티스토리 뷰
반응형
- 정보
- 권한 각 주체와 객체(정보)에 접근하고자 하는 권한
- 정보보호정의
- 일반적
- 법적
- 학술적
- 기밀성
- 무결성
- 가용성
- 접근통제모델
- MAC(강제적접근통제) - 주체가 개체의 보안 레이블을 비교
- DAC(임의적접근통제) - 그룹들의 ID에 근거하여 객체에 대한 접근을 제어
- RBAC(역할기반접근통제) - 직무 권한을 사용자에게 부여하지 않고, 그룹에 부여
- 공통평가기준(CC)
- PP(보호프로파일) - 요구사항의 집합
- ST(보안목표명세서) - 평가를 위한 근거
- EAL(평가보증등급) - 보증컴포넌트
- 정보보호관리체계(ISMS-P)
- 기술적, 물리적 종합적인 관리체계
- 위험분석 방법
- 접근방법
- 베이스라인 접근법 - 비용절감 / 적정선 없음
- 비정형 접근법 - 경험에 의한 접근 고급인력필요
- 상세위험분석 - 단계별 분석 / 고비용
- 복합 접근법 - 상세위험분석 + 베이스라인 / 고비용 부적절 대응 가능
- 정량적 위험분석
- ALE -
- 과거자료 분석법
- 수학공식접근법
- 확률 분포법
- 정성적 위험분석
- 델파이법 - 전문가 집단 구성
- 시나리오법 - 사실에 근거 발생가능성 추정
- 순위결정법 - 비교우위 순위 결정표에 의해 분석
- 접근방법
- 정량적위험분석
- SLE(단일손실예상) = AV(자산가치) * EF(노출요인, 손실율)
- ALE(연간손실예상) = ARO(연간발생률) * SLE(단일손실예상)
- 위험처리전략
- 위험식별 - 위험수용 - 위험감소 - 위험전가 - 위험회피
- 보안모델
- 벨라파듈라 모델 - 허가되지 않은 방식 접근 금지, MAC근간, 기밀성 중심
- 비바 모델 - 수학적 무결성 모델
- 클락-윌슨 모델
- 만리장성 모델
320x100
반응형
댓글
반응형