접근통제

원칙[edit | edit source]

시스템 주체에게 권한을 부여할 때에는 조직의 업무효율을 떨어뜨리지 않을 만큼의 필요최소한의 권한만 부여되어야 한다.
경영자나 관리자 한 사람이 업무의 발생, 승인, 변경, 확인, 배포 등을 처음부터 끝까지 처리할 수 없도록 해야 한다.
보안정책에 따른 접근 허용된 주체와 주체의 접근 가능한 접근통제 규칙을 설정하고, 접근규칙에 해당하지 않는 모든 접근에 대해서는 위반으로 간주한다.
금지된 주체와 객체의 리스트들에 대해서 미리 접근통제 규칙을 설정하고, 접근 통제 규칙에 설정되지 않은 모든 접근에 대해서는 허용한다.

요소	예시	설명
접근통제 정책	MAC, DAC, RBAC, ABAC	자원제 접근하려면 사용자를 통제하기 위한 정책
접근통제 메커니즘	ACL, SL, CL	접근 요청을 정의된 규칙에 따라 적용시키기 위한 시스템 구현 방식
접근통제 모델	BLP, BIBA, Clark-Wilson, Chinese Wall	시스템 보안 요구사항을 구현하기 위한 보안 모델

구분	구성요소	설명
접근통제 정책	임의적 접근통제 (DAC)	주체-객체 권한 나열 권한자는 권한을 이양할 수 있음
	강제적 접근통제 (MAC)	보안등급 기반 모든 주체, 객체에 대해 일정
	역할 기반 접근통제 (RBAC)	DAC와 MAC의 단점 보완 역할별로 권한 부여
	속성 기반 접근통제 (ABAC)	객체, 주체의 속성에 따른 통제 접근 시간 등 접근 환경 고려
접근통제 메커니즘	ACL(Access Control List)	주체-객체별 권한 나열
	CL(Capability List)	주체를 기준으로 접근허가 목록
	SL(Security Label)	객체에 부여된 보안 속성 집합
접근통제 모델	벨-라파둘라(BLP)	군사적 목적 충족, 최초 모델 No read up / No write down
	비바(BIBA)	BLP단점 보완 무결성 모델 No write up / No read down
	클락-윌슨(Clark-Wilson)	무결성 중심의 상업용 모델 무결성 등급 격자 사용
	만리장성(Chinese Wall)	주체 동작에 따른 접근 통제 이해 충돌 방지