SW구축관리 - SW개발보안 정책

IT프로젝트정보시스템구축관리

SW구축관리

SW개발보안 정책의 개념

  • 소프트웨어 개발과정에서발생할수 있는 보안취약점을 최소화하여 보안위협으로 부터 안전한 소프트웨어를 개발하기 위한 일련의 보안활동
  • SW개발 생명주기SDLC의 각 단계에서 요구되는 보안활동을 수행해 안전한 소프트웨어를 개발하는 것이 목적

SW 보안 취약점이 발생하는 경우

  • 보안 요구사항이 정의되지 않은 경우
  • 소프트웨어 설계 시 논리적 오류가 포함된 경우
  • 기술 취약점을 갖고 있는 코딩 규칙을 적용한 경우
  • 소프트웨어 배치가 적절하지 않은 경우
  • 보안 취약점 발견 시 적절하게 대응하지 못한 경우

SW개발 보완 관련 기관

  • 소프트웨어 개발 보안 관련 활동 주체
    • 정책기관인 행정안전부
    • 발주기관인 행정기관
    • 전문기관인 인터넷진흥원
    • 개발기관인 사업자
    • 보안약점진단인 감리법인

SW개발 역할별 보안활동

  • 프로젝트 관리자 PM
    • 응용프로그램에 대한 보안 전략을 구성원들에게 설명하고 프로젝트 일정 및 보안위험의 상관관계등과 같은 보안 영향을 이해시키고 조직의 상태를 모니터링
  • 요구사항 분석가 RM
    • 아키텍트가 고려해야 할 보안 관련 비지니스 요구사항을 설명하고 프로젝트 팀이 고려해야할 구조에 존재하는 보안 요구사항과 유즈케이스에 대한 보안 고려사항을 기반으로 오용 사례를 정의
  • 아키텍트 Architect
    • 보안 오류가 발생하지 않도록 보안 기술 문제를 충분히 이해하고 시스템 사용되는 모든 리소스 정의 및 각 리소스별로 적절한 보안 요구사항 적용
  • 설계자 Designer
    • 특정 기술이 보안요구사항을 만족하는지 확인하고 애플리케이션 보안노력에 대한 품질 측정을 지원, 많은 비용이 필요한 수정 요구사항을 최소화하기 위한 방법을 제공, 타사의 소프트웨어 통합시 발생가능한 보안 위험을 이해하며 식별된 보안위협에 적절히 대응
  • 구현개발자 Implementer
    • 구조화된 소프트웨어 개발 환경에서 프로그램을 원활히 구현할 수 있도록 시큐어 코딩 표준을 준수하여 개발하며 제3자가 소프트웨어 안전 여부를 쉽게 판단할 수 있도록 문서화
      • 시큐어 코딩
        • 개발하고 있는 소프트웨어의보안상 취약점을 사전에 보완하면서 프로그래밍하는것
  • 테스트분석가 Test Analyst
    • 소프트웨어 개발 요구사항과 구현 결과를 반복적으로 확인하며 테스트 그룹은 반드시 보안전문가일 필요는 없지만보안 위험에 대한 학습이나 툴 사용법을 숙지함

SW개발 역할별 보안활동

  • 보안 감시자 Security Auditor
    • 프로젝트 전체단계에서 활동하며, 소프트웨어 개발 프로젝트의 현재 상태의 보안을 보장하고 요구사항 검토시 요구사항의 적합성과 완전성을 확인하고, 설계단계에서는 보안 문제로 이어질 수 있는 사항이 있는지 확인하며, 구현단계에서는 보안 문제가 있는지 확인

SW개발보안 관련 법령

  • 개인정보보호법
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률
  • 신용정보의 이용 및 보호에 관한 법률
  • 표준 개인정보 보호 지침
  • 개인정보의 안전성 확보 조치 기준
  • 개인정보 영향평가에 관한 고시

IT기술 관련 규정

  • RFID 프라이버시 보호 가이드라인
  • 위치정보의 관리적, 기술적 보호조치 권고 해설서
  • 바이오정보 보호 가이드라인
  • 뉴미디어 서비스 개인정보 보호 가이드라인

SW구축관리 - SW 관련 신기술

IT프로젝트정보시스템구축관리

SW구축관리

  • 소프트웨어와 관련된 IT 신기술의 종류와 특징을 이해
  • 소프트웨어 개발 보안의 개념과 보안 관련 기관 및 소프트웨어 개발 프로젝트 참여자별 보안 활동 역할 이해
  • 소프트웨어 개발 보안 활동 관련 법령 및 규정의 종류 이해

용어사전

  • SW개발보안 정책
    • 소프트웨어 개발 과정에서 발생할 수 있는 보안 취약점을 최소화하여 보안 위협으로부터 안전한 소프트웨어를 개발하기 위한 일련의 보안활동

SW 관련 신기술

1. AI; Artificial Intelligence 인공지능

  • 컴퓨터 스스로 인간의 두뇌와 같이 추론, 학습, 판단 등 인간 지능적인 작업을 수행하는 시스템
  • 인공지능의 응용분야에는 신경망, 퍼지, 패턴 인식, 전문가 시스템, 자연어 인식, 이미지 처리, 컴퓨터 시각, 로봇 공학 등
    • Fuzzy 퍼지
      • 인간의 말, 의미, 사고, 측정 등에 본질적으로 포함되어 있는 애매 모호함을 수학적으로 다루는 학문

2. AR; Augmented Reality 증강현실

  • 가상현실이 이미지, 주변 배경, 객체 모두를 가상의 이미지로 만들어 보여 주는 반면, 증강 현실은 현실에 기반하여 정보를 추가 제공하는 기술

3. Blockchain 블록체인 과 Distributed Ledgers 분산 장부

  • P2P 네트워크를 이용하여 온라인 금융 거래 정보를 온라인 네트워크 참여자의 디지털 장빙 분산 저장하는 기술
  • 기존 금융 회사들이 사용하고 있는 중앙 집중형 서버에 거래 정보를 저장할 필요가 없어 관리 비용이 절감되고, 분산 저장으로 인해 해킹이 어려워짐에 따라 보안 및 거래 안정성이 향상됨

4. CC; Common Criteria 공통 평가 기준

  • ISO 15408 표준으로 채택된 정보 보호 제품 평가기준
  • 정보화 순기능 역할을 보장하기 위해 정보화 제품의 정보보호기능과 이에 대한 사용 환경 등급을 정한 기준

5. CEP; Complex Event Processing 복잡 이벤트 처리

  • 실시간으로 발생하는 많은 사건들 중 의미가 있는 것만을 추출할 수 있도록 사건 발생 조건을 정의하는 데이터 처리 방법
  • 금융, 통신, 전력, 물류, 국방 등에서 대용량 데이터 스트림에 대한 요구에 실시간으로 대응하기 위하여 개발된 기술이며 미들웨어에 접속시키면 기업이 독자적인 실시간 응용 애플리케이션 개발 가능
    • 미들웨어
      • 운영체제와 해당 운영체제에 의해 실행되는 응용 프로그램 사이에서 운영체제가 제공하는 서비스 이외에 추가적인 서비스를 제공하는 소프트웨어

6. Deep Learning 딥 러닝

  • 인간의 두뇌를 모델로 만들어진 인공신경망을 기반으로 하는 기계 학습 기술
  • 많은 데이터를 이용한 컴퓨터가 마치 사람처럼 스스로 학습할 수 있어 특정 업무를 수행할 때 정형화된 데이터를 입력 받지 않고 스스로 필요한 데이터를 수집,분석하여 고속으로 처리 가능

7. Digital Twin 디지털 트윈

  • 현실 속의 사물을 소프트웨어로 가상화한 모델로 자동차, 항공, 에너지, 국방, 헬스케어 등 여러 분야에서 활용
  • 현실 속의 사물을 대신해 다양한 상황을 모의 실험하기 위한 용도

8. Expert System 전문가 시스템

  • 의료 진단 등과 같이 특정 분야의 전문가가 수행하는 고도의 업무를 지원하기 위한 컴퓨터 응용 프로그램
  • 인간의 지적 활동과 경험을 통해서 축적된 전문가의 지식과 전문가에 의해 정의된 추론 규칙을 활용하여 결정하거나 문제르 해결
  • 지식 베이스(Knowledge Base)라는 데이터베이스 + 추론을 실행하는 추론 엔진(Inference Engine)

9. Grayware 그레이웨이

  • 소프트웨어를 제공하는 입장에서는 악의적이지 않은 유용한 소프트웨어라고 주장할 수 있지만 사용자 입장에서는 유용할 수도 있고 악의적일 수도 있는 애드웨어, 스파이웨어, 기타 악성코드나 악성 공유웨어를 뜻함

10. Hash 해시

  • 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 것
  • 데이터의 암호화가 아닌 무결성 검증을 위한 방법으로 대칭, 비대칭 암호화 기법과 함께 사용되어 전자화폐, 전자서명 등 다양한 방면에서 활용되고 있음

11. Mashup 매시업

  • 웹에서 제공하는 정보 및 서비스를 이용하여 새로운 소프트웨어나 서비스, 데이터베이스 등을 만드는 기술
  • 다수의 정보원이 제공하는 콘텐츠를 조합하여 하나의 서비스로 제공하는 웹 사이트 또는 어플리케이션

12. OGSA; Open Grid Service Architecture 오픈 그리드 서비스 아키텍처

  • 애플리케이션 공유를 위한 웹 서비스를 그리드 상에서 제공하기 위해 만든 개방형 표준

13. PET; Privacy Enhancing Technology 개인정보 강화 기술

  • 심각한 위험으로 대두되고 있는 개인정보 침해 위험을 관리하기 위한 핵심 기술
  • 암호화, 익명화 등 개인정보를 보호하는 기술에서 사용자가 직접 개인정보를 통제하기 위한 기술까지 다양한 사용자 프라이버시 보호 기술을 통칭함

14. PIA; Privacy Impact Assessment 개인정보 영향평가 제도

  • 개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시 시스템의 구축/운영이 기업의 고객은 물론 국민의 사생활에 및리 영향에 대해 미리 조사/분석/평가하는 제도

15. QKD; Quantum Key Distribution 양자 암호키 분배

  • 양자 통신을위해 비밀키를 분배/관리하는 기술
    • 양자
      • 물리학에서 상호 작용과 관련된 모든물리적 독립계의 최소단위

16. RIA; Rich Internet Application 리치 인터넷 어플리케이션

  • 플래시 애니메이션 기술과 웹 서버 애플리케이션 기술을 통합하여 기존 HTML보다 역동적이고 인트랙티브한 웹페이지를 제공하는 신개념의 플래시 웹페이지 제작 기술

17. Semantic Web 시맨틱 웹

  • 컴퓨터가 사람을 대신하여 정보를 읽고 이해하고 가공하여 새로운 정보를 만들어 낼 수 있는 '의미론적인 웹이라는 의미를 가진 차세대 지능형 웹

18. SOA; Service Oriented Architecture 서비스 지향아키텍처

  • 정보시스템을 공유와 재사용이 가능한 서비스 단위나 컴포넌트 중심으로 구축하는 정보기술 아키텍처

19. Software Escrow 소프트웨어 에스크로

  • 소프트웨어 개발자의지식재산권을 보호하고 사용자는 저렴한비용으로 소프트웨어를 안정적으로 사용 및 유지보수 받을 수 있도록 소스 프로그램과 기술 정보 등을 제3의 기관에 보관하는 것

20. Vaporware 증발품

  • 판매 계획 또는 배포 계획은 발표되었으나 실제로 고객에게 판매되거나 배포되지 않고 있는 소프트웨어

네트워크구축관리 - 핵심정리

IT프로젝트정보시스템구축관리

네트워크구축관리

1. IT 신기술 및 네트워크 장비 트렌드 정보

- Ad-hoc Network 애드 혹 네트워크
- Cloud Computing 클라우드 컴퓨팅
- IoT; Internet of Things 사물 인터넷
- NDN; Named Data Networking
- NFC; Near Field Communication 근거리 무선 통신
- PICONET 피코넷
- USN; Ubiquitous Sensor Network 유비쿼터스 센서 네트워크

2. 네트워크 장비(라우터, 백본 스위치)

- 네트워크 토폴리지(Topology) 종류
    - 성형, 버스형, 링형, 트리형, 망형
- 네트워크 분류
    - LAN, MAN, WAN, VAN
- 스위치의 분류
    - L2, L3, L4, L7 스위치
- Hierarchical 3 Layer 모델
    - 액세스 계층, 디스트리뷰션 계층, 코어 계층
API API오용 Anaconda Beacon Bluetooth CRUD분석 Camera ChatBot DB관련신기술 DB관리기능 DB서버 DB표준화 ER다이어그램 ER모델 ETL Flask HW관련신기술 IDE도구 IP IoT Machine_Translation NLP배경 ORM프레임워크 Package Recurrent Neural Network SDLC SW개발방법론 SW개발방법론선정 SW개발보안정책 SW개발표준 SW관련신기술 Sequence_Tagging ShellScript TCP_UDP Vector WordCloud c 자료형 class embedding konlpy python python 자료형 가설검증 개발환경구축 객체지향프로그래밍언어 관계데이터베이스모델 관계데이터언어 국제표준제품품질특성 네트워크7계층 네트워크관련신기술 네트워크장비 네트워크침해공격용어 논리데이터모델개요 논리데이터모델품질검증 논리적데이터모델링 논문 단위모듈구현 단위모듈테스트 데이터검증 데이터모델개념 데이터베이스무결성 데이터베이스백업 데이터베이스암호화 데이터베이스용량설계 데이터베이스이중화구성 데이터베이스정규화 데이터분석 데이터분석 - 순열 - 조합 데이터분석 - 정규분포 데이터분석 - 통계기초 데이터사이언스개념 데이터입출력 데이터전환수행계획 데이터정제 데이터조작프로시저작성 데이터조작프로시저최적화 데이터조작프로시저테스트 데이터지역화 데이터타입 데이터표준확인 데이터품질분석 라이브러리 로그분석 메모리관리 모델화 몬테카를로 물리데이터모델설계 물리데이터모델품질기준 물리데이터저장소구성 물리요소조사분석 반정규화 배치프로그램 변수 보안기능 보안솔루션 보안아키텍처 보안취약성식별 분산데이터베이스 분산분석 비용산정모델 빌드자동화도구 사용자정의함수 상관분석 서버개발프레임워크 서버인증 서버장비운영 서버접근통제 서비스공격유형 선언형언어 세션통제 소스코드인스펙션 소프트스킬 소프트웨어개발프레임워크 소프트웨어버전관리도구 소프트웨어연계테스트 슈퍼디엠지 스크립트언어 시스템카탈로그와뷰 암호알고리즘 애플리케이션모니터링도구 애플리케이션배포도구 애플리케이션성능개선 애플리케이션테스트결과분석 애플리케이션테스트시나리오작성 애플리케이션테스트케이스작성 애플리케이션통합테스트수행 애플리케이션패키징 연산자 예외처리 오답노트 오류데이터측정 오류처리 오류처리확인및보고서작성 요구공학방법론 운영체제 웹서버 이벤트 인터넷구성의개념 인터페이스구현검증 인터페이스기능확인 인터페이스보안 입력데이터검증및표현 자료구조 자연어처리 재사용 절차적프로그래밍언어 정보보안침해공격용어 정보처리기사 제품소프트웨어매뉴얼작성 집계성DCL작성 체크리스트 초기데이터구축 취약점분석 칼럼속성 캡슐화 코드오류 클러스터링 키종류 테일러링기준 트랜잭션인터페이스 트리거 파일처리기술 파티셔닝 패키지 포트포워딩 프로세스스케줄링 프로토타입 한국어임베딩 핵심정리 현업도구 형상관리도구 환경변수 회귀분석
Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×