목록⑨ 직무역량강화/CISSP (13)
Gentle Breeze
▶ 컴퓨팅 시설 설계 시 요구사항 - 위치 선정 이슈 - 가시성 : 낮은 가시성(눈에 잘 띄지 않는 곳), 건물 표시 및 간판 - 지역 환경 : 주위 환경의 위험, 범죄율, 인구밀도, 자연재해 - 교통 : 접근성 확보, 과도한 교통량은 피함, 다른 교통수단과의 인접성 - 기타 : 응급서비스의 인접성, 공동 소유 시 비상 상황에 대한 통제 고려 - 사이트 설계 및 구축 시 이슈 - 벽 : 일반적인 경우 화재에 대하여 기본적으로 1시간을 버틸 수 있어야 함 미디어나 문서 등 중요정보를 보관 시 2시간을 버틸 수 있어야 함 바닥부터 천장까지 완전히 밀폐 되어야 함 물리적 침투나 관통을 막을 수 있어야 함 - 천장 : 방수가 되어야 함 벽과 같은 정도의 방화등급이 필요 - 바닥 : 적절한 하중(1Sq당 150파..
▶ 지적 재산권 법(Intellectual Property Law) - 상표권 (Trademark) - 식별을 위해 만든 심볼 - 특허권 (Patent) - 지정된 기간동안 특허 권리 침해에 대해 법적으로 배타적 권리를 가짐 - 발명특허 : 과학, 기술 공학을 이용한 고도의 창작물을 보호 Protects the Precess of How To Build the Product of the Idea - 실용신안특허 - 혁신적이고, 산업상 유용하고, 누구나 알아낼 수 있는것이 아니어야 하며 가장 먼저 출원되어야 함 - 저작권 (Copyrignt) - 저자의 생각이 표현된 작품(Idea, 창작물)을 보호 (Protect How the Idea is Expressed) - 컴퓨터 프로그래밍과 관련된 저작권 보호 ..
▶ 용어 정의 - BCP : Business Continuity Plan (사업 지속 계획) - DRP : Disaster Recovery Plan (재난 복구 계획) - BIA : Business Impact Analysis (업무 영향 평가 분석) ▶ 비상 계획 개요 - 필요성 : 위험요소 (일반재해, 시스템 장애, 사고/과실) 손실 (직접적손실 - 인적자원이 가장 중요, 간접적 손실 - Business, 잠재적 손실) - 재해의 정의 - 장애(Non-Disaster) : Down-Time(업무 지장시간)이 짧은 경우 - 재해(Disasters) : 하루 이상의 중단이 있는 경우 - 위험관리 - 위험 요인의 영향을 감소시키는 것이 목적 - 정보 자원에 대한 위협 요인의 분석을 실시, 통제 - 비상 계..
▶ 시스템 아키텍처 - 설계 시 고려사항 - 기밀성, 무결성, 가용성 관점 설계 - 가장 낮은 HW, OS 부터 보안 고려 - 운영체제 보안 - 신뢰할 수 있는 컴퓨터 기반(TCB), 참조 모니터, 보안커널 - TCB : Trusted Computing Base 내부의 모든 장치가 보안 정책을 따르도록 설계 시스템 내의 주요 자산에 대한 보호 매커니즘 OS 의 기본 작업에 대한 기밀성, 무결성 감시 사용자의 모든 행동이 보안정책 우회 불가 - 참조모니터 : Reference Monitor 주체가 객체 접근 시 접근 허용 여부를 중재 보안 정책 위배 여부를 판단하여 접근 여부 결정 접근통제, 감사 및 식별(감사증적), 인증과 같은 기능과 상호작용 OS상의 참조 모니터 기능을 보안에 특화시키고 별도의 장비로..
▶ 일방향 해시 함수 - 임의의 길이의 비트 스트림을 고정된 길이의 출력값으로 압축 - 요구사항 - h=H(x) 계산이 쉬울 것 - 주어진 해시에 대해 x를 찾아내기 힘들어야 함 (일방향성) - 해시코드(h)의 집합에 경우의 수가 더 많아야 함 - 충돌(collision)에 대한 저항성이 있어야 함 - 충돌회피(collision resistance) - 활용 : 무결성 검증도구, MAC, 전자서명에 활용 - Birthday attack : birthday paradox 해시 충돌 쌍을 찾아내는 것 m비트의 해시값을 가지는 경우 서로 다른 2^(m/2) 가지의 메세지를 비교하여 동일한 해시값을 산출하는 서로 다른 메시지 쌍을 찾을 확률은 0.5 이상 -> 전수 조사가 충분히 가능 함 해시코드 크기가 64비..