본문 바로가기

분류 전체보기672

표적공격(Targeting Attack)의 라이프 사이클 Initial Reconnaissance: The attacker conducts research on a target. The attacker identifies targets (both systems and people) and determines his attack methodology. The attacker may look for Internet-facing services or individuals to exploit. The attacker’s research may also involve the following activities:• Identifying websites that may be vulnerable to web application vulnerabilities • Analyz.. 2017. 9. 14.

DTI, DSR, 그리고 이번에 추가된 신DTI까지 개념 알기 DTI는 "총부채상환비율"을 의미하는 지표로, 소득 대비 취급가능한 대출을 비율로써 나타낸 값입니다. DTI는 종류가 참 많습니다. 벌써 1금융권에 적용되어 있는 DTI, 스트레스 DTI부터 곧 적용 될 DSR, 그리고 신DTI까지. DTI와 DSR의 차이는 제가 일전에 포스팅 한 글을 참고 해 주시면 됩니다. http://raisonde.tistory.com/entry/DTI와-DSR의-차이는-무엇일까 이번 포스팅에선 신DTI까지 포함하여 DTI, 신DTI, DSR의 차이에 대해서 다뤄 보겠습니다. 왜 DSR과 신DTI까지 같이 추가해서 다루냐 하면 DSR이 DTI를 보완하기 위해 신설된 지표라면, 이번에 새로 기획된 신DTI는 DSR을 보완하기 위해 만들어 진 것이기 때문입니다. 실제로 DSR은 DT.. 2017. 8. 31.

은행 전산직으로 취업하고자 하는 공학도들을 위한 꿀팁 은행에 들어오려면 1. 실무적인 능력이 중요하다.은행에서 실무적인 능력을 중요시 하는 것은 여느 비 IT기업과 같은 이유에서다. IT가 주가 되는 조직이 아니기 때문에 IT에 대한 충분히 교육을 제공 해 줄 수 없다. IT부서나 IT팀에서는 SI업체들처럼 몇 주, 몇 달간 교육을 시킬 여유가 없으며 그렇게 소프트웨어 공학적인 일을 하지 않는 경우가 많기에 기본적인 실무 개발이 가능한 사람이면 만사형통인 것이다. 따라서 오히려 전자회사나 SI업체와 같은 IT회사들보다 실무적인 능력이 더 강조되기도 한다. IT회사는 실무적인 코딩능력보다는 회사에서 필요한 부문의 전문성을 길러줄 수 있는 기초가 탄탄한 사람을 원하기에 학벌이나 학업 스펙을 보는 경우가 많다. 하지만 은행에 뽑힌 사람들을 보면 학업능력 보단 프.. 2017. 7. 23.

금융연수원 부동산 기본지식 2권 목차 1. 부동산 투자활동 제1장 부동산 투자의 기초이론제1절 개요1. 부동산 투자분석의 개념과 학습범위 /72. 부동산 투자 결정과정 /7제2절 부동산 투자 수익1. 개요 /82.. 현금수지의 추정 /93. 지분복귀액 계산 /124. 세금의 계산 /13제3절 부동산 투자수익률1. 개요 /152. 수익률 /163. 레버리지 효과 /21제4절 부동산 투자의 위험1. 개요 /262. 위험의 개요 /263. 위험에 관한 투자자의 태도 및 처리방법 /29제5절 부동산 투자의 수익률과 함정1. 수익률과 위험을 고려한 의사결정 /312. 위험과 수익의 상쇄관계 /35제6절 부동산 포트폴리오 이론1. 개요 /352. 최적의 포트폴리오 /363. 포트폴리오 위험과 수익 /43 제2장 부동산 투자분석의 기초제1절 부동산 투자.. 2017. 7. 16.

VPN(Virtual Private Network : 가상사설망) 정리 VPN이란?- 인터넷 환경을 전용망(폐쇄망)처럼 이용하기 위해 쓰인다. - 예를 들어 서울에 있는 본사와 부산에 있는 지사가 있다고 가정해 보자. 본사는 물리적인 회선으로 폐쇄된 내부망을 구축하였다. 지사 또한 본사와 같은 방식으로 내부망을 구성하였다. 그런데 본-지사간 통신이 문제이다. 폐쇄된 내부망끼리 물리적인 사설 회선으로 연결 하기엔 시간도 오래 걸리고 돈도 많이들고 아무튼 무척 까다롭다. 그래서 폐쇄망과 폐쇄망을 인터넷으로 연결 하되, 보안기술을 이용해서 본사에서 나가는 패킷은 오로지 지사로만 가고, 본사로 들어오는 패킷은 오로지 지사에서 온 것만 허용하는 식으로 보안망을 구축하였다. 물론 중간에서 스니핑이나 스터핑이 불가능한 여러 조치들도 해 준다.- 이렇게 인터넷인데 마치 사설망인것처럼 이용.. 2017. 7. 15.

Needham-Schroeder(니덤-슈로더) 프로토콜 Roger Needham과 Michael Schroeder가 1978년 대칭키와 trent(인증서버 : KDC) 개념을 사용하여 제안한 프로토콜이다. 인증기관에 대한 방식을 처음 제안하였다. 이 KDC의 개념은 현재 공개키 알고리즘인 디피-헬만이나 RSA등과 함께 신분위장공격 위험을 보완하기 위해 사용된다. SSL이나 켈베로스, 공인인증서 모두 공개키 + 인증서버를 이용한 방식이라고 할 수 있다. 2017. 7. 15.

개인정보보호 관련법 주요 사항 개인정보 유출 시 지체없이 정보 주체에게 알려야 할 내용- 유출된 시점과 그 경위- 유출된 개인정보 항목- 개인정보처리자의 대응 조치 및 피해 구제 절차- 유출로 인하여 발생할 수 있는 피해를 최소화 하기 위해 정보 주체가 할 수 있는 방법- 정보 주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당자 및 연락처 개인정보 영향 평가 대상 범위- 구축·운용 또는 변경하려는 개인 정보 파일 중 민감 정보, 고유 식별 정보 5만 명 처리- 구축·운용 또는 변경하려는 개인 정보 파일 내외적으로 50만 명 이상 연계- 구축·운용 또는 변경하려는 개인 정보 파일 중 정보 주체가 100만 명 이상 개인정보보호법상 개인정보 영향 평가 고려사항- 처리하는 개인정보의 수- 개인정보 제3자 제공 여부- 민감 정보 또.. 2017. 7. 15.

ISMS, PIMS, PIPL의 차이, 개념 정리 ISMS : 기업이 정보 보호 활동을 지속적, 체계적으로 수행하기 위해 필요한 보호 조치를 체계적으로 구축하였는지를 점검PIMS : 기업이 개인정보보호 활동을 지속적, 체계적으로 수행하기 위해 필요한 보호 조치 체계를 구축하였는지 점검PIPL : 공공 기관과 민간 기업이 일정 기준 이상의 개인정보보호 수준을 갖추면 정부가 이를 인증해 주고 외부에 공개 가능 보다 시피 PIMS와 PIPL은 매우 흡사하다. 결국 PIPL은 PIMS에 흡수통합되었다. 2017. 7. 15.

정보보호의 국제/국가 표준 지침 정리 1. OECD 정보 보호 가이드라인- 9개 요소로 이루어져 있다.- 인식, 책임, 대응, 윤리, 민주성, 위험평가, 정보보호의 설계와 이행, 정보보호 관리, 재평가 2. TCSEC- 오렌지북이라 불림- 보안등급은 크게는 A, B, C, D 4단계, 세부적으론 A1, B1, B2, B3 등 총 7단계로 나뉜다.- 4가지 요구사항 : 정책(Security Policy), 책임성(Accountability), 보증(Assurance), 문서(Documentation) - TNI, TDI, CSSI 등 시스템 분류에 따라 적용 기준이 다르다. 3. ITSEC- 미국의 TCSEC을 참고하여 유럽에서 만듬- 시스템 분류에 따라 적용 기준을 달리하지 않는다. 단일 기준으로 통일- 보안 요구사항, 보증 요구사항으로 구.. 2017. 7. 15.

통제 수행 시점에 따른 분류 예방 통제 : 발생 가능한 잠재적인 문제들을 식별하여 사전에 대처하는 통제 방법 탐지 통제 : 예방 통제를 우회하는 문제점을 찾아내는 통제 방법 교정 통제 : 탐지 통제를 통해 발견된 문제점을 해결하기 위한 통제로 문제의 발생 원인과 영향을 분석하고, 동일한 문제의 반복적인 발생을 최소화하기 위해 시스템을 변경한다. 잔류 위험 : 사건 발생 가능성과 손실 관점에서 위험을 허용하는 부분에 남아 있는 위험 ※정보보안기사 제4회 기출문제 2017. 7. 15.

SSL Handshake 과정 (정보보안기사 기준) (1) client_hello : 클라이언트의 SSL 버전 번호, 암호 세팅, 랜덤 데이터, 기타 정보를 서버에게 전송한다.(2) server_hello : 서버의 SSL 버전 정보, 암호 세팅, 랜덤 데이터, 기타 정보, 서버 인증서를 클라이언트에게 전송한다.(3) client_key_exchange : 클라이언트는 Premaster Secret 정보를 서버의 공개키로 암호화하여 전송한다.(4) 서버는 Premaster Secret 정보를 이용하여 Premaster Secret을 생성하고, 세션키를 생성한다.(5) finished : 서버는 생성된 세션키를 이용하여 암호 통신 수행을 클라이언트에게 알리고, SSL Handshake 프로토콜을 완료한다.(6) 클라이언트는 생성된 세션키를 이용하여 암호 통.. 2017. 7. 12.

Ingress, Egress, Blackhole 필터링과 Unicast RPF Ingress 필터링라우터 외부에서 라우터 내부로 유입되는 패킷을 필터링하는 것이다.패킷의 소스 IP 나 목적지 포트 등을 체크하여 허용하거나 거부하도록 필터링 하는 것을 뜻한다. 공통적으로 필터링 하여야할 소스 IP는 인터넷 상에서 사용되지 않는 IP 대역(대부분의 공격이 실제 존재하지 않는 위조된 IP 주소를 소스로 함) Egress filtering 라우터 내부에서 라우터 외부로 나가는 패킷의 소스ip를 체크하여 필터링라우터를 통과하여 나가는 패킷의 소스 IP는 반드시 라우터와 같은 대역이여야 한다.(라우터를 통해 나가는 패킷의 소스 ip 중 사용중인 ip 대역을 소스로 한 패킷은 허용하고 나머지는 거부 하도록 설정) Blackhole filtering(Null routing 을 활용한 필터링)특정.. 2017. 7. 12.

비트(바이트) 스터핑(Bit stuffing) stuffing은 '속'이다. 만두에 들어가는 속도 stuffing이고 인형에 들어가는 솜과 같은 속도 stuffing이다. 즉 스트림 사이에 필요에 의해 넣는 비트(또는 바이트)를 비트 스터핑이라고 하는데, 일종의 구분자, 또는 padding이라고 이해할 수 있다. 비트 스터핑은 다음과 같은 이유들 때문에 많은 네트웍이나 통신 프로토콜들에서 사용된다. - 실제 데이터가 제어 정보로 해석되는 경우를 방지하기 위해 삽입된다. 예를 들어, X.25와 같은 많은 프레임 기반의 프로토콜들은 프레임의 시작과 끝에 6개의 연속되는 "1" 비트를 신호로서 보낸다. 그러므로, 만약 실제로 한 줄에 여섯 개의 "1" 비트들을 갖는 데이터가 전송되는 경우라면, 처음 5 개의 "1" 비트 이후에 강제로 "0"을 삽입함으로써.. 2017. 7. 12.

블랙박스 테스트(Blackbox Test) 소프트웨어 인터페이스에서 실시되는 검사로, 소프트웨어가 수행할 기능을 중심으로 기능이 완전히 작동되는 것을 입증하는 검사화이트박스 테스트가 소프트웨어의 특정 로직이 제대로 동작하는지 보기 위한 개념이라면 블랙박스 테스트는 그보다 더 거시적으로 스프트웨어가 원하는 방향대로 잘 동작하는지 테스트하는 개념이다. 주로 Development 단계에서 개발자들이 수행하는 테스트가 화이트박스 테스트, 이후 QA단계에서 테스트 전담자(팀)이 수행하는 테스트가 화이트박스 테스트이다. 종류는 아래와 같다. - 동치 분할 검사(Equivalence Partitioning Test)입력 자료에 초점을 맞춰 테스트케이스를 만드는 방법으로, 프로그램 로직의 조건에 타당한 입력자료와 타당하지 않은 입력자료를 균등하게 배분하여 검사.. 2017. 7. 10.

Booch 객체지향 분석 방법 - 미시적 개발 프로세스와 거시적 개발 프로세스를 모두 포함한다. - 클래스와 객체들을 분석 및 식별하고 클래스의 속성과 연산을 정의한다. - 클래스와 객체의 의미를 식별한다. - 각 작업에 대한 다이어그램, 클래스 계층 정의, 클래스들의 클러스터링 작업을 수행한다. - 클래스와 객체를 구현한다. 2017. 7. 10.

HIPO Model(HIPO Chart 또는 HIPO Diagram) HIPO는 Hierarchical Input Process Output의 약자로, Input-Process-Output으로 이루어진 모듈을 계층적으로 나타낸 도표이다.시스템의 분석 및 설계나 문서화에 사용 되는 기법으로 계층을 구성하는 각 모듈별 실행 과정인 입력, 처리, 출력 기능을 나타낸다. HIPO는 3가지 종류가 있다. 3가지를 따로 쓰는 것이 아니라 3가지로 이루어진 것이다. 가시적 도표(Visual Table of Contents) aka.도식 목차시스템의 전체적인 기능과 흐름을 보여주는 Tree형태의 구조도 총체적 도표(Overview Diagram) aka.개요 도표프로그램을 구성하는 기능을 기술한 것으로 입력, 처리, 출력에 대한 전반적인 정보를 제공하는 도표 세부적 도표(Detail D.. 2017. 7. 10.

OMG의 OMA 레퍼런스 모델 OMG(Object Management Group)에서 제시한 OMA(Object Management Architecture) Reference Model은 다음의 5개 구성 요소로 구성된다. - 객체 요구 매개자(Object Request Broker)객체 간의 메시지 송수신을 처리하는 기능, 이 기능의 표준 규격이 CORBA 임 . ORB는 객체 버스이다. 이것은 객체가 다른 지역 객체 또는 원격 객체로부터 투명하게 서비스를 요청하고 응답받을 수 있도록 해준다. - 객체 서비스(Object Services)객체가 실행하는 처리를 지원하는 기본적인 기능의 집합, 그 표준 규격이 CORBA 서비스임 - 공통 기능(Common Facilities)응용 객체를 실행할 때에 제공되는 편리한 공통 기능의 집합 .. 2017. 7. 10.

맞춤법 있다? 하다! 주장을 하다(O) 주장하다(O)주장 하다(X) 억지 주장하다(X)억지 주장(을) 하다(O) 맛있다(O)맛 있다(X) 재미있다(O)재미 있다(X) 듦 듬 듦듬 만드므로(X)만듦으로(O) 만듬(X)만듦(O) 율 률 율률 받침이 없거나 'ㄴ'받침 율 비율, 실패율, 규율/ 선율, 전율, 백분율 그 외의 받침 률 명중률, 합격률, 성공률, 슛률 구나! 군. 군요 붙여 쓴다.보는구나! 잘하는구나! 보는군! 보는군요!(O) 2017. 7. 9.

이전 1 ··· 13 14 15 16 17 18 19 ··· 38 다음

티스토리툴바