1일1끄적

사람에 따라서 액세스할 수 있는 범위를 결정 특정 사람에게 한해서 주어지는 파일과 데이터베이스 등에 액세스할 수 있는 권리를 엑세스군이라고 한다. 이용자와 부서를 상대로 설정하는 일이 많고 필요 최소한의 권한만 부여하는 것을 최소 특권 정책이라고 한다. 보통은 일반 사용자의 권한으로 업무를 하고 관리자로서 업무가 필요한 경우에만 일시적으로 권한을 부여하는 대응 방식을 생각할 수 있다. *강력한 권한을 가리키는 특권 시스템의 정지와 변경 등 매우 강력한 권한을 특권이나 관리자 권한이라고 한다. 악용되면 중대한 문제가 생길 우려가 있기 때문에 필요 시에만 사용한다. *소유권과의 차이 소유자는 이름대로 그 파일과 폴더를 소유하고 있는 권리로 보통은 작성한 사람에게 주어지는 데 대해 액세스 권은 소유자 외의 자..

본인 인증에 추가해서 필요한 허가 특정 개인이 허가된 이용자인지를 식별하는 방법을 인증이라고 하고 판단하는 방법으로는 ID와 패스워드가 많이 이용된다. 또한 인증된 이용자의 액세스권을 제어하고 이용자에게 맞는 권한을 제공하는 것을 인가라고 한다. 부여되는 내용은 수정이 가능한 권한뿐 아니라 참고만 가능한 권한 등이 있다. *식별과의 차이 액세스를 제어하는 경우 식별->인중->인가의 단계를 거친다. 식별은 각 이용자에게 ID를 할당하는 것을 의미하며 사원번화와 메일 주소 등이 사용된다 *평소의 액세스 판정 이용자의 IP 주소 등을 사용하여 평소와 다른 장소에서 액세스 된 경우에 통지하거나 추가로 패수워드 입력을 요구하는 수법에 리스크 베이스 인증이 있다 *기계적 로그인 방지 컴퓨터를 이용한 기계적 로그인과..

Internet Service Provider 인터넷 접속에 필수인 조직 인터넷에 접속하는 서비스를 제공하는 사업자를 ISP 또는 프로바이더라고 한다. 인터넷을 이용하기 위해서는 ISP 이외에 회선 사업자와 계약할 필요가 있다. 많은 프로바이더는 접속 서비스뿐 아니라 전자메일 주소 부여와 홈페이지를 개설할 수 있는 웹 서버 영역 등 회원용으로 다양한 서비스를 제공하고 있다. *회선 사업자와의 차이 회선 사업자가 광 파이버와 케이블 TV등의 물리적 회선을 제공하는 반면 ISP는 접속 서비스를 제공한다 *작성자 정보의 개시 게시판 드에 부적절한 게시물이 있는 경우 경찰의 요구아 있으면 발신자의 IP 주소 정보를 ISP가 공개할 수 있어 개인을 특정할 수 있다

수정되기 전에만 성립하는 공격 취약성이 발견되고 나서 수정 프로그램이 제공되기까지 일어나느 공격을 제로데이 공격이라고 한다. 소프트웨어 개발자는 취약성이 없도록 조사/대응하고 있지만 모든 것을 발견하는 것은 어려우며 공격자에 따라서 먼저 발견되면 제로데이 공격이 이루어진다. 수정 프로그램이 제공되는 날을 1일쨰라고 생각했을 때 그 전날 이전을 의미한다. *공개 전 취약성 진단 웹 애플리케이션과 소프트웨어를 개발한 경우 시큐리티 담당자가 취약성 유무를 체크하는 취약성 진단을 하는 것이 필수다 *취약성 발견자에게 보상금 지급 제로데이 공격의 가능성을 낮추기 위해 사외 전문가에게 취약성의 발견을 의뢰하고 발견자에게 보상금을 지불하는 제도를 도입하고 있는 기업이 늘고 있다 *취약성 정보의 수집 제로데이 공격을 ..