공부중

  보안 모델의 대표적인 3가지 대해서 알아보겠다. 먼저 벨라파듈라 모델(BLP, Bell-LaPadula Confidentiality Model)은, 허가된 비밀 정보에 허가되지 않은 방식의 접근을 금지하는 모델로서, 기밀성을 강조하는 모델로 최초의 수학적 모델이라고 한다. 벨라파듈라 모델은 무결성과 가용성은 고려하지 않는다. 벨라파듈라 모델에서는, 각 주체와 객체가 보안 클래스(security class)를 할당 받는다. 또한 사용자들이 서로 다른 허가를 가지고 시스템을 사용하고 시스템은 서로 다른 분류 수준에 있는 데이터를 처리하기 때문에 다중 수준 보안 시스템이라고 부른다. 벨라파듈라 모델을 따르는 시스템은 No read up, No write down이라는 사항을 준수해야 한다. No read up이란, 주체는 같거나 낮은 보안 수준의 객체만 읽을 수 있다는 것이다. 주체는 상급 등급의 정보를 읽기가 불가하다는 의미이다. 이것을 단순 보안 속성이라고 부른다. No write down이란, 주체는 같거나 높은 보안 수준의 객체에만 쓸 수 있다는 것이다. 주체는 하급 등급의 정보 기록이 불가하다는 것이다. 이것을 성형 보안 속성이라고 부른다. 참고로 모든 강제적 접근통제 모델들은 벨라파듈라 모델을 기반으로 하고 있다. 이 벨라파듈라 모델의 제약점은, 하나의 MLS(Multi Level Security) 시스템 내에서 기밀성과 무결성 간 호환성이 없다는 것이다. 그리고 은닉 채널이 존재할 때 협력하는 음모자의 문제가 있다.

  비바 무결성 모델이란, 무결성을 위한 상업용 모델로, 벨라파듈라 모델을 보완한 수학적 모델이다. 벨라파듈라 모델은 기밀성에 중점을 두지만, 비바 무결성 모델은 무결성에 중점을 두고 있다. 비바 무결성 모델의 보안 규칙에는 단순 무결성, 무결성 제한, 호출 속성이 있다. 단순 무결성이란, 객체의 무결성 수준이 주체의 무결성 수준보다 우세할 때만 주체가 객체를 읽을 수 있다. 이는 낮은 무결성 레벨로 인한 데이터 손상을 방지하는 것이다. 무결성 제한이란, 주체의 무결성 수준이 객체의 무결성 수준보다 우세할 때만, 주체가 객체를 변경할 수 있다. 따라서 주체는 더 높은 무결성 레벨에서 데이터 작성이 불가하게 된다. 호출 속성이란, 주체는 보다 높은 무결성을 갖는 주체에게 서비스를 요청할 수 없다는 것을 말한다. 주체는 낮은 무결성 수준에 대해서만 호출이 가능하다는 의미이다.

  클락-윌슨 무결성 모델이란 비바 무결성 모델보다 보다 더 정교하다. 해당 모델은 군사용보단 상업용을 목적으로 하고 있다. 클락-윌슨 무결성 모델은 비인가자의 위변조 방지, 정확한 트랜젝션, 직무분리라는 3가지 무결성의 목표를 모두 구현하였다. 정확한 트랜젝션을 위해, 모든 거래사실을 기록하고 불법적인 거래사실을 방지하는 수단을 사용하여 구현하는 것이 이상적이라고 제시한다. 그리고 여러 사람이 각 부문별로 입력, 처리, 확인을 나누어서 함으로써 자료의 무결성을 보장하는 직무 분리를 제시한다. 또한 주체의 객체로의 직접 접근을 금지하고 응용프로그램 사용을 강제한다.