Prof. Jk LEE/security 1

Computer SecurityComputer Security(1(1 부부 ))

LIS/Computer Science Dept.Changwon National Univ.

Prof. Jk LEE/security 2

4 2 3

계좌번호계좌번호입력한 계좌번호가 과연

지금 연계하고자하는 은행의 바른 구좌번호인가 ?

입력한 계좌번호가 과연 지금 연계하고자하는 은행의

바른 구좌번호인가 ?

독일 - 도이치방크

0291864

029186 4

1’st6th 2nd

홀수번의 수 * 2 6*2 = 12 =>1+2=3

0 4 9 2 8 3 = 26 + + + + +

4 26 30+ =

비밀코드의 변환 ??

비밀코드의 변환 ??

10 의 배수 Oh, yes!

Prof. Jk LEE/security 3

ContentsContents

1. Is there A security Problem in Computing? 2. Basic Encryption and Decryption 3. Secure Encryption Systems

Prof. Jk LEE/security 4

1. Is there a security problem in 1. Is there a security problem in computing?computing?

Risks of computing Goals of secure computing:

confidentially, integrity, availability

Threats to security in computing: interception,interruption,modification,fabrication

Controls: encryption,programming controls,operating systems,network control,administrative controls,law

and ethics

Prof. Jk LEE/security 5

how people protect/how how people protect/how banks protect moneybanks protect money

size and portability: ability to avoide physical contact: value of assets:

1000 만원의 크기는 ?

전자화폐사이버뱅킹

제반 자료의 정보화

Prof. Jk LEE/security 6

Kinds of security breachesKinds of security breaches Exposure : form of possible loss

Vulnerability:weakness hardware

Attack: Threats:loss or harm

Control:protective measure

software

Prof. Jk LEE/security 7

System security threatsSystem security threats

Interception interruption

modificationfabrication

Prof. Jk LEE/security 8

Security goalsSecurity goals

Confidentiality: - accessible only by authorized parties

integrity: - modified by authorized parties or in ways

availability: - not prevented from accessing of authorized

parties

Prof. Jk LEE/security 9

VulnerabilitiesVulnerabilities

HardwareHardware

Interruption(denial of service)

Interception(Threft)

softwaresoftware

Interruption(deletion)

modification

Interception datadata

Interruption(loss)

Interception

modification

fabrication

Prof. Jk LEE/security 10

Threats to hardware:Simple point to attack

HardwareHardware

Interruption(denial of service)

Interception(Threft)

Prof. Jk LEE/security 11

Threats to software:

- software deletion

- software modification:

* Trojan horse

* Trapdoor

* Virus

* Information Leaks

- software theft

Prof. Jk LEE/security 12

Threats to Data:

data

confidentiality

data

integrity

data

availability

dataSecure data

Prof. Jk LEE/security 13

Other Exposed Assets:- storage media

- Network

- access

-key people

Prof. Jk LEE/security 14

Methods of defenseMethods of defense Controls:

- encryption- software control- hardware controls- polices- physical control

Effectiveness of controls:- awareness of problem- likelihood of use- overlapping controls- periodic review

Prof. Jk LEE/security 15

정보보안의 필요성정보보안의 필요성 정보보안의 중요성

이익창출과 자산 보호 정보는 제 3 의 자산 정보자산의 보호가 필요 기대손실의 증가

Prof. Jk LEE/security 16

과거 : 조직의 부대비용 공포전술에 의한 소극적 / 부정적 인식

현재 : 조직의 비교우위 창출 수단 마케팅 / 판매 개념 -> 적극적 사고 양심적 기업이미지 신제품 및 서비스 창출 경쟁력제고

미래 : 생존을 위한 필수조건

정보보안이 조직에서의 비중증대

Prof. Jk LEE/security 17

정보보안의 필요성정보보안의 필요성

컴퓨터 범죄의 증가 컴퓨터범죄와 일반범죄와의 차이

Accesibility Ease of change Concentration of information Complexity of software Impersonal nature Priviledged position Non-visibility

Prof. Jk LEE/security 18

컴퓨터 범죄의 특성 적에 대한 인지 확인 불가 목적 , 시기 , 목표에 대한 예측 불허 Weakest link strategy 통계의 무의미

대책 ???대책 ???

Prof. Jk LEE/security 19

홈> 자료실> 경찰통계

                                                                                                                                                                      

                                                                   

 

              

               

              

               

              

               

              

               

              

               

              

               

             

                

       사이버 범죄 검거현황

                                                                                                                                                                                                                                        

구분 계 해킹바이러

스

개인정보침

해

통신사기

게임사기

불법복제

판매

불법사이트운영

명예회손

성 폭력

기 타

00 2,190 395 37 461 784 36 193 284

01 24,455 8,099 926 9,141 1,312 722 1,668 5,587

증감 +11.2 배 +20.5 배 +25 배 +19.8 배 +1.7 배 +20.1 배 +8.6 배 +9.1 배

Prof. Jk LEE/security 20

사이버 범죄 통계 ( 연령별 )

                                                                                                                                                                                                                                        

구분 계 10 대 20 대 30 대 40 대이상

인원 ( 명 ) 5,052 2,193 1,661 777 421

비율 (%) 100 44 33 15 8

※ 5,052 명은 구속 · 기소 인원 합한 수치임

사이버 범죄 통계 ( 직업별 )

                                                                                                                                                                                                                                        

구분 계 학 생 무 직 회사원 자영업 기 타

인원 ( 명 ) 5,052 2,039 1,398 735 404 476

비율 (%) 100 40 28 15 8 9

※ 5,052 명은 구속 · 기소 인원 합한 수치임

Prof. Jk LEE/security 21

컴퓨터범죄 ?

컴퓨터 범죄 유형과 사례를 조사하여 이에대한 문제점과 대책에 대한 분석

제출기일 : 2002 년 9 월 30 일방법 : 1~3 인 조 편성 가능 단 , 담당 작성 부분 표시유의사항 : 각자의 멜 주소를 기입 요망

Prof. Jk LEE/security 22

정보보안의 특성과 목표정보보안의 특성과 목표

정보보안의 특성 완전함이 없다 컴퓨터성능 향상과는 무관 대책 설치시 효과서 측정이 어려움 대책의 효과성 측정이 어렵다 여러방법들의 혼합적사용으로 위험의 감소 자신이 문제임

Prof. Jk LEE/security 23

정보보호의 목표정보보호의 목표 정보보호는 비용을 초래

구매 , 관리 , 개발등 무 대책 또한 손실 초래

직접손실 간접손실

궁극적인 목표 비용과 손실의 최소화 비용과 피해수준간의 균형유지

Prof. Jk LEE/security 24

정보보안에 대한 기존 모델정보보안에 대한 기존 모델 보안관리모델

생명주기 , 위험관리 요구사항 , 조직기능

접근제어모델 Reference model Lattice model Information flow model: Bell-Lab.Biba Model

시스템구축 기술모델 ISO security reference model distributed system security models

보안성 평가 및 인증모델 TCSEC(Trust computer security criteria),ITSEC(Information Technology Security Evaluatio

n and Certification),FC(Federal Criteria),CC(Common Criteria)

기술에 의한 모델이 대부분

Prof. Jk LEE/security 25

정보보안 시스템 구축 방법론정보보안 시스템 구축 방법론

정보보호 기획 기본통제분석 / 위험분석 정보보호 정책수립 / 수정

정보보호 시스템 구현 정보보호 구조 수립 및 시스템 구현 시험 및 검증

정보보호 시스템 유지보수 교육 및 훈련 변경관리

Prof. Jk LEE/security 26

정보보안관리 의 개념과 모델정보보안관리 의 개념과 모델

정보보안관리 정의 조직의 목표지원 생명주기를 기획 , 관리 환경에대한 긍정적 / 부정적 영향력 정보보안 활경 달성

Prof. Jk LEE/security 27

정보보안관리체제정보보안관리체제

초기경영자 사업목표

보안관리자 정보보안정책

통제체계관리자

위험관리

통제영역감사

Prof. Jk LEE/security 28

정보보안관리기능 정보보안계획수립 정보보안 목적 , 전략 및 정책을 결정 보안대책 선정 정보보안 정책 및 절차를 문서화 정보보안 조직을 구성 정보보안 인식제고 프로그램을 개발 보안대책의 구현과 운영을 감시

Prof. Jk LEE/security 29

정보보안관리과정

요구사항단계IT 보안정책

요구사항

위험분석단계상위위험분석세부위험분석기본통제분석

위험평가단계비용효과분석보안대책선정

정책수립단계IT 시스템보안정책

사후관리단계보안감사사고처리

감시 / 검토변경관리

구현단계보안아키텍쳐

H/W,S/W 관리교육훈련

계획수립단계IT 보안

계획

Prof. Jk LEE/security 30

정보보안에 대한 편경 업무절차 부과 창의성 소요비용과다 생산성저하 시스템 정보보안 모델

부적합한 정보보안 모델 물리적 보안 개념 부정적 기초 적극적 시각 균형유지 필요

정보보안의 부정적 환경

Prof. Jk LEE/security 31

임시방편대응 보안문제 / 수행능력간의 차이 정보보안 계획에 대한 인식 및 노력부족

정보과다 필요정보와 실제정보와의 차이

불충분한 자원과 인력 조직의 불충분한 투자

Prof. Jk LEE/security 32

정보보안의 부정적 환경정보보안의 부정적 환경

정보자원관리의 상대적 보급실패 정보시스템 계획과 사업전략과의 통합부진 정보보안의 광범위적 영역 최고경영층의 인식부재 정보보안전문가의 단시안적 대체능력 성과측정의 어려움 상이한 언어사용에 따른 의사소통의 어려움

Prof. Jk LEE/security 33

정보보안의 성공적 요인정보보안의 성공적 요인

적절한 조직구조 책임 관련자와 역할

관리층의 경각심 및 인식제고 적절한 피트백 제공 취약성 부각 위험분석 사내교육

Prof. Jk LEE/security 34

정보보안 위험관리정보보안 위험관리 조직의 위험 평가후 위험감소행위 효과성제고를 위한 위험관리수행 위험분석 보안관리 > 위험관리 > 위험분석

검토범위 자산식별

자산가치 / 의존도평가기존보안대책평가

취약성평가위험평가 위험평가

위험분석 제약조건

대책선택

IT 시스템보안정책

IT보안계획

위험수용

Prof. Jk LEE/security 35

위험분석에서 보안요소간의 관계위험분석에서 보안요소간의 관계

위협

위협위협취약성취약성

자산자산

보안대책보안대책

보안요구사항보안

요구사항가치가치

공격

노출

증가증가방어대상

충족표시

증가 보유

Prof. Jk LEE/security 36

2.Network security2.Network security

정보에 관한 관련변환 양통신 주체간의 비밀정보공유

- 보안관련 알고리즘의 설계- 변환 알고리즘과 병용될 정보의 생성- 비밀정보의 분배및 공유방법의 개발- 보안알고리즘과 프로토콜의 지정

Prof. Jk LEE/security 37

네트워크 보안 모델네트워크 보안 모델신뢰된 제 3 자 : 비밀정보의 중재자 , 분배자

통신주체 통신주체

메시지 메시지

정보채널

비밀정보 비밀정보

보안관련변환 적 보안관련변환