정보보호 3대목표 CIA
기밀성 (Confidentiality)
자산이 인가된 당사자에 의해서만 접근이 가능해야 한다.
권한이 있는 사람만 접근할 수 있어야 한다는 뜻.
방법: 암호화, 접근제어, 방화벽
위협 요소: 스누핑, 트래픽 분석, 도청, 사회공학
*스누핑(Snooping): 데이터에 대한 비인가 접근 또는 탈취. 네트워크상에 떠도는 중요 정보를 몰래 획득하는 행위
*트래픽 분석(Traffic Analysis): 갈취된 데이터를 분석하는 행위
*사회공학: 정보 접근 권한이 있는 담당자와 신뢰를 쌓고 그들의 약점과 도움을 이용하는 행위
무결성 (Intergrity)
자산이 인가된 당사자에 의해, 인가된 방법으로만 변경이 가능해야 한다.
권한을 가진 사람에 의해 인가된 방법으로만 정보를 변경할 수 있다.
변경(Modification), 가장(Masquerading), 재연(재전송, Replaying), 부인(Repudiation) 등으로부터 데이터를 보호
*가장: 시스템에 접근하기 위해 허가받은 사용자로 위장하는 것
*재연: 획득한 데이터 단위를 보관하고 있다가 시간이 지난 후에 재전송함으로써 인가되지 않은 사항에 접근하는 행위
*부인: 메시지의 송수신자가 송수신 사실을 부인하는 행위
방법: 전자서명, 백신, 해시함수
위협 요소: 트로이 목마, 바이러스
가용성 (Availability)
자산에 대해 적절한 시간에 접근 가능해야 한다.
사용자가 원할 때 언제 어디서든 자원을 사용할 수 있어야 한다.
DoS 공격으로 인해 서버가 마비되는 경우는 가용성이 훼손된 것.
방법: 백업, 클러스터링
위협 요소: DoS/DDoS, EMP, 물리적 파괴
DoS(서비스 거부 공격): 대량의 패킷 또는 요청을 생성하여 대상 시스템을 마비시키는 행위
EMP(ElectroMagnetic Pulse): 전자파 펄스로 전자장비를 무력화시키는 공격
'보안 지식' 카테고리의 다른 글
| [FTP] FTP 동작방식 - Active, Passive mode와 보안 취약점 (0) | 2023.07.12 |
|---|---|
| 보안 공격 기법, Passive Attack과 Active Attack (0) | 2023.07.11 |
| SQL Injection 기본 지식 (0) | 2021.08.12 |
| CTF 사이트 모음 (0) | 2021.07.24 |
| 인코딩/디코딩, 해시 복호화, 코드정리, 컴파일러 사이트 모음 (0) | 2021.07.16 |