[Ctrl + F 통해서 검색]
※ 정보보안기사 필기 시험을 준비하면서 개인적으로 기출문제 위주의 용어들을 정리한 내용입니다.
중요도가 높거나 시험에 많이 출제되는 내용은 주황색으로 표시했습니다.
정보보호 목표
- 기밀성(Confidentiality) : 정보가 허가되지 않은 사용자에게 노출되지 않는 것
- 무결성(Integrity) : 정보가 권한이 없는 사용자의 악의적 또는 비악의적인 접근에 의해 변경되지 않는 것
- 가용성(Availability) : 인가된 사용자가 정보시스템의 데이터 또는 지원을 필요로 할때 원하는 객체 또는 자원에 접근하고 사용할수 있는 것
패스워드 정책 | Password Policy
최소 8문자 이상으로 조합하여 구성(대소문자, 숫자, 특수문자)
책임 추적성 성립이 어려워 공유되어서는 안됨
신규 사용자를 생성한 후 처음 로그인 시 반드시 새로운 패스워드를 변경하도록 강제 적용
로그인 정보에 대해 정확한 감사기록이 유지
시스템은 실패한 로그인 횟수를 제한하도록 임계치를 설정
마지막 로그인 시간을 보여줌
휴면 계정은 사용불가/삭제, Password는 저장소에 One-way 암호화 수행
악성코드 종류 | Malicious Software
논리 폭탄(Logic Bomb)
특정 조건이 발생할 때 실행되는 악성코드
특정 조건이 발생하지 않으면 악성코드가 기동되지 않아 탐지가 어려움
키로거(Key-Logger)
사용자가 입력하는 정보를 갈취하는 악성코드
윈도우 후킹(Hooking)을 통해서 키보드 입력정보를 획득
트로이목마(Trojan Horse)
자기복제 능력이 없음
시스템 정보, 개인정보 등을 유출하거나 특정 시스템 파일 삭제
백도어(Backdorr, Trapdoor)
인증과정을 우회해서 시스템에 접근할 수 있도록 열어둔 뒷문으로 원격조정을 통해서 시스템 장악
루트킷(Rootkit)
공격자가 루트권한 획득을 위해 심은 악성코드
생체인증 | Biometrics
평생 불변의 특성을 지닌 생체적, 행동적 특징을 자동화된 수단으로 등록
사용자가 제시한 정보와 패턴을 비교한 후 인증하는 기술
[특징]
보편성(보편적으로 지님), 유일성, 지속성, 성능(인식의 우수성, 시스템 성능), 수용성(거부감 X), 저항성(위조 X)
행동학적 특성을 이용한 바이오 인식 : 음성, 걸음걸이, 입력속도 등 개인의 행동과 연관
커버로스 | Kerberos
중앙 집중형 사용자 인증 프로토콜 , RFC1510
대칭키 암호화 기법 바탕 티켓기반 인증 프로토콜
3A ( Authentication 인증 + Authorization 인가 + Accounting 과금 ) , AAA 서버라고 함
[동작원리]
1. 사용자가 인증 서비스에 인증
2. 인증 서비스는 사용자에게 시작 티켓(사용자 이름, 발급시간, 유효시간)을 전송
3. 사용자는 서비스 접근 요청
4. TGS(티켓 부여 서비스)는 세션키가 포함된 새로운 티켓 생성
5. 사용자는 하나의 세션 키 추출, 티켓을 파일서버로 전송
6. 티켓을 받은 서버는 사용자에 대한 서비스 제공 여부 결정
2-Factor 인증
지식, 소유, 존재, 행동기반의 인증에서 2개를 같이 사용하는 인증 방법
예) 지식기반(패스워드 입력) + 생체인증(홍채인증) = 2-Factor 인증
MAC | Mandatory Access Control | 강제적 접근 통제 ★★★★
주제의 객체에 대하 접근이 주체의 비밀 취급 인가 레이블 및 객체의 민감도 레이블에 따라 지정되는 방식
"관리자"에 의해 권한이 할당되고 해제
[특징]
데이터에 대한 접근을 시스템이 결정
데이터 소유자가 아닌 오직 관리자만이 자원의 카테고리 변경
비밀성을 포함하고 있는 객체에 대해 주체가 가지고있는 권한에 근거하여 객체의 접근 제한
[종류]
Rule-based MAC : 주체와 객체의 특성에 관계된 특정 규칙에 따른 접근 통제 방화벽
Administratively-directed MAC : 객체에 접근할 수 있는 시스템 관리자에 의한 통제
CBP(compartment-Based Policy) : 일련의 객체 집합을 다른 객체들과 분리, 동일 수준의 접근 허가를 갖는 부서라도 다른 보안등급을 가질 수 있음
MLP(Multi-Level Policy) : Top secret, Secret, confidentiality, Unclassified 와 같이 각 객체별로 지정된 허용 등급을 할당하여 운영, 미국 국방성 컴퓨터 보안 평가지표에 사용, BLP 수학적 모델로 표현 가능
DAC | Discretionary Access Control | 자율적 접근 통제 ★★★★
"객체의 소유자"가 권한 부여 : 접근하려는 사용자에 대해 권한을 추가 및 삭제 가능
User-based, Identity : 사용자의 신분에 따라 임의로 접근 제어
융통성이 좋아 UNIX, DBMS 등의 상용 OS에서 구현 가능
접근 통제 목록(ACL, Access Control List) 사용 : Read , Write, Execute
MAC의 단점을 극복하기 위해 나온 것이 아님
Non-DAC | None Discretionary Access Control | 비임의적 접근 통제
주체의 역할에 따라 접근할 수 있는 객체를 지정
기업 내 개인의 작은 이동 및 조직 특성에 밀접하게 접용하기 위한 통제 방식
Role-based 또는 Task-based
Central authority(중앙 인증) : 중앙 관리자에 의해 접근 규칙 지정
사용자별 접근 통제 규칙 설정 X
[종류]
RBAC (Role-Based Access Control) ★★★★
사용자의 역할에 의해 권한 부여
사용자가 적절한 역할 할당, 역할에 적합한 권한이 할당된 경우만 사용자가 특정한 모드로 정보에 대한 접근 통제
Lattice-based Non-DAC
역할에 할당된 민감도 레벨에 의해 결정
관련된 정보로만 접근 가능
주체와 객체의 관계에 의거하여 접근을 통제할 수 있는 Upper bound와 Low bound 를 설정하여 제어, 정보의 흐름 통제
Tack-Based Non_Doc
조직 내 개인의 임무에 의한 접근 통제
하나의 임무를 수행하고 있는 경우 다른 관련 업무 볼 수 없음
RBAC | Role Base Access Control
권한들의 묶음
Role 을 만들어서 사용자에게 Role 단위로 권한을 할당 및 관리
[장점]
관리 수월 : 편리한 관리 능력 제공
보안관리 단순화 : 권한 지정을 논리적 독립적으로 할당 또는 회수 가능
최소 권한 : 권한의 남용 방지
직무분리
접근 통제 방법
Capability List : 자격 목록
주체별로 객체를 링크드리스트로 연결하고 권한을 할당한 구조
객체 수가 많으면 탐색 속도가 느려진다는 단점
[예시]
File 1 user_2: execute
File 2 user_1: execute; user_2: execute
File 3 user_1: execute, read; user_2: execute, read, append, write
Access control List | 접근 통제 목록
주체와 객체간의 접근 권한을 테이블로 구성
행 : 주체 / 열 : 객체 / 행과 열의 교차점 : 주체가 객체에 대한 접근 권한
사용자가 비교적 소수일 때와 분포도가 안정적일 때 적합, 지속적으로 변경되는 환경에는 부적합
[예시]
| Data 1 | Data 2 | |
| 김-- | Write | Read |
| 이-- | Read/Write | No Access |
| 박-- | No Access | Write |
접근 통제 모델
Bell-Lapadula
기밀성 모델, 높은 등급의 정보가 낮은 레벨로 유출되는 것을 통제하는 모델
최초의 수학적 모델, 보안 등급과 범주를 이용한 강제적 정책에 의한 접근 통제 모델
미 국방성(DOD)의 지원을 받아 설계된 모델, 오렌지북인 TCSEC의 근간
시스템의 비밀성을 보호하기 위한 보안 정책
[속성]
1) No Read-Up (NRUU of ss-property) : 단순 보안 규칙
주체는 자신보다 높은 등급의 객체를 읽을 수 없다.
주체의 취급인가가 객체의 비밀 등급보다 같거나 높아야 그 객체를 읽을 수 있다.
2) No Write-Down (NWD or *-property) = confinement property : * (스타-보안규칙)
주체는 자신보다 낮은 등급의 객체에 정보를 쓸 수 없다.
주체의 취급인가가 객체의 비밀 등급보다 낮거나 같을 경우네는 그 객체를 주체가 기록할 수 있다.
3) Strong *-property
더욱 강화된 모델로, 주체는 자신과 등급이 다른 객체에 대해 읽거나 쓸 수 없다.
Biba 모델
Bell-Lapadula 모델의 단점인 무결성을 보장할 수 있는 모델
주체에 의한 객체 접근의 항목으로 무결성을 다룸
[속성]
1) No Read-Down
2) No Write-Up
Clock and Wilson | 클락 윌슨 모델
무결성 중심의 상업용을 설계 , application의 보안 요구사항을 따름
정보의 특성에 따라 비밀 노출 방지보다 자료의 변조 방지가 더 중요한 경우가 있음을 기초로 함
주체와 객체 사이에 프로그램이 존재 , 객체는 항상 프로그램을 통해서만 접근 가능
2가지 무결성 정의 : 내부 일관성(시스템 이용) , 외부 일관성(감사에 활용)
만리장성 모델 | Chiness Wall | Brewer-Nash
서로 상충 관계에 있는 객체 간의 정보 접근을 통제하는 모델
상업적으로 기밀성 정책에 따름
메시지 해시함수
| 종류 | 특징 |
| MD2 | Rivest란 사람이 개발한 것으로 8bit 컴퓨터를 위해 고안 매우 안전하지만 대신 계산할 때 많은 시간이 걸림 128Bit의 출력 해시값을 생성 |
| MD4 | Rivest란 사람이 갭라한 것으로 MD2 보다는 메시지 압축 속도가 빠름 속도는 빠른 반면에 안정성에서 뒤떨어짐 128Bit의 출력 해시값을 생성 |
| MD5 | Rivest란 사람이 개발한 것으로 안전성에서 떨어지는 MD4 알고리즘을 수정하여 만듦 128Bit의 출력 해시값을 생성 |
| SHA | Secure Hash Algorithm, MD 계정의 알고리즘과는 달리 160Bit의 출력 해시값을 생성 |
| SHA-1 | 미국 표준의 메시지 압축 알고리즘으로 160Bit 출력 해시값을 생성 |
Active Jamming
태그와 판독기 간에 사전에 약속된 형태의 의미없는 전자신호를 지속적으로 발생시켜
등록되지 않은 부당한 판독기는 정상적으로 통신하지 못하도록 방해함으로써 데이터를 보호하기 위한 방법
하지만 RFID 시스템에 대한 공격이나 전파 공해 등의 문제가 될 수 있음
수동적 공격 기법
정보 획득을 목적으로 수행하는 공격 기법으로 사용자에게 직접적인 피해를 주지 않음
스니핑이 가장 대표적
[출처]
이기적 정보보안기사 필기 이론서
'자격증 > 정보보안기사' 카테고리의 다른 글
| 정보보안기사 필기 - 모의고사 (0) | 2020.03.11 |
|---|---|
| 정보보안기사 필기 - 정보보안 관리 및 법규 (0) | 2020.03.09 |
| 정보보안기사 필기 - 애플리케이션 보안 (0) | 2020.03.03 |
| 정보보안기사 필기 - 네트워크 보안 (0) | 2020.03.02 |
| 정보보안기사 필기 - 시스템 보안 (0) | 2020.03.02 |