구성요소 | 위협요소 | 대응책 |
기밀성(Confidentiality) | 스니핑, 도청, Shoulder surfing, dumster diving | 암호, VPN => ESP |
트래픽 분석 | 트래픽 패딩 | |
무결성(Integrity) | 중간자 공격 | 디지털서명, PKI/CA |
과도한 권한 집중 | 직무분리 | |
트로이목마, DB 조작 | 해시값 비교, 직무분리, 잔액비교 | |
가용성(Availability) | 도스공격, BOA(버퍼오퍼플로우 공격) | IRP(Incident Response Plan), 고장 감내 설계, 백업 |
서버 디스크 장애 | Fault Tolerant - 탐지+교정통제(예방은 x) | |
책임추적성(Accountability) | 로그 삭제 및 파괴 | 감사 증적 |
해커 | 식별, 인증, 권한 부여 | |
보증성(Assurance) | 잦은 보안사고, 과도한 취약점 | 주기적 검토, 감사, 외부전문가 보증활동 |
- 기밀성은 무결성에 의존
- 무결성은 기밀성에 의존
- 가용성과 책임추적성은 기밀성과 무결성에 의존
'정보보안기사&CISSP관련 > 정보보안 일반' 카테고리의 다른 글
[Day 176] 사회공학(Social Engineering) 기법 (0) | 2021.02.02 |
---|---|
[Day 169] CC(Common Criteria) 인증 (0) | 2021.01.26 |
[Day 156] 물리적 보안 설계 시 보안 고려사항 (0) | 2021.01.13 |
[Day 155] 컴퓨터 범죄 종류 및 특징 (0) | 2021.01.12 |
[Day 154] 디지털 증거 유형 및 규칙 (0) | 2021.01.11 |