[필기] 정보보안일반 2

- 식별(Identification) : 로그인 시 사용자 ID 확인하는 과정

- 인증(Authentication) : 로그인 시 패스워드 정확한지 확인

- 인가(Authorization) : 인증 후 사용자에게 읽기, 쓰기, 실행 권한 부여

- 접근 통제(Access Control) : 주체에 대한 객체의 접근 통제

- 주체 :  자원의 접근을 요구하는 활동 개체(사람, 프로그램, 프로세스 등)

- 객체 : 자원을 가진 수동적인 개체(DB, 컴푸터, 파일 등)

 

- 접근통제 원칙

최소 권한의 원칙 : 최소한의 권한만 허용. 권한 남용 방지

직무분리 : 업무의 발생, 승인, 변경, 확인, 배포 등 한 사람에 의해 처리되지 않아야함

 

- 참조모니터(Reference Monitor)

주체가 객체를 참조할 때 직접참조하지 않고 보안 커널 통해 수행

보안 커널은 주체에 대한 정당한 권한 확인, 접근한 객체에 대한 정보를 로깅

결함 발생 가능성 있는 취약점은 보안 커널 통해 차단

참조모니터 3가지 요소

> 완전성(Completeness) : 우회 불가능

> 격리(Isolation) : 부정 조작 불가능

> 검증성(Verifiability) : 검증 가능성 

 

---

접근 통제 기술 

1.MAC(Macdatory Access Control) 강제적 접근통제

- 관리자에 의해 권한 할당/해제

- 비밀 취급 인가 레이블, 객체의 민감도 레이블에 따라 지정되는 방식

- 데이터 접근은 시스템이 결정(정해진 Rule)

- 오직 관리자만 자원의 카테고리 변경 가능

- MAC 종류

 > Rule-based MAC : 주체와 객체의 특성에 관계된 특정 규칙에 따른 접근 통제 방화벽

 > Administratively-directed  MAC : 객체에 접근할 수 있는 시스템 관리자에 의한 통제

 > CBP(Compartment-Based Policy) : 일련의 객체 집합을 다른 객체와 분리. 동일 수준의 접근 허가를 갖는 부서라도 다른 보안 등급 가짐. ex. 팀장 -> 자기팀원 급여 알지만 다른 부서 팀원 볼 수 없음

 > MLP(Multi-Level Policy) : 미국 국방성 컴퓨터 보안 평가지표에 사용. BLP 수학적 모델로 표현 가능

 

2.DAC(Discretionary Access Control) 자율적 접근통제

- 객체의 소유자가 권한 부여

- User-Based, Identity : 사용자 신분에 따라 임의로 접근 제어하는 방식

- 융통성 좋음. unix, dbms 상용 os에서 구현 가능

- 접근 통제 목록 사용 : read, write, execute

- MAC 단점 극복위해 나온 것은 아님

- DAC 종류

 > Identity-based DAC : 주체와 객체의 ID에 따른 접근 통제(UNIX) 

 > User-directed : 객체 소유자가 접근 권한을 설정 및 변경 할 수 있는 방식

 

3.Non-DAC(Discretionary Access Control) 비임의적 접근통제

- 주체의 역할에 따라 접근할 수 있는 객체 지정(Role-based, Task-based)

- 기업 내 개인의 작은 이동(직무순환), 조직 특성에 밀접하게 적용하기 위한 통제 방식

- 중앙 인증(Central Authority) : 중앙 관리자에 의해 접근 규 칙 지정

- 사용자별 접근 통제 규칙 설정할 필요 없음

- Non-DAC 종류

 > Role-based Access Control(RBAC) : 사용자의 역할에 권한 부여(pm, 개발자, 디자이너 등), 사용자가 적절한 역할 할당 + 역할에 적합한 권한 할당 = 사용자가 특정한 모드로 정보에 대한 접근 통제