|
정의
|
- 저장된 데이터에 대한 인증, 기밀성, 무결성, 가용성을 유지하기 위한 관리적, 물리적, 기술적 활동
- 허가 받지 않은 접근이 무단으로 데이터베이스를 사용하거나 변경/파괴/유출하는 행위로부터 보호하기 위한 행위로 기술적 보안관리 기법/시스템/프로세스
|
|
보안의 목적
|
- 권한이 없는 사용자를 제어하여 정보의 불법적인 접근, 고의적인 파괴 및 변경을 방지하고 우발적인 사고로부터 보호하기 위함
|
|
필요성
|
- 기업 정보의 가치 중요성 증대 - 초경쟁 기업경영환경에서 신속한 의사결정, 민첩한 대응을 위한 기업이 보유한 정보에 대한 중요성 증대
- 정보시스템 보안 위협증가 - 해킹, 웜/바이러스 증가 및 해킹 도구 등 악의적 의도의 기업 정보 노출범위 확대
- 데이터베이스 보안 미비 - 네트워크, 시스템 등에 대한 보안에 치중된 상대적 보안 사각지대
- 실수에 의한 정보 변경 방지 - 비의도적인 행위에 의해 발생하는 정보 침해
|
|
특성
|
- 인증(Authentication) - 데이터베이스에 접근하는 사용자가 정당한 사용자임을 확인하여 인증절차를 통하지 않고 데이터베이스 접근 불가
- 가용성(Availability) - 데이터베이스 시스템에 대한 부당한 서비스 거부를 감지하고 예방
- 무결성 (Integrity) - 타인이 다른 사람의 정보를 임의 또는 불법적으로 변경하지 못하도록 하는 경우
- 기밀성(Confidentiality) - 데이터베이스 정보의 부적절한 접근 방지, 제지 및 감시
|
|
필요성
|
- 기업 정보의 가치 중요성 증대 - 초경쟁 기업경영환경에서 신속한 의사결정, 민첩한 대응을 위한 기업이 보유한 정보에 대한 중요성 증대
- 정보시스템 보안 위협 증가 - 해킹, 웜/바이러스 증가 및 해킹 도구 등 악의적 의도의 기업 정보 노출범위 확대
- 데이터베이스 보안 미비 - 네트워크, 시스템 등에 대한 보안에 치중된 상대적 보안 사각지대
- 실수에 의한 정보 변경 방지 - 비의도적인 행위에 의해 발생하는 정보 침해
|
|
보안기법
|
- 접근통제(Access Control) - 허가 받지 않는 사용자의 DB자체에 대한 접근을 방지
- 허가규칙(Authorization Rules) - 정당한 절차를 통한 DBMS 접근 사용자도, 허가 받지 않은 데이터의 접근을 방지
- 가상 테이블(Views) - 가상 테이블을 이용하여 전체 DB중 자신이 허가 받은 사용자 관점만 볼 수 있도록 한정
- 암호화(Encyption) - 데이터를 암호화하여 형태를 변형, 가독성을 원천적으로 봉쇄하는 방식
|
|
보안 프로세스
|
- 취약점 평가 - 권한 없는 DB 및 데이터 접근 또는 조작 가능성에 대한 주기적 평가 및 취약점 발굴
- 우선순위 선정 - 발굴된 취약점별로 위험도를 평가하여 교정 우선순위 결정
- 취약점 교정 - 선정된 우선순위별로 취약점 대응활동 수행
- 위협 모니터링 - 시스템 침입, SQL 공격을 탐지하고 사용자/SQL 내역을 기록
|