보호프로파일 개발을 위한 보증등급 산정 기준에 관한 연구

  • 윤신숙 (호서대학교 컴퓨터공학과 정보보호) ;
  • 장대석 (호서대학교 컴퓨터공학과 정보보호) ;
  • 오수현 (호서대학교 정보보호학과) ;
  • 하재철 (호서대학교 정보보호학과) ;
  • 김석우 (한세대학교 정보통신 공학과) ;
  • 김환구 (호서대학교 정보보호학과)
  • Published : 2007.12.31

Abstract

보호프로파일이란 공통평가기준에서 IT제품에 대한 특정 소비자의 보안요구사항을 담은 문서로써, 소비자 그룹과 이해 집단이 그들의 보안 요구를 표현할 수 있도록 보안목표명세서 작성을 쉽게 하기 위하여 제공한다. 최근 들어 많은 국가기관, 기업에 의해 보호프로파일 개발이 요구되고 있지만, 일관성 있는 보증등급 산정 방법이 제시되어 있지 않아 보호프로 파일 개발에 어려움이 있다. 따라서 본 고에서는 공통평가기준 버전 3.1의 보호프로파일 내용을 분석하고, 미국의 견고성(Robustness)을 이용한 보호프로파일 개발체계를 분석한다. 그리고 국외의 보호프로파일 보증등급 산정기준 동향을 분석한 후, 국내 환경에 맞는 보증등급 산정 방법론을 제안한다.

Keywords

References

  1. CC: ISO/IEC 15408 Information technoogy- Security technology-Evaluation criteria for IT security V3.1, September, 2006
  2. Information Assurance Technical Framework (IATF) http://www.atf.net
  3. 'Consistency Instruction Manual For Development of US Government Protection Profiles For Use in Medium. Robustness Environments', Release 3.0, National Security Agency, February, 2005
  4. National Institute of Standards and Technology http://niap.nist.gov/
  5. Jeffrey R. Williams, Karen M. Ferraiolo, P3I - Protection. Profile Process Improvement, The 22nd National Information. Systems Security Conference, Oct 1999
  6. Debra S. Herrmann, Using the Common Criteria for IT Security Envaluation, pp. 57-pp. 124, Auerbach Publications, 2003
  7. 무선랜 인증시스템 보호프로파일 V1.0, 국가정보원, 2007. 1
  8. 국가기관용 지문인식시스템 보호프로파일 V1.1, 국가정보원, 2006. 5
  9. 안티 바이러스 소프트웨어 보호프로파일 V1.0, 국가정보원, 2007. 1
  10. 네트워크 스팸메일차단시스템 보호프로파일 V1.0, 국가정보원, 2007. 1
  11. 통합보안관리시스템 보호프로파일 V1.0, 국가정보원, 2007. 1
  12. 국가기관용 가상사설망 보호프로파일 V1.2, 국가정보원, 2006. 5
  13. 국가기관용 등급기반 접근통제시스템 보호프로파일 V1.1, 국가정보원, 2006. 5
  14. 국가기관용 개방형 스마트카드 플랫폼 보호프로파일 V1.1, 국가정보원, 2006. 5