[정보보안기사] 8. 접근통제 (Access Control) 개요 (출제율: 0.6%)

1. 접근통제 개념

비인가된 사용자의 정보자원 사용의 방지뿐만 아니라 인가된 사용자가 비인가된 방식으로 자산을 접근하는 행위를 방지해야하고, 인가된 사용자가 인가된 방식으로 정보 자산을 의도 혹은 실수로 접근하여 훼손하는 행위도 방지해야한다.

주체가 객체로 접근할때 보안상의 위협, 변조 등과 같은 위험으로 객체를 보호하기 위한 보안 대책이다.

 

 

2. 접근통제 절차

식별, 인증, 인가로 구성되어있다.

접근통제 3단계에 덧붙여 부인 방지를 위한 책임 추적성 단계가 존재한다.

 

식별: 본인이 누구라는 것을 시스템에 밝히는 것 이다. (사용자명)

인증: 주체의 신원을 검증하기 위한 사용 증명 활동이다. (패스워드)

인가: 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여하는 과정이다. (ACL)

 

 

 

3. 접근통제 요구사항

1) 입력의 신뢰성 (Input Reliablility)

접근제어 시스템은 입력되는 사용자 정보를 신뢰할 수 있어야 한다.

 

2) 최소 권한 부여 (Least Privilege)

사용자가 작업을 수행하는데 최소한의 자원과 최소한의 접근만 부여한다.

사용자가 의도적 혹은 실수로 자원에 대해 입힐 수 있는 피해를 최소화시킬 수 있다.

알 필요성과 같은 의미이고 최대 권한과는 반대 의미를 갖는다.

 

3) 직무 분리 (Separation of Duty)

한 개인이 전체 업무를 파괴하는 사고를 방지하기 위해 시스템 기능의 단계를 개인들에게 나누어야 한다.