보안 전문가는 조직 자산의 기밀성, 무결성 및 가용성에 미칠 수있는 잠재적 영향을 기준으로 위협 및 취약성을 평가합니다. 중요한 시스템. 이 평가를 기반으로 보안 팀은 일련의 보안 제어를 구현하여 환경 내의 위험을 줄입니다. 다음 섹션에서는 InfoSec의 맥락에서 이러한 원칙에 대한 정확하고 자세한 설명을 제공 한 다음 이러한 원칙의 실제 적용을 살펴 보겠습니다.
기밀성
기밀성 데이터를 비공개 또는 비밀로 유지하려는 조직의 노력을 나타냅니다. 실제로 무단 공개를 방지하기 위해 데이터에 대한 액세스를 제어하는 것입니다. 일반적으로 여기에는 권한이 부여 된 사람 만 특정 자산에 액세스 할 수 있고 권한이없는 사람이 액세스 권한을 얻지 못하도록 적극적으로 방지하는 것이 포함됩니다. 예를 들어 권한이있는 급여 직원 만 직원 급여 데이터베이스에 액세스 할 수 있어야합니다. 또한 권한이 부여 된 사용자 그룹 내에서 권한이 부여 된 사용자가 액세스 할 수있는 정보에 대한 추가적이고 엄격한 제한이있을 수 있습니다. 또 다른 예 : 전자 상거래 고객이 조직에 제공하는 개인 정보 (예 : 신용 카드, 연락처, 배송 또는 기타 개인 정보)가 무단 액세스 또는 노출을 방지하는 방식으로 보호 될 것으로 기대하는 것이 합리적입니다.
예를 들어 데이터를 훔치거나 변조하기 위해 시스템, 애플리케이션 및 데이터베이스에 대한 무단 액세스를 확보하도록 고안된 직접적인 공격을 통해 기밀성이 침해 될 수 있습니다. 네트워크 정찰 및 기타 유형의 스캔, 전자 도청 (중간자 공격을 통한) 및 공격자의 시스템 권한 상승은 몇 가지 예에 불과합니다. 그러나 인적 오류, 부주의 또는 부적절한 보안 제어를 통해 의도하지 않게 기밀이 침해 될 수도 있습니다. 예를 들면 (사용자 또는 IT 보안에 의한) 암호를 적절하게 보호하지 못하는 경우가 있습니다. 사용자 계정 공유; 물리적 도청 (숄더 서핑이라고도 함) 데이터 암호화 실패 (처리 중, 전송 중 및 저장시) 열악하거나 약하거나 존재하지 않는 인증 시스템; 그리고 물리적 장비 및 저장 장치의 도난.
기밀성을 보호하기위한 대책에는 데이터 분류 및 라벨링이 포함됩니다. 강력한 액세스 제어 및 인증 메커니즘; 처리 중, 전송 중 및 저장중인 데이터의 암호화 스테 가노 그래피; 원격 지우기 기능; 그리고 데이터에 액세스 할 수있는 모든 개인을위한 적절한 교육과 훈련을 제공합니다.
무결성
일상 사용에서 성실성은 전체 또는 완전성을 의미합니다. InfoSec에서 무결성은 데이터가 변조되지 않았으므로 신뢰할 수 있는지 확인하는 것입니다. 정확하고 확실하며 신뢰할 수 있습니다. 예를 들어 전자 상거래 고객은 제품 및 가격 정보가 정확하기를 기대하며 해당 수량, 가격, 재고 여부 및 기타 정보는 주문한 후에 변경되지 않습니다. 은행 고객은 은행 정보와 계좌 잔액이 변경되지 않았 음을 신뢰할 수 있어야합니다. 무결성 보장에는 사용중인 데이터, 전송중인 데이터 (예 : 이메일을 보내거나 파일을 업로드 또는 다운로드 할 때) 및 저장되는 경우 (랩톱, 휴대용 저장 장치, 데이터 센터 또는 클라우드) 보호가 포함됩니다. .
기밀성이있는 경우와 마찬가지로 무결성은 공격 벡터 (예 : 침입 탐지 시스템 조작, 구성 파일 수정 또는 탐지를 피하기 위해 시스템 로그 변경)를 통해 직접 또는 의도하지 않게 사람을 통해 손상 될 수 있습니다. 오류, 관리 부족, 코딩 오류 또는 부적절한 정책, 절차 및 보호 메커니즘.
데이터 무결성을 보호하는 대책에는 암호화, 해싱, 디지털 서명, 디지털 인증서가 포함됩니다. 신뢰할 수있는 인증 기관 (CA)은 개인의 신원을 확인하기 위해 여권이나 운전 면허증을 사용할 수있는 방식과 유사하게 웹 사이트 사용자에게 신원을 확인하는 조직입니다., 침입 감지 시스템, 감사, 버전 제어 ol, 강력한 인증 메커니즘 및 액세스 제어.
무결성은 부인 방지 (non-repudiation)의 개념과 밀접한 관련이 있습니다. 즉, 무언가를 거부 할 수 없습니다. 예를 들어 전자 메일에 디지털 서명을 사용하면 보낸 사람이 메시지를 보낸 것을 거부 할 수 없으며받는 사람은받은 메시지가 보낸 메시지와 다르다고 주장 할 수 없습니다. 부인 방지는 무결성을 보장하는 데 도움이됩니다.
가용성
인증 된 사용자가 필요할 때 액세스 할 수없는 시스템, 애플리케이션 및 데이터는 조직 및 고객에게 거의 가치가 없습니다. 간단히 말해서 가용성이란 네트워크, 시스템 및 애플리케이션이 실행되고 있음을 의미합니다.권한이있는 사용자가 필요할 때 리소스에 적시에 안정적으로 액세스 할 수 있도록합니다.
하드웨어 또는 소프트웨어 오류, 정전, 자연 재해, 인적 오류를 포함하여 많은 것들이 가용성을 위협 할 수 있습니다. 가용성을 위협하는 가장 잘 알려진 공격은 시스템, 웹 사이트, 웹 기반 애플리케이션 또는 웹 기반 서비스의 성능이 의도적으로 악의적으로 저하되거나 시스템이 완전히 저하되는 서비스 거부 공격 일 것입니다. 연결할 수 없습니다.
가용성 보장을위한 대책에는 중복성 (서버, 네트워크, 애플리케이션 및 서비스), 하드웨어 내결함성 (서버 및 스토리지 용), 정기 소프트웨어 패치 및 시스템 업그레이드, 백업, 포괄적 인 재해 복구가 포함됩니다. 계획 및 서비스 거부 보호 솔루션.
원칙 적용
조직의 보안 목표, 업계, 비즈니스 특성 및 적용 가능한 규제 요구 사항에 따라 이 세 가지 원칙 중 하나가 다른 원칙보다 우선 할 수 있습니다. 예를 들어, 특정 정부 기관 (예 : 정보 서비스)에서는 기밀 유지가 중요합니다. $ 1.00와 $ 1,000,000.00 사이의 차이가 치명적일 수있는 금융 부문에서는 무결성이 우선합니다. 가용성은 전자 상거래 부문 (중단 시간이 회사에 수백만 달러의 비용을 초래할 수 있음)과 의료 부문 (중요한 시스템을 사용할 수없는 경우 인명 피해가 발생할 수 있음) 모두에서 중요합니다.
이해해야 할 핵심 개념 CIA 트라이어드에 대해 하나 이상의 원칙에 우선 순위를 두는 것은 다른 원칙의 트레이드 오프를 의미 할 수 있다는 것입니다. 예를 들어 높은 기밀성과 무결성이 필요한 시스템은 다른 시스템 (예 : 전자 상거래)이 더 높은 가치를 부여 할 수있는 초고속 성능을 희생 할 수 있습니다. 이 절충이 반드시 나쁜 것은 아닙니다. 의식적인 선택입니다. 각 조직은 고유 한 요구 사항에 따라 이러한 원칙을 적용하는 방법을 결정하고 원활하고 안전한 사용자 환경을 제공하려는 열망과 균형을 이루어야합니다.
기타 기본 보안 개념에 대해 알아 보려면 보안 제어 란?
을 읽어보십시오. p>