본문 바로가기
공부/DAP_study

[DAP공부]데이터베이스 설계_5 - 보안 설계

by 오양 2021. 11. 23.
728x90

보안 설계

  • 데이터베이스 보안 : 데이터베이스 정보가 비인가자에 의해 노출, 변조, 파괴되는 것을 막는 것
  • 보안 설계 목표
    • 권한이 없는 사용자에게 정보가 노출되는 것을 방지
    • 권한이 있는 사용자는 데이터에 접근하여 수정할 수 있도록 보장
  • 요구사항
    • 자원에 접근하는 사용자 식별 및 인증 - 사용자, 비밀번호, 사용자 그룹
    • 보안 규칙 또는 권한 규칙에 대한 정의
    • 사용자의 접근 요청에 대한 보안 규칙 검사 구현

접근 통제 기능

  • 임의의 사용자가 어떤 데이터에 접근하고자 할때 접근을 요구하는 사용자를 식별하고, 사용자의 요구가 정상적인 것인지 확인 및 기록하고 보안 정책에 근거하여 접근을 승인하거나 거부함으로써 비인가 불법적인 자원 접근 및 파괴를 예방하는 보안 관리의 모든 행위 의미
  • 임의적 접근 통제
    • 사용자의 신원에 근거를 두고 권한을 부여하고 취소하는 메커니즘을 기반
    • GRANT 명령어로 사용자에게 객체에 대한 권한 부여
    • REVOKE 명령어로 부여한 권한 취소
    • 다른 사람의 신분을 사용하여 불법적 접근이 이루어지면 결함 발생.
    • 트로이 목마 공격에 취약
  • 강제적 접근 통제
    • 주체와 객체를 보안 등급 중 하나로 분류하고, 주체가 자신보다 보안등급이 높은 객체를 읽거나 쓰는 것은 방지
    • 각 데이터베이스 객체에는 보안 등급이 부여되고 사용자마다 인가 등급을 부여하여 접근 통제

 

보안 설계정보의

1) 접근 통제 행렬

  • 임의적 접근 통제를 위한 보안 모델
  • 행은 주체를 나타내고, 열은 객체를 나타냄
  • 행과 열은 주체와 객체가 가지는 권한의 유형을 나타냄
  • 주체 : 데이터 베이스에 접근할 수 있는 조직의 개체로, 객체에 대하여 접근을 시도하는 사용자 의미
  • 객체
    • 보호되고 접근이 통제되어야 하는 데이터베이스 객체로 테이블, 칼럼, 뷰, 프로그램, 논리적인 정보의 단위 등이 있음
  • 규칙
    • 주체가 객체에 대하여 수행하는 데이터베이스의 조작으로, 입력, 수정, 삭제, 읽기와 객체의 생성과 파괴 등이 존재
    • 객체가 프로그램으로 확장되면 실행, 출력 등의 작업 유형을 정의

2) 기밀성 모델

  • 군사용 보안 구조의 요구사항을 충족시키기 위하여 정보의 불법적인 파괴나 변조보다는 기밀성 유지에 초점을 둔 최초의 수학적인 모델
  • 제약 조건 준수 필요
    • 단순 보안 규칙 : 주체는 자신보다 높은 등급의 객체를 읽을 수 없음
    • *(스타)-무결성 규칙 : 주체는 자신보다 낮은 등급의 객체에 정보를 쓸 수 없음
    • 강한 *(스타) 보안 규칙 : 주체는 자신과 등급이 다른 객체에 대하여 읽거나 쓸 수 없음

3) 무결성 모델

  • 정보의 일방향 흐름 통제를 이용하여 정보의 비밀성을 제공하는 기밀성 모델에서 발생하는 정보의 부당한 변경 문제를 해결하기 위해 개발된 무결성 기반의 보안 모델
  • 단순 보안 규칙 : 주체는 자신보다 낮은 등급의 객체를 읽을 수 없음
  • *(스타)-무결성 규칙 : 주체는 자신보다 높은 등급의 객체에 정보를 쓸 수 없음

 

접근 통제 정책

  • 신분-기반 정책
    • 개인 또는 그들이 속해 있는 그룹들의 신분에 근거하여 객체에 대한 접근을 제한하는 방법
  • 규칙-기반 정책
    • 강제적 접근 통제와 동일한 개념으로 주체가 갖는 권한에 근거하여 객체에 대한 접근을 제시
  • 역할-기반 정책
    • GBP(Group-Based Policy)의 변형된 형태로 생각 할 수 있음
728x90

접근 통제 메커니즘

  • 패스워드
  • 암호화
    1. 운영체제에서의 암호화
    2. DBMS 엔진에서의 암호화
    3. 응용프로그램에서의 암호화
  • 접근 통제 목록
  • 능력 리스트
  • 보안 등급
  • 통합 정보 메커니즘

 

접근 통제 조건

  • 값 종속 통제
  • 다중 사용자 통제 : 다수의 사용자가 연합하여 접근을 요청할 경우 접근 통제를 지원하기 위한 수단이 제공
  • 컨텍스트 기반 통제 : 특정 시간, 네트워크 주소 등 확인이 가능한 접근 경로나 위치, 인증 수준 등과 같은 외부적인 요소에 의존하여 객체의 접근을 제어하는 방법

 

감사 추적

  • 애플리케이션, 사용자가 데이터베이스에 접근하여 수행한 모든 활용을 일련의 기록으로 남기는 기능
  • 오류로 DB가 파괴되었을 때 복구하기 위한 중요한 정보로 사용하거나 데이터베이스에 대한 부당한 조작을 파악하기 위한 수단

 

 

LIST
저작자표시 (새창열림)

'공부 > DAP_study' 카테고리의 다른 글

[DAP공부]데이터베이스 이용_1 - 데이터베이스 관리 시스템(DBMS)  (0) 2021.12.06
[DAP공부]데이터베이스 설계_4 - 분산 설계  (0) 2021.11.22
[DAP공부]데이터베이스 설계_3 - 인덱스 설계  (0) 2021.11.16
[DAP공부]데이터베이스 설계_2 - 무결성 설계  (0) 2021.11.09
[DAP공부]데이터베이스 설계_1 - 저장 공간 설계  (0) 2021.11.06

관련글

티스토리툴바