정보보안기사 : 접근통제
◆ 접근통제 보안정책
- 최대 권한 정책 : 데이터 공유의 장점을 증대. 최대 가용성 원리를 기반으로 하는 정책.
- 최소 권한 정책 : 알 필요의 원칙 정책. 객체 접근에 대하여 강력한 통제. 정당한 주체에게 초과적 제한을 부과하는 단점도 있을 수 있음.
- 개체 기반 정책 : 어떤 사용자가 어떤 행동을 할 수 있는지 타겟별로 목록을 표현.
- 그룹 기반 정책 : 다수의 사용자가 하나의 타겟에 대하여 동일한 권한을 부여받는 정책
◆ 감사증적
사건 발생 과정, 즉 거래 처리과정을 재 생성할 수 있어야 한다. 이를 통해 정보자산 접근주체의 신분, 접근시점 및 수행활동을 추척.
◆ 바이오인식 기술의 요구사항
- 보편성 : 모든사람이 가지고 있는 것
- 유일성 : 동일한 생체특징을 가진 타인이 없어야 한다
- 영구성 : 시간이 지나도 변하지 않아야 한다
- 획득성 : 정량적으로 측정이 가능해야 한다
◆ 바이오인식의 종류
- 생체적 : 지문, 얼굴, 손모양, 홍채, 망막, 정맥
- 행동적 : 서명, 음성, 키보드 입력
◆ 생체인증 시스템의 정확성 측정
- FRR : 잘못된 거부의 비율, 허가된 사용자가 시스템의 오류로 인한 접근거부
- FAR : 잘못된 허용의 비율, 허가되지 않은 사용자가 시스템의 오류로 접근허용
- CER : FRR과 FAR의 교차점
- FER : 등록실패율, 하나의 생체인식 데이터 레코드를 등록할 수 없는 사용자가 발생 측정치
◆ 디바이스 인증기술의 장점
- 보안성
- 경제성
- 상호연동성
◆ 커버로스(Kerberos)
- 분산 인증 서비스 상에서 무결성과 기밀성을 제공
- 사용자 수에 비레하여 상호 세션키를 보관하는 방법. 따라서 사용자수가 증가할 수록 키 관리가 어려워짐
- 키를 장기간 사용 시 세션키의 노출 위험성이 증가
- 비밀 통신 시 마다 세션키를 변경하려면 KDC로부터 새로운 키를 받아야 함
- 암호화기법으로 DES(대칭키)를 사용
- 재전송공격을 막기위해서 타임스탬프 방법을 사용
◆ AAA
- Authentication(인증)
- Authorization(인가)
- Administration(관리)
◎ 접근통제 모델
◆ 강제적 접근통제 (MAC : Mandatory Access Control)
- 모든 객체는 비밀성이 있다는 전제. 객체에 보안라벨을 부여
- 주체와 객체의 보안레벨을 비교해 접근권한 부여
- 주로 군사용으로 사용
- 보안이 강하다 (중앙집중식)
- 모든 접근에 대해 정책을 확인해야해서 성능저하가 우려
- 구현이 어려움
◆ 임의적 접근통제 (DAC : Discretionary Access Control)
- 객체의 소유자가 접근여부를 결정
- MAC에서 보다 동적으로 정보에 접근을 허락함 (분산형 보안관리)
- 세부적ㅇ로 신원기반, 사용자기반, 혼합방식 접근통제로 나뉨
- 통제기준이 주체의 신분
- 신분의 불법적 이용에 취약함
◆ 역할기반 접근통제 (RBAC : Role Based Access Control)
- 사용자의 역할에 기반해서 접근통제
- MAC과 DAC의 단점을 보완한 방식
- 최근에 가장 많이 사용
- non-DAC이라고도 불림
- 관리자 입장에서 편리함
- 주체에 부여된 역할을 기반으로 접근권한을 결정(직무분리의 원칙) -> 업무효율성↑
- 권한남용을 방지하기 위해 최소한의 권한만 허용 (최소권한의 원칙)
◆ Capability list (접근가능 목록)
- 한 주체가 접근 가능한 객체와 권한을 명시한 리스트
- 주체가 소유할 수 있는 하나의 티겟 부여 : Kerberos
- 비교적 객체가 적을 때 유용
◆ Access Control List (접근통제 목록)
- 한 객체에 대해 접근 가능한 주체와 권한을 명시
- 알 필요성에 근거한 ACL사용
- 운영체제, 응용프로그램, 라우터등에서 사용
◆ Access Control Matrix (접근통제 매트릭스)
- 주체의 접근허가를 객체와 연관시킴
- ACL이 열, CL이 행에 해당함
◆ MAC vs DAC
- MAC : 규칙 기반 접근 통제, 관리 기반 접근 통제
- DAC : 신원 기반, 사용자 기반, 혼합 방식 접근 통제
- 보편성 : 모든사람이 가지고 있는 것
- 유일성 : 동일한 생체특징을 가진 타인이 없어야 한다
- 영구성 : 시간이 지나도 변하지 않아야 한다
- 획득성 : 정량적으로 측정이 가능해야 한다
◆ 바이오인식의 종류
- 생체적 : 지문, 얼굴, 손모양, 홍채, 망막, 정맥
- 행동적 : 서명, 음성, 키보드 입력
◆ 생체인증 시스템의 정확성 측정
- FRR : 잘못된 거부의 비율, 허가된 사용자가 시스템의 오류로 인한 접근거부
- FAR : 잘못된 허용의 비율, 허가되지 않은 사용자가 시스템의 오류로 접근허용
- CER : FRR과 FAR의 교차점
- FER : 등록실패율, 하나의 생체인식 데이터 레코드를 등록할 수 없는 사용자가 발생 측정치
◆ 디바이스 인증기술의 장점
- 보안성
- 경제성
- 상호연동성
◆ 커버로스(Kerberos)
- 분산 인증 서비스 상에서 무결성과 기밀성을 제공
- 사용자 수에 비레하여 상호 세션키를 보관하는 방법. 따라서 사용자수가 증가할 수록 키 관리가 어려워짐
- 키를 장기간 사용 시 세션키의 노출 위험성이 증가
- 비밀 통신 시 마다 세션키를 변경하려면 KDC로부터 새로운 키를 받아야 함
- 암호화기법으로 DES(대칭키)를 사용
- 재전송공격을 막기위해서 타임스탬프 방법을 사용
◆ AAA
- Authentication(인증)
- Authorization(인가)
- Administration(관리)
◎ 접근통제 모델
◆ 강제적 접근통제 (MAC : Mandatory Access Control)
- 모든 객체는 비밀성이 있다는 전제. 객체에 보안라벨을 부여
- 주체와 객체의 보안레벨을 비교해 접근권한 부여
- 주로 군사용으로 사용
- 보안이 강하다 (중앙집중식)
- 모든 접근에 대해 정책을 확인해야해서 성능저하가 우려
- 구현이 어려움
◆ 임의적 접근통제 (DAC : Discretionary Access Control)
- 객체의 소유자가 접근여부를 결정
- MAC에서 보다 동적으로 정보에 접근을 허락함 (분산형 보안관리)
- 세부적ㅇ로 신원기반, 사용자기반, 혼합방식 접근통제로 나뉨
- 통제기준이 주체의 신분
- 신분의 불법적 이용에 취약함
◆ 역할기반 접근통제 (RBAC : Role Based Access Control)
- 사용자의 역할에 기반해서 접근통제
- MAC과 DAC의 단점을 보완한 방식
- 최근에 가장 많이 사용
- non-DAC이라고도 불림
- 관리자 입장에서 편리함
- 주체에 부여된 역할을 기반으로 접근권한을 결정(직무분리의 원칙) -> 업무효율성↑
- 권한남용을 방지하기 위해 최소한의 권한만 허용 (최소권한의 원칙)
◆ Capability list (접근가능 목록)
- 한 주체가 접근 가능한 객체와 권한을 명시한 리스트
- 주체가 소유할 수 있는 하나의 티겟 부여 : Kerberos
- 비교적 객체가 적을 때 유용
◆ Access Control List (접근통제 목록)
- 한 객체에 대해 접근 가능한 주체와 권한을 명시
- 알 필요성에 근거한 ACL사용
- 운영체제, 응용프로그램, 라우터등에서 사용
◆ Access Control Matrix (접근통제 매트릭스)
- 주체의 접근허가를 객체와 연관시킴
- ACL이 열, CL이 행에 해당함
◆ MAC vs DAC
- MAC : 규칙 기반 접근 통제, 관리 기반 접근 통제
- DAC : 신원 기반, 사용자 기반, 혼합 방식 접근 통제
댓글
댓글 쓰기