[정보보안기사] SECTION 08 접근통제 개요

SECTION 08 접근통제 개요

1. 접근통제 개요

■기본개념

○허가되지 않은 사용자에게 자원의 접근을 제한하고,

○정당한 사용자에게는 허가된 방식으로만 자원을 접근하게 하는 것. 정당한 사용자 일지라도 허가되지 않은 방식으로의 접근은 제한함

■관련 용어

○주체(Subject) : 자원에 대해 접근을 요청하는 개체(행위자)로, 사용자나 프로그램, 프로세스 등

○객체(Object) : 접근대상이 될 수 있는 아이템(제공자), 컴퓨터, 데이터베이스, 파일, 프로그램, 디렉터리

○접근(Access) : 주체와 객체 사이의 정보 흐름, Read, write, Delete, Modify 등 주체의 행위(활동)

■접근통제 절차

1단계 : 식별(Idenfification)	2단계 : 인증(Authentication)	3단계 : 인가(Authorization)	4단계 : 책임추적성(Accountability)
객체에 접근하려는 주체가 스스로 본인이 누구라는 것을 확인시키는 활동 식별은 각 개인의 신원을 나타내기 때문에 사용자의 책임추적성 분석에 중요한 자료가 됨	주체의 신원을 검증하기 위한 사용 증명(Verify, Prove) 활동 본임임을 주장하는 사용자가 그 본인이 맞다고 인정해 주는 것	인증된 주체에게 접근을 허용하고 특정 행위를 수행할 권리를 부여하는 과정	시스템에 접근한 주체가 어떤 행위를 하는지 기록하여, 문제발생시 원인 및 책임 소재를 파악 사전 침입 의도를 감소시키고, 억울한 사람에게 책임을 물어 불이익을 당하지 않도록 함 하나의 계정을 여러명이 공유하거는 경우 책임 추적이 어려움
사용자명, 계정번호(ID), 계좌번호, 메모리카드	패스워드, PIN, 토큰, 스마트 카드, 생체인증(지문 등)	접근제어목록, 보안등급

○EX) “ABC” ID를 사용하는 유료회원이 있다면, ID인 “ABC”는 식별이고, ABC의 패스워드를 입력하는 것은 인증이된다. 인증 후 유료서비스를 이용할 수 있는 권한을 받은 것을 인가라고 보면됨

■접근통제의 기본 원칙

○직무분리

-업무의 발생부터 승인, 수정, 확인, 완료 등이 한 사람에 의해 처리되면 안된다는 정책

-단계별로 직무를 분리함.

-Ex) 결제문서에 대해서 작성, 수정은 사원이 확인, 승인은 상위 직급자가 하도록 분리

○최소 권한

-허가받은 일을 수행하기 위한 최소한의 권한 부여

-권한 남용으로 인한 피해 최소화

-Ex) 보안문서의 등급별로 접근할 수 있는 직책 차등, 접근통제 리스트 등