[정처기필기] 5과목_정보시스템 구축

[ 2021 - 1회기출 ] _ 난이도 낮은 수준...wow , 2회부터 어렵

 

* 암호화 (캡쳐참고) *****

 

- 양방향

> 대칭키 _ 암호화키 = 복호화키 _ 스트림, 블록   _ 키의 갯수 : n(n-1)/2

> 비대칭키(공개키)  암호화키 != 복호화키           _ 키의 갯수 : 2n

 

- 단방향

> Hash함수

 

 

* 스트림 암호화 (대칭키 암호화) _ 1bit씩 XOR연산

 

 

* tripwire : 크래커가 침입하여 백도어를 만들어 놓거나, 설정 파일을 변경했을 때 분석하는 도구

 

* MQTT : 사물통신, 사물인터넷 (IoT) _ 대역폭이 제한된 통신환경에 최적화 _ 경량메시지 전송 프로토콜

                      발행(송신자) - 매개자(Broker) - 구독(수신자) 기반, IBM이 주도하여 개발

 

* 나선형(Spiral) 모형 : 뱅글뱅글모양 (계획 -> 위험분석 -> 개발 -> 평가) 계속 반복, 점진적 발전

 

* 정보보안을 위한 접근통제 정책 종류

 > Mac (강제적 접근 통제) _ Mandatory Access Control_ 보안레벨에 해당하는 사람만 보여줌

 > Dac (임의적 접근 통제) _ Discretionary Access Control _ 소유권자가 친한사람만 보여줌

 > RBAC (역할 기반 접근 통제) _Role Based Access Control _  조직 내 해당 부서사람들만 보여줌

 

 

* 소프트웨어 비용산정기법

> 하향식 : 전문가(라떼는~), 델파이(여러전문가들이 협의)

> 상향식 : LOC(라인수체크)

> 수학적 : COCOMO, PUTNM(랠리노든곡선, Slim), FP(Function Point_ 기능에 점수부여)

                                                                    자동화추정도구

* COCOMO 

> organic (5만라인 이하)

> Semi-detach 반분리형 (30만라인 이하)

> embedded (30만라인 이상)

 

 

* 개발방법론

> 구조적 개발 방법론 _ 정형화된 분석절차에 따라, 문서화, (자료흐름도, 자료사전, 소단위명세서)

> 객체지향 개발 방법론 

> CBD 방법론 _ 모듈조립 

 

 

* 클라우드 서비스

=> 아이쿠 허리야, 파스를 붙이면 싹 낳겠네

> I aas   _ 30기가짜리 공간 등, 장비/서버를 빌릴때 (Infrastructure as a Service)

> P aas  _ 개발환경을 빌릴때 (platform as a service)

> S aas  _ 엑셀이 없는데 마이크로소프트의 엑셀 빌려서 사용가능(software as a service)

+ B aas  _ 블록체인을 빌릴때

 

* Lan의 네트워크 토폴로지

> 성형

> 버스형

> 링형

> 계층형

> 망형

 

* 스마트 그리드

전기 및 정보통신기술을 활용하여 전력망을 지능화, 고도화함으로써 고품질의 전력서비스를 제공하고 에너지 이용효율을 극대화하는 전력망.

 

* 소프트웨어 개발 모형 *****

> 폭포수 모형 _ Boehm, 고전적 &선형순차적, 고객요구사항 반영이 어렵(거슬러올라갈수없)

> 나선형 모형 _ 계획-위험관리-개발-평가 무한반복, 점진적 발전

> 프로토타입 모형 _ 시제품 만듬 

> RAD모형  _  

 

 

* 세션 하이재킹

네이버 로그인 하면 내 보안정보를 Session에 저장, 정보를 찾을때를 위해 Session키를 받아 쿠키에 저장.

네이버에 요청할때 마다 이 Session키가 함께 전달됨.

=> 이러한 Session키를 가져간거!

 

* 세션 하이재킹 탐지방법

> 비동기화 상태 탐지, ACK STORM 탐지, 패킷의 유실 및 재전송 증가 탐지, FTP SYN SEGMENT 탐지

 

* 소프트웨어공학 _ 하드웨어의 빠른 발전속도를 소프트웨어가 따라가기 위해 나옴.

3R

> 역공학 : 소스코드를 분석해서 문서화

> 재공학 : 유지보수&리모델링

> 재사용 : 그대로 가져다가 사용  * 재개발 있는걸 발전시키는 방향

 

 

* CBD (Component Based Development)

독립적인 컴포넌트 단위들을 조립해서 사용, 복잡성 최소화 

하향식설계는 절차지향(구조적설계)

 

 

* 정보보안의 3요소 

기밀성 _ 인가된 사용자만 

무결성 _ (인가된 사용자만) 정해진 방법으로 (수정x)

가용성 _ (인가된 사용자는) 이용가능

 

 

소셜 네트워크에서 악의적인 사용자가 지인 또는 특정 유명인으로 가장하여 활동하는 공격 기법.

* Evil Twin Attack _ 기존보다 강력한 신호(wifi같은) 만들어서 접속 가로채서 정보 빼감

* Phishing _ 얘도 속여서 가로챔, 유명인이 아니여도 되니까 논란쓰

 

 

 

[ 2021 - 2회기출 ] _ 생소한 용어들 많음

 

* 저장장치

> DAS (direct attached storage)_직접연결 (USB)

> NAS (network attached storage)_ 서버-저장장치를 네트워크로 연결 (저장장치에 하드디스크가 RAID방식으로 연결)

> SAN (Storage Area Network)_ 저장장치를 네트워크를 이용해서 (광채널로)고속전송

 

* RAID _ 하드디스크를 여러개 (복구)

 

 

 

* SSH (Secure Shell) _ 원격 컴퓨터 제어, 가상의 터미널(Virtual Terminal) 

> 명령어를 암호화시켜서 전송

> 기본네트워크 포트 22번, 원격 명령실행, 쉘 서비스(내가 명령하는거)

* telnet : 명령어 그대로 전송 

 

 

 

* CBD (Component Based Development) SW 개발 표준 산출물 중 분석단계

계획          ->    분석          ->     설계          ->    구현       ->    Test       ->    유지&운영

비용           요구사항명세서     다이어그램     소스코드        케이스             비용많이듬

일정                                   클래스, 유스케이스 등                시나리오

타당성검사

=> RFP문서로

 

 

* 접근제어모델 _ (캡쳐참고)

> Bell-Lapadula Model : 군대보안레벨, 기밀성에 따라 정보 상하관계, 노리드업&노롸잇다운

> BIBA : 무결성, BLP + 불법수정방지, 노롸잇업&노리드다운

> Clark-Wilson : 상업환경, 기밀성 < 무결성 초점

> 만리장성 : 이해충돌 방지 

> Lattice 모델

 

 

* Sqoop(스쿱) : 하둡(Hadoop) + SQL  (하둡과 관계형 데이터베이스간 데이터전송을 위해 설계된 도구)

                          범용컴퓨터들에 데이터 분산처리

 

 

* 라우팅 프로토콜

> 정적 : 관리자가 라우터에 경로설정 직접

> 동적 : 라우터가 알아서 경로설정

    > 내부 : RIP(15홉, 거리벡터), OSPF(링크상태)

    > 외부 : BGP

 

* RIP : 거리벡터 알고리즘

* OSPF : 링크상태 알고리즘 (상태점검해서 최적경로_융통성O)

 

 

* 소프트웨어 비용산정

하향식 : 전문가, 델파이

상향식 : LOC, M/M

수학적 : COCOMO, PUTNAM, FP

                                Rayleigh Norden 곡선

 

* COCOMO : organic(5만이하), semi-detach(30만이하), embedded(30만이상)

 

 

 

* 코드 오류

> 생략 오류 (omission error) : 입력시 한자리 빼놓고 

> 필사 오류 (transcription error) : 임의의 한자리 잘못 기록 

> 전위 오류 (transposition error) : 좌우 자리 바꿔 기록

> 이중 오류 (Double Transposition error) : 전위오류가 두가지 이상 발생

> 추가 오류 (Addition error) : 입력시 한자리 추가 기록

> 임의 오류 (Random error) : 위의 오류가 두가지 이상 결합발생

 

 

 

* ISO 12207 표준 생명주기

> 기본 생명 주기 프로세스 _ 획득, 공급, 개발, 운영 , 유지보수

> 지원 생명 주기 프로세스  _ 문서화, 형상관리, 품질보증, 검증, 문제해결

> 조직 생명 주기 프로세스 _ 관리 기반구조, 개선, 교육훈련

 

2회 강의 마저듣기 ㅠㅠ

 

 

[ 2021 - 3회기출 ]

 

* Dos (직접 공격)  //  DDos (쫄병들이 공격)   가용성을 떨어뜨림.

 

> Ping Flooding _ 많은 "개수" ICMP의 Echo 보내서 공격 

> Ping of Death _ 규정된 "크기" 이상의 ICMP 패킷을 보내서 공격

> Smurf _ IP & ICMP

> Land _ IP (자기자신을 계속 호출)

 

 

* MQTT : TCP/IP 기반, 발행-구독기반, IoT환경

 

* SSO (Single Sign ON) : 1회 사용자 권한 인증(로그인)으로 다른곳의 접근권한까지 get (ex) CJ One)

 

* Salt : Hash / 암호화 과정(단방향암호화) 에서 다른 암호값을 만들어 저장하기 위해 추가되는 값 

  (암호화된 값들이 저장되는 R.T(레인보우 테이블)이 유출되는 경우를 방지하기 위해)

 

* OWASP  : 웹을 통한 공격유형들 추린 Top10.

 

* LOC기법 : S/W 각 기능의 원시코드 라인수를 이용해 비용을 산정하는 기법.

  > 비관치 + 낙관치 + 기대치*4 / 6