본문 바로가기
반응형

정보관리기술사/정보보안55

공개키 기반 구조(PKI : Public Key Infrastucture) (관리 89-1-3) 공개키 기반 구조(PKI)에 대해 설명하시오. PKI 개념 공개키(비대칭키) 암호화 방식에서 사용하는 공개키 인증을 위한 기반 환경 및 구조 PKI 구성 요소 구성 요소 설명 인증서 공개키와 함께 공개키 인증에 필요한 정보(주체, 발급자 등)를 인증기관(CA)이 서명한 전자문서 인증기관(CA) 인증서 정책 수립 및 인증서의 발급/재발급/갱신/효력 정지 및 회복/폐지 등의 업무를 수행하는 기관 등록기관(RA) 인증기관(CA)을 대신해서 인증서 발급/재발급/갱신 등의 서비스 요청자에 대한 신원 확인 및 인증기관에 요청 등록 대행 업무를 수행하는 기관 저장소 / 보관소 인증기관에서 사용자 인증서, 인증서 폐지 목록 등을 저장하는 일종의 데이터베이스 2023. 10. 23.
(127 관리 4-6) 블록(Block) 암호 모드 (관리 127-4-6) 블록(Block) 암호 모드에 대한 아래의 사항을 설명하시오. 가. ECB(Electronic CodeBook) 모드 나. CBC(Cipher Block Chaining) 모드 다. CFB(Ciper FeedBack) 모드 라. OFB(Output FeedBack) 모드 ECB 가장 단순한 방식으로, 각 블록을 독립적으로 암호화하여, 동일한 평문블록이 동일한 암호문을 생성하는 방식 안전하지 않음 CBC 전 단계의 암 · 복호화가 현 단계에 영향을 주는 운영모드 각각의 평문 블록은 암호화되기 전에 이전 암호 암호문 블록과 XOR 된다. CFB 초기 벡터값을 암호화한 값과 평문블록을 XOR 하여 암호문 블록을 생성하고, 그 암호문을 다시 암호화한 값과 평문블록을 XOR 하여 암호문 블.. 2023. 9. 14.
(122 컴시응 4-4) 정보보안 목적, 공격방법 정보보안의 주요한 세 가지 목적 및 각각의 목적을 위협할 수 있는 공격방법에 대하여 설명하시오. 정보보안 3대 목적 기밀성, 무결성, 가용성 정보보안 목적별 위협할 수 있는 공격방법 목적 공격방법 기밀성 - 스누핑, 트랙픽 분석 무결성 - 변경, 가장, 재연, 부인 가용성 - DoS, DDoS 2023. 9. 13.
클라우드 서비스 보안인증(CSAP) - SaaS 표준등급 인증대상 [두음] 전인회보파 SaaS 표준등급 □ 표준등급 유효기간 : 5년 □ 표준등급 인증대상 - 전자결재, 인사 및 회계관리, 보안서비스, PaaS 등 중요 데이 터를 다루는 SaaS 서비스 □ 통제항목 : 79개 통제항목 □ 평가 종류 : 최초평가 => 사후평가(4회) => 갱신평가 참고 자료 KISA 정보보호 및 개인정보보호관리체계 인증 클라우드 보안인증제 자료실 상세페이지 KISA 정보보호 및 개인정보보호관리체계 인증 클라우드 보안인증제 자료실 isms.kisa.or.kr 2023. 9. 10.
OECD 정보보호 가이드라인 9개 원칙 기업과 조직이 정보 자산을 보호하고 관리하는 데 도움을 주기 위한 국제적인 지침으로 조직은 정보 보호의 중요성을 이해하고, 보안 위험을 최소화하며 비즈니스 연속성을 보장 OECD 정보보호 가이드라인 9개 원칙 1 책임 (Responsibility) 조직은 정보 보호에 대한 책임을 지고, 이를 관리하고 감독해야 합니다. 2 인식 (Awareness) 모든 구성원은 정보 보호의 중요성을 이해하고, 적절한 교육 및 훈련을 받아야 합니다. 3 윤리 (Ethics) 정보 보호는 조직의 윤리적 가치와 일치해야 하며, 법적 및 규제 요구사항을 준수해야 합니다. 4 보호 (Safeguard) 조직은 정보 자산을 식별하고, 이를 보호하기 위한 적절한 기술적, 물리적, 그리고 조직적 조치를 취해야 합니다. 5 위험 평가 .. 2023. 9. 10.
네트워크 기반 공격의 이해 구분 설명 DoS (Denial of Service) - 정당한 사용자가 정보시스템의 데이터나 자원을 적절한 대기 시간 내에 사용하는 것을 방해하는 행위 - 시스템에 과도한 부하를 유발하여 가용성을 저해하는 공격 DDoS (Distributed DoS) - 공격자가 물리적으로 분산된 다수의 컴퓨터(좀비PC)를 이용하여 공격 - 다수의 서버, PC 등을 이용해 비정상적인 트래픽을 유발시켜서 대상 시스템을 마비시키는 공격 행위 (키워드) 대역폭 공격, 자원 소진 공격, 웹/DB 부하 공격 [두음] DDoS 공격유형 : 대자부 (데자뷰~와 유사) TCP Sync Flooding Attack - 3 Way Handshaking 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용한 공격 (키워드) S.. 2023. 9. 1.
네트워크 기반 프로그램 활용 네트워크 기반 주요 프로그램 개념 및 용도, 주요 특징 구분 개념 및 용도 주요 특징 ping 네트워크 호스트 간의 연결 상태를 확인하는 명령어 ICMP 패킷을 사용하여 호스트 간의 응답 시간 및 패킷 손실을 측정 traceroute 목적지 호스트까지 패킷이 어떤 경로로 전송되는지 추적 각 중간 라우터의 IP 주소 및 응답 시간을 표시하여 네트워크 경로 분석 netstat 네트워크 연결 및 네트워크 통계 정보 확인 활성화된 네트워크 연결, 포트 상태, 라우팅 테이블 등을 표시하여 네트워크 상태 모니터링 route 시스템의 라우팅 테이블 설정 및 표시 시스템의 라우팅 정보를 관리하고, 목적지까지의 경로 및 게이트웨이를 설정하거나 확인 tcpdump 네트워크 트래픽을 캡처하고 분석하는 도구 네트워크 패킷을 .. 2023. 8. 31.
디지털 포렌식 5단계 절차 한번 만들어 봤습니다. Preparation : 사전 준비 Acquisition : 증거 수집 Preservation : 보관 및 이송 Exam & Analysis : 조사 및 분석 Reporting : 보고서 작성 기출문제 (관리 130-4-2) 최근 많은 범죄들이 지능화.고도화 되면서 디지털 포렌식의 중요성이 증가하고 있다. 이러한 디지털 포렌식과 관련하여 아래 사항을 설명하시오. 1) 디지털 포렌식의 개념 2) 디지털 포렌식의 유형과 절차 3) 디지털 포렌식 기술 및 활용분야 (관리 121-2-3) 침해사고 대응 측면과 디지털 감사(Audit) 측면에서 디지털포렌식의 필요성을 설명하고, 디지털포렌식 절차 및 활용되는 기술을 설명하시오. 요즘은 공사다망한 관계로 아쉽게 블로그 업데이트가 활발하지는 못.. 2023. 8. 18.
접근 통제 보안 모델 - "벨비클만" 접근 통제 보안 모델 벨비클만 벨라파듈라(BLP) 모델, 비바(BIBA) 모델, 클락-윌슨 모델, 만리장성 모델 참고 자료 접근통제 모델 - IT위키 (itwiki.kr) IT위키 IT에 관한 모든 지식. 함께 만들어가는 깨끗한 위키 itwiki.kr Peemang IT Blog (tistory.com) [정보보안기사] 10. 접근통제 보안 모델 (출제율: 2.4%) 1. 접근 통제 모델 1) 강제적 접근 통제 (MAC, Mandatory Access Control) 미리 정해진 정책과 보안 등급에 의거하여 주체에게 허용된 접근 권한과 객체의 보안 등급을 비교하여 접근 권한을 부여하는 규칙 peemangit.tistory.com 2022. 11. 15.
개인정보 유출 관련 기출문제 분석 (관리 116-3-2) 2. 개인정보 보호에 관한 아래 사항에 대하여 설명하시오. 가. 개인정보의 정의 및 유출 원인 나. 오남용 행위 탐지 시나리오 생성 방안별(4W1H, 데이터 생명주기) 생성기준 및 구성요소 다. 오남용 행위 탐지 시나리오 생성방안별 사례 제시 개인정보 보호법 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. 1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다. 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 .. 2022. 10. 21.
정보통신망법 제 45조의 3 - CISO (정보보호 최고책임자)의 지정 등 기출 문제 (관리 121-2-6) CISO(Chief Information Security Officer)의 자격요건과 겸직 여부 등을 개정한 "정보통신망 이용촉진 및 정보보호 등에 관한 법률"이 2020년 1월 1일부터 적용되고 있다. 다음에 대하여 설명하시오. 가. CISO의 직무 나. CISO의 지정∙신고 의무대상자 다. CISO의 겸직 제한 대상 라. CISO의 일반 자격요건 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 약칭: 정보통신망법 ) 제45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다... 2022. 10. 20.
개인정보 보호책임자 (CPO, Chief Privacy Officer) 업무 기출 문제 (응용 104-1-4) 개인정보관리책임자(CPO : Chief Privacy Officer)에 대하여 설명하시오. 개인정보 보호법 제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. ② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. 1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리ㆍ감독 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정.. 2022. 10. 20.
개인정보 보호법 - 개인정보 처리 절차 -"수이저관제위파" 개인정보 처리 단계 수이저관제위파 수집 · 이용, 저장 · 관리, 제공 ·위탁, 파기 개인정보보호법에서 규정하고 있는 개인정보 처리단계별 의무사항 출처 : TOPCIT 에센스 (IT 비즈니스와 윤리) !! 개인적으로 공부하는 관점에서 중요하다 판단되는 내용만 발췌한 것입니다. 개인정보 보호법 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. 1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다. 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을.. 2022. 10. 20.
개인정보보호법 - 개인정보 처리방침 기출 문제 (응용 108-2-1) 개인정보보호법 제30조에 따른 "개인정보 처리방침"에 반드시 포함하여야 하는 사항을 5가지 이상 설명하시오. 개인정보 처리방침 개인정보를 처리하고 있는 사업자/단체의 개인정보 처리기준 및 보호조치 등을 문서화하여 공개하는 것으로 개인정보의 처리 목적, 개인정보의 처리 및 보유 기간, 처리하는 개인정보의 항목, 제3자 제공에 관한 사항, 위탁에 관한 사항, 개인정보 보호책임자 등을 필수적으로 기재함 출처 : TOPCIT 에센스 (IT 비즈니스와 윤리) 개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록.. 2022. 10. 20.
재난복구목표, RTO / RPO 재해 복구 시스템을 구축할 경우 고려해야 할 가장 중요한 요소는 복구 목표 시간 (RTO, Recovery Time Objectives)와 복구 목표 시점 (RPO, Recovery Time Objectives) 이다. RTO는 운영 중인 시스템에 재해 및 장애가 발생하였을 때 정상적인 업무로 복귀할 때까지 소요된 시간을 나타내고 RPO는 데이터를 손실할 경우 어디까지 허용할 것인가 즉, 손실될 데이터양의 지표를 나타낸다. 출처 : TOPCIT 에센스 (시스템아키텍처 이해와 활용) 부연 설명드리면, 서비스를 제공하기 위해 서버와 외장 스토리지로 구성된 시스템이 있는 경우 DRS 구성을 위한 다양한 방법이 있는데 Hot Site 형태로 DR을 구성한 경우 데이터 보호를 위한 스토리지 기반 원격 복제를 동기.. 2022. 10. 20.
728x90
반응형

티스토리툴바