교육/Security Governance (19) 썸네일형 리스트형 Day 69 (리눅스 서버 보안 설정 기초) 1. 작성문서 2. 서비스 설정방식 1) 설정 매니져이용 2) 서비스 설정 명령어 3. 사용하지 않는 것을 권고하는 서비스 목록 4. 보안을 위한 커널 파라미터 설정 5. 권장 파라미터 1. 작성문서 리눅스 서버 보안 설정 기초 2. 서비스 설정방식 1) 설정 매니져이용 # ntsysv 사용할 서비스들을 설정하고 해제한다. 보통 이 명령을 이용하는 것을 권장한다. 2) 서비스 설정 명령어 CentOS 7 명령어 옵션 조회 # systemctl [is-enabled | is-active] [서비스명] is-enabled : 자동 실행 등록 여부 is-active : 현재 실행 여부 등록 및 실생 # systemctl [enable | disable] [서비스명] [enable | disable] : 등록 .. Day 67 & 68 (Business Continuity Planning_사업 연속성 기획) 1. 사업 연속성 기획 2. BCP와 DRP 3. BCP 1) 범위와 계획 초기화 2) 사업 영향 평가 (BIA) 3) 사업 지속 개발 계획 4) 구성 요소 4. DRP 1) 목표 시점과 목표 시간 2) 재해 복구 계획 프로세스 ① 데이터 처리 지속 계획 ② 데이터 복구 계획 유지 보수 3) 재해 복구 계획 테스트 4) 재해 복구 프로시저 1. 사업 연속성 기획 BCP 프로세스 DRP 재해 • 범위와 계획의 초기화 • 사업 영향 평가 (Business Impact Assessment : BIA) • 사업 지속 개발 계획 • 재해 복구 계획 프로세스 • 재해 복구 계획 테스트 • 재해 복구 절차 • 자연재해 : 정보 처리 시설에 직접적인 피해 • 통신, 전기, 가스등의 기반 서비스 중단 • 테러, 바이러스.. Day 66 (Physical Security_물리 보안 ) 1. 물리적 보안에 대한 위협 2. 관리적 통제 3. 환경 통제 4. 기술적 통제1. 물리적 보안에 대한 위협 2. 물리적인 환경에서 C.I.A에 대한 위협 3. 물리적인 보안이 대처해야 되는 위협 4. 7가지 물리적인 손실의 원인 : Donn B. Parker 5. 물리적 통제 : 관리, 환경, 기술 세가지 통제로 구성된다. 1) 관리적 통제 ① 설비 요구 사항이나 계획 ② 설비 보안 관리 ③ 관리적 직원 통제 2) 환경 통제 ① 전력 ② 화재 3) 기술적(물리적) 통제 ① 설비 접근 통제 요구 ② 탐지와 알람 ③ 컴퓨터 인벤토리 통제 6. 물리적인 보안 참고 리스트 1. 물리적 보안에 대한 위협 - 설비, 장치, 직원, 정보 처리에 수반되는 데이터를 보호 통제하기 위한 프로세스 - 모든 위협은 발생 .. Day 66 (Access Control Systems & Methodology _접근 통제) 1. 접근 통제 목적 1) 접근 통제의 목적 2) 기밀성(Confidentiality) 3) 가용성(Availability) 4) 무결성(Integrity) 5) 접근통제 메커니즘 2. 통제 1) 일반적인 정보 자산 보호 프로세스 2) 통제의 분류 3) 통제 구현 3. 접근 통제 모델 4. 예방과 탐지 5. 식별과 인증 (Identification & Authentication) 6. 통제 응용 기술 1) Password 종류 2) 생체 인식 3) SSO(Single Sign On) 7. 통제 방법 8. 분산형 접근 통제 9. 침입과 공격 10. 공격 유형 1. 접근 통제 목적 1) 접근 통제의 목적 기밀성, 가용성, 무결성 보존 (C.I.A)을 목표로 한다. 추가적인 목적은 신뢰성과 효용성을 가져야 한.. Day 66 (Telecommunications, Network & Internet Security_통신 보안) 1. 네트워크 C.I.A 1) 기밀성(Confidentiality) 2) 무결성 (Integrity) 3) 가용성 (Availability) ① 네트워크 가용성에서 디스크에 대한 장애 저항 능력 ② FRDS ③ 서버 장애 방지 시스템 ④ 백업 4) Single Point of Failure 2. 침입차단 시스템(Firewall) 개요 1) 침입차단시스템(Firewall) 정의 2) 침입차단시스템의 등장배경 3) 침입차단시스템의 역할 4) 침입차단시스템의 기능 5) 침입차단시스템 구성요소 3. 침입차단시스템의 한계 4. 침입탐지 시스템(IDS)의 개요 5. 침입탐지 시스템의 절차 6. 침입 탐지시스템의 분류 7. Information Source 기준 분류 8. IDS Analysis 기준 분류 9. Ti.. Day 67 (Applications & Systems Development_소프트웨어 개발 보안) 1. 소프트웨어 개발 프로세서 2. 개발되는 모든 비즈니스 응용 시스템 3. 프로젝트 계획 수립 1) S/W규모 산정 2) 기능 점수 분석 (FPA : Function Point Ana.) 3) 프로그램 평가 검토 기법 (PERT : program Evaluation Review Technique) 4) 핵심 경로 방법론 (CPM) 5) 간트 차트 6) 타임 박스 4. 시스템 개발 생명주기 1) 폭포수 기법 2) 나선형 모델 5. 테스트이슈 6. 통제이슈 7. Database 시스템 8. 기타 시스템 1) 객체 지향 시스템 2) 분산 환경 3) 전문가 시스템 4) 신경망 시스템 1. 소프트웨어 개발 프로세서 시스템 개발 생명주기와 소프트웨어 개발 과정은 둘다 SDLC로 단어 일치한다. 시스템 개발 생명주.. Day 64 (Security Management Practices_정보 분류) 1. 보안을 위한 정보 분류 1) 정보 분류 2) 정보 보안 및 분류와 관련된 지침 및 권고 3) 목적 2. 정보 분류 효과 1) 정보 자산에 대한 접근 통제 수준 정의 2) 데이터의 등급은 IS의 핵심 자산으로 통제의 수단이 됨. 3. 정보 분류 등급 1) 정부나 공공부문의 정보 분류 등급 2) 민간 부분의 정보 분류 등급 3) 상업적인 분류 체계 4. 정보 분류 기준 5. 역할에 따른 정보 분류 1) 자산 소유자 2) 관리자 3) 사용자 4) 감사인 5) 역할에 따른 분류 특징 1. 보안을 위한 정보 분류 1) 정보 분류 정보 분류는 정보보안의 가장 기본적인 과정인 정보자산 식별 과정의 구체적인 사례 이다. 2) 정보 보안 및 분류와 관련된 지침 및 권고 국제표준기구(ISO) ISO 17799 : 정.. Day 64 (Security Management Practices_정보 보호) 1. 정보보호의 이해 1) 정보보호 이해 2) 외부 환경적 요소 3) 정보 보안 대한 이해 4) 정보 보안의 문제와 현황 5) 정보 보안 접근 방법 6) 조직의 정보 보안 7) 정보 보안 거버넌스의 구성 2. 정보 보호 거버넌스(governance)의 5가지 성과 3 정보보호의 세가지 요소 4. 정보 보호의 요소 5. 보안 통제 6. 보안 통제 진행 과정 7. 통제의 한계 8. 통제의 운영 1. 정보보호의 이해 1) 정보보호 이해 정보보호는 기업 및 조직 생존의 핵심적인 요소로 부각되었다. IS(Information System)를 통해 업무를 기록하는 등 비즈니스에 내재적으로 스며들어간다. 정보의 무결성, 서비스 지속성(가용성), 자산보호에 대한 중점적인 활동을 한다. 기밀성은 비교적 부각되지 않는다... 이전 1 2 3 다음
