1. 소프트웨어 개발 보안 설계
SW 개발 보안
- 기밀성, 무결성, 가용성
- 자산, 위협, 취약점, 위험
DoS(Denial of Service)
- 시스템의 자원을 부족하게 해 원래 의도된 용도로 사용이 불가능하도록 하는 공격
- SYN Flooding, UDP Flooding, Smurf, Ping Of Death, Land Attack, Tear Drop, Bonk / Boink
DDoS(Distributed Dos)
- 여러 대의 공격자를 분산 배치하여 동싱 동작하게 함으로써 특정사이트를 공격
- DoS를 여러 좀비PC로 수행
- 핸들러, 에이전트, 마스터, 공격자, 데몬 프로그램
DRDoS(Distributed Reflection Dos)
- 공격자가 출발지 IP를 공격대상 IP로 위조해 다수의 반사서버로 요청하여 공격대상자가 다수의 응답을 받게돼 DoS
애플리케이션 공격
- HTTP GET 플러딩, Slowloris, RUDY, Slow HHTP Read DoS, Hulk Dos, Hash Dos
네트워크 공격
- 스니핑, 네트워크 스캐너, 패스워드 크래킹(Dictionary Cracking, Brute Force Cracking, Password Hybrid Attack, Rainbow Table Attack), IP Spoofing, ARP Spoofing, ICMP Redirect 공격, 트로이 목마
버퍼 오버플로우 공격
- 스택 버퍼 오버플로우 공격, 힙 버퍼 오버플로우 공격
시스템 보안 기법
- 포맷 스트링 공격, 레이스 컨디션 공격, 키로거 공격, 루트킷
보안 관련 용어
- 스피어 피싱, 스미싱, 큐싱, 봇넷, APT 공격, 공급망 공격, 제로데이 공격, 웜, 악성 봇, 사이버 킬체인, 랜섬웨어, 이블 트윈 공격, 난독화, Tripwire, Ping, Tcpdump
인증 기술
- 지식기반 인증, 소지기반 인증, 생체기반 인증, 특징기반 인증
서버 접근 통제
- 식별, 인증, 인가, 책임추적성
- 임의적 접근 통제(DAC), 강제적 접근 통제(MAC), 역할기반 접근 통제(RBAC)
접근 통제 보호 모델
- 벨-라파듈라 모델, 비바 모델
암호 알고리즘
- 대칭 키 암호 방식: 블록 암호 방식(DES, AES, SEED), 스트림 암호 방식(RC4)
- 비대칭 키 암호 방식: RSA, ECC, Elgamal, 디피-헬만
- 해시 암호 방식: MAC(HMAC, NMAC), MDC(MD5, SHA)
IPSec
- IP 계층에서 무결성과 인증을 보장하는 인증 헤더, 기밀성을 보장하는 암호화를 이용한 IP 보안 프로토콜
- 전송 모드, 터널 모드
- 인증 프로토콜, 암호화 프로토콜, 키 관리 프로토콜
SSL/TLS
- 4계층과 7계층 사이에서 클라이언트와 서버 간의 암호화, 무결성을 보장하는 보안 프로토콜
- 기밀성, 상호인증, 데이터 무결성
S-HTTP
- 클라이언트와 서버 간에 전송되는 모든 메시지를 각각 암호화하여 전송하는 기술
2. 소프트웨어 개발 보안 구현
시큐어 코딩
- 입력데이터 검증 및 표현, 보안 기능, 시간 및 상태, 에러 처리, 코드 오류, 캡슐화, API 오용
입력 데이터 검증 및 표현 취약점
- XSS, CSRF, SQLI
네트워크 보안 솔루션
- 방화벽, 웹 방화벽, 네트워크 접근 제어 ...
비즈니스 연속성 계획
- 각종 재해, 장애, 재난으로부터 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비즈니스 연속성을 보장하는 체계
- BIA: 장애나 재해로 인해 운영상의 주요 손실을 볼 것을 가정해 시간 흐름에 따른 영향도 및 손실평가를 조사하는 비즈니스 영향 분석
- RTO: 업무중단 시점부터 업무가 복구돼 다시 가동될 때까지의 시간
- RPO: 업무중단 시점부터 데이터가 복구돼 다시 정상가동될 때 데이터 손실 허용 시점
- DRP: 재난으로 장기간에 걸쳐 시설의 운여이 불가능한 경우를 대비한 재난 복구 계획
- DRS: 재난복구계획의 수행을 위한 지속적인 관리체계가 통합된 재해복구센터
DRS
- Mirror Site, Host Site, Warm Site, Cold Site
'Others > 정보처리기사' 카테고리의 다른 글
[정보처리기사] 응용 SW 기초 기술 활용 (0) | 2021.07.08 |
---|---|
[정보처리기사] 애플리케이션 테스트 관리 (0) | 2021.07.07 |
[정보처리기사] 서버 프로그램 구현 (0) | 2021.07.06 |
[정보처리기사] SQL 응용 (0) | 2021.07.06 |
[정보처리기사] 인터페이스 구현 (0) | 2021.07.05 |