SECURITY · MODEL & RISK
보안모델과 위험관리 판정표
모델 문제는 보호 목표를 먼저 보고, 위험관리 문제는 자산에서 잔여위험까지 이어지는 흐름과 계산식을 함께 잡습니다.
보안모델 빠른 판정
Model
Bell-LaPadula
기밀성, No Read Up, No Write Down으로 유출을 막습니다.
Biba
무결성, No Read Down, No Write Up으로 오염을 막습니다.
Clark-Wilson
잘 형성된 트랜잭션, 직무분리, 감사로 상업적 무결성을 지킵니다.
Chinese Wall
과거 접근 이력으로 경쟁 정보 접근과 이해상충을 제한합니다.
위험관리 핵심
Risk
위험 흐름
자산
위협
취약점
위험
대책
잔여위험
SLE
단일 손실 예상액 = 자산가치 AV × 노출계수 EF
ALE
연간 손실 예상액 = SLE × 연간발생률 ARO
감소
패치, 암호화, 접근통제로 가능성이나 영향을 낮춥니다.
회피
위험한 활동이나 취약 서비스를 중단합니다.
전가
보험, 외주, 계약으로 손실 부담 일부를 이전합니다.
수용
기준 내 잔여위험을 책임자 승인으로 받아들입니다.