TOPCIT

이번에는 보안 약점 및 취약점, 그리고 시큐어 코딩에 대한 내용입니다. 시큐어 코딩소프트웨어 개발 단계(SDLC)에서 보안 약점과 보안 취약점을 제거함으로써 해킹 위험성을 줄이는 프로그래밍 기법보안 약점: 설계, 구현 단계에서 발생하는 에러 (예: CWE)보안 취약점: 해커가 시스템 및 네트워크에 접근해 사용할 수 있는 SW의 실수 (예: CVE)시큐어 개발 생명주기시큐어 SDLC 요구사항 정의 단계보안 목표 정의 및 보안 취약점, 영향도 분석하는 단계시큐어 SDLC 분석/설계 단계보안 아키텍쳐를 설계하고 보안 요구사항을 정의하는 단계개발자 교육 실시 및 보안 테스트 계획 설계시큐어 SDLC 코딩 단계코딩 규칙 정의 후 개발된 코드에 대한 정적 단위 테스트 실시사전 정의한 시큐어 코딩 규칙의 준수 여부 ..

이번에는 보안관리체계와 그와 관련된 표준에 대한 내용입니다. 정보보호관리체계정보자산의 기밀성, 무결성, 가용성을 유지하기 위한 정보보호 대책 관리위험을 기반으로 정보보호 구축, 대책 구현 등의 과정을 지속적으로 관리하고 운영하는 체계위험 관리정보자산을 식별하여 가치를 선정하고, 각 자산별 법적, 관리적, 물리적, 기술적 관점에서 위험 식별수용 가능한 목표 위험 수준(DoA)를 초과하는 위험에 대해 보호대책 마련하는 과정위험 식별예측하지 못한 상황 발생 시 조직에 영향을 미칠 가능성인 위험이 위험은 자산, 위협, 취약성의 함수로 표현되며, 이 위험을 식별하는 것이 해당 과정위험 평가업무, 조직, 위치, 자산 및 기술적 특성에 따라 체계 범위에 근거한 위험 분석 범위 산정위험 평가 방법 접근 방법에 따른 방..

이번에는 정보보안과 관련된 최신 기술에 대한 내용입니다. 최신 정보보안 위협1. APT(Advanced Persistent Threat) 공격APT 공격 절차공격자가 취약 시스템 및 직원들의 PC 악성 코드 감염악성 코드로 내부 네트워크 침투내부 시스템 및 인프라 구조 정보 수집중요 정보 유출, 시스템 파괴 또는 서비스 거부 공격APT 대응 방안보안관리 및 운영, 교육 강화: 표적 대상 분석을 바탕으로 보안 체계 재정비엔드포인트 보안: APT의 1차 목표는 엔드포인트. 운영체제 보안 업데이트, 소프트웨어 설치 등접근 권한 관리: 중요 정보 접근 권한 최소화 및 정보 권한 세분화중요 정보 암호화 및 DLP: APT의 최종 목표는 데이터. DLP(Data Loss Prevention) 등의 솔루션 도입2. ..

이번에는 암호화 및 전자서명을 비롯한 정보보안에 기반된 기술들에 대한 내용입니다. 암호평문을 암호문으로 변형하는 과정이 암호화암호문을 평문으로 다시 바꾸는 과정이 복호화이 두 변환 과정에서 사용되는 수학적 기능이 암호 알고리즘 !암호 알고리즘은 암호화 & 복호화를 하기 위해 키(Key)를 사용암호 기술암호화 기술대칭 키 암호 방식: 암호화 키 = 복호화 키공개키 암호 방식: 암호화 키 ≠ 복호화 키암호 프로토콜기본 암호 프로토콜: 개인 식별 및 인증, 전자서명 등암호 프로토콜: 전화 결제, 전자화폐 등암호 알고리즘송신자는 평문 P를 암호화 키 KE + 암호화 알고리즘 E를 이용하여 암호문 C 생성 후 수신자에게 전달계산적 불가는 일반적으로 암호문 C가 복호화 키를 모르는 상태에서는 그 내용을 알 수 없어..

이번에는 정보 보안의 개념과 관련 용어입니다. 정보 보안정보 수집, 가공, 저장 과정 등에서 훼손이나 변조 등을 방지하기 위해 정보를 보호하는 것인터넷 등의 공간에서 개인 프라이버시를 보장하고 인터넷 범죄를 차단해야 할 필요성 대두정보 보안의 3대 목표를 관리적, 물리적, 기술적으로 보장기밀성: 정보의 원본을 인가되지 않은 사용자에게 노출되지 않도록 보장무결성: 정보 송수신 과정에서 원본이 유지되는 것가용성: 인가받은 사용자에 대해 정보를 필요한 시점에 접근 및 사용하도록 보장정보 보안의 목표 기본 용어인증정보 주체인 송신자와 수신자 간의 정보 내용이 변조, 삭제되지 않았는지, 혹은 이들이 정당한지를 확인하는 방법부인 방지송신 부인 방지: 메시지를 송신하고도 송신하지 않았다고 주장하는 송신자의 부인 방지..

이번에는 데이터와 데이터베이스의 간략한 개론입니다. 데이터, 정보, 지식현실에서 아직 아무한테도 발견하지 않은 상태로 존재하지 않는 사실(Fact)그 단순한 여러 사실(Fact)들을 아직 특정 목적에 대해 평가하지 않은 데이터(Data)그 데이터(Data)를 의미 있는 패턴으로 처리 및 가공한 정보(Information)그 정보(Information)를 인간의 해석과 의미를 부여해 집적하여 일반화한 지식(Knowledge)그 지식(Knowledge)을 개인이 이해하고 응용 가능한 상태인 지혜(Wisdom) 데이터 처리 유형일괄 처리 시스템(Batch Processing System)한꺼번에 처리하는 시스템 중심 처리 방법사전 준비 작업과 대기 시간 존재예: 성적 처리 시스템온라인 처리 시스템(Online..