시큐어코딩가이드
- 인터페이스 개발시 보안 취약점을 방지하기 위한 권고안
- 입력 데이터 검증 및 표현
: 프로그램 입력 값에 대한 검증 누락, 부적절한 검증, 잘못된 형식 지정
=> 유효성 검증 체계 수립 / 실패 처리 기능 구현
- 보안 기능
: 인증 / 접근 통제, 권한 관리, 비밀번호 구현
- 시간 및 상태
: 병렬 수행에 대한 관리
- 에러처리
- 코드오류
- 캡슐화
: 디버거 코드 제거 / 클래스내 Private 접근자 지정
- API 오용
: 개발 언어별 취약 API 확보 및 취약 API 검출 프로그램 사용
데이터베이스 보안
- 대칭 키 암호화 알고리즘 (비밀키)
: ARIA 128/792/256, SEED
- 비대칭 키 암호화 알고리즘 (암호화 = 공개키 / 복호화 = 비밀키)
: RSA, ECC, ECDSA
- 해시 암호화 알고리즘
: SHA-256/384/512, HAS-160
데이터베이스 암호화 기법
- API 방식
: 애플리케이션 레벨에서 암호화 모듈을 적용하는 방식
: 애플리케이션 서버에 암ㆍ복호화 모듈 존재
- Plug-in 방식
: DB서버에 암ㆍ복호화모설
- TDE 방식
: DB서버의 DBMS 커널이 자체적으로 암ㆍ복호화 수행
: 내장된 암호화 기능
- Hybrid 방식
: API방식과 Plug-in 방식 결합
인터페이스 데이터의 암호화 전송
- IPSec
: IP계층에서 인증헤더(AH)와 암호화(ESP)를 이용하여 무결성과 기밀성을 보장하는 종단간 터널링 보안 프로토콜
: 전송(Transport) 모드와 터널(Tunnel) 모드
ㆍ주요 프로토콜 : AH, ESP, IKE(키교환)
ㆍ정책 : SPD, SAD
- SSL / TLS
: 전송계층과 응용계층 사이에서 클라이언트와 서버간 데이터 암호화 및 무결성을 보장하는 보안 프로토콜
: 익명모드, 서버인증 모드, 클라이언트-서버인증 모드
: 다양한 암호화 기술 사용
: https:// 형식과 443포트 사용
- S-HTTP
: 웹 상에서 네트워크 트래픽을 암호화하는 주요 방법
: 클라이언트와 서버간에 전송되는 모든 메시지를 암호화 하여 전송
: shttp:// 형식
'Certification > 정보처리기사' 카테고리의 다른 글
| 프로그래밍 기초 1 (자료형 ~ 식별자) (0) | 2021.04.10 |
|---|---|
| 인터페이스 구현 검증 (xUnit / STAF / FitNesse / APM) (0) | 2021.04.10 |
| 인터페이스 설계 및 구현 (JSON / XML / AJAX / REST) (0) | 2021.04.10 |
| 웹 서비스 방식 (SOAP / UDDI / WSDL) (0) | 2021.04.09 |
| 내ㆍ외부 연계 모듈 (EAI / ESB) (0) | 2021.04.09 |