본문 바로가기

정보보안기사6

IPSec(IP Security Protocol) 개념 및 특징 IPSec은 IP 계층의 보안 프로토콜로서 호스트와 호스트 간, 호스트와 보안 게이트웨이, 보안 게이트웨이와 보안 게이트웨이 간의 경로를 보호하기 위한 프로토콜이다. 여기서 보안 게이트웨이와 보안 게이트웨이는 기존의 라우터 혹은 침입차단시스템에 IPSec 프로토콜을 구현한 시스템을 말한다. IPSec은 네트워크 계층의 보안을 위해 인증헤더(AH)와 ESP 프로토콜을 사용하여 보안 연계 서비스를 제공한다. IPSec은 IPv4와 IPv6을 지원한다. IPv6에서는 AH와 ESP는 확장 헤더의 한 부분임. 특징 IPSec는 네트워크 계층 보호를 위해 널리 사용되고 있는 표준이다. IPSec는 강력한 암호화와 인증 방식을 가지며 두 컴퓨터 사이의 터널화된 통시늘 가능하도록 한다. IPSec 보안은 기능적 영역.. 2020. 5. 18.
BCP(Business Continuity Planning)/DRP(Disaster Recovery Planning) BCP(비지니스 연속성 계획) 재난 발생 시 비즈니스 연속성을 유지하려는 방법을 정의하는 문서로서 재해, 재난에도 정상적인 운영이 가능하도록 데이터 백업 및 단순 복구뿐만 아니라 고객 서비스 지속성 보장, 핵심 업무 기능을 지속하는 환경 조성을 목적으로 한다. BCP 개발을 위해서는 기업이 운영하고 있는 시스템의 파악과 함께 비즈니스 영향 평가(BIA)가 선행되어야 한다. BCP는 업무의 중단상황과 이후의 비즈니스 운여의 연속성을 위한 계획 및 핵심 비즈니스 활동들이 가능한 빨리 유지되거나 복구되는 것을 보장한다. 또한 가장 핵심적인 비즈니스 기능들의 우선순위화된 재개에 초점을 맞춘다. BCP와 보안 정책 BCP는 보안 정책과 프로그램의 일부가 되어야 한다. 그렇지 않으면 홀로 떨어져 경원시된다. BCP.. 2020. 5. 18.
Quantitative Analysis(정량적 분석) 및 Qualitative Analysis(정성적 분석) 정량적 위험 분석 위험 분석 프로세스의 모든 요소에 대하여 금전적 가치와 숫자값을 부여하는데 사용(객관적으로 분석) 분석 내의 각 요소(자산가치, 위협 빈도, 취약의 심각성, 피해 영향, 안전장치 비용, 안전장치 비용, 안전장치 실효성, 불확실성, 개연성 항목)는 정량화되어 공식에 입력되어 전체 및 잔여 위험을 판단. 장점 1. 객관적인 평가기준이 적용 2. 정보의 가치가 논리적으로 평가되고 화폐로 표현되어 납득이 더 잘간다. 3. 위험관리 성능평가가 용이 4. 위험 평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해가 쉽다. 단점. 1. 계산이 복잡하여 분석하는데 시간, 노력, 비용이 많이 든다. 2. 수작업의 어려움으로 자동화 도구를 사용할 시 신뢰도가 벤더에 의존하게 됨. 정량적 분석 방.. 2020. 5. 18.
정보보호 위험처리 절차 1. 위험 수용(Risk Acceptance) 위험 수용: 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말한다. 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없으므로 일정 수준 이하의 위험은 받아들이고 사업을 진행한다. 위험수용은 위험을 처리하는데 들어가는 과도한 비용 또는 시간에 기인한다. 관리층은 위험이 조직에 발생시키는 결과에 대한 책을 받아들여야 한다. 2. 위험 감소(Risk Reduction) 위험 감소: 위험 수준을 낮추는 대책은 위험 결과를 낮추는 대책과 위험 발생 가능성을 낮추는 대책으로 나눌 수 있다. 위험 결과를 낮추는 대책은 위험이 실제로 발생했을 때 조직에 해가 되는 결과를 낮추는 대책이다. 예) 자료백업, 프로세스 확림, 재난 복구 계획 개발, 중요 장치의.. 2020. 5. 18.

티스토리툴바