역할기반 접근통제

1. 강제적 접근 통제(Mandatory Access Control)

 

[내용]

 

 - 주체의 객체에 대한 접근이 주체의 비밀 취급 인가 레이블 및 객체의 민감도 레이블에 따라 지정되는 방식

 - 주체와 객체의 접근은 주체의 비밀 취급인가와 객체의 민감도 레이블이 결정되면, 미리 정해진 접근 규칙에 따라 정의

 - 규칙 기반 접근 통제(Rule-Based Access Control) 라고도 함

 

[권한부여]  System

 

[접근결정]  Security Label

 

[정책]  경직

 

[장점]  중앙집중, 안정적, 기밀성 보장, 통제용이

 

[단점]  구현 및 운영의 어려움, 성능/비용이 고가

 

[적용사례]  방화벽, 군대

 

 

2. 임의적 접근 통제(Discretionary Access Control)

 

[내용]

 

 - 접근 권한을 객체의 소유자가 임의로 지정하는 방식

 - 사용자 기반(User-Based) 또는 ID 기반(ID-Based) 접근 통제라고도 함

 

[권한부여]  Data Owner

 

[접근결정]  신분

 

[정책]  유연

 

[장점]  유연함, 구현 용이

 

[단점]  트로이목마에 취약, ID 도용 시 통제 방법이 없음

 

[적용사례]  접근 통제 목록(ACL)

 

 

3. 역할기반 접근 통제(Role-Based Access Control)

 

[내용]

 

 - 주체의 역할에 따라 접근할 수 있는 객체를 지정하는 방식

 - 비임의(Non-Discretionay) 또는 임무 기반(Task-Based) 접근 통제라고도 함

 - 래티스 기반(Lattice-Based) 접근 통제라고도 함

 

[권한부여]  Central Authority

 

[접근결정]  역할

 

[정책]  유연

 

[장점]  관리 용이

 

[단점]  -

 

[적용사례]  HIPAA, 인사 이동이 빈번한 조직