1. 접근통제 (Access Control)
접근 통제란 접근 대상을 통제하는 것이다.
대상
1. 어플리케이션
2. DB
3. 서버
대상 (오프라인)
1. 영업비밀
2. 개인정보
어떻게 할거냐
1. 접근통제정책 : 지침, 가이드, 원칙
1) 신분기분 (사람을 기준으로)
2) 팀단위
3) 직무기반
<접근통제지침서>
- 도메인 : 서버, DB, 네트워크, 보안솔루션
2. 접근통제 모델
1) DAC
2) MAC
3) RBAC
4) ...
접근통제란 접근하려고 하는 자원(도메인)
정당한 사용자에게 정당한 권한(가용성)
주체=사용자, 객체=보호대상(자원)
기밀성 : 원본을 파악할 수 없다
무결성 : 변조되지 않음을 보증
가용성 : 정당한 사용자에게 정당한 권한
식별 : ID
인증 : 패스워드
인가 : 접속함
보안의 3A : 책임추적성, 인증, 권한부여
인식 : 지식에 의한 인증 (패스워드), OTP
소유 : OTP
신체특성 : 바이오정보(망막 등)
행위적 : 열려라 참깨..하는거
* 2-Facter 인증
지식+신체,행위 or 소유+신체,행위
* 2-Channer 인증
사용자에게 서비스하는 거, 로그인 하면 sms 문자 날라오는거
접근통제의 원칙
1. Need-to know
2. 최소권한의 원칙 (최소한의 권한만 줘라)
3. 직무분리 : 개발과 운영을 분리 (공모)
참조모니터
1. 통제
2. 추적성
직접통제 - 성능
간접통제 - 보안
우회, 부정조작이 불가능하여야 하며, 검증되어야 함
접근통제 계층
통제구역을 정해야 함 (열쇠, 경비원, CCTV, 조명:예방)
접근통제 정책과 절차를 수립 : 공용아이디에 대한건 잘 정해놔야함
권한 부여 대장도 있어야 함
데이터에 중요도를 부여해야 함
책임추적성
사후측면에서 누가, 언제, 무엇을 했는지 식별할 수 있어야 함
로그에는 로그인,아웃, 객체에 대한 접근 정보, 실패 정보
IT Compliance 요소 중 하나이다.
