ARTIFEX ;)

# SET(Secure Electronic Transaction) : - 인터넷 상에서 신용카드를 이용해 상품구매 시 안전한 대금결제과정 처리를 위해 RSA 암호화와 인증기술을 이용한다. - 전자봉투 / 이중서명이라는 두 가지 기술을 사용해 사용자의 민감한 개인금융정보를 안전하게 전송하기 위한 프로토콜 # SET 참여주체 카드 소지자 발행자 가맹점 지불은행, 매입사 지불 게이트웨이 : 지불처리 은행 또는 제3자에 의해 운영되는 시스템. 인증기관 : SET 참여자에게 공개키 인증서를 발행하는 기관 # 이중서명 프로토콜 - 카드 사용자가 구매정보와 지불정보를 각각 해시한 후, 두 해시값을 합한 뒤 다시 해시하여 이 값을 카드 사용자의 개인키로 암호화하여 이중서명 값을 생성한다. * 장점 : 기존의 신용카드 ..

# 전자지불 시스템 : - 구성요소 : 은행 고객 상점 인증기관 구성요소 간 사용되는 관련 프로토콜 : 인출, 지불, 입금 프로토콜이 존재한다. # 전자지불 시스템의 보안 요구사항 : - 위조불가능 : 전자화폐는 위조가 불가능해야 한다. - 부인방지 : 어느 한 쪽이 거래사실을 부인하고 있음을 판별할 수 있어야 한다. - 누명면제 : 전자지불 시스템을 구성하는 구성요소 간에 연합하여 특정 구성요소에게 누명을 씌울 수 없어야 한다. - 무결성 / 인증 : 주고 받는 메시지의 변경이 없어야 하고, 송-수신자가 합법적인 사용자임을 확인할 수 있어야 한다. - 비밀성 / 익명석 : 개인 신상 정보를 보호할 수 있어야 한다.

# 데이터베이스(DataBase) 보안통제 : - 흐름제어 : 객체 A의 값을 읽어 이를 객체 B에 기록할 때 정보흐름이 발생한다. 어떤 객체에 포함되어 있는 정보가 명시적/암시적으로 낮은 보호수준의 객체로 이동하는 것을 검사하여 접근 가능한 객체의 정보흐름을 조정하는 것 - 추론제어 : 간접적인 데이터 노출로부터 데이터를 보호하기 위한 제어 비밀정보를 은폐하거나 DB사용자에게 부정확한 혹은 일관성이 없는 질의결과를 제공하는 방법이 있다. - 접근제어 : DB에서의 접근통제는 운영체제의 접근통제와 유사하지만 실질적으로는 보다 복잡하다. OS의 접근통제 : OS의 객체는 다른 객체와 관련성이 없어 사용자는 하나의 파일을 읽고 다른 파일의 내용을 결정할 수 없다. DB의 접근통제 : DB의 객체는 상호 관련..

# 위험분석(Risk Analysis) : 정보나 정보처리 기기에 대한 위협의 종류, 위협의 영향, 위협의 발생가능성 등을 평가하는 과정 # 위험분석 접근법 # 베이스라인 접근법 : - 국내외 표준, 기존에 마련되어 있는 법령, 가이드 등으로 기준을 정하여 위험을 관리 장점 : 시간 및 비용 절약 모든 조직에서 기본적으로 필요한 보호 대책 선택 가능 단점 : 조직의 특성이 미반영되어 적정 보안 수준 초과 또는 미달 가능성 존재 # 비정형 접근법(Informal Approach) : - 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행 장점 : 시간과 비용이 절약되고 작은 조직에서 부담 없이 접근 가능 단점 : 구조화된 접근이 아니며 보호대책 및 소요비용의 불확실성 존재 # 상세 위..

입찰정보가 서버에서 처리되어 공정한 처리가 이루어지고 있는지 확인이 어렵기 때문에 여러 고려사항이 도출된다. # 요구조건 : 독립성 : 전자입찰 시스템의 각 구성요소들은 자신들의 독자적인 자율성을 보장 받아야 한다. 공평성 : 입창이 수행될 때 모든 정보는 공개 되어야 한다. 비밀성 : 네트워크상에 각 구성요소 간에 개별정보는 누구에게도 노출되어서는 안된다. 무결성 : 입찰 시 입찰자 자신의 정보를 확인 가능케 함으로써 누락 및 변조 여부를 확인할 수 있어야 한다. 안전성 : 각 입찰 참여자 간의 공모는 방지되어야 하고 입찰 공고자와 서버의 독단이 발생하면 안된다.