Gentle Breeze

▶ 용어 정의 - BCP : Business Continuity Plan (사업 지속 계획) - DRP : Disaster Recovery Plan (재난 복구 계획) - BIA : Business Impact Analysis (업무 영향 평가 분석) ▶ 비상 계획 개요 - 필요성 : 위험요소 (일반재해, 시스템 장애, 사고/과실) 손실 (직접적손실 - 인적자원이 가장 중요, 간접적 손실 - Business, 잠재적 손실) - 재해의 정의 - 장애(Non-Disaster) : Down-Time(업무 지장시간)이 짧은 경우 - 재해(Disasters) : 하루 이상의 중단이 있는 경우 - 위험관리 - 위험 요인의 영향을 감소시키는 것이 목적 - 정보 자원에 대한 위협 요인의 분석을 실시, 통제 - 비상 계..

▶ 시스템 아키텍처 - 설계 시 고려사항 - 기밀성, 무결성, 가용성 관점 설계 - 가장 낮은 HW, OS 부터 보안 고려 - 운영체제 보안 - 신뢰할 수 있는 컴퓨터 기반(TCB), 참조 모니터, 보안커널 - TCB : Trusted Computing Base 내부의 모든 장치가 보안 정책을 따르도록 설계 시스템 내의 주요 자산에 대한 보호 매커니즘 OS 의 기본 작업에 대한 기밀성, 무결성 감시 사용자의 모든 행동이 보안정책 우회 불가 - 참조모니터 : Reference Monitor 주체가 객체 접근 시 접근 허용 여부를 중재 보안 정책 위배 여부를 판단하여 접근 여부 결정 접근통제, 감사 및 식별(감사증적), 인증과 같은 기능과 상호작용 OS상의 참조 모니터 기능을 보안에 특화시키고 별도의 장비로..

원본 : http://blog.naver.com/yichi718/110029334543 ** 이 포스팅에 사용된 그림은 클릭 시 원본 이미지 사이즈로 볼 수 있습니다. CC(Common Criteria)의 정의 - 국가마다 서로 다른 정보보호시스템 평가 기준을 연동하고 평가 결과를 상호 인증하기 위해 제정된 정보보안 평가기준 - 국제표준(ISO/IEC 15408)로 1999년 6월 인증 CC(Common Criteria)의 목적 - 정보보호 시스템의 보안 등급 평가에 신뢰성 부여 - 현존하는 평가 기준과 조화를 통해 평가 결과의 상호 인정 (CCRA:Common Criteria Recognition Arrangement : CC 상호인정 협정) - 정보보호 시스템의 수출입에 소요 되는 인증 비용 절감 및..

▶ 일방향 해시 함수 - 임의의 길이의 비트 스트림을 고정된 길이의 출력값으로 압축 - 요구사항 - h=H(x) 계산이 쉬울 것 - 주어진 해시에 대해 x를 찾아내기 힘들어야 함 (일방향성) - 해시코드(h)의 집합에 경우의 수가 더 많아야 함 - 충돌(collision)에 대한 저항성이 있어야 함 - 충돌회피(collision resistance) - 활용 : 무결성 검증도구, MAC, 전자서명에 활용 - Birthday attack : birthday paradox 해시 충돌 쌍을 찾아내는 것 m비트의 해시값을 가지는 경우 서로 다른 2^(m/2) 가지의 메세지를 비교하여 동일한 해시값을 산출하는 서로 다른 메시지 쌍을 찾을 확률은 0.5 이상 -> 전수 조사가 충분히 가능 함 해시코드 크기가 64비..

▶ 대칭키 암호 시스템 - 대칭키 암호의 분류 ▲ Click to Enlarge ▲ - SPN 사이퍼 : AES, Rijndael - Feistel 사이퍼 : DES - 스트림 사이퍼 - one-time pad : 랜덤하지 않은 평문이 랜덤한 키 열과 더해져 랜덤한 암호문을 생성 한 번 사용한 키는 폐기 평문의 길이 = 키의 길이 = 암호문의 길이 대량의 데이터는 암호화가 불가능 Exclusive-OR 알고리즘을 통해 암 복호화 COA로 평문을 알아내는 것은 키를 알아내는 작업과 동일 수학적으로 절대 깨지지 않음 비 실용적 - 키 전달 및 키 동조의 문제 - 하드웨어 구현에 적합 - 블록 사이퍼보다 빠른 연산속도 - 종종 알고리즘을 비공개로 하고 하드웨어로만 구현(SW 구현 시 비효율적) - 종류 : R..