728x90
반응형
1. 보안 모델의 기본 개념 이해
- 정보 보안 모델: 보안 정책을 형식화 하는 방법을 제공
신뢰 컴퓨팅 기반 (TCB)
- 보안정책을 강제하기 위해 HW, SW,제어를 조합한 것을 의미
보안구역
- TCB를 시스템의 나머지 부분과 분리시키는 가상의 경계선
- TCB가 보안구역 밖과 통신하기 위해서는 신뢰된 경로(안전한 채널)를 생성해야 한다.
참조 모니터
- 모든 자원에 대한 접근을 허락하기 전에 확인 절차를 수행하는 요소
보안커널
- 참조 모니터 기능을 구현하기 위해서 동작하는 HW, SW
상태 기계 모델 (State Machine Model)
- 어떤 상태에 있든지 항상 안전한 시스템
- 상태의 모든 요소가 보안정책의 요구사항을 만족 시킨다면, 그 상태는 안전하다고 여긴다.
- 모든 전이는 안전한 상태를 유지. 접근은 안전한 방식으로만 허용.
정보흐름 모델 (Information Flow Model)
- 상태기계모델에 기반을 둔다.
- 벨-라파듈라, 비바 모델
- 허가되지 않은, 안전하지 않은, 다른 보안 수준간의 제한된 정보 흐름을 막기 위해 설계
비간섭 모델
- 정보흐름 모델에 느슨하게 기반을 둠
- 상위 보안수준의 사용자의 행위가 시스템 상태나 낮은 보안수준의 사용자에게 어떤 영향을 미치는 지를 다룸(영향을 미치지 않도록 제한한다)
양수-양도 모델 (Take-Grant Model)
- 권한이 다른 주체나 객체로 어떻게 전달 되는지를 제어하기 위해서 방향성 그래프를 사용한다.
- 양수규칙: 객체 간에 권한을 가져오는 것을 허용
- 양도규칙: 객체에게 권한을 부여하는 것을 허용
- 생성규칙: 새로운 권한을 생성하는 것을 허용
- 제거규칙: 소유하고 있는 권한을 제거하는 것을 허용
접근통제 매트릭스
- 주체와 객체로 이뤄진 표로 각 주체가 객체에게 수행 할 수 있는 행동이나 기능을 나타낸다.
- 각 열은 ACL(접근 통제 리스트), 각 행은 Capability List(능력 리스트)를 나타냄
- 구축과정:
- 주체와 객체 목록을 생성하고, 관리 할 수 있는 환경을 구축
- 객체가 입력하는 것의 종류를 반환 할 수 있는 함수 작성
- 아래는 접근통제 매트릭스 예시:
문서 | 프린터 | 공유폴더 | |
사용자1 | 읽기 | 접근불가 | 접근불가 |
사용자2 | 접근불가 | 접근불가 | 읽기 |
사용자3 | 읽기,쓰기 | 프린트 | 읽기 |
벨-라파듈라 모델
- 미국 국방부의 기밀정보 보호목적으로 개발
- 낮은 수준의 주체가 높은 수준의 객체에 접근하는 것을 막는다.
- 기밀성을 보장. 하지만 무결성, 가용성은 보장하지 않음.
- 강제 접근통제와 격자개념을 사용.
비바 모델
- 비바 모델은 무결성을 중시한다.
- 속성
- 단순무결성(Simple Integrity): 주체가 자신보다 낮은 무결성 수준의 객체를 읽지 못한다.
- *(스타)무결성: 주체가 자신보다 높은 무결성 수준의 객체를 수정하지 못함.
- 벨-라파듈라와 마찬가지로 데이터 분류에 의존한다.
- 단점
- 무결성만 다루고, 기밀성과 가용성은 다루지 않는다.
- 객체를 외부위협으로 부터 보호하는데 초점. 내부위협은 처리할 수 있다고 가정한다.
- 접근통제 관리, 객체/주체의 분류수준을 부여/변경하는 방법을 제공하지 않음
- 은닉채널을 막지 않는다.
벨-라파듈라, 비바 모델 비교
벨-라파듈라 (기밀성 중시) | 비바 (무결성 중시) | |
읽기 | 높은수준 읽기금지, 낮은수준 읽기허용 (단순보안, Simple Security) | 높은수준 읽기허용, 낮은수준 읽기금지 (단순무결성, Simple Integrity) |
쓰기 (스타 속성, * 속성) | 높은수준 쓰기허용, 낮은수준 쓰기금지 | 높은수준 쓰기금지, 낮은수준 쓰기허용 |
클락-윌슨 모델
원리
- 잘 구성된 처리: 주체는 프로그램을 통해서만 객체에 접근이 가능하다. 프로그램이 주체의 능력을 제한한다.
- 직무의 분리: 결과적으로 직무의 분리를 강제한다.
브루어와 내시 모델 (만리장성 모델)
- 사용자의 이전 활동에 기반을 두고 접근 통제를 동적으로 변경 가능하게 만들어진 모델
- 단일의 통합된 DB에 적용
- 특정 이해 계층에 속하는 영역에 접근 가능한 주체를 다른 영역에 접근하지 못하게 만드는 것.
- 데이터 분리의 원리를 사용해 잠재적인 이해상충 상황을 방지
고구엔-메세구에르 모델
- 무결성 모델. 비간섭에 대한 개념적인 이론의 기초.
- 미리 결정된 집합이나 영역에 기초
- 자동화 이론과 영역분리에 기반
- 주체가 이미 결정된 행위를 이미 결정된 객체에 대해서만 수행 할 수 있음.
서더랜드 모델
- 무결성 모델. 간섭을 방지하는데 집중.
- 상태기계 모델과 정보흐름 모델에 기반을 둔다.
- 시스템 상태, 초기상태, 상태전이의 집합을 정의하는 아이디어에 기반.
- 일반적인 예: 은닉채널을 막는 것.
그래이엄-데닝 모델
- 주체와 객체의 안전한 생성과 삭제에 초점을 둔다.
- 정의 내용
- 안전하게 객체/주체 생성
- 안전하게 객체/주체 제거
- 안전하게 읽기/접근/삭제/전송 권한 부여하기
2. 객체와 주체
폐쇄된 시스템과 개방 시스템
폐쇄된 시스템
- 좁은 범위의 다른 시스템과 함께 동작하게 설계
- 표준은 보통 기관 소유, 비공개
- 다른 시스템과 통합이 어렵지만 더 안전하다
- 표준을 따르지 않는 HW, SW
개방 시스템
- 산업표준에 따라 설계
- 같은 표준을 지원하는 다른 시스템과 쉽게 통합
- 공격을 시작할 수 있는 예측 가능한 방법들이 존재
CIA(기밀성,무결성,가용성)를 보장하기 위한 기법
제한
- 프로그램의 행위에 대한 제한을 위해 프로세스 제한을 사용
- 프로세스가 오직 특정한 메모리 영역과 자원에만 read/write를 허용
- 보안등급이 높은 시스템은 위반행위를 기록하고 실질적인 방법으로 조치(프로세스 종료 등)
경계선(bounds)
- 각 프로세스에는 권한수준이 할당된다.
- 권한수준은 OS에 프로세스의 경계를 설정하는 것을 알려준다.
- 경계: 접근 가능한 메모리 주소와 자원. 제한되어 있는 영역을 의미
격리(Isolation)
- 프로세스가 경계에 의해 제한될 때, 그 프로세스는 별개로 실행 된다.
통제
접근규칙
- 각 주체에 대해 어떤 객체가 유효한지 명시
MAC(강제적 접근통제), DAC(임의적 접근통제)
- 각 주체는 자원접근을 위한 승인이나 권한속성을 소유
- 각 객체는 자신의 분류를 정의하는 속성을 소유
규칙기반 접근통제(Rule-based AC)
- 미리 정의된 규칙이 어떤 주체가 어떤 객체에 접근 가능한지 알려준다.
재량 제어
- 주체가 제한된 범위 내에서 접근 가능한 객체를 정의 할 수 있는 능력을 가질 수 있다.
신뢰와 보증
- 보안문제는 설계과정에서 통합 되어야 하고, 나중에 추가 해서는 안된다.
- 신뢰 시스템: 모든 보호과정이 함께 동작하는 시스템
- 보증: 보안요구를 만족시키는 신뢰의 정도
3. 정보시스템 보안평가 모델의 구성요소 이해
공식평가 과정
- 시스템검사·기술평가는 시스템 보안 능력이 의도에 부합하는 지 확인
- 시스템 설계상 보안기준과 실제 성능을 비교검증하여 책임자들은 그것을 수용,거절,수정 할지 결정,재검증 한다.
=> 보통은 신뢰된 제3자가 수행한다.
레인보우 시리즈 (TCSEC)
- 신뢰 컴퓨터 시스템 평가 - DoD (미국방부)가 개발·적용한 보안 표준
- 시리즈가 표지색으로 구분 뒤어서 레인보우 시리즈 라고 알려짐.
TCSEC 주요 카테고리
- A - 검증된 보호. 최고 수준의 보안
- B - 필수 보호
- C - 재량적 보호
- D - 최소한의 보호
하위 카테고리
- 재량적 보호 (C): 기본적인 접근통제 제공
- 임의적 보호(C1)
- 사용자 ID나 그룹을 이용해 접근 통제
- 약한 보호만을 제공.
- 제어된 접근 보호(C2)
- C1보다 강력한 보호. 객체 접근을 위해 신분이 확인 돼야 한다.
- 미디어 클렌징 강제
- 엄격한 로그인 절차
- 필수 보호(B): 다양한 제어를 의무화해 아주 제한된 주체나 객체 접근을 허용. 벨-라파듈라 모델을 기초로 함.
- 레이블 된 보안(B1)
- 각 주체와 객체가 보안 레이블을 갖고 있고, 시스템이 등급을 대조, 권한을 비교하여 접근 허용.
- 구조적 보호(B2)
- B1에 추가로 은닉채널이 없음을 보장함
- 보안 도메인(B3)
- 관계없는 프로세스의 분리와 독립
- 취약점에 노출 되는 것을 줄이기 위해 단순하게 만든다.
- 검증된 보호(A1)
- B3와 시스템 구조·제어 측면에서 유사함
- 설계의 각 과정에서 다음 과정으로 가기 전에 문서화, 평가, 검증단계를 거친다. => 높은 보안의식을 강제한다.
ITSEC 클래스와 필수적으로 요구되는 보장성과 기능
유럽에서 보안평가 기준을 만들기 위한 첫 시도
- 기능성 측정: 필요한 기능이 잘 동작하는지 설계와 목적에 기반을 두고 표현
- 보장성 측정: 안정적으로 동작하는지 신뢰도
* TOE(평가대상, target of evaluation): 평가될 시스템
- 기능성: F-D 부터 F-B3
- 보장성: E0 부터 E6
TCSEC과 ITSEC의 차이점
TCSEC | ITSEC |
기밀성에만 초점 | CIA 모든 요소를 다룬다 |
TCB 개념 의존 | 보안 요소가 TCB내부에서 독립적이어야 함을 요구하지 않음 |
시스템 변경이 일어나면 새로 검증 | TOE유지를 위한 범위를 포함 |
공통 평가 기준 (CC, Common Criteria)
- 보안능력을 확인하는 다양한 수준과 어떤 검증·확인이 수행 됐는지 나타내는 수준 정의
CC가이드라인의 목적
- 평가된 IT제품들의 보안에 대해 구매자의 신뢰성을 추가
- 중복된 평가를 제거
- 보안 평가/인증 절차를 효율적으로 만든다
- IT제품의 평가가 '높고 일정한 표준'에 따르게 한다
- 평가를 강화. 평가된 제품의 가용성을 높인다.
- TOE의 기능성과 보장성을 평가한다.
CC 과정 핵심요소
- 보호 프로파일(PP) - 보안요구나 고객 입장에서 고려되는 보안 요구사항과 평가 받을 제품을 명시
- 보안목표(ST) - TOE에 구현될 판매자의 보안 요구사항
=> 고객은 PP와 판매자의 ST를 비교하여 구매함
CC의 구조
- 1부: 전반적인 소개. 모델 설명.
- 2부: 보안 기능성 요구사항
- 3부: 보안 보장성 (TOE에 대한 보증 요구사항)
EAL (평가 보증 수준)
- EAL1: 기능적으로 검사 -신뢰가 요구되지만 보안 위협이 심각하지 않을 때 적용. 의무적 보안수준을 요구할 때.
- EAL2: 구조적으로 검사 - 중하 수준의 보안 수준을 요구할 때. 특히 예전의 시스템을 평가할 때.
- EAL3: 체계적으로 검사/점검 - 중간 수준의 보안수준을 요구 할 때.
- EAL4: 체계적으로 설계/검사/재확인 - TOE의 모든 보안 기능에 대한 검사를 포함
- EAL5: 반정형적으로 설계/검증 - 높은 수준의 보안 수준을 요구 할 때.
- EAL6: 반정형적으로 검증/설계/검사 - 고위험 상황을 위한 TOE가 필요할 때 적용.
- EAL7: 정형적으로 검증/설계/검사 - 최고로 위험한 상황이나 높은 가치자산이 수반 될 때. 광범위한 정형분석과 검사의 대상이 되는 TOE한정.
*보안평가 표준 비교
TCSEC | ITSEC | CC | 수준 |
D | F-D+E0 | EAL0, EAL1 | 최소의 보호 or 없음 |
C1 | F-C1+E1 | EAL2 | 재량적 보안장치 |
C2 | F-C2+E2 | EAL3 | 제어적 접근보호 |
B1 | F-B1+E3 | EAL4 | 레이블된 보안보호 |
B2 | F-B2+E4 | EAL5 | 구조화된 보안보호 |
B3 | F-B3+E5 | EAL6 | 보안 도메인 |
A1 | F-B4+E6 | EAL7 | 검증된 보안설계 |
산업과 국제적 보안 구현 가이드라인
PCI-DSS (Payment Card Industry - Data Security Standard)
- 전자 결제거래의 보안을 향상 시키기 위한 필요조건의 모음
ISO (국제 표준화 기구)
- 세계적인 표준제정 그룹. 다양한 나라의 표준기관 대표
인증과 인가
- 응용보안, 운영체제, HW보안의 효율성을 평가 할 때 사용된다.
- 인증
- 평가를 통해서 특정 설계와 구현이 보안 요구사항을 만족 시키는지를 정립
- 시스템 인증은 시스템의 환경을 고려한다.
- 특정한 환경과 설정이 있을 때만 유효하다.
- 승인
- 관리자가 인증된 정보를 검토하고 시스템이 보안 요구사항에 부합하는지 결정
- DAA(지정된 인가 권한)에 의한 정형적인 선언
- 시스템에 대한 인증과 인가
- 2가지 (미국)정부 표준: DoD(미국방부)의 DITSCAP, 미행정부처의 NIACAP
- 절차:
- 정의 - 프로젝트 인력을 할당. 전체과정의 가이드라인. SSAA(시스템 보안 인증 협약) 생성.
- 검증 - SSAA, 개발과정, 인증분석을 다듬는 것
- 확인 - SSAA, 인증평가, DAA추천개발, DAA승인 결정을 다듬는 것
- 인가 후 단계 - SSAA, 운영, 변경관리, 준수확인의 유지
4. 정보시스템의 보안능력 이해
정보시스템의 보안능력
- 메모리 보호, 가상화, 신뢰 플랫폼 모듈 포함.
메모리 보호
- 다음 글의 메모리 보호 항목에서 다룸: https://itknowledge.tistory.com/77
가상화 기술
- 사용자 관점에서는 전통적인 서버/서비스를 구분 할 수 없다.
- 고장시에 시스템의 HDD를 백업 파일로 빠르게 복구 가능함.
신뢰 플랫폼 모듈(TPM)
- HW적으로 구현된 HDD 암호화 시스템에 관한 암호화 키를 저장/처리하는데 사용.
- 원래의 TPM칩만이 복호화 가능
하드웨어 보안 모듈(HSM)
- 암호처리 프로세서.
- 암화화키 관리, 저장, 암호화 명령 가속, 빠른 디지털서명, 승인 향상
- TPM도 HSM에 속한다.
728x90
반응형
'IT이론 정리노트 > IT보안(CISSP)' 카테고리의 다른 글
CISSP IT보안이론 요약: 보안 운영 (0) | 2022.02.12 |
---|---|
CISSP IT보안이론 요약: 보안 구조 취약점, 위협, 대응 방안 (0) | 2022.02.10 |
CISSP IT보안이론 요약: PKI와 암호학 응용 (0) | 2022.02.08 |
CISSP IT보안이론 요약: 암호화 기법과 대칭키 알고리즘 (0) | 2022.02.07 |
CISSP IT보안이론 요약: 악성코드와 애플리케이션 공격 (0) | 2022.02.06 |