보안 요구사항(Security Requirements)
중요한 시스템 데이터의 기밀성, 무결성, 가용성을 보호하는 방법을 명세하는 것을 말한다.
명세(Specification)
수집된 요구사항을 정해진 규칙과 구조에 따라 문서화 하는 과정이다.
- 의도한 대상 고객이 이해하고 평가하고 사용할 수 있도록 수집된 사용자 니즈를 실제 요구사항 문서와 적절한 다이어그램으로 변환하기
요구사항은 명확하고 검증 가능하도록 명세해야 하고, 작성된 요구사항은 추적성을 가져야 한다.
최종 산출물 : SRS(Software Requirements Specification)
- 사용자, 개발자, 테스터 및 모든 이해관계자들에게 공통의 목표를 제시한다.
- 소프트웨어 시스템이 반드시 제공해야 하는 기능과 능력, 특징 고려해야 하는 제약조건을 명시한다.
보안 요구사항 식별하고 정의
요구사항으로부터 보안 요구사항을 식별하고 정의해야 한다.
보안 목표 식별(Identifying Security Goals)
보호해야 할 대상에 대한 보안 목표를 식별하고 구체화한다.
- 보안 목표: 기밀성, 무결성, 가용성
정보에 대한 보안 목표 식별: 정보 권한을 가진 사용자 만이 안전하게 수집, 전송, 처리, 보관, 폐기해야 하는 정보를 식별할 수 있다.
- 고려 사항: 법적 의무사항, 필수적 안전조치, 정보 유출 시 예상 피해 기준 등
예) 사용자의 은행 계좌 잔액은 승인되지 않는 한 다른 사용자가 알아내거나(기밀성) 수정해서는(무결성) 안된다.
보안 요구사항 정의(Defining Security Requirements)
수립한 보안 보안 목표(기밀성/무결성/가용성)를 만족하는 필요 조치(보안 정책/매커니즘)을 도출한다.
- 인증, 권한부여, 부인방지, 암호화, 메시지 인증코드와 전자서명, 암호화 통신 프로토콜 등
[보안 매커니즘] 부인 방지 (Non-Repudiation)
[보안 매커니즘] 전자 서명 (Digital Signatures)
[보안 매커니즘] 암호화 보안 프로토콜(SSL/TLS)
다양한 참고 자료를 기반으로 보안 요구사항을 결정하고 명세한다.
- 내부 정책: 전사/조직 내 정책/규정, 가이드 등
- 외부 정책: 법/법령, 규제, 관련 지침, 표준 등
- 산업계 요구사항(industry requirements), Coding Practice
- 이전 사고 검토 내용, 알려진 위협 등
시스템 보안 요구사항에서 SW 보안 요구사항으로 점점 구체화 시켜나갈 수 있다.
(보안 목표) 사용자의 은행 계좌 잔액은 승인되지 않는 한 다른 사용자가 알아내거나 수정해서는 안된다. |
1. 사용자는 암호를 사용하여 자신을 식별한다. 2. 비밀번호는 강력해야 한다. 3. 비밀번호 데이터베이스는 로그인 프로그램에서만 액세스 할 수 있다. |
보안 요구사항 분석(Analyzing Security Requirements)
[Security] 보안 요구사항 분석(Analyzing Security Requirements)
보안 특성
기밀성(confidentiality) : 권한(authorization)이 없는 엑세스 또는 공개로부터 정보를 보호하는 것
무결성(integrity) : 정보를 비인가된 조작(무단 수정 또는 파기)으로부터 보호하는 것
가용성(availability) : 정보 및 정보 시스템을 무단 중단으로부터 보호하는 것
보안 특성 - 대표적 보안 방안
기밀성: 암호화, 인증/접근제거
무결성: MAC/전자 서명
가용성: Filtering, FT
'IT 기초 > Security' 카테고리의 다른 글
[Security] 보안 요구사항 분석(Analyzing Security Requirements) (0) | 2022.05.09 |
---|---|
[Security] [보안 매커니즘] 암호화 보안 프로토콜(SSL/TLS) (0) | 2022.05.09 |
[Security] [보안 매커니즘] 인증서 (0) | 2022.05.09 |
[Security] [보안 매커니즘] 전자 서명 (Digital Signatures) (0) | 2022.05.09 |
[Security] [보안 매커니즘] 메시지 인증코드(MAC) (0) | 2022.05.03 |