주요정보통신기반시설 기술적 취약점 분석·평가 방법상세가이드

 

 

 

 

 

주요정보통신기반시설 기술적 취약점 분석·평가 방법상세가이드 (2021. 03)

 

• KISA 한국인터넷진흥원>지식플랫폼>법령·가이드라인>가이드라인>보안취약점 및 침해사고 대응
• 과학기술정보통신부, KISA(한국인터넷진흥원)

KISA 한국인터넷진흥원

 

분야별 점검 주요 대상

 

 

 

 

CONTENTS

 

 

1. UNIX 서버

• 계정 관리
• 파일 및 디렉터리 관리
• 서비스 관리
• 패치 관리
• 로그 관리

 

2. 윈도우즈 서버

• 계정 관리
• 서비스 관리
• 패치 관리
• 로그 관리
• 보안 관리
• DB 관리

 

3. 보안장비

• 계정 관리
• 접근 관리
• 패치 관리
• 로그 관리
• 기능 관리

 

4. 네트워크 장비

• 계정 관리
• 접근 관리
• 패치 관리
• 로그 관리
• 기능 관리

 

5. 제어시스템

• 계정 관리
• 서비스 관리
• 패치 관리
• 네트워크 접근통제
• 물리적 접근통제
• 보안위협 탐지
• 복구애응
• 보안 관리
• 교육훈련

 

6. PC

• 계정 관리
• 서비스 관리
• 패치 관리
• 보안 관리

 

7. DBMS

• 계정 관리
• 접근 관리
• 옵션 관리
• 패치 관리
• 로그 관리

 

8. Web(웹)

• 버퍼 오버플로우
• 포맷스트링
• LDAP 인젝션
• 운영체제 명령 실행
• SQL 인젝션
• SSI 인젝션
• XPath 인젝션
• 디렉터리 인덱싱
• 정보 누출
• 악성 콘텐츠
• 크로스사이트 스크립팅
• 약한 문자열 강도
• 불충분한 인증
• 취약한 패스워드 복구
• 크로스사이트 리퀘스트 변조(CSRF)
• 세션 예측
• 불충분한 인가
• 불충분한 세션 만료
• 세션 고정
• 자동화 공격
• 프로세스 검증 누락
• 파일 업로드
• 파일 다운로드
• 관리자 페이지 노출
• 경로 추적
• 위치 공개
• 데이터 평문 전송
• 쿠키 변조

 

9. 이동통신

• 운영 관리

 

10. 클라우드

• 접근통제
• 보안 관리