Transcript 22-Criti_Secu
보안 평가 기준 (Security Criteria) 오 세 종
1
목차
개요 TCSEC CC 우리나라의 평가 기준
2
개요
시스템 구매자의 필요 : 구매하는 시스템 또는 S/W가 보안 문제 에 안전하기를 원함 구매자는 구매 하는 시스템(S/W) 가 안전한지 어떻게 확신할 수 있는가 판매자는 어떻게 자신의 제품이 안전한지를 설득할 수 있는가?
누구나 인정할 수 있는 평가 기준이 필요 이 평가 기준에 따라 안전 등급을 평가해 줄 수 있는 인증기관이 필요 cf) KS, UL, Q mark 3
개요
IT 보안 평가기준의 역사 TCSEC, 1985 (Orange book) Host 환경 UK Confidence Levels, 1989 ITSEC 1991 German Criteria French Criteria CTCPEC, 1993 (Canadian Criteria) Federal Criteria Draft, 1993 4 Common Criteria V1.0 1996 V2.0 1998 ISO FDIS 15408 99
TCSEC
역사
– TCSEC : Trusted Computer System Evaluation Criterion – ‘ The Orange Book ’ 으로 많이 불리움 – 미국은 국방산업 및 국방관련 정보처리에 있어서 보안의 중 요성을 일찍부터 인식.
– 1985년 국방성은 TCSEC 을 표준으로 채택 – 이후 TCSEC 은 여러 나라의 연구 대상이 됨. – TCSEC의 목적 : IT 분야에서 H/W, Firmware, S/W 에 대해 기술적측면에서의 보안 평가기준 및 보안 평가 방법론을 제 공함 5
TCSEC
역사
– TCSEC 은 Host 환경을 염두에 두고 만들어져 있어서 급변 하는 IT 환경을 충분히 수용하지 못함.
– TCSEC 에서는 보안등급이 미리 정해져 있어서 사용자가 필 요로 하지 않는 요구사항을 만족시켜야 하는 문제점이 있음 6
TCSEC
TCSEC의 보안 요구사항
(1) 보안 정책 (Security policy) (2) 책임성 (Accountability) (3) 보증 (Assurance) (4) 문서화 (Documentation) 7
TCSEC
(1) 보안 정책 (Security policy)
– 보안 정책은 시스템이 가지고 있는 보안 규칙들에 대해 기술 • 예) 어떤 사용자가 어떤 정보에 접근하도록 통제할 것인 가를 결정하는 규칙 – 높은 보안성을 가진 시스템일수록 더 다양하고 강력한 보안 정책을 제공한다.
– TCSEC 에서 요구하는 주요 보안 정책 • 레이블 (labels) • 자율적 접근제어 (Discretionary Access Control) • 강제적 접근제어 (Mandatory Access control) 8
TCSEC
(1) 보안 정책 (Security policy)
– 레이블 (labels) • 시스템의 주체 또는 저장 장소, ROM 등의 시스템 자원에 대해 레이블을 붙일 수 있는 능력 제공 • 이러한 레이블은 자원에 접근을 통제하는 기초를 제공 • MAC 정책에서 사용 9
TCSEC
(1) 보안 정책 (Security policy)
– 자율적 접근제어 (Discretionary Access Control) • 주체(subject) 의 소유권 혹은 주체가 속한 그룹을 기초 로 객체(object)에 대한 접근을 제어하는 방법 • 특정 접근권한을 가진 주체는 자신의 권한을 다른 주체에 게 넘겨줄 수 있다. • 또한 객체에 대한 소유자는 각 개인과 그룹에 대해 접근 모드 (read, write, delete 등)를 설정할 수 있다.
10
TCSEC
(1) 보안 정책 (Security policy)
– 강제적 접근제어 (Mandatory Access control) • 객체가 가지고 있는 비밀 레이블 (sensitivity label) 과 그 정보에 접근하려는 주체의 인가등급 (clearance)에 따라 접근을 통제하는 방법 • 비밀 레이블 : 계층 분류 - 1급 비밀, 2급 비밀 범주 분류 – 해군, 육군, 공군 • Bell-LaPadula 모델에 기초 11
TCSEC
(2) 책임성 (accountability)
– 시스템은 시스템에 접근하는 사람이 누구인지(who you are), 그가 무슨 일을 하는지(what you are doing)을 알아야 한다.
– 이를 위해 시스템은 모든 사용자들을 식별(identify) 할 수 있 어야 하며, 사용자들이 시스템에 대해 어떤 일을 했는지에 대한 기록을 유지해야 한다. – 책임성을 위한 주요 요구사항 • 식별과 인증 (identification & authentication) • 감사 (audit) • 안전한 경로 (trusted path) 12
TCSEC
(2) 책임성 (accountability)
– 감사 (audit) • 로그인, 로그아웃 과 같이 시스템에 접근하는 행위, 파일 에 대한 open, close 와 같이 보안에 관련된 행위들은 함 부로 수정될 수 없는 안전한 파일에 기록한다. • 이러한 정보들을 이용하여 후에 침입 시도, 시스템 보안 정책 위반 행위 등을 분석한다.
– 안전한 경로 (trusted path) • 시스템의 사용 주체와 보안 시스템 사이에는 서로 신뢰할 만한 수준의 안전한 대화 통로가 있어야 한다. (예: 보안 시스템이 믿을 수 없는 S/W에 의해 위장되어질 수 없어 야 한다. – spoofing 공격) 13
TCSEC
(3) 보증 (assurance)
– 시스템은 보안 정책이 올바르고 정확한 해석을 보장하도록 설계되어야 하고, 보안 정책에서 제시된 요구사항과 책임성 에서의 보안 특성과 통제가 올바르게 작동한다는 것을 보여 야 한다.
– 주요 보증사항 • 시스템 구조 (System Architecture) • 시스템 무결성, 시스템의 시험 • 설계 요구사항과 검증 • 비밀 채널(covert channel) 분석 • 신뢰성 있는 복구 14
TCSEC
(3) 보증 (assurance)
– 시스템 구조 (System Architecture) • 시스템 개발 단계, 시스템 운영단계 모두에서 시스템 구 조가 안전함을 보임 (예: 개발단계-모듈화 설계, 계층화, 정보은닉. 운영단계-사용자 프로세스, 시스템 프로세스 의 분리) – 시스템의 시험 • 시스템에서 보안 특성이 전체적으로 충분히 시험되었음 을 보증해야 함 – 설계 요구사항과 검증 • 시스템의 보안정책에 맞도록 설계 및 구현되었음을 보증 15
TCSEC
(3) 보증 (assurance)
– 비밀 채널(covert channel) 분석 • 불법적인 비밀 채널을 감지하고, 비밀 채널을 통한 정보 의 흐름을 통제하는 방법 제공 – 신뢰성 있는 복구 • 고장이나 파손으로 인해 시스템을 복구한 후에도 보안 기 능이 올바르게 작동해야 한다.
16
TCSEC
(4) 문서화 (documentation)
– 보안 관리를 효과적으로 수행하기 위한 문서들이 제공되어 야 한다.
– 보안 문서들 • 사용자를 위한 보안 지침서 • 관리자를 위한 보안 특성 지침서 • 시험 문서 – 어떤 식으로 시스템이 시험되고, 그 결과는 어떠했는지를 알려줌 • 설계 문서 – H/W, Firmware, S/W 17
TCSEC
보안 등급
– TCSEC 의 보안 요구 시항을 어느 정도 만족시키는가에 따라 7등급으로 분류 High Security • A1 Verified Design • B3 Security Domains • B2 Structured Protection • B1 Labeled Security Protection • C2 Controlled Access Control • D Minimal Protection No Security 18
TCSEC
C1 Discretionary Access Control Object Reuse Labels Label integrity Exportation of Labeled Information Exportation of multilevel Devices Exportation of Single-level Devices Labeling Human-Readable Output Mandatory Access Control Subject Sensitive Labels Device Labels Identification and Authentication Audit Trusted Path : no requirement : new or enhanced requirement : no additional requirement C2 B1 B2 B3 A1 Security policy Account ability 19
TCSEC
C1 System Architecture System Integrity Secure Testing Design Specification and Verification Covert Channel Analysis Trusted Facility Management Configuration Management Trusted Recovery Trusted Distribution Security Features User ’ s Guide Trusted Facility Manual Test Documentation Design Documentation : no requirement : new or enhanced requirement : no additional requirement C2 B1 B2 B3 A1 Assurance Documen tation 20
CC
배경
– 보안의 중요성 증가. 각국에서 사용되는 보안 평가 기준이 서로 상 이해서 인증에 많은 비용과 시간 소요.
A국 평가기준A B국 평가기준B 1등급 ???
– 선진 6개국이 국제 공통의 평가 기준 개발에 합의 – 미국(NIST, NSA), 캐나다(CSE), 프랑스 (SCSSI), 독일(BSI), 네덜 란드(NL-NCSA) 및 영국(CESG) 21
CC
배경
– 1998년 5월 버전 2.0 발표 – ISO/IEC JTC1/SC27/WG3 에서 표준화를 위한 노력 – CC : Common Criteria – 내용 • Part 1 : 소개 및 일반모델 • Part 2 : 보안기능 요구사항 • Part 3 : 보증 요구사항 • Part 4 : 보호 프로파일 • Part 5 : 보호 프로파일을 등록하는 절차 22
CC의 평가 등급
– EAL1 – EAL2 – EAL3 – EAL4 – EAL5 – EAL6 – EAL7
CC
23
우리나라의 평가 기준
우리나라는 국제적인 표준 제정에 대해서 일부 분야를 제외하고 는 다소 소극적으로 참여 표준의 중요성에 대한 인식의 재고가 필요 우리나라는 정보보호 시스템 전체에 대한 평가기준은 아직 제정 하지 못함 정보보호센터에서 1998년 ‘침입차단 시스템 평가 기준’을 발표 – http://www.kisa.or.kr
정보보호센터에서 1998년 9월 ‘정보보호 시스템 평가기준(안) v0.5
’ 발표 24
우리나라의 평가 기준
침입차단 시스템 평가기준
K1 K2 K3 K4 K5 K6 K7 신분확인 접근통제 (DAC) 접근통제 (MAC) 접근통제 (보안레이블) 무결성 (데이터 무결성) 무결성 비밀성 (전송 데이터 무결성) 감사기록 및 추적 보안 관리 보안기능 요구사항 25
우리나라의 평가 기준
침입차단 시스템 평가기준
K1 K2 K3 K4 K5 K6 K7 개발과정 (기능명세) 개발과정 (기본설계) 개발과정 (상세설계) 개발과정 (구현) 시험과정 형상관리 운영환경 (설치과정) 운영환경 (운용절차) 설명서 취약성 취약성 (취약성 분석) (오용 분석) 26 보증 요구사항
우리나라의 평가 기준
국내 평가 기준에 의한 평가 사례
제품명 SecureShield-Firewall v1.0
SecureWorks v1.0
인터가드 v1.5
업체 시큐어소프트 어울림정보기술 한국정보공학 평가 등급 K4 K4 K4 평가완료 98.11.20
99.2.8
99.6.29
(※참조: http://www.kisa.or.kr/) 27
정리
평가 기준으로부터 배울 수 있는 점
– 어떤 시스템, 제품이 안전한지를 알기 위해서 어떤 점들을 확인해야 하는가에 대한 지식을 제공 – 이를 현재 구축되어 있는 시스템에 적용해 보면 보안성이 어 느 정도인지를 알아 볼 수 있다.
평가기준의 한계
– 현재의 평가기준 들은 Network 에 접속되어 있지 않은 stand alone machine 을 기준으로 한 것.
– 따라서 network 에 시스템이 접속되었을 때에는 보안성을 장담할 수 없음 28
참고문헌
D.Russel and G.T.Gangemi Sr., Computer Security Basics, O ’ Reilly & Associates Inc.,1991. 한국 정보보호센터, http://www.kisa.or.kr
29