Download presentation
Presentation is loading. Please wait.
Published byEmory Fields Modified 5년 전
1
정보통신부 정보보호산업과 김 영 문 (mun@mic.go.kr)
침입탐지시스템 평가기준 제정 배경 정보통신부 정보보호산업과 김 영 문
2
목 차 정보보호시스템 평가제도 개요 국외 정보보호시스템 평가제도 현황 국제상호인정제도 침입탐지시스템 평가기준 제정 개요
목 차 정보보호시스템 평가제도 개요 국외 정보보호시스템 평가제도 현황 국제상호인정제도 침입탐지시스템 평가기준 제정 개요 기대 효과 향후 계획 정 보 통 신 부
3
정보보호시스템 평가제도 개요 정의 : 법적근거
정보보호시스템을 일반 사용자가 안전하게 사용할 수 있도록 제품의 신뢰성 보증하기 위한 법제도 및 기술체계 법적근거 정보화촉진기본법 제15조, 시행령 제16조 침입차단시스템 평가기준 및 지침 고시(‘98. 2.) 침입차단시스템 평가기준 개정고시(‘ ) 정보보호시스템 평가•인증지침 개정고시(‘ ) * 세계 7번째로 평가기준 제정 정 보 통 신 부
4
정보보호시스템 평가 개요 목 적 평가 내용 평가 현황 방화벽, 침입탐지시스템 등의 보안,보증기능
국가주요기반보호 및 전자상거래의 안전 •신뢰성 제고 평가 내용 방화벽, 침입탐지시스템 등의 보안,보증기능 평가 현황 침입차단시스템 5개제품 평가 완료 평가소요기간 : 1제품당 6개월(3명/1제품당) 영국의 경우 5명이 8개월이상 소요 정 보 통 신 부
5
해외 평가제도 운영 현황 미국 : TCSEC(‘83) 캐나다 : CTCPEC(‘93)
해외 평가제도 운영 현황 미국 : TCSEC(‘83) 캐나다 : CTCPEC(‘93) 영국, 독일, 프랑스, 네덜란드 : ITSEC V1.2(‘91) 국가기관용과 민간용 평가로 구분 실시 제품별 평가기준와 공통평가기준 병행 적용 미국의 경우 NCSC(국가용), 5개의 TEF(민간) 영국의 경우 CESG(국가용), 5개의 CREF(민간) 정 보 통 신 부
6
국내외 평가기준 개발 현황 o 미국 o 유럽 o 캐나다 o 국제 o 한국 ’83 ’85 ’90 ’95 ’99 TNI CSSI
TCSEC : Trusted Computer System Evaluation Criteria TNI : Trusted Network Interpretation of TCSEC TDI : Trusted DBMS Interpretation of TCSEC CSSI : Computer Security Subsystem Interpretation CSSI TNI o 미국 국가 년도 ’ ’ ’ ’ ’99 TCSEC DoD 표준 TDI ITSEC 1.0 1.2 o 국제 o 캐나다 o 유럽 o 한국 FC CTCPEC 3.0e CC 침입차단 시스템 기준 정보보호 영국, 독일 프랑스 기준 2.0 FC : Federal Criteria ITSEC : Information Technology Security Evaluation Criteria CTCPEC : Canadian Trusted Computer Product Evaluation Criteria CC : Common Criteria 2.1 정 보 통 신 부
7
국가별 평가기준 비교 (보증 측면) 정 보 통 신 부 미국 캐나다 유럽 국제 한국 FC PP 보증 TCSEC CTCPEC
ITSEC Common Criteria 침입차단시스템 평가기준 부적절한 보증 기능시험 EAL0 부적절한 E0 최소한의 보호 D K0 구조시험 EAL1 비정형적 기본설계 E1 F-C1 임의적 보호 C1 K1(E) 방법론적 시험 과 점검 EAL2 E2 F-C2 통제된 접근보호 C2 T1 K2(E) 방법론적 설계, 시험 및 검토 EAL3 소스코드와 하드웨어 도면제공 E3 F-B1 레이블된 B1 T2 T3 K4(E) CS-1 LP-1 CS-2 CS-3 T4 준정형적 설계 및 시험 EAL4 준정형적 기능명세서 상세설계 E4 F-B2 구조적 B2 K5(E) LP-2 T5 준정형적 검증된 설계 및 시험 EAL5 보안요소 상호관계 E5 F-B3 보안 영역 B3 T6 K6(E) LP-3 정형적 검증 EAL6 정형적 E6 검증된 설계 A1 T7 K7(E) LP-4 EAL7 K3(E) 정 보 통 신 부
8
국제공통평가기준(CC) 목적 특장점 보안요구사항의 유연성 부여 평가의 상호인증(Mutual Recognition) 골격 제시
1999년 6월 ISO 국제표준으로 제정 특장점 단일평가기준으로 다양한 정보보호제품 평가 제품 유형 및 기술추세에 적합한 PP 개발로 평가기준 의 유연성 부여 정보보호시스템 평가기준의 범용성 확보 국제표준 수용으로 전세계적으로 공개 등록된 PP 활용 정 보 통 신 부
9
국제공동 평가기준 요구사항 개요 CC V2.0 V2.1 CTCPEC FC TCSEC ITSEC 국제공통평가기준 개발 방향
(USA) CTCPEC (Canada) ITSEC (Europe) Alignment Activity V2.1 정 보 통 신 부
10
TOE 평가 EAL7 EAL1 국제공통평가기준 기본 체계(2) 보증요구사항 기능요구사항 보호프로파일 사용자의 수요
평가의뢰인 개발자 보안목표명세서 EAL7 EAL1 기능요구사항 보증요구사항 정 보 통 신 부
11
국제공통평가기준(CC) CC 수용 시 전제조건 CC 수용 추진방안 국내 정보보호업체 및 사용자의 PP/ST 개발 능력 함양
정보보호제품 평가 관련 법제도 정비 CC 및 PP 개발 및 구축환경 조성 정 보 통 신 부
12
국제상호인정제도(1) CC-MRA(CC-Mutual Recognition Arrangement)
미국(NSA,NIST), 영국(CESG), 프랑스(SCSSI), 독일(BSI),캐나다(CSE)등 5개국 중심 구성( ) 호주(AISEP), 뉴질랜드(GCSB) 신규 가입( ) MRA 가입 국가간 CC와 CEM(Common Criteria Evaluation Methodology)을 이용한 평가결과에 대한 정보보호제품 평가인증서 상호인정 정 보 통 신 부
13
국제상호인정제도(2) CC-RA(Arrangement on the Recognition of CC)
CAP 7개국과 CCP 6개국이 중심( , 제1차 ICCC) CAP(Certificate Authorizing Participants): 인증서 발행국가(미국, 캐나다, 영국, 독일, 프랑스, 호주, 뉴질랜드) CCP(Certificate Consuming Participants): 인증서 활용국가(네델란드, 이탈리아, 그리스, 핀란드, 노르웨이, 스페인) 가입국간 정보보호시스템 평가제품의 상호인정 기존 CC-MRA체제를 CC-RA체제로 전환하면서 회원국을 평가 인증기관 역량에 따라 CAP와 CCP로 구분하여 이원화 ITSEC 기반의 MRA의 회원국들을 새로운 회원국으로 흡수 정 보 통 신 부
14
국제상호인정제도(3) 국제상호인정제도 기대효과 유의사항 국내 정보보호제품 수출 경쟁력 강화 국제적으로 평가기술 입증기회 제공
공개된 PP를 준용하여 국제수준에 적합한 제품 개발 평가 결과의 상호인정을 통한 평가비용 부담 감소 국제적으로 평가기술 입증기회 제공 유의사항 경쟁력있는 국산제품이 부족하고, 대응능력이 떨어질 경우 국내시장 잠식우려 정 보 통 신 부
15
국내 평가제도 발전방향 정보보호시스템 평가기준 확대 개발 국제상호인정 대비 민간평가기관 도입 검토
CC 기반의 평가체계 연구 및 환경 구축 CC-RA 회원국과의 지속적인 협력체계 구축 국내 개발 제품의 국외 평가기관을 통한 평가 추진 민간평가기관 도입 검토 민간평가기관 지정 요건 및 법 제도 정비 국내 평가전문가 육성 및 평가기술 확보 정 보 통 신 부
16
침입탐지시스템 평가기준 개발 배경 국내시장 제품 개발 현황 및 시장수요 반영 개발 일정
국내외 상용제품 및 사용자 요구사항 분석 산 학 연 전문가 의견 수렴 ‘ 월사이 총 5회의 산업체 전문가 의견수렴 KISA 홈페이지를 통한 의견수렴( ) 공청회실시( ) 정보통신부장관 고시(7월초 예정) 정 보 통 신 부
17
기대 효과 공공 및 민간기관 정보보호시스템의 안전• 신뢰성 향상 및 보안유지비 절감 국내 정보보호시스템의 품질향상 촉진
정보보호산업체의 기술 향상 유도 기대 신뢰성 있는 정보보호시스템 개발 및 보급촉진 정보보호시스템 구매지침으로 활용가능 국내 정보보호산업의 활성화 정 보 통 신 부
18
향후 계획 평가기준 확대개발 CC 체계 도입 선행연구(2000~) 국제상호인정제도 수용 타당성 연구 (2000~)
: 침입탐지시스템 평가기준 고시 : 스마트카드 평가기준 제정 : CA서버 평가기준 제정 CC 체계 도입 선행연구(2000~) CC기반의 시범 평가체계(PP, CEM, ST) 구축 국제상호인정제도 수용 타당성 연구 (2000~) 정 보 통 신 부
Similar presentations