정보보호시스템 평가기술
2020. 2학기
김 도 관
학습 목표
1. 평가 기준의 필요성
2. IT제품 국제 보안 평가기준 관련 용어 (TCSEC, ITSEC, CC 등)
3. 국내 정보보안 관리체계 인증제 관련 용어
(ITMS, PIMS, PIPL 등)
IT 제품 정보보호 평가 기준의 필요성
I. 필요성
1. 구매한 또는 사용 중인 정보보호제품이 얼마나 안전한가?
-구매하고자 하는 IT 제품을 신뢰할 수 있는가?
2. 정보보증 (IA: Information Assurance) -정보보호가 얼마나 잘 이루어지고 있는가?
-정보보증 = 신뢰수준
3. 정보보호시스템 평가, 인증
II. 필요성의 증가
1. 미국의 사례
미 국방성(DoD: Department of Defence)의 경우 -1978년 DoD Computer Security Initiative 착수
-보안상태(the status of security)에 대한 정의, 안전한 시스템 개발을 위한 도구, 보안 인증을 위 한 현재의 또는 가능한 기술에 대한 조사 및 연구 등 진행
IT 제품 정보보호 평가 기준의 필요성
II. 필요성의 증가
1. 미국의 사례
미국 기술표준국(NIST: National Institute of Standards and Technology)
- 1965년 제정된 Brooks 법안에 따라 연방정부 컴퓨터 시스템의 구매 및 사용에 대한 임무 담당 - 두 가지 주요 임무
암호기술 표준(cryptography standards) 제정 보안 시스템 개발 및 평가 표준 제정
- 암호기술 표준(cryptography standards) 제정 1972년 표준 암호 알고리즘 제정 작업 시작
2.
TCSEC 문서(Orange Book, 1985)
- 보안시스템의 보안성 평가를 위한 평가기준 항목들이 포함
- 이후 보안 시스템의 특정 분야에 Orange Book의 평가기준을 적용하는데 활용하기 위한 추가 문 서(Rainbow Series)들이 발행
1. 네트워크 보안(1987, Red Book)
2. 데이터베이스관리시스템(DBMS) 보안(1991)
- 일부 기관에서는 Orange Book에 정의된 평가기준에 대해 완전하게 동의하고 있지는 않지만, Orange Book은 보안시스템의 신뢰도 평가기준으로서 인정되고 있음
IT 제품 정보보호 평가 기준의 필요성
3. 유럽의 사례
1. 독일의 CCSC(Commercial Computer Security Centre) - 정보시스템의 보안 평가에 대한 주제 연구
- 영국, 프랑스, 네덜란드 등이 보안시스템 평가에 대한 유럽 표준 제정을 위해 공동 참여 - White Book(1990) 발행
: Orange Book과 유럽의 표준을 기준으로 작성
4. DoD 평가 기준
- 평가기준과 평가 도구의 필요성
: 보안시스템의 신뢰도를 명확히 정의하기 위해 개발자와 사용자에게 필요함 - 사용자 측면
: 보안제품이 사용자의 보호대상 정보를 얼마나 안전하게 보호하는지에 대한 측정 척도로 활용 - 개발자 및 개발업체
: 보안제품의 보안 요구사항을 만족시키기 위해 상용제품에 포함되어야 하는 보안 기능을 제시하 는 guideline 제공
- 설계자
:보안 요구사항을 작성을 위한 지침 제공
IT 제품 국제 보안 평가 기준
1. IT제품 국제 보안 평가기준
미국 : TCSEC (Trusted Computer system Evaluation Criteria)
유럽 : ITSEC
(Information Technology Security Evaluation Criteria)국제표준 : CC (Common Criteria)
화이트 해커(white hacker)라는 말 들어보셨나요?
국어사전에도 등재된 말인데요.
'악의적인 해킹에 대한 대응 방안을 마련하는 해커‘
화이트 해커는 바로 '정보보안 전문가'의 다른 이름
