MAC/DAC/RBAC
강제적 접근통제(MAC, Mandatory Access Control)
MAC모델에서 사용자들은 자원에 대한 권한을 관리자로 부터 부여받는다. 그리고 오직 관리자만이 객체과 자원들에 대한 권한을 할당할 수 있다. 자원에 대한 접근은 사용자에게 보안등급이 주어진 동안에 대상의 보안레벨에 기반한다. 관리자만이 객체의 보안레벨 또는 사용자 보안등급을 수정할 수 있다.
정보시스템 내에서 어떤 주체가 어떤 객체에 접근하려 할 때 양자의 보안레이블 정보에 기초하여 높은 보안을 요하는 정보가 낮은 보안수준의 주체에게 노출되지 않도록 접근을 제한하는 접근통제 방법
임의적 접근통제(DAC, Discretionary Access Control)
DAC은 자원에 대한 접근을 사용자계정에 기반한다. 사용자는 자원과 관련된 ACL이 수정됨으로써 자원 대한 권한을 부여 받는다. DAC에서는 사용자 또는 그룹이 객체의 소유자일때 다른 사용자나 그룹에 권한을 부여할 수 있다. DAC모델은 자원에 대한 소유권에 기반한다.
1 )접근통제 정책의 하나로 시스템 객체에 대한 접근을 사용자 개인 또는 그룹의 식별자를 기반으로 제한하는 방법. 여기서 임의적이라는 말은 어떤 종류의 접근 권한을 갖는 사용자는 다른 사용자에게 자신의 판단에 의해서 권한을 줄 수 있다는 것임
2) 주체 및 객체의 신분 및 임의적 접근통제 규칙에 기초하여 객체에 대한 주체의 접근을 통제하는 기능
역할기반 접근통제(RBAC, Role Based Access Control)
RBAC에서 자원에 대한 접근은 사용자에게 할당된 역할에 기반한다. 관리자는 사용에게 특정한 권리와 권한이 정의된 역할을 할당한다. 사용자들의 사용자와 할당된 역할의 연관성으로 인하여 자원들에 접근할 수 있고 특정한 작업들을 수행할 수 있다.
RBACK 역시 비임의적접근제어로 알려져 있으며 사용자의 역할할당은 중앙에서 관리된다.
- 참고 URL : http://blog.naver.com/imredviolet/10043563506
출처 : http://blog.naver.com/PostView.nhn?blogId=jjaiwook79&logNo=30076430247 RBAC(Role Based Access Control) DAC(Discretionary Access Control) MAC(Mandatory Access Control) 개념 조직 내 역할기반 자원 접근 허용 개인,그룹의 Identity에 근거하여 접근제어 주체의 권한에 근거하여 접근제한 특징 -비임의적 -개인기반(IBP)-개인별 접근목록 부서또는 범주를 이용 장단점 -Hierarchical roles:권한관리 단순화 -Identity도용시 dac파괴 객체단위 세밀한 권한설정 불가
3.RBAC 시스템의 요구기능
- 정보에 대한 사용자의 접근을 개별적인 신분(DAC-Discretionary Access Control)이 아니라 조직 내 개인 역할에 따라 결정
- 조직 내 역할에 기반하여 자원에 대한 접근 허용 여부를 결정
2.RBAC와 DAC, MAC의 비교
( := DAC + MAC)
-사용자-역할, 역할-허가 매핑
-데이터의 추상화
-그룹기반(GBP)-그룹별 접근목록
-Least privilege: 권한남용방지
-Separation of duty: 시스템상 오용을 할 정도의 충분한 특권부여 방지
-Object class: 수행활동에 따라 사용자 분류가능
-트로이목마에 취약
1)Admin 기능: RBAC 요소들과 관계들을 생성, 삭제, 관리 가능
2)Admin Review: RBAC 요소들과 관계들을 조회 가능
3)시스템 레벨 기능: Role활성화, 비활성화, Role활성화 제약조건 등
'보안 > sis' 카테고리의 다른 글
| 시스템보안 자주 헷갈리는 것들 (0) | 2011.09.19 |
|---|---|
| 어플리케이션 보안 1. 인터넷 응용 보안 요약 정리 (0) | 2011.08.30 |