정보보안기사 필기 - 접근통제 (1)

1. 접근 통제

인가된 사용자가 비인가된 방식으로 접근하는 행위 방지

인가된 사용자가 인가된 방식으로 실수 또는 의도적으로 잘못 접근해 자산을 훼손하는 행위 방지

입력의 신뢰성, 최소 권한 부여, 직무 분리

 

• 주체 : 객체나 데이터에 대한 접근을 요청하는 능동적인 개체 (행위자)
• 객체 : 접근대상이 되는 수동적인 개체, 행위가 일어날 아이템 (제공자)
• 접근 : 주체와 객체 사이의 정보 흐름

 

사용자 인증 - 사용자가 자산에 접근할 때 시스템이나 관리자는 사용자의 실재, 확인, 권환 등을 확인

• 식별 -> 인증 -> 인가
• 식별 : 시스템에게 주체의 식별자를 요청하는 과정 (ID), 식별자는 신원을 나타내므로 책임추적성에도 사용됨
• 인증 : 주체의 신원, 자격 등을 확인하는 과정 (PW), 시스템의 부당한 사용, 전송을 방지
• 인가 : 인증된 주체에게 접근을 허용하고 권한을 부여하는 과정
• 책임추적성 : 주체가 어떤 행위를 하는지 기록하여 문제의 원인, 책임 소재를 파악할 수 있음

 

인증 유형 - 지식, 소유, 존재, 행위, two factor, multi factor, 위치기반

• 지식 : 알고 있는 것 (Somethign you know), PW, PIN..
• 소유 : 가지고 있는 것 (Something you have), 토큰, 스마트카드..
• 존재 : 자신을 증명하는 것 (Something you are), 지문, 홍채..
• 행위 : 하는 것 (Something you do), 서명, 타이핑..