본문 바로가기

교육/Security Governance

(19)

Day 54 (Governance) 1. Bell-Lapadula모델 2. Biba모델 3. 사용자 보안 요구 명세 4. 실습 1 5. 실습 2 6. 실습 3 1. Bell-Lapadula모델 TESEC는 Bell-Lapadula 모델을 사용하는 기밀성만을 다루는 모델이다. 접근 통제 모델이라고도 한다. 4단계로 분류하게 되는데 극비(Top-Secret), 기밀(Secret), 비밀(Confidential), 미분류(Unclassified)이다. 주체는 과거 사람이었지만 현재는 사람뿐만아니라 사용하는 업무프로세서나 리소스등도 포함된다. 분류기준은 직급이 높아질수록 등급이 높을 가능성은 있지만 실질적인 기준은 아니고 업무를 기준으로 분류한다. 따라서 낮은 등급은 접근이 가능하다. 다단계속성 1. 단순 보안 속성 : no read up 기밀성..

Day 53 (Governance) 1. TCSEC 2. 요구 분석을 통한 국제 표준 시스템 평가 지표(CC) 3. 사용자 요구 분석 명세화 4. 접근통제 방법 1) 임의적 접근통제(DAC : Discretionary Access Control) 2) 강제적 접근통제 ( MAC : Mandatory Access Control) 3) 비임의적 접근통제(Non - Discretionary Access Control) 1. TCSEC TCSEC는 미국에서 처음 개발된 요구분석을 통한 시스템 평가 방식으로서, 요구분석 대신 먼저 분류하여 쉽게 사용 그룹을 확인하기 위해 사용한다. 미국에서는 평가기준 문서들을 Rainbow book 이라고 한다. 그렇게 불리는 이유는 평가 기준에 대한 문서를 요구할때 직감적으로 분류가 가능하도록 색으로 분류하는 것..

Day 25 (Physical Security) 물리보안(Physical Security) √ 감사 또는 감리의 100여 항목중에 20여 항목을 차지한다. 물리적 보안에 대한 위협 √ 위협과 위험은 다른말이다. 발생가능한 사건 자체를 위협이라고 하고 위협의 발생 빈도 수를 위험이라고 한다.그 방법에는 조직의 문, 천장, 바닥 등 모든 설비와 장치, 직원, 정보 처리에 수반되는 데이터를 보호 통제하기 위한 것들이 있다. 물리적 보안은 자산의 위험을 없애는 것은 불가능하기 때문에 통제를 통해 어떻게 얼마나 완화 시킬것인가에 대한 것이다. 따라서 모든 위협은 반드시 목록화가 되어야 한다. 위협 목록은 자산분석, 위협분석, 통제개발순서로 개발하며, 세분화 하게 되면 자산분석, 위협분석, 통제개발, 통제적용, 통제평가로 구분지을수있다. √ 물리적인 환경에서의 ..

이전 1 2 3 다음

티스토리툴바