1 / 37

Computer Security (1 부 )

Computer Security (1 부 ). LIS/Computer Science Dept. Changwon National Univ. 4. +. 26. =. 30. 입력한 계좌번호가 과연 지금 연계하고자하는 은행의 바른 구좌번호인가 ?. 계좌번호. 독일 - 도이치방크. 0291864. 비밀코드의 변환 ??. 029186. 4. 1’st. 6th. 2nd. 4 2 3. 6*2 = 12 =>1+2=3. 홀수번의 수 * 2. 0 4 9 2 8 3.

althea-kelly
Télécharger la présentation

Computer Security (1 부 )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Computer Security(1부) LIS/Computer Science Dept. Changwon National Univ. Prof. Jk LEE/security

  2. 4 + 26 = 30 입력한 계좌번호가 과연 지금 연계하고자하는 은행의 바른 구좌번호인가? 계좌번호 독일- 도이치방크 0291864 비밀코드의 변환?? 029186 4 1’st 6th 2nd 4 2 3 6*2 = 12 =>1+2=3 홀수번의 수 * 2 0 4 9 2 8 3 + + + + + = 26 10의 배수 Oh, yes! Prof. Jk LEE/security

  3. Contents • 1. Is there A security Problem in Computing? • 2. Basic Encryption and Decryption • 3. Secure Encryption Systems Prof. Jk LEE/security

  4. 1. Is there a security problem in computing? • Risks of computing • Goals of secure computing:confidentially, integrity, availability • Threats to security in computing: interception,interruption,modification,fabrication • Controls: encryption,programming controls,operating systems,network control,administrative controls,law and ethics Prof. Jk LEE/security

  5. how people protect/how banks protect money 1000 만원의 크기는? • size and portability: • ability to avoide physical contact: • value of assets: 전자화폐 사이버뱅킹 제반 자료의 정보화 Prof. Jk LEE/security

  6. Kinds of security breaches • Exposure : form of possible loss • Vulnerability:weaknesshardware • Attack: • Threats:loss or harm • Control:protective measure software Prof. Jk LEE/security

  7. Interception interruption fabrication modification System security threats Prof. Jk LEE/security

  8. Security goals • Confidentiality: - accessible only by authorized parties • integrity: - modified by authorized parties or in ways • availability: - not prevented from accessing of authorized parties Prof. Jk LEE/security

  9. Interruption (denial of service) Interception (Threft) Hardware Interruption(loss) Interruption (deletion) Interception data software Interception modification fabrication modification Vulnerabilities Prof. Jk LEE/security

  10. Interruption (denial of service) Interception (Threft) Hardware • Threats to hardware: Simple point to attack Prof. Jk LEE/security

  11. Threats to software: - software deletion - software modification: * Trojan horse * Trapdoor * Virus * Information Leaks - software theft Prof. Jk LEE/security

  12. data data data confidentiality integrity availability data Secure data • Threats to Data: Prof. Jk LEE/security

  13. Other Exposed Assets: - storage media - Network - access -key people Prof. Jk LEE/security

  14. Methods of defense • Controls: - encryption - software control - hardware controls - polices - physical control • Effectiveness of controls: - awareness of problem - likelihood of use - overlapping controls - periodic review Prof. Jk LEE/security

  15. 정보보안의 필요성 • 정보보안의 중요성 • 이익창출과 자산 보호 • 정보는 제3의 자산 • 정보자산의 보호가 필요 • 기대손실의 증가 Prof. Jk LEE/security

  16. 정보보안이 조직에서의 비중증대 • 과거: 조직의 부대비용 • 공포전술에 의한 소극적/부정적 인식 • 현재:조직의 비교우위 창출 수단 • 마케팅/판매 개념->적극적 사고 • 양심적 기업이미지 • 신제품 및 서비스 창출 • 경쟁력제고 • 미래:생존을 위한 필수조건 Prof. Jk LEE/security

  17. 정보보안의 필요성 • 컴퓨터 범죄의 증가 • 컴퓨터범죄와 일반범죄와의 차이 • Accesibility • Ease of change • Concentration of information • Complexity of software • Impersonal nature • Priviledged position • Non-visibility Prof. Jk LEE/security

  18. 대책??? • 컴퓨터 범죄의 특성 • 적에 대한 인지 확인 불가 • 목적,시기,목표에 대한 예측 불허 • Weakest link strategy • 통계의 무의미 Prof. Jk LEE/security

  19. 홈> 자료실> 경찰통계 사이버 범죄 검거현황 구분 계 해킹바이러스 개인정보침해 통신사기게임사기 불법복제판매 불법사이트운영 명예회손성 폭력 기 타 00 2,190 395 37 461 784 36 193 284 01 24,455 8,099 926 9,141 1,312 722 1,668 5,587 증감 +11.2배 +20.5배 +25배 +19.8배 +1.7배 +20.1배 +8.6배 +9.1배 Prof. Jk LEE/security

  20. 사이버 범죄 통계 (직업별) 사이버 범죄 통계 (연령별) 구분 구분 계 계 학 생 10대 무 직 20대 회사원 30대 자영업 40대이상 기 타 인원 (명) 인원 (명) 5,052 5,052 2,039 2,193 1,398 1,661 735 777 404 421 476 비율 (%) 비율 (%) 100 100 40 44 28 33 15 15 8 8 9 ※ 5,052명은 구속·기소 인원 합한 수치임 ※ 5,052명은 구속·기소 인원 합한 수치임 Prof. Jk LEE/security

  21. 컴퓨터범죄? 컴퓨터 범죄 유형과 사례를 조사하여 이에대한 문제점과 대책에 대한 분석 제출기일: 2002년 9월30일 방법: 1~3인 조 편성 가능 단, 담당 작성 부분 표시 유의사항: 각자의 멜 주소를 기입 요망 Prof. Jk LEE/security

  22. 정보보안의 특성과 목표 • 정보보안의 특성 • 완전함이 없다 • 컴퓨터성능 향상과는 무관 • 대책 설치시 효과서 측정이 어려움 • 대책의 효과성 측정이 어렵다 • 여러방법들의 혼합적사용으로 위험의 감소 • 자신이 문제임 Prof. Jk LEE/security

  23. 정보보호의 목표 • 정보보호는 비용을 초래 • 구매,관리,개발등 • 무 대책 또한 손실 초래 • 직접손실 • 간접손실 • 궁극적인 목표 • 비용과 손실의 최소화 • 비용과 피해수준간의 균형유지 Prof. Jk LEE/security

  24. 정보보안에 대한 기존 모델 • 보안관리모델 • 생명주기,위험관리 • 요구사항,조직기능 • 접근제어모델 • Reference model • Lattice model • Information flow model: Bell-Lab.Biba Model • 시스템구축 기술모델 • ISO security reference model • distributed system security models • 보안성 평가 및 인증모델 • TCSEC(Trust computer security criteria),ITSEC(Information Technology Security Evaluation and Certification),FC(Federal Criteria),CC(Common Criteria) • 기술에 의한 모델이 대부분 Prof. Jk LEE/security

  25. 정보보안 시스템 구축 방법론 • 정보보호 기획 • 기본통제분석/위험분석 • 정보보호 정책수립/수정 • 정보보호 시스템 구현 • 정보보호 구조 수립 및 시스템 구현 • 시험 및 검증 • 정보보호 시스템 유지보수 • 교육 및 훈련 • 변경관리 Prof. Jk LEE/security

  26. 정보보안관리 의 개념과 모델 • 정보보안관리 정의 • 조직의 목표지원 • 생명주기를 기획,관리 • 환경에대한 긍정적/부정적 영향력 • 정보보안 활경 달성 Prof. Jk LEE/security

  27. 정보보안관리체제 초기경영자 사업목표 보안관리자 정보보안정책 위험관리 관리자 통제체계 감사 통제영역 Prof. Jk LEE/security

  28. 정보보안관리기능 • 정보보안계획수립 • 정보보안 목적,전략 및 정책을 결정 • 보안대책 선정 • 정보보안 정책 및 절차를 문서화 • 정보보안 조직을 구성 • 정보보안 인식제고 프로그램을 개발 • 보안대책의 구현과 운영을 감시 Prof. Jk LEE/security

  29. 정보보안관리과정 요구사항단계 IT보안정책 요구사항 위험분석단계 상위위험분석 세부위험분석 기본통제분석 위험평가단계 비용효과분석 보안대책선정 정책수립단계 IT시스템 보안정책 사후관리단계 보안감사 사고처리 감시/검토 변경관리 구현단계 보안아키텍쳐 H/W,S/W관리 교육훈련 계획수립단계 IT보안 계획 Prof. Jk LEE/security

  30. 정보보안의 부정적 환경 • 정보보안에 대한 편경 • 업무절차 부과 • 창의성 • 소요비용과다 • 생산성저하 • 시스템 정보보안 모델 • 부적합한 정보보안 모델 • 물리적 보안 개념 • 부정적 기초 • 적극적 시각 • 균형유지 필요 Prof. Jk LEE/security

  31. 임시방편대응 • 보안문제/수행능력간의 차이 • 정보보안 계획에 대한 인식 및 노력부족 • 정보과다 • 필요정보와 실제정보와의 차이 • 불충분한 자원과 인력 • 조직의 불충분한 투자 Prof. Jk LEE/security

  32. 정보보안의 부정적 환경 • 정보자원관리의 상대적 보급실패 • 정보시스템 계획과 사업전략과의 통합부진 • 정보보안의 광범위적 영역 • 최고경영층의 인식부재 • 정보보안전문가의 단시안적 대체능력 • 성과측정의 어려움 • 상이한 언어사용에 따른 의사소통의 어려움 Prof. Jk LEE/security

  33. 정보보안의 성공적 요인 • 적절한 조직구조 • 책임 • 관련자와 역할 • 관리층의 경각심 및 인식제고 • 적절한 피트백 제공 • 취약성 부각 • 위험분석 • 사내교육 Prof. Jk LEE/security

  34. 위험분석 제약조건 자산가치/의존도평가 기존보안대책평가 취약성평가 위험평가 검토범위 자산식별 위험평가 대책선택 위험수용 IT 보안계획 IT시스템 보안정책 정보보안 위험관리 • 조직의 위험 평가후 위험감소행위 • 효과성제고를 위한 위험관리수행 • 위험분석 • 보안관리>위험관리>위험분석 Prof. Jk LEE/security

  35. 위험분석에서 보안요소간의 관계 위협 공격 취약성 노출 방어대상 증가 증가 자산 보안대책 위협 보유 충족 증가 표시 가치 보안 요구사항 Prof. Jk LEE/security

  36. 2.Network security • 정보에 관한 관련변환 • 양통신 주체간의 비밀정보공유 - 보안관련 알고리즘의 설계 - 변환 알고리즘과 병용될 정보의 생성 - 비밀정보의 분배및 공유방법의 개발 - 보안알고리즘과 프로토콜의 지정 Prof. Jk LEE/security

  37. 네트워크 보안 모델 신뢰된 제3자:비밀정보의 중재자,분배자 통신주체 통신주체 메시지 메시지 정보채널 비밀정보 비밀정보 보안관련변환 적 보안관련변환 Prof. Jk LEE/security

More Related