3.1 DEFINITIONS (정의)

소프트웨어가 충돌 할 수도 있다, 통신 네트워크 무너질 지도 모른다, 하드웨어 구성요소가 실패 할 수도 있다, 인간 작동은 실수를 만들 수도 있다. 이들이 약간의 의도적인 행동을 위해서 직접 기여하지만 않는다면, 이것들은 보안 문제로 분류되지 않을 것이다. 우연한 잘못은 신뢰성 문제로 연결되며, 동작 실수는 사용의 문제이다. 보안은 의도적인 실수와 관련이 있다.

항상 특정 목표를 달성하기 위한 명확한 의도가 없을지도 모르지만, 사람이 하지 않기로 되어 것을 하는 사람들에 의해 여러 단계에 의해 결정이 난다. 보안 문제의 근본 원인은 이처럼 인간 본성이다.

적절한 학문적 전통은 우리의 연구목적 정의에 의해 연구를 시작했다. 적어도, 우리는 그렇게 하려고 한다. 컴퓨터 시스템의 보안을 유지하기 위해 사용되는 컴퓨터 보안정보와 기술 다루려고 한다. 우리는 컴퓨터 시스템들의 사이를 구분하려 시도하지 않을 것이다. 대략적으로 말하면, 프로세서와 그 안에 있는 메모리를 탑재한 상자 그리고 정보 기술 시스템은 대개 컴퓨터 시스템의 밀접한 결합 네트워크를 말한다.기술은 빠른 발전을 유지한다. 현대 컴퓨터들은 이미 밀접하게 네트워크 구성과 결합되어있다. 응용프로그램의 하나인 소프트웨어는 운영시스템의 부분이 될 수 있다. 웹 브라우저들은 경향의 중요한 예이다. 당신의 컴퓨터에서 실행되는 소프트웨어는 당신의 컴퓨터에 저장 하실 필요가 없습니다. 소프트웨어는 로컬 서버 아니면 Web서버 어딘가에서 올 수 있다. 따라서 컴퓨터 보안과 IT 보안은 같은 말로써 많은 혼란의 위험 없이 사용 할 수도 있다.

언뜻 보면, 우리는 ‘보안’이 분명한 개념인 것처럼 보이도록, 앞선 길을 위한 확실한 지도를 가지는 것처럼 보였다. 그러나 보안은 너가 정확한 의미를 파악하려고 노력할 때 점점 더 멀어져가는 불안한 개념 중 하나이다. 많은 활동은 컴퓨터 보안의 정의를 기초로 하고있으며,이러한 정의 후에 수정을 하고 있다. 이 문서의 편집자는 거의 필연적으로 적절한 컴퓨터 보안 이외의 컴퓨터 과학 분야에 너무 집중되거나, 벗어나는 것에 대해 비난하고 있다.

3.1.1 보안

보안은 자산 보호에 관한 것이다. 이 정의는 너가 자산의 가치를 알아야 한다는 것을 의미한다. 이 일반적인 관측은 과정이며 또한 컴퓨터 보안에 있어 사실이며, 우리는 이미 2.3절에서 위험 분석의 역할을 설명했다. 우리의 초점은 현재 컴퓨터 시스템의 보호방법 구체적으로 바꾸는 것이다. 보호 대책의 대략적인 분류는 다음과 같이 구분한다.

· 보호 – 너의 자산이 피해를 막기 위한 조치를 취한다.

                 · 탐지 – 당신의 자산이 피해를 입을 때 어떻게 피해를 입는지, 어떻게 피해가 발생하는지 탐지 할 수 있도록 대책을 취한다.

                 · 반응 – 당신의 자신을 복구하거나, 당신의 자산의 피해에서 복구 할 수 있는 조치를 취한다.

                 이점을 설명하기 위해, 당신의 집에 보관중인 귀중품을 보관을 고려해라.

              · 보호 : 문과 창문을 잠그는 고리는 도둑이 너의 집안에 들어가는 것을 더 어렵게 만든다. 적당한 벽과 중세 성의 못은 또 다른 보호의 벽이다.

                · 탐지 : 도난 당했을 때 그곳에 물건이 없는 경우, 너는 탐지 할 수 있다. cctv는 침입자의 식별정보를 제공 할 수 있다.

               · 반응 : 너는 경찰에게 신고할 수 있다. 너는 훔쳐간 물건을 대체하려고 결정 할 수 있다. 정책은 훔쳐간 물건을 너에게 되돌려 줄 수도 있다.

실제 세계의 예로는 컴퓨터 보안 원리를 설명 하는데 도움이 된다. 하지만 항상 물리적인 보안과 컴퓨터 보안 사이가 유사점을 그리는 게 불가능하거나 바람직하지 않다. IT 환경에서 사용할 경우 일부 문구가 사실은 꽤 오해의 소지가 있다. 우리 근처에 예는 가까이 일어난다.인터넷에서 주문할 때 신용카드 번호를 조심해서 사용해야 한다. 사기꾼은 너의 신용카드 번호를 구매하는 사용하고 너의 카드로 청구 될 수 있다. 어떻게 자신을 보호 할 수 있을까?

· 보호 : 주문할 때 암호화를 사용한다. 신용카드 주문이 수락되기 전에 구매자에게 몇 가지 검사를 수행하는 함으로써 판매자에게 의존한다. 너는 인터넷에서 신용카드번호를 사용해서는 안 된다.

· 탐지 : 당신이 승인 하지 않은 것을 거래는 당신의 신용 카드 명세서에 표시 됩니다.

               · 반응 : 당신은 새로운 카드 번호를 물을 수 있다. 사기꾼의 매장에서 구매하거나 카드 발급시, 부정 거래 비용은 소유자에 의해 지불되어야 할지도 모른다.

               예에서 사기꾼은 너의 카드 번호를 훔쳤다. 그러나 너는 그 것을 여전히 소지하고 있다면

법제도는 당신의 카다를 도난당한 경우와는 다르게 처리 할 수 있다.– 당신은 여전히 너의 카드를 소지하고 있고 또한 사기꾼은 너의 신용카드 도용에 대한 금액을 청구 할 수 없다. 기존 법률은 바람직하지 않은 새로운 종류의 행동에 직면했을 때 부족한 것이 발견 되어졌다, 그래서 새로운 컴퓨터의 잘못된 사용시 법은 새로운 위협을 해결하기 위해 통과 되어야 했다.

연구를 계속하려면 기밀 정보 보호를 위해 옵션을 고려해야 한다. 아마도 당신은 그것이 공개 되는 때 당신의 비밀이 침해 된 것을 발견할 것이다. 여러 예에서, 피해는 돌이킬 수 없을지도 모른다. 당신의 경쟁자들은 제품을 디자인을 찾기 위해 많은 시간을 보냈고, 당신의 시장 앞에 도달했으며, 당신이 사업이 없는 동안 혜택을 누리고 있다. 이러한 상황에서 예방은 너의 자산을 보호하기 위한 유일한 현명한 방법이다. 이 또한 기밀정보의 폭로의 예방하기 위해서 왜 역사적으로 컴퓨터 보안이 많은 주의를 기울이고 있는지 설명할 것이다.

이것은 항상 보호와 탐지 사이에 직접 균형을 유지해야하는 것은 아니다. 실천은 당신이 예방에 더 투자 하는걸 보여주고, 보호가 더 잘되는 확신하기 위해서는 너는 탐지를 위해 더 투자해야한다.

3.1.2 컴퓨터 보안

컴퓨터 보안 개념을 캡처하는 첫 번째 시도에서, 우리는 정보자산이 어떻게 손상 될 수 있는지 검사한다. 가장 빈번하게 제시한 정의의 3가지 측면을 다루고 있다.

· 기밀 - 정보의 무단 공개 방지

· 무결성 – 정보의 무단 수정 방지

· 가용성 – 정보와 자원의 무단 수집 방지

당신은 즉시 항목의 우선순위에 대한 논의를 시작할 수 있으며 아이템들의 정리된 케이스를 만들 수 있다. 또한, 목록이 완전하지 않다면 당신은 목록이 불완전하다는 것을 주장 할 수 있으며 만약 의사소통을 생각한다면 진실과 같은 포인트를 더 추가하거나 아니면 당신이 전자 상거래 등의 어플리케이션에 관심이 있다면 책임과 부인방지 추가해라.

일반적인 수준에서, 너는 보안의 어떠한 측면의 정확한 정의에 대해 의견충돌이 있을 수 있다. 우리는 US trusted Computer System Evaluation Criteria(미국 신뢰되는 컴퓨터 시스템 평가 기준), the European Information Technology Security Evaluation Criteria (13장에서 다루는)와 같은 컴퓨터 보안의 역사의 중요 문서로부터 정의를 선택한다. 그리고 세계기준 ISO 7498-2, ISO/OSI 통신보안을 위한 보안 아키텍처, 현재는 대체로 ISO 10181 사용 하지만 여전히 꽤 영향을 미친다. 이것은 종종 주어진 문맥의 정의를 인정하는데 도움이 된다. 예를 들어 위에 정의는 ITSEC에서 가져와 사용되었다.

3.1.3 기밀성

역사적으로 보안과 비밀은 가까운 관계였다. 오늘날에도, 많은 사람들은 여전히 컴퓨터 보안의 주요 목적은 비 인가된 유저의 데이터를 읽지 못하게 하는 것이라 느낀다. 더 일반적으로 비 인가된 사용자들은 민감한 정보를 알지 못해야 한다. 기밀(개인,비밀)은 컴퓨터 보안은 측면을 수집한다. 개인정보와 비밀은 때때로 개인 정보보호와 조직에 속하는 정보의 보호로 구분된다. 기밀성은 종종 컴퓨터 보안 항목에 집중하여 명확하게 정의된 개념과 연구이다, 적어도 왜냐하면 이것은 새로운 이슈로 일어났고 이슈는 물리 보안 안에서는 상관이 없다. 때때로 보안과 기밀성은 비슷한 의미로 쓰인다.

일단 당신이 기밀 문제를 깊게 보면 오직 비 인가된 화면에서 문서의 내용 또는 그 존재를 숨기고 싶은 여부에 대한 문제에 직면되게 될 것이다. 이러한 추가 조치를 취할 수 없는 이유를 확인하기 위해, 통신 시스템에서 트래픽 분석을 고려하다. 상대는 단순히 누구에게 말하고 얼마나 자주가 아닌 메시지 내용에 있는 사람을 본다. 그럼에도 불구하고 관찰자는 해당 당사자 간의 관계에 대한 유용한 정보를 이끌어 낼 수 있습니다. 트래픽 분석의 맥락에서 특정 이벤트의 연결 불가능성을 요구 할지도 모릅니다.

Unlinkablilty - 공격자는 충분히 그들이 관련인지 여부를 구별 할 수 없는 경우 원하는 두 개 이상의 항목은 연결 불가능합니다.

특정 행동을 하는 사람을 숨기려면 익명성을 요청할 수 있다.

Anonymity - 만약 익명 대상의 내에서 확인할 수 없는 사용자는 누군지 알 수 없다.

세상의 종이문서는 안전한 저장공간에 보관하며, 이것을 볼 수 있도록 허락 된 사람들의 목록을 지정한다. 아마 놀랍게도, 이것이 때때로 필요하며 또한 경찰들은 기밀 유지를 강요할 때 쓰기 작업을 한다.

3.1.4 무결성

진실성의 간결한 정의는 쉽게 주어지지 않는다. 일반적으로 무결성은 있어야 되는 모든 것을 확인하는 것이다. 컴퓨터 보안의 얽매임 안에서 우리는 섹션 3.1.2의 인용된 정의를 통해 해결하고 무결성은 잘못된 쓰기를 방지하면 된다고 공표했다. 정보흐름 정책들과 같이 사용되는 것을 이해할 때 무결성은 이중으로 기밀성하고 비슷한 기술이며 종종 두 개의 목표를 성취하는데 사용된다. 그러나 ‘비인가된 것이 무엇을 할 권한이 있거나‘ or ’올바른 절차 따르는 것‘ 무결성 아래에 포함되어있다. 이 방법은 Clark와 Wilson에 의해 영향력 있는 논문에서 나왔으며 논문은 발표했다, 논문은 무결성의 속성을 나타낸다.

사용자가 없는 시스템에서 만약 허가 된 경우라도, 회사의 자산 및 회계 기록이 분실 또는 손상된 같은 방법으로 데이터 항목을 변경하는 것을 허용 할 수 없습니다.

만약 우리가 무결성을 모든 비인가된 행동의 예방을 위해 정의한다면 기밀성은 무결성의 부분이 될 것이다.

지금까지 우리는 통제된 사용자 작업으로부터 보안을 조사했다. 견해의 체계적인 관점에서, 당신은 무결성을 정의할 때 시스템에 집중하는 편이 좋습니다. data integrity의 Orange Book 정의는 정확히 이러한 성격이다:

[전산화된 데이터가 존재하는 상태에서 원본 문서와 동일하며, 우발적이거나 악성 변조나 파괴에 노출되어 있지 않다.]

여기서, 무결성은 외부 일관성과 동일하다. 컴퓨터 시스템 안에 저장된 데이터가 현실의 정확한 컴퓨터 시스템 이상을 반영 해야한다. 이 속성은 물론 매우 바람직하지만, 컴퓨터 내부 메카니즘에 의해 완전히 보장할 수 없다.

혼란을 주기 위해서, 정보보안의 다른 영역에서는 그들 자신만의 무결성 개념을 가지고 있다. 예를 들어, 통신 보안은 무결성 탐지와 정정,삽입, 삭제, 전송 데이터의 재생을 가리킨다. 이것은 의도적인 조작과 무작위 전송 오류를 모두 포함한다. 아무것도 변경이 허용되지 않는 경우, 당신은 특수하게 잘못된 변경된 케이스로 의도적인 변화를 볼 수도 있다. 그러나 이러한 입장을 취하고 많은 것을 얻을 수 없다. 왜냐하면 존재, 부재, 인가된 구조는 풀어야할 문제의 본질과 각각의 보안 메커니즘에도 영향을 미친다.

무결성은 종종 다른 보안 성질을 위한 필요조건이다. 예를 들어 공격자는 기밀성을 피해는 작동 시스템이나 작동시스템에 의해 영향을 받는 접근 제어 테이블 조작 할 수 있다. 이런 이유로 우리는 운영체제의 무결성과 기밀성 달성을 위한 접근 제어 데이터 구조의 무결성을 보호를 해야한다.

마지막으로, 무결성의 일부로 보안과 가용성으로 취급하는 무결성의 일반적인 정의가 존재한다는 점을 유의해라.

3.1.5 가용성

우리는 ISO 7498-2의 정의를 얘기한다.

Availability – 승인 된 엔티티에 의해 요구에 따라 액세스 할 수 있으며 사용 가능한지 특성.

가용성은 많은 컴퓨터 보안의 전통적인 넘을까 걱정이다. 가용성을 향상시키기 위해 사용되는 공학 기법은 종종 다른 영역의 내부 결함성 컴퓨팅에서 온다. 보안의 맥락에서 ,우리는 악의적인 공격자가 해당 시스템에 대한 합리적인 접근이 있기 때문에 합법적인 사용자를 막을 수 없는 것을 확인하고 싶다. 즉 우리는 서비스 거부를 방지한다. 다시 우리는 ISO 4798-2의 정의를 나타낸다.

denial of service - 허용 된 리소스에 접근 방해 또는 시간이 중요한 작업을 지연.

인터넷에서 플러딩 공격은 어딘가에서 공격자가 효과적으로 많은 연결 요청에 의해 서버를 망가뜨린다. 그림 3.1은 DoS공격의 하나인 스머프 공격을 보여준다. 공격자는 피해자의 주소를 가진 여러 네트워크의 브로드캐스트 주소로 ICMP Echo Request를 보낸다.(주소를spoofing) echo request는 해당 네트워크의 모든 노드에 분산된다. 각 노드는 스푸핑된 송신자 주소로응답하게 되고 피해자는 응답 패킷이 넘쳐나게 된다. 브로드 캐스트 주소로 제공하는 증폭은 공격자에게 유리하게 작용한다.

많은 상황에서, 가용성은 컴퓨터 보안의 가장 중요한 측면에서도 좋지만, 이 문제를 처리하기 위한 보안 메커니즘의 장점은 부족했다. 사실, 너무 지나치게 제한적이거나, 비싼 보안 메커니즘은 그들 자신에게 DoS공격으로 이어질 수 있다. 보안 프로토콜의 설계자는 종종 거의 그 자체 비용으로 특정 지역에 과부하가 걸리는 것을 허용하게 하는 업무량의 불균형을 피하도록 노력했다.

3.1.6 책임성, 의무성

우리는 지금 컴퓨터 보안의 3 전통적인 분야를 다루고 있다. 돌이켜 보면, 당신은 그들이 모든 접근제어의 다양한 측면과 반갑지 않은 사건 예방에 자신의 힘을 쏟고 있는 것을 알 수 있습니다. 우리는 거의 모든 잘못된 행위를 방지 할 수 없다는 사실을 받아 들여야 한다.

첫째, 승인 된 조치는 보안 법규로 이어질 수 있다. 둘째, 우리는 공격자가 우리의 과거의 통제 방법을 찾을 수 있는 당사의 보안 시스템의 결함을 발견할 수 있다. 거기에, 우리는 새로운 보안 요구 사항은 전자 상거래의 맥락에서 특히 중요하며 추가 할 수 있다. 그러나 이미 오렌지 북 같은 역사적 문서에서 찾을 수 있다. 그러나 이미 오렌지 북 등 역사적 문서에 기재되어 있습니다. 이와 같이 :

Accountability – 보안에 영향을 미치는 조치가 당사자를 추적 할 수 있도록 감사 정보를 선택적으로 유지되고 보호되어야한다.

그렇게 할 수 있도록 하려면 시스템 (제 4 장 참조) 사용자를 식별하고 인증해야합니다. 이것은 보안 관련 이벤트를 감사 추적을 유지해야합니다. 보안 위반이 발생한 경우, 감사 추적에서 정보가 가해자와 시스템을 위태롭게 위해 취한 단계를 식별하는 데 도움이 될지도 모른다.

3.1.7 Non-repudiation 부인방지

부인방지는 책임성과 관련이 있다.

Non-repudiation – 부인 방지 서비스는 특정 활동이 발생한 것에 대한 위조 할 수 없는 증거를 제공한다.

암호화 메커니즘을 제공 할 수 있는 보안 서비스를 분석 할 때, 이 정의는 의미가 있습니다. 디지털 서명은 부인 방지를 제공합니다. 통신 보안의 전형적인 부인 방지 서비스는 문서를 보낸 사람에 대한 부인방지 증거로 전송을 부인을 할 수 없으며, 메시지가 특정 사람에게 배달되었다는 특정 증거를 제공한다.

부인 방지에 대한 논의는 부정확한 표현으로 나빠지는 경향이 있다. 메일함으로 메일이 전송되었을 때 수신 부인 방지에 대해 이야기해야 하는가? 부인 방지에 대한 더 많은 근본적인 오해가 만연하다. 그것은 때때로 부인 방지 서비스는 일부 이벤트에 대한 "확실한 증거"를 제공하고 그러한 증거가 '세계 어느 법원에서도 동의'되는 것으로 알려져 있습니다. 그것의 확실한 증거는 그것이 불가능한 사람이 분쟁 이벤트에 참여를 부정하기 위하여 만들 수 있다고 가정하는 것은 어리석다. 확실한 증거의 근거는 대부분의 외국의 법이다. 우리는 잠시 섹션15.5.6에서 이 항목으로 이동해보자.

3.1.8 신뢰성

보안의 논의는 장애 및 안전에 관련된 이러한 신뢰성 등 컴​​퓨팅의 다른 영역으로 언급하는 몇 가지 이유가 있다. 또한 시스템이 불리한 조건에서 제대로 실행하지 않으면 안되는 상황에 대처하는 그들의 환경에 시스템 오류의 영향에 관계한다.

처음에는 용어의 뜻이 겹쳤으나 보기 좋아하는 포인트에 따라, 보안, 신뢰성, 또​​는 그 반대의 측면이다. IFIP WG 10.4 통일 개념으로 신뢰성을 도입하여 신뢰성 측면으로 보안, 신뢰성, 무결성 및 가용성을 처리함으로써 이 딜레마에서 탈출하려고 했다.

Dependability – 컴퓨터 시스템의 특성은 실현하고 서비스에 배치 할 수 있는 것이다. 그리고 사용자가 인식하도록 시스템에서 제공하는 서비스는 동작이다.

: 사용자는 제작자와 상호작용하는 다른 시스템(물리적,인간적)이다.

또한 응용 프로그램은 동시에 여러 문제를 해결해야 될지도 모른다. 예를 들어, 안전에 중요한 응용 프로그램 중 컴퓨터 시스템을 검토해야한다. 악의적인 행동을 중지시키기 위해 의도 된 보안 컨트롤은 생소한 행동 패턴을 찾고 침입을 식별하려고 할 수 있다.

비상사태에 반응은 생소하게 나타날 수 있으며 비상사태는 드문 경우이다 - 그래서 침입 탐지, 공격과 같은 중요한 상황에서 정당한 행동을 잘못 탐지하면 잠재적으로 긴급 팀의 행동을 방해하는 보안 메커니즘을 트리거(데이터베이스가 미리 정해 놓은 조건을 만족하거나 어떤 동작이 수행되면 자동적으로 수행되는 동작. 트리거는 데이터베이스에서 데이터에 대한 유효성 조건과 무결성 조건을 기술하는 데 유용하다.)하여 문제가 악화된다.

일반적으로 독립하여 당신이 원하는 응용 프로그램을 보호하고 싶다면 다른 요구 사항의 보안에 대응하고 있지 않으면 안 된다.

마지막으로, 비슷한 엔지니어링(공학의) 방법은 다음의 분야에서 사용되고 있다, 예를 들어 보안 소프트웨어를 평가하기 위한 기준과 안전에 중요한 소프트웨어를 평가하기 위한 기준에 있어 많은 유사점이 존재하며 일부 전문가들은 궁극적으로는 단일 표준이 존재해야 된다고 기대하고 있다.

3.1.9 우리의 정의

이 책에서는 보안을 위한 작업으로 정의를 채택한다.

컴퓨터 보안은 컴퓨터 시스템의 사용자들에 의한 비인가된 행위의 예방 및 탐지를 다룬다.

위 정의는 컴퓨터 보안은 적절한 권한과 접근 제어가 필수적이라 말하며 2.2.1절에서 설명한대로 적절한 권한은 보안 정책을 전제로 하고 있다. 부적절한 행위의 영향의 정정은 우리가 더 나가 어떤 역할을 해야 할지 토론하게 한다. 위의 정의는, 우리는 컴퓨터 보안에 무엇을 해야할지에 대해 설명합니다. 우리는 그것을 이유로 인해 문제의 근원을 보면 다음과 같은 정의를 채택 할지도 모릅니다

: 우리는 몇 가지 반갑지 않은 방식으로 행동 당사자가 고의적 인 행동을 해결하기 위해 취할 수 있도록 컴퓨터 보안 대책을 만드는 데 참여하고 있다.

이 정의는 잘못된 행동을 언급하지 않는다. 이것은 하나의 공격을 가리키지만, 스팸 메일 등의 문제를 포함하여 넓은 범위를 말하는 것은 아니다. 스팸 메일을 전송하면 공격이라고 하지 않는다(만약 당신이 일을 찾고 있다면, 당신은 어떤 빈자리에 사람이 없는 경우 실력이 유용한 당신을 찾아낼지도 모른다, 그리고 기업에 이력서를 보낼지도 모릅니다) 마찬가지로, 스팸 받으면 반갑지 않은 일이라고 생각할 필요는 없다. 이것은 하나의 일상적으로 받는 전자 우편의 같은 것이다. 이메일의 오용은 골칫거리가 되며 스팸 퇴치는 보안의 이슈가 된다.

3.2 The fundamental dilemma of computer security

컴퓨터보안의 근본적인 딜레마

딜레마 : 선택해야 할 길은 두 가지 중 하나로 정해져 있는데, 그 어느 쪽을 선택해도 바람직하지 못한 결과가 나오게 되는 곤란한 상황.

컴퓨터 보안에 의존하는 사용자의 수는 인터넷에 연결된 사람들의 기밀의 데이터를 처리하는적은 수의 단체들로부터 성장해 왔다. 그리고 컴퓨터 보안의 요구사항은 변화하고 있으며 이 변화에서 근본적 딜레마가 발생하고 있다.

보안을 알지 못하는(unaware) 사용자들은 구체적인 보안 요구사항을 갖춰야 하지만 대개 보안에 대한 전문지식이 없다.

보안을 잘 모르는 사용자는 보안 제품에 대한 수준 높은 결정을 할 수가 없다. 그래서 해결방방안으로 모범 사례를 보고 표준(수준, 기준)을 잘 선택해야한다. 표준 솔루션은 사용자의 특정한 요구사항을 해결하지 못할지도 모른다.

When eliciting those requirements from the user, questions have to be asked that need awareness of security issues to be answered...

사용자들로부터 필요사항을 이끌어낼 때(eliciting), 질문에 답변 할 수 있도록 보안 문제에 대한 인식이 필요하다.

Compared to this fundamental dilemma, the conflict between security and ease of use is a straightforward engineering trade-off.

근본적인 딜레마와 비교해서, 보안과 사용의 편의성의 사이에 관계는 간단한(straightforward) 공학적 상충(engineering trade-off)관계이다. 보안이 끼치는 영향 결과는 다양(manifold)하다.

● 보안 메커니즘은 추가적으로 컴퓨터를 이용한 자원(resources)들을 필요로 한다. 이런 자원들이 쉽게 정량화(quantified)(양을 측정 가능) 된다.

● 보안은 사용자의 익숙한 작업패턴을 방해 한다. 어설프거나(clumsy) 부적절한(inappropriate) 보안 기준은 생산성의 손실을 이끈다.

● 보안 관리에 노력을 더해야하며, 보안시스템의 구매자들은 따라서 종종 최고의 관리 기능을 가진 상품을 선택한다(opt) => 관리가 쉬운 제품을 선택

부가 설명 opt란 : 종종 최고의 그래픽 user interface(사용자가 컴퓨터와 대화하기 위한 기호나 명령 체계)를 갖춘 것이다

3.3 Data vs Information

컴퓨터 보안은 information와 resources의 접근제어에 관한 것이다. 하지만 때때로 information에 대한 접근제어가 어려울 수 있기 때문에 종종 더 간단한 data에 대한 접근제어로 목표가 대체된다.

데이터와 정보의 차이를 알기 힘들다(subtle) 그러나 이것은 또한 보안에 있어 더 어려운 문제의 일부 일뿐이다. data는 information를 대신하고. information는 data의 (주관적(subjective)) 해석이다 :

Data – 물리적 현상들(phenomena <= phenomenon의 복수형)은 개념과 현실 세계의 특정 측면을 표현하기 위해 관습(관례, 관습, 조약[협약], 전통[관습], 대회[협의회])적으로 선택된 것이다. 우리는 data에 부여된 의미를 가지고 information라고 부른다. data는information을 전송하거나 저장하곤 했고 정해진 규칙들에 따라 다룬 data로부터 새로운 information를 얻었다.

information와 해당 data간에 긴밀한 관계가 있는 경우, 두 가지 개념은 비슷할 수도 있다. 그러나 항상 그렇지는 않으며,

It may be possible to transmit information over a covert channel.

은닉(covert) 채널(section 11.2.5)을 통해 information을 통신하는 것이 가능 할 수도 있다.

There, the data are ‘grant’ and ‘deny’ replies to access requests while the information received is the contents of a sensitive file.

informaiton이 수신되는 동안 data가 ‘승인과 ’거부‘로 접근 요청에 응답하는 것은 민감한 내용이기 때문이다.

다른 예로는 통계학적 database들(9.4절)을 통해 추정(inference)할 수 있는 문제이다. 이 문제를 쉽게 보기 위해서는, 납세신고에 관한database를 검토해보면 된다. database는 세금 검사관이 개인 기록을 처리하는데 사용한다. 또한 납세신고의 통계적 요약은 접근을 필요로 하는 직원에 의해 사용되지만 (원래, 원칙상) 개인 기록을 읽을 권리는 없다(have no business ~할 권리가 없다).

Assume that the database management system allows statistical queries only on sufficiently large data sets to protect individual records.

database 관리 시스템은 개인 기록 보호를 위해서 통계적 쿼리들이 효율적으로 충분히 큰 data 집합일 때만 허락하기로 전제한다.

It would still be possible to combine the results from two queries over large data sets which differ only by a single record.

단일 레코드와는 다른 큰 data 통한 두 쿼리들로부터 결과를 결합 할 수 있다.

Thus, even without accessing the data directly, information about an individual record can be derived.

그러므로 data는 직접 접근 없이도 개인 기록의 대한 정보를 얻을 수(derived) 있다.

3.4 Principles of Computer Security(컴퓨터 보안의 원리)

당신은 컴퓨터 보안을 ‘로켓 과학처럼‘ 어려운 문제라고 주장 할 것 같다.

Do not let such opinions frighten you off. 이런 의견은 당신을 놀라게 하지 않는다.

만약 당신에게 체계적인 방법으로 컴퓨터 시스템의 보안 기능을 구현할 수 있는 기회가 주어진다 해도, 교육이 잘 되어있는(통솔된=disciplined) 소프트웨어(시스템) 개발 접근법(approach)과 몇 가지 기본적인 보안 원칙을 이해하는데 오랜 기간이 걸린다. 그러나 당신에게 보안에 미치는 영향 중 어떠한 것도 고려하지 않은 설계결정이 강요(constrained)될 때, 복잡한 시스템에 보안을 추가한다면 이미 (보나마나)나중에 생각한 했던 것(afterthought)처럼 틀림없이 고생할 것이다.

지금부터 우리는 컴퓨터 보안의 몇 가지의 기본적인 설계의 파라미터들을 제시 할 것이다. 이러한 설계결정은 책에서의 설명을 구조화하기 위해 프레임워크(틀)을 제공한다. Figure 3.2는 컴퓨터 보안의 설계 공간에서 주요 관점(dimension)을 이용한 그림이다. 가로축은 보안 정책의 중점을 두어 표현한다. 세로축은 보호 메카니즘이 실행될 컴퓨터 시스템의 레이어를 (초점에 맞춰) 표현한다. (섹션 3.4.2)

3.4.1 통제의 관점

We could rephrase the definitions of integrity given in Section 3.1.4 and say that integrity has to do with compliance with a given set of rules. We can have rules on:

우리는 3.1.4 장에서 주어진 무결성의 정의를 바꾸어 말할 수 있다(rephrase) 그리고 무결성은 특정 규칙들을 준수하는 것과 관련이 있다.다음의 규칙 가진다:

● the format and content of data items – for example, a rule could state that balance fields in an accounts database have to contain an integer; such integrity rules define internal consistency properties and do not depend on the user accessing the data item or on the operation performed on the data item.

데이터 항목의 형식과 내용 – 예를 들어, 계좌 데이터베이스의 정수를 포함하는 잔액 필드가 규칙을 갖는 것; 무결성의 규칙은 내부 일관성을 가지며 데이터 항목에 접근하는 사용자 또는 데이터 항목에 대한 작업에 따라 결정되지 않는다.

● the operations that may be performed on a data item – for example, a rule could state that only operations ‘open account’, ‘check balance’, ‘withdraw’, and ‘deposit’ have access to the balance fields in an accounts database and that only bank clerks are allowed to execute ‘open account’; such rules may depend on the user and on the data item.

데이터 항목에 대해 수행 할 수 있는 작업은 - 예를 들어, 영업활동(수익 또는 비용의 계산하여 가져오는 기업 활동의 총칭)인 ‘당좌 계정(거래 때마다 현금 결제를 하지 않고 그 대차 관계를 장부에 기록했다가 정기적으로 그 차액만을 현금 결제하는 방식)', '잔액 체크', ’인출‘과'예금'은 계좌 데이터베이스의 잔액 필드에 접근 할 수 있으며 그리고 오직 은행직원만 당좌계정 계산이 허락되어진다.; 이와 같은 규칙들은 사용자와 데이터 항목에 의해 결정 될 수 있다.

● the users who are allowed to access a data item – for example, a rule could state that only the account holder and bank clerks have access to balance fields in an accounts database.

데이터 항목에 대해 접근이 허용된 사용자는 - 예를 들어, 오직 계좌 명의인과 은행 점원만 계정 데이터베이스의 잔액 필드에 접근 가능하다고 말할 수 있다.

We have just made an important general observation and arrived at our first design decision

우리는 전반적으로 중요한 관찰 후에, 첫 번째 의사결정에 이르렀다.

First Design Decision : In a given application, should the protection mechanisms in a computer system focus on

첫 번째 설계 의사결정 : 주어진 응용 프로그램은 컴퓨터 시스템의 (어떤부분) 보호 메커니즘에 초점을 맞춰야 하는가?

컴퓨터 시스템의 ●data 데이터 ●operation 운영 ●or users? 아님 사용자?

It is a fundamental design decision choosing which of these options to take when applying security controls. Operating systems have traditionally focused on protecting data(resources). In modern applications, it is often more relevant to control the users’ actions.

이것은 보안을 적용 할 때 옵션들 중에서 해야 것을 선택하는 기본설계 의사결정이다. 운영 시스템은 전통적으로 데이터(리소스) 보호에 초점을 맞췄다. 현대의 응용 프로그램은 흔히 사용자의 행동을 조절하는데 관련이 있다.

3.4.2 The Man-Machine Scale 구조,규모

그림 3.3는 컴퓨터 시스템의 간단한 계층 모델을 제시한다. 이 모델은 단지 일반적인 소개를 위해 의도 되었다.

You should not expect to find all the layers in every computer system you analyze, nor should you be surprised to find systems where you can identify more than the five layers of our model.

당신이 분석하는 모든 컴퓨터 시스템 내에서 모든 레이어를 찾는 것을 기대해서는 안되며, 당신은 우리의 모델의 5계층 이상을 식별 할 수 있는 시스템을 찾는 것에 대해 놀라게 될 것이다.

사용자 계층 - ● Users run application programs that have been tailored to meet specific application requirements.

사용자는 특정 응용프로그램의 요구 사항을 충족하도록 조정되는 application 프로그램을 실

행한다.

applications계층 - ●The application programs may make use of the services provided by a general purpose software package such as a database management system (DBMS), an object reference broker(ORB), or a browser.

응용 프로그램은, 예를 들어, 데이터베이스 관리 시스템(DBMS), 개체 참조 연결자(ORB) 또는 브라우저와 같은 범용 소프트웨어 패키지에서 제공하는 서비스를 이용할 수 있다.

services계층 - ● The services run on top of the operating system, which performs file and memory management and controls access to resources such as printers and I/O devices.

서비스는 운영체제 위에서 실행되며, 파일 및 메모리 관리를 수행하고 프린터와 I/O 장치 같은 자원들의 접근을 제어한다.

operating system계층 - ● The operating system may have kernel(micro-kernel, hypervisor) that mediates every access to the processor and to memory.

운영 시스템은 프로세서와 메모리에 대한 모든 접근을 중재하는 커널(마이크로 커널, 하이퍼 바이저)을 가지고 있다.

마이크로 커널 - 가장 기본이 되는 서비스들만을 핵심 커널에 포함시킨 후 다른 운영체제의 기능들은 user level 에서 각각의 프로세스로 구현하는 방식이다.

하이퍼 바이저 - 프로세서나 메모리와 같은 다양한 컴퓨터 자원에 서로 다른 각종 운영 체계(OS)의 접근 방법을 통제하는 얇은 계층의 소프트웨어

hardware계층- ● The hardware, I.e. processors and memory, physically stores and manipulates the data held in the computer system.

하드웨어는 즉, 프로세서와 메모리를 물리적으로 저장하고 컴퓨터 시스템에 저장되어있는 데이터를 처리한다.

Security controls can sensibly be placed in any these layers. We have now explained the dimensions of our second fundamental security principle.

보안통제는 적절하게 어떤 계층 하나에 배치되어 질 수 있다. 우리는 지금 두 번째 기본 보안 원리의 관점(규모,크기(dimensions))에 대해 설명할 것이다.

Second Design Decision: In which layer of the computer system should a security mechanism be placed?

두 번째 의사결정 : 어떤 컴퓨터 시스템의 레이어에 보안 메카니즘을 배치해야 하는가?

When you investigate fielded security products, you will observe security mechanisms at every layer of this model, from hardware to application software. It is the task of the designer to find the right layer each mechanism, and to find the right mechanisms for each layer.

당신이 받은(fielded) 보안 제품을 조사할 때, 당신은 하드웨어와 응용프로그램 소프트웨어로부터 모든 레이어 모델에서 보안 메카니즘을 관찰 할 수 있다. 각 메카니즘에서 적합한 레이어를 찾는 것은 설계자의 업무이다.

Take a second look at our new design decision, visualizing the security mechanisms of a computer system as concentric protection rings, with hardware mechanisms in the centre and application mechanisms on the outside(Figure 3.4). Mechanisms towards the centre tend to be more generic, more computer-oriented, and more concerned with controlling access to data. Mechanisms at the outside are more likely to address individual user requirements.

두 번째로 취해야할 우리의 새로운 의사결정을 보면, 동심원의 보호링으로 컴퓨터 시스템 보안 메카니즘이며 하드웨어 메카니즘은 중심에 있고 어플리케이션 메카니즘은 제일 바깥쪽에 있다. 중심의 메카니즘에 안 쪽으로는 더 포괄적이고 더 컴퓨터 지향적이며, 데이터 접근에 관련이 있다. 메카니즘은 바깥 쪽으로는 개별 사용자의 요구 사항을 충족 할 가능성이 높다.

Combining our first two design, we will refer to the man-machine scale for placing security mechanisms(Figure 3.5). This scale is related to the distinction between data(machine-oriented) and information(man-oriented).

우리의 첫 번째,두 번째 의사결정을 조합해보면, 우리는 (그림 3.5) 인간-기계 구조를 보안 메카니즘을 배치하여 나타낼 수 있다. 이 구조은 데이터(기계 지향)와 정보(인간 지향)을 구분 하는데 있어 관련이 있습니다.

3.4.3 Complexity vs Assurance(복잡성 vs 보증)

복잡성 = 양적 현상으로 대단히 많은 단위로 상호작용과 간섭이 일어나는 것

Frequently, the location of a security mechanism on the man-machine scale is closely related to its complexity.

빈번하게, 인간-기계 구조에 보안 메커니즘의 위치가 복잡성과 밀접하게 관련되어 있다. 종종 기능이 풍부한(feature-rich) 보안 기능을 요구하는(clamour) 응용프로그램을 위해 간단하며 일반적인 메카니즘을 찾아야 한다. 따라서 아직 당신은 또 다른 결정을 해야 한다.

Third Design Decision : 간단한 걸 선호하는가? - 높은 보증? - 기능이 풍부한 보안 환경?

높은 보증을 성취하기 위해서, 보안 시스템은 상세하고 가능한 철저하게 검토해야 한다.

복잡성과 보증 사이에 균형이 존재하는데 당신이 목표로 하는 높은 수준의 보증을 위해서는 더 간단한 시스템이 있어야 한다. 다음을 보면,

기능이 풍부한 보안 시스템과 높은 보증이 같다고 쉽게 볼 수 없다.

높은 보증이 체계적인 설계 방법을 엄격하게 고수(adherence)해야 된다는 것에 대해 놀라서는 안 된다. 사실, 컴퓨터 보안은 가장 높은 보안 수준을 위한 연구 방법(도구)으로 초기에 공식적으로 채택한 방법 중 하나이다.

이 결정은 또한 컴퓨터 보안의 근본적인 딜레마와 연결되어 있다. 간단한 범용(일반적인) 메카니즘은 특정 보호 요구사항을 만족시키지 못할 수도 있으며, 기능이 풍부한 보안 환경의 사용자들이 올바른 옵션을 선택하려면 보안 전문가를 보유해야 한다. 보안을 사용하지 않은 사용자들은 승산이 없는 상황에 남아있다.(위험한 상황에 놓여있다)

3.4.4 Centralized(집중식) or Decentralized(분산식) Controls

보안정책의 영역 안에서, 통제를 강제해야 한다.

If there is a single central entity in charge of security, then it is easy to achieve uniformity, but this central entity may become a performance bottleneck.

만약 보안을 담당하는 단일 중심 기관이라면, 균일성을 얻기 쉬울 수도 있으나 중심기관의 기능이 장애물(병목현상)이 될 수 도 있다.

Conversely, a distributed solution may be more efficient but we have to take additional care to guarantee that the different components define and enforce the policy consistently.

정반대로, 분산 솔루션이 더 효율적일수도 있지만, 우리는 다양한 구성 요소가 일관되게 정책을 정의하고 실시 할 것을 보장하기 위한 추가 처리를 해야합니다.

Fourth Design Decision : 보안의 정의와 구현 작업은 중심 기관에서 해야하나? 아니면 그들은 시스템의 개인 구성원들이 해야 하는가?

This question arises naturally in distributed systems security and you will see examples of both alternatives.

이 질문은 분산시스템 보안 안에서 자연스럽게 발생한다.

However, this question is also meaningful in the context of mainframe systems as demonstrated by the mandatory and discretionary security policies of the Bell-LaPadula model covered in Section 11.2

그러나, 이 질문은 또한 섹션 11.2에 Bell-LaPadula 모델의 필수(mandatory)적이고 선택할수 있는(discretionary)의 보안 정책에 의해 입증되는 메인프레임 시스템(중앙처리)의 내용 안에서 의미가 있다.

-----------------------------------------------------------------------------

3.5 The Layer Below (하위 계층)

So far we have briefly touched on assurance but have predominantly explored options for expressing the most appropriate security policies.

지금까지, 우리는 간단하게 보증에 대해 언급하고 있지만(touch on), 가장 적합한 보안 정책으로 나타내기 위해 옵션을 주로(predominantly 대개, 대부분) 조사하고 있습니다.

It is now time to think about attackers trying to bypass your protection mechanism defines a security perimeter(boundary).

지금 당신의 보호 메커니즘은 보안 경계 (경계)를 정의 우회하려는 공격자에 대해 생각하는 시간이다.

The parts of the system that can malfunction without the protection mechanism lie outside this perimeter.

The parts of the system that can be used to disable the protection mechanism lie within this perimeter.

This observation leads to an immediate and important extension of the second design decision from Setin 3.4.2:

Fifth Design Decision: How can you prevent an attcker from getting access to a layer below the protection mechanism?

An attacker with access to the 'layer below' is in a position to subvert protection mechanisms further up.

For example, if you gain systems privileges in the operating system, you are usually able to change programs of files containing the control data for security mechanisms in the services and application layers.

If you have direct access to physical memory devices so that you can manipulate the raw data, the logical access controls of the operating system have been bypassed.

We give further examples below to illustrate this point.

The fact that security mechanisms have a soft underbelly and are vulnerable to attacks from lower layers should be a reason for concern, but not for despair.

When you reach the stage where you cannot aplly computer security mechanisms or do not want to do so, you still can put in place physical or organizational security measures(Figure 3.6)

We will now give a few examples of access to the layer below.

The explanations assume some basic understanding of the way computer system work.

Recovery Tools

If the logical organiztion of the memory is destroyed due to some phsical memory fault, it is no longer possible to access files even if their physical representation is still intact.

Recovery tools, like Norton Utilities, can help to restore the data by reading course, be used to circumvent logical access control as it does not care for the logical memory structure.

Unix Devices

Unix treat I/O devices and physical memory devices like files. The same access control mechanisms can therefore be applied to these devices as to files.

If access permissions are defined badly, e.g. if read access is given to a disk which contains read protected files, then an attacker can read the disk contents and reconstruct the files.

More information on Unix security follows in Chapter 7.

Object Reuse(Release of Memory)

A single-processor multiprogramming system may execute several processes at the same time but only one process can 'own' the processor at any point in tine.

Whenever the operating system deactivates the running process to activate the next, a context switch is performed.

All data necessary for the later continuation of the execution are saved and memory is allocated for the new process.

Storage residues are data left behind in the memory area allocated for the new process.

If the new process could read such storage residues, the logical separation between processes the operation system should provide has been breached.

To avoid this problem, all memory locations that are released could be overwritten with a fixed pattern or the new proess could be granted read access only to locations it has already written to.

Buffer Overruns

In a buffer overrun attack, a vlue is assigned to a variable that is too large for the memory buffer allocated to that variable, so sthat memory allocated to other variables is overwritten.

This method of modifying variables that should be logically inacessible is further explained in Section 10.4.1

Backup

A conscientious system manager will perform regular backups.

Whoever can lay their hands on the backup media has access to all the data on the tape and logical access control is of no help.

Thus, backup media have to be locked away safely to protect the data.

Core dumps

When a system crashes, it creates a core dump of its internal state so that the reasons for the crash can be more easily identified.

If the internal state contains sensitive information, such as cryptographic keys, and if core dumps are stored in files that can be read by everyone, attacker could intentionally crash a multi-user system and look in the core dump for data belonging to other users.

3.6 The Layer Above

The Fundamental Fallacy of Computer Security

2.1 공격과 공격자

인터넷에서 신용 카드 결제가 먼저 고려 될 때, 그것은 고객과 판매자(merchant) 간의 트래픽을 보호되어야 하는 것을 필수적 생각했다.결국(after all), 기본 인터넷 프로토콜은 기밀성을 제공하지 않는다, 그래서 파티들은 카드 번호를 캡처 할 수 있도록 후에 사기(fraudulent) 구매를 위해 고객과 판매자 사이에 위치한다. SSL은 1990년대 중반 큰 매우를 해결하기(deal with) 위해 넷스케이프에 의해 개발되었다.

그러나 실제 위험은 다른 곳에 숨어(lurk) 있다. 신용카드 번호를 포함하는 패킷에 대한 스캐닝 인터넷 트래픽은 낮은 률의 공격이다. 고객 신용 카드 번호의 데이터베이스가 심하게 보호된 서버가 훨씬 더 가치있는(rewarding) 타겟이다. 이러한 공격은 신용 카드 번호를 얻거나 판매자를 협박(blackmail)하는 것이 증거에 기록되어 있다.

신분 도용(Identity theft), 즉 자원 또는 서비스에 접근하기 위해 어떤 다른 사람의 ‘신원’(이름, 사회 보장 번호, 은행 계좌 등)을 사용한다,비밀이 아닌 정보의 요청을 인증(authenticate)하기 위해 사용하는 서비스의 고유(inherent)의 약점을 악용한다.

인터넷 브라우저나 메일 소프트웨어 같은 소프트웨어 처리 외부 사용자 입력의 취약점은 외부 파트들이 장치들을 제어 할 수도 있다. 공격자는 장치 자체에 대한 데이터 손상 또는 써드파티에 대한 공격을 위한 디딤돌로 사용할 수 있다. 웜과 바이러스는 지나치게 많은(overgenerous) 기능을 사용하거나 취약점 널리 퍼지고 네트워크가 과부하(overload)되고 종단 시스템은 트래픽을 생성한다. 1988년11월의 인터넷 웜은 초창기에 잘 문서화된 종의 예이다(세션1.3.1). 특정 대상에 대한 서비스 거부 공격은 1990년대 후반에 발생하기 시작했다. 서비스 거부 공격에 대한 회복력(resilience)은 보안 프로토콜의 설계의 새로운 기준(criterion)이 되고 있다.

공격 위의 시나리오는 외부로부터 왔다. 성벽 외부에 적을 유지하는 것은 컴퓨터 보안의 전통적인 패러다임이다. 그러나 공격 소스에 대한 통계는 종종 공격이 내부자(insider)로부터 다수(a majority of)의 사건을 설명하고(account for) 손상의 큰 비율을 보여준다.

거기에 인터넷을 통해 공격이 그림을 변경할 수 있다는 제안이 있지만, 내부 사기 조직의 전자 상거래에 상당한(considerable) 우려가 남아있다.

그것은 보안 엔지니어링 비용이 공격자의 이익을 상회하는 수준으로 공격의 노력을 높이기 위한 목표로 가지고 있다고 알려져 있다. 이러한 조언은 근시안적(short sighted)일 수 있다. 모든 공격자는 돈을 위한 욕망에 동기부여 되지는 않는다. 정리해고(redundant)된 직원은 이전 고용주에 대한 복수를 할 수 있다. 해커는 그들의 기술 전문성을 입증하고(demonstrate) 자신의 방식으로 보안 메커니즘을 뚫는 것(defeating)으로 부터 특히 만족을 그릴 수 있다. ‘사이버 파괴자’는 그들의 결과(consequence)에 많은 관심이 없는 공격을 개시 할 수 있다. 정치 활동가(Political activists)들은 그들이 싫어하는 조직의 웹 사이트를 훼손할 수 있다.

시스템에 침입(break into)하는 데 필요한 전문 지식에서 유사한 차이(variance)가 있습니다. 어떤 경우에는 내부자 지식은 공격의 성공 계획을 함께 넣어야 한다. 이러한 측면에서 사회 공학이 기술적 측면보다 더 중요할 수 있다. hassling computer operators on the phone to give the caller the password to a user account is a favourite ploy. 사용자 계정에 발신자에게 암호를 주는 것은 좋은 계획(ploy)이다. 일부 공격은 깊은 기술적 이해가 필요하다. 다른 공격은 자동화되어 있으며 웹사이트로부터 다운로드 할 수 있고 그들은 약간의 통찰력(insight)과 악용되는 취약점이 스크립트 키드가 실행될 수 있다.

공격 및 공격자의 간략한 조사는 관리 보안과 관련 되었을 때 다양한 측면을 보여준다(illustrate).

2.2 보안 관리

보안 실무자(practitioner)는 기술만으로는 해결할 수 없는 ‘보안은 사람 문제’ 라는 것을 알고 있다. 법률 시스템은 데이터 보호 및 컴퓨터 오용(misuse) 법을 통하여 수용적 행동(acceptable behaviour)의 경계를 정의한다. 조직의 보안 책임은 그 기업이나 대학에서는 경영진과 마지막(ultimately)으로 상주한다(reside). 사용자가 협력해야 하고 조직에 규정된(laid down) 보안 규칙을 준수해야 한다. 기술적 대책의 올바른 배포 및 작동도 물론 전체 솔루션의 일부이다.

조직의 자산을 보호하는 것은 관리자의 책임이다. 자산은 제품 기획, 손님 기록, 재무 데이터 및 같은 중요한 정보가 포함 된 조직의 IT 인프라이다. 동시에 보안은 종종 자신의 작업 패턴에서 조직의 구성원을 제한하고 보안 규칙을 경시하기(flout) 위하여 잠재적인 유혹이(temptation) 있을지도 모른다 측정한다. 이것은 특히 보안 지침은 뛰어난 권위(superior authority)가 아니라 조직의 일부 다른 지점에서 오지 않는 경우에 발생하는 것은 그렇다.

따라서 강하고, 명확 보안 조치는 고위 관리직의 전폭적인지지(full support)를 가​​지고 있다. 같이 조직의 보안책임을 조직하는 것을 권장한다. 그라운드 룰을 정하고 최고 경영 책임자에 의해 서명된 간결한 정책 문서는 출발점으로서의 역할을 할 수 있다. 이 문서는 모든 사람의 고용 핸드북의 일부가 된다. 모든 회원은 보안 전문가가 될 수 있지만, 모든 구성원이 알 필요는 없다.

●보안은 자신을 위해, 조직을 위해 중요한 이유

●어떤 각 멤버가 예상되고,

●그들이 따라야 할 좋은 사례

보안 인식(awareness) 프로그램은 이 정보를 전한다(convey). 사용자의 반대는 분명히 불합리한 보안 규칙을 무시하고, 보안 전문가는 적으로써 분명히(apparently) 불합리한(unreasonable) 사용자를 다루고 있다(treating).

그들의 조직의 보안 이해 관계자로 사용자를 강제하려고 하면 자발적으로(voluntarily) 규칙을 준수하는 것(comply with)이 아니라 해결 방법을 찾기 위해 그들을 설득하는 것은 좋은 방법입니다

IT 서비스 및 제품을 개발하는 조직에서는 개발자를 위한 보안을 제공해야 한다. 보안 관련 요소와 시스템의 다른 부분과의 사이에 명확한 경계선은 거의 없습니다(rarely). 일반적으로 개발자는 서비스가 배포되는 환경 및 예상되는 위험을 인식하는 경우에는 이와 같이, 그들은 보호 메커니즘 자체를 구현하지 않는 경우에도 보호의 필요성을 강조 할 수 있도록 도운다. 개발자는 실제로 경계해야 할 중요한 데이터의 특정(certain) 범주, 예를 들면 개인 데이터는 특정 규칙 및 규정에 따라 처리해야한다. 결국 개발자는 알려진 코딩 취약점과 데이터로 유지해야한다.

2.2.1 보안 정책

보안 정책은 컴퓨터 보안의 핵심 개념이다.

●보안 정책 - 조직의 보안 목적을 정의하고, 무엇을 보호해야 하는지 명시하며, 보호가 어떻게 수행되어야 하는 명시할 수 있다.

예를 들어, 정책은 기업의 구내(premises)에 액세스를 규제(regulate) 할 수 있다. 제한 구역에 들어갈 권한을 누가 가지고? 보안 경비 대한 액세스를 제어하기 위해 존재해야 하나?

모두가 눈에 띄게 식별(visibly) 배지(badge)를 착용해야하나? 방문자는 항상 동반해야 하나?

그들의 가방은 확인해야하나? 언제 건물이 잠겨있나? 키에 대한 액세스 권한을 누가 있나?

정책은 문서에 대한 액세스를 규제 할 수 있다. 예를 들어 군사 세계의 비밀 문서는 충분한 허가(adequate clearance)에 의해 직원에게 전달 될 수 있다. 정책은 회사를 대신하여(on behalf of) 상업 거래(commercial transactions)를 승인하는 권한이 있는 사용자를 규정(stipulate) 할 수 있다. 정책은 특정 트랜잭션이 하나 이상의 사람이 서명해야 한다는 규정이 있습니다. 그것은 어느 정도 직원이 사적인 목적으로 기업의 IT 시스템 (웹 서핑, emial)를 사용하게 되는 것으로 정의 할 수 있다. 정책은 공격 메일을 보낸 사람이 징계에(disciplinary) 직면하는 것을 선언(declare) 할 수 있다. 정책은 고용주가 사용자 행동을 말할 수 있게 감시하도록 허락 된다.

정책은 암호의 형식 및 업데이트 간격(interval)을 정의 할 수 있다. 이것은 최신의 보안 패치가 설치되어있는 유일하게 승인 된 컴퓨터가 회사 네트워크에 연결할 수 있다는 것을 선언 할 수 있다. 정책은 중요한 전자 메일은 암호화되어야 한다는 것을 말할 수 있다. 이를 통해 사용자는 개인 정보를 수집 할 때 동의를 주고 있는지 말할 수 있다.

따라서 정책 목표의 상당한 다양성과 상세 수준이 표현 된다. 우리의 관점에서 명확성(clarity)을 유지하기 위해, 우리는 레이아웃 정의하고 조직과 자동 보안 정책을 구별한다. 정책은 목표를 주고 있다 :

●보안 정책 목표: 승인되지 않은 사용으로부터 확인된 자원을 보호하기 위한 문장

정책은 목표가 충족되어야한다는 방법을 설명해야 한다. 이것은 조직 수준에서 처음으로 할 수 있다.

●조직의 보안 정책: 조직이 자원을 관리, 보호 그리고 배포하여 보안 정책 목표를 달성하기 위한 법, 규칙들의 집합.

IT 시스템 내에서 조직의 정책은 기술적 수단에 의해 지지 될 수 있다.

●자동화된 보안 정책: 조직의 보안 정책을 위반한 경우 컴퓨터 시스템이 이를 어떻게 자원을 보호할 것인가를 명시해 놓은 것.

자동화 된 정책은 접근 제어 목록 및 방화벽 설정을 규정하고, 사용자 장치에서 실행할 수 있는 서비스를 규정하며, 네트워크 트래픽을 보호하기 위한 보안 프로토콜을 규정한다.

2.2 보안 관리

-----------------------------------------------------------------------------------------------------------------

2.3 위험 과 위협 분석

 위험은 불확실한 사건의 consequence(결과) associated(조합되었다).

 Hazard risk(위협적인 위험)은 피해를 주는 사건 또는 stock exchange(주식 거래소)에서의 재정 투자와 같은 긍정적 지출과 같은 opportunity(선택적) 위험과 관련이 있다.

 IT 위험 분석은 위협적인 위험을 look at(검사한다.) 이것은 시스템의 디자인 단계, 구현 단계, 운영 단계 동안 it can be conducted(실행될 수도 있다.) 이것은 또한 apply(적용될 수 있다.)

 - 소프트웨어 보안의 영역에서 새로운 컴포넌트의 개발 동안 

 - 특별히 enterprise(기업)의 IT infrastructure(기반)을 위해

 - comprehensively(광범위하게) 기업의 모든 정보 자산을 위해

위험 분석에 대한 literature(문헌)은 위협, 취약점, impact(영향), 자산 그리고 공격과 같은 terms(용어)를 사용한다.

이러한 용어들은 다음과 관련이 있다. 예를 들면 공격은 자산에 부정적인 영향을 끼치기 위하여 취약점을 exploit(공격하다.)

패스워드를 갈취하는 것과 같은 자산에 대한 피해는 다음 공격 단계를 facilitate(촉진할 수 있다.) 또한 추가적인 자산에 대한 피해를 야기시킬 수 있다.

리스크 분석을 위한 structured(구조화 되고) 시스템 적인 접근이 없다면, 너는 너의 위험의 광범위한 overview(개요)를 수립하는 데 실패하고, particular(특별한) 보안 문제의 상세한 손실이 증가할 위험에 처하게 된다.

structuring(구조적) 위험 분석에는 다양한 방법이 존재한다.

위험 분석, 위협 분석, 취약점 scoring(기록)이 necessarily(반드시) 다른 활동들인 것은 아니다.

그것들은 잠재적 피해를 assess(평가할) 때 서로 다른 초점을 express(표현하)는 것이 아니라, 같은 objective(목적)을 위해 단순히 이름만 다를 뿐이다.

informally(비공식적으로) 위험은 어떤 사고나 공격이 너의 기업에 피해를 야기시킬수 있는 가능성을 말한다.

IT 시스템에 대응되는 공격은 공격자의 목적이 성취될 때까지 시스템의 취약점을 공격하는 활동의 sequence(연속)으로 구성된다.

공격에 의해 posed(발생된) 위험을 평가하기 위하여, 너는 공격의 영향과 공격 발생의 likelihood(가능성)을 평가해야만 한다.

이러한 가능성은 잠재적 공격자에게 쉽게 공격이 실행될 수 있는 방법(취약점의 공격)과 너의 시스템이 노출시킬 것이다.

In turn(다음으로), 공격의 위험성 아래에서 이러한 가능성은 시스템의 보안 구성에 의존할 것이다.

시스템은 자원과 자원을 운영하는 agent(대리인)으로 구성되어 있다.

컴퓨터에서, 프로세스는 대리인을 말한다.

조직에서, 대리인은 업무를 수행할 의무를 가진 사람을 말한다.

이러한 사람은 업무를 수행하기 위한 필요한 자원을 사용할 수 있는 권한을 가지게 된다.

예를 들어 회사에서 시행하는 car pool(자동차 함께 타기) 를 위한 차를 고객에게 방문하기 위한 차량으로 assigned(할당)하여서, 그 사람이 

업무를 적절하게 실행하지 못한다면 그 사람은 그 책임을 져야 할 것이다.

자원의 corruption(부패)는 confidentiality(기밀성), 무결성, 가용성을 따르기 위한 것으로 분류될 수 있다.

대리인의 부패는 주어진 권한을 넘어서거나, 의무를 회피하려는 유혹에 빠지는 행동을 가져올 수 있다.

이미 분석은 설계 단계에서 수행될 수 있다.

이러한 관점에서 너는 너의 자산과 대리인, perhaps(아마도) 또한 너의 시스템이 deploy(배치)되어 있는 환경의 conceptual(개념적인) 모델을 가진다.

너는 아직 고려할만한 구현상의 취약점을 가지고 있지 않다.

너는 환경의 노출과 잠재적 피해를 야기시키는 각각의 위협을 rate(평가할)수 있다.

우리는 특별히 설계 단계에서 위험 분석을 위하여 위협 분석을 사용할 것이다.

위협 분석은 시스템 설계의 한 부분이 되야만 하는 보안의 특징을 증명할 것이다.

2.3.1 Asset (자산)

첫번째 단계로써, 자산은 가치화 해야 하고, 식별되어야 한다.

IT 시스템에서 자산은 아래와 같은 것들을 포함한다.

- 하드웨어 : 랩탑, 서버, 라우터, 모바일 폰, 넷북, 스마트 카드 등

- 소프트웨어 : 응용프로그램, 운영체제, 데이터베이스 관리 시스템, 소스 코드, 객체 코드 등

- 데이터와 정보 : 너의 사업을 계획하고 진행시키기 위한 본질적 데이터, 서류 디자인, 디지털 콘텐츠, 너의 고객을 위한 데이터 등

- reputation : 명성

자산의 identification(식별)은 relatively(상대적으로) 더욱 straightforward(직접적이고) 시스템적인 exercise(훈련)을 해야만 한다.

자산 가치의 측정은 더 큰 도전이 필요하다.

하드웨어와 같은 몇몇 자산은 그들의 monetary(화폐)를 대체하는 비용으로써 가치가 있다.

데이터와 정보와 같은 다른 자산은 더욱 가치 측정이 어렵다.

만약 너의 사업 계획이 경쟁자에게 leaked(누출)되거나, 너의 고객에 대한 사적인 정보가 공공연하게 누출된다면, 너는 비즈니스 기회의 손실 due to(때문에) 발생하는 간접적인 손실을 설명해야 한다.

경쟁자는 너보다 더 underbid(싸게 입찰)할 지 모른다. 그러면 너의 고객은 너를 desert(버릴) 지도 모른다.

장비를 잃어버리거나, stolen(도둑 맞았을) 때 조차도 너는 사업을 운영하기 위한 서비스의 가치 또는 저장된 데이터의 가치를 고려해야만 한다. 이러한 상황에서 자산은 그것들의 중요성에 따라 가치화될 수 있다.

그러한 중요성을 위한 훌륭한 metric(계량법)같은 것은 너에게 피해를 줄 수 있는 자산이 주어졌을 때, 너의 사업이 얼마나 길게 살아남을 수 있는 지 알려줄 수 있다. (하루, 일주일, 한달?)

2.3.2 Threats (위협)

2.3.3 Vulnerabilities (취약점)

2.3.4 Attacks (공격)

2.3.5 Common Vulnerability Scoring System (일반적인 취약점 기록 시스템)

2.3.6 Quantitative and Qualitative Risk Analysis (양적 또는 질적 위험 분석)

2.3.7 Countermeasures - Risk Mitigation (대책 - 위험 경감)

컴퓨터 보안은 진행중이다. 지난 40년 동안 계속되는 도전과 대답을 찾았다. 지금부터 컴퓨터 보안 역사에 대해 배우고 원리 이해와 어떻게 발전했는지 알아보자.

목적

컴퓨터보안에대한 아웃라인을 잡는 것

기존에 발명되었던 개념으로부터의 보안의 유사성파악

컴퓨터보안측면에서의 IT 응용프로그램의 변화

보안측면에 지장을 주는 부분.

컴퓨터보안의 태초

새로운 컴퓨터보안이 생성되고 있다.

2차세계대전에 브래츨리 파크라는 독일 에니그마 암호 해독 비밀기관에서 처음으로 코드브레이커들이 생겼다.

1940년대에 처음으로 전자 컴퓨터가 생겼고 어플리케이션 아카태미가 생성되었다. 금융기관과 정부 에이전시도 1950년대 초에 생겼다. 컴퓨터 보안은 1960년대 초반부터 시작되었는데, 멀티유저 시스템에서필요하게 되었다. 여러사용자를 보호하기 위하여. 이때 링 개념이 등장하였다.

1970년대 두가지 레포트가 있었는데 랜드 리포트는 컴퓨터 보안의 기초를 세웠다 1960년 후반에. 여기서 어플리케이션 영역에서의 요구되는 정책들과 보호되어져야할 영역과같은 기초를 정립하였다. 또한 그 바로 다음의 보안컴퓨터에대한 프로그래밍방법과 보호되어져야할 정보를 분류하였다.

앞으로 4가지의 단락에서 살펴보도록하겠다.

1970 : 메인프래임의 시대. 1980 : PC의 시대 1990 : 인터넷의 시대, 2000: web의 시대

1.2 1970년 메인프래임

메모리장비의 발달로 그때 당시의 많은 양의 데이터를 처리할수 있었다. 정부랑 큰 회사에 적용되었다. 두가지 프로그램이 관리에 사용되었는데, 미국 방위산업 공군에서 .

멀티레벨을 두어 접근할 수 있는 데이터를 분류하였다(bell lapadula모델).

멀틱스 프로젝트는 개바라였다. 운영체제를 보안관점에 둔.

두 번째는 “불류되지 않은 민감한” 이었다. 개인정보같은.정부에서 관리하고 있는 정보에대해 위험한 상황에 도달하여 많은 보호 개념이 등장하였다.

엑세스 컴트롤 메커니즘은 멀티유저보안에서 등장. - 유저는 자신의 부분을 지켜야 한다. 허락이있어야만 데이터 공유가 가능하고 관리가되어진다. 기본개념은 챕터 5에서 다룬다.

암호화는 데이터 저장과 보호에 있어 많은 역할을 했다. IBM에서 는 DES를 표준으로 제안하였고, 1976년 Diffie Hellman 의 공개키 개념이 1976년에 제시되었고 이는 14장에서 살펴본다.

데이터베이스의 질의문의 조합으로 인해 안전한 쿼리문이라고 판단되는 것을 해커들이 만들어 사용한다. 섹션 9.4에서 배우게 될 것이다.

세 번째로 합법 시스템 과 데이터 보호가 법제화 되고 US와 OECD의 privacy guideline에 추가되었다. 섹션. 9.6에서

이러한결과로 암호화부분은 성숙한 결과를 이루었다. AES를 국제 표준으로 1990년 대에 만들었다.

1.3 1980년대 PC

소형화과 통합화로의 변화되었다. 작은 책상이면 충분함. 유저 친근한 인풋아웃풋 장비들 그래픽. 이것이 PC이다. 혁명이다. 시큐리티의 관점이 바뀌었다. 1980년대에 . 1984년에 메킨토시 등장. 워드프로세스 나 스프레드시트같은 프로그램 유저가 문서를 다룬다. 하지만 데이터의 분류는 이루어지지 않았다.

보안의 필요성에 대해 신호탄이 되었다. 정보흐름모델과 간섭없는 모델은 제안되었다.

오렌지북에서는 일반적인 컴퓨터 보안에대한 규칙, 규율을 제안하였다. 13.2에서

클라그 윌슨 모델 –, 차이니즈 wall 모델

interl 80286에서는 멀티유저 OS에서 사용되는 세그멘테이션을 지원했고, 80386에서는 DOS, 처음으로 worm과 바이러스가 나타났다.

1.3.1 초창기웜

1988년의 인터넷 웜은 rlogin 의 무차별대입공격이나 잘못된 환경설정이나 버퍼 오버플로우같은 finger데몬의 공격을 통해 이루어졌다. 전체 머신의 5-10%정도를 감염시켰고, 60,000 대의 머신이다. 유닉스 의 4bsd 의 536첫바이트를 감염시킨다. 쉘을 떨어뜨리는 것.

1.3.2 미친 해커

1.4 1990년대 인터넷

1980년대 말 email 이나 fax중에서 어떤것이 문서교환의 방법중에 효율적인지 결정이 나지 않았었다. 1990년대 인터넷환경에대해 널리 퍼져 안정기가되는상태였고, 인터넷의 시대에대해 의심할여지가없었다. 이것은 새로운 기술이 이용가능해짐에 대함이나. 인터넷의 상업적 용도는 1992년에 시작되었다. HTTP 프로토콜과 HTML은 기본적인 비쥬얼적인 것들과 이메일과같은 용도로 사용되었다.  WWW개념은(1991년)과 1993년의 Mosaic이라는 브라우져가 생겨났고, 새로운 영역에대한 지표를 열었다. 

인터넷은 의사소통시스템이다. 따라서  이것은 인터넷 보안이 communication security 과 동등한 수준에서 시작되었지만 암호화의 사용으로 더 강해졌다. 1990년대에 암호전쟁 이있었다. US의 방위산업청과 알고리즘이 깨지지않는것을 지지하는 사람들 사이에서 40bit key 이상의 알고리즘 사용에 대한 수출을 반대하는 것에 대해 논란이있었다.  챕터 16에 1990년대의 communication security 에 대한 해결책 개발에 대해 기술되있다. 

그러나 communication security 는 쉬운 문제만을 해결한다.  예를 들어 전송중 데이터 보호같은.   실제 문제들은 다른곳에 있음을 명확히 알고 시작해야한다.  PC의 경우는 더이상 독립적이나 LAN환경에서 만 사용되어지지 않고 인터넷에 연결되어져사용된다. Machine(PC)가 인터넷에 여결되어져 있다는 것은 두가지 큰 결과를 가진다. 시스템 소유자는 더이상 인터넷을 통한 시스템내에 인풋에 대해 컨트롤 할 수 없다. 

첫번째 관심있게 볼 부분은 전통적인 신분기반의 엑세스 컨트롤이 보호 매커니즘이다. 두번째 관찰 포인트는 새로운 공격 Aleph가 논문에 묘사한 Smashing the Stack for Fun and Profit(1996) 과 같은것이다. 공격자는  의도적으로 이상한 형태의 인풋을 열린 포트로 보내고, 프로그램상의 버퍼는 공간이 넘치게 되어 공격자에의해 쉘코드가 실행되어 컨트롤이 넘어가는 상황이 발생한다. 챕터 10에서 소프트웨어 시큐리티에대해 설명한다. 

자바 시큐리티 모델은 두가지 이슈를 다룬다. 특권들은  origin of code 에 의존하여 맡겨지고, 유저가 실행한 프로그램의 신분에 따르지 않는다. 

Remote code(applet)이 실행될때 오직 제한된 권한을 가지고 sandbox에 넣어지게 된다. 안전한 언어로서 자바는 오버플로어와 같은 상황에서 안전한 메모리 보호를 보장해준다. 챕터 20에 코드베이스에서의 엑세스컨트롤을 보여준다. 

급격하게 증가하는 수의 소프트웨어 취약들은 리포트 되었다 . ~ Aleph 의 논문과  이메일을 통한 바이러스 공격들은 인터넷을 통해 PC를 휩쓸었고, 믿음과 신뢰 들은 조금씩 사라졌다. 여기에 대한 반응으로 컴팩, 휴렛팩커드 IBM 인텔 과 MS는 1999년에 '서핑에 안전한 웹환경을 만들자' 는 목표로 Trust Computing Platform연합을 만들었다.  

컴퓨터그래픽의 발전을 통해 PC를 이용한 컴퓨터게임 비디오 뮤직을 이용할 수 있게 되었다. 인터넷은 매력적이었으며, 여러 엔터테이너서비스를 제공하기 위해 회사게 나누어지기도하였다. 그러나 그들은 복사 방지에 대한 기술적인 문제에 직면하게되었다(그때당시그러한 방지 기술이 없었다. ) 복사 방지 기술은 1980년대에 발견되었다. 그러나 그때당시에는 mass market software에 적합하지 않았다.  컴퓨터 보안에서 DRM은 새로운 엑세스컨트롤의 방법으로 추가되었다. 

 첫째로 엑세스컨트롤은 시스템 소유자를 외부로부터 보호해 주지 못한다.

DRM 은 외부로부터시스템 소유자로서의 행동에대해 보안정책을  강제한다. 짧은 기간동안에  특별한 케이스의 DRM 들이 엑세스컨트롤에 사용되어지도록 등장하였다. DRM은 turst computing 에서 영향력이 커졌고, 원격에서 입증하는 매커니즘을 소개하였다.( 문서의 소유자의를 확인하기 위해 소프트웨어가 목적지인척하는). 15.6 과 20.7 에 소개. 

금융 application 에서  big three중에 하나인 가용성은  다른 무엇보다 중요한 것이다.  과거, 가용성은 설명되어졌다 - 조직의 방법 으로 - 긴급대책계획, 정기적인 데이터 백업, 회사에서 멀리떨어진 만일에 대비한 서버. 

인터넷에서 서비스 거부공격은 1990년대 말에 가능해졌다. 대응책으로 방화벽이나 IDS 은 네트웍보안 구조에 필수요소가 되었다. 챕터 17

긴급한 DOS공격은 암호화 프로토콜을 디자인하는데 재고려를 하게끔만들었다. 더강한 암호화는 DOS공격에 의해 더 많이 공격당할수있다. 오늘날 프로토콜들은 송 수신자간에 균형을 유지하도록 만들어졌다. 따라서 공격자또한 희생자와 같은 계산력이 필요하게끔 만들어져있다. 

1.5

웹에대해 얘기해보자면 한 기술적측면으로 웹브라우저는 서버와클라이언트가 상호작용을하는 메인소프트웨어 컴포넌트이고 사용자에게 화면을 디스플레이해준다. HTTP 는 application level의 communication 프로토콜로서 HTML XML 과같은 데이터 포멧을 지원한다. 또한 클라이언트 사이드와 서버사이드 스크립트 랭기지로서 역동적인 상호작용을 수행한다. WLAN 과 모바일 폰 시스템은 유비쿼터스 네트워크억세스를 제공한다. 사람의 측면에서 살펴본다면, 서비스 제공자들은 콘텐츠와 서비스를 제공하며 고객들은 해당 서비스를 제공받는다. 

The technology(웹)은 1990년대에 주된 주목받는 mainly 기술이었다. 2000년대에 들어서면서 사용자베이스의 급격한 성장을 이루었다(유저의수가많아졌다?)   회사는 자신의 고객들이 모바일을 통해 직접적으로 서비스를 받을수 있는 충분한 기회를 제공하였고, 이로인해 비용의 절감과 불필요한 중간과정을 제거하였다. 

항공을 통한 여행 예산의 경우에 첫째로 web booking을 통해 비행기편을 제공하고, 티켓을 예매하도록하였다. 다른 항공사들도 이 suit를 따랐다. 2008년에  IATA에서는 전자티켓 개념의 간소화된 비지니스를 계획, 착수 하였다. 

유사하게, 현재 여행객들은 호텔예약을 하고, 자동차 렌탈이나, 컨퍼런스 등록을 인터넷으로 하고 있다. 또 다른 경제적응용의 성공적인 측면으로 아마존이나 mail-order 비지니스나 e-banking, eBay 같은 것들이 있다. 마지막으로 특별히 흥미로운것은 private citizens 들간의 물건발송주소를 이용하여 그 크기가 드러난다는 점이다. 

웹상에서 서비스를 제공받는 어플리케이션레벨의 소프트웨어는는 주된 공격대상이 될 수 있다. 대표적인 공격패턴으로 SQL injection을 들수 있다 (10.5.2) CSS(18), DNS공격(17.2).

에플리케이션 계정에 대한 취약성공격이나 real attack은 점점증가하고 있다. 공격자는 Gmail 의 계약 문서를 훔친다. MySpace를 통해 수백만의 사람들에게 웜을 퍼트리기도한다. Cross-site scripting 를 이용한 오버플로우 공격은 CVE 리스트를 통해 2005와 2007년의 OWASP 상위 10개 안에 취약점으로 분류되기도 하였다. 2006년에는 SQL injection이 CVE리스트의 2번째로 rank되기 도 하였다. 

웹상의서 경제적 활동과 일직선을 이루는 성장은( 웹에서 유저의 활동이 많아짐에따라 경제정활동이 증가하는) 공격의 양상을 바꾸어놓았다. 

1990년대의 해커들은 주로 자신의 10대나 20대의 제한된 몇가지 기술에 고정되어 있었다. 
One could discuss whether they were laudable whistle blowers exposing flaws in commercial software or whether they were creating wanton damage simply in order to bolster their self-esteem.

드문경우로 공격자는 경제적 이득을 취하게 된다. 오늘날, 범죄집단은 web으로 옮기어졌다. 범죄자들은 빨리전파되어지는 웜공격과같은 것에 관심을 두지 않는다. 그들은 자신의 희생자의 머신에서 민감한데이터인 비밀번호나 PIN넘버나 TAN넘버나 botnet으로서의 한부분이 되는것을 더 선호한다. 

현재까지의 양상을 보면 경제 활동은 탄력을 받아왔다. 왜냐하면 높은 대역폭의 글로벌 커뮤니케이션 인프라스트럭쳐를 이용한  인터넷 이용가능성때문이다.

아웃소싱, 가상조직(virtual organizations), grid와 클라우드컴퓨팅 과같은 회사의 합병, 분리, 그리고 그들의 활동은 하청이나 해회의 자회사를 통해 기본적인 일을 처리한다. 민감한 정보에 대한 보호는 이러한 변화사이에서도 지속되어왔다. 정보는 회사의 성공에 중요한 영향을 끼친다. 보안정책은 반드시 정의되어야하고 강제되어야하고 관리는 여러개의 셋팅으로 분산되어 관리되어져야한다.  

 Policy administration, Policy decisions, 그리고 policy enforcement 은 활동이 구분되어지고, 다른 사이트에서 다른 파트너에의해 수행되어진다. 

policy language should provide support for controlling the effects of merging policies or of importing local policies into an enterprise-wide policy. 

Policy management 시스템은 local 시스템 소유자가 policy를 컨트롤하는것보다 console를 제공하여 포괄적인관점에서 기업의 다양한 정책을 세우는게 낫다. 

현재의 상태를 최신의 관점에서 바라보는것이 좋다. dynamic 하고 global 한 기업은 도전이고 관리뿐만아니라 감독당국으로서.

규칙에 따르는것은 오늘날 기업의 주된 임무다. 

명세서(설명서)작업이나 적절한 보안 메카니즘을 디자인하는 것은 여러분야에서 진행중이다. 웹서비스 보안 표준은 XML 문서, SAML(인증을 위한 일반적인 패턴), XACML(엑세스컨트롤) 등에서 암호화 보호 부분에대한것을 다루고 있다.  장래에  이런표준을 보게 될것이다.  Federated identity management(연합신분관리) 는 여러기관이 모인 시스템에서 싱글사인온과 같은 관련된 주제중 하나이다.  서로다른 인증과 허가 계정은 (authentication, authorization, accounting)

집중된다 - 인터넷이나, 모바일서비스를 이용함에 있어서. 흥미로운 도전이 증가된다. 엑세스컨트롤에서 research is pusuing ideas first introduced in the work on trust management.   Policy 언어를 디자인할때 research 는 표현의 풍부함과 strength of formal foundations 사이에서 올바른 균형을 추구한다. 챕터 20에서 소개한다. 

1.6

혁신적으로 개발되어졌던 살펴보았던 -mouse, 그래픽 유저인터페이스, 인터넷, www, , mobile 커뮤니케이션, 공개키암호화, 웜, 바이러스 , - 각자 자신의 분야에서 발전해왔다. 그러나 이러한것들은 처음에 계획했던대로 구상자가 생각했던대로 사용되지는 않았다. 예를들어 인터넷의 창시자는 이메일서비스가 가장 인기있는 서비스인것을 알게되면 놀랄것이다. PC창시자는  Internet terminal 이, SMS는  모바일 네트워크에서 오늘날 가장 주요한 서비스가 되었다. 

여기에는 보안에대한 가르침이 있다.  창시자만 창의적인것이 아니라 유저도 창의적이다. 뉴테크놀로지 지지자들은 예방적인 접근에대해 자주 묻는다. 새로운 기술을 공부하고 보안매카니즘을 개발한다. 이러한 접근은 새로운 기술이 예상대로 동작할때는 유용하다. 하지만 사용자의 innovation에 실패하는경향이있다.

이것은 위험이 추가된다(오래된 보안challenges 와 해결책 은 최신기술의 해결책의 도입을 억제하며 더이상 동작하지 않게 한다. 실질적으로 유저를 막는 장애물이된다. 멀티레벨시큐어 OS와 데이터베이스 management 시스템은 드물게 commercial organizations 에 적용된다. 추천하기는 모든 메세지에 대해 authenticate를 하는 것이다 인터넷 프로토콜에서 . 이것은  privacy protection demands를 제공한다. 

Innovations research 정의한다  지장을 주는 기술은 싸고 비교적 간단한 기술( 수준있는 요구사항을 적용하지 않고 , 사용자는 그것을 본적이 없으며, 널리공개적으로 사용되는 기술을 적용하고 고급기능에대한 적용이 없는 것을 말한다. 

결국, 새로운 기술은 더 고급 기술을 습득한다. 결과적으로 유저는 새로운 기술을 이용할 수 있다. 예를 들어 workstations 은 PC보다 더 강력한 그래픽 프로세를 가지고 있었다. 그래서 살아남았다 다른 예로는 QoS를 제공하지 않도록 디자인된 인터넷프로토콜은 전화 네트워크에서 계속적으로 교체교체되어왔다. 이러한 기술은 보안에 문제가 있다.  

처음에 보안 기능은 유저에의해 요구되는 것도 아니고 유저가 사용하는 어플리케이션에 의해 요구되는 것도 아니었다. 그때의 민감한 응용프로그램을 위한 플렛폼은 보안을 통합하기 어려웠다.