본문 바로가기

ISMS-P

 (167)
SSL/TLS 암호화 스위트(Cipher Suite) SSL/TLS 암호화는 암호화 스위트(Cipher Suite)를 사용해 설정되며, 이는 서버와 클라이언트 사이에서 사용될 키 교환, 인증, 암호화, 메시지 인증 코드(MAC) 알고리즘을 지정합니다. 암호화 스위트는 다음과 같은 형식으로 표현됩니다: `키 교환_인증_암호화+운영모드_MAC 알고리즘` 다음은 이러한 암호화 스위트의 예입니다: SSL/TLS 암호화 스위트의 안전성은 여러 요소에 따라 달라집니다. 이 요소들에는 사용되는 키 교환 및 인증 알고리즘, 암호화 알고리즘, 메시지 인증 코드(MAC) 알고리즘, 그리고 이들의 구현이 포함됩니다. 다음은 암호화 스위트의 예와 각각의 안전성에 대한 간략한 평가입니다: 1. **ECB 모드를 사용하는 예**: - `TLS_RSA_WITH_AES_128_ECB_..
접근통제 모델 접근통제 모델은 다음과 같습니다. 상황별 어떤 접근통제 모델이 적정한 지 확인해보세요. 1. **DAC (Discretionary Access Control)**: DAC는 자원의 소유자나 그룹이 접근을 통제하고, 각 사용자에게 특정 권한(읽기, 쓰기, 실행 등)을 부여하는 방식입니다. 예를 들어, UNIX 시스템의 파일 권한 관리가 DAC에 속합니다. DAC의 주요 문제점은 실수로 또는 고의로 민감한 데이터에 대한 접근 권한을 부적절하게 부여할 수 있다는 것입니다. DAC는 자원의 소유자가 직접 접근 권한을 통제할 수 있어야 하는 상황, 예를 들어 개인 사용자의 파일 시스템 또는 소규모 조직 내에서 유용하게 사용될 수 있습니다. 2. **MAC (Mandatory Access Control)**: MA..
사용자 인증기술 사용자 인증기술은 크게 네 가지 유형으로 분류됩니다. 이들 각각은 다음과 같습니다: 1. **Type 1: 무언가를 알고 있는 것(Knowledge factors)** - 사용자만이 알고 있는 정보를 기반으로 합니다. 예를 들면, 암호, PIN 번호, 사용자 이름과 같은 정보가 있습니다. 2. **Type 2: 무언가를 가지고 있는 것(Possession factors)** - 사용자가 물리적으로 소유하고 있는 무언가를 기반으로 합니다. 예를 들어, 스마트 카드, 보안 토큰, 휴대폰 등이 있습니다. 3. **Type 3: 무언가를 하고 있는 것(Inherence factors)** - 사용자의 생체 인식 정보를 기반으로 합니다. 예를 들어, 지문 인식, 얼굴 인식, 음성 인식, 홍채 인식 등이 있습니다...
위험의 분석 구분 방법 암기 정량적 위험분석 ALE(연간예상손실) 과거자료 분석법 수학공식 접근법 확률 분포법 연과수학 정성적 위험분석 델파이법 시나리오법 순위결정법 순위결정법의 작성내용에 대해 살펴보세요.
암기) 개인정보의 제공 개인정보의 제공은 다음과 같이 암기한다. 구분 요약 내용 개인정보처리자 자 목 항 기 거 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 관련 법령 제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우..
포트 스캔(Port Scan) 포트 스캔(Port Scanning)은 컴퓨터 또는 네트워크 시스템의 포트 상태를 확인하는 작업을 의미합니다. 포트는 컴퓨터와 네트워크 간의 통신을 위해 사용되는 특정한 번호입니다. 포트 스캔은 네트워크 보안 점검이나 해킹 공격 등 다양한 목적으로 사용될 수 있습니다. 포트 스캔은 다양한 방법과 도구를 사용하여 수행될 수 있습니다. 일반적으로 사용되는 포트 스캐너 도구에는 Nmap, Nessus, OpenVAS 등이 있습니다. 이러한 도구를 사용하여 대상 시스템에 대해 다양한 포트를 스캔하여 열려 있는 포트와 그 상태를 확인할 수 있습니다. 포트 스캔의 주요 목적은 다음과 같습니다: 1. 서비스 및 시스템의 취약점 분석: 포트 스캔을 통해 열려 있는 포트를 확인하여 해당 포트에서 동작하는 서비스나 애플리..
응용프로그램 세션 타임아웃 설정 세션 타임아웃은 응용 프로그램의 보안 관점에서 중요한 설정 중 하나입니다. 사용자가 일정 시간 동안 액티비티를 수행하지 않으면 응용 프로그램은 자동으로 사용자 세션을 종료하여 보안을 강화하게 됩니다. 아래에 주요 프로그래밍 언어 및 플랫폼에서 세션 타임아웃을 설정하는 방법에 대한 몇 가지 예를 제공하겠습니다. 1. **ASP.NET**: ```csharp ``` 위 코드는 `Web.config` 파일에 추가되며, 세션 타임아웃을 5분으로 설정합니다. 2. **PHP**: ```php ``` 위 코드는 세션 가비지 수집기가 데이터를 수집하기 전에 세션을 유지하는 시간(초 단위)을 설정합니다. 3. **Express.js(Node.js)**: ```javascript const express = requir..
Like 검색 허용 여부 확인 SQL에서 "LIKE"는 특정 패턴과 일치하는 문자열을 찾을 때 사용하는 연산자입니다. "LIKE" 연산자를 사용하려면 와일드카드 문자도 사용해야 합니다. 일반적으로 "%"와 "_" 두 가지 와일드카드 문자를 사용합니다. - %: 문자열 내에 임의의 문자가 있는 위치를 나타냅니다. - _: 문자열 내의 단일 문자 위치를 나타냅니다. 이를 사용한 몇 가지 예를 들어보겠습니다. **1. "로 시작하는 모든 데이터 찾기"** 예를 들어, "customers" 테이블에서 이름이 'A'로 시작하는 모든 고객을 찾으려면 다음과 같이 작성할 수 있습니다. ```sql SELECT * FROM customers WHERE name LIKE 'A%'; ``` **2. "특정 패턴 포함하는 데이터 찾기"** 이름에 'oh..
응용프로그램 접근제어 결합 기술적 예시 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우 https://passatest.tistory.com/m/195 Like 검색 허용 여부 확인SQL에서 "LIKE"는 특정 패턴과 일치하는 문자열을 찾을 때 사용하는 연산자입니다. "LIKE" 연산자를 사용하려면 와일드카드 문자도 사용해야 합니다. 일반적으로 "%"와 "_" 두 가지 와일드카드 문자를passatest.tistory.com 응용프로그램에 대하여 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우 https://passatest.tistory.com/m/196 응용프로그램 세션 타임아웃 설정세..
백신 패턴의 무결성을 확인하는 방법 백신 패턴의 무결성을 확인하는 방법은 다음과 같은 절차를 따를 수 있습니다: 1. 백신 패턴 파일 확인: 백신 소프트웨어에서 사용하는 패턴 파일의 경로를 확인합니다. 이는 보통 백신 소프트웨어의 설정이나 옵션에서 확인할 수 있습니다. 2. 패턴 파일의 해시값 확인: 해당 패턴 파일의 해시값을 계산합니다. 해시 함수를 사용하여 파일의 고유한 해시값을 생성할 수 있습니다. 주로 MD5, SHA-1, SHA-256 등의 해시 알고리즘이 사용됩니다. 3. 정식 출처에서의 패턴 파일 다운로드: 백신 제공 업체의 공식 웹사이트나 신뢰할 수 있는 출처에서 정식으로 제공되는 패턴 파일을 다운로드합니다. 이를 통해 최신 백신 패턴을 얻을 수 있습니다. 4. 다운로드한 패턴 파일의 해시값 확인: 다운로드한 패턴 파일의 해..

티스토리툴바