haju__log

1. 위험 수용(risk acceptance) : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것. 2. 정보보호 관리는 기업과 조직의 비즈니스 목적을 충족시키면서 수용가능한 수준으로 위험을 낮추는 것 잔류위험이 존재할 경우 완전히 제거는 할 수 없음 3. 위험 회피(risk avoidance) : 자산 매각이나 설계 변경 등 다른 대안을 선택하여 해당 위험이 실현되지 않도록 함 4. 위험관리 순서 : 자산식별 -> 위험 분석 -> 취약점 평가 -> 영향 평가 -> 대책 선정 -> 권고안 작성 5. ㄱ 자산 식별 및 평가 단계 : 조직의 업무와 연관된 정보, 정보시스템을 포함한 정보자산을 식별하고, 해당 자산의 보안성이 상실되었을 때의 결과가 조직에 미칠 수 있는 영향을 고려하여 가치를 평가함 ..

1. 생체 인증 기법은 지식 기반이나 소유 기반의 인증 기법에 비해 일반적으로 인식 오류 발생 가능성이 높다. 2. 커버로스(Kerberos) : 인증 프로토콜이며 동시에 KDC(Key Distribution Center)이다. 클라이언트와 서버 응용 프로그램을 위해 MIT가 설계한 인증 프로토콜 3. 커버로스는 대칭키 암호화를 이용하고 End-to-End 보안을 제공한다. 네트워크를 통해 패스워드를 전송하지 않도록 설계됨 (대부분 공유된 비밀키를 통해 이루어짐) 4. ID/패스워드는 Type I 기법으로 가장 경제적이나 가장 취약한 식별방법 5. OTP는 유효 기간 없이, 매 세션마다 서로 상이한 패스워드를 사용한다. 6. 생체인식에는 지문, 음성이 사용될 수 있다. But 신분증은 소유에 기반한 Ty..

1. 접근(Access)이란 주체와 객체 간의 정보의 흐름 주체는 능동적인 성질을 가지고 (정보의 사용을 위한 요청자의 역할을 수행하기 때문) 객체는 수동적인 성질을 가진다. (정보의 사용을 제공하기 때문) 2. 책임성(Accountability) 은 제재, 부인방지, 오류제한, 침입탐지 및 방지, 사후처리 등을 지원하는 것을 말한다. 3. 어떤 회사나 조직의 민감한 정보들이 권한 없는 사용자들에 의해 외부로 누출, 변조, 파괴될 위험성을 차단하기 위한 보안 기술 => 접근 통제 == 접근 제어 * 접근 제어는 사용자, 프로그램, 프로세서, 시스템 등을 허가된 주체만이 정보 시스템 자원에 접근할 수 있도록 제한하는 것 4. 접근 통제는 인증과 인가라는 두 부분으로 나누어진다. 인증(Authenticati..

1. 일반적으로 (세부적인) 기술적 정보보호 대책은 관리적 보호대책에 비해 나중에 구현된다. * 관리적 요소는 기술, 물리, 관리 개념 중 가장 상위 개념 2. 정보보호 정책은 주기적으로 변경되어야 함 3. 정책을 이행할 때 가장 어려운 점 = 경영진의 지원 결여, 예산부족, 관리자의 이해부족, 정책 집행의 무관심, 형식상의 결재 4. 정보보호 교육은 전직원을 대상으로 실시 5. ISO/IEC 27014 : 정보보호 거버넌스에 대한 개념과 원칙을 제공 == 정보보호 거버넌스에 대한 표준