정보시스템 구축 관리(소프트웨어 개발 보안 구축)

1. 소프트웨어 개발 보안 설계

(1)소프트웨어 개발 보안 설계 : 소스 코드 등에 존재하는 보안 취약점을 제거하고, 보안을 고려하여 기능을 설계 및 구현 (2)소프트웨어 개발 보안 3대 요소 (기무가) ①기밀성 : 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성 (읽기 방지) ②무결성 : 데이터를 변경 못하게 (쓰기,수정 방지) ③가용성 : 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속 사용할 수 있도록 보장하는 특성 (권한, 원하는 서비스 지속) (3)소프트웨어 보안 용어 (자위취위) (4)입력 데이터 검증 및 표현 취약점 ①XSS; Cross Site Scripting : 사용자가 해당 웹페이지를 열람람으로써 웹 페이지에 포함된 부적절한 스크립트가 실행되는 공격 -XSS 공격 유형 (SREDOM) 1.Stored XSS :악성 스크립트가 포함된 페이지를 읽어 봄과 동시에 감염 2.Reflected XSS : URL을 생성한후 이메일로 사용자에게 전송 3.DOM XSS : 취약점이 있는 브라우저를 대상으로 조작된 URL을 이메일을 통해 발송하고 URL 클릭시 공격 피해 ②사이트간 요청 위조 CSRF; Cross Site Request Forgery : 사용자가 자신의 의지와 무관하게 공격자가 의도한 행위를 특정 웹사이트에 공격 ③SQL삽입 Injection : 악의적인 SQL구문을 삽입, 실행 시켜서 데이터베이스(DB)의 접근을 통해 정보를 탈취하거나 조작하는 행위                      대응방안 : 바인딩 매개변수 방식 적용, 모든 값을 체크하는 필터링, Servlet Filter 기능 적용

2. 소프트웨어 개발 보안 구현

(1)암호 알고리즘 : 데이터의 무결성 및 기밀성 확보를 위해 정보를 쉽게 해독 할 수 없는 형태로 변환 (2)대칭 키 암호화 알고리즘 : DES / SEED / AES / ARIA / IDEA / LFSR (3)비대칭 키 암호화 알고리즘 : DH / RSA / ECC / ElGamal / DSA (4)해시 암호화 알고리즘 : MD5 / SHA-1 / SHA-256/384/512 / HAS-160 / HAVAL (5)해시 함수 취약점 대응방법 ①솔트Salt : 암호공격을 막기 위해 똑 같은 패스워드들이 다른 암호 값으로 저장되도록 추가 되는 임의의 문자열 ②키스트레칭 : 해시값 à 입력값 à해시값 à입력값으로 반복해서 적용하는 방법