728x90
반응형
SMALL
소프트웨어 보안취약점은
- 보안요구사항이 정의되지 않았거나
- 논리적인 오류를 가지는 설계를 수행했거나
- 기술취약점을 가지는 코딩규칙을 적용하였거나
- 소프트웨어 배치가 절절하지 않았거나
- 발견된 취약점에 대해 적절한 관리 또는 패치를 하지 않은 경우
발견된다.
소프트웨어 개발방법론
| 구조적 방법론 | - 프로세스 중심의 개발방법론 - 모듈의 분할과 정복에 의한 하향식 설계(Top-Down) - SDLC구조의 폭포수 모델이 기본 - 산출물 : DFD |
| 객체지향 방법론 | - 반복적이고 점증적인 개발방식 - 재사용성강조 - 분산객체기술의 완벽한 지원 - Bottom-Up - 유즈케이스 다이어그램, 시퀀스 다이어그램… |
| CDB 방법론 | - 컴포넌트 기반 개발 - 반복 점진적 개발 프로세스 - 표준화된 산출물 - 재사용성 향상 - Bottom-up |
소프트웨어 개발보안 적용 사례
| 사례 | 설명 |
| MS-SDL | MS - Secure Development Lifecycle |
| Seven TouchPoints | - 소프트웨어 보안의 모범사례를 소프트웨어 개발 라이트사이클에 통합 - 공통 위험요소를 파악하고 이해하며, 보안을 설계하고 모든 소프트웨어 산출물에 대해 철저하고 객관적인 위험분석 및 테스트를 거쳐 안전하 소프트웨어를 만드는 방법을 정의 - 7개의 보안강화활동 |
| CLASP | Comprehensive, Lightweight Application Security Process - SDLC 초기단계에 보안강화를 목적으로 하는 정형화된 프로세스로서 - 활동중심, 역할기반의 프로세스로 구성된 집합체이다. - 운영중인 시스템에 적용하기 좋다. ① 개념관점 ② 역할기반 관점 ③ 활동평가 관점 ④ 활동구현 관점 ⑤ 취약성 관점 |
소프트웨어 보안약점 진단방법론
| 정적분석 | 화이트박스 |
| 소스코드의 구조,구문의미 리뷰 | |
| 소스코드의 보안약점을 점검하여 완성된 SW의 발생가능한 잠재적인 취약점을 예방하는 점검 |
|
| 동적분석 | 블랙박스 |
| 실행파일, 결과, 성능,안정성 -> 디버깅, 부하테스트, 모의해킹 | |
| 실행과정에서의 다양한 입출력데이터의 변화및 사용자 상호작용에 따른 변화를 점검하는 방법으로 입출력에 대한 다양한 취약점을 점검 |
정탐/오탐
| 소스코드 | 진단도구 | 결과유형 |
| Error | Error | 정탐 |
| Error | 정상 | 미탐 |
| 정상 | Error | 오탐 |
SW개발보안 기준 및 절차
| 구분 | 내용 | 비고 |
| 대상 | 정보시스템 감리대상 정보화사업 | |
| 범위 | 설계단계 산출물 소스코드 (신규는 전체, 유지보수는 변경된 부분만) |
상용SW는 대상 아님 |
| 기준 | 감리법인이 진단도구 사용 시 국정원장이 인증한 도구 사용 |
진단기준 |
| 기타 | - 감리법인은 SW보안약점 진단 시 진단원을 우선적으로 배치 - 감리대상 외 사업은 자체적으로 SW보안약점 진단 ,제거결과 확인 |
보안항목 식별
| 정보에 대한 보안항목 식별 |
가. 외부환경분석을 통한 보안항목 식별 - 개인정보보호 관련 법규 - 개인정보보호법, 정통망법,… - 특정IT기술관련 법규 - RFID프라이버시 보호가이드라인, 위치정보의 보호및 활용… |
| 나. 기타 중요정보 식별 - 1등급 : 고유식별정보, 민감정보, 인증정보, 신용정보, 의료정보, 위치정보 - 2등급 : 이름,주소,전화번호,핸드폰번호,이메일주소,생년월일,성별 학력, 직업, 키, 몸무게, 결혼여부,취미 - 3등급 : IP정보, MAC주소, 사이트방문기록, 쿠키 가입자성향, 통계성정보 사번, 회원번호 등 |
|
| 기능에 대한 보안항목 식별 |
요구사항정의서에 보안요구사항을 정의하여 설계,구현,테스트 단계에서 적용될 수 있도록한다 |
728x90
반응형
LIST
'정보보안' 카테고리의 다른 글
| SW보안약점진단원 : 분석/설계단계 - 입력 데이터 검증 및 표현 (1) | 2019.11.19 |
|---|---|
| SW보안약점진단원 - 분석/설계 단계 (0) | 2019.11.18 |
| 해시값(Hash Value)과 해시함수(Hash Function) (0) | 2019.11.09 |
| 블록체인 도입시 보안이슈 (금융편) (0) | 2019.11.06 |
| 디지털 윤리(Digital Ethics)와 개인정보보호(Privacy) (1) | 2019.11.03 |