본문 바로가기

정보보호제품을 선정할 때에 고려해야 할 사항 (NIST 800-36) 정보보호제품을 선정할 때에 고려해야 할 사항으로 NIST 800-36 중에 나온 검토 항목들을 참고하여 기준을 만들면 도움이 될 것으로 보여 적어본다. * 조직 관련- 사용자 커뮤니티- 정보보호 제품과 조직의 미션간 관계- 데이터의 민감도- 조직의 보안 요구사항, 정책, 절차, 운영 이슈(운영, 유지보수, 훈련 등) * 제품 관련- 전체 라이프 사이클 비용 (해당 정보보호 솔루션의 획득과 지원을 포함한)- 사용 편의성- 확장성- 상호운용성 요건- 테스트 요건- 알려진 취약성- 관련된 패치의 적용 요건- 현재 있거나 계획중인 조직의 프로그램, 정책, 절차, 표준 대비 제품 스펙을 검토하기 위한 요구사항 및 방법- 다른 제품과의 보안 관련 의존성- 현재의 인프라와의 상호작용 * 벤더 관련- 특정 제품의 선택.. 더보기
IoT 보안, 네트워킹 관점에서의 참조할만한 표준 문서들 IoT라는 용어는 기술의 트렌드를 알려주기 위한, 비즈니스적인 용어이기 때문에 마치 어디선가 새로운 기술이 뚝딱 떨어져 나온 것 같이 느껴진다.하지만 실상 이를 뒷받침하는 기술은 기존부터 있어왔던 것이어서(당연히도), 통신과 관련된 관점에서는 '유비쿼터스/USN'이란 용어로 앞서 불려왔고, 사용자의 사용사례 관점에서는 '홈네트워크'란 용어로 불려왔다. 순서를 따지자면 '홈네트워크 -> 유비쿼터스/USN -> IoT'가 되겠다.물론 지금은 유비쿼터스나 홈네트워크라 불려졌던 때에 한정지어졌던 것보다 확장 된 개념으로 IoE(Internet of Everything)이란 용어로 재정의 하는 기업이 있을 정도로 그 연결 대상이 '모든 것'이 되긴 하였다. 여튼, 관심이 있는 부분은 보안이므로, 이와 관련된 표준.. 더보기
인터넷 뱅킹 시 인증과정에 대한 이해 인터넷 뱅킹을 위해 은행 홈페이지에 접속하여, 공인인증서를 선택하여 로그인 하는 과정에 대해 개념적으로 이해를 하고 있긴 하지만실제로 어떤 값들이 사용되고 있는지 알지 못해 내용을 찾아 공유합니다. 1. 공인인증서를 사용하여 로그인 할 때의 흐름- "금융부문 암호기술 관리 가이드, 금융보안연구원, 2010.01" 문서에서 '1.가.서비스 흐름' 항목을 보면 설명되어 있다. 2.식별번호를 이용한 본인확인 기술규격- 위 내용 중에 "R값 암호화" 단계가 있는데, 이에 대해서는 아래 규격을 봐야 이해할 수 있다- 전자서명인증관리센터 > 기술규격 (http://rootca.kisa.or.kr/kor/standard/standard01A.jsp)에 있는 "식별번호를 이용한 본인확인 기술규격[v1.21]" 더보기