[원본 링크] 시스템 아키텍트(제2판) 연구 노트----정보 암호화 및 복호화 기술
기사 디렉토리
- 1. 정보보호 시스템의 구성요소 프레임워크
- 2. 암호화 기술
- 3. 접근통제 및 전자서명 기술
- 4. 정보보호를 위한 공격방지 기술
-
- 4.1 비밀키 선택
- 4.2 전통적인 서비스 거부 공격 유형
- 4.3 리소스에 대한 서비스 거부 공격의 일반적인 유형
- 4.4 분산 서비스 거부 및 DDos 현상
- 4.5 DDos 3단계 제어 모델
- 4.6 서비스 거부 공격에 대한 방어 방법
- 4.6 ARP 스푸핑 예방 조치
- 4.7 DNS 스푸핑 탐지
- 4.8 포트 스캐닝의 목적
- 4.9 포트 스캐닝 원리의 분류
- 4.10 TCP/IP 스택에 대한 공격 방법
- 4.11 시스템 취약점 스캔 유형
- 4.12 네트워크 기반 취약점 스캐너의 구성요소
- 4.13 네트워크 취약점 스캐닝의 장점
- 4.14 호스트 기반 취약점 스캐닝의 장점
- 5. 정보보호 보증체계 사전평가 방법
1. 정보보호 시스템의 구성요소 프레임워크
1.1 정보보호 시스템 구성 프레임워크
- 기술 시스템
- 조직 시스템
- 관리 시스템
1.2 정보보호시스템의 기술적 내용
- 기본 보안 장비
- 컴퓨터 네트워크 보안
- 운영 체제 보안
- 데이터베이스 보안
- 최종 장치 보안
1.3 일반적으로 사용되는 기본 보안 장비
- 암호화 칩
- 암호화 카드
- 신분증
1.4 네트워크 보안 기술 내용
- 물리적 격리
- 방화벽 및 액세스 제어
- 암호화된 전송
- 인증
- 전자 서명
- 요약
- 터널 및 VPN 기술
- 바이러스 예방 및 온라인 행동 관리
- 안전한 디자인
1.5 운영 체제 보안 콘텐츠
- 오류 구성 없음
- 허점 없음
- 백도어 없음
- 트로이 목마 없음
1.6 운영 체제 보안 메커니즘
- 식별 및 인증 메커니즘
- 액세스 제어 메커니즘
- 최소 권한 관리
- 신뢰할 수 있는 경로 메커니즘
- 작동 보장 메커니즘
- 스토리지 보호 메커니즘
- 파일 보호 메커니즘
- 보안 감사 메커니즘
1.7 데이터베이스 보안 기술
- 물리적 데이터베이스 무결성
- 논리적 데이터베이스 무결성
- 요소 보안
- 감사 가능성
- 액세스 제어
- 입증
- 유효성
- 추론 제어
- 다단계 보호
- 비밀 채널 제거
1.8 정보보호 시스템의 조직체계
- 의사결정 수준
- 관리
- 실행 계층
1.9 정보보호시스템 관리체계
- 법적 관리
- 시스템 관리
- 교육관리
2. 암호화 기술
2.1 보안 통신 모델
2.2 대칭암호 알고리즘의 의미
힙형 키 암호화 알고리즘에서는 암호화 키와 복호화 키가 동일하며, 이를 공유 비밀키 알고리즘 또는 힙형 키 알고리즘이라고 합니다.
2.3 일반적으로 사용되는 힙 암호화 알고리즘
- DES(데이터 암호화 표준)
- IDEA(국제 데이터 암호화 알고리즘)
- AES(고급 암호화 표준)
2.4 비대칭 암호화 알고리즘의 의미
비대칭 암호화 알고리즘은 항상 다른 암호화 키와 복호화 키를 사용하여 비공유 키 알고리즘 또는 비대칭 키 알고리즘이 됩니다.
3. 접근통제 및 전자서명 기술
3.1 접근통제의 기본 모델
- 본체
- 물체
- 제어 전략
3.2 접근통제 내용
- 인증
- 제어 전략
- 심사
3.3 접근통제 구현 기술
- 액세스 제어 매트릭스
- 액세스 제어 목록
- 능력표
- 권한 관계 테이블
3.4 디지털 서명 조건
- 서명을 신뢰할 수 있습니다.
- 서명은 위조될 수 없습니다
- 서명은 재사용할 수 없습니다.
- 서명된 파일은 변경할 수 없습니다.
- 서명은 부인할 수 없습니다.
4. 정보보호를 위한 공격방지 기술
4.1 비밀키 선택
- 키 공간 늘리기
- 강력한 키를 선택하세요
- 키 무작위성
4.2 전통적인 서비스 거부 공격 유형
- 자원 소비
- 구성 정보 파기 또는 변경
- 네트워크 구성 요소를 물리적으로 파괴하거나 변경합니다.
- 서비스 프로그램의 처리 오류를 이용하여 서비스를 비활성화하는 행위
4.3 리소스에 대한 서비스 거부 공격의 일반적인 유형
- 네트워크 연결에 대한 서비스 거부 공격
- 디스크 공간을 소모합니다.
- CPU 자원과 메모리 자원을 소비합니다.
4.4 분산 서비스 거부 및 DDos 현상
- 공격받은 호스트에는 대기 중인 TCP 연결이 많이 있습니다.
- 웹 사이트 서비스 연결의 일부가 아니며 종종 시스템의 임의 포트를 가리키는 많은 수의 데이터 패킷이 도착합니다.
- 중국과 유럽의 네트워크는 대량의 데이터 패킷으로 넘쳐나고 원래 주소는 가짜입니다.
- 쓸모없는 데이터의 트래픽을 많이 생성하여 네트워크 정체를 유발하여 피해자 호스트가 외부 세계와 정상적으로 통신할 수 없도록 만듭니다.
- 피해자 호스트가 제공하는 서비스 및 전송 프로토콜을 활용하여 피해자 호스트가 적시에 모든 정상적인 요청을 처리할 수 없도록 서비스 요청을 보냅니다.
- 심한 경우 충돌이 발생할 수 있음
4.5 DDos 3단계 제어 모델
4.6 서비스 거부 공격에 대한 방어 방법
- 데이터 패킷의 기능 식별 향상
- 로컬호스트 포트 사용을 모니터링하기 위해 방화벽을 설정하세요
- 통신 데이터량에 대한 통계는 공격 시스템의 위치와 수량에 대한 정보도 제공할 수 있습니다.
- 발견된 문제와 시스템 버그를 최대한 수정합니다.
4.6 ARP 스푸핑 예방 조치
- ARP 스푸핑을 방지하기 위해 ARP 테이블을 강화합니다.
- ARP 서버 사용
- 양방향 바인딩을 사용하여 ARP 스푸핑 해결 및 방지
- ARP 보호 소프트웨어-ARP Guard
4.7 DNS 스푸핑 탐지
- 수동적 청취 감지
- 허위 패킷 감지
- 교차 확인 쿼리
4.8 포트 스캐닝의 목적
- 대상 호스트에 열려 있는 서비스 확인
- 대상 호스트의 운영 체제 확인
4.9 포트 스캐닝 원리의 분류
- 전체 TCP 연결
- 세미 오픈 스캐닝(SYN 스캔)
- 핀 스캔
- 타사 검색
4.10 TCP/IP 스택에 대한 공격 방법
- SYN 플러딩
- ICMP 공격
- SNMP 공격
4.11 시스템 취약점 스캔 유형
- 네트워크 기반 취약점 스캔
- 호스트 기반 취약점 스캔
4.12 네트워크 기반 취약점 스캐너의 구성요소
- 취약점 데이터베이스 모듈
- 사용자 구성 콘솔 모듈
- 스캔 엔진 모듈
- 현재 활성화된 스캐닝 지식 모듈
- 결과 저장 및 보고서 생성 도구
4.13 네트워크 취약점 스캐닝의 장점
- 네트워크 기반 취약점 스캐너는 상대적으로 저렴합니다.
- 네트워크 기반 취약점 스캐너는 대상 시스템의 관리자가 작동할 필요가 없습니다.
- 네트워크 기반 취약점 스캐너는 탐지 프로세스 중에 대상 시스템에 아무것도 설치할 필요가 없습니다.
- 유지관리 용이
4.14 호스트 기반 취약점 스캐닝의 장점
- 스캔된 취약점의 수가 많음
- 중앙 집중식 관리
- 낮은 네트워크 트래픽 부하
5. 정보보호 보증체계 사전평가 방법
5.1 컴퓨터정보에 대한 보안 보호 수준
- 레벨 1: 사용자 독립적 보호 레벨(TESEC 레벨 C1에 해당)
- 레벨 2: 시스템 감사 보호 레벨(TCSEC 레벨 C2에 해당)
- 레벨 3: 안전마크 보호 레벨(TESEC 레벨 B1에 해당)
- 레벨 4: 구조적 보호 수준(TESEC 레벨 B2에 해당)
- 레벨 5: 접근 검증 보호 레벨(TCSEC 레벨 B3에 해당)
5.2 보안 위험 관리
- 세부 평가 범위 결정
- 위험 평가의 목표 결정
- 적절한 조직 구조 확립
- 체계적인 위험 평가 접근 방식 확립
- 위험 평가 계획에 대한 최고 경영진의 승인을 얻습니다.
5.3 위험 평가의 기본 요소
- 취약성
- 자산
- 위협하다
- 위험
- 보안 조치
5.4 위험 평가의 다양한 요소의 관계 다이어그램
5.5 위험 계산 프로세스
- 정보 자산을 식별하고 이에 가치를 부여합니다.
- 위협을 분석하고 발생 가능성에 가치를 부여합니다.
- 정보 자산의 취약점을 식별하고 취약점에 심각도 값을 할당합니다.
- 위협과 취약점을 기반으로 보안 사고 발생 가능성을 계산합니다.
- 정보자산의 중요도와 보안사고 발생 가능성을 토대로 정보자산의 위험가치를 산출합니다.