개인정보보호를위한SQLServer사용자DB보안교육
오후
SQL Server 2005 보안 - 필라넷 | 최인규
SQL Server 2005 보안 실습
오전
암복호화 솔루션(H/W) 기반의 DB 보안 실습 - 한국전자증명원 | 박태희 팀장
암호화 실습
2일차 ================
4교시 (3시간 짜리)
DB 보안개론 - WareValley | 백성열 수석
Charka란 제품으로 DB 보안 적용에 대해 설명함
3교시
DB 보안개론 - WareValley | 백용기 이사
관련법안]
1] 정보통신부 고시 제 2005-18호 주의
2] 금감원(검총총6770-01060.2003.9.3)
3] 내부 통제 절차의 효과성에 대한 관리자의 확언을 평가
(나스닥 , 포스코, 국민은행, 한전, 신한금융지주회사, (진행중) SKT,KT,LG필립스CD
4] 바젤 II ISO 17799/BS7799 (ISMS) 관리영역
시장요구]
IT Compliance : 기업, 정부기관 등 정보시스템 사용자가 고객정보 보호, 자료 보관, 재무보고서 공시 등과 관련하여 반드시 따라야 하는 규정, 지침 등의 규제(regulations)를 준수하는 것
기술적 차별성 이해
DB 시스템의 부하가 많은 쪽에서 적은 순 / SQL capture 는 많아지는 순.(1번은 ?%)
1. DBMS 자체 기능을 통한 기록 방식
2. req/res 방식
3. memory dump 방식
4. network packet sniffing 기법을 적용한 기록 방식
결론: 보안을 강화시키기 위해서는 DBMS에 부하를 주지 않는 4번이 필요하다.
DB 보안 적용 방식 3가지]
1. DB 자체 권한 설정을 이용한 보안
- 접속통제, 이력 로깅, data 암호화, 제품별 보안기능 차이, 아키덱트가 internal방식
- 보안기능 수준에 따라 성능 저하 발생,
- 분석 보고서는 제품을 정확히 알아야 한다.
- Auditing : 의심스러운 activity 를 조사
auditing 포함 요소 : user name, os username, session id, terminal id, object 접근 name,
시도 작동/ 작동 경쟁 코드/timestamp
statement auditing
privilege auditing
object auditing
MS-SQL Auditing Tool
2. DB 접근 통제방식을 이용한 보안
작업유형과 접속자수에따라서 스니핑 방식과 게이트웨이 방식을 적용하면 된다.
- Network Sniffing 방식을 활용
* 단점 : 감시는 완전 하나, 불법 접속일 경우 바로 차단 구조가 힘들다.
- Gateway 방식
ip forward : DB 정보를 몰라도 된다. 보안서버만 알면된다.
inline : failover device
- Chakra 제품 을 통한 보안 제품의 구성요소를 설명함.
(쉽게 말해 마케팅)
3. 데이터 암복호화를 통한 DB보안
2교시
정보 보안 개론- 한국전자증명원(EVALI) | 박태희 팀장
가용성이 우선되며, 기밀성, 무결성이 중요
위협으로 부터 관리적보안, 기술적 보안, 물리적 보안 이 유기적으로 이루어진다.
보안 컨설팅은 방법론 밖에 되지 않는다. 관리적 보안이 기반이다.
취약점을 이용하는 침해사고의 증가 추세
1교시
개인정보보호 관련 동향 및 침해 사례 - 함께하는 시민행동 | 박준우
- 카드빚에 대한 법을 보더라도 처음엔 가족에게 알리면 불법이지만,
카드사 부실에 따라 합법으로 적용되기도 하는 것을 보면 개인 정보 침해에 관해서는
대부분 개인적인 소송보다는 감독관청이 해석권을 독점하고 있다.
- 개인정보 자기결정권
=> 계약 체결권 - 수집에 대한 동의권, 이용목적을 구체적으로 알 권리, 기술적/관리적 보호 방침 및 실태를 알 권리
=> 계약 갱신권 - 열람/정정/삭제 청구권, 가입보다 어려운 탈퇴조건 요구 금지
-개인정보보호의 원칙
수집제한의 원칙
안전성 확보의 원칙
목적명확화의 원칙
개인 참가의 원칙
이용제한의 원칙
공개의 원칙
최신성 유지의 원칙
책임의 원칙
수집자: 정당한 권한에 따른 수집/이용
정보주체: 개인정보 자기결정권 보장
-개인정보보호기본법
개인정보보호기본법
공공기관의 개인정보 보호에 관한 법률
정보통신망 이용촉진 및 정보보호등에 관한 법률
신용정보의 이용 및 보호에 관한 법률
1일차 ================
오후
SQL Server 2005 보안 - 필라넷 | 최인규
SQL Server 2005 보안 실습
오전
암복호화 솔루션(H/W) 기반의 DB 보안 실습 - 한국전자증명원 | 박태희 팀장
암호화 실습
2일차 ================
4교시 (3시간 짜리)
DB 보안개론 - WareValley | 백성열 수석
Charka란 제품으로 DB 보안 적용에 대해 설명함
3교시
DB 보안개론 - WareValley | 백용기 이사
관련법안]
1] 정보통신부 고시 제 2005-18호 주의
2] 금감원(검총총6770-01060.2003.9.3)
3] 내부 통제 절차의 효과성에 대한 관리자의 확언을 평가
(나스닥 , 포스코, 국민은행, 한전, 신한금융지주회사, (진행중) SKT,KT,LG필립스CD
4] 바젤 II ISO 17799/BS7799 (ISMS) 관리영역
시장요구]
IT Compliance : 기업, 정부기관 등 정보시스템 사용자가 고객정보 보호, 자료 보관, 재무보고서 공시 등과 관련하여 반드시 따라야 하는 규정, 지침 등의 규제(regulations)를 준수하는 것
기술적 차별성 이해
DB 시스템의 부하가 많은 쪽에서 적은 순 / SQL capture 는 많아지는 순.(1번은 ?%)
1. DBMS 자체 기능을 통한 기록 방식
2. req/res 방식
3. memory dump 방식
4. network packet sniffing 기법을 적용한 기록 방식
결론: 보안을 강화시키기 위해서는 DBMS에 부하를 주지 않는 4번이 필요하다.
DB 보안 적용 방식 3가지]
1. DB 자체 권한 설정을 이용한 보안
- 접속통제, 이력 로깅, data 암호화, 제품별 보안기능 차이, 아키덱트가 internal방식
- 보안기능 수준에 따라 성능 저하 발생,
- 분석 보고서는 제품을 정확히 알아야 한다.
- Auditing : 의심스러운 activity 를 조사
auditing 포함 요소 : user name, os username, session id, terminal id, object 접근 name,
시도 작동/ 작동 경쟁 코드/timestamp
statement auditing
privilege auditing
object auditing
MS-SQL Auditing Tool
2. DB 접근 통제방식을 이용한 보안
작업유형과 접속자수에따라서 스니핑 방식과 게이트웨이 방식을 적용하면 된다.
- Network Sniffing 방식을 활용
* 단점 : 감시는 완전 하나, 불법 접속일 경우 바로 차단 구조가 힘들다.
- Gateway 방식
ip forward : DB 정보를 몰라도 된다. 보안서버만 알면된다.
inline : failover device
- Chakra 제품 을 통한 보안 제품의 구성요소를 설명함.
(쉽게 말해 마케팅)
3. 데이터 암복호화를 통한 DB보안
2교시
정보 보안 개론- 한국전자증명원(EVALI) | 박태희 팀장
가용성이 우선되며, 기밀성, 무결성이 중요
위협으로 부터 관리적보안, 기술적 보안, 물리적 보안 이 유기적으로 이루어진다.
보안 컨설팅은 방법론 밖에 되지 않는다. 관리적 보안이 기반이다.
취약점을 이용하는 침해사고의 증가 추세
1교시
개인정보보호 관련 동향 및 침해 사례 - 함께하는 시민행동 | 박준우
- 카드빚에 대한 법을 보더라도 처음엔 가족에게 알리면 불법이지만,
카드사 부실에 따라 합법으로 적용되기도 하는 것을 보면 개인 정보 침해에 관해서는
대부분 개인적인 소송보다는 감독관청이 해석권을 독점하고 있다.
- 개인정보 자기결정권
=> 계약 체결권 - 수집에 대한 동의권, 이용목적을 구체적으로 알 권리, 기술적/관리적 보호 방침 및 실태를 알 권리
=> 계약 갱신권 - 열람/정정/삭제 청구권, 가입보다 어려운 탈퇴조건 요구 금지
-개인정보보호의 원칙
수집제한의 원칙
안전성 확보의 원칙
목적명확화의 원칙
개인 참가의 원칙
이용제한의 원칙
공개의 원칙
최신성 유지의 원칙
책임의 원칙
수집자: 정당한 권한에 따른 수집/이용
정보주체: 개인정보 자기결정권 보장
-개인정보보호기본법
개인정보보호기본법
공공기관의 개인정보 보호에 관한 법률
정보통신망 이용촉진 및 정보보호등에 관한 법률
신용정보의 이용 및 보호에 관한 법률
1일차 ================
'컴퓨터(InfoTech)' 카테고리의 다른 글
| [linux] Host name / Domain name 에 대해 알고 있는가? (0) | 2005/10/22 |
|---|---|
| [SoftwareFactories] David Chappell 와 김명호 박사 세미나 (0) | 2005/10/19 |
| 개인정보보호를위한SQLServer사용자DB보안교육-전체적인조감. (0) | 2005/10/19 |
| [linux] 훨마우스 가동-불편함을 해결하는 방법 (0) | 2005/10/15 |
| [NetworkingSecurity] linux 와 network (0) | 2005/10/15 |
| [linux] 용어 몇 가지 (0) | 2005/10/15 |
