접근통제 정책 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류:보안]]
[[분류:보안]][[분류:정보보안기사]]
[[분류:정보보안기사]]
 
;Access Control Policy
;Access Control Policy
;
{| class="wikitable"
|+
!구분
!MAC
!DAC
!RBAC
|-
|보안 주체
|시스템
|소유자
|역할
|-
|통제 주체
|보안 레이블
|권한 위임
|참조 모니터
|-
|사용자 통제
|단순
|복잡
|유연
|-
|적용 대상
|군대
|기업
|대기업
|}
;


==[[임의적 접근통제]]==
==[[임의적 접근통제]]==
;DAC, Discretionary Access Control
;DAC, Discretionary Access Control
 
* 개인 기반 정책과 그룹기반 정책을 포함한다.
*개인 기반 정책과 그룹기반 정책을 포함한다.
* 객체에 접근하고자 하는 주체(또는 주체가 속한 그룹)의 접근 권한에 따라 접근 통제를 적용한다.
*객체에 접근하고자 하는 주체(또는 주체가 속한 그룹)의 접근 권한에 따라 접근 통제를 적용한다.
* 특정 접근 허가를 가진 주체는 임의의 다른 주체에게 자신의 접근 권한을 넘겨줄 수 있다.
*특정 접근 허가를 가진 주체는 임의의 다른 주체에게 자신의 접근 권한을 넘겨줄 수 있다.
* TCSEC에서는 신분-기반 접근 통제 정책으로 DAC를 분류한다. Orange Book C등급
*TCSEC에서는 신분-기반 접근 통제 정책으로 DAC를 분류한다. Orange Book C등급
=== DAC 예시 ===
 
* DAC의 대표적인 구현 예로 ACL(Access Control List)가 있다.
===DAC 예시===
* 방화벽 정책이나 TCP Wrapper 등 리눅스의 네트워크 서비스의 접근제어가 대부분 DAC를 따른다.
 
* "이 자원은 누구누구가 접근 가능하다." 또는 "누구누구는 이 자원에 접근 가능하다." 라는 식의 정의
*DAC의 대표적인 구현 예로 ACL(Access Control List)가 있다.
*방화벽 정책이나 TCP Wrapper 등 리눅스의 네트워크 서비스의 접근제어가 대부분 DAC를 따른다.
*"이 자원은 누구누구가 접근 가능하다." 또는 "누구누구는 이 자원에 접근 가능하다." 라는 식의 정의


==[[강제적 접근통제]]==
==[[강제적 접근통제]]==
;MAC, Mandatory Access Control
;MAC, Mandatory Access Control
 
* 보안 등급, 규칙 기반, 관리 기반의 접근 통제 방식이다.
*보안 등급, 규칙 기반, 관리 기반의 접근 통제 방식이다.
* 모든 주체 및 객체에 대하에 일정하며 어느 하나의 주체나 객체 단위로 접근 제한을 설정할 수 없다.
*모든 주체 및 객체에 대하여 일정하며 어느 하나의 주체나 객체 단위로 접근 제한을 설정할 수 없다.
* 주체의 레이블과 주체가 접근하고자 하는 객체의 보안 레이블을 비교하여 보안 정책에 합당한 접근 통제 규칙에 의한 통제 방법이다.
*주체의 레이블과 주체가 접근하고자 하는 객체의 보안 레이블을 비교하여 보안 정책에 합당한 접근 통제 규칙에 의한 통제 방법이다.
* TCSEC에서는 규칙-기반 접근 통제 정책으로 MAC를 분류한다. Orange Book B등급
*TCSEC에서는 규칙-기반 접근 통제 정책으로 MAC를 분류한다. Orange Book B등급
=== MAC 예시 ===
 
* 보안 등급에 따른 일차원적인 접근권한 차등화가 대표적인 MAC의 구현 예이다.
===MAC 예시===
* 예를 들면 다음/네이버 카페에서 등급에 따라서 접근 가능한 게시판이 정해지는 예이다.
 
* 그누보드나 제로보드의 레벨 제도 또한 MAC에 해당한다.
*보안 등급에 따른 일차원적인 접근권한 차등화가 대표적인 MAC의 구현 예이다.
*예를 들면 다음/네이버 카페에서 등급에 따라서 접근 가능한 게시판이 정해지는 예이다.
*그누보드나 제로보드의 레벨 제도 또한 MAC에 해당한다.


==[[역할기반 접근 통제]]==
==[[역할기반 접근 통제]]==
;RBAC, Role Based Access Control
;RBAC, Role Based Access Control
 
* DAC와 MAC의 단점을 보완한 방식이다.
*DAC와 MAC의 단점을 보완한 방식이다.
* 권한을 사용지가 아닌 그룹에 부여하고, 그룹이 수행하여야 할 역할을 정의한다.
*권한을 사용자가 아닌 그룹에 부여하고, 그룹이 수행하여야 할 역할을 정의한다.
* 초기 관리의 오버헤드를 줄이고, 직무를 기반으로 하는 접근 통제 모델이다.
*초기 관리의 오버헤드를 줄이고, 직무를 기반으로 하는 접근 통제 모델이다.
* 각 주체에 허용된 접근 수준(Clearance)과 객체에 부여된 허용등급(Classification)에 근거 하여 접근 통제를 운영한다.
*각 주체에 허용된 접근 수준(Clearance)과 객체에 부여된 허용등급(Classification)에 근거 하여 접근 통제를 운영한다.
* 접근 수준과 등급에 대한 정의는 관리자에 의해 설정 및 변경이 가능하다.
*접근 수준과 등급에 대한 정의는 관리자에 의해 설정 및 변경이 가능하다.
* 비 임의적 접근통제 모델(Non-Discretionary) 또는 임무 기반(Task-Based) 접근통제 모델로 불리기도 한다.
*비 임의적 접근통제 모델(Non-Discretionary) 또는 임무 기반(Task-Based) 접근통제 모델로 불리기도 한다.
=== RBAC 예시 ===
 
* 요즘 나오는 업무 시스템들은 대부분 RBAC이다. 인사담당자, 총무담당자 등과 같이 권한 그룹을 통해 접근을 제어한다.
===RBAC 예시===
* 리눅스의 그룹 퍼미션 또한 RBAC라고 할 수 있다.
 
*최근의 업무 시스템들은 대부분 RBAC이다. 인사담당자, 총무담당자 등과 같이 권한 그룹을 통해 접근을 제어한다.
*리눅스의 그룹 퍼미션 또한 RBAC라고 할 수 있다.
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/접근통제_정책"