보안 모델 (접근 통제, 접근 제어)

보안 모델

벨-라파듈라 모델(BLP, Bell-LaPadula Confidentiality Model)

• 미 육군에서 근무하던 벨-라파듈라가 고안해낸 군사용 보안 정책이다
• 오직 기밀성을 강조하는 MAC(Mandatory Access Control)모델이다.
• 허가된 비밀 정보에 허가되지 않는 방식의 접근을 금지한다.
• 정보의 불법적인 유출을 막기위해 개발된 최초의 수학적 모델이다.
• 주체는 특정 보안 허가를, 객체는 특정 보안 분류를 할당받고 이를 기반으로 접근을 판단한다.
• 읽기, 쓰기, 추가, 실행 4가지의 접근 모드를 정의한다.

벨-라파듈라 모델의 보안 규칙

• 단순 보안 규칙(No Read Up) : 주체는 자신보다 높은 보안 수준의 객체를 읽을 수 없다. 주체의  보안 수준이 객체와 동일한 보안 수준이거나 객체보다 높은 수준일때만 읽을 수 있다.
• 성^[각주:1]형 속성(No Write Down) : 주체는 객체와 동일한 보안 등급이거나 그 객체보다 낮은 등급일 때만 수정할 수 있다. 주체는 자신보다 낮은 등급의 정보를 수정할 수 없다. (성형 속성)^[각주:2]

벨-라파듈라 모델의 제약

• 은닉 채널이 존재할 때 협력하는 음모자의 문제가 존재한다.
• 하나의 MLS(MultiLevel Security)시스템 내에서 기밀성과 무결성 간 호환성이 없다.

벨-라파듈라 모델의 문제점

• 오직 기밀성만을 강조하기 때문에 무결성과 가용성은 고려하지 않는다.
• 낮은 등급의 주체가 상위 등급의 객체를 보지 않은 상태에서 수정할 수 있기 때문에^[각주:3] 문서가 비인가자로부터 변경되는 무결성 파괴가 일어날 수 있다.

비바 무결성 모델(BIBA, Biba Integrity Model)

• 벨-라파듈라의 단점을 보완한 상업용 무결성 모델
• 정보는 고의적인, 비인가된, 우연한 변경으로부터 보호되어야 한다는 무결성의 3가지 원칙 중 비인가된 변경만 취급한다.

비바 무결성 모델의 보안 규칙

단순 무결성 규칙과 무결성 제한은 벨-라파듈라 모델의 보안 규칙의 반대라고 볼 수 있다.

• 단순 무결성 규칙(No Read Down) : 주체는 자신보다 낮은 무결성 수준의 객체를 읽을 수 없다. 이는 낮은 무결성 레벨로 인한 데이터 손상을 방지한다.
• 무결성 제한(No Write Up)  : 주체는 자신보다 높은 무결성 수준의 객체에 기록할 수 없다.
• 호출 속성 : 주체는 자신보다 높은 무결성 수준을 갖는 주체에게 서비스를 요청할 수 없다.
  주체는 자신보다 낮은 무결성 수준에 대해서만 호출이 가능하다.

클락-윌슨 무결성 모델(CW, Clark-Wilson Integrity  Model)

• 주체/프로그램/객체의 세 부분 관계를 사용한 무결성 모델이다.
• 무결성을 중심으로 군사용보단 상업용을 목적으로 설계되었다. (상업용 연산에 가깝게 설계)
• 무결성의 3가지 목적(비인가자의 위변조 방지, 직무분리라, 정확한 트랜잭션)을 구현한다.^[각주:4]

클락-윌슨 무결성 모델의 접근 통제 원칙

정확한 트랜잭션(Well formed transaction)

• 데이터를 하나의 일치 상태에서 다른 일치 상태로 변경해야 한다.

무결성의 3가지 목적

• 위변조 방리 - 허가되지 않은 사용자로부터 수정을 예방한다. 
• 직무 분리 - 허가된 사용자의 부적절한 수정을 예방한다.
• 정확한 트랜잭션 - 내부 및 외부 일치성을 유지한다.

만리장성 모델(BN, Brewer Nash, Chinese Wall Model)

• 충돌을 야기하는 어떠한 정보의 흐름도 차단해야 한다는 모델로 이익 충돌 회피를 위한 모델이다.^[각주:5]
• 직무 분리를 접근 통제에 반영한 개념이 적용된다.
• 자유재량과 강제적 접근 개념을 모두 이용한다.
• 금융 서비스 제공 회사가 이해 충돌의 발생을 막기 위해 설계된 내부 규칙이다.^[각주:6]
• 적용 영역 : 투자, 금융, 파이낸셜, 로펌, 광고 분야

---

기타 보안 모델

정보 흐름 모델(Information Flow Models)

• 벨라파듈라 모델은 정보가 높은 보안 수준에서 낮은 보안 수준으로 이동하는 것을 막고, 비바 모델은 정보가 낮은 무결성 수준에서 높은 무결성 수준으로 이동하는 것을 막는 것에 중점을 둔다. 이 두 모델은 정보 흐름 모델을 기반으로 한다.
• 정보 흐름 모델은 한 보안(혹은 무결성) 수준이 다른 보안 수준으로 이동하는 것을 포함한 모든 종류의 정보 흐름을 다룬다.
• 은닉 채널(Coovert channel)에 대응하는것에 대한 규칙을 만든다. 하지만 시스템에는 수많은 종류의 정보흐름이 존재하므로 모든 은닉 채널을 막는 것은 사실상 어려운 일이다.

상태 기계 모델(State Machine Models)

• 시스템 내 활동에 상관없이 시스템이 스스로를 보호하고 불안정 상태가 되지 않도록 하는 모든 컴퓨터에 적용되는 관념적 모델이다.
• 모든 보안 모델에 기본적으로 적용된다

1. star * [본문으로]
2. 보안 등급이 높은 주체가 자신보다 낮은 등급에 정보를 유출할 가능성을 사전에 예방하는 것이다. [본문으로]
3. Blind Write [본문으로]
4. 비바 무결성 모델은 첫 번째 목적만 언급한다. [본문으로]
5. 다른 모델과는 많이 다르며 이해 충돌이 발생할 수 있는 상업용 응용을 위해 개발되었다. [본문으로]
6. 분석가가 어떤 회사의 계획이나 상태와 같은 기밀 정보를 알고 있다면 그 기업의 경쟁회사의 조언을 하는 것이 허용될 수 없다. 그러나 분석가가 서로 경쟁하지 않는 여러 회사의 조언을 하는 것과 대중에게 알려진 시장 정보를 주는 것은 가능하다. [본문으로]