Contents 정보시스템 통제 및 보안의 중요성 시스템 장애요인 정보시스템의 보안대책 정보시스템 통제

Slides:



Advertisements
Similar presentations
연천 새둥지마을 체재형 주말농장 준공식 초청장 오시는 길 주제 일시 장소 21C 경기농촌희망심기 2005년 제1기 교육수료마을
Advertisements

SPARCS Wheel Seminar Mango X Sugoi
출석수업 자료 교과서 범위: 제1장-4장.
10월 충북노회 남선교회 순회 헌신예배 묵 도 기 도 성 경 봉 독 특 송 찬 양 설 교 찬양 / 봉헌 봉 헌 기 도
글에 나타난 시대적 사회적 배경을 파악할 수 있다. 배경 지식과 의미 해석의 관련성을 이해할 수 있다.
패널자료 분석
라오디게아 교회의 교훈 본문 계 3: ○라오디게아 교회의 사자에게 편지하라 아멘이시요 충성되고 참된 증인이시요 하나님의 창조의 근본이신 이가 이르시되 15. 내가 네 행위를 아노니 네가 차지도 아니하고 뜨겁지도 아니하도다 네가 차든지 뜨겁든지 하기를 원하노라.
한알Ⅱ「더불어 살기」전국대회 일정표 날짜 시간 7월 26일(목) 7월 27일(금) 7월 28일(토) 7월 29일(일)
2013학년도 전라북도고등학교신입생 입학전형 기본계획
선거관리위원회 위원 공개모집 4차 공고 제4기 선거관리위원회를 구성하는 위원 모집의
2015학년도 1학기 버디 프로그램 오리엔테이션 (목) 16:00.
열왕기하 1장을 읽고 묵상으로 예배를 준비합시다..
오늘의 학습 주제 Ⅱ. 근대 사회의 전개 4. 개항 이후의 경제와 사회 4-1. 열강의 경제 침탈 4-2. 경제적 구국 운동의 전개 4-3. 사회 구조와 의식의 변화 4-4. 생활 모습의 변화.
전도축제 계획서 *일시 : 2013년 4월 21, 28일 주일 (연속 2주)
2009학년도 가톨릭대학교 입학안내.
한국 상속세 및 증여세 과세제도 한국 국세공무원교육원 교 수 최 성 일.
중세시대의 의복 학번 & 이름.
다문화가정의 가정폭력의 문제점 연세대학교 행정대학원 정치행정리더십 2학기 학번 이름 홍 진옥.
이공계의 현실과 미래 제조업 立國 / 이공계 대학생의 미래 준비
신앙의 기초를 세우는 중고등부 1부 대 예 배 : 11 : 00 ~ 12 : 층 본당
신앙의 기초를 세우는 중고등부 1부 대 예 배 : 11 : 00 ~ 12 : 층 본당
◆ 지난주 반별 출석 보기 ◆ 제 56 권 26호 년 6월 26일 반 선생님 친구들 재적 출석 5세 화평 김성희 선생님
第1篇 자치입법 개론.
교직원 성희롱·성폭력·성매매 예방교육 벌교중앙초등학교 박명희
제5장 새로운 거버넌스와 사회복지정책 사회복지정책이 어떤 행위자에 의해 형성되고 집행되는지, 어떤 과정에서 그러한 일들이 이루어지는지, 효과적인 정책을 위해서는 어떤 일들이 필요한지 등을 본 장에서 알아본다 개인들이 생활을 개선하는 가장 효과적인고 궁극적인 방법은 개별적.
임상시험 규정 (최근 변경 사항 중심으로) -QCRC 보수 교육 과정 전달 교육
서울특별시 특별사법경찰 수사 송치서류 유의사항 서울특별시 특별사법경찰과 북부수사팀장 안   진.
특수학교용 아동학대! 제대로 알고 대처합시다..
사회복지현장의 이해 Generalist Social Worker 사회복지입문자기초과정 반포종합사회복지관 김한욱 관장
학교보건 운영의 실제 한천초등학교 이 채 금.
제 출 문 고용노동부 귀중 본 보고서를 ’ ~ ‘ 까지 실시한 “근로감독관 직무분석 및 교육프로그램 개발에 관한 연구”의 최종보고서로 제출합니다  연구기관 : 중앙경영연구소  프로젝트 총괄책임자 : 고병인 대표.
학습센터란? 기도에 관해 배울 수 있는 다양한 학습 코너를 통하여 어린이들이 보다 더 쉽게 기도를 알게 하고, 기도할 수 있게 하며, 기도의 사람으로 변화될 수 있도록 하는 체험학습 프로그램이다. 따라서 주입식이지 않으며 어린이들이 참여할 수 있는 역동적인 프로그램으로.
Digital BibleⅢ 폰속의 성경 디지털 바이블 2008년 12월 ㈜씨엔커뮤니케이션 ㈜씨엔엠브이엔오.
후에 70인역(LXX)을 좇아 영어 성경은 본서의 중심 주제인 “엑소도스”(출애굽기)라 하였다.
성 김대건 피츠버그 한인 성당 그리스도왕 대축일 공지사항
예배에 대하여.
말씀 듣는 시간입니다..
하나님은 영이시니 예배하는 자가 신령과 진정으로 예배할지니라.
지금 나에게 주신 레마인 말씀 히브리서 13장 8절.
예수의 제자들 담당교수 : 김동욱.
Lecture Part IV: Ecclesiology
KAINOS 날마다 더하여지는 Kainos News 이번 주 찬양 20 / 300 – 20개의 셀, 300명의 영혼
예배의 외부적인 틀II - 예배 음악 조광현.
영성기도회 렉시오 디비나와 묵상기도 2.
성인 1부 성경 공부 지도목사: 신정우 목사 부 장: 오중환 집사 2010년. 5월 9일
남북 탑승객 150명을 태운 디젤기관차가 2007년 5월 17일 오전 경의선 철길을 따라 남측 최북단 역인 도라산역 인근 통문을 통과하고 있다. /문산=사진공동취재단.
성경 암송 대회 한일교회 고등부 (일).
천주교 의정부교구 주엽동본당 사목협의회 사목활동 보고서
III. 노동조합과 경영자조직 노동조합의 이데올로기, 역할 및 기능 노동조합의 조직형태 노동조합의 설립과 운영
여수시 MICE 산업 활성화 전략 ( 중간보고 )
1. 단위사업 관리, 예산관리 사업설정 (교직원협의/의견수렴) 정책 사업 학교 정책 사업 등록 사업 기본정보 목표 설정
※과정 수료자에 한하여 수강료의 80~100% 차등 환급함
평생학습중심대학 프로그램 수강지원서 접수안내 오시는 길 관악구&구로구민을 위한 서울대학교 -- 접수 일정 및 방법 안내--
서비스산업의 선진화, 무엇이 필요한가? 김 주 훈 한 국 개 발 연 구 원.
기존에 없던 창업을 하고 싶은데, 누구의 도움을 받아야 할지 모르겠어요
전시회 개요 Ⅰ. 전시명칭 개최기간 개최장소 개최규모 주 최 참 관 객 현 지 파 트 너 General Information
Homeplus 일 家 양 득 프로그램 소개 2015년 12월.
Home Network 유동관.
통신이론 제 1 장 : 신호의 표현 2015 (1학기).
I. 기업과 혁신.
Chapter 4 – 프로그래밍 언어의 구문과 구현 기법

ESOCOM – IPIX 고정IP서비스 제안서 Proposer ㈜이소컴.
화장품 CGMP 한국콜마㈜.
초화류 종자 시장 규모 100억원 이상(추정, 생산액의 10%정도 차지)
COMPUTER ARCHITECTIRE
[ 한옥 실측 ] 1. 약실측 2. 정밀실측 조선건축사사무소.
14. 컴파일러 자동화 도구 스캐너 생성기 파서 생성기 코드 생성의 자동화
A제조용수/B환경관리/C시설관리 ㈜ 에이플러스 코리아
Introduction to Network Security
Presentation transcript:

『디지털 기업을 위한 경영정보시스템』 홍일유 著 ⓒ 2005 Ilyoo B. Hong. All Rights Reserved 제13장. 정보시스템의 보안과 통제 『디지털 기업을 위한 경영정보시스템』 홍일유 著 ⓒ 2005 Ilyoo B. Hong. All Rights Reserved

Contents 정보시스템 통제 및 보안의 중요성 시스템 장애요인 정보시스템의 보안대책 정보시스템 통제 정보시스템 보안 위협의 개념적 틀 정보시스템 보안의 주요 위협요인 컴퓨터 범죄 정보시스템의 보안대책 4가지 유형 (제도적, 기술적, 물리적, 인적자원) 정보시스템 통제 일반적 통제 애플리케이션 통제 정보시스템 감사 정보시스템의 보안과 통제

정보시스템은 안전한가? 전산조작으로 은행돈 절도 전자우편 폭탄 개인정보 편취사기 (Pishing) 우리은행의 여직원이 자신의 단말기로 허위의 금액을 자신 애인의 계좌로 입금된 것처럼 전산 조작해 은행 돈 18억 3천여 만원을 횡령했다가 검거됨 (매일경제, 2002. 8. 28) 전자우편 폭탄 17세 학생 2명이 전자우편 폭탄(e-mail bomb)을 이용해 컴퓨터 통신업체의 인터넷 메일시스템을 마비시킴 (조선일보, 1997. 8. 23). 개인정보 편취사기 (Pishing) 한 시민이 국내의 한 외국계 은행으로부터 영문 이메일을 받고, 이메일 내의 웹주소를 클릭하자 접속 ID와 비밀번호르 입력하라는 요구를 받음. ‘피싱’이란 금융기관을 사칭하는 이메일을 보내 신용카드번호 등 개인정보를 빼내는 인터넷 사기의 일종임 (조선일보, 2004. 10. 28). 정보시스템의 보안과 통제

정보시스템은 안전한가? - 계속 회사 기술정보 불법 유출 과시욕구에서 바이러스 유포 전산망의 보안시스템 침투 반도체 제조업체의 한 연구원이 5차례에 걸쳐 반도체 웨이퍼 검사장비 운용을 위한 프로그램 330여 개를 회사의 정보시스템으로부터 자신의 홈페이지로 전송한 혐의로 구속 기소됨. 이 연구원은 경쟁업체인 미국 I사로 이 프로그램들을 불법 유출시키려 했으나 사전에 검거돼 다행히 유출은 예방됨 (동아일보, 2004. 10. 25) 과시욕구에서 바이러스 유포 중.고.대학생 4명이 자신들이 직접 제작하거나 기존의 파일을 변형해 만든 컴퓨터 바이러스를 사설 전자게시판을 통해 유포 (중앙일보, 1998. 2. 6) 전산망의 보안시스템 침투 대학생 해커가 하이텔 등의 상용통신망을 해킹하여 1만6천여 명의 접속비밀번호가 저장된 파일을 훔침 (중앙일보, 1997. 8. 27). 정보시스템의 보안과 통제

정보시스템 통제 및 보안의 개념 정보시스템 보안: 다양한 위협요소로부터 데이터 및 정보시스템을 보호하기 위한 방법 혹은 노력 정보시스템 보안: 다양한 위협요소로부터 데이터 및 정보시스템을 보호하기 위한 방법 혹은 노력 정보시스템 통제: 정보시스템 보안을 실행하기 위한 수단/장치 정보시스템 위협요소의 특성: 우연적이든 의도적이든 정보시스템에 치명적일 수 있다. 사람의 의도적인 침입은 빈번하며 그 형태도 매우 다양하다. 정보시스템에의 가해는 유형적 및 무형적 결과로 나타날 수 있다. 정보시스템에 대한 가해 대상은 데이터 뿐 아니라 하드웨어, 소프트웨어, 네트워크 등 다양하다. 정보시스템의 보안과 통제

정보시스템 보안에 대한 위협 결과 위협요소 내 부 외 부 원천 노출 변조 인 간 파괴 비인간 가해자 의도적 비의도적 의도 내 부 외 부 원천 노출 변조 파괴 인 간 비인간 가해자 결과 의도적 비의도적 의도 위협요소 정보시스템의 보안과 통제

정보시스템 위협의 12가지 유형 정보시스템의 보안과 통제

정보시스템 보안의 주요 위협요인 외부환경의 위험 인간의 오류 컴퓨터 범죄 지진, 폭우, 대홍수, 회오리바람, 정전사고, 화재 등의 자연재해 사고 정보시스템 보안사고의 상당수가 인간의 오류에 의해 발생 프로그램 설계, 프로그래밍, 데이터 입력, 프로그램 오작동, 컴퓨터 조작 등 다양한 부분에서 발생 가능 컴퓨터를 주요 수단으로 하여 불법적으로 정보자원을 접속하는 행위 인간의 오류 컴퓨터 범죄 정보시스템의 보안과 통제

컴퓨터 범죄 데이터 조작 불법적인 접속/사용: 적절한 권한이 없이 정보를 접속하거나 유출시키는 행위 (예: 스파이에 의한 적국 국방기밀의 유출) 불법적인 변조: 적절한 권한이 없이 정보를 변조시키는 행위 (예: 은행 계좌정보의 불법 변조를 통해 자금 횡령) 불법적인 삭제: 적절한 권한이 없이 정보를 삭제시키는 행위 (예: 회사에 재정적 피해를 입히기 위해 고객데이터를 삭제) 정보시스템의 보안과 통제

컴퓨터 범죄 - 계속 프로그램 방식 바이러스: 응용프로그램이나 데이터 파일에 첨부되어 사용자의 일상 작업 도중 은연 중에 실행되는 프로그램 워엄: 파일을 변조하거나 삭제하지는 않지만, 시스템 내에서 관련 파일들을 계속 복제시켜 시스템을 마비시키는 프로그램 트로이 목마: 다른 프로그램 내에 숨어 있다가 사용자가 특정 작업을 하는 순간 시스템 장애를 일으키는 프로그램 함정문: 프로그램에 침입하여 일부 명령을 프로그램 내에 추가시키는 프로그램. 사용자가 변조된 프로그램을 실행할 때 예상치 않은 상황 발생 가능 정보시스템의 보안과 통제

바이러스의 감염 경로 정보시스템의 보안과 통제 저장매체 통해 이동 악의에 의해 제3자의 컴퓨터에 바이러스 생성 바이러스 감염 통신네트워크 따라 이동 (예: 파일전송) 정보시스템의 보안과 통제

정보시스템의 보안대책 제도적 보안대책 기술적 보안대책 물리적 보안대책 인적자원의 보안대책 사규, 규정 등의 제도적 장치를 통해 정보시스템 보호책을 마련하는 대책 시스템 운영을 위한 조직 및 역할 분담, 문서의 관리, 건물 관리 등 기술적 보안대책 정보시스템의 기술적 환경에 대한 보호책을 마련하는 대책 하드웨어/소프트웨어, 데이터, 네트워크 보안으로 세분화됨 (예: 방화벽) 물리적 보안대책 정보시스템에 대한 접근을 통제함으로써 물리적인 피해를 막는 대책 전산센터의 시설물 설치 및 관리, 천재지변이나 화재 등 자연재해 예방대책 등 인적자원의 보안대책 시스템 운영자나 사용자 자신들의 보안의식 강화를 통해 시스템을 보호하는 대책 컴퓨터 범죄의 80% 이상이 조직 내부자의 소행으로 나타나고 있어 인적자원의 보안대책 수립이 점차 중요해짐 정보시스템의 보안과 통제

방화벽의 개념도 (네트워크 보안) STOP 정보시스템의 보안과 통제 기업 LAN/WAN 네트웍 서버 인터넷 (50,000여 네트워크) 방화벽 STOP 방화벽 이외에는 접속이 전혀 불가능함 정보시스템의 보안과 통제

정보시스템 통제 일반적 통제 애플리케이션 통제 물리적 통제: 컴퓨터 시설 및 자원 보호 접근 통제: 사용자가 불법적으로 컴퓨터 시스템에 접근하는 것을 제한 데이터 보안 통제: 불법적인 유출, 변조, 파괴 혹은 자연재해로부터 데이터 보호 통신 통제: 통신 네트워크상에서의 데이터 보호 (예: 암호코딩) 관리 통제: 정보시스템의 보안기능을 강화하기 위해 필요 애플리케이션 통제 입력 통제: 데이터의 입력시 데이터가 정확성, 완전성, 일관성을 유지하게 하도록 필요 처리 통제: 데이터의 처리시 데이터의 정확성, 완전성, 일관성을 확인하고 프로그램이 제대로 실행되었는지 확인하기 위해 필요 출력 통제: 애플리케이션 프로그램의 처리결과에 대해 정확성, 유효성, 완전성, 일관성을 확인하기 위해 필요 정보시스템의 보안과 통제

정보시스템 감사 정보시스템 감사 정보시스템 감사의 주요 질문항목: 감사방식의 유형 시스템 통제에 대한 전반적인 점검 기능 시스템에 충분한 통제가 설치되어 있는가? 어느 영역이 통제에 의해 보호되지 못하는가? 불필요한 통제는 없는가? 통제가 적절히 구현되고 있는가? 통제가 시스템의 출력물을 확인하는가? 통제가 제대로 이행되고 있는지 확인할 수 있는 절차가 있는가? 통제가 이행되지 않을 경우 필요한 시정조치가 준비되어 있는가? 감사방식의 유형 컴퓨터 주변의 감사 (auditing around the computer) 컴퓨터 자체의 감사 (auditing through the computer) 컴퓨터에 의한 감사 (auditing with the computer) 정보시스템의 보안과 통제