sua 정보보호관리체계 cissp_접근통제_강의교안
TRANSCRIPT
Reference Monitor
1. 접근의 개요 (3/5)
주체 객체ReferenceMonitor
Completeness
Isolation
Verifiability
“보안 커널의 가장 중요한 부분”
19
Access Control
물리보안경비원LocksCCTVToken
관리보안보안 정책보안 인식자산 분류직무 분리
기술보안암호화
접근 통제 S/W인증 매커니즘
백신
Control (Access Control을 보완한다)
예방통제 탐지통제 교정통제
방화벽보안인식교육
정책/절차“Inhibit”
(저지하다)
침입탐지시스템임계치/클리핑레벨
감사증적/로그“Identify”(확인하다)
허니팟BCP/DRP
백업“Diminish”
(줄이다)
Access Control vs Control
1. 접근의 개요 (4/5)
Defense Mechanism
1. 접근의 개요 (5/5)
Cost
Overlap
Work Factor
Defense-in-Depth (Multi-level Security)
Open Design
시스템 설계는 공개가 가능해야 한다.
“보안은 암호학적 키의 비밀성에 의존해야 한다.”
인증구분 설명 기반 종류
Type 1 인증 Something you know 지식기반 패스워드, PIN
Type 2 인증 Something you have 소유기반 스마트카드, 토큰
Type 3 인증 Something you are 존재기반 홍채, 지문, 정맥
Type 4 인증 Something you do 행동기반 음성, 서명
인증분류
2. 인 증 (1/11)
다중체계인증 (서로Type 달라야한다.)
PCI-DSS
2. 인 증 (6/11)
암호화
접근통제
취약점 관리
주요내용
PCI-DSS
신용카드 정보 보안을 위한 표준
“주요 카드사가 신용카드 정보 유출 사고를 막기 위해
보안 표준 협의회(PCI)를 결성하여 만든 글로벌 보안 기준”
생체인증
2. 인 증 (7/11)
FRR (잘못거절될확률)
FAR (잘못받아들일확률)
CER (Cross over Error Rate)
정확성
<장점>
- 강력한 ‘식별’ 수단
- 부인 방지
<단점>
- 프라이버시 침해
- 사용자 거부감
- 추가 구축 비용
- 에러율
Kerberos 와 SESAME
2. 인 증 (9/11)
-커버로스의 단점을개선해서유럽에서세사미를개발.-암호화는대칭키 (비공개키) 를사용.-커버로스보다더욱강력한접근통제기능제공.-공개키시스템의확장성을가지면서키관리의Overhead는감소.
Orange Book
3. 데이터 접근통제 (1/4)
‘오렌지 북’이란? (공개버전: TESEC)
Trusted Computer Security Evaluation Criteria
RBAC(역할 기반 접근통제)
3. 데이터 접근통제 (4/4)
정의
최소권한: 최소의권한만을허용하여권한의남용을방지.직무분리: 시스템의오용을일으킬정도의특권이부여된사용자없앰.
Role-Based
Doctor
Bell-LaPadula 모델 vs BIBA 모델
4. 보안 모델 (4/4)
Operating Room
Emergency
Personal
Secretacy
Secretacy
Secretacy
Nurse
Nurse
Nurse
Doctor
Doctor
Patient
Patient
Patient
LIST
FILE
Prescription
Receipt
찬우
ㅁㅅㅅ
정권
BLP Model
BIBA Model
IDS의 요소와 분류
6. 침입탐지시스템 (2/2)
자료수집위치에 따른분류
* H-IDS : 호스트자원사용실태를분석하여탐지.* N-IDS : 네트워크패킷을분석하고캡쳐함으로써공격을탐지.
항목 Misuse Detection Anomaly Detection
동일 용어 시그니쳐(지식)기반 통계(행동) 기반
탐지 방법 패턴 매칭 임계치 초과
적용 원리 전문가시스템 인공지능
장 점 오탐율 낮음 Zero-day 공격 탐지 가능
단 점 알려진공격만탐지 에러율 높음
침입탐지 방식에 따른 분류
침투테스트 개요
7. 침투테스트 개요 (1/5)
정의 : 조직의정보보안수준을능동적으로평가하기위한프로세스의일환으로실제공격자행위( =hacking )의시뮬레이션을수행
Penetration testing