Wondershare EdrawMind
마인드 맵 갤러리 CISSP-AIO-소프트웨어 보안 개발
- 13
CISSP-AIO-소프트웨어 보안 개발
CISSP는 학생 노트를 통과했습니다. 시험에 합격하려면 이를 외워야 하지만 너무 깊이 들어갈 필요는 없습니다. 개발 보안에 관심이 있는 친구들은 이를 활용하여 개념을 익힐 수 있습니다. 이에 대해 더 자세히 알아볼 수도 있지만 개발에 관한 책이 필요하다는 점을 기억하세요. 이것은 단지 지식 프레임워크일 뿐입니다.
2021-05-25 20:52:07에 편집됨
- (III) 저산소 유도 인자 프롤릴 하이드 록 실라 제 억제제
이것은 (III) 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제에 대한 마인드 맵이며, 주요 함량은 다음을 포함한다 : 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제 (HIF-PHI)는 신장 빈혈의 치료를위한 새로운 소형 분자 경구 약물이다. 1. HIF-PHI 복용량 선택 및 조정. Rosalasstat의 초기 용량, 2. HIF-PHI 사용 중 모니터링, 3. 부작용 및 예방 조치.
- Kuka 산업용 로봇의 개발 및 Kuka 산업 로봇의 모션 제어 명령
이것은 Kuka Industrial Robots의 개발 및 Kuka Industrial Robot의 모션 제어 지침에 대한 마인드 맵입니다. 주요 내용에는 쿠카 산업 로봇의 역사, 쿠카 산업 로봇의 특성, 쿠카 산업 로봇의 응용 분야, 2. 포장 프로세스에서 쿠카 로봇은 빠르고 일관된 포장 작업을 달성하고 포장 효율성을 높이며 인건비를 줄입니다. 2. 인건비 감소 : 자동화는 운영자에 대한 의존성을 줄입니다. 3. 조립 품질 향상 : 정확한 제어는 인간 오류를 줄입니다.
- 1.1 컴퓨터 네트워크 요약
408 컴퓨터 네트워크가 너무 어렵습니까? 두려워하지 마세요! 나는 피를 구토하고 지식 맥락을 명확히하는 데 도움이되는 매우 실용적인 마인드 맵을 분류했습니다. 컨텐츠는 매우 완전합니다. 네트워크 아키텍처에서 응용 프로그램 계층, TCP/IP 프로토콜, 서브넷 디비전 및 기타 핵심 포인트에 이르기까지 원칙을 철저히 이해하는 데 도움이 될 수 있습니다. 📈 명확한 논리 : Mindmas 보물, 당신은 드문 기회가 있습니다. 서둘러! 이 마인드 맵을 사용하여 408 컴퓨터 네트워크의 학습 경로에서 바람과 파도를 타고 성공적으로 해변을 얻으십시오! 도움이 필요한 친구들과 공유해야합니다!
CISSP-AIO-소프트웨어 보안 개발
- (III) 저산소 유도 인자 프롤릴 하이드 록 실라 제 억제제
이것은 (III) 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제에 대한 마인드 맵이며, 주요 함량은 다음을 포함한다 : 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제 (HIF-PHI)는 신장 빈혈의 치료를위한 새로운 소형 분자 경구 약물이다. 1. HIF-PHI 복용량 선택 및 조정. Rosalasstat의 초기 용량, 2. HIF-PHI 사용 중 모니터링, 3. 부작용 및 예방 조치.
- Kuka 산업용 로봇의 개발 및 Kuka 산업 로봇의 모션 제어 명령
이것은 Kuka Industrial Robots의 개발 및 Kuka Industrial Robot의 모션 제어 지침에 대한 마인드 맵입니다. 주요 내용에는 쿠카 산업 로봇의 역사, 쿠카 산업 로봇의 특성, 쿠카 산업 로봇의 응용 분야, 2. 포장 프로세스에서 쿠카 로봇은 빠르고 일관된 포장 작업을 달성하고 포장 효율성을 높이며 인건비를 줄입니다. 2. 인건비 감소 : 자동화는 운영자에 대한 의존성을 줄입니다. 3. 조립 품질 향상 : 정확한 제어는 인간 오류를 줄입니다.
- 1.1 컴퓨터 네트워크 요약
408 컴퓨터 네트워크가 너무 어렵습니까? 두려워하지 마세요! 나는 피를 구토하고 지식 맥락을 명확히하는 데 도움이되는 매우 실용적인 마인드 맵을 분류했습니다. 컨텐츠는 매우 완전합니다. 네트워크 아키텍처에서 응용 프로그램 계층, TCP/IP 프로토콜, 서브넷 디비전 및 기타 핵심 포인트에 이르기까지 원칙을 철저히 이해하는 데 도움이 될 수 있습니다. 📈 명확한 논리 : Mindmas 보물, 당신은 드문 기회가 있습니다. 서둘러! 이 마인드 맵을 사용하여 408 컴퓨터 네트워크의 학습 경로에서 바람과 파도를 타고 성공적으로 해변을 얻으십시오! 도움이 필요한 친구들과 공유해야합니다!
- 추천 사항
- 개요
소프트웨어 보안 개발
좋은 코드 구축
개념
소프트웨어 보안 문제를 처리하는 방법
소프트웨어 개발 단계에서는 보안이 필수가 아니었기 때문에 오늘날 많은 프로그래머에게는 이러한 보안 절차를 구현할 시간과 경험이 부족합니다.
많은 보안 전문가는 소프트웨어 개발자가 아니며 소프트웨어 취약점에 대한 포괄적인 이해가 부족합니다.
많은 소프트웨어 개발자는 보안 전문가가 아니며 소프트웨어 개발에서 보안을 우선순위로 생각하지 않습니다. 보안보다 기능을 우선시하는 경우가 많습니다.
소프트웨어 공급업체는 가능한 한 빨리 시장 점유율을 확보하는 것을 주요 목표로 삼기 때문에 적절한 소프트웨어 보안 아키텍처 설계 및 테스트 단계에 시간을 투자하는 것을 소홀히 할 수 있습니다.
컴퓨팅 커뮤니티는 결함이 있는 소프트웨어 제품을 먼저 받은 다음 패치하는 데 익숙합니다. 동시에 이는 확립된 프로세스가 됩니다.
소비자는 소프트웨어 제품을 구매할 때 소프트웨어의 결함에 대해 물리적으로 통제할 수 있으므로 이러한 보안 조치를 시행하려면 외부 소프트웨어에 의존해야 합니다.
보안 처리의 일반적인 경향
1. 경쟁에서 우위를 차지하기 위해 결함이 있는 소프트웨어가 시장에 유입된다.
2. 해커는 새로운 소프트웨어에서 새로운 취약점과 약점을 발견합니다.
3. 이러한 취약점과 이를 악용하는 방법을 웹사이트에 게시합니다.
4. 공급업체는 취약점을 수정하기 위한 패치를 개발하고 출시합니다.
5. 모든 네트워크 관리자는 새로 출시된 모든 패치를 테스트하고 설치해야 합니다.
다양한 환경에는 다양한 보안이 필요합니다.
환경 및 응용 프로그램.
기능 및 보안.
구현 및 기본 구성 문제.
소프트웨어 개발 수명주기
소프트웨어 개발 모델
각 모델의 각 작업 단계
요구사항 수집 단계:
안전 단계
보안 위험 평가
개인 정보 위험 평가
위험 감수
P1, 개인 정보 보호 위험이 가장 높음
P2, 중간 개인정보 위험
P3, 낮은 수준의 개인정보 위험
설계 단계:
정보모델 : 처리하는 정보의 종류와 처리방법을 설명한다.
기능 모델: 애플리케이션에서 구현할 작업과 기능을 나열합니다.
행동 모델: 특정 전환 중 및 전환 후의 소프트웨어 제품 상태를 보여줍니다.
안전 관점
공격 표면 분석
보안 모델링
개발 단계:
프로그램 개발자가 깊이 관여하는 단계
TOP25
상위 10 개
정적 분석
테스트 단계:
테스트 유형
단위 테스팅단위 테스팅
통합 테스트통합 테스트
승인 테스트승인 테스트
회귀 테스트회귀 테스트
퍼즈 테스트
수동 테스트
동적 분석
백도어/유지보수 후크
운영 및 유지보수 단계:
운영 및 유지보수, O&M
운영 및 유지 관리 팀과 개발 팀 간의 긴밀한 협력이 필요합니다.
확인하고 확인하세요
확인
유효성 검사검증
소프트웨어 개발 수명주기 및 보안
요구 사항 수집 단계
보안 위험 평가
개인 정보 위험 평가
위험 수준 허용 범위
정보, 기능 및 행동 요구 사항
설계 단계
종합적인 공격 분석
위협 모델링
개발 단계
자동화된 계산 지원 소프트웨어 엔지니어링 도구
정적 분석
테스트 단계
동적 분석
퍼즈 테스트
수동 테스트
단위 테스트, 통합 테스트, 승인 테스트, 회귀 테스트
운영 및 유지보수 단계
최종 안전성 검토
소프트웨어 개발 방법론
개발 방법
폭포수 방법론
실행할 수 있음
분석하다
설계
구현하다
시험
유지하다
V자형 방법론
필요
시스템 테스트 계획
시스템 테스트
개요 디자인
통합 테스트 계획
통합 테스트
기본 디자인
단위 테스트 계획
단위 테스트
구현하다
원기
신속한 프로토타입
진화적 프로토타입
운영 프로토타입
증분 방법론
나선형 방법론
목표설정
위험 분석 단계
개발 및 테스트 단계
계획 결함 반복 단계
신속한 애플리케이션 개발 Rarpid 애플리케이션 개발, RAD
민첩한 방법론
스크럼
익스트림 프로그래밍
칸반
기타 모드
탐색적 방법론
공동 애플리케이션 개발 모델, JAD
재사용 방법론
클린룸클린룸
개발 모델 검토
폭포 모드
두 번째 단계를 시작하기 전에 이전 단계를 완료해야 하는 엄격한 순차적 접근 방식입니다. 이 접근 방식은 변경 사항을 통합하기가 매우 어렵고 유연성이 부족합니다.
V자형 패턴
이 접근 방식은 시스템의 최종 단계가 아닌 전체 프로젝트 프로세스 전반에 걸쳐 테스트를 수행하여 프로젝트의 각 단계에서 검증 및 검증을 강조합니다.
프로토타입 패턴
개념 증명 목적으로 코드 샘플 또는 모델 만들기
증분 모드
소프트웨어 개발의 다양한 단계에서 여러 개발 주기를 수행합니다. 각 개발 주기는 사용 가능한 소프트웨어 버전을 제공합니다.
나선형 패턴
이는 모든 반복에서 위험 분석에 초점을 맞춘 접근 방식입니다. 이 접근 방식은 유연하고 혁신적인 방식으로 사용자 피드백을 통합합니다.
신속한 애플리케이션 개발
이 접근 방식은 소프트웨어 개발 프로세스를 가속화한다는 목표와 함께 프로토타입 제작 및 반복 개발 프로세스를 결합합니다.
민첩한 모델
이는 팀 협업을 장려하는 반복적이고 점진적인 개발 프로세스입니다. 이 접근 방식은 엄격한 프로세스 구조보다는 유연성과 적응성을 제공합니다.
IPT 통합제품팀
데브옵스
소프트웨어 개발, IT 및 품질 보증 팀 간
역량 성숙도 모델 통합, CMMI
다섯 가지 성숙도
초기의
반복성
정의
관리하다
최적화
기타 성숙도 모델
DevOps(DevOps 성숙도 모델) 성숙도 모델
개발 성숙도 모델(Open Soure Maturity Model, OSMM)
소프트웨어 제품 관리 성숙도 모델
보안 관리
변경 관리
제어 단계 변경
정식 변경 요청 제출
변경 요청 분석
구현 전략 개발
구현 비용 계산
보안 영향 확인
로그 변경 요청
승인을 위해 변경 요청 제출
개발 변화
기능을 추가하거나 삭제하기 위해 제품의 다양한 모듈을 다시 코딩하고 결합합니다.
코드 변경 사항을 공식적인 변경 제어 요청과 연결
소프트웨어를 테스트 및 품질 관리에 제출
품질이 검증될 때까지 위 과정을 반복합니다.
버전 변경
경영진 변경 결과 보고
개발 환경 보안
개발 플랫폼 보안
코드 기반 보안
소프트웨어 구성 관리
소프트웨어 호스팅
보안 코딩
소스코드 취약점
개방형 웹 애플리케이션 보안 프로젝트(OWASP)
2017년 상위 10대 위협
A1:주사
A2: 손상된 인증
A3: 민감한 데이터 유출
A4:XML 외부 엔터티 참조 XEE
A5: 액세스 제어 중단
A6: 보안 구성 오류
A7: 크로스 사이트 스크립팅 XSS
A8: 안전하지 않은 역직렬화
A9: 알려진 취약점이 있는 컨트롤을 사용하세요.
A10: 불완전한 로깅 및 지속적인 모니터링
보안 코딩 관행
카네기 멜론 대학교 SEI 소프트웨어 엔지니어링 연구소
입력 검증
컴파일러 경고에 주의하세요
보안 정책에 따른 설계 및 설계
간단하게 유지하세요
기본적으로 거부
최소 권한의 원칙을 따르세요
다른 시스템으로 전송된 깨끗한 데이터
심층 방어 연습
효과적인 품질 보증 기술 사용
보안 코딩 표준 채택
프로그래밍 언어 및 개념
프로그램 작성
어셈블러, 컴파일러 및 인터프리터
객체 지향 개념
OOP의 장점
모듈식
구현 지연
재사용 성
자연
개발 개체에는 다음이 포함됩니다.
개체 이름
속성 설명
속성 이름
속성 내용
속성 데이터 유형
객체 외부에서 입력
객체에서 외부로 출력
작업 설명
작업 이름
작동 인터페이스 설명
연산 처리 설명
성능 문제
제한 사항 및 제한 사항
인스턴스 연결
메시지 연결
다형성
기타 소프트웨어 개발 개념
데이터 모델링
데이터 구조
응집력과 결합
API
분산 컴퓨팅
분산 컴퓨팅 환경
코르바와 ORB
COM과 DCOM
객체 연결 및 포함, OLE
URL, URL
자바 플랫폼 엔터프라이즈 에디션
서비스 지향 아키텍처
서비스 지향 아키텍처 서비스 지향 아키텍처
코드 이동
자바 애플릿
프로그래머가 Java 애플릿을 개발하고 이를 컴파일러를 통해 실행합니다.
Java 컴파일러는 소스 코드를 바이트코드로 변환합니다(프로세서는 지정되지 않음).
사용자가 Java 애플릿을 다운로드합니다.
JVM은 바이트코드를 기계 수준 코드(특정 프로세서)로 변환합니다.
호출되면 애플릿이 실행됩니다.
ActiveX 컨트롤
웹 보안
웹 환경에 대한 특정 위협
관리 인터페이스
인증 및 접근 제어
입력 검증
경로 또는 디렉터리 순회
유니코드 인코딩
URL 인코딩
허점
비지속적 XSS 취약점
지속적인 XSS 취약점
문서 개체 모델, DOM
매개변수 검증
사전 검증
사후 검증
세션 관리
데이터베이스 관리 및 악성코드
데이터베이스 관리
데이터베이스 관리 시스템,DBMS
전체 네트워크의 여러 다른 서버에 저장된 데이터가 일관성을 유지하는지 확인하십시오.
백업 프로세스가 더 간단해졌습니다.
트랜잭션 트랜잭션을 커밋하기 위한 트랜잭션 지속성
복구 및 내결함성 기능 제공
여러 사용자가 데이터를 공유하도록 허용
무결성 검사, 액세스 제어 및 필요한 기밀 수준을 구현하기 위한 다양한 보안 제어 기능을 제공합니다.
데이터베이스 모델
관계형 데이터베이스
계층적 데이터베이스
네트워크 데이터베이스
객체지향 데이터베이스
객체 관계형 데이터베이스
데이터베이스 용어
기록(Record): 관련 데이터 항목의 집합
파일: 동일한 유형의 레코드 모음
데이터베이스: 서로를 참조하는 데이터의 집합
DBMS: 데이터베이스 관리 및 제어
속성: 2차원 데이터베이스의 열
기본 키: 각 행을 고유하게 만드는 열(테이블의 각 행에는 기본 키가 포함되어야 함)
보기(View): 주체가 특정 데이터를 볼 수 없도록 데이터베이스 관리자가 정의한 가상 관계
외래 키(Foreign Key): 다른 테이블의 기본 키와 관련된 속성
셀: 행과 열의 교차점
스키마: 데이터베이스의 구조를 정의합니다.
데이터 사전(Data Dictionary): 데이터 요소와 그 관계를 담은 중앙은행 저장소
데이터베이스 프로그래밍 인터페이스
개방형 데이터베이스 연결, ODBC
객체 연결 및 내장 데이터베이스, OLEDB
ODBC의 기능 세트를 확장하여 SQL 구현이 반드시 필요하지 않은 개체 데이터베이스 및 스프레드시트와 같은 광범위한 비관계형 데이터베이스를 지원하는 ODBC 대체입니다.
다양한 데이터 소스에 저장된 데이터에 대한 통합 액세스를 애플리케이션에 제공하는 COM 기반 인터페이스 세트
OLE DB는 COM 기반이므로 Microsoft 클라이언트 도구 제품에서만 사용할 수 있습니다.
개발자는 ADO(ActiveX Data Object)를 통해 OLE DB 서비스에 액세스합니다.
다양한 애플리케이션이 다양한 유형과 데이터 소스에 액세스할 수 있도록 허용
ADO(ActiveX 데이터 개체)
Java 데이터베이스 연결(JDBC)
Java 데이터베이스 응용프로그램을 위해 특별히 설계된 API로 ODBC와 동일한 기능을 제공합니다.
Java 플랫폼과 광범위한 데이터베이스 간에 데이터베이스 독립적인 연결을 제공합니다.
Java 프로그램에서 SQL 문을 실행할 수 있도록 해주는 Java API입니다.
관계형 데이터베이스 구성 요소
DDL
DML
QL
보고서 생성기
구성
데이터 사전
기본 키 및 외래 키 기본 키
진실성
의미 무결성(Semantic Integrity) 메커니즘은 구조적 및 의미론적 규칙이 적용되도록 보장합니다. 이러한 규칙은 데이터베이스 구조에 부정적인 영향을 미칠 수 있는 데이터 유형, 논리 값, 고유성 제약 조건 및 작업에 적용됩니다.
모든 외래 키가 현재 기본 키를 참조하는 경우 데이터베이스는 참조 무결성을 갖습니다. 어떤 외래 키도 null 또는 존재하지 않는 레코드의 기본 키를 참조하지 않도록 하는 메커니즘이 있어야 합니다.
엔터티 무결성은 튜플이 기본 키 값으로 고유하게 표현되도록 보장합니다.
데이터베이스 보안 문제
공격방법
중합
집합 공격
추론 공격
불분명하게 이용 가능한 정보를 얻는 능력이다.
방법
데이터베이스 보기데이터베이스 보기
임의 접근 제어, DAC
필수 액세스 제어, MAC
다중 인스턴스화
온라인 거래 처리,OLTP
OLTP의 주요 목표는 물리적 개체가 올바르게 실행되거나 전혀 실행되지 않도록 하는 것입니다. 물리적 처리는 일반적으로 분할할 수 없는 작업 전체(여러 하위 작업 포함)를 독립적으로 실행하는 것을 의미합니다. 하위 작업 중 하나라도 실패하면 실행된 모든 하위 작업을 롤백하여 정확한 데이터만 데이터베이스에 입력되도록 해야 합니다.
원자성
일관성
격리
내구성
데이터 웨어하우스 및 데이터 마이닝
관리: 의사결정
데이터 분석가:
데이터 표현: 시각화 기술
데이터 마이닝: 데이터베이스의 지식 발견, KDD
그룹화 분류: 공유 유사성을 기반으로 한 그룹 데이터
확률적: 데이터의 상호의존성을 식별하고 확률을 사용하여 관계를 분석합니다.
통계: 데이터 요소 간의 관계를 식별하고 규칙을 사용하여 이를 발견합니다.
데이터 활용 : 통계분석, 데이터 분석, 보고
하위 주제
프로그래머, 데이터베이스 관리자
데이터 웨어하우스, 데이터 마트
데이터 소스: 파일, 기록, 데이터베이스, 정보 제공자 등
역량 기반 시스템
데이터 기반 시스템
규칙 기반 시스템
지식 기반 시스템
시험 팁: "빅 데이터"는 "데이터 웨어하우스"와 같은 전문 시스템에 저장되고 "데이터 마이닝"과 같은 방법을 사용하여 개발됩니다. 이 세 가지 용어는 서로 관련되어 있지만 다릅니다.
악성 소프트웨어
악성코드로 돈 버는 방법
봇넷이 대상 시스템을 손상시킨 후에는 분산 서비스 거부 DDOS 공격, 스팸 이메일 전송에 사용되거나 봇넷 명령 및 제어 시스템의 일부로 사용됩니다.
랜섬웨어는 사용자의 파일 중 일부 또는 전체를 키로 암호화하고, 사용자의 파일만 암호화하며, 키는 사용자가 몸값을 지불한 경우에만 사용자에게 제공됩니다. 사용자는 일반적으로 암호화폐를 사용하여 몸값을 지불하라는 요청을 받습니다.
스파이웨어는 맬웨어 개발자를 이용해 개인 데이터를 수집하고 이를 다른 사람에게 재판매합니다.
악성 코드는 사용자가 특정 제품을 구매하도록 유도하는 다른 링크로 웹 트래픽을 리디렉션합니다.
악성코드는 키스트로크 로거를 설치하고 악성코드 개발자가 사용할 민감한 금융 정보를 수집합니다.
사용자 악성 코드는 피싱 공격, 사기 활동, 신원 도용 및 정보 전쟁 활동을 수행합니다.
악성 코드는 더욱 풍부해지고 더욱 효과적이 되고 있습니다.
많은 환경의 동질성은 하나의 악성 코드가 많은(대부분의) 장치에서 작동할 수 있음을 의미합니다.
모든 장치(휴대폰, 텔레비전, 게임 콘솔, 전력망, 의료 장비 등)는 컴퓨터화되고 있으므로 손상될 수 있습니다.
점점 더 많은 개인과 기업이 데이터를 디지털 형식으로 저장합니다.
점점 더 많은 사람과 장치가 다양한 인터페이스(모바일 앱, Facebook, 웹, 이메일, SMS, 전자상거래 등)를 통해 연결됩니다.
너무 많은 권한(관리 또는 루트 액세스)으로 구성된 많은 계정
기술에 대한 이해가 부족한 사용자가 민감한 목적(온라인 뱅킹, 전자상거래 등)으로 기술을 사용하는 경우가 점점 늘어나고 있습니다.
디지털 세계에서는 잡힐 위험이 낮은 범죄 활동을 수행할 수 있는 다양한 방법이 제공됩니다.
바이러스
매크로 바이러스: Visual Basic이나 VBScript로 작성된 프로그램으로 Microsoft OFFICE 제품에서 주로 사용됩니다.
부트 섹터 바이러스 부트 섹터 바이러스
스텔스 바이러스
다형성 바이러스: 바이러스 스캐너를 속이기 위해 서로 다른 버전이지만 기능적으로 동일한 복사본을 생성할 수 있습니다.
멀티파트 바이러스: 여러 구성 요소로 구성된 이러한 구성 요소는 시스템의 여러 부분에 배포될 수 있습니다. 여러 감염원을 사용하면 바이러스가 더 빨리 퍼질 수 있습니다.
밈 바이러스: 실제 컴퓨터 바이러스는 아니며 인터넷에서 이메일을 계속 전달합니다.
터널링 바이러스: 잘못된 시스템 명령에 응답하거나 시스템 상태를 위조하여 추적과 활동을 숨깁니다.
악성코드 구성요소
삽입: 피해자의 시스템에 바이러스 복사본 설치
방지: 다양한 방법을 사용하여 탐지를 회피하고 흔적을 숨깁니다.
근절: 공격 페이로드가 실행된 후 바이러스 복사본이 삭제됩니다.
복제: 복사본을 만들어 다른 피해자에게 전파합니다.
Trigger: 이벤트를 통해 공격 페이로드 실행을 초기화합니다.
페이로드: 관련 공격 기능 실행(예: 파일 삭제, 백도어 설치 또는 취약점 악용 등)
바이러스를 넘어서
웜: 호스트 응용 프로그램 없이도 복제할 수 있는 독립적인 프로그램입니다. 예: 스턱스넷
루트킷 툴킷
기능
자격 증명 캡처
맡다
다른 시스템 공격
공격자 흔적 숨기기
도구
트로이 목마 프로그램
ipconfig 프로그램
로그 스크러버
스파이웨어 및 애드웨어
스파이웨어
애드웨어
봇넷
봇 목자
1. 좀비 셰퍼드는 좀비 소프트웨어를 공격 페이로드로 사용해 악성 코드를 보냅니다.
2. 악성코드가 설치되면 좀비는 내장된 IRC나 웹서버에 로그인한다. 그런 다음 서버는 봇넷의 제어 서버 역할을 합니다.
3. 스패머는 시스템 사용에 대해 좀비 목동에게 비용을 지불하고 제어 서버에 명령을 보내 감염된 모든 시스템이 메일 서버에 스팸을 보내도록 유도합니다.
논리 폭탄 논리 폭탄: 특정 조건이 만족되면 프로그램이나 문자열 코드를 실행합니다.
트로이 목마(Trojan Horse): 다른 프로그램으로 위장한 프로그램.
보호
맬웨어 방지 소프트웨어맬웨어 방지 소프트웨어
시그니처를 활용한 악성코드 탐지
서명 기반 감지, 지문 감지
맬웨어 방지 소프트웨어가 세심한 주의를 기울이는 동작 유형
시작 파일 또는 레지스트리 요약의 실행 키에 정보 쓰기
파일 열기, 삭제 또는 수정
스크립트를 사용하여 이메일을 통해 실행 가능한 코드 보내기
네트워크 공유 또는 리소스에 연결
실행 가능한 로직 수정
매크로 및 스크립트 생성 또는 수정
하드 드라이브를 포맷하거나 부트 섹터에 쓰기
스팸 감지
베이지안 필터링 베이지안 필터링
각 단어에 대해 빈도 분석이 수행되고 메시지가 스팸인지 여부를 판단하기 위해 메시지가 전체적으로 평가됩니다.
맬웨어 방지 프로그램
모든 워크스테이션, 서버 및 모바일 장치에는 맬웨어 방지 소프트웨어가 설치되어 있어야 합니다.
각 장치는 자동화된 방식으로 악성 코드 서명(패턴)으로 업데이트되어야 합니다.
사용자는 맬웨어 방지 소프트웨어를 비활성화할 수 없습니다.
사전 계획된 맬웨어 제거 프로세스를 개발해야 하며 맬웨어 감염이 발생할 경우 연락 담당자를 지정해야 합니다.
모든 외부 디스크 또는 USB 드라이브 등은 자동으로 검사되어야 합니다.
백업 파일 검사
매년 맬웨어 방지 정책 및 절차를 검토합니다.
맬웨어 방지 소프트웨어는 맬웨어 부팅 보호 기능을 제공해야 합니다.
모든 장치 및 게이트웨이에서 맬웨어 방지 검사
정기적인 바이러스 검사를 자동화합니다. 수동 스캔에 의존하지 마세요
사이트에 악성 코드가 설치되지 않도록 중요한 시스템을 물리적으로 보호해야 합니다.
소프트웨어 구입의 보안 평가
소프트웨어 개발주기
소프트웨어 개발
중요성
기능 우선
안전 제일
문제
주의가 필요한 문제
다양한 환경에는 다양한 보안이 필요합니다
환경과 응용
기능적 안전
구현 및 기본 문제
소프트웨어의 복잡성 증가로 인해 보안 문제가 발생함
소프트웨어 개발 수명주기
SDLC 시스템 개발 라이프사이클은 기능 요구사항부터 구현까지 소프트웨어 개발의 모든 단계를 단순화합니다.
아이디어, 목표, 비전
비즈니스 요구 사항 및 해당 솔루션 해결
프로젝트 전반에 걸쳐 안전 활동이 동시에 실행됩니다.
SDLC 3단계
프로젝트 초기화 및 계획
기능적 요구사항 정의
시스템 기술 사양
개발 및 구현
문서화 및 일반 프로젝트 제어
테스트 및 제어 평가
생산이 온라인으로 진행됩니다
시스템 수명주기, SLC 시스템 수명주기에는 두 단계가 더 있습니다.
운영 및 유지보수 지원
개정 및 시스템 교체
단계
개시 단계
평가 필요
예비 위험 평가
필요한 것, 왜 필요한가
위험 유형
소프트웨어 자체의 위험
미래의 소프트웨어가 직면할 위험
프로젝트 관리 및 요구사항 수집 단계
프로젝트 관리
프로젝트 목표 달성을 보장하는 프로젝트 활동 관리
SOW는 프로젝트 작업을 정의합니다.
스코프 크립:
WBS(작업분류체계)
요구 사항 수집 단계
수요 분석
구현될 기능
안전 요구 사항
무결성, 가용성, 기밀성을 정의합니다. 필요한 보안 수준
수요측면 요구사항
위험 평가
개인 정보 위험 평가
허용 가능한 위험 수준
설계 단계
보안 요구 사항은 세 가지 모델에서 나옵니다.
정보 모델
기능적 모델
행동 모델
보안 관점 분석
공격 표면 분석: 공격 인터페이스를 줄이고, 신뢰할 수 없는 사용자가 사용하는 코드 및 기능의 양을 식별하고 줄입니다.
위협 모델링: 다양한 위협이 어떻게 구현되고 공격이 어떻게 성공적인지 보여주는 체계적인 접근 방식입니다.
개발 단계
컴퓨터 지원 소프트웨어 공학(CASE)
인용하다
OWASP
국토안보부
연귀
2011 CWE/SANS TOP25 가장 위험한 Softear 오류
상위 10 개
정적 분석: 코드를 분석하고 오류를 찾습니다.
테스트/검증 단계
단위 테스트가 진행 중입니다.
자책의 분리
개발, 테스트, 운영 및 유지 관리에 대한 책임 분리
정기 테스트
단위 테스트, 통합 테스트, 수용성 테스트, 회귀 테스트
안전성 테스트
퍼지 테스트, 취약점 스캐닝, 수동 침투 테스트, 동적 분석
테스트 평가 가이드
데이터 검증
경계 확인
탈감작 테스트
변경 제어
수용 단계
인증인증
인증
인증기준 준수 여부를 확인하고,
마이그레이션 및 수정/구현
생존을 위해 이주하다
수정 및 시스템 교체
O&M/및 포기
소프트웨어 개발 모델
모델
폭포 모델
폭포 모델
폭포 모델은 개발에 선형 순서 및 수명 주기 접근 방식을 사용합니다.
다음 단계가 시작되기 전에 각 단계를 완료해야 합니다.
각 단계가 끝나면 이전 단계를 검토하게 됩니다.
모든 요구사항을 조기에 수집해야 합니다.
이점
요구 사항이 완전히 이해되는 소규모 프로젝트에 적합
결점
초기 요구 조사에만 의존하고 변화에 적응하지 않음
복잡한 프로젝트에 적응하기 어려움
개발 중에 배운 교훈은 이 제품을 적용하는 과정에 반영될 수 없습니다.
V자형 모델
V-모델
이점
전체 개발 프로세스는 프로젝트가 끝날 때까지 테스트됩니다.
폭포수 모델에 비해 성공 확률이 더 높습니다.
결점
아직 유연성이 부족해요
프로토타이핑
프로토타이핑
개발팀은 프로토타입을 사용하여 사용법 및 설계 문제를 식별하고 필요한 경우 조정할 수 있습니다.
프로토타이핑 방법에는 크게 세 가지가 있습니다.
신속한 프로토타이핑 방법:
신속한 프로토타이핑 방법
개발은 신속한 프로토타이핑을 기반으로 하지 않으며 프로토타입이 목적을 달성한 후에는 빠르게 폐기됩니다.
진화적인 프로토타이핑 방법:
쾌속 프로토타입처럼 개발 후 폐기되지 않을 것이며, 프로토타입은 제품의 최종 단계를 안내하기 위해 지속적으로 개선될 것입니다.
모든 개발 단계에서 피드백을 수집하고 사용자 요구 사항을 지속적으로 충족하기 위해 개선이 이루어집니다.
운영 프로토타입 방법:
두 모델 모두 프로토타입의 품질을 높이기 위해 휴대폰 데이터를 활용하지만, 운용 프로토타입은 생존 환경에 적응하도록 설계됐다.
증분 모델
반복적 인
이점
시간이 부족합니다. 연결 기능을 해결하세요.
강력한 사용자 적응성
시스템은 구성요소별로 통합되어 있으며 유연하게 변경할 수 있습니다.
결점
개방형 리프팅 구조
모델이 수정되고 소프트웨어 제어가 무결성을 잃습니다.
증분 패키지 사이에는 교차점이 있으므로 포괄적인 분석이 필요합니다.
나선형 모델
위험 분석에 초점을 맞춘 소프트웨어 개발에 대한 반복적 접근 방식
네 단계
계획을 세우다
신속한 애플리케이션 개발
신속한 애플리케이션 개발 방법은 광범위한 사전 계획보다는 신속한 프로토타이핑을 사용합니다.
RAD의 장점
높은 개발 효율성과 사용자와의 직관적인 커뮤니케이션
사용자의 참여 열정을 동원할 수 있음
시스템 구현 후 일부 잠재적인 문제를 조기에 노출할 수 있습니다.
RAD 문제
너무 빨리 결정하다
대규모 시스템 및 일괄 처리 시스템 개발에는 적합하지 않습니다.
계산량이 많고 로직이 강한 모듈에는 적합하지 않습니다.
소스 시스템의 기본 관리에 대한 요구 사항은 상대적으로 높습니다. 그렇지 않으면 원래 수동 시스템을 기계적으로 시뮬레이션하는 과정을 밟게 됩니다.
민첩한 모델
사람 중심, 반복적, 단계별 개발 접근 방식
동일한 기능 팀과 지속적인 피드백 시스템을 지원할 수 있는 점진적이고 반복적인 개발 방법에 중점을 둔 여러 개발 방법에 대한 일반적인 용어입니다.
다른 기존 모델에 비해 가벼우며 모든 프로젝트의 요구 사항을 충족하기에 충분합니다.
민첩한 모델의 장점
프로세스와 도구보다는 사람 간의 의사소통에 중점을 둡니다.
복잡하고 번거로운 문서 작성보다는 올바른 소프트웨어 개발에 집중
고객 참여와 협업을 장려하는 것은 계약 협상이 아닙니다.
계획을 엄격하게 고수하기보다는 변화에 대처하는 능력을 키우세요.
애자일 모델은 완전한 제품을 식별하기 위해 프로토타입을 사용하는 대신 제품을 다양한 기능으로 분류합니다.
다른 모델
탐색적 모델
공동 분석 개발(JAD)
재사용 모델
클린룸 모델
구조화되고 정형화된 방법의 개발과 테스트를 통해 오류나 실수를 예방하려는 접근 방식입니다. 이러한 접근 방식은 엄격한 인증 프로세스를 통해 고품질의 중요한 애플리케이션으로 이어집니다. 형식적 방법 = 수학적 모델을 사용(형식적) 미국 소프트웨어 설계 보고서: CS를 공부하는 박사과정 학생들이 사용할 수 있음
데브옵스
DevOps는 Amazon 및 Google과 같은 대규모 인터넷 회사에서 시작되었습니다. 이들 회사는 직원들이 긴밀하게 협력해야 하는 동시에 부서 분리를 원하지 않습니다.
대상 프로세스 자동화
고객에게 영향력을 제공하고, 웹사이트 다운타임 및 기타 상황을 처리하고, 더 낮은 비용으로 더 빠르게 문제를 찾아냅니다.
웹사이트를 다운시키지 않고도 고객에게 더 많은 기능을 제공할 수 있도록 하는 것이 팀의 특징입니다.
원칙적으로
유사한 생산 시스템 개발 및 테스트
반복 가능하고 안정적인 프로세스 배포 가능
운영 품질 모니터링 및 검증
피드백 루프 확장
CMMI 소프트웨어 성숙도 모델 통합
초기화 단계
이미 관리됨
정의된 수준
정량화된 관리 수준
최적화 수준
변경 관리
소프트웨어 구성 관리
이 제품은 소프트웨어 무결성 및 추적성을 유지하기 위해 다양한 지점에서 소프트웨어의 속성을 신속하게 식별하고 전체 소프트웨어 수명 주기에 걸쳐 프로그래밍된 변경 제어를 구현할 수 있는 소프트웨어 구성 관리를 제공합니다.
동시성 관리
제어
상태 기록
심사
구성 관리 프로세스
신분증
제어
상태 회계
심사
프로그래밍 언어와 분산 컴퓨팅
개념
개발 이력
기계어
어셈블리어
고급 언어
절차적 언어
4세대, 매우 높은 수준의 언어
비절차적 언어
5세대: 자연어:
구성
어셈블러
번역가
역자
가비지 수집기: 메모리 재활용을 의미합니다.
클래스 및 객체를 사용하여 작업하는 객체지향 프로그래밍(OOP)의 개념입니다.
전통적인 개발 방식
OOP는 클래스를 통해 객체를 생성합니다. 각 객체는 이 클래스에 속하며 이 클래스의 속성을 상속합니다.
프로그래머는 클래스와 클래스의 모든 속성 및 속성을 개발하지만 각각 또는 모든 객체를 개발할 필요는 없습니다.
OOP의 특징
OOP와 비OOP 접근 방식의 차이점
OPP의 장점
모듈성: 정보 교환을 통해 협상되는 자율적 개체
지연된 약속:
재사용 성
자연스러움
개념
방법
캡슐화
상속하다
계승
데이터 숨기기
객체 예시
다형성
데이터 모델링
포함 및 결합
분산 컴퓨팅
건축학
C/S 아키텍처
클라이언트가 서버를 호출하는 네트워크 위치
구성 요소 간의 지원을 모니터링하고 모니터링해야 하며 요청과 결과는 올바른 구성 요소 간에 앞뒤로 전달되어야 합니다.
환경
OCE는 OSF에서 개발했습니다.
다양한 기능이 다양한 클래스의 시스템 간에 상속되고 공유될 수 있음을 보여줍니다.
DCE는 원격 호출 RPC 서비스, 보안 서비스, 디렉토리 서비스, 시간 서비스, 분산 파일 지원 등을 제공합니다.
DCE는 분산 컴퓨팅 프레임워크에 대한 업계 최초의 시도입니다.
DCE는 RPC 통신 계층을 기반으로 하는 관리 서비스 집합입니다.
CORBA 및 ORB
COM및DCOM
객체 연결 및 포함
서비스 지향 아키텍처(SOA)
SOA는 웹 기반 접근 방식입니다.
SOA는 애플리케이션이 필요한 기능에 액세스할 수 있는 중앙 집중식 장소입니다.
REST의 안전한 사용을 위한 권장사항
REST API를 위한 세 가지 안전한 경로
TLS를 사용한 기본 인증
OAuth 1.0a
세 가지 프로토콜 중 보안성이 가장 뛰어난 프로토콜
암호화 서명 HMAC-SHA1을 사용합니다.
절대로 토큰 비밀을 유선으로 전달하지 마세요.
OAuth 2.0:
이제 Oauth2는 서명을 제거하므로 서명을 생성, 생성 및 확인하기 위해 암호화 알고리즘을 사용할 필요가 없습니다.
모든 암호화는 TLS에 의해 처리됩니다.
1.0만큼 라이브러리가 많지 않아 사용하기가 어렵습니다.
SOAP 단순 개체 액세스 프로토콜
모바일 컴퓨팅 및 웹 보안
전형적인 응용
코드 이동
모바일 코드는 호스트에서 클라이언트 컴퓨터로 전송되어 실행될 수 있는 코드입니다.
공격자는 다양한 공격 방법을 조합하여 사용할 수 있습니다.
전송: 컴퓨터 시스템 취약점, 이메일, 파일 공유, 웹 브라우저
사회공학
일반적인 모바일 코드
사과(자바 애플릿, 웹 플러그인):
자바 애플릿
독립 플랫폼으로 JVM(Java Virtual Machine) Sanbox에서 Java 코드 권한을 제한할 수 있습니다.
ActiveX 컨트롤
Microsoft 기술은 Microsoft 시스템에서 실행되는 경우에도 샌박스 제약이 없습니다.
자바 보안
바이트가 해석되면 Java는 애플리케이션과 사용된 변수 및 메모리를 검사합니다.
장점: 소프트웨어는 설정된 제한을 초과하지 않고 메모리를 적절하게 사용할 수 있습니다.
단점: 이 기능에 지나치게 의존하면 다른 보안 문제로 이어질 수 있는 엉성한 관행이 발생할 수 있습니다.
JAVA는 조각화 재활용 및 자동 메모리 검사에 뛰어나므로 메모리 영역을 재할당할 필요가 없습니다.
Java 보안 방법:
검증인 또는 번역가
클래스 로더
보안 관리자
웹 보안
정보 수집정보 수집
공격의 첫 번째 단계
공격자는 공개적으로 사용 가능한 정보를 수집합니다.
관리자 실수로 정보 유출
개발자가 DSN(데이터 소스 이름)을 사용하여 연결하는 데 사용되는 위치나 데이터 정보가 노출되는 것을 방지할 수 있습니다.
대책:
IU가 사용할 수 있는 최소한의 정보량은 다음으로 제한되어야 합니다.
개발자는 자신이 작성한 코드가 조직 외부의 사람들에게 공개될 수 있다는 점을 인지하고 정기적으로 검색 엔진을 확인하여 웹사이트, 이메일 주소, 파일 형식 및 데이터 등이 있는지 확인해야 합니다.
관리 인터페이스관리 인터페이스
인증 및 액세스 제어Authentication and access control
입력 검증입력 검증
공격방법
경로/디렉터리 순회
유니코드 인코딩
URL 인코딩
버퍼 오버 플로우
클라이언트 검증
SQL 주입, XSS 크로스 사이트 스크립팅 공격
XSS의 세 가지 유형
비지속적 XSS
영구 XSS
문서 개체 모델(DOM, 문서 개체 모델 기반 XSS) 기반
매개변수 검증매개변수 검증
세션 관리
데이터베이스 관리
전문가 시스템/지식 기반 시스템/전문가 시스템/지식 기반 시스템
인공 신경망
악성 소프트웨어
데이터베이스 관리 및 악성코드
데이터베이스 관리
개념
데이터베이스는 회사의 중요한 지적 재산과 귀중한 정보를 저장하는 데 오랫동안 사용되어 왔습니다.
데이터베이스 관리 시스템(DBMS)
데이터베이스 관리 소프트웨어
데이터 베이스
DBMS
특징
데이터 일관성데이터 일관성
데이터 공유데이터 공유
데이터 복구데이터 복구
보안 통제보안 통제
모델
관계형 모델: 데이터는 행(튜플, 레코드, 데이터 인스턴스를 나타냄)과 열(필드 또는 속성, 데이터 변수를 나타냄)을 포함하는 테이블(관계라고도 불리는 테이블)에 저장됩니다. 테이블 간의 관계는 선택된 기본 키를 기반으로 형성됩니다. 현재 가장 많이 사용되는 필름입니다. DB2, 오라클, SQL 서버.
기본 키: 테이블의 각 행을 고유하게 식별합니다. 각 테이블은 고유한 기본 키만 허용합니다. RDBMS는 동일한 기본 키로 여러 레코드를 삽입하는 것을 허용하지 않으므로 기본 키의 고유성을 보장합니다.
외래 키: 값이 다른 테이블의 기본 키와 일치해야 하는 한 테이블의 속성 또는 조합입니다. 테이블 간의 연결 관계입니다.
핵심 구성 요소
데이터 정의 언어, DLL
데이터 조작 언어, DML
데이터 제어 언어, DCL
쿼리 언어쿼리 언어,QL
계층적 모델: 현재 디렉터리 서비스라고 불리는 이 서비스는 레코드와 필드로 구성되며, 이들 사이에는 논리적 트리 관계가 있습니다.
네트워크 모델: 네트워크 데이터, 데이터 블록 또는 레코드 유형으로 표현됩니다. 블록에는 데이터 필드가 포함되며 블록 사이의 행은 데이터 간의 관계를 표현할 수 있습니다.
네트워크 데이터베이스 모델을 사용하면 각 데이터 기본 요소가 여러 상위 노드와 마스터 레코드를 가질 수 있습니다.
중복 네트워크 구조 생성
검색 속도는 계층적 모델보다 빠릅니다.
객체지향 모델: 객체지향 프로그래밍의 객체 데이터 모델을 DBMS와 결합하여 이미지, 음성, 비디오 및 기타 데이터를 저장할 수 있습니다.
객체 관계형 모델(객체 관계형 모더 객체 관계형) 데이터베이스 관리 시스템, ORDBMS: 관계형 데이터베이스이지만 객체 지향 언어로 작성된 소프트웨어 프런트 엔드입니다.
데이터베이스 프로그래밍 인터페이스
개방형 데이터베이스 연결(ODBC, 개방형 데이터베이스 연결)
객체 연결 및 내장형 데이터베이스
ActiveX 데이터 개체(ADO, Active Data Objects)
Java 데이터베이스 연결(JDBC, JaveDatabase 연결)
확장 가능 마크업 언어(XML)
데이터 사전
데이터베이스 무결성(무결성)
의미적 무결성
참조 무결성
엔터티 무결성
작동하다
롤백
제출하다
체크 포인트
2단계 커밋
보안 질문
집합
추론
추론에 대한 예방 조치
세포 억제
데이터베이스 파티션
소음과 혼란
상황에 따른 액세스 제어
콘텐츠에 따른 액세스 제어
액세스 제어
다중 인스턴스화:
데이터 웨어하우징 및 데이터 마이닝
데이터 베이스
데이터 마이닝: 인공지능(AI)의 범주에 속함
데이터 마이닝은 데이터에서 패턴, 연관, 변경, 이상 및 의미 있는 구조를 자동으로 추출하는 것입니다.
데이터 마이닝의 가치 대부분은 데이터 마이닝 기술을 사용하여 언어 모델을 개선하는 데 있습니다.
데이터 웨어하우스 내 검색 데이터 간의 관계
데이터 마이닝 도구는 데이터 웨어하우스의 데이터 특성과 관계를 식별하는 데 사용됩니다.
악성코드/맬웨어
악성코드가 돈을 버는 방법
스파이웨어는 맬웨어 개발자가 다른 사람에게 재판매할 수 있도록 개인 데이터를 수집합니다.
악성코드는 사람들이 특정 제품을 구매하도록 유도하기 위해 웹 트래픽을 리디렉션합니다.
악성코드는 스팸이나 음란물을 유포하기 위해 프록시로 사용되는 시스템에 보안 백도어를 생성합니다.
이후 분산 서비스 거부 공격에 사용되는 봇에 감염된 시스템
악성코드는 악성코드 작성자가 사용할 민감한 금융 정보를 수집하는 데 사용되는 키 로거를 설치합니다.
피싱 공격 및 사기에 사용되는 악성 코드
각종 악성코드
바이러스
부트 섹터 바이러스
압축 바이러스
파일 감염성 바이러스
눈에 보이지 않는 바이러스
매크로 바이러스
다형성 바이러스
자가 변조 바이러스
유전 바이러스
스크립트 바이러스
터널 바이러스
트로이 목마
루트킷(루트 권한 에스컬레이션)
논리 폭탄
벌레:
봇넷
해커는 봇 바이러스가 포함된 악성 코드를 보냅니다.
스파이웨어
애드웨어
바이러스 백신 소프트웨어
바이러스 백신 소프트웨어의 주요 기능
특징 감지
휴리스틱 탐지
샌드박스 또는 가상 머신
차세대 바이러스 소프트웨어는 행동 차단기로 진화합니다.
시작 파일이나 레지스트리의 Run 키에 쓰기
파일 열기, 삭제 또는 수정
이메일에 스크립트를 삽입하고 실행 가능한 코드를 보냅니다.
네트워크 공유 파일 또는 리소스에 연결
실행 파일의 로직 등을 수정합니다.
해결책
특징적인 유형
경험적
무결성 검사기
행동 차단제
예방접종 프로그램
조직의 보안 계획의 일부인 바이러스 백신 전략
바이러스 백신 소프트웨어는 모든 워크스테이션, 서버 및 PDA에 있어야 합니다.
모든 장치는 바이러스 서명을 자동으로 업데이트하도록 구성되어야 합니다.
사용자가 바이러스 백신 소프트웨어를 비활성화하는 것을 허용하지 않음
바이러스 제거 프로세스를 사전에 수립하고, 바이러스 감염 시 연락 담당자를 지정해야 합니다.
모든 외부 디스크(USB 드라이브 등)는 자동으로 검사되어야 합니다.
백업 파일을 검사해야 합니다.
바이러스 백신 정책 및 조치는 매년 검토되어야 합니다.
바이러스 백신 소프트웨어는 부트 섹터 바이러스 보호 기능을 제공해야 합니다.
게이트웨이와 모든 장치에서 바이러스를 검사해야 합니다.
자동 바이러스 검사는 정기적으로 수행해야 하며 수동 검사에 의존해서는 안 됩니다.
중요한 시스템은 악성 코드가 로컬에 설치될 수 없도록 물리적으로 보호되어야 합니다.
대응 메커니즘
소프트웨어 보안 평가
인증 및 인정
인증 및 인정 프로세스와 역할
RMF 위험 관리 프레임워크
변경 및 감사 로그
정보 감사 기능
시스템 네트워크 장치 보고는 전체 시스템의 상태와 안전에 중요합니다.
로그의 감사 기능을 통해 관련 당사자가 이해하고 로그할 수 있습니다.
정보 무결성
정보의 정확성
위험 분석 및 완화
위기 관리
위험 문서화 프로세스에는 위험 완화 및 지속적인 계획이 포함됩니다.
위험 분석 및 완화 전략
시정 조치
변경 제어 프로세스 사용
모든 관련 문서를 읽어보세요.
시험
효율적인 백업 및 생산 중단 시간 예약
장기 보존 대체 계획
서비스 데스크와 주요 사용자 그룹에 미리 알리십시오.
중요하지 않은 서비스를 먼저 대상으로 지정
패치 관리에서 발견된 모든 위험을 완화할 필요는 없습니다.
主题