[정보보안 일반] 정보보호관리의 주요 개념, NIST의 정보보호 핵심 5원칙
NIST의 컴퓨터 보안 정의
정보시스템 자원(하드웨어, 소프트웨어, 펌웨어, 정보/데이터, 통신)의 무결성, 가용성, 기밀성을 보전하고자 하는 목표 달성을 위해 자동화된 정보시스템에 제공하는 보호(컴퓨터 보안에 있어서 가장 핵심이 되는 3가지 주요 목표 제시)
NIST의 정보보호 핵심 5원칙
① 기밀성(Confidentiality) : 오직 인가된 사람만이 알 필요성에 근거하여 시스템에 접근해야 한다
② 무결성(Integrity) : 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 하는 성질
③ 가용성(Availability) : 자원이 필요할 때 지체없이 원하는 객체 또는 자원에 접근하여 사용할 수 있는 성질
④ 책임추적성(Accountability) : 행위나 이벤트의 발생을 증명하여 나중에 그런 행위나 이벤트를 부인할 수 없도록 하는 것
⑤ 보증(Assurance) : 임의 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는데 사용되는 성질
부인방지(부인봉쇄)
메시지의 송수신이나 교환 후, 또는 통신이나 처리가 실행된 후에 그 사실을 사후에 증명함으로써 사실 부인을 방지하는 보안 기술
기술적 보호대책
접근통제, 암호기술, 백업 체재 등
물리적 보호대책
화재, 수해, 지진, 태풍 등
관리적 보호대책
법, 제도, 규정, 교육 등
정보보호관리
기업과 조직의 비즈니스 목적을 충족시키면서 수용 가능한 수준으로 위험을 낮추는 것
위험
제거 대상이 아닌 관리대상, 식별되거나 감소될 수 있지만 제거될 수 는 없음
공격
지적인 위협을 수반하는 시스템 보안에 대한 침법을 뜻함, 지적인 위협이란 보안서비스를 교모히 피하거나 시스템 보안 정책을 위반하는 정교한 시도
소극적 공격(수동적 공격, Passive attack)
파일이나 메시지를 불법적으로 읽거나, 트래픽을 분석하는 것이 포함
적극적 공격(능동적 공격, Active attack)
파일이나 메시지를 수정하거나, 서비스 거부 공격 등이 포함된다