[들어가면서]
DBguide.net에서 메일이 왔다. 선착순이란 말에 일정 생각하지않고 신청했는데
알고보니 2일짜리 교육이었다. 무료라는 말에 눈치보다 가기로 했다.
강의장 사진 하나 찍어보다. 25명이 강의를 듣는다고 했는데 생각보다 출석이 저조했다.
첫날은 꽤 열심히 들었던 것 같은데 둘째날은 늦게갔고, Microsoft SQL 2005 강의때는 졸기까지했다.
다행히 SQL 2005 베타 1이 인스톨 되어 있어서 로그인 해보고 단순 쿼리 날려보는 것에 만족했다.
wizard 프로그램이 항상되었고, 큰 변화가 있더라. 캡쳐하면서 정리했는데 ^^; 그림 날라가고
일반 ppt도 날라가는 바람에 최인규 강사님께 다시 보내달라고 메일 보냈다. *_*
< 강의장 ... 시설은 굳이다. 건물 낡은것이야 어쩔 수 없는 것이고... >
[소스]
오후
SQL Server 2005 보안 - 필라넷 | 최인규
SQL Server 2005 보안 실습
- End point 기반 인증 (MS에서 사용하는 용어더라!)
* HTTP, 서비스 브로커, 데이터베이스 미러링
CREATE ENDPOINT endpoint.... 구문으로 된다.
STATE=STARTED
AS TCP(LISTEN_PORT=5023)
FOR DATABASE_MIRRORING (ROLE=PARTNER)
go
database mirroing - sp1에 나오는데 sql native drive를 이용해야 된다고 함.
* TCP, named pipe, shared memory
< 교육 내용 정리하려고 적다가 포기 ... 위 부분만 보아도 얼마나 달라지고 추가되었는지
피부로 알것이다.> 거의 보안강좌도 네과목에서 열 다섯 과목 이상으로 늘어났다고 하니... *_*
요약해 보려 했으나, 약간 졸기도 했고, 뭐 그랬다.
아주 많이 바뀌었고, MS SQL 2005에만 해당되는 query도 많아졌다.
ANSI SQL 보니 SYSTEM tables를 보는 방법은 view 로 통일 했단다.
그리고, windows 2003(크게 보면 OS) 와 연동되어 보안이 강화된 것 같다.
최인규 님께서 화두로 이야기 한 것은 열심히 여러번 반복해서 들어야 되고, 미국가서 들었던 경험을
이야기 하시는데 피곤해서 누워 듣는 사람이 있어서 자기도 그랬단다. 그러면서 발상의 전환이 필요하다는
이야기도 하셨다.
또한, 반복해서 공부하고 하나씩 따라해보는 것이 중요하다는 이야기도 했다.
또 놀라운 건 Yukon이 4년전 부터 계획 되어졌고, 한달에 한번씩 세미나를 통해서, 그리고 TechEd 를 통해
계속 학습하고 있었다는 이야길 했는데...
무서운 MS의 저력을 볼 수 있다. 열심히 하는 사람에겐 못당한다는 것을 ... 거기에 oralce이 기술적 선점이
있겠지만, 오라클은 ms에 비해 공격당하지 않는다. 비싼 소프트웨어 비용을 ... 웹으로 온 소식에 따르면,
MySQL 5.0이 출시된다고 하는데... 그것과 아울러 준비해야겠다 생각했다.
오전
암복호화 솔루션(H/W) 기반의 DB 보안 실습 - 한국전자증명원 | 박태희 팀장
하나의 필드를 암호화하여 _NEW 테이블에 저장하고 select문 실행시암호화한 값이 보인다.
위 클릭하면 암호화 방법이 나오는데 암호화 기법 몇가지 제공중이다.
<< ms sql 2005 beta 1에서 보니 이런 기능은 그냥 있더라.*_* >>
그래도 왼쪽 메뉴 그림이 잘안보이는 것 같아서 ... 연결해보았다. 제품이 대부분 applet으로 구현되어 있는것
같더라.^^ 잘은 모름.
이론 수업인 첫시간은 도착하지 못해서 듣지 못했지만, 공개키와 비밀키에 대해 이야기 하던데...
그냥 기본 원리였다.
[ 소개해준 프로그램]
http://www.antwiz.com 이라고 오라클의 sqlplus나 마이크로소프트의 쿼리 분석기 같은 것을 제공하는
회사였는데 꽤 좋더라. mysql 툴도 있긴하더라. 저렴하기도 한데... Open source로 더 나은게 있고,
mysql 사이트에서 제공하는 게 있어서 딱히 돈내고 사용하기엔 그렇더라.
2일차 ================
4교시 (3시간 짜리)
DB 보안개론 - WareValley | 백성열 수석
Charka란 제품으로 DB 보안 적용에 대해 설명함
괜찮은 제품인 것 같다.
법규제때문이라도 아니면 나스닥에 등록하기 위해서라도 이용해야된다고 한다.
100개 기업 이상이 사용중인 것 같은데
Orange 란 오라클 툴 만드는 회사에서 만들었는데
스누핑 기법으로 데이터 서버로 가는 모든 패킷을 저장하고 체크한다.
tomcat/mysql기반이더라.
3교시
DB 보안개론 - WareValley | 백용기 이사
관련법안]
1] 정보통신부 고시 제 2005-18호 주의
2] 금감원(검총총6770-01060.2003.9.3)
3] 내부 통제 절차의 효과성에 대한 관리자의 확언을 평가
(나스닥 , 포스코, 국민은행, 한전, 신한금융지주회사, (진행중) SKT,KT,LG필립스CD
4] 바젤 II ISO 17799/BS7799 (ISMS) 관리영역
시장요구]
IT Compliance : 기업, 정부기관 등 정보시스템 사용자가 고객정보 보호, 자료 보관, 재무보고서 공시 등과 관련하여 반드시 따라야 하는 규정, 지침 등의 규제(regulations)를 준수하는 것
기술적 차별성 이해
DB 시스템의 부하가 많은 쪽에서 적은 순 / SQL capture 는 많아지는 순.(1번은 ?%)
1. DBMS 자체 기능을 통한 기록 방식
2. req/res 방식
3. memory dump 방식
4. network packet sniffing 기법을 적용한 기록 방식
결론: 보안을 강화시키기 위해서는 DBMS에 부하를 주지 않는 4번이 필요하다.
DB 보안 적용 방식 3가지]
1. DB 자체 권한 설정을 이용한 보안
- 접속통제, 이력 로깅, data 암호화, 제품별 보안기능 차이, 아키덱트가 internal방식
- 보안기능 수준에 따라 성능 저하 발생,
- 분석 보고서는 제품을 정확히 알아야 한다.
- Auditing : 의심스러운 activity 를 조사
auditing 포함 요소 : user name, os username, session id, terminal id, object 접근 name,
시도 작동/ 작동 경쟁 코드/timestamp
statement auditing
privilege auditing
object auditing
MS-SQL Auditing Tool
2. DB 접근 통제방식을 이용한 보안
작업유형과 접속자수에따라서 스니핑 방식과 게이트웨이 방식을 적용하면 된다.
- Network Sniffing 방식을 활용
* 단점 : 감시는 완전 하나, 불법 접속일 경우 바로 차단 구조가 힘들다.
- Gateway 방식
ip forward : DB 정보를 몰라도 된다. 보안서버만 알면된다.
inline : failover device
- Chakra 제품 을 통한 보안 제품의 구성요소를 설명함.
(쉽게 말해 마케팅)
3. 데이터 암복호화를 통한 DB보안
2교시
정보 보안 개론- 한국전자증명원(EVALI) | 박태희 팀장
가용성이 우선되며, 기밀성, 무결성이 중요
위협으로 부터 관리적보안, 기술적 보안, 물리적 보안 이 유기적으로 이루어진다.
보안 컨설팅은 방법론 밖에 되지 않는다. 관리적 보안이 기반이다.
취약점을 이용하는 침해사고의 증가 추세
1교시
개인정보보호 관련 동향 및 침해 사례 - 함께하는 시민행동 | 박준우
- 카드빚에 대한 법을 보더라도 처음엔 가족에게 알리면 불법이지만,
카드사 부실에 따라 합법으로 적용되기도 하는 것을 보면 개인 정보 침해에 관해서는
대부분 개인적인 소송보다는 감독관청이 해석권을 독점하고 있다.
- 개인정보 자기결정권
=> 계약 체결권 - 수집에 대한 동의권, 이용목적을 구체적으로 알 권리, 기술적/관리적 보호 방침 및 실태를 알 권리
=> 계약 갱신권 - 열람/정정/삭제 청구권, 가입보다 어려운 탈퇴조건 요구 금지
-개인정보보호의 원칙
수집제한의 원칙
안전성 확보의 원칙
목적명확화의 원칙
개인 참가의 원칙
이용제한의 원칙
공개의 원칙
최신성 유지의 원칙
책임의 원칙
수집자: 정당한 권한에 따른 수집/이용
정보주체: 개인정보 자기결정권 보장
-개인정보보호기본법
개인정보보호기본법
공공기관의 개인정보 보호에 관한 법률
정보통신망 이용촉진 및 정보보호등에 관한 법률
신용정보의 이용 및 보호에 관한 법률
1일차 ================
[느낌]
소개해준 두 제품은 모두 블루오션 전략을 해오고 있는 것 같다.
하지만, 2005가 나오면서 입지가 많이 줄것으로 보인다.
이것이 MS정책이고 보면 소비자에겐 그렇게 나쁘지 않다. 사용해보고 싶어도 비싸서 이용하지 못하니까.
오라클은 툴 지원에 무성의 하다. 거기에 서드파티 툴들은 비싸고...
대용량 지원하는 DB라는 것 말고는 *_*
UI 지원은 역시나 MS-SQL 이 낫다고 보고 가격도 그렇다.
(은행이나 금융의 대형 클라이언트를 제외한)고객은 서비스와 가격에 왔다갔다하기 때문에
적어본다.
강좌의 concept은 좋았으나 좀 밀도 있게 진행해서 하루 반나절로 줄였으면 좋겠다.
금요일과 토요일 오전 이렇게 하면 회사 다니는 사람들도 부담을 들수 있지 않을까?
아니면 토요일 / 토요일로 해도 될 것 같다.
물론, DB를 정품으로 사용하는 회사( 즉, 돈많은 회사들이 *_*)
난 개인적으로 oracle study는 하지만, 서비스론 mysql만 사용한다. ㅋㅋ
[세미나 소개]
DBguide.net에서 메일이 왔다. 선착순이란 말에 일정 생각하지않고 신청했는데
알고보니 2일짜리 교육이었다. 무료라는 말에 눈치보다 가기로 했다.
강의장 사진 하나 찍어보다. 25명이 강의를 듣는다고 했는데 생각보다 출석이 저조했다.
첫날은 꽤 열심히 들었던 것 같은데 둘째날은 늦게갔고, Microsoft SQL 2005 강의때는 졸기까지했다.
다행히 SQL 2005 베타 1이 인스톨 되어 있어서 로그인 해보고 단순 쿼리 날려보는 것에 만족했다.
wizard 프로그램이 항상되었고, 큰 변화가 있더라. 캡쳐하면서 정리했는데 ^^; 그림 날라가고
일반 ppt도 날라가는 바람에 최인규 강사님께 다시 보내달라고 메일 보냈다. *_*
< 강의장 ... 시설은 굳이다. 건물 낡은것이야 어쩔 수 없는 것이고... >
[소스]
오후
SQL Server 2005 보안 - 필라넷 | 최인규
SQL Server 2005 보안 실습
- End point 기반 인증 (MS에서 사용하는 용어더라!)
* HTTP, 서비스 브로커, 데이터베이스 미러링
CREATE ENDPOINT endpoint.... 구문으로 된다.
STATE=STARTED
AS TCP(LISTEN_PORT=5023)
FOR DATABASE_MIRRORING (ROLE=PARTNER)
go
database mirroing - sp1에 나오는데 sql native drive를 이용해야 된다고 함.
* TCP, named pipe, shared memory
< 교육 내용 정리하려고 적다가 포기 ... 위 부분만 보아도 얼마나 달라지고 추가되었는지
피부로 알것이다.> 거의 보안강좌도 네과목에서 열 다섯 과목 이상으로 늘어났다고 하니... *_*
요약해 보려 했으나, 약간 졸기도 했고, 뭐 그랬다.
아주 많이 바뀌었고, MS SQL 2005에만 해당되는 query도 많아졌다.
ANSI SQL 보니 SYSTEM tables를 보는 방법은 view 로 통일 했단다.
그리고, windows 2003(크게 보면 OS) 와 연동되어 보안이 강화된 것 같다.
최인규 님께서 화두로 이야기 한 것은 열심히 여러번 반복해서 들어야 되고, 미국가서 들었던 경험을
이야기 하시는데 피곤해서 누워 듣는 사람이 있어서 자기도 그랬단다. 그러면서 발상의 전환이 필요하다는
이야기도 하셨다.
또한, 반복해서 공부하고 하나씩 따라해보는 것이 중요하다는 이야기도 했다.
또 놀라운 건 Yukon이 4년전 부터 계획 되어졌고, 한달에 한번씩 세미나를 통해서, 그리고 TechEd 를 통해
계속 학습하고 있었다는 이야길 했는데...
무서운 MS의 저력을 볼 수 있다. 열심히 하는 사람에겐 못당한다는 것을 ... 거기에 oralce이 기술적 선점이
있겠지만, 오라클은 ms에 비해 공격당하지 않는다. 비싼 소프트웨어 비용을 ... 웹으로 온 소식에 따르면,
MySQL 5.0이 출시된다고 하는데... 그것과 아울러 준비해야겠다 생각했다.
오전
암복호화 솔루션(H/W) 기반의 DB 보안 실습 - 한국전자증명원 | 박태희 팀장
하나의 필드를 암호화하여 _NEW 테이블에 저장하고 select문 실행시암호화한 값이 보인다.
위 클릭하면 암호화 방법이 나오는데 암호화 기법 몇가지 제공중이다.
<< ms sql 2005 beta 1에서 보니 이런 기능은 그냥 있더라.*_* >>
그래도 왼쪽 메뉴 그림이 잘안보이는 것 같아서 ... 연결해보았다. 제품이 대부분 applet으로 구현되어 있는것
같더라.^^ 잘은 모름.
이론 수업인 첫시간은 도착하지 못해서 듣지 못했지만, 공개키와 비밀키에 대해 이야기 하던데...
그냥 기본 원리였다.
[ 소개해준 프로그램]
http://www.antwiz.com 이라고 오라클의 sqlplus나 마이크로소프트의 쿼리 분석기 같은 것을 제공하는
회사였는데 꽤 좋더라. mysql 툴도 있긴하더라. 저렴하기도 한데... Open source로 더 나은게 있고,
mysql 사이트에서 제공하는 게 있어서 딱히 돈내고 사용하기엔 그렇더라.
2일차 ================
4교시 (3시간 짜리)
DB 보안개론 - WareValley | 백성열 수석
Charka란 제품으로 DB 보안 적용에 대해 설명함
괜찮은 제품인 것 같다.
법규제때문이라도 아니면 나스닥에 등록하기 위해서라도 이용해야된다고 한다.
100개 기업 이상이 사용중인 것 같은데
Orange 란 오라클 툴 만드는 회사에서 만들었는데
스누핑 기법으로 데이터 서버로 가는 모든 패킷을 저장하고 체크한다.
tomcat/mysql기반이더라.
3교시
DB 보안개론 - WareValley | 백용기 이사
관련법안]
1] 정보통신부 고시 제 2005-18호 주의
2] 금감원(검총총6770-01060.2003.9.3)
3] 내부 통제 절차의 효과성에 대한 관리자의 확언을 평가
(나스닥 , 포스코, 국민은행, 한전, 신한금융지주회사, (진행중) SKT,KT,LG필립스CD
4] 바젤 II ISO 17799/BS7799 (ISMS) 관리영역
시장요구]
IT Compliance : 기업, 정부기관 등 정보시스템 사용자가 고객정보 보호, 자료 보관, 재무보고서 공시 등과 관련하여 반드시 따라야 하는 규정, 지침 등의 규제(regulations)를 준수하는 것
기술적 차별성 이해
DB 시스템의 부하가 많은 쪽에서 적은 순 / SQL capture 는 많아지는 순.(1번은 ?%)
1. DBMS 자체 기능을 통한 기록 방식
2. req/res 방식
3. memory dump 방식
4. network packet sniffing 기법을 적용한 기록 방식
결론: 보안을 강화시키기 위해서는 DBMS에 부하를 주지 않는 4번이 필요하다.
DB 보안 적용 방식 3가지]
1. DB 자체 권한 설정을 이용한 보안
- 접속통제, 이력 로깅, data 암호화, 제품별 보안기능 차이, 아키덱트가 internal방식
- 보안기능 수준에 따라 성능 저하 발생,
- 분석 보고서는 제품을 정확히 알아야 한다.
- Auditing : 의심스러운 activity 를 조사
auditing 포함 요소 : user name, os username, session id, terminal id, object 접근 name,
시도 작동/ 작동 경쟁 코드/timestamp
statement auditing
privilege auditing
object auditing
MS-SQL Auditing Tool
2. DB 접근 통제방식을 이용한 보안
작업유형과 접속자수에따라서 스니핑 방식과 게이트웨이 방식을 적용하면 된다.
- Network Sniffing 방식을 활용
* 단점 : 감시는 완전 하나, 불법 접속일 경우 바로 차단 구조가 힘들다.
- Gateway 방식
ip forward : DB 정보를 몰라도 된다. 보안서버만 알면된다.
inline : failover device
- Chakra 제품 을 통한 보안 제품의 구성요소를 설명함.
(쉽게 말해 마케팅)
3. 데이터 암복호화를 통한 DB보안
2교시
정보 보안 개론- 한국전자증명원(EVALI) | 박태희 팀장
가용성이 우선되며, 기밀성, 무결성이 중요
위협으로 부터 관리적보안, 기술적 보안, 물리적 보안 이 유기적으로 이루어진다.
보안 컨설팅은 방법론 밖에 되지 않는다. 관리적 보안이 기반이다.
취약점을 이용하는 침해사고의 증가 추세
1교시
개인정보보호 관련 동향 및 침해 사례 - 함께하는 시민행동 | 박준우
- 카드빚에 대한 법을 보더라도 처음엔 가족에게 알리면 불법이지만,
카드사 부실에 따라 합법으로 적용되기도 하는 것을 보면 개인 정보 침해에 관해서는
대부분 개인적인 소송보다는 감독관청이 해석권을 독점하고 있다.
- 개인정보 자기결정권
=> 계약 체결권 - 수집에 대한 동의권, 이용목적을 구체적으로 알 권리, 기술적/관리적 보호 방침 및 실태를 알 권리
=> 계약 갱신권 - 열람/정정/삭제 청구권, 가입보다 어려운 탈퇴조건 요구 금지
-개인정보보호의 원칙
수집제한의 원칙
안전성 확보의 원칙
목적명확화의 원칙
개인 참가의 원칙
이용제한의 원칙
공개의 원칙
최신성 유지의 원칙
책임의 원칙
수집자: 정당한 권한에 따른 수집/이용
정보주체: 개인정보 자기결정권 보장
-개인정보보호기본법
개인정보보호기본법
공공기관의 개인정보 보호에 관한 법률
정보통신망 이용촉진 및 정보보호등에 관한 법률
신용정보의 이용 및 보호에 관한 법률
1일차 ================
[느낌]
소개해준 두 제품은 모두 블루오션 전략을 해오고 있는 것 같다.
하지만, 2005가 나오면서 입지가 많이 줄것으로 보인다.
이것이 MS정책이고 보면 소비자에겐 그렇게 나쁘지 않다. 사용해보고 싶어도 비싸서 이용하지 못하니까.
오라클은 툴 지원에 무성의 하다. 거기에 서드파티 툴들은 비싸고...
대용량 지원하는 DB라는 것 말고는 *_*
UI 지원은 역시나 MS-SQL 이 낫다고 보고 가격도 그렇다.
(은행이나 금융의 대형 클라이언트를 제외한)고객은 서비스와 가격에 왔다갔다하기 때문에
적어본다.
강좌의 concept은 좋았으나 좀 밀도 있게 진행해서 하루 반나절로 줄였으면 좋겠다.
금요일과 토요일 오전 이렇게 하면 회사 다니는 사람들도 부담을 들수 있지 않을까?
아니면 토요일 / 토요일로 해도 될 것 같다.
물론, DB를 정품으로 사용하는 회사( 즉, 돈많은 회사들이 *_*)
난 개인적으로 oracle study는 하지만, 서비스론 mysql만 사용한다. ㅋㅋ
[세미나 소개]
'배우다(Learning)' 카테고리의 다른 글
| SOA와 Software Factories - 이해끝, 구현복잡*_* (0) | 2005/10/21 |
|---|---|
| 우리는실패에서희망을본다:대한민국 희망 프로젝트 -참여정치 (0) | 2005/10/21 |
| 개인정보보호를위한SQLServer사용자DB보안교육-전체적인조감 (0) | 2005/10/21 |
| Hands-on Lab - 필라넷에 가보다. (4) | 2005/10/12 |
| ISV Community 2005 - VS2005 컴파일해보자! (0) | 2005/10/11 |
| 자기전략 글로벌 프로젝트-예상치 못한 큰 즐거움 (0) | 2005/10/06 |
