1. 정보보호 이론과 관리체계
1.1 정보보호 정의
- 시스템이나 전자적 형태의 정보를 처리, 저장, 전송하는 단계에 걸쳐 고의적 혹은 실수에 의한 불법적인 노출, 변조, 파괴로부터 보호하고 정당한 사용자가 쉽고 빠르게 원하는 정보에 접근할 수 있도록 하는 것
1.2 정책, 표준, 지침, 절차
- 정보보호 정책 : (1) 중요한 정보자산 식별
(2) 정보의 어떤 특성을 만족해야하는지 선언하는 정보보호 지침 제시
(3) 조직에 미치는 영향 고려하여 정책의 적용 범위 결정
(4) 조직의 직무(역할) 명확히 정의
(5) 최고경영자 의지 확인할 수 있는 문서(서명)으로 승인
- 정보보호 표준 : (1) 기업과 조직이 갖추어야할 요구사항 정의
(2) 보안통제를 위해 조직이 선택한 하드웨어/소프트웨어 설정 포함
(3) 조직내 의무사항으로 특정기술, 절차의 공통 사용 규정, 정책 달성 방법 등
- 정보보호 지침 : (1) 계획수립, 구현 등에 대한 권고사항
- 정보보호 절차 : (1) 정책이 어떻게 구현되며, 누가 무엇을하는지 기술
(2) 법적인 책임 최소화 포함
(3) 정책 준수를 위해 이해관계자와의 커뮤니케이션 수행근거 문서화
- 기준선 : (1) 보안패키지를 일관성 있게 구현하는 방법 제공
(2) 보안통제를 주기적으로 점검하여 기준선이 준수되는지 확인
1.3 접근통제 단계
- ID -> 식별
- PW -> 인증
- ACL -> 인가
- LOG -> 주적성
1.4 접근통제 모델
- 강제적 접근통제(MAC) : (1) 보안등급, 규칙기반, 관리기반 접근통제
(2) 주체가 접근하고자하는 개체의 보안 레이블을 비교하여 보안정책에 합당한 접근통제
규칙에 의하여 접근통제
(3) 모든 주체/객체에 대해 일정하며, 어느하나의 주체/객체 당ㄴ위로 접근제한 불가
- 임의적 접근통제(DAC) : (1) 신원(신분)기반, 사용자 기반, 혼합방식 접근통제
(2) 소속되어 있는 그룹들의 ID에 근거하여 객체에 대한 접근제한
(3) 모든 주체/객체에 대해 일정하지 않고, 어느하나의 주체/객체 단위로 제한
(4) 보안등급 기반, ACL로 구현
- 역할기반 접근통제(RBAC) : (1) 직무기반, 권한을 사용자에게 직접 부여하지 않고 그룹에 부여
(2) 사용자를 그룹별로 구분하여 그룹이 수행하여야 할 역할 정의
(3) 각 주체에 허용된 접근수준(Clearance)과 객체에게 부여된 등급(Classification)에 근거
하여 객체에 대한 접근 통제
1.5 생체인증 측정 기준
TYPE 1) FRR(오 거부율:False Reject Rate) : 허가된 사용자가 접근거부 되는 비율(진짜->가짜)
TYPE 2) FAR(오 인식율:False Acceptance Rate) : 허가되지 않은 사용자가 접근 허용되는 비율(가짜 -> 진짜)
'STUDY > 정보보안기사' 카테고리의 다른 글
| [정보보안기사] 정보보안 일반 (1/3) (0) | 2019.12.03 |
|---|---|
| [정보보안기사] 정보보안 일반 (2/3) (0) | 2019.12.03 |
