• 제목/요약/키워드: Protection Profile(PP)

검색결과 14건 처리시간 0.025초

기존의 CC 평가제도의 한계와 cPP의 등장으로 인해 개정되는 새로운 CC 평가제도 분석 (Limitations of Common Criteria and Analysis of future Common Criteria with Collaborative Protection Profile)

  • 최현덕;이옥연
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2015년도 추계학술발표대회
    • /
    • pp.832-834
    • /
    • 2015
  • 최근 CCRA(Common Criteria Recognition Arrangement) 협정서 개정에 따라 공통평가기준인 CC(Common Criteria) 평가제도에 변화가 생기고 있다. 현재의 CC 평가제도가 가지는 한계를 보완하고자 PP(protection profile)를 대신하는 cPP(collaborative protection profile)가 개발되었는데, 기존의 폐쇄적으로 운영되던 PP 개발 프로세스와 달리 cPP 개발에는 CCRA 회원국의 여러 기관 및 기업이 적극적으로 개발에 참여할 수 있다. 따라서 현재 세계 각국에서 cPP 개발에 관한 논의가 활발히 진행되고 있으며 세분화된 연구도 요구되고 있다. 본 논문에서는 기존의 CC 평가제도가 가지는 한계를 살펴보고 이러한 한계를 극복하기 위한 cPP의 등장 및 개정되는 새로운 CC 평가제도의 운영을 분석한다.

NSA IDS System PP와 국가기관용 IDS PP 가정사항 비교분석 (Comparison & Analysis of Intrusion Detection System System Protection Profile of NSA and MIC)

  • 김남기;박종오;김지영
    • 융합보안논문지
    • /
    • 제3권2호
    • /
    • pp.57-65
    • /
    • 2003
  • 보호프로파일은(Protection Profile)은 특정형태의 제품군이 지녀야 할 보안 목적을 사용자 그룹에서 요구한 명세서이며 보호프로파일의 가정사항은 TOE(Target Of Evaluation)의 물리적, 인적, 네트워크적 관점을 포함하는 사용 환경과 TOE의 사용제한, 잠재적인 자산 가치, 추가적인 적용의 관점을 포함하는 TOE 사용 방법상의 내용을 기술한 것이다. 본 논문에서는 NSA(National Security Agency) 침입탐지 시스템 보호프로파일과 국가기관용 침입탐지 시스템 보호프로파일의 가정사항 항목을 비교 분석하였다.

  • PDF

PP의 보안환경을 위한 위협문장 생성방법 (A Threats Statement Generation Method for Security Environment of Protection Profile)

  • 고정호;이강수
    • 한국전자거래학회지
    • /
    • 제8권3호
    • /
    • pp.69-86
    • /
    • 2003
  • 보호프로파일(Protection Profile PP)은 방화벽과 스마트카드와 같은 정보보호제품의 특정제품군에 대한 공통 보안기능 및 보증 요구사항 명세서라 할 수 있다. 특히, PP내의 평가대상물(Target of Evaluation : TOE) 보안환경 부분은 TOE의 물리적 환경, 보호해야할 자산 및TOE의 용도를 분석하여 가정사항, 위협 및 보안정책을 기술해야한다. 본 논문에서는 PP내의 보안환경 부분 중 위협 문장을 개발 또는 작성하는 방법을 제시한다. CC(Common Criteria)의 위협문장 작성지침과 기존의 위협관련 요구사항. 26종의 실제 PP들과 CC Tool BOX/PKB의 위협문장들을 조사 분석하였다. 이를 토대로 하여 새로운 자산의 분류체계와 위협문장 생성을 위한 잘 정의된 위협문장의 판단규칙을 제시하였다.

  • PDF

침입탐지 시스템 보호프로파일의 개념 및 위협 분석 (The Concept and Threat Analysis of Intrusion Detection System Protection Profile)

  • 서은아;김윤숙;심민수
    • 융합보안논문지
    • /
    • 제3권2호
    • /
    • pp.67-70
    • /
    • 2003
  • IT 산업이 발달하면서 개인 정보 및 회사 기밀 등과 같은 정보의 보안 문제 중요성이 대두되고 있다. 하지만 최근 들어 침입의 기술이 고도로 발달되면서 단순한 침입탐지 시스템으로는 다양한 보안사양을 만족하기 힘들다. 침입탐지 시스템은 침입을 즉각적으로 탐지하며 보고, 대처하는 기술들을 포함하는 시스템이다. 본 논문에서는 NSA(National Security Agency)의 IDS PP(Intrusion Detection System Protection Profile)와 국가기관용 IDS PP의 개념을 비교하고 TOE의 위협부분을 비교, 분석하였다.

  • PDF

PP 개발을 위한 보안정책 문장 생성방법 (A Security Policy Statements Generation Method for Development of Protection Profile)

  • 고정호;이강수
    • 정보보호학회논문지
    • /
    • 제13권4호
    • /
    • pp.13-28
    • /
    • 2003
  • 보호프로파잎(PP)은 특정제품군에 대한 공통 보안기능 및 보증 요구사항 명세서라 할 수 있다. 특히, PP내의 TOE(평가대상물) 보안환경 부분은 TOE의 물리적 환경, 보호해야할 자산 및 TOE의 용도를 분석하여 가장사항, 위협 및 보안정책을 기술해야한다. 본 연구에서는 PP내의 보안환경 부분 중 보안정책을 개발 또는 작성하는 방법을 제시한다. 정보보호부문에서의 보안정책에 대한 표준이나 지침을 조사 및 분석하여 보안정책 문서와 관련된 기반개념을 정리하고, 기존 PP들에서 실제 사용한 보안정책 문장, 미 국방부의 보안정책 문장, CC의 기능 및 보증요구사항 클래스를 조사 분석하였으며, 이를 토대로 하여 새로운 일반 보안정책 문장 목록과 이를 이용한 보안정책 문장 생성방법을 제시하였다.

스마트 카드 평가를 위한 보호프로파일의 가정요소 분석 (Analysts of Assumption Part of Protection Profile for Evaluation of Smart Card)

  • 김태훈;김민철;노병규
    • 대한전기학회:학술대회논문집
    • /
    • 대한전기학회 2003년도 하계학술대회 논문집 D
    • /
    • pp.2744-2746
    • /
    • 2003
  • ISO/IEC 15408 requires the TOE(Target of Evaluation) Security Environment section of a Protection Profile(PP) or Security Target(ST) to contain a list of assumptions about the TOE security environment or the intended usage of the TOE. This paper presents a specific conditions should be assumed to exist in the smart card environment and the analysis of those conditions developer of smart card PP must consider.

  • PDF

스마트 카드 보호프로파일 개발을 위하여 고려하여야 하는 물리적 위협 요소 분석 (Analysis of Physical Component Considered for The Development of Smart Card Protection Profile)

  • 김태훈;김민철;성윤기;조규민;노병규
    • 대한전기학회:학술대회논문집
    • /
    • 대한전기학회 2003년도 하계학술대회 논문집 D
    • /
    • pp.2747-2749
    • /
    • 2003
  • Security is concerned with the protection of assets from threats, where threats are categorised as the potential for abuse of protected assets. All categories of threats should be considered, but in the domain of security greater attention is given to those threats that are related to malicious or other human activities ISO/IEC 15408 requires the TOE(Target of Evaluation) Security Environment section of a Protection Profile(PP) or Security Target(ST) to contain a list of threats about the TOE security environment or the intended usage of the TOE. This paper presents a specific physical threats should be considered in the smart card PP which developers of smart card PP must consider.

  • PDF

PP의 보안환경을 위한 가정문장 생성방법 (A Assumptions Statement Generation Method for Security Environment of Protection Profile)

  • 고정호;이강수
    • 인터넷정보학회논문지
    • /
    • 제5권2호
    • /
    • pp.17-31
    • /
    • 2004
  • 본 논문에서는 PP내의 보안환경 부분 중 환경에 대한 가정문장을 작성하는 방법을 제시한다. CC에서 가정에 관련된 요구 사항을 살피고, 기존 PP들에서 실제 사용한 가정문장과 NIST의 PKB내의 가정문장을 토대로 하여 새로운 "일반 가정문장 목록"과 이를 이용한 가정문장 생성 방법을 제시하였다.방법을 제시하였다.

  • PDF

국가기관용 VPN의 보호프로파일 보안환경 작성방법에 관한 연구 (A Study on Specification Scheme of PP Security Environment for Government's VPN)

  • 이동춘;김점구;김귀남
    • 융합보안논문지
    • /
    • 제3권1호
    • /
    • pp.1-6
    • /
    • 2003
  • 가상사설망(Virtual Private Network, VPN)은 전용선과 같은 보안성을 유지하고, 비용을 획기적으로 절감할 수 있는 기술로서 수요가 갈수록 증가하고 있다. 지난해 말 국가기관용 VPN 보호프로파일이 개발되어 사용되고 있으나, 몇 가지 문제를 포함하고 있는 것으로 보인다. 본 논문에서는 현재 사용중인 국가기관용 VPN 보호프로파일(Protection Profile, PP)이 가지고 있는 문제점들을 살펴보고 이에 대한 개선 방향을 모색하여 보고자 한다.

  • PDF

접근제어형 데이터베이스 보안 시스템의 보호프로파일 (A Protection Profile for Access Control Based Database Security System)

  • 전웅렬;조혜숙;김승주;원동호
    • 정보보호학회논문지
    • /
    • 제17권1호
    • /
    • pp.109-113
    • /
    • 2007
  • 실생활에서 네트워크가 차지하는 비중이 점점 커지면서 데이터가 집약되어있는 데이터베이스 보안의 중요성도 점점 증가하고 있다. 현재 데이터베이스 보안은 크게 사용자 접근제어 방식과 데이터의 암호화 저장방식으로 구분된다. 그러나 데이터베이스 보안시스템에 대한 범용의 보호프로파일이 아직 존재하지 않기 때문에 정확한 평가가 어렵다. 이에 본 논문은 사용자 접근제어 형 데이터베이스 보안시스템의 보안기능요구사항을 개발한다. 본 논문은 접근제어 형 데이터베이스 보안시스템이 갖춰야 할 기본적인 필수기능을 제안한다. 이는 데이터베이스 보안시스템 평가 시 참고자료로 충분히 활용될 수 있을 것이다.