Information system

Information security(1) - security & privacy & terminology

yudam 2022. 5. 26. 17:37

Security

  • confidnetiality - 시스템이나 데이터에 접근 권한을 가진 사람만 접근 가능하다.
  • integrity - 데이터는 함부로 바뀌지 않는다. 데이터가 온전히 보존된다.
  • availability - 원할 때 시스템이나 데이터를 사용가능하다.

위 세 조건(기밀성,무결성,사용가능성)을 만족할 때 시스템이 secure 하다고 볼 수 있다.

 

reliability(신뢰성)

security는 reliability 하에 이용된다.

  • 개인정보를 confidential 하게 유지
  • 접근권한이 있는 사람이 리소스에 접근하거나 수정
  • 정확하고 의미있는 결과를 보여줌
  • (원할 때) 정확하고 의미있는 결과를 보여줌

 

Privacy

프라이버시에 관한 많은 정의가 있다. 그 중 useful한 정의 : informational self-determination (정보에 대한 통제권을 사용자가 얻는다는 것을 의미)

  • Cpntrol의 의미
    • 누가 볼 수 있는지 (읽기 권한)
    • 누가 사용할 수 있는지 (편집 권한)
    • 어디에 어떤 것을 활용할 수 있는지
    • 권한을 부여하는 권한

Security vs privacy

  • 가끔 security나 privacy를 서로 대체하기도 한다. 우리는 한 쪽을 얻기 위해 다른 쪽을 포기해야 하는가?

 

Adversaries

  • 아마추어
  • 크래커
  • 조직된 범죄
  • 정부의 cyber warriors
  • 테러리스트
    • 오늘날 누가 제일 위험한가? - 아마추어일지도 모른다.... 그들은 예측할 수 없다.. feat 조선일보 중학생한테 다털렸죠? ㅋㅋ

어떻게 secure을 만들 수 있을까?

  • Principle of Easiest Penetration(가장 쉬운 침투)
    • 공격 시스템은 가장 약한 부분보다 강할 것이다.
    • Attacker는 어떤 부분이든 그에게 가장 쉽고 너에게 가장 불편한 부분으로 공격할 것이다. — secure system을 위해 attacker처럼 생각할 필요가 있다..
  • Principle of Adequate Protection
    • Security는 경제다..
    • $1000의 손해를 방지하기 위해 $100,000의 비용을 들이지 말라

 

Terminology

  • asset (자산) : 보호해야 하는 것
    • hardware
    • software
    • data
  • vulnerabilities(취약점) : loss & harm의 원인이 됨. 시스템에서 약한 부분
  • treats(위협) : loss & harm하는 것
    • interception (가로채기)
    • interruption (발신 금지)
    • modification (수정해서 전달)
    • fabrication (친구인척하기)
    • 시스템을 디자인할 때, treat model을 규정하는 게 필요.
  • attack(공격) : vulnerability를 만들어 treat을 가능하도록 만드는 행위
  • control : vulnerability를 지우거나 줄임
    • 취약점을 조정하고 attack을 예방하고 treat를 막을 수 있음.
    • 즉, 우리의 goal은 control vulnerabilities

 

 

Methods of defense

  • treat(위협)에 대응하는 법
    • prevent it : 걍 예방 - 하지만 정말 완벽하게 예방하는 게 가능할까?
    • deter it : attack이 어렵거나 비싸게 만들기 (보호막 강화) - 차를 안전주차시설에 보관
    • deflect it : attack하기에 덜 매력적이게 만들기 (숨기) - 도난 시 알람이 울린다는 스티커 부착
    • detect it : attack이 발생했음을 알리기 (바이러스 알리미) - 도난 알람
    • recover from it : attack의 효과를 줄이기 (백업 등) - 보험

software control

  • 비밀번호 변경
  • os 분리
  • 바이러스 스캐너 사용
  • 오리지날 소스코드를 강화하도록 개발
  • 방화벽 구동

hardware control

  • 하드웨어 자체는 스스로를 보호할 수 없음. 그런데 전체 시스템을 보호하기 위해 분리된 하드웨어를 사용할 수 있음
  • 지문인식기
  • 스마트 토큰
  • 방화벽
  • 침입 탐지 시스템

physical control

  • 물리적으로 보호하는 방법
  • 콘솔, 저장장치 등에 접근
  • 잠그기
  • 가드하기
  • 오프라인 백업

policies and procedure

  • non- technical mean
  • 비밀번호 주기적으로 변경
  • best security practice 트레이닝

 

 

 

Uploaded by Notion2Tistory v1.1.0

* 출처 한양대학교 원영준 교수님 2022-1 information security 강의 자료 정리

'Information system' 카테고리의 다른 글

Information security(3) - security control  (0) 2022.05.26
Information security(2) - flaws & malware  (0) 2022.05.26
ERP system - CH5  (0) 2022.04.25
ERP system - CH4  (0) 2022.04.25
ERP system - CH3  (0) 2022.04.25

'Information system'의 다른글

  • 현재글Information security(1) - security & privacy & terminology

관련글

티스토리툴바