티스토리 뷰
보안 시험 목적
보안시험 목표의 정렬
보안 테스트 정책은 조직의 보안 정책이 고위 경영진의 승인을 받으면 작성할 수 있습니다. 보안 테스트 정책에서 표현된 바와 같이 보안 테스트 목표와 목표는 조직의 전반적인 보안 정책과 일치한다는 것이 중요합니다. 그렇지 않으면 허가받지 않은 보안 테스트가 수행되거나 보안 테스트가 원하는 목적을 달성하지 못할 수 있습니다.
보안시험목표의 식별
보안 테스트 목표는 기능 테스트 목표와 동일한 관점에서 생각할 수 있지만 보안 목표에 초점을 맞 춥니 다. 시스템 또는 응용 프로그램의 각 보안 기능에 대해 하나 이상의 보안 테스트 목표가 있어야 합니다.
- 보안 테스트 목표는 또한 응용 프로그램 및 일반 취약성 모두에서 기술(예: 웹, 모바일, 클라우드, LAN)의 속성과 알려진 취약성에 기초해야 한다. 예를 들어 보안 테스트 목표는 다음을 포함할 수 있습니다.
- 암호 인증에 암호 강도에 대한 올바른 규칙이 적용되는지 확인합니다
- 모든 데이터 입력 필드가 SQL 주입 공격을 방지하기 위해 유효한 입력인지 확인합니다
- 고객 데이터 파일이 올바른 강도로 암호화되었는지 확인합니다
정보보증과 보안시험의 차이
정보 보장(IA)은 정보 및 정보 시스템을 보호하고 방어하는 조치는 가용성, 무결성, 인증, 기밀성 및 거부하지 않는 것을 보장한다. 이러한 조치에는 보호, 탐지 및 반응 기능을 통합하여 정보 시스템의 복원을 제공하는 것이 포함됩니다. [NISTIR 7298]
보안 테스트는 시스템의 보안 기능이 설계된 대로 구현되고 제안된 애플리케이션 환경에 적합한지 결정하는 데 사용되는 프로세스이다. [MDA1]
정보 보장(IA)과 보안 테스트라는 용어를 비교할 때 IA는 더 넓고 더 복잡한 용어다. 이러한 관계는 품질 보장(QA)과 소프트웨어 테스트 사이의 관계와 유사하다.
보안시험목표의 범위와 적용범위
민감한 디지털 및 물리적 자산의 무결성에 대한 필요성이 클수록 보안 테스트 목표의 포괄 필요성이 커집니다. 보안 테스트 목표는 기본적으로 보안 테스트의 범위를 설명합니다. 범위가 너무 작으면 보안이 적절하다는 자신감을 얻지 못할 것입니다. 범위가 너무 크면 테스트를 완료하기 전에 리소스가 고갈 될 수 있습니다.
보안 테스트 목표는 민감한 디지털 및 물리적 자산에 대한 보호를 검증하고 검증하는 것과 관련하여 보안 테스트가 달성할 것으로 예상되는 바를 설명해야 한다. 보안 목표들은 특정 자산, 보호 조치, 위험 및 보안 취약성의 식별과 직접적으로 관련되어야 한다.
보안 시험 접근법
보안 테스트 전략은 보안 테스트를 위한 조직의 전반적인 방향을 공식화하고 전달하기 위해 정의됩니다. 그런 다음 보안 테스트 전략을 구현하는 접근법이 정의된다.
보안시험 접근방법 분석
각 조직은 고유한 비즈니스 및 임무에 대한 우려를 가지고 있으며, 이는 보안 위험을 식별하고 완화하기 위한 독특한 보안 테스트 전략과 접근 방식을 요구합니다. 그러나 많은 조직에서 흔히 볼 수 있는 보안 관련 사항도 있습니다.
보안 테스트 접근법은 프로젝트 수준에서 정의되며 조직의 테스트 정책 및 전략과 일치해야 합니다. 프로젝트의 보안 테스트 접근법은 해당 프로젝트의 보안 테스트 목표를 해결하기 위한 기술, 도구 및 기술을 고유하게 혼합한 것입니다.
보안 테스트 접근법을 정의하기 위한 상황을 분석할 때 다음을 고려하십시오.
- 시스템 또는 응용 프로그램의 소스
- 이전 보안 테스트
- 보안 정책
- 보안 시험 정책
- 조직에서 이미 수행된 보안 위험 평가
- 사용 중인 기술 환경(예: 소프트웨어 유형 및 버전, 프레임워크, 프로그래밍 언어, 운영 체제)
- 테스트 팀의 보안 테스트 기술
- 공동의 보안 위험
- 시험 조직 구조
- 프로젝트 팀 구조
- 다양한 보안 테스트 도구에 대한 테스트 팀의 경험
- 제약(예: 제한된 자원, 제한된 시간, 환경에 대한 액세스 부족)
- 가정(예: 수행된 다른 사전 보안 테스트 형태에 대한 가정)
다양한 기술 환경 및 애플리케이션 유형(예: 클라이언트/서버, 웹, 메인프레임)은 종종 다른 보안 테스트 접근법과 전략을 요구한다. 예를 들어, 소프트웨어 개발은 코드의 보안 취약성을 탐지하기 위해 코드 검토를 요구할 수 있지만 소프트웨어 테스트는 테스트 데이터의 난독화를 요구할 수 있다.
웹 기반 애플리케이션은 메인프레임 시스템과 다른 취약성을 가지고 있으므로 다양한 종류의 보안 테스트가 필요합니다.
- Total
- Today
- Yesterday
- 고혼진크림
- 방아뚜기의 탄생 원인과 배경
- 최저가구매
- 공인인증서폐지수혜주
- rhghswlszmfla
- 고혼진
- 한국전자인증
- 상승자리
- 2022고혼진최저가
- 방아뚜기 탄생
- 장대음봉
- 바닥탈출신호
- rhghswls
- 방아뚜기 배경
- 한국정보인증
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |