2차 도메인 정책

Posted by ironmask84
2020. 7. 25. 10:53 블로깅/블로그 팁



안녕하세요 방문자 여러분!

철가면 입니다 ㅎㅎ


사실 이렇게 누군가 고정 방문자들이 있는 것처럼 

글쓰는게 어색하긴 하네요.. 고정방문자들이 없을 것이기에....ㅋㅋㅋㅋ

대부분 검색해서 들어오셨을 거라는 생각이 듭니다.


제 블로그가 이웃들과 소통한 내역이 거의 없을 뿐 아니라,

티스토리 블로그는 네이버 블로그와 달리 이웃 커넥터도 따로 없고,

서로 방문해주는 풍토? 가 없지요.

대부분 정보 제공용 혹은 자신의 자료 정리에 많이 쓰이는 모습을 봅니다.


몇 달간, 시험준비를 하느라 블로그 글을 못써서,

오랜만에 이렇게 글을 써보니 기분이 좋고, 

또, 블로그를 키워나가고 싶은 생각이 드네요


오랜만에 글을 쓰려고 로그인을 했는데,

또 이렇게 티스토리에서는 2차 도메인 정책을 아래와 같이 공지한게 눈에 띕니다.


저 또한, www.ironmask84.tistory.com 대신 www.ironmask.net 라는 2차 도메인을 쓰고 있는데요.

왜냐하면, 주소가 간결해서 좋고, 접속자도 기억하기 좋기 때문입니다.

원래는 ironmask.net 라는 주소를 누군가 사용하고 있어서, ironmask84.net를 쓰고 있었는데,

2015년쯤 부터 자리가 나서 겟 했지요 ㅎㅎ


하지만, 아래 공지처럼,

브라우져가 정보보안을 위한 정책을 통해,

2차 도메인에는 제약이 생겼네요.

저와 같이 2차도메인을 사용하는 유저에겐 안좋은 소식 입니다만..

사실 저는 위에도 언급했듯이, 이웃 방문 소통이 거의 없는 블로그이기에...

현재로서는 타격이 크지는 않지만,

블로그를 더 키우고 이웃 소통을 하고픈 마음은 있어서, 좀 많이 아쉽긴 합니다.


그런데 티스토리에 구독 기능이 있었던가요??

RSS 기능을 말하는 건가.. 지금 껏 티스토리 가입한지 10년이 넘었는데 

그런 기능을 못본 것 같아 또, 하나의 기능을 알게되나 싶기도 하군요.


아무튼 결론은, 제 블로그엔 사이드 바에

네이버 이웃커넥터를 마련해놓았으니

많은 이용 부탁드립니다. ㅡ_ㅡ


안녕하세요. 티스토리팀 입니다.

 티스토리는 블로그 개설 시 지정하신 블로그 주소 (000.tistory.com)외 가지고 계신 별도의 도메인 (www.000.com 등)으로도 서비스를 이용하실 수 있도록 2차 도메인 연결을 제공하고 있습니다. 브라우저 정책 변경 등의 이유로 이미 주요 블로그 서비스에서 별도 도메인 연결을 중단하고 있으나 저희는 이용자의 확장성과 효율성을 최대한 보장한다는 취지에서 본 서비스를 유지하기 위하여 노력하고 있습니다.

 다만, 구글 크롬 등 주요 브라우저의 정책 변경 및 취약점 대응을 위하여 2차 도메인으로 접속 시 일부 기능이 불가피하게 제약됩니다. 아래 유의사항을 안내드리오니 참고 부탁드립니다.

 2차 도메인 사용 시 유의사항 안내

  • 2차 도메인을 계속 지원하며, 기존과 같이 사용하실 수 있습니다.
  • 단, 2차 도메인으로 접근할 시 로그인 유지가 되지 않아 방문자의 로그인 기반 활동이 제약될 수 있습니다. 댓글 작성 시 비회원 댓글로만 작성 가능하며, 구독 신청도 2차 도메인 접속 시에는 불가능합니다.
  • 2차 도메인 사용 중이라도 블로그 원주소로 접근 시에는 로그인 유지가 되며 댓글 작성 및 구독에 문제가 없습니다.

외부 환경으로 어려움이 있더라도 2차 도메인 지원을 계속할 예정이며 불가피하게 제한한 댓글, 구독 등 로그인 기반 기능도 불편 없이 사용할 수 있도록 개선방안을 찾고 있습니다. 빠른 해결을 위하여 노력하겠습니다.

감사합니다.




 

구글 애드센스 GDPR 정책 알아보기 #1

Posted by ironmask84
2018. 6. 23. 14:06 블로깅/블로그 팁



1달 전에 구글에서 애드센스을 비롯하여 DoubleClick for Publishers (DFP), DoubleClick Ad Exchange (AdX), AdMob
과 같은 
광고성 서비스에 대해 GDPR 정책을 따르는 도구를 지원한다는 글을 게시한 바 있습니다.

http://ironmask.net/446  참조)


그 후로 그런 정책이 있는갑다 하고 생각하고 있다가 신경을 끄고 있었는데,

애드센스 설정화면에서도 슬슬 뭔가 관련 항목이 보이기 시작하네요 ㅋㅋ

아무래도 무엇인지, 자세하게 살펴보고 알고 적용이 필요할 것 같아서 공부겸 포스팅 합니다.


GDPR 이란, "General Data Protection Regulation" 의 약어로 유럽연합 EU 의회에서

2015년 5월에 통과된 법으로 2018년 5월 25일 부터 본격 적용되었다고 합니다.

관련 내용은 EU 거주자의 개인정보를 다루는 모든 기업이나 단체에게 

개인정보 보호와 관련된 광범위한 규정들이라고 하네요.


구글도 개인정보를 상업에 이용해온 대표적인 기업 중에 하나입니다.

어렴풋이 기억나는 것이, 스마트폰에 탑재된 안드로이드 시스템에 개인 정보를 수집하는 설정이 

기본적으로 동작하게 해놨던게 문제가 되어 벌금을 물게된 사건이 있었던 것 같네요.


이 밖에도 구글은 전 세계적으로 사람들이 많이 쓰는 구글 포탈사이트, 브라우져인 크롬, 지메일, 구글맵, 구글스케줄 등

수 많은 서비스를 히트치면서 각 개인의 정보에 대해 엄청난 데이터를 수집할 수 있었습니다.

개인 정보라면 주로 개인의 관심있는 분야, 구매 패턴, 이동 경로 패턴 등 수 많은 개인의 정보를 수집이 가능하고,

이를 활용해서 개개인에게 적합한 광고나 그와 연계된 기업들에게 정보를 제공을 통해 수익을 끌어들일 수 있고,

대중이 원하는 서비스를 만들어 내기가 수월해집니다.


이러한 빅데이터 처리에 능하게 된 구글은 최근에 빅데이터를 이용한 딥러닝 솔루션을 통해

알파고, 텐서플로우 등으로 AI 생태계를 주도해나가는 승승장구하는 모습을 보여주고 있습니다.


서론이 너무 길어졌네요 ^^;;

아무튼 이러한 구글의 개인정보 침해에 대해 방관하지 않고, 

발빠르게 개인정보보호 분야를 리드해온 유럽에서 계속해서 활발히 정보보호법 시행이 되고 있는 것 같습니다.


그래서 GDPR 과 구글 애드센스는 무슨 상관이 있을까요?

가만히 생각해보면, 구글 애드센스에서 나오는 광고가 개인 맞춤이 되고 있다는 사실을
느낌으로 알고들 계셨을거라 생각합니다.

사이트 사용자의 브라우져 화면에서 광고가 뜰 때 사용자가 이전에 관심을 가지고
검색을 통해 접속했던 것을 토대로 비슷한 분야의 광고가 
나오기 때문입니다. 

실제로도 현재 보고 게시는 제 블로그에서 떠있는 광고도 그런 부분을 느낄 수도 있을 것입니다.

결국, 이러한 부분이 이뤄지는데에는 쿠키 등을 이용한 개인정보를 이용하기 때문에 GDPR에 위배된다는 것입니다.


현재는 기업(구글)에게만 벌금을 물릴 법으로 진행되고 있는 것 같은데,

추후에는 광고 게시자들에게도 총알이 날아올지도 모르겠습니다.


우리나라와는 관련이 없지만, 유럽거주자가 광고가 게재된 사이트에 접속한다면 문제가 될 수 있는 듯? 합니다.

그래서 개인맞춤광고를 게재하려면, 유럽거주자들을 위해서? 동의를 구하는 절차가 필요한 것 같네요.


GDPR 이란 법 적용을 위해 구글 애드센스에서 제시하는 방법은 아래 사이트에 자세히 설명되어 있습니다.

https://support.google.com/adsense/answer/7670013?hl=ko&utm_source=aso&utm_medium=link&utm_campaign=ww-ww-et-asfe_#


이 설정에 해당하는 애드센스 화면이 아래 화면 같아요.


우선은 기본 설정에서 손을 대지 않아도 상관은 없어 보입니다.

다만, 맨 아래 동의 수집 설정이란 부분을 보면 광고 게시 태그에 손을 대어야 할지도 모르겠군요.

이 부분에 대해서는 다음 포스팅에서 좀 더 자세히 다뤄볼까 합니다. ^^





 

구글 GDPR 정책

Posted by ironmask84
2018. 5. 22. 13:12 블로깅/블로그 팁



2달 전 쯤에 Important updates about the General Data Protection Regulation (GDPR) 란 제목으로
지메일 한 통 받은 적이 있습니다.

대충 읽어보고 넘어갔는데, 유럽의 개인정보보호에 대한 강성 정책에 영향을 받아
구글 애드센스 등의 서비스들에 대해 개인정보 보호에 대해 강화한 정책인 것 같았습니다.

자세한 사항은 아래를 읽어보시고 이해합시다. 


Dear Partner,
Over the past year we've shared how we are preparing to meet the requirements of the GDPR, the new data protection law coming into force on May 25, 2018. The GDPR affects European and non-European businesses using online advertising and measurement solutions when their sites and apps are accessed by users in the European Economic Area (EEA).
Today we are sharing more about our preparations for the GDPR, including our updated EU User Consent Policy, changes to our contract terms, and changes to our products, to help both you and Google meet the new requirements.
Updated EU User Consent Policy
Google's EU User Consent Policy is being updated to reflect the new legal requirements of the GDPR. It sets out your responsibilities for making disclosures to, and obtaining consents from, end users of your sites and apps in the EEA. The policy is incorporated into the contracts for most Google ads and measurement products globally.
Contract changes
We have been rolling out updates to our contractual terms for many products since last August, reflecting Google’s status as either data processor or data controller under the new law (see full classification of our Ads products). The new GDPR terms will supplement your current contract with Google and will come into force on May 25, 2018.
In the cases of DoubleClick for Publishers (DFP), DoubleClick Ad Exchange (AdX), AdMob, and AdSense, Google and its customers operate as independent controllers of personal data that is handled in these services. These new terms provide clarity over our respective responsibilities when handling that data and give both you and Google protections around that controller status. We are committing through these terms to comply with our obligations under GDPR when we use any personal data in connection with these services, and the terms require you to make the same commitment.
  • Shortly, we will introduce controller-controller terms for DFP and AdX for customers who have online terms.
  • By May 25, 2018 we will also introduce new terms for AdSense and AdMob for customers who have online terms.
If you use Google Analytics (GA), Attribution, Optimize, Tag Manager or Data Studio,whether the free or paid versions, Google operates as a processor of personal data that is handled in the service. Data processing terms for these products are already available for your acceptance (Admin → Account Settings pages). If you are an EEA client of Google Analytics,data processing will be included in your terms shortly. GA customers based outside the EEA and all GA 360 customers may accept the terms from within GA.
Product changes
To comply, and support your compliance with GDPR, we are:
  • Launching a solution to support publishers that want to show only non-personalized ads.
  • Launching new controls for DFP/AdX programmatic transactions, AdSense for Content, AdSense for Games, and AdMob to allow you to control which third parties measure and serve ads for EEA users on your sites and apps. We’ll send you more information about these tools in the coming weeks.
  • Taking steps to limit the processing of personal information for children under the GDPR Age of Consent in individual member states.
  • Launching new controls for Google Analytics customers to manage the retention and deletion of their data.
  • Exploring consent solutions for publishers, including working with industry groups like IAB Europe.
Find out more
You can refer to privacy.google.com/businesses to learn more about Google’s data privacy policies and approach, as well as view our data processing terms and data controller terms.
If you have any questions about this update, please don't hesitate to reach out to your account team or contact us through the Help Center. We will continue to share further information on our plans in the coming weeks.
Thanks,
The Google Team



 

3. 정보보호 관리(인증)체계 및 관리법규

Posted by ironmask84
2018. 3. 1. 15:52 컴퓨터공학/Security


* 정보보호 인증체계

1) 접근통제 (식별 -> 인증 -> 인가)  (권한부여, 직무분리, 최소권한 개념으로)

직무분리 : 업무 발생부터 승인, 수정, 확인, 완료 등 모든 과정이 한 사람에 의해 처리될 수 없게하는 보안정책
최소권한 : 허가받은 일을 수행하기 위한 최소한의 권한만을 부여하여, 권한남용에 의한 피해 최소화

방법 : 패스워드 : 사전공격, 무차별 공격, Backdoor, 사회공학, 스니핑 등에 무력화

         i-PIN : 주민번호 저장안해도 되는 장점

         OTP : 분실시 악용, 배터리 방전 문제

         생체인증 : 높은 비용, 사용자 거부감


통합인증체계 : 한번의 인증으로 재인증 없이 전체 시스템에 접근이 가능하게 한 솔루션
각 시스템을 개별적으로 ID/PWD 관리 안해도 되므로 분실하거나 노출위험이 줄어듬
중앙집중관리로 효율적이나, SSO 관리서버가 침해 당하면 모든 서버 보안침해가 가능해지는 위험성 올라감

Kerberos ( 대칭암호 기법, 네트워크를 통한 키분배, 키분배센터 비용 발생)

SESAME (비밀키 분배에 공개키 암호화를 사용, 키관리 비용 감소)

2) 접근통제 보안 위협 및 대응책

  - 사전공격 : Password 암호화 저장 (salt 이용)

  - 사회공학 : 보안 인식 교육 필요

  - 피싱 : 스푸핑 이용

  - 스미싱 : SMS이용한 웹사이트 유인 -> 트로이 목마 S/W 설치 -> 개인정보 유출

3) 기기인증 : 네트워크에 참여하는 다양한 기기의 안전한 운영을 위해 해당 기기를 식별하는 신뢰된 인증방법

장점 : 보안성 제공, 일관된 보안정책에 의한 구축 및 운영비용 절감, 단일 보안 프레임워크 기반으로한 상호연동성

- 아이디/패스워드 : 보안수준 하, 인증이 쉬운만큼 보안안전성도 약함

- MAC주소 인증 : 보안수준 하, 예로 무선랜 카드,
                       추가적인 어플과 프로토콜 필요없고 접속 용이,
                       기기 바뀌면 새로 MAC 주소 재등록필요, MAC주소 유출되면 큰일, 부인방지 불가

- 암호프로토콜 활용 인증 : 보안수준 중, 예로 802.1x의 EAP, WAP2 등 표준화된 기술 존재
                                   다양한 표준화된 인증방식이 있어 안전성 어느정도 보장,
                                    암호 및 인증 알고리즘의 안정성에 의존함, 오래된 알고리즘은 해커에 의해 깨지기도 함 (RC4)

- Challenge/Response 인증 : 보안수준 상, OTP와 유사하게 일회성 해시값 생성하여 사용자 인증
                                      서버가 랜덤값(Challenge)을 전송 -> client는 수신한 값과 패스워드에 해시 적용해서 반환(Response)
                                       -> 응답받은 서버는 같은 방법으로 해시한 값과 비교해서 일치하면 인증 완료
                                      패스워드로 간편인증이 가능하면서도, 네트워크상 매번 다른값으로 전송되므로 안전
                                      그래도 패스워드 노출되면 보안이 깨짐

- PKI 기반 기기 인증서 기술 : 보안수준 최상, 안전성 높고, 부인방지 기능
                                       인증서 관리(발급, 갱신, 폐기) 비용 발생, CRL 리스트 관리 비용 발생


* 정보보호 관리체계 및 법규 (보안기사 필기에서 챕터 정보보호 관리 참고)

1) 정보보호 정책 : 조직의 내외부 환경과 업무성격에 맞는 효과적인 정보보호를 위해 수행되어야할 항목을 기술한 지침과 규약으로 정보자산을 어떻게 관리하고 보호할 것인지 문서로 기술한 것

2) 정보보호 정책 역할 : 임직원에게 책임할당과책임추적성 제공,
                              기업의 비밀 및 지적재산권을 보호하며
                              기업의 컴퓨팅 자원낭비 방지

3) 정보보호 정책 요소
절차 : 정책 세부 지시사항
표준 : 조직에 적용되는 소프트웨어, 하드웨어적인 요구사항 정의
기준선 : 정보보호 정책의 일관성 있는 적용을 위해 준수해야할 사항
지침 : 계획수립 및 구현에 대한 권고사항

4) 정보보호 관리자 역할

- 예산확보 (헬프데스크, 개발, 인프라, SW 보안기능 추가

- 타 부서와 협업하여 책, 절차, 기준선, 표준, 지침을 개발

- 보안인식 프로그램 개발 및 제공 : 집합교육, 온라인교육, 보안관련 포스터 공모

- 비즈니스 목적에 대한 이해 
--> 조직의 목표 및 환경 (강약점, 위협, 기회, 법/규제 등)

- 최신 위협/취약점에 대한 인지

- 정부의 법/규정에 대한 컴플라이언스 여부 점검

- 최신 기술 습득 (정보보안 연합회, KISA한국인터넷진흥원 등 과의 관계 구축)

5) 계층별 책임 및 역할

- 경영진 : 정보자산 보호 전반적인 책임, 정보시스템 위험 이해
- 정보보호 이사 : 조직의 정보보호 활동에 대한 계획 수립, 설계, 검토
- 보안전문가 : 보안정책, 절차, 표준, 기준선, 지침 개발 및 구현
- 데이터 소유자 : 정보자산에 대한 책임
- 데이터 관리자 : 시스템 관리자, 백업 수행
- 정보시스템 감사인 : 정책, 절차, 표준, 기준선, 지침을 준수하는지 검토
- 비상계획 관리자 : 비상상황에 대비한 계획 수립
- 보안관리자 : 사용자 접근요청을 처리 및 권한 부여

6) BCP(Business Continuity Planning) 와 DRP(Disaster Recovery Planning)
- 비즈니스 연속성 계획 : 재난 발생 시 비즈니스 연속성을 유지하려는 방법
정상적 운영을 위한 데이터 백업 등을 통해 핵심업무 기능을 지속하는 환경 조성
사업활동이나 프로세스가 중단되는 것에 대항
비즈니스 영향 평가인 BIA가 선행되어야 함
BIA 평가
- 중요기능과 시스템, 리소스 식별
- 리소스에 대한 최대 허용 중단시간 MTD 계산
  수시간 내(매우 치명적), 24시간 내(치명적), 36시간 이상(필수), 일반
- 중단 영향과 허용 가능한 정지시간 기반으로 복구 우선순위 개발
- 위험과 취약점을 식별하고 위험을 계산
- 백업 솔루션 개발

* BCP 계획 수립 절차
비즈니스 분석 -> 위험평가 -> 비즈니스 연속 전략개발-> 비즈니스 연속 계획 개발 -> 계획 연습

* BCP 전체 단계 (NIST 미국 상무부 기술관리국 산하)
계획 수립 -> BIA 평가 -> 예방 통제 식별 -> 연속성 전략 개발 -> 연속성 계획 개발 -> 테스트, 훈련 -> 계획의 유지관리

- 재난 복구 계획 : 재해나 재난으로 인해 정상시설로의 접근거부 등의 이벤트를 다루며,
응용프로그램, 컴퓨터 설비의 운영재개와 같은 IT 중심의 계획을 말한다.
핵심 정보시스템과 데이터가 중단되는 것에 대항
( (화재, 지진, 태풍),  (폭격, 테러, 방화),  ( 장비고장, 소프트웨어 에러, 통신 네트워크 중단) 등)

- 복구전략

1) 미러사이트 : 초기투자 및 유지보수 비용 높으나 실시간 복구가 가능하다

2) 핫 사이트 : 비동기적 방식으로 실시간 미러링을 통해 데이터 최신 유지, 액티브 전환을 4시간 이내

3) 웜 사이트 : 중요성이 높은 정보자원만 부분적으로 재해복구 센터에 보유,
                  실시간 미러링을 안하고 백업주기가 수 시간 ~ 1일 정도

4) 콜드사이트 : 데이터만 원격지에 보관하고 수일 ~ 수주 로 원격지에 백업한다.
                     비용이 저렴하지만, 복구 소요시간이 매우 길고 신뢰성이 낮다.

- RAID

데이터 이중화 및 성능향상을 위한 기술
몇개의 물리적 디스크를 묶고 이것들을 논리적 배열로 정의하여,

저용량, 저성능, 저가용성인 디스크를 중복으로 구성함으로 고용량, 고성능, 고가용성 디스크를 대체한다.
실제 데이터는 여러 개의 물리적 디스크에 저장

1) 데이터 스트라이핑 : 데이터를 여러 조각으로 나누어 여러 디스크에 분산 저장하고 동시에 엑세스를 가능하게 하는 기술로
균등 저장을 위해 라운드 로빈 방식을 사용,  I/O 속도 향상,  중복성은 없음, 일부 디스크 고장 시 복구 불가

2) 중복 : 일부 데이터가 손실된 경우 복구할 수 있도록 중복 저장,
            하나가 고장나면 다른 하나 즉시 사용 가능하지만 비용이 많이 든다.

RAID Level 0 : 스트라이핑 

RAID Level 1 : 미러링 방식이다. 즉, 중복 특성

RAID Level 0 + Level 1 방식도 존재


7) 물리적 보안

시설 위치 선정, 데이터센터 위치 선정 및 설계, 전력에 관한 설계 (정전 대비 등),
입구 통제(자물쇠, 생체인식 등), 온습도 등 환경고려 설계 

8) 디지털 포렌식 : 법정 제출용 디지털 증거를 수집하여 분석하는 기술
    CERT (컴퓨터 비상 대응 팀) : 한국인터넷진흥원 산하 인터넷침해대응센터 있음

9) KISA - ISMS 인증 : 한국인터넷진흥원에서 객관적 평가를 통해 인증하는 제도
심사 분야-> 정보보호 정책, 정보보호 조직, 외부자 보안, 정보자산 분류, 정보보호 교육 및 훈련,
인적보안, 물리적 보안, 시스템개발 보안, 암호통제, 접근통제, 운영 관리, 전자거래 보안, 보안사고 관리,
검토 모니터링 및 감사, 업무 연속성 관리

 인증취득 효과
- 피해사고 피해액 감소
- 정보자산 보호기술 및 정보보호를 위한 관리기술 향상
- 신뢰성 및 기업 이미지와 경쟁력 강화
- 정보보호 인식 제고


* 관련 법규

1) 개인정보 보호
   - 개인정보의 수집 이용의 동의
   - 개인정보의 수집 및 이용의 제한
   - 주민등록번호의 사용 제한
   - 개인정보의 제공 동
   - 개인정보 관리책임자 지정
   - 개인정보 누출 등의 통지 및 신고
   - 개인정보의 파기 
   - 개인정보 이용내역의 통지

2) 전자서명법
   - 공인인증서에 기초한 전자서명을 말한다.
   - 전자문서의 안전성와 신뢰성 확보를 위해 사용자 편익 증진
   - 공인인증기관, 공인인증서, 인증업무의 안전성 및 신뢰성 확보, 전자서명인증 정책의 추진
최상위 기관 : KISA,   공인인증기관 : 한국정보인증, 코스콤, 금융결제원, 한국전자인증, 한국무역정보통신

3) 개인정보 제공 동의 획득시 고지사항
- 개인정보의 이용목적
- 이용하는 개인정보의 항목
- 개인정보 보유 및 이용시간
- 동의 거부권이 있다는 사실 및 동의 거부에 따른 불이익 공지
- 변경사항이 있으면 다시 알리고 동의 받아야 함

4) 개인정보 유출 시 통지사항
- 유출된 개인정보의 항목
- 유출된 시점과 그 경위
- 유출로 인하여 발생할 수 잇는 피해 최소화 위해 정보주체가 할 수 있는 방법에 관한 정보
- 개인정보처리자의 대응조치 및 피해 구제절차
- 정보주체에게 피해가 발생한 경우 신고 등을 접수할 담당부서 및 연락처


 

2. 정보보호 정책 및 위험관리

Posted by ironmask84
2018. 2. 28. 23:52 컴퓨터공학/Security


* 정보보호 정책

1) 접근통제 (식별 -> 인증 -> 인가)  (권한부여, 직무분리, 최소권한 개념으로)

방법 : 패스워드 : 사전공격, 무차별 공격, Backdoor, 사회공학, 스니핑 등에 무력화
         i-PIN : 주민번호 저장안해도 되는 장점
         OTP : 분실시 악용, 배터리 방전 문제
         생체인증 : 높은 비용, 사용자 거부감

통합인증체계 : Kerberos ( 대칭암호 기법, 네트워크를 통한 키분배, 키분배센터 비용 발생)
                    SESAME (비밀키 분배를 공개키 암호화를 사용, 키관리 비용 감소)


2) 접근통제 보안 위협 및 대응책
  - 사전공격 : Password 암호화 저장 (salt 이용)
  - 사회공학 : 보안 인식 교육 필요
  - 피싱 : 스푸핑 이용
  - 스미싱 : SMS이용한 웹사이트 유인 -> 트로이 목마 S/W 설치 -> 개인정보 유출


3) 서버 보안 SW
  - 취약점 분석 도구 : Nessus, SATAN, SARA, nmap(포트 스캐닝)
  - 시스템 침입탐지 시스템 : Snort(실시간 트래픽 분석), TCP-wrapper(Unix 방화벽), Ipchain/IPtable(패킷필터링 방화벽)
  - 무결성 점검도구 : 시스템 백업(tar압축, Norton ghost), 파일무결성 점검 (tripwire, Fcheck, MD5 )
  - 스캔탐지 도구 : mscan(주요 취약점 스캔), sscan(네트워크 취약점 점검)


* 위험관리 ( 검토범위 -> 위험분석 -> 제약조건, 대책 선택 -> 위험 수용)

1) 개요 : 보안정책 -> 위험관리 -> 대응책 구현 -> 사후관리

2) 전체 위험 : 위협 X 취약점 X 자산
   잔여 위험 : 위협 X 취약점 X 자산 X 통제격차

3) 위험에 대한 대책
  - 위험 회피 : 다른 대안 선택, 위험이 실현되지 안도록
  - 위험 전이 : 보험회사 등 다른 개체로 전이 (비용 발생)
  - 위험 완화 : 화재 진압시스템, 방화벽 등 위험 수준 제거 및 감소
  - 위험 수용 : 비용대비 효과를 고려하여, 비즈니스 목적상 수용

4) 위험 분석
-> 정보기술 보안관리를 위한 필수과정, 위험관리 중 80% 이상 비중
    측정된 위험이 허용가능한 수준인지 아닌지 판단할 수 있는 근거 제공
    보안 비용이 효과적이고 적당한지 확인

--> 자산식별, 자산가치/의존도 평가, 기존 보안 대책 평가, 취약성 평가, 위협 평가

--> 수준에 따라 복잡하고 시간 및 인력소모가 크므로 환경에 맞는 분석 수준 선택 필요


5) NIST의 초기분석 모델

범위/한계/방법론 결정 -> 자산의 식별 및 가치선정 -> 위협의 식별 및 발생가능성 결정 -> 위험의 측정
--> 보안대책 선택 -> 보안대책 구현 및 시험 -> 잔여위험 수용

6) 자산의 식별 : 민감하고 중요한 데이터 더 잘보호하기 위해
-> public, Internal use only,           Unclseeified, classfied


7) 정성적 위험분석 (구성요소 손실에 대해 숫자, 판단)
   1) 설문지 
   2) 델파이 기법
   3) 매트릭스
   4) 시나리오 법
   5) 순위결정법


8. 정량적 위험요소(위험에 대해 숫자나 금액으로 객적으로 분석)

  - 자산에 가치 부여
  - 각각의 위협에 대한 점재적 손실 계산
  - 위협 분석의 수행
  - 개별 위협들마다 전체 손실 예상액 도출 (ALE = ARO X SLE)

1) 과가자료 분석법 : 자료가 많아야 정확도는 올라감

2) 수학공식 접근법 : 과거자료가 적을 때 사용

3) 확률분포법 : 미지의 사건 추정

4) 점수법 : 위험발생 요인에 가중치를 두어 위험을 측정

 

안드로이드 리소스 정책 #4 - 관리 및 방법 편

Posted by ironmask84
2016. 4. 28. 10:24 나는 프로그래머다!/Java & Android


앞서 안드로이드 플랫폼에서 리소스에 따른 정책에 대해 공유드렸습니다.

이번엔 그러한 정책에 따른 해상도별 관리를 어떻게 하는 것이 좋을지에 대해 공유 드립니다.


이번에도 이미 잘 정리해놓으신 분들의 글을 좀 퍼왔습니다. (http://arabiannight.tistory.com/entry/293 펌)

아직 앱 개발 초보라 모르는 것이 많아서 ㅠㅠ..


사실 안드로이드 플랫폼을 탑재한 모든 기기(모바일 폰, 태블릿 등등)에 대해 해상도를 최적으로 맞추기는 불가능한 수준입니다. 그래서 최대한 여러 해상도를 커버하기 위한 방법에 대해 생각해보면 아래와 같습니다.


[범용 해상도 맞추는 법]

1) 해상도별 폴더를 만들어라.

-> 안드로이드 단말만 수천개 이상, 현실적으로 불가능.

-> 타겟 단말을 지정해서 개발 해라. 


[범용 해상도를 최대한 고려한 작업 방법]

1) match_parent를 잘 활용 하라.

2) weight를 사용하라.

3) RelativeLayout을 사용 하라.

-> align, parent, below, above 등의 속성를 사용하라.

4) dp값을 활용하라.

5) 나인패치를 활용하라.

6) 통이미지라면 큰 이미지를 사용해서 작은 화면에 적용 하라.

7) Scrollview를 잘 활용하라.


나인패치 관련
개념 :  http://blog.naver.com/purplestudiogames/220605836258 참고

적용 :  http://bcho.tistory.com/1059 참고