CyberPlatform Security #1

CyberPlatForm Security

---

1. CyberPlatform_Basic_1

---

Platform Security 란 : 컴퓨터 보안 + 인터넷 보안

• 컴퓨터 보안 : 데이터를 보호하고 공격자를 방해하기 위해 설계된 도구들의 집합

• 인터넷 보안 : 정보 전송에 관여하는 보안 위반을 탐지, 차단 그리고 방어하는 기능들의 구성

Computer Security의 목표

• Confidentiality(기밀성) : 인가된 사용자만이 데이터에 접근할 수 있다.

• Integrity(무결성) : 인가된 사용자만이 데이터를 수정할 수 있다.

• Availability(가용성) : 인가된 사용자만이 서비스를 사용할 수 있다.

추가 개념

• Authenticity(인증) : 서비스에 대한 유효성이 신뢰성 있는 Source로부터 온 것인지 또는 사용자가 제시한 것이 맞는지 확인 및 신뢰를 보장해 주는 것.

• Accountability(책임추적성) : 개체의 행동을 유일하게 추적하여 찾아낼 수 있게 하는것.

OSI Security Architecture

• 보안 공격(Security Attack)

• 기관이 소유한 보안 정보에 손상을 입히는 모든 행위

• ex) 주로 보안 3요소 (CIA)에 침해되는 모든 것이 해당된다.

• 보안 메커니즘(Security Mechanism)

• 보안공격에 대한 탐지, 방어, 복구를 수행하는 계획된 절차, 장비

• 보안 서비스(Security Service)

• 조직의 정보 전송, 데이터 처리의 보안을 강화하는 절차 또는 통신

위협 vs 위험

• 위협 : 자산에 손실을 발생시키는 원인

• 위험 : 위협이 발생할 가능성

Security Attack

• Security Attack은 크게 Passive 공격과 Active 공격으로 분류되어진다.

• Passive Attack : 시스템으로 정보를 탈취하나 시스템의 자원에 영향을 주지 않는 공격 방법

• Active Attack : 시스템 자원 또는 동작에 영향을 미치는 공격 방법
  
  

  Security Services

  • Defined by X.800: 시스템 프로토콜 계층에서 데이터 전송 또는 시스템 보안이 적절히 보장되는 것을 제공하는 서비스

  • 인증(Authentication)

  • 접근 통제(Access Control)

  • 데이터 비밀성(Data Confidentiality)

  • 데이터 무결성(Data integrity)

  • 데이터 가용성(Availability service)

  • 부인 봉쇄(Non-Repudiation)
    
    

  식별 및 인증

  • 식별(Identification)

  • N에서 1을 추출하는 것, N에서 1을 제시하는 것

  • 인증(Authentication)

  • N에서 추출한 1이 진짜 1임을 확인 또는 증명하는 것

  • 식별/인증의 예시

  • ID : 전체 회원(N)에서 한 명의 회원(1)을 추출한다. -> 식별

  • password : 추출한 회원의 암호가 맞을 경우 해당 회원임을 인증한다. -> 인증

    접근 통제(Access Control)

    • 연결된 통신을 기반으로 응용프로그램 또는 호스트 시스템의 접근을 통제하거나 제한하는 기능

    • 기능 구현을 위해서 접근을 원하는 객체는 식별(Identification) 및 인증(Authentication)을 먼저 통과하며, 접근권한을 개별적으로 변경 가능해야 한다.

    • User-based, IP-based, role-based 등 다양한 접근통제 방법론이 존재함.

    데이터 기밀성(Data Confidentiality)

    • Passive 공격에 대한 전송데이터 보호

      • 모든 사용자 간 전송 데이터를 일정 기간 보호하는 것

      • 개별 메시지 보호 또는 메시지의 특정 필드 보호 포함

    • 네트워크 플로우 분석에 대한 보호

      • 공격자가 출발지, 목적지, 주파수 또는 통신장비에 종속적인 다른 트래픽 특성을 관찰하지 못하게 하는 것이 목표

    • 물리적인 보호 역시 데이터 비밀성의 일환으로 필요하다.

      • 물리적 태핑 공격은 Passive 공격의 최고 등급

    데이터 무결성(Data Integrity)

    • 메시지서 선택된 필드 또는 메시지 스트림 자체에 적용

    • 연결형 무결성 서비스는 메시지 스트림을 다루며, 메시지가 중복, 삽입, 수정, 재정렬, 재전송이 없는 전송상태로 수신되었음을 보증

    • 비연결 무결성 서비스는 일반적으로 개별적인 메시지의 변경 방지만을 제공

    가용성 서비스(Availability Service)

    • 가용성

      • 시스템의 속성이나 자원이 허가된 시스템 요소에 의하여 사용되거나 접근이 가능한 상태를 의미.

    • 가용성 서비스

      • 시스템이 가용성을 보장하도록 보호하는 것

      • 시스템 자원의 제어 및 적절한 통제는 가용성에 영향을 줄 수 있다.

      • 최근 빈번한 DDoS 공격으로 인하여 가용성에 대한 위협이 증가하고 있다.

    부인 봉쇄(Non - Repudiation)

    • 통신에 참여한 당사자들이 통신 사실을 부인하지 못하도록 막는 것.

    • 수신자는 메시지 송신자의 송신 여부 확인 가능

    • 송신자는 메시지 수신자의 수신 여부 확인 가능