Download presentation
Presentation is loading. Please wait.
Published by은경 호 Modified 8년 전
1
도 경 화 2008. 9 khdo0905@nate.com 제 3 장 접근통제
2
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 2 접근통제.. 다양한 보안기술이 발전한 이유.. 접근통제 목적, 필요성 … 책임추적성 - 시스템 내의 개인의 행동을 기록함으로써 제공됨, 감사 및 침입 탐지를 위해 사용 - 시스템 수준, 응용 프로그램 수준, 사용자 수준에서 다 양한 활동 및 접근 기록이 가능함
3
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 3 접근통제란 ? 자원에 대한 비인가된 접근을 감시 접근을 요구하는 이용자를 식별 사용자의 접근 요구가 정당한 것인지를 확인, 기록, 보안정책에 근거하여 접근을 승인하거나 거부함으로서 비인가자 에게 불법적인 자원접근 및 파괴를 예방하는 H/W, S/W 및 행정적인 관리를 총칭함 인가자 비인가자 접근통제시스템 인증 DB 내부망 자산 접근요청 접근허용 접근금지 사용자, 프로그램, 프로세스 ERP, DATA, 시스템, 프로그램
4
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 4 접근 철학 접근통제는 누가, 무엇을, 어떻게 접근토록 할 것인지를 결정하는 것 이 중요 Need to know 원칙 사용자들이 업무를 수행하기 위하여 꼭 필요한 right 와 permission 만을 가지도록 접근 권한을 부여하는 것 최소권한의 원칙 ( Least Privilege Policy) Maximum Privilege Policy – 금지되지 않은 접근은 허용, 개 방 시스템 등 대부분의 시스템에서 사용 장점 -> 데이터 공유, 가용성 극대화, 데이터 최대활용 직무 분리 (Separation of Duty) 의 원칙 : 보안 / 감사, 개발 / 생산, 암 호키관리 / 암호키변경 등 Due Care/Due Diligence
5
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 5 접근통제 레이어 Access Control Layer 물리적통제 Guards, Locks, CCTV, Sensor, alarms, Biometrics 등 관리적 통제 Policy & Procedure, 직무분리, Background Check 등 기술적 통제 Encryption, Access Control Software, password, smart Card, IDS 등
6
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 6 접근통제 방향 1. Identification ( 식별 ) 2. Authentication ( 인증 ) 3. Authorization ( 인가 ) 접근주체 접근 객체 : 사용자가 자신이 누군가를 밝히는 것 : 그 식별자가 본인이 맞다는 것을 인정해 주는 것 : 접근 권한 부여 3. Access Control Mechanism : 접근 권한 유무 판별 4. 접근 권한 부여기준 – 접근 통제 목록 (ACL), 역할, 접근 내역 5. Audit( 감사 )- 부여된 권한 내에서 작업이 진행되었는지 감시
7
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 7 식별 식별자는 각 개인의 신원을 나타내기 때문에 사용자의 책임추적성 분 석에 중요한 자료가 됨 반드시 유일한 것을 사용해야 함 공유되어서는 안되며, 중요한 의미를 갖는 식별자는 사용을 피해야 함 계정이름 또는 ID 에 의하여 사용자가 누구인지 인식하는 과정 본인이 누구라는 것을 시스템을 밝히는 것 임의의 정보에 접근할 수 있는 주최의 능력이나 주체의 자격을 검증 하는 단계 시스템이 본인임을 주장하는 사용자가 그 본인이 맞는다고 인정해 주 는것 -> verify, prove 식별된 사용자를 증명하는 과정 인증
8
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 8 인증 Type 1 – What you Know : PIN, PW, 계좌번호 ( 지식기반 ) Type 2 – What you Have : 스마트카드, 토큰, 패스포트 ( 소유기반 ) Type 3 – What you Are : Biometrics( 홍채, 망막, 지문인식 ) ( 신체 기반 ) Type 4 – What you Do : Keystroke Dynamics, Dynamic Signature, Voice ( 행동 기반 ) Multi-factor Authentication( 다중체계 인증 )
9
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 9 접근통제 관리 중앙집중 접근통제 관리 사용자의 접근의 구현, 감사, 변경, 검사를 중앙에서 관리 장점 사용자의 접근권한을 통제하는데 있어서 철저하고 일률적인 절차와 기준을 집행 단점 모든 변경사항들을 하나의 entity 가 처리해야 하므로 속도가 느리다 예 AAA 서버, RADIUS … 은행의 PC 관리 등
10
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 10 1. Log in 2. 사용자 ID/PW 정보수집 3. 사용자 ID/PW 전달, 인증요청 4. 인증 DB 를 검색하여, 인증조건에 맞을 시 인가하여 주고, 추가 인 증정보가 필요한 경우 NAS 에 통보하여 인증정보 요청 5. 인가여부 확인 6. 접속 user NAS AAA 서버 인증 DB 접속감사레코드 기록 요청 서비스 시스템 이용 1 2 3 4 5 6 7. Network Access Server
11
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 11 분산 접근통제 관리 접근은 파일의 소유자나 생성자 또는 기능관리자에 의해 직접 통제 사용자의 접근과 권한을 허가하기 위한 절차와 기준에 일관성을 유지하기 어려움 직원이 내부적으로 이동하거나 조직을 떠날 때 모든 접속 권한이 삭제되었는지를 확인하는 것이 어려움 분산 접근통제 관리의 조건 다른 컴퓨터에서의 원격지 접근에 대한 적절한 통제가 요구됨 시스템 문서, 사용설명서의 접근이 승인 받지 못한 사람에게 노출 되어 시스템의 지식을 얻을 수 있게 하여서는 안됨 여러 장소에 이용자 정보에 대한 복사 파일이 있을 시 그 데이터는 정확히 최신의 파일로 유지되어야 함 컴퓨터와 데이터 파일, 네트워크에 대한 소프트웨어 통제가 구축 되어야 함 원격지 단말기와 컴퓨터의 운영은 적절히 통제되어야 함
12
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 12 혼합 접근통제 관리 중앙접근통제 + 분산접근통제의 조합 중앙관리자는 중요한 데이터에 대한 접근을 통제하고 사용자들은 자기 소유의 파일을 다른 사용자에게 접근을 허가할 것인지를 결정함 단점 어떠한 접근을 중앙에서 관리하고 어느 것을 사용자가 관리할 것 인가를 알맞게 정의하는 것이 복잡함 지속적으로 접근 통제 내역을 분류해야 하는 번거로움이 있음 장점 관리자는 사용자에 대해 데이터베이스, 프린터, 호스트 등의 정 보시스템에 대한 접근을 통제할 수 있음 데이터소유자는 자기 소유의 자원에 대한 접근을 통제
13
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 13 접근통제 기술의 개념적 분류
14
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 14 접근통제 정책 분류 최소권한정책 (Minimum Privilege Policy) "need-to-know" 정책이라고 부름 시스템 주체들은 그들의 활동을 위하여 필요한 최소분량의 정보 를 사용해야 함 이것은 객체접근에 대하여 강력한 통제를 부여하는 효과 단점 때때로 정당한 주체에게 소용없는 초과적 제한을 부과 최대권한정책 (Maximum Privilege Policy) 데이터 공유의 장점을 증대시키기 위하여 적용하는 최대 가용성 원리에 기반함 즉, 사용자와 데이터 교환의 신뢰성 때문에 특별한 보호가 필요하 지 않은 환경에 효과적으로 적용할 수 있음
15
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 15
16
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 16 접근 통제 기술 유형 MAC(Mandatory Access Control) 강제적 접근제어 자동적으로 시행되는 어떤 규칙에 기반 그러한 규칙을 실제로 시행하기 위하여 사용자와 타겟에 대해서 광범위한 그룹 형성이 요구 Rule-based, Administratively directed DAC(Discretionary Access Control) 임의적 접근제어 특별한 사용자별로 정보에 대한 접근을 제공 추가적 접근통제를 그 사용자에게 일임 Identity-based, User-directed, Hybrid 미 국방성에서 기밀 분류된 방법으로부터 유래 TCSEC(Trusted Computer System Evaluation Criteria) 컴퓨터 보안성 평가기준
17
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 17 MAC 보안레이블 설정 관련 최상위 보안등급을 가졌다 하더라도 모든 자료를 볼 수 없도록 차 단 알 필요성의 원칙에 의거하여 필요한 사용자에게만 자료를 볼 수 있도록 하기 위함 Classification 된 데이터에 대하여 더 한층 보안을 강화하기 위해 분류된 데이터에 대해 각자 별도로 관련된 정보를 모아 보관 Category : Classification 된 데이터에 대하여 각자 별도로 관련된 정 보를 모아 보관하는 것 Top secret { 영업부서, 사업부서, 재무부서 … 등 } 조직에서 어떤 접근 모델 / 분류 / 기술을 사용할 것인지를 결정하는 것 은 조직의 보안정책 ( 자산의 가치 ) 에 의해 결정
18
Copyright © 2008 Do.KH :: 도경화 :: khdo0905@nate.com 18 DAC 접근을 요청하는 사용자의 식별에 기초하며 어떤 객체에 대하여 사용자가 접근 권한을 추가 및 철회 할 수 있 다는 점 ( 임의적..) 데이터 소유자가 사용자나 사용자 그룹의 신분에 따라 임의로 접 근을 제어하는 방식 융통성 있음 예 ) ACL(Access Control List) 사용 – 접근통제 매트릭스 읽기, 쓰기, 실행... 등등.. 유닉스, 리눅스 등 OS 에서.. 사용 종류 Identity-based DAC : 주체와 객체의 ID 에 따라 접근통제 User-Directed : Object 를 소유하고 있는 소유자가 접근권한을 설 정 및 변경할 수 있는 접근통제
Similar presentations