삼전동해커

접근통제 정책의 이해 및 구성요소접근통제란 정당한 사용자는 허락하고 부당한 사용자의 접근은 거부하는 것이다.로그인을 할 때 ID를 확인하는 것을 식별 이라고 하고, 비밀번호의 확인을 인증이라 한다.아이디와 패스워드를 거쳐 인증이 되면 권한을 부여하는 것을 인가라고 한다.로그인 과정에서 사용자는 주체이고, 파일은 객체이다. 주체가 객체에 접근을 통제하는 것을 접근 통제라고 한다. 접근 통제 기술 강제적 접근 통제(Mandatory Access Control) - 주체와 객체의 보안 등급을 비교하여 접근 권한을 부여.(규칙기반 접근통제) - 보안 관리자가 취급 인가를 허용한 객체에만 접근할 수 있다.(중앙 집중형 관리) - 모든 객체에 대한 관리가 용이하고 엄격한 보안을 제공. - 제한적인 사용자 기능과 관..

정보보호 목표1)기밀성 - 정보가 허가되지 않은 사람에게 노출되지 않도록 하고, 노출되었을 때 알아볼 수 없도록 암호화하는 것을 의미. 2)무결성 - 임의에 의해 정보가 변경되지 않았다는 것을 증명하기 위함. 해시함수를 이용해 무결성을 증명할 수 있음. 3)가용성 - 정당한 사용자가 제 때에 정보를 이용할 수 있어야 함. RAID와 같은 백업 방식을 통해 가용성 유지. 정보보호 공격 유형1)변조 - 원래의 데이터를 바꾸어 악성코드를 실행시키거나 다른 사이트로 이동하게함. 2)가로채기 - 네트워크 상의 데이터를 중간에 훔쳐 보는 것. 스니핑과 같은 공격. 3)차단 - 정상적인 서비스를 방해한는 공격. DDoS와 같이 서비스 자원을 고갈시켜 가용성을 보장하지 못하게 한다. 4)위조 - 송신되는 메세지를 변조..

1. 접근 통제 방법1)Capability List - 주체(사람)별로 객체를 링크드리스트로 연결하고 권한을 할당하는 구조. - 시스템의 모든 파일을 리스트화 한 후 파일별 접근 권한을 나열한 구조. - 주체별로 파일 리스트가 존재하기 때문에 조회하는데 오랜 시간이 걸린다. 2)Access Control List - 주체(사람)와 객체(파일) 간의 접근 권한을 테이블 형식으로 구성. 행에는 주체, 열에는 객체를 두어, 교차점에는 접근 권한을 두어 제어. - 지속적으로 변하는 환경에서는 부적합. 메트릭스 종류1)ACL - 위와 동일 2)CDAC(내용 의존 접근 통제) - DB에서 많이 사용되고, 접근 제어가 내용에 의해 이루어짐. DB에 사용자 정보를 등록하고, 입력된 정보와 비교해 접근 통제 수행ex)직..

1.대칭키와 비대칭키 - 대칭키는 같은 키를 사용해 암,복호화. ex) DES,AES - 비대칭키는 공개키와 개인키를 이용. 공개키로 암호화하고 개인키를 소유한 자가 복호화. ex)RSA,전자서명 2.hash 암호 hash함수의 조건 - 압축 : 임의의 길이의 평문을 고정된 길이의 해시값 생성. - 일방향 : 해시값을 이용해 평문을 유추하기 불가능. - 효율성 : 해시값을 생성하는데 너무 많은 자원과 시간이 들어가면 안된다. - 충돌회피 : 다른 평문으로 같은 해시값을 갖는 두 평문을 구하기는 불가능. - 2차 선이미지 회피성 : x가 주어졌을 때 h(x) = h(x`)인 x`을 찾기는 불가능. 3.은닉 서명 - 서명자의 신원정보를 노출시키지 않는 전자서명 - 문서의 내용이 서명자에게 알려지지 않고 서명..