정보보증

Information assurance

정보보증(IA)은 정보의 이용, 처리, 저장, 전송과 관련된 정보를 보장하고 리스크를 관리하는 관행이다.정보보장은 사용자 데이터의 무결성, 가용성, 신뢰성, 거부감기밀성의 보호를 포함한다.[1]IA는 디지털 보호뿐만 아니라 물리적 기법도 포괄한다.이러한 보호는 물리적 및 전자적 형태뿐만 아니라 이동 중인 데이터에 모두 적용된다. IA는 정보 보안의 상위 집합(즉, 포괄적 용어) 및 정보 위험 관리의 비즈니스 결과로서 가장 잘 생각되고 있다.

개요

McCumber Cube: 일반적인 정보 보장 설계 중 하나

정보보증(IA)은 올바른 정보를 적시에 처리, 저장, 전송하는 과정이다.[1]IA는 보안 통제의 생성과 적용보다는 정보 및 관련 시스템의 비즈니스 수준 및 전략적 리스크 관리와 관련된다.IA는 정보 리스크 관리, 신뢰 관리, 탄력성, 적절한 아키텍처, 시스템 안전성, 보안 등의 활용을 통해 비즈니스에 이익을 주기 위해 사용되며, 이는 인가된 사용자들에게만 정보의 효용성을 높이고, 이를 감소시킨다.따라서 IA 실무자들은 악성 해커와 코드(예: 바이러스)에 대한 방어 외에 개인정보 보호, 규제 및 표준 준수, 감사, 업무 연속성, 재해 복구 등의 기업 지배구조 문제를 정보 시스템과 관련되는 것으로 간주한다.또한 IA는 컴퓨터공학 외에도 사업, 회계, 사용자 경험, 사기검사, 법의학, 경영학, 시스템공학, 보안공학, 범죄학 등의 전문지식이 필요한 학제간 분야다.

진화

통신망의 성장과 함께 네트워크에 대한 의존도도도 나타나는데, 이것은 지역사회를 중요한 서비스를 방해, 저하 또는 파괴할 수 있는 사이버 공격에 취약하게 만든다.[2]1950년대부터 정보보장의 역할과 이용이 커지고 진화해 왔다.초기 정보 보증에는 데이터의 백업만 포함되었다.[3]그러나 일단 정보량이 증가하면 정보보증을 하는 행위가 자동화되기 시작하여 운영자의 개입이 줄어들어 즉석 백업을 만들 수 있게 되었다.[3]정보보증을 위한 마지막 주요 개발은 클라우드 컴퓨팅의 사용뿐만 아니라 SAN, NAS와 같은 기술을 통한 데이터 처리 및 저장을 위한 분산 시스템의 구현이다.[4][5][3]이 세 가지 주요 정보 개발은 침입을 막는 데 최초로 사용된 정보 기술, 침입을 탐지하는 데 사용되는 정보 기술, 침입을 탐지하는 데 사용되는 정보 기술, 생존성을 위한 정보 기술 3세대와 일치한다.[6][7]정보보장은 자유롭고 동등한 아이디어 교환을 허용하기 위한 삶의 모든 분야의 협력적인 노력이다.[8]

기둥

정보 보장은 가용성, 무결성, 인증, 기밀성거부감의 다섯 가지 요소 사이에 구축된다.[9]이러한 기둥은 시스템을 보호하는 동시에 효율적으로 서비스를 제공할 수 있도록 고려된다. 그러나 이들 기둥은 서로 독립적으로 작용하지 않고 오히려 다른 기둥의 목표를 방해한다.[9]이러한 정보보장의 기둥이 서서히 바뀌어 사이버보안의 기둥이 되었다.관리자로서 정보 시스템에 대해 원하는 결과를 얻기 위해서는 서비스 측면과 프라이버시의 균형을 맞추기 위해 당신이 원하는 기둥을 강조하는 것이 중요하다.

인증

인증이란 정보시스템 내에서 전송, 발신자 또는 프로세스의 유효성을 검증하는 것을 말한다.[10]인증은 수신자에게 데이터 송신자의 유효성과 그들의 메시지의 유효성에 대한 신뢰를 제공한다.[9]인증확인을 강화하는 많은 방법들이 있는데, 주로 세 가지 주요 방법으로 세분화되는데, 개인의 이름, 주소 전화 번호, 키 토큰에 대한 액세스 또는 비밀번호와 같은 알려진 정보와 같은 개인 식별 가능 정보들이다.[11]

무결성

무결성은 정보를 무단 변경으로부터 보호하는 것을 말한다.[3]정보 무결성의 목표는 데이터가 전체 수명 동안 정확하도록 보장하는 것이다.[12][13]사용자 인증은 정보 무결성의 중요한 요소다.[9]정보 무결성은 정보 교환의 끝 사이에 존재하는 신뢰도 수의 함수다.[13]정보 무결성 위험이 완화되는 한 가지 방법은 중복 칩과 소프트웨어 설계를 사용하는 것이다.[14]인증 실패는 허가받지 않은 당사자가 콘텐츠를 변경할 수 있기 때문에 정보 무결성에 위험을 초래할 수 있다.예를 들어, 병원에 부적절한 비밀번호 정책이 있는 경우, 허가받지 않은 사용자는 환자에게 의약품 전달을 통제하는 정보 시스템에 접근할 수 있으며, 특정 환자의 손상으로 치료 과정을 변경할 위험이 있다.[13]

유용성

가용성의 기둥은 인가된 개인으로부터 회수하거나 수정할 데이터의 보존을 말한다.스토리지 시스템 또는 채널 신뢰성의 증가를 통해 높은 가용성이 보존된다.[9]정보 가용성의 침해는 정전, 하드웨어 고장, DDOS 등으로 인해 발생할 수 있다.고가용성의 목표는 정보에 대한 접근을 보존하는 것이다.정보의 가용성은 백업 전력, 예비 데이터 채널, 오프 사이트 기능 및 연속 신호의 사용으로 강화될 수 있다.[13]

기밀성

기밀성은 본질적으로 진실성의 반대다.기밀성은 누가 데이터에 접근할 수 있는지를 보호하는 보안 조치로서, 정보에 접근할 수 있는 사람을 보호함으로써 이루어진다.[9]이것은 무결성이 정보를 변경할 수 있는 사람을 보호하는 것이기 때문에 무결성과는 다르다.기밀성은 종종 데이터의 암호화와 스테가노그래피의 사용으로 보장된다.[3]기밀성은 미국 내[15] NATO 정보 보증 기밀과 같은 국제 사업에서 정보의 기밀성을 보장하기 위해 HIPAA 및 의료 사업자의 보안 정책 정보 라벨링필요성-알고 있는 규정을 따라야 하는 것으로 분류 및 정보 우위 내에서 볼 수 있다.[13]

부인하지 않음

부정은 데이터의 출처에 충실해야 하는 무결성으로, 조치가 발생했다는 가능한 부정을 방지한다.[3][1]비거부권이 증가하면 정보가 특정 출처에서 나온다는 사실을 부인하기가 더욱 어려워진다.즉, 데이터의 출처/정확성에 이의를 제기할 수 없도록 만드는 것이다.부인하지 않는 것은 일반적으로 중간 공격이나 피싱을 통해 데이터가 전송되는 동안 데이터 무결성을 감소시키는 것을 포함한다.[16]

기둥의 상호작용

앞에서 설명한 바와 같이, 기둥은 서로 독립적으로 상호 작용하지 않으며, 일부 기둥은 다른 기둥의 기능에 방해되거나 다른 기둥을 들어올리는 반대의 경우에 방해된다.[9]예를 들어 정보의 가용성 증가는 무결성, 인증 및 기밀성의 세 가지 다른 축의 목표와 직접적으로 상충된다.[9]

과정

정보보증 프로세스는 일반적으로 보호할 정보자산의 열거 및 분류로 시작한다.다음으로 IA 실무자는 그러한 자산에 대한 위험 평가를 수행할 것이다.[17]정보자산의 취약성은 자산을 이용할 수 있는 위협을 열거하기 위해 결정된다.그런 다음 평가에서는 자산의 취약성을 이용하는 위협의 확률과 영향을 고려하며, 일반적으로 자산의 이해관계자에 대한 원가로 측정한다.[18]위협의 영향과 발생확률의 산출물의 합은 정보자산에 대한 총위험이다.

위험 평가가 완료된 후 IA 실무자는 위험 관리 계획을 수립한다.이 계획은 위험을 완화, 제거, 수용 또는 이전하는 것을 포함하는 대책을 제안하고 위협에 대한 예방, 탐지 및 대응을 고려한다.NIST RMF, Risk IT, CobiT, PCI DSS 또는 ISO/IEC 27002와 같은 표준 기관이 발행한 프레임워크는 개발을 안내할 수 있다.대응책에는 방화벽안티바이러스 소프트웨어와 같은 기술 도구, 정기적인 백업 및 구성 강화, 보안 인식에 대한 직원 교육 또는 전담 컴퓨터 비상 대응 팀(CERT) 또는 컴퓨터 보안 사고 대응 팀(C)으로 인력을 구성하는 것과 같은 통제가 필요한 정책 및 절차 등이 포함될 수 있다.SIRT). 각 대책의 비용과 편익을 신중하게 검토한다.따라서 IA 실무자는 가능한 모든 위험을 제거하는 것이 아니라 가장 비용 효율적인 방법으로 위험을 관리하려고 한다.[19]

위험관리계획이 실행된 후에는 종종 공식적인 감사를 통해 시험하고 평가한다.[17]IA 과정은 리스크 평가와 리스크 관리 계획이 그 완전성과 효과성에 대해 수집된 데이터를 바탕으로 주기적으로 수정·개선되는 것을 의미한다는 점에서 반복적인 과정이다.[2]

정보보증을 하는 두 가지 메타기술이 존재한다: 감사와 위험성 평가.[17]

비즈니스 리스크 관리

비즈니스 리스크 관리는 리스크 평가, 리스크 완화, 평가 및 평가의 세 가지 주요 프로세스로 나뉜다.[20]정보보장은 조직이 비즈니스 리스크 관리를 구현하기 위해 사용하는 방법론 중 하나이다.「BRICK」프레임워크와 같은 정보보안 정책의 활용을 통해서.[1]또한 비즈니스 리스크 관리 또한 HIPAA[21]정보 보증과 같은 정보 공개 및 보안 기업 전략과 함께 훈련하며, 인식도, 고위 경영진 참여와 지원을 통해서 및 통신 allowinintra-organizational 정렬될 수 있고 국제 연방 법에 대한 준수에 발생한다.fg내부 통제 및 비즈니스 리스크 관리 [22]강화의 많은 보안 임원들은 기업들이 지식재산 보호, 잠재적 데이터 유출 방지, 사용자 자신으로부터 보호하기 위해 정보보안에 의존하고 있다.[18]정보보증을 사용하는 것은 기밀성, 부인하지 않음 등과 같은 특정 기둥의 성질이 상충되기 때문에 보장이 좋은 반면, 보안의 증가는 종종 속도를 희생시킨다.[9][18]이와 같이, 사업 모델에서 정보보증을 활용하면 공공 부문과 민간 부문 모두에서 신뢰할 수 있는 경영 의사결정, 고객 신뢰, 비즈니스 연속성 및 양호한 거버넌스가 개선된다.[23]

표준 조직 및 표준

정보보안 실천요강, 정책, 절차 등에 관한 표준을 발행하는 국제·국가의 기구가 다수 존재한다.영국의 경우, 여기에는 정보보증자문회의와 정보보증협력단이 포함된다.[4]

참고 항목

참조

메모들
  1. ^ a b c d Sosin, Artur (2018-04-01). "HOW TO INCREASE THE INFORMATION ASSURANCE IN THE INFORMATION AGE". Journal of Defense Resources Management. 9 (1): 45–57. ISSN 2068-9403.
  2. ^ a b McConnell, M. (April 2002). "Information assurance in the twenty-first century". Computer. 35 (4): supl16–supl19. doi:10.1109/MC.2002.1012425. ISSN 0018-9162.
  3. ^ a b c d e f Cummings, R. (December 2002). "The evolution of information assurance". Computer. 35 (12): 65–72. doi:10.1109/MC.2002.1106181. ISSN 0018-9162.
  4. ^ a b Pringle, Nick; Burgess, Mikhaila (May 2014). "Information assurance in a distributed forensic cluster". Digital Investigation. 11: S36–S44. doi:10.1016/j.diin.2014.03.005.
  5. ^ Chakraborty, Rajarshi; Ramireddy, Srilakshmi; Raghu, T.S.; Rao, H.Raghav (July 2010). "The Information Assurance Practices of Cloud Computing Vendors". IT Professional. 12 (4): 29–37. doi:10.1109/mitp.2010.44. ISSN 1520-9202.
  6. ^ Luenam, P.; Peng Liu (2003). "The design of an adaptive intrusion tolerant database system". Foundations of Intrusion Tolerant Systems, 2003 [Organically Assured and Survivable Information Systems]. IEEE: 14–21. doi:10.1109/fits.2003.1264925. ISBN 0-7695-2057-X.
  7. ^ Liu, Peng; Zang, Wanyu (2003). "Incentive-based modeling and inference of attacker intent, objectives, and strategies". Proceedings of the 10th ACM Conference on Computer and Communication Security - CCS '03. New York, New York, USA: ACM Press: 179. doi:10.1145/948109.948135. ISBN 1-58113-738-9.
  8. ^ Stahl, Bernd Carsten (July 2004). "Responsibility for Information Assurance and Privacy: A Problem of Individual Ethics?". Journal of Organizational and End User Computing. 16 (3): 59–77. doi:10.4018/joeuc.2004070104. ISSN 1546-2234.
  9. ^ a b c d e f g h i Wilson, Kelce S. (July 2013). "Conflicts Among the Pillars of Information Assurance". IT Professional. 15 (4): 44–49. doi:10.1109/mitp.2012.24. ISSN 1520-9202.
  10. ^ Sadiku, Matthew; Alam, Shumon; Musa, Sarhan (2017). "Information Assurance Benefits and Challenges: An Introduction". procon.bg. Retrieved 2020-11-28.
  11. ^ San Nicolas-Rocca, Tonia; Burkhard, Richard J (2019-06-17). "Information Security in Libraries". Information Technology and Libraries. 38 (2): 58–71. doi:10.6017/ital.v38i2.10973. ISSN 2163-5226.
  12. ^ Boritz, J. Efrim (December 2005). "IS practitioners' views on core concepts of information integrity". International Journal of Accounting Information Systems. 6 (4): 260–279. doi:10.1016/j.accinf.2005.07.001.
  13. ^ a b c d e Schou, C.D.; Frost, J.; Maconachy, W.V. (January 2004). "Information assurance in biomedical informatics systems". IEEE Engineering in Medicine and Biology Magazine. 23 (1): 110–118. doi:10.1109/MEMB.2004.1297181. ISSN 0739-5175. PMID 15154266.
  14. ^ Yan, Aibin; Hu, Yuanjie; Cui, Jie; Chen, Zhili; Huang, Zhengfeng; Ni, Tianming; Girard, Patrick; Wen, Xiaoqing (2020-06-01). "Information Assurance Through Redundant Design: A Novel TNU Error-Resilient Latch for Harsh Radiation Environment". IEEE Transactions on Computers. 69 (6): 789–799. doi:10.1109/tc.2020.2966200. ISSN 0018-9340.
  15. ^ Hanna, Michael; Granzow, David; Bolte, Bjorn; Alvarado, Andrew (2017). "NATO Intelligence and Information Sharing: Improving NATO Strategy for Stabilization and Reconstruction Operations". Connections: The Quarterly Journal. 16 (4): 5–34. doi:10.11610/connections.16.4.01. ISSN 1812-1098.
  16. ^ Chen, Chin-Ling; Chiang, Mao-Lun; Hsieh, Hui-Ching; Liu, Ching-Cheng; Deng, Yong-Yuan (2020-05-08). "A Lightweight Mutual Authentication with Wearable Device in Location-Based Mobile Edge Computing". Wireless Personal Communications. 113 (1): 575–598. doi:10.1007/s11277-020-07240-2. ISSN 0929-6212.
  17. ^ a b c Such, Jose M.; Gouglidis, Antonios; Knowles, William; Misra, Gaurav; Rashid, Awais (July 2016). "Information assurance techniques: Perceived cost effectiveness". Computers & Security. 60: 117–133. doi:10.1016/j.cose.2016.03.009.
  18. ^ a b c Johnson, M. E.; Goetz, E.; Pfleeger, S. L. (May 2009). "Security through Information Risk Management". IEEE Security Privacy. 7 (3): 45–52. doi:10.1109/MSP.2009.77. ISSN 1558-4046.
  19. ^ Singh, R.; Salam, A.F. (May 2006). "Semantic information assurance for secure distributed knowledge management: a business process perspective". IEEE Transactions on Systems, Man, and Cybernetics - Part A: Systems and Humans. 36 (3): 472–486. doi:10.1109/TSMCA.2006.871792. ISSN 1083-4427.
  20. ^ Knapp, Kenneth J., ed. (2009). Cyber Security and Global Information Assurance. IGI Global. doi:10.4018/978-1-60566-326-5. ISBN 978-1-60566-326-5.
  21. ^ Park, Insu; Sharman, Raj; Rao, H. Raghav (2015-02-02). "Disaster Experience and Hospital Information Systems: An Examination of Perceived Information Assurance, Risk, Resilience, and HIS Usefulness". MIS Quarterly. 39 (2): 317–344. doi:10.25300/misq/2015/39.2.03. ISSN 0276-7783.
  22. ^ McFadzean, Elspeth; Ezingeard, Jean-Noël; Birchall, David (2011-04-08). "Information Assurance and Corporate Strategy: A Delphi Study of Choices, Challenges, and Developments for the Future". Information Systems Management. 28 (2): 102–129. doi:10.1080/10580530.2011.562127. ISSN 1058-0530.
  23. ^ Ezingeard, Jean-Noël; McFadzean, Elspeth; Birchall, David (March 2005). "A Model of Information Assurance Benefits". Information Systems Management. 22 (2): 20–29. doi:10.1201/1078/45099.22.2.20050301/87274.3. ISSN 1058-0530.
참고 문헌 목록
  • 데이터 암호화; 장궁대학교의 과학자들은 데이터 암호화를 목표로 한다.(2011, 5월)Information Technology Newsweekly, 149.2011년 10월 30일 ProQuest Computing에서 검색됨(문서 ID: 2350804731).
  • Stephenson (2010). "Authentication: A pillar of information assurance". SC Magazine. 21 (1): 55.
  • Cummings, Roger (2002). "The Evolution of Information Assurance" (PDF). Computer. 35 (12): 65–72. doi:10.1109/MC.2002.1106181.[영구적 데드링크]

외부 링크

문서화

소셜 미디어로 인해 정보 보증도 발전했다.