접근통제 개요

• 접근통제 기본 개념
  • 주체 로 불리는 외부에서 접근하는 사람, 시스템 등이 접근 대상이 되는 객체 라고 불리는 시스템에 접근할 때 보안상의 위협, 변조 등과 같은 위험으로부터 객제와 제반 환경을 보호하기 위한 보안대책
  • 접근제어
    • 적절하지 못한 접근을 차단하기 위한 방법과 규칙의 집합체

• 접근통제 절차

  • 식별
    • 본인이 누구라는 것을 시스템에 밝히는 것
    • 사용자명, 계정번호, 메모리 카드
  • 인증
    • 주체의 신원을 검증하기 위한 사용 증명 활동
    • 패스워드, PIN, 토큰
  • 인가
    • 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여하는 과정
    • 접근제어목록(ACL), 보안등급
  • 책임추적성 단계
    • 책임추적성은 시스템에 접근한 주체가 시스템에 어떤 행위를 하고 있는지 기록
    • 문제발생 시 원인 및 책임 소재를 파악하기 위한 목적으로 개발

• 접근통제 기본 원칙

  • 직무분리
    • 업무의 발생부터 승인, 수정, 확인, 완료 등이 처음부터 끝까지 한 사람에 의해 처리될 수 없게 하는 보안 정책
    • 보안/감사, 개발/운영, 암호키 관리/암호키 변경
  • 최소 권한
    • 허가받은 일을 수행하기 위한 최소한의 권한만을 부여하며, 권한남용으로 인한 피해를 최소화
    • Need-to-Know(알 필요성)와 같은 의미 (주체에게 필요한 정보 여부)
    • 정보등급 분류, 접근통제 리스트