정보보안 썸네일형 리스트형 사내 보안성 점검 Checklist 2008년 4월에 작성했던 보안 Checklist의 일부를 재수정하여 개제하는 포스트입니다. 회사의 일반적인 보안점검을 위한 Checklist로서 참조하시기 바라겠습니다. 1. 통신망 웹서버는 올바른 DMZ 구성이 되어 있는가? DMZ 방화벽에는 웹서비스 포트 외 다른 포트가 Open되어 있는가? - 웹서비스 포트 외 다른 서비스가 Open될 경우, 사용서비스 포트와 접속IP 주소를 고정하여 사용하는지 확인(SMTP,DNS사용의 경우 별도 예외) - 내부에서 외부로 나가는 Outbound 포트도 필요한 포트 외 차단하였는지 확인 방화벽 접속로깅을 하고 있으며 보관기간은 충분한가? - 방화벽 접속로깅은 6개월 이상 보관 권고 침입탐지시스템(IDS) 또는 침입방지시스템(IPS)이 가동 중인가? - 근래는 외.. 정보보안정책 프레임워크 개발 현재 회사에서 정보보안 정책 체계의 개선 작업을 진행중입니다. 최초로 정책 문서의 체계를 마련하기 위한 프레임워크를 만들고 있는 중인데, 아직 최종본은 아니지만 현재까지 만들어놓은 정책 프레임워크를 공개합니다. 뭐 특별한 사항은 없습니다. 기본적으로 ISO27001 모델을 참조했고, 기타 COBiT Security Framwork 등의 Global Standard 등을 참조해서 거~~~의 유사하게 만들어 봤습니다. 기본적인 구조는 Security Policy의 Structure의 정의와 해당 문서들의 LifeCycle을 정의한 기본적인 모델이랍니다. ㅋ 실제 문서 구조는 대부분 동일할겁니다. 아마 저랑 비슷한 작업을 하시는 분들은 이보다는 구체적인 정책서 템플릿일텐데 아마 대부분 대외비로 관리되는 관계로.. Building a Security Policy Framework 원재 : Building a Security Policy Framework for a Large, Multi-national Company, January 20, 2005 출처 : SANS Institute 회사의 정보보안 정책 및 지침, 가이드라인의 재개정을 위해 자료를 수집하던 중, 과거 한번 본 자료이나 스치고 지나가버린 Document를 다시 발견해서 Keep을 해두고 간단한 요약을 해둡니다. 영어에 울렁증이 있는 관계로 해석을 잘못한 경우도 있을지 모릅니다. 그러니 되도록 영어가 되시는 분들은 원문을 보시길 바라겠습니다. 해당 자료는 저자가 회의 정책을 개발하고 이를 유지하는 일렬의 실제 과정을 정리한 문건으로 실제 사내에서 정보보안 정책의 개발시에 참고가 될만한 내용인 듯 싶습니다. 본 문서에.. [2009년 보안이슈]DDoS 이슈와 관련 기사 목록 기존의 분산서비스거부공격이 악의적 목적으로 서비스를 중단시키는데 그 목적이 있다면 서서히 Crimeware화 되어가는 추세인 듯 싶습니다. 즉, C&C 서버를 통해 BotNet을 가동함과 동시에 공격사이트를 통해 협박을 가하는 형식으로 금전적 이득을 추구하는 경향이 있습니다. 실제 국내에서도 그런 사례가 존재했었죠. [2008 보안 사건사고]⑫증권사, DDoS 공격 현실화 첫 대상은 미래에셋그룹이었다. 지난 3월21일 해커 일당은 그룹 홈페이지에 집중 접속하는 방식을 사용, 사이트를 다운시킨 다음 공격중단의 대가로 5000만원의 금품을 요구했다. 물론 이전에도 존재했던 정치적 목적과 같이 금전적 목적이 아닌 전통적 공격을 목적을 가진 경우도 빈번히 발생했습니다. 거물 웹사이트 잡는 DDoS, 또 ‘기승’.. ISO27001 Control Objective Checklist 국제 표준 및 국내법에 따르는 보안 정책 및 지침서를 보완하고자 자료를 조사하는 중에 찾은 자료를 등록합니다. (혹시 나중에 잊을까봐 따로 등록해 둡니다.) ISO 27001/27000 Control Objective Checklist and Statement of Applicability 정확한 출처는 모르겠으나 http://www.compliancesforum.com에서 구한 ISO27001 통제항목에 대한 체크리스트 샘플파일입니다. 추가로 ISO 27001에 대한 간단한 소개글을 참조해 보세요. Who can adopt the ISO/ IEC 27001:2005 standard? ISO/ IEC 27001:2005 can be used by any organization. The standard i.. Remote File Inclusion 취약점 분석 및 대책 출처 :http://www.krcert.or.kr 1. 개요 전통적인 인터넷 침해사고에서는 특정 공개 소프트웨어에 대한 취약점이 공개되면서부터 공격이 시작되었다. 일단 공격자가 취약점 정보를 입수하게 되면, 이 취약점을 가지고 있는 버전의 서버를 찾아 수동으로 하나씩 값을 대입해보면서 공격 가능성을 확인하는 패턴을 보여 왔었다. 이러한 전통적인 공격은 사이트 초기페이지를 공격자가 임의적으로 조작하여 자신의 실력을 과시하거나 정치적인 의미를 전달하고자 주로 이용되어 왔었다. 하지만 최근 공격자들은 공개된 취약점에 대한 공격뿐 아니라 스스로 연구하여 개발자도 미처 생각하지 못한 오류를 찾아내어 공격하고, 발견된 공격에 대해서는 일련의 공격패턴을 성립하여 자동화 툴을 이용하는 등 좀 더 세밀한 공격이 이뤄지고.. 천만 고객정보의 유출 사고 천만 고객정보의 유출 사고. 내부 운영자의 보안 유출은 어떻게 할 도리가 없다라는 자조섞인 보안담당자의 한탄 소리가 들르는 듯 하다. 하지만 그 보안담당자(관리자)가 정말 보안에 대해서 아는 사람이라면 분명 내심으로는 막을 수 있었는데 이래저래해서 막지 못했다는 생각을 하고 있으리라.... 그렇다 막을 수는 있었다. 다만 보안이라는 것이 하나를 강화하면 다른 무엇인가를 버려야 하는 법. 보안강화는 곧 편의성의 저하를 가지고 온다. 이는 정책적이든 기술적 보안 강화든 마찬가지의 Side Effect를 가지고 온다. 금번 사태에 가장 쉬운 사전 대책은 고객정보 DB의 암호화를 생각할 수 있다. 특히 주민번호나 패스워드와 같은 중요 개인정보는 단방향 암호화를 하면 적절한 대응책이 될 수도 있을 것이다. 다만 .. 이전 1 2 다음
