인가 (Authorization)
인가란 식별과 인증 이후에 사용자의 특정 객체에 대한 접근을 허용할지 여부를 결정하는 과정이다.
접근 제어 모델
- 강제적 접근 제어 - 규칙 기반
- 임의적 접근 제어 - 신분 기반
- 비임의적 접근 제어 - 역할 기반
강제적 접근 제어 (MAC: Mandatory Access Control)
데이터를 분류하여 레이블을 붙이고 레이블 별로 정책을 설정하는 방식이다.
ex) 1, 2, 3급 비밀, 대외비, 평문
단점
성능이 좋지 않다.
구현이 어렵다.
벨-라파둘라 모델에서는 기밀성은 높지만 무결성이 깨질 수 있고, 가용성도 고려하지 않는다.
- 기밀성: 승인되지 않은 사람은 정보 열람 불가능
- 무결성: 승인되지 않은 사람은 정보 수정 불가능
- 가용성: 승인된 사람이 정보가 필요할 때 사용 가능
무결성을 위해서 비바(Biba) 모델이 등장함.
임의적 접근 제어 (DAC: Discretionary Access Control)
접근 요청을 하는 사용자에 따라 접근 권한을 일일이 확인인하는 접근 제어 방식
ex) 데이터A에 대해 사용자1은 읽기, 쓰기 가능, 사용자2는 읽기만 가능, 사용자3은 쓰기만 가능
비임의적 접근 제어 (Non-DAC, Non-Discretionary Access Control)
사용자 자체에 대한 권한을 두는 것이 아닌 사용자의 역할에 기반을 두고 접근을 통제하는 접근 제어 방식이다.
ex) 사용자1에게 역할A를 부여한다. 역할A는 데이터A에 대해 읽기와 쓰기가 가능하다.
그 외의 보안 모델
- 클락-윌슨 모델
- 만리장성 모델 (브루어-나쉬 모델)
접근 제어 기본 원칙
직무 분리
최소 권한
'공부 > 보안' 카테고리의 다른 글
| [보안] 인증 (Authentication) (0) | 2024.06.03 |
|---|---|
| [보안] 해시, 메시지 인증 코드, 전자서명 (0) | 2024.06.02 |
| [보안] 악성코드 / 소프트웨어 보안 (0) | 2024.05.31 |
| [보안] 암호화 (0) | 2024.05.15 |
| [보안] 스푸핑 (Spoofing), 서비스 거부 (DoS), 분산 서비스 거부 (DDoS) (0) | 2024.04.09 |