반응형

ITSEC(Information Technology Security Evaluation)


1. 개요


1) 독일, 프랑스, 네덜란드, 영국 등 유럽 4개국이 평가제품의 상호인정 및 평가기준이 상이함에 따른 불합리함을 보완하기 위하여 작성한 유럽형 보안기준이다.


2) 기밀성, 무결성, 가용성을 다루고 있으며, 기능성과 보증을 분리하여 평가한다.


3) TCSEC와 비교하면, TCSEC은 제한성이 너무 많은 방면 ITSEC은 지나치게 많은 융통성을 부여한다.


2. ITSEC의 보안등급


 구분

 내용

E0

 부적절한 모습  

 E1 

 보안목표를 만족하는지에 대한 기능적 테스트

E2

 상세한 디자인의 기술 

 E3 

 소스코드와 하드웨어 도면 전면 제공

 E4 

 기반이 되는 보안정책 모델 

 E5 

 상세 디자인, 하드웨어 도면과 소스코드 사이의 유사성 

 E6 

 보안정책과 모델 사이의 일관성 


반응형
저작자표시

'자격증 자료 > 정보보안기사' 카테고리의 다른 글

ISMS(Information Security Management System)  (0) 2018.09.06
공통 평가기준(CC, Common Criteria)  (0) 2018.09.06
TCSEC(Trusted Computer System Evaluation)  (0) 2018.09.06
네트워크 기본 이론 정리  (0) 2017.07.26
네트워크 프로토콜 정리  (0) 2017.07.25
반응형

TCSEC(Trusted Computer System Evaluation)


1. 개요


1) 오렌지북(Orange Book)이라 불리며 미국 NCSC(National Computer Security Center) 에서 시스템 내의 보안관련 하드웨어 및 소프트웨어의 신뢰수준을 평가하는 방법.

 

2) 보안정책, 책임추적성, 보장성, 문서화 등을 사용.


2. TCSEC의 단계별 보안표준



※ C1, C2 : 임의적 정책

※ B1, B2, B3, A1 : 임의적 및 강제적 정책

※ C2 ~ B3 : 감사추적 요구사항의 강화

※ B2 ~ A1 : 정형화된 검증, 침투시험 강화, 형상관리 강화, 비밀채널 강화


3. TCSEC의 문제점


1) 오렌지북(Orange Book)은 운영체제와 기밀성에만 중점을 두어 평가하는 데에 있어 많은 비판을 받고있다.


2) 가장 많은 문제가 발생하는 부분은 인가받지 않은 부분에 의한 정보의 훼손이 아니라 인가받은 내부자의 의한 발생이 더 많기 때문이다.


3) 레드북(Red book)은 오렌지의 문제점 때문에 나온 대안으로 네트워크의 구성 요소와 관련된 보안이슈를 다루고 있지만, 기밀성과 무결성만 다루고 가용성은 취급하지 않고 있다.


반응형
저작자표시

'자격증 자료 > 정보보안기사' 카테고리의 다른 글

공통 평가기준(CC, Common Criteria)  (0) 2018.09.06
ITSEC(Information Technology Security Evaluation)  (0) 2018.09.06
네트워크 기본 이론 정리  (0) 2017.07.26
네트워크 프로토콜 정리  (0) 2017.07.25
네트워크 기초  (0) 2017.07.13

+ Recent posts

티스토리툴바