Transcript Clark and Wilson 모델

제4장 접근통제
도경화
2008. 10
[email protected]
접근통제..
 보안정책과 접근 통제
 보안요소와 접근통제
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
2
보안 통제 분류
보안목표에 의한 통제분류
행위에 의한 통제분류
기능에 의한 통제분류
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
3
접근통제(Access Control)
 최소권한 정책(Least Privilege Policy)
 임무의 분리(Separation of Duties)
 명확하게 허용하지 않는 것은 금지
 명확하게 금지하지 않는 것은 허용
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
4
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
5
객체기반 vs 주체기반
[객체 기반]
 객체관점에서 접근이 허용된 주체들에 대한 접근 권한을 테이블형태
로 기술하여 이를 기반으로 접근제어
 관련된 객체에 대하여 주체의 접근 권한을 반영한다.
 구분될 필요가 있는 사용자(개인, 그룹, 또는 직무)가 비교적 소수일
때와 그러한 사용자의 분포가 안정적일 대 가장 적합
 지속적으로 변화하는 환경에는 부적합
 해고된 사용자의 접근을 철회하는데 어려움
[주체기반]
 CL(Capability List)
 주체가 소유할 수 있는 하나의 티켓(capability)을 부여
 커버로스에서 사용됨
 비교적 객체가 적은 경우에 적합
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
6
 Content-Dependent Access Control
 내용기반 접근통제
 DB에서 많이 사용되며 접근제어가 contents의 내용에 의하여
이루어지는 접근제어 방식
 예) DB 파일에서 직원의 경력, 봉급, 인사점수의 내용이 있을 때,
일반직원은 자신의 것만 볼 수 있지만 팀장의 경우 자기팀의
모든 직원을 볼 수 있게 하는 방식
예
 Capability List : 주체에게 허가된 자원 및 권한의 목록
 ACL : 어떤 객체에 접근할 수 있는 주체들의 목록
 Access control matrix : 각 객체들에 대하여 ACL을 테이블로 만
든것
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
7
접근통제기술 - ACL
 접근통제 매트릭스
Access Control Matrix
직원 A
File 1
File 2
Read
Write
직원 B
Read/Write No Access
직원 C
No Access Read/Write
•주체와 객체간의 접근권한을 테이블로 구성한 것으로 행에는 주체를 열에는
객체를 두어, 행과 열의 교차점에는 주체가 객체에 대한 접근권한(W, R, D, E)
을 기술하고 이를 기반으로 제어함
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
8
Restricted Interfaces
 인터페이스 제한에 의한 접근통제
 Constrained user interface
 특정기능이나 자원에 대한 접근권한이 없을 경우 아예 접근을 요청
하지 못하도록 하는 것
 3가지 Type
 Menus and shells : 일반사용자가 실행할 수 있는 명령어 제한
 DB Views : DB안에 있는 데이터에 대한 사용자의 접근을 제한
 물리적인 강제적 인터페이스 : 예)ATM에서 현금인출 시
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
9
접근 통제 보안 모델
 Bell-LaPadula(BLP) 모델
 Biba 모델
 Clark and Wilson 모델
 Take-Grant 모델
 Lattice 모델
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
10
Bell-LaPadula(BLP) 모델
 가장 널리 알려진 보안 모델 중의 하나
 70-80년대까지 국방부(DOD)의 지원을 받아 적립된 보안 모델
 군사용 보안 구조의 요구사항을 충족하기 위해 설계된 모형
 정보의 불법적인 파괴나 변조보다는 불법적인 비밀유출 방지에 중점
 보안 정책은 정보가 높은 보안 레벨로부터 낮은 보안 레벨로
흐르는 것을 방지
 정보를 극비(Top secret),비밀(secret),일반정보(Unclassified) 구분
 정보의 불법적 유출을 방어하기 위한 최초의 수학적 모델
 보안 등급과 범주를 이용한 강제적 정책에 의한 접근통제 모델
 제한사항
 한번 결정되면 접근 권한을 변경하기 어려움
 지나치게 기밀성에만 집중 등
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
11
 상위레벨 읽기금지 정책(No-read-up Policy, NRU, ss-property)
 보안 수준이 낮은 주체는 보안수준이 높은 객체를 읽어서는 안됨
 주체의 취급인가가 객체의 기밀 등급보다 길거나 높아야 그 객체
를 읽을 수 있음
 하위레벨 쓰기금지 정책(No-write-down Policy, NWD, *-property)
 보안 수준이 높은 주체는 보안 수준이 낮은 객체에 기록해서는 안
됨
 주체의 취급인가가 객체의 기밀 등급보다 낮거나 같은 경우에 그
객체를 주체가 기록할 수 있음
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
12
Bell-LaPadula(BLP) 모델
 상위레벨 읽기금지 정책(No-readup Policy, NRU, ss-property)
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
하위레벨 쓰기금지 정책(No-writedown Policy, NWD, *-property)
13
Biba 모델
 주체들과 객체들의 integrity access class에 기반하여 수학적으로 설명할
수정의 문제를 다룸
 BLP모델의 단점인 무결성을 보장할 수 있도록 보완한 모델
 목적
• 하위 무결성 객체에서 상위 무결성 객체로 정보흐름 방어
• 무결성 유지
 특징
• No Read-Down Integrity Policy
• No Write-Up Integrity Policy
• => 낮은 등급에서 높은 비밀등급에 수정작업을 할 수 있도록 하면
신뢰할 수 있는 중요한 정보들이 다소 신뢰성이 약한 정보들과 결
합하여 본래의 비밀등급이 깨짐
• 다양한 정책에서 선택적 사용 가능
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
14
Biba 모델
 상위레벨 쓰기 금지(No-write-up
Policy)
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
하위레벨 읽기 금지(No-read-down
Policy)
15
Clark and Wilson 모델
 목적
 무결성 중심의 상업용으로 설계
 정보의 특성에 따라 비밀 노출방지보다 “ 자료의 변조방지”가 더
중요한 경우(예: 금융, 회계관련 데이터 등)
 특징
 well-formed transaction, separation of duty
 특별한 데이터에 대응하는 프로그램의 실행 권한에 따른 접근통
제
 3가지 무결성 목적
 비인가된 사용자가 수정권한을 갖지 못하도록 방지
 내부일관성과 외부일관성을 갖도록 함
 인가된 사용자가 부당한 변경으로부터 보호되야 함
 한 사람이 정보의 입력, 처리, 확인을 하는 것이 아니라 여러 사람이
나누어 각 부문별로 관리토록 함으로써 자료의 무결성 보장
 인가자의 비인가된 행동 예방
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
16
Clark and Wilson 모델
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
17
기타
Lattice 모델
Take-Grant 모델
Copyright © 2008 Do.KH :: 도경화 :: [email protected]
18