달력

12

« 2019/12 »

  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  •  
  •  
  •  
  •  


 

소프트웨어에 주목 이유( 소프트웨어인가?)

·       소프트웨어는 암호, 접근제어, 프로토콜 만큼이나 중요합니다.

·       실제로 모든 정보보안은 소프트웨어에서 구현됩니다.

·       만약 소프트웨어가 공격받기 쉽다면 보안도 쉽게 뚫리게 됩니다.(암호알고리즘, 접근제어, 프로토콜등이 강력한 것과는 무관합니다.)

 

 


Posted by codedragon codedragon

댓글을 달아 주세요

   

Registry Quick Find Chart

   

   

목차

common locations in the Windows and Windows Internet-related registries where you can find data of forensic interest.

• NTUSER.DAT Information on page 2

• SAM Information on page 19

• SECURITY Information on page 21

• SOFTWARE Information on page 21

• SYSTEM Information on page 28

   

   

   

   

직접 다운받기

Registry_Quick_Find_Chart.pdf

 

Posted by codedragon codedragon

댓글을 달아 주세요

   

보안 소프트웨어

  • 소프트웨어 공학에서는 프로그램이 의도한 행위을 수행한다는 것을 보장하도록 노력
  • 보안 소프트웨어 공학에서는 의도한 행위을 수행하고 그 이외에는 수행하지 않도록 요구
  • 절대적으로 보안적인 소프트웨어는 불가능
  • 절대적인 보안도 거의 불가능
  • 위기를 어떻게 관리할 수 있을 것인가가 중요
  • 프로그램 결함은 의도하지 않은 것이 대부분이며 보안적 위험를 발생시킵니다.

   

   

주요 결함 3 항목

다른 많은 결함들이 발생할 수 있지만 가장 일반적인 3가지 결함 항목입니다.

   

  • 버퍼 오버플로우(스택 파괴)
  • 불완전 중재
  • 경주 상황

'Security > SecureCoding' 카테고리의 다른 글

소스코드 취약점 분석 방법  (0) 2015.03.21
SQL Injection-SQL 삽입공격 역사  (0) 2015.03.17
보안 소프트웨어  (0) 2015.03.14
프로그램 결함  (0) 2015.03.13
소프트웨어 보안 이슈  (0) 2015.03.12
Software 복잡도와 보안  (0) 2015.03.09
Posted by codedragon codedragon

댓글을 달아 주세요

   

   

프로그램 결함

  • 오류(error)는 프로그램을 오동작 하게 합니다.
  • 오류는 부정확한 상태를 야기합니다. -> 결점(fault)
    • 결점은 프로그램 내부로 한정됨
  • 결점은 실패(failure)를 야기하며 이로 인하여 시스템은 예상된 동작으로부터 멀어져 부정확한 동작을 수행하게 됩니다.
    • 실패는 외부에서 관찰됨

   

   

   

프로그램 결함 예

단계

설명

1

프로그램은 오류를 가지고 있습니다.

2

오류는 결점을 야기합니다. (내부적으로)

3

부정확한 내부 상태를 야기합니다.

4

만약, 결점이 발생하면 이는 실패를 야기할 수도 있습니다.

5

프로그램은 부정확한 동작을 수행하게 됩니다.(외부적으로)

이렇게 오류에서 야기되어 실패이어지는 일련의 용어들을 결함(flaw)으로 일반화 할 수 있습니다.

   

char array[10];

for(i = 0; i < 10; ++i)

    array[i] = 'A';

array[10] = 'B';

   

'Security > SecureCoding' 카테고리의 다른 글

SQL Injection-SQL 삽입공격 역사  (0) 2015.03.17
보안 소프트웨어  (0) 2015.03.14
프로그램 결함  (0) 2015.03.13
소프트웨어 보안 이슈  (0) 2015.03.12
Software 복잡도와 보안  (0) 2015.03.09
시큐어 코딩 관련 용어정의  (0) 2015.03.02
Posted by codedragon codedragon

댓글을 달아 주세요

소프트 웨어 보안 이슈

   

   

공격자 vs 정상 사용자

공격자

정상 사용자

  • 능동적으로 버그와 결함을 찾음
  • 나쁜 소프트웨어를 갈구
  • 잘못된 동작 발생을 유도하기 위해 노력
  • 나쁜 소프트웨어를 통하여 시스템을 공격
  • 버그와 결함을 사고로부터 발견
  • 나쁜 소프트웨어를 경시

하지만, 공존하는 방법을 배워야 합니다. 나쁜 소프트웨어도 운영하여야 합니다.

   

   

프로그램 결함 (비의도적) vs 악의적 소프트웨어 (의도적)

프로그램 결함 (비의도적)

악의적 소프트웨어 (의도적)

버퍼 오버플로우

불완전 중재

경주 상황

바이러스

트로이목마

멀웨어의 변종들

   

'Security > SecureCoding' 카테고리의 다른 글

보안 소프트웨어  (0) 2015.03.14
프로그램 결함  (0) 2015.03.13
소프트웨어 보안 이슈  (0) 2015.03.12
Software 복잡도와 보안  (0) 2015.03.09
시큐어 코딩 관련 용어정의  (0) 2015.03.02
SW 보안약점(Detail)  (0) 2015.03.01
Posted by codedragon codedragon

댓글을 달아 주세요

Software 복잡도

  • "복잡도는 보안의 적이다", Paul Kocher, Cryptography Research, Inc.
  • 현재 새로 개발되는 자동차는 아폴로 우주선을 달에 착륙시키는데 필요한 것보다 더 많은 LOC(Line Of Code)를 가지고 있습니다.

   

Paul Kocher, President and chief scientist, Cryptography Research, Inc

   

   

시스템 별 LOC(Line Of Code)

시스템

코드 라인수(LOC)

윈도우XP

40,000,000

넷스케이프

17,000,000

우주왕복선

10,000,000

보잉777

7,000,000

리눅스

1,500,000

   

   

코드와 버그 라인 수

일반적 예측

5 버그/1000 LOC

수학적 관찰

  • 일반적인 컴퓨터의 경우 100K 크기 실행파일당 3,000개 버그
  • 일반적으로 50개 버그/실행파일
  • 각 컴퓨터당 약 150,000개 버그 존재
  • 30,000 노드 네트워크는 45억개 버그 존재

       

  • 이들 중 10%만이 보안에 심각한 것이고 이들 중 10%만이 원격조정 된다고 가정할 경우에도 단지 450만개의 심각한 보안 결함이 존재합니다.

   

   

'Security > SecureCoding' 카테고리의 다른 글

프로그램 결함  (0) 2015.03.13
소프트웨어 보안 이슈  (0) 2015.03.12
Software 복잡도와 보안  (0) 2015.03.09
시큐어 코딩 관련 용어정의  (0) 2015.03.02
SW 보안약점(Detail)  (0) 2015.03.01
SW 보안약점 유형  (0) 2015.02.27
Posted by codedragon codedragon

댓글을 달아 주세요

   

동적 SQL(Dynamic SQL)

프로그램의 조건에 따라 SQL문이 달라지며 프로그램 실행 시점에 전체 쿼리문이 만들어져서 데이터베이스에 요청하는 SQL 쿼리문 형태

   

   

샌드박스(Sandbox) 기법

  • 어린이가 다치는 것을 방지하기 위해 만든 모래박스(Sandbox)에서 유래
  • JAVA가 지원하는 기본 보안 모델로
  • 외부에서 받은 프로그램을 JVM(Java Virtual Machine)이라는 보호된 영역 안에 격리시킨 뒤 동작시키는 방법으로 프로그램이 폭주하거나 악성 바이러스의 침투를 막을 수 있습니다.

   

   

서블릿(Servlet)

자바 서블릿은 자바를 사용하여 웹페이지를 동적으로 생성하는 서버 측 프로그램 혹은 그 사양

   

   

소프트웨어 개발보안

  • 소프트웨어 개발과정에서 개발자 실수, 논리적 오류 등으로 인한 소프트웨어에 내재된 보안취약점을 최소화하는 한편 해킹 등 보안위협에 대응할 수 있는 안전한 소프트웨어를 개발하기 위한 일련의 과정을 의미
  • 넓은 의미에서 소프트웨어 생명주기의 각 단계별로 요구되는 보안활동을 모두 포함하며,
  • 좁은 의미로는 SW 개발과정에서 소스코드를 작성하는 구현단계에서 보안취약점을 배제하기 위한 '시큐어코딩(Secure Coding)'을 의미

   

소프트웨어 보안약점/소프트웨어 보안취약점

  • 소프트웨어 결함, 오류 등으로 해킹 등 사이버공격을 유발할 가능성이 있는 잠재적인 보안 취약점

   

   

소프트웨어 보안약점 진단도구

개발과정에서 소스코드상의 소프트웨어 보안약점을 찾기 위하여 사용하는 도구

   

   

소프트웨어 보안약점 진단원

소프트웨어 보안약점이 남아있는지 진단하여 조치방안을 수립하고 조치결과 확인 등의 활동을 수행하는 자

   

   

스트러츠(Struts)

웹 개발을 단순화하는데 효과적인 오픈소스 프레임워크로

아파치 그룹에서 개발하여 제공하고 있습니다.

   

   

임계구역(Critical Section)

병렬컴퓨팅에서 둘 이상의 스레드가 동시에 접근해서는 안 되는 공유 자원(자료 구조 또는 장치)을 접근하는 코드

   

   

정적 SQL(Static SQL)

동적 SQL과 달리 프로그램 소스에 이미 쿼리문이 완성되어 고정되어 있는 쿼리문 형태.

   

   

해쉬함수(hash)

  • 주어진 원문에서 고정된 길이의 의사난수를 생성하는 연산기법
  • 해쉬함수를 통해 생성된 값을 '해쉬 값'이라고 합니다.
  • MD5, SHA, SHA-1, SHA-256 등의 알고리즘이 있습니다.

   

   

AES(Advanced Encryption Standard)

  • 미국 정부 표준으로 지정된 블록 암호 형식
  • 이전의 DES를 대체
  • 미국 표준 기술 연구소(NIST)가 5년의 표준화 과정을 거쳐 2001년 11월 26일에 연방 정보처리표준(FIPS 197)으로 발표

   

   

DES 알고리즘

  • DES(Data Encryption Standard)암호 알고리즘은 암호화 키와 복호화 키가 같은 대칭키 암호 알고리즘으로 64비트의 암호화 키를 사용
  • DES는 전수공격(Brute Force Attack)에 취약

   

   

HTTPS

  • Hypertext Transfer Protocol over Secure Socket Layer
  • 월드 와이드 웹(WWW) 통신 프로토콜인 HTTP의 보안이 강화된 버전

   

   

LDAP(Lightweight Directory Access Protocol)

TCP/IP 위에서 디렉터리 서비스를 조회하고 수정하는 응용 프로토콜

   

   

LOC

Line Of Code

   

   

개인키(Private Key)

  • 공개키는 공인된 인증기관에 의해 제공되는 키값으로서 이 공개키로부터 생성된 개인키와 함께 결합되어, 메시지 및 전자서명의 암복호화에 사용
  • 공개키를 사용하는 시스템을 공개키 기반구조(Public Key Infrastructure, PKI)라고 합니다

   

   

SHA(Secure Hash Algorithm)

  • 해쉬알고리즘의 일종으로 MD5의 취약성을 대체하여 사용
  • SHA, SHA-1, SHA-2(SHA-224, SHA-256, SHA-384, SHA-512)등의 다양한 버전이 있으며,
  • 암호 프로토콜인 TLS, SSL, PGP, SSH, IPSec 등에 사용됩니다.

   

   

RC5(Rivest Cipher or Ron's Code)

1994년 RSA Security사의 Ronald Rivest에 의해 고안된 블록 암호화알고리즘

 

   

Spring 프레임워크

  • 개발 효율성과 생산성을 최대로 높일 수 있도록 지원하기 위해 개발된 J2EE 기반의 오픈 소스 개발 프레임워크
  • http://spring.io/

   

   

Synchronized

JAVA에서 임계코드를 동기화하기 위해서 제공하는 예약어

   

   

Umask

파일 또는 디렉터리의 권한을 설정하기 위한 유닉스 명령어

   

   

화이트 리스트(White list)

블랙 리스트(Black List)의 반대개념으로 신뢰할 수 있는 사이트나 IP주소 목록을 말하며, 즉 신뢰할 수 있는 글이나 문자열의 목록을 의미합니다.

   

'Security > SecureCoding' 카테고리의 다른 글

소프트웨어 보안 이슈  (0) 2015.03.12
Software 복잡도와 보안  (0) 2015.03.09
시큐어 코딩 관련 용어정의  (0) 2015.03.02
SW 보안약점(Detail)  (0) 2015.03.01
SW 보안약점 유형  (0) 2015.02.27
정보화사업 감리법인 보안활동  (0) 2015.02.26
Posted by codedragon codedragon

댓글을 달아 주세요

Software 보안 약점 목록 (47항목)

보안약점 목록

항목

입력 데이터 검증 및 표현

15

보안기능

16

시간 및 상태

2

에러처리

3

코드오류

4

캡슐화

5

API오용

2

   

   

입력 데이터 검증 및 표현

보안약점

설명

SQL삽입

검증되지 않은 외부 입력값이 SQL 쿼리문 생성에 사용되어 악의적인 쿼리문이 실행될 수 있는 보안약점

경로조작 및 자원 삽입

검증되지 않은 외부 입력값이 시스템 자원 접근경로 또는 자원제어에 사용되어 공격자가 입력값을 조직해 공격할 수 있는 보안약점

크로스사이트스크립트

검증되지 않은 외부 입력값에 의해 사용자 브라우저에서 악의적인 스크립트가 실행될 수 있는 보안약점

운영체제 명령어 삽입

검증되지 않은 외부 입력값이 운영체제 명령문 생성에 사용되어 악의적인 명령어가 실행될 수 있는 보안약점

위험한 형식 파일 웹로드

파일의 확장자등 파일형식에 대한 검증 없이 업로드를 허용할 때 발생할 수 있는 보안약점

신뢰되지 않는 URL 주소로 자동 접속연결

검증되지 않은 외부 입력값이 URL링크 생성에 사용되어 악의적인 사이트로 자동 접속될 수 있는 보안약점

XQuery 삽입

검증되지 않은 외부 입력값이 XQuery 쿼리문 생성에 사용되어 악의적인 쿼리가 실행될 수 있는 보안약점

XPath 삽입

검증되지 않은 외부 입력값이 XPath 쿼리문 생성에 사용 되어 악의적인 쿼리가 실행될 수 있는 보안약점

크로스사이트 요청 위조

검증되지 않은 외부 입력값에 의해 브라우저에서 악의적인 스크립트가 실행되어 공격자가 원하는 요청(Request)이 다른 사용자(관리자 등)의 권한으로 서버로 전송되는 보안약점

HTTP 응답분할

검증되지 않은 외부 입력값이 HTTP 응답헤더에 삽입되어 악의적인 코드가 실행될 수 있는 보안약점

정수형 오버플로우

정수를 사용한 연산의 결과가 정수값의 범위를 넘어서는 경우 프로그램이 예기치 앉게 동작될 수 있는 보안약점

보안기능 결정에 사용되는 부적절한 입력값

검증되지 않은 입력값이 보안결정(인증, 인가, 권한부여 등)에 사용되어 보안 메커니즘 우회 등을 야기할 수 있는 보안약점

메모리 버퍼 오버플로우

메모리 버퍼의 경계값을 넘는 메모리값을 읽거나 저장 하여 예기치 않은 결과를 발생시킬 수 있는 보안약점

포멧 스트링 삽입

printf() 등 외부 입력값으로 포멧스트링을 제어할 수 있는 함수를 사용할 때 발생할 수 있는 보안약점

   

   

보안기능

중요정보는 금융정보, 개인정보, 인증정보 등의 정보를 포함합니다.

보안약점

설명

적절한 인증없는 중요 기능 허용

적절한 인증 없이 중요정보(금융정보, 개인정보, 인증정보 등)를 열람(or 변경)할 수 있게 하는 보안약점

부적절한 인가

적절한 접근제어 없이 외부 입력값을 포함한 문자열로 중요자원에 접근할 수 있는 보안약점

중요한 자원에 대한 잘못된 권한 설정

중요자원(프로그램 설정, 개인정보, 민감한 사용자 데이터 등)에 대한 적절한 접근권한을 부여하지 않아 인가되지 않은 사용자에 의해 중요정보가 노출•수정될 수 있는 보안약점

취약한 암호화 알고리즘 사용

중요정보가 기밀성을 보장할 수 없는 취약한 암호화알고리즘을 사용할 경우 중요정보가 노출될 수 있는 보안약점

중요정보 평문저장

중요정보를 암호화하여 저장하지 않아 정보가 노출될 수 있는 보안약점

중요정보 평문전송

중요정보 전송 시 암호화하지 않거나 안전한 통신채널을 이용하지 않을 경우 정보가 노출될 수 있는 보안약점

하드코드된 비밀번호

소스코드 내에 비밀번호가 하드코딩 되어 소스코드 유출시 해당 인증정보가 노출될 수 있으며 주기적 비밀번호 변경등(관리자 변경등)이 용이하지 않는 보안약점

충분하지 않은 키길이 사용

데이터의 기밀성, 무결성 보장을 위해 사용되는 키의 길이가 충분하지 않아 중요정보 누출이나 무결성이 깨질 수 있는 보안약점

적절하지 않은 난수값 사용

예측 가능한 난수값 사용으로 공격자로 하여금 다음 숫자 등을 예상하여 시스템 공격이 가능한 보안약점

하드코드된 암호화 키

소스코드 내에 암호화키가 하드코딩 되어 소스코드 유출 시 암호화키의 누출 우려와 키 변경이 용이하지 않는 보안약점

취약한 비밀번호 허용

비밀번호 조합규칙(영문 대소문자, 숫자, 특수문자 등) 미흡 및 길이가 충분하지 않아 비밀번호가 노출될 수 있는 보안약점

사용자 하드디스크에 저장 되는 쿠키를 통한 정보노출

쿠키(셰션 ID, 사용자 권한정보 등 중요정보)를 사용자 하드디스크에 저장함으로써 개인정보 등 중요정보가 노출될 수 있는 보안약점

주석문 안에 포함된 패스워드 등 시스템 중요정보

소스코드내의 주석문에 인증정보 등 시스템 중요정보가 포함되어 있어 소스코드 유출시 노출될 수 있는 보안약점

솔트(Salt)없이 일방향해쉬 함수사용

공격자가 솔트(salt) 없이 생성된 해쉬값을 얻게된 경우, 미리 계산된 레인보우 테이블을 이용하여 원문을 찾을 수 있는 보안약점

무결성 검사없는 코드 다운로드

원격지로부터 소스코드 또는 실행파일을 무결성 검사 없이 다운로드받고 이를 실행하는 경우, 공격자가 악의적인 코드를 실행할 수 있는 보안약점

반복된 인증시도 제한 기능 부재

인증시도의 수를 제한하지 않아 공격자가 무작위 인증시도를 통해 계정접근 권한을 얻을 수 있는 보안약점

   

   

시간 및 상태

보안약점

설명

경쟁조건-검사시점과 사용시점(TOCTOU)

멀티 프로세스 환경에서 자원을 검사하는 시점과 사용하는 시점이 달라서 발생하는 보안약점

종료되지 않는 반복문 또는 재귀함수

종료조건 없는 제어문 사용으로 반복문 또는 재귀 함수가 무한루프에 빠져 무한 반복될 수 있는 보안약점

   

   

에러처리

보안약점

설명

오류메시지를 통한 정보 노출

개발자가 생성한 오류 메시지에 시스템 내부구조, 시스템 정보 등이 포함되어 민감한 정보가 노출될 수 있는 보안약점

오류상황 대응부재

시스템에서 발생하는 오류 상황을 처리하지 않아 프로그램 실행정지등 의도하지 않은 상황이 발생할 수 있는 보안약점

부적절한 예외처리

예외에 대한 부적절한 처리로 인해 의도하지 않은 상황이 발생될 수 있는 보안약점

   

코드오류

보안약점

설명

Null Pointer 역참조

Null로 설정된 변수의 주소값을 참조했을 때 발생할 수 있는 보안약점

부적절한 자원해제

사용된 자원을 적절하게 해제 하지 않으면 자원 누수 등이 발생하게 되어 결국엔 자원이 부족하게되어 새로운 입력을 처리할 수 없게 되는 보안약점

해제된 자원사용

해제된 자원를 참조하게 되면 예상치 못한 값 또는 코드를 실행하게 되어 예상치 못한 결과가 발생하게 되는 보안약점

초기화되지 않은 변수 사용

변수를 초기화하지 않고 사용하여 예기치 않은 오류가 발생될 수 있는 보안약점

   

   

캡슐화

보안약점

설명

잘못된 세션에 의한 데이터 정보 노출

잘못된 셰션에 의해 인가되지 않은 사용자에게 중요정보가 노출될 수 있는 보안약점

제거되지 않고 남은 디버그 코드

디버깅을 위해 작성된 코드를 통해 인가되지 않은 사용자에게 중요정보가 노출될 수 있는 보안약점

시스템데이터 정보노출

사용자가 볼 수 있는 오류 메시지나 스택 정보에 시스템 내부 데이터나 디버깅 관련 정보가 출력되는 보안약점

Public메소드로 부터 반환된 Private 배열

Private로 선언된 배열을 Public으로 선언된 메소드를 통해 반환(return)하게되면 그 배열의 레퍼런스가 외부에 공개되어 외부에서 배열을 수정할 수 있게 되는 보안약점

Private 배열에 Public데이터 할당

Public으로 선언된 데이터 또는 메소드의 파라미터가 Private로 선언된 배열에 저장되면 Private배열을 외부에서 접근할 수 있게 되는 보안약점

   

   

API오용

보안약점

설명

DNS lookup에 의존한 보안결정

DNS는 공격자에 의해 DNS 스푸핑 공격 등이 가능함으로 보안결정을 DNS이름에 의존할 경우 보안결정 등이 노출되는 보안약점

취약한 API 사용

취약하다고 알려진 함수를 사용함으로써 예기치 않은 보안위협에 노출될 수 있는 보안약점

 

'Security > SecureCoding' 카테고리의 다른 글

Software 복잡도와 보안  (0) 2015.03.09
시큐어 코딩 관련 용어정의  (0) 2015.03.02
SW 보안약점(Detail)  (0) 2015.03.01
SW 보안약점 유형  (0) 2015.02.27
정보화사업 감리법인 보안활동  (0) 2015.02.26
정보화사업 수주사업자 보안활동  (0) 2015.02.25
Posted by codedragon codedragon

댓글을 달아 주세요

   

소프트웨어 보안약점 유형

SW 보안약점은 입력데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러 처리, 코드오류, 캡슐화, API오용 유형으로 분류

유형

내용

입력데이터 검증 및 표현

프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점

  • SQL 삽입,
  • 경로 조작 및 자원 삽입,
  • 크로스사이트 스크립트 등

보안기능

보안기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)을 적절하지 않게 구현한 경우 발생할 수 있는 보안약점

  • 부적절한 인가,
  • 중요정보 평문저장,
  • 하드코드된 비밀번호

시간 및 상태

동시/거의동시 수행을 지원하는 병렬시스템 또는 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리할 경우 발생할 수 있는 보안약점

  • 경쟁조건: 검사시점과 사용시점(TOCTOU)

에러처리

에러를 처리하지 않거나 불충분하게 처리하여 에러정보에 중요정보(시스템 정보 등)가 포함될 때 발생할수있는 보안약점

  • 오류상황 대응 부재,
  • 오류 메시지를 통한 정보노출

코드오류

타입 변환오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 발생할 수 있는 보안약점.

  

  • Null Pointer 역참조,
  • 부적절한 자원 해제

캡슐화

중요한 데이터 또는 기능을 불충분하게 캡슐화 했을 때 인가되지 않은 사용자에게 데이터가 누출될 수 있는 보안약점

  • 제거되지 않고 남은 디버거 코드
  • 시스템 데이터 정보노출

API 오용

  

의도된 사용에 반하는 방법으로 API를 사용하거나 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점

  • DNS lookup에 의존한 보안결정

 

Posted by codedragon codedragon

댓글을 달아 주세요

   

정보화사업 감리법인 보안활동

정보화사업 추진시 준수 및 참고해야할 사업단계별 보안활동

   

   

1) 감리계획 수립 및 협의 단계.

감리법인은 발주자의 개발보안 요구사항을 수용할 수 있는 계획을 수립합니다.

   

  • 진단도구 적용 및 투입 진단인력 및 일정 등을 포함하여 계획 수립
  • 감리착수회의

   

   

2)SW 개발보안 중간점검

감리법인은 사업사의 개발 내용에 관한 중간점검을 수행합니다.

   

  • 사업자 SW 개발보안 계획 점검
  • SW 개발보안 수행 계획 대비 실적 점검

   

   

3)SW 개발보안 최종확인.

감리법인은 사업자의 개발 내용에 관한 최종확인을 합니다.

   

  • SW 개발보안 준수여부 점검
  • SW 개발보안 감리보고서 작성

   

'Security > SecureCoding' 카테고리의 다른 글

SW 보안약점(Detail)  (0) 2015.03.01
SW 보안약점 유형  (0) 2015.02.27
정보화사업 감리법인 보안활동  (0) 2015.02.26
정보화사업 수주사업자 보안활동  (0) 2015.02.25
정보화사업 발주기관 보안활동  (0) 2015.02.24
정보화사업 단계/활동  (0) 2015.02.23
Posted by codedragon codedragon

댓글을 달아 주세요