3.1 DEFINITIONS (정의)
소프트웨어가 충돌 할 수도 있다, 통신 네트워크 무너질 지도 모른다, 하드웨어 구성요소가 실패 할 수도 있다, 인간 작동은 실수를 만들 수도 있다. 이들이 약간의 의도적인 행동을 위해서 직접 기여하지만 않는다면, 이것들은 보안 문제로 분류되지 않을 것이다. 우연한 잘못은 신뢰성 문제로 연결되며, 동작 실수는 사용의 문제이다. 보안은 의도적인 실수와 관련이 있다.
항상 특정 목표를 달성하기 위한 명확한 의도가 없을지도 모르지만, 사람이 하지 않기로 되어 것을 하는 사람들에 의해 여러 단계에 의해 결정이 난다. 보안 문제의 근본 원인은 이처럼 인간 본성이다.
적절한 학문적 전통은 우리의 연구목적 정의에 의해 연구를 시작했다. 적어도, 우리는 그렇게 하려고 한다. 컴퓨터 시스템의 보안을 유지하기 위해 사용되는 컴퓨터 보안정보와 기술 다루려고 한다. 우리는 컴퓨터 시스템들의 사이를 구분하려 시도하지 않을 것이다. 대략적으로 말하면, 프로세서와 그 안에 있는 메모리를 탑재한 상자 그리고 정보 기술 시스템은 대개 컴퓨터 시스템의 밀접한 결합 네트워크를 말한다.기술은 빠른 발전을 유지한다. 현대 컴퓨터들은 이미 밀접하게 네트워크 구성과 결합되어있다. 응용프로그램의 하나인 소프트웨어는 운영시스템의 부분이 될 수 있다. 웹 브라우저들은 경향의 중요한 예이다. 당신의 컴퓨터에서 실행되는 소프트웨어는 당신의 컴퓨터에 저장 하실 필요가 없습니다. 소프트웨어는 로컬 서버 아니면 Web서버 어딘가에서 올 수 있다. 따라서 컴퓨터 보안과 IT 보안은 같은 말로써 많은 혼란의 위험 없이 사용 할 수도 있다.
언뜻 보면, 우리는 ‘보안’이 분명한 개념인 것처럼 보이도록, 앞선 길을 위한 확실한 지도를 가지는 것처럼 보였다. 그러나 보안은 너가 정확한 의미를 파악하려고 노력할 때 점점 더 멀어져가는 불안한 개념 중 하나이다. 많은 활동은 컴퓨터 보안의 정의를 기초로 하고있으며,이러한 정의 후에 수정을 하고 있다. 이 문서의 편집자는 거의 필연적으로 적절한 컴퓨터 보안 이외의 컴퓨터 과학 분야에 너무 집중되거나, 벗어나는 것에 대해 비난하고 있다.
3.1.1 보안
보안은 자산 보호에 관한 것이다. 이 정의는 너가 자산의 가치를 알아야 한다는 것을 의미한다. 이 일반적인 관측은 과정이며 또한 컴퓨터 보안에 있어 사실이며, 우리는 이미 2.3절에서 위험 분석의 역할을 설명했다. 우리의 초점은 현재 컴퓨터 시스템의 보호방법 구체적으로 바꾸는 것이다. 보호 대책의 대략적인 분류는 다음과 같이 구분한다.
· 보호 – 너의 자산이 피해를 막기 위한 조치를 취한다.
· 탐지 – 당신의 자산이 피해를 입을 때 어떻게 피해를 입는지, 어떻게 피해가 발생하는지 탐지 할 수 있도록 대책을 취한다.
· 반응 – 당신의 자신을 복구하거나, 당신의 자산의 피해에서 복구 할 수 있는 조치를 취한다.
이점을 설명하기 위해, 당신의 집에 보관중인 귀중품을 보관을 고려해라.
· 보호 : 문과 창문을 잠그는 고리는 도둑이 너의 집안에 들어가는 것을 더 어렵게 만든다. 적당한 벽과 중세 성의 못은 또 다른 보호의 벽이다.
· 탐지 : 도난 당했을 때 그곳에 물건이 없는 경우, 너는 탐지 할 수 있다. cctv는 침입자의 식별정보를 제공 할 수 있다.
· 반응 : 너는 경찰에게 신고할 수 있다. 너는 훔쳐간 물건을 대체하려고 결정 할 수 있다. 정책은 훔쳐간 물건을 너에게 되돌려 줄 수도 있다.
실제 세계의 예로는 컴퓨터 보안 원리를 설명 하는데 도움이 된다. 하지만 항상 물리적인 보안과 컴퓨터 보안 사이가 유사점을 그리는 게 불가능하거나 바람직하지 않다. IT 환경에서 사용할 경우 일부 문구가 사실은 꽤 오해의 소지가 있다. 우리 근처에 예는 가까이 일어난다.인터넷에서 주문할 때 신용카드 번호를 조심해서 사용해야 한다. 사기꾼은 너의 신용카드 번호를 구매하는 사용하고 너의 카드로 청구 될 수 있다. 어떻게 자신을 보호 할 수 있을까?
· 보호 : 주문할 때 암호화를 사용한다. 신용카드 주문이 수락되기 전에 구매자에게 몇 가지 검사를 수행하는 함으로써 판매자에게 의존한다. 너는 인터넷에서 신용카드번호를 사용해서는 안 된다.
· 탐지 : 당신이 승인 하지 않은 것을 거래는 당신의 신용 카드 명세서에 표시 됩니다.
· 반응 : 당신은 새로운 카드 번호를 물을 수 있다. 사기꾼의 매장에서 구매하거나 카드 발급시, 부정 거래 비용은 소유자에 의해 지불되어야 할지도 모른다.
예에서 사기꾼은 너의 카드 번호를 훔쳤다. 그러나 너는 그 것을 여전히 소지하고 있다면
법제도는 당신의 카다를 도난당한 경우와는 다르게 처리 할 수 있다.– 당신은 여전히 너의 카드를 소지하고 있고 또한 사기꾼은 너의 신용카드 도용에 대한 금액을 청구 할 수 없다. 기존 법률은 바람직하지 않은 새로운 종류의 행동에 직면했을 때 부족한 것이 발견 되어졌다, 그래서 새로운 컴퓨터의 잘못된 사용시 법은 새로운 위협을 해결하기 위해 통과 되어야 했다.
연구를 계속하려면 기밀 정보 보호를 위해 옵션을 고려해야 한다. 아마도 당신은 그것이 공개 되는 때 당신의 비밀이 침해 된 것을 발견할 것이다. 여러 예에서, 피해는 돌이킬 수 없을지도 모른다. 당신의 경쟁자들은 제품을 디자인을 찾기 위해 많은 시간을 보냈고, 당신의 시장 앞에 도달했으며, 당신이 사업이 없는 동안 혜택을 누리고 있다. 이러한 상황에서 예방은 너의 자산을 보호하기 위한 유일한 현명한 방법이다. 이 또한 기밀정보의 폭로의 예방하기 위해서 왜 역사적으로 컴퓨터 보안이 많은 주의를 기울이고 있는지 설명할 것이다.
이것은 항상 보호와 탐지 사이에 직접 균형을 유지해야하는 것은 아니다. 실천은 당신이 예방에 더 투자 하는걸 보여주고, 보호가 더 잘되는 확신하기 위해서는 너는 탐지를 위해 더 투자해야한다.
3.1.2 컴퓨터 보안
컴퓨터 보안 개념을 캡처하는 첫 번째 시도에서, 우리는 정보자산이 어떻게 손상 될 수 있는지 검사한다. 가장 빈번하게 제시한 정의의 3가지 측면을 다루고 있다.
· 기밀 - 정보의 무단 공개 방지
· 무결성 – 정보의 무단 수정 방지
· 가용성 – 정보와 자원의 무단 수집 방지
당신은 즉시 항목의 우선순위에 대한 논의를 시작할 수 있으며 아이템들의 정리된 케이스를 만들 수 있다. 또한, 목록이 완전하지 않다면 당신은 목록이 불완전하다는 것을 주장 할 수 있으며 만약 의사소통을 생각한다면 진실과 같은 포인트를 더 추가하거나 아니면 당신이 전자 상거래 등의 어플리케이션에 관심이 있다면 책임과 부인방지 추가해라.
일반적인 수준에서, 너는 보안의 어떠한 측면의 정확한 정의에 대해 의견충돌이 있을 수 있다. 우리는 US trusted Computer System Evaluation Criteria(미국 신뢰되는 컴퓨터 시스템 평가 기준), the European Information Technology Security Evaluation Criteria (13장에서 다루는)와 같은 컴퓨터 보안의 역사의 중요 문서로부터 정의를 선택한다. 그리고 세계기준 ISO 7498-2, ISO/OSI 통신보안을 위한 보안 아키텍처, 현재는 대체로 ISO 10181 사용 하지만 여전히 꽤 영향을 미친다. 이것은 종종 주어진 문맥의 정의를 인정하는데 도움이 된다. 예를 들어 위에 정의는 ITSEC에서 가져와 사용되었다.
3.1.3 기밀성
역사적으로 보안과 비밀은 가까운 관계였다. 오늘날에도, 많은 사람들은 여전히 컴퓨터 보안의 주요 목적은 비 인가된 유저의 데이터를 읽지 못하게 하는 것이라 느낀다. 더 일반적으로 비 인가된 사용자들은 민감한 정보를 알지 못해야 한다. 기밀(개인,비밀)은 컴퓨터 보안은 측면을 수집한다. 개인정보와 비밀은 때때로 개인 정보보호와 조직에 속하는 정보의 보호로 구분된다. 기밀성은 종종 컴퓨터 보안 항목에 집중하여 명확하게 정의된 개념과 연구이다, 적어도 왜냐하면 이것은 새로운 이슈로 일어났고 이슈는 물리 보안 안에서는 상관이 없다. 때때로 보안과 기밀성은 비슷한 의미로 쓰인다.
일단 당신이 기밀 문제를 깊게 보면 오직 비 인가된 화면에서 문서의 내용 또는 그 존재를 숨기고 싶은 여부에 대한 문제에 직면되게 될 것이다. 이러한 추가 조치를 취할 수 없는 이유를 확인하기 위해, 통신 시스템에서 트래픽 분석을 고려하다. 상대는 단순히 누구에게 말하고 얼마나 자주가 아닌 메시지 내용에 있는 사람을 본다. 그럼에도 불구하고 관찰자는 해당 당사자 간의 관계에 대한 유용한 정보를 이끌어 낼 수 있습니다. 트래픽 분석의 맥락에서 특정 이벤트의 연결 불가능성을 요구 할지도 모릅니다.
Unlinkablilty - 공격자는 충분히 그들이 관련인지 여부를 구별 할 수 없는 경우 원하는 두 개 이상의 항목은 연결 불가능합니다.
특정 행동을 하는 사람을 숨기려면 익명성을 요청할 수 있다.
Anonymity - 만약 익명 대상의 내에서 확인할 수 없는 사용자는 누군지 알 수 없다.
세상의 종이문서는 안전한 저장공간에 보관하며, 이것을 볼 수 있도록 허락 된 사람들의 목록을 지정한다. 아마 놀랍게도, 이것이 때때로 필요하며 또한 경찰들은 기밀 유지를 강요할 때 쓰기 작업을 한다.
3.1.4 무결성
진실성의 간결한 정의는 쉽게 주어지지 않는다. 일반적으로 무결성은 있어야 되는 모든 것을 확인하는 것이다. 컴퓨터 보안의 얽매임 안에서 우리는 섹션 3.1.2의 인용된 정의를 통해 해결하고 무결성은 잘못된 쓰기를 방지하면 된다고 공표했다. 정보흐름 정책들과 같이 사용되는 것을 이해할 때 무결성은 이중으로 기밀성하고 비슷한 기술이며 종종 두 개의 목표를 성취하는데 사용된다. 그러나 ‘비인가된 것이 무엇을 할 권한이 있거나‘ or ’올바른 절차 따르는 것‘ 무결성 아래에 포함되어있다. 이 방법은 Clark와 Wilson에 의해 영향력 있는 논문에서 나왔으며 논문은 발표했다, 논문은 무결성의 속성을 나타낸다.
사용자가 없는 시스템에서 만약 허가 된 경우라도, 회사의 자산 및 회계 기록이 분실 또는 손상된 같은 방법으로 데이터 항목을 변경하는 것을 허용 할 수 없습니다.
만약 우리가 무결성을 모든 비인가된 행동의 예방을 위해 정의한다면 기밀성은 무결성의 부분이 될 것이다.
지금까지 우리는 통제된 사용자 작업으로부터 보안을 조사했다. 견해의 체계적인 관점에서, 당신은 무결성을 정의할 때 시스템에 집중하는 편이 좋습니다. data integrity의 Orange Book 정의는 정확히 이러한 성격이다:
[전산화된 데이터가 존재하는 상태에서 원본 문서와 동일하며, 우발적이거나 악성 변조나 파괴에 노출되어 있지 않다.]
여기서, 무결성은 외부 일관성과 동일하다. 컴퓨터 시스템 안에 저장된 데이터가 현실의 정확한 컴퓨터 시스템 이상을 반영 해야한다. 이 속성은 물론 매우 바람직하지만, 컴퓨터 내부 메카니즘에 의해 완전히 보장할 수 없다.
혼란을 주기 위해서, 정보보안의 다른 영역에서는 그들 자신만의 무결성 개념을 가지고 있다. 예를 들어, 통신 보안은 무결성 탐지와 정정,삽입, 삭제, 전송 데이터의 재생을 가리킨다. 이것은 의도적인 조작과 무작위 전송 오류를 모두 포함한다. 아무것도 변경이 허용되지 않는 경우, 당신은 특수하게 잘못된 변경된 케이스로 의도적인 변화를 볼 수도 있다. 그러나 이러한 입장을 취하고 많은 것을 얻을 수 없다. 왜냐하면 존재, 부재, 인가된 구조는 풀어야할 문제의 본질과 각각의 보안 메커니즘에도 영향을 미친다.
무결성은 종종 다른 보안 성질을 위한 필요조건이다. 예를 들어 공격자는 기밀성을 피해는 작동 시스템이나 작동시스템에 의해 영향을 받는 접근 제어 테이블 조작 할 수 있다. 이런 이유로 우리는 운영체제의 무결성과 기밀성 달성을 위한 접근 제어 데이터 구조의 무결성을 보호를 해야한다.
마지막으로, 무결성의 일부로 보안과 가용성으로 취급하는 무결성의 일반적인 정의가 존재한다는 점을 유의해라.
3.1.5 가용성
우리는 ISO 7498-2의 정의를 얘기한다.
Availability – 승인 된 엔티티에 의해 요구에 따라 액세스 할 수 있으며 사용 가능한지 특성.
가용성은 많은 컴퓨터 보안의 전통적인 넘을까 걱정이다. 가용성을 향상시키기 위해 사용되는 공학 기법은 종종 다른 영역의 내부 결함성 컴퓨팅에서 온다. 보안의 맥락에서 ,우리는 악의적인 공격자가 해당 시스템에 대한 합리적인 접근이 있기 때문에 합법적인 사용자를 막을 수 없는 것을 확인하고 싶다. 즉 우리는 서비스 거부를 방지한다. 다시 우리는 ISO 4798-2의 정의를 나타낸다.
denial of service - 허용 된 리소스에 접근 방해 또는 시간이 중요한 작업을 지연.
인터넷에서 플러딩 공격은 어딘가에서 공격자가 효과적으로 많은 연결 요청에 의해 서버를 망가뜨린다. 그림 3.1은 DoS공격의 하나인 스머프 공격을 보여준다. 공격자는 피해자의 주소를 가진 여러 네트워크의 브로드캐스트 주소로 ICMP Echo Request를 보낸다.(주소를spoofing) echo request는 해당 네트워크의 모든 노드에 분산된다. 각 노드는 스푸핑된 송신자 주소로응답하게 되고 피해자는 응답 패킷이 넘쳐나게 된다. 브로드 캐스트 주소로 제공하는 증폭은 공격자에게 유리하게 작용한다.
많은 상황에서, 가용성은 컴퓨터 보안의 가장 중요한 측면에서도 좋지만, 이 문제를 처리하기 위한 보안 메커니즘의 장점은 부족했다. 사실, 너무 지나치게 제한적이거나, 비싼 보안 메커니즘은 그들 자신에게 DoS공격으로 이어질 수 있다. 보안 프로토콜의 설계자는 종종 거의 그 자체 비용으로 특정 지역에 과부하가 걸리는 것을 허용하게 하는 업무량의 불균형을 피하도록 노력했다.
3.1.6 책임성, 의무성
우리는 지금 컴퓨터 보안의 3 전통적인 분야를 다루고 있다. 돌이켜 보면, 당신은 그들이 모든 접근제어의 다양한 측면과 반갑지 않은 사건 예방에 자신의 힘을 쏟고 있는 것을 알 수 있습니다. 우리는 거의 모든 잘못된 행위를 방지 할 수 없다는 사실을 받아 들여야 한다.
첫째, 승인 된 조치는 보안 법규로 이어질 수 있다. 둘째, 우리는 공격자가 우리의 과거의 통제 방법을 찾을 수 있는 당사의 보안 시스템의 결함을 발견할 수 있다. 거기에, 우리는 새로운 보안 요구 사항은 전자 상거래의 맥락에서 특히 중요하며 추가 할 수 있다. 그러나 이미 오렌지 북 같은 역사적 문서에서 찾을 수 있다. 그러나 이미 오렌지 북 등 역사적 문서에 기재되어 있습니다. 이와 같이 :
Accountability – 보안에 영향을 미치는 조치가 당사자를 추적 할 수 있도록 감사 정보를 선택적으로 유지되고 보호되어야한다.
그렇게 할 수 있도록 하려면 시스템 (제 4 장 참조) 사용자를 식별하고 인증해야합니다. 이것은 보안 관련 이벤트를 감사 추적을 유지해야합니다. 보안 위반이 발생한 경우, 감사 추적에서 정보가 가해자와 시스템을 위태롭게 위해 취한 단계를 식별하는 데 도움이 될지도 모른다.
3.1.7 Non-repudiation 부인방지
부인방지는 책임성과 관련이 있다.
Non-repudiation – 부인 방지 서비스는 특정 활동이 발생한 것에 대한 위조 할 수 없는 증거를 제공한다.
암호화 메커니즘을 제공 할 수 있는 보안 서비스를 분석 할 때, 이 정의는 의미가 있습니다. 디지털 서명은 부인 방지를 제공합니다. 통신 보안의 전형적인 부인 방지 서비스는 문서를 보낸 사람에 대한 부인방지 증거로 전송을 부인을 할 수 없으며, 메시지가 특정 사람에게 배달되었다는 특정 증거를 제공한다.
부인 방지에 대한 논의는 부정확한 표현으로 나빠지는 경향이 있다. 메일함으로 메일이 전송되었을 때 수신 부인 방지에 대해 이야기해야 하는가? 부인 방지에 대한 더 많은 근본적인 오해가 만연하다. 그것은 때때로 부인 방지 서비스는 일부 이벤트에 대한 "확실한 증거"를 제공하고 그러한 증거가 '세계 어느 법원에서도 동의'되는 것으로 알려져 있습니다. 그것의 확실한 증거는 그것이 불가능한 사람이 분쟁 이벤트에 참여를 부정하기 위하여 만들 수 있다고 가정하는 것은 어리석다. 확실한 증거의 근거는 대부분의 외국의 법이다. 우리는 잠시 섹션15.5.6에서 이 항목으로 이동해보자.
3.1.8 신뢰성
보안의 논의는 장애 및 안전에 관련된 이러한 신뢰성 등 컴퓨팅의 다른 영역으로 언급하는 몇 가지 이유가 있다. 또한 시스템이 불리한 조건에서 제대로 실행하지 않으면 안되는 상황에 대처하는 그들의 환경에 시스템 오류의 영향에 관계한다.
처음에는 용어의 뜻이 겹쳤으나 보기 좋아하는 포인트에 따라, 보안, 신뢰성, 또는 그 반대의 측면이다. IFIP WG 10.4 통일 개념으로 신뢰성을 도입하여 신뢰성 측면으로 보안, 신뢰성, 무결성 및 가용성을 처리함으로써 이 딜레마에서 탈출하려고 했다.
Dependability – 컴퓨터 시스템의 특성은 실현하고 서비스에 배치 할 수 있는 것이다. 그리고 사용자가 인식하도록 시스템에서 제공하는 서비스는 동작이다.
: 사용자는 제작자와 상호작용하는 다른 시스템(물리적,인간적)이다.
또한 응용 프로그램은 동시에 여러 문제를 해결해야 될지도 모른다. 예를 들어, 안전에 중요한 응용 프로그램 중 컴퓨터 시스템을 검토해야한다. 악의적인 행동을 중지시키기 위해 의도 된 보안 컨트롤은 생소한 행동 패턴을 찾고 침입을 식별하려고 할 수 있다.
비상사태에 반응은 생소하게 나타날 수 있으며 비상사태는 드문 경우이다 - 그래서 침입 탐지, 공격과 같은 중요한 상황에서 정당한 행동을 잘못 탐지하면 잠재적으로 긴급 팀의 행동을 방해하는 보안 메커니즘을 트리거(데이터베이스가 미리 정해 놓은 조건을 만족하거나 어떤 동작이 수행되면 자동적으로 수행되는 동작. 트리거는 데이터베이스에서 데이터에 대한 유효성 조건과 무결성 조건을 기술하는 데 유용하다.)하여 문제가 악화된다.
일반적으로 독립하여 당신이 원하는 응용 프로그램을 보호하고 싶다면 다른 요구 사항의 보안에 대응하고 있지 않으면 안 된다.
마지막으로, 비슷한 엔지니어링(공학의) 방법은 다음의 분야에서 사용되고 있다, 예를 들어 보안 소프트웨어를 평가하기 위한 기준과 안전에 중요한 소프트웨어를 평가하기 위한 기준에 있어 많은 유사점이 존재하며 일부 전문가들은 궁극적으로는 단일 표준이 존재해야 된다고 기대하고 있다.
3.1.9 우리의 정의
이 책에서는 보안을 위한 작업으로 정의를 채택한다.
컴퓨터 보안은 컴퓨터 시스템의 사용자들에 의한 비인가된 행위의 예방 및 탐지를 다룬다.
위 정의는 컴퓨터 보안은 적절한 권한과 접근 제어가 필수적이라 말하며 2.2.1절에서 설명한대로 적절한 권한은 보안 정책을 전제로 하고 있다. 부적절한 행위의 영향의 정정은 우리가 더 나가 어떤 역할을 해야 할지 토론하게 한다. 위의 정의는, 우리는 컴퓨터 보안에 무엇을 해야할지에 대해 설명합니다. 우리는 그것을 이유로 인해 문제의 근원을 보면 다음과 같은 정의를 채택 할지도 모릅니다
: 우리는 몇 가지 반갑지 않은 방식으로 행동 당사자가 고의적 인 행동을 해결하기 위해 취할 수 있도록 컴퓨터 보안 대책을 만드는 데 참여하고 있다.
이 정의는 잘못된 행동을 언급하지 않는다. 이것은 하나의 공격을 가리키지만, 스팸 메일 등의 문제를 포함하여 넓은 범위를 말하는 것은 아니다. 스팸 메일을 전송하면 공격이라고 하지 않는다(만약 당신이 일을 찾고 있다면, 당신은 어떤 빈자리에 사람이 없는 경우 실력이 유용한 당신을 찾아낼지도 모른다, 그리고 기업에 이력서를 보낼지도 모릅니다) 마찬가지로, 스팸 받으면 반갑지 않은 일이라고 생각할 필요는 없다. 이것은 하나의 일상적으로 받는 전자 우편의 같은 것이다. 이메일의 오용은 골칫거리가 되며 스팸 퇴치는 보안의 이슈가 된다.
3.2 The fundamental dilemma of computer security
컴퓨터보안의 근본적인 딜레마
딜레마 : 선택해야 할 길은 두 가지 중 하나로 정해져 있는데, 그 어느 쪽을 선택해도 바람직하지 못한 결과가 나오게 되는 곤란한 상황.
컴퓨터 보안에 의존하는 사용자의 수는 인터넷에 연결된 사람들의 기밀의 데이터를 처리하는적은 수의 단체들로부터 성장해 왔다. 그리고 컴퓨터 보안의 요구사항은 변화하고 있으며 이 변화에서 근본적 딜레마가 발생하고 있다.
보안을 알지 못하는(unaware) 사용자들은 구체적인 보안 요구사항을 갖춰야 하지만 대개 보안에 대한 전문지식이 없다.
보안을 잘 모르는 사용자는 보안 제품에 대한 수준 높은 결정을 할 수가 없다. 그래서 해결방방안으로 모범 사례를 보고 표준(수준, 기준)을 잘 선택해야한다. 표준 솔루션은 사용자의 특정한 요구사항을 해결하지 못할지도 모른다.
When eliciting those requirements from the user, questions have to be asked that need awareness of security issues to be answered...
사용자들로부터 필요사항을 이끌어낼 때(eliciting), 질문에 답변 할 수 있도록 보안 문제에 대한 인식이 필요하다.
Compared to this fundamental dilemma, the conflict between security and ease of use is a straightforward engineering trade-off.
근본적인 딜레마와 비교해서, 보안과 사용의 편의성의 사이에 관계는 간단한(straightforward) 공학적 상충(engineering trade-off)관계이다. 보안이 끼치는 영향 결과는 다양(manifold)하다.
● 보안 메커니즘은 추가적으로 컴퓨터를 이용한 자원(resources)들을 필요로 한다. 이런 자원들이 쉽게 정량화(quantified)(양을 측정 가능) 된다.
● 보안은 사용자의 익숙한 작업패턴을 방해 한다. 어설프거나(clumsy) 부적절한(inappropriate) 보안 기준은 생산성의 손실을 이끈다.
● 보안 관리에 노력을 더해야하며, 보안시스템의 구매자들은 따라서 종종 최고의 관리 기능을 가진 상품을 선택한다(opt) => 관리가 쉬운 제품을 선택
부가 설명 opt란 : 종종 최고의 그래픽 user interface(사용자가 컴퓨터와 대화하기 위한 기호나 명령 체계)를 갖춘 것이다
3.3 Data vs Information
컴퓨터 보안은 information와 resources의 접근제어에 관한 것이다. 하지만 때때로 information에 대한 접근제어가 어려울 수 있기 때문에 종종 더 간단한 data에 대한 접근제어로 목표가 대체된다.
데이터와 정보의 차이를 알기 힘들다(subtle) 그러나 이것은 또한 보안에 있어 더 어려운 문제의 일부 일뿐이다. data는 information를 대신하고. information는 data의 (주관적(subjective)) 해석이다 :
Data – 물리적 현상들(phenomena <= phenomenon의 복수형)은 개념과 현실 세계의 특정 측면을 표현하기 위해 관습(관례, 관습, 조약[협약], 전통[관습], 대회[협의회])적으로 선택된 것이다. 우리는 data에 부여된 의미를 가지고 information라고 부른다. data는information을 전송하거나 저장하곤 했고 정해진 규칙들에 따라 다룬 data로부터 새로운 information를 얻었다.
information와 해당 data간에 긴밀한 관계가 있는 경우, 두 가지 개념은 비슷할 수도 있다. 그러나 항상 그렇지는 않으며,
It may be possible to transmit information over a covert channel.
은닉(covert) 채널(section 11.2.5)을 통해 information을 통신하는 것이 가능 할 수도 있다.
There, the data are ‘grant’ and ‘deny’ replies to access requests while the information received is the contents of a sensitive file.
informaiton이 수신되는 동안 data가 ‘승인과 ’거부‘로 접근 요청에 응답하는 것은 민감한 내용이기 때문이다.
다른 예로는 통계학적 database들(9.4절)을 통해 추정(inference)할 수 있는 문제이다. 이 문제를 쉽게 보기 위해서는, 납세신고에 관한database를 검토해보면 된다. database는 세금 검사관이 개인 기록을 처리하는데 사용한다. 또한 납세신고의 통계적 요약은 접근을 필요로 하는 직원에 의해 사용되지만 (원래, 원칙상) 개인 기록을 읽을 권리는 없다(have no business ~할 권리가 없다).
Assume that the database management system allows statistical queries only on sufficiently large data sets to protect individual records.
database 관리 시스템은 개인 기록 보호를 위해서 통계적 쿼리들이 효율적으로 충분히 큰 data 집합일 때만 허락하기로 전제한다.
It would still be possible to combine the results from two queries over large data sets which differ only by a single record.
단일 레코드와는 다른 큰 data 통한 두 쿼리들로부터 결과를 결합 할 수 있다.
Thus, even without accessing the data directly, information about an individual record can be derived.
그러므로 data는 직접 접근 없이도 개인 기록의 대한 정보를 얻을 수(derived) 있다.
3.4 Principles of Computer Security(컴퓨터 보안의 원리)
당신은 컴퓨터 보안을 ‘로켓 과학처럼‘ 어려운 문제라고 주장 할 것 같다.
Do not let such opinions frighten you off. 이런 의견은 당신을 놀라게 하지 않는다.
만약 당신에게 체계적인 방법으로 컴퓨터 시스템의 보안 기능을 구현할 수 있는 기회가 주어진다 해도, 교육이 잘 되어있는(통솔된=disciplined) 소프트웨어(시스템) 개발 접근법(approach)과 몇 가지 기본적인 보안 원칙을 이해하는데 오랜 기간이 걸린다. 그러나 당신에게 보안에 미치는 영향 중 어떠한 것도 고려하지 않은 설계결정이 강요(constrained)될 때, 복잡한 시스템에 보안을 추가한다면 이미 (보나마나)나중에 생각한 했던 것(afterthought)처럼 틀림없이 고생할 것이다.
지금부터 우리는 컴퓨터 보안의 몇 가지의 기본적인 설계의 파라미터들을 제시 할 것이다. 이러한 설계결정은 책에서의 설명을 구조화하기 위해 프레임워크(틀)을 제공한다. Figure 3.2는 컴퓨터 보안의 설계 공간에서 주요 관점(dimension)을 이용한 그림이다. 가로축은 보안 정책의 중점을 두어 표현한다. 세로축은 보호 메카니즘이 실행될 컴퓨터 시스템의 레이어를 (초점에 맞춰) 표현한다. (섹션 3.4.2)
3.4.1 통제의 관점
We could rephrase the definitions of integrity given in Section 3.1.4 and say that integrity has to do with compliance with a given set of rules. We can have rules on:
우리는 3.1.4 장에서 주어진 무결성의 정의를 바꾸어 말할 수 있다(rephrase) 그리고 무결성은 특정 규칙들을 준수하는 것과 관련이 있다.다음의 규칙 가진다:
● the format and content of data items – for example, a rule could state that balance fields in an accounts database have to contain an integer; such integrity rules define internal consistency properties and do not depend on the user accessing the data item or on the operation performed on the data item.
데이터 항목의 형식과 내용 – 예를 들어, 계좌 데이터베이스의 정수를 포함하는 잔액 필드가 규칙을 갖는 것; 무결성의 규칙은 내부 일관성을 가지며 데이터 항목에 접근하는 사용자 또는 데이터 항목에 대한 작업에 따라 결정되지 않는다.
● the operations that may be performed on a data item – for example, a rule could state that only operations ‘open account’, ‘check balance’, ‘withdraw’, and ‘deposit’ have access to the balance fields in an accounts database and that only bank clerks are allowed to execute ‘open account’; such rules may depend on the user and on the data item.
데이터 항목에 대해 수행 할 수 있는 작업은 - 예를 들어, 영업활동(수익 또는 비용의 계산하여 가져오는 기업 활동의 총칭)인 ‘당좌 계정(거래 때마다 현금 결제를 하지 않고 그 대차 관계를 장부에 기록했다가 정기적으로 그 차액만을 현금 결제하는 방식)', '잔액 체크', ’인출‘과'예금'은 계좌 데이터베이스의 잔액 필드에 접근 할 수 있으며 그리고 오직 은행직원만 당좌계정 계산이 허락되어진다.; 이와 같은 규칙들은 사용자와 데이터 항목에 의해 결정 될 수 있다.
● the users who are allowed to access a data item – for example, a rule could state that only the account holder and bank clerks have access to balance fields in an accounts database.
데이터 항목에 대해 접근이 허용된 사용자는 - 예를 들어, 오직 계좌 명의인과 은행 점원만 계정 데이터베이스의 잔액 필드에 접근 가능하다고 말할 수 있다.
We have just made an important general observation and arrived at our first design decision
우리는 전반적으로 중요한 관찰 후에, 첫 번째 의사결정에 이르렀다.
First Design Decision : In a given application, should the protection mechanisms in a computer system focus on
첫 번째 설계 의사결정 : 주어진 응용 프로그램은 컴퓨터 시스템의 (어떤부분) 보호 메커니즘에 초점을 맞춰야 하는가?
컴퓨터 시스템의 ●data 데이터 ●operation 운영 ●or users? 아님 사용자?
It is a fundamental design decision choosing which of these options to take when applying security controls. Operating systems have traditionally focused on protecting data(resources). In modern applications, it is often more relevant to control the users’ actions.
이것은 보안을 적용 할 때 옵션들 중에서 해야 것을 선택하는 기본설계 의사결정이다. 운영 시스템은 전통적으로 데이터(리소스) 보호에 초점을 맞췄다. 현대의 응용 프로그램은 흔히 사용자의 행동을 조절하는데 관련이 있다.
3.4.2 The Man-Machine Scale 구조,규모
그림 3.3는 컴퓨터 시스템의 간단한 계층 모델을 제시한다. 이 모델은 단지 일반적인 소개를 위해 의도 되었다.
You should not expect to find all the layers in every computer system you analyze, nor should you be surprised to find systems where you can identify more than the five layers of our model.
당신이 분석하는 모든 컴퓨터 시스템 내에서 모든 레이어를 찾는 것을 기대해서는 안되며, 당신은 우리의 모델의 5계층 이상을 식별 할 수 있는 시스템을 찾는 것에 대해 놀라게 될 것이다.
사용자 계층 - ● Users run application programs that have been tailored to meet specific application requirements.
사용자는 특정 응용프로그램의 요구 사항을 충족하도록 조정되는 application 프로그램을 실
행한다.
applications계층 - ●The application programs may make use of the services provided by a general purpose software package such as a database management system (DBMS), an object reference broker(ORB), or a browser.
응용 프로그램은, 예를 들어, 데이터베이스 관리 시스템(DBMS), 개체 참조 연결자(ORB) 또는 브라우저와 같은 범용 소프트웨어 패키지에서 제공하는 서비스를 이용할 수 있다.
services계층 - ● The services run on top of the operating system, which performs file and memory management and controls access to resources such as printers and I/O devices.
서비스는 운영체제 위에서 실행되며, 파일 및 메모리 관리를 수행하고 프린터와 I/O 장치 같은 자원들의 접근을 제어한다.
operating system계층 - ● The operating system may have kernel(micro-kernel, hypervisor) that mediates every access to the processor and to memory.
운영 시스템은 프로세서와 메모리에 대한 모든 접근을 중재하는 커널(마이크로 커널, 하이퍼 바이저)을 가지고 있다.
마이크로 커널 - 가장 기본이 되는 서비스들만을 핵심 커널에 포함시킨 후 다른 운영체제의 기능들은 user level 에서 각각의 프로세스로 구현하는 방식이다.
하이퍼 바이저 - 프로세서나 메모리와 같은 다양한 컴퓨터 자원에 서로 다른 각종 운영 체계(OS)의 접근 방법을 통제하는 얇은 계층의 소프트웨어
hardware계층- ● The hardware, I.e. processors and memory, physically stores and manipulates the data held in the computer system.
하드웨어는 즉, 프로세서와 메모리를 물리적으로 저장하고 컴퓨터 시스템에 저장되어있는 데이터를 처리한다.
Security controls can sensibly be placed in any these layers. We have now explained the dimensions of our second fundamental security principle.
보안통제는 적절하게 어떤 계층 하나에 배치되어 질 수 있다. 우리는 지금 두 번째 기본 보안 원리의 관점(규모,크기(dimensions))에 대해 설명할 것이다.
Second Design Decision: In which layer of the computer system should a security mechanism be placed?
두 번째 의사결정 : 어떤 컴퓨터 시스템의 레이어에 보안 메카니즘을 배치해야 하는가?
When you investigate fielded security products, you will observe security mechanisms at every layer of this model, from hardware to application software. It is the task of the designer to find the right layer each mechanism, and to find the right mechanisms for each layer.
당신이 받은(fielded) 보안 제품을 조사할 때, 당신은 하드웨어와 응용프로그램 소프트웨어로부터 모든 레이어 모델에서 보안 메카니즘을 관찰 할 수 있다. 각 메카니즘에서 적합한 레이어를 찾는 것은 설계자의 업무이다.
Take a second look at our new design decision, visualizing the security mechanisms of a computer system as concentric protection rings, with hardware mechanisms in the centre and application mechanisms on the outside(Figure 3.4). Mechanisms towards the centre tend to be more generic, more computer-oriented, and more concerned with controlling access to data. Mechanisms at the outside are more likely to address individual user requirements.
두 번째로 취해야할 우리의 새로운 의사결정을 보면, 동심원의 보호링으로 컴퓨터 시스템 보안 메카니즘이며 하드웨어 메카니즘은 중심에 있고 어플리케이션 메카니즘은 제일 바깥쪽에 있다. 중심의 메카니즘에 안 쪽으로는 더 포괄적이고 더 컴퓨터 지향적이며, 데이터 접근에 관련이 있다. 메카니즘은 바깥 쪽으로는 개별 사용자의 요구 사항을 충족 할 가능성이 높다.
Combining our first two design, we will refer to the man-machine scale for placing security mechanisms(Figure 3.5). This scale is related to the distinction between data(machine-oriented) and information(man-oriented).
우리의 첫 번째,두 번째 의사결정을 조합해보면, 우리는 (그림 3.5) 인간-기계 구조를 보안 메카니즘을 배치하여 나타낼 수 있다. 이 구조은 데이터(기계 지향)와 정보(인간 지향)을 구분 하는데 있어 관련이 있습니다.
3.4.3 Complexity vs Assurance(복잡성 vs 보증)
복잡성 = 양적 현상으로 대단히 많은 단위로 상호작용과 간섭이 일어나는 것
Frequently, the location of a security mechanism on the man-machine scale is closely related to its complexity.
빈번하게, 인간-기계 구조에 보안 메커니즘의 위치가 복잡성과 밀접하게 관련되어 있다. 종종 기능이 풍부한(feature-rich) 보안 기능을 요구하는(clamour) 응용프로그램을 위해 간단하며 일반적인 메카니즘을 찾아야 한다. 따라서 아직 당신은 또 다른 결정을 해야 한다.
Third Design Decision : 간단한 걸 선호하는가? - 높은 보증? - 기능이 풍부한 보안 환경?
높은 보증을 성취하기 위해서, 보안 시스템은 상세하고 가능한 철저하게 검토해야 한다.
복잡성과 보증 사이에 균형이 존재하는데 당신이 목표로 하는 높은 수준의 보증을 위해서는 더 간단한 시스템이 있어야 한다. 다음을 보면,
기능이 풍부한 보안 시스템과 높은 보증이 같다고 쉽게 볼 수 없다.
높은 보증이 체계적인 설계 방법을 엄격하게 고수(adherence)해야 된다는 것에 대해 놀라서는 안 된다. 사실, 컴퓨터 보안은 가장 높은 보안 수준을 위한 연구 방법(도구)으로 초기에 공식적으로 채택한 방법 중 하나이다.
이 결정은 또한 컴퓨터 보안의 근본적인 딜레마와 연결되어 있다. 간단한 범용(일반적인) 메카니즘은 특정 보호 요구사항을 만족시키지 못할 수도 있으며, 기능이 풍부한 보안 환경의 사용자들이 올바른 옵션을 선택하려면 보안 전문가를 보유해야 한다. 보안을 사용하지 않은 사용자들은 승산이 없는 상황에 남아있다.(위험한 상황에 놓여있다)
3.4.4 Centralized(집중식) or Decentralized(분산식) Controls
보안정책의 영역 안에서, 통제를 강제해야 한다.
If there is a single central entity in charge of security, then it is easy to achieve uniformity, but this central entity may become a performance bottleneck.
만약 보안을 담당하는 단일 중심 기관이라면, 균일성을 얻기 쉬울 수도 있으나 중심기관의 기능이 장애물(병목현상)이 될 수 도 있다.
Conversely, a distributed solution may be more efficient but we have to take additional care to guarantee that the different components define and enforce the policy consistently.
정반대로, 분산 솔루션이 더 효율적일수도 있지만, 우리는 다양한 구성 요소가 일관되게 정책을 정의하고 실시 할 것을 보장하기 위한 추가 처리를 해야합니다.
Fourth Design Decision : 보안의 정의와 구현 작업은 중심 기관에서 해야하나? 아니면 그들은 시스템의 개인 구성원들이 해야 하는가?
This question arises naturally in distributed systems security and you will see examples of both alternatives.
이 질문은 분산시스템 보안 안에서 자연스럽게 발생한다.
However, this question is also meaningful in the context of mainframe systems as demonstrated by the mandatory and discretionary security policies of the Bell-LaPadula model covered in Section 11.2
그러나, 이 질문은 또한 섹션 11.2에 Bell-LaPadula 모델의 필수(mandatory)적이고 선택할수 있는(discretionary)의 보안 정책에 의해 입증되는 메인프레임 시스템(중앙처리)의 내용 안에서 의미가 있다.
-----------------------------------------------------------------------------
3.5 The Layer Below (하위 계층)
So far we have briefly touched on assurance but have predominantly explored options for expressing the most appropriate security policies.
지금까지, 우리는 간단하게 보증에 대해 언급하고 있지만(touch on), 가장 적합한 보안 정책으로 나타내기 위해 옵션을 주로(predominantly 대개, 대부분) 조사하고 있습니다.
It is now time to think about attackers trying to bypass your protection mechanism defines a security perimeter(boundary).
지금 당신의 보호 메커니즘은 보안 경계 (경계)를 정의 우회하려는 공격자에 대해 생각하는 시간이다.
The parts of the system that can malfunction without the protection mechanism lie outside this perimeter.
The parts of the system that can be used to disable the protection mechanism lie within this perimeter.
This observation leads to an immediate and important extension of the second design decision from Setin 3.4.2:
Fifth Design Decision: How can you prevent an attcker from getting access to a layer below the protection mechanism?
An attacker with access to the 'layer below' is in a position to subvert protection mechanisms further up.
For example, if you gain systems privileges in the operating system, you are usually able to change programs of files containing the control data for security mechanisms in the services and application layers.
If you have direct access to physical memory devices so that you can manipulate the raw data, the logical access controls of the operating system have been bypassed.
We give further examples below to illustrate this point.
The fact that security mechanisms have a soft underbelly and are vulnerable to attacks from lower layers should be a reason for concern, but not for despair.
When you reach the stage where you cannot aplly computer security mechanisms or do not want to do so, you still can put in place physical or organizational security measures(Figure 3.6)
We will now give a few examples of access to the layer below.
The explanations assume some basic understanding of the way computer system work.
Recovery Tools
If the logical organiztion of the memory is destroyed due to some phsical memory fault, it is no longer possible to access files even if their physical representation is still intact.
Recovery tools, like Norton Utilities, can help to restore the data by reading course, be used to circumvent logical access control as it does not care for the logical memory structure.
Unix Devices
Unix treat I/O devices and physical memory devices like files. The same access control mechanisms can therefore be applied to these devices as to files.
If access permissions are defined badly, e.g. if read access is given to a disk which contains read protected files, then an attacker can read the disk contents and reconstruct the files.
More information on Unix security follows in Chapter 7.
Object Reuse(Release of Memory)
A single-processor multiprogramming system may execute several processes at the same time but only one process can 'own' the processor at any point in tine.
Whenever the operating system deactivates the running process to activate the next, a context switch is performed.
All data necessary for the later continuation of the execution are saved and memory is allocated for the new process.
Storage residues are data left behind in the memory area allocated for the new process.
If the new process could read such storage residues, the logical separation between processes the operation system should provide has been breached.
To avoid this problem, all memory locations that are released could be overwritten with a fixed pattern or the new proess could be granted read access only to locations it has already written to.
Buffer Overruns
In a buffer overrun attack, a vlue is assigned to a variable that is too large for the memory buffer allocated to that variable, so sthat memory allocated to other variables is overwritten.
This method of modifying variables that should be logically inacessible is further explained in Section 10.4.1
Backup
A conscientious system manager will perform regular backups.
Whoever can lay their hands on the backup media has access to all the data on the tape and logical access control is of no help.
Thus, backup media have to be locked away safely to protect the data.
Core dumps
When a system crashes, it creates a core dump of its internal state so that the reasons for the crash can be more easily identified.
If the internal state contains sensitive information, such as cryptographic keys, and if core dumps are stored in files that can be read by everyone, attacker could intentionally crash a multi-user system and look in the core dump for data belonging to other users.
3.6 The Layer Above
The Fundamental Fallacy of Computer Security
'보안공학' 카테고리의 다른 글
| 4. Identification and Authentication| (0) | 2013.09.26 |
|---|---|
| 2. Managing Security (0) | 2013.09.26 |
| 1. History of Computer Security (0) | 2013.09.16 |
