[한국인터넷진흥원][정보보호] 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 (2021.04)

안녕하세요. 황컴플라이언스 입니다.

[한국인터넷진흥원][정보보호] 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 (2021.04) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드

○ 발행일 : 2021년 04월

○ 주관부처 : 한국인터넷진흥원, 과학기술정보통신부

---

[개요]

□ 추진배경

• 본 가이드는 기술적 취약점 분석·평가 항목별 점검 방법의 이해를 돕기 위해 발간된 것으로, 수록된 점검 방법은 취약점 분석·평가 수행 중 활용할 수 있는 참조의 대상일 뿐, 절대적이지 않습니다. 더욱이 점검 대상의 세부 버전, 패치 내용 등에 따라 점검 방법은 언제든지 변경될 수 있습니다. 따라서 본 가이드에 수록된 내용 이외에도 다양한 점검 방법을 사용하여 취약점 분석평가를 수행하시기 바랍니다.

---

주요정보통신기반시설 기술적취약점 분석 평가 방법 상세가이드.pdf

18.66MB

주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드 (2021.03) : 한국인터넷진흥원

---

□ 적용 대상

취약점 분석 · 평가 수행자

• 본 가이드의 수록된 판단기준은 일반적으로 통용되는 권고사항으로, 양호 혹은 취약을 가르는 실제 판단기준은 각 주요정보통신기반시설 현업에 적용되고 있는 다양한 정책 및 운용 상황을 고려하여 취약점 분석·평가 수행자가 최종적으로 결정해야 합니다. 예를 들어 본 가이드에 수록된 판단기준에 의하여 취약판단을 받게 되어도 그 위험을 부담할 수 있는 합당한 보안조치와 근거를 수반하고 있다면 양호로 판단할 수 있습니다.

---

[목차]

Ⅰ. Unix 서버

• 계정 관리
• 파일 및 디렉터리 관리
• 서비스 관리
• 로그 관리

Ⅱ. 윈도우즈 서버

• 계정 관리
• 서비스 관리
• 패치 관리
• 로그 관리
• 보안 관리
• DB 관리

Ⅲ. 보안장비

• 계정 관리
• 접근 관리
• 패치 관리
• 로그 관리
• 기능 관리

Ⅳ. 네트워크 장비

• 계정 관리
• 접근 관리
• 패치 관리
• 로그 관리
• 기능 관리

Ⅴ. 제어시스템

• 계정 관리
• 서비스 관리
• 패치 관리
• 네트워크 접근통제
• 물리적 접근통제
• 보안위협 탐지
• 복구대응
• 보안 관리
• 교육훈련

Ⅵ. PC

• 계정 관리
• 서비스 관리
• 패치 관리
• 보안 관리

Ⅶ. DBMS

• 계정 관리
• 접근 관리
• 옵션 관리
• 패치 관리
• 로그 관리

Ⅷ. Web(웹)

• 버퍼 오버플로우
• 포맷스트링
• LDAP 인젝션
• 운영체제 명령 실행
• SQL 인젝션
• SSI 인젝션
• XPath 인젝션
• 디렉터리 인덱싱
• 정보 누출
• 악성 콘텐츠
• 크로스사이트 스크립팅
• 약한 문자열 강도
• 불충분한 인증
• 취약한 패스워드 복구
• 크로스사이트 리퀘스트 변조(CSRF)
• 세션 예측
• 불충분한 인가
• 불충분한 세션 만료
• 세션 고정
• 자동화 공격
• 프로세스 검증 누락
• 파일 업로드
• 파일 다운로드
• 관리자 페이지 노출
• 경로 추적
• 위치 공개
• 데이터 평문 전송
• 쿠키 변조

Ⅸ. 이동통신

• 운영 관리

Ⅹ. 클라우드

• 접근통제
• 보안 관리

---

※ 해당 매뉴얼은 KISA 한국인터넷진흥원 홈페이지 법령·가이드라인 메뉴에서 확인할 수 있습니다.

※ 바로 이동하시려면 여기를 클릭해주세요.

KISA 한국인터넷진흥원

※ 더 많은 자료 찾아보기

황컴플라이언스의 공간