IT보안 14

ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.3 관리체계 운영, 1.4 관리체계 점검 및 개선

오늘은 1.3 관리체계 운영과 1.4 관리체계 점검 및 개선에 대해서 살펴보겠다. 1.3 관리체계 운영은 1.2 위험관리를 통해 식별된 위험에 대해서 보호대책을 수립하고, 그 보호대책에 대한 이행계획을 수립했다면, 그 이행계획을 실제로 구현하고, 운영할 때의 절차 및 준수사항에 대한 내용이다. 1.4 관리체계 점검 및 개선은 관리체계 기준 및 법적 요건에 따라 관리체계 현황을 점검하고 발견된 문제점에 대하여 재발하지 않도록 대책 수립에 관한 내용이다. I. 관리체계 수립 및 운영 - 1.3 관리체계 운영 1.3.1 보호대책 구현 이행 계획에 따라 효과적으로 보호대책을 구현하고 이행 결과의 정확성/효과성을 경영진이 확인할 수 있도록 보고 보호대책 구현 및 운영 현황을 기록한 운영 명세서 작성 보호대책 이행..

ISMS-P 2020.10.24

ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.2 위험관리

오늘은 1.2 위험관리 분야에 대해서 암기할 내용을 정리하겠다. ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.2 위험관리 1.2.1 정보자산 식별 정보자산 분류기준을 수립하여 관리체계 범위 내의 모든 정보자산을 식별하여 목록화 식별된 정보자산에 대해 법적 요건 및 업무 영향도 등을 고려하여 중요도를 결정하고 보안등급을 부여 정기적으로 정보자산 현황을 조사하여 최신성을 유지 자산명 용도 위치 관리자 관리부서 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가 서비스 영향, 이익 손실, 고객 상실, 대외 이미지 손상 등을 고려 주요 PC를 통제하는 데 사용되는 내부정보 유출 통제 시스템이 누락된 경우 범위 내 제삼자에게 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식..

ISMS-P 2020.10.22

Chapter 03. 공개키 암호와 메시지 인증 - 3.3 메시지 인증 코드(2) - 블록암호기반 MAC

오늘은 메시지 인증코드 공부 두 번째 포스팅이다. 오늘 포스팅은 블록암호기반 MAC에 관한 내용이다. 그럼 오늘 포스팅 시작합니다. Chapter 03. 공개키 암호와 메시지 인증 - 3.3 메시지 인증 코드(2) - 블록 암호기반 MAC □ 암호 기반 메시지 인증코드(CMAC) - AES 또는 3DES 용 b : 블록길이( AES : b=128, 3DES : b=64) n : 블록 개수 (n x b = 메시지길이) M_1, M_2, M_3, ..... , M_n : 메시지 블록 ( 메시지 길이가 b의 정수배가 아닐 경우 패딩 비트를 붙임) K : k비트 암호키( AES : k=128 or 192 or 256, 3DES : k = 112 or 168 ) K' : n비트 암호키 T : 메시지 인증코드 (t..

모의해킹 실습 환경 만들기 1 - virtual box 및 Kali Lunux 설치

나는 정보보호분야에 있지만 모의해킹 분야에 있지는 않다. 시간을 돌릴 수 있다면 나는 관리적 보안 분야가 아닌 모의해킹 분야를 선택하고 싶다는 미련이 남았다. 후회만 하지 말고 혼자 공부해보기로 했다. 책, 블로그 및 요즘은 인프런 같은 사이트에서 동영상 강의도 아주 잘 되어 있어서, 공부할 수 있을 것 같다. 모의해킹은 아무데서나 실습할 수 없다. 본인이 개인적으로 시스템을 가지고 있는 사람은 몇 없을 것이다. 본인의 회사 시스템에 실습을 하면 당연히 회사 업무에 문제가 있을 것이다. 또한, 연고 없는 시스템에 실습을 하다가는 법적 문제가 일어날 수 있다. 따라서 모의해킹을 실습하기 위해서는 가장 먼저 가상 환경을 만들어 줘야 한다. 오늘은 모의해킹 실습을 위한 가상 환경 구축을 공부해보겠다. 실습 환..

모의해킹 2020.10.08

네트워크보안에센셜Chapter 03. 공개키 암호와 메시지 인증 - 3.2 안전 해시함수(2)

Hash 알고리즘의 수학적 구조와 원리를 이해하는 것은 진짜 너무 어렵다. 100% 이해하기보다는, 일단 어느 정도 알고 넘어가야겠다. 나중에 반복해서 보면 언젠가는 100% 이해할 날도 올 거라고 생각한다. 또한, 실무에서는 해시 알고리즘의 구조를 100% 이해하지 않아도 일하는데 크게 지장은 없다. Chapter 03. 공개키 암호와 메시지 인증 - 3.2 안전 해시함수(2) □ SHA-512 알고리즘의 구조 Step 1. 패딩 비트 붙이기 메시지를 추가하여 총 길이를 896(mod1024)이 되도록 만든다. 메시지 길이가 이미 896(mod1024)라면 1024bit를 추가한다. 그러면 패딩비트의 길이 L은 1≦L≦1024이다. 패딩 비트의 첫 번째 값은 1이고 나머지 비트는 모두 0이다. Step..

Chapter 03. 공개키 암호와 메시지 인증 - 3.2 안전 해시함수(1)

하루에 1개의 소단원씩 끝내는건 도저히 못하겠다. 뒤로 갈수록 점점 더 어렵다. ㅠㅠ 정보보호에서 암호학이 가장 자신있는 분야라고 생각했는데, 암호 챕터가 끝나면 좀 쉬워지지 않을까 하는 기대를 하고 있다. ㅠㅠ 안전 해시함수에 대한 원리를 이해하기 위해서 며칠동안 붙잡고 있었다. 그래서 100%이해한 것 같지는 않지만 어느정도 이해한 내용을 적기로 했다. 그래서 안전해시함수 소단원을 끝내지 못했지만 1/2 포스팅 하겠다. Chapter 03. 공개키 암호와 메시지 인증 - 3.2 안전 해시함수(1) □ 안전 해시함수(Secure Hash Function) ㅇ 메시지 인증, 디지털 서명 등에 활용된다. ㅇ 해시함수의 목적은 파일, 메시지, 데이터블록에 대한 지문(Finger Print)을 생성하는 것이다..

Chapter 03. 공개키 암호와 메시지 인증 - 3.1 메시지 인증 방법

Chapter 02. 대칭 암호와 메시지 기밀성Chapter 03. 공개키 암호와 메시지 인증 - 3.1 메시지 인증 방법 암호를 사용하여 적극적 공격에 대응하는 방법으로 메시지 인증 방법이 있다. 데이터가 인증된다는 말은 데이터가 진짜이고 송신자라고 주장하는 근원지로부터 왔다는 것을 확신할 수 있다는 것을 의미한다. □ 관용 암호를 이용한 인증 메시지가 오류 감지 코드와 순서 번호를 포함하는 방법 - 수신자는 메시지가 변경되지 않고, 순서도 틀리지 않았음을 확신할 수 있다. 타임스탬프를 포함하는 방법 - 메시지가 지나는 동안 소요되는 시간지연 이외에 고의적으로 지연되지 않았음을 확신할 수 있다. □ 메시지 암호화 없이 메시지 인증하기 ㅇ 메시지 암호화 없는 메시지 인증이 필요한 경유 동일한 메시지를 다..

ISMS-P 개인정보보호법 주요내용 정리(1) 제2조 ~ 제4조 개인정보 관련 용어 정의, 기본 원칙, 정보주체의 권리

ISMS-P 인증심사원 자격시험 합격 수기를 읽어보면, 대부분 개인정보보호법, 정보통신망법, 정보보호 및 개인정보보호 인증 등에 관한 고시에 있는 내용은 모두 암기했다고 한다. 나도 법적 요건들을 암기하고자 한다. 그래서 오늘은 개인정보보호법을 정리할 것이다. 데이터 3법 개정으로 개인정보보호법에는 가명정보라는 개념이 신규 도입되었다. 또한 기존에 망법에 있던 개인정보보호 내용이 개인정보보호법으로 넘어왔으니 주의 깊게 봐야 할 것 같다. 개인정보보호법 또한 정보통신망법 정리한 바와 같이 내 뇌피셜 상 숙지해야 한다고 생각하는 내용 위주로 정리하였고, 숙지하지 않아도 된다고 판단되는 부분은 기록하지 않았다. 시간 날 때마다 계속 보면서 암기해야지! 개인정보보호법에 대한 자세한 해석을 알고 싶다면 행정자치부..

ISMS-P 2020.09.11

ISMS-P정보통신망법 주요내용 정리(2) 제46조 ~ 제48조의4

제46조(집적된 정보통신시설의 보호) ㅇ 집적정보통신시설 사업자는 다음과 같은 보호조치를 하여야 한다. 정보통신시설에 접근 권한이 없는 자의 접근 통제 및 감시를 위한 기술적/관리적 조치 정보통신시설의 지속적/안정적 운영을 확보하고 화재/지진/수해 등의 각종 재해와 테러 등의 각종 위협으로부터 정보통신시설을 보호하기 위한 물리적/기술적 조치 정보통신시설의 안정적 관리를 위한 관리인원 선발/배치 등의 조치 정보통신시설의 안정적 운영을 위한 내부관리계획(비상시 계획을 포함한다)의 수립/시행 침해사고의 확산을 차단하기 위한 기술적/관리적 조치의 마련 및 시행 (집적정보 통신시설 보호지침 참조) ㅇ 집적정보통신시설 사업자는 사업 개시와 동시에 정보보호 책임보험에 가입하여야 한다. 책임보험의 최저 보험금액은 다음..

ISMS-P 2020.09.11

정보통신망법 주요내용 정리(1) 제2조 ~ 제45조의3

ISMS-P 인증심사원 자격시험 합격 수기 몇 편을 읽어 보았다. 대부분 개인정보보호법, 정보통신망법, 정보보호 및 개인정보보호 인증 등에 관한 고시에 있는 내용은 모두 암기했다고 한다. 나도 정보통신망 이용촉진 및 정보보호 등에 관한 법률[2020.12.10. 시행] (이하 '정보통신망법' 또는 '망법')의 주요 내용을 몽땅 정리하여 숙지하기로 했다. 정보통신망법은 2020년 데이터3법 개정에 따라, 개인정보보호에 관한 내용이 대거 삭제되었다. 따라서, ISMS-P를 위해서 공부해야 할 내용이 생각보다 많지 않다. 내 뇌피셜 상 숙지해야 한다고 생각하는 내용 위주로 정리하였고, 숙지하지 않아도 된다고 판단되는 부분은 기록하지 않았다. 시간 날 때마다 계속 보면서 암기해야겠다. 제2조(정의) 해당 조에서..

ISMS-P 2020.09.10