[평가 1.1 ~ 1.2]
아래의 보안요구사항에 대한 분석 및 결과 예시 화면에서 빈 칸에 적당한 내용을 서술하시오.
타당성 분석 기준
· 웹 취약점 점검의 모든 항목을 구현할 경우에 수립되는 개발 일정과 발생하는 개발 예산
타당성 분석 결과
· 법령 준수를 위한 휴대폰 관련 보안지침 마련에 약 1.5개월 소요 되므로 타당성 있음
[평가 1.3 ~ 1.4]
보안 침해 시나리오에 의해 웹서버/DBMS의 경우 DDoS공격과 SQL Injection공격에 대해 취약한 부분이 확인되었을 때 IT자원에 대한 중요도를 5점 척도로 나타내고 보안요구사항의 우선순위 설정 시 전화면접과 대면 면접을 실시할 예정으로 이에 대한 장단점에 대해 서술하시오.
DDoS/SQL Injection 공격에 대한 IT자원 중요도
전화면접의 장점
설문조사의 취지와 항목에 대한 정확한 설명과 이해가 가능하여 설문조사 신뢰도가 높아짐
단점
전화면접 수행 인력에 대한 인건비가 발생함
스팸신고의 가능성이 있고, 전화 통화를 거부할 우려가 있음
대면면접의 장점
설문조사의 취지에 맞게 가장 정확하고 확실한 설문조사가 가능함
단점
대면 방문 인력에 대한 교육실시에 발생할 수 있는 애로사항 및 설문조사 확장에 한계가 존재함
[평가 2.1 ~ 2.2]
위의 내용을 토대로 IT자원에 대한 보안요구사항의 우선순위 선정을 위해 영향도 분석 및 최신 기술 동향에 대해 알아보려고 한다. 이 때 최신 기술 동향을을 파악하기 위한 방법에 대해 서술하시오.
최신 기술 동향 파악 방법
1. 최신 보안 기술에 대한 제품 지원 정책 파악
2. 최신 보안 기술에 대한 영역과 체계의 이해
- 보안체계, 접근통제, 원천기술, 최근동향으로 분류
- 각 보안 기술 분류에 따른 마인드맵 작성
[평가 2.3 ~ 2.4]
아래 문서는 보안요구사항 명세 항목의 일부분으로 취약점 점검 시 확인한 DDoS, SQL Injection공격에 대한 명세 항목을 추가하여 작성하시오.
서버-UNIX
웹서버 안전관리
-코드 안전성 검증
sql서버 안전관리
- 웹해킹 대응
DB서버
운용안전성관리
-입력값 취약성방지
[평가 3.1]
보안요구사항의 오류를 검증하기 위한 검증기준 정의 시 보안요구사항 명세서의 최신 버전 확인에 대한 3가지 항목에 대해 서술하시오.
1. 보안요구사항 명세서의 근거 자료를 확인한다.
최신기술에 대한 마인드맵, 보안 관련 법적 근거 등을 확인하면 최신 명세서인지 확인이 가능하다.
2. 관련 법적 근거의 시행 날짜를 확인한다.
가장 최근의 시행 날짜를 반영한 가이드라인을 가진 법적 근거인지 확인해야한다. 점검 항목의 조정, 점검 대상의 확대 및 축소와 같은 이슈는 충분히 있을 수 있기 때문에 가장 최근 법적 기준을 확인해야한다.
3. 보안요구사항 명세서의 작성자를 확인한다.
명세서를 여러사람이 작성하는 경우에는 요구사항의 중간 버전의 내용이 반영되는 경우가 있다. 따라서 명세서 작성자를 먼저 확인하여 최종 버전인지 확인해야한다.
[평가 3.2 ~ 3.3]
아래 그림은 보안 요구사항 명세서 수정 전/후를 도식화한 것으로 앞서 확인한 취약점(DDoS/Sql Injection)에 대한 요구사항 세부내용을 작성하시오.
| 요구사항 분류 | 서버 |
| 요구사항 번호 | SER-x.x.x |
| 요구사항 명칭 | DDoS 공격 대응 |
| 요구사항 세부내용 | · 대응기능(탐지/차단) · 추적기능 · 로그인기능 · 관리기능 |
| 도출 산출물 | DDoS 공격 취약점 진단 결과 |
| 관련 요구사항 | 제품사양 검증 – 처리율 - 최대 연결수 - 패킷 손실율 - 패킷 지연 공격 트래픽 탐지/차단 – 공격패킷 탐지 시간 - 공격패킷 차단 시간 - 공격패킷 차단율 - 정상패킷 성공률 - 탐지 및 차단 로그 생성 |
| 요구사항 분류 | 서버, DB서버 |
| 버전 | V1.0 |
| 요구사항 명칭 | SQL Injection 공격 대응 |
| 요구사항 세부내용 | · 입력값 검증 · 저장 프로시저 사용 · 쿼리 권한 · 접근제어 · 네트워크제어 |
| 도출 산출물 | SQL Injection 공격 취약점 진단 결과 |
| 관련 요구사항 | 로그인 입력값을 대상으로 DB qeury 정밀점검 웹 애플리케이션과 SQL 사용시 보안취약점 탐지 웹, SQL, DB, 공통영역 별 보안대책 마련 |
'정보보안실무 > 해킹보안실무평가' 카테고리의 다른 글
| 평가 16. 악성코드 분석 (0) | 2023.04.15 |
|---|---|
| 평가 15. 정보시스템 진단 평가 (0) | 2023.04.15 |
| 평가 13. 애플리케이션 보안 운영 평가 (0) | 2023.04.15 |
| 평가 12. SW개발 보안 구축 평가 (0) | 2023.04.15 |
| 평가 11. DB보안구축 (0) | 2023.04.15 |