Fortinet 자격증 FCF - 사이버 보안 모듈 파트 Part 2

A. 정보 보안 원칙

1. CIA 트라이어드  

정보 보안의 목표를 구성하는 세 가지 원칙이 있습니다. 이러한 원칙은 CIA(Confidentiality, Integrity, and Availability)를 구성하는 기밀성, 무결성 및 가용성입니다.

 

기밀성(Confidentiality): 개인 정보는 기밀로 유지되어야 합니다. 정보에 액세스 하려는 사람이 누구인지, 해당 정보에 액세스 할 권한이 있는지 여부를 알아야 합니다.

 

무결성(Integrity) : 정보가 진짜라는 확신도 있어야 합니다. 정보는 무단 변경으로부터 보호되어야 하며, 변경된 경우에는 이 사실을 알려야 합니다.

 

가용성(Availability): 승인된 당사자는 정보에 접근할 수 있어야 합니다. 안정적인 가용성을 보장하려면 기술, 정책 및 프로세스가 마련되어 있어야 합니다.

 

 

2. DAD 트라이어드  

Infosec은 정보의 공개 및 변경을 방지하기 위해 노력합니다. 또한 승인된 당사자의 정보가 거부되지 않도록 노력하고 있습니다. DAD( Disclosure,  Alteration, Denial )트라이어드로 알려진 이러한 특성은 CIA 트라이어드와 반대입니다. 네트워크 방화벽과 같은 효과적인 보안 솔루션은 DAD 3요소를 무력화하는 데 도움이 됩니다.

 

공개(Disclosure) :  승인되지 않은 당사자에게 기밀 데이터를 노출시킵니다.

 

변경(Alteration) : 데이터가 변경되거나 변경 테스트가 불가능하면 데이터를 신뢰할 수 없게 됩니다.

 

거부(Denial) : 합법적이고 승인된 에이전트가 데이터에 액세스 하는 것을 방지합니다.

 

 

3. AAA (Authentication , Authorization, and Accounting)

세 가지 보안 용어는 AAA(인증, 권한 부여 및 계정, authentication , authorization, and accounting )입니다. AAA는 함께 리소스를 제어하고, 정책을 시행하고, 사용을 감사하는 보안 프레임워크를 구성합니다. 보안 프레임워크는 사용자를 검사하고 연결되어 있는 동안 사용자의 활동을 추적함으로써 네트워크 관리 및 사이버 보 안에서 중요한 역할을 합니다.

인증(authentication) : 사람이나 사물을 식별하고 확인하는 프로세스입니다. IAM(ID 및 액세스 관리) 도구인 AAA 서버는 사용자 이름, 비밀번호 및 기타 인증 도구가 특 정 사용자와 일치하는지 확인하여 사용자의 자격 증명을 저장된 자격 증명 데이터베이스와 비교합니다.

권한 부여(authorization) :  리소스에 대한 액세스를 제어하는 프로세스입니다. 인증 과정에서 사용자는 네트워크나 시스템의 특정 영역에 액세스할 수 있는 권 한을 부여받을 수 있습니다. 사용자에게 부여된 영역 및 권한 집합은 사용자의 신원과 함께 데이터베이스에 저장됩니다. 사용자의 권한은 관리자가 변경할 수 있습니다.

계정(accounting) : 컴퓨터 장치 및 네트워크에서 에이전트 활동을 기록으로 유지하고 추적하는 것입니다. 계정은 사용자가 로그인 한 시간, 사용자가 보내거나 받은 데이터, 인터넷 프로토콜(IP) 주소, 사용한 URI(Uniform Resource Identifier) 및 액세스 한 다양한 서비스와 같은 정보를 추적합니다. 이는 사용자 추세를 분석하고 사용자 활동을 감사하며 보다 정확한 청구를 제공하는 데 사용될 수 있습니다