ISO27001(정보보안 경영시스템 인증): 조직의 경영시스템 중 정보보호 관리체계를 심사하고 인증하는 제돌, ISO 인증 분야: 보안정책, 자산분류, 위험 관리 등 11개 영역, 133개 통제항목에 대한 규격을 만들어야하는 기엄이 엄격한 심사 1) 관리체계 수립 및 운영은 정보보호 관리체계를 운영하는 동안 Plan, Do, Check, Ack의 사이클에 따라서 반복 plan: 명확한 목표를 정하고 전략을 세오는 계획수립 단계 do: 수립된 계획을 실행하는 단계 check: 수립 결과를 계획에 대비하여 검토하는 단계 act: 검토 결과를 차기 계획에 반영하는 단계 2) isms 인증 의무대상자(정보통신망법 제47조 2항) 전기통신사업법 제2조 제8호에 따른 전기통신사업자와 전기통신사업자와 전기통신사업자의..

1단계 식별은 시스템에 자신이 누구라는 것을 밝히는 것(유일한 식별자를 가짐) 2단계 인증은 시스템이 사용자가 자신임을 주장하는 것을 인정하여 주는 것 3단계 접근 권한 유무 판별은 정보를 바탕으로 사용자의 접근 허용 여부 결정 4단계 허가는 시스템이 사용자에게 권한을 부여하며, 권한의 정도에 따라 자원 접근 5단계 감사는 부여된 권한 내에서 작업이 진행되었는지 감시(책임을 명확하게 함) 수행 시점에 따른 통제 1. 예방 통제는 오류나 부정이 발생하는 것을 예방하는 것이 목적이다.(문제 발생 후 수습하는 것보다 예방이 경제적) 2. 탐지 통제는 발생 가능한 유형의 오류, 누락, 악의적 행위를 예측하여 예방 대책을 마련해도 예방통제로만 막을 수 없음 3. 교정 통제는 탐지 통제를 통하여 발견된 문제를 해결..

WAF(Web Application Firewall)와 일반 방화벽(Firewall)은 네트워크 보안에서 서로 다른 역할을 수행합니다. 여기서 말씀하신 내용을 바탕으로 두 시스템의 차이점을 정리하겠습니다. WAF (Web Application Firewall) 주 목적: 웹 애플리케이션과 관련된 취약점을 보호하고 공격을 방어합니다. 보호 대상: 웹 애플리케이션과 웹 서버. 초점: SQL 인젝션, 크로스사이트 스크립팅(XSS), 세션 하이재킹 등 웹 애플리케이션 고유의 취약점을 방어합니다. OSI 모델: 주로 응용 계층(계층 7)에서 작동합니다. 보안 방식: HTTP/HTTPS 트래픽을 모니터링하고 애플리케이션 레벨에서 발생하는 공격을 차단합니다. 일반 방화벽 (Firewall) 주 목적: 네트워크를 보호..

기타 특성 1. 책임 추적성은 내부 정보에 침해행위가 발생한 경우, 각 객체의 행위를 유일하게 추적할 수 있음을 보장하는 것 2. 인증성은 어떤 주체나 객체가 정당한 사용자임을 확인하는 것 3. 신뢰성은 의도한 행위에 따른 결과의 일관성을 보장하는 것 4. 부인 방지는 송신 부인방지, 수신 부인방지하는 것 5. 접근 통제는 비인가자의 접근 통제, 주어진 권한만 사용하는 것 정책, 표준, 지침, 절차의 정의 및 특성 1. 정책은 조직의 경영 목표를 반영하고, 정보보호 관련 상위 정책과 일관성 유지 2. 표준은 조직의 환경 또는 요구사항에 따라 관련된 모든 사용자가 준수하도록 요구되는 규정 3. 지침은 정보보호 정책에 따라 특정 시스템, 특정 분야별로 정보보호 활동을 필요한 세부 정보 설명 4. 절차을 만족..

클라우드 보안 (8/30 - 8/31) 보안 강화와 시스템 보안: 미탐지 및 오탐지 문제 해결을 위한 보안 강화 방안에 대한 논의. 스위트 스폿 (Sweet Spot): 최적의 보안 밸런스 탐색. 스토리지와 데이터베이스: 명확한 차이점 이해. DIKW 피라미드: 데이터, 정보, 지식, 지혜의 계층적 구조. 관계형 데이터베이스 관리 시스템 (RDBMS): 기본 개념 및 운용. 공통 인터페이스 및 공통 스키마: 기술 표준화. CDN (Content Delivery Network) 서버: 효율적인 콘텐츠 전달 방식. 포그 컴퓨팅과 엣지 컴퓨팅: 디도스 공격 완화와 관련된 기술. 클라우드 기술 (8/31 - 9/1) SaaS, PaaS, IaaS: 클라우드 서비스 모델과 기술적 요소들. 네트워크 슬라이싱과 재난..

입법 및 행정 과정 국회 입법 과정: 쟁점 해결, 필리버스터, 국민 권리 의무의 정의. 행정부 역할: 기술적 부분에 대한 지침 및 위임 통한 정책 전달. 국회지원 역할: 안전성 확보 위한 고시 개발 및 지원. 법적 정의 및 적용 법과 시행령: 직접 식별(가목) 및 간접 식별(나목)의 법적 정의. 데이터 수집과 처리: 보수적 접근, 가명 정보 처리, 개인정보 처리자의 역할 및 범위. 식별 가능성과 관련 규정 식별 가능성: 개인정보 식별 가능성 고려(전화번호, 생일 등). 개인정보 파일의 장점과 한계: 업무 효율성 증가 및 정보 주체의 검색 용이성. 민감 정보의 처리 및 관리 익명 정보와 민감 정보: 처리 동의 및 법적 요구사항. 가명 정보와 추가 정보: 개인정보 재식별 가능성 최소화. 법적, 행정적 조치 ..