'기밀성'에 해당되는 글 2건

  1. 2006.04.22 인터넷 보안 요구 사항
  2. 2006.03.12 보안 아키텍쳐 및 모델

인터넷을 이용한 전자상거래에서 보안 서비스는 절대적으로 필요하다. 여기서는 위험요소를 해결하기 위한 보안 요구 사항을 살펴본다.


가. 시스템 보안


클라이언트와 서버 어플리케이션이 동작하는 시스템 자체에 대한 보안이 요구된다. 즉 시스템에서 다양한 서비스가 제공될 경우 중요한 정보의 파괴는 치명적이다.


나. 클라이언트 인증


서버의 정보에 접근하는 사용자들을 통제하기 위해 클라이언트를 식별할 수 있는 기법이 필요한데, 이것은 인증 서비스를 통해 가능하다. 대부분의 시스템에서 불법적인 사용자의 이용을 1차적으로 차단하기 위해 가장 일반적으로 이용되고 있다.


다. 서버 인증


인터넷은 서로를 직접 확인할 수 없는 가상 공간이라는 특성을 지니고 있어서 사용자는 서비스 제공자에 대한 신뢰를 확보하기 매우 힘들다. 따라서 구매 주문서나 공문서와 같은 중요한 정보를 교환하고자 할 때, 클라이언트 인증뿐만 아니라 서버 인증을 포함하여 상호 인증 서비스를 제공해야 한다.


라. 전송되는 데이터의 인증, 기밀성, 무결성 보장


인터넷의 이용이 일반화되면서 중요한 정보의 전송 시 인증, 기밀성 및 무결성 등의 보장이 요구된다. 그렇지 않을 경우 TCP/IP 보안의 취약성으로 인해 네트워크를 통해 전송되는 모든 데이터는 도청 및 변조가 가능하다. 따라서 제3자에 의해서 불법적인 도청 및 변조를 막을 수 있는 기밀성과 무결성을 제공해야 한다. 또한 데이터의 송수신자를 확인할 수 있도록 데이터에 대한 인증이 함께 필요하다. 이러한 기능이 없을 경우 송수신을 부인할 수 있다.


마. 접근제어


서로 다른 중요도를 가지는 정보 및 시스템에 대해서 접근 권한을 달리 부여할 수 있어야 한다. 즉, 읽기만 또는 읽기와 쓰기도 가능하게 할 수 있어야 한다.


이러한 보안 요구 사항들은 모든 어플리케이션에서 반드시 공통적으로 만족해야 하는 것은 아니지만 인터넷을 통해 중요한 데이터를 주고받는 환경에서 데이터에 대한 기밀성 및 무결성은 반드시 제공되어야 하는 보안 서비스이다.


'Security Skill&Trend' 카테고리의 다른 글

중소기업 맞춤형 정보보호 지침서 발간  (0) 2006.04.24
인터넷 보안의 범위  (0) 2006.04.22
인터넷 보안 요구 사항  (0) 2006.04.22
인터넷의 위험 요소/보안 서비스  (0) 2006.04.22
conference.hackingthebox.org  (0) 2006.04.20
www.owasp.org  (0) 2006.04.20
Posted by 엔시스
1. 보안 모델
        -벨 라파듈라 모델
            1)기밀성(군대)
                -No read up : simple property security
                -No write down: star(*) property security
         -비바모델
            2)무결성(은행)
                -No write up :  star(*) property security
                -No read down: simple property security

2. Protection Mechanism
         1)TCB(Trust Computing Base)
             -->Total Combination, s/w를 h/w로 구현
          2)Security Perimeter
             -->TCB와 TCB가 아닌 것의 경계면..
3. Reference Monitor       
         주체(사용자)가 객체(정보)로의 접근 하기 위한 요소
        -security kernel: implement reference monitor
        -trust system : 검사 ,검증 과정을 거친 시스템
        -Assurance :정확하고 예측 가능한 방식으로 작용한 신뢰 정도

4. System Evaluation Method
       -TCSEC(Trust Computer System Evaluation Criteria
         (기밀성 기준으로 평가, 무결성 아님, 미국)
                -지표
                        A:
                        B1-B3:MAC
                        C2-1:DAC
               -기능성과 보증을 동시에 평가해서 하나의 등급으로 표시
               -오렌지북-->레인보우 시리즈

      -ITSEC
         -유럽, 기능성과 보증을 따로 평가
         -F1-F10(기능성), 보증(E0-E6)
     -CC(Common Criteria)
        1)평가지표 (EAL1-EAL7)

'Security License' 카테고리의 다른 글

방화벽의 종류  (0) 2006.03.15
2006 기술사 수검전략  (0) 2006.03.14
보안 아키텍쳐 및 모델  (0) 2006.03.12
2006년 정보보호전문가 자격증 후기  (0) 2006.03.12
OCP 참조 싸이트  (0) 2006.03.11
정보보호전문가 자격증 시험일  (0) 2006.03.11
Posted by 엔시스