접근통제 (Access Control)
- 비인가된 사용자의 정보자원 사용의 방지뿐만 아니라 인가된 사용자가 비인가된 방식으로 정보자산을 접근하는 행위 방지
- 인가된 사용자가 정보 자산을 실수 혹은 의도적으로 잘못 접근하여 정보 자산 훼손하는 행위 방지
- 주체(사람, 시스템)등이 접근 대상이 되는 객체에 접근할 때, 보안상의 위협, 변조 등과 같은 위험으로부터 객체와 제반 환경을 보호하기 위한 보안대책
| 단계 | 설명 | 접근매체 |
| 식별 | 본인이 누구라는 것을 시스템에 밝힘 인증 서비스에 스스로를 확인시키기 위해 정보를 공급하는 주체의 활동 책임 추적성 분석에 중요한 자료가 됨 |
사용자명 계정번호 메모리카드 |
| 인증 | 주체의 신원을 검증하기 위한 사용 증명 활동 본인임을 주장하는 사용자가 그 본인이 맞다고 시스템이 인정해 주는 것 |
패스워드, PIN 토큰, 스마트카드 생체인증(지문 등) |
| 인가 | 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여하는 과정 | 접근제어목록(ACL) 보안등급 |
접근통제 요구사항
- 입력의 신뢰성(Input Reliability) : 입력되는 사용자 정보를 신뢰할 수 있어야 함.
- 최소권한부여(Least Priviliege) : 최소한의 자원과 접근권한 부여
- 직무 분리(Separation of Duty) : 시스템의 기능의 단계를 다수의 개인들에게 나눔
- 정책 결합과 충돌 해결(Policy Combination and Conflict Resolution)
- 개방적 정책과 폐쇠적 정책(Open And Closed Policies)
- 관리 정책(Administrative Policies)