Transcript 04-네트워크_보안.
접근통제 및 시스템보안 - 보안이론(3) - 보안정책 및 모델, 접근통제, 시스템보안 2012. 4. 20. 김 재 명 공학박사 [email protected] 北京信安强科技有限公司 목 • 접근통제 모델 • 보안시스템 평가기준 • 시스템 보안 차 시스템 위협 - 컴퓨터 위협의 변화 추이 - 위협행위 전통적 형태 변화형태 해킹(Hacking) - Hacker - Cracker - Phracker - Intruder - Penetrator 정보유출 변조/위조 및 파괴 위장 비인가 접근 및 사용 등 범죄화 지능화 글로벌화 시공간 추적 어려움 증대 바이러스(Virus) 불특정 대상 감염 피해 확산 Cruise Virus(Smart Weapon) 목적지향 감염 및 피해 유발 테러(Terror) Hijacking Bomb 등 Info-Terror 전쟁(War) 무기(Weapon) InfoWar/CyberWar 무기와 유사기능 보유 Software 위협의 예 - 비밀정보유출 기법(Covert Channel 기법) 1. Storage Covert Channel 2. Timing Covert Channel 정보 유출 사용자 X Secure Computer 생성/삭제 하드 디스크 정보 유출 사용자 Y 유무 점검 화일 A 사용자 X Secure Computer 사용/해제 사용자 Y 특성 모니터 컴퓨터 자원 CPU, I/O 등 컴퓨터 보안기술 : 개요 컴퓨터 보안의 목적 컴퓨터 A C 통신 B 보안 비밀성 (Secrecy) 무결성 (Integrity) 가용성 (Availability) CompuSec 기술 정보 저장, 처리를 위한 컴퓨터 시스템 보안 기술 ComSec 기술 정보 전송로상에서의 보안 기술 NetSec 기술 컴퓨터 상호 연결 및 정보 전달을 위한 네트워크 시스템 보안 기술 컴퓨터 보안기술 : 서비스 식별 및 인증 (Identification & Authentication) 접근 통제 (Access Control) 기밀성 (Confidentiality) 무결성 (Integrity) 부인 봉쇄 (Non-repudiation) 컴퓨터 보안기술 : 식별 및 인증 식별 및 인증 방법 1) 기억 : 패스워드, 암호 키 등 2) 소유 : ID 카드, 스마트 카드, 토큰 등 3) 특성 : 지문, 음성, 필적 등 식별(Identification) o 계정 이름 또는 ID에 의하여 사용자가 누구인지 인식하는 과정 : "Asking you who you are" o 사용자의 ID는 반드시 유일성(Uniqueness)이 보장되어야 한다. 인증(Authenticaton) : 식별된 사용자를 증명하는 과정 : " Asking you to prove it" 컴퓨터 보안기술 : 식별 및 인증 사용자 침입자 식별 인증 내부통제 허가권한 물리적 통제 컴퓨터 보안기술 : 접근통제 식별 및 인증된 사용자가 허가된 범위내에서 시스템 내부의 정보에 대한 접근을 허용하는 기술적 방법 사용자의 접근 허가권(Access Rights)에 의하여 접근이 통제됨 접근 통제를 위한 보안 정책 o 임의적 접근 통제(DAC) 정책 (DAC : Discretionary Access Control) o 강제적 접근 통제(MAC) 정책 (MAC : Mandatory Access Control) o 다중등급보안(MLS) 정책 (MLS : Multilevel Security) 컴퓨터 보안기술 : 임의적 접근통제 정의 주체(Subject)나 그것이 속해 있는 그룹의 Identity에 근거하여 객체(Object)에 대한 접근을 제한하는 방법 속성 -객체의 소유자에 의하여 변경 가능한 한 주체와 한 객체간의 접근통제관계를 정의 -최초 객체에 내포된 DAC 관계는 복사된 객체로 전파 불가 -하나의 주체 및 객체 단위로 접근제한 설정 단점 -주체의 Identity에만 전적으로 근거를 두고 있으며, 데이터의 의미(semantics)에 대한 아무런 지식도 갖고 있지 않음 -Identity가 도용당할 경우 DAC는 파괴됨 -트로이목마 프로그램에 취약함 컴퓨터 보안기술 : 임의적 접근통제 HRU 접근통제 모델 객체 o 객체 o에 대한 주체 s의 권한 주 s 체 컴퓨터 보안기술 : 임의적 접근통제 접근 통제는 임의적(Discretionary)임. 즉, 어떠한 접근 허가권을 가지고 있는 사용자는 임의의 다른 사용자에게 자신의 허가권을 부여해 줄 수 있다. (예) UNIX에서의 Permission Bits : CHMOD, CHOWN 임의적 접근 통제의 속성 o 임의적 접근 통제 정책은 허가된 사용자와 허가권을 변경할 수 있는 정보에 대한 관계를 설정한다. 사용자 허가권 변경 정보 o 어느 한 사용자가 어느 한 정보를 읽고 그 내용을 복사할 경우에 원래의 정보에 부가된 허가권은 복사된 것에 부가되지 않는다. o 임의적 접근 통제 정책은 모든 사용자와 정보간에 단일화되지 않으며 하나의 사용자/정보 단위로 이루어 진다. 컴퓨터 보안기술 : 임의적 접근통제 identity-based policies와 동일 individual-based policies와 group-based policies 포함 예) Object x user a Object y read, modify, manage user b user c1 read user c2 read Object z read, modify, manage read, modify, manage read, modify read, modify 컴퓨터 보안기술 : 임의적 접근통제 DAC 메카니즘 종류 row-wised 메커니즘 - capability list - profile column-wised 메커니즘 - protection bit (예 : UNIX 시스템) - ACL(Access Control Lists) (예 : VAX/VMS 시스템) 컴퓨터 보안기술 : 임의적 접근통제 ACL(Access Control Lists) 예 Identity S.smith Type Individual Permissions Permissions Granted Denied Time of day Location Restrictions Restrictions read,modify, manage team members group read auditors role read Contractor XYZ Inc. group read,modify modify, manage manage 8:00-18:00 Mon-Fri Only local terminals 컴퓨터 보안기술 : 강제적 접근통제 정의 비밀성(sensitivity)을 포함하고 있는 객체(Object)에 대하여 주체(Subject)가 갖는 authorization에 근거하여 객체에 대한 접근을 제한하는 방법 주체와 객체간의 관계 - 주체의 객체에 대한 read 조건 .주체의 비밀등급에서의 계층적 분류가 객체의 비밀 등급에서의 계층적 분류보다 크거나 같아야 한다. .주체의 비밀등급에서의 비계층적 범주(non-hierarchical categories)들이 객체의 비밀등급에서의 모든 비계층적 범주들을 포함해야 한다. - 주체의 객체에 대한 write 조건 .주체의 비밀등급에서의 계층적 분류가 객체의 비밀 등급에서의 계층적 분류보다 작거나 같아야 한다. .주체의 비밀등급에서의 비계층적 범주(non-hierarchical categories)들이 객체의 비밀등급에서의 모든 비계층적 범주들에게 포함되어야 한다. 컴퓨터 보안기술 : 강제적 접근통제 속성 - 객체의 소유자에 의하여 변경할 수 없는 한 주체와 한 객체간의 접근통제관계를 정의 - 최초 객체에 내포된 MAC 관계는 복사된 객체로 전파 - 모든 주체 및 객체에 대하여 일정, 하나의 주체 및 객체 단위로 접근 제한 설정 불가 - 트로이목마 프로그램에 의한 피해 제한 가능 Rule-based policies와 동일 Multi-level policies와 Compartment-based policies 포함 컴퓨터 보안기술 : 강제적 접근통제 강제적 접근 통제의 특성 o 강제적 접근 통제 정책은 허가된 사용자와 허가권을 변경할 수 없는 정보에 대한 관계를 설정한다. 사용자 허가권 변경 불가능 정보 o 어느 한 사용자가 어느 한 정보를 읽고 그 내용을 복사할 경우에 원래의 정보에 부가된 허가권은 복사된 것에 동일하게 부가된다. o 강제적 접근 통제 정책은 모든 사용자와 정보간에 단일화된다. 컴퓨터 보안기술 : 강제적 접근통제 Multi-Level Policies Government Classified Environment에서 널리 사용 MAC의 일종 Target에 classification level 부여 Top Secret Secret Confidential Restricted Unclassified Security Model 정의 • Security policy – 기관이 중요정보를 보호하고 관리하는데 따라야 할 법,규칙,훈령 등 • System security policy – Trusted HW 와 SW 에 의해 준수(enforced)되어야 하는 Policy • Formal security policy model – security policy 를 수학적으로 정확하게 정의한 기 술 Security model의 구성 • To make a successful implementation of key requirement – Defining precise security claim • Security policy – Primary role in security model • Properties – Precise and unambiguous – Simple and abstract => easy to understand – Generic – Obvious representation of security policy • Security specification – 시스템이 Security policy properties 를 준수함을 보임 Security modeling 단계 • • • • • High level 보안정책 External- interface requirement Internal security requirement Rules of Operation Specification TRUSTED SYSTEM 개발 • Policy • Mechanism – Access control – Integrity control – Execution control – ETC • Assurance Policy Assurance Mechanism Requirement Design Detail Design Implementation 컴퓨터 보안기술 : 다중등급보안 BLP 보안 모델 73년 MITRE의 Bell 및 Lapadular가 개발 DAC 및 MAC 요소 포함 주체 및 객체에게 비밀등급 부여, 접근통제 판독 고수준 비밀성 등급이 부여된 파일 판독 고수준 비밀성 등급을 갖는 프로세스 저수준 비밀성 등급을 갖는 프로세스 기록 기록 저수준 비밀성 등급이 부여된 파일 컴퓨터 보안기술 : 불법수정방지 Biba 무결성 모델 75년 K. Biba가 개발 무결성 요소 포함 주체 및 객체에게 무결성등급 부여, 불법수정방지 통제 기록 고수준 비밀성 등급이 부여된 파일 기록 고수준 비밀성 등급을 갖는 프로세스 저수준 비밀성 등급을 갖는 프로세스 판독 기록 저수준 비밀성 등급이 부여된 파일 컴퓨터 보안기술 : 정보흐름통제 Lattice 보안 모델 76년 D. E. Denning이 개발 불법정보흐름 방지 요소 포함 주체 및 객체에게 보안 클래스 부여, 정보흐름통제 {X, Y, Z} SC = power set ({X, Y, Z}) A → B iff A ⊆ B AÅ B=A∪B AÄB=A∩B L = Φ; H = {X, Y, Z} {X, Y} {X, Z} {X} {Y} Φ {Y, Z} {Z} RBAC • RBAC 정의 – Role 에 기반하여 기관 특성에 따라 접근제어정책 구현 가능 – Non discretionary • 사용자가 object를 소유하지 않는다 • 정보흐름(information flow)을 다루지 않음 • RBAC의 배경 – 1991-92 commercial , civil 분야의 필요성에 의해 연구 • – 92.10 D.Ferraiolo와 R.Kuhn 이 NIST/NSA NCSC 에서 발표 – 93년 OSF DME/DCE working group meeting 에서 재발표 NIST RBAC PROJECT – NIST Small Business Innovative Research(SBIR) : seta Corp – NSA R23 R&D ->NIST , Synergy (microkernel-based 분산OS) – NIST Advanced Technology Program(ATP) RBAC의 기본 요소 • Role – 기관내 기능권한집합을 정의 -> 허용된 action/자원 – 예 : 의사,간호사,약사 • Role action – action은 role 과 선택적으로 연결 – 약사의 role : 지출은 가능, 조제는 안됨 • Model 요소 – Role – User – Permission ISO 접근통제 모델 Identity-Based Policy(1) • IBP(Individual-Based Policy) - 하나의 타겟에 대하여 접근행렬의 열을 나타내는 것과 같다 - 어떤 사용자가 어떤 행동을 할 수 있는지 타겟 별로 목록을 표 현 - 정의문은 디폴트 정책과 최소권한의 원칙을 따른다 - “타겟 x에 대하여 사용자 a에게 읽기 접근을 허용” ISO 접근통제 모델(계속) Identity-Based Policy(2) • GBP(Group-Based Policy) - 다수의 사용자(그룹)가 하나의 타겟에 대하여 동일한 허가를 부여 받는 다 - 개별적 표현과 그룹 표현을 묶어서 효율적인 정책을 서술할 수 있다 - “사용자 그룹 g 는 사용자 a1, a2로 구성된다. 타겟 x 에 대하여 a3에 게 읽기, 쓰기 접근을 허용하며, 사용자 그룹 g에게는 읽기 접근을 허용 한다.” ISO 접근통제 모델(계속) Rule-Based Policy(1) : 주체에게 허용된 접근수준(clearance)와 객체에게 부여된 허용등 급(classification)에 근거하여 객체에 대한 접근 통제 • MLP(Multi-Level Policy) – 타겟 별로 허용등급을 할당하고 각 사용자는 부여된 접근수준에 따라 타겟에 대한 접근을 제한 받는 다. TOP SECRET SECRET CONFIDENTIAL RESTRICTED UNCLASSIFIED – 어떤 등급의 접근수준을 갖고 있는 사용자가 같거나 또는 하위 허용등급의 기밀로 분류된 정보만을 읽을 수 있다. 또한, 같거나 상위 허용등급의 기밀로 분류된 타겟에만 정보를 기록 할 수 있다. – 결과적으로 하위 접근수준의 비밀취급을 갖는 사용자에게 정보 노출을 방어하는 효과(기밀 유지) ISO 접근통제 모델(계속) Rule-Based Policy(2) • CBP(Compartment-Based Policy) – 일련의 타겟 집합들을 다른 타겟들과 분리된 이름의 부서 (compartment) 또는 범주(category)로 분류하고 구분된 접근수 준을 부여해서 접근통제 – 동일한 수준의 접근허가일지라도 다른 부서일 때는 동일한 보안 등급으로 평가되지 않을 수 있다 – 다른 부서의 두 사용자가 필요에 따라서 연결된 요청 가능 ISO 접근통제 모델(계속) Role-Based Policy : 접근통제는 조직내에서 부여된 개인의 직무(직책)에 따라서 결정된다. • 특징 • 비기술적인 정책 입안자들이 쉽게 이해할 수 있는 장점이 있다. • 현대의 상업용 환경에서 가치 있게 이용할 수 있다. “출납계는 예금을 처리하기 위하여 고객의 계정 기록을 수정하고, 출금은 지정된 금액 범 위까지만 허용하며, 모든 계정기록에 대한 조회를 할 수 있도록 권한을 부여한다.” “지점장은 예금 및 출금 거래를 하는 고객의 계정기록의 수정을 금액의 한도없이 허용하 고, 모든 계정기록의 조회와 계정의 개설 및 폐지를 할수 있도록 권한을 부여한다.” “고객은 자신의 계정에 관해서만 계정 조회를 할 수 있도록 권한을 부여한다.” “시스템 관리자는 시스템의 운영과 시스템 기록에 대한 조회만을 할 수 있으며, 고객의 계정 정보는 읽거나 수정할 수 없도록 한다.” ISO 접근통제 기본 모델 개시자 접근요구 제출 접근요구 전달 AEF 타 겟 접근결정 응답 접근결정 요구 ADF ADI • AEF(Access Enforcement Function) : 개시자와 타겟 사이의 접근 통로상에 있는 논리적 부분으로서 ADF에 의한 결정을 시행 접근 요구 접수==> ADF에 결정 요구==> 접근결정 응답 접수==> 타겟에 접근요구 전달 • ADF(Access Decision Function) : 접근 결정 요구에 대해서 접근 통제정책을 적용하여 접근 결정을 하는 논리적 부분 접근결정 요구 접수==> 접근통제 정책에 따른 접근통제 결정==> 접근통제 결정 결과를AEF에 응답 • ADF 입력정보 ::= 접근결정 요구 + 개시자 ADI + 타겟 ADI + 배경정보 + 접근요구 ADI + 접 • ADF 출력정보 ::= 접근결정 응답(접근승인/부인) 근통제 정책의 규칙 TCSEC (Trusted Computing Security Evaluation Criteria) • 1960년대 후반 컴퓨터 보안 연구를 시작하여 보안정책, 보안 요구 사항 등 컴퓨터시스템 보안을 위한 지침발표(1972, 1973) • 1983년 TCSEC(Orange Book) 발표 – 평가등급 : C1, C2, B1, B2, B3, A1 (6등급), D 등급: 부적합 판정 • TCSEC 적용 보조 기준 – TNI(Trusted Network Interpretation of the TCSEC) – TDI(Trusted Database Interpretation of the TCSEC) – CSSI(Computer Security Subsystem Interpretation) – FC(Federal Criteria) • 위 4개의 평가기준을 통합한 평가기준(시행은 되지 않았음) • 컴퓨터 시스템 보안의 요구사항을 명확히 정의 → 보안 시스템 개발의 실질적인 지침으로 활용 TCSEC - 구조 Security Policy Accountability • Discretionary Access Control •I&A • Mandatory Access Control Supports - Trusted Path • Labels • Audit • Object Reuse Assurance Documentation Trusted Facility Manual Operator/ Admin. Security Features User’s Guide User Test Documentation Developer/ Maintainer Ensures • Operational Assurance • Life-Cycle Assurance - System Architecture - Security Testing - System Integrity - Design Spec. & Verification - Covert Channel Analysis - Configuration Management - Trusted Facility Analysis - Trusted Distribution - Trusted Recovery Design Documentation TCSEC – 세부 요구사항 보안 요구사항 내 용 Discretionary • 주체의 신분을 기반으로 하는 접근통제 Access Control Mandatory • 비밀등급 비교에 의하여 객체에 대한 접근통제 Access Control 보안정책 (Security Policy) Object Reuse Labels 책임성 (Accountability) • 시스템 저장영역 안에 잔존하는 데이터가 없도록 모든 저장영역을 우선적으로 재할당 • 레이블 무결성 : 주체와 객체의 보안등급 부합, TCB 외부로 유출 시 레이블 정보의 무결성 • 레이블된 정보의 유출 : 통신로와 입출력 장치의 단일/다중 등급지정, 보안등급 변화 감사 • 주체 비밀성 레이블 : 보안등급 변화시 통지 • 장치 레이블 : TCB의 물리적 장치에 대한 보안등급 할당 I&A • 사용자 ID같은 사용자 신분을 식별 및 인증 • 안전한 경로 : 사용자 초기 로그인 및 인증을 위한 경로 Audit • TCB는 모든 보안관련 사건의 기록을 TCB 보호영역에 유지 TCSEC – 세부 요구사항 보안 요구사항 Operational Assurance 보증 (Assurance) Life-Cycle Assurance 내 • • • • • 용 시스템 구조: TCB 프로세스와 사용자 프로세스의 분리 시스템 무결성: TCB 메커니즘 동작의 정확성 비밀채널 분석 : 비밀채널의 식별 및 분석 보안관리 : 시스템 사용자와 관리자의 기능 분리 안전한 복구 : 시스템 고장 후 안전한 처리환경으로 복구 • 보안기능 시험 : 보안기능 검증 • 설계명세서 및 보안정책 모델 검증 : 보안정책 모델과 설계명세서 사이의 일치성 검증 • 형상관리 : 시스템 변화에 대한 통제절차 • 안전한 배포 : TCB를 사용자에게 안전하게 전달 Security Features • 시스템 사용자 및 개발자를 위한 보안기능 설명 및 사용방법 제시 User’s Guide 문서화 (Documentation) Trusted Facility Manual • 시스템 관리자, 보안관리자, 사용자 및 운용자를 위한 보안기능에 대한 상세한 설명 Test Documentation • 보안특성을 시험하기 위한 시험계획, 절차 및 결과 등에 관한 문서 제출 Design Documentation • TCB 구현과 FTLS와의 일관성을 비정형적으로 명시 TCSEC – 평가등급 체계 Division D: Minimal Protection Division C: Discretionary Protection Division C: Mandatory Protection Division A: Verified Protection No Requirements C1 : Discretionary Security Protection C2 : Controlled Access Protection B1 : Labeled Security Protection B2 : Structured Protection B3 : Security Domain A1 : Verified Design TCSEC – 등급별 특성 사용자와 데이터의 분리 로그인 & 감사추적 데이터 레이블링 신뢰성 있는 보안기능의 분리 및 디바이스 레이블링 Multilevel Security Single Level Security D 최소한의 보호 C1 임의적 정보보호 C2 통제된 접근보호 변조방지 TCB B1 레이블된 정보보호 임의적 정책 B2 구조화된 보호 B3 보안 영역 A1 검증된 정보보호 임의적 및 강제적 정책 감사추적 요구사항의 강화 시스템구조 요구사항의 강화 강력한 시스템구조 요구사항 Descriptive Formal Top-Level Specification 비정형적 검증 (낮음) 보안성 정도 (높음) 정형화된 보안 모델의 검증 침투시험 강화 형상관리 강화 비밀채널 강화 안전한 배포 ITSEC (IT Security Evaluation Criteria) • 영국, 독일, 프랑스, 네덜란드 등의 유럽국가에서 정보보호평가기준 의 상이함에서 오는 시간, 인력 낭비를 줄이기 위해 제정 • 1991년 ITSEC v1.2 제정 발표 • 단일기준으로 모든 정보보호제품을 평가하기 위해 보안기능은 이미 정의된 보안기능 사용(TCSEC, 독일의 ZSIEC) • 구조 – 보안기능 : 사용자가 정의한 보안기능이나, 기존의 보안 기능 수용 – 보증 : 효율성 및 정확성을 평가 할 수 있도록 정의 • 등급체계 – E1(최저), E2, E3, E4, E5, E6(최고)의 6등급 – E0등급은 부적한 판정 • 평가방법론 – ITSEM(Information Technology Security Evaluation Manual) : ITSEC 에 의거한 평가수행 원칙, 절차 및 평가방법론 정의 ITSEC – 세부 요구사항 보안기능요구사항 내용 보안 목적 보안기능이 필요한 이유 보안기능 실제 제공되는 보안기능 내용 식별 및 인증 사용자 신분설정, 사용자 식별 및 검증 TOE(Target Of Evaluation)은 인증 및 식별을 위해 사용자가 제공한 신분관련 정보 유지 식별 및 인증 데이터 추가, 삭제, 변경 등을 할 수 있어야 함 접근제어 접근을 허가 받지 못한 사용자나 프로세스가 정보나 자원에 접근할 수 없도록 함 허가되지 않은 자원의 생성, 수정, 삭제를 막음 정보흐름에 대한 통제, 사용자, 프로세스, 객체의 정보이용 제한 객체에 대한 접근권한 전파(propagation) 통제, 데이터의 조각모음으로 인한 추론 통제 책임성 보안관련 이벤트 기록 사용자 및 프로세스 행동기록으로 문제 발생시 책임소재의 연결고리 제시 정보 수집, 보호, 분석 기능 필요 보안기능에 대한 책임성의 요구사항을 만족해야 됨 감사 TOE는 일반사건 및 예외사건에 대한 정보기록 보안위반 사건 발생 판단 및 보안위반 발생시 손해정도 파악을 위한 근거 자료 감사기능은 감사정보에 대한 수집, 보호, 및 분석 기능을 요구 감사기록 분석을 통해 위반 잠재성 탐지 보안 메커니 즘 ITSEC – 세부 요구사항 보안기능요구사항 보안 메커니 즘 내용 객체 재사용 TOE는 보호 대상인 주기억장치, 디스크 저장 장소를 재사용할 수 있도록 보장 데이터 재사용을 위한 데이터 초기화, 릴리즈, 재할당 통제기능 포함 정확성 서비스에 대한 신뢰성 TOE는 작업에 대해 정확한 수행시간 보장 오류 검출 및 오류 복구 기능 제공 요구 데이터 교환 통신채널을 통해 데이터가 전송되는 동안 데이터의 인증, 접근통제, 데이터 비밀성, 데이터 무결성, 부인방지 등의 보안서비스 제공 TOE는 다른 데이터 조각들의 특정관계가 정확하게 유지되어야 함 프로세스간 데이터 이동시 무결성 보장 데이터가 비인가된 방법에 의해 수정될 수 없도록 해야 함. 연관된 데이터 사이의 관계 설정 및 유지 기능 요구 ITSEC – 등급체계 • 등급체계 – 보안등급 – 총 10등급 • TCSEC호환 : F-C1, F-C2, F-B1, F-B2 및 F-B3 • 독일의 ZSIEC 보안기능 : F-IN(무결성), F-AV(가용성), F-DI(전송 데 이터 무결성), F-DC(비밀성) 및 F-DX(전송 데이터 비밀성) – 보증등급 : E1(최저), E2, E3, E4, E5, E6(최고)의 6등급, E0등급 은 부적한 판정 • 효율성 보증 요구사항은 모든 시스템에 대해 공통으로 요구되는 것이며, 등급은 정확성 보증을 위해 요구되는 사항에 따라 결정 CC (Common Criteria) • 목적 – 현존하는 평가기준의 조화를 통해 평가결과 상호 인증 – 평가의 상호인증을 위한 골격제시 – 평가기준의 향후 발전방향 정립 • • 1993년에 개발합의, 1996년 1월에 CC version 1.0 발표, 1999년 9월 에 CC Version 2.1(Final) 발표 참여 국가 – 미국(NIST, NSA), 캐나다(CSE), 프랑스 (SCSSI), 독일(BSI), 네덜란드(NLNCSA) 및 영국(CESG) 등 6개국 • 구성 – – – – – • Part Part Part Part Part 1 2 3 4 5 : : : : : 소개 및 일반 모델 제시 보안기능 요구사항 보증 요구사항 이미 정의된 보호프로파일 기술 보호 프로파일 등록 절차 평가방법론 – CEM(Common Evaluation Methodology for Information Technology Security) CC (Common Criteria) • 평가과정 – TOE(Target of Evaluation)가 보안 목표명세서를 만족하는지 확인 • 보안개념 : – 보안환경은 TOE를 사용하려는 환경 을 가정하고 보안규칙, 조직의 보안 정책 및 보안위협 등을 서술 – TSF(TOE Security Function) 의 모든 부분을 TSP(TOE Security Policy)에 따라 정의 – TOE 보안정책은 TOE에서 요구되는 모든 보안정책 – TOE의 평가는 TSP가 TOE 자원 전체 에 적용됨을 보장 – 보안기능 정책은 통제 범위를 가지며, 보안기능정책에 의해 통제되는 주체, 객체, 오퍼레이션으로 정의 – 보안기능 정책들은 정책수행을 위해 요구되는 기능들을 제공하는 메커니 즘에 의하여 구현될 수 있음. TOE(Target of Evaluation) 평가를 위해 제출된 IT제품, 시스템 및 사용자/관리자 설명서 TOE Security Function (TSF) TSF 가 올바르게 수행되도록 하는 신뢰성을 가진TOE의 모든 부분 TOE Security Policy (TSP) TOE 내부에서 자신을 관리 보호 및 분배하는 방법을 규정한 규칙 CC (Common Criteria) • 보호프로파일(PP : Protection Profile) – IT제품 및 시스템을 분류하고 각 특성 에 맞는 보안목표를 유용하고 효과적 으로 표현하도록 기준의 보안기능 요 구사항을 선택하여 보호프로파일을 작 성함. – IT제품이나 시스템은 보호프로파일을 새로 작성할 필요 없이 기존에 작성되 어 있는 보호프로파일을 활용 • 보안목표명세서(ST : Security Target) – 평가활동의 기초자료로서 TOE에서 요 구되는 보안요구사항과 객체들을 포함 하며, 요구사항을 만족시키기 위하여 TOE가 제공하는 기능과 보증평가를 정 의 – ST 작성자는 한 개 이상의 보호프로파 일에 적합하도록 보안목표명세서를 작 성 • 보호프로파일/보안목표명세서 평가 기능형 컴포넌트 소비자 욕구 보증컴포넌트 보호프로파일(PP) 보증등급 FAL1 ~ FAL7 보안목표명세서(SP) 평가의뢰인/개발자 CC (Common Criteria) • 보안기능 Component 구성요소 – – – – 클래스(CLASS) : 공통내용을 가진 패밀리의 그룹화 패밀리(FAMILY) : 공통된 보안목적을 가지는 컴포넌트의 그룹화 컴포넌트(COMPONENT) : 실제 보안요구사항을 정의 패키지(PACKAGE) : 부분 보안목적을 만족시키는 보안기능 및 보증 컴포넌트들의 혼합으로 써 재사용 가능한 집합 CLASS FAMILY Component A Component B FAMILY Component C Component D PACKAGE Component E • Component 구성요소 POSIX 1003 • POSIX(Portable Operating System Interface) 1003.1e – POSIX 표준의 하나로 다음 사항들에 대한 Security Interface를 정 의 • POSIX 1003.2c – POSIX 표준의 하나로 다음 사항들에 대한 Security Utility를 정의 접근통제 리스트 (Access Control List) 감사 (Audit) 특권의 분리 (Separation of Privilege) 강제적 접근통제 (Mandatory Access Control) 정보 레이블 메커니즘 (Information Label Mechanism) POSIX 1003 • draft and withdrawn – 1998년 이후 중단된 상태이지만, 여전히 vendor들에 의해 참조 되고 있음 • 구현 사례 – Linux • Process privilege를 적용한 C-library 구현 • ftp://ftp.de.kernel.org/pub/linux/libs/security/linuxprivs/kernel-2.2 – FreeBSD • FreeBSD Hardening Project의 일환 • FreeBSD 4.0을 기반으로 POSIX 1003.1c 구현 중 • http://www.watson.org/fbsd-hardening/posix1e/ 50 POSIX 1003 ACL Function 정의 예 acl_copy_entry() acl_create_entry() ACL에 새로운 entry를 생성 acl_delete_entry() ACL에서 entry를 제거 acl_get_entry() ACL Storage Management ACL entry를 다른 ACL entry에 복사 acl_valid() ACL entry의 descriptor를 리턴 ACL의 유효성을 검사 acl_add_perm() 주어진 permission set에 permission을 추가 acl_calc_mask() Define된 ACL MASK를 이용하여 permission을 세팅 acl_clear_perms() 주어진 permission set에서 모든 permission을 제거 acl_delete_perm() 주어진 permission set에서 permission을 제거 acl_get_permset() 주어진 ACL entry의 permission을 리턴 acl_set_permset() 주어진 ACL entry의 permission을 세팅 51 POSIX 1003 acl_delete_def_file() 객체에서 default ACL을 제거 ACL Manipulation On Object ACL Format Translation acl_get_fd() 주어진 file descriptor의 ACL을 읽는다 acl_get_file() 주어진 file에 대한 ACL을 읽는다 acl_set_fd() 주어진 ACL을 file descriptor가 가리키는 객체에게 세팅 acl_set_file() 주어진 ACL을 file 객체에 세팅 acl_copy_ext() Internal형식의 ACL을 external 형식으로 변환 acl_copy_int() External형식의 ACL을 internal 형식으로 변환 acl_form_text() acl_size() acl_to_text() Text형식의 ACL을 internal 형식으로 변환 External 형식의 저장에 필요한 바이트 크기를 리턴 Internal 형식의 ACL을 text형식으로 변환 ※ external 형식 : 외부에서 사용될 수 있는 영속적인 형식 internal form : 내부적으로 사용되는 형식, text 형식 : ACL을 structured text로 표현한 형식 52 IT Security Layer Network Layer Firewall Network IDS PKI & Encryption Server Layer Anti-Virus Host IDS Trusted OS OS Architecture • Operating System : Application Programming Interface(API) Application Application System calls, Libraries and Commands System Call Interface Kernel HW-OS Interface (eg. Intel MP-Spec) Application Hardware Operating System Operating System Approaches • Integrated Kernel Approach – “Monolithic kernel” – Function calling – Eg) UnixWare, Solaris, AIX, HP-UX, DG-UX, IRIX, etc • Microkernel Approach API Integrated Kernel Hardware API Server Server Server – Server based on MK Microkernel – Message passing Hardware – Eg) Cray UNICOS/mk, CMU Mach SunSoft Chorus, Digital UNIX, Security Kernel Concept • Security Kernel is based on the concept of a Reference monitor Objects Subjects Security Kernel Reference Monitor Model Audit File Subjects Reference Monitor Access Control Database Principles of the Reference Monitor - Completeness - Isolation - Verifiability Objects 접근통제의 응용 보안커널 구조의 예 User Applications Commercial OS’s UNIX MS-DOS WINDOWS OTHER TMACH Trusted Servers TMACH KERNEL Machine Dependent CODE Vendor Machine 접근통제의 응용(보안 DBMS) 보안 DBMS 구조 : 커널 구조 • 1974년부터 연구시작 • Air Force Studies Boards(1983) - Multilevel Security 지원 user1 user2 Top Secret Trusted Connection Secret Confidential userN Unclassified 접근통제의 응용(계속) 보안 DBMS 구조 : 중복 구조 • 1983년부터 연구 시작 • SINTRA(1993, 미해군연구소) - 복사본 유지 TS S C U user1 user2 Trusted Connection Top Secret(TS) S C U Secret (S) C U userN Unclassified(U) Confidential (C) U 접근통제의 제품(OS) 평가기준 등급 B3 TCSEC (미국) 영국 ITSEC 독일 B2 B1 C2 제품수 Wang Government Services Inc.의 XTS-200 STOP 4.1a외 3종 Honeywell Information Systems(HIS)의 Multics MR11.1 외 3종 HP의 HP-UX BLS Release 9.09+ 외 17종 C1 Microsoft의 Windows NT Version 3.5외 21종 IBM의 Resource Access Control Facility(RACF) Version 1 Release 5 E4 IBM United Kingdom Ltd. 의 IBM PR/SM ES/9000 E3 E2 Bull Information System Ltd.의 BEST-X/B1 (Bull Enhanced Security Technplogy) 외 11종 Sun Microsystems Ltd. 의 Sun Solaris 2.4SE 외 1종 E3 IBM Deutschland의 AIX V4.2 외 2종 E2 Siemens Nixforf의 SINIX V5.42/ AUDIT V1.0 총합계 총 59개 총 15개 총 4개 접근통제의 제품(DBMS) 평가기준 TDI (미국) ITSEC (영국) 등급 B1 C2 E3 제품수 총합계 Sybase Inc.의 Secure SQL Server Version 11.0.6외 5종 Informix Software Inc.의 INFORMIXOnline/ Secure 5.0외 1종 총 8개 Oracle Corporation의 Oracle 7 and Trusted 총 2개 Oracle 7 Release 7.0.13.6외 1종