정보시스템

정보시스템

1.정보보안 기본목표
(1)기밀성 Confidentiality
-비인가된 접근/지능적 차단으로부터 중요 정보 보호
-기밀성 보장을 위해 접근통제, 암호화를 사용
-정보 보관 뿐만아니라 정보전송에도 적용됨

(2)무결성 Integrity
-정보, 정보처리 방법의 완전성, 정확성을 보호
-수정시 인가된 사람이, 인가된 절차에 따라 수정
-무결성 확보를 위해 물리적통제, 접근통제 사용

(3)가용성 Availability
-사용 인가받은 사람이 원하는 때에 언제든지 사용할수있도록 보장
-시간성, 신뢰성있는 접근
-가용성 확보를 위해 데이터 백업, 중복성유지, 물리적 위협 요소로부터의 보호 사용

(4) 인증성 Authentication
-활동이 정상적,합법적으로 이루어진것을 보장
-정보교환에 의해 실체 식별을 확실하게 하거나, 임의 정보에 접근하는 객체 자격, 객체 내용 검증시 사용
-사용자가 정당하게 허가받은 사람인지 확인/ 전송된 메시지가 변조,위조되지 않은 송신자가 보낸 그대로인지 확인
-인증성을 위해 인증코드, 전자서명 사용

(5)책임 추적성 Accountability
-누가 언제 어떤목적, 어떤방법으로 정보를 사용했는지 추적할수 있어야 함
-끝까지 추적은 못하므로 보안침해에 대한 책임이 있는 곳까지 추적가능해야함
-포렌식 분석, 활동상황을 기록하여 보안 침해 추적, 전송관련 분쟁 해결해야함

(6)신뢰성 reliability
-일관되게 오류발생 없이 계획된 활동 수행하여 결과 얻는 환경을 유지하는 것


2.정보보안 침해 유형
(1)기밀성 위협하는 공격 ->소극적 공격
-메시지내용 공개:비인가 접근 또는 도청
-스니핑
-트래픽 분석

(2)무결성 위협하는 공격 ->적극적 공격
-변경 
-신분위장 /스푸핑공격
-반복
-복제

(3)가용성 위협하는 공격 ->적극적 공격
-서비스 거부: 서비스 느리게 또는 완전차단

(4)소극적/적극적 공격
*소극적 공격: 데이터 암호화,트래픽 패딩으로 막을 수 있음
*적극적 공격: 탐지하는것이 더쉬움. 탐지 후 복구에 더 우선을 둠

(5)네트워크 보안 침해유형
-데이터전송 방해 interruption
-데이터 가로채기 interception
-데이터 변조 modification: 송신자가 보내는 데이터를 제3자가 가로채서 일부/전체를 변경하여 수신자에게 전송
-데이터 위조 fabrication: 송신자가 안보낸 경우에 제3자가 데이터 생성하여 수신자에게 전송

*인터넷 보안 요구사항 
-시스템 보안
-클라이언트 인증: 정보에 접근하는 사용자 통제를 위해 클라이언트 식별 기법 필요. 인증서비스를 통해 식별함
-서버 인증(서비스 제공자<->사용자)
-데이터 인증/기밀성,무결성 보장
-접근제어: 접근권한을 다르게 부여


3.서비스 메커니즘
(1)보안서비스 
ITU-T(X.800)
-데이터 기밀성
-데이터 무결성
-인증 
-부인봉쇄 Nonrepudiation: 데이터 송수신자가 부인하지못하도록
-접근 제어 Access Control: 비인가된 접근으로부터 데이터 보호

(2)보안 메커니즘
-암호화: 기밀성 제공
-데이터 무결성
-디지털 서명: 송수신자가 데이터에 서명
-인증 교환: 신원 증명을 위해
-트래픽 패딩: 도청방지를 위해 데이터 트래픽에 가짜데이터 삽입
-라우팅 제어: 도청방지를 위햏 다른 가용경로를 선택, 지속적으로 변환
-공증 notarization: 신뢰성을 위해 제3자를 선택. 부인봉쇄에 사용
-접근 제어


데이터 기밀성 - 암호화/라우팅제어/트래픽 패딩
데이터 무결성 - 암호화/전자서명/데이터 무결성
인증 - 암호화/전자서명/인증교환
공증 - 전자서명/데이터 무결성/공증
접근제어 - 접근제어 메커니즘


4.보호요소
(1)자산
(2)취약성 Vulnerability: 자산의 잠재적인 속성, 위협의 이용대상이 됨
(3)위협 Threats:자산 손실을 초래할 수 있는 원하지않는 사건의 잠재적인 원인/행위자
(4)위험 Risk: 알려진 위협이 취약점을 이용해 자산에 위해 입히는것/원하지 않는 사건이 발생, 손실/부정적영향을 미칠 가능성
(5)보호대책 Safeguards: 위협방지, 취약점 감소, 원하지않는 사고로부터 영향을 제한, 원하지 않는 사고 탐지, 관련설비 복구하는 절차
-기술적/물리적/관리적 보호대책으로 나뉨

*OECD 프라이버시보호 8대 원칙
1. 수집제한의 원칙
2. 정보 정확성의 원칙
3. 목적 명확성의 원칙
4. 이용제한의 원친
5. 안정성 보호의 원칙 
6. 공개의 원칙
7. 개인 참여의 원칙
8. 책임의 원칙