- 버전
- 다운로드 1463
- 파일 크기 18.66 MB
- 파일 수 1
- 생성 날짜 2021년 4월 28일
- 마지막 업데이트 2024년 1월 23일
주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(2021.04)
주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(2021.04)입니다.
업무에 참고하시기 바랍니다.
[개요]
ㅁ 추진배경
본 가이드라인은 기술적 취약점 분석·평가 항목별 점검 방법의 이해를 돕기 위해 발간되었습니다.
- 본 가이드는 기술적 취약점 분석·평가 항목별 점검 방법의 이해를 돕기 위해 발간된 것으로, 수록된 점검 방법은 취약점 분석·평가 수행 중 활용할 수 있는 참조의 대상일뿐, 절대적이지 않습니다. 더욱이 점검 대상의 세부 버전, 패치 내용 등에 따라 점검 방법은 언제든지 변경될 수 있습니다. 따라서 본 가이드에 수록된 내용 이외에도 다양한 점검 방법을 사용하여 취약점 분석평가를 수행하시기 바랍니다.
ㅁ 적용 대상
취약점 분석·평가 수행자
- 본 가이드의 수록된 판단기준은 일반적으로 통용되는 권고사항으로, 양호 혹은 취약을 가르는 실제 판단기준은 각 주요정보통신기반시설 현업에 적용되고 있는 다양한 정책 및 운용 상황을 고려하여 취약점 분석·평가 수행자가 최종적으로 결정해야 합니다. 예를 들어 본 가이드에 수록된 판단기준에 의하여 취약판단을 받게 되어도 그 위험을 부담할 수 있는 합당한 보안조치와 근거를 수반하고 있다면 양호로 판단할 수 있습니다.
- 본 가이드를 교육기관 등에서 교육 자료로 활용하는 것을 권장하지 않습니다.
- 본 가이드에 수록된 점검 및 조치 사례는 시스템 유형별로 다음(표. 분야별 점검대상 테스트 세부 버전) 버전에서 실증 되었습니다.
[목차]
I. Unix 서버
-
- 계정 관리
- 파일 및 디렉터리 관리
- 서비스 관리
- 패치 관리
- 로그 관리
II. 윈도우즈 서버
-
- 계정 관리
- 서비스 관리
- 패치 관리
- 로그 관리
- 보안 관리
- DB 관리
III. 보안장비
-
- 계정 관리
- 접근 관리
- 패치 관리
- 로그 관리
- 기능 관리
Ⅳ. 네트워크장비
-
- 계정 관리
- 접근 관리
- 패치 관리
- 로그 관리
- 기능 관리
Ⅴ. 제어시스템
-
- 계정 관리
- 서비스 관리
- 패치 관리
- 네트워크 접근통제
- 물리적 접근통제
- 보안위협 탐지
- 복구대응
- 보안 관리
- 교육훈련
Ⅵ. PC
-
- 계정 관리
- 서비스 관리
- 패치 관리
- 보안 관리
Ⅶ. DBMS
-
- 계정 관리
- 접근 관리
- 옵션 관리
- 패치 관리
- 로그 관리
Ⅷ. Web(웹)
-
- 버퍼 오버플로우
- 포맷스트링
- LDAP 인젝션
- 운영체제 명령 실행
- SQL 인젝션
- SSI 인젝션
- XPath 인젝션
- 디렉터리 인덱싱
- 정보 누출
- 악성 콘텐츠
- 크로스사이트 스크립팅
- 약한 문자열 강도
- 불충분한 인증
- 취약한 패스워드 복구
- 크로스사이트 리퀘스트 변조(CSRF)
- 세션 예측
- 불충분한 인가
- 불충분한 세션 만료
- 세션 고정
- 자동화 공격
- 프로세스 검증 누락
- 파일 업로드
- 파일 다운로드
- 관리자 페이지 노출
- 경로 추적
- 위치 공개
- 데이터 평문 전송
- 쿠키 변조
Ⅸ. 이동통신
-
- 운영 관리
Ⅹ. 클라우드
-
- 접근통제
- 보안 관리
※ 해당 가이드라인은 KISA 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/)법령·가이드라인에서 확인할 수 있습니다.
※ 출처: https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1#fnPostAttachDownload
※ 더 많은 자료 확인하러 가기
다운로드
