도 경 화 2008. 9 제 3 장 접근통제. Copyright © 2008 Do.KH :: 도경화 :: 2 접근통제.. 다양한 보안기술이 발전한 이유.. 접근통제 목적, 필요성 …  책임추적성 - 시스템.

Slides:



Advertisements
Similar presentations
제주특별자치도교육청. 목 차 일상생활 속에서의 정보보안 안전한 컴퓨터 사용  보안업데이트 자동설정  가짜 백신 프로그램 주의  믿을 수 있는 웹사이트만 접속  자동 로그인 기능 사용 안함  사용 후 반드시 로그아웃 확인 
Advertisements

Wireless Mobile Resource Management 1. 시스템 개요 2. 시스템 소개 3. 시스템 Back-up PLAN 4. 시스템 주요 Reference C.O.N.T.E.N.T.S.
명지대학교 클라우드 컴퓨팅 강의 2. 클라우드 컴퓨팅의 주요 사안 2011 년 04 월 02 일 (2 주차 )
COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved 년 10월.
D-Guard Security Suites 제품 소개서
2014년 2학기 온라인 연구실 안전교육 참여안내(내국인/외국인)
개인정보보호 공공기관에서의 개인정보보호 본 자료는 개인정보보호를 위한 교육용 자료로 활용 가능 합니다
개인정보보호법 주요내용 및 이행사항 2012년 5월 경기도화성오산교육지원청 1.
개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -
제 8장 데이터 보안.
서버 보안의 기술적 보호조치 엘림넷 정보보안사업팀 곽제균.
3장. 유비쿼터스 컴퓨팅 서비스 기술적 수준 분석 Description 유비쿼터스 컴퓨팅 서비스의 기술적 수준 분석
개인정보의 안전한 관리 방안 보안전략연구소 박나룡.
연구활동종사자 교육ㆍ훈련 수강방법 사무처 안전관리실
Building Enterprise VPNs
금융 보안 정보통신대학원 양승화 양승화( ).
SDAC enterprise 서버 및 네트워크장비 직접접근제어시스템 표준제안서 Document Version 1.6.1
학생용 Web Manual
제 6 장 생체인식.
BizTeleCom 정보보안 시스템 구축 결과 보고서 MServe.
극동대학교 전자결재 구축 그룹웨어 결재자 교육.
2016 cel융복합 협업프로젝트 단계별 지원사업 사업설명회
통합 접근 권한 관리의 모든 것.
사회복지법인 실무자 교육.
외식일번가 제안서 신 한 포 스.
보안 시스템 정보 보안 개론 10장.
안녕하세요. 생체인식(BIOMETRICS)에 대해 발표를 맡은 08학번 최재건입니다.
생체인식 기술과 전망 Proprietary 테스텍㈜ 이남일 상무
{ ] [ HelpCom 개요 HelpCom이란? HelpCom의 특징
Chapter 02. 시스템 보안 : 건강한 시스템이 챙겨야 할 기본
OWASP Mobile TOP 10 학번 : 이름 : 공 우 진 발표일 :
XXXX SSO 구축 SSO (Single Sign-On) -사용자 인증 및 권한부여 통합 관리 시스템
2007. Database Term Project Team 2 윤형석, 김희용, 최현대 우경남, 이상제
HDD 보안장치 소개 ㈜ 세 코 원
RFID/USN 활용을 통한 물류경쟁력 제고 방안
Internet Multimedia Solutions (Video Chatting)
정부지원 ERP를 활용한 영업솔류션 및 활용 작성자 : 국가공인재무설계사 김 춘 수
기업 시스템/네트웍 보안 종합 설계 방안.
침입탐지시스템과 정보보안 안
Chapter 13 사용자 네트워크 보안.
「충남 온라인 수출지원 시스템」 사용자 매뉴얼.
시스템 보안 정보 보안 개론 9장.
디지털 피킹 SYSTEM 설명서.
SSL VPN (NetScaler) 설치 및 사용 매뉴얼
네트워크 보안 3 오 세 종.
2018년 착수 포스코 연구과제 연구비 편성 기준 ■ 2018년 국내 대학 / 연구기관 요율 기준 : 전년과 동일
3. 위험관리.
AP3 매뉴얼.
국가문화예술지원시스템 사용자 매뉴얼(1)
Data Communications 제2장 데이터통신의 기본 개념.
고등학생을 위한 성교육 4단원: 나는 이성친구에게 피임 Policy를 제안한다
네트워크 속에서의 정보보안 전 상 대.
Chapter 1 개요.
소프트웨어 형상관리: 목차 변경 및 형상관리의 기초 개념 형상항목 확인 및 버전관리 변경관리 감사 및 감사보고 99_11
WINIA e-PURCHASING SYSTEM Copyrightⓒ 2002 by MCC. All right reserved..
차량 관제시스템 제안서 신흥콘트롤㈜ 031 / 705 / 6923(代).
2015년도 스마트공장 지원사업에 대한 사업비 타당성 평가
국가문화예술지원시스템 사용자 매뉴얼(1)
정보 INFRA 구축 RF카드를 이용한 고객관리시스템 구축 에클라트소프트.
Do you know Dok-Do? 5- 4 송찬호.
Chapter 1 개요.
인증 (Authentication) 중부대학교 정보보호학과 이병천 교수 전자상거래보안
창의인성 두뇌계발 교사교육 3월 생각튼튼리더 1주. 세상에서 제일 똑똑똑한 뇌 2주. 황금요술공,검정요술공 3주. 브레이니 웨이키 웨이키 4주. 생각튼튼 리더가 되었어요.
12장. 침해사고 조사 절차.
(System for Award Management)
6장 정보분류 신수정.
운영체제 장수용.
Christian F. Tschudin 발표자 : 전기공학부 이 진 호
관리자 페이지에서 관리자 승인 1. 정기권 신규고객 1. 로그인 화면 2. 차량등록여부 확인 3. 개인정보 활용 동의
Presentation transcript:

도 경 화 제 3 장 접근통제

Copyright © 2008 Do.KH :: 도경화 :: 2 접근통제.. 다양한 보안기술이 발전한 이유.. 접근통제 목적, 필요성 …  책임추적성 - 시스템 내의 개인의 행동을 기록함으로써 제공됨, 감사 및 침입 탐지를 위해 사용 - 시스템 수준, 응용 프로그램 수준, 사용자 수준에서 다 양한 활동 및 접근 기록이 가능함

Copyright © 2008 Do.KH :: 도경화 :: 3 접근통제란 ?  자원에 대한 비인가된 접근을 감시  접근을 요구하는 이용자를 식별  사용자의 접근 요구가 정당한 것인지를 확인, 기록,  보안정책에 근거하여 접근을 승인하거나 거부함으로서 비인가자 에게 불법적인 자원접근 및 파괴를 예방하는  H/W, S/W 및 행정적인 관리를 총칭함 인가자 비인가자 접근통제시스템 인증 DB 내부망 자산 접근요청 접근허용 접근금지 사용자, 프로그램, 프로세스 ERP, DATA, 시스템, 프로그램

Copyright © 2008 Do.KH :: 도경화 :: 4 접근 철학  접근통제는 누가, 무엇을, 어떻게 접근토록 할 것인지를 결정하는 것 이 중요  Need to know 원칙 사용자들이 업무를 수행하기 위하여 꼭 필요한 right 와 permission 만을 가지도록 접근 권한을 부여하는 것  최소권한의 원칙 ( Least Privilege Policy) Maximum Privilege Policy – 금지되지 않은 접근은 허용, 개 방 시스템 등 대부분의 시스템에서 사용 장점 -> 데이터 공유, 가용성 극대화, 데이터 최대활용  직무 분리 (Separation of Duty) 의 원칙 : 보안 / 감사, 개발 / 생산, 암 호키관리 / 암호키변경 등  Due Care/Due Diligence

Copyright © 2008 Do.KH :: 도경화 :: 5 접근통제 레이어  Access Control Layer  물리적통제  Guards, Locks, CCTV, Sensor, alarms, Biometrics 등  관리적 통제  Policy & Procedure, 직무분리, Background Check 등  기술적 통제  Encryption, Access Control Software, password, smart Card, IDS 등

Copyright © 2008 Do.KH :: 도경화 :: 6 접근통제 방향 1. Identification ( 식별 ) 2. Authentication ( 인증 ) 3. Authorization ( 인가 ) 접근주체 접근 객체 : 사용자가 자신이 누군가를 밝히는 것 : 그 식별자가 본인이 맞다는 것을 인정해 주는 것 : 접근 권한 부여 3. Access Control Mechanism : 접근 권한 유무 판별 4. 접근 권한 부여기준 – 접근 통제 목록 (ACL), 역할, 접근 내역 5. Audit( 감사 )- 부여된 권한 내에서 작업이 진행되었는지 감시

Copyright © 2008 Do.KH :: 도경화 :: 7 식별  식별자는 각 개인의 신원을 나타내기 때문에 사용자의 책임추적성 분 석에 중요한 자료가 됨  반드시 유일한 것을 사용해야 함  공유되어서는 안되며, 중요한 의미를 갖는 식별자는 사용을 피해야 함  계정이름 또는 ID 에 의하여 사용자가 누구인지 인식하는 과정  본인이 누구라는 것을 시스템을 밝히는 것  임의의 정보에 접근할 수 있는 주최의 능력이나 주체의 자격을 검증 하는 단계  시스템이 본인임을 주장하는 사용자가 그 본인이 맞는다고 인정해 주 는것 -> verify, prove 식별된 사용자를 증명하는 과정 인증

Copyright © 2008 Do.KH :: 도경화 :: 8 인증  Type 1 – What you Know : PIN, PW, 계좌번호 ( 지식기반 )  Type 2 – What you Have : 스마트카드, 토큰, 패스포트 ( 소유기반 )  Type 3 – What you Are : Biometrics( 홍채, 망막, 지문인식 ) ( 신체 기반 )  Type 4 – What you Do : Keystroke Dynamics, Dynamic Signature, Voice ( 행동 기반 )  Multi-factor Authentication( 다중체계 인증 )

Copyright © 2008 Do.KH :: 도경화 :: 9 접근통제 관리  중앙집중 접근통제 관리  사용자의 접근의 구현, 감사, 변경, 검사를 중앙에서 관리  장점 사용자의 접근권한을 통제하는데 있어서 철저하고 일률적인 절차와 기준을 집행  단점 모든 변경사항들을 하나의 entity 가 처리해야 하므로 속도가 느리다  예 AAA 서버, RADIUS … 은행의 PC 관리 등

Copyright © 2008 Do.KH :: 도경화 :: 10  1. Log in  2. 사용자 ID/PW 정보수집  3. 사용자 ID/PW 전달, 인증요청  4. 인증 DB 를 검색하여, 인증조건에 맞을 시 인가하여 주고, 추가 인 증정보가 필요한 경우 NAS 에 통보하여 인증정보 요청  5. 인가여부 확인  6. 접속 user NAS AAA 서버 인증 DB 접속감사레코드 기록 요청 서비스 시스템 이용 Network Access Server

Copyright © 2008 Do.KH :: 도경화 :: 11 분산 접근통제 관리  접근은 파일의 소유자나 생성자 또는 기능관리자에 의해 직접 통제  사용자의 접근과 권한을 허가하기 위한 절차와 기준에 일관성을 유지하기 어려움  직원이 내부적으로 이동하거나 조직을 떠날 때 모든 접속 권한이 삭제되었는지를 확인하는 것이 어려움  분산 접근통제 관리의 조건  다른 컴퓨터에서의 원격지 접근에 대한 적절한 통제가 요구됨  시스템 문서, 사용설명서의 접근이 승인 받지 못한 사람에게 노출 되어 시스템의 지식을 얻을 수 있게 하여서는 안됨  여러 장소에 이용자 정보에 대한 복사 파일이 있을 시 그 데이터는 정확히 최신의 파일로 유지되어야 함  컴퓨터와 데이터 파일, 네트워크에 대한 소프트웨어 통제가 구축 되어야 함  원격지 단말기와 컴퓨터의 운영은 적절히 통제되어야 함

Copyright © 2008 Do.KH :: 도경화 :: 12 혼합 접근통제 관리  중앙접근통제 + 분산접근통제의 조합  중앙관리자는 중요한 데이터에 대한 접근을 통제하고  사용자들은 자기 소유의 파일을 다른 사용자에게 접근을 허가할 것인지를 결정함  단점  어떠한 접근을 중앙에서 관리하고 어느 것을 사용자가 관리할 것 인가를 알맞게 정의하는 것이 복잡함  지속적으로 접근 통제 내역을 분류해야 하는 번거로움이 있음  장점  관리자는 사용자에 대해 데이터베이스, 프린터, 호스트 등의 정 보시스템에 대한 접근을 통제할 수 있음  데이터소유자는 자기 소유의 자원에 대한 접근을 통제

Copyright © 2008 Do.KH :: 도경화 :: 13 접근통제 기술의 개념적 분류

Copyright © 2008 Do.KH :: 도경화 :: 14 접근통제 정책 분류  최소권한정책 (Minimum Privilege Policy)  "need-to-know" 정책이라고 부름  시스템 주체들은 그들의 활동을 위하여 필요한 최소분량의 정보 를 사용해야 함  이것은 객체접근에 대하여 강력한 통제를 부여하는 효과  단점 때때로 정당한 주체에게 소용없는 초과적 제한을 부과  최대권한정책 (Maximum Privilege Policy)  데이터 공유의 장점을 증대시키기 위하여 적용하는 최대 가용성 원리에 기반함  즉, 사용자와 데이터 교환의 신뢰성 때문에 특별한 보호가 필요하 지 않은 환경에 효과적으로 적용할 수 있음

Copyright © 2008 Do.KH :: 도경화 :: 15

Copyright © 2008 Do.KH :: 도경화 :: 16 접근 통제 기술 유형  MAC(Mandatory Access Control)  강제적 접근제어  자동적으로 시행되는 어떤 규칙에 기반  그러한 규칙을 실제로 시행하기 위하여 사용자와 타겟에 대해서 광범위한 그룹 형성이 요구  Rule-based, Administratively directed  DAC(Discretionary Access Control)  임의적 접근제어  특별한 사용자별로 정보에 대한 접근을 제공  추가적 접근통제를 그 사용자에게 일임  Identity-based, User-directed, Hybrid  미 국방성에서 기밀 분류된 방법으로부터 유래  TCSEC(Trusted Computer System Evaluation Criteria)  컴퓨터 보안성 평가기준

Copyright © 2008 Do.KH :: 도경화 :: 17 MAC  보안레이블 설정 관련  최상위 보안등급을 가졌다 하더라도 모든 자료를 볼 수 없도록 차 단  알 필요성의 원칙에 의거하여 필요한 사용자에게만 자료를 볼 수 있도록 하기 위함  Classification 된 데이터에 대하여 더 한층 보안을 강화하기 위해 분류된 데이터에 대해 각자 별도로 관련된 정보를 모아 보관  Category : Classification 된 데이터에 대하여 각자 별도로 관련된 정 보를 모아 보관하는 것  Top secret { 영업부서, 사업부서, 재무부서 … 등 }  조직에서 어떤 접근 모델 / 분류 / 기술을 사용할 것인지를 결정하는 것 은 조직의 보안정책 ( 자산의 가치 ) 에 의해 결정

Copyright © 2008 Do.KH :: 도경화 :: 18 DAC  접근을 요청하는 사용자의 식별에 기초하며  어떤 객체에 대하여 사용자가 접근 권한을 추가 및 철회 할 수 있 다는 점 ( 임의적..)  데이터 소유자가 사용자나 사용자 그룹의 신분에 따라 임의로 접 근을 제어하는 방식  융통성 있음  예 ) ACL(Access Control List) 사용 – 접근통제 매트릭스  읽기, 쓰기, 실행... 등등..  유닉스, 리눅스 등 OS 에서.. 사용  종류  Identity-based DAC : 주체와 객체의 ID 에 따라 접근통제  User-Directed : Object 를 소유하고 있는 소유자가 접근권한을 설 정 및 변경할 수 있는 접근통제