SSO(Single Sign=On:단일 인증)

  한 번의 인증 과정으로 여러 컴퓨터 상의 자원을 이용 가능하게 하는 인증 기능으로서 쉽게 말해서 다양한 시스템상에서 업무를 진행할 때 각각의 계정을 이용하는 것이 아니라 하나의 계정을 통하여 하는 것 을 말한다. 중요한 점은 로그인 처리가 여러 시스템에서 각각 필요한 것이 아니기 때문에 편리성이 생기는 반면에, 통합인증의 시작점이 되는 응용 프로그램이나 OS는 접근 보안이 훨씬 중요하게 된다. 그렇기 때문에 OTP를 활용하거나 2 채널 인증을 통하여 보안을 강화할 필요가 있다. [출처 : 위키피디아]

EAM(Extranet Access Mgmt:권한관리)

  쉽게 말해서 SSO방식에 권한 관리가 추가된 형태이다. 다양한 환경에서 하나의 ID를 이용하는것에서 더 나아가 관리자는 각 ID에 대해서 각각의 시스템에 대해 권한을 차등 부여하는 것 까지 포함한다. 

4A1P

    • 인증(Authentication) : 시스템에 접근하는 사용자를 확인한다. 일반적으로 ID/PWD 방식이 가장 널리 사용되며 보안성을 강화하기 위해 암호 PKI 기술들이 이용된다.
    • SSO : 통합 인증된 사용자가 개별 애플리케이션에 추가적인 인증 요구 없이 사용할 수 있어야 한다.
    • 인가,접근제어(Authorization) : 개별 애플리케이션의 각 자원 및 서비스에 대한 인가,접근제어 권한을 관리 툴로 설정하고, 설정된 인가 접근제어 권한이 개별 애플리케이션 동작에 적용이 돼야 한다.
    • 개인화(Personalization) : 통합 인증된 사용자가 개별 애플리케이션에 접근할 때, 접근하는 사용자의 아이덴티티(Identity)와 사용자의 정보를 확인할 수 있는 기술이 제공돼야 한다.
    • 관리(Administration) : 통합 인증을 위한 사용자 계정, 개별 애플리케이션이 인가/접근제어, 개인화를 위한 정보제공의 범위, 감사기능 등을 편리하게 관리할 수 있는 기능이 제공돼야 한다.
    • 감사(Auditing) : 전체 시스템에 접근해 통합 인증을 받고 SSO로 개별 애플리케이션에 접근, 인가/접근제어가 수행되는 모든 과정이 감사 기록으로 남아야 한다. [출처 : 경영과 컴퓨터 2004년 2월호]

IAM(Identify & Access Mgmt:계정관리)

  ID와 패스워드를 종합적으로 관리해 주는 역할 기반의 사용자 계정 관리 솔루션이다. 즉, 관리자와 사용자에게 다른 관리 기능을 제공하며, 더불어 SSO 기능과 EAM 기능을 확장 또는 보완 하였다.

-> 계정 관리, 액세스(권한에 따른) 관리, 모니터링과 감시의 세 분야가 통합되어 있음


'Security Cunsulting' 카테고리의 다른 글

[계정관리] OS, Database, Application  (0) 2015.02.18
[Roles & Permissions Matrix] 권한 Matrix  (0) 2015.02.18
정보보안 컨설팅 분야  (0) 2015.01.29
[CPPG] 합격수기  (0) 2014.09.14

권한 매트릭스(Roles and Permissions Matrices)는 사용자의 모든 역할과 시스템 기능 그리고 특별한 기능을 수행하는데에 필요한 허가등을 Grid(격자)형태로 나타낸다. 역할명 은 열에 나타내고 시스템의 기능명은 행에 나타낸다. 두가지 모두 관련된 사항들을 그룹으로 나타낼 수 있다. 아래의 그림은 권한 매트릭스의 템플릿 이다.


예시




'Security Cunsulting' 카테고리의 다른 글

[계정관리] OS, Database, Application  (0) 2015.02.18
[Roles & Permissions Matrix] 권한 Matrix  (0) 2015.02.18
정보보안 컨설팅 분야  (0) 2015.01.29
[CPPG] 합격수기  (0) 2014.09.14

정보보호 컨설팅 교육

Part 3. 위험평가 및 보호대책 수립


* 가장 중요한 것은 방법론이야 어찌됬든 조직이 갖고있는 위협을 어떻게든 없애는것


risk = f(Asset Value, Threat, Vulnerability, Likelihood(발생가능성))

비용/효과(CBA) 측면에서 적절한 보호대책을 수립 적용 하는 것이 중요

지속적인 보안관리 필요

위험평가 방법론 (자산 -> 평가 -> 위협)

기준선 접근법 (기본적인 기준을 정하고 지켜지는지 여부를 판단 but 조직의 특성을 고려하지 않음)

전문가 판단법 

상세위험 접근법 (자산 가치 측정 후 위협과 취약성 분석)


* Information Security Triad (CIA)

기밀성 투명성은 이해가 가지만 가용성은 왜 고려 해야 하는가 ?

시스템을 운영하는데 문제가 없어야 한다. 

인가된 사람이 적합한 정보를 볼 수 있어야 하기 때문

cf. 엘리베이터에서 업무관련 이야기 안하기


취약점

자산에 취약성이 없다면 위협이 발생해도 손실이 나타나지 않음


관리체계 취약점 진단항목(ISO 27001)


1. 보안 정책

2. 보안 조직

3. 자산 관리

4. 인적 자원 보안

5. 물리적 및 환경적 보안

출입통제, cctv, 항온항습기, 에어컨, 습도감습기

6. 통신 및 운영 관리

백업

7. 접근제어

8. 시스템개발 및 유지보수

9. 침해사고 관리

10. 업무연속성 관리

문제가 발생 한 경우 어떤 순서로 해결해 나갈것이지


* 워크시트는 소유권한이 컨설턴트에게 있고 보고서는 클라이언트용

체크리스트는 목적을 따져보고.. 넘겨줄지 판단할 것