접근통제
데이터가 저장된 객체와 이를 사용하려는 주체 사이의 정보 흐름을 제한하는 것
- 자원의 불법적인 접근 및 파괴 예방을 위함
- 비인가된 사용자의 접근 감시
- 접근 요구자의 사용자 식별
- 접근 요구의 정당성 확인 및 기록
- 보안 정책에 근거한 접근의 승인 및 거부
접근통제 기술
임의 접근통제(DAC; Discretionary Access Control)
데이터에 접근하는 사용자의
신원에 따라접근 권한을 부혀하는 방식
-
데이터 소유자가 접근통제 권한을 지정하고 제어 -
객체를 생성한 사용자가 모든 권한을 부여받고, 다른 사용자에게 허가할 수도 있음
-
SQL 명령어: GRANT, REVOKE
GRANT: 권한 부여
REVOKE: 권한 취소
강제 접근통제(MAC; Mandatory Access Control)
주체와 객체의
등급을 비교하여 접근 권한을 부여하는 방식
-
객체별로 보안 등급 부여, 사용자별로 인가 등급 부여
-
시스템이 접근통제 권한 지정 -
주체는 자신보다 보안 등급이 높은 객체에 대해 읽기, 수정, 등록이 모두 불가능
-
보안 등급이 같은 객체에 대해 읽기, 수정, 등록 가능
-
보안 등급이 낮은 객체는 읽기 가능
역할기반 접근통제(RBAC; Role Based Access Control)
사용자의 역할에 따라 접근 권한 부여
-
중앙관리자가 접근 통제 권한 지정 -
임의 접근통제와 강제 접근통제의 단점 보완
-
다중 프로그래밍 환경에 최정화
-
중앙 관리자가 역할마다 권한 부여
-
책임과 자질에 따라 역할을 할당받은 사용자들은 역할에 해당하는 권한 사용 가능
접근통제 3요소
- 접근통제 정책
- 접근통제 메커니즘
- 접근통제 보안모델
노력형 인간