220 likes | 808 Views
운영체제론. 11 장 . 정보 관리. 이은숙 eun910522@kunsan.ac.kr 군산대학교 정보통계학과 정보과학기술 연구실 2012.01.30. 목 차. 정보 보호의 개념 정보 보호의 영역 정보 보호 기법 정보 보안의 개념 정보 보안의 위협 요소 정보 보안의 위협 감소 방법 정보 보안 기법. 정보 보호의 개념. 정보 보호 컴퓨터 시스템에 의해 정의된 자원에 대하여 프로그램 , 프로세스 그리고 파일 사용자의 접근을 제어하는 기법 패스워드의 다단계 사용 , 컴퓨터 운영체제의 강화 등
E N D
운영체제론 11장. 정보 관리 이은숙 eun910522@kunsan.ac.kr 군산대학교 정보통계학과 정보과학기술 연구실 2012.01.30
목 차 정보 보호의 개념 정보 보호의 영역 정보 보호 기법 정보 보안의 개념 정보 보안의 위협 요소 정보 보안의 위협 감소 방법 정보 보안 기법 IST (Information Sciences & Technology) Laboratory
정보 보호의 개념 • 정보 보호 • 컴퓨터 시스템에 의해 정의된 자원에 대하여 프로그램, 프로세스 그리고 파일 사용자의 접근을 제어하는 기법 • 패스워드의 다단계 사용, 컴퓨터 운영체제의 강화 등 • 정보 보안 • 컴퓨터 시스템과 그 시스템 내의 데이터가 결함이 없도록 보존함으로써 신뢰성을 유지하는 기법 • 정보 보호 보다는 광범위한 개념 • 정보 보호 정책 • 컴퓨터 시스템 설계시에 결정 • 컴퓨터 시스템 관리 중에 형성 • 각 사용자 자신의 파일이나 프로그램을 보호하기 위해 개별적인 사용자로부터 정의 IST (Information Sciences & Technology) Laboratory
정보 보호의 영역 • 컴퓨터 시스템은 프로세스들과 객체들의 집합 • 하드웨어 객체 : CPU, 기억장치, 주변장치 등 • 소프트웨어 객체 : 파일, 프로그램, 버퍼, 디렉토리,세마포어등 • 어느 한 객체에 대한 연산은 그 객체에 의존 • Need-to-know 원칙 • 프로세스들은 각각 접근 권한이 부여된 자원들에 대해서만 접근할 수 있음 • 시스템에서 잘못된 프로세스가 일으킬 수 있는 피해를 최소화 • 보호 영역(protection domain) • 하나의 프로세스가 접근할 수 있는 자원 • 접근 권한(access right) • 어떤 프로세스가 객체에 대한 조작을 수행할 수 있는 능력 • 하나의 영역은 접근 권한의 집합 • <객체 이름, 권한 집합> IST (Information Sciences & Technology) Laboratory
객체 영역 F1 F2 F3 카드 판독기 인쇄기 D1 판독 판독 D2 판독 인쇄 D3 판독 실행 D4 판독, 기록 판독, 기록 정보 보호 기법 (1/5) 접근 행렬 전역 테이블 접근 제어 리스트 권한 리스트 록-키 기법 • 접근 행렬 • 행은 영역, 열은 객체를 나타냄 • 각 항목은 접근 권한의 집합으로 구성 IST (Information Sciences & Technology) Laboratory
영역 객체 권한 집합 D1 F1 READ D1 F2 WRITE D1 F3 READ/WRITE D2 카드 판독기 READ D2 프린터 PRINT D2 카드 판독기 - D3 디스크 READ/WRITE 정보 보호 기법 (2/5) 접근 행렬 전역 테이블 접근 제어 리스트 권한 리스트 록-키 기법 • 전역 테이블 • 접근 행렬의 가장 단순한 구현 방법 • 주기억장치에 보관할 경우 기억 공간 낭비 • 보조 기억장치로부터 추가적인 입출력이 필요 • 어떤 객체와 영역이 잘 분류되어 있는 점을 이용하기가 어려움 IST (Information Sciences & Technology) Laboratory
종류 접근 제어 리스트 파일 0 (suh, *, RWX) 파일 1 (suh, 교수, RWX) 파일 2 (park, *, RW-), (yoo, 연구원, R--), (kim, 학생, --X) 파일 3 (*, 학생, R-X) 파일 4 (kim, *, ---), (*, 교수, R--) 정보 보호 기법 (3/5) 접근 행렬 전역 테이블 접근 제어 리스트 권한 리스트 록-키 기법 • 접근 제어 리스트 • 접근 리스트처럼 하나의 객체로써 구현 • 각 객체에 대한 리스트는 <영역, 권한 집합>의 순서쌍으로 구성 • 각 객체의 접근 권한을 갖는 모든 영역 <사용자명, 사용자 그룹명>을 정의 • * : 모든 사용자와 사용자 그룹을 의미 IST (Information Sciences & Technology) Laboratory
정보 보호 기법 (4/5) 접근 행렬 전역 테이블 접근 제어 리스트 권한 리스트 록-키 기법 • 권한 리스트 • 각 행을 해당 영역과 결합한 것으로, 객체와 그 객체에 허용된 조작의 리스트 • 권한 리스트는 영역과 결합되어 있으나, 그 영역에서 수행중인 프로세스가 직접 접근할 수 없음 • 운영체제에 의해 유지되며 사용자에 의해서 간접적으로만 접근되는 보호된 객체 IST (Information Sciences & Technology) Laboratory
정보 보호 기법 (5/5) 접근 행렬 전역 테이블 접근 제어 리스트 권한 리스트 록-키 기법 • 록-키 기법 • 접근 리스트와 권한 리스트의 절충안을 의미 • 어떤 영역에서 수행중인 프로세스는 그 영역이 여러 객체의 lock들 중의 하나와 일치하는 key를 가지고 있는 경우에만 그 객체에 접근 가능 IST (Information Sciences & Technology) Laboratory
정보 보안의 개념 • 외부 보안 • 시설 보안 : 천재지변이나 외부 침입자로부터의 보안 • 운용 보안 : 시스템 관리자 및 경영자의 여러 정책과 통제 절차를 통하여 이루어짐 • 사용자 인터페이스 보안 • 사용자의 신원을 운영체제가 먼저 확인하고 나서 시스템 내의 프로그램이나 데이터들을 접근할 수 있게 함 • 내부 보안 • 컴퓨터의 하드웨어나 운영체제가 갖는 기능들로써 컴퓨터 시스템의 신뢰성을 향상시키고 보안 문제를 해결 IST (Information Sciences & Technology) Laboratory
정보 보안의 위협 요소 (1/3) • 정보 보안의 요구 조건 • 비밀성 • 컴퓨터 시스템 내의 정보는 오직 인가 받은 사용자만이 접근할 수 있도록 보장되어야 함 • 읽기, 쓰기, 인쇄 등 • 어떤 정보의 존재 사실 자체도 노출되어서는 안됨 • 무결성 • 컴퓨터 시스템 내의 정보는 오직 인가 받은 사용자만이 수정할 수 있도록 보장되어야 함 • 수정에는 써 넣기, 내용 변경하기, 지우기, 새로 만들기 • 가용성 • 컴퓨터 시스템 내의 정보는 오직 인가 받은 사용자만이 사용할 수 있고, 언제나 사용 가능하도록 보장되어야 함 IST (Information Sciences & Technology) Laboratory
정보 보안의 위협 요소 (2/3) 송신자 수신자 송신자 수신자 제 3 자 (a) 흐름 차단 (b) 가로채기 송신자 수신자 송신자 수신자 제 3 자 제 3 자 (c) 변조 (d) 위조 : 정상적인 흐름 : 비정상적인 흐름 • 위협의 형태 • 흐름 차단 • 시스템의 일부가 파괴되거나 사용할 수 없게 된 상태 • 가용성에 대한 위협 요소 • 가로채기 • 인가 받지 않은 제 3 자가 컴퓨터 자원에 접근하는 경우 • 비밀성에 대한 위협 요소 • 변조 • 인가 받지 않은 제 3 자가 자원에 접근할 뿐만 아니라 내용을 변조하기까지 하는 경우 • 무결성에 대한 위협 요소 • 위조 • 인가 받지 않은 제 3 자가 시스템 내에 위조물을 삽입하는경우 • 무결성에 대한 위협 요소 IST (Information Sciences & Technology) Laboratory
정보 보안의 위협 요소 (3/3) • 수동적인 위협 • 사전 계획 없이 발생하는 위협 • 시스템 장애, 시스템의 무리한 운용, 소프트웨어 결함 등으로 발생 • 시스템 정보를 변경시키지 않는 위협으로써 시스템의 상태나 작동에 영향을 미치지 않음 • 능동적인 위협 • 어떤 목적에 의해 사전에 시스템의 특수한 지식을 입수하는 위협 • 시스템 내부의 정보를 변경하거나 그 상태와 작동을 변경하는 위협 • 위장, 재반복, 메시지 변경, 서비스 거부, 내부자 공격, 외부자 공격, 트랩도어, 트로이 목마 IST (Information Sciences & Technology) Laboratory
정보 보안의 위협 감소 방법 • 사용자 감시 • 불법 사용자의 침입을 방어하기 위해 정상적인 사용자의 신체적인 특성을 시스템으로 하여금 인식할 수 있도록 하는 방법 • 위험 탐지 • 사용자들이 시스템의 자원에 직접 접근하지 못하고 운영체제에게 요구하는 내 부 감시 프로그램에 의해 자원에 접근하도록 하는 방법 • 확충 • 사용자 보다 더 많은 접근 권한을 내부 감시 프로그램에게 부여해서 사용자의 요구를 효율적으로 처리해 주는 방법 • 패스워드 보호 • 일반적으로 컴퓨터 시스템에서 가장 많이 사용하는 사용자 인증 방법 IST (Information Sciences & Technology) Laboratory
분 류 내 용 암호의 방법 코드 시스템 암호 시스템 암호키 비밀키 공개키 암호 알고리즘 비밀키 암호화 방식 공개키 암호화 방식 암호의 형태 스트림 암호 블록 암호 정보 보안 기법 (1/6) 암호화 키 관리 여분의 정보 삽입 기법 인증 교환 기법 디지털 서명 기법 접근 제어 기법 데이터 무결성 기법 경로 제어 기법 공증 기법 • 암호화 • 비밀키 암호화 방식 공개키 암호화 방식 IST (Information Sciences & Technology) Laboratory
정보 보안 기법 (2/6) 암호화 키 관리 여분의 정보 삽입 기법 인증 교환 기법 디지털 서명 기법 접근 제어 기법 데이터 무결성 기법 경로 제어 기법 공증 기법 • 키 관리 • 암호 알고리즘에서 비밀키 값의 사용으로 요구되는 암호키의 생성, 분배 그리고 제어를 총괄 • 사용하고자 하는 환경의 평가를 기초로 선택 IST (Information Sciences & Technology) Laboratory
키 키 평문 입력의 중단 암호화 알고리즘 연속적인 암호 출력 지속적인 유사 데이터 발생 키 정보 보안 기법 (3/6) 암호화 키 관리 여분의 정보 삽입 기법 인증 교환 기법 디지털 서명 기법 접근 제어 기법 데이터 무결성 기법 경로 제어 기법 공증 기법 • 여분의 정보 삽입 기법 • 정상적인 메시지 흐름이 멈추었을 때, 가짜 암호 메시지를 계속 보냄으로써 트래픽의양을 분석하는 공격으로부터 방어하고자 하는 수단 • 여분의 데이터를 삽입하여 데이터를 일정한 길이로 하는 패딩개념을 사용하면 통화량 분석의 위협을 어느 정도 탐지할 수 있음 IST (Information Sciences & Technology) Laboratory
키 인증 코드 인증 코드 발생기 인증 코드 발생기 메시지 정보 보안 기법 (4/6) 암호화 키 관리 여분의 정보 삽입 기법 인증 교환 기법 디지털 서명 기법 접근 제어 기법 데이터 무결성 기법 경로 제어 기법 공증 기법 • 인증 교환 기법 • 통신 개체와 수단이 모두 안전한 경우 • 패스워드만 이용하여 확인 절차를 실행 • 각 통신 개체는 신뢰하지만 통신 수단이 안전하지 못할 경우 • 패스워드와 더불어 암호화를 사용하면 의도적인 공격 하에서 데이터를 보호할 수 있음 • 각 통신 개체와 통신 수단이 모두 안전하지 못할 경우 • 부인 봉쇄 서비스의 사용을 추가할 수 있음 IST (Information Sciences & Technology) Laboratory
정보 보안 기법 (5/6) 암호화 키 관리 여분의 정보 삽입 기법 인증 교환 기법 디지털 서명 기법 접근 제어 기법 데이터 무결성 기법 경로 제어 기법 공증 기법 • 디지털 서명 기법 • 부인 봉쇄나 인증 등의 보안 서비스를 제공하기 위해 사용되는 기법 IST (Information Sciences & Technology) Laboratory
정보 보안 기법 (6/6) 암호화 키 관리 여분의 정보 삽입 기법 인증 교환 기법 디지털 서명 기법 접근 제어 기법 데이터 무결성 기법 경로 제어 기법 공증 기법 • 접근 제어 기법 • 권한이 허가된 사용자에게만 데이터 접근을 허용하는 정책을 강화하고자 사용되는 기법 • 데이터 무결성 기법 • 한 개의 단위 데이터의 무결성 뿐만 아니라 접속 위치에서 전달되는 데이터 순서 전체의 무결성을 위해 사용되는 방법 • 경로 제어 기법 • 데이터를 전송하기 이전에 경로 과정을 구체적으로 지정함으로써 안전한 채널만을 통하여 데이터를 전달 • 공증 기법 • 통신 개체들간에 전달되는 정보의 송신처, 정보의 무결성, 송수신 시간 등을 공증 IST (Information Sciences & Technology) Laboratory
주홍언니 혜민언니 배댕언니 쥐땜언니 감사합니다 양송언니 지희언니 은정언니 주 희 이 은 숙 eun910522@kunsan.ac.kr