대응하는 개인키로만 해독이 가능
  • Sign : Ka-(m) -> 부인봉쇄
  • Verification : Ka+(Ka-(m)) = m

Social Engineering attack

  • Pretexting : 관리자 또는 운영자가 비밀 정보를 공개하도록 설득하는 이야기를 만드는 것
  • Baiting : e-mail로 선물 보내는 척, 비밀번호 입력하라고함, 피싱이메일
  • Quid pro quo : 행동이나 서비스를 제공하고 그 대가로 무언가를 기대하는 것
728x90
반응형
Comments