[Network Security] 정보 보호 기술 개요Ⅰ

정보보호 개념

• 정보의 수집,가공,저장,검색,송.수신 중 정보의 훼손,변조 등을 방지하기 위한 관리적, 기술적 수단을 강구하는 것
• 보안의 3요소(CIA traid)
  • 기밀성(Confidentiality) : 개인 프라이버시와 비밀 정보를 보호하기 위한 수단
  • 무결성(Integrity) : 정보에 대한 부인방지와 진실성 보장, 부적절한 정보 수정 및 파괴 방지
  • 가용성(Availability) : 정보를 적시, 안정된 접근 및 사용 보장

💡 기밀성 손실은 정보에 대한 불법적 노출
💡 무결성 손실은 메시지에 대한 불법적 수정과 파괴
💡 가용성 손실은 정보 혹은 정보 시스템에 대한 접근 실패

---

OSI Security Architecture

보안 요구 사항을 정의하고 제공하기 위한 체계적인 방법을 정의

• 보안공격(Security Attack) : 정보의 안정성을 손상시키는 제반 행위
• 보안 서비스(Security Service) : 조직의 데이터 처리 시스템 및 정보 전송에 대한 보안을 강화하기 위한 제반 서비스
• 보안 메커니즘(Security Mechanism) : 보안 공격을 예방, 탐지, 복구하기 위하여 설계된 제반 기법

---

보안 공격

• 소극적 공격(passive) : 공격자가 단순 관찰을 통해 공격
  • 기밀성에 대한 위협
• 적극적 공격(active) : 공격자가 적극적인 행위로 공격
  • 무결성에 대한 위협, 가용성에 대한 위협

보안 서비스

시스템 또는 데이터 전송의 충분한 안전성을 위한 서비스로 개방형 시스템의 통신 프로토콜 계층에 의해 제공

• 데이터 기밀성, 데이터 무결성, 인증, 부정방지, 접근제어

보안 메커니즘

특정 보안 서비스를 이용할 때 어떤 메커니즘을 사용해야 하는지

---

컴퓨터 보안 용어

• 공격 : 보안 서비스를 회피하고 시스템의 보안정책을 위반하려고 시도하는 의도적 행위
• 취약성 : 보안 정책을 위반하기 위해 이용될 수 있는 시스템 설계, 구현 에서의 결함이나 약점
• 위협 : 보안의 위반에 대한 잠재적 가능성, 자산에 피해를 주기 위해 취약성을 이용하려고 하는 공격자의 행위
  • 위협원 : 위협 행위를 수행하는 시스템 개체
• 대책, 대응 : 위협, 취약성, 공격을 제거하거나 방지하는 행위
• 위험 : 특정 위험이 특정한 피해 결과를 가진 특정한 취약성을 이용할 확률로 표현되는 손실의 기대치
• 보안 정책 : 시스템 자원들을 보호하기 위해 보안 서비스를 어떻게 제공하는지 지시하는 보안 규칙들의 집합
• 자산 : 보호될 필요가 있는, 대책에 의해 보호되도록 조치된, 시스템 업무를 위해 필요한 시스템 자원

---

소프트웨어 공학과 보안 공학

• 보안 공학 : 시스템의 설계 과정에서 보안에 좀더 초점을 맞춘 공학의 특수한 분야
• 보안 공학은 악의, 오류, 불운에도 불구하고 신뢰할 수 있는 시스템을 구축 하는 것

Dependability = Reliability + Security

• 보안에 초점을 맞춘 엄격하고 반복적인 SW 개발 프로세스로의 전환 필요 → Security by Design
• 요구사항 분석 - 디자인 - 구현 - 검증 - 배포 - 대응