TCSEC(Trusted Computer System Evaluation)

TCSEC(Trusted Computer System Evaluation)

1. 개요

1) 오렌지북(Orange Book)이라 불리며 미국 NCSC(National Computer Security Center) 에서 시스템 내의 보안관련 하드웨어 및 소프트웨어의 신뢰수준을 평가하는 방법.

 

2) 보안정책, 책임추적성, 보장성, 문서화 등을 사용.

2. TCSEC의 단계별 보안표준

※ C1, C2 : 임의적 정책

※ B1, B2, B3, A1 : 임의적 및 강제적 정책

※ C2 ~ B3 : 감사추적 요구사항의 강화

※ B2 ~ A1 : 정형화된 검증, 침투시험 강화, 형상관리 강화, 비밀채널 강화

3. TCSEC의 문제점

1) 오렌지북(Orange Book)은 운영체제와 기밀성에만 중점을 두어 평가하는 데에 있어 많은 비판을 받고있다.

2) 가장 많은 문제가 발생하는 부분은 인가받지 않은 부분에 의한 정보의 훼손이 아니라 인가받은 내부자의 의한 발생이 더 많기 때문이다.

3) 레드북(Red book)은 오렌지의 문제점 때문에 나온 대안으로 네트워크의 구성 요소와 관련된 보안이슈를 다루고 있지만, 기밀성과 무결성만 다루고 가용성은 취급하지 않고 있다.