• 융합보안논문지
• /
• 제3권1호
• /
• pp.51-57
• /
• 2003

본 논문에서는 공통평가기준 기반 보호프로파일의 보안기능요구사항 개발 방법을 침입탐지시스템 보호프로파일 개발 과정을 중심으로 제시함으로써, IT 제품 및 시스템 보호프로파일 개발시 각 설정 단계별 세부적인 개발 방법에 관하여 논한다.

• 융합보안논문지
• /
• 제3권2호
• /
• pp.57-65
• /
• 2003

보호프로파일은(Protection Profile)은 특정형태의 제품군이 지녀야 할 보안 목적을 사용자 그룹에서 요구한 명세서이며 보호프로파일의 가정사항은 TOE(Target Of Evaluation)의 물리적, 인적, 네트워크적 관점을 포함하는 사용 환경과 TOE의 사용제한, 잠재적인 자산 가치, 추가적인 적용의 관점을 포함하는 TOE 사용 방법상의 내용을 기술한 것이다. 본 논문에서는 NSA(National Security Agency) 침입탐지 시스템 보호프로파일과 국가기관용 침입탐지 시스템 보호프로파일의 가정사항 항목을 비교 분석하였다.

• 정보보호학회논문지
• /
• 제24권2호
• /
• pp.411-429
• /
• 2014

클라우드 컴퓨팅이 활성화됨에 따라 다양한 클라우드 서비스가 대중적으로 보급되고, 그에 따른 클라우드 컴퓨팅 관련 제품들을 IT시장에서 쉽게 접할 수 있게 되었다. 일반적으로 IT제품군에 대해서 보안성 평가를 수행하고, 그 결과 값을 통해 소비자에게 객관적인 지침으로 활용될 수 있는 국제 표준인 공통평가기준에서는 보안 제품군에 대한 보안목 표명세서인 보호프로파일을 제공하고 있다. 하지만 현재 일반적인 IT제품군에 대한 보호프로파일은 존재하지만 클라우드 관련 제품군에 대해서는 보호프로파일이 존재하지 않아 보안성 평가를 위한 표준화된 방법이 없는 실정이다. 따라서 본 논문에서는 클라우드 데이터 관리 시스템 보호프로파일을 제안하고자 한다.

• 대한전자공학회논문지TC
• /
• 제40권6호
• /
• pp.237-246
• /
• 2003

정보보호 제품의 안전성 평가 인증서를 획득하기 위해서는 보호프로파일로부터 위협요소들을 파악하여 제품설계에 반영하는 것이 필수적이다. BDPP는 생체장치 시스템의 안전성 평가 보호프로파일이다. 본 논문에서는 BDPP를 Match-on-Card에 적용하여 생체 데이터의 위협에 대응하는 보안 요구조건을 발췌하고 이를 충족시키지 위한 보호대책을 연구하였다.

• 정보처리학회논문지C
• /
• 제16C권1호
• /
• pp.1-12
• /
• 2009

오늘날 DRM(Digital Right Management)은 악의적인 사용자에 의한 디지털 콘텐츠의 재배포, 불법 복제를 금지시키기 위해서 사용되고 있다. 그러나 여전히 현재 DRM 시스템은 상호 호환성 부족으로 인해 사용자의 불편을 초래하고 있다. 이를 해결하기 위해 상이한 DRM 시스템의 상호 호환을 위한 연동 방안이 제시되고 있다. 본 논문에서는 상이한 DRM 시스템 호환을 위해서 공통평가기준에 따른 보호프로파일을 개발한다. 특히 이러한 개발을 위해 기존에 개발된 보호프로파일을 이용해서 개발에 적용시킴으로써 시간 효율과 비용 측면에서의 효율적임을 분석을 통하여 보인다. 개발된 보호프로파일은 콘텐츠 제공자 및 사용자 권한을 관리하는 관리자가 안전한 저작권을 유지할 수 있는 요구사항을 도출할 때 참고 자료로 활용 될 수 있다.

• 정보보호학회논문지
• /
• 제17권1호
• /
• pp.109-113
• /
• 2007

실생활에서 네트워크가 차지하는 비중이 점점 커지면서 데이터가 집약되어있는 데이터베이스 보안의 중요성도 점점 증가하고 있다. 현재 데이터베이스 보안은 크게 사용자 접근제어 방식과 데이터의 암호화 저장방식으로 구분된다. 그러나 데이터베이스 보안시스템에 대한 범용의 보호프로파일이 아직 존재하지 않기 때문에 정확한 평가가 어렵다. 이에 본 논문은 사용자 접근제어 형 데이터베이스 보안시스템의 보안기능요구사항을 개발한다. 본 논문은 접근제어 형 데이터베이스 보안시스템이 갖춰야 할 기본적인 필수기능을 제안한다. 이는 데이터베이스 보안시스템 평가 시 참고자료로 충분히 활용될 수 있을 것이다.

• 융합보안논문지
• /
• 제3권2호
• /
• pp.67-70
• /
• 2003

IT 산업이 발달하면서 개인 정보 및 회사 기밀 등과 같은 정보의 보안 문제 중요성이 대두되고 있다. 하지만 최근 들어 침입의 기술이 고도로 발달되면서 단순한 침입탐지 시스템으로는 다양한 보안사양을 만족하기 힘들다. 침입탐지 시스템은 침입을 즉각적으로 탐지하며 보고, 대처하는 기술들을 포함하는 시스템이다. 본 논문에서는 NSA(National Security Agency)의 IDS PP(Intrusion Detection System Protection Profile)와 국가기관용 IDS PP의 개념을 비교하고 TOE의 위협부분을 비교, 분석하였다.

• 한국컴퓨터정보학회논문지
• /
• 제10권1호
• /
• pp.141-148
• /
• 2005

근래에 허가되지 않은 사용자로부터 공유된 자원에 대한 불법적인 접근이 빈번하게 이루어지고 있다. 접근 제어는 허가되지 않은 사용자가 컴퓨터 자원, 정보 자원 그리고 통신 자원을 이용하지 못하게 제어하는 것이며, 이처럼 허가받지 않은 사용자가 시스템 자원에 접근하는 것을 막는 것은 정보 보호에서 중요한 이슈로 떠오르고 있다. 본 논문에서는 접근 제어 정책 중의 하나인 강제적 접근 제어 메커니즘을 대상으로 TCSEC 보안 등급 B2 수준에 근접하는 보호 프로파일을 작성하였다. 본 연구 결과로 작성된 보호 프로 파일은 정보 보호 시스템을 평가하는데 있어서 유용한 자료로 사용될 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 추계학술발표대회
• /
• pp.832-834
• /
• 2015

최근 CCRA(Common Criteria Recognition Arrangement) 협정서 개정에 따라 공통평가기준인 CC(Common Criteria) 평가제도에 변화가 생기고 있다. 현재의 CC 평가제도가 가지는 한계를 보완하고자 PP(protection profile)를 대신하는 cPP(collaborative protection profile)가 개발되었는데, 기존의 폐쇄적으로 운영되던 PP 개발 프로세스와 달리 cPP 개발에는 CCRA 회원국의 여러 기관 및 기업이 적극적으로 개발에 참여할 수 있다. 따라서 현재 세계 각국에서 cPP 개발에 관한 논의가 활발히 진행되고 있으며 세분화된 연구도 요구되고 있다. 본 논문에서는 기존의 CC 평가제도가 가지는 한계를 살펴보고 이러한 한계를 극복하기 위한 cPP의 등장 및 개정되는 새로운 CC 평가제도의 운영을 분석한다.

• 정보보호학회논문지
• /
• 제17권1호
• /
• pp.133-138
• /
• 2007

보호프로파일(PP, Protection Profile)은 ISO/IEC 15408(CC, Common Criteria) 평가에서 IT제품에 대한 특정 소비자의 보안요구사항을 담은 문서로서, 최근 들어 많은 국가기관 및 기업에 의해 개발되고 있다. 이러한 보호프로파일은 IT시스템 및 제품을 도입하는 과정에서 보안성 평가에 대한 기준이 되므로 정보보호의 중요성이 강조되는 시점에서 그 중요성이 날로 증대되고 있다. 하지만 구체적인 보호프로파일 개발 방법이나 보안환경 분석 및 보안요구사항 도출 방법에 대해서는 상세한 방법론이 존재하지 않아, 보호프로파일을 쉽게 개발하기는 어려운 실정이다. 이에 본 논문에서는 국외 보호프로파일 개발 방법론 및 사례를 분석하고, 보호프로파일의 보안환경 분석 및 보안요구사항 도출 방법론을 제안한다.