접근통제 정책 Access Control Policy
어떤 주체(who)가 언제(when) 어디서(where), 어떤 객체(what)에 대해서,
어떠한 행위(how)를 하도록 허용 또는 거부 할 것인지 정의한 것
임의적 접근통제 (DAC : Discretionary Access Control)
접근 주체 신분기반 접근권한 부여
데이터의 소유자가 접근을 요청하는 사용자의 신분 즉 식별자에 기초하여 객체에 대해 접근을 제한하는 접근통제 방법
DAC의 특징
1. 접근 권한을 객체의 소유자가 임의로 지정하는 자율적 정책
2. 접근통제 목록(ACL) 등을 사용
3. 허가된 주체에 의하여 변경 가능한 하나의 주체와 객체간의 관계를 정의
4. 오렌지북 C 레벨의 요구사항이다
5. 상업적 용도로 사용된다
6. 신분 도용시 통제 방법이 없다
강제적 접근통제 (MAC : Mandatory Access Control)
주체, 객체 등급 기반 접근 권한 부여
강제적인 접근 제한, 정보시스템 내에서 어떤 주체가 객체에 접근하려 할 때 양자의 보안 등급을 비교하여 높은 보안을 요하는 정보가 낮은 보안수준의 주체에게 노출되지 않도록 접근을 제한하는 접근 통제 방법이다
MAC의 특징
1. 규칙이 단순해 관리가 용이
2. 개인, 데이터별로 명확한 보안등급을 가진다
3. 젭근 승인은 보안레벨과 카테고리로 구성된 보안레이블에 의해 제한됨
4. 접근 정책은 시스템에 의해서 강제적으로 정의됨
5. 오렌지북 B 레벨의 요구사항으로 DAC보다 안전
6. 매우 엄격하여 군대같은 민감한 정보의 기밀성을 보장하는데 사용됨
7. 모든 접근에 대해 보안등급을 정의하고 확인해야 하기 때문에 개발, 구현이 어려움
역할기반 접근 통제 (RBAC : Rule-Based Access Control)
주체, 객체 역할기반 권한 부여
주체가 적절한 역할에 할당되고 그에 맞는 접근권한이 할당된 경우만 객체에 접근할 수 있는 비임의적 접근제어
RBAC의 특징
1. 주체의 역할이나 임무에 따라 객체의 접근 권한을 제어하는 방식
2. 조직의 기능 변화나 인사 이동에 따른 관리적 업무의 효율성을 높일 수 있다
3. 역할에 따라 설정된 권한만 할당되기에 보안 관리가 단순하고 편리
4. 최소 권한의 원칙, 직무 분리 원칙이 지켜진다
5. 금융 기관, 정부, 공공기관에서 효과적으로 사용
6. 오렌지북 C 레벨의 요구사항으로 MAC 보다는 보안 안전성이 낮다
7. 퇴사자가 많은 경우 역할기반 접근 통제가 유리하다
|
구분 |
MAC |
DAC |
RBAC |
|
보안 주체 |
시스템 |
소유자 |
역할 |
|
통제 주체 |
보안 레이블 |
권한 위임 |
참조 모니터 |
|
사용자 통제 |
단순 |
복잡 |
유연 |
|
적용 대상 |
군대 |
기업 |
대기업 |
|
오렌지북 |
B 레벨 |
C 레벨 |
C 레벨 |
|
장점 |
안전/중앙집중 |
구현이 용이 |
다양한 접근권한 |
|
단점 |
구현, 비용, 성능 문제 |
신분 위장 |
X |