접근통제: Difference between revisions

From IT Wiki
No edit summary
No edit summary
 
(4 intermediate revisions by 2 users not shown)
Line 1: Line 1:
[[분류:보안]][[분류:정보보안기사]]
[[분류:보안]][[분류:정보보안기사]]


== 원칙 ==
* 시스템 주체에게 권한을 부여할 때에는 조직의 업무효율을 떨어뜨리지 않을 만큼의 필요최소한의 권한만 부여되어야 한다.
* 경영자나 관리자 한 사람이 업무의 발생, 승인, 변경, 확인, 배포 등을 처음부터 끝까지 처리할 수 없도록 해야 한다.
* 보안정책에 따른 접근 허용된 주체와 주체의 접근 가능한 접근통제 규칙을 설정하고, 접근규칙에 해당하지 않는 모든 접근에 대해서는 위반으로 간주한다.
* 금지된 주체와 객체의 리스트들에 대해서 미리 접근통제 규칙을 설정하고, 접근 통제 규칙에 설정되지 않은 모든 접근에 대해서는 허용한다.
== 접근통제 3요소 ==
;정책, 메커니즘, 모델
{| class="wikitable"
{| class="wikitable"
|-
|-
! 요소 !! 예시 !! 설명
! 요소 !! 예시 !! 설명
|-
|-
| [[접근통제 정책]] || MAC, DAC, RBAC || 자원제 접근하려면 사용자를 통제하기 위한 정책
| [[접근통제 정책]] || MAC, DAC, RBAC, ABAC || 자원제 접근하려면 사용자를 통제하기 위한 정책
|-
|-
| [[접근통제 메커니즘]] || ACL, SL, SL || 접근 요청을 정의된 규칙에 따라 적용시키기 위한 시스템 구현 방식  
| [[접근통제 메커니즘]] || ACL, SL, CL || 접근 요청을 정의된 규칙에 따라 적용시키기 위한 시스템 구현 방식  
|-
|-
| [[접근통제 모델]] || BLP, BIBA, Clark-Wilson || 시스템 보안 요구사항을 구현하기 위한 보안 모델
| [[접근통제 모델]] || BLP, BIBA, Clark-Wilson, Chinese Wall || 시스템 보안 요구사항을 구현하기 위한 보안 모델
|}
 
== 상세 ==
{| class="wikitable"
! 구분
! 구성요소
! 설명
|-
| rowspan="4" | [[접근통제 정책]]
| [[임의적 접근통제]]
(DAC)
|
* 주체-객체 권한 나열
* 권한자는 권한을  이양할 수 있음
|-
| [[강제적 접근통제]]
(MAC)
|
* 보안등급 기반
* 모든 주체, 객체에 대해 일정
|-
| [[역할 기반 접근통제]]
(RBAC)
|
* DAC와 MAC의 단점 보완
* 역할별로 권한 부여
|-
| [[속성 기반 접근통제]]
(ABAC)
|
* 객체, 주체의 속성에 따른 통제
* 접근 시간 등 접근 환경 고려
|-
| rowspan="3" | 접근통제 메커니즘
| [[ACL|ACL(Access Control List)]]
|
* 주체-객체별 권한 나열
|-
| [[CL|CL(Capability List)]]
|
* 주체를 기준으로 접근허가 목록
|-
| [[보안 라벨|SL(Security Label)]]
|
* 객체에 부여된 보안 속성 집합
|-
| rowspan="4" | [[접근통제 모델]]
| [[벨-라파둘라 모델|벨-라파둘라(BLP)]]
|
* 군사적 목적 충족, 최초 모델
* No read up / No write down
|-
| [[비바 모델|비바(BIBA)]]
|
* BLP단점 보완 무결성 모델
* No write up / No read down
|-
| [[클락-윌슨 모델|클락-윌슨(Clark-Wilson)]]
|
* 무결성 중심의 상업용 모델
* 무결성 등급 격자 사용
|-
| [[만리장성 모델|만리장성(Chinese Wall)]]
|
* 주체 동작에 따른 접근 통제
* 이해 충돌 방지
|}
|}

Latest revision as of 23:14, 29 May 2023


원칙[edit | edit source]

  • 시스템 주체에게 권한을 부여할 때에는 조직의 업무효율을 떨어뜨리지 않을 만큼의 필요최소한의 권한만 부여되어야 한다.
  • 경영자나 관리자 한 사람이 업무의 발생, 승인, 변경, 확인, 배포 등을 처음부터 끝까지 처리할 수 없도록 해야 한다.
  • 보안정책에 따른 접근 허용된 주체와 주체의 접근 가능한 접근통제 규칙을 설정하고, 접근규칙에 해당하지 않는 모든 접근에 대해서는 위반으로 간주한다.
  • 금지된 주체와 객체의 리스트들에 대해서 미리 접근통제 규칙을 설정하고, 접근 통제 규칙에 설정되지 않은 모든 접근에 대해서는 허용한다.

접근통제 3요소[edit | edit source]

정책, 메커니즘, 모델
요소 예시 설명
접근통제 정책 MAC, DAC, RBAC, ABAC 자원제 접근하려면 사용자를 통제하기 위한 정책
접근통제 메커니즘 ACL, SL, CL 접근 요청을 정의된 규칙에 따라 적용시키기 위한 시스템 구현 방식
접근통제 모델 BLP, BIBA, Clark-Wilson, Chinese Wall 시스템 보안 요구사항을 구현하기 위한 보안 모델

상세[edit | edit source]

구분 구성요소 설명
접근통제 정책 임의적 접근통제

(DAC)

  • 주체-객체 권한 나열
  • 권한자는 권한을 이양할 수 있음
강제적 접근통제

(MAC)

  • 보안등급 기반
  • 모든 주체, 객체에 대해 일정
역할 기반 접근통제

(RBAC)

  • DAC와 MAC의 단점 보완
  • 역할별로 권한 부여
속성 기반 접근통제

(ABAC)

  • 객체, 주체의 속성에 따른 통제
  • 접근 시간 등 접근 환경 고려
접근통제 메커니즘 ACL(Access Control List)
  • 주체-객체별 권한 나열
CL(Capability List)
  • 주체를 기준으로 접근허가 목록
SL(Security Label)
  • 객체에 부여된 보안 속성 집합
접근통제 모델 벨-라파둘라(BLP)
  • 군사적 목적 충족, 최초 모델
  • No read up / No write down
비바(BIBA)
  • BLP단점 보완 무결성 모델
  • No write up / No read down
클락-윌슨(Clark-Wilson)
  • 무결성 중심의 상업용 모델
  • 무결성 등급 격자 사용
만리장성(Chinese Wall)
  • 주체 동작에 따른 접근 통제
  • 이해 충돌 방지