• Review of KIISC
• /
• v.13 no.2
• /
• pp.106-116
• /
• 2003

국제공통평가기준(Common Criteria)은 현재 고려되고 있는 모든 정보보호시스템 유형을 포괄할 수 있는 보안 요구 사항의 집합체라 할 수 있다. 특정 형태의 정보보호시스템을 대상으로 하는 평가기준이 되기 위해서는 사용환경이나 보안목적에 적합한 보안 요구사항이 도출되어야 한다. 정보보호시스템을 사용하고자 하는 보안환경 및 보안목적을 정의하고, 이에 적합한 보안 요구사항을 국제공통평가기준에서 채택하여 제품별 평가기준으로 작성한 것이 보호프로파일(Protection Profile)이다. 보호프로파일은 미국의 국가안보국(NSA)과 국림표준기술원(NIST)에서 중점적으로 개발하고 있으며, 현재 다양한 제품에 대한 보호프로파일이 개발되고 있다. 본 고에서는 미국의 국가안보국에서 개발한 키 복구 에이전트 시스템 보호프로파일에 대하여 해당 TOE의 보안 환경과 보안 요구사항에 대하여 깊이있게 고찰하고자 한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.642-645
• /
• 2002

본 논문에서는 기존의 평가기준에 기반하여 평가$\square$인증 받은 침입탐지시스템 제품의 대다수를 차지하는 K4 등급의 보안기능요구사항과 공통평가기준 보안기능요구사항을 본 논문에서 설정한 보안목적과 자산에 기반하여 비교 분석함으로써 이들 보안기능요구사항간의 호환 가능성을 검토하고 상호 호환되지 않는 K4 보안기능요구사항에 대해서는 새로운 공통평가기준 기반 기능 컴포넌트의 필요성을 제시한다.

• The Journal of the Korea Contents Association
• /
• v.11 no.2
• /
• pp.79-87
• /
• 2011

Although products with the fingerprint recognition system currently show a rapid growth in quantity, it is also true that efforts to consider the product quality have been lacking until now. Accordingly, this paper analyzed technological elements with domestic and foreign market situations for products with the fingerprint recognition system to develop an evaluation model to support the quality increase by evaluating aspects of product quality for the knowledge information security, identifying the level of quality and deriving directions for improvements. A model for the reliability quality evaluation was constructed that can be applied comprehensively to non-functional elements that have not been done in the existing evaluations central to the security functions by analyzing requirements for the security, performance and reliability in consideration of features on products. It is considered that this paper can make contributions to the overall quality increase for products with the knowledge information security by reflecting features and trends for the fingerprint recognition products and building a model for the reliability and evaluation to perform evaluations by product.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.1717-1720
• /
• 2003

소프트웨어 개발 응용 패러다임이 분산 환경 기반을 두면서 보안 문제가 매우 중요시되고 있다. 정보통신 제품이나 시스템을 개발할 경우 보안에 대한 평가를 위해서 표준화된 요구사항들의 목록으로 공통평가기준이 정의되어 있다. 공통기준에서 고려되어야할 결함 교정에서 구체적인 절차와 결함 항목의 식별, 속성, 행위 정의가 필요하다. 본 논문에서는 소프트웨어공학 프로세스에서 보안측면을 고려하여, 생명주기의 자원과 프로세스에서 결함 추적 및 교정을 위한 기능적, 비기능적인 엔티티와 이를 기반으로 한 프로세스를 제안한다. 즉, 생명주기를 통한 개발과 평가를 지원하고, 개발자와 평가자에게 고려해야할 기준 이외에 생명주기 상에서의 자원 처리의 유무나 중요도 제공이 가능하다. 결함 추적과 교정을 위한 엔티티 적용에 대한 부가적인 비용과 노력을 감소시키고 정보보호 제품 개발과 밀접하게 연관된 결함을 검증하고 교정함으로써 제품의 개발과정의 신뢰성을 제공하고 생명주기 관리의 효율성을 증가시키고자 한다.

• Review of KIISC
• /
• v.8 no.2
• /
• pp.63-84
• /
• 1998

본 고에서는 운영체제 보안에 대한 개념과 이를 위한 보안커널의 구현 전략과 방법을 다루었다. 현재 이 분야의 세계적인 추세와 동향을 파악하고자 미국 정부에서 주도하는 안전한 운영체제 개발 중 활발하게 활동중인 Synergy 연구 프로그램 및 DTOS 프로토탈을 소개하였다. 또한 민간업체에서 개발되어 사용되는 제품 현황과 미국의 TCSEC과 유럽의 ITSEC에 근거하여 평가된 운영체계 보안 제품 목록을 소개하였다.

• Proceedings of the KAIS Fall Conference
• /
• 2010.05a
• /
• pp.408-411
• /
• 2010

보안관리가 진화하고 있다. 보안의 중요성이 강조되면서 도입된 수많은 보안 솔루션은 관리의 어려움을 증가시키고 있고, 각기 다른 장비가 쏟아내는 수많은 정보들로 효율적인 전사적 보안 체계 마련의 필요성이 대두되고 있기 때문이다. 국내에서는 ESM(Enterprise Security Management)이 보안관리를 대표했지만, 이를 더욱 고도화해야 한다는 요구가 증가하고 있다. 본 연구에서는 기업보안관리(ESM) 제품의 질적인 면을 평가하고 품질수준을 파악하여 개선방향을 도출함으로써 품질향상을 지원할 수 있는 보안성 평가모델과 시험 방법론에 대해서 개발하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2010.06d
• /
• pp.85-90
• /
• 2010

무선은 편리함만큼 위험성도 높다. 누구나 편리하게 접속할 수 있는 것은 장점이지만, 이 누군가가 악의적 목적의 공격자라면 장점이 아닌 단점으로 순식간에 변화할 수 있는 것이다. 이에 무선 네트워크를 보호할 수 있는 방안 마련은 무선랜 활성화의 선행과제로 꼽힌다. 무선랜 보안의 한 축으로 무선침입탐지시스템(WIDS) 혹은 무선침입방지시스템(WIPS)이라고 불리는 보안시스템 구축에 대한 요구가 증가하고 있는 추세이다. 이에 본 논문에서는 무선침입방지시스템에 대한 보안기능 요구사항을 개발한다. 개발된 보안기능 요구사항은 WIPS 제품 개발자, 제품 도입자 및 WIPS 제품 평가자가 시스템 평가 및 도입 시 참고자료로 충분히 활용될 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.11c
• /
• pp.1779-1782
• /
• 2003

정보보호를 위한 보안 제품의 필요성과 그에 대한 평가가 요구되면서, 미국과 영국 등의 선진국을 중심으로 정보보호시스템의 보안성에 대한 평가가 시작되었다. 국내에서는 1990 년대 중반에 보안 제품에 대한 평가가 시작되었고, 공통평가기준을 도입하여 국내 평가제도와 체계를 정비하고 있으며, 관련 된 연구가 계속 진행되고 있다. 그러나, 평가 수행에 필요한 절차, 방법 및 문서가 정의된 평가 인증스킴에 대한 연구가 미흡한 실정이다. 따라서, 본 논문에서는 외국의 평가 인증스킴을 살펴보고, 현재 국내에 제정된 평가절차와 비교하여, 국내 평가 인증스킴의 제정에 바람직한 대안을 제시한다.

• Review of KIISC
• /
• v.11 no.6
• /
• pp.1-11
• /
• 2001

정보보안 분야가 성숙해짐에 따라 다양한 평가방법론들이 개발되어 적용되고 있다. 그러한 방법론들 중에서 본고에서는 품질 보증의 수단으로써 정보보안 제품/시스템의 개발기관의 보안공학 수행 능력을 평가하기 위한 SSE-CMM에 대하여 살펴본다. SSE-CMM의 개념적 기초가 되는 보안공학에 대하여 먼저 살펴보고, 보안공학 수행 능력의 수준을 평가하기 위한 평가 기준의 체계와 구성과 함께, SSE-CMM을 이용하여 평가를 수행하기 위한 평가방법론을 구체적으로 제시하고 있는 SSAM에 대하여도 살펴본다. SSE-CMM이 근거하고 있는 보안공학은 효과적인 정보보안을 도모하기 위한 개념적 틀이라는 점을 몇 가지 정보보안관리 지침들과의 비교를 통하여 논의하였다. SSE-CMM은 현재 ISO 표준으로 상정되어 표준화가 진행 중이다. 정보보안 분야의 여러 평가방법론들과 더불어 보다 다양한 관점에서 정보보안의 효과성을 보증해주는 도구로 활용될 것이다.

• Review of KIISC
• /
• v.5 no.1
• /
• pp.61-72
• /
• 1995

본 연구에서는 국내 정보보호 체계를 수립하기 위하여 외국정보보호 체계분석의 일환으로 미국의 정보보호 체계를 분석하였다. 본 논문에서는 먼저 미국의 정보보호 체계의 주요 기구인NCSC와 NIST의 역할을 알라보고, 미국의 컴퓨터 보안 프로그램으로서 TPEP, 네트워크 제품평가 및 DBMS평가방법에 대해서 분석하였으며 또한 통신 보안 프로그램으로 CCEP, 정부 승인 DES 제품 프로그램, EFT 인증 프로그램, PNSL, OLSL및 암호 제품의 판매 제한정책에 대하여 기술하였다.