• Review of KIISC
• /
• v.13 no.4
• /
• pp.25-36
• /
• 2003

현재 미국을 비롯한 선진 국가에서는 ISO 국제 표준인 국제 공통 평가 기준 ISO/IEC 15408(CC v2.1, Common Criteria for Information Technology Security Evaluation))과 공통평가방법론(CEM, Common Methodology for Information Technology Security Evaluation)에 근거하여 IT 제품 및 시스템에 대한 보안성 평가를 하고 있다. 그러나, 현재 CC 및 CEM은 주로 IT 제품의 보안성 평가를 위한 것이며, 실제 IT 환경에서 운용되는 시스템에서 이를 적용해 평가하는데는 많은 어려움이 있다. ISO를 중심으로 각 국에서도 이와 관련해 시스템 평가에 CC를 적용하기 위한 방법론이 검토 중에 있다. 그리고 현재 개발 진행중이거나 시장에 출시된 많은 제품이 여러 단일 제품이 합성된 통합제품 형태로 구성되고 있는 추세이며, 이는 시스템 평가 문제와 더불어 향후 CC 기반의 평가를 활성화시키기 위해 풀어야 할 문제로 제기되고 있다. 본고에서는 각 국에서 추진 중인 시스템 평가 동향을 살펴보고, 현재 ISO/IEC SC27/WG3에 표준화로 제안된 "Security Assessment of Operational System"에 대해 살펴보고자 한다.자 한다.

• Journal of Digital Convergence
• /
• v.13 no.5
• /
• pp.251-257
• /
• 2015

Intrusion protection system is a security system that stop abnormal traffics through automatic activity by finding out attack signatures in network. Unlike firewall or intrusion detection system that defends passively, it is a solution that stop the intrusion before intrusion warning. The security performance of intrusion protection system is influenced by security auditability, user data protection, security athentication, etc., and performance is influenced by detection time, throughput, attack prevention performance, etc. In this paper, we constructed a convergence performance evaluation model about software product evaluation to construct the model for security performance evaluation of intrusion protection system based on CC(Common Criteria : ISO/IEC 15408) and ISO international standard about software product evaluation.

• Electronics and Telecommunications Trends
• /
• v.17 no.5 s.77
• /
• pp.89-101
• /
• 2002

이제 공통평가기준(CC)의 도입은 거를 수 없는 대세로 자리 잡고 있으며, 국내에서도 CC를 도입하기 위해 인증기관과 평가기관들이 도입을 위한 준비를 서두르고 있으나 개발자 입장에서는 아직 미흡한 실정이다. 따라서, 본 고에서는 CC를 고려하여 정보보호시스템을 개발하고자 하는 연구기관 및 업체에서 개발전략을 수립하는 데 도움이 될 수 있는 CC 관련 기술동향을 살펴보았다. 먼저, 기존 정보보호시스템 평가기준인 TCSEC과 ITSEC에 대해 간략히 살펴본 후, 국제간에 상호 인증을 받을 수 있는 정보보호시스템 공통평가기준에 대해 CC 출현 배경, CC 표준 규격, PP와 ST 개발동향, CC의 최근 표준화동향 관점에서 살펴본다. 그리고, 연구개발을 추진하는 개발자 입장에서 연구개발체계에 CC를 어떻게 적용할 것인가에 대한 방안을 제시한다. 이를 위해 먼저, CC 관련 주요 이슈에 대해 ICCC’2002를 통해 알게 된 내용을 위주로 살펴보고, 연구개발체계에 CC 도입시 개발자들이 고려해야 할 개발 보증 증거물들에 대해 살펴본다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.07a
• /
• pp.195-198
• /
• 2003

공통평가기준(CC: Common Criteria)은 1999년에 국제표준(ISO/IEC 15408)으로 채택되어 우리나라를 포함한 미국, 캐나다, 영국, 프랑스, 독일, 네덜란드 둥에서 사용되고 있는 IT제품 및 시스템의 보안성 평가기준이며, Interpretation 과정을 통하여 지속적으로 수정 및 보완되고 있다. 본 논문에서는 공통평가기준의 문제점 요청 및 Interpretation 제정 절차를 소개하고 현재 발표된 공통평가기준 버전 2.1의 Final Interpretation을 분석하였다.

• Review of KIISC
• /
• v.14 no.4
• /
• pp.54-67
• /
• 2004

IT(Information Technology) 제품의 보안 기능을 평가하기 위하여 서로 다른 체계를 이용할 경우 평가를 위한 이중의 비용 소요와 추가의 시간 소모 등의 문제점을 해결하기 위하여, 미국, 영국, 호주 등의 선진국들은 국제 간에 상호 인정이 가능한 공통평가기준(CC: Common Criteria)에 대한 연구가 활발히 진행되고 있다. 현재 우리나라도 국제상호인정협정(CCRA)에 가입을 준비중에 있으며, 다양한 IT 제품으로 평가 제도의 확대를 준비하고 있다. 본 논문에서는 미국, 영국, 호주의 CC 체제 하에서 평가된 정보보호 제품들의 특성을 분석하고, 이를 근거로 우리나라 IT 제품의 보안기능 평가에 적용 가능한 분류 체계를 고찰해 본다.

• Journal of Korea Society of Digital Industry and Information Management
• /
• v.6 no.2
• /
• pp.71-80
• /
• 2010

This thesis is purposed on developing security product co-evaluation statistics administrate program which is can administrate or analysis CC accreditation product using by DEVS modeling via portal site of member of CCRA. Via developing security product evaluation statistics administrate program, it can analysis the trend of all countries of the world in many ways, and noticed the ways of evaluation and accreditation of most countries via scheme analysis. Except this, it can analysis the situation of accreditation trend of any countries via data analysis of ICCC 2009. Also, For trend analysis to evaluation technique of CCRA member, it analyzed up to date technology and policy of the evaluation organization and the Certification Authority of most countries. And it peformed analysis the most trend of information security of evaluation authorization in CCRA member countries. In this program, It provide the function of trend statistics analysis which can statically analyzed the evaluation accreditation trends of most countries and automatical statistics by categorization ( by Product, Class and statistics in national) and report creation functions which can easily extraction and use the needed data. It has been updated the related informations until latest accredited product using by CC(Common Criteria) portal home page's data.

• Review of KIISC
• /
• v.17 no.6
• /
• pp.9-19
• /
• 2007

미국, 독일 등 선진국을 중심으로 개발된 공통평가기준(Common Criteria, CC) 3.1이 공식 문서로 등재되어 2009년 9월부터는 기존의 CC v2.3을 완전히 대체할 것으로 예상됨에 따라 현재 우리나라 평가 완료된 CC v2.3 기반 보호프로파일은 CC 3.1 기반 보호프로파일로 개정이 필요하다. 따라서 본 논문은 CC v2.3과 v3.1에서의 보호프로파일 요구사항을 비교 및 분석하고, 보안기능 및 보증요구사항의 평가업무량 및 제출물 작성수준을 분석한다. 이러한 미국, 영국, 캐나다, 프랑스, 네덜란드 등 선진국의 주도하에 개발되고 있는 CC v3.1에 대한 분석을 통하여 국제적으로 새롭게 정립되고 있는 평가기준 및 평가방법에 대한 기술을 확보할 수 있으며, 향후 CC v3.1에 의한 평가 기반을 마련하는데 기여 할 것이다.

• The KIPS Transactions:PartC
• /
• v.16C no.4
• /
• pp.461-476
• /
• 2009

Digital Printers that are mainly used in enterprises and public institutions are compound machinery and tools which are combined into various functions such as printing, copying, scanning, and fax so on. Digital Printers has security functionality for protecting the important data related with confidential industry technology from leaking. According to the trends, CC(Common Criteria) evaluation and assurance about digital printer is on progress in Japan and USA. Domestically CC evaluation and assurance is started recently. However, the know-how about the digital printer evaluation is not enough and the developers and the evaluators have difficulty in CC evaluation of digital printer products in the country. Therefore, the testing method of digital printer security functionality and evaluation technology is essentially needed for increasing demand for the evaluation afterwards. In this study, we analyze the security functionality and developing trends of digital printer products from internal and external major digital printer companies. Moreover, we research the characters of each security functions and propose guideline for digital printer security functionality evaluation and vulnerability testing methods.

• The KIPS Transactions:PartD
• /
• v.11D no.4
• /
• pp.917-928
• /
• 2004

Common Criteria as ISO/IEC 15408 is used to assure and evaluate IT system security. As the Prime class of security assurance requirement, CM Configuration Management needs the more principled quality activities and practices for developer must be supported. So in this paper, we propose the well-defined CM method as guideline for TOE developer based on Process model including common criteria and develop the CMPET a quantitative process evaluating tool for CM using checklist. It can support useful process analyzing data to developer, evaluator and user.

• Journal of Internet Computing and Services
• /
• v.7 no.1
• /
• pp.31-38
• /
• 2006

The importance of the Security Risk Analysis has emerged as security breaches and information leaks has occurred in the companies and organization: threats toward information system and its vulnerabilities has grown up as the dependence on the information-communication systems goes higher as a result of technological advances in IT industry, A Risk Analysis Tool helps to mitigate overall risk of an organization by analysing and evaluating critical information systems and providing security measures against threats to systems and its vulnerabilities as a means to identify the inherent dangers and prevent security intrusion incident, This paper defines risk analysis process by introducing Common Criteria Scheme and suggest a risk analysis tool that can be easily implemented by an information security manager.