컴퓨터 구조의 보호 및 보안

컴퓨터 구조의 보호

 

컴퓨터 시스템은 많은 객체를 포함하고 있다. 이러한 객체들은 오용되는 것으로부터 보호되어야 한다. 객체는 하드웨어(메모리, CPU 시간, 또는 입출력장치) 또는 소프트웨어(파일, 프로그램, 세마포)일 수도 있다. 하나의 접근 권한은 어떤 객체에 대해 연산을 실행할 수 있다는 허락이다. 하나의 영역은 접근 권한의 집합이다. 프로세스는 영역 내에서 실행하고, 객체에 접근하고 객체를 조작하기 위해 그 영역 내의 접근 권한들 중 어느 것이라도 이용할 수 있다. 프로세스는 일생동안 한 보호 영역에 고정되어 있거나 아니면 한 영역에서 다른 영역으로 전환할 수 있다.

접근 행렬은 보호의 일반적인 모델이다. 접근 행렬은 시스템이나 그 사용자에게 특정 보호 정책을 강요함이 없이 보호를 위한 기법을 제공한다. 정책과 기법의 분리는 중요한 설계 특성이다.

접근 행렬은 희소(sparse)하다. 그것은 보통 각 객체에 연관된 접근 리스트 또는 각 영역에 연관된 자격 리스트로서 구현될 수 있다. 우리는 영역과 접근 행렬 자체를 객체로 간주함으로써 접근 행렬 모델에 동적 보호를 포함시킬 수 있다. 동적 보호 모델에서 접근 권한의 취소는 전형적으로 자격 리스트보다는 접근 리스트로 구현하는 것이 더 쉽다. 실제 시스템은 보다 제한적이며 파일에 대해서만 보호를 제공하려는 경향이 있다. UNIX가 그 대표적인 예로, 각 파일에 대하여 소유자, 그룹, 그리고 기타 사용자 각각에 대하여 읽기, 쓰기 및 실행 보호를 제공한다. MULTICS는 파일 접근과 추가적으로 링구조를 이용한다. Hydra, 캠브리지 CAP 시스템과 Mach는 사용자가 정의한 소프트웨어 객체에까지 보호를 확장시킨 자격 시스템이다. Solaris10은 최소 권한의 원칙을 역할 기반 접근제어에 기반을 둔 접근 행렬의 형태로 구현하였다.

언어 기반 보호는 운영체제 자체가 제공하는 것보다 요청과 특권의 더 좋은 조정안을 제공한다. 예를 들어, 하나의 자바 JVM은 각각 다른 보호 클래스의 여러 스레드를 실행시킬 수 있다. 이는 복잡한 스택 검사와 언어의 타입 안전성을 통해서 자원 요구를 강제적으로 시행한다.

 

컴퓨터 구조의 보안

 

보호는 내부적인 문제이다. 보안은 컴퓨터 시스템과 그 시스템이 사용되는 한사람. 건물, 업무, 귀중한 물건, 그리고 위협)을 반드시 고려해야 한다. 컴퓨터 시스템 내에 저장된 데이터는 인가되지 않은 접근, 악의적인 파괴나 변경, 또는 실수로 인한 비일관성으로부터 반드시 보호되어야 한다. 실수로 인해 데이터 일관성을 잃어버리는 것을 보호하는 것이 악의적 자료 접근에 대해 보호하는 것보다 쉽다. 김퓨터 시스템에 저장된 정보를 악의적인 오용으로부터 절대직으로 보호하는 것은 불가능하지만 적절한 인가없이 정보에 접근하리는 모든 시도를, 진부는 아니더라도 대부분을 단념시킬 수 있도록 침입자에 대한 비용이 충분히 커지게 할수있다.

 

개인 컴퓨터나 대용량 시스템을 공격하는 침입에는 여러 타입들이 있다. 바이러스웜은 자생이 가능하며 수천대의 컴퓨터를 감염시킬 수 있다. 스택과 버퍼 오버플로우는 성공적인 해커에게 그들의 시스템 접근 수준을 변경할 수 있게 한다. 서비스 거부 공격은 정당한 시스템 사용을 불가능하게 한다.

암호화는 데이터를 받는 사람들의 도메인을 제한하는 반면 인증은 보내는 사람의 도메인을 제한한다. 암호화는 저장되거나 전송되는 데이터의 기밀성을 제공하는데 사용된다. 대칭 암호화 기법은 공유키를 요구하는 반면 비대칭 암호화는 공개 키와 비밀키를 요구한다. 인증은 해싱과 연관되어 자료가 변하지 않았음을 증명할 수 있다.

사용자 이름과 패스워드 이외에도 여러 인증 메서드들이 있다. 일회용 패스워드는 리플레이 침입을 막기 위해 각 시간마다 데이터를 전송한다. 두 요소(two factor) 인증 방법은 활동 PIN을 가진 하드웨어 계산기 같은 두 가지의 인증 방법을 요구한다. 생체공학 디바이스와 함께 이들 메서드들은 인증 위조의 가능성을 대폭 감소시킨다.

보안 문제에 있어서 예방 또는 탐지의 여러 메서드가 존재한다. 보통 이런 것들은 침입 탐지 시스템, 바이러스 대항 소프트웨어, 시스템 이벤트에 대해 감시와 로깅, 시스림 소프트웨어 모니터링, 시스템 호출 모니터링, 방화벽을 포함한다.