SECURITY · MODEL & RISK
보안모델과 위험관리 판정표
모델 문제는 보호 목표를 먼저 보고, 위험관리 문제는 자산에서 잔여위험까지 이어지는 흐름과 계산식을 함께 잡습니다.
보안모델 빠른 판정
Model
Bell-LaPadula
기밀성, No Read Up, No Write Down으로 유출을 막습니다.
Biba
무결성, No Read Down, No Write Up으로 오염을 막습니다.
Clark-Wilson
잘 형성된 트랜잭션, 직무분리, 감사로 상업적 무결성을 지킵니다.
Chinese Wall
과거 접근 이력으로 경쟁 정보 접근과 이해상충을 제한합니다.
위험관리 핵심
Risk
위험 흐름
자산 → 위협 → 취약점 → 위험 → 대책 → 잔여위험
SLE
단일 손실 예상액 = 자산가치 AV × 노출계수 EF
ALE
연간 손실 예상액 = SLE × 연간발생률 ARO
감소
패치, 암호화, 접근통제로 가능성이나 영향을 낮춥니다.
회피
위험한 활동이나 취약 서비스를 중단합니다.
전가
보험, 외주, 계약으로 손실 부담 일부를 이전합니다.
수용
기준 내 잔여위험을 책임자 승인으로 받아들입니다.