접속 제어는 통신 시스템 설비의 사용을 허가하거나 거부하는 데 사용되는 서비스 기법이다.

접속 제어는 통신 시스템 설비의 사용을 허가하거나 거부하는 데 사용되는 서비스 기법이다. 데이터 저장 장치에 대한 액세스를 정의 또는 제한하고, 권한이 부여된 사람, 프로그램 및 기타 시스템에 의해서만 시스템 리소스 정보에 대한 액세스를 제한하며, 사용자 요청에 따라 시스템 리소스를 지정하는 리소스 컨트롤러의 기능을 수행한다. 접근 제어 방법에는 다음이 포함된다.

필수 접근 제어(MAC)

강제적 접근통제법은 주체가 특정 대상에 접근할 때 낮은 수준의 주체가 쌍방의 보안수준에 근거해 높은 수준의 객체 정보에 접근하도록 강제하는 방법이다. 컴퓨터의 모든 자원(중앙처리장치, 메모리, 프린터, 모니터, 저장 등)은 객체로 설정되며, 객체를 사용하고자 하는 것은 주체(사용자 및 모든 프로세스)로 설정해 각 객체 파일에 비밀 등급과 주체별 허가 등급을 부여한다. 그러면 대상자가 대상을 읽고, 기록하거나 실행하고자 할 때마다 대상에 대한 권한이 있는지 확인하는 방법이다.

DAC: 재량적 접근 제어

임의접근통제란 자원의 소유자 또는 관리자가 보안관리자의 개입 없이 자율적으로 다른 이용자에게 접근권을 부여하는 기법을 말한다. 따라서 자원 보호보다 자원의 공동 활용이 중요한 환경에 적합하며, 기업 환경의 자원 유출 가능성을 내포하고 있다.

DAC는 특별한 사용자나 그들이 속한 그룹의 식별자(IDs)에 기반한 객체에 대한 액세스를 제공한다. 접근 통제는 객체의 소유자가 임의로 행한다. 따라서 기업이 특정 대상에 접근할 수 있는 한, 기업은 다른 주체에 대한 허가를 양도할 수 있다. 즉, 추가적인 액세스 제어는 사용자에게 맡겨진다. 따라서 임의 접근 제어 접근방식은 단일 주체 대 개체 기준으로 접근 제한을 설정할 수 있으며, 이러한 접근 제한은 모든 주제와 개체 간에 동일하지 않다.

즉, 주체가 특정 비밀 등급의 객체에 대한 접근을 허가하지 않는 임의의 접근 제어 정책을 설정하더라도, 해당 주체가 그러한 비밀 등급의 다른 객체에 접근하는 것을 막을 수 없다.

역할 기반 액세스 제어(RBAC)

접근 제어 접근방식은 접근 제어 업무를 단순화하고 기능 기반 접근 제어를 직접 제공하기 위한 DAC 및 MAC 메커니즘의 대안으로 제안되었다. 역할 기반 접근 제어의 핵심 개념은 권한을 역할과 연결하고 사용자에게 적절한 역할이 할당되도록 하는 것이다.

RBAC는 최소한의 보안 특권을 부여한다는 보안 원칙에 따라 유지되며, 사용자의 업무 수행에 필요한 권한 이상의 권한을 사용자에게 부여하지 않는다. 그것은 또한 조직이 슈퍼 유저 능력을 분리하고 특정 개인들을 특별 사용자 계정이나 역할로 묶어 업무의 필요성에 그들을 할당하는 것을 허용한다.

따라서 다양한 보안 정책이 가능하다. 보안, 네트워킹, 방화벽, 백업 및 시스템 운영과 같은 영역에서 특정 목적을 위해 관리자를 위한 계정을 설정할 수 있다. 강력한 관리자 한 명을 선호하고 사용자가 자신의 일부 시스템을 수정할 수 있기를 원하는 사이트는 고급 사용자 역할을 설정할 수 있다.

보안 측면에서도 RBAC는 단순한 기술이 아니라 산업의 한 방편이다. RBAC는 시스템 제어를 재할당할 수 있는 수단을 제공하지만, 구현을 결정하는 것은 그 조직이다. RBAC 모델은 2004년에 ANSI 표준으로 등록되었으며, 표준 문서에 모델의 설명, 기능, 사양 등이 정리되어 있어 개발자에게 좋은 지침이 될 것이다. 이 표준은 RBAC를 세 가지 모델로 나눈다.

- 핵심 RBAC 모델

- 계층적 RBAC 모델

- 제한된 RBAC 모델

다단계 보안(MLS : 다단계 보안)

보안 수준과 업무 범위에 따라 사용자, 프로세스, 파일 등 모든 시스템 구성요소에 보안 등급과 보호 카테고리를 부여해 직책과 직무에 따라 엄격한 보안 권한을 가진 조직이 요구하는 보안 기능이다.

라이센싱 등급과 보호 범주에 따라 분류되기 때문에 같은 등급이라도 보호 범주는 같지만 보호 범주는 다를 경우 자원 접근이 제한된다.