위험분석시스템을위한 Down
위험분석시스템을위한
위험분석시스템에 대하여 조사하였습니다. 위험분석시스템을위한
가 도메인에 접근하지 않는다.
▪평가자는 관리도메인에 접근하지 않는다.
▪평가책임자와 일반평가자는 직무분리가 된다.
▪평가책임자는 할당된 평가에 대한 전반적인 책임과 권한이 있다.
4.2 역할도출
위험분석 조직의 직무 및 임무를 분석하여 도출한 역할은 <표 3>과 같다. 시스템관리자 역할은 1명에게만 할당되어야 하며, 평가책임자 역할은 평가프로젝트당 1명이어야 한다.
역할(R)보안카테고리(SC)카디널리티(C)R1.시스템관리자SC41R2.평가책임자SC31R3.일반평가자SC2nR4.설문응답자SC1n<표 3> 역할의 보안카테고리 및 카디널리티
4.3 사용자-역할 매핑
사용자ID역할(R)U1.adminR1U2.lionR2U3.catR3U4.tigerR3U5.horseR4U6.dogR4<표 4> 사용자-역할 매핑
4.4 객체 파악
<표 5>는 위험분석시스템에 사용되는 객체의 목록을 보여주고 있다. 각 객체들은 중요도 및 기능에 따라 보안카테고리를 부여받고 있다.
4.5 연산 파악
<표 6>는 위험분석시스템의 연산을 보여주고 있다. 각 연산에 보안카테고리를 부여하였다.
객체(OPS)보안카테고리(SC)설명O1.M_TableSC4시스템관리 테이블O2.U_TableSC4사용자관리 테이블O3.A_TableSC2평가용 테이블O4.T_TableSC2참조 테이블O5.R_TableSC3평가결과 테이블O6.A_FileSC2평가자별 파일O7.S_WebSC1설문 웹<표 5> 파악된 객체
연산(OP)보안카테고리(SC)설명OP1.시스템설정SC4시스템설정OP2.사용자관리SC4사용자 등록OP3.위험평가SC2일반평가자의 위험평가OP4.평가척도참조SC2평가를 위한 척도 참조OP5.평가결과입력SC3평가결과 결정하고 입력OP6.평가결과파일SC2일반평가자의 평가결과 임시파일 저장OP7.설문응답SC1웹을 통한 설문 응답<표 6> 파악된 연산
4.6 n-ACL
<표 7>은 n-ACL 설정을 보여주고 있다. n-ACL은 보안카테고리의 상속성에 의해 상위 권한을 가진 역할이 하위 권한을 가진 역할의 객체에 대한 무결성 보안을 해칠 수 있는 권한남용 위협을 방지하기 위하여 설정한다. n-ACL은 위험분석시스템 운영조직의 보안정책에 따라 달라질 수 있다.
구분O1O2O3O4O5O6O7R4··deny·denydeny·R3·····deny·R2·······R1·······<표 7> n-ACL 설정
<그림4>는 보안카테고리에 의한 역할의 상속과 n-ACL에 의한 허가거부를 보여주고 있다.
R1R4R3OP1OP2OP3OP4OP5OP6OP7R2
<그림 4> 역할의 상속과 n-ACL
4.7 RBAC기반 위험분석시스템
<그림5>는 위험분석시스템상에서의 RBAC을 보여주고 있다.
위험분석시스템식별
/
인증DB기능역할
매핑허가/
제약
<그림 5> RBAC기반 위험분석시스템
<그림 6>은 관리자에 의해 사용자-역할 관계를 할당하는 것을 보여주고 있다.
<그림 6> 사용자-역할 할당 GUI
5. 결론
효율적인 정보시스템 위험분석을 위해 위험분석시스템을 사용하고 있다. 위험분석 시스템 사용자는 각각의 역할과 임무에 따라 평가를 수행하게 된다. 위험분석과정에서의 정보보호를 위하여 시스템 자체의 접근통제가 이루어져야 한다. 이에 본 논문에서는 위험분석시스템을 위한 RBAC정책 모델을 제안하였으며 적용예제를 보였다.
제안한 모델은 역할, 연산, 객체 등에 보안카테고리를 적용한 후 사용자를 역할과 매핑하여 수행규칙에 따라 접근통제를 하는 변형된 RBAC정책 모델이다. 상위 보안카테고리는 하위
[문서정보]
문서분량 : 4 Page
파일종류 : HWP 파일
자료제목 : 위험분석시스템을위한
파일이름 : 위험분석시스템을위한.hwp
키워드 : 위험분석시스템을위한
자료No(pk) : 16158485
Comments