Learn-Security

안녕하세요..
이 홈페이지는여러분과 함께 보안(Security)에 대해서 알아보려고 합니다.

보안이란:

보안등급:

TCSEC(Trusted Computer System Evaluation Criteria) :

컴퓨터 보안 에 관한 여섯가지 기본 항목
Policy
.....Security Policy
.....Marking

Accountability
.....Identification
.....Accountability

Assurance
.....Assurance
.....Continuous Protection

-- D 등급 : 보안이 거의 또는 전혀 고려되지 않은 상태로 주로 외부에 완전히 공개되어 있는 PC등이 여기에 해당된다.
--C1등급 : 사용자가 서로 침범할수 없게 되어 있다. 정보는 모두 사용자 단위로 접근 허가를 줄수 있어서 모든 사용자는 특정한 정보에 대한 접근 (acess) 권한만을 가질수 있다. 이정도의 보안은 그렇게 강한 보안은 아니며 단지 사용자가 실수로 다른 사용자의 정보를 접근할수 없도록 한 정도이다. 보통의 UNIX시스템이여기에 해당한다.
--C2 등급: C1보다 약간 엄격한 정도로, 사용자들의 로그인(login)정보를 포함하여 보안과 관계된 모든 로그정보를 저장해 두어서 필요할때 보안감사(audting)를 할수 잇도록 하는 정도의 보안이다. 이 정도는 되어야 비로소 안전하다고 할수 있다. 현재는 VMS ( DEC ) , AOS / VS ( Data General )등이 C2정도의 보안등급임을 NCSC ( National Computer Security Center )에서 인정하였다. 현재 UNIX를 C2보안등급으로 바꾸어주는 패키지들이 UNIX 클론(clone)제작 회사들에서 만들어지고 있지만 NCSC에서는 아직 인정해주지 않고 있다.
--B1등급: 우선 C2의 모든것을 포함하여야 한다 그 외에 보안정책이 있어야 하고 모든 데이터는 가가 레이블을 붙일수 있어야 한다. 레이블을 붙인다는것은 자료객체 (data object)에 보안등급 같은것을 정해놓을수 있어서 낮은 보안등급을 가지고 있는 사용자가 높은 보안등급을 가지고 있는 정보에 접근하지 못하도록 하는 것이다.
--B2 등급 : B2에서는 B1의 모든것을 포함하고 보안정책도 일정한 형식을 가지고 정의가 되어 있어야 한다. 보안정책은 시스템의 모든 데이터에 대하여 각각에 대한 접근 방법을 여러가지로 정의할수 잇어야 한다. 이러한 보안은 소프트웨어만으로는 불가능하며 하드웨어적인 뒷받침이 있어야 한다.
--B3 등급 : B2의 모든것을 가지고 있어야 한다. 그리고 운영체제 내부의 보안과 관련된 코드에서 보안과 관련이 없는것은 모두 제거되어야 하며 모듈의 크기가 작아서 분석과 테스트가 가능하여야 한다.
--A1등급 : 이 등급은 B3와 거의 같다 단지 차이가 있다면 그 시스템이 안전하다는 것을 수학적으로 증명하여야 한다는것이다. 그러기 위해서는 시스템 보안에 대한 일정한 형식을 갖춘 모델이 있어야 하며 그것을 검증할수 있는 방법도 제시되어야 한다.

보안제품분류:

하드웨어 보안 제품: 물리적으로 책상등에 고정 시킬수 있는 제품...디스켓 드라이브에 열쇠를 채울수 있는 제품
운영체제 보안 제품: 주로 기존의 운영체제가 제공하는 보안기능들이 사용자의 요구 조건들을 만족하지 못하여 이를 보완해 주는 것들..
데이타 베이스 보안 제품: 현재 널리쓰이고 있는 데이타 베이스에서는 이미 우수한 보안 기능들이 제공되고 있다.
응용 시스템 보안 제품: 응용 시스템상에 소프트 웨어만으로 전자서명 기능을 제공할수 잇는 개발자용 툴이 있다.
PC 보안 제품: PC보안 에는 크게 바이러스.접근통제,불법복제 방지의 3가지 이슈가 있으며 이 세가지 위협에 대응하는 다양한 보안 제품들이 선보이고 있다.
네트워크 보안 제품: 어느층에 보안 기능을 구현하였는가에 따라 사용자의 관점에서 장.단점이 있다.