시스템 보안 구현 1. 네트워크 보안 솔루션 솔루션 설명 방화벽 (Firewall) 미리 정의된 보안 규칙을 기반으로 외부로부터 불법 침입과 내부의 불법 정보 유출을 방지하고, 내/외부 네트워크의 상호 간 영향을 차단하기 위한 보안 시스템 침입 탐지 시스템 (IDS : Intrusion Detection System) 네트워크에서 발생하는 이벤트를 모니터링하고 비인가 사용자에 의한 자원접근과 보안 정책 위반 행위(침입)를 실시간으로 탐지 침입 방지 시스템 (IPS : Intrusion Prevention System) 네트워크에 대한 공격 or 침입을 실시간적으로 차단하고, 유해 트래픽에 대한 조치를 능동적으로 처리 2. 시스템 보안 솔루션 솔루션 설명 스팸 차단 솔루션 (Anti-Spam Solutio..
9. 소프트웨어 개발 보안 구축
무선랜 통신(IEEE802.11)의 암호화 기술 1. 무선랜 통신(IEEE802.11)의 암호화 기술 기술 설명 WEP (Wired Equivalent Privacy) 초기 와이파이 암호화 통신 규약 WPA (Wi-Fi Protected Access) 기존 WEP의 취약성에 대한 대안으로 등장한 기술 규격 TKIP (Temporal Key Integrity Protocol) (임시 키 무결성 프로토콜) 초기 Wi-Fi 장비에서 널리 사용되었던 불안전한 WEP 암호화 표준을 대체하기 위한 암호 프로토콜 WPA2 (Wi-Fi Protected Access 2) 와이파이 보안 표준인 IEEE802.11i 규격이 등장하면서, 이 규격에 맞춘 보안기술 WPA3 (Wi-Fi Protected Access 3) WP..
※ 수제비 2022 정보처리기사 실기 제 4판 책을 참고 ※ 요약해서 정리하였으므로, 원하는 내용이 없을 가능성 있음 ch.1 소프트웨어 개발 보안 설계 소프트웨어 개발 보안 설계 1 소프트웨어 개발 보안 설계 소프트웨어 개발 보안 설계 1. SW 개발 보안 3대 요소 3대 요소 설명 기밀성 (Confidentiality) 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단 무결성 (Integrity) 정당한 방법을 newbean-j.tistory.com 소프트웨어 개발 보안 설계 2 소프트웨어 개발 보안 설계 2 소프트웨어 개발 보안 설계 2 1. 접근 통제 기법 구분 설명 식별 (Identification) 자신이 누구라고 시스템에 밝히는 행위 인증 (Authentication) ..
비즈니스 연속성 계획(BCP) 1. 비즈니스 연속성 계획 관련 주요 용어 주요 용어 설명 BCP (Business Continuity Planning) 재난 및 재해 상황을 대비하여 기업의 비즈니스 연속성을 유지하기 위한 업무 복구에 대한 계획 BIA (Business Impact Analysis) 장애 or 재해로 인한 운영상의 주요 손실을 볼 것을 가정하여 비즈니스 영향 분석 RTO (Recovery Time Objective) 업무중단 시점부터 데이터가 복구되어 다시 정상가동될 때까지의 시간 RPO (Recovery Point Objective) 업무중단 시점부터 데이터가 복구되어 다시 정상 가동될 때, 데이터의 손실 허용 시점 DRP (Disaster Recovery Plan) 재난으로 장기간에 ..
SW 개발 보안 구현 1. 입력 데이터 검증 및 표현 취약점 취약점 설명 XSS (Cross Site Script) 검증되지 않은 외부 입력 데이터가 포함된 웹페이지를 사용자가 열람할 때, 부적절한 스크립트가 실행되는 공격 사이트 간 요청 위조 (CSRF : Cross Site Request Forgery) 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 SQL 삽입 (SQL Injection) 악의적인 SQL 구문을 삽입하고 실행시켜 정보를 열람, 조작할 수 있는 취약점 공격법
소프트웨어 개발 보안 설계 2 1. 접근 통제 기법 구분 설명 식별 (Identification) 자신이 누구라고 시스템에 밝히는 행위 인증 (Authentication) 주체의 신원을 검증하기 위한 활동 인가 (Authorization) 인증된 주체에게 접근을 허용하는 활동 책임추적성 (Accountability) 주체의 접근을 추적하고 행동을 기록하는 활동 2. 인증 기술 유형 유형 설명 예시 지식기반 인증 사용자가 기억하고 있는지식 ID / 패스워드 소지기반 인증 소지하고있는 사용자 물품 공인인증서 생체기반 인증 고유한 사용자의 생체 정보 얼굴, 지문 특징기반 인증 사용자의 특징을 활용 발걸음, 몸짓 3. 서버 접근 통제 유형 유형 설명 임의적 접근 통제 (DAC : Discretionary Acc..
소프트웨어 개발 보안 설계 1. SW 개발 보안 3대 요소 3대 요소 설명 기밀성 (Confidentiality) 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단 무결성 (Integrity) 정당한 방법을 따르지 않고 데이터가 변경 되지 않으며, 데이터의 정확성 및 완전성과 고의/악의로 변경 or 훼손되지 않음 보장 가용성 (Availability) 권한을 가진 사용자 or 애플리케이션이 원하는 서비스를 지속해서 사용할 수 있도록 보장 ※ SW 개발 보안 용어 용어 설명 자산 조직의 데이터 or 소유자가 가치를 부여한 대상 위협 조직 or 기업의 자산에 악영향을 끼칠 수 있는 시간 or 행위 취약점 위협이 발생하기 위한 사전 조건으로 시스템의 정보 보증을 낮추는 데 사용되는 약점 ..
