소프트웨어 개발 보안
소프트웨어 개발 보안의 개요
- 소프트웨어 개발 과정에서 발생할 수 있는 보안 취약점을 최소화하여 보안 위협으로부터 안전한 소프트웨어를 개발하기 보안 활동
- 데이터의 기밀성, 무결성, 가용성을 유지하는 것이 목표
소프트웨어 개발 보안 관련 기관
- 행정안전부(정책기관), 한국인터넷진흥원(전문기관), 행정기관(발주기관), 사업자(개발기관), 감리법인(보안 약점 진단)
소프트웨어 개발 직무별 보안 활동
소프트웨어 개발 직무별 보안 활동
- 프로젝트 관리자 : 보안 전략을 조직 구성원에게 전달하고 모니터링
- 요구사항 분석가 : 아키텍트가 고려해야 할 보안 관련 비즈니스 요구사항을 설명
- 아키텍트 : 보안 오류가 발생하지 않도록 보안 기술 문제를 충분히 이해하고 시스템에 사용되는 모든 리소스 정의 및 보안 요구사항 적용
- 설계자 : 특정 기술에 대해 보안 요구사항의 만족성 여부를 파악하고 소프트웨어에서 발견된 보안 위협에 대해 적절히 대응
- 구현 개발자 : 개발 환경에서 프로그램을 구현할 수 있도록 시큐어 코딩 표준을 준수하여 개발
- 테스트 분석가 : 개발 요구사항과 구현 결과를 반복적으로 확인
- 보안 감시자 : 개발 프로젝트의 전체 단계에서 활동하며 현재 상태와 보안을 보장
Secure OS
Secure OS의 개요
- 기존 운영체제에 내재된 보안 취약점을 해소하기 위해 보안 기능을 갖춘 커널을 이식한 운영체제
- TCB를 기반으로 참조모니터의 개념을 구현하고 집행
-> 참조 모니터와 보안 커널의 특징 : 격리성, 검증 가능성, 완전성
- 보호 대상 : 메모리, 보조 기억장치 및 저장된 데이터, 하드웨어 장치, 자료 구조, 명령어, 각종 보호 메커니즘 등
Secure OS의 보안 기능
- 식별 및 인증, 임의적 접근통제, 강제적 접근 통제, 객체 재사용 보호, 완전한 조정, 신뢰 경로, 감사 및 감사기록 축소
회복 / 병행제어
회복
- 트랜잭션을 수행하는 도중 장애가 발생하여 데이터베이스가 손상되었을 때 복구하는 작업
- 장애의 유형 : 트랜잭션 장애, 시스템 장애, 미디어 장애
- 회복 관리기 : 트랜잭션이 실행이 완료되지 못하면 트랜잭션이 데이터베이스에 생성했던 모든 변화를 취소(Undo)시키고 이전의 원래 상태로 복구하는 역할을 담당
병행 제어
- 동시에 여러 개의 트랜잭션을 수행할 때 데이터베이스의 일관성을 유지할 수 있도록 트랜잭션 간 상호작용을 제어
- 병행 제어의 목적
-> 데이터베이스의 공유 및 시스템의 활용도 최대화
-> 데이터베이스 일관성 유지
-> 응답 시간 최소화
병행 수행의 문제점
- 갱신 분실 : 두 개 이상의 트랜잭션이 같은 자료를 공유하여 갱신할 때 갱신 결과의 일부가 없어짐
- 비 완료 의존성 : 하나의 트랜잭션이 실패한 후 회복되기 전에 다른 트랜잭션이 실패한 갱신 결과를 참조
- 모순성 : 병행 수행될 때 원치 않는 자료를 이용하여 문제가 발생
- 연쇄 복귀 : 트랜잭션 중 하나에 문제가 생겨 ROLLBACK 하는 경우 다른 트랜잭션도 같이 ROLLBACK 됨
데이터 표준화
데이터 표준화의 정의
- 시스템을 구성하는 데이터 요소의 명칭, 정의, 형식, 규칙에 대한 원칙을 수립하고 정의
데이터 표준
- 데이터 모델이나 데이터베이스에서 정의할 수 있는 모든 오브젝트를 대상으로 수행
- 표준 단어 : 업무에서 사용하는 일정한 의미를 가진 최수 단위의 단어
- 표준 도메인 : 칼럼을 성질에 따라 그룹핑함
- 표준 코드 : 선택할 수 있는 값을 기준에 맞게 이미 정의된 코드값
- 표준 용어 : 표준 단어 / 도메인 / 코드를 바탕으로 표준 용어 구성
데이터 표준화 절차
데이터 표준화의 대상
- 데이터 명칭 : 데이터를 유일하게 구별, 의미 전달, 업무적 보편성을 갖는 이름을 가져야 함
- 데이터 정의 : 제3자의 입장에서도 쉽게 이해할 수 있도록 데이터가 의미하는 범위와 자격 요건을 규정
- 데이터 형식 : 데이터를 형식을 일관적으로 정의함으로써 데이터 입력 오류 및 통제 위험 등을 최소화
- 데이터 규칙 : 데이터 값을 사전에 지정해 데이터의 정합성 및 완전성 향상
데이터 표준화의 기대효과
- 데이터의 의미나 위치를 파악하고 의사소통하기 쉽다
- 데이터 유지보수 및 운용에 있어 여러 이점이 있음
필기 정리
2020 정보처리기사 필기 정리
본 정리 글은 시나공 정보처리기사 필기책과 학교 특강을 참고하여 작성하였습니다. -> 책 정보 확인하기 시나공 정보처리기사 필기 2020년 정보처리기사 NCS기반 전면 개편!정보처리기사 시험은 NCS 학습 모듈 중..
1d1cblog.tistory.com
'2020(개정) 이후 정보처리기사 > 5과목 : 정보시스템 구축 관리' 카테고리의 다른 글
| 2020 정보처리기사 필기 - 5.3 소프트웨어 개발 보안 구축(2) (0) | 2020.04.17 |
|---|---|
| 2020 정보처리기사 필기 - 5.3 소프트웨어 개발 보안 구축(1) (0) | 2020.04.17 |
| 2020 정보처리기사 필기 - 5.2 IT 프로젝트 정보 시스템 구축 관리(2) (0) | 2020.04.17 |
| 2020 정보처리기사 필기 - 5.2 IT 프로젝트 정보 시스템 구축 관리(1) (0) | 2020.04.17 |
| 2020 정보처리기사 필기 - 5.1 소프트웨어 개발 방법론 활용(2) (0) | 2020.04.16 |