공통평가기준 기반의 보안기능요구사항 도출을 위한 보호프로파일 재사용 방법
Reuse way of Protection Profile to draw Security Functional Requirements Based on Common Criteria
- 주제(키워드) 공통평가기준 , CC , 보안기능요구사항 , 보호프로파일 , 재사용
- 발행기관 서강대학교 정보통신대학원
- 지도교수 박수용
- 발행년도 2013
- 학위수여년월 2013. 2
- 학위명 석사
- 학과 및 전공 정보통신대학원 소프트웨어공학
- 실제URI http://www.dcollection.net/handler/sogang/000000049638
- 본문언어 한국어
- 저작권 서강대학교 논문은 저작권 보호를 받습니다.
초록/요약
Recently, with IT(Information Technology) development, due to institutional support such as Privacy Policy Statement, various forms of information barriers are appearing. For this reason, nationally to assure certain level of security of information barrier that procures to governmental organization, run evaluation system that is mandatory to acquire CC(Common Criteria) base certification. In a Common Criteria base, it is supposed to accept PP(Protection Profile) which is an assemblage of security requirements that satisfy a series of security purpose of information barrier group. However, since it is hard to respond quickly to IT environment by develop protection profile about new information barrier groups, in IT Certification Secretariat supply security requirements assemblage for protection ministerial certification by developing security requirements and test standard, but it also takes more than 6 months of period, it has difficulty to define standardized SFR(Security Functional Requirement) that common criteria standard requires. In this thesis, as a resolution method of Security Functional Requirements of non-Protection Profiled information barrier group ST(Security Target), by reusing 16 kinds of domestic Protection Profile that delivered by Common Criteria standard V3.1, suggest a plan to itemize Security Functional Requirements. As a reuse way of Protection Profile, develop the SFR Thesaurus, which refine, analyze and database the security problem, security purpose, security requirement and their corresponding relation that current Protection Profile defines and use it. When drawing up Security Target evaluation of 3 information barriers by using suggested SFR Thesaurus, it came up with a result that it was reused approximately 87% for risk or group security policy item, 43% for TOE security objective item, 27% for Security Functional Requirement item.
more초록/요약
최근 IT(Information Technology) 기술의 발전과 더불어 개인정보보호법 등 제도적 뒷받침에 따라 다양한 유형의 정보보호제품 군이 등장하고 있다. 이에 따라 국내에서는 국가기관에 조달되는 정보보호제품에 대한 일정수준의 보안성을 보증하기 위해 공통평가기준(CC, Common Criteria) 인증을 의무적으로 취득하도록 하는 평가제도를 운영하고 있다. 공통평가기준에서는 정보보호제품 군에 대하여 일련의 보안목적을 만족시키는 보안요구사항들의 집합인 보호프로파일(PP, Protection Profile)을 수용하도록 되어있다. 하지만 신규 정보보호제품 군에 대한 보호프로파일을 개발하여 IT 환경에 빠르게 대응하는 것은 어렵기 때문에, IT 인증 사무국에서는 보안기능요구사항, 시험기준 등을 개발하여 보호프로파일 대신 인증을 위한 보안요구사항 집합을 제공하고 있다. 하지만 이 또한 6개월 이상의 기간이 소요되고 공통평가기준에서 요구하는 표준화된 보안기능요구사항(SFR, Security Functional Requirement)을 정의하는 데에는 어려움이 있다. 본 논문에서는 보호프로파일이 없는 정보보호제품 군의 보안목표명세서(ST, Security Target)의 보안기능요구사항 도출 방법으로, 공통평가기준 V3.1에서 작성된 국내용 보호프로파일 16종을 재사용하는 방법을 제안한다. 보호프로파일 재사용 방법으로는 기존 보호프로파일들에서 정의하고 있는 보안문제, 보안목적, 보안요구사항과 그것들의 대응관계를 정련하고 분석하여 데이터베이스화한 SFR Thesaurus를 개발하여 이용한다. 제안한 SFR Thesaurus를 이용하여 3개 정보보호제품의 보안목표명세서 작성 시, 위협 및 조직의 보안정책 명세는 약 87%가 재사용 되었고, TOE 보안목적 명세는 약 43%가 재사용 되었고, 보안기능요구사항 명세는 약 27%가 재사용되는 결과가 나왔다.
more