CISSP IT보안이론 요약: 보안 모델의 원칙,설계,기능

1. 보안 모델의 기본 개념 이해

- 정보 보안 모델: 보안 정책을 형식화 하는 방법을 제공

 

신뢰 컴퓨팅 기반 (TCB)

- 보안정책을 강제하기 위해 HW, SW,제어를 조합한 것을 의미

보안구역

• TCB를 시스템의 나머지 부분과 분리시키는 가상의 경계선
• TCB가 보안구역 밖과 통신하기 위해서는 신뢰된 경로(안전한 채널)를 생성해야 한다.

참조 모니터

• 모든 자원에 대한 접근을 허락하기 전에 확인 절차를 수행하는 요소

보안커널

• 참조 모니터 기능을 구현하기 위해서 동작하는 HW, SW

 

상태 기계 모델 (State Machine Model)

• 어떤 상태에 있든지 항상 안전한 시스템
• 상태의 모든 요소가 보안정책의 요구사항을 만족 시킨다면, 그 상태는 안전하다고 여긴다.
• 모든 전이는 안전한 상태를 유지. 접근은 안전한 방식으로만 허용.

 

정보흐름 모델 (Information Flow Model)

• 상태기계모델에 기반을 둔다.
• 벨-라파듈라, 비바 모델
• 허가되지 않은, 안전하지 않은, 다른 보안 수준간의 제한된 정보 흐름을 막기 위해 설계

 

비간섭 모델

• 정보흐름 모델에 느슨하게 기반을 둠
• 상위 보안수준의 사용자의 행위가 시스템 상태나 낮은 보안수준의 사용자에게 어떤 영향을 미치는 지를 다룸(영향을 미치지 않도록 제한한다)

 

양수-양도 모델 (Take-Grant Model)

- 권한이 다른 주체나 객체로 어떻게 전달 되는지를 제어하기 위해서 방향성 그래프를 사용한다.

• 양수규칙: 객체 간에 권한을 가져오는 것을 허용
• 양도규칙: 객체에게 권한을 부여하는 것을 허용
• 생성규칙: 새로운 권한을 생성하는 것을 허용
• 제거규칙: 소유하고 있는 권한을 제거하는 것을 허용

 

접근통제 매트릭스

• 주체와 객체로 이뤄진 표로 각 주체가 객체에게 수행 할 수 있는 행동이나 기능을 나타낸다.
• 각 열은 ACL(접근 통제 리스트), 각 행은 Capability List(능력 리스트)를 나타냄
• 구축과정:
  1. 주체와 객체 목록을 생성하고, 관리 할 수 있는 환경을 구축
  2. 객체가 입력하는 것의 종류를 반환 할 수 있는 함수 작성
• 아래는 접근통제 매트릭스 예시:

	문서	프린터	공유폴더
사용자1	읽기	접근불가	접근불가
사용자2	접근불가	접근불가	읽기
사용자3	읽기,쓰기	프린트	읽기

 

벨-라파듈라 모델

• 미국 국방부의 기밀정보 보호목적으로 개발
• 낮은 수준의 주체가 높은 수준의 객체에 접근하는 것을 막는다.
• 기밀성을 보장. 하지만 무결성, 가용성은 보장하지 않음.
• 강제 접근통제와 격자개념을 사용.

 

비바 모델

• 비바 모델은 무결성을 중시한다.
• 속성
  • 단순무결성(Simple Integrity): 주체가 자신보다 낮은 무결성 수준의 객체를 읽지 못한다. 
  • *(스타)무결성: 주체가 자신보다 높은 무결성 수준의 객체를 수정하지 못함.
• 벨-라파듈라와 마찬가지로 데이터 분류에 의존한다.
• 단점
  • 무결성만 다루고, 기밀성과 가용성은 다루지 않는다.
  • 객체를 외부위협으로 부터 보호하는데 초점. 내부위협은 처리할 수 있다고 가정한다.
  • 접근통제 관리, 객체/주체의 분류수준을 부여/변경하는 방법을 제공하지 않음
  • 은닉채널을 막지 않는다.

 

벨-라파듈라, 비바 모델 비교

	벨-라파듈라 (기밀성 중시)	비바 (무결성 중시)
읽기	높은수준 읽기금지, 낮은수준 읽기허용 (단순보안, Simple Security)	높은수준 읽기허용, 낮은수준 읽기금지 (단순무결성, Simple Integrity)
쓰기 (스타 속성, * 속성)	높은수준 쓰기허용, 낮은수준 쓰기금지	높은수준 쓰기금지, 낮은수준 쓰기허용

 

클락-윌슨 모델

원리

• 잘 구성된 처리: 주체는 프로그램을 통해서만 객체에 접근이 가능하다. 프로그램이 주체의 능력을 제한한다.
• 직무의 분리: 결과적으로 직무의 분리를 강제한다.

 

브루어와 내시 모델 (만리장성 모델)

• 사용자의 이전 활동에 기반을 두고 접근 통제를 동적으로 변경 가능하게 만들어진 모델
• 단일의 통합된 DB에 적용
• 특정 이해 계층에 속하는 영역에 접근 가능한 주체를 다른 영역에 접근하지 못하게 만드는 것.
• 데이터 분리의 원리를 사용해 잠재적인 이해상충 상황을 방지

 

고구엔-메세구에르 모델

• 무결성 모델. 비간섭에 대한 개념적인 이론의 기초.
• 미리 결정된 집합이나 영역에 기초
• 자동화 이론과 영역분리에 기반
• 주체가 이미 결정된 행위를 이미 결정된 객체에 대해서만 수행 할 수 있음.

 

서더랜드 모델

• 무결성 모델. 간섭을 방지하는데 집중.
• 상태기계 모델과 정보흐름 모델에 기반을 둔다.
• 시스템 상태, 초기상태, 상태전이의 집합을 정의하는 아이디어에 기반.
• 일반적인 예: 은닉채널을 막는 것.

 

그래이엄-데닝 모델

• 주체와 객체의 안전한 생성과 삭제에 초점을 둔다.
• 정의 내용
  • 안전하게 객체/주체 생성
  • 안전하게 객체/주체 제거
  • 안전하게 읽기/접근/삭제/전송 권한 부여하기

 

2. 객체와 주체

폐쇄된 시스템과 개방 시스템

폐쇄된 시스템

• 좁은 범위의 다른 시스템과 함께 동작하게 설계
• 표준은 보통 기관 소유, 비공개
• 다른 시스템과 통합이 어렵지만 더 안전하다
• 표준을 따르지 않는 HW, SW

개방 시스템

• 산업표준에 따라 설계
• 같은 표준을 지원하는 다른 시스템과 쉽게 통합
• 공격을 시작할 수 있는 예측 가능한 방법들이 존재

 

CIA(기밀성,무결성,가용성)를 보장하기 위한 기법

제한

• 프로그램의 행위에 대한 제한을 위해 프로세스 제한을 사용
• 프로세스가 오직 특정한 메모리 영역과 자원에만 read/write를 허용
• 보안등급이 높은 시스템은 위반행위를 기록하고 실질적인 방법으로 조치(프로세스 종료 등)

경계선(bounds)

• 각 프로세스에는 권한수준이 할당된다.
• 권한수준은 OS에 프로세스의 경계를 설정하는 것을 알려준다.
• 경계: 접근 가능한 메모리 주소와 자원. 제한되어 있는 영역을 의미

격리(Isolation)

• 프로세스가 경계에 의해 제한될 때, 그 프로세스는 별개로 실행 된다.

 

통제

접근규칙

• 각 주체에 대해 어떤 객체가 유효한지 명시

MAC(강제적 접근통제), DAC(임의적 접근통제)

• 각 주체는 자원접근을 위한 승인이나 권한속성을 소유
• 각 객체는 자신의 분류를 정의하는 속성을 소유

규칙기반 접근통제(Rule-based AC)

• 미리 정의된 규칙이 어떤 주체가 어떤 객체에 접근 가능한지 알려준다.

재량 제어

• 주체가 제한된 범위 내에서 접근 가능한 객체를 정의 할 수 있는 능력을 가질 수 있다.

 

신뢰와 보증

- 보안문제는 설계과정에서 통합 되어야 하고, 나중에 추가 해서는 안된다.

• 신뢰 시스템: 모든 보호과정이 함께 동작하는 시스템
• 보증: 보안요구를 만족시키는 신뢰의 정도

 

3. 정보시스템 보안평가 모델의 구성요소 이해

공식평가 과정

1. 시스템검사·기술평가는 시스템 보안 능력이 의도에 부합하는 지 확인
2. 시스템 설계상 보안기준과 실제 성능을 비교검증하여 책임자들은 그것을 수용,거절,수정 할지 결정,재검증 한다.

=> 보통은 신뢰된 제3자가 수행한다.
 

레인보우 시리즈 (TCSEC)

• 신뢰 컴퓨터 시스템 평가 - DoD (미국방부)가 개발·적용한 보안 표준
• 시리즈가 표지색으로 구분 뒤어서 레인보우 시리즈 라고 알려짐.

TCSEC 주요 카테고리

• A - 검증된 보호. 최고 수준의 보안
• B - 필수 보호
• C - 재량적 보호
• D - 최소한의 보호

하위 카테고리

- 재량적 보호 (C): 기본적인 접근통제 제공

• 임의적 보호(C1)
  • 사용자 ID나 그룹을 이용해 접근 통제
  • 약한 보호만을 제공.
• 제어된 접근 보호(C2)
  • C1보다 강력한 보호. 객체 접근을 위해 신분이 확인 돼야 한다.
  • 미디어 클렌징 강제
  • 엄격한 로그인 절차

- 필수 보호(B): 다양한 제어를 의무화해 아주 제한된 주체나 객체 접근을 허용. 벨-라파듈라 모델을 기초로 함.

• 레이블 된 보안(B1)
  • 각 주체와 객체가 보안 레이블을 갖고 있고, 시스템이 등급을 대조, 권한을 비교하여 접근 허용.
• 구조적 보호(B2)
  • B1에 추가로 은닉채널이 없음을 보장함
• 보안 도메인(B3)
  • 관계없는 프로세스의 분리와 독립
  • 취약점에 노출 되는 것을 줄이기 위해 단순하게 만든다.

- 검증된 보호(A1)

• B3와 시스템 구조·제어 측면에서 유사함
• 설계의 각 과정에서 다음 과정으로 가기 전에 문서화, 평가, 검증단계를 거친다. => 높은 보안의식을 강제한다.

 

ITSEC 클래스와 필수적으로 요구되는 보장성과 기능

유럽에서 보안평가 기준을 만들기 위한 첫 시도

• 기능성 측정: 필요한 기능이 잘 동작하는지 설계와 목적에 기반을 두고 표현
• 보장성 측정: 안정적으로 동작하는지 신뢰도

* TOE(평가대상, target of evaluation): 평가될 시스템

• 기능성: F-D 부터 F-B3
• 보장성: E0 부터 E6

TCSEC과 ITSEC의 차이점

TCSEC	ITSEC
기밀성에만 초점	CIA 모든 요소를 다룬다
TCB 개념 의존	보안 요소가 TCB내부에서 독립적이어야 함을 요구하지 않음
시스템 변경이 일어나면 새로 검증	TOE유지를 위한 범위를 포함

 

공통 평가 기준 (CC, Common Criteria)

- 보안능력을 확인하는 다양한 수준과 어떤 검증·확인이 수행 됐는지 나타내는 수준 정의

CC가이드라인의 목적

• 평가된 IT제품들의 보안에 대해 구매자의 신뢰성을 추가
• 중복된 평가를 제거
• 보안 평가/인증 절차를 효율적으로 만든다
• IT제품의 평가가 '높고 일정한 표준'에 따르게 한다
• 평가를 강화. 평가된 제품의 가용성을 높인다.
• TOE의 기능성과 보장성을 평가한다.

CC 과정 핵심요소

• 보호 프로파일(PP) - 보안요구나 고객 입장에서 고려되는 보안 요구사항과 평가 받을 제품을 명시
• 보안목표(ST) - TOE에 구현될 판매자의 보안 요구사항

=> 고객은 PP와 판매자의 ST를 비교하여 구매함

CC의 구조

• 1부: 전반적인 소개. 모델 설명.
• 2부: 보안 기능성 요구사항
• 3부: 보안 보장성 (TOE에 대한 보증 요구사항)

EAL (평가 보증 수준)

• EAL1: 기능적으로 검사 -신뢰가 요구되지만 보안 위협이 심각하지 않을 때 적용. 의무적 보안수준을 요구할 때.
• EAL2: 구조적으로 검사 - 중하 수준의 보안 수준을 요구할 때. 특히 예전의 시스템을 평가할 때.
• EAL3: 체계적으로 검사/점검 - 중간 수준의 보안수준을 요구 할 때.
• EAL4: 체계적으로 설계/검사/재확인 - TOE의 모든 보안 기능에 대한 검사를 포함
• EAL5: 반정형적으로 설계/검증 - 높은 수준의 보안 수준을 요구 할 때.
• EAL6: 반정형적으로 검증/설계/검사 - 고위험 상황을 위한 TOE가 필요할 때 적용.
• EAL7: 정형적으로 검증/설계/검사 - 최고로 위험한 상황이나 높은 가치자산이 수반 될 때. 광범위한 정형분석과 검사의 대상이 되는 TOE한정.

*보안평가 표준 비교

TCSEC	ITSEC	CC	수준
D	F-D+E0	EAL0, EAL1	최소의 보호 or 없음
C1	F-C1+E1	EAL2	재량적 보안장치
C2	F-C2+E2	EAL3	제어적 접근보호
B1	F-B1+E3	EAL4	레이블된 보안보호
B2	F-B2+E4	EAL5	구조화된 보안보호
B3	F-B3+E5	EAL6	보안 도메인
A1	F-B4+E6	EAL7	검증된 보안설계

 

산업과 국제적 보안 구현 가이드라인

PCI-DSS (Payment Card Industry - Data Security Standard)

• 전자 결제거래의 보안을 향상 시키기 위한 필요조건의 모음

ISO (국제 표준화 기구)

• 세계적인 표준제정 그룹. 다양한 나라의 표준기관 대표

 

인증과 인가

- 응용보안, 운영체제, HW보안의 효율성을 평가 할 때 사용된다.
- 인증

• 평가를 통해서 특정 설계와 구현이 보안 요구사항을 만족 시키는지를 정립
• 시스템 인증은 시스템의 환경을 고려한다.
• 특정한 환경과 설정이 있을 때만 유효하다.

- 승인

• 관리자가 인증된 정보를 검토하고 시스템이 보안 요구사항에 부합하는지 결정
• DAA(지정된 인가 권한)에 의한 정형적인 선언

- 시스템에 대한 인증과 인가

• 2가지 (미국)정부 표준: DoD(미국방부)의 DITSCAP, 미행정부처의 NIACAP
• 절차:
  1. 정의 - 프로젝트 인력을 할당. 전체과정의 가이드라인. SSAA(시스템 보안 인증 협약) 생성.
  2. 검증 - SSAA, 개발과정, 인증분석을 다듬는 것
  3. 확인 - SSAA, 인증평가, DAA추천개발, DAA승인 결정을 다듬는 것
  4. 인가 후 단계 - SSAA, 운영, 변경관리, 준수확인의 유지

 

4. 정보시스템의 보안능력 이해

정보시스템의 보안능력

• 메모리 보호, 가상화, 신뢰 플랫폼 모듈 포함.

메모리 보호

• 다음 글의 메모리 보호 항목에서 다룸: https://itknowledge.tistory.com/77

가상화 기술

• 사용자 관점에서는 전통적인 서버/서비스를 구분 할 수 없다.
• 고장시에 시스템의 HDD를 백업 파일로 빠르게 복구 가능함.

신뢰 플랫폼 모듈(TPM)

• HW적으로 구현된 HDD 암호화 시스템에 관한 암호화 키를 저장/처리하는데 사용.
• 원래의 TPM칩만이 복호화 가능

하드웨어 보안 모듈(HSM)

• 암호처리 프로세서. 
• 암화화키 관리, 저장, 암호화 명령 가속, 빠른 디지털서명, 승인 향상
• TPM도 HSM에 속한다.