정보보안(산업)기사 정보보호 파트 (정보보호관리의 개념) 요약 정리

1. 정보화 사회의 정보보호

(1) 정보사회의 특성과 역기능

1) 정보사회의 특성
정보사회라고 한다면 가장 먼저 생각나는건 전자상거래이다.
  *전자상거래 : 인터넷을 통해서 상품을 사고 파는 행위.
혹은 인터넷뱅킹이다. 직접 은행이나 증권회사를 방문하지 않고, 자금이체나 주식매매를 할 수 있다.

시간적으로나 편의성면에서 정말 좋아진 부분이라고 생각한다.
그렇다면 단점은 뭐가 있을까?

2) 정보사회의 역기능
개인의 프라이버시 침해, 해커와 바이러스의 기승, 불법적인 위/변조, 각종 컴퓨터 범죄 행위 등.
순기능도 많지만 역기능도 헤아릴 수 없을 만큼 많다는게 문제다.

이러한 이유로 정보보호는 중요하고, 정보보안가 또한 필요한 직종임이 틀림없다.

스마트폰 사용의 급속한 확산으로 모바일 환경에서의 정보보호도 무시할 수 없다.

그렇다면 정보보호란 무엇일까?

(2) 정보보호란?

1) 사전적 의미의 정보보호
정보의 수집, 가공, 저장, 검색, 송신, 중에 발생하는 정보의 훼손, 변조, 유출 등을 방지하기 위한

관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위.

기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위하여 보호대책을 강구하는 것.

기밀성, 무결성, 가용성, 인증성 및 부인방지는 정보보호의 목표라고 할 수 있다.

2) 정보보호의 목표

가) 기밀성(Confidentiality)
  - 인가된 사람만이 접근이 가능해야 한다는 것

나) 무결성(Integrity)
  - 불법적으로 생성,변경,삭제 되지 않도록 보호되어야 한다는 것

다) 가용성(Availability)
  - 합법적인 사용자가 서비스 사용을 거절당하지 않도록 하는것

라) 인증성( Authenticaion)
  - 사용자가 정말 그 사용자 인지, 데이터의 출처를 신뢰 할 수 있는지 확인하는 것

마) 책임추정성(Accountability)
  - 문제가 발생하였을 때 추적이 가능해야 한다는 것

2. 정보보호 관리

1) 정보보호 관리의 개념
  - 정보는 기업이나 공공기관의 중요한 자산 중 하나로서, 비인가자에게 노출되거나 갈취당하게 되면

위험을 초래하기 때문에 정보는 관리되어야 한다.

2) 정보보호 관리와 정보보호 대책
  - 정보보호 관리는 크게 3가지로 구분하여 표현하고 있다.

  - 기술적/물리적/관리적

가) 기술적 보호대책
  - 보안소프트웨어를 통한 보안 (접근통제, 암호기술, 백업 체제..)

나) 물리적 보호대책

  - 정보시스템이 위치한 정보처리시설을 보호 혹은 출입통제, 시건(잠금) 장치

다) 관리적 보호대책
  - 법/제도/규정/교육 등을 확립, 보안계획을 수립하여 이를 운영

3. OSI 보안구조

(1) OSI 보안구조 개념
  - 관리자가 효과적으로 보안문제를 조직화 할 수 있는 유용한 방법을 제공.
  > 보안 공격 : 정보의 안정성을 침해하는 제반 행위
  > 보안 메커니즘 : 보안 공격을 탐지, 예방하거나, 공격으로 인한 침해를 복구하는 절차
  > 보안 서비스 : 데이터 처리 시스템의 보안을 강화하기 위한 처리 또는 통신 서비스

(2) 보안 공격
1) 개요
  - 보안의 세가지 목표(기밀성,무결성,가용성)와 관련하여 3가지 그룹으로 나누고,

그 공격을 시스템에 미치는 영향에 따라 2가지 유형으로 나눈다.

2) 기밀성을 위협 하는 공격
(가) 스누핑(Snooping)
  - 데이터에 대한 비인가 접근 또는 탈취

(나) 트래픽분석(Traffic Analysis)
  - 트래픽을 분석함으로써 다른 형태의 정보를 수집

3) 무결성을 위협하는 공격
(가) 변경(Modification)
  - 메시지의 일부를 불법으로 수정하거나 전송을 지연시켜 인가되지 않은 효과를 노리는 행위

(나) 가장(Masquerading)
- 신분위장, 다른 개체의 행세를 하는 것

(다) 재연(Replaying)
- 획득한 데이터 단위를 보관하고 있다가 시간이 경과한 후에 재전송함으로 써 인가되지 않은 사항에 접근 하는 것

(라) 부인(Repudiation)
- 메시지의 송신자는 차후에 자신이 메시지를 보냈다는 것을 부인

4) 가용성을 위협하는 공격
(가) 서비스 거부(Denial of Service)
  - 서비스 거부 공격은 시스템의 서비스를 느리게 하거나 차단 할 수 있는 공격

5) 소극적 공격과 적극적 공격
(가) 소극적 공격
  - 시스템 서비스에는 영향을 끼치지 않는 공격 형태를 의미

(나) 적극적 공격
- 데이터를 바꾸거나 시스템에 해를 입히는 공격 형태를 의