Domain 3. Security Engineering(2)

Security Model 기초개념

1. 시스템구성요소 

1-1. 시스템 보안 4가지 주요 요소

. 프로세서(Processors) 

. 메모리/스토리지(Memory / Storage)

. 주변장치(Peripheals) 

. OS

* 보안모델에서 CPU와 Memory가 가장 중요 하지만, Swaaping 된 Vitual Memory 사용으로 Storage도 중요

1-2. CPU/Memory/Storage

- Mem/Sto 빠른 속도

CPU Register-> Cache(L1/L2) => Ram(Physical=dram) =>Ram(Vitual Memory) => Storage

- 메모리 관리자(Memory Manager) 

. 프로세스에서 메모리 세그먼트 할당/ 회수를 하며, 프로세스는 단지 그자신의 메모리 

. 세그먼트들과 스왑 메모리 콘텐츠들에만 접근 및 사용 가능함을 보장 하기 위해 접근 통제를 강제

- Cache , Buffer

. Cache     : 시스템에 의해 사용 되는 메모리 일부분으로 짧은 시간내에 요청 되는 데이터를 저장, 시스템 성능 향상 (-> Hit 율 올려 Response 상승)

. Buffer     : 데이터 전송시 고속장치의 대기 시간 완충 목적

- 가상메모리 영영의 잠재적 보안 취약점 

. 파일이나 데이터가 암호화 되어 있는 경우라도 ram 에서 처리될 경우 복호화 되는 데 , 필요에 따라 swap space 에 기록 

. 따라서 한 프로세스가 swap 공간을 이용한 후에는 반드시 청소하는 과정 필요 (=>메모리 관리자 수행)

. 청소 과정이 불충분할 경우 swap space 는 해커에게 매우 좋은 기회 제공 

. 저장 매체를 새로운 객체에게 재할당할(객체 재사용 ) 경우 잔여 데이터가 없도록 하여 민감한 정보 노출을 막는다.

- 메모리 보호(OS의 메모리 관리자 수행) 

. 프로세스가 자기에게 할당 되지 않은 메모리의 접근을 예방 

- Firmware

. CISSP시험에서는 Factory Automatic 관점으로 

. ROM(non-vloatile=비휘발성) 내에 명령어 또는 프로그램 저장 

1-3. 주변장치(Peripheals ans other i/o devices)

- Driver     : I/O 장치 통제 및 시스템 I/O를 위해 사용 되는 통신채널 통제 

- USB Interface 보안 위협     : 내부->외부(정보유출) , 외부->내부)(악성코드 유출) 

1-4. OS

- 일반적인 OS의 구조     : User->App->Shell->Kernel->Hw

- System utilites 를 이용할 경우 Shell 을 거치지 않고 Direct 로 통신=>보안 문제 발생=>감사증적을 제대로 남기지 않음 => 책임추적성 문제 

- 보호링(Protection Ring) 

. DID 와 같은 계층적 구조로 내부의 R0(Kernel) 을 보호하기 위한 계층적 구조 

. 다른 보호링에 있는 프로세서들은 응용프로그램 인터페이스 (API(Application Programming Interface )를 통해 상호 접근 가능 

. R0: kernel , R1: Remaining parts of other os , R2: I/O drivers and utilites, R3: Application and Program

2. Common Architecture Framework 

2-1. Zachman Framework    

- 1987년 개발된 최초 아키텍쳐

- 5W1H 로 상세하게 모델링=>경영진 관점으로 모델링

2-2.TOGF(The Open Group Architecture Modeling) 

- 1994년 개발 

- 기반 아키텍쳐

. Technical Reference Model 

. Standards Information Base

. Building Block Information Base 

=> 위 3가지 기반이 Architecture Development Method 들 기반으로 구조화 

2-3. ITIL 

- 영국에서 시작되어, 실제 사례를 많이 포함 하여 사실상 표준으로 사용중 

* ISO20000 은 사례보다는 Requirement  위주

3. 주요 보안모델들

- 접근 보안 모델

1) Bell-laPadula    : 기밀성=>최초의 수학적 모델

2) Biba                    : 무결성=>무결성 최초 모델

3) Clark & Wilson  : 무결성=>무결성의 결정판

4) Chinese Wall     : 상업적인 관점에서의 기밀성

3-1. BLP(Bell-Lapadula Confidentiality ) 모델

- 개념

. 70~80년대 DOD(미국방국)  지원받은 모델

. Key: 최초의 수학적 모델

- 속성

1) No Read-UP(NRU / Simple Security-property) 

2) No Write-Down (NWD / Star(*)-Property

=>  Blinding Writing 허용 ( 하위 등급 사용자가 상위 등급 문서에 write) 

- 제한사항

.  기밀성만 취급 무결성은 다루지 않는다 

3-2. Biba Integrity Model

- 개념

. BLP 단점인 무결성 보장을 위해 보완된 모델

- 무결성의 목표 

. Prevents unauthorized users from making modifications

- Intergrity axioms(속성) 

1) Simple Integrity Axiom(단순 무결성 속성)      : 하향 읽기 금지

2) Integrity Axiom (Star 무결성 속성)                    :상향 쓰기 금기

3-3.Crack-Wilson Integrity Model 

- 개념    

. 상용 어플리케이션 보안 요구 사항 -> 금융 회계 등

- 무결성 목표

. Prevents unauthorized users from making modifications

. Maintain internal and external consistency

. Prevents authorized user from making improper modification

- 무결성 유지 규칙 

1) Duties and separated     : 직무분리

2) Accesses and logged     :  Audit and trail

3) Consists of Triples (Subject/program/Object=>reference monitor) and Rules      : Access triple

- Well-Formed Transaction     : 예측가능 하고 완전한 방식으로 일어나야 하는것이 가장 중요 !!

3-4. Brewer-Nash(Chinese Wall) Model (=만리장성모델) 

- 개념

. Conflicts of interest(이익충돌/상충)     : 충돌을 야기시키는 어떠한 정보의 흐름도 없어야 한다.

- 적용 영역

. 이익충돌/상충 이 많이 발생 하는 금융, 회계, 투자, 광고, 로펌 등

정보시스템 보안평가모델

1. 제품평가모델

- 국가별 평가 인증 체계 

. 미국 (TCSEC) , 유럽 (ITSEC) , 캐나다 (CTCPEC) => 국제공통평가기준 CC로 

. CC는 1999년 ISO 15408 국제 표준으로 제정

- TCSEC(Orange Book) 

. 보안 요구사항을 정의 하고 정부 조달 요구사항을 표준화 

. 4개의 Division 의 12개의 class 로 세분화

- CC(Common Criteria) 

. 평가기준 (common criteria) : ISO/IEC15408

. 공통 평가방법론(CEM): ISO/IEC 18045

. PP(Potection Profile)            : 정보보안 요구사항을 구현 독립적으로 작성 =>F/W의 PP

. ST(Security Target)               : 벤더 개발자 

. EOT(Evaluation Of Target)  : 제품

. CCRA(Common Criteria Recognition Arrangement) : 공통 평가기준에 따른 평가,인증 결과를 회원국 간에 상호 인증 협접

=> CAP(인증서 발행국) , CCP(인증서 수용국) 으로 나눠짐 

. 평가보증 수준(EAL)

1) EAL1    : Functionally Tested=> 기능명세서,설명서

2) EAL2    : Structurally Tested=> 기본 설계서, 기능시험서, 취약성 분석서

3) EAL3    : Methodicallu Tested and Checked=> 생명주기지원, 개발 보안 ,오용분석서

4) EAL4    : Methodically Designeded,tested and reviewed => 상세설계서 , 보안정책서, 일부소스코드 , 상세 시험서

5) EAL5    : Semi-formally Designed and Tested => 개발 문서에 대한 전체 기술,보안기능전체코드

6) EAL6    : Semiformally Verufued design and Tested => 전체소스코드

7) EAL7    : Formally Verified Design and Tested=> 개발문서에 대한 정형화 기술

2. 산업계 및 국제 표준 보안구현 가이드 

- ISO27001:2013

. Annex SL 관리 과정, 14개 도메인의 114개의 통제 항목으로 구성 

. BS7799-part2 에서 참조 됨

. ISMS 목적=> Overall 하게 모든 분야의 평가기준을 맞추기 위해서 

- ISO27000 Family

. 27001     : Requirements

. 27002     : Code of Practice (BS7799 Part1) 

. 27011     : Telcomunications Organizations

. 27799     : Health Organizations

- PCI-DSS

. 상점으로 대상의 보안을 목적으로 , 판매자 (Merchant)의 4개의 레벨로 구분 

. 대형 카드사들이 참여 

보안아키텍쳐 취약점

- Cover Channel(은닉채널) 

. storage channel     : 공통의 스토리지 영영에 데이터를 기록 메시지 전달

. timing channel       : 시스템의 시간정보를 이용한 방식, 시스템자원을 사용하여 시간 변동,성능에 영향을 주어 정보 전달

시스템 자원(CPU,io 등)을 조정 함으로 한 프로세스가 다른 프로세스로 정보를 중개

. 은닉채널 대응           : CC의 위험은 CC의 Bandwidth 에 의존

, 은닉채널 통제수단     : 시스템자원분석 , H-IDS, 통신 대역폭 엄격한 제한 

. Channel 은 인가된 Overt channel 과 비인가된 Covert Channel 로 구분

- 데이터베이스 보안 위협

. 집성 (Aggregation )     : 낮은 보안 등급의 정보조각을 조합 높은 등급의 정보를 알아내는것

. 추론(Infurence)              : raw data로 부터 인감한 데이터 유출

. 추론의 보안대책 => Polyinstantiation(다중인스턴스화) 

. 추론의 방지대책 => Partition(구획화) , Cell suppression(셀 은폐) , Noise(잡음) 

- 클라우드 컴퓨팅 3가지 서비스 모델 

1) Software as a Service(SaaS)     : 클라우드환경에서 작동하는 응용프로그램

2) Platform as Service(PaaS)          :서비스 개발할 수 있는 환경(Platform) 및 API제공 형태

3) Infrastructure as a Service(IaaS): EC2

- 클라우드 컴퓨팅 4가지 운용 모델 

. Pricate Cloud => 기업들이 자체구축

. Community Cloud => 특정 요구사항이나 동일한 관심을 가진 기업들로 구성

. Public Cloud=> 공급업체에 사용료 지불하여 이용 

. Hybrid Cloud => Private+ Public