접근통제(접근제어) 개념, 구성, 절차, 요구사항

접근통제(접근제어)

특정 정보 및 시스템을 권한 없는 사용자로부터 유출, 변조, 파괴 요소를 방지하는 정보보안 기술로 인가된 사용자만 접근 가능하도록 하고, 인가된 사용자도 정당한 권한만을 사용할 수 있게 한다.

 

 

접근통제 구성

주체(Subject)

행위자로 객체에 접근하는 대상

ex) 사용자, 프로그램, 프로세스 등

 

객체(Object)

주체의 접근대상

ex) 서버, 컴퓨터, 데이터베이스, 파일 등

 

접근(Access)

주체와 객체 사이의 정보 흐름의 행위

ex) 읽기, 쓰기, 수정, 삭제 등

 

 

접근통제 절차

식별 → 인증 → 인가

식별

사용자를 식별하는 것으로 책임추적성 분석에 유용하게 사용

ex) ID

 

인증

식별에 대한 검증하기 위한 활동으로 다양한(메시지 인증 ,사용자 인증, Type별 인증, SSO 인증 등)인증이 존재

ex) 패스워드, PIN, 지문인증, 토큰, 스마트카드 등

 

인가

인증된 주체에게 허가된 권한을 부여하는 과정

 

+책임추적성

최근에 추가된 단계로 문제 발생시에 원인 및 책임 소재를 파악

 

 

접근통제 모델

MAC, DAC, RBAC 등

 

 

접근통제 요구사항

입력의 신뢰성

사용자 정보를 신뢰할 수 있어야 한다.

 

최소 권한 부여

최소한의 자원과 최소한의 접근 권한만 부여해야 한다. (Need-to-Know)

 

직무 분리

업무의 발생부터 완료까지 한 사람에 의해 처리될 수 없게 하는 정책

ex) 보안/감사, 개발/운영, 암호키 관리/변경 등

 

 

접근통제 보안위협대책

패스워드 공격, 파싱, 파밍, 스미싱