[SSO]
Scripting
Kerberos
Thin client(dumb terminal)
Directory Services
[접근통제모델]
DAC(Discretionary Access Control) - ACL을 통해 이루어짐, 데이터 소유자가 누가 자원에 대한 접근을 가지는지 결정
MAC(Mandatory Access Control) - Sensitivity labels에 기반
RBAC(Role-based access control, nondiscretionary access control) - 거래액이 큰 회사들을 위한 최상의 시스템
[접근통제기법과 기술]
- 규칙기반 접근통제(Rule-Based Access Control)
- 사용자 인터페이스 제한(Constrained User Interfaces)
- 접근통제 매트릭스(Access Control Matrix) - 개별 주체가 어떤 작업들을 개별객체에게 할당 할
수 있는지 지정하는 주체와 객제들의 테이블
- 능력테이블(Capability table) - ACL과는 다르다. 특정한 객체들에 대한 적합한 특정한 주체들이
소유하는 접근권한들을 지정
- 접근통제목록(Access Control Lists) - OS, 응용PG, 라우터 설정에 사용됨. 특정한 객체로 접근
하도록 인증된 주체들의 목록
[접근통제관리]
집중형(Centralized access control administration)
- RADIUS, TACACS, XTACACS, TACACS+, Diameter(IPsec과 동작_
비집중형(Decentralized access control aministration)
- 혼합형(Hybrid)
[접근통제방식]
접근통제계층
- 관리적통제 : 정책 및 절차, 인적통제, 감독구조, 보안의식 훈련, 테스팅
- 물리적통제 : 네트워크 분리, 경계선 보안, 컴퓨터 통제, 작업영역분리, 데이터백업, 케이블링
- 기술적통제 : 시스템접근, 네트워크 구조, 네트워크 접근, 암호화 및 프로토콜, 통제구역, 감사
객체재사용 - 파일포인터만 제거하는것이 아니고 실제파일을 삭제해야..
TEMPEST - 전기장치에서 방출되는 위조전기신호에 대한 연구이며 통제이다.
백색잡음과 통제구역 개념을 사용하여 대안책을 마련함.
[접근통제 모니터링]
- 지식 or 패턴기반 침입탐지
- 행동 or 통계적 침입탐지
[접근통제와 관련된 몇가지 위협]
Dictionary Attack
Brute Force Attack
Spoffing at Login
침투테스팅(Penetration Testing)
[보안모델]
Bell-Lapadula - 기밀성
Biba - 무결성
Clark-Wilson - Biba이후 개발, 정보의 무결성을 보호하는 다른 접근법을 제시함.
정보흐름모델(Information flow model)
Noninterference(비간섭모델) - 한 보안 수준에서 수행된 명령과 활동은 다른 보안수준의 주체나 객체에게 보여지거나 영향을 주어서는 안된다.
[운영보안보드]
- 전용보안모드(Dedicated Security Mode) : 모든 사용자가 허가 또는 인가를 받고 시스템 내부에서 처리된 모든 데이터에 대해 need-to-know를 가지고 있다.
- 시스템최고 보안모드(System-High Security Mode) : 모든 사용자가 허가 또는 인가를 받았지만 시스템에서 처리되는 모든 정보에 need-to-know를 가질 필요는 없다.
- 구획화 보안모드(Compartmented Security Mode) : 모든 사용자가 시스템에 의해 처리된 모든 정보에 접근하도록 허가 받았지만 모든 정보에 접근할 필요가 없다.
- 다수준보안모드(Multilevel Security Mode) - 모든 사용자가 시스템에 의해 처리되는 모든 정보에 접근하도록 허가나 공식적 승인을 받은 것이 아닐떄 동시에 둘 이상의 정보 분류 수준이 허용되면 시스템은 다수준 보안모드에서 작동하고 있는 것이다. Bell-Lapadula는 다수준보안모드의 한 예이다