BIG
[1] 세션
(1) 세션의 의미
: 사용자와 시스템 사이 또는 두 시스템 사이의 활성화된 접속
(2) 세션을 유지하는 방법
1) 컴퓨터에서 세션을 유지하는 2가지 보안 사항
① 세션 하이재킹(session hijacking)이나 네트워크 패킷 스니핑(sniffing)에 대응하기 위해 암호화하는 것
② 세션에 대해 지속적인 인증(continuous authentication)을 하는 것
: 어떤 사용자가 인증 절차를 거쳐 시스템에 접근을 성공했을 때, 얼마 후 같은 아이디로 시스템에 접근하는 사용자가 처음에 인증 성공한 그 사용자인지 확인하기 위해 지속적으로 재인증을 수행하는 것
2) 시스템별 지속적인 인증
① 윈도우
: 윈도우의 화면 보호기는 사용자가 원격에서 접속해도 똑같이 동작
② 유닉스
: 원격에서 접속할 경우 패스워드를 다시 묻지 않고 세션을 종료한 후 재접속할 것을 요구. 세션 타임아웃이 존재하지만 기본 설정이 되어 있지 않음.
③ 데이터베이스
: 일반적으로 세션에 대한 타임아웃을 적용하지 않음. 대부분 시스템 간의 세션을 가지고 있기 때문에 타임아웃을 적용하면 시스템 간에 통신이 없을 때는 사람이 다시 연결해주어야 함.
④ 웹 서비스
: 인터넷 뱅킹을 할 때 공인 인증서의 패스워드나 보안 카의 숫자를 반복해서 물어보는 경우, 시스템에서 패스워드를 변경할 때 원래의 패스워드를 물어보는 경우, 패스워드 기간이 만료되어 재설정을 요구하는 경우 등이 있음
'📋3-2 > 📌정보보안' 카테고리의 다른 글
| [정보 보안] 정보 보안 개론 2장 05. 권한 관리 (0) | 2021.10.11 |
|---|---|
| [정보 보안] 정보 보안 개론 2장 04. 접근 제어 (0) | 2021.10.11 |
| [정보 보안] 정보 보안 개론 2장 02. 계정 관리 (0) | 2021.10.11 |
| [정보 보안] 정보 보안 개론 2장 01. 시스템 보안의 이해 (0) | 2021.10.11 |
| [정보 보안] 정보 보안 개론 1장 연습문제 (2) | 2021.10.03 |
댓글