보안제품 평가 방법 및 기준
TCB 접근통제메커니즘, 참조 모니터, 커널, 보호 메커니즘 등의 항목 검사
보안제품 평가 종류
| 구분 | TCSEC | ITSEC | CC |
| 명칭 | Trusted Computer System Eveluation Criteria | Information Technology Security Evaluation | Common Criteria |
| 표준화 | 미국표준제정기간(NCSC) | 영국,독일,프랑스,네덜란드 | 국제표준기관(ISO/IEC 15408) |
| 적용범위 | 미국 내 보안 표준 | 유럽 | 세계공통의 보안 표준 |
| 등급 | A1,B1,B2,B3,C1,C2,D(부적합) | E6-E1, E0(부적합) | EAL7-EAL1, EAL0 |
TCSEC
Orange Book이라고 불리는 Rainbow Series라는 미 국방부 문서 중 하나
TCB, 참조모니터, 보안커널 등의 개념 도입
기준에 맞게 개발된 제품들을 평가하는데 초점
| 등급 | 설명 |
| D(Minial Protection) | 보안 설정이 이루어지지 않은 단계 |
| C1(Discretionary Security Protection) | 일반적인 로그인 과정 존재, 특정 파일에 접근 가능, 초기 유닉스 시스템 |
| C2(Controlled Access Protection) | 각 계정별 로그인 가능, 그룹ID에 따라 통제 가능, 현재 사용되는 대부분의 유닉스 |
| B1(Labeled security) | 각 데이터에 대한 보안 레벨 설정 가능 |
| B2(Structured Protected) | 시스템에 정형화된 보안 정책이 존재 |
| B3(Security Domains) | OS에서 보안에 불필요한 부분을 모두 제거, 모듈에 따른 분석 및 테스트 가능 |
| A1(Verified Design) | 완벽한 시스템 |
각 부분 또는 등급은 자신의 등급에 해당하는 보안 요구사항 충족, 하위 등급과 부문의 요구사항을 충족
문제점
- 오렌지북은 운영시스템에 주목하고 네트워킹, DB 논점에는 주목하지 않음
- 오렌지북은 기밀성에 주로 집중하고, 무결성과 가용성에는 집중하지 않음
- 오렌지북은 정부기관과 분류하여 잘 동작, 민간 상업 부문용의 보호 분류와는 동작하지 않음
레드북
- 네트워크 및 네트워크 구성요소에 대한 보안 평가 주제를 다룸
- LAN과 WAN 시스템을 다룸
ITSEC(Information Technology Security Evaluation Criteria)
평가제품의 상호인정 및 평가기준이 상이함에 따른 불합리함을 보완하기 위해 작성한 유렵형 보안기준
| ITSEC | TCSEC |
| 기능성과 보증성을 분리하여 평가 | 기능성과 보증성을 묶어서 평가 |
| 보다 나은 유연성 제공 | |
| 무결성, 가용성, 기밀성 대처 | 기밀성에만 대처 |
| 네트워크 시스템을 다룸 | 독립형(stand-alone) 시스템을 다룸 |
공통 평가 기준 CC, Common Criteria - ISO/IEC 15408
오렌지북과 레드북은 비즈니스 세계에서 사용하기에는 지나지게 엄격한 평가 체계를 제공
공통 평가 기준은 실제 세계의 보안 요구에 대처하기 위해 보호 프로파일을 기준으로 평가함으로써 보다 나은 유연성 제공
공통 평가 기준 모델에서 평가는 제품에 대해 수행, 평가 보증 수준 EAL이 부여됨
소개 및 일반모델, 보안기능요구사항, 보증요구사항 등으로 구성되고, 보증 등급은 7개
| 등급 | 목적 | 설명 |
| EAL1 | 기능적 시험(Funtionally) | 기능,인터페이스 명세서를 통해 보안기능을 분석하여 기초적인 보증을 제공 |
| EAL2 | 구조적 시험(Structurally) | 개발자의 시험, 취약점 분석, 더 상세한 TOE 명세에 기초한 독립적인 시험 요구 |
| EAL3 | 방법론적 시험, 검사(Methodically) | EAL2보다 더 안전, TOE가 개발과정에서 변경되지 않도록하는 메커니즘/절차요구 |
| EAL4 | 방법론적 설계, 시험, 검토(Methodically) | EAL3보다 더 많은 설계, TSF 일부에 대한 구현, TOE가 개발과정에서 변경되지 않음 |
| EAL5 | 준정형적 설계 시험(Semiformally) | 준정형화된 설계 설명, 완전한 구현, 더 구조화된 구조, 비밀채널 분석, TOE가 개발과정에서 변경되지 않도록 하는 개선된 메커니즘/절차 요구 |
| EAL6 | 준정형적 검증된 설계, 시험(Semiformally) | EAL5보다 더 포괄적인 분석, 구조화된 구현의 표현, 더 체계적인 구조, 더 포괄적이고 독립적인 취약점 분석, 체계적인 비밀채널 식별, 개선된 형상관리와 개발환경 통제 요구 |
| EAL7 | 정형적 검증된 설계, 시험(Formally) | 정형화된 표현, 정형화된 일치성 입증, 포괄적 시험을 이용한 포괄적 분석 요구 |
CC 구성 요소
- 패키지 : 부분적인 보안목표를 만족하게 하기 위한 컴포넌트의 집합으로 구성
- EAL : 평가, 보증요구와 관련된 컴포넌트의 집합으로 구성된 패키지의 일종
- TOE : 평가 대상, 요구되는 보안 해결책을 제공하기 위해 제안된 제품
- PP : 보호 프로파일, 정보제품이 갖추어야 할 공통적인 보안 요구사항을 모아놓은 것
- ST : 보안목표 명세서, CC에 정의되지 않은 보안요구 포함 가능, 벤더가 직접 작성
| 구분 | 보호 프로파일 | 보안 목표명세서 |
| 구현의 독립성 | 구현에 독립적 | 구현에 종속적 |
| 적용 제품 | 제품군(e.g. 방화벽) | 특정 제품(e.g. A사 방화벽) |
| 오퍼레이션 종류 | 오퍼레이션이 완료되지 않을 수 있음 | 모든 오퍼레이션이 완료되어야 함 |
| 시스템/제품별 적용방법 | 여러 시스템/제품이 동일한 유형의 보호 프로파일 수용 | 한 시스템/제품은 하나의 보안 목표명세서로 작성 |
| 보호 프로파일 수용여부 | 보호 프로파일은 보안 목표명세서를 수용할 수 없음 | 보안 목표명세서는 보호 프로파일을 수용할 수 있음 |
| 표현 방법 | What I want 표현 | What I have 표현 |
CC 문서 구성
- CC 소개 및 일반적 평가 모델
- 보안 기능 구성요소
- 보증 기능 구성요소 EAL 단계별 요구사항
📍상호인정협정(CCRA)
정보보호제품의 평가인증 결과를 가입 국가 간 상호 인정하는 협정으로써 미국,영국, 프랑스 등을 중심으로 시작
정보보호 관리체계 인증
정보보호 관리체계 구축 과정
정보보호 정책 수립 및 범위 설정 > 경영진 책임과 조직 구성 > 위험관리 > 정보보호 대책 구현 > 사후관리
BS7799 (ISO/IEC 17799) 구성
- 보안 정책 : 보안, 경영진 지원, 보안 목표, 책임을 비즈니스 목표와 대응시킴
- 보안 조직 : 경영층은 정보보안 정책을 수립하고 주기적인 검토를 토대로 개선
- 자산의 분류 및 통제 : 정보자산의 현황을 유지하고 적절히 분류하여 취급
- 인적보안 : 직무정의 및 자원 배정, 사용자 교육훈련, 보안사고에 대한 대응
- 물리적, 환경적 보안 : 안전지역 및 장비에 대한 보안 유지, 청결한 책상 및 화면 정책 수립/이행
- 통신 및 운영관리 : 운영절차 수립 및 책임 배정, 시스템 용량 계획 수립, 유해 소프트웨어로부터 보호 등
- 접근통제 : 접근통제정책 수립, 사용자접근관리, 네트워크/운영체제/애플리케이션 접근통제 등
- 시스템 개발 및 유지 보수 : 정보보안 요구사항 분석 및 기능 구현(암호화 등), 파일/라이브러리 접근 통제
- 업무 연속성 관리 : 연속성 계획과 시험을 통한 정상 운영의 방해를 억제
- 준거성 : 관련 법률 및 정책에 대한 부합성 유지(전자서명인증제도, 개인기밀보호법 등)
정보보호 및 개인정보보호 관리체계(ISMS-P)
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 KISA 또는 인증기관이 증명하는 제도
- 관리체계 기반 마련 : 경영진의 참여, 최고책임자의 지정, 조직 구성, 범위 설정, 정책 수립, 자원할당
- 위험관리 : 정보자산 식별, 현황 및 흐름분석, 위험 평가, 보호대책 선정
- 관리체계 운영 : 보호대책 구현, 보호대책 공유, 운영현황 관리
- 관리체계 점검 및 개선 : 법적 요구사항 준수 검토, 관리체계 점검, 관리체계 개선
정보보호 대책 요구사항
- 정책, 조직, 자산 관리(3) : 정책의 유지관리, 조직의 유지관리, 정보자산 관리
- 인적 보안(6) : 주요 직무자 지정 및 관리, 직무 분리, 보안 서약, 인식 제고 및 교육훈련, 퇴직 및 직무 변경 관리, 보안 위반 시 조치
- 외부자 보안(4) : 외부자 현황 관리, 외부자 계약 시 보안, 외부자 보안 이행 관리, 외부자 계약 변경 및 만료 시 보안
- 물리 보안(7) : 보호구역 지정, 출입통제, 정보시스템 보호, 보호설비 운영, 보호구역 내 작업, 반출입 기기 통제, 업무환경 보안
- 인증 및 권한관리(6) : 사용자 계정 관리, 사용자 식별, 사용자 인증, 비밀번호 관리, 특수 계정 및 권한 관리, 접근권한 검토
- 접근통제(7) : 네트워크/정보시스템/응용프로그램/DB/무선NW/원격 접근 통제, 인터넷 접속 통제
- 암호화 적용(2) : 암호정책 적용, 암호키 관리
- 정보시스템 도입 및 개발 보안(6) : 보안 요구사항 정의, 보안 요구사항 검토 및 시험, 시험과 운영 환경 분리, 시험 데이터 보안, 소스 프로그램 관리, 운영환경 이관
- 시스템 및 서비스 운영관리(7) : 변경관리, 성능 및 장애관리, 백업 및 복구관리, 로그 및 접속기록 관리, 로그 및 접속기록 점검, 시간 동기화, 정보자산의 재사용 및 폐기
- 시스템 및 서비스 보안관리(9) : 보안시스템 운영, 클라우드 보안, 공개서버 보안, 전자거래 및 핀테크 보안, 정보전송 보안, 업무용 단말기기 보안, 보조저장매체 관리, 패치관리, 악성코드 통제
- 사고 예방 및 대응(5) : 사고 예방 및 대응체계 구축, 취약점 점검 및 조치, 이상행위 분석 및 모니터링, 사고 대응 훈련 및 개선, 사고 대응 및 복구
- 재해복구(2) : 재해 재난 대비 안전조치, 재해 복구 시험 및 개선
기타 인증제도 및 정보보호 활동
9가지 보안 원칙
인식, 책임, 윤리, 민주주의, 위험펴악, 보안설계와 이행, 보안관리, 재평가
사이버 위기 경보
- 심각(빨강) : 국가적 차원에서 네트워크 및 정보시스템 사용 불가능, 국가적 차원에서 공동 대처 필요
- 경계(주황) : 복수 정보통신서비스 제공자(ISP)망, 기간망의 장애 또는 마비, 다수 기관의 공조 대응 필요
- 주의(노랑) : 일부 네트워크 및 정보시스템 장애, 다수기관으로 확산될 가능성 증가
- 관심(파랑) : 피해발생 가능성 증가, 극내 유입 우려
'정보보안기사' 카테고리의 다른 글
| 개인정보의 안전성 확보 조치 기준, 개인정보의 기술적관리적 보호조치 기준 (0) | 2023.01.25 |
|---|---|
| 개인정보 보호법 (0) | 2023.01.25 |
| BCP/DRP (0) | 2023.01.23 |
| 정보보호 위험 관리 (0) | 2023.01.23 |
| 정보보호 거버넌스와 관리체계 수립 (0) | 2023.01.23 |
