정보보호개론
1. IT Governance 및 IS통제의 프레임 워크로 사용되는 모형=> COBIT 모형을 사용
1) 조직의 경영진과 업무 프로세스 책임자들에게 IT에 수반되는 위험을 이해시키고 관리할 수 있도록 도움을 주는 IT관리모델
2) 경영의 요구사항을 충족시키기 위해 IT자원에 투자하고 이를 이용하여 통제 기반의 IT프로세스를 수행
3) COBIT모형의 경영상 요구사항
- 기밀성, 무결성, 가용성,
- 효과성, 효율성, 신뢰성, 준거성
4) COBIT모형의 수행목표
- 계획 수립 및 조직화
- 도입 및 구축
- 운영 및 자원
- 모니터링 및 평가
5) COBIT의 진화
감사(Audit) → 통제(Control) → 관리(Management) → 거버넌스(Governance)
2. 정보보호관리체계(ISMS)에 대한 내용
1) 정보보호관리체계(ISMS) 인증
- K-ISMS, G-ISMS, PIMS, ISO 27001[국제]
- G-ISMS (목적 : 정보보호와 개인정보보호)
+ 정부에서 개발한 프레임 워크, 12개 영역, 156개 항목
- PIMS (개인정보보호관리체계)
+ 기업이 개인정보보호를 위해 체계적이고 지속적으로 보호조치체계를 구축하였는지 점검하여 인증부여
+ 개인정보의 이용, 수정, 폐기, 관리, 대책의 과정을 포함
3. ISMS 정보보호관리 5단계 활동
- 정책수립 및 범위설정 - 경영진의 책임 및 조직구성 - 위험관리 - 정보보호 대책구현 - 사후관리
1) 정보보호정책수립 및 범위설정
- 공개정보 : 정책
- 기밀정보 : 규정, 지침, 절차서
2) 경영진 책임 및 조직 구성 단계 [조직도]
- 경영진의 참여가 이루어지도록 체계 구축
- 사고 발생 시 최종 책임은 경영진
3) 위험관리단계
- 위험 식별 및 분석을 연 1회 이상 수행
- 위험(R)식별 : 취약점(V), 자산(A), 위협(T)
- 위험 분석 : 정량적(수치), 정성적(전문가) 분석(추천)
- 위험완화 : 감소(보안대책), 전가(보험), 회피(포기), 수용(감당)을 선택 - BCP/DRP도 여기에 해당
- 수용가능 한 위험수준 설정 및 관리
+ 분석된 결과를 종합하여 위험도를 결정하고, 위험도 구간에 따른 위험처리 전략을 결정하기 위해 DOA를 정한다. DOA란 수용 가능한 위험 수준을 말한다.
4) 정보보호 대책 구현
- 다단계 구성방식
- 보안인식교육 및 직무교육
5) 사후관리 단계
- 법적 요구사항 및 준수 검토[준거성]
- 법적 최신성 유지, 준수여부 지속적인 검토
- ISMS운영현황 문서화 및 관리
- 내부 감사(연 1회 이상[자주하면 비용 증가])
5. 감사 (Audit)에 대한 정의 - 적발통제의 일부
1) 통제시스템이 적절하게 설계되었는지 평가
2) 원래의 의도대로 작동하고 있는지를 테스트
3) 통제목적이 달성되지 않을 위험을 실증하는 과정 및 절차
4) 감사위험 = 고유위험 x 통제위험 x 적발위험
- 성과 성공 → 보증불가 → false positive(1종 오류)
- 성과 실패 → 보증 → false negative(2종 오류)
- 고유위험 - 시스템의 특수성에 의해 발생
- 통제위험 - 예방, 적발, 교정되지 않을 가능성
- 적발위험 - 감사절차가 비효과적, 실패 및 허위 적발x
5) 감사절차 중 현장감사 → 감사작업조서
- 통제평가 : 통제 설계의 적합성을 평가
- 통제테스트(준거성테스트) : 일반통제(효과테스트)
- 실증테스트 : 응용통제(성과의 품질을 테스트)
6) 감사 자격증 - CISA
6. IS통제의 유형 중 응용통제와 일반통제의 비교
1) 응용통제 (완전성, 정확성, 타당성, 무결성[진위값])
- 개별 거래의 무결성 확보를 위한 통제
2) 입력통제, 처리통제, 출력통제
- 일반통제 (시스템개발, 변경관리, 보안, 컴퓨터운영)
- 정보시스템의 구입 / 구현 / 유지보수에 대한 통제
- 정보처리 환경에 대한 통제 (관리, 운영, 환경)
- 각종 정책과 절차 / 직무분리 / 하드웨어 통제
7. IS감사 기능의 주 목적은?
- 정보보호의 활용, 보호, 통제 성과에 대한 감사.
- 합리적이고 독립적인 보증서비스를 제공
8. 예방통제, 탐지통제, 교정통제의 의미와 종류
1) 예방통제(prevention control)
- 신입사원채용, 직무분리, 물리적 접근통제
2) 적발통제(detective control) - 감사
- 해시합계, echo체크, 감사(audit)
3) 교정통제(corrective control) - BCP / DRP
- 재해복구계획, 데이터백업절차. 체크포인트와 재실행
9. IT Governance, EA, SA, ISMS의 의미
1) IT Governance (=최적의 의사결정을 위해 노력)
- 조직의 IT유지와 조직의 전략 및 목적을 확장하는 것을 보증하기위한 활동 및 체계
- IT관리가 아닌 기업을 움직이는 힘, 즉 지배구조
- IT를 고려하지 않고서는 기업지배 문제를 해결불가
- IT는 기업의 전략적 활동에 중요한 요소로 작용
- IT Governance는 경영진과 이사회의 책임
- IT Governance의 핵심은 조직 목적간의 전략적 연계
2) IT Governance의 5가지 중점영역
- 전략적연계, IT가치전달, 자원관리, 위험관리, 성과측정
3) IT Governance 구현단계
- IT목표선정(경영), IT프로세스 정립(목표), IT수행활동(수행)
4) IT Governance의 효과
- 경영진의 신임, IT적응성, 높은 수익률, 신뢰성, 투명성
5) EA(Enterprise Architecture) = 전사적 아키텍쳐 = ITA
- 상호운용성 및 보안성을 보장하기 위해 조직의 업무, 데이터, 응용 등을 지원하기 위해 정보기술의 구성요소를
분석하고 이들 간의 관계를 구조적으로 정리한 체계로 정보화 설계도
- Business, Application, Data, Technology, Security
- IT거버넌스와 EA거버넌스는 상호보완적 관계
6) SA(Security Architecture) = 보안 아키텍쳐
- 관리적, 기술적, 물리적 보안영역의 구성요소와의 관계를 구체화한 정보보호 설계도
- 자사의 보안수준 진단 및 보안영역의 요구사항 파악
- EA에서 Security부분이 빠져나와 만들어진 것
7) SA의 기대효과
- 종합적인 보안개념수립(관리적, 물리적, 기술적 보안)
- 보안관리능력 향상(사고 발생시 종합적인 관리 가능)
- 일관성 있는 보안수준 유지(변경 시 유지보수 용이)
- SA의 목표 = 정보보호관리체계(ISMS) 구축 가이드
8) ISMS(정보보호관리체계)
- 조직의 주요 정보 자산을 보호하기 위해 정보보호관리 절차와 과정을 체계적으로 수립하여
지속적으로 관리 및운영하기 위한 종합적인 체계
- 정보보호관리과정 5단계는 12개 통제사항으로 구성
- 정보보호대책은 13개 분야, 92개 통제사항으로 구성
10. 암호 시스템의 개요 [비밀키와 공개키]
|
암호방식 |
대칭키 암호 시스템 |
공개키 암호 시스템 |
|
키의 상호관계 |
암호화키 = 복호화키 |
암호화키 ≠ 복호화키 |
|
안전한 키 길이 |
128비트 이상 |
2048비트 이상 |
|
키 개수 |
N(N-1) / 2 (서로 다른 키) |
2N |
|
대표적인 예 |
DES, 3DES, AES |
DH, RSA, ECC |
|
용어 |
비밀키, 공통키, 관용키 |
공개키, 사설키, 개인키 |
|
장점 |
알고리즘이 다 키의 길이가 길수록 공격에 강함 |
키의 공유 불필요 인증 및 부인방지 제공 통신대상 추가 용이 |
|
제공 서비스 |
기밀성 |
부인방지, 인증, 기밀성 |
|
목적 |
Data 암호화 |
대칭키 전달 |
|
단점 |
키 전달(배포) 및 관리, 인증,무결성,부인방지 불가 |
무결성(해쉬) 검증안됨 중간자 공격 취약 |
|
암호화 속도 |
빠르다 |
느리다 |
|
알고리즘 |
공개, 단순 |
공개, 복잡 |
|
그 외 특징 |
길수록 무차별공격에 안전 |
쌍으로 된 키 사용 |
11. 그 외 공개키 용도 및 모드에 따른 특징
|
모드 |
암호 |
인증 |
|
용도 |
메시지 암호화 |
디지털 서명 |
|
목적 |
기밀성 |
인증, 부인방지 |
|
키 제작 |
수신자 |
송신자 |
|
암호화키 |
수신자의 공개키 |
송신자의 개인키 |
|
복호화키 |
수신자의 개인키 |
송신자의 공개키 |
|
수신자의 개인키(암호), 수신자의 공개키(복호) X 송신자의 공개키(암호), 송신자의 개인키(복호) X | ||
12. 가동률 계산
1) MTBF(평균고장간격)
= MTTR(평균수리시간) + MTTF(평균가동시간)
2) 가동률(%)
= MTTF / MTBF X 100 = MTTF / (MTTR + MTTF) X 100
3) 고장률 = (100 - 가동률)
13. 전체, 차등, 증분 백업 방식의 백업시간과 복구시간 비교
|
분류 |
A(이전), B(변동1), C(변동2) |
백업속도 |
복구속도 | ||
|
전체 |
A |
A+B |
A+B+C |
느리다 |
빠르다 |
|
차등 |
A |
B |
B+C |
중간 |
중간 |
|
증분 |
A |
B |
C |
빠르다 |
느리다 |
H/W Back up =>가용성 확보를 위해.
14. 범죄예방을 위한 환경디자인
- 범죄예방을 위한 시설설계는? CPTED(셉테드)
- 물리적 보안 프로그램의 목표 = 판단
- 자연스러운 감시(범죄 심리 약화)
- 자연스러운 접근통제(사람의 출입을 유도)
- 관할영역 강화(공동사회의 소속감 향상)
15. 디스크 관리 기술
- RAID 0 : 스트라이핑(Striping) - 분산저장(Round-Robin)
중복저장하지 않아 일부 디스크 장애 시 복구 불가능
- RAID 1 : 미러링(Mirroring) - 중복저장
동일한 데이터 중복 저장
- RAID 3 : 쓰기 동작을 위해 패리티 디스크를 2회씩
액세스, 병목현상 발생
- RAID 5 : 패리티 블록을 Round-Robin 방식으로 분산
저장, 병목현상 해소, 쓰기 동작들의 병렬 수행가능
- RAID 6 : RAID 5에서 이차원의 패리티를 채용
- RAID 10 : Striping + Mirroring (가장 고비용)
2)데이터 백업 기술
직접 연결 스토리지(DAS)
- 응용서버가 저장장치에 직접연결. 클라이언트가
응용서버에 요청
네트워크 결합 스토리지(NAS)
- 클라이언트가 나스장비에 요청. 나스-응용서버-저장
장치 연결. LAN에서 사용. 표준화
광 저장장치 영역 네트워크(SAN)
- 고속LAN, 광케이블. 표준화 미흡
16. DOA (Degree of Assurance)
ISMS 정보보호관리의 5단계 활동 중 위험관리단계에서 분석된 결과를 종합하여 위험도를 결정하고, 위험도 구간에 따른 위험처리 전략을 결정하기 위해 정하는 것이며, 수용 가능한 위험수준을 말한다.
17. BCP와 DRP
- 가용성, 교정통제, 위험관리[수용]
- BCP는 업무 상시운영계획(회사 내 재해를 막기 위한 부서) - 회사 기밀
- DRP는 IT조직에서만 사용하는 재해복구계획
- 화재의 3요소 - 온도, 연료, 산소(화학반응)
- UPS = 무정전 전원공급장치
- HVAC = 냉난방 공기조절장치(정전기와 관련 - 습도)
- CVPSU = 정전압 전원장치(Noise:전력이 일정하지 않은 이유)
- 랩톱절도 - STOP
S = Security
T = Tracking
O = Office
D = Droperty
- Halon - FM200으로 대체, 몬트리올 의정서에 의해 생산X
댓글