Working/IT Security 썸네일형 리스트형 정보보안정책 프레임워크 개발 현재 회사에서 정보보안 정책 체계의 개선 작업을 진행중입니다. 최초로 정책 문서의 체계를 마련하기 위한 프레임워크를 만들고 있는 중인데, 아직 최종본은 아니지만 현재까지 만들어놓은 정책 프레임워크를 공개합니다. 뭐 특별한 사항은 없습니다. 기본적으로 ISO27001 모델을 참조했고, 기타 COBiT Security Framwork 등의 Global Standard 등을 참조해서 거~~~의 유사하게 만들어 봤습니다. 기본적인 구조는 Security Policy의 Structure의 정의와 해당 문서들의 LifeCycle을 정의한 기본적인 모델이랍니다. ㅋ 실제 문서 구조는 대부분 동일할겁니다. 아마 저랑 비슷한 작업을 하시는 분들은 이보다는 구체적인 정책서 템플릿일텐데 아마 대부분 대외비로 관리되는 관계로.. Building a Security Policy Framework 원재 : Building a Security Policy Framework for a Large, Multi-national Company, January 20, 2005 출처 : SANS Institute 회사의 정보보안 정책 및 지침, 가이드라인의 재개정을 위해 자료를 수집하던 중, 과거 한번 본 자료이나 스치고 지나가버린 Document를 다시 발견해서 Keep을 해두고 간단한 요약을 해둡니다. 영어에 울렁증이 있는 관계로 해석을 잘못한 경우도 있을지 모릅니다. 그러니 되도록 영어가 되시는 분들은 원문을 보시길 바라겠습니다. 해당 자료는 저자가 회의 정책을 개발하고 이를 유지하는 일렬의 실제 과정을 정리한 문건으로 실제 사내에서 정보보안 정책의 개발시에 참고가 될만한 내용인 듯 싶습니다. 본 문서에.. [2009년 보안이슈]DDoS 이슈와 관련 기사 목록 기존의 분산서비스거부공격이 악의적 목적으로 서비스를 중단시키는데 그 목적이 있다면 서서히 Crimeware화 되어가는 추세인 듯 싶습니다. 즉, C&C 서버를 통해 BotNet을 가동함과 동시에 공격사이트를 통해 협박을 가하는 형식으로 금전적 이득을 추구하는 경향이 있습니다. 실제 국내에서도 그런 사례가 존재했었죠. [2008 보안 사건사고]⑫증권사, DDoS 공격 현실화 첫 대상은 미래에셋그룹이었다. 지난 3월21일 해커 일당은 그룹 홈페이지에 집중 접속하는 방식을 사용, 사이트를 다운시킨 다음 공격중단의 대가로 5000만원의 금품을 요구했다. 물론 이전에도 존재했던 정치적 목적과 같이 금전적 목적이 아닌 전통적 공격을 목적을 가진 경우도 빈번히 발생했습니다. 거물 웹사이트 잡는 DDoS, 또 ‘기승’.. 아이핀 의무도입에 따른 생각 얼마전에 방통위에서 실시한 정통망법 개정안에 대한 공청회에 참석한 적이 있었습니다. 변경된 정통망법 중에 주요 이슈사항이었던 아이핀은 일평균 이용자 수가 포털의 경우 5만명 이상, 전자상거래나 게임사이트의 경우 1만명 이상이면 의무적으로 도입해야만 한다는 것이었습니다. 방통위에서 발표한 내용상으로는 대상사업자를 이용하는 전체 사용자의 96~99%는 주민등록번호 제공없이 회원가입을 하게 된다는 것이었습니다.(네이버 같은 사이트는 이미 가입한 3,300백만 가입자의 주민등록번호가 들어가 있는데 쯧.) 또한가지 아이핀과 관련해서 얼마전까지 이슈화되었던 IE만 지원한다는 점이었습니다. [독자 칼럼] '아이핀' 서비스받고 싶으면 MS 써! by 조선일보 "창피하게 스리... 실제 아이핀이 IE만 지원한다기 보다는.. 정 익스플로러를 쓰셔야 한다면 보안은 이렇게... 익스플로러가 연일 취약점으로 인하여 도마에 오르고 있는 중 같습니다. 익스플로러가 파이어폭스나 구글 크롬과 같은 웹브라우저에 비해 보안이 매우 취약하다 할 수는 없지만, 지속적으로 보안 취약점이 발견되고 또한 이를 악용하는 사례도 많은 관계로 되도록 사용을 권하지는 않습니다. 제 경우에는 파이어폭스를 주로 사용하는데, 사실 IE를 쓸때보다 더 편하다는 것은 여러 파이어폭스 사용자들께서도 공감을 하실 겁니다. 다만, 일반 사용자들은 아무래도 기본으로 설치되어 있는 익스플로러가 사용하기 편할 것이고 다른건 아예 관심도 없을 것입니다. 물론 일부 호기심으로 파이어폭스나 크롬을 설치해 놓고 하루이틀 써보다 불편하다는 이유로(ActiveX 때문에....) 또는 아예 존재 자체도 잊고 사용을 안하실 겁니다. 서두가.. ISO27001 Control Objective Checklist 국제 표준 및 국내법에 따르는 보안 정책 및 지침서를 보완하고자 자료를 조사하는 중에 찾은 자료를 등록합니다. (혹시 나중에 잊을까봐 따로 등록해 둡니다.) ISO 27001/27000 Control Objective Checklist and Statement of Applicability 정확한 출처는 모르겠으나 http://www.compliancesforum.com에서 구한 ISO27001 통제항목에 대한 체크리스트 샘플파일입니다. 추가로 ISO 27001에 대한 간단한 소개글을 참조해 보세요. Who can adopt the ISO/ IEC 27001:2005 standard? ISO/ IEC 27001:2005 can be used by any organization. The standard i.. Remote File Inclusion 취약점 분석 및 대책 출처 :http://www.krcert.or.kr 1. 개요 전통적인 인터넷 침해사고에서는 특정 공개 소프트웨어에 대한 취약점이 공개되면서부터 공격이 시작되었다. 일단 공격자가 취약점 정보를 입수하게 되면, 이 취약점을 가지고 있는 버전의 서버를 찾아 수동으로 하나씩 값을 대입해보면서 공격 가능성을 확인하는 패턴을 보여 왔었다. 이러한 전통적인 공격은 사이트 초기페이지를 공격자가 임의적으로 조작하여 자신의 실력을 과시하거나 정치적인 의미를 전달하고자 주로 이용되어 왔었다. 하지만 최근 공격자들은 공개된 취약점에 대한 공격뿐 아니라 스스로 연구하여 개발자도 미처 생각하지 못한 오류를 찾아내어 공격하고, 발견된 공격에 대해서는 일련의 공격패턴을 성립하여 자동화 툴을 이용하는 등 좀 더 세밀한 공격이 이뤄지고.. 이전 1 2 3 4 다음
