정보보안기사 관련 포스팅 목록
2020/06/22 - [Security] - 멜트다운 취약점
2020/06/22 - [Security] - 서버사이드에서 동작하는 웹페이지
2020/06/18 - [Security] - Nmap 설치 및 사용법 - 2
2020/06/17 - [Security] - Nmap 설치 및 사용법 - 1
2020/04/28 - [Security] - SAML
접근통제정책
정보보안기사 필기, 실기 시험에 출제되는 접근통제정책이란 어떤 상황에서 행위를 허용하거나 거부할 것인지에 대한 내용을 정의합니다.
Concept
- 누가(Who)
- 언제(When)
- 어디서(Where)
- 어떤 것에(What)
- 어떤 행위를 하도록 허용 또는 거부할 것인가에 대한 내용
접근 통제 시스템
- 객체의 기밀성, 무결성 및 가용성을 보장하는 시스템
- OS의 참조모니터(Reference Monitor)가 접근 통제를 수행
참조모니터(Reference Monitor)
- 객체에 대한 접근 통제 결정을 중재하는 OS의 요소이다.
- 모든 접근 요청은 반드시 참조모니터를 통과해야 하는 단일점(Signle Point)이다.
- 누군가(Who)가 객체에 접근할 때 모든 접근을 중재하는 소프트웨어이다.
- 객체에 접근 요청이 있을 때만 실행되며 방화벽은 참조 모니터의 다른 형태이다
- 완전성(Completeness), 격리성(Isolation), 검증가능성(Verifiability) 요소 만족 필요
접근통제 영역(Layer)
접근 통제 영역의 흐름은 최상위 관리적 통제부터 시작하여 기술적 통제, 물리적 통제 순서로 프레임워크를 수립하는 것이 좋다. 아래는 각 통제 구간의 특징이다.
관리적 통제
- 조직의 목표 달성을 위한 구성원들이 준수해야 할 책임과 역할 등의 관리 통제
- 정책, 표준, 지침, 절차, 보안교육, 훈련, 인적관리 등을 의미
기술적 통제
- 그룹의 시스템과 데이터를 보호하기 위한 기술적 통제를 의미
- 데이터 암호화, 패스워드 설정, 스마트카드 사용, 방화벽 구성, IDS 구축 등
물리적 통제
- 그룹의 시스템을 보호하기 위한 시설 및 환경을 통제
- 울타리 설계, 자물쇠 잠금, ID카드 사용, CCTV 구성 등
MAC(Mandatory Access Control)
강제적인 접근 제한 또는 MAC은 정보시스템 내에서 어떤 주체가 어떤 객체에 접근하려 할 때 양자의 보안레이블(보안등급)을 비교하여 높은 보안을 요하는 정보가 낮은 보안수준의 주체에게 노출되지 않도록 접근을 제한하는 접근통제 방법이다.
특징
- 접근승인 제한
- 보안 단계와 카테고리로 구성되는 보안레이블에 의해 제한
- 접근정책
- 시스템이 접근정책을 강제 정의하기 때문에 Rule-based 접근통제라고 함
- 오렌지북 B-레벨의 요구사항으로 DAC보다 안전
DAC(Discretionary Access Control)
데이터 소유자가 접근을 요청하는 사용자의 식별자를 확인하여 객체에 대한 접근을 통제하는 방법
특징
- 접근 권한을 객체의 소유자가 자율적으로 지정할 수 있는 정책
- 허가된 주체간 객체간의 관계를 정의
- 접근 통제 목록(ACL - Access Control List)을 사용
- 강제적 접근제어 (MAC) 방식을 대체하지 못함
- 오렌지북 C-레벨의 요구사항
RBAC(Role-based Access Control)
주체가 적절한 역할(role)에 할당되고 역할에 적합한 접근권한이 할당된 경우만 객체에 접근할 수 있는 비임의적 접근제어(Non DAC) 방식으로 전통적인 DAC와 MAC의 대체 수단으로 사용된다.
특징
- 주체의 역할 또는 임무에 따라 객체에 대한 접근 권한 제어
- 그룹의 기능 변화 또는 인사이동에 따른 관리적업무의 효율성이 높음
- 역할에 대응하는 권리만 할당하기 때문에 보안 관리가 간단
- 알 필요성 원칙, 최소권한 원칙, 직무분리 원칙이 보장됨
- 금융기관, 정부나 공공기관에서 효과적.
- 오렌지북 C- 레벨의 요구사항반응형