문제1) FIPS(Federal Information Processing Standard) 140-2에 대하여 다음을 설명하시오.
가. FIPS 140-2 레벨 분류
나. 암호화 시스템 설계 시 고려사항
다. 암호화 시스템의 보안 요소
라. 보안 위협 대응 전략
답)
1. 연방정부 정보처리 표준 FIPS 140-2 의 개요
|
개념
|
1996년 정보기술관리 개혁법 5131항, 정보 기술 제품의 암호화 모듈에 대한 최소 보안 요구 사항 정의하는 미국 정부 표준
|
|
특징
|
암호화 모듈의 보안 요구사항, 레벨 분류, 정부 및 비정부 부문 적용
|
2. FIPS 140-2 레벨분류 및 암호화시스템 설계시 고려사항
가. FIPS 140-2 레벨분류
|
레벨
|
수준
|
특징
|
|
레벨1
|
Basic security
|
|
|
레벨2
|
Tamper Evident
|
|
|
레벨3
|
Tamper Resistant
|
|
|
레벨4
|
Tamper reactive
|
|
|
||
나. FIPS 140-2를 고려한 암호화 시스템 설계 시 고려사항
|
구분
|
고려사항
|
세부 내용
|
|
알고리즘
|
암호화 알고리즘 선택
|
AES, Triple DES, RSA등 승인 알고리즘 적용
|
|
암호화 모듈설계
|
AES-256암호화 사용, 데이터보호 암호화 모듈설계
|
|
|
키관리
|
HSM 키관리시스템
|
하드웨어보안모듈(HSM)사용하여 안전한 키관리시스템 설계
|
|
안전한 키관리
|
키생성, 저장, 회전, 파기등 안전한 키관리 수행
|
|
|
평가
|
보안기관 평가
|
보안기관 평가 및 FIPS 140-2 인증획득 필요
|
|
제3자인증
|
제 3자인증 기관을 통한 시스템 평가 수행
|
3. 암호화 시스템 보안요소 및 대응전략
가. FIPS 140-2를 고려한 암호화 시스템 보안요소
|
개념도
|
구분
|
보안요소
|
특징
|
|
대표
|
기밀성
|
암호화 알고리즘
|
강력한 암호화 알고리즘 구현
|
|
보안 업데이트
|
보안업데이트 수행 및 정책 수립
|
||
|
무결성
|
데이터 무결성
|
무결성위한 체크섬 또는 해시값 검증
|
|
|
키관리
|
안전한 키생성, 저장, 관리, 파기
|
||
|
가용성
|
모니터링 로깅
|
모니터링 및 로그통한 이상현상탐지
|
|
|
인증 및 접근제어
|
적절한 접근권한 부여 및 이중소요인증
|
나. FIPS 140-2를 고려한 보안 위협 대응 전략
|
구분
|
보안위협 대응전략
|
특징
|
|
기밀성
|
강력한 알고리즘
|
|
|
보안 업데이트 정책
|
|
|
|
취약점 대응
|
|
|
|
무결성
|
데이터 무결성
|
|
|
키관리
|
|
|
|
가용성
|
모니터링 및 로깅
|
|
|
접근제어
|
|
|
|
인증 및 권한관리
|
|
4. 경력보안 기준 제공 FIPS 140-3 비교
|
비교
|
FIPS-2
|
FIPS-3
|
|
출시년도
|
|
|
|
보안요구사항
|
|
|
|
보안평가 및 인증
|
|
|
|
||
공감과 댓글은 아이티신비에게 큰 힘이 됩니다.
블로그 글이 유용하다면 블로그를 구독해주세요.♥
'정보관리기술 > 정보보안' 카테고리의 다른 글
| 정보보호 정책 (0) | 2024.05.23 |
|---|---|
| CBPR(Cross Border Privacy Rules) (0) | 2024.05.20 |
| 개인정보의 안전한 처리 보장 (0) | 2024.05.16 |
| TPM(Trusted Platform Module) / ① (0) | 2024.05.12 |
| 큐싱(Qshing) /① (0) | 2024.05.11 |