1 / 22

Chapter 1 개요

Chapter 1 개요. 등장 인물. Alice 와 Bob: 착한 사람들. Trudy: 나쁜 사람. Trudy 는 “ in trud er” 의 일반적 이름. Alice 의 온라인 은행. Alice 가 온라인 은행 (AOB) 을 만들었다 . Alice 가 갖는 보안의 관심사는 무엇일까 ? Bob 이 AOB 의 고객이라면 그가 갖는 보안의 관심사는 무엇일까 ? Alice 와 Bob 의 관심사는 같을까 혹은 다를까 ? Trudy 는 이 상황을 어떻게 볼까 ?. CIA.

lenka
Download Presentation

Chapter 1 개요

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Chapter 1개요

  2. 등장 인물 • Alice와 Bob: 착한 사람들 • Trudy: 나쁜 사람 • Trudy는 “intruder”의 일반적 이름 Chapter 1 Introduction

  3. Alice의 온라인 은행 • Alice가 온라인 은행 (AOB)을 만들었다. • Alice가 갖는 보안의 관심사는 무엇일까? • Bob이 AOB의 고객이라면 그가 갖는 보안의 관심사는 무엇일까? • Alice와 Bob의 관심사는 같을까 혹은 다를까? • Trudy는 이 상황을 어떻게 볼까? Chapter 1 Introduction

  4. CIA • CIA: Confidentiality, Integrity, and Availability • 기밀성(Confidentiality, privacy) • AOB는 Trudy가 Bob의 거래 내용을 볼 수 없도록 해야 한다. • 기밀성:허가 받지않은 자가 정보를 읽지 못하도록 하는 것 Chapter 1 Introduction

  5. CIA • 무결성(Integrity) • Trudy가 Bob이 거래할 때 인출 금액을 바꿀 수 있도록 해서는 안 된다. • Integrity:허가 받지 않은 자가 거래 내용을 변경할 수 있도록 해서는 안된다. Chapter 1 Introduction

  6. CIA • 가용성(Availability) • AOB의 정보는 필요할 때는 언제든지 사용할 수 있어야 한다. • AOB의 서버는 언제나 고객이 사용할 수 있어야 한다. • Availability: 데이터가 필요할 때는 언제든지 사용이 가능해야 한다. • 최근 가용성은 보안의 큰 관심사가 되고 있다. • denial of service (DoS) • DDos Chapter 1 Introduction

  7. Beyond CIA (authentication) • CIA는 정보 보안의 시작에 불과하다. • Case 1: Bob이 자신의 컴퓨터에 log on할 때 • Bob의 컴퓨터는 “Bob”이 진짜 Bob인지 어떻게 알 수 있겠는가? • Bob의 password는 반드시 검증되어야 한다. • 이것은 교묘한 암호 방식(cryptography)을 필요로 한다. • Password는 얼마나 신뢰할 수 있는가? • Password를 대체할 수 있는 방법은 없는가? Chapter 1 Introduction

  8. Beyond CIA (authentication) • Case2: Bob이 AOB 서버에 접속할 때 • AOB 서버는 “Bob”이 진짜 Bob인지 어떻게 알 수 있을까? • Case1과 마찬가지로 Bob의 password는 반드시 검증되어야 한다. • 그러나 Case1의 standalone 경우와는 다르게 network security 문제가 제기된다. • network security의 문제는 무엇인가? • Security Protocol은 중요한 역할을 한다. Chapter 1 Introduction

  9. Beyond CIA (authorization) • Bob이 AOB 서버로부터 인증(authentication)을 받았다고 하더라도 BoB이 서버 내에서 아무 행동이나 허용되는 것은 아니다. • Bob은 Charlie의 계정 정보를 볼 수 없다. • Bob은 AOB 서버에 새로운 소프트웨어를 설치할 수 없다. • Authorization: 인증을 받은 사용자가 행동할 수 있는 권한을 제한하는 것 • 접근 제한 목록과 권한 목록 • Access control • Authentication과 authorization Chapter 1 Introduction

  10. Beyond CIA (software) • 암호 알고리즘, 암호 프로토콜은 거의 모두 소프트웨어로 구현된다. • Software의 보안의 문제는 무엇인가? • 대부분의 software는 복잡하고 에러가 있다. • 소프트웨어의 결함은 보안의 결함으로 연결된다. • 어떻게 소프트웨어 개발에서 이러한 결함을 줄일 수 있을까? Chapter 1 Introduction

  11. Beyond CIA (software) • 어떤 software는 고의적으로 사악한 만들어진 것이 있다. • Malware: computer viruses, worms, 등. • Malwares는 어떻게 동작하는가? • Alice와 Bob은 Malwares로부터 보호하기 위해서는 어떻게 해야 하는가? • Trudy는 어떻게 “malware”를 더 효과적이고 강력하게 만들 수 있을까? Chapter 1 Introduction

  12. Beyond CIA (OS) • Operating systems은 보안을 강제적으로 요구한다. • 예를 들면, authorization은 OS에 있어서 전통적으로 중요한 요구사항이다. • OS: 거대하고 복잡한 software • Win XP는 40,000,000 줄의 코드로 만들어져 있다. • 복잡한 소프트웨어일수록 결함의 가능성은 크다. • 많은 보안의 문제는 OS와 연결된 문제이다. • 우리는 OS를 신뢰할 수 있느가? Chapter 1 Introduction

  13. 보안의 Life Cycle • 보안 정책(security policy) • 무엇을 보호해야 하는가? • 보안 메커니즘(security mechanism) • 보안 정책을 수행하기 위해서 무엇을 어떻게 해야 하는가? • 보안 검증(security assurance ) • 보안 메커니즘은 제대로 동작하고 있으며 보안 정책의 목표를 달성하고 있는가? • 이 책(강좌)은 보안 메커니즘에 대해서 다룬다. Chapter 1 Introduction

  14. Text Book • 교재는 다음의 4부분으로 구성되어 있다. • 암호(Cryptography) • 접근 제어(Access control) • 보안 프로토콜(Security Protocols) • 소프트웨어(Software) Chapter 1 Introduction

  15. 암호(Cryptography) • “Secret codes” • 교재의 범위 • 고전적인 암호(Classic cryptography) • 대칭키 암호(Symmetric ciphers) • 공개키 암호(Public key cryptography) • 해쉬 함수(Hash functions) • 고급 암호 분석(Advanced cryptanalysis) Chapter 1 Introduction

  16. 접근 제어(Access Control) • 인증(Authentication) • 암호(Passwords) • 생체인식(Biometrics) 및 기타 • 인가(Authorization) • Access Control Lists and Capabilities • Multilevel security (MLS), security modeling, covert channel, inference control • Firewalls and Intrusion Detection Systems Chapter 1 Introduction

  17. 보안 프로토콜(protocols) • 단순한 인증 프로토콜들 • “Butterfly effect” 사소한 변화가 엄청난 결과를 초래한다. • 현실 세계에서의 보안 프로토콜들 • SSL • IPSec • PGP • Kerberos • GSM security Chapter 1 Introduction

  18. Software • Software security-critical flaws • 버퍼 오버플로우 (Buffer overflow) • 기타 흔한 결함 • 불완전한 중재(Incomplete Mediation) • 경주 상황(Race Conditions) • 악성 코드(Malware) • 특정 viruses와 worms • 방어와 검출 • Malware의 미래 Chapter 1 Introduction

  19. Software • 소프트웨어 역공학(Software reverse engineering: SRE) • 디지털 권한 관리(Digital rights management: DRM) • 테스트의 한계 • 공개 소스 vs 비공개 소스 Chapter 1 Introduction

  20. Software • Operating systems • 기본적인 OS의 보안 문제 • 신뢰할 수 있는 OS의 요구사항 • NGSCB(“n-scub): Microsoft’s trusted OS for PC • Next Generation Secure Computing Base • Software는 커다란 보안의 주제이다. • 많은 자료가 이것을 다루고 있다. • 다루어야 할 많은 보안의 문제가 있다. Chapter 1 Introduction

  21. Trudy처럼 생각하기 • 과거에는 어떠한 권위 있는 자료에서도 “해킹”에 대해서 자세히 언급하지 않았다. • 왜냐하면 그것은 해커들에게 도움이 된다고 생각했기 때문이다. • 최근에는 이러한 생각이 바뀌었다. • 네트워크 해킹, 어떻게 사악한 프로그램을 짤 것인지, 소프트웨어 해킹하는 법 등에 대한 책이 많이 나오고 있다. Chapter 1 Introduction

  22. Trudy처럼 생각하기 • 선한 사람은 나쁜 사람 처럼 생각해야 한다! • 경찰 수사관 • 범죄자의 심리를 연구하고 이해해야 한다. • 정보 보안에 있어서, • Trudy의 동기를 이해해야 한다. • Trudy의 방법을 알아야 한다. • 때로는 Trudy인 것 처럼 행동할 필요가 있다. • 하지만 불법적인 행동을 해서는 안 된다. Chapter 1 Introduction

More Related