컴퓨터 보안 개념 - CIA Triad(정보 시스템의 3대 보안 목적)

컴퓨터 보안 개념 - CIA Triad (정보 시스템의 3대 보안 목적)

• 컴퓨터 보안이란 : 정보 시스템 자원의 무결성 가용성 기밀성을 보전하는 것을 목표로 제공 된 자동화 된 정보 시스템 보호

CIA Triad - 컴퓨터 보안의 3요소 (정보 시스템의 3대 보안 목적)

기밀성

정보 접근과 공개에 대해 합법적인 제한 조건을 지키는 것이다
개인 프라이버시와 소유권에 대한 정보를 보호하는 수단이 포함 된다

• 기밀성이 파괴 되면 정보가 부정하게 공개 된다

• 데이터 기밀성

  • 개인 정보나 기밀 정보를 부정한 사용자에게 이용/노출 되지 않도록 하는 것

• 프라이버시

  • 개인이 자신과 관련 된 정보를 통제 할 권리

무결성

부적절한 정보 수정이나 정보 파괴를 막는 것이다
정보 부인 방지와 합법성을 확실히 하는 것도 포함 된다

• 무결성을 상실하면 정보가 무단으로 수정되거나 파괴 된다

• 데이터 무결성

  • 규정에 따라 허가된 상태에서만 정보나 프로그램을 변경 할 수 있음

• 시스템 무결성

  • 시스템이 의도했던 기능을 손상 되지 않은 채 그대로 수행하도록 하는 것
  • 부정하게 시스템이 조작 되지 않은 상태로 수행하도록 하는 것

가용성

정보 사용에 있어 시간성과 신뢰성 있는 접근을 의미한다

• 가용성이 상실 되면 정보나 정보 시스템을 사용/접근이 불가능하다

• 시스템이 지체 없이 동작하고, 합법적인 사용자에게 서비스를 거절하지 않도록 하는 것

• 가용성을 떨어뜨리는 행위 또는 떨어지는 사건

  • DNS 쿼리를 계속 악의적으로 던지는 행위

• 인증을 하려는데 인증을 할 수 없음

추가 개념

• 보안 목적의 완전 표현을 위해서 CIA 트라이어드에 추가적인 개념이 필요하다

• 인증성 : 진짜라는 성질을 확인하고, 신뢰 할 수 있어야 한다

  • 전송,메시지,메시지 출처의 유효성을 확신 할 수 있어야 한다.
  • 사용자가 정말 그 사용자인지 확인 가능해야 한다

• 책임성 : 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다

  • 부인 봉쇄, 억제, 결함 분리, 침입 탐지 및 예방, 사후 복구와 법적인 조치 등이 포함 된다
  • 진정으로 안전한 시스템을 만드는 것은 불가능하기에, 보안 침해의 책임이 있는 곳 까지 추적을 할 수 있어야 한다