처음 만나는 클라우드 보안

취약점 종류를 다뤄보기에 앞서, 취약점과 함께 언급되는 '위협', '위험'에 대한 개념을 정리해보자. ■ 취약점 관련 용어 취약점(Vulunerability) : 위협에 의해 손실이 발생하게 되는 약점, 위협과 달리 조치가 가능함 위협(Threat) : 손실의 원인을 제공할 수 있는 환경, 또는 요소를 말함 위험(Risk) : 위협이나 취약점에 따라 발생 가능한 손실의 크기, 정보보호의 관리 타겟 자산(Asset) : 조직에서 보유한 가치 있는 모든 것 (정보, 기술, 물리 자산, 서비스 인력 등) ■ 3가지 취약점 유형 1) CCE (Common Configuration Enumeration) 시스템 설정상의 취약점으로, 이를 통해 허용된 권한 이상의 동작이 허용되거나, 필요 이상으로 정보 노출이 발생..

ITU-T X.805 (10/2003) This Recommendation defines the general security-related architectural elements that, when appropriately applied, can provide end-to-end network security. 본 표준을 통해 우리는 종단 간 네트워크에 적용될 수 있는 보편적 보안아키텍쳐에 관한 정의를 제공한다. 1. 보안아키텍쳐(Security Architecture) 정보 시스템을 운영하는 주체는 시스템의 무결성, 가용성, 기밀성을 확보하기 위하여 보안 아키텍처를 수립한다. 이를 통해 관리적, 물리적, 기술적 보안 개념의 수립 및 향상을 기대할 수 있다. 보안 아키텍처는 보안 수준의 변화가 생겨도..

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다. 2.1 정책, 조직, 자산 관리 2.1.1 정책의 유지관리 : 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 재개정하고 그 내역을 이력관리하여야 한다. 대상 => 정보보호 및 개인정보보호 관련 정책과 시행문서 - 관련 법규: 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행) 개인정보의 기술적·관리적 보호조치 기준 제3조(내부관리계획의 수립·시행) - 용어정리 “전기통신역무”란 전기통신설비를 이용하여 타인의 ..

보안 컨설팅의 절차 현황 분석 => 위험분석 => 보안대책 수립 및 문서작성 => 최종 점검 => 사후관리 1. 현황분석 : 운영환경 분석, 요구사항 정의, 수행계획 수립 2. 위험분석 : 자산조사, 자산관리 현황 분석, 기술적 취약점 분석, *위험분석 및 평가, **손실 분석 - 위험(Risk)이란? 자산(Asset)에 대해 존재하는 위협(Threat) 및 취약점(Vulnerablity)이 손실(Lose)을 일으킬 가능성 - 손실 분석 SLE(Single Loss Expectation, 단일 손실 예상): 태풍이 불어 공장 파손 → 30억 ALE(Annually Loss Expectation, 연간 손실 예상): 10년에 한 번 발생하는 태풍 → 3억/년 3. 보안대책 수립 및 문서작성 보안대책 도축,..

'정보보호'가 제도상으로 어떻게 관리되고 있는지 알아보자 1. 정보보호 - 정보보호의 3요소 C: Confidentiality (기밀성) 키워드 - Unauthorized Access (허가되지 않은 접근) I : Integrity(무결성) 키워드 - Unauthorized Change (허가되지 않은 변경) A: Availability(가용성) 키워드 - Anytime, Anywhere (언제나, 어디서나) - 정보보호 주요 용어 자산(Asset): 조직에서 보호해야 하는 대상. ex) 정보, 하드웨어, 소프트웨어, 시설 등 취약점(Vulunerablity): 자산에 위협이 가해질 수 있는 내재적 약점 위협(Threat): 자산에 피해를 줄 수 있는 잠재적 원인 또는 행위자 위험(Risk): 조직에 대..