보안 정책의 필요성
- 저마다 환경에 맞는 보안 정책을 수립하기 시작
보안 정책의 구조
- 정책
- 지침
- 절차
- 정책에 준하는 문서 = 규정
- 지침에 해당하는 문서 = 세칙과 지침
보안 정책의 구분
- regulatory - 규칙으로 지켜야 하는
- advisory - 참고하거나 지키도록 권유하는
- informative - 정보나 사실을 알리고자 하는
보안 수준에 따른 정책의 구분
- security policy 상위 관리자가 만든 보안 관련 일반 내용 기술 5페이지
- standards 일반적인 표준 절차
- baselines 가장 기본적인 보안 수준
- guidelines 특정 상황에 대한 충고와 방향 , standards 없을 때 참고
- procedures 가장 하위 문서로 각 절차의 세부 내용
보안정책의 주요 요소
- 정보보호관리체계 - 파트1 실행 지침 / 파트2 규격
- ISO/IEC 27001 - 정보보호관리체계에 대한 국제 표준이자 가장 권위 있는 국제 인증
PIMS 에서 요구하는 주요 통제 영역
- 모바일 보안
- 사이버 보안
보안 업무의 역할과 책임
- 정보 보안 관리
- 정보 보안 운영
- 정보 보안 모니터링
보안 솔루션
- VPN : 일반적인 보안 솔루션 , 전용선과 비슷한 용도로 사용하게 하는 솔루션 , 기밀성을 위한 암호화
- IPS : 방화벽과 침입 탐지 시스템의 한계로 대두, 높은 성능을 내기 위해 ASIC 이용
- 스팸 메일 차단 솔루션 : 메일 서버 앞쪽에 위치하여 프록시 메일 서버 , SMTP 프로토콜 , 내부 - 외부
- PC 보안 솔루션 = pc 방화벽 + 백신 , 통합 pc 보안 솔루션
- PC 방화벽 : 방화벽 드라이버 설치, 네트워크 하드웨어 드라이버와 프로토콜 레벨 사이에 방화벽 모듈
- 백신 : 실시간 검사, 백신과 pc방화벽 동시 사용으로 상호 보완
- 통합 PC 보안 솔루션 : 공유 자원 접근 제어, 패치 모니터링, 파일 암호복호, 주변 기기 매체 제어, 자산 ip 관리, 모니터링
- DRM : digital right management 문서 보안 , 열람 편집 인쇄까지 접근 권한 설정 후 통제 , 대부분의 파일
- ESM : enterprise security management 중앙집중화 구조로 모니터링하기 위해 . 접근제어 + 분석 및 모니터링 관리 도구
- SIEM : security information event management 로그 분석, 이상 징후 파악, 경영진 보고 .. 실시간 위험 탐지 및 대응을 위한 로그 데이터 수집, 침해 공격 로그에 대한 포렌식과 신속 검색 및 리포팅
'[ Computer Security ] > Web Security' 카테고리의 다른 글
| [웹보안] 모바일 보안 (0) | 2024.08.26 |
|---|---|
| [웹보안] 웹 서버 보안 (0) | 2024.08.26 |
| [웹보안] 웹 보안의 기본 요소 (2) | 2024.08.26 |
| [워게임/웹해킹] Dreamhack 409 . session-basic (0) | 2024.05.11 |
| [워게임/웹해킹] Dreamhack 267 . devtools-sources (0) | 2024.05.11 |
| [웹보안] 인터넷 해킹과 보안 연습문제 8장 (0) | 2024.04.29 |
| [웹보안] 인터넷 해킹과 보안 연습문제 7장 (0) | 2024.04.29 |
