정보보안기사&CISSP관련172 [Day 300] CPTED(Crime Prevention Through Environment Design) CPTED(Crime Prevention Through Environment Design, 셉테드) 범죄 예방 환경 디자인 특징 1. 자연스러운 감시(natural surveilance) - 가시성 극대화 2. 자연스러운 접근통제(natural access control - 울타리 등을 통해 이동경로 유도 3. 관할영역 강화(territorial reinforcement) - 소유의식을 갖게하고, 잠재적 칩입자 의도 억제 2021. 6. 5. [Day 293] 웹 애플리케이션 개발 시 보안 요구사항 개발 보안 요구사항 추가 설명 사용자에게 전달된 값(Hidden Form Field, Parameter)을 재사용할 경우 신뢰해서는 안된다. 클라이언트에 저장된 정보는 쉽게 조작 가능하므로, 세션 기반으로 서버에서 처리하도록 변경 필요 최종 통제 메커니즘은 반드시 서버에서 수행되어야 한다. 클라이언트에서 입력값을 검증하는 것은 쉽게 우회 가능 1차 검증은 클라이언트 측에서 하고 2차 검증은 서버 측에서 하도록 개발 필요 클라이언트에게 중요 정보를 전달하지 않는다. 중요 정보 하드코딩 금지 쿠키에 중요 정보 전달 시 암호화 필수 중요 정보 전송 시 POST 메소드 및 SSL(HTTPS)를 적용한다. 사용자로부터 중요 정보 받을 때 GET 메소드 사용 시 URL상에 정보가 노출되므로 POST 메소드 사용 필.. 2021. 5. 29. [Day 287] 물리적 보호구역 접견구역 외부인이 별다른 출입증 없이 출입이 가능한 구역(예 : 접견장소 등) 제한구역 비인가된 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소(예 : 부서별 사무실 등) 통제구역 제한구역의 통제항목을 모두 포함하고 출입자격이 최소인원으로 유지되며 출입을 위하여 추가적인 절차가 필요한 곳(예 : 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등) * 출처 : ISMS-P 인증제도 안내서 2021. 5. 23. [Day 286] Interrupt, Interrupt Service Routine, PC(Program Counter) Interrupt 시스템에 예기치 않은 일이 발생했을 때 그것을 CPU에 알려주는 것 Interrupt Service Routine(또는 인터럽트 핸들러) 인터럽트 발생 시 현재 실행중인 프로그램의 상태를 보존하고, 요청된 인터럽트를 처리하는 루틴으로 제어를 옮기기 위한 프로그램 PC(Program Counter) 다음에 수행할 명령어의 주소를 기억하는 장소 2021. 5. 22. 이전 1 2 3 4 5 6 ··· 43 다음
