크램

CISA (74)

[CISA 이론 정리 - 5장] 04 논리적 접근 통제 (1/2)

CISA/5. 정보 자산의 보호 크램 2017. 9. 10. 07:48

1. 접근 통제 소프트웨어의 기능① 접근 통제(Access control) = 식별 + 인증 + 권한 부여 + 책임 추적② 접근 통제 소프트웨어의 가장 중요한 기능은 사용자 인증이다.※ 사용자 인증의 수준: 네트워크, 서브 시스템, 응용시스템, 트랜잭션, 사용자, 파일, 필드 등③ 또한, 접근 제한, 접근 권한 부여, 승인 받지 않은 접근 시도의 기록과 보고 등을 수행한다. 2. 식별(Identification)/인증(Authentication)(1) 3가지 인증 요소① 식별: 사용자가 사용자 ID나 계정 명(user name)으로 시스템에 자기 신분을 밝히는 것이다.② 인증: 시스템이 사전에 공유한 지식을 근거로 사용자 신분을 검증(verification)하는 것이다.③ 인증 기법은 크게 다음과 같이 ..

[CISA 이론 정리 - 5장] 03 사회 공학과 컴퓨터 범죄

CISA/5. 정보 자산의 보호 크램 2017. 9. 9. 01:00

1. 사회 공학(1) 기본 개념① 사회 공학(Social engineering): 원래 대중의 태도나 행동에 영향력을 행사하는 효과적 방법을 연구하는 사회 과학의 한 분야를 가리킨다.② 정보 보안에서 사회 공학은 사람의 심리나 성향 또는 실수를 악용하여 민감한 정보를 알아 내는 비기술적 기법들을 통칭한다.③ 초기에는 전화를 걸어 위급한 상황을 가정하거나 자신의 신분을 속이거나 고위층을 사칭하여 민감한 정보를 얻어내는 수법들이 주로 사용되었다. (2) 관련 기법① 다음은 기술을 거의 사용하지 않는 단순한 기법이다. 협박(Blackmail)• 개인 약점, 안전 등을 볼모로 특정 행위나 이익을 요구한다.• 협박을 통해 돈, 정보, 자원, 개인 자산 등을 요구하거나 착취한다. 설문 메일(Mail Out)• 공격..

[CISA 이론 정리 - 5장] 02 논리적 접근 노출

CISA/5. 정보 자산의 보호 크램 2017. 9. 9. 00:30

1. 논리적 접근 통제의 보호 대상① 논리적 접근(Logical access)이란 네트워크를 통한 접근이다.② 무엇보다 데이터, 응용 소프트웨어 및 각종 시스템 소프트웨어를 논리적 접근으로부터 보호해야 한다.③ 또한, 다이얼-업 라인을 포함한 통신 회선, 통제 우회 기능, 각종 라이브러리와 테이프 파일 및 스풀 큐 역시 승인 받지 않은 접근으로부터 보호해야 한다. 2. 논리적 접근 위반 시도자① 사용자, IS 직원, 퇴사자, 계약직/외부직원, 해커 등이 논리적 접근 위반을 시도할 수 있다.② 일반적으로 논리적 접근 위반은 비의도적이며 우발적인 경우가 많다.③ 가장 심각한 영향을 주는 논리적 접근 위반자는 조직의 구성원이다.④ 접근 통제가 집권화(centralization)되면 일관성과 효율이 증가한다.⑤..

[CISA 이론 정리 - 5장] 01 정보 보안의 성공 요소

CISA/5. 정보 자산의 보호 크램 2017. 9. 8. 15:18

1. 정보 보안의 목적(1) 정보 보안 거버넌스(Information Security Governance)① 정보 보안 거버넌스 란 조직이 정보 보안을 지휘, 감시, 평가하는 데 사용하는 시스템이다.② 정보 보안 거버넌스는 기업 거버넌스의 일부로서 이사회와 고위 경영진에 책임이 있다.③ 이사회와 고위 경영진은 정보 보안이 비즈니스 목적과 니즈를 지원하고 관련 법규와 정책을 준수하며 위험을 적절히 관리하도록 능동적인 리더십을 발휘해야 한다. (2) 정보 보안 프로그램① 정보 보안 프로그램이란 정보 보안 관리의 목적을 달성하기 위해 조직이 사용하는 수단, 기법, 대책, 자원, 절차, 실무로 구성된 시스템이다.② 정보 보안 프로그램은 정보 보안 관리 체계(ISMS: Information Security Man..

Copyright © 크램 All Rights Reserved
Designed by JB FACTORY

티스토리툴바