10. 접근통제 모델

접근통제 모델

    MAC

        주체와 객체의 등급을 비교하여 접근권한을 부여

        중앙집중형 보안관리

        비용이 많이 들어간다, 상업적인 환경에 적용이 힘듦

 

    DAC

        접근하고자 하는 주체의 신분에 따라 접근권한을 부여

        분산형 보안관리

        유연한 접근 제어 서비스를 제공

        뭘웨어에 취약함

        임의적 접근 통제 기법

            접근제어 행렬(ACM, Access Contro Matrix)

                효과적으로 권한 부여 정책을 정의할 수 있음

                주체와 객체의 수가 많아질수록 행렬의 크기가 상당히 커진다.(관리가 어려움)

 

            자격목록(Capability list, Capability Tickets, Capability Table, 권한 리스트)

                Capability Tickets은 ACLS의 편리한 점 및 불편한 점과 서로 반대

                Capability Table의 예로는 커버로스가 있다(티켓을 기반으로 접근 통제를 한다.)

 

            접근제어 목록(ACLs, Access Control Lists)

                객체 중심으로 하나의 객체에 대한 접근권한을 갖고 있는 주체들의 모임

        

    RBAC

        주체와 객체 사이에 역할을 부여

        역할은 사용자 집합과 권한 집합의 매개체

        중앙에서 관리되는 통제 모음을 사용(접근권한의 설정은 관리자)

        최소 권한 부여 원칙 충족, 직무 분리 원칙 충족

 

보안모델

    BLP(Bell-Lapadula)(MAC)

        No Read UP, No Write Down

        기밀성에 중점

 

    Biba(MAC)

        No Read Down, No Write Up

        무결성에 중점

 

    클락-윌슨 무결성 모델(MAC)

        무결성 중심의 상업적 모델

        수정을 예방, 직무분리, 정확한 트랜잭션

 

    만리장성 모델(MAC, DAC)

        브루어-내시 모델

        주체와 객체 사이에서 이해충돌을 야기하는 방식으로 정보가 흐르지 않도록 한다.