1. 접근통제의 모델
🔶 강제적 접근통제(MAC, Mandatory Access Control)
1) 개요
- 자원의 보안 레벨과 사용자의 보안 취급인자를 비교하여 접근 제어한다.
- 취급인가를 가진 특정 개체가 자신의 의지로 다른 개체가 어떤 자원에 접근할 수 있게 할 수 없다는 점에서 강제적 접근 제어라 한다.
- 보안 레이블(자원)과 보안 허가증(개체)을 비교하는 것에 기반을 두는 접근제어이다.
- 다중수준 보안 정책(MLS) 에 기반하며, 서로 다른 분류 수준에 있는 데이터가 보호되는 방법을 지시한다.
- 대표적인 모델은 BLP(벨라파듈라)모델, Biba 모델, 클락-윌슨 모델 그리고 만리장성 모델이다.
2) 특징
- 비밀성을 갖는 객체에 대하여 주체가 갖는 권한에 근거하여 객체에 대한 접근을 제어하는 방법으로 관리자만이 정보자원을 분류를 설정하고 변경하는 방법이다.
- 규칙은 보안전문가에 의해 생성, 운영자에 의해 설정, 운영시스템에 의해 집행되며, 다른 보안기술들에 의해 지원된다.(중앙 집중형 보안관리)
3) 문제점
- 매우 제한적인 사용자 기능과 많은 관리적 부담을 요구하고, 비용이 많이 소모된다.
- 사용자 친화적이지 않다. (주로 군 시스템에 사용된다.)
- 모든 접근에 대해 레이블링을 정의하고 보안 정책을 확인해야하기 때문에 성능저하가 우려된다.
🔶 임의적 접근통제(DAC, Discretionary Access Control)
1) 개요
- 주체가 속해 있는 그룹의 신원에 근거하여 객체에 대한 접근을 제한하는 방법으로 객체의 소유자가 접근 여부를 결정한다.
- 주체 또는 그들이 속해 있는 그룹의 신분에 근거해 객체에 대한 접근을 제한하는 정책이다.
- DAC 정책은 접근을 요청하는 주체의 식별에 기초하며, 임의적으로 어떤 객체에 대하여 주체가 접근권한을 추가 및 철회할 수 있다.
2) 특징
- 중앙 집중화적이지 않고 MAC에서의 보다 정적인 역할에 비해 사용자에게 동적으로 정보에 접근할 수 있도록 해준다.(분산형 보안관리)
- 대부분의 운영시스템(windows, 리눅스, 매킨토시, 유닉스)에서 사용된다.
3) 장단점
- 객체별로 세분화된 접근제어가 가능하다.
- 사용자 자신의 자원에 대한 접근 제어를 개별적으로 수행하므로 시스템 전체 차원의 일관성 있는 접근 제어가 부족할 수 있다.
- 멀웨어는 DAC 시스템에 있어서 치명적이고, 바이러스, 웜, 루트킷은 DAC 시스템에 설치되어 응용프로그램으로도 실행될수 있다
- 트로이목마 공격에 취약하다.
🔶 역할기반 접근통제(RBAC,Role Based Access Control)
1) 개요
- 사용자의 역할에 기반을 두고 접근을 통제하는 모델이다
- RBAC는 권한을 역활과 연관시키고 사용자들이 적절한 역할을 할당받도록하여 권한의 권리를 용이하게 하는 것이다.
- 직무에 의한 책임과 자질에 따라 역할을 할당받는다. (역할은 사용자 집합과 권한 집합의 매개체)
2) 특징
- 중앙에서 관리되는 통제 모음을 사용한다.
- MAC와 DAC의 단점을 보안한 접근통제 기법이다.
- 주체의 인사이동이 잦은 조직에 적합한 접근통제 방식으로 최근에 가장 많이 사용된다.
3) 장점
- 관리자에게 편리한 관리능력을 제공하며 비기술적 정책 입안자도 쉽게 이해할 수 있다.
- 전체 시스템 관점에서 일관성 있는 접근제어가 용이하다
- 역할 수행에 반드시 필요한 접근권한만 부여함으로써 최소 권한 부여 원칙을 충족시키기 용이하다.
2. 보안 모델
🔷 벨라파듈라 모델(BLP) - MAC
1) 개요
- 허가된 비밀정보에 허가되지 않은 방식의 접근을 금지하는 기밀성을 집행하는 상태머신 모델이며, 정보흐름 모델이고 다중등급 보안 정책에 대한 최초의 수학적 모델이다.
2) 보안 규칙
- 기밀성 중심의 다중 수준 보안을 위한 요구조건의 일반적 기술에 의하면, 높은 수준의 주체는 낮은 수준의 주체에 정보를 전달할 수 없다.
- 기밀성을 위한 다중 수준 보안 시스템은 다음과 같은 사항을 준수해야 한다.
- No read up : 주체는 같거나 낮은 보안 수준의 객체만 읽을 수 있다. (ss-property)
- No write down : 주체는 같거나 높은 보안 수준의 객체에만 쓸 수 있다. (* -property)
- 특수 * -속성 규칙 : 주체가 객체에 대하여 읽기, 쓰기를 할 수 있기 위해서는 보안 허가, 보안 분류가 동일해야 한다.
3) BLP 모델의 트로이목마 방어
- 트로이목마는 같고 낮은 단계의 파일 A의 내용을 읽을 수 있다.(ss-property) 그러나 트로이목마는 공격자가 접근할 수 있는 낮은 보안 단계의 파일 S에 파일 A내용을 쓸 수 없다. (* -property)
3) 장단점
- BLP 모델은 기밀성 유지에는 매우 강한 특성을 가진다.
- 보안단계가 낮은 사용자가 높은 객체의 정보를 쓸 수 있으므로 정보의 무결성 유지에는 문제점을 노출 할 수 있다.
🔷 비바 무결성 모델(Biba Integrity Model) - MAC
1) 개요
- 상태머신 모델이며 최초의 수학적 무결성 모델로서, 무결성의 3가지 목표중 비인가자에 의한 데이터 변형 방지만 취급한다.
2) 보안 규칙
- 단순 무결성(simple intergrity) : 객체의 무결성 수준이 주체의 무결성 수준보다 우세할 때만 주체는 객체를 읽을 수 있다.
- 무결성 제한(star intergrity) : 주체의 무결성 수준이 객체의 무결성 수준보다 우세할 때만, 주체는 객체를 변경할 수 있다.
- 호출 속성(invocation property) : 주체보다 높은 무결성을 갖는 주체에게 서비스를 요청할 수 없다. 주체는 낮은 무결성 수준에 대해서만 호출이 가능하다.