표제지
요약
목차
1장. 연구의 배경 및 목적 11
1.1. 연구의 배경 11
1.2. 연구의 목적 12
1.3. 논문의 구성 13
2장. 보안위협의 종류 14
2.1. 어플리케이션에 대한 위협 15
가. 응용프로그램 취약점 15
나. 정보유출 17
2.2. 시스템에 대한 위협 17
2.3. 네트워크에 대한 위협 20
가. 직접공격(적극적 공격) 21
나. 간접공격(소극적 공격) 22
다. 경로의 악용 22
3장. 보안위협으로부터 방어를 위한 기술적 보안 24
3.1. 어플리케이션에 대한 보안 24
가. Web Application Firewall 24
나. 데이터베이스에 대한 기술적 보안 26
다. 내부정보유출에 대한 기술적 보안 28
3.2. 시스템에 대한 기술적 보안 29
가. End-Point에 대한 보안 30
나. 서버시스템에 대한 보안 34
3.3. 네트워크 보안 36
4장. Best Practice 기반의 관리적 보안 43
4.1. ISMS(Information Security Management System) 44
4.2. Cobit (Control Objectives for Information and related Technology) 46
4.3. ITIL에서의 보안관리 48
5장. 효율적인 기업 보안의 방안 52
5.1. Best Practices의 공통분모 52
가. 전사적 정보보호 정책 53
나. 정보보호 수행조직 54
다. 보안인식교육 54
라. 접근통제 55
마. 모니터링 및 감사 55
바. 지속적 개선 56
5.2. 효율적인 정보보안 운영을 위한 프레임워크 56
가. 정보자산의 분류 58
나. 정보보호활동 58
다. 생명주기 59
5.3. 사례기반의 비용효율성의 분석 59
가. 전사적 Active Directory 정책의 명세화 60
나. 비용효율성 66
6장. 결론 69
참고문헌 71
Abstract 72
[표2-1] 정보자산의 분류 및 주요 위협 14
[표2-2] OWASP의 상위 취약점 상위 5개. 16
[표2-3] 유출자의 위치에 따른 구분 17
[표2-4] 시스템 취약점의 유형 18
[표2-5] 네트워크 레벨에서의 공격 유형 21
[표3-1] Firewall과 Web Application Firewall의 비교 25
[표3-2] DB암호화 기술과 DB 접근통제 기술의 비교 27
[표3-3] 유출경로에 따른 보안기술 28
[표3-4] End-Point 보안 기술 32
[표3-5] Secure OS의 기능 요구사항 34
[표3-6] 네트워크에서의 보안 37
[표4-1] 정보보호대책 요구사항 45
[표4-2] Cobit의 세부 통제 항목 47
[표4-3] Cobit의 RACI 차트 47
[표4-4] 정보보안 정책 및 조직에 대한 통제 항목 50
[표4-5] 보안 구현의 체크리스트 51
[표5-1] 전사 보안통제 목표 및 이행방안 예시 64
[표5-2] 단순한 솔루션 도입에 따른 비용 예시 66
[표5-3] Active Directory 도입에 따른 비용 예시 66
[그림2-1] 2006년 웹 어플리케이션 취약점 15
[그림2-2] 취약점 노출 후 최초공격까지의 소요 기간 19
[그림2-3] 해킹사고 피해 운영체제별 분류 20
[그림3-1] 네트워크상에서 Web Application Firewall 구성 26
[그림3-2] 웹 보안과 데이터 보안을 위한 시스템 구성 28
[그림3-3] Percentages of Key Types of Incident 30
[그림3-4] 월별 악성코드 피해 통계 31
[그림3-5] 공격대상 기준별 MS보안패치현황 31
[그림3-6] NAC의 동작 절차 33
[그림3-7] 웹 서버 악성코드 통계 2007 35
[그림3-8] 웹을 통한 악성코드 유포 시스템 36
[그림3-9] Firewall 정책 홀을 악용한 우회접근 39
[그림3-10] 국내 인터넷망에 유입된 공격유형 39
[그림3-11] SYN Cookie를 이용한 DDoS 차단 41
[그림3-12] 능동형학습 기반의 DDoS 차단 42
[그림4-1] 인프라스트럭처의 도입 운영 현황 43
[그림5-1] Best Practices의 공통분모 53
[그림5-2] 보안구현의 기본 프레임워크 57
[그림5-3] 프레임워크의 정보보호활동 59
[그림5-4] Active Directory Domain 61
[그림5-5] Group Policy를 통한 매체제어 항목 65
[그림5-6] Group Policy를 통한 패치관리 항목 65
[그림5-7] 솔루션 도입과 AD 구현의 도입·운영비용 비교 67