시험대비 요약 - 1

▣ SLE(단일예상손실) = Asset value(자산가치) * Exposure Factor(노출계수, EF)

    ALE(연간예상손실) = SLE * ARO(연간 발생률)

 

▣ Total Risk(총체적위험) = Threat(위협) * asset value(자산가치)

    Residual Risk(잔여위험) = (위협 * 취약성 * 자산가치) * 통제결함

 

▣ 정책 : 높은 수준의 신뢰성, 경영진에 의해 마련된 일반적 성명, 규제적/권고적/정보적

    표준 : 강제적 성격, 하드웨어와 소프트웨어 제품이 사용되는 방법을 지정함

    기준(baseline) : 환경에서 수용할 수 있는 최소한의 보안수준을 제공

    지침 : 일반적 접근, 권장행위와 운영적인 지침

 

▣ 인증 3가지 유형 - what you are(사용자 고유특성)

                               what you know(사용자 고유지식)

                               what you have(사용자 고유소지물)

 

▣ Type Ⅰ error & Type Ⅱ error

구분	내용
Type Ⅰ error	사용자의 접근을 거부하는 것  FRR(False Rejection Rate)
Type Ⅱ error	사용자의 접근을 허용하는 것  FAR(False Acceptance Rate)
cross-over erro(CER)	백분율 표시, FRR과 FAR이 교차하는 지점 표시  시스템의 정확도를 평가하는 중요수단

 

▣ 생체 인식시 효과성 순위

1. 손바닥 인식(palm)  2. 수형인식  3. 홍채인식(iris)  4. 망막패턴(retina)

5. 지문인식  6. 성문인식  7. 얼굴인식  8. 키보드 동작 인식

 

▣ Least Priviledge & need to Know

구분	내용
Least Priviledge	최소권한원칙
Need to Know	업무수행에 필요한 권한과 허가

 

▣ 커버로스(Kerberos)

항목	내용
대표적인 예	＊ 분산환경을 위한 SSO 시스템의 예
기본적인 기능	＊ 인증(Authentication)과 메시지 보호(message protection)  ＊ end-to-end(단대단) 보안 제공, cryptography key 이용  ＊ 패스워드 대신 비밀키(secret key) 공유
구성요소	＊ KDC(키분배센터), ticket granting service
단점(Weekness)	＊ 기밀성/무결성은 제공, but 가용성은 보장하지 않음  ＊ 패스워드 추측에 취약, dictionary attack에 취약  ＊사용자가 패스워드 변경시 KDC Database도 변경해야 함  ＊ 비밀키의 관리가 필요

 

▣ SESAME -> 커버로스의 취약점을 처리하기 위해 개발된 SSO, 대칭/비대칭 암호화 모두에 기반을 둠.

                      반면 커버로스는 대칭키임. PACs 사용, 유럽에서 개발

 

▣ 접근통제 기법과 기술

종류	내용
규칙기반 접근통제(Rule-Based)	＊ Router/Firewall 등에서 Network 진입 허용, rule 사용의 예  ＊ 강제적 성격, 주체가 객체에 접근하는 방법 기술
사용자 인터페이스 제한(Constrained UA)	＊ 사용자들이 특정한 기능 및 정보를 요청 또는 특정한 시스템 resource에 접근하는 것을 허락하지 않음으로 인해 접근능력 제한  ＊ 데이터베이스뷰(database view)의 한 형태
접근통제 매트릭스(AC matrix)	＊ 주체를 기준으로 객체에 대한 작업 할당, DAC 모델, 접근테이블
능력 테이블(Capability tables)	＊ 주체에 속함(포함됨), matrix에서의 row(열)에 해당
ACLs	＊ 객체에 속함(포함됨), 특정 객체로 접근하도록 인증된 주체들의 목록, matrix의 column(행)에 해당됨
내용종속 접근통제(Content-dependent)	＊ 접근 결정이 단지 주체의 식별 정보(identity)뿐 아니라 데이터(data)에 기반  ＊ 데이터베이스 뷰의 한 형태

 

▣ 집중형 & 비집중형 접근 통제

종류	내용
RADIUS(Remote Authentication Dial-in User Service)	＊ dial-up 사용자의 인증/허가하는 Protocol, 원격접속  ＊ modem pool -> access server -> RADIUS server  ＊ 집중형, PPP와 SLIP 연결을 통해서만 작동
TACACS(Terminal Access Controller Access Control System)	＊ RADIUS와 같은 기능을 제공하는 C/S Protocol  ＊ 전화선을 통해 접속, 인증/허가 프로세스 결합  ＊ 증명서(credential)를 이용, 자격을 검증하여 resource 사용자 인증  ＊ 집중형
XTACACS	＊ 인증, 허가 및 계산 프로세스의 분리, 집중형
TACAC+	＊ two-factor 사용자 인증을 가지고 있는 XTACACS, 집중형
Diameter	＊ 많은 유형의 장치를 여러 유형의 연결을 통해서 인증, 인증 protocol  ＊ protocol에 대한 유연성 제공
비집중형 접근 통제	＊ resource를 기준으로 접근을 통제, 특정 file, data 및 resource에 대한 접근을 더 잘 구별함  ＊ 분산 모델의 형태
Hybrid(혼합형)	＊ 집중형 + 비집중형(분산형)  ＊ 로그온 + 리소스 접근 제한