2014년 2월 27일 목요일

KIISC, 경량 고속 블록암호 LEA 구현 경진 대회 개최

http://www.kcryptoforum.or.kr/

전사 통합 계정 및 권한 관리 설계의 새로운 방향 - Positive Security Model

최근 들어 계정 및 권한 관리라는 아주 오래된 개념이 다시 새롭게 불러 일으켜야 겠다는 생각이 들었다. 실제 구현 가능한 수준에서 어찌 보면 새롭다기 보다는 당연한 설계 방향에 대해 내 스스로 정리해 보았다. 기본적으로는 계정 관리에 있어서도 Positive Security Model을 채택할 필요가 있다.

* 전사 통합 계정 및 권한 관리 설계의 새로운 방향

1. 모든 계정은 기본적으로 계정 잠금 상태를 유지하고 있어야 하며, 사용자에게 패스워드가 주어져서는 안 된다.

2. 모든 계정은 작업 요청서와 승인에 근거하여 허가된 시간 내에서는 계정 잠금 해제가 되어야 하며, 사용자에게 패스워드를 전달해 준다. 그러나 허가된 시간이 종료되면 다시 계정은 잠금 상태로, 패스워드는 변경되어야만 한다.

3. 허가된 시간 내라도, 출입 통제 시스템과 연계하여, 사용자가 출근 시에만 계정 잠금이 해제되어야 하고, 퇴근했을 때에는 계정 잠금되어야만 한다. 단, 사용자가 외근일 경우에는 예외 승인과 원격 접속 시스템과 연동하여 계정 잠금과 해제가 연동되도록 한다.

4. 사용자의 직무와 권한 뿐만 아니라, 사용자의 접근 위치, 사용 디바이스 종류 등에 따라 접근할 수 있는 시스템과 화면은 달라야 한다. 

5. 기본적으로 사용자의 모든 행위는 기록되고 모니터링되며, 실시간으로 분석되어 악의적인 행위가 보다 빨리 탐지되도록 한다. 

2014년 2월 26일 수요일

2014년 2월 25일 화요일

IBM Security X-Force Threat Intelligence Quarterly - 1Q 2014 (영문판)

IBM 보안 사업부는 시시각각 변화하는 전 세계 보안 동향을 보다 빠르게 전달하기 위해 1년에 2회 발행하던 동향 보고서를 매 분기마다 발행하여 보다 빠른 보안 통찰을 전달하는데 최선의 노력을 다할 것입니다. 이에 그 첫 번째 보고서인 IBM X-Force Threat Intelligence Quarterly - 1Q 2014 (영문판)을 공개합니다. ^^b

http://public.dhe.ibm.com/common/ssi/ecm/en/wgl03045usen/WGL03045USEN.PDF

2014년 2월 20일 목요일

금융위원회와 금융감독원이 함께하는 "금융권 개인정보보호 캠페인" - 내 금융정보 지키기

금융위원회와 금융감독원이 함께하는 "금융권 개인정보보호 캠페인" - 내 금융정보 지키기

http://www.fsa.or.kr/flash_2014.jsp

KISBIC, 정보보안 아이디어 공모전

KISBIC, 정보보안 아이디어 공모전

http://211.115.80.197/kisbic/main.web

SecurityPlus 프로젝트 참여 자원봉사 인력 모집

SecurityPlus 프로젝트 참여 자원봉사 인력 모집

- 주제: 스마트 그린 ICT 강화 위한 사이버 보안 제안.
- 모집 부문: 리서치, 사이버 보안, 번역(한글 -> 영문), 제안서 작성
* 본 사업으로 인한 수익은 전액 SecurityPlus에 기부됩니다.
참여를 원하시는 분은 helpdesk@securityplus.or.kr 로 참여 의사, 본인 간략 소개와 연락처 등을 밝혀 주시기 바랍니다.
많은 관심과 참여 부탁합니다.

감사합니다.

2014년 2월 19일 수요일

ISACA, 2014년 CISM Review Manual(한글판) 출간 안내

안녕하세요, ISACA 회원 여러분.

2014 CISM Review Manual(한글판)이 많은 분들의 도움으로 번역출간 되었습니다.

CISM Review Manual CISM 자격 시험 응사자 여러분들께 최신의 정보 및 참고 자료를 제공하여 시험 준비 및 학습을 도와 드리며, 정보보호의 관리, 설계, 감독 및 평가 분야에 종사하시는 전문가 여러분들께 참고자료로 활용되고 있습니다.

2014 CISM Review Manual(한글판)에 많은 관심 부탁드립니다.

감사합니다.



도서명
구성
2014 CISM Review Manual(한글판)

판매가격
- 일반가격 : 70,000
- 회원가격 : 50,000
1장 – 정보보호 거버넌스(24%)
 정보보호 관리자가 효과적인 정보보호 거버넌스를 위한 광범위한 요구사항, 정보보호 전략과 이를 구현하기 위한 실행 계획을 개발하는데 필요한 요소 및 활동 등을 이해하도록 함

2
장 – 정보 위험관리와 컴플라이언스(33%)
정보보호 관리자가 비즈니스 필요를 충족시키기 위한 도구이자 이러한 필요를 지원하는 보안관리 프로그램을 개발하기 위한 도구로서, 위험 관리의 중요성을 이해하도록 함

3
- 정보보호 프로그램의 개발 및 관리 (25%)
정보보호 관리자가 정보보호 전략을 구현하기 위해 프로그램을 수립하고 관리하고 유지하는데 필요한 광범위한 요구사항과 활동을 이해하도록 함

4
장 – 정보보호 사고관리(18%)
 정보보호 관리자가 조직의 정보 자산 및/혹은 운영 능력에 부정적인 영향을 미칠 수 있는 예상치 못한 사건을 효과적으로 식별하고, 분석하고, 관리하고, 대응하는데 필요한 지식과 이해를 가지도록 함

구직자, 재직자를 위한 다양한 정보보안 교육(무료/일부 비용) 프로그램 모음











그외 다양한 직무능력향상과 구직 위한 교육 프로그램 적극 활용하시기 바랍니다. http://www.hrd.go.kr/jsp/HRDP/main/index.jsp 

2014년 2월 14일 금요일

MS Internet Explorer 원격코드 실행 신규 취약점 주의 권고

MS Internet Explorer 원격코드 실행 신규 취약점 주의 권고

http://www.krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=20508

제1회 SUA 호남지부 보안 컨퍼런스 안내

제1회 SUA 호남지부 보안 컨퍼런스

1. 일시: 2014년 2월 22일 토요일 오전10시30분부터
2. 장소: 조선대 전자정보 공과대학 3층 IT홀
3. 사전등록: https://docs.google.com/forms/d/1WYdIqSqpKMTo5etFBlg4c5HWSN_Gy8niWj4jgCJCcmw/viewform
4. 발표주제
   - Rogue AP
   - 최근 보안이슈
   - 모바일 어플리케이션 변조
   - MS08-067 NET API 취약점 사용하기
   - 피씽사이트

What's new in ISO 27001 2013 revision: How to make the transition from ISO 27001 2005 revisio

What's new in ISO 27001 2013 revision: How to make the transition from ISO 27001 2005 revision

http://www.iso27001standard.com/en/webinars/whats-new-in-iso-27001-2013-revision-free-webinar?utm_source=infusionsoft&utm_medium=webinar-update&utm_campaign=webinar-update

OWASP Xenotix XSS Exploit Framework 5 Released!

OWASP Xenotix XSS Exploit Framework 5 Released!

https://www.owasp.org/index.php/OWASP_Xenotix_XSS_Exploit_Framework

Framework for Improving Critical Infrastructure Cybersecurity

Framework for Improving Critical Infrastructure Cybersecurity

http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf

2014년 2월 3일 월요일

NSHC, 2014 N Magazine 창간호

NSHC, 2014 N Magazine 창간호

http://www.nshc.net/wp/2014-n-magazine/

프로그래밍 공부가 필요하다면 꼭 한 번 둘러 보세요. ^^b

프로그래밍 공부가 필요하다면 꼭 한 번 둘러 보세요. ^^b

http://exercism.io/

2013 국내 정보보호산업 실태조사 결과보고서

2013 국내 정보보호산업 실태조사 결과보고서

https://www.facebook.com/download/230096653842060/2013%20survey%20for%20information%20security.pdf

Hakin9 Open Vol2 No6 1/2014 - KALI Linux

Hakin9 Open Vol2 No6 1/2014 - KALI Linux

https://www.facebook.com/download/640459402687272/Hakin9_OPEN_01_2014.pdf

ISACA, 2014년 CISA Review Manual(한글판) 출간 안내

ISACA, 2014년 CISA Review Manual(한글판) 출간 안내

http://www.isaca.or.kr/recom/r1.asp

Gartner, Magic Quadrant for Endpoint Protection Platforms Jan 2014

Gartner, Magic Quadrant for Endpoint Protection Platforms Jan 2014

http://www.gartner.com/technology/reprints.do?id=1-1PJIOBM&ct=140114&st=sb

보다 알기 쉬운 MS 윈도우즈 2012 보안 가이드

안녕하세요. SecurityPlus입니다.
정보보안을 사랑하는 전국 대학생 연합 커뮤니티인 S.U.A(SecurityPlus Union Academy)에서 윈도우즈 2012 운영체제 보안을 공부하면서 기존 보안 가이드라인을 취합, 분석, 보완하여, 보다 알기 쉬운 윈도우즈 2012 보안 가이드를 제작하였습니다. 이에 정식 배포하니, 운영체제 보안을 공부하시는 분들께는 부족하나마 시작하기 위한 교재로, 실무에서는 운영체제 보안 수준을 높이기 위한 가이드로 활용되길 바랍니다. 정보보호를 공부하는 학생들이 제작한 가이드인 만큼 부족한 점은 친절히 조언해 주시면 고맙겠습니다.
감사합니다. ^^

다운로드: https://www.facebook.com/download/386025274867758/SUA_Windows%202012%20Security%20Guide%20v1.0.pdf

보다 알기 쉬운 MS 윈도우즈 2008 보안 가이드

안녕하세요. SecurityPlus입니다.
정보보안을 사랑하는 전국 대학생 연합 커뮤니티인 S.U.A(SecurityPlus Union Academy)에서 윈도우즈 2008 운영체제 보안을 공부하면서 기존 보안 가이드라인을 취합, 분석, 보완하여, 보다 알기 쉬운 윈도우즈 2008 보안 가이드를 제작하였습니다. 이에 정식 배포하니, 운영체제 보안을 공부하시는 분들께는 부족하나마 시작하기 위한 교재로, 실무에서는 운영체제 보안 수준을 높이기 위한 가이드로 활용되길 바랍니다. 정보보호를 공부하는 학생들이 제작한 가이드인 만큼 부족한 점은 친절히 조언해 주시면 고맙겠습니다.
감사합니다. ^^

다운로드: https://www.facebook.com/download/429960813800969/SUA_Windows%202008%20Security%20Guide.pdf