370 likes | 488 Views
Computer Security (1 부 ). LIS/Computer Science Dept. Changwon National Univ. 4. +. 26. =. 30. 입력한 계좌번호가 과연 지금 연계하고자하는 은행의 바른 구좌번호인가 ?. 계좌번호. 독일 - 도이치방크. 0291864. 비밀코드의 변환 ??. 029186. 4. 1’st. 6th. 2nd. 4 2 3. 6*2 = 12 =>1+2=3. 홀수번의 수 * 2. 0 4 9 2 8 3.
E N D
Computer Security(1부) LIS/Computer Science Dept. Changwon National Univ. Prof. Jk LEE/security
4 + 26 = 30 입력한 계좌번호가 과연 지금 연계하고자하는 은행의 바른 구좌번호인가? 계좌번호 독일- 도이치방크 0291864 비밀코드의 변환?? 029186 4 1’st 6th 2nd 4 2 3 6*2 = 12 =>1+2=3 홀수번의 수 * 2 0 4 9 2 8 3 + + + + + = 26 10의 배수 Oh, yes! Prof. Jk LEE/security
Contents • 1. Is there A security Problem in Computing? • 2. Basic Encryption and Decryption • 3. Secure Encryption Systems Prof. Jk LEE/security
1. Is there a security problem in computing? • Risks of computing • Goals of secure computing:confidentially, integrity, availability • Threats to security in computing: interception,interruption,modification,fabrication • Controls: encryption,programming controls,operating systems,network control,administrative controls,law and ethics Prof. Jk LEE/security
how people protect/how banks protect money 1000 만원의 크기는? • size and portability: • ability to avoide physical contact: • value of assets: 전자화폐 사이버뱅킹 제반 자료의 정보화 Prof. Jk LEE/security
Kinds of security breaches • Exposure : form of possible loss • Vulnerability:weaknesshardware • Attack: • Threats:loss or harm • Control:protective measure software Prof. Jk LEE/security
Interception interruption fabrication modification System security threats Prof. Jk LEE/security
Security goals • Confidentiality: - accessible only by authorized parties • integrity: - modified by authorized parties or in ways • availability: - not prevented from accessing of authorized parties Prof. Jk LEE/security
Interruption (denial of service) Interception (Threft) Hardware Interruption(loss) Interruption (deletion) Interception data software Interception modification fabrication modification Vulnerabilities Prof. Jk LEE/security
Interruption (denial of service) Interception (Threft) Hardware • Threats to hardware: Simple point to attack Prof. Jk LEE/security
Threats to software: - software deletion - software modification: * Trojan horse * Trapdoor * Virus * Information Leaks - software theft Prof. Jk LEE/security
data data data confidentiality integrity availability data Secure data • Threats to Data: Prof. Jk LEE/security
Other Exposed Assets: - storage media - Network - access -key people Prof. Jk LEE/security
Methods of defense • Controls: - encryption - software control - hardware controls - polices - physical control • Effectiveness of controls: - awareness of problem - likelihood of use - overlapping controls - periodic review Prof. Jk LEE/security
정보보안의 필요성 • 정보보안의 중요성 • 이익창출과 자산 보호 • 정보는 제3의 자산 • 정보자산의 보호가 필요 • 기대손실의 증가 Prof. Jk LEE/security
정보보안이 조직에서의 비중증대 • 과거: 조직의 부대비용 • 공포전술에 의한 소극적/부정적 인식 • 현재:조직의 비교우위 창출 수단 • 마케팅/판매 개념->적극적 사고 • 양심적 기업이미지 • 신제품 및 서비스 창출 • 경쟁력제고 • 미래:생존을 위한 필수조건 Prof. Jk LEE/security
정보보안의 필요성 • 컴퓨터 범죄의 증가 • 컴퓨터범죄와 일반범죄와의 차이 • Accesibility • Ease of change • Concentration of information • Complexity of software • Impersonal nature • Priviledged position • Non-visibility Prof. Jk LEE/security
대책??? • 컴퓨터 범죄의 특성 • 적에 대한 인지 확인 불가 • 목적,시기,목표에 대한 예측 불허 • Weakest link strategy • 통계의 무의미 Prof. Jk LEE/security
홈> 자료실> 경찰통계 사이버 범죄 검거현황 구분 계 해킹바이러스 개인정보침해 통신사기게임사기 불법복제판매 불법사이트운영 명예회손성 폭력 기 타 00 2,190 395 37 461 784 36 193 284 01 24,455 8,099 926 9,141 1,312 722 1,668 5,587 증감 +11.2배 +20.5배 +25배 +19.8배 +1.7배 +20.1배 +8.6배 +9.1배 Prof. Jk LEE/security
사이버 범죄 통계 (직업별) 사이버 범죄 통계 (연령별) 구분 구분 계 계 학 생 10대 무 직 20대 회사원 30대 자영업 40대이상 기 타 인원 (명) 인원 (명) 5,052 5,052 2,039 2,193 1,398 1,661 735 777 404 421 476 비율 (%) 비율 (%) 100 100 40 44 28 33 15 15 8 8 9 ※ 5,052명은 구속·기소 인원 합한 수치임 ※ 5,052명은 구속·기소 인원 합한 수치임 Prof. Jk LEE/security
컴퓨터범죄? 컴퓨터 범죄 유형과 사례를 조사하여 이에대한 문제점과 대책에 대한 분석 제출기일: 2002년 9월30일 방법: 1~3인 조 편성 가능 단, 담당 작성 부분 표시 유의사항: 각자의 멜 주소를 기입 요망 Prof. Jk LEE/security
정보보안의 특성과 목표 • 정보보안의 특성 • 완전함이 없다 • 컴퓨터성능 향상과는 무관 • 대책 설치시 효과서 측정이 어려움 • 대책의 효과성 측정이 어렵다 • 여러방법들의 혼합적사용으로 위험의 감소 • 자신이 문제임 Prof. Jk LEE/security
정보보호의 목표 • 정보보호는 비용을 초래 • 구매,관리,개발등 • 무 대책 또한 손실 초래 • 직접손실 • 간접손실 • 궁극적인 목표 • 비용과 손실의 최소화 • 비용과 피해수준간의 균형유지 Prof. Jk LEE/security
정보보안에 대한 기존 모델 • 보안관리모델 • 생명주기,위험관리 • 요구사항,조직기능 • 접근제어모델 • Reference model • Lattice model • Information flow model: Bell-Lab.Biba Model • 시스템구축 기술모델 • ISO security reference model • distributed system security models • 보안성 평가 및 인증모델 • TCSEC(Trust computer security criteria),ITSEC(Information Technology Security Evaluation and Certification),FC(Federal Criteria),CC(Common Criteria) • 기술에 의한 모델이 대부분 Prof. Jk LEE/security
정보보안 시스템 구축 방법론 • 정보보호 기획 • 기본통제분석/위험분석 • 정보보호 정책수립/수정 • 정보보호 시스템 구현 • 정보보호 구조 수립 및 시스템 구현 • 시험 및 검증 • 정보보호 시스템 유지보수 • 교육 및 훈련 • 변경관리 Prof. Jk LEE/security
정보보안관리 의 개념과 모델 • 정보보안관리 정의 • 조직의 목표지원 • 생명주기를 기획,관리 • 환경에대한 긍정적/부정적 영향력 • 정보보안 활경 달성 Prof. Jk LEE/security
정보보안관리체제 초기경영자 사업목표 보안관리자 정보보안정책 위험관리 관리자 통제체계 감사 통제영역 Prof. Jk LEE/security
정보보안관리기능 • 정보보안계획수립 • 정보보안 목적,전략 및 정책을 결정 • 보안대책 선정 • 정보보안 정책 및 절차를 문서화 • 정보보안 조직을 구성 • 정보보안 인식제고 프로그램을 개발 • 보안대책의 구현과 운영을 감시 Prof. Jk LEE/security
정보보안관리과정 요구사항단계 IT보안정책 요구사항 위험분석단계 상위위험분석 세부위험분석 기본통제분석 위험평가단계 비용효과분석 보안대책선정 정책수립단계 IT시스템 보안정책 사후관리단계 보안감사 사고처리 감시/검토 변경관리 구현단계 보안아키텍쳐 H/W,S/W관리 교육훈련 계획수립단계 IT보안 계획 Prof. Jk LEE/security
정보보안의 부정적 환경 • 정보보안에 대한 편경 • 업무절차 부과 • 창의성 • 소요비용과다 • 생산성저하 • 시스템 정보보안 모델 • 부적합한 정보보안 모델 • 물리적 보안 개념 • 부정적 기초 • 적극적 시각 • 균형유지 필요 Prof. Jk LEE/security
임시방편대응 • 보안문제/수행능력간의 차이 • 정보보안 계획에 대한 인식 및 노력부족 • 정보과다 • 필요정보와 실제정보와의 차이 • 불충분한 자원과 인력 • 조직의 불충분한 투자 Prof. Jk LEE/security
정보보안의 부정적 환경 • 정보자원관리의 상대적 보급실패 • 정보시스템 계획과 사업전략과의 통합부진 • 정보보안의 광범위적 영역 • 최고경영층의 인식부재 • 정보보안전문가의 단시안적 대체능력 • 성과측정의 어려움 • 상이한 언어사용에 따른 의사소통의 어려움 Prof. Jk LEE/security
정보보안의 성공적 요인 • 적절한 조직구조 • 책임 • 관련자와 역할 • 관리층의 경각심 및 인식제고 • 적절한 피트백 제공 • 취약성 부각 • 위험분석 • 사내교육 Prof. Jk LEE/security
위험분석 제약조건 자산가치/의존도평가 기존보안대책평가 취약성평가 위험평가 검토범위 자산식별 위험평가 대책선택 위험수용 IT 보안계획 IT시스템 보안정책 정보보안 위험관리 • 조직의 위험 평가후 위험감소행위 • 효과성제고를 위한 위험관리수행 • 위험분석 • 보안관리>위험관리>위험분석 Prof. Jk LEE/security
위험분석에서 보안요소간의 관계 위협 공격 취약성 노출 방어대상 증가 증가 자산 보안대책 위협 보유 충족 증가 표시 가치 보안 요구사항 Prof. Jk LEE/security
2.Network security • 정보에 관한 관련변환 • 양통신 주체간의 비밀정보공유 - 보안관련 알고리즘의 설계 - 변환 알고리즘과 병용될 정보의 생성 - 비밀정보의 분배및 공유방법의 개발 - 보안알고리즘과 프로토콜의 지정 Prof. Jk LEE/security
네트워크 보안 모델 신뢰된 제3자:비밀정보의 중재자,분배자 통신주체 통신주체 메시지 메시지 정보채널 비밀정보 비밀정보 보안관련변환 적 보안관련변환 Prof. Jk LEE/security