정처기 실기 2024 암기 (정보 보안 관련, 암호화 DES, AES, ARIA, IDEA)

24.03.14 하루 정처기 실기 암기 

 

정보보안관련 암기

 

1. 정보보안 3요소

무기가부인

 

무결성, 기밀성, 가용성, 부인방지, 인증

integrity, confidentiality, availability, non-repudiation, authentication

 

2. 정보보안 3A

authentication, authorization, accounting

 

3. 조직의 정보 자산을 보호하고 무기가를 유지하는 것은?

= 정보보안 거버넌스

 

4. 정보보안 인증제도

- ISMS 정보보호 관리 체계 인증

- PIMS 개인정보 보호 관리체계

- ISMS-P 정보보호 및 개인정보 보호 관리 체계 인증

- ITSEC 유럽표준

- TCSEC 벨라파둘라 모델 기반 기밀성 평가 , 미국 신회성 컴터 평가기준

- CC (common criteria) 국가별로 상이한 평가기준 통합, tcsec과 itsec의 단점 보완

 

 

5. 소프트웨어 보안 이슈 해결을 위한 software development life cycle

소프트웨어 개발 주기에 시큐어 보안을 더함

 

Secure SDLC의 방법론 3가지

5-1) CLAPS (comprehensive lightweight application security process)

초기 단계에서 보안 강화를 위했던것.

활동, 역할기반 프로세스임

 

5-2) MS-SDL

마이크로 소프트가 개발한 안전한 소프트웨어 개발방법론

 

5-3) Seven Touchpoints

7개의 보안 강화 활동 수행함

 

 

6. 시큐어 코딩을 하기 위해서는 보안 취약점을 먼저 알아야겠지?

the open web application security project

OWASP 오와스프..,.

-> 오픈소스 웹 어플리케이션 보안 프로젝트이고

웹 어플리케이션의 보안 취약점을 연구함.

 

6-1) 보안 약점 종류

- sql injection

- xss

- 위험한 형식 파일 업로드, 명령삽입, 메모리 버퍼 오버플로우 등.

 

 6-2) 보안 약점에서 당한 공격을 복구하는 시간의 목표와 복구 시점의 목표가 다르니 알아야함

- recovery period (RP) : 실제 업무 기능 복구까지 걸린시간

- recovery time objective (RTO) : 업무 중단 시점으로 부터 복구되어 가동될때 까지의 시간목표

- recovery point objective (RPO) : 재해 발생 시 데이터 손실을 감당할 수 있는 데이터의 양

- maximum tolerable downtime (MTD)  

 

6-3) 공격에 대처를 잘하려면 백업을 잘해야겠죠

전체백업, 차등백업, 증분백업, 실시간백업, 합성백업

 

6-7) 시큐어 코딩을 하려면 암호화 알고리즘은 필수겠죠

 

암호화

✔ 양방향 -  

- 대칭키 - 스트림 암호화 : rc4, lfsr, a5
- 대칭키 -  블록 암호화 : des(feistel), 3des, aes(spn), aria, idea(feistel/spn의 중간), seed, lea, spikjack(cliper칩)

대칭은 빠른암호화 가능하고 대용량 데이터 암호화에 적합하나

키 교환문제와 관리가 어렵다.

- 비대칭키 (공개키, 개인키) - 

- 비대칭키 - 소인수분해 기반 : RSA, Robin

- 비대칭키 - 이산대수 기반 : DSA, ELGamal, Diffie-hellman

- 비대칭키 - 타원곡선 : ECC
비대칭은 속도가 느리고 키 길이가 길다.

키 분배와 관리는 쉽다.

✔  단방향 - hash -md5,