[실기] 정보보안실무 - 세스템 및 네트워크 보안특성 파악 -1

정보보안 기사를 준비 하면서....

정보보안 기사 출제 가이드에 나와 있는 목차와 내용을 먼저 기반으로 내용을 정리 하고자 한다.

해당 내용은 정보보안 기사의 출제 가이드에 나와 있는 목차를 바탕으로 필자가생각하는 내용을

정리한 내용 입니다.

---

1. 시스템 및 네트워크 보안 특성 파악

  1) 운영체제별 보안특성 파악하기 

     (1) 조직의 보안 목표 문서와 IT환경 설계도를 수집 할 수 있다.

해당 내용에서는 조직에서 추구하는 보안의 목표를 파악할 수 있어야 하겠다.

조직에서 추구하는 보안의 목표란 무었일까?

내부 조직의 정보를 보호하고 저절한 등급으로 구분하여 권한에 맞도록 설정하여 

내부 인원이 사용하는데 문제가 없도록 설정하는데 있다고 생각한다.

이러한 내부 조직의 보안의 목표를 설정하기 위해서는 정보의 중요도를 판단하고 

이를 보호하는 등급과 방법 그리고 손실에 따른 기회비용 등을 계산하여 적절한 손익 분기점을 

찾아서 보안의 수준과 등급 그리고 이에 수반하는 제반 보호 시설을 갖추는 것이 적절하 겠다.

물론 보안의 핵심을 담당하는 CSO(보안담당자)의 조언을 들어 CEO(경영자)가 의사 결정을 하는 것은 당연한 일이 겠다.

또한 이러한 내부 환경에서 어떠한 보안설비를 갖추고 이러한 보안 설비를 어떻게 구성할 지에 대한 수준 또한 

보안담당자의 의견을 듣고 경영자가 판단해야 하는 문제가 될 것 이다.

예를 들어 

내부 자료를 보호하기 위해서 방화벽, IDS, 프록시 서버, 스펨메일 탐지 장비 등 많은 보안 장비를 구비하게 되면

정보를 보호하는데는 좋은 환경을 구성할 수 있지만, 

이러한 장비와 인력을 구성하고 운영하기 위해서는 그만큼의 비용이 발생하게 되는 것이다.

이러한 비용 곡선을 고려해서 적정선을 구하고 보안의 중요성을 판단하여 내부 정보를 어느 정도의 수준으로 

어떻게 구성할지가 결정이 되고 내부 네트워크나 보안 장비의 구성 위치 등이 결정이 되는 것이다.

물론 이러한 부분을 가이드 해주고 솔류션화 되어서 서비스 하고 있는 업체들 또한 많이 있지만, 

정보의 효과와 비용을 고려해서 외부 업체에게 아웃소싱을할지 자체적으로 구성해서 운영할 지에 대한 검토 또한 

수반되어야 하겠다.

보안담당자라면 이러한 보안 구성이 어떻게 되고 조직의 목표와 수반되는 적정선을 구성하여 제하고 가이드 할 수있는

능력이 수반되어야 한다.

조직에서 운영하고 있는 환경이 적절하게 구성이 되어 있는지 판별하는 능력이 필요 한 것이다.

방화벽이 상위에 있는데, 하위에 불필요하게 다른 방화벽을 구성하는 것 보다는 정책으로 적절하게 구성하게 되면, 

방화벽 한개의 비용을 절감하는 효과를 가져오기 때문에 이렇게 적절한 환경을 파악하고, 

보안장비 구성과 네부 설게 환경을 구상할 수 있는 능력이 수반되어야 하는 것이다.