선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 그리고, 대상기관에 적합한 보안사고대응 절차 및 방안을 제시하여 보안사고 발생 시에 적절한 대응이 가능하도록 한다.
- 대상기관이 별도의 보안조직을 구성하여 효율적인 보안 관리업무를 수행하고 있는지 분석하고, 그 인원구성과 업무 내용의 적절성도 함께 분석한다. 또한, 대상기관에 정보통 신보 안 지침이 마련되어 있는지 확인하고. 마련되어 있으면 해당 정보통신보안지침 내용의 적절성을 분석한다.
- 대한 삭제방안을 제시한다. 또한, 침입 차단시스템의 적절한 운영을 위한 운영방안을 제시한다.
- 또한. 라우터 및 스위치에서 발견된 취약점들에 대한 대응방안을 제시한다.
- 물리적 측면에서 대상기관의 보안성을 향상시키기위해 추가적으로 필요한 출입통제 방안 및 추가시설을 제시한다. 중요 시스템들이 설치되어있는 전산실에 대해서도 추가적으로 필요한 출입통제 방안 및 추가시설을 제시한다.
- 효과적이며 필수적인 사항이다. 본 논문에서 체계적이고, 효과적인 취약점 분석 . 평가 방법론을 제시하였다.
- 본 논문에서는 취약점 분석 . 평가의 수행경험을 토대로 하여 체계적인 취약점 분석 .
- 웹서버에 불필요한 서비스 및 open 포트에 대한 삭제 방안을 제시한다. 또한, 웹서버의 안전한 운영을 위하여 운영체제 및 IIS, Apache 등의 패치 설치 방안을 제시한다.
- 주전산기의 운영체제 및 서비스에 대한 패치 설치방안과 불필요한 서비스 및 open 포트에 대한 삭제 방안을 제시한다. 또한, 주요 시스템간에 불필요하게 접속을 허용하는 부분에 대해서는 꼭 접속이 필요한 시스템 간의 연결을 정의한다.
- 침입탐지시스템에 불필요한 서비스 및 open 포트에 대한 삭제방안을 제시한다. 또한, 침입 차단시스템의 적절한 운영을 위한 운영방안을 제시한다.
- 취약점 분석 . 평가의 목적은 해당기관의 정보통신망 및 기존 보안대책에 대한 분석 및 평가를 수행하고, 그 결과를 바탕으로 물리적, 관리적, 기술적 대응 방안을 제시하여 정보통신시스템에 보안체계를 구축하는 것이다.
제안 방법
- - 설문조사:전체직원을 대상으로 설문조사를 실시하여 보안정책, 보안조직구성, 직무보안, 사용자 보안 교육 정도, 보안사고 대응체계, 보호지역에 대한 관리, 보안의식, 개인 PC 보안관리 등에 대한 현황을 분석한다. 설문조사 응답 결과에 대한 체계적인 통계 및 분석을 실시하여 현황분석자료로 활용한다.
- - 인터뷰 : 보안관리자, 점검 대상이 되는 네트워크 및 시스템의 담당자, 부서장을 대상으로 인터뷰를 실시하여 보안관리 현황을 분석한다. 이때, 현재 운영되고 있는 보안관리의 적절성 여부에 대한 인터뷰 대상자의 의견을 듣고, 대상자의 보안 의식 수준 및 보안관리업무 현황을 분석한다.
- CMOS 암호의 사용여부 및 로그인 시 암호를 사용한 인증과정을 수행하는지 점검하고, PC 상에 공유 폴더에 대한 암호 사용여부와 read/write 권한의 적절한 사용 여부를 점검한다.
- 또한. PC에 백신 프로그램이 설치되어 있는지를 확인하고, 백신프로그램에 대한 탐지룰 업데이트를 주기적으로 수행되고 있는지 확인한다.
- 계획을 수립 및 제시한다. 각 대상별로 적절한 보안교육 내용과 횟수를 제안한다. 보안교육 내용은 대상자의 업무에 실질적으로 적용 가능한 내용을 위주로 한다.
- 각각의 라우터에 적합한 access list 구성방안을 제시하여 네트워크간의 접속 상에서 불필요한 접속을 차단하도록 한다. 또한.
- 각종 사고 발생에 대하여 마련되어 있는 재난관리대책의 내용을 확인하여 재난 발생시에 적절히 대응할 수 있는 준비가 되어 있는지를 확인하고, 이전의 사고 발생 사례 등에 대한 분석을 실시한다.
- 개인 PC에 대한 백신프로그램 운영방안, CMOS 암호 및 로그인 암호관리 방안, 공유폴더 암호 및 read/ write 권한 관리에 대한 방안을 제시하며, 주기적인 운영체제 및 서비스에 대한 패치 프로그램 설치 방안을 제시한다.
- 개인 PC에 대한 취약점 분석은 백신프로그램을 이용하여 대상 개인 PC에 악성코드 및 바이러스의 감염 및 설치 여부를 점검한다. 또한.
- 건물 및 전산실에 대한 출입통제 운영의 적절성과 실시현황을 점검하고, 우회경로의 존재여부를 확인하고, 통제를 받지 않고 접근 시에 발생할 수 있는 문제점을 파악한다. 주요 시스템 및 데이터에 대한 백업 실시 여부와 사용하는 백업장비의 안정성을 점검하며, 백업실시 주기가 적절한지, 백업 데이터가 지진이나 홍수 등의 재난에 대비하여 어느 정도 거리를 두고 이중보관 되는지에 대하여 점검한다.
- 백업 대책 등에 대한 현황분석을 실시한다. 건물 및 전산실에 대한 출입통제 현황을 확인하고, 제한구역 및 통제구역에 대한 출입관리현황을 분석한다. 주요 시스템 및 데이터에 대한 백업 실시 여부와 사용하는 백업 실시 현황을 분석하고, 백업실시 주기 및 이중보관 실시 등에 대한 현황도 분석한다.
- 관리적 현황분석에서는 보안조직, 보안정책 및 지침, 보안교육, 사고대응에 대한 현황분석을 실시하며, 그 방법의 하나로 인터뷰 및 설문도 실시한다. 대상기관이 별도의 보안조직을 구성하여 효율적인 보안 관리업무를 수행하고 있는지 분석하고, 그 인원구성과 업무 내용의 적절성도 함께 분석한다.
- 물리적, 관리적. 기술적 측면의 취약점을 찾아내고, 발견된 취약점에 대하여 모의침투시험을 실시하여 발견된 취약점이 실제로 침입이 가능한지 테스트하고, 침입 가능시에 어느 정도 악영향을 미칠 수 있는지 등의 위험도를 산정한다. 점검 결과를 토대로 하여 발견된 취약점들에 대하여 우선순위화를 실시한다.
- 웹서버는 보안 운영현황으로 내부 DB서버와의 데이터 흐름도 및 게시판의 운영현황 등을 분석한다. 내부 주전산기 시스템들에 대해서는 시스템 기능, 하드웨어 사양, 운영체제정보, 사용 응용프로그램 등의 정보를 분석하며. 각 시스템들 간의 데이터흐름을 분석한다.
- 웹서버 침입 가능 시에는 웹서버로부터 내부 시스템으로의 침투 가능성을 점검한다. 내부망의 DB 서버와 연동하여 운영되는 웹서버의 경우 내부망의 DB 서버로의 자료 업데이트 기능을 이용한 악성코드의 실행 여부 등을 분석 . 평가한다.
- 보안시스템. 네트워크 장비 등에 대한 현황분석을 실시한다. 대상기관의 전체네트워크 구성을 통하여 내부망과 외부인터넷망의 독립적 운영여부를 확인하고, 외부인터넷으로부터 내부 주요시스템에 대한 접근 가능성을 확인한다.
- 네트워크간의 접점에 위치하는 라우터의 access list를 점검하여 각 네트워크간에 접속이 필요한 IP 대역에 대해서만 접속을 허용하고 있는지를 확인하고, 사용하는 포트에 대해서만 허용하는 정책으로 운영되고 있는지 점검한다.
- 대상기관의 업무 및 현재의 네트워크 구성 상황을 기본으로 하여 효과적이고, 안전한 네트워크 구성방안을 제시한다. 이때, 추가적으로 필요한 비용 및 향후 대상기관의 정보통신시스템운영 계획을 참조하여 적 절한 방안을 제시한다.
- 네트워크 장비 등에 대한 현황분석을 실시한다. 대상기관의 전체네트워크 구성을 통하여 내부망과 외부인터넷망의 독립적 운영여부를 확인하고, 외부인터넷으로부터 내부 주요시스템에 대한 접근 가능성을 확인한다. 또한, 내부 시스템간에도 불필요한 접속을 허용하고 있는 부분은 없는지 분석한다.
- 대상기관이 별도의 보안조직을 구성하여 효율적인 보안 관리업무를 수행하고 있는지 분석하고, 그 인원구성과 업무 내용의 적절성도 함께 분석한다. 또한, 대상기관에 정보통 신보 안 지침이 마련되어 있는지 확인하고.
- 대상기관의 전체네트워크 구성을 통하여 내부망과 외부인터넷망의 독립적 운영여부를 확인하고, 외부인터넷으로부터 내부 주요시스템에 대한 접근 가능성을 확인한다. 또한, 내부 시스템간에도 불필요한 접속을 허용하고 있는 부분은 없는지 분석한다. 침입차단시스템의 보안정책 설정 내용을 점검하고, 운영관리 현황을 분석한다.
- 접속가능 여부를 점검한다. 또한, 내부망 내에서 각 부서간, 시스템간에 불필요한 접속을 허용하고 있는 부분은 없는지를 분석 . 평가한다.
- 또한, 네트워크 및 시스템 담당자, 보안관리자, 일반 사용자 등으로 대상을 구분하여 적절하고 효과적인 보안 교육 계획을 수립 및 제시한다. 각 대상별로 적절한 보안교육 내용과 횟수를 제안한다.
- 또한, 대상기관의 보안정책 운영에 적합하도록 침입 차단시스템의 보안정책 설정 룰의 삽입, 삭제 및 수정안을 제시한다.
- 또한, 라우터 및 스위치에 관리자 패스워드 관리가 안전하게 이용되고 있는지 점검도구를 이용하여 점검하고, 패스워드 크랙 프로그램을 이용하여 사용하는 암호의 안정성을 점검한다.
- 마련되어 있으면 해당 정보통신보안지침 내용의 적절성을 분석한다. 또한, 보안관리자가 보안관리를 수행하는데 필요한 기술을 얻을 수 있는 교육 참여 현황을 분석하고, 전 직원을 대상으로 실시하고 있는 보안교육 및 훈련에 대한 현황을 분석한다. 이때, 보안교육 실시 횟수와 교육내용의 적절성도 점검한다.
- 이때, 보안교육 실시 횟수와 교육내용의 적절성도 점검한다. 또한, 사고 대응에 대한 분석을 위하여 보안사고 발생 시에 대한 보고 절차 및 시행 내용을 분석한다.⑸
- 또한, 사고대응 능력으로 보안사고 발생 시의 보고 절차 및 실시 내용, 보안 취약점 발생 시의 보고 절차 및 실시 내용 등을 확인하고, 보안사고 발생 시에 담당자에 대한 징계의 절차 및 내용 등을 확인한다. 또한, 가상 모의 침투 시험 시 관련 직원들의 대응 능력 등도 점검한다.
- 제시한다. 또한, 웹서버의 안전한 운영을 위하여 운영체제 및 IIS, Apache 등의 패치 설치 방안을 제시한다. 그리고, 웹프로그램 개발상의 버그로 판별된 취약점들에 대해서는 프로그램 소스의 변경 방안을 제시하고, 향후 웹 프로그램 개발시 유의사항을 정리 및 제시한다.
- 주요 시스템 및 데이터에 대한 백업 실시 여부와 사용하는 백업 실시 현황을 분석하고, 백업실시 주기 및 이중보관 실시 등에 대한 현황도 분석한다. 또한, 전기시설의 안정성 분석으로 UPS 등의 전기시설 사용 현황을 분석한다. 또한, 지진, 홍수, 화재 등의 자연재해로부터의 재난대비시설을 점검한다.
- 이때, 추가적으로 필요한 비용 및 향후 대상기관의 정보통신시스템운영 계획을 참조하여 적 절한 방안을 제시한다. 또한, 주요 시스템간에 불필요하게 접속을 허용하는 부분에 대해서는 각 시스템의 기능 및 데이터흐름을 이용하여 접속 허용방안을 제시한다. 또한, 부득이하게 외부 DMZ 구간의 시스템으로부터 내부망으로의 접속이 필요하게 되면 보안상 안전하게 운영될 수 있는 방안을 제시한다.
- 평가를 실시한다. 또한, 즉시 조치가 필요한 취약점을 식별하여 점검 요원과 시스템 담당자가 협조하여 즉시 조치를 실시한다.
- 또한, 취약점 점검도구를 이용하여 점검 시나, 다양한 모의침투시험에 대하여 침입탐지시스템이 공격으로 정상적인 탐지를 수행하고 있는지를 점검하고, 침입 탐지시스템의 기능상 가장 중요한 탐지룰에 대한 업데이트가 실시간으로 적절하게 이루어지고 있는지를 분석 . 평가한다.
- 대부분의 침입 차단시스템은 별도의 open 포트를 사용하지 않으므로 불필요하게 열려있는 포트가 있는지 점검하고, 운영체제 및 서비스 상에 존재하는 취약점을 식별한다. 모의침투시험을 통하여 식별된 취약점을 이용한 exploit 을 실시하여 침투가 가능한지를 점검하고, 침투 이후에 실행 가능한 명령어의 범위 등을 확인하여 대상 취약점의 위험도를 산정한다.
- 평가는 네트워크나 시스템에 존재하는 취약점을 찾아내고. 모의침투시험을 통하여 현재의 보안상태를 점검하며, 발견된 취약점이 어느 정도 위협이 되는지를 평가하게 된다. 또한, 발견된 취약점들에 대한 즉시조치방안과 단기적, 중장기적 보안 대책을 수립하여 적용함으로써 대상 기관 정보통신망의 보안성을 높일 수 있다.
- 평가된 내용을 기반으로 대상기관의 특성 및 현실에 적합한 보안 대책을 제시하는 단계이다. 물리적, 관리적, 기술적 부분에 대한 보안대책을 제시하며, 중요시스템이거나 위험도가 높게 판정된 시스템에 대해서는 즉시 조치사항으로 제시하며, 전체적인 내용으로 중/장기적 보안 대책을 제시한다. 또한.
- 시설. 백업 대책 등에 대한 현황분석을 실시한다. 건물 및 전산실에 대한 출입통제 현황을 확인하고, 제한구역 및 통제구역에 대한 출입관리현황을 분석한다.
- IP가 포함되어 있지는 않은지. 사용하는 서비스 외에 불필요한 서비스 포트를 허용하고 있지는 않은지 , 현재 사용되지 않는 보안정책 설정이 남아 있지 않은지 등을 점검한다.
- 사후단계에서 제안한 보안대책이 적절히 적용되고 있는지에 대한 검토와 보안관리자, 시스템 및 네트워크 관리자, 일반사용자에 대하여 체계적이고 효과적인 보안 교육을 실시한다.
- 평가하였다. 산정된 위험도를 이용하여 각 시스템별로 식별된 취약점들에 대한위험도에 따라 High, Medium, Low의 형태로 분류하고. 우선적으로 조치되어야 하는 것부터 순위화 한다.
- 운영체제 및 서비스에 대한 취약점 점검뿐만 아니라 게시판 및 인증관련 부분에 대해서는 소스 코드 분석을 통한 취약점 분석을 실시하여 웹프로그램 개발상의 오류로 인하여 존재할 수 있는 취약점에 대해서도 식별한다. 식별된 취약점들에 대하여 모의침투시험을 실시하여 시스템에 대한 침입 가능 여부를 확인하고. 웹서버 침입 가능 시에는 웹서버로부터 내부 시스템으로의 침투 가능성을 점검한다.
- 불필요하게 open되어 있는 포트는 없는지, 서비스에 대한 패치가 설치되어 있지 않아 취약한 부분은 없는지를 점검하고, 운영체제 및 서비스 상에 존재하는 취약점을 식별한다. 식별된 취약점에 대한 모의침투시험을 통하여 exploit을 실시하여 실제로 침투가 가능한지를 점검하고. 침투 이후에 실행 가능한 명령어의 범위 등을 확인하여 대상 취약점의 위험도를 산정한다.
- 또한. 실시단계에서 즉각적인 조치가 필요한 부분에 대해서 조치를 실시하였으므로 조치 여부를 확인한다. 이때, 대상기관의 네트워크 환경과 향후의 정보통 신시스템운영계획과 적합하도록 보안대책을 제시하는 것이 중요하다.
- 운영체제 및 서비스 상에서 식별된 취약점들에 대하여 모의침투시험을 실시하여 시스템에 대한 침입 가능성을 확인하고, 침입 이후에 실행 가능한 명령어의 범위를 확인하여 대상 취약점에 대한 위험도를 산정한다. 또한.
- 통해 시험하고. 이 결과를 이용하여 발견된 취약점들을 우선순위화 한다.
- 또한. 이 시스템에 대하여 침입 성공 시 동일 네트워크 상에 존재하는 다른 시스템들에 대한 침입 가능성을 다양한 모의침투시험을 통하여 분석 . 평가한다.
- 실시하여 보안관리 현황을 분석한다. 이때, 현재 운영되고 있는 보안관리의 적절성 여부에 대한 인터뷰 대상자의 의견을 듣고, 대상자의 보안 의식 수준 및 보안관리업무 현황을 분석한다.
- 이와 같은 각종 사고 발생에 대한 재난관리 대책 마련 내용을 확인하여 재난 발생시에 적절히 대응할 수 있는 절차가 마련되어 있는지 점검하고, 재난 발생에 대한 모의시험을 실시하여 직원들의 적절한 행동 여부를 확인한다.
- 또한, 가상 모의 침투 시험 시 관련 직원들의 대응 능력 등도 점검한다. 인터뷰 및 설문조사 결과의 분석을 통하여 직원들에 대한 보안교육 내용 및 회수의 적절성을 분석하며, 직원들의 보안의식 및 보안관리 능력의 수준들을 분석 및 평가한다.
- 전기시설의 안정성 분석으로 UPS 등의 전기시설설치 여부와 주요 시설에 대한 이중화 여부를 점검한다. 또한, 지진, 홍수.
- 전체 네트워크 구성, 웹서버, 주전산기, 침입 차단시스템, 침입탐지시스템, 개인 PC 등에 대하여 취약점 점검 도구를 이용하여 취약점을 식별하고, 발견된 취약점들에 대한 모의침투 시험을 통하여 침입 가능 여부와 침입 가능시의 파급효과 등에 대한 분석 . 평가를 실시한다.
- 기술적 측면의 취약점을 찾아내고, 발견된 취약점에 대하여 모의침투시험을 실시하여 발견된 취약점이 실제로 침입이 가능한지 테스트하고, 침입 가능시에 어느 정도 악영향을 미칠 수 있는지 등의 위험도를 산정한다. 점검 결과를 토대로 하여 발견된 취약점들에 대하여 우선순위화를 실시한다. 또한, 발견된 취약점들 중 즉시조치가 필요한 취약점들에 대해서는 점검요원과 시스템 담당자가 협조하여 즉시조치를 실시한다.
- 조직내의 보안조직의 존재여부와 인원 구성의 적절성, 보안업무의 효율성 및 적절성, 각 부서간의 업무협조도 등을 분석하며, 정보통신보안지침의 세부항목들에 대한 적절성 검사와 지침에 따른 이행여부를 분석한다. 또한, 사고대응 능력으로 보안사고 발생 시의 보고 절차 및 실시 내용, 보안 취약점 발생 시의 보고 절차 및 실시 내용 등을 확인하고, 보안사고 발생 시에 담당자에 대한 징계의 절차 및 내용 등을 확인한다.
- 건물 및 전산실에 대한 출입통제 현황을 확인하고, 제한구역 및 통제구역에 대한 출입관리현황을 분석한다. 주요 시스템 및 데이터에 대한 백업 실시 여부와 사용하는 백업 실시 현황을 분석하고, 백업실시 주기 및 이중보관 실시 등에 대한 현황도 분석한다. 또한, 전기시설의 안정성 분석으로 UPS 등의 전기시설 사용 현황을 분석한다.
- 주요 시스템 및 데이터에 대한 백업 운영대책으로 백업대상 시스템 및 데이터를 정의하고, 적절한 백업 실시 주기를 제시하며, 백업된 데이터에 대한 이중보관 대책을 제시한다.
- 중요 시스템들이 설치되어있는 전산실에 대해서도 추가적으로 필요한 출입통제 방안 및 추가시설을 제시한다. 또한, 지진, 홍수 및 화재 등의 재난에 적절하게 대응하기 위한 소화시설 및 재난대비 시설에 대한 추가적인 설치 설비나 운영방안을 제시한다.
- 취약점 점검도구를 이용하여 시스템 자체에 대한취약점을 분석하고, 웹서버 점검도구를 이용하여 웹프로그램 개발 상에 존재하는 취약점을 분석한다. 웹서버는 외부로부터의 http 접속에 대해서는 모두 허용하는 시스템으로 해킹에 대하여 노출되어있는 시스템이다.
- 취약점 점검도구를 이용하여 시스템에 대한 취약점을 분석한다. 사전단계에서 주전산기 시스템에 대한기능 및 응용프로그램에 대한 분석을 수행하였으므로 대상시스템에서 운영되는 서비스 및 기능을 파악하고 있다.
- 취약점 점검도구를 이용하여 침입차단시스템 자체에 대한 시스템 차원의 취약점을 분석한다. 대부분의 침입 차단시스템은 별도의 open 포트를 사용하지 않으므로 불필요하게 열려있는 포트가 있는지 점검하고, 운영체제 및 서비스 상에 존재하는 취약점을 식별한다.
- 취약점 점검도구를 이용하여 침입탐지시스템 자체에 대한 시스템 차원의 취약점을 분석한다. 불필요하게 open되어 있는 포트는 없는지, 서비스에 대한 패치가 설치되어 있지 않아 취약한 부분은 없는지를 점검하고, 운영체제 및 서비스 상에 존재하는 취약점을 식별한다.
- 취약점 평가는 취약점 분석을 통해 발견된 취약점들이 실제 침입이 가능한지 또한 침입에 성공했을 때 그 피해파급효과가 어느 정도 영향을 미치는지 등을 모의침투시험을 통해 시험하고. 이 결과를 이용하여 발견된 취약점들을 우선순위화 한다.
- 또한, 내부 시스템간에도 불필요한 접속을 허용하고 있는 부분은 없는지 분석한다. 침입차단시스템의 보안정책 설정 내용을 점검하고, 운영관리 현황을 분석한다. 침입탐지시스템은 공격에 대한 탐지 기능을 확인하고.
- 침입차단시스템의 보안정책 설정에 불필요한 서비스 및 open 포트에 대한 삭제방안을 제시한다. 또한, 대상기관의 보안정책 운영에 적합하도록 침입 차단시스템의 보안정책 설정 룰의 삽입, 삭제 및 수정안을 제시한다.
- 본 논문에서 체계적이고, 효과적인 취약점 분석 . 평가 방법론을 제시하였다. 제안하는 취약점 분석 .
- . 평가 수행에 대한 설명회를 개최하고, 대상기관의 시스템 개발문서, IP 현황 및 네트워크 구성도, 정보보안지침서 및 주요 시스템 관리대장과 같은 현황자료들을 이용하여 물리적, 관리적, 기술적 현황분석을 수행하고, 네트워크 및 시스템 담당자와 부서장들을 대상으로 인터뷰를 실시하여 각 시스템들에 대한 운영현황 및 중요도와 조직 전반적인 보안관리 현황 등을 파악하며, 전체 직원을 대상으로 설문조사를 실시하여 직원들의 보안의식 및 보안관리 현황을 파악한다.
- 취약점 분석 . 평가를 수행한 각 시스템들을 대상으로 식별된 취약점들에 대하여 모의침투시험을 실시하여 각각의 취약점을 이용한 침입의 가능성 및 침입 가능 시의 파급효과 등을 분석 . 평가하였다.
- 준비단계에서는 취약점 분석 . 평가의 수준을 결정하고, 물리적, 관리적, 기술적 측면에서의 취약점 분석 . 평가의 범위를 결정한다.
- 본 논문에서는 취약점 분석 . 평가의 수행경험을 토대로 하여 체계적인 취약점 분석 . 평가 방법론을 제시한다.
- 제어망의 보유 여부와 해당기관의 서버 및 호스트의 개수. 해당기관의 시스템 및 네트워크에 보안사고 발생시 그 파급효과가 국가안보, 국가경제, 사회질서 유지, 국민생명 등에 어떠한 영향을 미칠 수 있는지를 고려하여 취약점 분석 . 평가 수행의 수준을 결정한다.
- 또한, 지진, 홍수. 화재 등의 재난에 대하여 대비하기 위해 설치된 재난 대비 시설의 동작여부를 점검한다.
- 효율적인 보안관리를 위한 보안조직의 구성방안을 제시하며, 보안조직에서 수행해야 하는 보안업무에 대하여 정의하고, 해당업무가 효율적으로 수행되기 위한 방안을 제시한다.
후속연구
- 또한, 웹서버의 안전한 운영을 위하여 운영체제 및 IIS, Apache 등의 패치 설치 방안을 제시한다. 그리고, 웹프로그램 개발상의 버그로 판별된 취약점들에 대해서는 프로그램 소스의 변경 방안을 제시하고, 향후 웹 프로그램 개발시 유의사항을 정리 및 제시한다.
- 또한, 주요 시스템간에 불필요하게 접속을 허용하는 부분에 대해서는 각 시스템의 기능 및 데이터흐름을 이용하여 접속 허용방안을 제시한다. 또한, 부득이하게 외부 DMZ 구간의 시스템으로부터 내부망으로의 접속이 필요하게 되면 보안상 안전하게 운영될 수 있는 방안을 제시한다.
- 중요 시스템들이 설치되어있는 전산실에 대해서도 추가적으로 필요한 출입통제 방안 및 추가시설을 제시한다. 또한, 지진, 홍수 및 화재 등의 재난에 적절하게 대응하기 위한 소화시설 및 재난대비 시설에 대한 추가적인 설치 설비나 운영방안을 제시한다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.