1. 정보보호 개요
빅데이타 빅데이터 인공지능 SSL 해킹
1) 정보보호 개요
(1) 정보보호 개념
정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적 기술적 수단, 또는 그러한 행위
(2) 정보보호 목표
[1] 기밀성(Confidentiality)
정보가 허가되지 않은 사용자에게 노출되지 않는 것을 보장하는 보안 원칙
[2] 무결성(Integrity)
정보가 권한이 없는 사용자의 악의적 또는 비악의적인 접근에 의해 변경되지 않는 것을 보장하는 보안 원칙
[3] 가용성(Availability)
인가된 사용자가 정보시스템의 데이터 또는 자원을 필요로 할 때 원하는 객체 또는 자원에 접근하고 사용할 수 있는 것을 보장하는 보안 원칙
2) 공격 유형
[1] 소극적 공격(Passive Attack) ex) 포트스캔을하고 아무것도 안하는 행위 / 기밀성을 위배하는 행위임
- 도청(Sniffing)
- 트래픽 분석
- 스캐닝 등
[2] 적극적 공격(Active Attack)
위장/사칭(Masquerade), 스푸핑 등
불법수정(Modification)
방해(Interruption)
위변조(Fabrication)
재생공격(Replay Attack)
서비스거부(DoS)
분산서비스공격(DDOS) 등
[3] 기타 공격
사회공학 공격 : 비기술적인 수단(친분 등)으로 비밀 정보를 얻음
2. 정보보호 시스템 인증(정보보호 시스템, 제품에 대한 인증)
1) TCSEC 인증 및 ITSEC 인증
(1) TCSEC(미국, 오렌지 북)
독립적인 시스템(OS, 제품)을 평가하기 위한 표준, BLP 기반
-> tcsec인증이 있으면 보안이 우수하다는 방화벽이라고할수있다.
ex) 한국에선 세스코에 가입되어있으면 깔끔하단 인식이 드는 그런 개념이라고 할수있다.
(2) ITSEC(유럽)
운영체제와 장치를 평가하기 위한 유럽형 지침
2) CC(Common Criteria, ISO 15408) 인증
CCRA 가입국 간에 정보보호 제품에 대한 상호인증이다.
(1) CC의 주요 제공 기능
[1] PP(Protection Profile, 보호 프로파일)
특정 기능의 요구를 충족시키는 제품의 기능성, 보증 관련 요구사항을 묶어 놓은 것
ex) 방화벽이 일반적으로 가져야하는 기능을 보증
[2] ST(Security Target, 보안목표명세서)
벤더 또는 개발자에 의해 작성되는 것으로 특정 제품에 종속되는 보증 관련 요구사항
ex) Sophos의 방화벽 장비 // PP를 기반으로 st를 만드는것
(2) 평가 등급
EAL1 |
EAL2 |
EAL3 |
EAL4 |
EAL5 |
EAL6 |
EAL7 |
기능 시험 |
구조 시험 |
체계적 시험체계적 설계,시험 |
설계,시험 |
정형화 |
검증 |
수치화 |
3. 접근 통제
1) 접근 통제 개요
(1) 접근
주체와 객체의 흐름, 주체(자원의 접근을 요구하는 활동 또는 개체), 객체(자원을 가진 개체)
(2) 접근의 단계
식별(Identification, 사용자가 본인이 누구임을 밝힘), 인증(Authentication, 사용자가 맞음을 인정), 인가(Authorization, 권한 부여)
2) 식별과 인증
(1) 지식 기반 인증(타입 1, Something you know) -> ex) 공인인증서,I-PIN
(2) 소유 기반 인증(타입 2, Something you have) -> ex) 은행 otp
(3) 존재(생체) 기반 인증(타입 3, Something you are) -> ex) 지문인식,홍채인식
(4) 행동 기반 인증(타입 4, Something you do)
3) 통합인증(SSO, Single Sign On)
다수의 서비스를 하 번의 로그인으로 기업의 업무 시스템이나 인터넷 서빗에 접속할 수 있게 해주는 보안 시스템
중앙 집중형 접근 관리, PKI, 윈도우의 Active Directory, 커버로스 등이 대표적
단점 : SPOF(단일 고장 지점) -> 2단계 인증으로 예방
4) 접근 통제 기술
(1) DAC(자율적, 임의적 접근 통제) : 객체의 소유자가 권한을 부여
(2) MAC(강제적 접근 통제) : 오직 관리자에 의해서 권한이 할당 및 해제, 주체의 비밀 취급 인가 레이블 및 객체의 민감도 테이블에 따라 권한 지정
(3) RBAC(역할기반 접근 통제) : 권한들의 묶음으로 Role을 만들어서 사용자에게는 Role 단위로 권한을 할당
5) 접근 통제 모델
(1) BLP
기밀성 모델, NRU(No Read Up), NWD(No Write Down)
(2) Biba
무결성 모델, NRD(No Read Down), NWD(No Write Up)
4. 암호학
1) 암호학 기초
(1) 암호학 기본 용어
평문 : 평범한 문자로 이루어진 문자열 또는 글 또는 데이터
암호문 : 암호화 알고리즘을 이용해서 평문을 암호화시킨 것
암호화 : 평문을 암호문으로 만드는 행위
복호화 : 암호문을 평문으로 만드는 행위
암호화 알고리즘 : 암호화할 때 사용하는 방식
복호화 알고리즘 : 복호화할 때 사용하는 방식
암호화/복호화 키 : 암호화 또는 복호화할 때 사용되는 추가적인 값
(2) 고전 암호 방식
abcdefghijklmnopqrstuvwxyz
2) 대칭키 암호화
암호화할 때와 복호화할 때 사용하는 키가 같다.
(1) 블록 암호 알고리즘
DES, AES, SEED, ARIA
f s f s
[1] Feistel 구조
암호화 복호화 구조가 같고 키가 역순
[2] SPN 구조
암호화 복호화 구조가 반대, 키는 그대로
(2) 스트림 암호 알고리즘
RC4
3) 비대칭키 암호화(공개키 암호화 방식)
암호화할 때와 복호화할 때 사용하는 키가 다르다.
(1) 종류
RSA, ECC, ElgaMal
(2) 암복호화 방식
암호화한 키를 이용해서 복호화 할 수 없고, 암호화키와 쌍이되는 다른 키를 이용해서 복호화해야 한다.
(3) 공개키 암호화 방식
개인키, 공개키 하나의 쌍을 이루고 있다.
개인키로 암호화 한 것은 공개키로만 복호화 가능
공개키로 암호화 한 것은 개인키로만 복호화 가능
개인키는 절대 공유 불가능
공개키는 누구나 자유롭게 공유 가능
1. 성훈이의 개인키로 암호화를 했을 때
1) 성훈이가 개인키로 평문을 암호화해서 암호문(개 하)를 생성
2) 성훈이가 암호문(개 하), 성훈이의 공개키(하)를 아이유에게 전송
3) 아이유는 성훈이의 공개키(하)로 암호문(개 하)를 복호화
4) 아이유가 평문을 획득
if 수지가 아이유와 주고받는 내용을 모두 훔쳐보고 있을 때
2. 아이유의 공개키로 암호화를 했을 때
1) 성훈이가 아이유한테 공개키(아)를 공유받고 해당 공개키(아)로 평문을 암호화해서 암호문(공 아) 생성
2) 성훈이가 암호문(공 아)를 아이유에게 전송
3) 아이유는 암호문(공 아)를 아이유의 개인키(아)로 복호화
4) 아이유가 평문을 획득
if 수지가 아이유와 주고받는 내용을 모두 훔쳐보고 있을 때
4) PKI(공개키 기반 구조)
(1) 인증서
공개키에 대한 전자 서명을 하여 믿고 쓸 수 있게 함
발급자, 발급 대상, 공개키 등이 들어있음
(2) PKI 구성 요소
PAA(최고 운영 기관, 방통위), PCA(자체 운영 기관, KISA), RootCA(최상위 인증 기관, KISA), CA(인증 기관, YesSign), RA(등록 기관, 은행)
(3) 통신 절차
1. 사용자는 네이버에게 공개키를 요청
2. 네이버는 YesSign에게 인증서 발급 요청(네이버의 공개키를 YesSign에게 전송)
3. YesSign은 인증서를 생성하고 전자서명 후 네이버에게 전송
4. 네이버는 사용자에게 인증서 전송
5. 사용자는 YesSign에게 공개키 요청
6. YesSign은 RootCA에 인증서를 요청하고 RootCA는 절차대로 발급
7. YesSign은 사용자에게 인증서 전송
8. 사용자는 컴퓨터에 설치되어 있는 공개키를 통해 인증서 검증
5) 일방향 암호화(해시)
키가 없고 복호화가 불가능한 암호화 방식
무결성만을 위한 암호화 방식, 기밀성X
어떠한 길이의 입력을 하든 일정한 길이의 암호문이 출력
(1) 해시 종류
MD5, SHA128, SHA256, SHA512
128바이트
(2) 조건
역상 저항성, 제2 역상 저항성, 충돌 저항성
6) 전자 서명
전자문서를 작성자의 신원과 전자문서 변경 여부를 확인할 수 있도록 비대칭 암호화 방식을 이용하여 전자서명 생성킬로 생성한 정보
메시지 -> 해시 -> 해시 암호문 -> 송신자의 개인키로 암호화 -> 전자서명 -> 송시자가 DES 방식으로 암호화 -> 암호화된 전자 서명
공감(♥) 과 댓글은 필자에게 큰 힘이 됩니다. 잠시 1초만 내주시면 안될까요? ~~ 로그인 없이도 가능합니당 |
'클라우드 아키텍처 설계 기초지식 > 10 정보보안' 카테고리의 다른 글
| 정보보안 (2) - 정보관리 (0) | 2018.11.08 |
|---|
댓글