본문 바로가기

반응형
IT보안
반응형
3

[IT보안] 위험(RISK), 위험관리(RISK Management), 정보보호관리체계(ISMS)란 무엇인지 알아보자! * 위험의 구성요소 - 자산 (Assets) : 조직이 보호해야 할 대상 - 위협 (Threats) : 원치 않은 사건의 잠재적인 원인이나 행위자 - 취약성 (Vulnerability) : 자산의 잠재적인 속성으로, 위협의 이용 대상 - 정보보호대책 (Safeguard) : 위협에 대응하여, 자산을 지키기 위한 대책 * 위험관리(Risk Management) - 위험을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정 * 위험관리 방법 - 위험 감소: 보안 투자를 늘리는 등의 방법으로 위험이 발생할 확률을 줄인다. (개인정보 유출로 인하여 과태료를 지불해야 할 상황) - 위험 회피: 위험이 동반되는 사업을 수행하지 않거나 완전 다른 방법을 사용한다. - 위험 전.. 2020. 10. 11.
[IT보안] XSS(크로스 사이트 스크립팅), CSRF 비교 및 보안 대책 * XSS 공격은 클라이언트를 대상 CSRF 공격은 서버를 대상으로 이루어진다. * XSS 공격 절차 1. HTML 사용이 가능한 게시판, 프로필, 댓글 등에 악성 스크립트(javascript 등)를 삽입 2. 사용자가 사이트를 방문하여 저장되어 있는 페이지에 정보를 요청할 때(게시판 글 읽기 등) 3. 서버는 악성 스크립트를 사용자에게 전달하여 사용자 브라우저에서 스크립트가 실행되면서 공격 * XSS 보안 대책 - 외부입력값에 스크립트가 삽입되지 못하도록 문자변환 함수 또는 메서드를 사용하여 & “ 등을 안전한 함수로 치환 - HTML태그를 허용하는 게시판에서는 허용되는 HTML 태그들을 화이트리스트로 만들어 해당 태그만 지원하도록 한다. * CSRF 공격 절차 - 공격자가 사용자의 cookie.. 2020. 10. 11.
[IT보안] BCP(Business Continuity Planning) 업무 연속성 계획에 대해 알아보자! BCP(Business Continuity Planning)-업무 연속성 계획 각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등의 비즈니스 연속성을 보장하는 계획! 이것은 각종 재해나 재난의 발생을 대비하기 위하여 핵심시스템의 가용성과 신뢰성을 회복하고 시업의 지속성을유지하기 위한 일련의 계획과 절차를 말한다.이것은 단순한 데이터의 복구나 신뢰도를 유지하는 것 뿐 아니라나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화하는 방법과 절차이다. * 필요성 외부 환경 측면 정부 규제 및 준거성: 의무적 비상대응 계획 구축(전자금융거래법 등) 평판 리스크: 시스템 중단시 발생하는 기업 이미지 실추 내부 환경 측면 비즈니스 복잡도 증가: 복구 시간에 따른 급속한 비용증.. 2020. 9. 19.