정보보안기사&CISSP관련/정보보안 일반52 [Day 152] STRIDE Model STRIDE Model MS에서 개발된 컴퓨터 보안 위협 분류 모델 Threat 대응책 Spoofing : 신분위조 인증 Tampering : 데이터 조작 무결성 검증(Hash) Repudiation : 부인 부인방지(전자서명) Information Discloser : 정보유출 암호화 Denial of Service 네트워크 필터링 Elevation of Privilege : 권한 상승 최소권한의 원칙 준수 2021. 1. 9. [Day 151] 암호 시스템 공격 유형 공격 유형 특징 암호문 단독 공격 = COA(Ciphertext Only Attack) 1. 공격자는 암호문만 가지고있음 알려진 평문 공격 = KPA(Known Plaintext Attack) 1. 암호문에 대응하는 "일부"평문이 가용한 상태 2. 약간의 평문에 대응하는 암호문을 가지고 있음 선택 평문 공격 = CPA(Chosen Plaintext Attack) 1. (모든, 어떠한) 평문을 선택하면 대응되는 암호문을 얻을 수 있음 2. 어떤 알고리즘을 사용했는지 알고 있음 선택 암호문 공격 = CCA(Chosen Cipher Text Attack) 1. 암호문을 선택하면 대응되는 평문을 얻을 수 있음 2. 복호화알고리즘을 정확히 알고 있음 2021. 1. 8. [Day 141] 위험관리(Risk Management) 절차 위험 관리(Risk Management) 조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고, 위험으로부터 자산을 보호하기 위한 보호대책을 마련하는 일련의 과정 위험관리를 통해 불필요/과도한 투자를 방지할 수 있으며, 위험을 수용 가능한 수준(DoA: Degree of Assurance)으로 감소시키거나 유지할 수 있음 위험관리 절차 위험관리 전략 및 계획 수립 위험분석(Risk Analysis) : 위험을 구성하는 요소들을 분석하여 위험을 식별하는 단계 위험평가(Risk Assessment) : 위험분석에 근거하여 위험을 평가하고 위험의 규모를 결정하는 단계 정보보호 대책 선정 정보보호 계획 수립 * 출처 : 알기사 정보보안기사 실기 강의 2020. 12. 29. [Day 132] 위험 분석 방법/전략 기준선 접근법(Baseline Approach) 보호의 기본수준을 정하고 이를 달성하기 위한 보호대책을 선택하는 방식 표준화된 보안대책을 체크리스트 형태로 제공 세부(상세)위험분석(Detailed Risk Analysis) 잘 정립된 모델에 기초해 자산/위협/취약성 분석을 단계별로 수행하여 위험평가 모든 위험이 식별되고 꼭 필요한 대책 구현가능하나 시간과 자원 많이 소요 복합(통합)접근법(Combined Approach) 고위험 영억은 상세위험분석으로 진행하고 다른 영역은 베이스라인접근법을 적용하는 방식 고위험영역식별 잘못되면 불필요한 비용을 낭비하게 됨 비정형접근법(Informal approach) 전문가의 지식과 경험에 따라 위험 분석 작은 규모의 조직에 적합하나 수행자의 경험이 부족한 경우 위험 영.. 2020. 12. 20. 이전 1 ··· 8 9 10 11 12 13 다음