경영학과, 경제학, 경영정보 등 경영정보시스템 요점 정리 67. 정보시스템 보안 기술

67. 정보시스템 보안 기술

1) 정보기반 보안기술

(1) 정보기반 보안의 개념
● 기밀성 완전성 또는 무결성 가용성 또는 신뢰성을 갖게 하는 방법들

(2) 정보기반 보안의 영역
●  접근 제어
- 인가되지 않은 사용자가 부정한 방법으로 정보자산에 접근하여 부당하게 사용하는 것을
방지하기 위한 서비스
●  인증
- 정보를 송수신하는 당사자가 상대방에 대한 신원을 식별하고 확인하기 위한 서비스
●  기밀성 보장
- 허가되지 않은 사용자가 접근이 허용되지 않은 정보를 획득하더라도 그 정보의 내용을 알
수 없도록 하는 서비스

●  무결성 보장
- 정보시스템에 저장되어 있거나 네트워크를 통하여 전송되는 정보가 부당한 목적으로 위·
변조되는 것을 방지하는 서비스
●  부인 방지
- 정보의 송수신자가 정보의 송수신 사실을 추후에 부인하는 것을 봉쇄하기 위한 서비스

(3) 암호화
●  암호(Cipher or Code)
- 어떤 정보의 내용을 관련자 이외의 사람들이 볼 수 없도록 정보를 특수하게 변환한
그 자체
●  암호화 기술(cryptology)
- 암호를 제작하는 기술 및 체계 또는 그 작업 과정
●  암호화 기술의 목적
- 기밀성, 무결성, 가용성을 저해할 수 없도록 하는 것
- 암호화
●  원래의 메시지를 의도된 수신자를 제외한 누군가에 의해 읽힐 수 없는 형태로
변형시키는 것
- 복호화
●  상대된 전송 장치에서 전송되어 온 디지털 신호를 아날로그 신호로 변환
●  암호화 기술 구현을 위한 필요 사항
- : 암호 알고리즘 정보를 특수한 기호와 체계로 변형하는 특수한 방식
●  키 암호화와 (Key) : 복호화 과정에서 사용되는 암호
- 공개키는 누구라도 접근 가능한 디렉토리에 있어 공개되어 있음
- 개인키는 타인에게 공유되지 않고 인터넷을 통해 전송되지 않음

2) 정보시스템 보안과 통제

(1) 기술적 보안
●  비밀키 암호 시스템
- 대칭암호방식
- 암호화와 복호화에 동일한 키를 사용하는 방식
●  공개키 암호 시스템
- 비대칭키 암호시스템
- 송신자가 수신자의 공개키를 가지고 메시지를 암호화

- 수신자는 개인키를 가지고 해독

 

●  디지털 서명
- 전자화된 문서에 있는 메시지 내용이 수정 혹은 변조되지 않았음을 보장하는 동시에
메시지의 주체인 당사자가 맞다는 것을 제 3자가 확인할 수 있도록 하는 인증방식

(2) 물리적 보안
●  시스템 보안
- 백업용 데이터와 하드웨어 준비 시스템의 분산배치
- 정보시스템에의 접근 통제 사람의 인체적 특성 이용 스마트 카드 감시카메라 이용
●  네트워크 보안
- 방화벽
●  비인가된 네트워크 접근을 막는 컴퓨터 장치
●  특정 보안 규칙을 지키지 않는 메시지나 블록을 검사
- 멀웨어 차단시스템
●  안티바이러스라고도 함
●  바이러스 웜, 다른 멀웨어들을 확인하고 제거하기 위한 소프트웨어 패키지
- 침입탐지시스템
●  다른 컴퓨터가 컴퓨터나 네트워크를 탐색하거나 접근하려는 의도를 감지하는
컴퓨터 프로그램

(3) 관리적 보안
●  법적 제도적 , 장치를 이용해 조직의 정보자원을 보호하기 위한 관련 법규와 정책
① 개인정보보호법
② 전자 서명법
③ 전자거래기본법
④ 암호관련 법규
⑤ 정보보호시스템 수출규제법

(4) 정보시스템 통제
●  일반 통제
- 조직의 정보기술 인프라구조 전역에 걸친 일반적인 설계, 보안, 프로그램의 사용,
데이터 파일에 대한 보안을 관장

- 모든 컴퓨터화된 응용 시스템에 적용
- 포괄적인 통제 환경을 만들기 위한 하드웨어, 소프트웨어, 물리적, 수동적 절차의 결합
- 유형: 소프트웨어 통제, 하드웨어 통제, 컴퓨터 운영통제, 데이터보안 통제, 구현 통제
관리 통제
●  응용 통제
- 급여처리, 주문 처리와 같은 특정 응용시스템에 대한 통제
- 각 응용시스템이 허가된 데이터를 완전하고 정확히 처리하도록 보장하는 자동 및 수동의
절차 포함
- 내용
●  입력 통제 : 시스템에 데이터가 입력될 때 정확성과 완전성 검사
●  프로세스 통제 : 데이터가 갱신되는 동안 데이터의 완벽성과 정확성이
보장된다는 것을 입증
●  출력 통제 : 컴퓨터 처리의 결과가 정확하고 완전하며 적절히 전달되는지
확인해야 함

(5) 위험도 평가
●  특정 활동이나 처리가 제대로 통제되지 않을 때 기업에 미치는 위험도에 대한 수준을 결정
●  위협의 유형
- 연중 발생 확률
- 잠재적 손실, 위협의 가치 환산
- 예측되는 연간 손실

4) 보안대책

(1) 제도적 보안대책
●  사규, 규정 등의 제도적 장치를 통해 정보시스템 보호책을 마련하는 대책
●  시스템 운영을 위한 조직 및 역할 분담, 문서의 관리, 건물 관리 등

(2) 기술적 보안대책
●  정보시스템의 기술적 환경에 대한 보호책을 마련하는 대책
●  하드웨어/소프트웨어, 데이터, 네트워크 보안으로 세분화됨

(3)물리적 보안대책
●  정보시스템에 대한 접근을 통제함으로써 물리적인 피해를 막는 대책
●  전산센터의 시설물 설치 및 관리, 천재지변이나 화재 등 자연재해 예방대책 등

(4) 인적자원의 보안대책
●  시스템 운영자나 사용자 자신들의 보안의식 강화를 통해 시스템을 보호하는 대책