접근통제 모델

제 4 절 접근통제 모델

l Bell-LaPadula(BLP) Model

미 육군에서 근무하던 벨-라파듈라가 고안해낸 군사용 보안 정책으로써 MAC기법의 비밀 유출 방지 중심의 기밀성을 강조하는 모델이다. 허가된 비밀 정보에 허가되지 않은 방식의 접근을 금지하는 정보의 불법적인 유출을 막기위해 개발된 최초의 수학적 모델이다.
Write Up/Read Down은 명시적으로 규제하지 않아 낮은 등급의 주체가 상위 등급의 객체를 보지 않은 상태에서 수정 가능하며 이 때문에 무결성 훼손이 발생할 수 있다.

- 단순 보안 속성 (No Read Up)
보안 수준이 낮은 주체가 보안 수준이 높은 객체를 읽을 수 없다.
- 스타 보안 속성 (No Write Down)
높은 레벨의 주체가 낮은 레벨의 보안 등급에 있는 객체에 정보를 쓰는 것을 허용하지 않는다.

[그림] 벨-라파듈라 모델

l Biba Integrity Model

벨-라파듈라의 단점을 보완한 상업용 무결성 모델이다. 고의적인 변경, 비인가된 변경, 우연한 변경의 3원칙 중 시스템 내부정보의 비인가된 변경 즉 무결성 만을 대상으로 한다.

- 단순 보안 속성 (No Read Down)
보안 수준이 낮은 주체가 보안 수준이 높은 객체를 읽을 수 없다.
- 스타 보안 속성 (No Write Up)
높은 레벨의 주체가 낮은 레벨의 보안 등급에 있는 객체에 정보를 쓰는 것을 허용하지 않는다.

[그림] 비바 모델

l Clark & Wilwon Model

비바 모델 이후에 개발된 상업적 응용을 위해 개발된 무결성 보호 접근통제모델이다. 잘 구성된 트랜잭션(Well-formed transaction) 즉 프로그램을 통해서만 객체에 접근하도록 하여 정보의 일관성을 유지하는 기법이다. 접근 요청과 응답 시에 거래와 관련된 감사 로그가 발생시켜 불법거래를 방지한다.
효율적인 업무처리와 임무분할 두가지 원칙을 사용하여 무결성을 보호하기 위한 효과적인 수단을 제공한다. 임무분할이란 중대한 기능을 둘 이상의 부분으로 분리한 형태를 의미하며 각각의 다른 주체는 각 부분을 수행하고 권한을 가진 주체가 허가 받지 않은 수정을 하지 못하도록 한다.
주로 금융자산 관리, 회계 등 분야에 적용된다.

[그림] 클락 윌슨 모델

l Chinese Wall Model

이익 상충 방지를 목적으로 하는 정보 흐름 모델을 기반으로 이익 상충 주체와 객체 간에 정보가 흐르지 않도록 차단하는 모델로 이익 충돌 회피를 위한 모델이다. 같은 로펌 고객 중에 경쟁사가 있을 경우, 담당 변호사끼리 정보를 공유하는 것과 같이 이해관계가 충돌되는 주체와 객체 사이에 정보가 흐르는 것을 방지하는 모델이다.
직무분리를 접근통제에 반영한 개념이며 기밀성 보호 모델이다.
즉 금융, 의료, 법률 등 민감한 데이터를 취급하는 상업적인 관점에서의 기밀성 유지를 목적으로 하며 직무분리를 접근통제에 반영한 개념이다.

l Information Flow Model

시스템 내의 정보흐름은 높은 보안단계에서 낮은 보안단계의 객체로 흐르지 않도록 하는 모델이다. 상태 머신 모델에 기반하여 객체와 상태전이, 흐름정책으로 구성된다. 벨라파듈라 모델은 높은 등급의 정보가 낮은 등급의 보안 레벨로 흐르는 것을 통제하고, 비바 모델은 낮은 등급의 정보가 높은 등급의 보안레벨로 흐르는 것을 통제하는 정보 흐름 모델의 일종이다.
즉 정보 흐름 모델은 시스템의 허가되지 않은 정보 흐름을 통제하여 시스템을 안전한 상태로 유지한다.