목차 1. 통제와 보호 1-1. 통제와 보호 1-2. 통제 카테고리 1-3. 운영 통제 1-4. 관리 통제 2. 감사와 모니터링 2-1. 모니터링 2-2. 감사 3. 위협과 취약성 3-1. 위협 3-2. 취약성 1. 통제와 보호 1-1. 통제와 보호 운영 보안 - 비즈니스 환경이 계획되고 검증된 일정 수준으로 보호되기 위한 일련의 조치와 통제가 수행되는 것 - 정보 보안에서는 통제 카테고리를 분류 운영 보안의 요소 - 위협 : 보안 통제 위반으로 손해를 발생 시킬수 있는 사건 -> 관리자의 권한 남용 - 취약성 : 보안 통제를 위반 할 가능성이 있는 시스템의 약점 -> 부정확한 직무 분리 : 취약점줌 하나. 겸임하면 안되는 업무를 겸임 - 자산 -> 보호 대상인 IS 설비 및 인력, 프로세스 운영 통제의..

목차 1. 정보 보호의 이해 1-1. 통제와 보호 1-2. 정보 보호의 요소들 1-3. 보안 통제 2. 보안을 위한 정보 분류 2-1. 정보 분류 3. 보안 정책 3-1. 보안 정책 3-2. 역할과 책임 4. 위험 관리 4-1. 위험 관리 4-2. 위험 관리 프로세스 4-3. 위험 분석 기법 5. 보안 훈련과 교육 5-1. 보안 훈련과 교육 1. 정보 보호의 이해 1-1. 정보 보호의 이해 기업 및 조직 생존의 핵심적인 요소로 부각 - IS(정보 시스템)가 비지니스에 더 내재적으로 스며들어감 - 글로벌 사업영역의 확대로 인해 중요한 이슈로 부각. -> 글로벌 사업 영역은 나라마다 법률과 관습이 다른 문제 -> 정보 보호법은 변경되는 경우가 굉장히 잦음. - 정보의 무결성, 서비스 지속성(가용성), 자산보..

목차 1. 보안 명세 요구 사항 확인 1-1. 보안 명세 요구 사항 확인 2. 사전 설정 2-1. NFS 설치 확인 및 시작 3. 보안 명세 구현 3-1. 자료 배포 디렉토리 생성 3-2. exports 설정 3-3. nfs mount 설정 3-4. 리눅스 모든 사용자가 /home/ftp에서 자료 다운로드가 가능하도록 설정 4. 보안 명세 구현 확인 4-1. 계정별 사용자 인식 확인 4-2. 모든 계정의 파일 복사 가능 여부 확인 1. 보안 명세 요구사항 확인 1-1. 보안 명세 요구사항 확인(master 서버(NFS Server)와 slave 서버(NFS client)간) - master 서버는 192.168.111.14, slave 서버는 192.168.112.21로 가정 - master의 /home..

목차 1. 보안 명세 요구 사항 확인 1-1. 보안 명세 요구 사항 확인 2. 사전 설정 2-1. ftp 설치 확인 및 설치 2-2. ftp 시작 3. 보안 명세 구현 3-1. 자료 배포 디렉토리 설정 3-2. root를 제외하고 자신의 홈 디렉토리를 벗어날 수 없게 설정 3-3. ftpadmin 계정만 파일 업로드 가능 3-4. 리눅스 모든 사용자가 /home/ftp에서 자료 다운로드가 가능하도록 설정 3-5. 일반 사용자 업무 계정인 st01, st02, st03 계정은 ftp 접속을 불허. 4. 보안 명세 구현 확인 4-1. 자료 배포 디렉토리 설정 확인 4-2. 일반 계정의 chroot 적용 확인 4-3. ftpadmin 계정의 파일 업로드 가능 확인 4-4. st01, st02, st03의 ft..

* 침입 차단 시스템(방화벽) - 외부 network와 내부 network를 구분하기 위한 장치 - 보안에서 외부와 network와 내부 network의 구분은 정보보안 정책 적용 여부로 구분 - 참고로 네트워크에서 외부 network와 내부 network의 구분은 IP 주소로 구분 - 보안을 높이기 위한 1차적인 장치로 외부와 내부 network사이에 지나가는 패킷을 보안 정책에 따라 통과시켜주거나 차단하는 소프트 웨어 침입 차단 시스템 구성요소 1. 침입 차단 시스템 소프트웨어 - 스크린 라우터와 일부 기능 중복 - 애플리케이션 레벨의 서비스와, 다양한 로그정보를 리포트 2. 베스천 호스트 (Bastion host) - 침입 차단 소프트웨어가 설치되어 있고, 내부 네트워크와 외부 네트워크 간의 게이트..

* TCSEC(Trusted Computer System Evaluation Criteria) - 미국의 신뢰성 있는 컴퓨터 시스템 평가기준 - 1983년 국방성(DoD) NCSC 주도하 오렌지 북이라 불리는 컴퓨터 시스템 평가 기준인 TCSEC 초안 제정 - Bell-LaPadula Model 정보보안 모델 기반의 기밀성을 다룸. (가용성과 무결성은 다루지 않음.) - 통제 목적은 보안 정책(보안 계획), 보증, 책임 추적성. - 기능성(Functionality)과 보증(Assurance)를 분리하지 않음 - 1985년 미 국방성 표준(DoD STD 5200.28)으로 채택 Bell-LaPadula Model - No Read Up : 낮은 등급의 주체는 높은 등급의 객체를 읽을 수 없음 - No Wr..