해커를 꿈꾸는 개발자

정보보안기사 실기 / 1. 접근 통제 - 정보보안 일반

정보보호 정책 

기업 또는 조직의 정보보호에 대한 방향, 전략, 주요내용들을 문서화 시켜놓은 것입니다. 

접근 통제 기술

1) DAC(임의적 접근통제, Discretionary Access Control)

- 객체에 접근하고자 하는 주체의 접근 권한에 따라 통제를 적용합니다.

- 접근하려는 사용자에 대하여 권한을 추가 및 삭제할 수 있습니다. 

2) MAC(강제적 접근통제, Mandatory Access Control)

- 주체의 레이블과 주체가 접근하고자 하는 객체의 레이블을 이용합니다. 

- 관리자에 의해서 권한이 할당되고 해제됩니다. 

- 데이터에 대한 접근을 시스템이 결정합니다. 

3) RBAC(역할기반 접근통제, Role Base Access Contorl)

- 비 임의적 접근통제 모델(Non-Discretionary) 또는 임무 기반(Task-Based) 접근통제 모델로 불리기도 합니다.

- 권한들의 묶음으로 Role을 만들어서 사용자들에게 Role 단위로 권한을 할당하고 관리합니다. 

접근 통제 방법

1) Capability List

- 주체별로 객체를 링크드리스트로 연결하고 권한을 할당하는 구조입니다. 

- 주체별로 모든 파일 리스트가 존재하므로 권한을 알기 위한 탐색시간이 오래 걸리는 문제점이 있습니다. 

2) Access Control List

- 주체와 객체간의 접근 권한을 테이블로 구성한 것으로 행에는 주체, 열에는 객체를 두고 행과 열의 교차점에는 주체가 객체에 대한 접근 권한을 기술하여 이름 기반으로 제어하는 방식입니다.

- 구분될 필요가 있는 사용자가 비교적 소수와 분포도가 안정적일 때 적합합니다. 

접근 통제 모델

1) Bell-Lapadula 모델 (벨 라파듈라 모델)

- 미 국방부를 위해 개발도니 모델로, 기밀성을 강조하며, 최초의 수학적 모델로, No Read Up/No Write Down 접근 정책을 기반으로 합니다. 

- 높은 등급의 정보가 낮은 레벨로 유출되는 것을 통제하는 모델입니다. 

- (No Read Up): 낮은 등급의 주체는 높은 등급의 객체를 읽을 수 없습니다.
- (No Write Down): 높은 등급의 주체는 낮음 등급의 객체를 수정할 수 없습니다. 

2) Biba 모델 (비바 모델)

- Bell-Lapadula 모델의 단점인 무결성을 보장할 수 있는 모델입니다. 

- (No Read Down): 높은 등급의 주체는 낮은 등급의 객체를 읽을 수 없음 
- (No Write Up): 낮은 등급의 주체는 상위 등급의 객체를 수정할 수 없음

3) Clart and Wilson 모델 (클락 윌슨 모델)

- 무결성 중심의 상업용으로 설계한 것으로 Application의 보안 요구사항을 다룹니다.

- 정보의 특성에 따라 비밀 노출 방지보다 자료의 변조 방지가 더 중요한 경우가 있음을 기초로 합니다.

관련 문제

14회 다음 빈칸에 들어갈 말을 차례로 적으시오.
기업 또는 조직의 정보보호에 대한 방향, 전략, 주요내용들을 문서화 시켜놓은 것을 (  A  )라고 한다. (  A  ) 중 정보에 대한 정당한 사용자의 접근 여부를 관리하는 것을 접근통제정책이라 하는데, (   B  )는 객체에 접근하고자 하는 주체의 접근 권한에 따라 통제를 적용하고 (  C  )는 주체의 레이블과 주체가 접근하고자 하는 객체의 레이블을 이용한다. (  D  )는 비 임의적 접근통제 모델(Non-Discretionary) 또는 임무 기반(Task-Based) 접근통제 모델로 불리기도 한다.

답 : 
A: 정보보호 정책
B: DAC 또는 임의적 접근통제
C: MAC 또는 강제적 접근통제
D: RBAC 또는 역할기반 접근통제

14회 다음은 접근통제 모델에 관한 내용이다. 각각의 질문에 답하시오.
1) 미 국방부를 위해 개발도니 모델로, 기밀성을 강조한다. 최초의 수학적 모델로, No Read Up/No Write Down 접근 정책을 기반으로 한다. 이 접근통제 모델은?
2) No Read Up과 No Write Down이 의미하는 것은?
3) 위 모델의 무결성 취약성을 보완하기 위해 나온 비바 모델의 정책은?

답 : 
1) 벨 라파듈라 모델
2)
(No Read Up): 낮은 등급의 주체는 높은 등급의 객체를 읽을 수 없음
(No Write Down): 높은 등급의 주체는 낮음 등급의 객체를 수정할 수 없음
3)
(No Read Down): 높은 등급의 주체는 낮은 등급의 객체를 읽을 수 없음
(No Write Up): 낮은 등급의 주체는 상위 등급의 객체를 수정할 수 없음

3회 다음의 접근통제 정책에 대해 빈칸 (A), (B), (C) 각각에 알맞은 용어를 기술하시오.
( A ) : 객체의 소유자가 권한을 부여한다. 접근하는 사용자에게 권한을 추가. 삭제 할 수 있다.
( B ) : 객체에 대한 접근은 주체의 보안등급에 기반하여 접근을 제한한다.
( C ) : 주체에게 할당된 역할에 기반하여 객체에 접근을 제한한다.

답 : A: DAC, B: MAC, C: RBAC

정보보안기사 필기 독학 / 정보보안 일반 / 7. 암호분석 공격, 블록 암호 공격

암호분석 공격

- 암호문 단독 공격(COA : Ciphertext only Attack) : 공격자가 여러 평문에 대한 암호문을 수집하여 암호문만으로 평문을 유추하거나 키를 찾아내는 공격법입니다. 

- 기지 평문 공격(KPA : Known-Plaintext Attack) : 공격자가 여러가지 암호뿐만 아니라 평문에 대응되는 암호문을 수집하여 암호화에 사용된 키를 찾아내는 공격법입니다. 

- 선택 암호문 공격(CCA : Chosen-Ciphertext Attack) : 공격자가 선택한 암호문에 대한 평문을 얻을 수있다는 가정하에 수행하는 공격법입니다. 

- 선택 평문 공격(CPA : Chosen-Plaintext Attack) : 평문을 선택하면 대응되는 암호문을 얻을 수 있는 상황에서의 공격법입니다. 

블록 암호 공격

- 전수 키 공격(Diffie-Hellman이 제안) : 가장 단순한 암호해독 보안공격으로써 패스워드나 암호화 키를 찾기 위해 가능성이 있는 모든 후보를 전부 대입해 보는 것입니다. 

- 통계적 분석 공격 : 암호문에 대한 평문의 각 단어의 빈도에 관한 자료를 포함하는 지금까지 알려진 모든 통계적인 자료를 이용하여 찾는 방법입니다. 

 
- 차분 공격(Biham과 Shamir가 제안) : 선택된 평문 공격법으로 2개의 평문 블록들의 bit 차이에 대하여 대응되는 암호문 블록들의 비트의 차이를 이용하여 사용된 암호열쇠를 찾아내는 방법입니다. 

- 선형 공격 : 알려진 평문 공격법으로 알고리즘 내부의 비선형 구조를 선형화시켜 열쇠를 찾는 방법입니다. 

 
- 수학적 분석 공격 : 통계적 분석을 포함하여, 수학적 이론을 이용해 복호화 하는 방법입니다. 

관련 문제

14회 암호문에 대응하는 평문 일부를 사용하는 암호 공격 방법은?2
①암호문 단독 공격
②기지 평문 공격
③선택 평문 공격
④선택 암호문 공격

10회 다음 지문이 설명하고 있는 암호 분석 공격은?3
[보기] 암호 해독자가 암호 복호기에 접근할 수 있어 암호문 C를 선택하여, C에 대한 평문 P를 얻어내 암호를 해독한다.
① 암호문 단독 공격
② 기지 평문 공격
③ 선택 암호문 공격
④ 선택 평문 공격

9회 적절하지 못한 것은?2
① 선택 암호문 공격(Chosen-Ciphertext Attack) : 공격자가 선택한 암호문에 대한 평문을 얻을 수있다는 가정하에 수행하는 공격법
② 선택 평문 공격(Chosen-Plaintext Attack) : 공격자가 선택한 평문에 대한 키를 얻을 수 있어서 키 암호문의 쌍을 이용하는 공격법
③ 기지 평문 공격(Known-Plaintext Attack) : 공격자가 여러가지 암호뿐만 아니라 평문에 대응되는 암호문을 수집하여 암호화에 사용된 키를 찾아내는 공격법
④ 암호문 단독 공격(Ciphertext-Only Attack) : 공격자가 여러 평문에 대한 암호문을 수집하여 암호문만으로 평무을 유추하거나 키를 찾아내는 공격법

8회 암호 해독자가 일정량의 평문에 해당하는 암호문을 알고 있을 경우 암호 키를 찾아내는 암호 공격 방식은?2
① 암호문 단독 공격
② 기지 평문 공격
③ 선택 평문 공격
④ 선택 암호문 공격

14회 단순 치환 암호를 분석하고자 한다. 가장 간편하고 효과적인 방법은?4
①선형 공격
②차분 공격
③전수 공격
④통계적 분석

13회 아래 보기에서 설명하고 있는 공격기법은?3
[보기]
1997년 Diffie와 Hellman이 제안하였으며 암호화할 때 일어날 수 있는 모든 가능한 경우에 대하여 조사하는 방법으로 경우 의 수가 적을 때는
가장 정확한 방법이지만, 일반적으로 경우의 수가 많은 경우에는 실현 불가능하다.
① 차분 공격(Differential Cryptanalysis)
② 선형 공격(Linear Cryptanalysis)
③ 전수 공격(Exhaustive key search)
④ 통계적 분석(Statistical analysis)

13회 아래 보기에서 설명하고 있는 공격기법은?1
[보기]
1990년 Bham과 Sharir에 의하여 개발된 선택 평문 공격법 으로, 두 개의 평문 블록의 비트 차이에 대하여 대응되는 암호문 블록들의
비트 차이를 이용하여 사용된 암호키를 찾아 내는 방법이다.
① 차분 공격(Differential Cryptanalysis)
② 선형 공격(Linear Cryptanalysis)
③ 전수 공격(Exhaustive key search)
④ 통계적 분석(Statistical analysis)

11회 블록암호에 대한 공격 방식과 가장 거리가 먼 것은?3
① 선형공격
② 차분공격
③ 고정점 연쇄공격
④ 전수공격

8회 다음에서 설명하는 블록 암호 공격 기법은?1
[보기]
선택 평문 공격으로서 두 개의 평문 블록들의 비트 차이에 대응되는 암호문 블록의 비트 차이를 이용하여 사용된 암호키를 찾아내는 방법이다.
① 차분 공격
② 선형 공격
③ 통계적 분석
④ 치환 공격

14회 다음 보기 중 [Active Attack] - [Passive Attack]으로 짝지어진 것은?3
①트래픽 분석 - 도청
②데이터 삭제 - 데이터 삽입
③메시지 변조 - 트래픽 분석
④도청 - 메시지 변조

13회 다음 중 암호시스템에 대한 수동적 공격은?1
① 트래픽 분석
② 메시지 순서 변경
③ 메시지 위조
④ 삭제 공격

11회 능동적 공격에 해당되지 않는 것은?2
① 메시지 변조
② 전송되는 파일을 도청
③ 삽입공격
④ 삭제공격

14회 한 번의 인증으로 모든 시스템에 로그인되도록 할 경우 해당 인증이 침해될 경우 모든 시스템이 위험해지는 단점이 있다. 이러한 취약성을 무엇이라고 하는가?1
①SPF(Single Point of Failure)
②SSO(Single Sign On)
③OSMU(One Source Multi Use)
④Credential Stuffing

정보보안기사 필기 독학 / 정보보안 일반 / 4. 키 분배 프로토콜, Diffie-Hellman

키 분배 프로토콜 

①키 배포 센터에 의한 해결 
②디피-헬만 키 교환 방법에 의한 해결 
③공개키 암호에 의한 해결 

중앙 집중식 방식은 가입자가 비밀 통신을 할때마다 KDC로부터 세션키를 분배 받습니다. 중앙 집중식 방식의 대표적 인 분배 방식은 커버로스 방식이 있습니다. Blom 방식은 두 노드에게 임의 함수 값을전송하면 두 노드는 전송 받은 정보로부터 두 노드 사이의 통신에 필요한 세션키를 생성합니다. 

Diffie-Hellman 프로토콜 

공유할 암호키를 계산하여 만들어내고, 유한체상의 이산대수문제를 풀기 어려움에 기반합니다. 중간자 공격이나 재전송 공격에는 취약하다는 단점이 있습니다. Diffie-Hellman 키 사전 분배 방식은 Diffie-Hellman 키 교환방식을 응용한 방식으로 이산대수문제를 기반으로 구성됩니다. 키 분배 센터는 큰 소수 p를 선정하고, Zp 위에서 원시근 g를 찾아 공개합니다. 가입자는개인키를 선정하여 공개키를 계산하여 공개합니다.  

Needham-Schroeder

키 관리는 키 생성, 분배, 설치, 갱신, 취소 폐기, 저장, 복구 등 을 요구하는 포괄적인 개념입니다. 한 사용자 또는 기관이 비밀키 를 설정하여 다른 사용자에게 전달하는 기술을 키 분배라고 하며, 둘 또는 그 이상의 사용자가 공개된 통신 채널을 통하여 비밀 키를 설정하는 것을 키 합의라고 합니다.

RSA

"A" 가 생성한 세션키를 "B"에게 분배하고자 할 때, 는 자신이 생성한 세션키를 "B"의 공개키로 암호화하여 "B"에게 보낸다. 이를 받은 "B"는 자신의 개인키로 복호화하여 세션키를 얻습니다. 
→ "A”와 "B" 는 동일한 세션키를 갖게 됩니다.

관련 문제

14회 7회 키 분배 문제를 해결할 수 있는 방법에 해당하지 않는 것은?3
①키 배포 센터에 의한 해결
②디피-헬만 키 교환 방법에 의한 해결
③전자서명에 의한 해결
④공개키 암호에 의한 해결

6회 다음 중 키 사전 분배 방식에 대한 설명으로 올바르지 못한 것은? 4
① 중앙 집중식 방식은 가입자가 비밀 통신을 할때마다 KDC로부터 세션키를 분배 받는다.
② Blom 방식은 두 노드에게 임의 함수 값을전송하면 두 노드는 전송 받은 정보로부터 두 노드 사이의 통신에 필요한 세션키를 생성한다.
③ 중앙 집중식 방식의 대표적 인 분배 방식은 커버로스 방식이다.
④ 중앙 집중식 방식 일 경우 암호 통신을 할 때 마다 세션키를 변경할 필요는 없다.

10회 Diffie-Hellman 키 분배 프로토콜을 이용하여 송신자 A와 수신자 B간에 동일한 비밀키를 분해하고자 한다. 아래와 같이 조건이 주어졌을 때, 송신자 A와 수신자 B가 분배 받는 비밀키 값은?1
[보기]
Diffie-Hellman 키 분배 프로토콜에서 사용하는 공개키: ga mod p(a는 개인키)
- 송신자 A: g=3, p=7, a=2
- 수신자 B: g=3, p=7, a=3
① 1
② 3
③ 5
④ 7

10회 Diffie- Hellman 키 교환에 대한 설명 중 옳지 않은 것은?1
① 인수분해의 어려움에 기반한다.
② 중간자 공격에 취약하다.
③ 두 사용자가 사용할 소수와 원시근을 사전에 결정해야 한다.
④ 인증 메시지에 비밀 세션키를 포함하여 전달할 필요가 없다.

13회 다음 지문이 설명하고 있는 프로토콜은?4
[보기]
- 공유할 암호키를 계산하여 만들어낸다.
- 유한체상의 이산대수문제를 풀기 어려움에 기반한다.
- 중간자 공격이나 재전송 공격에는 취약하다.
① Needham-Schroeder 프로토콜
② 공개키 암호
③ KDC 기반 키 분배
④ Diffie-Hellman 프로토콜

9회 Diffie-Hellman 키 사전 분배에 대한 내용을 설명한 것이다.㉠~㉣에 들어가야 할 단어로 옳은 것은?2

[보기]
Diffie-Hellman 키 사전 분배 방식은 Diffie-Hellman 키 교환방식을 응용한 방식으로 ( ㉠ )를 기반으로 구성된다. 키 분배 센터는 ( ㉡ )p를 선정하고, Zp 위에서 원시근 g를 찾아 공개한다. 가입자는 ( ㉢ )를 선정하여 ( ㉣ ) 를 계산하여 공개한다.
① ㉠ 이산대수문제 ㉡ 큰 정수 ㉢ 공개키 ㉣ 개인키
② ㉠ 이산대수문제 ㉡ 큰 소수 ㉢ 개인키 ㉣ 공개키
③ ㉠ 소인수분해문제 ㉡ 큰 정수 ㉢ 개인키 ㉣ 공개기
④ ㉠ 소인수분해문제 ㉡ 큰 소수 ㉢ 공개기 ㉣ 개인키

9회 다음 중 이산대수 기반 암호방식이 아닌 것은?4
① Elgamal 암호
② 타원곡선 암호
③ DSA 암호
④ 라빈(Rabin) 암호

7회 다음 중 공개키 기반으로 대칭키를 공유할 수 있는 Diffie-Heilman 프로토콜에서 발생할 수 있는 보안 공격에 해당하는 것은 무엇인가?2
① 재전송(Replay) 공격
② 중간자(Man-In-The-Middle) 공격
③ 반사(Reflection) 공격
④ 위장(Impersonation) 공격

7회 다음에서 설명하는 키 교환 알고리즘은?4
보기
1976년에 발명한 키 교환 알2리즘으로 타인에게 알려져도 상관없는 정보를 두 사람이 교환하는 것만으로 공통의 비밀 값을 만들어 내는 방법이다. 만들어낸 비밀 값을 대칭암호키로 사용한다.
① PK1
② Rabin
③ RSA
④ Diffie-Hellman

6회 다음 중 Diffie-Hellman 키 교환 프로토콜에 대한 설명으로 올바르지 못한 것은?2
① 1976년에 발표 되었으며，공개키 암호에 대한 시초가 되었다.
② 신분 위장이나 재전송 공격에 강하다.
③ DH 알고리즘은 이산 대수 계산의 어려움에 의존한다.
④ 네트워크상에서 A와 B가 비밀키를 서로 만나지 않고도 공유할 수 있는 방법을 제시하였다.

13회 키 관리는 키 생성, 분배, 설치, 갱신, 취소 폐기, 저장, 복구 등 을 요구하는 포괄적인 개념이다.
한 사용자 또는 기관이 비밀키 를 설정하여 다른 사용자에게 전달하는 기술을 키 분배라고 하며,
둘 또는 그 이상의 사용자가 공개된 통신 채널을 통하여 비밀 키를 설정하는 것을 키 합의라고 한다.
다음 중 키 분배 방식에 해당되는 것은?4
① Diffie-Hellman 방식
② Matsumoto-Takashima-lmai 방식
③ Okamoto-Nakamura 방식
④ Needham-Schroeder 방식


10회 다음 중 송신자가 랜덤으로 생성한 세션키를 수신자의 공개키로 암호화하여 전달하는 세션키 공유 기법에 해당하는 것은?3
① Challenge-Response 프로토콜
② Diffie-Hellman 프로토콜
③ RSA 이용 키 분배 프로토콜
④ 공개키 인증서 관리 프로토콜

8회 아래 지문에 가장 적합한 세션키(Session key) 키 분배 방 법은?3
[보기]
"A" 가 생성한 세션키를 "B"에게 분배하고자 할 때, 는 자신이 생성한 세션키를 "B"의 공개키로 암호화하여 "B"에게 보낸다. 이를 받은 "B"는 자신의 개인키로 복호화하여 세션키를 얻는다,
→ "A”와 "B" 는 동일한 세션키를 갖게 된다.
① Diffie - Heilman 키 분배
② KDC 기반 키 분배
③ RSA 알고리즘을 이용한 키 분배
④ Needham-Schroeder 키 분배

11회 인수 분해의 어려움을 기초로 한 공개키 암호화 알고리즘은?2
① AES
② RSA
③ ECC
④ DH

9회 ㉠, ㉡ 에 적절한 것은?1
소인수분해란 하나의 ( ㉠ )를 소인수로 분해하는 것을 말한다. 충분히 큰 두 개의 ( ㉡ )를 곱하는 것은 쉽지만, 이들 결과를 소인수 분해한다는 것은 계산적으로 매우 어렵다. 일부 공개키 암호알고리즘은 이렇게 소인수 분해의 어려움에 기반을 두고 설계되었다.

① ㉠ 정수 ㉡ 소수
② ㉠ 정수 ㉡ 대수
③ ㉠ 실수 ㉡ 소수
④ ㉠ 실수 ㉡ 대수

11회 10회 다음 중 대칭키 배송 문제를 해결할 수 있는 방법에 해당하 지 않는 것은?3
① 키 배포 센터에 의한 해결
② Diffie-Hellman 키 교환 방법에 의한 해결
③ 전자서명에 의한 해결
④ 공개키 암호에 의한 해결

정보보안기사 필기 독학 / 정보보안 일반 / 3. 접근 통제

접근통제 방법

임의적 접근통제(DAC) : 시스템 객체에 대한 접근을 사용자 개인 또는 그룹의 식별자를 기반으로 제한하며 어떤 종류의 접근 권한을 갖는 사용자는 다른 사용자에게 자신의 판단에 의해서 권한을 줄 수 있는 방법

강제적 접근통제(MAC) : 정보 시스템 내에서 어떤 주체가 특정 객체에 접근하려 할 때 양쪽의 보안 라벨(Security Label)에 기초하여 높은 보안 수준을 요구하는 정보(객체)가 낮은 보안 수준의 주체에게 노출되지 않도록 접근을 제한하는 통제 방법

역할기반 접근통제(RBAC) : 사용자가 객체에 접근할 때, 사용자와 접근 허가의 직접적인 관계가 아닌 조직의 특성에 따른 역할을 매개자로 하여 사용자-역할, 접근 허가-역할의 관계를 통해 접근을 제어하는 방법

접근 통제 보안모델

벨-라파툴라 모델 : 미 국방부 지원 보안 모델로 보안 요소 중 기밀성을 강조한 모델입니다. 최초의 수학적 모델로 강제적 정책에 의해 접근을 통제합니다. 보안 정책은 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지하며 No Read Up, No Write Down으로 표현됩니다.

비바 모델 : 데이터 무결성에 초점을 둔 상업용 접근 통제 보안 모델입니다. 이 모델에서는 비인가자들의 데이터 변형에 대한 방지만 취급하며, 주체는 보다 낮은 무결성의 정보를 읽을 수 없습니다.(no read down policy) 주체는 또한 자신보다 높은 무결성 수준의 객체를 수정할 수 없다.(no wile up policy) 이 모델은 상태 머신(state mechine) 모델에 기반을 두고 있습니다.

관련 문제

13회 강제적 접근통제 정책에 대한 설명으로 옳지 않은 것은?4
① 모든 주체와 객체에 보안관리자가 부여한 보안레이블이 부여되며 주체가 객체를 접근할 때 주체와 객체의 보안레이블을 비교하여 접근허가 여부를 결정한다.
② 미리 정의된 보안규칙들에 의해 접근허가 여부가 판단되므로 임의적 접근통제 정책에 비해 객체에 대한 중앙 집중적인 접근통제가 가능하다.
③ 강제적 접근통제 정책을 지원하는 대표적 접근통제 모델로는 BLP(Bell-Lapadula), Biba 등이 있다.
④ 강제적 접근통제 정책에 구현하는 대표적 보안 메커니즘으로 Capability List와 ACL(Access Control List) 등 이 있다

13회 다음 중 임의적 접근통제(DAC : Discretionary access control) 에 해당하는 특징이 아닌 것은?2
① 사용자 기반 및 ID 기반 접근통제
② 중앙 집중적 관리가 가능
③ 모든 개개의 주체와 객체 단위로 접근권한 설정
④ 객체의 소유주가 주체와 객체 간의 접근통제 관계를 정의

11회 MAC 정책의 특징에 대한 설명으로 가장 부적절한 것은?1
① 객체의 소유주가 주체와 객체간의 접근 통제 관계를 정의
② 보안관리자 주도 하에 중앙 집중적 관리가 가능
③ 접근 규칙수가 적어 통제가 용이
④ 사용자와 데이터는 보안 취급허가를 부여 받아 적용

10회 임의적 접근통제 방식에 대한 설명 중 옳지 않은 것은?4
① 모든 개별의 주체와 객체 단위로 접근 권한을 설정한다.
② 객체의 소유주가 주체와 객체 간의 접근 통제 관계를 정의 한다.
③ 접근통제 목록(ACL)을 통해 구현한다.
④ 중앙집중적으로 통제 되는 환경에 적합하다.

9회 ㉠ ~㉢ 에 적합한 접근통제 방법은?4
[보기]
( ㉠ ) 접근통제 : 시스템 객체에 대한 접근을 사용자 개인 또는 그룹의 식별자를 기반으로 제한하며 어떤 종류의 접근 권한을 갖는 사용자는 다른 사용자에게 자신의 판단에 의해서 권한을 줄 수 있는 방법
( ㉡ ) 접근통제 : 정보 시스템 내에서 어떤 주체가 특정 객체에 접근하려 할 때 양쪽의 보안 라벨(Security Label)에 기초하여 높은 보안 수준을 요구하는 정보(객체)가 낮은 보안 수준의 주체에게 노출되지 않도록 접근을 제한하는 통제 방법
( ㉢ ) 접근통제 : 사용자가 객체에 접근할 때, 사용자와 접근 허가의 직접적인 관계가 아닌 조직의 특성에 따른 역할을 매개자로 하여 사용자-역할, 접근 허가-역할의 관계를 통해 접근을 제어하는 방법
① ㉠ 강제적 ㉡ 임의적 ㉢ 역할기반
② ㉠ 강제적 ㉡ 역할기반 ㉢ 임의적
③ ㉠ 임의적 ㉡ 역할기반 ㉢ 강제적
④ ㉠ 임의적 ㉡ 강제적 ㉢ 역할기반


8회 최근 입사하여 소속 부서의 프린터 관리를 담당하게 된 홍길동은 이전 담당자의 자원 접근 권한을 그대로 인계 받아 업무를 수행하게 되었다. 이러한 상황과 가장 관련성이 높은 접근 통제 기술은 무엇인가?3
① 강제적 접근통제(MAC)
② 임의적 접근통제(DAC)
③ 역할기반 접근통제(RBAC)
④ 다단계 보안정책(MLS)

8회 접근통제 모델 중 정보의 소유자가 정보의 보안 수준을 결정하고 이에 대한 정보의 접근 통제까지 설정하는 모델은 무엇 인가?1
① DAC(Discretionary Access Control)
② MAC((Mandatory Access Control)
③ RBAC(Role-Based Access Control)
④ HAC(Horizon Access Control)

7회 임의적 접근통제 방식에 대한 설명 중 옳지 않은 것은?4
① 개별 주체와 객체 딘-위로 접근 권한 설정
② 객체의 소유주가 주체와 객체 간의 접근 통제 관재를 정의
③ 접근 통제 목록(AGL : Access Control List)을 통해 구현
④ 중앙집중적으로 통제되는 환경에 적합

7회 MAC 접근정책에 대한 설명으로서 옳지 않은 것은?3
① 접근 규칙 수가 적어 통제가 용이
② 보안관리자 주도하에 중앙 집중적 관리가 가능
③ 개별 객체에 대해 접근 가능한 주체 설정
④ 사용자와 데이터는 보안 취급허가를 부여 받아 적용

6회 다음 중 주체가 속해 있는 그룹의 신원에 근거해 객체에 대한 접근을 제한하는 방법은?3
① 역할기반 접근통제
② 강제적 접근통제
③ 임의적 접근 통제
④ 상호적 접근 통제

13회 9회 인적자원 관리자가 특정 부서 사용자들에게 같은 직무를 수 행할 수 있는
접근 권한을 할당하고 있다. 이것은 다음 중 어느 것의 예인가?1
① 역할기반 접근 통제
② 규칙기반 접근 통제
③ 중앙집중식 접근 통제
④ 강제적 접근 통제

5회 다음에서 설명하고 있는 접근 제어 정책으로 올바른 것은?3
[보기]
• 자원에 대한 접근은 사용자에게 할당된 역할에 기반한다.
• 관리자는 사용자에게 특정한 권리와 권한이 정의 된 역할을 할당한다.
• 사용자와 할당된 역할의 연관성으로 인하여 자원들에 접근할 수 있고, 특정한 작업들을 수행할 수 있다.
① MAC
② DAC
③ RBAC
④ HMAC

14회 중앙집중관리 방식의 강제적 접근 통제(MAC)에 대한 장점으로 옳지 않은 것은? 3
①규칙이 단순해 관리가 용이하다.
②중앙에서 강력하게 통제할 수 있다.
③이직률이 높은 회사에 유리하다.
④개인, 데이터별로 명확한 보안등급을 가진다.


14회 다음에서 설명하는 접근통제 모델로 알맞은 것은?2
미 국방부 지원 보안 모델로 보안 요소 중 기밀성을 강조한 모델이다. 최초의 수학적 모델로 강제적 정책에 의해 접근을 통제한다. 보안 정책은 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지하며 No Read Up, No Write Down으로 표현된다.
①비바 모델
②벨-라파툴라 모델
③만리장성 모델
④클락윌슨 모델

11회 7회 다음의 지문이 설명하고 있는 접근 통제 보안모델은?2
[보기]
이 모델은 데이터 무결성에 초점을 둔 상업용 접근 통제 보안 모델이다. 이 모델에서는 비인가자들의 데이터 변형에 대한 방지만 취급하며, 주체는 보다 낮은 무결성의 정보를 읽을 수 없 다.(no read down policy) 주체는 또한 자신보다 높은 무결성 수준의 객체를 수정할 수 없다.(no wile up policy) 이 모델은 상태 머신(state mechine) 모델에 기반을 두고 있다.
① Bell-LaPadula Model
② Biba Model
③ Clark-Wilson Model
④ Lattice Model

10회 67. Bell-LaPadula 모델에 대한 설명으로 옳지 않은 것은?4
① 낮은 보안 레벨의 권한을 가진 이는 높은 보안 레벨의 문서를 읽을 수 없고, 자신의 권한보다 낮은 수준의 문서만 읽을 수 있다.
② 자신보다 높은 보안 레벨의 문서에 쓰기는 가능하지만 보안 레벨이 낮은 문서에는 쓰기 권한이 없다.
③ 정보에 대한 기밀성을 보장하기 위한 방법으로 강제적 접근 모델 중 하나이다.
④ 낮은 보안 레벨의 권한을 가진 이가 높은 보안 레벨의 문서를 읽고 쓸 수는 없으나, 낮은 레벨의 문서에는 읽고 쓸 수 있다.

9회 77. 다음은 BLP 모맬의 특성을 나타내고 있다. 높은 보안등급과 낮은 보안등급 사이에서 읽기와 쓰기 권한이 바르게 짝지어 진 것은?3
① Read-Up 금지, Write-Up 금지
② Read-Down 금지, Write-Up 금지
③ Read-Up 금지, Write-Down 금지
④ Read-Down 금지, Write-Down 금지

8회 7접근통제 모델 중 기밀성을 강조한 최초의 수학적 모델로 시스템 보안을 위한 규칙 준수 규정과 주체의 객체 접근 허용 범위를 규정한 것으로 옳은 것은?1
① 벨-라파듈라 모델
② 비바 모델
③ 클락-윌슨(Clark-Wilson) 모델
④ 만리장성 모델

6회 다음의 접근 통제 모델 중〈보기〉에 알맞은 모델은 무엇인가?2
비군사적 조직에 있어서 무결성을 더 중요시 하였다.주어진 무결성보다 낮은 무결성 등급에서는 읽을수 없다. (No Read Down)
① 벨-라파둘라 모델
② 비바 모델
③ 클락-윌슨 모델
④ 접근 통제 매트릭스