1장. 정보보호 개요

* 정보보호의 목표

- 기밀성 / Confidentiality

 오직 인가된 사람, 프로세스, 시스템만이 알 필요성에 근거하여 시스템에 접근해야한다는 원칙

- 무결성 / Integrity

 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 하는 성질

- 가용성 / Availability

 정당한 사용자가 정보시스템의 데이터 또는 자원을 필요할 때 지체 없이 원하는 객체 또는 지원에 접근하여 사용할 수 있는 성질

- 인증성 / Authentication

 임의 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는데 사용되는 성질

- 책임추적성 / Accountability

 보안 목적에는 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다는 사항

- 부인방지 / Non-repudiation

 행위나 이벤트의 발생을 증명하여 나중에 그런 행위나 이벤트를 부인할 수 없도록 하는 것

 

* 정보보호 관리와 대책

- 기술적 보호대책

 정보 시스템 통신망, 데이터를 보호하기 위한 가장 기본적 대책

- 물리적 보호대책

 화재, 수해 등과 같은 자연대해로부터 정보시스템이 위치한 정보처리시설을 보호하기 위한 대책

- 관리적 보호대책

 법, 제도, 규정 등을 확립하고 보안계획을 수립하여 이를 운영하며 위험분석 및 보안감사를 시행하여 정보시스템의 안전성과 신뢰성을 확보하기 위한 대책

 

* 보안 목표와 관련된 공격의 분류

- Threat to confidentiality

 Snooping, Traffic analysis

- Threat to integrity

 Modification, Masquerading, Replaying, Repudiation

- Threat to availability

 Denial of service

 

* 소극적 공격과 적극적 공격

- 소극적 공격

 시스템으로부터 정보를 획득하려나 사용하려는 시도, 시스템 자원에는 영향을 끼치지 않는 공격 형태

- 적극적 공격

 시스템 자원을 변경하거나 시스템 작동에 영향을 끼치는 공격 형태