[정보 보안] 보안?

[정보 보안] 필요한 관련 기초 지식 포스팅에서 법률/정책 부분에서 보안의 세가지 측면을 언급했습니다.

 

관리적 보안?

   물리적, 기술적 보안을 체계적으로 수행하기 위한

   정보보호 체계 및 절차, 감시 조직, 사고대책 등의 정보보호 활동을 말합니다.

   [ ex. 보안 정책 / 보안 지침 / 보안 절차 / 보안 조직 ]

 

물리적 보안?

   건물, 설비와 같은 물리적 정보 시스템 자산을 절도, 파괴, 화재 등과 같은

   각종의 물리적인 위협으로부터 보호하는 방법을 말합니다.

   [ ex. 출입 통제 / 전원 대책 / 작업 감시 / 선로 대책 / 시설 대책 ]

 

기술적 보안?

   전산 환경에서 정보자산을 자산의 유출, 파괴 등으로부터 보호하기 위한 기술적 통제 방법을 말합니다.

   ((논리적 보안이라고도 합니다.))

   [ ex. 네트워크 보안 / PC 보안 / 서버 보안 / 접근 제어 ]

 

보안이란 곧,

"기밀성과 가용성, 무결성을 보장해주는 기술"이라고 할 수 있습니다.

 

보안의 3요소를 "CIA"라고 합니다.

1) Confidentiality : 기밀성, 비밀성

2) Integrity : 무결성

3) Availability : 가용성

 

물론 보안의 요소에는 이것 뿐만이 아닙니다.

 

4) 인증

5) 접근 제어(통제)

6) 부인 방지

7) 책임 추적성

 

이러한 요소들을 "보안 요소 기술"이라고 부릅니다.

 

1) Confidentiality : 기밀성, 비밀성

기밀성이란 정보가 허가되지 않은 사용자에게 노출되지 않게끔 보장하는 것을 말합니다.

즉, 인가받은 사용자만 해당 문서를 읽을 수 있는 성질입니다.

 

기밀성에 있어서의 위협(Threat)은 [Sniffing(훔쳐보기)과 Eavesdropping(도청)]이 있습니다.

이 위협에 해당하는 보안 기술은 [Encryption(암호화)]가 있습니다.

 

2) Integrity : 무결성

무결성이란 정보에 대한 권한이 없는 사용자의 접근에 의해 변경되지 않게끔 보장하는 것을 말합니다.

즉, 어떠한 데이터를 인가받지 않은 사용자가 수정 또는 삭제할 수 없도록 보장하는 기술입니다.

 

무결성에 있어서의 위협(Threat)은 [Malware(악성 소프트웨어)와 Modification(변조, 수정)]이 있습니다.

이 위협에 해당하는 보안 기술은 [Hash Function(해시 함수)]가 있습니다. (암호학적 해시함소; MD5, SHA-512...)

 

3) Availability : 가용성

가용성이란 인가된 사용자가 정보 시스템의 데이터 및 자원을 필요로 할 때 이를 보장하는 것을 말합니다.

즉, 인가받은 사용자에게 언제 어디서든 중단하지 않고 서비스를 제공할 수 있도록 유지하는 기술입니다.

 

가용성에 있어서의 위협(Threat)은 [DoS(서비스 거부 공격)/DDoS(분산 서비스 거부 공격]이 있습니다.

이 서비스 거부 공격은 자원을 고갈시키는 공격입니다.

이 위협에 해당하는 보안 기술은 [Firewall(방화벽), IDS(침입 탐지 시스템), IPS(침입 방지 시스템), UTM(통합 위험 관리 시스템)]이 있습니다.