접근통제 모델

접근통제 모델

특정 주체가 특정 객체에 대한 접근을 어떻게 할 것인가에 대한 일정한 규칙을 만들어 놓은 것

벨-라파둘라(Bell-Lapadula) 모델

• 1973년 미국 MITRE 연구소에서 Bell과 Lapadula가 개발하였으며 최초의 수학적 모델
• 정보가 하위에서 상위로 흐른다(Bottom-Up)는 개념을 적용한 모델
• 정보를 극비(Top Secret), 비밀(Secret), 미분류(Unclassified)로 구분
• 컴퓨터 보안 평가 지침서(TCSEC, Trusted Computer System Evaluation Criteria, 오렌지북(Orange Book)이라고도 함) 기반 기밀성 모델, 강제적 접근통제 모델, 군사적 모델

보안 규칙

단순 보안 규칙(No Read Up)

• 낮은 등급의 주체는 높은 등급의 객체를 읽을 수 없음
• 주체의 등급이 객체의 등급보다 높거나 같을 때만 그 객체를 읽을 수 있음

성형 보안 규칙(No Write Down)

• 높은 등급의 주체는 낮은 등급의 객체에 쓸 수 없음
• 주체의 등급이 객체의 등급보다 낮거나 같을 때만 그 객체를 기록할 수 있음

BLP 모델 문제점

• 접근 권한 수정에 관한 정책이 없음
• 은닉 채널(Covert Channel)을 포함할 수 있음
• 기밀성은 유지되지만, 무결성은 파괴될 수 있음(Blind Write가 발생)

비바(Biba) 모델

• Bell-Lapadula 모델의 단점인 무결성을 보완한 최초의 수학적 모델
• 정보가 상위에서 하위로 흐른다(Top-Down)는 개념을 적용한 모델로 기밀성보다는 정보의 불법 변경을 방지하기 위한 금융권 등에서 사용되는 모델
• 무결성 모델, 군사적 모델

보안 규칙

단순 무결성 규칙(No Read Down)

• 높은 등급의 주체는 낮은 등급의 객체를 읽을 수 없음
• 주체의 등급이 객체의 등급보다 낮거나 같을 때만 그 객체를 읽을 수 있음

성형 무결성 규칙(No Write Up)

• 낮은 등급의 주체는 높은 등급의 객체에 쓸 수 없음
• 주체의 등급이 객체의 등급보다 높거나 같을 때만 그 객체를 기록할 수 있음

클락-윌슨(Clark-Wilson) 모델

• Biba 모델과 같이 정보의 무결성을 강조한 모델로서 Biba 모델보다 더 진화한 형태
• 금융이나 회계 분야에서 기밀성보다 무결성이 중요함을 고려하여 설계
• 무결성 모델, 상업적 모델
• 완전한 자료처리 정책과 직무 분리 적용
• 이중자료 처리시스템을 이용한 무결성 입증

보안 규칙

• 주체는 객체에 직접적인 접근금지, 반드시 응용프로그램을 이용하여 접근(SAP에서 JAVA 프로그램을 통한 DB 직접 접근 금지)
• 잘 구성된 트랜잭션(트랜잭션의 내외부적 일관성)
• 직무 분리(업무 수행자와 검토자의 직무 분리)

만리장성(Chinese Wall, Brewer Nash) 모델

• 사용자의 이해 충돌을 피하기 위한 모델
• 어떤 회사의 특정 분야에서 근무했던 사람이 다른 회사의 같은 영역의 자료에 접근을 금지하는 모델
• 직무 분리를 접근통제에 반영한 모델
• 응용 분야 : 금융, 로펌, 광고 컨설팅 분야에 적용

접근 제어 행렬(ACM, Access Control Matrix) 모델

• 주체에 대한 객체의 접근 권한을 주체는 행(Row), 객체는 열(Column)의 테이블 형태로 표현
• 접근 권한은 읽기, 쓰기, 실행의 유형

기능 테이블(Capability Table)

• 주체 관점에서 객체 나열(ACM의 Row)
• 사용자가 많아지면 나열하기 힘들고 부서를 옮기는 경우에는 대체하기 힘듦

접근통제 목록(ACL, Access Control Lists)

• 객체 관점에서 주체 나열(ACM의 Column)
• 방화벽, 라우터(IP 또는 포트 번호와 같은 객체를 기준으로 주체를 나열) ACL에서 주체를 효율적으로 관리하는 방법으로 그룹 사용