살구월드

접근 통제 정책(MAC, DAC, RBAC)

Security
2020. 7. 4. 23:59
잠깐, 리눅스, C 언어, Java, Python 등
각종 예제 검색하기

정보보안기사 관련 포스팅 목록

2020/06/22 - [Security] - 멜트다운 취약점

2020/06/22 - [Security] - 서버사이드에서 동작하는 웹페이지

2020/06/18 - [Security] - Nmap 설치 및 사용법 - 2

2020/06/17 - [Security] - Nmap 설치 및 사용법 - 1

2020/04/29 - [Security] - PMI

2020/04/28 - [Security] - SAML

 

 

접근통제정책

정보보안기사 필기, 실기 시험에 출제되는 접근통제정책이란 어떤 상황에서 행위를 허용하거나 거부할 것인지에 대한 내용을 정의합니다.

 

Concept
	- 누가(Who)
	- 언제(When) 
	- 어디서(Where)
	- 어떤 것에(What)
	- 어떤 행위를 하도록 허용 또는 거부할 것인가에 대한 내용

 

접근 통제 시스템
	- 객체의 기밀성, 무결성 및 가용성을 보장하는 시스템
	- OS의 참조모니터(Reference Monitor)가 접근 통제를 수행

 

 

 

참조모니터(Reference Monitor)

- 객체에 대한 접근 통제 결정을 중재하는 OS의 요소이다.
- 모든 접근 요청은 반드시 참조모니터를 통과해야 하는 단일점(Signle Point)이다.
- 누군가(Who)가 객체에 접근할 때 모든 접근을 중재하는 소프트웨어이다.
- 객체에 접근 요청이 있을 때만 실행되며 방화벽은 참조 모니터의 다른 형태이다
- 완전성(Completeness), 격리성(Isolation), 검증가능성(Verifiability) 요소 만족 필요

 

 

접근통제 영역(Layer)

접근 통제 영역의 흐름은 최상위 관리적 통제부터 시작하여 기술적 통제, 물리적 통제 순서로 프레임워크를 수립하는 것이 좋다. 아래는 각 통제 구간의 특징이다.

 

관리적 통제
	- 조직의 목표 달성을 위한 구성원들이 준수해야 할 책임과 역할 등의 관리 통제
	- 정책, 표준, 지침, 절차, 보안교육, 훈련, 인적관리 등을 의미

기술적 통제
	- 그룹의 시스템과 데이터를 보호하기 위한 기술적 통제를 의미
	- 데이터 암호화, 패스워드 설정, 스마트카드 사용, 방화벽 구성, IDS 구축 등

물리적 통제
	- 그룹의 시스템을 보호하기 위한 시설 및 환경을 통제
	- 울타리 설계, 자물쇠 잠금, ID카드 사용, CCTV 구성 등

 

 

 

MAC(Mandatory Access Control)

강제적인 접근 제한 또는 MAC은 정보시스템 내에서 어떤 주체가 어떤 객체에 접근하려 할 때 양자의 보안레이블(보안등급)을 비교하여 높은 보안을 요하는 정보가 낮은 보안수준의 주체에게 노출되지 않도록 접근을 제한하는 접근통제 방법이다.

 

특징

- 접근승인 제한
   - 보안 단계와 카테고리로 구성되는 보안레이블에 의해 제한
   
- 접근정책
   - 시스템이 접근정책을 강제 정의하기 때문에 Rule-based 접근통제라고 함
   
- 오렌지북 B-레벨의 요구사항으로 DAC보다 안전

 

 

 

DAC(Discretionary Access Control)

데이터 소유자가 접근을 요청하는 사용자의 식별자를 확인하여 객체에 대한 접근을 통제하는 방법

 

특징

 - 접근 권한을 객체의 소유자가 자율적으로 지정할 수 있는 정책
 - 허가된 주체간 객체간의 관계를 정의
 - 접근 통제 목록(ACL - Access Control List)을 사용
 - 강제적 접근제어 (MAC) 방식을 대체하지 못함
 - 오렌지북 C-레벨의 요구사항

 

 

RBAC(Role-based Access Control)

주체가 적절한 역할(role)에 할당되고 역할에 적합한 접근권한이 할당된 경우만 객체에 접근할 수 있는 비임의적 접근제어(Non DAC) 방식으로 전통적인 DAC와 MAC의 대체 수단으로 사용된다.

 

특징

- 주체의 역할 또는 임무에 따라 객체에 대한 접근 권한 제어
- 그룹의 기능 변화 또는 인사이동에 따른 관리적업무의 효율성이 높음
- 역할에 대응하는 권리만 할당하기 때문에 보안 관리가 간단
- 알 필요성 원칙, 최소권한 원칙, 직무분리 원칙이 보장됨
- 금융기관, 정부나 공공기관에서 효과적.
- 오렌지북 C- 레벨의 요구사항
저작자표시 변경금지
잠깐, 리눅스, C 언어, Java, Python 등
각종 예제 검색하기

공유하기

facebook twitter kakaoTalk kakaostory naver band

'Security' 의 관련글

티스토리툴바