정보보안의 3요소에 대해서

정보보안의 3요소

 

기밀성(Confidentiality)

오직 인가된(authorized) 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성에 근거하여 시스템에 접근해야 한다는 원칙입니다.

 

기밀성은 두 가지 의미를 가집니다. 데이터의 기밀성과 프라이버시입니다. 데이터 기밀성이란 개인정보나 기밀 정보를 부정한 사용자가 이용하거나 그들에게 노출되지 않도록 하는 것입니다.

 

프라이버시란 개인과 관련된 어떤 정보가 수집되고 저장되는지, 누구에게 그 정보가 공개되는지, 누가 공개하는지 등을 통제하거나 영향이 미칠 수 있도록 하는 것입니다.

 

기밀성을 보장하기 위한 보안 기술에는 접근제어, 암호화 등이 있습니다.

 

 

무결성(Integrity)

네트워크를 통하여 송수신되는 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 하는 성질을 말합니다.

 

무결성 왜곡이 항상 악의적인 행동의 결과로 나타나는 것은 아닙니다. 전력차단과 같은 시스템 중단이 정보에 예상치 못한 변형을 일으킬 수 있습니다.

 

무결성을 보장하기 위한 보안기술에는 접근제어, 메시지 인증 등이 있으며, 정보가 이미 변경되었거나 변경 위험이 있을 때에는 이러한 변경을 탐지하여 복구할 수 있는 침입탐지, 백업 등의 기술이 필요합니다.

 

 

가용성(Availability)

시스템이 지체 없이 동작하고, 합법적 사용자가 서비스 사용을 거절당하지 않도록 하는 것입니다.

 

정보는 지속적으로 변화하며, 이는 인가된 사용자가 접근할 수 있어야 함을 의미합니다. 정보의 비가용성은 조직에 있어 기밀성이나 무결성의 부족만큼이나 해롭습니다.

 

고가용성(High Availability)라고 하여 가용성을 높이는 방법들이 있으며 Active, Backup을 이용하고 있습니다. 이중화를 통해서 가용성을 높일 수 있습니다.

 

가용성을 확보하기 위해서는 데이터의 백업, 중복성의 유지, 물리적 위협요소로부터의 보호 등의 보안 기술을 적용할 수도 있습니다.

 

정보처리기사, 정보보안기사의 책들에서 보면 CIA라고 외우라고 합니다. 기밀성, 무결성, 가용성은 보안의 3요소이며, 아주 기본적인 내용이기 때문에 보안 관련해서 빠지지 않고 등장합니다.

 

2017/07/26 - [IT/정보보안] - 정보보안 - 방화벽의 개념, 원리

정보보안 - 방화벽의 개념, 원리

정보보호 관리와 정보보호 대책

정보보호 관리는 기술적 보호대책, 물리적 보호대책, 관리적 보호대책으로 구분하여 계층적으로 표현할 수 있습니다.

 

기술적 보호대책은 정보 시스템, 통신망, 정보(데이터)를 보호하기 위한 가장 기본적인 대책입니다. 접근통제, 암호기술, 백업체제, 정보시스템 자체에 보안성이 강화된 시스템 소프트웨어를 사용하는 등의 대책이 기술적 보호대책에 속합니다.

 

물리적 보호대책은 화재, 수해, 지진, 태풍 등과 같은 자연재해로부터 정보시스템이 위치한 정보처리시설을 보호하기 위한 자연재해 대책이 있습니다.

 

또한 불순 세력이나 적의 파괴로부터 정보시스템을 보호하기 위한 출입통제 등이 물리적 보안대책으로 구분됩니다.

 

관리적 보호대책은 법, 제도, 규정, 교육 등을 확립하고, 보안 계획을 수립하여 이를 운영(보안등급, 액세스 권한 등) 합니다.

 

또한 위험분석 및 보안감사를 시행하여 정보시스템의 안정성과 신뢰성을 확보하기 위한 대책입니다. 조직체의 정보보호를 효과적으로 보장하기 위해서는 다양한 기술적 보호대책뿐만 아니라 이들을 계획하고, 설계하며, 관리하기 위한 제도, 정책, 절차 등의 관리적 보호대책도 매우 중요합니다.