1. 정보보호의 목표 & 2. 정보보호 관리와 정보보호 대책

해당 자료는 정보보안기사를 준비하며 공부한 자료입니다.

 

보안관련 전공을 이수하였지만 대학교에서 워낙 저학년 때 다루던 정보보호개요라 잘 기억나지 않아 나름 상세하게 적어봅니다.

---

1. 정보보호의 목표

 

C : 기밀성 (Confidentiality)

- 오직 인가된 사람 / 프로세스 / 시스템 만이 알 필요성(최소권한)에 근거하여 시스템에 접근해야 한다는 원칙

위협요소 : 도청, 사회공학

 

I : 무결성 (Integrity)

- 정보의 내용이 불법적으로 생성 / 변경 / 삭제되지 않도록 보호되어야하는 성질

위협요소 : 논리폭탄, 백도어, 바이러스

 

A : 가용성 (Availability)

- 정당한 사용자가 정보시스템의 데이터 / 자원을 필요로 할 때, 즉시 (지체 없이) 원하는 객체 / 자원에 접근하여 사용할 수 있는 성질

위협요소 : DDOS, 지진, 홍수, 화재

 

인증성 (Authentication)

- 임의 정보에 접근할 수 있는 객체의 자격이나 내용을 검증하는데 사용되는 성질

사용자 인증 : 시스템 접근 시 활용

메시지 인증 : 메시지 불법변조 여부 검출 시 활용

 

책임추적성 (Accountability) 

- 보안 목적에는 개체의 행동을 유일하게 추적해서 찾아낼 수 있 수 있어야한다는 사항

Log 가 감사, 추적 목적으로 활용

 

부인방지 (Non - Repudiation)

- 행위나 이벤트의 발생을 증명하여 나중에 그런 행위나 이벤트를 했음에 부인할 수 없도록 하는 것

---

※  X.800에서의 정보보호의 목표 : C,I,A + 접근제어

---

2. 정보보호 관리와 정보보호 대책

 

기술적 보호대책

- 정보 시스템, 통신망, 데이터를 보호하기 위한 가장 기본적인 대책

ex ) 접근통제 , 암호기술, 백업

 

물리적 보호대책

- 화재 / 수해 / 지진 등 자연재해로부터 정보 시스템이 위치한 정보처리시설을 보호하기 위한 자연재해 대책

ex ) CCTV, 담장, 열쇠/자물쇠

 

관리적 보호대책 

- 법 / 제도 / 규정 / 교육 등을 확립하고 보안계획을 수립하여 이를 운영(보안등급, 엑세스 권한 등)하며 위험 분석 및 보안감사를 시행하여 정보시스템의 안정성과 신뢰성을 확보하기 위한 대책

ex ) 정책, 표준지침

---

범위 : 기술적 보호대책 < 물리적 보호대책 < 관리적 보호대책

---