06. 의료정보의 비밀보호(2)
11. 재난복구계획
1) 사업연속성과 재해복구계획 2) 재난복구계획(DPR)
3) 재난복구계획의 이행 4) 재난복구계획의 실험 5) 재난복구계획의 집행 6) 재난복구 대책검토 7) 장비보호
8) 전원공급
9) 통신회선 보호
12. 접근보안대책
1) 접근권한
(1) 접근권한관리 (2) 접근통제
13. 네트워크 보안
1) 네트워크 보안 정책 2) 원격사용자 인증 3) 시스템 인증
4) 네트워크상의 분리 5) 네트워크 연결 정책 6) 네트워크 관리
7) 무선통신망 보안
14. 정보시스템 보안
1) 시스템 접근 통제
2) 중요시스템 격리
3) 공유자원 제한통제
4) 시스템 유지보수
15. 사용자 인증 및 계정관리
1) 사용자 인증
2) 사용자 계정관리
3) 패스워드 사용
4) 시스템 접근절차
16. 운영관리
1) 운영사의 변경통제 2) 서비스관리
(1) 필요서비스관리 (2) 전자우편 보안 (3) 서비스보안
3) 정보보호시스템 보안
(1) 정보보호시스템 설치 및 구성 (2) 정보보호시스템 활용 및 보호 (3) 악성코드 관리
(4) PC 보안관리 (5) 로그 및 모니터링
16. 운영관리
1) 운영사의 변경통제 2) 서비스관리
3) 사용자 계정관리
4) 패스워드 사용
5) 시스템 접근절차
17. 백업
1) 백업관리
18. 정보시스템 개발 및 유지보수
1) 정보시스템 개발 및 정보보안 요구사항 2) 운영소프트웨어 보안
3) 외주관리
1차 방어선-사람
내부자(insider)
– 합법적인 사용자들로 의도적으로나 실수로 전산 환경에 접근할 수 있는 그들의 권한을 이용해 비즈니스에 영향을 주는 사건을 일 으키는 사람들
정보 보호 정책(information security policy)
– 정보 보호를 유지하기 위해 필요한 규칙들을 모아놓은 것
정보 보호 계획(information security plan)
– 조직에서 정보 보호 정책을 구현하는 방법을 자세하게 한 것
1차 방어선-사람
사람과 정보보안 정책들에 대해 관리자가 고려해야 할 세부사항 들
– 기업의 네트워크에 설치 가능한 애플리케이션들, 특히 다양한 파일 공유 애플리케이션(Kazaz), 인스턴트 메시징 소프트웨어, 그리고 오 락용 혹은 밝혀지지 않은 출처의 프리웨어들(아이폰 애플리케이션) – 개인 네트워크에 개인적인 이유로 쓰이는 기업의 컴퓨터 기기들 – 최소한의 비밀번호 길이, 비밀번호를 정할 시에 포함되어야 하는 문
자, 비밀번호 변경 주기를 포함한 비밀번호 생성과 관리 – 기업의 네트워크에 연결하는 것이 허락된 개인 컴퓨터 기기
– 시스템이 얼마나 자주 검사되어야 하고 소프트웨어가 업그레이드 돼
야 하는가를 포함한 바이러스로부터의 보호
2차 방어선-기술
정보 보호의 세 가지 분야
2차 방어선-기술
사람: 인증과 인가
– 신원 도용(identity theft)
사기를 위해 어떤 사람의 신분을 위조하는 것 – 피싱(phishing)
온라인에서 타인의 신원을 훔치기 위해 사용되는 흔한 방법
– 미국 은행의 피싱 사기
2차 방어선-기술
사람: 인증과 인가
– 파밍(pharming)
합법적인 웹사이트로의 요청 경로를 바꿔 가짜 웹사이트로 연결 – 인증(authentication)
사용자의 신원을 확인하는 방법 – 인가(authorization)
특정인에게 특정 대상에 대한 사용권 또는 소유권을 허가하는 과정 – 인증과 인가 기법은 다음 세 가지로 구분
1. 사용자가 알고 있는 것을 이용하는 방법: 예) 사용자 ID, 패스워드
2. 사용자가 소유한 것을 이용하는 방법: 예) 스마트카드, 토큰
3. 사용자의 신체 정보를 이용하는 방법: 예) 지문, 음성 인식
2차 방어선-기술
사람: 인증과 인가
– 사용자가 알고 있는 것을 이용하는 방법
사용자를 식별하기 위해 가장 보편적으로 사용되는 방법은 사용자 ID와 패스워드를 이용하는 것
– 사용자가 소유한 것을 이용하는 방법
사용자가 소유한 물건을 이용하는 방법은 ID와 패스워드를 이용한 인증보다 효과적인 방법
토큰token은 사용자의 패스워드를 자동으로 교환하기 위해 사용하는 작은 전자 장치
스마트카드smart card는 신용카드 크기에 정보를 저장할 수 있고 제한된 규모의 정보 처리를 할 수 있는 소프트웨어를 저장할 수 있는 장치
– 사용자의 신체 정보를 이용하는 방법
가장 효과적인 인증 방법
생체 인식(biometrics)은 좁은 의미로는 지문, 홍채, 안면, 음성, 서체 등의 신체적 특징을 이용하 여 사용자를 인식하는 방법
2차 방어선-기술
자료: 예방과 저항
– 예방(prevention)과 저항(resistance) 기술들은 침입자들이 자료에 접근하는 것을 콘텐트 필터링, 암호화, 그리고 방화벽의 방법으로 차단
– 콘텐트 필터링(content filtering)
인가되지 않은 정보를 우연히 또는 악의적으로 전송하는 것을 방지하기 위해서 콘텐트를 필터링하는 소프트웨어를 사용하는 것
– 암호화(encryption)
정보를 키(암호)가 없으면 풀어서(복호화하여) 볼 수 없는 형태로 변환 – 공개키 암호화(PKE: public key encryption)
모두에게 공개된 공개키와 소유자만 알고 있는 개인키의 두 개의 키를 사 용하는 암호화 시스템
2차 방어선-기술
자료: 예방과 저항
– 방화벽(firewall)
네트워크를 통해 유입되거나 유출되는 정보를 분석하여 사설 네트워크를 보 호하는 하드웨어와 소프트웨어
완전한 보호를 보장하지는 않기 때문에 사용자는 바이러스 방지 소프트웨어 나 스파이웨어 방지 소프트웨어와 같은 추가적인 보안 기술들을 사용
– 바이러스 방지 소프트웨어(antivirus software)
하드 드라이브를 스캔하고 탐색하여 기존에 알려진 바이러스, 애드웨어, 그리 고 스파이웨어를 방지하고, 탐지하며, 제거한다. 바이러스 방지 소프트웨어는 새로 만들어진 바이러스에 대항하기 위해서 자주 갱신