침입차단시스템 제품 인증을 위한 취약성 평가 방법

Vulnerability Evaluation Methodology for firewall Certification

정보보호 제품의 신뢰성 보증에 대한 평가 기준은 통일을 가져왔지만 국가별 평가 방법 등의 객관성 확보는 모호한 부분이 있다. 즉, 정보보호 제품의 취약성 평가에는 평가의 범위, 깊이, 시험 등에 적용하는 도구와 시나리오, 그리고 평가자 등이 있으나 이러한 요소들에 따라 평가 결과가 달라질 수 있으므로 평가의 공정성, 객관성 확보에 어려움이 있다. 따라서 본 논문은 정보보호 제품 보안 취약성 평가의 공정성, 객관성, 그리고 효율성을 보증할 수 있는 정보보호 제품 보안 취약성 평가 방법을 제안하고, 평가 수행을 자동화 할 수 있는 시스템(TSVES)을 설계 구현하였다.

Although an insurance criterion for reliance is unified, the difference in evaluation mechanism in every country is already ambiguity. In other words, the aspect of objectivity would be a little because it is true that the vulnerability evaluation include evaluator, scenario and tools (TSVES) applying in test, depth and scope of evaluation. But evaluation results can be difference in accordance with each evaluation elements. By using TSVES to evaluating network security vulnerability, first, we expected the evaluation results is impartiality, objectivity, repeatability, reproducibility, appropriateness and soundness of results. Second, it could be transferred manual ways into automation ways, and then expected easiness and safety of extension and modification in a quality of products as well as a dramatical reduction of waste of time and energy.