1. 접근통제의 모델
1) 강제적 접근통제 (MAC)
- MAC 대표적인 모델 : BLP(Bell-LAPadula), Biba, 클락-윌슨, 만리장성
> 기밀성 : BLP / Biba, 클락윌슨 : 무결성 / 만리장성 : 기밀성 + MAC + DAC
> Security Labels : levels X categories(또는 compartment)
> 특징 : 규칙은 관리자가 생성, 운영자에 의해 설정, 시스템에 의해 집행 => 중앙집중형
> 문제점 : 매우 제한적인 사용자 기능과 많은 관리적 부담, 많은 비용, 성능 저하가 우려됨
> 사용 : 군시스템으로 자주 사용, 방화벽(F/W), SELinux
2) 임의적 접근통제 (DAC)
- 허가 된 주체(객체 소유자)에 의하여 변경 가능한 하나의 주체와 객체 간의 관계를 정의
- 접근을 요청하는 주체의 식별에 기초하여 임의적으로 어떤 객체에 대하여 주체가 접근권한을 추가 또는 철회 가능
- DAC은 신원 기반 접근 통제, 사용자 기반 접근통제, 혼합 방식 접근 통제로 분리
> 특징 : 분산형 보안관리
> 사용 : 대부분의 운영체제. DB
> 장점 : 객체별로 세분화 된 접근제어가 가능, 객체 소유자가 임의로 접근 권한 부여 가능하여 유연한 접근 제어 서비스 제공
> 단점 : 객체에 대해 주체들이 개별적으로 수행하고 있어 일관성 있는 제어 불가능
바이러스, 웜, 루트킷(Rootkit), 트로이 목마 등 취약함
계정 도용으로 보안 Hole 발생 가능성 있음
- 접근제어 행렬(Access Control Matrix)
> 주체를 행(Row), 객체를 열(Column)로 구성하여 접근권한을 행과 열이 만나는 셀에 기록하여 접근제어 정책 관리(엑셀 생각)
> 주체와 객체의 수가 많아질 경우 행렬의 크기가 커져 관리가 어려운 단점이 있음
> 행과 열로 명시 했을 때 비어있는 셀(희소행렬)이 많아지게 되며 공간적으로 비효율적임
- 자격 목록
- 접근제어 목록(ACLs,)
3) 역할기반 접근통제(RBAC)
- MAC과 DAC의 단점을 보완한 접근통제 기법
- Non-DAC이라도 불림
- 역할과 접근권한의 설정으 관리자에 의해 이루어지며 사용자가 접근권한 설정 금지
- RBAC의 기본 보안 정책 : 특권의 최소화, 직무의 분리, 데이터 추상화
- RBAC의 장점 : 관리자에게 편리한 관리능력 제공 및 이해가 쉬움
| 항목 | MAC | DAC | RBAC |
| 정의 | 주체와 객체의 등급을 비교하여 접근 권한을 부여하는 접근 통제 | 접근하고자 하는 주체의 신분에 따라 접근권한을 부여하는 접근 통제 | 주체와 객체 사이에 역할을 부여하여 임의적, 강제적 접근통제의 약점을 보완 |
| 권한부여 | System | Data Owner | Central Authority |
| 접근결정 | Security Label | 신분 | 역할(Role) |
| 정책 | 경직 | 유연 | 유연 |
| 장점 | 중앙 집중/안정적 | 유연함, 구현 용이 | 관리용이 |
| 단점 | 구현 및 운영의 어려움 성능저하 및 고비용 |
멀웨어에 취약 및 ID도용 시 통제 불가 | |
| 적용 사례 | 방화벽(F/W) | ACL | HIPAA |
'정보보안기사' 카테고리의 다른 글
| 18강. Section 12 보안 운영체제 (0) | 2023.11.06 |
|---|---|
| 17강. Section 10 접근통제 보안 모델_(1) 벨라파듈라 모델 (0) | 2023.11.02 |
| 15강. Section 09 사용자 인증_3 (2) | 2023.10.27 |
| 14강 Section 09 사용자 인증_2.사용자 인증 기법 (0) | 2023.10.26 |
| 13강 Section 08 접근통제 개요 (0) | 2023.10.23 |