48일차 - 데이터베이스 보안 운영, 정보 시스템 진단

[1,2교시 - 데이터베이스 보안 운영]

/ 배우는 것
- DB 운영 관리하기
- DB 보안 관리하기
- DB 장애 처리하기
- DB 백업 복구하기
- DB 튜닝 확장하기

/ 어떤 목차가 어려울까?
- '장애 처리하기'와 'DB 튜닝 확장하기'부분이 어려울 수 있지만 중요한 부분이다.

/ DB 튜닝
- 데이터베이스의 응용, 데이터베이스 자체, 운영체제의 조정 등을 통해 최적의 자원으로 최적의 성능을 얻을 수 있도록 개선하는 작업을 말한다.

 

 

강사가 자꾸 혼자서 말하다가 화를 낸다...
DB운영 관리를 왜 배우는지 무엇인지만으로 2시간을 모두 썼다..
귀에서 피난다...

 

---

[3,4,5교시 - 정보 시스템 진단]

/ 진단이 필요한 이유
- 취약점을 찾으려고 진단을 하는 것

/ 취약점(Vulnerability)
- 자산의 잠재적 속성이나 처한 환경은 위협의 이용대상이다.
- 손실 발생 가능한 약점
- 위험(Risk) : 자산의 손실이나 손상이 발생될 수 있는 잠재성, 사건
    > ISO 17799
- 위협(Threat) : 자산에 손실을 발생시킬 수 있는 원인, 행위자, 사건
- 자산(Asset) : 보호해야할 대상. 정보, H/W, S/W, 시설, 인력, 기업의 이미지.. 등등
     > 정보보호대책(safeguard)

/ 전체 위험
- 위협 * 취약점 * 자산

/ 잔여위험
- Residual Risk
- 전체 위협 - 대책

/ OWASP TOP 10
- Open Web Application Security Project
- OWASP-ZAP 보안도구 : 프로그램을 만들고나서 OWASP TOP 10에 대응되도록 만들어졌는지 테스트 하는 도구

/ 모의해킹 도구
- Burp-Suite
- WebGoat
- SecurityOnion (Snort IDS), OS

/ CVE
- Common Vulnerabilities Exposure
- 취약점 리스트
- mitre에서 만든 리스트
- CVE-2022-0005 : 취약점리스트-발견된년도-해당년도에발견된순서

/ CWE
- Common Weakness Enumeration
- 보안 약점 리스트
- 보안 약점이 취약점보다 좀 더 넓은 범위이다.
- mitre에서 만든 리스트
- CWE는 CWE-숫자숫자숫자 형태라 시험에 잘 안나온다.

/ CCE
- Common configuration Enumeration
- 시스템에서 취약한 설정에 대한 점검 리스트, 항목

/ CVSS
- Common Vulnerability Scoring System
- 공통 취약점 등급 시스템
- 취약점 위험도를 계산해 주는 솔루션, 시스템
- mitre에서 만든 리스트

/ 크롤링
- 해당 사이트의 정보를 추출해내는 프로그램
- robots.txt : 대응하기 위한 설정
    > 웹 사이트에 크롤링봇이 접근하는 것을 방지, 설정, 규약
    > googlebot, naverbot

/ robots.txt
- 웹서버의 루트 디렉토리에 위치하게끔 해야 한다.
- ex) httpd라면 /var/www/html에 있어야 한다.
- 구글의 robots.txt : https://www.google.co.kr/robots.txt
- 네이버의 robotx.txt : https://www.naver.com/robots.txt
    > 네이버는 파일형태로 다운로드 된다.
    > Disallow : / - 모든 경로에 대해 허용하지 않음
    > Allow : /$ - 파일들에 대한 크롤링 허용
- 해당 설정값에 대해서 서술하시오

useragent : yeti  <- 네이버의 크롤릿 봇
useragent : googlebot <- 구글 봇 허용
allow : / <- 모든 경로에 대해 허용

- 해당 설정값에 대해서 서술하시오

useragent : googlebot-image <- 구글봇 이미지
disallow : /admin/ <- 여기는 접근 못한다.
disallow : /*.pdf$/ <- 모든 pdf확장자는 접근불가