Information Security

 

Information Security

정보보안에서 주로 사용하는 용어 3가지는 Threat, Vulnerability, Risk로 그 뜻을 구분하면 다음과 같다.

• Threate(위협) : 데이터에 영향을 주거나 가로체는 등의 위협 
• Vulunerability(취약점) : 위협인자로 생길 수 있는 하드웨어, 소프트웨어, 사람, 절차등의 약점
• Risk(위험) : 실제 Threate로부터 생겨날 수 있는 손실 문제점들 

(예): 위협=도둑, 취약점=문을 잠그지 않음, 위험=도둑이 침입해 귀중품을 훔쳐감

 

 

이러한 위험을 미리 감지하고 방지하기 위해서 다양한 기술들이 사용된다.

보안 기술을 통해서 통신간의 Confidentiality, Integrity, Availabilty, Authenticity 등을 성취 가능 !! 

• Security Attack :  보안을 위협하고 실제 정보 시스템을 공격하는 것  ( 공격 )
• Security mechanism : 공격에 대한 감지, 예방, 회복의 대한 메커티즘 구성 ( 방지 )
• Security service : 보안성의 데이터 캡슐화, 통신등을 강화하기 위한 서비스 ( 서비스 )

 

 

Security Attacks의 종류

[1] Interruption  : 사용자가 이용하지 못하도록 통신 흐름을 도중에 중단시킴 ( availability )

[2] Interception : 사용자의 데이터를 전송 도중 분기하여 가로챔 ( confidentialty )

[3] Modification : 사용자의 데이터를 가로채고, 데이터를 변경하여 원래 목적지에 송신함 ( integrity )

[4] Fabrication    : 마치 사용자인 것 처럼 변장하여 목적지에 데이터를 송신함  ( authenticity ) 

 

 

- Security attack-

Passivve attacks	- Interception - Traffic Analysis - Difficult to detect
Active attacks	- Interruption - Modification - Fabrication

 

 

 

 

Securiy Services 

 

□ Confidentiality [기밀성]

- 권한이 있는 사람만 정보에 접근하도록 보장한다.

- 암호화를 통해서 기밀성을 유지할 수 있다

- "annoymity" : 정보의 출처를 숨기는 것 

 

□ Data Integrity [데이터 무결성]

- 권한이 있는 사람이나 수단을 통해서만 정보가 변경되도록 보장한다.

- Digital signature, hash functions ...

 

□ Authentiaction [인증]

- Peer entity authentication : 엔티티 ID를 통한 신뢰성을 제공한다.

- Data origin authentication :  데이터의 출처를 보증한다.

 

□ Authorization ( Access control )  [허가]

- 인증이 끝난 엔티티와 엑세스 목록에 표시되는 엔티티만이 서비스를 이용할 수 있다.

- Access control list, access control matrix, capability list

 

□ Non-repudiation [거절방지]

- 이전의 책임과 액션을 거부하는 것을 방지함 

- 송신자, 수신자의 repudiation

 

□ Availability [유용성]

- 허가된 사용자가 서비스 또는 정보를 지연없이 확실히 사용하도록 한다.

 

□ Certification [인증]

- 신뢰할 수 있는 기업을 통한 정보 보증 (공개 키 인증서)

- 인증을 보증할 인증 기관(CA)가 필요함.

 

□ Revocation [취소]

- 인증 또는 허가 철회, 보안 정책 변경 등 인증의 영향을 주는 행동

- CRL(인증 취소 리스트) 

 

 

 

Sercurity Manager

: 보안 매니저가 고려할 사항 

 

1. Prevention [예방]
2. Detection [검출]
3. Recovery [회복]
4. Assets [자산]

[고려사항] : OS , 통신망과 프로토콜 , 구현, 시스템 관리 강화, 암호화, 보안 시스템 등 

 

 

Steganography 

• 모호성에 의한 보안 
• 메세지를 다른 메세지를 이용하여 숨기는 기법 
• 예) 보이지 않는 잉크로 덮어 씀, 이미지 파일에 메세지를 숨겨서 전송 ... 

 

 

 

 

 

네트워크 보안 모델 

 

network security model

• Secretity-related transformation : 컨버터 역할로, 메세지를 암/복호화하여 secure msg로 변환한다.
• netowork : 정보 채널을 통해서 sercure msg가 전송되는 선로로 메세지가 노출되는 것이 가능하다.
• Trusted third party : 신뢰기간(중계자) 역할로, 키를 분배하고 공유 그리고 암호체계를 생성한다. (key-algorithm)

 

[1] 정보 기술의 2가지 컴포넌트 

1. 전송되는 정보의 보안과 관련된 변환 
2. 공유되어지는 중요한 비밀 정보 

 

[2] 네트워크 보안 모델의 설계 

1. 보안 관련 변환을 수행하기 위한 알고리즘 설계
2. 알고리즘에 사용할 비밀번호를 생성
3. 비밀정보를 배포할 방법론을 개발
4. 알고리즘과 비밀정보를 활용하여 두 주체가 사용할 프로토콜을 설계함 

 

[3] 네트워크 보안 모델

Opponents	사람, 소프트웨어 ( 바이러스, worms )
Threats	정보 접근 위혐 : 불법적인 데이터 가로채기 또는 수정  서비스 위협  : 합법적인 사용자가 서비스를 이용하지 못하도록 함
Security mechanisms	GateKeeper : 인증 기능, 공격이나 바이러스를 탐지 및 거부하는 screening logic Internal security controls : 활동 모니터링 및 보안 관련 로그 분석

 

 

 

 

 

 

ISMS-P 인증 : 정보보호 및 개인정보 관리 체계 

Information Security Management System-Personal)는 과학기술정보통신부가 공시한 “정보보호관리체계 인증 등에 관한 고시” 와 방송통신위원회와 행정안전부가 공동 고시한 “개인정보보호관리체계 인증 등에 관한 고시”의 내용을 통합하여 “정보보호 및 개인정보보호 관리체계 인 증 등에 관한 고시”로 공동으로 개정하여 고시함.