공부 일기

목차

​

1. BCP와 DRP

2. BCP (Business Continuty Planning)

3. DRP (Disaster Recovery Planning)

1. BCP와 DRP

​

- BCP 프로세스는 범위와 계획의 초기화를 포함

- 사업 영향 평가 (Business Impact Assessment : BIA)

  : 기업에 어느정도 피해가 있을 때에 얼마나 영향이 미치는지에 대해서 평가하고 정량화하는 것

    사업 지속 개발 계획

    많은 문서로 구성되어 있음

​

- DRP는 다음을 포함

  : 재해 복구 계획 프로세스

   재해 복구 계획 테스트

   정상적 작동 가능 테스트

   항상 최신화

   재해가 일어나지 않았을 때에 미리 확인 필요

   재해 복구 절차

​

- 재해 (정보 자원의 사용 불능으로 발생하는 비즈니스 중단 사태)

 자연재해 : 정보 처리 시설에 직접적인 피해 (전산실의 위치)

 통신, 전기, 가스등의 기반 서비스 중단

  : 정전 시 발전기를 어떻게 구축할 것인지

 테러, 바이러스 등으로 인한 재해

 생화학 바이러스

 실수 (직원)

 : 직원들의 실수로 인해 벌어지는 상황

​

// 재해 상황이 BCP를 실행 할 심각한 중단 상황인지 판단하기 위해서 위험 기반의

분류 시스템(risk classification system)이 필요 (BCP, DRP는 사후승인)

​

- 사업 연속성 계획과 재해 복구 계획은 BIA에 내용을 근거로 상세하게 세워져야함

​

- 계획의 요소

 재해 이전 준비

 대피 절차

 재해 선언 절차

 재해 선언 상황 판단 기준

 책임 및 책임자

 명확한 계약 정보

 복구 대안의 단계별 설명

 복구 및 지속 운영에 필요한 자원 식별

​

2. BCP

​

- BCP의 목적

 조직의 생존을 위해서 핵심적인 기능 및 운영이 예기치 못한 중단으로부터 보호 될 수 있도록 하는 것

​

- 발생 가능한 여러 종류의 위험

 고객 서비스 중단

 이미지 및 브랜드 손실

 지적, 인적 자산 보호 실패

 비즈니스 통제 상실

 법률적 요구 사항 위반

​

- BCP의 책임

 고위 경영진 (회사의 생존과 자산보호의 책임을 위임 받음)

​

- BCP의 구성

 재해 복구 계획 + 사업 운영 연속성 확보 계획

 업무시스템을 복구 할 때 민감도를 따짐

​

- 중점 고려 사항

 조직의 생존에 가장 필요한 핵심 사업 영역

 핵심 사업 영역을 지원하는 물적, 인적 자원

​

- 사업 연속성 계획은 위험분석을 기반으로 수행하며 이를 위해서 자산을 고려한 위협 식별작업이 필요함

- 위험은 자산 가치와 인지된 위협이 발생될 비율에 비례

 손실액(SEL) x 발생가능성(ARO) = ALE

​

- IT 재해 복구 계획 (사업 연속성 계획의 하위 요소, 기술문서)

- 모든 복구 계획의 기준은 비용편익

 절대 비용(cost)가 편익(benefit)을 초과해서는 안 됨

​

- BCP의 네가지 구성요소

 범위와 계획의 초기화

 사업 영향 평가 (Business Impact Assessment : BIA)

 // BIA의 주요목적 : 핵심 우선순위 결정, 중단시간 산정, 지원 요구사항, 재난 발생 시 사업에 어떤 영향을 줄지 임원진에게 관련정보를 제공하기 위한 문서화가 중요

 사업 지속 개발 계획

 계획 승인과 구현

 // 구현 : 지속 계획을 지속해서 개선해 나가는 것

​

- BCP 구현및 운영 과정

1) 사업 연속성/재해 복구 정책 수립

2) 사업 영향 분석

3) 사업 연속성 계획과 재해 복구 절차 수립

4) 훈련과 인식 프로그램

5) 계획 테스트및 실행

6) 모니터링

 : 계획을 지속적으로 할 수 있는지 지속해서 감시 및 판단하는 것

// work though : 한 방에 모여서 그 대책에 대해서 한 번 점검하는 것

​

# 범위와 계획 초기화

- BCP 프로세스의 개시

​

- 역할과 책임을 식별

 최고 경영진 (프로젝트의 개시, 최종승인, 지속적인 지원 책임)

 BCP위원회 (계획 구현, 테스트를 지휘)

 단위 사업 관리자 (핵심 프로세스의 정의와 우선순위 부여)

 // 단위 사업의 이사/각 부서의 부서장들 등

 기능 사업부서 (구현과 테스트에 참여)

 // 그 밑에 있는 주사들이 구현과 테스트에 참여

​

# 사업 영향 평가 (BIA)

​

- 세가지 주요 요소

1) 핵심 우선 순위 결정

 모든 핵심적인 단위 프로세스를 식별하고 파괴적 사건에 대한 영향을 평가해야함

2) 중단시간 산정

 핵심 프로세스가 중단된 채로 조직이 회생불능에 빠지기 까지 견딜 수 있는 시간을 산정

 MTD : Maximum Tolerable Downtime (견딜수 있는 시간을 산정한 것)

 일반적인 측정치는 기대치에 비해서 무척 짧음

3) 지원 요구사항

 핵심 프로세스를 복구하는데 필요한 자원요구 사항

​

- BIA 수행하는 접근 방법

 설문지

 인터뷰

 회의

 시스템 관련 BIA에서는 과거의 트랜잭션 양을 분석하고 결과는 인터뷰단계에서 실증해야함

​

# 취약성 평가

​

- 위험 평가 방법

 정량적 : 경제적 측면

 정성적 : 운영 측면

​

- 정량적 손실 기준

 매출 손실 및 추가 부채에 대한 비용

 사건 복구 비용

 법적인 비용 (계약의 위반, 법률 위반)

 법적 비용이 들어간 것은 예상 비용보다 꽤 크다는 것을 의미

​

 - 정성적 손실 기준

 시장 점유율 감소

 신뢰나 공신력 감소

 운영적인 측면에서 할 수 있을지 없을지에 대한 평가

// 취약성 평가를 기반으로 한 핵심 지원 영역에 대한 정의가 중요

​

- 문서화

 BIA의 마지막 단계

 모든 프로세스와 프로시저, 분석 결과의 완전한 문서화가 중요

 적절한 고위 경영진에 대한 권고사항 프리젠테이션

 보고서에는 식별된 핵심 지원영역과 양적인 영향을 종합하고 권고된 복구 우선순위가 포함 되어야함

​

# 사업 지속 개발 계획

​

- BIA로부터 도출된 핵심 사업기능을 지원하기 위한 비상계획과 전략을 세움

- 두 가지의 중요한 단계

 지속 전략 계획

  컴퓨팅 계획(전략)

  설비 계획

  인력 계획

  지원과 장비 계획

 지속적인 문서 전략 : 지속 전략 계획의 각각의 결과에 대한 완전한 문서화

​

- 계획의 전사적 파급을 위한 인지도 향상

 사고 복구는 개개인의 노력에 의존함

 양질의 훈련과 교육

​

- 계획의 유지 보수

 최신의 버전이 유지되도록 업데이트를 수행해야함

 컴퓨팅 환경의 변화등이 원인

- BCP 구성 문서

 사업 복구 계획

 운영 계획 연속성

 IT 비상 계획 지원의 연속성

 위급 상황 시 통신 계획

 사고 대응 계획

 재해 복구 계획

 거주자 비상계획

​

- 시스템, 사용자, 네트워크 복구 전략 등을 공급하기 위한 절차

- 계획 사본 저장

 핵심 의사 결정자의 사택

 복구 시설이나 저장 시설(오프 사이트)

​

3. DRP

​

- 매우 파괴적인 사건 발생시 조직이 재해를 복구하기 위한 전략적인 방법을 제공함으로써 혼란을 줄이고

위기상황에 대처하는 조직의 능력을 향상시킴

​

- DRP의 구성과 목적

 컴퓨터 및 네트워크 시스템 장애로 부터 조직을 보호

 업무 서비스 제공 지연으로인한 위험의 최소화

 재해 중 직원들의 안전한 행동 요령과 의사결정의 최소화

 테스트를 통한 대기 시스템의 안정성 보장

​

- DRP영역

 재해 복구 계획 프로세스 (재해 복구 계획 프로시저)

 재해 복구 계획 테스트

 재해 복구 프로시저

​

- MTBF (Mean Time between Failure) : 장애 사이 기간 (길수록)

: 어떤 장애가 발생한 후 처리된 다음 똑같은 장애가 다시 발생할 때까지 걸리는 시간

- MTTR (Mean time to Repair) : 장애 교정 시간(짧을수록)

: 장애가 발생하고 이 장애가 복구되는 시간

​

- 합리적인 비용으로 수용 가능한 복구 시간대를 제공 할 수 있는 복구 전략이 필요

​

- 복원력

 대체 경로나 여분의 시스템을 이용 위협에 대처하는 능력

 복원력에 의해 복구 되지 않아 손실되거나 피해를 입은 시스템에 대한 대책은 재해 복구 절차에서 고려

​

- 잔존 위험

 복구 전략이 선택된 이후 남아있는 위험

 교정 통제 이후의 위험

 보험 등의 방법으로 통제

// 가장 적절한 복구 전략은 BIA에서 식별된 상대적 위험도를 바탕으로 선택 되어짐

​

# 복구 목표 시점(RPO)과 복구 목표 시간(RTO)

​

- RPO (Recovery Point Objective)

 장애 발생시 복구 시점(현재로 부터 과거 시점, 짧을 수록 비용이 많이 듬)

 RPO가 매우 짧다는 의미는 손실 데이터의 양이 작다는 것을 뜻함

 가장 이상적인 경우 : 재해시점 = RPO시점 : 데이터 손실이 없음

 미러링, 듀플렉싱 < 백업 < 릴 백업 (클수록 운영 비용이 적음)

​

- RTO(Recovery Time Objective)

 복구 가능 최단 시간(허용 시간)

 적을 수록 복구 비용이 많이 듬

​

- 이외 복구 파라미터

 중단 기간 : 시스템 중단부터 복구까지 수용 가능한 시간 (초과 시 손실비용 급격히 증가)

 서비스 공급 목표 : 대체 프로세스의 목표 서비스 수준

 최대 허용 범위 : 대체 프로세스가 지원 가능한 최대 시간

# 재해 복구 계획 프로세스

​

- 재해 복구 계획의 단계

 데이터 처리 지속 계획 (Data Processing Continuity Planning)

  : 재해를 예측하고 대처하기 위한 계획 수립

- 데이터 복구 계획 유지 보수 (Data Recovery Plan Maintenance)

  : 계획이 항상 최신의 버전이도록 유지하기 위한 계획

​

# 데이터 처리 지속 계획

​

 - 상호 지원 계약

  가장 적은 비용

  호환성의 문제

  동시 재해 시 복구 불능

  복구에 다른 대안이 없는 경우에만 고려하는 것이 좋음

​

- 가입 서비스

 핫사이트(Hot site) : 고가, 동일한 보안 이슈, 자원 집약적, 최신의 데이터나 응용을 유지

 웜사이트(Warm site) : 경제적, 위치 선정이 유연, 관리자원 낭비가 적음

 쿨사이트(Cold site) : 가장 저렴한 구성, 재해복구 성공에 확신이 어려움

​ // 경제적 측면과 자원낭비 측면을 고려해 가장적당한것을 골라 사용함

- 다중센터

 : 여러 운영 센터로 처리를 나누어 운영

​

- 서비스업체

 DRP에 대한 외주

 대규모 재해시에 자원에 대한 경합 (SLA를 통해서 어느정도 해소 가능)

​

- 기타 백업 대안

 이중정보처리시설

 모바일사이트 : Sun(블랙박스), IBM(PMDC)

​

- 트랜잭션 중복 구현

 : 전자볼팅(Electronic Vaulting) : 대체 사이트로 트랜잭션을 덤프하는 배치 프로세스, 원격저널링(Remote Journaling)

// 원격저널링(Remote Journaling) : 로그정보를 원격에 저장하는 것,

백업된 로그정보는 장애 시 트랜잭션 복구에 이용

   데이터베이스 쉐도우잉(Database Shadowing) : 다중 DB서버 운영으로 완전 이중화 , Mysql 에서 많이사용됨

// 특정 디비를 백업으로 사용함

​

- 재해복구 계획의 유지 보수

 최신의 버전이 유지되도록 업데이트를 수행해야함

 컴퓨팅 환경의 변화 등이 원인

​

 재해 복구 계획은 조직의 실재적인 복구 능력이므로 주기적으로 테스트되어야함

​

# 재해 복구 계획 테스트

​

- 이유

 복구 프로세스의 정확성을 검증하고 결함을 식별

 직원 훈련

 백업 사이트의 처리 역량을 검증

​

# 복구 테스트 유형

​

- 체크리스트(Checklist)

  : 계획이 조직의 모든 영역에 해당되는지 확인 및 검토하는것

    실질적으로 관리자가 문서로 확인하는 작업 수행

​

- 구조적 점검(Structured walk-through)

  : 사업 단위 관리자들이 계획이 복구능력을 제공하는지 검토하고 확인하는것

    실제 담당자들이 다 모여서 실질적으로 묻고 따지는 것

​

- 시뮬레이션(Simulation)

 : 재해에 대한 직원의 능력을 테스트

  실재 복구 프로세스나 대체 응용을 기동하지는 않음

  블라인드 시뮬레이션 : 난데없이 재해가 났다고 하고 실제로 시뮬레이션하는 것

  시뮬레이션 : 실제로 알고하는 것

  운영프로그램을 돌리기 전 단계까지 해야함

  백업사이트

​

- 병렬 테스트(Parallel)

  : 가장 많이 수행되는 재해 복구 테스트

    핵심적인 기능이 대체 복구 사이트에서 수행되는지 확인

    트랜잭션 결과를 비교함으로써 정확성과 안정성을 확인

    데이터를 넣어서 실제와 비교하는 것

    사이트의 일부를 빌려서 결과값을 비교

​

- 전체 시스템 중단 테스트(Full-interruption)

 : 극히 드물지만 절대적으로 최선의 테스트

   실제 재해 상황처럼 조직의 기능을 중단시키고 복구 계획을 실행

   기업에서는 하지 않음 (민방위훈련)

​

# 재해 복구 프로시저

​

- 재해복구 프로시저의 요소

 복구팀

 구조팀

 정상 운영 재개

 기타 복구 이슈

- 복구팀(Recovery Team)

 백업 사이트에서 핵심적인 기능의 운영을 담당

​

- 구조팀(Salvage Team)

 재해를 입은 주사이트의 원래 기능을 복원하기 위한 팀

 재해 사이트의 장비 및 시설에 대한 관리와 확인을 담당

 정상운영 복귀를 결정하는 권한을 가짐

​

- 정상운영 재개

 회복팀에 의해서 구현

 복구단계와는 달리 가장 덜 민감하고 덜 중요한 기능부터 주사이트로 이전

 재해상황의 종료는 모든 기능이 원래 사이트로 환원되고 데이터가 정확하다고 증명된 이후 공식적으로 종료

 //  원래 사이트로 돌아가는 프로시저에는 매우 다양하고 심각한 취약성들이 존재함

​

- 기타 복구 이슈

​

 외부 그룹과 인터페이스

  : 관공서와의 물리적 논리적 거리 (경찰서, 소방서, 시청)

  : 보도 기관, 주주, 고객과의 의사 소통

​

 직원

  : 조직은 직원의 안전에 고유의 책임을 짐 (신체상, 경제적)

​

 사기와 범죄행위

  : DRP는 재해시 계획적 또는 우발적으로 발생하는 약탈, 도난 등의 대해서 고려해야함

​

 재정적 부담

 : DRP 운영의 제정적인 문제

 : 사고 처리 도중 발생된 제정적인 부담은 예상이나 이를 집행하는 비상관리자의 권한을 초과할 가능성에

대해서 언급되어야함

​

 보도 기관과의 관계

 대변인 같은 공식적인 대외 채널이 필요

 : 심각한 상황에서 미리 준비된 성명서 같은 대처가 필요

   사고의 원인에 대해서 추측하지 않음

   책임을 추측하지 않음

   시스템이나 프로세스를 비난하지 않음

   조사가 시작되고 결과가 발표될 것임을 포함

   조직 내 누구도 성명을 발표해서는 안됨

​

7. Applications & Systems Development

목차
1. 소프트웨어 개발 프로세스
2. 다양한 시스템

1.소프트웨어 개발 프로세스

#S/W 개발 프로세스

  - 비즈니스의 효과적인 기능 수행을 위해 필수적인 응용 시스템을 개발, 구입, 유지 보수, 폐기하는 과정을 시스템 개발 수명 주기(SDLC)라고 한다.
  - IT 자원을 통제, 관리하는 프로세스도 SDLC의 일부분이다.
   개발되는 모든 비즈니스 응용 시스템은 두 개의 범주에 속한다.

- 조직 중심의 컴퓨팅
 SDLC 접근방법을 이용
 알 필요를 기반으로 사용자와 부서의 정보를 수집, 추출, 저장, 보관하여 공유 하도록 하는것
 MIS(경영정보시스템), ERP, CRM(Customer Relationship Management) 등등
// 업무가 대규모로 바뀌면 적용하기 힘들다.

- 최종 사용자 중심 컴퓨팅
 성과의 최적화를 위해 데이터를 제공
 대안적 개발 접근 방법이 이용
 DSS, GIS(지리정보시스템) 등등

#프로젝트 계획수립
프로젝트가 성공하도록 지속적인 자원을 제공하기 위해서는 전체 과정에 대한 계획이 작성되고 감시되어야 하며 이를 위해서는 여러가지 기법이 사용된다.

S/W 규모 산정
- 원시코드 라인 수 (SLOC : Source Lineds of Code)
: 장점 
    Basic이나 cobol 등의 개발 도구일 경우 매우 유용
    정량적 측정이 가능
 단점
   최종 사용자에게 무의미
   새로운 개발도구에는 무의미


- 기능점수분석
  : 사용자가 눈으로 보고 상호작용하는 입/출력 파일, 인터페이스, 질의 등을 개수와 복잡도에 근거하여 정보시스템의 크기를 측정
   비즈니스 응용 S/W에는 적합하지만 OS, Network 관련 S/W에는 적합하지 않다.

- 핵심 경로 방법론 (CPM)
  : 각 테스크간에 전후 활동에 따라 만들어진 그래프에서 시간의 합이 가장 긴 경로
 프로젝트 완료에 필요한 최단시간
 CPM 패키지는 자원 활용을 분석하여 자원 균일화를 지원한다


- 프로그램 평가 검토 기법(PERT : program Evaluation Review Technique)
테스크 완료에 비관적, 낙관적, 가능성 높은 세가지 시나리오를 이용 네트워크 기반 도표를
작성하는 기법
프로젝트 일정의 추정치를 개발하는데 적합하다.
시간 견적 = (낙관치+비관치+4*가능성 높은)/6

- 간트 차트
 헨리 간트가 1919년 창안한 일정 계획 수립을 위한 차트
 각 활동의 시작 종료 및 동시 수행 사항을 보여준다.
 프로젝트의 진척 정도나 계획과의 일치성을 확인하는데 이용
 특정 단계의 완료나 프로젝트상의 중요한 달성을 추적하는데 사용된다.

 // 보험회사에서 성과를 띄어놓는 차트이다.

- 타임 박스
 프로젝트 계획 및 일정을 작성할 때 사용하는 경영 개념. 타임박스는 팀원이 프로덕트를 만
들기 위해 작업하는 시간 량을 고정한 것이다. 타임박스 접근방법을 사용할 경우, 시간은 고
정 요인이며 타임박스 내에 맞추기 위해 비용과 범위를 조정할 수도 있다.
비용의 초과나 일정의 지연을 방지해 준다.
품질 보증 프로세스는 필요 하다.
// 시간을 정해놓고 한다.

 #폭포수 모델
- 폭포수기법
소프트웨어 개발생명주기(SDLC; Software Development Life Cycle)에 기반하고 있
는 소프트웨어 개발 기법으로, 워터폴 모델,폭포수 모형,선형순차 모형,단계적 생명주기라고
도 한다. 한 번 떨어지면 거슬러 올라갈 수 없는 폭포수와 같이 소프트웨어 개발도 각 단계를
확실히 매듭짓고 다음 단계로 넘어간다는 의미에서 붙여진 명칭이다. 전통적인 시스템 생명
주기 모델로 소프트웨어를 개발할 때 가장 널리 사용된다.

//각단계마다 필요한산출물이있다.

- 단점
 예상치 못한 사건의 발생시 처리가 어려움
 고객(최종사용자)로부터 명확한 요구사항 입수가 어렵다.
 종료 시점까지 사용자가 시스템을 확인 할 수 없다.
 비즈니스가 변해도 시스템을 인도하기 전에 요구사항을 변경할 수 없다.

- SDLC단계
타당성 분석 , 계획과 요구 사항 정의 , 설계(제품설계, 상세설계) 또는 선택(구매)  개발(
코딩),시스템 구성 및 통합 , 구현 , 사후 관리(운영 유지보수)


 #나선형 모델

- 프로토 타이핑 개발방법론 

마치 건축에서 실제 건축물을 만들기 전에 설계도 따른 작은 모형을 만들듯이 소프트웨어의
기본적인 기능을 알아보기 위해서 원형을 만들고 이후의 소프트웨어 완성품을 예측해보는
방법이다. 국내에서는 파일럿 프로젝트라고 부르기도 한다. 너무 많은 비용과 시간이 들지
않는다면 프로젝트 시작을 위한 좋은 기반을 제공한다.

나선형 개발 방법론에 각 사이클을 구성하는 방법론이 될 수 있음 (민첩개발, 속성 개발 등)

#테스트 이슈

  - 목적 
     시스템 무결성 확보 
     시스템이 올바르게 동작 한다는 보증을 위해 주기적인 테스트를 실시하는것   
  - 응용 시스템이 설계된 바와 같이 기능하는지 검증하는 과정 

  - 종류 
     단위 : 개별 프로그램(모듈)별 Test, 코딩과 관련된 검증 
     통합 : 둘 이상의 컴포넌트의 연결 상태를 평가 
     시스템 : 복구, 보안, 볼륨, 성능, 스트레스와 같이 구성된 시스템이 정상 작동하는지 평가 
     병행 : 개발 시스템이 사용자 요구에 부합하는지 평가 
     최종인수 
        : 품질보증Test (QAT) : 기술적인 측면 
         사용자 승인(인수) Test(UAT) : 기능적인 측면, test 라이브러리에서 수행 
         이 테스트가 끝난 이후 실제 사용자에게 이관 구현됨

    // 화이트박스 : 원시코드의 논리적 구조가 정당한가 (준거성 테스트) 
    // 블랙박스 : 기능이 정상적으로 기능하는가(기능테스트), 출력값의 정확성(실증 테스트)

#통제 이슈
​
  - 유지 보수 단계에서의 통제 이슈 
  요구통제 (제품 변경에 대한 사용자의 요구사항을 관리)
  변경통제 (문제 정의와 분석, 변경사항 정리와 그에 따른 테스트 개발, 품질 통제, 재인증(recertification)과  인가)      
  릴리즈통제 (S/W 개발버전 통제)

2. 다양한 시스템

#데이터베이스 시스템

- DB의 보안 이슈
DB에서 보안은 Need-to-know에 기초하여 사용자의 활동을 제한하는 것이다.
View를 통해서 구현된다.
Granularity
 // 보안통제를 세분화
추가적인 보안 이슈 
 - 집성 : 낮은 레벨의 정보를 조합 높은 레벨의 정보를 획득하는 것
 - 추론 : 접근 불가능한 레벨의 정보를 추론하는 사용자의 능력

Data Warehouse
 - 기존 데이터를 기반으로 새로운 관계를 찾기 위한 주제 중심으로 분류된 데이터 저장소
 - 정보의 추출, 재구성, 재저으이 되어 접근과 분석이 이루어 진다. 
 - 상관 관계를 추출하는 것을 data mining이라고 한다. 
 - IDS에 이용

  //data mining : 상관 관계를 추출하는 것을 (IDS에 이용)

  - 객체 지향 시스템
    캡슐화되고 식별성(identity)을 갖는 객체의 그룹 
 

 - 분산 환경 
    DCE(Distributed Computing Environment) 
        : OSF에서 개발된 산업표준 S/W 기술 
    DCOM(Distributed Component Object Model) 
        : MS의 프로그램 인터페이스

- 전문가 시스템 
    지식베이스(Knowledge base) + 추론엔진 
    IDS에 활용

  - 신경망 시스템 
   자가 학습을 통한 지식 축척과 활용 
   문자, 음성인식 등에 활용

6. Security Architecture & Models

목차
1. Protection Mechanisim
2. 정보 보안 모델

1. Protection Mechanisim

​

- 프로텍션 도메인 (Protection domain)

각 프로세스에 할당된 메모리 영역

허가되지 않은 수정이나 접근으로부터 프로세스를 보호하는 것이 목적

​

# 신뢰할 수 있는 컴퓨터 기반(Trusted Computing Base : TCB)

- 컴퓨터 시스템 내에 보안 정책이 적용되고 있다는 것을 신뢰할 수 있는 프로텍션 매커니즘의 총체적 조합

(안전한 컴퓨터 환경)

- 시스템이 제공하는 신뢰수준을 의미

  보안 수준을 의미하는 것이 아님

// 평가 기준을 의미하는 것이 아니라 구현 목표를 의미

  다양한 위험 환경 내에서 예측 가능한 범위 내에서 동작 하도록 하는 것

- 보안 경계(security perimeter) : TCB와 이외 영역을 구분하는 경계

//  보안 정책이 수립되지 않은 부분

 신뢰 경로(trusted path) : 사용자가 TCB에 접근하는 안전한 경로

- 보안 커널

:  참조 모니터를 구현한것

   TCB내에 존재하는 H/W,S/W, firmware의 조합으로 TCB의 핵심

  격리성, 완전성, 검증가능

- 참조 모니터

 주체의 개체에 대한 접근 통제를 담당하는 추상 머신으로 물리적인 구성이 아니라 TCB의 접근 통제 개념을

정리한 것

​

# 신뢰 할 수 있는 컴퓨터 시스템 (Trusted Computer System)

 민감한 정보의 처리를 위해 S/W, H/W에 보안 보증 수단을 채용한 것을 의미

 다단계로 분류 가능하고 신뢰성과 보안을 위한 명시 요구사항에 부합해야함

​

# 프로텍션 링

- 링의 중앙으로 갈수록 권한이 많아지는 모델로 중첩된 보안 도메인을 생성

ex) 보안 커널 (0번 링, 모든 접근을 중재하고 수정으로부터 보호되며 올바르게 검증됨)

​

- 접근 권한은 링 번호가 커질수록 감소

 신뢰도가 높고 낮은 링은 좀 더 많은 자원에 접근 가능

​

- MIT의 MULTICS time shared 운영 시스템에 구현

 64링을 지원하도록 설계되었으나 8개 링만이 정의됨

​

- CISCO, Linux 등에서 보안 정책 모델로 일부 사용됨

​

- 구성

 Ring 0 (커널)

 Ring 1 (OS의 나머지 부분)

 Ring 2 (드라이버와 유틸리티)

 Ring 3 (응용 시스템)

 보통의 OS에서는 Ring 1는 0이나 2에 포함되어 구현

​

# 보안 구조의 전형적인 취약성

​

- 은닉 채널 (Corvert channel) (B2)

 기존에 계획되지 않은 통신 채널

 보안 정책이 위반되고 모니터링 되지 않을 가능성이 높음

 Storage and timing(B3)

 자원 사용 분석을 통해 검출

​

- 매개변수 점검 미비

- 유지 보수용 특별 명령어

 시스템 유지 보수를 위한 트랩 도어(Trap door)

​

- TOC/TOU (Time Of Check to Time Of Use)

 보안 정책이 적용되는 시간과 서비스가 시작되는 시간 간격

 이 때는 공격이 쉽다는 문제가 있음

​

# 복구

​

- IS에서 발생하는 장애는 보안 정책 요구사항을 악용하거나 복구 프로시저가 보안 정책의 위반할 기회를

제공해서는 안되며 재시작은 반드시 특수한 사용자가 지정된 터미널에서만(maintenance mode) 허용되어야함

​

- 장애 방지(fault-tolerant)

 장애 시에도 지속적인 기능을 제공

 장애를 탐지하고 복구하고 운영을 지속시킬 능력이 필요

​

- 안전한 장애 보장(fail safe)

 시스템을 종료하여 악용되지 않도록 보호

- 장애 완화(fail soft, fault-resilient)

 장애 탐지 시에 비 핵심적인 프로세싱을 중지시켜 핵심 기능에서 이용하도록 하는것

​

- 장애시 운전 전환(failover)

 장애 발생시 실시간으로 이중 처리 시설로 전환 시키는것

​

2. 정보 보안 모델

​

- 정보 보안 모델은 보안 정책을 정형화 하기 위한 수단으로 세가지 도메인으로 구분

• 접근 통제 모델
• 무결성 모델
• 정보 흐름 모델

# 접근 통제 모델

​

- 정보 접근 통제에 대한 상이한 접근법

 접근 행렬(Access Matrix) 모델

 테이크 그랜트(Take-Grant) 모델

 벨라파둘라(bell-LaPadula)모델 : 기성을 위한 상태 기계(State Machine) 모델

 만리장성(Chinese wall) 모델 : 직무분리를 접근 통제에 도입한 모델

- 열(접근 통제 목록:Access Control List:ACLs)과 행(기능 목록:Capability list)로 구성된 접근 행렬을 이용한

접근 통제 모델

: 객체에 대한 접근 권한을 주체에게 직접 할당하는 모델

​

- 접근 통제에 대한 판단을 허가 권한을 가진 개인이 판단함으로 임의적 접근 통제에 속함

​

- 주체와 객체로 구현

 주체 (사람, 직위, 프로세스 등)

 객체 (파일, 시스템, DB 등)

​

# 테이크 그랜트(Take-Grant) 모델

​

- 주체가 객체에 대해서 갖는 접근 권한을 다른 객체로 이관시키는 것을 방향성 그래프로 표현한 모델

- 소유자가 접근 권한을 다른 사용자에게 양도해주는 관계 모델 (오라클에서 구현)

​

# 벨라파둘라(Bell-Lapadula) 모델

​

- 미국방성에서 다단계 보안 정책을 정형화 하기 위해 상태 기계 개념 위에 정형화 한 것 (최초의 수학적 모델)

 대상을 미분류(Unclassified), 비(Confidential), 기(Secret), 극비(Top Secret) 네 단계로 분류

 주체는 동일하거나 낮은 등급의 레벨에만 접근 가능

 접근에는 알 필요성이 필요

 분류된 대상의 기성만을 다룸 (무결성이나 가용성은 다루지 않음)

​

- 세가지 다단계 속성

 단순 보한 속성 : no read up

 스타 보안 속성 (no write down / Confinement property / 성형특성)

 임의적 보안 속성 : 임의적 접근 통제는 접근 행렬을 이용

 // 평정 속성(tranquility property) : 객체의 보안 등급이 컴퓨터 시스템 수행 과정에서 변경될 수 없음

​

- 문제점

 은닉 채널을 염두 해두지 않았음

 파일 공유 등의 현대적 시스템은 다루지 않음

 안전한 상태 전이가 명확히 정의되어있지 않음

 다단계 보안정책에 기반하여 다른 정책은 언급하지 않음

​

# 무결성(integrity) 모델

​

- 조직 내에서 무결성 모델은 기성만큼이나 중요하며 초기 Bell-Lapadula 모델에 연속하여 무결성 모델이

만들어짐

​

- 비바(Biba) 무결성 모델, 클락-윌슨(Clark-Wilson) 무결성 모델, Brewer-Nash (만리장성)모델 등

​

- 무결성의 목적

· 데이터가 허가되지 않은 사용자에 의해 수정되지 않도록 보호해야함

· 데이터가 허가된 사용자에 의해 비인가 수정되지 않도록 보호해야함

· 데이터는 내 / 외부 무결성을 유지해야함

​

# Biba 모델

​

- Bell-Lapadula 모델과 유사하게 객체를 무결성 레벨(integrity Level)로 분류하 고 세단계의 무결성 원칙을

명시

단순 무결성(Simple Integrity) 원칙 : no read down

 // 무결성 레벨이 높은 주체는 더 낮은 무결성 객체를 읽을 수 없음

 // 낮은 수준의 무결성 문서를 보고 선입견이 생기는것을 방지 

무결성 원칙 (성형 무결성 원칙) : no write up

 // 무결성 레벨이 있는 주체는 더 높은 무결성 객체를 수정하거나 생성할 수 없음

    무결성 레벨이 있는 주체는 더 높은 무결성 객체를 활성화할 수 없음

​

- 데이터가 허가되지 않은 사용자에 의해 수정되지 않도록 보호하는 것만 명시

​

# Clark-Wilson 무결성 모델

​

- 상업적 환경에서 무결성을 확보하기 위한 프레임워크로 개발

​

- 무결성 상태를 검증하고 변경하기 위해 제한적 데이터 항목들과 절차를 결합시킨 모델

​

- 용어

 제한된 데이터 항목(Constrained Data Item : CDI)

  // 무결성이 보존될 데이터 항목

 무결성 입증 절차(Integrity Verification Procedure : IVP)

 // CDI가 유효한 무결성 상태에 있다는 것을 확증하는 절차

 변환 절차(Transformation Procedure:TP)

 // 유효한 무결성 상태를 유지하면서 CDI를 조작하는 트렌젝션

 제한되지 않은 항목(Unconstrained Data Item : UDI)

 // 통제 영역 외부의 항목

​

- 특징

 주체들은 허가된 프로그램(TP)에 의해서만 데이터(CDI,UDI)에 접근 가능

 데이터 항목에 무결성 레벨 정의와 TP이후에도 무결성이 보장될 무결성 레이블을 요구

 내외부적 일관성과 직무 분리, 강제적 무결성 정책 준수 등을 포함

 트랜젝션 처리를 분리해서 무결성 보장

 레벨, 무결성 레이블, 정책 등에 대한 감사를 요구(감사가 필요)

​

# Brewer-Nash (만리장성) 모델 등

​

- 주체의 동작에 따라 접근 통제를 제공하는 모델

- 사용자의 이해 충돌을 보호하기 위한 모델

5. Physical Security

목차

​

1. 물리적 보안에 대한 위협

2. 관리적 통제

3. 환경 통제

4. 기술적 통제

1. 물리적 보안에 대한 위협

​

#물리적 보안

- 직원, 데이터, 시설, 설비, 시스템 등의 조직의 자산에 대한 물리적 보호를 의미

​

#물리적 보안에 대한 위협

- 모든 위협은 목록화 되어야 하고 반드시 물리적인 위협에 대한 완전한 리스트가 제공되어야 함

​

#물리적인 환경에서 C.I.A에 대한 위협 

​

- 기밀성 ( Confidentiality )

 비인가된 개인, 단체로부터 중요한 정보를 보호하는 것

 정보 소유자의 인가를 받은 사람만이 정보 접근이 가능함

 공개로부터의 보호 ( 보안성, 비밀성, 내밀성 )

ex) 허가되지 않은 내부 정보 접근, 폭로, 절도 등

​

- 무결성 ( Integrity )

 정보의 저장과 전달 시 비인가된 방식으로 정보가 변경, 파괴되지 않도록 정확성과 완전성을 보호하는 것

 변조로부터의 보호

ex) 업무 프로세스에 대한 통제 상실, 절도 등 ( 직원의 업무 능력 불능 )

​

- 가용성 ( Availability )

 인가된 사용자가 정보나 서비스를 요구 할 때 언제든지 즉시 사용 가능하도록 하는 것

 파괴, 지체로부터의 보호

ex) 장치의 파괴나 손실, 절도 등 ( 정전 )

 PCCIP 

: 국가 기반 시설들에 대한 취약성 및 위협을 평가하는 국가 기반 시설 보호 위원회

​

#물리적 위협의 유형

- 자연 환경적 위협 : 홍수, 지진, 폭풍, 화재, 고온, 누수, 습도, 먼지, 시스템 내 지나친 고/저온 현상 등

- 악의적 위협 : 물리적 공격, 도난, 비인가된 접근, 공공시설파괴, 방화 등

- 사고적 위협 : 승인 받지 않은 접근, 직원의 실수, 단순한 사고, 시스템 운영 미숙

​

#물리적인 손실의 원인 ( Donn B. Parker )

- 온도, 가스, 액체, 유기체, 투사물, 움직임, 에너지 이상

​

#물리적 보안 관리

- 물리적 위협 수단으로 부터 보호하기 위한 다양한 수단

- 물리전 보안 관리 업무의 주체 : 사람

- 물리적 보안 시스템이 사람을 보조하여 보안 관리 업무를 보다 더 효과적으로 수행 할 수 있게 함

ex) 민간 경비 영역에서의 경비업무

​

#물리적 보안 목표

- 위험 저지 : 저지를 통한 범죄 혹은 파괴방지에 목적 ( 담장, 경비요원, 경고사인 )

- 위험 지연 : 단계적 방어 메커니즘을 통한 충격 감소 ( 자물쇠, 보안요원, 장벽, 조명 )

- 위험 탐지 : 범죄 또는 파괴를 탐지 ( 연기 감지기, 모션 감지기, CCTV )

- 위험 판단 : 사건을 탐지하고 충격 수준을 판단 ( 경비원, 즉 사람만 위험을 판단 가능 )

- 위험 대응 : 위험 발생시의 대응 ( 화재진압 시스템, 비상대응 프로세스, 외부 보안 전문 컨설팅 요청 )

​

#물리적 보안 절차

1) 지원 또는 외부 컨설턴트팀 구성

2) 분석을 통한 취약점 및 위협의 식별과 각 위협에 대한 비즈니스 영향을 평가

3) 경영진과 협의, 물리적 보안 프로그램의 수용 가능한 위험 수준을 정의

4) 수용 가능한 위험 수준으로부터 요구 가능한 성능을 추출

5) 설정된 기준을 기반으로 지속적인 보안대책을 평가 ( 수용 가능한 위험 수준을 확인 )

6) 위험 분석의 결과로부터 기준을 개발 ( 요구되는 보호 수준과 성능을 정의 )

7) 각 프로그램 범주 별 보안 대책의 식별과 구현을 수행

8) 보안 대책의 성과 측정기준을 작성

​

#물리적 통제 (관리, 환경, 기술)

- 정보보안에서의 위험을 통제한다는 것은 위험을 완화시킨다는 것을 뜻함

- 통제 3단계 : 자산분석, 위험분석, 통제개발

2. 관리적 통제

​

- 적절한 비상대응 프로시저와 직원 통제, 계획, 정책 구현 등을 통해서 얻어지는 물리적 보안이나 보호 영역

- 데이터 센터나 IS 센터 구축 초기에 필요한 물리적인 보안 통제로 안전한 장소의 선정이나 설계를 포함

// IS (Information System) : 정보시스템

// 데이터 센터 : 각종 데이터를 모아두는 시설로 서버는 적게 수백대, 많게는 수만 대를 동시에 운영

- 컴퓨터와 직접적인 관련이 없는 통제

​

#요소

- 설비 요구사항이나 계획

- 설비 보안 관리

- 관리적 직원 통제

​

#안전한 장소 선정

- 낮은 가시성 : 처리 영역이라는 것에 대한 식별성

- 주변 환경 : 지역 범죄율, 범죄 정도, 인구 구성

- 자연 재해

- 교통

- 공동 소유나 사용 : 복잡한 환경 통제나 시스템에 대한 물리적인 접근 통제

- 외부 환경 서비스 : 경찰, 소방서 등의 시설에 대한 접근성

​

 #안전한 설계

- 벽 : 불연, 파괴에 대한 내성

- 천장 : 불연 및 허용 하중, 침입 탐지

- 바닥 : 물리적인 하중, 방화 등급, 이중 바닥

- 창문 : 일반적인 IS설비에서는 허용하지 않으나 특별히 필요한 경우 반투명 방탄이 필요

- 스프링 쿨러 : 화재 진압

- 수도, 가스라인 : 보안 설비의 하나이며 밖으로 드러나 있어야함

- 에어컨

- 전기 : 백업 전원 필요, 독점적인 송전 시설이나 독립적인 임시 발전 설비 요구( ex) 데이터 센터 )

- 출입문 : 불법 침입 저지를 위한 인증과 식별, 강화가 필요

​

 #설계를 이용한 범죄 예방

- 구조화된 건물의 설계와 배치, 환경 구성으로 범죄를 예방하는 기법

- 개방된 구조의 시설에서 범죄를 예방하는 방법 ( 납치, 살인, 강간, .... )

// 목표물 강화 기법

- 보안 시설물의 보호를 강화하는 방법 ( 잠금장치, 경보 시스템, 높은 울타리, 노출 억제,.. )

​

 #설비 보안 관리

​

- 설비 보완을 위한 자연적 접근 통제

 화단, 말뚝과 같은 구조물을 이용하여 자동차의 통행을 금지하고 도보 통행만을 허용

( 자동차 돌진에 의한 테러 방지)

 표지판 가드레일들을 이용하여 이동 방법이나 허용 범위를 제한하는 방법

 영역의 구분 ( 통제, 제한, 공용, 중요 영역 등으로 나눔 )

 감사 추적과 비상 대응 프로시저로 분류, 지속적인 구현과 관리 통제를 필요로함

// 감사 : 일이 끝난 다음이나 전에 수행된 작업에 있어서 적절성이 있는지 확인하는 것

// 감리 : 일을 하는 도중에 정상적인 절차에 의해서 일하는지를 확인하는 것

// 비상 대응 프로시저 : 교육과 훈련 등 관리적 차원의 물리 통제에서 중요한 부분을 차지함

​

- 설비에 대한 감사 추적과 로그

 시스템의 감사 추적은 예방보다는 적발(탐지)통제에 속함

 사건의 유형, 보안 위반, 성능, 프로그램의 오류에 초점을 맞춤

 탐지 통제는 그 지역에 접근하는 것은 감지 할 수 있어야 함

 감사 추적이나 로그에 기록 될 사항

( 접근 시도 일시, 접근 성공여부, 접근 권한 부여, 접근하는 것이 누구인가, 최상위 관리자의 권한 변경 )

​

 #관리적 직원 통제

- 직원의 채용에서 해고까지 수행되는 관리적인 프로세스

- 채용 전 심사 ( 배경, 신용, 환경, 학력, 경력 )

- 지속적인 체크 ( 직원의 보안 등급 부여, 설비, 문서, 시스템에 대한 접근 권한 )

- 해고 후 프로시저 ( 접근 권한 제거 및 패스워드 변경, 인터뷰, 출구 동행, 비품 재고 조사 및 반납 )

3. 환경적 통제

- 인명과 환경에 대한 통제 / 전력, 화재, HVAC(난방, 통풍, 공기 정화)로 분류

​

 #전력

​

- 정전, 전압강하, 습도, 정전기, 노이즈 등

​

 #정전

- 과전압 보호기 : 단기적인 전압 변경이나 수백분의 1초 이내 정전 (전기가 튀는 것을 대비)

- UPS : 몇 초에서 몇 분까지의 정전 ( 정전이 되었을 때 컴퓨터가 정상적으로 종료가 될 수 있도록 전기를 공급 )

- 발전기 : 수시간에서 수일간의 정전 (정전이 길어질때를 대비)

​

 #전압 강하

- Sag : 순간 낮은 전압

- Brownout : 지속적인 전압 강하 현상

- Fault : 순간 전력 손실

- Black out : 지속적인 정전 (기관의 설비가 다운된 것을 뜻하며 기관이 수정하기 전까진 수정 불가)

- Spike : 순간 높은 전압

- Surge : 지속적인 높은 전압

​

 #노이즈

- 전자기 간섭 (EMI), 주파수 간섭 (RFI)

//EMI : 전자기기에서 발생하는 노이즈에 의해 다른 전자기기를 방해하는 상태

//RFI : 각종 전자상 방사에 의하여 라디오, 텔레비전 및 전자 장치 등이 적절히 작동하지 못하도록 간섭 받는 현상

- 시스템 차폐, 적절한 접지, 전선 조절, 케이플 차폐 등

​

 #습도와 정전기

- 습도는 전기적 부식과 정전기를 발생 ( 40%이하는 정전기, 60%이상은 전기 도금 부식 )

- 정전기 방지 스프레이, 정전기 방지 바닥(카펫), 접지, HVAC를 이용한 습도 조절

- 1500(디스크 : 데이터 손상), 2000(시스템 셧다운), 17000(칩셋 영구 손상)

​

​

 #화재의 3요소

- 가연성물질, 산소, 온도

​

 #화재 클래스와 진압

- A (일반 인화물) : 물(온도), 소다산(연료차단)

- B (기름) : CO2, 소다산, 할론

- C (전기) : CO2(산소차단), 할론(산소차단)

- D (가연성 금속) : CO2, 분말

- K (상업용 식당을 위한 분류) : 포타슘(칼륨) 아세테이트 이용 소화

​ 

 #화재 진압 시스템

- 물 (Dry pipe, Charge pipe, Preaction)

 Dry pip : 시스템의 전원을 내릴 수 있는 시간적인 여유로 선호됨//

 Charge pipe : 효과적이나 누수로 인한 시스템 손상의 위험

 Preaction : 열 탐지 후 물 공급, 노즐의 링크가 녹았을 때 물 방출, 전산실에 화재 시 물을 공급

소화 시 장비에 심각한 손상 우려 ( 현재 사용이 많이 되고 있음 )

// 할론 : 물처럼 장비에 피해를 입히지 않음 (환경오염문제 또는 생존 문제)

// FM-200 : 누수처럼 시스템을 손상시키는 문제가 없음 (친환경, 안전성)

// CO2 : 생존 문제

​

 #HVAC

​

- 온도, 습도, 오염물질을 통제하기 위해서 사용

- 공기, 가스, 물의 흐르는 방향은 실내에서 실외로 흐르도록 양성 공기압의 형태로 사용

- 공기 흡입구는 보호, 전용전기배선, 비상 차단 스위치, 밸브가 존재

- 정보처리시설의 HVAC 시스템은 반드시 전용으로 설치

4. 기술적(물리적) 통제

​

 #요소

- 설비 접근 통제 요구

- 침입 탐지와 알람

- 컴퓨터 인벤토리 통제

- 저장 매체 요구 사항

​

#민간 시설 중에 강력한 물리적인 보안 통제를 강제하는 경우

- CA(PKI)

 PKI : 공개키 기반구조, 인터넷상의 거래 비밀을 보장하면서 거래 당사자들의 신분을 확인시켜주는 보안기술

- 금융기관

- 공항, 항만

- 전기, 수도, 통신 등 기간 서비스 시설

​

 #설비 접근 통제 요구 사항

​

 - 보안 요원 : 위급 상황에서 최고의 수단이 될 수 있음 (즉각적이고 식별력있는 판단력이 요구되는 상황)

 - 가용성(사람이 접근 불가능한 설비), 신뢰성(전과자), 훈련(사회공학적인 공격 대상), 비용 의 단점이 있음

 - 보안견

 - 울타리 : 3~4피트 (비의도적 침입방지), 6~7피트 (넘기 어려움), 8피트 이상, 철조망 (침입저지용)

 - 조명 : 중요한 건물의 경우 8피트 이상 조명함

 // 연속 조명 : 한 영역에 동일한 밝기의 조명을 배열로 정렬해 놓은 것

    예비 조명 : 사전에 정해진 시간에 따라 조명을 점등하거나 소등하는 조명

 전원 공급이 중단되거나 응급상황에서 사용 가능

  - 대응 영역 조명 : 특정 영역에 조명을 비추는 것, 탐지 장치가 동작을 탐지했을 때 작동

  - 잠금장치

  - 카드 잠금 장치에 비해 독립적이고 소수 구현 시 저렴하며 전원이 내장되어있으나 중앙 집중적인 통제는 약함

  - 프리락, 프로그래블락

  - CCTV

  - 맨트랩(Mantrap) : 기도가 감시하는 이중문 (감옥)

​

 #설비 접근 통제 장치

​

- 보안 접근 카드

포토이미지 카드 (사원증)

디지털 코드 카드 (스마트 엔트리 카드, 스마트 카드)

// 스마트 카드 : 사용자에게 동작을 요구하지 않는 비 접촉식 장치

​

- 생체 공학 장치

 // 지문 인식 : 안전성, 편리성이 뛰어나고 비용이 저렴

 손상된 지문은 인식이 제한적이고 땀,물기로 인하여 에러율이 높음

 홍채, 망막 인식 : 복제가 불가능하고 신뢰성이 높음, 사용에 거부감을 느끼며 불편함이 있음

 // 얼굴 인식 : 거부감이 적고 외과적 손상에 무관 데이터베이스상 사진과 비교가 어려움

 // 음성 인식 : 구현이 용이하나 잡음에 취약함

 // 손 모양 : 사용이 용이하지만 오인식율이 높으며 보안성이 높은 곳에 적용이 어려움

 // 정맥 인식 : 복제 불가능하며 인식율이 높지만 시스템 구성이 복잡함

​

 // Tailgating

- 직원이 따라다니는 것

​

# 탐지 장치

- 주변 칩입탐지기 : 광전자 센서, 컨택 스위치

- 동작 탐지기 (음파, 파장, 전도율)

파장 패턴 : 낮은 초음파을 이용, 동작 탐지

전하량 : 보호 객체 명 인치 내 정확히 지정된 부분만을 감지하는 경우

오디오 탐지 : 오류 가능성이 높음

​

# 알람

- 로컬 알람 시스템 : 구내 알람 시스템

- 중앙 스테이션 시스템 : 보안 업체의 관제 시스템

- 독점 시스템 : 중앙 스테이션으로 운영되는 로컬 알람 시스템

- 보조 스테이션 시스템 : 지역 소방서나 경찰서로의 보조 알람을 의미

​

# 컴퓨터 인벤토리 통제

- 물리적인 절도로부터 PC와 노트북에 대한 보호 통제

- PC (케이블락, 포트 통제, 스위치 통제, 주변장치 잠금, 전자 보안코드 BIOS 암호)

- 노트북, 랩탑, PDA 등에 대한 물리적인 보안 통제는 사실상 불가능 (의도된 절도, 파괴행위를 막을 방법이 없음)

- 보안등급이 낮은 장치로 주요 업무는 안하는 것이 좋음

- 정보보안 통제는 기술적(물리적) 보안 통제가 가장 기본적임

​

# 저장매체 요구 사항

- 전자적인 데이터 보호와 삭제에 문서화된 프로세스 확립이 중요

// 일반적인 문제들

- OS 통한 삭제는 물리적인 삭제가 아님

- 손상된 섹터는 포맷 유틸리티에 의해 접근 불가능

- 기존 파일에 덮어쓰는 행위로 기존 데이터를 완전히 삭제 불가능

- 삭제용 자성 소자나 운영자 미숙으로 부적절한 삭제가 초래 될 가능성이 있음

- 민감한 정보가 포함된 미디어 최소 7번 이상 포맷함

(물리적인 파괴가 가장 안전하고 삭제한 파일을 복구하여 사용하는 것은 가장 위험한 문제임)

​

# 물리적인 보안 참고 리스트

- 민감하거나 비록 그렇지 못한 정보라도 꼭 필요한 경우가 아니라면 책상 위에 펼쳐두지 않는다.

- 시스템은 자리를 떠날 때 반드시 전원을 오프한다.

- 사무실은 반드시 잠근다.

- 계단의 비상구는 버팀목으로 열어두지 않는다. ( 소방법에도 위반된다. )

- 파일 캐비닛과 책상의 서랍은 반드시 잠근다.

- 디스켓과 테이프, USB는 격리해서 저장하고 백업본은 물리적으로 다른 지역에 둔다. (클라우드 시스템에 저장)

4. Access Control Systems & Methodology

목차
1. 접근 통제 목적
2. 통제
3. 통제 응용 기술
4. 통제 방법
5. 침입과 공격

1. 접근 통제 목적

​

# 접근 통제의 목적

- 기밀성, 가용성, 무결성 보존 (C.I.A)

- 추가적인 목적은 신뢰성과 효용성

​

# 기밀성(Confidentiality)

- 오직 인가된 사람에 에게만 정보가 공개 되는 것으로 통신, 저장매체 등에 해킹이나 비인가자의 접근이 있어도 정보의 내용을 보호하는 방법

- 가장 오래된 기성 유지 수단으로는 암호화가 있음

​

# 가용성(Availability)

- 필요한 시점에 시스템이나 정보를 사용할 수 있도록 하는 것

- 정보 시스템을 다중화 한거나 분산 처리하는 등의 방법을 이용해서 가용성을 높일 수 있으며 기밀성과는 trade off 관계

​

# 무결성(Integrity)

- 정보가 사상하는 대상과 일치성을 유지하는 것

- 세 가지 하부 목표가 달성 되어야함

- 암호, 해쉬등의 방법이 무결성을 보장하는 기술로 이용

: 비인가자로 부터의 정보 변경 방지

 허가된 인원으로 부터 승인되지 않았거나 실수에 의한 변경 방지

 일관성 (내부 일관성 : 데이터들간에 일관성 / 외부 일관성 : 데이터와 실체간에 일관성) 

​

// 이외의 보안과 관련된 여러 목표들은 조직의 보안 정책에 의해서 결정됨

​

 접근통제 메커니즘은 반드시 위험, 위협, 취약성에 대한 고려 필요

#위험

 어떤 위협이 자산의 취약성을 이용하여 손실이나 손상을 야기 할 수 있는 잠재성을 말한다. 위험의 파급효과나

상대적 심각성은 손상 또는 손실된 비즈니스적 가치와 위협의 예상 발생 빈도에 의해서 비례적으로 결정된다.

#위험의 요소

 프로세스 및 자산에 대한 위협과 취약성

 이로 인한 영향

 : 발생 확률  

 위험 분석의 사전 작업 : 정보 자산 및 업무 프로세스에 대한 식별

 대안 평가 (비용 효익 분석)

 경영진이 감수할 수 있는 위험의 수준

 위험 감소 방법 (제거, 발생 억제, 영향 최소화, 보험등의 전가) 

- 위협

 시스템이나 정보가 피해를 입을 수 있는 잠재적 가능성 

​

- 취약성

 보안 정책이나 기능의 미비나 부재로 인해 위협이 나타날 가능성

​

2. 통제

​

# 일반적인 정보 자산 보호 프로세스

​

- 자산 및 프로세스 식별 – 위험 식별 – 통제 – 평가

​

# 통제의 분류

​

- 예방 통제 (발생 전에 위험 가능성을 탐지 하고 최소화 하는 통제)

 고용, 직무 분리, 접근 통제, 트랜잭션 승인 절차

​

- 적발 통제 (악의적인 행위를 탐지하고 보고하는 절차)

 해시합계, 모든 check 알고리즘, 성과 보고 (도구 : 파일의 변화를 탐지하는 tripwire)

​

- 교정 통제

 위협의 영향을 최소화 하기 위해 문제의 원인을 파악하고 발생된 문제에 대해서 교정하고 재발을 방지하는 절차

 백업 계획 및 절차, 재실행 절차

​

# 통제 구현

​

- 관리 통제

 통제 정책, 보안의식 훈련, 신원 확인 (프로세스 운영 측면에서 통제)

​

- 논리적 통제

 암호, 접근통제 목록 등의 기술을 이용한 시스템에 대한 접근제한이나 정보 보호

​

- 물리적 통제

 잠금 장치, 정기 백업, 보안 가드 등을 이용한 물리적인 보안 구성

 논리적 통제나 물리적 통제는 운영 보안 도메인에서 컴퓨터 운영 통제로 구분

​

 통제는 반드시 책임 추적성을 제공하며 이것은 감사기능, 신원확인, 인가 등의 통제 프로세스에 의해 구현됨

​

# 접근 통제 모델

# 제한된 사용자 인터페이스(Constrained User Interface)

- 특정 부분을 사용할 수 없도록 disable하는 방법

- Public area에서 특권 있는 접근을 통제하는데 유용

​

# 예방과 탐지

​

- 세 쌍의 통제 메커니즘

 관리적 예방과 탐지

 논리적 예방과 탐지 (기술적 예방과 탐지)

 물리적 예방과 탐지

​

- 관리적 예방과 탐지

 예방 (조직적인 정책과 절차, 채용 관행, 직원의 배경 조사, 퇴직 절차, 보안 의식 훈련)

 탐지 (직무 순환, 직무 분리, 민감 개체에 대한 레이블, 휴가 스케쥴링)

​

- 논리적 예방과 탐지

 예방 (접근 통제 프로그램, 콜백 시스템, 제한된 사용자 인터페이스)

 탐지 (IDS)

​

- 물리적 예방과 탐지

 예방 (담장, 인식표, 다중 출입문, 경비원, 출입 통제 설비, 백업 사이트)

 탐지 (동작, 온도 감지 센서, CCTV)

​

// 클리핑 레벨 (Clipping Level) : 문제 보고 및 감사 검토 허용 범위, 감사 및 분석 정보의 양을 줄여줌

ex) 3회의 접속 실패는 침입으로 간주하고 2회 실패는 일상적인 행동으로 인식

​

3. 통제 응용 기술

​

# 식별과 인증

​

- 식별

 본인을 구별하는 행위 (ID)

 이름, 카드, 지문 등

​

- 인증

 제기한 신원이 맞는지 확인하는 행위 (Password)

 응답 토큰, 암호 등

​

- 접근 통제와 책임 소재를 수립하는 기반

 식별은 증거의 제공 없이 신원의 주장에 기초함으로 인증보다는 약함

 인증 : 승인된 사용자임을 검증하는 과정

​

- 일반적인 I&A의 취약성

 취약한 인증 방식

 인증 우회

 인증 정보의 기밀성과 무결성 부족

 네트워크 상에서 취약한 암호

 인증 요소 소유에 대한 사용자의 인식부족 (공유, 분실 등)

​

- I&A의 분류

 Type 1 (지식기반 / 패스워드, PIN번호)

 Type 2 (소유기반 / 스마트 카드, USB 토큰, ATM 카드)

 Type 3 (존재기반 / 지문, 망막)

​

- 이중인증 기법 (two-factor authentication), 존재기반 인증 기법 등 둘 이상의 인증방법을 혼합한 안전한

인증에 사용

 지식과 소유 (PIN번호, 지문)

​

- 행동 중심 I&A

 서명, 음성

 선진국에서는 범죄 증거로 인정함

​

# Password

​

- 종류

 고정 패스워드(static password)

 변경 패스워드(dynamic password)

 Passphrase

// Passphrase : 하나의 단어 대신 외우기 쉽거나 연상하기 쉬운 문장으로 구성된 암호, 길이가 길수록 크랙하기

어렵기 때문에 기억하기 쉬우면서도 길이가 긴 문장을 택하는 것 이 좋음

​

- 토큰을 이용한 일회용 패스워드 (OTP : One Time Password)

 동기 변경 패스워드 토큰

 일정 시간 간격으로 유일한 패스워드 생성

 유효한 시간 범위 이내에만 사용가능

 비동기 변경 패스워드 토큰

 시간 범위가 없는 점을 제외하면 동기 변경 패스워드와 동일

 질의 응답 토큰

 시스템의 질의 따라 다른 패스워드가 필요

ex) 금융거래에 이용되는 보안카드

​

 초기 password의 경우 시스템이 자동으로 생성하거나 관리자에 의해서 할당됨

 시스템이 생성한 password는 난수 형태로 전수공격이나 사전공격에 강함

 Jone the Ripper : 유닉스용 password 해독기

​

# 생체 인식

- 생체 인식

 Type-1오류 (FRR, False Rejection Rate / 잘못된 거부율)

 Type-2 오류 (FAR, False Acceptance Rate / 잘못된 승인률

 식별 시스템의 민감도는 FRR에 비례하고 FAR에 반비례한다.

 동일 오류율 (EER, Equal Error Rate), FRR=FAR (반비례관계)

 동일 오류율 = 교차에러비율(CER, Cross Error Rate)

 빠른 응답시간과 낮은 EER (손바닥 > 손모양 > 홍채 > 망막 > 지문 > 얼굴)

​

# SSO (Single Sign On)

​

- 1차 도메인(SSO 서버)에서 자격 증명을 처리하고 이 정보를 2차 도메인(정보 자원, 응용 플랫폼)에 제공

​

- 장점

 더욱 강력한 암호 사용 가능

 관리 능력 향상

 암호 재생성에 대한 관리경비 절감

 여러 플랫폼으로의 로긴 시간 절약 

​

- 단점

 모든 시스템을 통합하는 것이 어려움

 개발 유지보수와 관련된 경비 증가

 SSO의 안정성의 문제(셧다운, 유출, 파괴)

​

- 커버로스, 세사미, 크립토나이트 등의 기술을 이용하여 구현

 키교환 알고리즘이다

 IBM의 NetSP는 크립토나이트를 기반으로한 제품

 커버로스 인증은 service granted item을 ‘ticket’ 이라 부름

​

4. 통제 방법

​

- 접근 권한은 유형에 따라 ‘알 필요, 할 필요’ 에 근거하여 문서화 되어야함 

​

- 접근 권한 통제 목록 (Access control list, ACL), 접근 통제 테이블

 특정시스템의 자원을 사용하도록 권한을 부여 받은 사용자정보와 허용된 접근 시스템이나 소스의 종류를 포함

 정책 입안자나 개별 사용자에 의해 결정되지만 반드시 보안관리자에 의해 구현되어야함 

​

- ACL 를 작성하기 위한 작업

1) IS 자원 목록 작성

2) IS 자원 분류

3) IS 자원 labeling 작업

4) ACL 작성

​

# 분산형 접근 통제

​

- I&A 및 권한 프로세스의 분산 환경의 장점

 각 사이트에서 관리가 이루어짐

 보안 현안이 적시에 해결 될 수 있음

 보안통제가 더 빈번히 모니터링 됨

- I&A 및 권한 프로세스의 분산 환경의 위험

 조직이 요구하는 표준이 준수 되지 않을 수 있음

 관리수준이 중앙집중식보다 낮을 가능성이 있음

 표준준수 보장과 관련된 관리적인 감사나 검사가 어려움

​

5. 침입과 공격

​

- 침입과 공격은 모두 형법상의 용어로 분리 이해되어야함

​

- 종류

 직접 공격, 분산 공격

 자동 공격

 사고에 의한 공격

 의도적인 내부 공격

 인가되지 않은 외부 침입

​

- 유형

 포트스캔

 스푸핑

 패스워드크래킹

 익스플로잇

 트로이

 웜

 바이러스

 DOS

​

- 포트스캔

 TCP나 UDP가 사용하는 프로세스를 구별하기 위한 주소 중에 대기중인 주소를 검사하는 것

 여러 집을 돌아다니며 벨을 눌러 거주자가 있는지 확인하는 행위와 비슷

 사전 공격행위로 인식

​

- 스푸핑(spoofing)

 주소를 조작하여 인가된 시스템으로부터 접속했다고 기만하는 행위

 IP, ARP, DNS 스푸핑

​

- 스니핑(sniffing)

 도청행위

 자신을 목적지로 하지 않은 네트워크 상의 패킷을 읽어서 공격하는 행위

 Shoulder surfing (어깨넘어보기)

 : 시스템에 의존하지 않고 접근 권한을 획득 가능

​

- TCP 일련 번호(Sequence number) 공격

 Sequence number를 가로채서 세션에 끼어 드는 공격

 Sequence number : Segment의 첫번째 byte의 stream에서의 byte 순서 번호

- 버퍼 오버플로우 공격 (Buffer overflow Attack)

 Ping of Death, 초과 길이 파일명이나 사용자 이름을 이용한 메일 동격 (65,537 byte 이상)

 적절한 parameter 설정으로 일부 방지가 가능

​

- SYN flooding공격

 TCP의 초기 핸드쉐이크 중의 버퍼 공간을 이용한 공격

​

- 조각 공격(Trardrop Attack)

 IP의 오프셋 필드와 중복된 패킷 프래그멘테이션(fragmentation) 필드를 이용한 공격

 시스템을 리부팅하거나 크래쉬되도록 유발함

​

- 스머프 공격(Smurf)

 IP 스푸핑을 이용하여 목표 시스템을 여러 시스템이 공격을 하도록 함 (라우터가 대상이면 인터넷 불능)

 ICMP를 이용

​

- 패스워드 크래킹

 전수공격(brute force) : 키의 길이를 늘림

 저장된 암호 파일이용 : shadow file이용

 패스워드 가로채기 : 암호 인증 프로토콜(PAP)을 이용

 사전공격 : 패스워드에 친숙한 단어를 입력해보는 공격

 무차별 공격 : 아무 패스워드나 무작위로 입력해 보는 것 (전수 공격의 형태)

​

- 익스플로잇(exploit)

 DOS, DDOS 공격

 SYN/ Land 공격(잘못된 IP를 가진 SNY를 서버에 보내 서비스를 방해)

 Ping of Death (사이즈가 큰 IP패킷을 전송)

 Ping flood(많은 양의 ping 패킷을 전송)

 Fraggle (공격 대상 IP를 출발지로 네트워크에 ping 패킷을 전송, UDP기반)

 UDP 폭탄 (시스템 사이에 지속적인 UDP 패킷을 전송)

 웹스푸핑 (하이퍼링크 스푸핑)

​

- 트로이 목마

 인가된 것처럼 속이는 악성 부정 코드

​

- 웜

 데이터를 파괴하거나 자원을 소모하는 파괴적인 프로그램 (복제하지 않음)

​

- 논리 폭탄

 특정시간이나 조건에 구동되는 파괴적인 프로그램

​

- 바이러스

 자신을 복제하는 불법적인 공격 프로그램

​

- 트랩도어

 시스템의 보안규정을 우회하도록 구성된 시스템의 출구

​

- 워드라이빙

- 소수점 절사, 살라미

 소액의 돈을 절사하는 방법

2. Operations Security

목차
1. 통제와 보호
2. 감사와 모니터링
3. 위협과 취약성

1. 통제 와 보호

#운영 보안 정의

- 비즈니스 환경이 계획되고 검증된 일정 수준으로 보호되기 위한 일련의 조치와 통제가 수행되는것

직무 분리 도표를 감리 쪽에서 제공해 준다.
 // 분리 도표가 있을때 통제를 어떤식으로 하고있는지 문서가 중요하다.

#운영 보안의 요소
 - 위협 : 보안 통제 위반으로 손해를 발생 시킬수 있는 사건 - 관리자의 권한 남용
 - 취약성 : 보안 통제를 위반 할 가능성이 있는 시스템의 약점 - 부정확한 직무 분리
 - 자산 : 보호 대상인 IS 설비 및 인력, 프로세스

#운영 통제의 영향 
 - 기밀성 : 정보 민감도
 - 무결성 : 데이터의 정확성과 인증
 //내부 무결성, 외부무결성 
 //권한없는 사람이 데이터에 접근못하게하거나 권한 있더라도 잘못된 방법으로 접근하지 못하게함
 - 가용성 : 장애 방지 및 허용 수준과 복구 능력
 //장애된 상태에서 사용할 수 있을 수 있게 보조 서버, 보조 발전기, 사용할 수 있지만 사용하지않는 자원 등이 있다.

#운영 보안의 상대
 - 내, 외부 침입자
 - 부적절한 자원에 접근하는 사용자 및 운영자
  // 홈쇼핑, 주식, 게임등
 - 운영 환경에 대한 위협

#통제 정의
 - 위험을 감소시키기 위하여 만들어진 정책, 절차, 업무, 조직구조 등을 말한다.
   // 통제를 안하면 회피할 수 있다.
#통제 목적
 - 조직의 경영 목적 달성
  // IS 관련 내부 통제 
   : IS가 조직의 전략에 부합되게 경영진이 동의하는 수준으로 위험을 감소시킬 것이라는 합리적인 확신을 제공
 - 위험이 적절히 예방, 적발, 수정 될 것이라는 합리적인 확신을 제공해 주는것
 - 경영진이 제기한 관심사를 기반으로 한다.

#내부 통제의 운영
 - 조직 내의 모든 수준에서 운영 (하향식 통제 모델 개발이 필요)
 - 모든 구성원이 해당 프로세스에 참여해야 한다.
 - 이사회나 경영진의 책임
  // 내부 통제 촉진을 위한 적절한 조직 문화 구축
  // 내부 통제의 효과를 지속적으로 모니터링

#통제 카테고리

-예방 통제
 //장애가 나지 않게 침입을 방지하는 통제
 방화벽, 암호
-탐지 통제
 //신속한 에러감지를 통해 시스템상의 영향을 최소화 하기 위한 통제
 침입탐지 시스템, 감사 추적, 감사 로그, 씨씨티비
-교정 통제
 // 문서화된 복구 프로시저를 통해 에러의 영향을 최소화 하기 위한 통제
   백업, 아카이빙, raid

-트랜잭션 통제
//트랜잭션 : 한번에 처리해야되는것

 -입력통제
    // 정확한 값이 한번만 처리됨을 보장하기 위한 통제
       타임스탬프나 처리 개수 확인
  -처리통제
    // 트랜잭션이 유효하고 정확한 프로세스에 의해서 처리됨을 보장하는 통제
 보이스피싱당해 입금 할것을 예상해 일정시간이 지나야 돈을 찾을수 있게통제
 -출력 통제
    // 출력물이 권한이 있는 곳이나 인원에게만 배포됨을 보장하는 통제 : 출력물에 대한 기밀성
    // 입력 값에 대한 출력 값의 무결성을 보장
// 출력물에 대한 기밀성에 대한 통제  - 라이브러리언
- 변경 통제
    // 프로세스등 시스템상의 변경이 인가된 안전한 변경이 됨을 보장하는 통제 : 시스템의 무결성
// 버전 업하는 경우에 버전 계획을 함부로 바꾸면 안된다. 
- 테스트 통제
    // 시스템을 테스트 하는동안 안전성을 보장하기 위한 통제
// 화이트박스, 블랙박스  사전에 정해져있을때만 테스트를하고 테스트하는 시기가 가장 위험하기때문에
위험하지 않게 테스트 하는게 중요하다.

내부 회계통제
 - 자산보호, 회계기록의 신뢰성
운영 통제
 - 일상적인 운영이나 활동, 기능들이 경영 목적에 부합하도록 통제 하는것
관리 통제
 - 각각의 기능이 내부의 운영 정책에 부합하는가에 관련된 통제로 운영의
 효율성이나 정책 준수와 관련된 운영 통제의 일부

#관리통제

 // 주로 직원의 인사 관리 정책과 관련된 통제
 관리통제의 주요 항목
  - 직원보안
    : 신원조회 및 배경 조사, 보증인
      강제휴가, 직무순환
      퇴직직원 관리 규정 
    //퇴직직원이 퇴직하기전에 권한을 먼저 없앤다.
 -직무분리와 책임 추적성 
    //책임 추적성이 명확하지 않으면 따지기 힘들다. -
 -최소 권한 (읽기전용, 읽기쓰기, 접근 권한 변경)
 -알아야 할 필요성에 의한 권한 할당
 -신의 성실: 교육이나 선언을 통해 적절한 실무사례를 따르도록 하는 통제
 -문서화

#보안의 시작 
 - 자산
  : 자산식별 - 위험평가 - 통제개발 - 통제적용 - 취약성 평가
 - 직무
  : 직무분리 - 직무순환 - 통제평가 ....

#운영 통제

: 컴퓨터 운영을 보호하기 위한 통제
 자원 보호
 - H/W 
    민감한 것들을 주로 복구한다.
    통신, 저장매체, 처리 시스템, 독립 컴퓨터, 프린터나 팩스
 - S/W
    프로그램 소스와 라이브러리, 패키지나 구매 소프트웨어 s/n, OS나 시스템 유틸리티
    주로 유지, 보수, 테스트, 저장 등에 관심 (개발은 무관)
 - 데이터
   백업 데이터, 여러 데이터 파일, 패스워드 파일, 로그파일이나 감사 관련 파일

#H/W 통제
  유지 보수 관련 작업자나 작업 통제
  유지 보수용 계정통제
  진단 포트 통제 
   // 열려있는 포트를 찾기 위해 스캐닝을 한다.

 #S/W 통제
   안티바이러스 관리
   S/W 테스팅 통제
   시스템 유틸리티

#정보자산에 대한 접근 권한
 - 컴퓨터 자원으로 작업을 할 수 있는 능력
 - Need-to-know의 원칙에 따라 문서화가 필요 
   : IS 감사인이 보안 특권의 허용이나 승인 기준의 적절성을 평가할 때 이용
 - 승인은 직무분리의 원칙, need-to-know 원칙, 최소권한 원칙에 따라 승인
   : 자산에 대한 필요성과 승인된 자산에 대해서 승인된 접근 방법으로만 작업이 가능하도록 제한함.
 - 승인 실무
   : 정보 소유자나 사용과 보고에 대한 책임을 맡은 관리자는 자원접근에 대한 서면 승인을 보안 관리자 에게
      직접 전달할 의무를 가진다.
    승인의 최종 결정 : 소유자 , 승인 실무 : 보안 관리자

#특권 개체 통제
  특권 개체 접근은 특권 운영 기능이라고도 하는데 운영자와 시스템 관리자에게 주어지는 특별한 접근 권한을 의마한다.
  시스템 통제 프로그램
  운영 시스템의 파라미터에 대한 접근 
  시스템 명령에 대한 접근

#미디어 자원 보호
 - 미디어 보안 통제
   로그기록, 접근 통제, 사용 후 적절한 삭제 프로세스
 - 미디어 생존력 통제
   처리 운송중 발생하거나 장, 단기 저장중에 발생 가능한 손상으로 부터 보호
   정확한 레이블링이나 분류, 이동과 저장간 안전한 환경 통제

2. 감사와 모니터링

#모니터링의 목적
 - 문제 식별과 해결
정의
 - IS 설비에 영향을 미칠 수 있는 보안 사건을 식별하는 매커니즘과 도구, 기술을 포함한 개념
#모니터링을 위한 기술
 - 침입탐지
   침입시도를 탐지하고 분석하는 도구를 이용
   침입을 식별하고 트래픽 패턴을 샘플링한다.
 - 침투 테스트
   포트스캐닝과 프로빙
   스니핑
   데몬다이얼링 //무작위로 전화를 걸어 확인하는것
   추가적인 테스트 기법
      : 쓰레기통 뒤지기 - 지워진 파일 복구하기
        사회 공학적인 방법

 # 클리핑 레벨 설정을 통한 위반 분석
    - 침입탐지 시스템에서 쓰이던 용어가 단독으로도 쓰임 
    - 상한선과 하한선을 정해 분석

#감사

감사는 IS 운영 전략이 조직의운영전략과 일치함을 보증하는 역할을 한다.

 #보안감사
 - IS운영이 권고안이나 법적인 의무 사항 그리고 조직내부의 표준 업무 프로세스에 준거성 확보되는지 점검하며
    운영 비용 효과성에 대해서 감사하고 적절한 통제를 권고한다.
 # IS관련 감사 대상
   - 백업 통제
   - 트랜잭션 통제
   - 데이터센터 보안
   - 비상계획
   - 시스템 도입 및 개발 표준
   - 라이브러리 운영 절차

#감사 추적
  시스템 내에 변경사항에 대한 책임 추적성을 제공
  감사 추적 정보는 변경되어서는 안되지만 감사자가 쉽게 인증받아 접근할 수 있어야 한다.
  감사 로그에 기록되는 트랜잭션 정보
   - 날짜와 시간, 주체, 접근 터미널 또는 시스템, 관련된 다양한 보안 관련 사건
  감사 로그 사용시 중요한 보안 이슈
   - 오프사이트 스토리지에 보관된 감사 정보 보유와 보호
   - 사건 발생시 감사 정보의 가용성에 대한 보호
   - 감사로그 정보에 대한 변경 통제

 #우발적 실수
 - 위협의 가장 많은 예로 운영미숙, 교육부족 등 근본적인 운영 프로세스의 부재 또는 부족및 준거성 부족으로 발생
 - 잘못된 수작업이나 시스템 운영 운영 절차 위반등..
  // 확실한 프로세서가 준비 되어있으면 확실히 줄어든다.
 
 #부적절한 행위
 - IS 설비의 부적절한 이용 : 게임, 도박, 음란물..
 - 자원의 낭비 : 개인 업무, 개인사업에 이용
 - 성적, 인종적 차별이나 학대 : 음란문 전송, 욕설..
 - 권한 남용 : 비인가 레벨 자원에 접근

 #의도적 공격
 - 도청 : 쓰레기통 뒤지기, 스니핑, 어깨넘어 보기, 트래픽 분석, 사회공학적인 방법...
 - 사기 : 위조 트랜잭션, 데이터 디들링, 데이터 내외부 무결성 회손..
 - 절도 : 데이터 , 거래정보, S/W, H/W
 - 사보타지 : 서비스 거부, 운영지연..
 - 외부공격 : 악의적인 해킹이나 크래킹, 바이러스, 웜, Probing....

#트래픽 분석을 통한 노출
 - 패딩 메시지
 - 노이즈 전송
 - 은닉 채널 분석

유지 보수 계정
쓰레기 줍기
IPL 취약성 
- 컴퓨터를 껏다 킬때 나타나는 문제점 //백신보다 먼저 올라오는 바이러스는 처리하기힘들다
Network address Hijacking

3. Telecommunications, Network &Internet Security

목차
1. 네트워크 C.I.A
2. 네트워크 보안 관리

1. 네트워크 C.I.A

통신 보안은 C.I.A 원칙에 위협을 가할 수 있는 네트워크사으이 오용이나 악용을 방지하고 탐지하는 관점에서 이루어진다.

• 무결성
• 가용성
• 기밀성

#가용성
 - 인가된 사용자들이 허가된 프로세스를 위해서 네트워크로 접속하기 위한 접속성을 보장하는것이다.

#네트워크 가용성을 보장하는 요소
 - 백업이나 여분의 디스크 시스템과 같은 장애방지 능력
 - 사용인원과 프로세스의 수행 능력
 - 신뢰할 만한 프로세스와 네트워크 보안매커니즘

네트워크 가용성에서 디스크에 대한 장애 저항 능력은 매우 중요한 요소이다. 이에 관해 다음과 같은 시스템들이 
논의중이며 이중에 현존하는 표준은 FRDS이다.
 - 장애저항 디스크 시스템
 - 장애 방지 디스크 시스템
 - 재해 방지 디스크 시스템
 - FRDS+ : FRDS에 hot swap 기능을 포함 시킨것

#FRDS (RAID )
 - RAID 0 : Striping
    // 40M 저장을 해야되는데 1M가 저장하는데 1초걸리면 10M 씩 나눠서 저장한다.
       하드드라이브 하나 날라가면 데이터가 다날라간다. 그래픽회사에서 랜더링할때 사용.ssd 도 스트라이핑 사용한다.
 - RAID 1 : Mirroring
   // 하드드라이브를 짝수로 사용한다
     1G 로 가정한 4개 하드가 존재할때 똑같은 하드를 또쓴다. 외부에서 볼때는 2G로 보인다.
 - RAID 5 : block-interleaved distributed parity
   // 1G 하나 드라이브를 나머지 3G 의 복구 정보를 저장하는데 사용한다.
 - RAID 10 : 0+1 - 복구 정보를 자신을 제외한 하드에 저장한다.
 - RAID 3 : byte-interleaved parity
 - RAID 4 : block-interleaved parity

 #서버 장애 방지 시스템
 - 중복 서버
 Fail over link된 secondary 서버를 운영하는 방법
 주 서버의 처리가 미러링 된 secondary 서버로 이전되는 것을 치환(rollover)라고 한다.
   // 마스터서버가 죽으면 secondary 서버가 마스터서버역할을 자동으로 한다.
 - 서버 클러스터링
 Server farm을 구성 모든 서버가 온라인 상태로 투명하게 서비스를 제공하는것
 오라클 사의 RAC나 MS사의 크러스터 서버등과 같은 시스템이 제공된다.

#백업 
 - 차이분 백업(Differential Backup)
 특정 백업 시점 이후의 내용만을 백업
 보통 전체 시점을 기준으로 한다.
 누적 백업으로 일부가 중복된 백업이 수행된다.(Cumulative backup)
 //풀백업과 제일 가까운시점 백업을받는다
 - 증가분 백업(Incremental Backup)
 이전 백업 이후 수정된 부분만 백업
 전혀 중복 없는 백업 방법이다.
 // 변경사항만 백업받는다.

2.네트워크 보안관리

#침입차단 시스템 정의
 - 내부 네트워크 망과 외부 네트워크 망을 분리해 주는 시스템
 // 내부망과 외부망 사이의 정보 흐름을 안전하게 통제하는 시스템
- 신뢰하는 비공개 인트라넷과 외부에 공개하는 인터넷 사이를 분리시킬 목적으로 사용하는 S/W와 H/W의 총체적 표현 

#침입차단시스템의 역할
 - 프라이버시 보호 : 내부망의 정보 유출 방지, dual DNS 기능 지원
 - 서비스 취약점 보호 : 안전하지 못한 서비스 필터링
 # 보안기능의 집중화 
    - 다양한 보안 S/W가 다수의 호스트에 분산되어 탑재되는 것 보다 집중되어 탑재되어 있는것이 관리에 효율적
    - 보안정책의 구현 용이
    - 보안 관련 경비 절감 
    - 외부 침입에 의한 내부 네트워크의 침해 도메인 최소화

#침입차단시스템의 기능
 - 패킷 필터링, NAT
 - 프록시 또는 Application gateway, 로깅
 - VPN

#침입차단시스템 구성요소
- 베스천 호스트 (Bastion host)
 침입차단소프트웨어가 설치되어 있고, 내부 네트워크와 외부 네트워크 간의 게이트웨이 역할을 하는
호스트
 내부 네트워크 전면에서 보안을 책임지는 호스트 이기 때문에 해커의 공격목표가 됨
 보안에 헛점이 생기지 않도록 불필요 프로그램 삭제, 불명확한 서비스 제한, 최신 버전 패치를 통해 신
중히 관리
- 스크린 라우터
 내부와 외부 네트워크의 물리적인 연결점
 네트워크 레벨의 방어를 수행
 패킷필터링, 접근제어(IP,PORT), NAT
- 침입차단시스템 소프트웨어
 스크린 라우터와 일부 기능 중복
 애플리케이션 레벨의 서비스와, 다양한 로그정보를 리포트함

#침입탐지 시스템(IDS) 의 정의
 - 컴퓨터/네트워크에서 발생하는 이벤트들을 모니터링하고, 침입 발생 여부를 탐지하고, 대응하는 자동화된 시스템

기능
- 네트워크의 실시간 감시
- 네트워크의 전용선과 생산성 향상 및 남용방지
- 정책에 의한 특정 서비스의 차단 및 로그
- 침입 시도 재연 기능
- 침입 분석 및 네트워크 사용 분석레포트 제공
- 실시간 로그인 및 경고

#일반적 구조
 - Event generator (E-Box)
    모든 이벤트에 대한 데이터 수집
 - Event analyzer (A-Box)
    수집된 데이터를 분석하여 침입탐지 수행
 - Event databases (D-Box)
    필요한 정보를 저장
 - Response units (R-Box)
    탐지된 침입에 대한 대응행동 수행

#정보수집
  -호스트 로그 정보 수집
    프로그램/프로세스의 변수
  -멀티호스트간 로그 정보 수집
    호스트간 통신 필요
  -네트워크 패킷 수집
    패킷 수집 및 프로토콜 해석 기술

#정보가공 및 축약
 - Raw 데이터로부터 의미있는 정보로 가공
   실시간 침입판정을 위한 최소한의 정보
   자체의 Audit Record로서의 의미
 // 의미 있는 정보를 구분하는 기술
 
#침입분석 및 탐지(Intrusion Detection)

- Anomaly Detection (비정상행위 탐지)
 비정상적인 행위나 컴퓨터 자원의 사용을 탐지
 정해진 모델을 벗어나는 경우를 침입으로 간주
 구현 비용이 큼

- Misuse Detection (오용탐지)
 시스템과 응용프로그램의 취약점을 이용한 공격을 탐지
 정해진 모델과 일치하는 경우를 침입으로 간주
 Auditing 정보에 대한 의존도가 높음

// host based - 로그를 많이 참조함 -컴퓨터마다 하나씩 깔아야된다.
// network based - 네트워크를 감시한다.

#호스트 기반 IDS

- 데이터 소스
 OS 감사자료(audit trail)
 시스템(이벤트) 로그 (시스템에 직접 설치하여 탐지)
- 장점
 네트워크 기반 IDS 에서는 탐지 불가능한 침입 탐지 가능
(예 : 트로이 목마, Race condition 등)
 우회 가능성이 거의 없음
 고부하(High traffic)/스위치(Switch) 네트웨크에도 사용 가능
- 단점
 모든 개별 호스트에 대한 설치 및 관리가 어려움(비용 증가)
 IDS가 설치된 플랫폼의 성능 저하
 네트웍 스캔 등과 같은 네트워크 전체에 대한 탐색행위를 탐지하기에 부적합
 오직 호스트 컴퓨터상의 부적절한 행위만을 감지하고 세그먼트 전체를 모니터링하지 않는다

#네트워크 기반 IDS

- 데이터 소스
 실시간 네트워크 패킷
 대부분의 상업용 IDS에서 적용
- 장점
 호스트 기반 IDS 에서는 탐지 불가능한
 침입 탐지 가능(예 : 포트 스캐닝)
 전체 네트워크에 대한 침입 탐지 가능
 기존 네트워크 환경의 변경 필요 없음
- 단점
 탐지된 침입의 실제 공격 성공 여부를 알지 못함
 고부하(High traffic)/스위치(Switch) 네트워크에는 적용 어려움
 암호화된 패킷은 탐지 불가
 상대적으로 오판률이 높다. (False(+) : 공격이 아닌데 공격으로 오인)

#Misuse Detection (오용탐지)

- 동작원리
 정해진 공격 모델과 일치하는 경우를 침입으로 간주(Buffer overflow)
 가장 많이 사용하는 형태
- 기법 종류
 Expert system, State transition analysis, Key Stroke Monitoring, Model Based Approach
- 장점
 상대적으로 낮은 오판율(false alarm)
 침입에 사용된 특정한 도구/기술에 대한 분석 가능
 신속하고 정확한 침해사고 대응에 도움
 발생되는 경고는 표준화 되어있고 이해하기 쉽다.
- 단점
 다양한 우회 가능성 존재
 새로운 침입유형에 대한 탐지 불가능 (False(-) : 공격이 맞는데 공격이 아니라고 판단)
 새로운 공격에 대한 시그너쳐를 지속적으로 업데이트 필수 ? Anti-Virus 제품과 유사

#Anomaly Detection (비정상행위 탐지)

- 동작원리
 비정상적인 행위나 컴퓨터 자원의 사용을 탐지
 정해진 모델을 벗어나는 경우를 침입으로 간주
- 기법 종류
 Statistical approach, Predictive pattern modeling
 AI, Neural network, Genetic algorithm, Immune system…
- 장점
 새로운 침입 유형에 대한 탐지 가능
 특정한 침입이 아닌 “정상에서 벗어남”으로 탐지
- 단점
 정상 행위를 모델링(예측)하기 어려움.
 오판률이 높다. (False(+) : 공격이 아닌데 공격으로 오인)
 방대한 사용자/네트워크 활동 (training data) 필요
 많은 시간 요구. 심지어 불가능
 네트워크를 포함한 IS가 이를 운영 할만한 충분한 통제가 마련되어지지 않을 수도 있다.


#Real-Time (network base 가 많다.)
- 장점
 감지 시간에 따라 관리자가 침입을 차단할 수 있다.
 빠른 시스템 복구가 가능하다.
- 단점
 비실시간 시스템보다 많은 CPU 시간과 메모리가 필요함.
 실시간 탐지를 위한 시스템 설정이 매우 중요하나 이는 매우 어려운 작업이다.

- 클래스 A
 접근 통제를 우회한 불법 접근
 사회공학적인 방법을 통해 얻는 정보를 이용 masqueraging(가장)하는 경우가 많다.
- 클래스 B
 비업무적 용도에 네트워크 사용
- 클래스 C
  네트워크 가로 채기(전송매체에 대한 물리적인) 등의 기술을 이용한 도청
  전송 데이터를 은밀히 모니터링하거나 리스닝하는 수동적인 도청과 은닉 신호 채널을 만들 거나 적극적으로 네트워크에 전송을 간섭하는 능동적 도청이 있다.
 도청과 클래스 F(탐색)은 클래스 E(침입)을 위한 사전 작업 단계이다.
- 클래스 D
 서비스 거부및 서비스 방해 공격

- 클래스 E
 네트워크 침입
// 방법
 스푸핑 : IP, DNS등의 정보를 속여 인가된 네크워크로부터 접속이라고 기만하는 행위
 피기백 : 인가된 세션을 불법적으로 이용하는것, (로그온 된 빈자리 …)
 백도어 : 모뎀 등 통제가 적용되지 않은 경로를 이용하는것

- 클래스 F
 탐색
 스니퍼를 이용한 트래픽 분석, 포트스캔을 통한 접속 포트확인...

#무선통신에서 보다 직접적인 관심

- 장치 도난 : 장치의 휴대성으로 인해 발생
- 사용자의 사기나 절도

- 악의적인 해킹
- 서비스의 도난
- 상대적으로 용이한 도청
- 악의적인 코드

#무선 시스템의 위험

- 일반적인 유선 네트워크에 존재하는 모든 취약점을 포함
- 무선 프로토콜 : 오래된 암호 기법, 불완전한 규격 (WEP, WAP)
- 방화벽을 우회하는 내부 접속
- 용이한 무선 장치간의 도청
- 무선 연결장치를 대상으로 한 DoS 공격
- 도난당하기 쉬운 휴대장치들
- 제3자가 이용가능 한 비보안 무선 네트워크 (공격자를 숨기는데 이용)
- 임의로 설치된 부적절한 장치 : 데이터 추출
- War driving, walking
- Chalking (AP의 사용 범위를 보도블럭이나 벽에 표시하는것)
- 중간자 공격

#WAP(Wireless Application Protocol )
- 서로 상이한 무선 장치간에 상호 통신을 위한 무선 규약

#WEP
Wired Equivalent Privacy (WEP)는 무선 LAN 표준을 정의하는 IEEE 802.11 규약의 일부분으로 무선 LAN 운용간의 보안을 위해 사용되는 기술.
2003년에 Wi-Fi 얼라이언스에서는 뒤에 나올 802.11i 수정안의 일부였던 WPA가 WEP 를 대체한다고 발표함
RC4 이용

#WPA(Wi-Fi protected access)
IEEE801.11i의 부분 규약으로 WEP에 비해서 강화된 보안 기능을 제공
- TKIP(Temporal Key Integrity Protocol) 이용 일정 시간마다 암호를 변경 짧은 시간안에 크랙하는 방법이 발표됨.
- 인증
 인증 서버를 사용하는 엔터프라이즈(Enterprise)
 인증 서버를 사용하지 않는 PSK(Pre-Shared Key)

# PGP
 확실히 믿을 수 있는 유일한 보안 시스템(메일)
 본문 암호화 : IDEA
 전자서명과 키교환 : RSA
 공식적이고 공인된 CA를 사용하지 않음
 사용자간의 상호인증을 이용 (Web of Trust)

# SSL/TLS
 Secure socket Layer / Transaction Layer sequrity
 APP와 TCP/IP사이에 위치
 공개키와 인증서를 이용
 RSA, IDEA, DES, 3DES, MD5를 이용
 TLS는 SSL의 계승함
 X.509 표준에 근거한 공개키 확인 인증서를 이용
 국내에서 사용하는 SSL은 암호키가 40비트로 안전한 웹 통신을 보장하지 못한다. (미국 정부가 제한함)
 서버인증(의무), 클라이언트 인증(옵션)
 Https에서 이용

목차
1. Security Management Practices
2. Operations Security
3. Telecommunications, Network & Internet Security
4. Access Control Systems & Methodology
5. Physical Security
6. Security Architecture & Models
7. Applications & Systems Development
8. Business Continuity Planning

1. Security Management Practices

목차
1. 정보보호의 이해
2. 보안을 위한 정보 분류
3. 보안 정책
4. 위험 관리
5. 보안 훈련과 교육

1. 정보보호의 이해

​

# 기업및조직 생존의 핵심적인 요소로 부각됨

- IS가 비즈니스에 더 내재적으로 스며들어감

- 글로벌 사업영역의 확대로 인해 중요한 이슈로 부각

// 각 국가마다 법률이나 관습이 다른 경우 ( ex) 한 나라에서는 녹음이 합법, 다른 나라에서는 불법 )

- 정보의 무결성, 서비스 지속성, 자산보호에 대한 중점적인 활동

- IT를 적극적으로 비즈니스에 적용, 업무 프로세스를 개선하는 경우 가장 중요한 요소

// 정보보안(안전성), 효과성 간에 균형이 중요

// 업무프로세스 개선하는 경우 : 업무용 소프트웨어 재개발

// BPR : 업무 재설계, 경영혁신기법의 하나로서 기업의 활동이나 업무의 전반적인 흐름을 분석하고 경영 목표에

맞도록 조직과 사업을 최적으로 다시 설계하여 구성하는 것

// ISP : 조직의 목표 성공을 위한 전략적 측면과 조직의 목표 달성을 위한 정보화 계획, 절차 및 정보기술 적용

등과 같은 시스템 측면의 모형을 기획하고 설정하는 단계

// BRP, ISP, ITEA 같은 곳에 정보보안전문가가 참여함

​

# 외부 환경적 요소

- 급변하는 비즈니스 환경 (법률적, 기술적, ...)

- 지능적인 정보 범죄

- 반달리즘

· 문화재, 문화적 예술품, 종교 시설, 넓게 보면 타인의 재산 등을 파괴, 훼손하려 하거나 낙서로 더럽히는 활동

- 비효과적인 관료주의

​

# 정보보안에 대한 이해

- 정보보호의 복잡성과 타당성에 대한 지지는 이사회 수준의 활동으로 제기되고 지원되어야함

- 정보를 생존을 위한 핵심 자산으로 이해

​

# 정보보안의 문제와 현황

- 정보와 지원시스템에 대한 기업 비즈니스 의존성 증가

- 전혀 새롭게 나타나는 위험들

- 혼란스러운 법규와 더 높은 수준의 법적인 요구 사항들 (개인정보, 보안, ...)

​

# 정보 보안 접근 방법

- 전통적인 접근법

// 정보 보호의 초점이 정보 취급, 처리, 저장방법에 주안점

// 현재 요구되는 전반적인 보안 수준을 적용하기에 불충분함

- 새로운 접근 방법

// 지식, 컨텐츠 또는 정보 자체에 주안점을 둠

// 자산 식별 (자산 목록화 및 분류) : 자산별 위험을 정량화하는 것이 목적

​

# 조직의 정보 보안은 정보 보안 거버넌스 수립으로 이루어짐

- 정보보안 정책은 거버넌스가 지향적인 것을 문서화한 것을 의미함

- 정보 보호의 시작 (정보 보안 정책)

​

# 정보보호 거버넌스(governance)의 5가지 성과

전략 연계
목표(정보보호 전략)를 위해 사업 전략(회사의 비전)과 정보 보안은 연계되어야함

- 보안 요건에 대한 기업의 요구사항
 기업의 요구사항은 전략위원회 IS운영위원회가 참여
- 기업의 비즈니스 프로세스(업무)에 알맞은 보안 솔루션
- 위협, 취약점, 위험 프로파일에 기초한 보안 투자

위험 관리

위험의 완화와 잠재적 영향의 감소를 위해 적합한 측정이 필요

- 위협, 취약점, 위험에 대한 이해
- 위험 완화(통제) : 수용 가능한 단계까지 (정보자산에 쓰이는 비용)
- 위험의 잠재적 결과의 이해와 이에 기반한 위험의 수용

가치 제공
비용 효과적인 보안 투자의 최적화

- 보안 실무 표준

- 보안 영역에 대한 우선순위 배정과 자원의 적절한 분배
 위험관리를 우선순위로 한 후 가치 제공
- 조직의 전 부분에 기반한 솔루션
 조직의 업무 시스템 개발
 상품화된 표준화 기반의 솔루션 포함
- 일회성 이벤트가 아니라 지속적인 개선

자원관리

효율적인 인프라와 자원 관리 달성
- 보안 실무와 프로세스 문서화
 문서화가 되어있지 않으면 정보보안을 하지않았다고 판단
- 인프라 자원의 효율적인 활용과 정의를 위한 보안 아키텍쳐 개발

성과 관리

목표 달성을 위해 정보 보안 프로세스를 평가하고 모니터링하며 보고되어야함
- 이슈 해결 과정에 대한 피드백과 결정을 식별하는 프로세스
- 외부 평가과 감사에 의해 제공되는 독립적인 보증

 감사 : 실태를 조사하여 결함을 지적하고 주의를 주는 일
 감리 : 감독하고 관리하는 것
 성과 : 업무일지

프로세스 통합

- 기업 내에 다른 여러 조직간에 보안 프로세스는 각 조직의 서로 다른 보고 및 모니터링 체제 내에서도 통합되도록 노력해야 하고 이를 통해 보안 프로세스의 효과성이나 효율성을 개선할 수 있음

# 정보 보안 거버넌스의 구성

- 사업 목적을 포함한 보안 전략

- 전략, 통제와 규정을 포함한 보안 정책

- 보안 정책을 위한 표준과 가이드라인

- 이해 당사자들 간에 갈등이 없는 보안 조직

- 준거성 보장을 위한 모니터링 프로세스

// 규정을 지키는지에 대한 감시(CCTV)

​

# 정보보호의 세가지 요소

- 기밀성(Confidentiality)

 의도되었거나 또는 의도되지 않은 노출을 방지하는 것 (암호)

 인가되지 않은 사람이나 대상에게 노출되지 않는 것

<-> 폭로(Disclosure)

​

- 무결성(Integrity)

인가되지 않은 주체에 의한 객체의 변경을 막음 (접근통제)

인가된 주체의 불법적인 변경을 막음

내부 무결성 : 시스템 내부에 확보되어야 하는 무결성 (권한부여)

외부 무결성 : 시스템 외부에 확보되어야 하는 무결성

내외부의 일관성을 유지 (내외부 무결성)

무결성의 보안 모델이 따로 존재

<-> 변경(Altereation)

​

- 가용성(Availability)

자원의 적시 접근성을 보장

원하는(인가된) 시간에 원하는 만큼(인가된 만큼) 자원을 사용할 수 있도록 보장

가용성 공격은 하기가 쉽고 피해를 막을 방법이 없음

<-> 파괴(Destruction)

​

# 정보 보호의 요소들

- 식별(Identification)

시스템에 신원을 알려주는 것

시스템이 각자를 구별할 수 있는 것

주장에 근거하여 식별

ex) 이름, ID(계정) 등

// 식별은 반드시 인증과 같이 되어야함

// ID는 기밀성이 필요하지 않음

​

- 인증(Authentication)

제공된 신원과 대상이 일치하는지 확인하는 것

ex) 계정의 비밀번호

​

- 책임추적성(Accountability)

책임을 이행할 의무 또는 작업이나 프로세스에 대한 책임 소재 식별성

근원지 인증

암호시스템에서 개인키로 서명화 시 책임추적성이 보장됨

​

- 허가(Authorization)

개인이나 컴퓨터에 부여된 권한의 범위

데이터(프리빌리지)

UNIX(퍼미션)

​

# 보안 통제

- IS에 대한 내부 통제 중 하나

- 조직(기업)이 위험을 수용 가능한 수준으로 낮추기 위한 인력, 조직, 업무, framework 등 일련의 활동

정보보안 관리자가 구현하고 경영자에 의해 강제됨 (정보보안 관리자의 주 업무)

// 정보보안 관리자의 주업무 : 정보보안 통제를 구현

​

# 위험, 위협, 취약성

- 위험

어떤 위협이 자산의 취약성을 이용하여 손실이나 손상을 야기 할 수 있는 잠재성(ISO의 정의)

위험의 파급효과나 상대적 심각성은 손상 또는 손실된 비즈니스적 가치와 위협의 예상 발생 빈도에 의해서

비례적으로 결정됨

위험이 측정되지 않으면 정보보안 통제를 하지 못함

- 위협

고의적이거나 우발적인 사건으로 발생 시에 시스템의 손상을 일으켜 기밀성, 가용성, 무결성에 손상을 가져올

수 있음

- 취약성

위협이 이용 가능한 시스템 상의 약점을 의미함

고유 위험

​

- 예시

무한 재입력이 가능한 보안 카드 정책(취약성)은 불법적인 계좌 이체(위협)을 용이하게 하는데 실제 국내 은행

에서 이로 인한 사고로 고객의 돈이 불법 이체(위험)된 사례가 있음

​

비콘을 이용한 출석의 경우 GPS(위치확인)를 이용하여 출석을 하게되는데 위치를 조작하여(취약성) 대리출석

(위협)의 가능성이 있는데 실제로 어플을 조작하여 대리 출석한 경우(위험)가 있어서 추가적인 확인 시스템이

필요하다.

​

- 모든 통제가 진행되는 과정

1) 자산 식별 (보호할 대상이 무엇인지 판단하는 것)

// 자산 :정량적 가치가 있는 것

2) 위험 분석 (정량적으로 분석하는 것)

3) 통제 개발 (개발자)

4) 통제 적용 (경영자)

5) 통제 평가 (감리사)

// 통제 개발, 적용, 평가 중 하나라도 잘못되면 통제가 된다고 볼 수는 없음

​

- 통제의 한계

비용 효익을 초과 할 수 없음 (이를 위한 정량적인 위험 분석이 필수)

​

- 통제의 운영

조직 내에 모든 수준에서 운영 (하향식 통제 모델 개발이 필요)

// 상향식 통제 모델은 구현할 수 없음

 모든 구성원이 해당 프로세스에 참여해야함

· 이사회,경영진의 책임(내부통제 촉진을 위한 적절한 조직 문화 구축 / 내부통제의 효과를 지속적으로 모니터링)

※실무적인 모니터링은 보안 관리자에게 위임 가능하지만 일차적인(법적인) 책임은 위임할 수 없음

​

2. 보안을 위한 정보 분류

​

- 정보 분류 : 정보보안의 가장 기본적인 과정인 정보자산 식별 과정의 구체적인 사례

​

# 정보 보안 및 분류와 관련된 지침 및 권고

- 국제표준기구(ISO)

ISO 17799 : 정보보안 관리의 통제 및 관리를 위한 실무 규격

- IT Governance institute

COBIT : Control Objectives for Information and related Technology

비즈니스 지향적인 IT 통제에 관한 프레임워크

2006년 4.0까지 번역 출판팀 (필독서)

​

# 목적

- 기밀성, 가용성, 무결성을 촉진

- 정보에 대한 위험을 줄임

​

# 효과

- 정보 자산에 대한 접근 통제 수준 정의

자원의 중요성이나 민감성에 대한 수준이나 등급을 부여, 등급별 보안 규칙을 수립

보안과 경영 목적을 연계시켜 보호의 미흡이나 과보호로 발생하는 위험과 비용을 줄여줌

단순한 등급 분류가 필요

부서의 관리자나 보안 운영자는 등급을 이용하여 자원에 대한 접근 여부를 결정

​

- 데이터의 등급은 IS의 핵심 자산으로 통제의 수단이 됨

정보의 소유자

허용 퍼미션

접근 수준

접근 권한을 결정하는 책임자

접근에 대한 승인 내용

​

# 등급

- 정부나 공공 (5가지 등급으로 분류)

 최고 기밀(Top Secret)

 기밀(Secret)

 비밀등급(Confidential)

 민감하나 분류되지 않음(Sensitive But unclassified : SBU)

 분류되지 않음(Unclassified)

​

- 민간 (4가지 등급으로 분류)

비밀 정보(Confidential)

개인 정보(Private)

민감 정보(Sensitive)

공개 정보(Public)

​

- 상업적인 분류 체계

기업 비밀

내부용

공개

# 기준

- 분류 기준

가치 : 정보 분류에 가장 먼저 사용되는 기준

기간 : 대부분의 정보는 시간이 지남에 따라 가치가 줄어들고 일반적인 정보 등급은 시간이 지남에 따라

자동으로 떨어지게 분류됨

​

# 역할

- 자산 소유자

기업의 임원이나 이사 또는 최고 경영자

자산에 대한 근본적인 책임을 가짐(법률적)

실무적인 관리는 관리자에게 위임 가능하나 일차적인 책임까지 위임 할 수는 없음

분류 등급과 라벨에 관한 결정

등급 완전성과 모니터링에 대한 책임

분류를 근간으로 한 접근 승인 책임을 가짐

​

- 관리자

승인된 분류 목록을 구현하고 관리

각 정보의 가용성 확보를 위한 실무적인 노력을 담당

​

- 사용자

다른 사용자의 데이터를 사용하는 사용자

정보 보호 정책을 유지하기 위한 의무사항을 가짐 (개방되거나 사적인 사용으로 인한 보안 침해를 예방해야함)

​

- 감사인

통제의 가치와 준거성, 효용성을 평가

​

# 보안 정책

​

- 조직이나 기업의 전략(비전, 장기 목표)에 부합하는 IS보안에 대한 문서화된 최고위 명세

 반드시 성취되어야함 (달성 가능성이 중요)

 정보보호를 위한 경영자의 방향과 지지를 제공 (전략)

 정보보안 활동을 위한 가이드라인

- 보안 구조를 세우는 첫번째 단계로 책임 한계와 책임 추적성을 제공

기업 내의 모든 조직에서 설립되고 실행되어야함

​

- 보안 정책

통제수준과 생산성에 균형이 중요

통제비용이 효과비용을 초과해서는 안 됨

사업요구와 일치하는 정보 보안 자원에 대한 보증을 제공

명백한 문서화된 보안 정책의 수립이 중요 

​

- 정보 보안 정책서의 내용

정보 보안의 정의, 범위, 목표, 중요성 등

경영 목적에 따라 정보 보안 원칙과 목표를 제시

위험 관리와 위험 평가를 포함한 통제들로 구성된 프레임워크

정보 보안 관리의 책임과 정의

이외 여러 가지 참고자료 (정보 시스템 구성도, 사용자의 동의서, ...)

보안 정책의 원칙과 표준, 법적인 준수 사항에 대한 설명

> 법적인 규제에 대한 준거성

> 계약상 요구에 대한 준거성

> 사업 연속성 관리

> 보안 정책 위반 시 벌칙과 행정 규제 내용

> 보안 교육, 훈련, 인식에 대한 계획과 수준

​

- 정보 보안 정책서 (정보보안 정책에 대해 문서화된 서류)

모든 직원과 열람이 허용된 외부 관계자들에게 배포되고 게시되어야함

경영자의 승인이 필수

ex) 계정 정책, 인증 정책, 접속 정책, 개발 정책, ...

정책 중에 기반이 되는 것은 acceptable user policy

​

# 유형

​

- 정책 고위 관리 명세 (Senior Management Statement of Policy)

가장 최고 레벨의 보안 명세

자원의 승인이나 표준, 가이드라인 등에 대한 허가 및 관리 관련 정책 문서

일반적인 형태의 보안 정책

​

- 규제(Regulatory)

법적인 규제나 요구 조건을 구현하기 위한 조직의 보안 정책

목적

> 표준이나 철차가 속해있는 산업 표준에 부합한다는 보증을 제공

> 기업 내부에 산업 정책이 수용되었다는 확신을 제공

​

- 권고(Advisory)

반드시 강제적인 조항은 아니지만 강하게 권고되는 일련의 정책

많은 예외나 레벨를 가질 수 있으나 이에 따를 경우 대부분 법적인 보호를 받게 됨

전자 상거래에 대한 인증서 사용

​

- 정보제공(Informative)

단순히 그것을 읽는 사람에게 고지하기 위한 정책

공개적으로 알려져도 된다는 뜻은 아니지만 기성의 침해를 받지 않고도 외부조직에 배포 해도 될만한

일반적인 사항이라는 뜻

ex) WOW 각 계정은 보안 카드, 모바일 인증기, 보안 토큰을 등록해서 사용해야 됩니다.

​

# 표준, 가이드라인, 절차

​

- 표준 ( 정책의 이념을 구현하기 위해 관련 정책에서 도출된 상세화된 문서)

중간 관리자가 정책에 근거해 작성

경영의 주안점과 환경에 따라 변형됨

정책보다 빈번히 검토되고 갱신되는 것이 필수

대상자들이 철저히 주시하도록 저장, 배포, 관리에 자동화된 매커니즘이 필수

강제적인 규정으로 보안 기술이나 제품을 규정함

각 사용자의 I&A 정보는 1년 단위로 무결성과 기성이 재 검토되어야함

​

- 가이드라인 (표준과 비슷하지만 강제적이지 않고 유연함)

ISO17799, ITSEC, …

I&A의 암호 표준은 IDEA와 MD5를 각각 기문서 저장과 패스워드 저장에 사용함

// ​국가가 인증한 협회에서 만들고 기업에서 가이드 라인을 따라 작성하지않기 위해서는 자신들이 입증해야 되기때문에

보통 가이드라인을 따른다.

- 절차

특정한 업무를 수행하기 위한 구체적 행동 요령이나 방법

정책이나 표준, 가이드라인이 수행되기 위한 자세한 단계를 기술한 것

시스템 침해 사고 대응 방법, 보안 구역 침투 대응 절차

 // 가이드라인을 적용하는 프로그램 - 보통 가이드라인에 정해져있음
​

- Baseline

표준과 비슷함

보안 등급을 위한 최소한의 사항을 의미하며 이를 통해 표준이 개발 될 수 있음

개발부의 S/W는 최소한 B1 Level 이상을 가져야함

​

# 역할과 책임

​

- 이사회 / 최고경영진

법적인 수준의 정보보안 거버넌스의 제정과 이에 대한 활동, 모니터링에 대한 책임

정보보안 관리를 위한 책임 할당과 위임

본질적인 보안 요구 사항에 대한 보증

정보 보안 정책을 승인하고 전략적 보안 목적을 정의

​

- 경영자 (관리자)

정보 보안 거버넌스를 이행

​

- 정보 보안 책임자

정보 보안 정책에 대한 실무적 개발과 보증을 담당

보안 자원에 대한 모니터릴 실무를 담당

C-Level (CEO, CIO, CSO, CCO, ....)

// E(executive), F(finance), C(compliance), M(marketing), ...

​

- 데이터 소유자

데이터의 민감도나 분류 레벨에 대한 책임을 가짐

데이터의 무결성과 정확성을 유지하는 책임을 가짐

무결성 보장 (자신이 허가된 데이터에 대해서만 수정 가능, 인가된 방법으로만 조작되어야함)

​

- 사용자

보안 정책을 위해 작성된 절차를 따르는 책임을 가짐

​

4. 위험 관리

​

- 위험 관리(Risk management)의 목적

경영 목적을 달성하기 위해 정보 자원에 대한 취약성과 위협을 식별하고 위험을 수용 가능한 수준으로

감소시키기 위한 대응방안을 결정

- 위험에 대한 조직의 선택

회피(avoid) : 프로세스 자체를 이행하지 않음

완화(reduction, mitigation) : 통제를 정의하고 구현

전가(transference) : 보험등의 방법으로 위험을 전가 (남아있는 잔여위험을 전가하는 것)

수용(acceptance) : 공식적으로 위험의 존재를 인정하고 모니터함 (통제 비용이 효익을 초과하는 경우는

일반적이지않음)

제거(eliminate) : 위험의 원인을 제거하고 방지

// 위험을 무시하고 거부하는 것은 매우 위험함

​

# 위험 관리 프로세스

1) 정보 자산 식별과 가치 산정

2) 위험 분석 (RA : Risk Analysis)

3) 세이프가드 (Safeguard) : 통제 및 대응책 수립

​

- 정보자산 식별

자산의 예 : H/W, S/W, 데이터, 인력, 문서, ...

자산에는 전통적인 사업자산(건물, 재고, ...)뿐 아니라 현금, 영업권, 이미지 등의 무형의 자산도 포함

​

- 자산 가치가 필요한 이유

비용대 효과를 분석하기위해

적절한 세이프가드 결정을 위해

의무사항을 충족하고 법적인 책임을 한계짓는데 필요함

​

- 자산 가치를 결정하는 요소

자산을 구입하고 유지 보수하는데 필요한 초기 비용 및 지속적인 비용

운영, 연구, 개발이나 사업 모델의 생존 가능성에 대한 자산 가치

외부에 형성된 자산 가치, 영업 비밀, 특허, 저작권 등 지적 자산에 대한 추정 가치

​

- 위험분석

정보 자산의 위협, 취약성, 발생 가능성 등을 평가하는것

일반적인 위협 : 오류, 사기, 절도, 고장

취약성 : 위협이 해를 끼치는데 활용할 수 있는 정보 자산의 특징

// 고유 위험의 일부, 지식의 부족, 보안 기능 부족, 검증되지 않은 기술, 보안 없는 통신수단, ....

위협과 취약성을 통해 위험을 분석

​

- 위험의 측정

노출요소 (EF : Exposure Factor)

- 발생한 위협이 자산에 끼칠 수 있는 손실 정도 (% 로 표시)

단일 손실 예상 (SLE : Single Loss Expectancy)

- 단일 위협으로 부터 발생한 손실 액수
- 자산 가치 * EF = SLE
- 기업의 영향 평가에서는 재해 평가를 설명하기 위해

이 것 하나만 사용되기도 함

연간 발생 빈도 (ARO : Annual Rate of Occurrence)

- 연간 예상되는 위협의 발생 빈도
- 100년에 한번 일어날 가능성 있는 사건의 ARO – 0.01
- 100년에 한번 일어날 ARO 사건이 100년 후에 일어난다는 보장은 없음

연간 손실 예상 (ALE : Annual Loss Expectancy)

- 위협으로 발생하는 조직의 년간 예상 금전적 손실
- SLE x ARO
- 정량 분석 기법 부분 참조
- ALE를 이용하는 경우 특정 통화나 자산의 중요성, 기간 등에 관한 좀 더 알기 쉬운 장부를 만들 수 있음

ex) ALE가 10만 달러라면 2만 5천 달러짜리 방화벽을 구입하여 가동하는 것은 이득이지만, 40만 달러짜리 시스템을 구입하는것은 낭비임
모니터링 체제 내에서도 통합되도록 노력해야 하고 이를 통해 보안 프로세스의 효과성이나 효율성을 개선할 수 있음

- 세이프가드 (통제)

 취약성을 위험 허용 수준까지 감소시키기 위한 통제 수립

 행위, 장치, 절차, 기법 등이 포함됨

 통제의 강도는 효과성 측면에서 측정되어야함

 통제의 강도를 평가할 때 고려할 요소 (통제 구분과 강도)

 세이프가드의 가치

 : 원래 ALE – (세이프가드 이후 ALE + 년간 세이프가드 운영 비용) = 세이프가드의 가치

   ALE : 10억, 세이프가드 이후 ALE : 1억, 세이프가드 년간 운영비용 : 1억, 세이프가드 가치 : 8억

   통제를 적절히 구현하지 않아서 발생한 실제 위협으로 인한 손해비용이 세이프가드 구현비용보다 크다면

기업은 법적인 책임을 질 수 있음 (우리나라와는 무관함)

​

- 위험 관리 수준

운영 수준에서의 고려사항

- IT 시스템과 지원 인프라의 비효율성
- 시스템 통제의 우회
- 핵심자원 손실 및 가용성
- 법규 미준수

프로젝트 수준에서의 고려사항

- 프로젝트 복잡성
- 목표 미달성 시 위험성

전략적 수준

- 비즈니스 전략과 IT 역량의 연계성
- 경쟁 업체와의 IT 역량
- 기술 변화로 인한 위협

// 새로운 프로젝트로 제공되는 IT 인프라와 시스템은 새로운 운영 상의 위험을 발생하는 등 조직의 모든 구성은

상호간의 위험을 초래하는 시발자가 될 수 있음

// 위험관리 프로세스는 위협과 대책사이에 비용적인 균형이 중요

# 위험 분석 기법

정성적 분석 기법
정략적 분석 기법

- 위험 가능성과 영향에 단어를 이용하는 방법
- 높 / 낮음 등의 결과치를 도출하는 방법 (등급으로도 표현됨)
- 분석 실무
델파이(Delphi) 기법
브레인스토밍(Brainstorming)
포커스 그룹에 대한 인터뷰, 설문, 점검표
일대일 미팅이나 면접

- IS 구성과 손실에 대한 화폐적 가치를 부여하는것
- 다량의 정보와 복잡한 계산이 필요,자동화될 수 있음
- 위험의 가능성과 영향을 수치로 환산하는 방법
- ALE

# 정량적 위험 분석 과정

​

1) 자산 가치 결정

2) 잠재 손실 추정 (Estimate Potential Loss)

- EF와 SLE를 이용하여 금전적 가치를 계산

3) 잠재 위협 분석

- 위협과 취약성에 대한 ARO 계산

4) ALE 결정

​

5. 보안 훈련과 교육

​

# 보안 체인에서 가장 취약한 고리 (사람)

- 교육의 부재

- 보안에 대한 인식부재

- 사회공학적인 공격에 대상 (뚜렷한 방지법이 없음)

​

# 보안 인식교육의 세가지 중심

- 인식

- 훈련

- 교육

 
- 보안 통제의 중요성에 대한 직원들의 일반적이고 집단적인 의식
- 보안이 기업의 생존력에 어떠한 영향을 끼치는지, 컴퓨터 자원에 대한 이해가 있을 때 보안의식을 가진다고 말할 수 있음

- 보안 인식 장점
통제 효율성의 증가
자원의 오남용 감소
비허가된 돌발 행동 감소

- 기업 내 채택된 정책 표준 가이드라인에 대한 철저한 교육 필요
- 민감하거나 중요한 데이터를 취급하는 직원에게 중요
- 교육은 보안의 이유에 대해서 기업의 보안상의 환경을 이해시키는것이 목적
- 훈련은 보안상의 여러 사건에 대해서 대처능력을 갖도록 하는것으로 기술이 숙련되도록 시간과 노력을 제공하는 것

# 효과 측정

- 인터뷰, 설문

- 보안 위반 건수의 측정

- 준거성 및 실중 Test

Transport Layer

목차

1. Transport Layer 서비스 개요

2. 다중화와 역다중화

3. Connectionless transport :UDP

4. 신뢰적 data 전송의 원리

목적 

• Transport layer의 배경과 원 리 이해 

- multiplexing/demultiplexing 

- 신뢰적인 data transfer

- flow control

- congestion control

• 인터넷 transport layer 이해

- UDP : connectionless transport

- TCP : connection oriented transport

- TCP congestion control

TCP-UDP를 선택 하는것은 어플리케이션 개발자가 선택하는것이다.

1. Transport Layer 서비스 개요

서로 다른 host간에 작동하는 app process간에 논리적인 통신을 transport layer가 제공한다.

transport protocol은 end system에서 작동한다

 송신측 : app message를 segment로 변환 network layer에 전달한다.

             app(message) 소켓-> tcp(segment) -> ip

 수신측 : network layer에서 전달받은 segment로 부터 message를 추출 app layer에 전달한다.

             ip(segment) -> tcp(message) -> app

네트워크에서 이벤트 : 가만히 있는데 일어나는것

                   액션 : 이벤트가 생겼을때 대응 하는것.

network layer : host 간에 logical communication 을 제공

transport layer : process 간에 logical communication을 제공

    - Network layer가 제공하지 못하는 신뢰적인 전송을 제공 할 수 있다.

    - 그러나 network layer의 제약을 받는 경우도 있다 

      : 지연이나 대역폭에 대한 보장은 불가능하다. ( 패킷망이기때문에)

2. 다중화와 역다중화

Multiplexting 

Socket들로 부터 data를 모으고 각 data의 header정보로 캡슐화 하고 하위 layer로 전달하는 작업

-각 socket은 유일한 식별자를 갖는 다. 

-각 segement는 segment가 전달 될 적절한 socket을 가르키는 특별 한 field를 갖는다. 

이들 특별한 field는 source와 destination의 port 번호이다.

(0~1023 까지의 port를 wellknow port라고 한다.: RFC 1700 에 명시되어있다.)

- 포트 넘버는 0~ 65534 까지 가능하다.

UDP

- TCP 보다 서버에서 적은 리소스를 갖는다는 장점이 있다.

- 세션정보를 저장하지 않고 보낸다.

UDP segment 전달

- Segment의 dest port #를 검사 한다.

- Segment를 적절한 socket으로 전달한다.

- 두개의 UDP segment들이 출발지 IP나 port # 가 둘다 다르거나 둘 중 하나가 다르더라도 동일한 목적 지 IP와 port #를 갖는다면 동일 한 socket을 통해 process에 전 달된다.

TCP

- 서버의 프로세서들은 같은 아이피와 같은 포트넘버를 쓰지만, 목적지의 아이피와 포트넘버를 확인해 서로를 구별한다.

- TCP socket은 4개의 요소로 구성된 집합에 의해 식별된다.

  # source IP

  # source port 

  # dest IP

  # dest port

- Host에 segment가 도착하면 host는 적절한 socket으로 segment를 전달하기 위해 네개의 값을 모두 사용한다.

- Server host는 동시에 여러개의 TCP socket을 지원한다

  # 각 socket들은 앞에본 4개의 tuple에 의해 구별된다.

  # tcp는 계속적인 접속을위해 persistent로 구성되있다.

3. Connectionless transport :UDP

- UDP는 Transport layer에서 할 수 있는 최소한의 기능으로 동작한다.

APP가 거의 IP와 직접 통신하는 것이다.

mulx/demulx 기능만을 제공

- "best effort" (보장하지 않는다.)

손실가능

전송순서가 바뀔 가능 (경로가 여러개이기때문)

- connectionless

UDP sender와 receiver간에 handshaking하지 않는다.

각 UDP segment들은 서로 독립적으로 전달된다.

- UDP 를 이용하는 이유

연결설정이 없다. 

 # 예비동작 없이 전송함으로 설정에 따른 어떠한 지연도 없다.

 연결상태가 없다.

 # 연결상태 유지를 위한 변수가 없음으로 TCP 보다 많은 app을 수용할 수 있다.

 header가 작다

 # 8 byte (TCP : 20 byte)

 혼잡제어 하지 않는다.

 # 네트워크의 혼잡도를 고려하지 않음으로 app가 요구하는 전송을 전송량을 제한없이 전송한다.(SNMP)

 # 혼잡제어 : 각각의 컴퓨터들에게 네트워크에 보내는 전송량을 줄인다.

checksum - sum 과 더해보면 1이 나오고, 이방법을 사용해서 패킷이 깨졌는지 안깨졌는지 확인한다.

4. 신뢰적 data 전송의 원리

어플리케이션은 TCP에게 신뢰적 data 전송(등기우편) - UDP는 비신뢰적 data전송을 받는다.

점점 복잡해지는 하위채널을 고려 신뢰적 data 전송 protocol의 송신자 측면과 수신자 측면을 전개

단 방향 전송만을 고려 : 이 경우 에도 제어 패킷은 양방향 전송이 표현

1) rdt 1.0 : 신뢰적인 채널에서 rdt

하위 채널이 완전히 신뢰적인 경우

# no bit error - 패킷이 망가지는일이 없음

# no loss of packets - 패킷의 손실이 없음

FSM

# 송신측은 상위 layer의 data를 받아 하위 채널로 packet을 전달한다.

# 수신측은 하위 채널에서 packet을 수신하고 data를 상위 layer로 전달한다.

Sender - 어플리케이션에서 rdt_send 로 data를 전송받은 이벤트가 생긴 TCP는 data를 가지고 패킷을 만들고 ip에게 패킷을 보내는 액션 취한다. 

Receiver - IP에게서 패킷을 받은 이벤트가 생긴 TCP는 패킷에서 data를 추출하고 어플리케이션에게 data를 보내는 액션을 취한다.  

2) rdt 2.0 

 bit error이 가능한 채널에서 rdt : packet의 손실이나 순서는 보장

    - checksum을 통해 bit error감지

수신측의 feedback 필요 

    - acknowledgement (ACKs) : receiver 가 sender 에게 pkt를 잘 받았다는 응답 

    - negative acknowledgement (NAKs)  : receiver 가 sender 에게 pkt에 error또는 장애가 있다는 응답

    - sender는 NAK인 경우 pkt 재전송

rdt 2.0에 부가적으로 필요한 protocol (rdt 1.0에 비해서) 

    - error 검출

    - receiver feedback : 제어 msg (ACK,NAK)

    - 재전송

Sender - 어플리케이션에서 rdt_send 로 data를 전송받은 이벤트가 생긴 TCP는 data를 가지고 패킷을 만들어보내고 이렇게되면 ACK 나 NAK 를 받을때 까지 대기한다. NAK 를받으면 다시 재전송하고 ACK를 받으면 ip에게 패킷을 보내는 액션 취한다.

Receiver - IP에게서 패킷을 받은 이벤트가 생긴 TCP는 패킷에서 data를 추출하고 checksum을 통해 패킷이 훼손되었는지 확인하고 패킷이 훼손되었으면 Sender에게 NAK를 잘받았으면 ACK를 보낸후 어플리케이션에게 data를 보내는 액션을 취한다.  

3) rdt 2.1 

ACK/NAK가 훼손되는 경우는 생각되었지 않아있다.

ACK가 훼손되었으면 재전송되어 패킷이 중복될 수 있다.

중복을 제어하기 위해 Sender는 패킷에 sequence number를 추가한다.

3way-handshake 때 0번부터 보낸다는걸 서로 확인한다.

1. 이벤트

- 송신자는 어플리케이션으로부터 data를 받았다.

1. 액션

- 송신자는 0번 시퀀스넘버, data, checksum을 담은 패킷을 만들어 보낸다.

2. 이벤트

- 수신자는 송신자측으로부터 0번 시퀀스넘버를가진 패킷을 받았다.

2. 액션 

(1) 수신자는 checksum으로 data가 깨졌는지 확인한다.

(2) 확인한 data가 안깨졌으면 ACK , 깨졌으면 NAK를 checksum을 포함한 패킷으로 송신자에게 보낸다.

(3) 시퀀스번호가 0번인지 확인하고 시퀀스 번호가 0번인지 맞으면 하위계층으로보내고 1번이라면 패킷을 버리고 다시받는다.

3. 이벤트

- 송신자는 수신자에게 ACK나 NAK를 받았다.

3. 액션

- NAK 를받은 송신자는 재전송하고, ACK를 받았으면 시퀀스 넘버 1번을 가진 패킷을 만들어 보낸다. 

4. 이벤트 

- 수신자는  송신자측으로부터 0번 시퀀스넘버를가진 패킷을 받았다.

4. 액션

(1) 수신자는 checksum으로 data가 깨졌는지 확인한다.

(2) 확인한 data가 안깨졌으면 ACK , 깨졌으면 NAK를 checksum을 포함한 패킷으로 송신자에게 보낸다.

(3) 시퀀스번호가 0번인지 확인하고 시퀀스 번호가 1번인지 맞으면 하위계층으로 보내고 0번이라면 패킷을 버리고 다시받는다.

4) rdt 2.2

누적 ACK를 이용한 FSM

rdt 2.1과의 차이는 ACKs만을 사용하는 것이다. 

- receiver는 NAK 대신 최근에 정확히 수신된 pkt에 대한 ACK를 전달한다. 

- Sender는 중복된 ACK를 통해서 중복된 ACK pkt이후에 전송한 pkt이 정상적으로 수신되지 못했음을 안다. 

3way-handshake 때 0번부터 보낸다는걸 서로 확인한다.

1. 이벤트

- 송신자는 어플리케이션 계층으로 부터 data를 전송 받았다.

1. 액션

- 송신자는 시퀀스 넘버가 0,data,checksum을 포함한 패킷을 만들고 전송하였다.

2. 이벤트

- 0번 시퀀스넘버를 가진 패킷을 받기로한 수신자는 패킷을 수신받았다.

2. 액션

(1) 0번 시퀀스 넘버를 가진 패킷이 깨지지 않고 들어왔다면 0번 패킷을 받았다는 ACK를 checksum을 포함해 보낸다.

(2) 0번 시퀀스 넘버를 가진 패킷이 깨지고 들어왔다면 1번 패킷을 받았다는 ACK를 보낸다.

3. 이벤트

(1) 송신자는 0번 패킷을 잘받았다는 ACK 를 받았다. 

(2) 송신자는 1번 패킷을 잘받았다는 ACK 를 받았다. 

3. 액션

(1) - (1) 이벤트 경우 checksum 으로 확인후 맞으면 1번 패킷을 보낸다.

(2) - (2) 이벤트 경우 패킷을 버리고 다시 패킷을 재전송 한다.

(3) - (2) 액션 이후 0번 패킷을 받았다는 ACK가 올때까지 계속 재전송하고 0번이 왔을때 1번패킷을 보낸다.

4. 이벤트 

- 1번 시퀀스 넘버를 가진 패킷을 받기로한 수신자는 패킷을 수신받았다.

4. 액션

(1) 1번 시퀀스 넘버를 가진 패킷이 깨지지 않고 들어왔다면 1번 패킷을 받았다는 ACK를 checksum을 포함해 보낸다.

(2) 1번 시퀀스 넘버를 가진 패킷이 깨지고 들어왔다면 0번 패킷을 받았다는 ACK를 보낸다.

5. 이벤트

(1) 송신자는 1번 패킷을 잘받았다는 ACK 를 받았다. 

(2) 송신자는 0번 패킷을 잘받았다는 ACK 를 받았다. 

5. 액션

(1) - (1) 이벤트 경우 checksum 으로 확인후 맞으면 패킷이 모두 정상 전달 되었음을 확인할 수 있다.

(2) - (2) 이벤트 경우 패킷을 버리고 다시 패킷을 재전송 한다.

(3) - (2) 액션 이후 0번 패킷을 받았다는 ACK가 올때까지 계속 재전송하고 1번이 왔을때 패킷이 모두 정상 전달 되었음을 확인한다.

5) rdt 3.0 

타임아웃이 있을때만 재전송한다.

RTT보다 살짝 더 기달린다.