Common Crieria 보증문서

Transcription

1 Common Criteria Certification Absolute-STD-001 AhnLab Suhoshin Absolute v3.0 보안목표명세서 Version 001 Revision 6 Ahnlab Inc. 6th FL, CCMM Bldg, 12 Yeouido-dong, Yeongdeungpo-gu, Seoul, Korea

2 변경이력 변경번호변경일자변경 ( 작성 ) 자내용 /01/07 skheo 최초등록 /05/26 skheo 침입차단시스템보호프로파일 v2.0( ) 수정사항반영, PP 변경내역 공통평가기준 Version 3.1r2 반영 보호프로파일구조, 용어및약어변경 FPT_SEP, RVM 삭제및그와관련된 O. 자체기능보호, T. 우회접근, T. 새로운공격삭제 TE. 관리부실 (A. 신뢰된관리자와상충 ), TE. 배포설치 ( 보증요구사항 ALC_DEL, AGD_PRE에서다룸 ) 삭제및그와대응되는 OE. 안전한관리삭제 FAU_SAR, FAU_STG는 TOE 보안기능으로완전히구현할수없는경우 TOE 운영환경에서지원받을수있음을 " 응용시주의사항 " 에명시 O. 접근통제, FDP_ACC, FDP_ACF는 FDP_IFC, FDP_IFF로충분히만족되므로삭제 FPT_STM.1은 OE. 타임스탬프로변경 FPT_AMT.1 삭제하고, TOE 구현에 따라 FPT_TEE.1(TOE와상호작용하는외부실체시험 ) 이추 가되어야함을 6. 보호프로파일응용시주의사항 에 명시 EAL3+ 에서 EAL4로평가보증등급변경 EAL4에 ADV_IMP.1이포함되므로 T. 결함코드, O. 결함 코드검사삭제 EAL4에서요구하는 AVA_VAN.3에대응할수있도록 공격수준을낮음에서강화된-기본으로수정 기타 : 내용보강, 편집오류등수정 EOR-01 반영 /07/08 skheo EOR-03 반영 참고자료수정, 기타 ( 내용보강 : TSS의참조식별등 ) /09/12 skheo TOE 전용하드웨어플랫폼제외및하드웨어사양변경등 : A1000R(2) 평가범위에서제외, A400 하드웨어사양변경 보안기능요구사항오퍼레이션 수정 : FAU_STG.1,, FPT_ITT.1 등 /10/17 skheo FSP OR 반영 : 참조삭제등 보안기능요구사항오퍼레이션수정 FAU_SEL.1, FAU_STG.4, FAU_ARP.1,, FIA_AFL.1 등 /01/09 skheo truenani 신규하드웨어플랫폼추가에따른제품추가 - AhnLab Suhoshin Absolute 100 R(2) v3.0 제품추가 AhnLab Suhoshin Absolute 400 R(0)/(1) v3.0 제품 RAM 메모리용량증설에따른제품추가 - AhnLab Suhoshin Absolute 400 R(3) v3.0

3 - AhnLab Suhoshin Absolute 400 R(4) v3.0 콘텐츠필터의프록시동시연결수최대값변경 DDos 차단의정책적용시간최소값변경 - 이하여백 -

4 목차 변경이력... i 목차... i 표목차...iv 그림목차... v 1 보안목표명세서소개 보안목표명세서참조 TOE 참조 TOE 개요 TOE의용도및주요보안특성 TOE 유형 TOE에서요구되는평가대상이외의 ( 비-TOE) 하드웨어 / 소프트웨어 / 펌웨어 TOE 설명 TOE 운영환경 물리적범위 논리적범위 작성규칙 용어정의 보안목표명세서의구성 준수선언 공통평가기준준수 보호프로파일준수 패키지준수 준수선언의이론적근거 보안문제정의준수선언의이론적근거 보안목적준수선언의이론적근거 보안기능요구사항준수선언의이론적근거 보증요구사항준수선언의이론적근거 보안문제정의 위협 위협 위협 ( 추가 ) 조직의보안정책 조직의보안정책 가정사항 가정사항 i

5 3.3.2 가정사항 ( 추가 ) 보안목적 TOE 보안목적 TOE 보안목적 TOE 보안목적 ( 추가 ) 운영환경에대한보안목적 운영환경에대한보안목적 운영환경에대한보안목적 ( 추가 ) 보안목적의이론적근거 TOE 보안목적의이론적근거 운영환경에대한보안목적의이론적근거 확장컴포넌트정의 확장컴포넌트정의 보안요구사항 보안기능요구사항 보안감사 사용자데이터보호 식별및인증 보안관리 TSF 보호 TOE 접근 보안기능요구사항 ( 추가 ) 사용자데이터보호 TSF 보호 자원활용 보증요구사항 보안목표명세서 개발 설명서 생명주기지원 시험 취약성분석 보안요구사항의이론적근거 보안기능요구사항의이론적근거 보증요구사항의이론적근거 종속관계에대한이론적근거 보안기능요구사항의종속관계 보증요구사항의종속관계 ii

6 7 TOE 요약명세 TOE 보안기능성 보안감사 사용자데이터보호 식별및인증 보안관리 보안감사데이터관리 / 검토 TSF 보호 TOE 접근 참고자료 iii

7 표목차 표 1-1 TOE 전용하드웨어플랫폼... 4 표 1-2 관리자시스템권장사양 ( HTTPS, SSH 통신 )... 8 표 1-3 관리자시스템권장사양 ( 직렬데이터통신 )... 8 표 1-4 감사데이터관리시스템권장사양... 9 표 1-5 사용자인증프로그램이운용되는시스템권장사양... 9 표 2-1 보안문제정의준수선언의이론적근거-위협 표 2-2 보안문제정의준수선언의이론적근거-조직의보안정책...38 표 2-3 보안문제정의준수선언의이론적근거-가정사항...38 표 2-4 보안목적준수선언의이론적근거-TOE 보안목적...38 표 2-5 보안목적준수선언의이론적근거-운영환경에대한보안목적 표 2-6 보안기능요구사항준수선언의이론적근거 표 2-7 보증요구사항준수의이론적근거 표 3-1 보안문제정의-보안목표명세서에서추가 표 4-1 보안목적-보안목표명세서에서추가...48 표 4-2 보안문제정의와보안목적대응 표 6-1 주체와객체및관련보안속성, 오퍼레이션정의 표 6-2 외부실체정의 표 6-3 FW-PP 에추가한보안기능요구사항...68 표 6-4 보안기능요구사항...69 표 6-5 감사대상사건 표 6-6 감사데이터유형및감사데이터유형에따른기준 ( 검색, 정렬 )...74 표 6-7 보안기능목록및보안기능관리능력...86 표 6-8 보안속성목록및관리능력 표 6-9 접근통제 SFP 및정보흐름통제 SFP...90 표 6-10 TSF 데이터목록및관리능력...91 표 6-11 보안역할구분 (1) 표 6-12 보안역할구분 (2)...96 표 6-13 사용자비활동기간...98 표 6-14 보안기능요구사항 ( 추가 )...99 표 6-15 Application Filtering SFP의세부규칙에따른허용규칙 표 6-16 Network Address Translation(NAT) SFP의주소변환규칙 표 6-17 장애유형및 TOE 기능목록 표 6-18 보증요구사항 표 6-19 보안목적과보안기능요구사항대응 표 6-20 보안목적과보안기능요구사항대응 ( 계속 ) iv

8 표 6-21 보안목적과보안기능요구사항대응 ( 계속 ) 표 6-22 기능컴포넌트종속관계 그림목차 그림 1-1 TOE 운영환경예시 (In-line 모드 )...14 그림 1-2 TOE 운영환경예시 (HA 모드 )...14 그림 1-3 TOE 의논리적범위...18 v

9 1 보안목표명세서소개 1 본문서는공통평가기준 (Common Criteria) EAL4 등급을목표로하는 안철수연구소의 AhnLab Suhoshin Absolute v3.0 보안목표명세서이다. 1.1 보안목표명세서참조 2 본보안목표명세서는다음과같이식별된다. 제목 : AhnLab Suhoshin Absolute v3.0 보안목표명세서 버전 / 변경번호 : 작성자 : 안철수연구소 (Ahnlab Inc.) 발간일 : 형상식별번호 : Absolute-STD 파일명 : Absolute-STD-001.doc 1.2 TOE 참조 3 본보안목표명세서를준수하는 TOE는다음과같이식별된다. 개발자 : 안철수연구소 (Ahnlab Inc.) TOE 이름 / 버전 : AhnLab Suhoshin Absolute v3.0 UTM 데몬패키지 : pkg AhnLab Suhoshin Absolute Log Server (build21) Log Server (build21), Log Viewer (build21), Log Reporter (build21) [ 참고사항 ] TOE가탑재된제품은전용하드웨어플랫폼에따라다음과같이식별된다. AhnLab Suhoshin Absolute 1000 R(0) v3.0 AhnLab Suhoshin Absolute 1000 R(1) v3.0 AhnLab Suhoshin Absolute 400 R(0) v3.0 AhnLab Suhoshin Absolute 400 R(1) v3.0 AhnLab Suhoshin Absolute 400 R(2) v3.0 AhnLab Suhoshin Absolute 400 R(3) v3.0 AhnLab Suhoshin Absolute 400 R(4) v3.0 AhnLab Suhoshin Absolute 100 R(0) v3.0 AhnLab Suhoshin Absolute 100 R(1) v3.0 AhnLab Suhoshin Absolute 100 R(2) v3.0 1 펌웨어이미지 : AhnLab-UTM-NOS

10 1.3 TOE 개요 4 본절에서는 TOE의용도및주요보안특성을서술한다. 또한 TOE 유형을식별하고 TOE에의해요구되지만 TOE가아닌주요하드웨어, 소프트웨어, 펌웨어를식별한다. 5 TOE는네트워크보안기능을수행하는통합보안시스템 (UTM; Unified Threat Management) 이다. 즉, TOE는침입차단시스템 (Firewall), 침입방지시스템 (IPS) 으로네트워크침입차단및방지기술을통하여바이러스, 스팸등유해콘텐츠를다양한계층에서탐지하고차단한다. 또한 DDoS 공격을방어한다. 이러한기능들은전용하드웨어장비를통해제공된다. TOE는기본적인방화벽및 IPS 기능을제공한다. TOE는트래픽제어 (Traffic Control) 및시스템격리 (Quarantine) 기능을제공한다. TOE는각보안기능이독립적으로동작할뿐만아니라각보안기능들이서로유기적으로결합되어있어서보다효율적으로기능을제공한다. TOE는콘텐츠보안 (Content Security) 기능강화를위해지속적이고즉각적인침입탐지규칙업데이트서비스를제공한다. TOE는다양한보안기능을가진전용장비의설정및관리의편의성을제공하며, 운영중발생하는다양한통계및모니터링을통해효과적으로파악할수있는기능, 필요시즉각적인방어기능을제공한다. 이와더불어 TOE는 TOE 운영환경의 Anti-Virus 엔진과의연동을통한바이러스차단기능을제공하여복합적이고다양한보안위협에대처할수있다 TOE의용도및주요보안특성 6 TOE는침입차단시스템, 침입방지시스템, 안티스팸, 트래픽제어, 시스템격리와같은네트워크보안기능을수행하는통합보안시스템 (UTM) 이다. 이와더불어 TOE는 TOE 운영환경의안티바이러스 (Anti-Virus) 엔진과의연동을통해바이러스차단기능을제공한다. 7 TOE는전용하드웨어플랫폼상에구현된네트워크보안장비로인터넷과같은외부망과조직의내부망을연결하는지점에인라인 (In-line) 형태로연결된다. 따라서, TOE는내부네트워크와외부네트워크간에전송되는모든정보를처리한다. 8 TOE는이중네트워크호스트 (Dual-homed), 베스천호스트 (Bastion hosts), 스크린서브넷 (Screened-subnet), 스크린호스트 (Screen-host) 등과같은형태로구성될수있으며, 조직의정보보호를위하여다양한형태의설치및운영방법을제공한다. TOE는인라인 (In-line) 형태로설치되어정의된보안정책에따라사용자식별및인증, 침입차단시스템, 침입방지시스템, 안티스팸, 트래픽제어, 시스템격리와같은기능을통한접근통제및정보흐름통제, 데이터보호, 보안감사, 보안관리기능을수행한다. TOE는 TOE 전용보안감사데이터관리프로그램 (MS-Windows 어플리케이션 ) 을통해서보안감사데이터관리기능을제공한다. 더불어 TOE는 TOE( 전용장비 ) 의보안관리인터페이스를통해서도기본적인보안감사데이터관리기능을제공한다. 2

11 9 TOE 는 HA(High Availability) 로구성되어운영될수있다. 따라서인가된관리자가 TOE 를 HA 로구성하여복수대로운영하면, TOE 는일부 TOE 에장애가발생한경우에도다른 TOE 를통 해네트워크서비스를정상적으로제공할수있다. 침입차단시스템 (Firewall) 10 TOE는보호하고자하는네트워크에대한서비스요청을통제하여허가되지않은접근을차단한다. 일반적으로, 침입차단시스템은적용되는네트워크계층에따라패킷필터링 (Packet filtering), 응용계층 (Application level) 게이트웨이, 혼합형등으로분류된다. TOE는이중에서혼합형침입차단시스템에해당된다. TOE는구성및운영방법에따라이중네트워크호스트 (Dual-home), 베스천호스트 (Bastion hosts), 스크린서브넷 (Screened-subnet), 스크린호스트 (Screen-host) 게이트웨이침입차단시스템등으로사용될수있다. 패킷필터 (Packet Filter) 어플리케이션필터 (Application Filter) 네트워크주소변환 (Network Address Translation) 침입방지시스템 (IPS) 11 TOE는외부망으로부터유해한인터넷트래픽이내부망으로유입되는것을차단하기위해 TOE의보안정책에따라네트워크트래픽에대해감시및통제를수행한다. 12 TOE는인터넷망에서내부망으로유입되는유해트래픽을사전에탐지한후차단하여내부망의정보자산및자원을안전하게보호한다. 즉, TOE는컴퓨터시스템및서비스의취약성을악용한해킹, 이메일을통한공격, 바이러스및웜과같은공격을사전에차단한다. 13 또한 TOE는취약성데이터베이스로취약성정보를갱신하는절차를갖추어컴퓨터시스템의취약성발견하여악용하는공격을최대한차단할수있다. 그리하여신종바이러스, 웜또는변형된공격에대하여신속하게대응할수있다. Intrusion Prevention 컨텐츠필터 (Contents Filter) 14 TOE는악의적인코드 (Malicious Code) 에대한탐지및차단 (prevention) 기능을제공하여네트워크를안전하게보호한다 Anti-Virus, Anti-Spam 트래픽제어 (Traffic Control) 15 TOE는전체트래픽및 IP/Port 별로트래픽을제한하는 QoS 기능인 Auto Throttling 기능을제 공한다. 시스템격리 (Quarantine) 16 TOE는 IPS에의해탐지되어격리가필요한 IP 주소를격리하여추가적인악성코드의확산을방지하는기능인시스템격리 (Quarantine) 기능을제공한다. 3

12 1.3.2 TOE 유형 17 TOE는통합보안시스템 (UTM) 이다. TOE는침입차단시스템 (Firewall), 침입방지시스템 (IPS), 안티스팸 (Anti-Spam), 트래픽제어 (Traffic control), 시스템격리 (Quarantine) 등의기능을제공한다. 이와더불어 TOE는 TOE 운영환경의안티바이러스 (Anti-Virus) 엔진과의연동을통해바이러스차단기능을제공한다. TOE는다음과같은유형의제품으로분류될수있다. 통합보안시스템 / 통합위협관리시스템 (UTM) 침입차단시스템 (Firewall) 네트워크침입방지시스템 (IPS)/ 유해트래픽차단시스템 TOE에서요구되는평가대상이외의 ( 비-TOE) 하드웨어 / 소프트웨어 / 펌웨어 18 TOE는 TOE 전용하드웨어에서 안철수연구소의 AhnLab Network Operating System( 이하 'ANOS' 로표기 ) 상에서운영된다. TOE 운영시요구되는평가대상이외의하드웨어, 펌웨어, 소프트웨어는다음과같이식별된다 평가대상이외의하드웨어 19 TOE 운영시요구되는평가대상이외의하드웨어는다음과같다. TOE 전용하드웨어플랫폼 관리자시스템 (GUI/CLI) 감사데이터관리시스템 업데이트서버및 TOE와의연동서버 ( 시스템 ) TOE의사용자인증프로그램이운용되는시스템 TOE 전용하드웨어플랫폼 20 TOE는 TOE 전용하드웨어플랫폼상에서운영된다. TOE가운영되는하드웨어플랫폼자체는평가대상에서제외된다. 21 일반적으로, TOE가탑재된제품은전용하드웨어플랫폼에따라식별된다. 각제품별전용하드웨어플랫폼의세부사양은다음 [ 표 1-1 ] 과같다. 표 1-1 TOE 전용하드웨어플랫폼 구분 AhnLab Suhoshin Absolute 1000 R(0) v3.0 CPU Intel Pentium IV Xeon 2.8GHz Dual RAM 2GB 4GB CF Memory 2GB 2GB AhnLab Suhoshin Absolute 1000 R(1) v3.0 Intel Pentium IV Xeon 3.4GHz Dual NIC 1000 Base-SX Gigabit Ethernet x 4 Ports 10/100 Ethernet x 4 Ports [ 기본형 ] 1000 Base-SX Gigabit Ethernet x 4 Ports (Fiber) 4

13 구분 AhnLab Suhoshin Absolute 1000 R(0) v3.0 AhnLab Suhoshin Absolute 1000 R(1) v3.0 10/100/1000 Ethernet x 4 Ports (Copper)* 1000 Base-SX Gigabit Ethernet x 4 Ports (Fiber)(option)** [ 선택형 ] 1000 Base-SX Gigabit Ethernet x 4 Ports (Fiber) 1000 Base-SX Gigabit Ethernet x 4 Ports (Fiber)* 1000 Base-SX Gigabit Ethernet x 4 Ports (Fiber) (option)** 참고사항 (*) 착탈식하드웨어모듈로고객의요청에따라타입이결정. (**) 착탈식하드웨어모듈로고객의요청에따라추가로장착. Management Port RS-232 x 1 Port RJ45 x 1 Port USB Port - 1 Port* 참고사항 (*) Disable(N/A) Chassis design 19 Rack-Mount(2U) 19 Rack-Mount(2U) Status Display 4-line LCD panel 4-line LCD panel Size 440 x 370 x 87 mm (W x D x H) 426 x 550 x 88.8 mm (W * D * H) Power Dual VAC, 460W Dual VAC, 460W Operating Envi- Temperature: 0 ~ 40 C Temperature: 0 ~ 40 C ronment Storage: -20 ~ 70 C Storage: -20 ~ 70 C Relative humidity: 10 ~ 90 % non-condensing Relative humidity: 5 ~ 95 % non-condensing CPU 구분 AhnLab Suhoshin Absolute 400 R(0) v3.0 Intel Pentium IV Xeon 2.4GHz AhnLab Suhoshin Absolute 400 R(1) v3.0 Intel Pentium IV Xeon 2.8GHz RAM 1GB 1GB 2GB CF Memory 2GB 2GB 2GB AhnLab Suhoshin Absolute 400 R(2) v3.0 Intel core 2 duo 2.13GHz NIC 10/100/1000 Ethernet x 4ports 10/100/1000 Ethernet x 6 Ports 10/100/1000 Ethernet x 4 Ports 5

14 구분 AhnLab Suhoshin Absolute 400 R(0) v3.0 (Copper) AhnLab Suhoshin Absolute 400 R(1) v3.0 (Copper) 1000Base-SX Gigabit Ethernet x 2 Ports (Fiber)(option) AhnLab Suhoshin Absolute 400 R(2) Management Port RS-232 x 1 Port RS-232 x 1 Port RJ45 x 1 Port USB Port - 1 Port* 2 Ports* 참고사항 (*) Disable(N/A) 참고사항 (*) Disable(N/A) Chassis design Rack-Mount(1U) Rack-Mount(1U) Rack-Mount(1U) Status Display 2-line LCD panel 2-line LCD panel 2-line LCD panel v Base-SX Gigabit Ethernet x 2 Ports (Fiber)(option) Size 440 x 370 x 43 mm (W x D x H) Power Single VAC, 350W Operating Environment Temperature: 0~40 C Storage: -20~70 C Relative humidity: 10 ~ 90 % non-condensing 426 x 500 x 44.4 mm (W x D x H) Single VAC, 300W Temperature: 0~40 C Storage: -20~70 C Relative humidity: 10 ~ 90 % non-condensing 443 x 406 x 44.5 mm (W x D x H) Single VAC, 220W Temperature: 5~40 C Storage: 0~70 C Relative humidity: 5 ~ 95 % non-condensing 구분 AhnLab Suhoshin Absolute 400 R(3) v3.0 AhnLab Suhoshin Absolute 400 R(4) v3.0 CPU Intel Pentium IV Xeon 2.4GHz Intel Pentium IV Xeon 2.8GHz RAM 2GB 2GB CF Memory 2GB 2GB NIC Gigabit Ethernet x 4 Ports (Copper) Management Port RS-232 x 1 Port RS-232 x 1 Port USB Port - 1 Port* Gigabit Ethernet x 6 Ports (Copper) Gigabit Ethernet x 2 Ports (Fiber) (option) 참고사항 (*) Disable(N/A) Chassis design 19 Rack-Mount(1U) 19 Rack-Mount(1U) Status Display 2-line LCD panel 2-line LCD panel 6

15 Size 구분 AhnLab Suhoshin Absolute 400 R(3) v x 370 x 43 mm AhnLab Suhoshin Absolute 400 R(4) v x 500 x 44.4 mm (W x D x H) (W x D x H) Power Single VAC, 350W Single VAC, 300W Operating Envi- Temperature: 0~40 C Temperature: 0~40 C ronment Storage: -20~70 C Relative humidity: 10 ~ 90 % Storage: -20~70 C Relative humidity: 10 ~ 90 % non-condensing non-condensing 구분 AhnLab Suhoshin Absolute 100 R(0) v3.0 AhnLab Suhoshin Absolute 100 R(1) v3.0 AhnLab Suhoshin Absolute 100 R(2) v3.0 CPU Intel Pentium 4 1.8GHz Intel Mobile Celeron Intel Core Duo 1.8GHz 1.2GHz RAM 1GB 1GB 2GB CF Memory 2GB 2GB 2GB NIC 10/100 Ethernet x 4 Ports (Copper) Management Port Gigabit Ethernet x 4 Ports (Copper) Gigabit Ethernet x 6 Ports (Copper) RS-232 x 1 Port RS-232 x 1 Port RJ45 x 1 Port USB Port - 2 Ports* 2 Ports* 참고사항 (*) Disable(N/A) 참고사항 (*) Disable(N/A) Chassis design 19 Rack-Mount(1U) 19 Rack-Mount(1U) 19 Rack-Mount(1U) Status Display 2-line LCD panel 2-line LCD panel 2-line LCD panel Size 440 x 370 x 43 mm (W x D x H) Power Single VAC, 200W Operating Environment Temperature: 0 ~ 40 C Storage: -20 ~ 70 C Relative humidity: 10 ~ 90 % non-condensing 426 x 270 x 44.4 mm (W x D x H) Single VAC, 220W Temperature: 0 ~ 40 C Storage: -20 ~ 70 C Relative humidity: 5 ~ 95 % non-condensing 443 x 381 x 44 mm (W x D x H) Single VAC, 150W Temperature: 0 ~ 40 C Storage: -20 ~ 70 C Relative humidity: 5 ~ 95 % non-condensing 관리자시스템 (GUI/CLI) 22 TOE 의보안관리기능을사용하기위해서는웹브라우저또는 SSH 클라이언트프로그램이운 영될수있는관리자시스템이필요하다. TOE 의보안관리를위해사용되는관리자시스템은 평가대상에서제외된다. 7

16 23 관리자시스템의권장사양은다음 [ 표 1-2] 와같다. 일반적으로, 관리자시스템에 TOE 의감 사데이터관리프로그램이설치운영된다. 이경우관리자시스템은감사데이터관리시스템 의권장사양을함께만족해야한다 : [ 표 1-4] 참고. 표 1-2 관리자시스템권장사양 ( HTTPS, SSH 통신 ) 하드웨어사양 구분 CPU RAM HDD 권장사양 Pentium II( 또는호환 ) 300MHz 이상 128MB 이상 2GB이상의여유공간 Network Interface TCP/IP 기반네트워크 ( 최소 NIC 1 개이상 ) 운영체제 MS Windows XP Service Pack 2 이상 필수소프트웨어 SSH1/SSH2 통신규약을지원하는소프트웨어 ( 예 : Putty v0.58 이상 ) HTTPS 통신규약을지원하는웹브라우저 ( 128bit 암호화지원, 예 : Microsoft Internet Explorer 6.0 SP1 이상 ) 24 또한 TOE 는직렬데이터통신을통해서도보안관리기능을제공한다. 직렬데이터통신을통 해보안관리기능을사용하는경우, 관리자시스템의권장사양은다음 [ 표 1-3] 과같다. 표 1-3 관리자시스템권장사양 ( 직렬데이터통신 ) 하드웨어사양 구분 CPU RAM HDD 시리얼통신포트 권장사양 Pentium II( 또는호환 ) 300MHz 이상 128MB 이상 2GB이상의여유공간 RS-232C 운영체제 필수소프트웨어 MS Windows XP Service Pack 2 이상 RS-232C 통신규약을지원하는소프트웨어 ( 예 : Microsoft 하이퍼터미널 v5.1 이상 ) 감사데이터관리시스템 25 TOE는인가된관리자의운영방법에따라선택적으로감사데이터관리시스템을별도로운영할수있다 ( 일반적으로보안관리에사용되는관리자시스템을사용한다 ). 26 감사데이터관리시스템에는 TOE의감사데이터관리프로그램인 AhnLab Suhoshin Absolute LogSever( 이하 'AhnLab LogServer' 또는 ' 로그서버 ' 로표기 ) 가설치된다. 감사데이터관리프로그램가운영되는하드웨어자체는평가대상에서제외된다. 27 감사데이터관리시스템의권장사양은다음 [ 표 1-4] 과같다. 8

17 표 1-4 감사데이터관리시스템권장사양 구분 권장사양 하드웨어사양 CPU RAM Pentium IV 2.66GHz 이상 2GB 이상 HDD 100GB 이상 ( RAID 권장 ) Network Interface TCP/IP 기반네트워크 ( 최소 NIC 1개이상 ) 운영체제 MS Windows Server 2003 필수소프트웨어 MS SQL 서버 2005 업데이트서버및 TOE와의연동서버 28 TOE는업데이트기능과타서버와의연동기능을제공한다. 따라서인가된관리자가정의한보안정책에따라 TOE 운영환경에다음의시스템이추가로필요할수있다. 업데이트서버및 TOE와의연동서버가운영되는하드웨어 ( 시스템 ) 자체는평가대상에서제외된다. 업데이트서버 : Anti-Virus 엔진, TOE 패치및패턴업데이트에사용되는 AST 서버및 CDN 서버 TOE와의연동서버 : Syslog 서버, SNMP Manager 서버, 정보통신윤리위원회 DB 서버, NTP 서버, RADIUS 서버 TOE의사용자인증프로그램이운용되는시스템 29 TOE는인가된관리자가정의한보안정책에따라아이디및일반패스워드또는 OTP 기반의사용자식별및인증기능을제공한다. 이를위해 TOE는네트워크통신을요청한사용자 PC 에사용자인증프로그램인 AhnLab Suhoshin Absolute Auth( 이하 'AhnLab Auth' 로표기 ) 설치를강제한다. 30 AhnLab Auth 가설치운용되는하드웨어 ( 시스템 ) 자체는평가대상에서제외된다. TOE의사용자인증프로그램인 AhnLab Auth 가운용되는시스템의권장사양은다음 [ 표 1-5 ] 과같다. 표 1-5 사용자인증프로그램이운용되는시스템권장사양구분 권장사양 하드웨어사양 CPU RAM HDD Pentium II( 또는호환 ) 300MHz 이상 128MB 이상 2GB 이상의여유공간 Network Interface TCP/IP 기반네트워크 ( 최소 NIC 1 개이상 ) 운영체제 필수소프트웨어 MS Windows 2000 Service Pack 2 이상 Microsoft Internet Explorer 6.0 SP1 이상 9

18 평가대상이외의소프트웨어 31 TOE는인가된관리자가정의한보안정책 ( 기능 ) 의세부옵션에따라다양한외부시스템과의연동기능을제공한다. 다음의소프트웨어들은평가대상에서제외된다. Anti-Virus 엔진, 유해 Web Site DB( 정보통신윤리위원회 ) AST(AhnLab Service Tower), CDN 서버 Syslog 서버, SNMP Manager SSL 통신을지원하는웹브라우저, SSH/Serial 통신을지원하는소프트웨어 MS SQL 서버 NTP(Network Time Protocol) 서버 RADIUS 서버 Anti-Virus 엔진 32 TOE는 안철수연구소의 Anti-Virus 엔진 (V3 엔진 ) 와의연동을통해안티바이러스기능을제공한다. 안티바이러스기능은 TOE의 Application Filtering( 프록시 ) 에서인가된관리자가정의한옵션에따라선택적으로사용된다. TOE는안티바이러스기능이강제되면 TOE 운영환경의 Anti-Virus 엔진을통해바이러스감염여부에대한검사를요청한다. TOE는반환된결과에따라요청된정보흐름을통제한다. TOE가바이러스감염여부를확인하기위해사용되는 Anti-Virus 엔진자체는평가대상에서제외된다. 유해 Web Site DB( 정보통신윤리위원회 ) 33 정보통신윤리위원회의유해 Web Site DB는웹사이트데이터베이스를제공한다. 웹사이트데이터베이스는각종유해사이트및성인동영상, 폭력물등을사전에차단하기위해제공되는데이터베이스이다. TOE는 Application Filtering( 프록시 ) 에서정보통신윤리위원회의데이터베이스서버가제공하는데이터베이스를통해 ( 다운로드하여 ) 유해사이트차단기능을제공한다. 정보통신윤리위원회가제공하는 DB 및업데이트서버는평가대상에서제외된다. AST(AhnLab Service Tower) 34 TOE는 안철수연구소의 AST와의연동기능을제공한다. TOE는업데이트수행을위해 AST 를 CDN 서버와함께사용한다. AST는 안철수연구소의 ASEC 에서제공하는룰을관리하고배포하는시스템이다. AST는평가대상에서제외된다. CDN 서버 35 TOE는 안철수연구소의 CDN 서버와의연동기능을제공한다. TOE는업데이트수행을위해 CDN 서버를사용한다. CDN 서버는일반적으로일종의캐시역할을할수있도록전체네트워크상에동일한콘텐츠내용을복제하여대규모인트라넷또는인터넷상에분산시켜놓은시스템을말한다. CDN 서버는 TOE의업데이트를수행할수있도록보안정책패턴파일및패치파일, 내용등급 DB 파일을제공한다. CDN 서버는평가대상에서제외된다. 10

19 Syslog 서버 36 TOE 는인가된관리자가지정한보안정책에따라 TOE 운용중에발생하는감사데이터를외부 syslog 서버에전송하는기능을제공한다. Syslog 서버는평가대상에서제외된다. SNMP Manager 37 TOE는인가된관리자가지정한보안정책에따라 TOE 운영중에 SNMP Trap 을전송할수있다. SNMP Manager 를통해이러한정보를수집하거나변경할수있다. SNMP Manager 는평가대상에서제외된다. SSL 통신을지원하는웹브라우저 38 TOE는 SSL 통신 (HTTPS) 을지원하는웹브라우저를통해보안관리인터페이스 (GUI) 를제공한다. 이때사용되는웹브라우저는 128bit 이상의암호화를지원해야한다 (OpenSSL 0.9.8i). TOE 보안관리인터페이스 (GUI) 에접근하기위해사용되는웹브라우저는평가대상에서제외된다. SSH/Serial 통신을지원하는소프트웨어 39 TOE는 SSH/Serial 통신소프트웨어를통해보안관리인터페이스 (CLI) 를제공한다. TOE 보안관리인터페이스 (CLI) 에접근하기위해사용되는통신소프트웨어 (OpenSSH v5.1p1) 는평가대상에서제외된다. MS SQL 서버 40 TOE는 TOE 운용중에발생하는감사데이터를저장하기위해 MS SQL 서버를사용한다. 일반적으로, MS SQL 서버는관리자시스템에설치되어운영되지만, 인가된관리자가정의한보안정책에따라별도의감사데이터관리시스템에설치되어운영될수있다. MS SQL 서버는평가대상에서제외된다. 참고로 MS SQL로저장된 TOE의감사데이터는 AhnLab LogServer 를통해관리된다. NTP(Network Time Protocol) 서버 41 TOE는인가된관리자가지정한시간동기화방법에따라선택적으로 NTP 서버를사용한다. NTP는네트워크로연결되어있는컴퓨터들끼리클록시각을동기화시키는데사용되는프로토콜이다. NTP 서버는평가대상에서제외된다. RADIUS 서버 42 기본적으로, TOE는자체보유한인증데몬을통해아이디및패스워드기반의사용자식별및인증기능을제공한다. 여기에추가로, 인가된관리자가지정한경우에한하여, 즉 TOE의 Application Filtering( 프록시 ) 에서인가된관리자가 ' 외부인증서버와의연동을통한사용자식별및인증사용자인증 ' 을강제한경우에선택적으로 RADIUS 서버를사용한다. 만일인가된관리자가 RADIUS 서버를통한사용자식별및인증을강제하게되면, TOE는지정된 RADIUS 서 11

20 버로사용자가입력한아이디및패스워드를전달하여인증을요청한다. TOE 는 RADIUS 서버 가반환한결과에따라사용자인증여부를결정한다. RADIUS 서버는평가대상에서제외된다 평가대상이외의펌웨어 ( 운영체제 ) 43 TOE의운영체제인 ANOS v2.0은평가대상에서제외된다. ANOS v2.0은 'AhnLab Network Operating System' 의줄임말로 안철수연구소의 Network Security Appliance 에탑재되는전용운영체제이다. ANOS v2.0은전용하드웨어플랫폼상에탑재된 CF 메모리에펌웨어의형태로존재한다. 12

21 1.4 TOE 설명 44 TOE는침입차단시스템, 침입방지시스템, 안티스팸, 트래픽제어, 시스템격리와같은네트워크보안기능을수행하는통합보안시스템 (UTM) 이다. 이러한보안기능들은전용하드웨어플랫폼 (Network Security Appliance) 에서수행된다. 또한 TOE 는 TOE 운영환경의안티바이러스엔진과의연동을통해바이러스차단기능을제공한다. 45 TOE는 HA(High Availability) 로구성되어운영될수있다. 따라서 TOE를 HA로구성하여복수대로운영하면, 일부 TOE에장애가발생한경우에도다른 TOE를통해네트워크서비스를정상적으로제공할수있다. 46 TOE는전용하드웨어플랫폼에서동작하는보안기능을관리하기위한웹기반의보안관리인터페이스 (GUI) 와 SSH/Serial 통신기반의보안관리인터페이스 (CLI) 를제공한다. 이와더불어, TOE는 TOE 전용보안감사데이터관리프로그램 (AhnLab LogServer) 을통해서보안감사데이터관리기능을제공한다 TOE 운영환경 47 TOE는전용하드웨어플랫폼상에구현된네트워크보안장비로인터넷과같은외부망과조직의내부망을연결하는지점에인라인 (In-line) 형태로연결된다. 이때 TOE는인가된관리자의운영방법에따라 HA로구성될수있다. [ 그림 1-1], [ 그림 1-2] 48 TOE는보안정책에의하여침입차단시스템, 침입방지시스템, 안티스팸, 트래픽제어, 시스템격리와같은네트워크보안기능을수행하며, 사용자식별및인증, 접근통제및정보흐름통제, 데이터보호, 보안감사, 보안관리기능을수행한다. TOE는외부망으로부터유해한인터넷트래픽이내부망으로유입되는것을차단하기위해 TOE의보안정책에따라네트워크트래픽에대해감시및통제를수행한다. TOE는인터넷망에서내부망으로유입되는유해트래픽을사전에탐지한후차단하여내부망의정보자산및자원을안전하게보호한다. 즉, TOE는컴퓨터시스템및서비스의취약성을악용한해킹, 이메일을통한공격, 바이러스및웜과같은공격을사전에차단한다. TOE는웜 / 바이러스에감염된호스트, 그리고 IPS에의해탐지되어격리가필요한 IP 주소를격리하여추가적인악성코드의확산을방지하는기능인시스템격리기능을수행한다. 49 TOE는다음 [ 그림 1-1], [ 그림 1-2] 과같은형태로네트워크에배치되어운영될수있다. 인가된관리자는 TOE 운영환경의웹기반보안관리인터페이스 (HTTPS) 를통해 TOE 보안관리기능을사용할수있다. 또한이와더불어 TOE의인가된관리자는필요에따라 SSH/Serial 통신프로그램을통해 CLI(Command Line Interface) 를사용할수도있다. 13

22 인라인모드 50 TOE가인라인모드로네트워크에배치되면내부망과외부망의모든네트워크통신은 TOE를통해서이뤄진다. 즉 TOE를통해송 수신되는모든네트워크트래픽에는인가된관리자가정의한보안정책이적용된다. [ 그림 1-1] 그림 1-1 TOE 운영환경예시 (In-line 모드 ) HA(High Availability) 모드 51 HA 모드는위의 [ 그림 1-1] 인라인모드와거의흡사한형태이다. 차이점은 TOE를복수대로구성하여네트워크상에배치한다는것으로, 이를통해일부 TOE에장애가발생한경우에도네트워크가용성을보장할수있다. 이러한경우에도 TOE를통해송 수신되는모든네트워크트래픽에는인가된관리자가정의한보안정책이적용된다. [ 그림 1-2] 그림 1-2 TOE 운영환경예시 (HA 모드 ) 14

23 1.4.2 물리적범위 52 TOE의물리적범위에는 TOE가운영되는전용하드웨어플팻폼의 CF 메모리상에펌웨어형태로저장된 'UTM 데몬패키지 ' 와 CD 형태로제공되는 TOE 감사데이터관리소프트웨어인 AhnLab Suhoshin Absolute Log Server( 이하 'AhnLab LogServer' 또는 ' 로그서버 ' 로표기 ) 가포함된다. 53 또한 TOE의물리적범위에는 TOE를안전한방식으로운영할수있도록하기위해최종사용자 ( 고객 ) 에게전자문서 (CD) 형태로배포되는 ' 사용자운영설명서 ', ' 준비절차서 ' 가포함된다. [ 참고사항 ] TOE는물리적으로다음과같이전용하드웨어플랫폼 (Network Security Appliance) 과관리자시스템으로분리되어운영된다. 여기서, TOE가운영되는하드웨어자체는물리적인범위에서제외된다. ( TOE에서요구되는평가대상이외의 ( 비-TOE) 하드웨어 / 소프트웨어 / 펌웨어참고 ) 전용하드웨어플랫폼 전용하드웨어플랫폼상에적재된 CF 메모리에패킷필터링 (Packet Filtering), 어플리케이션필터링 (Application Filtering), 네트워크주소변환 (NAT), 침입방지 (Intrusion Prevention), 악성메일차단, TOE 운영환경의 Anti-Virus 엔진과의연동을통한바이러스탐지및차단과같은기능을수행하는소프트웨어모듈인 'UTM 데몬패키지 ' 가저장되어있다. 관리자시스템 관리자시스템은전용하드웨어플랫폼상에서운영되는 TOE의보안기능을관리하기위해사용된다. 일반적으로, 관리자시스템에감사데이터관리소프트웨어인 'AhnLab LogServer' 가함께설치되지만, 별도의전용감사관리시스템에설치하여운영할수도있다 UTM 데몬패키지및 AhnLab LogServer UTM 데몬패키지 54 UTM 데몬패키지에는패킷필터링 (Packet Filtering), 어플리케이션필터링 (Application Filtering), 네트워크주소변환 (NAT), 침입방지 (Intrusion Prevention), 악성메일차단, 안티바이러스 (Anti-Virus) 엔진과의연동기능을수행하는소프트웨어모듈이포함되어있다. UTM 데몬패키지는인가된관리자가 TOE가운영되는하드웨어장비의전원을켜면, TOE 운영환경의부팅절차에따라하드웨어와같은운영환경에무결성체크를수행한후에그결과가정상적인경우에운영체제에의해메모리 (RAM) 로적재 (load) 된다. 이후 TOE의초기화과정이정상적으로완료되면 TOE가제공하는보안기능이수행된다. 55 UTM 데몬패키지는운영체제 (ANOS) 와함께펌웨어의형태로전용하드웨어플랫폼상의 CF 메모리에저장되어최종사용자 ( 고객 ) 에게배포되며다음과같이식별된다. pkg

24 [ 참고사항 ] UTM 데몬패키지는 ANOS와함께펌웨어이미지에포함된형태로배포된다. 따라서 UTM 데몬패키지의버전은 ANOS의버전을통해식별된다. 위에서식별하고있는 'pkg ' 은펌웨어이미지 'AhnLab-UTM-NOS ' 에저장되어있는 UTM 데몬패키지 (pkg) 을의미한다. AhnLab LogServer 56 AhnLab LogServer 는 TOE 감사데이터관리소프트웨어이다. AhnLab LogServer 는 3개의설치파일로구성되어있다. 최종사용자 ( 고객 ) 에게 CD 형태로제공되며 3개의파일을통칭하여다음과같이식별된다. AhnLab Suhoshin Absolute Log Server (build21) [ 참고사항 ] AhnLab LogServer 는 3 개의설치파일로구성된다. 위에서식별하고있는 'AhnLab Suhoshin Absolute Log Server (build21)' 는 Log Server (build21), Log Viewer (build21), Log Reporter (build21) 을통칭한다. 57 또한, TOE의물리적범위에는인가된관리자가어플리케이션필터링의보안정책의세부정책으로인증정책을강제한경우사용되는 AhnLab Auth 소프웨어가포함된다. 그러나 AhnLab Auth는 ANOS와함께펌웨어이미지에포함된형태로배포되므로, 여기서는별도로식별하지않는다. [ 참고사항 ] 일반적으로, AhnLab Auth는인가된관리자가어플리케이션필터링의보안정책의세부정책으로인증정책을강제한경우에최종사용자 ( 고객 ) 가 TOE가제공하는웹페이지에서다운 로드하도록유도하여설치된다 설명서 58 TOE의안전한관리를위해최종사용자 ( 고객 ) 에게 ( 책자및 ) 전자문서 (CD 형태 ) 로설명서를제공한다. 최종사용자 ( 고객 ) 에게배포되는설명서도 TOE의물리적범위에포함되며다음과같이식별된다. AhnLab Suhoshin Absolute 도움말 : Absolute-OPE_UTM AhnLab Suhoshin Absolute Log Server 도움말 : Absolute-OPE_LOGSERVER 사용자운영설명서 : Absolute-OPE_USER AhnLab Suhoshin Absolute 400 설치안내 : Absolute-PRE_UTM AhnLab Suhoshin Absolute Log Server 설치안내 : Absolute-PRE_LOGSERVER

25 1.4.3 논리적범위 59 TOE는침입차단시스템 (Firewall), 침입방지시스템 (IPS), 안티스팸 (Anti-Spam), 트래픽제어 (Traffic control), 시스템격리 (Quarantine) 기능을제공하는통합보안시스템 (UTM) 이다. TOE는전용하드웨어플랫폼상에구현된네트워크보안장비로인터넷과같은외부망과조직의내부망을연결하는지점에인라인 (In-line) 형태로연결되어인가된관리자가정의한보안정책에따라사용자식별및인증기능, 침입차단시스템, 침입방지시스템, 안티스팸, 트래픽제어, 시스템격리와같은접근통제및정보흐름통제기능, 데이터보호, 보안감사, 보안관리기능을수행한다. 이러한보안기능들이 TOE의논리적범위에포함된다. 60 TOE는전용장비가아닌물리적으로분리된 ( 원격에서구동되는 ) TOE인 AhnLab LogServer 를통해서보안감사검토및관리기능을제공한다. 따라서 AhnLab LogServer 가제공하는보안기능도 TOE의논리적범위에포함된다. 참고로, TOE는 TOE( 전용장비 ) 의보안관리인터페이스를통해서도기본적인보안감사데이터관리기능을제공한다. 61 TOE의논리적범위를요약하면다음과같다. 식별및인증 접근통제및정보흐름통제 보안관리 보안감사 TSF 보호 TOE 접근 17

26 62 TOE 의논리적인범위는다음 [ 그림 1-3] 와같다. 그림 1-3 TOE 의논리적범위 [ 참고사항 ] [ 그림 1-3] 에서보는바와같이, TOE의논리적인범위에는포함되지않지만, TOE 운영환경에는 SSL VPN 엔진, IPSec VPN 엔진이탑재되어있다. 또한 TOE는 TOE 운영환경의 Anti-Virus 엔진과의연동을통해바이러스차단기능을제공한다. 마찬가지로 Anti-Virus 엔진자체는 TOE의논리적인범위에는포함되지않는다. 18

27 식별및인증 63 TOE는자신에게접근하는모든사용자를식별한다. 사용자식별이이뤄지기전에는접근을시도하는모든사용자는 TOE의어떠한기능도사용할수없다. TOE는다음과같은식별및인증기능을제공한다. IP 주소기반의식별 일반아이디및패스워드기반의사용자식별및인증 일회용패스워드 (One-time Password) 기반의사용자식별및인증 64 TOE 는해당계정의인증실패횟수가환경설정에정의된횟수 ( 기본값 : 3 회 ) 에도달할경우 ID 잠금기능을수행하여악의적인사용자의인증시도로부터 TOE 를보호한다. 잠긴계정은인가 된관리자가 TOE 의보안관리인터페이스를통해서해제할수있다 접근통제및정보흐름통제 65 TOE는접근통제및정보흐름통제보안기능으로 Packet Filter(Dynamic & Stateful Packet Filtering), Application Filter( 프록시 ), Network Address Translation (NAT), Anti-Virus, Intrusion Prevention, 트래픽제어 (Traffic Control), 시스템격리 (Quarantine) 등을제공한다 침입차단시스템 (Firewall) 66 TOE는보호하고자하는네트워크에대한서비스요청을통제하여허가되지않은접근을차단한다. TOE는적용되는네트워크계층에따라패킷필터링 (Packet-filtering), 응용계층 (Application level) 게이트웨이, 혼합형등으로분류될수있다. 또한 TOE의구성및운영방법에따라이중네트워크호스트, 베스천호스트, 스크린서브넷, 스크린호스트게이트웨이침입차단시스템등으로사용될수있다. Packet Filter(Dynamic & Stateful Packet Filtering) 67 TOE는네트워크인터페이스카드 (NIC) 를통하여 TCP/IP 커널로패킷이들어오면접근통제목록을참조하여패킷의보안정책을결정한다. 보안정책결정시출발지의 IP 주소와포트, 목적지의 IP 주소와포트가보안정책을결정하는데중요한요소가된다. 이때, TOE는보안정책이허가인경우에는패킷의통과를허용하고 (Allow) 거부인경우에는거부 (Drop) 한다. 68 TOE는패킷에대한보안정책이보안등급인경우에는출발지네트워크와목적지네트워크의보안등급을비교하여출발지네트워크의보안등급이목적지네트워크의보안등급과같거나상위인경우패킷의통과를허용한다. 만일, 출발지네트워크의보안등급이목적지네트워크의보안등급보다하위인경우패킷의통과를거부한다. 또한패킷에대한제어규칙에 NAT(Network Address Translation) 규칙이존재하는경우 NAT 모듈로전달하여처리한다 69 TOE는패킷에대한보안정책이리디렉션 (Redirection, Application Filter 가적용되어야할패킷 ) 인경우에는응용프로그램계층으로전달한다. TOE는응용프로그램계층으로전달된패킷을어플리케이션필터 ( 프록시 ) 를통해처리한다. 프록시는출발지의 IP 주소와포트, 목적지의 IP 19

28 주소와포트에따라공유메모리를참조하여보안정책을결정한다. 보안정책이허가인경우에는패킷의통과를허용하고거부인경우에는거부 (Drop) 한다. 만약보안정책이인증인경우에는사용자인증을거친후정당한사용자인경우에만통과를허용한다. 어플리케이션필터 ( 프록시 ) 가제공하는기능은다음의 'Application filter( 프록시 )' 에서상세하게설명한다. Application Filter( 프록시 ) 70 TOE는패킷필터링수행시패킷에대한보안정책이리디렉션 (Redirection, Application Filter 가적용되어야할패킷 ) 인경우 Application Filter 를통해패킷을처리한다. 인가된관리자는서비스유형별로 Application Filtering 보안정책목록을관리한다. TOE는패킷필터로부터전달된패킷의보안속성과일치하는보안정책목록이존재하는경우, 보안정책에따라패킷의통과를허용하거나거부한다. TOE가제공하는 Application Filtering 유형및부가기능은다음과같다. 일반 (General TCP) 프록시 : 관리자의정의한보안정책에따라전달호스트, 세션타임아웃기능, 인증 ( 아이디및일반패스워드또는일회용패스워드 (OTP)) 기능을수행한다. FTP 프록시 : 관리자가정의한보안정책에따라전달호스트, 세션타임아웃, TOE 운영환경의 Anti-Virus(TOE 운영환경의 Anti-Virus 엔진과의연동을통한바이러스차단 ) 기능, 명령어차단기능, 인증 ( 아이디및일반패스워드또는일회용패스워드 (OTP)) 기능을수행한다. SMTP 프록시 : 관리자가정의한보안정책에따라전달호스트, 세션타임아웃, 릴레이차단, Anti-Virus(TOE 운영환경의 Anti-Virus 엔진과의연동을통한바이러스차단 ) 기능, Anti-Spam, 명령어차단기능을수행한다. HTTP 프록시 : 관리자가정의한보안정책에따라전달호스트, 세션타임아웃, TOE 운영환경의 Anti-Virus 엔진과의연동을통한바이러스차단기능기능, 인증 ( 아이디및일반패스워드또는일회용패스워드 (OTP)) 기능을수행한다. POP3 프록시 : 관리자가정의한보안정책에따라전달호스트, 세션타임아웃, Anti-Virus(TOE 운영환경의 Anti-Virus 엔진과의연동을통한바이러스차단 ) 기능, Anti-Spam(AS) 기능을수행한다. Oracle 프록시 : 관리자가정의한보안정책에따라전달호스트, 세션타임아웃기능을수행한다. UDP 프록시 : 관리자의정의한보안정책에따라전달호스트, 세션타임아웃기능을수행한다. DNS 프록시 : 관리자의정의한보안정책에따라전달호스트, 세션타임아웃, DNS 응답검사, 분할 DNS 기능을수행한다. URL Filtering: 관리자가정의한보안정책에따라사용자가요청하는서비스에대하여 HTTP 프록시가유해정보객체 (URL) 를기준 ( 정보통신윤리위원회에서제공하는유해 URL DB) 으로선별적으로서비스를허용 / 거부한다. Network Address Translation (NAT) 71 TOE는출발지주소를변경하는 Source NAT(SNAT), 목적지주소를변경하는 Destination 20

29 NAT(DNAT), 목적지주소를로컬호스트 (TOE 자신 ) 로변경하는리디렉트 (Redirect), PPP/DHCP 등유동 IP 주소에대하여 SNAT 를적용해주는 Masquerade 기능을제공한다. 72 TOE의 NAT 기능은사설 IP 주소를공인 IP 주소로변경해주는기능으로, TOE는사설 IP 주소를가진내부사용자가외부공인망으로접속을할수있도록공인 IP 주소를할당해주거나내부서버를위한공인 IP 주소를지정하는기능을제공한다. 따라서내부망의 IP 주소가부족한경우에도 TOE를통해사설 IP 주소를사용하여 IP 주소를확장하여사용할수있다. 또한내부 IP 주소를외부에공개하지않으므로외부의공격으로부터안전한네트워크환경을구성할수있다 침입방지시스템 (Network Intrusion Prevention System) 73 TOE는인터넷망에서내부망으로유입되는유해트래픽을사전에탐지한후차단하여내부망의정보자산및자원을안전하게보호한다. 즉, TOE는컴퓨터시스템및서비스의취약성을악용한해킹, 이메일을통한공격, 바이러스및웜과같은공격을사전에차단한다. 74 또한 TOE는취약성데이터베이스로취약성정보를갱신하는절차를갖추어컴퓨터시스템의취약성발견하여악용하는공격을최대한차단할수있다. 그리하여신종바이러스, 웜또는변형된공격에대하여신속하게대응할수있다. 75 이를통해 TOE는악의적인코드 (Malicious Code) 에대한방어 (Prevention) 기능을제공하여네트워크를안전하게보호하는기능을제공한다. Intrusion Prevention 76 TOE는자신이보유하고있는 ( 룰 ) 패턴매칭방법을통해알려져있는유해트래픽을차단하는기능인시그니처기반의 Intrusion Prevention 기능을제공한다. 또한 TOE는 안철수연구소가기본적으로제공하는룰이외에인가된관리자가새로운룰을추가할수있는기능을제공한다. 77 TOE는위와같은단순룰패턴매칭으로탐지할수없는공격및비정상행위에대하여행동패턴이나통계적인값을분석하여차단하는알고리즘기반의 Intrusion Prevention 기능을제공한다. DoS Protection: 악의적인사용자또는웜이정상적으로처리가불가능한많은양의네트워크서비스요청을발생시켜, TOE가제공하는네트워크서비스에장애를유발하는행위를차단한다. DDoS Protection: 네트워크나특정서비스를무력화하기위한 DDoS 공격을효과적으로탐지 / 대응하여정상적인서비스가지속되도록보장한다. Anti-Scanning: 웜이나해커로부터의 scanning 공격을탐지 / 차단하는기능을제공한다. 특정 IP에서발생되는트래픽에대한분석을통해 Scan을탐지 / 차단한다. Anomaly Detection: 패턴매칭방법이나 DoS/DDoS Protection, Anti-Scanning 에서탐지할수없는비정상트래픽을탐지 / 차단한다 ( 예 : 정상적이지않은 IP 주소로부터의접속시도 (reserved IP address, multicast IP address)). 행동기반사용자정의룰 : TOE는단순시그니처기반사용자정의룰외에행동기반 21

30 탐지를인가된관리자가추가할수있는전용매크로룰을제공한다. 이를통해 TOE 는 통계적처리를통해서만탐지될수있는새로운공격을프로세스의변경없이도매크로 형태의룰추가만으로도대응할수있다. [ 참고사항 ] 위에서사용된 'Anomaly Detetion' 은 packet storming, tcp flag spoofing, tcp redirect와같은유형의공격탐지를의미한다. packet storming: 무한루프에의한네트워크장애로, 사용자의실수로네트워크연결이잘못되거나, 해커에의해동일한패킷이짧은시간에반복해서발생하는경우 tcp flag spoofing: 패킷의내용이나경로가조작된경우 tcp redirect: 패킷의전송경로가변경된경우 컨텐츠필터 (Contents Filter) 78 TOE는악의적인코드 (Malicious Code) 에대한탐지및차단 (prevention) 기능을 TOE 운영환경의 Anti-Virus 엔진 (V3 엔진 ) 과의연동을통해서도제공하여네트워크를안전하게보호한다. 단, Anti-Virus 엔진은 TOE 평가범위에포함되지않는다. Anti-Virus 79 TOE는 Anti-Virus 기능을어플리케이션필터 ( 프록시 ) 와연동하여제공한다. Anti-Virus 기능이제공되는프록시유형은 SMTP 프록시, HTTP 프록시, POP3 프록시, FTP 프록시등이다. 80 TOE는바이러스탐지엔진으로 안철수연구소의 Anti-Virus 엔진을사용하며, 엔진업데이트를지원한다. TOE가대응하는바이러스차단기능의범위는다음과같다. 검사 : 을통해전송되는첨부파일및 본문 웹검사 : 웹을통해전송되는파일 FTP 검사 : FTP를통해전송되는파일 Anti-Spam 81 TOE는스팸메일을차단하는기능을제공한다 (SMTP/POP3). 스팸메일차단기능은기본적으로제목, 본문을필터링하는방식을제공한다 트래픽제어 (Traffic Control) 82 TOE는전체트래픽및 IP/Port 별로트래픽을제한하는 QoS 기능인 Auto Throttling 기능을제공한다. 따라서 TOE는 Auto Throttling 을통해 TOE는각사용자또는보안정책에설정된대역폭을보장하거나제한할수있다 시스템격리 (Quarantine) 83 TOE는 Intrusion Prevention 기능에의해탐지되어격리가필요한 IP 주소를격리하여추가적 인악성코드의확산을방지하는 Quarantine 기능을제공한다. 22

31 보안관리 84 TOE는 TOE의기능및동작을관리할수있는기능을제공한다. TOE는인가된관리자가설정한보안정책에따라보안기능과 TOE 운영환경설정파일과같은 TSF 데이터를관리한다. 85 TOE는기본적으로네트워크, 서비스, 사용자, 보안정책객체를관리저장하고, 그에따른보안정책을방화벽패킷필터에전달한다. 공유메모리의모든내용은환경설정파일에저장되며, 파일의내용은암호화된다. 즉, 환경설정파일의내용은 TOE 구동시공유메모리에탑재되고, 설정변경을저장한다. 86 TOE는기본적으로 HTTPS 프로토콜을통한웹기반의관리인터페이스를제공한다. TOE 는관리자가지정한보안정책에따라보안기능을실행하고 TOE 운영환경설정파일과같은 TSF 데이터를관리한다. 또한주로 TOE 장애발생시이를처리하기위해사용되는 CLI(Command Line Interface) 를제공한다. TOE가제공하는보안관리기능은다음과같다. TOE 다시시작 / 종료, 시스템 : TOE 운영환경정보관리, 네트워크환경관리, 보안정책관리, 업데이트, 무결성점검 87 또한, 물리적으로분리된 TOE인 AhnLab LogServer 를통해보안감사데이터관리 / 검토할수있다. AhnLab LogServer 를통해제공되는보안관리기능은다음과같다. TOE(AhnLab LogServer) 시작 / 종료, 환경설정 ( 보안감사 ), 백업설정 ( 보안감사데이터 ), 백업및복원, 추이분석, 로그검색 TOE 다시시작 / 종료 88 TOE는인가된관리자가 TOE를재구동하거나종료시킬수있는기능을제공한다. TOE가종료 또는재구동되면 TOE 가제공하는모든기능이종료또는다시시작된다. 시스템 : TOE 운영환경정보관리 89 TOE는인가된관리자가웹브라우저 (HTTPS) 를통해보안관리인터페이스로성공적으로로그인하면 TOE 자원사용현황, TOE 설정정보, TOE 보안정책적용결과, TOE 운영정보, 이벤트로그등을웹브라우저로제공한다. 또한 TOE의인가된관리자에게관리자설정, Update 설정, 로그설정, SNMP 설정, 경보메일설정, 백업및복구, 무결성점검, TOE 시간설정, 세션설정등의보안기능을제공한다. 네트워크환경관리 90 TOE는인가된관리자에게 TOE 운영에필요한네트워크포트설정, 라우팅설정, 네트워크연결설정, DHCP 설정, HA 설정등의보안관리기능을제공한다. 보안정책관리 91 TOE는인가된관리자에게보안정책관리기능을제공한다. TOE가제공하는인가된관리자에게제공하는보안정책관리기능은보안정책적용대상관리, 방화벽보안정책관리, 네트워크 23

32 침입방지정책관리, 콘텐츠필터보안정책관리이다. 업데이트 92 TOE는인가된관리자에게시그니처, 패치, 내용등급DB( 유해정보 DB) 1 을업데이트할수있는기능을제공한다 ( 주기적또는수동 ). 이를통해 TOE는최신시그니처등을통해네트워크환경을안전하게보호할수있다. 무결성점검 93 TOE는파일시스템정보의정확성, 안정성및일관성을유지할수있는무결성점검기능을제공한다. 인가된관리자는 TOE가제공하는무결성점검기능을이용하여, 신분확인, 접근통제관련파일및감사기록파일에대한새로운체크섬데이터베이스를생성할수있고, 현재보유하고있는데이터베이스에대한상태를비교할수있다. TOE 구성파일, 식별, 인증, 접근통제규칙및보안레이블의정보를포함하는데이터는무결성기능을적용하여허가되지않은모든무단변경으로부터보호한다 (HAS-160). TOE(AhnLab LogServer) 시작 / 종료 94 TOE는인가된관리자가 TOE(AhnLab LogServer) 를재구동하거나종료시킬수있는기능을제공한다. TOE(AhnLab LogServer) 가종료또는재구동되면 TOE(AhnLab LogServer) 를통해제공되는모든기능이종료또는다시시작된다. 환경설정 ( 보안감사 ) 95 TOE(AhnLab LogServer) 는인가된관리자가 TOE 운영에필요한장비설정, 경보기준, 사용자설정등을할수있는보안관리기능을제공한다. 백업설정 ( 보안감사데이터 ), 백업및복원 96 TOE는인가된관리자가보안감사데이터를직접백업하거나주기적으로백업할수있도록관리할수있는기능을제공한다. 추이분석 97 TOE는인가된관리자가 TOE(AhnLab LogServer) 를통해각 TOE( 전용장비 ), 날짜별로시스템상태추이, 네트워크상태추이, 공격자분석, 공격대상분석, 공격유형분석, 위험도분석, 공격국가분석등을수행할수있는기능을제공한다. 로그검색 98 TOE는인가된관리자가 TOE(AhnLab LogServer) 를통해감사데이터의유형에따라, 즉운영로그, 방화벽로그, IPS 로그, 시스템격리로그, 콘텐츠필터로그, 웹사이트필터로그, 바이러 1 정보통신윤리위원회 24

33 스차단로그, 스팸메일차단로그로구분하여감사데이터를실시간으로모니터링하거나기 존감사데이터를관리 ( 검색, 삭제 ) 할수있는기능을제공한다 보안감사 99 TOE는감사데이터생성시, 감사데이터가순차적으로생성되는것을보장하기위해사건발생시간에 TOE 운영환경 ( 운영체제 ) 에의해유지되는시스템시간을사용한다. TOE 운영환경은 TOE가운영되는하드웨어의 Real-time Clock(RTC) 에저장된값과주기적으로비교하여타임스탬프값으로제공한다. 또한 TOE는인가된관리자가지정한보안정책에따라 TOE 운영환경에존재하는 NTP 서버와시간을자동으로동기화할수있다. 100 TOE는운영시발생하는모든로그 ( 예 : 운용로그, 패킷필터링로그, IPS 로그, 콘텐츠필터로그 ) 는감사데이터저장을위해할당된저장소 ( 전용장비 ) 에저장된다. 또한, 동시에인가된관리자가지정한 ( 네트워크를통해원격으로연결되어있는 ) 물리적으로분리된 TOE인 AhnLab LogSever 로보내진다. 이때인가된관리자가 ' 보안전송 ' 을강제하면, TOE와로그서버간의 TSF 데이터의노출을방지하기위해 TSF 데이터를 SEED로암호화하여전송한다. AhnLab LogServer 는수신된로그를 DB 파일시스템 ( 예 : MS-SQL) 에저장하고검색, 통계및관리기능을제공한다. 보안경보 101 TOE는보안기능수행중보안위반으로판단되는사건이발생하면이에대한감사데이터를생성한후, 보안관리인터페이스의실시간이벤트창을통해경보하고감사기록한다. 또한 TOE는인가된관리자가지정한원격의 AhnLab LogServer 로감사데이터를전송한다. 인가된관리자는로그서버의실시간이벤트창을통해서도보안위반사건을확인할수있다. 또한 TOE는인가된관리자가 TOE 운영환경의 CPU, Memory, HDD 한계치도달시보안경보를지정한경우정의된규칙에따라인가된관리자에게경보한다. 감사데이터생성및위반분석 102 TOE는운용중발생하는감사데이터를저장한다. TOE는인가된관리자가지정한보안감사대상사건발생시감사데이터를생성한다. 감사데이터에는사건일시, 사건유형, 주체의신원, 사건결과 ( 성공또는실패 ) 등의내용이포함된다. 또한 TOE는인가된관리자가사건유형에따라선택적으로감사데이터를생성여부를결정할수있는기능을제공한다. 또한개별적인감사대상사건 ( 보안위반사건 ) 별로도감사데이터생성여부를결정할수있는기능을제공한다. TOE는인가된관리자가지정한값, 즉사건유형및개별사건에지정된감사데이터생성여부에따라감사데이터를생성한다. 103 TOE는잠재적인보안위반사건을탐지한경우, 인가된관리자에게실시간으로통보하고보안위반사건유형에따라지정된방법으로대응한다. 감사검토 104 TOE는인가된관리자가모든감사데이터에대하여사건유형별로감사레코드를검토할수 25

34 있는기능을제공한다. TOE는감사데이터를 TOE 운영환경의파일시스템 (DB) 을통해관리한다. TOE는인가된관리자요청시 TOE 운영환경으로부터파일을읽어와서인가된관리자가해석하기적합한형태로제공한다. TOE의인가된관리자는보안감사데이터관리프로그램인 AhnLab LogServer 를통해서감사데이터를검토할수있다. 감사증적보호 105 TOE는 TOE 운영환경에저장된감사증적 (DB) 의감사레코드에인가된관리자의접근만을허용한다. 따라서 TOE는감사레코드를인가되지않은삭제또는변경으로부터보호할수있다. TOE는다음과같은경우에인가된관리자에게감사레코드를제공한다. 보안관리인터페이스 (Web UI) 의식별및인증기능을성공적으로수행한경우 감사데이터관리시스템의운영체제 (Windows Server 2003) 의식별및인증을성공적으로완료한후, 감사관리프로그램 (AhnLab LogSever) 의인증기능을성공적으로수행한경우 감사데이터손실대응및방지 106 TOE는감사데이터손실을방지하기위해감사증적저장소의여유공간을일정주기 (1분) 마다검사한다. 만일, 기본적으로감사증적저장소의여유공간이저장소총용량대비 10% 이하로떨어지면감사저장소의소진을인가된관리자에게경보 ( 이메일또는팝업창 ) 한다. 인가된관리자의복구조치후 TOE의모든기능을정상적으로사용할수있다. 107 TOE는인가된관리자가감사증적저장소의사용한도를명시할수있는기능을제공한다. 인가된관리자는 [ 감사증적저장소의총용량 인가된관리자가설정한여유공간 (%) ] 의형태로사용한도를지정할수있다 ( 기본값 : 10%). TOE는감사증적저장소의여유공간이한계치에도달한경우인가된관리자에게경보 ( 이메일또는팝업창 ) 한다 TSF 보호 장애시안전한상태유지 108 TOE는장애발생시재구동시켜야할중요데몬과동작상태 ( 예 : start, stop, restart, reload) 에대한리스트를유지 / 관리한다. TOE는관리대상데몬의상태를주기적으로검사하여, 비정상적으로종료된데몬이발견되면해당데몬을재구동시켜보안기능이정상적으로수행됨을보장한다. 자체시험 109 TOE는지정된검사주기마다무결성점검대상들에대한해쉬값를생성하여최초구동시저장된해쉬값 ( 기준값 ) 과비교한다. 이때, 무결성이위반사항이발견되면 TOE는보안관리인터페이스를통해인가된관리자에게통보하고이에대한감사데이터를생성한다. 인가된관리자는무시또는초기화와같은방법으로대응행동을취할수있다.. 26

35 TOE 접근 관리자세션잠금및사용자세션종료기능 110 TOE는인가된관리자의비활동경과기간이정의된값 (10분) 을초과하는경우상호작용하는세션을잠그는기능을제공한다. 잠긴세션을해제하기전에관리자를재인증한다. 111 TOE는인증되지않은외부실체가 TOE를통해세션을형성한후비활동경과기간이인가된관리자가지정한세션유지기간을초과한경우세션을종료한다. 인가된관리자가사용자인증을강제한서비스 ( 예 : 일반 (General TCP) 프록시, HTTP 프록시, FTP 프록시 ) 에대하여인가된사용자가지정된세션유지기간동안 (30분) 에 TOE를통해네트워크트래픽을송 수신하지않은경우, 인가된사용자와외부실체간에형성된세션을종료한다. 인가된사용자가서비스를다시요청하면사용자재인증을성공적으로완료한경우에만해당외부실체와새로운세션을생성한다. 1.5 작성규칙 112 본보안목표명세서는일부약어및명확한의미전달을위해영어를혼용한다. 사용된표기법, 형태, 작성규칙은공통평가기준을따른다. 여기에추가하여본보안목표명세서가준수한보호프로파일에서이미수행된오퍼레이션과의혼동을예방하기위해추가적인작성규칙을정의하여사용한다. 113 공통평가기준은보안기능요구사항에서수행될수있는선택, 할당, 정교화, 반복오퍼레이션을허용한다. 114 각오퍼레이션은다음과같은형태로본보안목표명세서에서사용된다. 반복 115 다양한오퍼레이션에서같은컴포넌트가반복될경우사용된다. 반복오퍼레이션의결과는컴 포넌트식별자뒤에괄호안의반복번호, 즉 ( 반복번호 ) 로표시된다. 선택 116 요구사항서술시정보보호시스템공통평가기준에서제공되는선택사항중하나이상을선택 하는데사용된다. 선택오퍼레이션의결과는밑줄그은이탤릭체로표시된다. 정교화 117 요구사항에상세사항을추가함으로써요구사항을더욱제한하는데사용된다. 정교화오퍼레이션의결과는굵은글씨로표시된다. 할당 118 명세되지않은매개변수에특정값을할당하는데사용된다 ( 예 : 패스워드길이 ). 할당오퍼레이션의결과는대괄호, 즉 [ 할당 _ 값 ] 으로표시된다. 27

36 보안목표명세서작성자 119 속성의최종결정이보안목표명세서작성자에의해서이루어짐을나타내는데사용된다. 보안목표명세서작성자오퍼레이션은중괄호안의 { 보안목표명세서작성자에의해결정된내용 } 으로표시된다. 120 본보안목표명세서가준수한보호프로파일에서는요구사항의의미를명확히하고, 구현시선택사항에대한정보를제공하며, 요구사항에대한 " 적합 / 부적합 " 기준을정의하기위해응용시주의사항을제공하고있다. 응용시주의사항은필요한경우해당요구사항과함께기술되어있다. 본보안목표영세서에서는요구사항의의미를보다더명확히하기위해필요한경우해당요구사항과함께 ' 참고사항 ' 이기술된다. 1.6 용어정의 121 본보안목표명세서에사용된용어중공통평가기준및보호프로파일에사용된용어와동일한것은공통평가기준을따르며본보안목표명세서에서는추가로기술하지않는다. 바이러스 (virus) 자기자신을복제할수있는기능을가지고있으며, 컴퓨터프로그램이나실행가능한부분 을변형시키고그곳에자신또는자신의변형을복사해넣는명령어들의조합. 스팸메일 (spam mail) PC 통신이용자나인터넷 ID를가진불특정다수의사람에게일방적으로전달되는대량의광고성이메일. 스팸메일이라고도한다. 원래정크 (junk) 라는말은잡동사니라는뜻으로, 컴퓨터통신망상에서무차별적으로살포된다는점에서정크메일이라고이름붙여졌다. 정크메일은원하지않는사람의경우, 읽거나처리하는데많은시간과비용을낭비하게된다. 시큐어셸 (secure shell) 보안등급이낮은네트워크상에서보안등급이높은원격접속개시나데이터전송을실현하는규약. 이규약에는전송계층프로토콜, 사용자인증프로토콜, 연결프로토콜등 3종류가있다. 전송계층프로토콜은 TCP/IP 의상위에서사용하는것으로, 암호화데이터전송이나서버인증기능이있다. 여러종류의암호기술을사용할수있고, 암호키의교환이나이용하는암호기술의교섭방법이정해져있다. 사용자인증프로토콜은 SSH 트랜스포트층프로토콜의상위에서동작한다. 외부실체 (External Entity) TOE의외부에서 TOE와상호작용하는 ( 또는상호작용할수도있는 ) 실체 ( 사람또는 IT), 단, 본문서에서는외부실체가 'IT' 인경우 'IT 실체 ' 로표기한다. 28

37 인가된관리자 (Authorized Administrator) SFR( 보안기능요구사항 ) 에따라서 TOE를안전하게운영및관리하는인가된사용자이다. 더불어여기서는협의적으로 TOE( 전용장비 ) 를안전하게운영및관리하는인가된사용자를칭하는데도사용된다. 이경우, TOE는인가된관리자를주어진 ' 권한 ' 에따라상위관리자와일반관리자로구분한다. 상위관리자는모든권한 (Read/Write) 을가진인가된관리자로 TOE가제공하는모든보안관리기능을사용할수있다. 이와는다르게일반관리자는 TOE 운영과관련하여정책을조회할수있는인가된관리자로읽기권한 (Read-Only) 만을가진다. 인가된로그관리자 TOE의보안감사데이터와관련된 SFR( 보안기능요구사항 ) 에따라서물리적으로분리되어구현되는 TOE(AhnLab LogServer) 를안전하게운영및관리하는인가된사용자이다. 인가된로그관리자는부여된권한에따라로그상위관리자와로그일반관리자로나뉜다. 로그상위관리자는 TOE(AhnLab LogServer) 가제공하는모든보안관리기능을사용할수있다. 이와는다르게로그일반관리자는감사데이터를조회할수있는권한을가진다. 인가된일반사용자인가된관리자가 [ Application Filter ] 정보흐름통제정책의처리방법으로 ' 인증 ' 을강제하는경우, 아이디및패스워드기반의식별및인증과정을성공적으로완료한사용자로자신의패스워드를변경할수있다. IT 실체 TOE를통해서정보를송 수신하는사용자이다. TOE의정보흐름통제보안정책이적용된다. TOE의외부에서 TOE와상호작용하는 ( 또는상호작용할수도있는 ) 실체 ( 외부실체 ) 로, 외부실체가 'IT' 인경우를의미한다. 유해트래픽유해트래픽이란허가되지않은서비스에대한접근, 정상적인패킷구조를가지고있는않는모든네트워크패킷, 컴퓨터웜 / 바이러스를포함하는패킷, 내부컴퓨터자원의가용성을훼손하는서비스거부공격을하는패킷 침입차단시스템 ( firewall system) 인터넷에인터넷프로토콜 (IP) 로접속되어있는네트워크를불법적인침입으로부터보호하기위하여게이트웨이에설치되는접속제한. 방화벽이라고도한다. 인터넷에서는한쪽방향의접속이가능하면역방향의접속도가능하기때문에 IP로접속되어있는네트워크는외부에서도접속할수있다. 이것은접속을제한함으로써어느정도보안을확보할수있는데, 구체적으로는네트워크간의 IP 패킷전송을차단하는방법, 특정의애플리케이션에의한패킷 29

38 만을전송하도록하는방법등이있다. 트래픽제어 ( traffic control) 통신시스템의신호또는정보의흐름을제어하는것. Administration System ( 관리자시스템 ) 해당호스트에서인가된관리자가 TOE를설정및모니터하고제어하며관리자의모든기능을원격수행하기위한전용프로그램인웹브라우저와 AhnLab LogServer 가설치된시스템을의미한다. AhnLab LogServer AhnLab Suhoshin Absolute LogServer 의약칭이다. TOE의감사데이터관리소프트웨어를 의미한다. ASEC 바이러스와같은악성코드등을분석하고대응하는 안철수연구소의시큐리티대응센터를 의미한다. AST(AhnLab Service Tower) AST는패턴, 패치등의업데이트에사용되는서버이다. AST는 안철수연구소의 ASEC에서 제공하는룰을관리하고배포하는시스템이다. Browser ( 브라우저 ) 클라이언트어플리케이션프로그램으로써 WWW의정보를검색하는도구이다. 인터넷사용자와 WWW 서버사이에서자료의검색, 저장, 전송기능을한다. 브라우저의종류에는넷스케이프, 모자이크, 인터넷익스플로러등이있다. CDN 서버 CDN 서버는일반적으로일종의캐시역할을할수있도록전체네트워크상에동일한콘텐츠내용을복제하여대규모인트라넷또는인터넷상에분산시켜놓은시스템을말한다. 안철수연구소의 CDN 서버는 TOE의업데이트를수행할수있도록보안정책패턴파일및패치파일을제공한다. Content 각종유무선통신망을통해제공되는디지털정보를통칭하는말로자주쓰인다. Database ( 데이터베이스 ) 상호연관성을가진자료의집합이다. 특정조직의응용프로그램혹은문서를공동으로사 30

39 용하거나, 불특정조직에게응용프로그램혹은문서의제공을위하여컴퓨터가접근할수 있는매체에저장해둔데이터의집합체를의미한다. Domain Name System (DNS) DNS는호스트이름에대응하는 IP 주소를찾아주는서버이다. 현재인터넷에서사용되는호 스트이름의형태를도메인네임이라고한다. DoS (Denial of Service; 서비스거부공격 ) 정보시스템의데이터나자원을정당한사용자가적절한대기시간내에사용하는것을방해하는행위를의미한다. 공격목표호스트로대량의네트워크트래픽을발생시켜서대상호스트의네트워크서비스기능을일시적으로, 또는완전히정지시키는해킹공격이다. Dynamic packet filter 동적패킷필터는활성접속의상태를감시하여, 네트웍패킷들이방화벽을통과하도록허용할것인지를결정하는데그정보를사용할수있는방화벽설비이다. 동적패킷필터는 IP 주소와포트번호등과같은세션정보를기록함으로써, 정적패킷필터보다더욱엄격한보안상태를이행할수있다. HA (high availability) 고가용성정보기술에서, HA란바람직한정도로긴시간동안지속적으로운영이가능한시스템이나컴포넌트를가리킨다. 가용성이란흔히 "100% 가용 " 등과같이상대적으로측정되거나또는 " 절대고장나지않음 " 등과같이표현될수있다. 널리쓰이고있지만달성하기결코쉽지않은시스템및제품에대한가용성표준에흔히 " 파이브나인 " (five 9) 이라고부르는 % 의가용성을들수있다. Intrusion Prevention System( 침입방지시스템 ) IPS는잠재적위협을인지한후이에즉각적인대응을하기위한네트웍보안기술중예방적차원의접근방식에해당한다. IPS 역시, 침입탐지시스템인 IDS와마찬가지로네트웍트래픽을감시한다. 공격자가일단액세스권한을획득하고나면시스템의악의적인이용이매우빠르게진행될수있기때문에, IPS 역시네트웍관리자가설정해놓은일련의규칙에기반을두고즉각적인행동을취할수있는능력을가지고있어야한다. 이를위하여, IPS는어떤한패킷을검사하여그것이부당한패킷이라고판단되면, 해당 IP주소또는포트에서들어오는모든트래픽을봉쇄하는한편, 합법적인트래픽에대해서는아무런방해나서비스지연없이수신측에전달한다. IP scan 불특정 IP를대상으로특정서비스포트를확인하는 scan 이다. 31

40 NAT(Network Address Translation) 사내의개별주소와정식 IP 주소를상호변환하는기능. 이러한기능에의해개별주소가할당되지않은노드에서도인터넷에접속할수있다. TCP/IP 의전송계층이나응용계층의통신규약에대한변환을하여특정 TCP/IP 응용을이용하도록한다. 패킷헤더에있는발신원주소와 IP 주소만식별할수있으므로개별주소와 IP 주소의대응은항상 1:1이되어야한다. 그러므로 1개의 IP 주소를사용해서외부에접속할수있는노드는어느시점에서 1개만으로제한되는문제가있으나, IP 매스커레이드 (IPM) 를이용하면된다. NTP NTP는네트웍으로연결되어있는컴퓨터들끼리클록시각을동기화시키는데사용되는프로토콜이다. NTP는미국델라웨어대학의데이빗밀스에의해처음개발되었으나, 이제는인터넷표준이되었다. NTP는컴퓨터클록시간을 1/1000 초이하까지동기화시키기위해협정세계시각 (UTC) 을사용한다. Port scan 특정 IP를대상으로해당장비가서비스하는포트를알아내기위한 scan 이다. Quarantine 시스템격리로유해트래픽을발생시키는호스트의네트워크서비스사용을제한하는것을 의미한다. Registered Jack (RJ-11, RJ-14, RJ-45, and others) RJ는때로 RJ-XX라고도표현하는데, 미국연방통신위원회인 FCC에등록된일련의전화접속인터페이스들, 즉리셉터클과플러그를나타낸다. 이것들은 AT&T 의 USOC의일부였던인터페이스들에서파생되었으며, FCC 규정 (Part 68, Subpart F. Section ) 의일부로서채택되었다. 잭이라는용어는때로리셉터클과플러그둘모두를의미하고, 때로는리셉터클만을의미하기도한다. RJ-45는평범한전화선을통해디지털전송을하기위한단일회선잭이다. 이인터페이스는 8개의핀을가진다. 최고 19.2 Kbps까지의속도로모뎀과프린터, 또는데이터 PBX에접속하기위해서는, 꼬임이없는전선을쓸수있다. 그러나, 이더넷 10Base-T 와같은고속네트웍에접속하기위해서는, 꼬임대선을사용할필요가있다 ( 꼬여있지않은일반선은가정에서흔히사용하는전화연결선과같이단면이납작하게생겼으며, 꼬임대선은보통단면이둥글게생겼다 ). RJ-45에는 keyed 와 unkeyed 등두가지형태가있다. Keyed 는끝에작은혹이달렸으며, 암컷에그혹이맞추어진다. 양쪽잭과플러그는반드시맞아야한다. RSA (Rivest, Shamir, Adleman, Cryptosystem) 미국매사추세츠공과대학 (MIT) 의리베스트 (R. Rivest), 샤미르 (A. Shamir), 아델먼 (L. Adelman) 등 3 인의성 ( 姓 ) 의머리글자. 이들 3 인이공동개발한 RSA 법이라는암호화알고리듬 32

41 과그것을사용하는 RSA 공개키암호방식으로잘알려져있다. Serial( 직렬 ( 전송 ) 또는시리얼 ) 시리얼은한번에한가지사건만이일어나는것을의미한다. 이것은보통한번에다수의사건이일어나는것을의미하는병렬과대비되는개념이다. 데이터전송에서는시간이나공간을분할하는기술이사용되는데, 여기서시분할이란개별적인정보의비트들이차례대로보내지는것을말하며, 공간분할은여러개의회선이나통로를통해여러개의비트들이병렬로보내어질수있는것을말한다. SNMP (Simple Network Management Protocol; 간이망관리프로토콜 SNMP[ 에스엔엠피 ] 는네트웍관리및네트웍장치와그들의동작을감시, 통할하는프로토 콜이다. 이것은반드시 TCP/IP 네트웍에만한정되지는않는다. SQL 서버 SQL(Structured Query Language) 은지난 70년대미국 IBM이개발한관계데이터베이스용프로그래밍언어로 SQL서버는이를기반으로한데이터베이스서버를뜻한다. 윈도운용체계를기반으로하는 SQL서버는오라클의 9i, IBM의 DB2, MS사의 SQL서버등이대표적인 DB서버다. SSL VPN SSL VPN은 SSL을기반으로하는 VPN을의미한다. 여기서 VPN은 virtual private network 의약자로, 우리말로가상사설망이라고한다. VPN이란인터넷망과같은공중망을사설망처럼이용해회선비용을크게절감할수있는기업통신서비스이다. SSL(Secure Socket Layer) 월드와이드웹브라우저와웹서버간에데이터를안전하게주고받기위한업계표준프로토콜. 미국넷스케이프커뮤니케이션스사가개발했고, 마이크로소프트사등주요웹제품업체가채택하고있다. SSL은웹제품뿐만아니라파일전송규약 (FTP) 등다른 TPC/IP 애플리케이션에적용할수있으며, 인증암호화기능이있다. 인증은웹브라우저와웹서버간에서로상대의신원을확인하는기능이다. 예를들면, 웹브라우저를사용하는웹서버를사용한가상점포의진위 ( 眞僞 ) 여부를조사할수있다. 암호화기능을사용하면주고받는데이터가인터넷상에서도청되는위험성을줄일수있다. stateful inspection stateful inspection( 상태기반감시 ) 는네트웍방화벽의산업계표준으로서정적패킷필터링 을대체함으로써, 동적패킷필터링이라는이름으로도불리고있다. UTM (unified threat management) ; 통합위협관리 33

42 UTM은다중위협에대해보호기능을제공할수있는포괄적보안제품을가리킨다. UTM 제품은대체로방화벽, 안티바이러스소프트웨어, 콘텐츠필터링그리고스팸필터등이하나의패키지로통합되어있는형태가많다. UTM이라는용어는원래시장데이터분석관련서비스를제공하는업체인 IDC에의해처음사용되기시작했다. UTM이제공하는가장주요한장점은단순하고, 설치및사용이간결하며, 모든보안기능이나프로그램을동시에갱신할수있는점등을들수있다. 인터넷위협의특질과다양성은보다복잡하게발전하고있기때문에, UTM 제품역시이모든위협들에대해적절히대응할수있도록맞추어질수있다. 시스템관리자들이오랜기간에걸쳐다양한종류의보안프로그램들을유지, 관리해야하는수고를덜어준다. Worm 웜은자기자신을컴퓨터시스템에해를끼칠수있는장소에위치하는바이러스나복제코드의일종이다. 해로운일을많이할수있는장소에들어가지않고, 단순히자기자신을전자우편을통해많은컴퓨터들에복제하는멜리사와같은바이러스들도있다. Worm.ExploreZip 같은것들이웜의예이다. 대부분의컴퓨터바이러스와같이, 웜도대체로트로이목마내에들은채침투한다. 34

43 1.7 보안목표명세서의구성 122 1장은보안목표명세서소개로보안목표명세서참조및 TOE 참조, TOE 개요, TOE 설명, 작성규칙, 용어정의, 보안목표명세서의구성정보를제공한다 장은준수선언으로공통평가기준, 보호프로파일, 패키지에대한준수를선언하고준수선언의이론적근거에대해서술한다 장은보안문제정의로 TOE 및 TOE 운영환경에서의보안문제를위협, 조직의보안정책, 가정사항의관점으로서술한다 장은보안목적으로보안문제정의에서식별된위협에대응하고, 조직의보안정책및가정사항을지원하기위한 TOE 보안목적및운영환경에대한보안목적을서술한다 장은확장컴포넌트정의로공통평가기준 2부나 3부의컴포넌트에근거하지않고, 보안목표명세서작성자에의해정의된확장된컴포넌트를서술한다 장은보안요구사항으로보안목적을만족시키기위한보안기능요구사항및보증요구사항을서술한다 장은 TOE 요약명세로 TOE가보안기능요구사항을만족시키는방법을서술한다 장참고자료는본보안목표명세서기술시참고한자료를서술한다. 35

44 2 준수선언 130 본장에서는본보안목표명세서가공통평가기준, 보호프로파일, 패키지를어떻게준수하는지 를서술한다. 2.1 공통평가기준준수 131 본보안목표명세서는다음의공통평가기준을준수한다. 공통평가기준식별 정보보호시스템공통평가기준, 1부 : 소개및일반모델, 버전 3.1r1, , CCMB 정보보호시스템공통평가기준, 2부 : 보안기능요구사항, 버전 3.1r2, , CCMB 정보보호시스템공통평가기준, 3부 : 보증요구사항, 버전 3.1r2, , CCMB 공통평가기준준수여부 정보보호시스템공통평가기준 2부준수 정보보호시스템공통평가기준 3부준수 2.2 보호프로파일준수 132 본보안목표명세서는다음의보호프로파일을준수한다. 보호프로파일식별 침입차단시스템보호프로파일 V2.0(KECS-PP , 2008년 4월 24일 ) 보호프로파일준수여부 침입차단시스템보호프로파일 v2.0 " 입증가능한보호프로파일준수 " 2.3 패키지준수 133 본보안목표명세서는다음의보증요구사항패키지를준수한다. 보증패키지 : EAL4 준수 36

45 2.4 준수선언의이론적근거 134 본보안목표명세서는침입차단시스템보호프로파일 v2.0( 이하 'FW-PP' 와병행표기, 버전표기는생략 ) 이요구하는대로보호프로파일을다음과같이준수한다. 보호프로파일준수방법 : " 입증가능한보호프로파일준수 " [ 참고사항 ] 공통평가기준에서입증가능한보호프로파일준수의가장기본적인규칙은보안목표명세서 가보호프로파일과동등하거나더제한적이어야한다는것이다. 여기서, ' 동등하다 ' 는개념은보호프로파일에 A라는 SFR로서술된내용을보안목표명세서에서 A라는 SFR을그대로사용하거나, 동등한수준의 B라는 SFR로대체할수있음을의미한다. 예를들어, 사용자비활동기간이후의세션관리를위해, 보호프로파일의 FTA_SSL.1( 세션잠금 ) 을보안목표명세서에서 FTA_SSL.3( 세션종료 ) 으로대체할수있다. 또한, ' 더제한적이다 ' 는개념은정교화오퍼레이션과같이세부사항을추가하여명세하거나더강력한요구사항을적용해서, 보안목표명세서를만족시키는 TOE가원래의보호프로파일요구사항역시만족시켜야함을의미한다. 135 본보안목표명세서의보호프로파일준수선언의이론적근거는다음과같다 보안문제정의준수선언의이론적근거 136 보안문제정의준수선언의이론적근거는다음 [ 표 2-1] 와같다. 다음 [ 표 2-1] 는본보안목표명세서의보안문제정의가 FW-PP 의것과동등하다는 ( 또는그보다제한적이라는 ) 것을보여준다. 표 2-1 보안문제정의준수선언의이론적근거-위협구분위협이론적근거 FW-PP 수용 추가 T. 가장 T. 기록실패 T. 불법정보유입 T. 불법정보유출 T. 연속인증시도 T. 재사용공격 T. 저장데이터훼손 T. 주소위장 T. 고장 T. 비정상적인패킷발송 T. 서비스거부공격 T.TSF데이터무단변경 FW-PP와동등하다. 본 ST에서는 ' 좌항 ' 의위협을 FW-PP와동일하게정의하고있다. FW-PP보다제한적이다. ' 좌항 ' 의위협은본 ST에서추가로정의한것이다. 따라서, 본 ST는 TOE 및 TOE 운영환경이이러한 ' 추가적인위협을다루도록정의 ' 하고있으므로 FW-PP 보다제한적이다. 37

46 표 2-2 보안문제정의준수선언의이론적근거 - 조직의보안정책 구분조직의보안정책이론적근거 FW-PP 수용 P. 감사 P. 안전한관리 FW-PP와동일하다. 본 ST에서는 ' 좌항 ' 의조직의보안정책을 FW-PP와동일하게정의하고있다. 표 2-3 보안문제정의준수선언의이론적근거-가정사항구분가정사항이론적근거 FW-PP 수용 추가 A. 물리적보안 A. 보안유지 A. 신뢰된관리자 A. 운영체제보강 A. 유일한연결점 A. 신뢰된 _ 보안관리 _UI A. 신뢰된 _ 업데이트 _ 서버 A. 신뢰된 _SSH_ 통신 A. 신뢰된 _SSL_ 통신 A. 신뢰된 _TOE_ 연동 _ 서버 A. 신뢰된 _TOE_ 연동 _ 엔진 FW-PP와동일하다. 본 ST에서는 ' 좌항 ' 의가정사항을 FW-PP와동일하게정의하고있다 FW-PP보다제한적이다. ' 좌항 ' 의가정사항은본 ST에서추가로정의한것이다. 따라서, 본 ST는 TOE 및 TOE 운영환경이이러한 ' 추가적인가정사항을지원하도록정의 ' 하고있으므로 FW-PP 보다제한적이다 보안목적준수선언의이론적근거 137 보안목적준수선언의이론적근거는다음 [ 표 2-4] 와같다. 다음 [ 표 2-4] 는본보안목표명 세서의보안목적이 FW-PP 의것과동등하다는 ( 또는그보다제한적이라는 ) 것을보여준다. 표 2-4 보안목적준수선언의이론적근거-TOE 보안목적구분 TOE 보안목적이론적근거 FW-PP 수용 추가 O. 감사 O. 관리 O. 데이터보호 O. 식별및인증 O. 정보흐름통제 O. 비정상적인패킷차단 O. 서비스거부공격차단 O. 안전한상태유지 FW-PP와동일하다. 본 ST에서는 ' 좌항 ' 의 TOE 보안목적을 FW-PP 와동일하게정의하고있다 FW-PP보다제한적이다. ' 좌항 ' 의 TOE 보안목적은 TOE에의해직접적으로다루어지는보안목적으로본 ST에서추가로정의한것이다. 따라서, 본 ST는 'TOE가이러한추가적인보안목적을다루도록정의 ' 하고있으므로 FW-PP 보다제한적이다. 38

47 표 2-5 보안목적준수선언의이론적근거 - 운영환경에대한보안목적 구분운영환경에대한보안목적이론적근거 FW-PP 수용 추가 OE. 물리적보안 OE. 보안유지 OE. 신뢰된관리자 OE. 운영체제보강 OE. 유일한연결 OE. 타임스탬프 OE. 신뢰된 _ 보안관리 _UI OE. 신뢰된 _ 업데이트 _ 서버 OE. 신뢰된 _SSH_ 통신 OE. 신뢰된 _SSL_ 통신 OE. 신뢰된 _TOE_ 연동 _ 서버 OE. 신뢰된 _TOE_ 연동 _ 엔진 FW-PP와동일하다. 본 ST에서는 ' 좌항 ' 의운영환경에대한보안목적을 FW-PP와동일하게정의하고있다 FW-PP보다제한적이다. ' 좌항 ' 의운영환경에대한보안목적은 TOE가보안기능성을제공할수있도록운영환경에서지원하는기술적 / 절차적수단에의해다루어져야하는보안목적으로본 ST에서추가로정의한것이다. 따라서, 본 ST는 'TOE 운영환경이이러한추가적인보안목적을다루도록정의 ' 하고있으므로 FW-PP 보다제한적이다 보안기능요구사항준수선언의이론적근거 138 보안기능요구사항준수선언의이론적근거는다음 [ 표 2-6] 와같다. 다음 [ 표 2-6] 는본보안목표명세서의보안기능요구사항이 'FW-PP' 의것과동등하다는 ( 또는그보다제한적이라는 ) 것을보여준다. 표 2-6 보안기능요구사항준수선언의이론적근거구분컴포넌트이론적근거 FW-PP 수용 FW-PP 수용 추가 FAU_ARP.1 FAU_GEN.1 FAU_SAA.1 FAU_SAR.1 FAU_SAR.3 FAU_SEL.1 FAU_STG.1 FAU_STG.3 FAU_STG.4 FDP_IFC.2 FDP_IFF.1 FDP_ACC.2(1) FDP_ACF.1(1) FW-PP와동등하다. ( 단, FAU_SAA.1 제외 ) 본 ST에서는좌항의기능컴포넌트중에서 FAU_ARP.1, FAU_GEN.1, FAU_SAR.1, FAU_SAR_3, FAU_SEL.1, FAU_STG.1, FAU_STG.3, FAU_ST.4 SFR에대하여 FW-PP에서허용하고있는오퍼레이션을수행하였다. FW-PP와동등하다. 본 ST에서는좌항의 SFR에대하여 FW-PP에서허용하고있는오퍼레이션을수행하였다. FW-PP 보다제한적이다. 본 ST에서는 FW-PP의 FDP_IFC.2, FDP_IFF.1 정보흐름 39

48 구분컴포넌트이론적근거 FDP_ACC.2(2) FDP_ACF.1(2) FDP_IFC.1(1) FDP_IFF.1(1) 통제에추가하여좌항의 FDP_ACC.2(1) ~ (2), FDP_ACF.1(1) ~ (2) 기능컴포넌트와 FDP_IFC.1(1) ~ (8), FDP_IFF.1(1) ~ (8) 기능컴포넌트를추가로정의하였다. 이는추가적인사용자데이터보호요구사항을정의한것이므로 FW-PP보다제한적이다. FW-PP 수용 FW-PP 수용 FDP_IFC.1(2) FDP_IFF.1(2) FDP_IFC.1(3) FDP_IFF.1(3) FDP_IFC.1(4) FDP_IFF.1(4) FDP_IFC.1(5) FDP_IFF.1(5) FDP_IFC.1(6) FDP_IFF.1(6) FDP_IFC.1(7) FDP_IFF.1(7) FDP_IFC.1(8) FDP_IFF.1(8) FIA_AFL.1 FIA_ATD.1(1) FIA_ATD.1(2) FIA_ATD.1(3) FIA_ATD.1(4) FIA_SOS.1 FIA_UAU.1(1) FIA_UAU.1(2) FIA_UAU.1(3) FIA_UAU.4 FIA_UAU.7 FIA_UID.2(1) FIA_UID.2(2) FIA_UID.2(3) FIA_UID.2(4) FMT_MOF.1 FMT_MSA.1 FMT_MSA.3 FW-PP와동등하다. (FIA_AFL.1, FIA_SOS.1, FIA_UAU.4, FIA_UAU.7) 본 ST에서는좌항의 SFR 중에서 FIA_AFL.1, FIA_SOS.1, FIA_UAU.4, FIA_UAU.7, FIA_UID.2 기능컴포넌트는 FW-PP에서허용하고있는오퍼레이션을수행하였다. FW-PP 보다제한적이다. (FIA_ATD.1(1) ~ (4), FIA_UAU.1(1) ~ (3), FIA_UID.2(1) ~ (4)) 본 ST에서는좌항의 SFR 중에서 FW-PP에명세된 FIA_ATD.1, FIA_UAU.1, FIA_UID.2 기능컴포넌트에대하여공통평가기준에서허용하고있는 ' 반복오퍼레이션 ' 과 ' 정교화오퍼레이션 ' 을수행하여추가적인사용자속성및인증, 식별요구사항을명세하였으므로 FW-PP 보다제한적이다. FW-PP와동등하다. 본 ST에서는좌항의 SFR에대하여 FW-PP에서허용하고있는오퍼레이션을수행하였다. 40

49 구분컴포넌트이론적근거 FW-PP 수용 추가 추가 FW-PP 수용 FMT_MTD.1(1) FW-PP 보다제한적이다. FMT_MTD.1(2) (FMT_MTD.1(3) FMT_SMR.1(1)~(2)) FMT_MTD.1(3) 본 ST에서는 FMT_MTD.1(3) 에대하여 ' 반복오퍼레이션 ' FMT_MTD.2 을수행하였다. 이는 TSF 데이터관리에대한추가적인 SFR을요구하는것으로 FW-PP 보다제한적이다. FMT_SMF.1 본 ST에서는 FMT_SMR.1에대하여 ' 반복오퍼레이션 ' 과 FMT_SMR.1(1) ' 정교화오퍼레이션 ' 을수행하였다. 이는인가된관리자 FMT_SMR.1(2) ( 상위관리자, 일반관리자, 로그상위관리자, 로그일반관리자 ) 의역할을보다세부적으로분류하여각역할에따른권한을지정하는것이다. 또한인가된일반사용자의역할을추가적으로명세하고있으로 FW-PP 보다제한적이다. FPT_TST.1 FW-PP와동등하다. 본 ST에서는좌항의 SFR에대하여 FW-PP에서허용하고있는오퍼레이션을수행하였다. FPT_FLS.1 FW-PP 보다제한적이다. 본 ST에서는장애시안전한상태유지, 네부전송 TSF FPT_ITT.1 데이터의보호, TOE와상호작용하는외부실체시험를 FPT_TEE.1 위한 SFR를추가로정의하였다. 이는 TSF 보호를위한추가적인보안기능요구사항을정의한것이므로 FW-PP 보다제한적이다. FRU_FLT.1 FW-PP 보다제한적이다. 본 ST에서는장애가발생한경우에도 TOE의일부기능 FRU_RSA.1 의운영과 TOE의자원을고갈시킬수있는공격에대응하기위한최대할당치를강제하기위한 SFR를추가로정의하였다. 이는추가적인 TOE의자원활용을위한추가적인보안기능요구사항을정의한것이므로 FW-PP 보다제한적이다. FTA_SSL.1 FW-PP와동등하다. 본 ST에서는좌항의 SFR에대하여 FW-PP에서허용하 FTA_SSL.3 고있는오퍼레이션을수행하였다. 41

50 2.4.4 보증요구사항준수선언의이론적근거 139 보증요구사항준수선언의이론적근거는다음 [ 표 2-7] 와같다. 다음 [ 표 2-7] 는본보안목표명세서의보증요구사항이 'FW-PP' 의것과동등하다는 ( 또는그보다제한적이라는 ) 것을보여준다. 표 2-7 보증요구사항준수의이론적근거 FW-PP/ 보안목표명세서 이론적근거 보증클래스 보안목표명세서평가 개발 설명서 생명주기지원 시험 취약성평가 보증컴포넌트 ASE_INT.1 보안목표명세서소개 ASE_ECD.1 확장컴포넌트정의 ASE_CCL.1 준수선언 ASE_OBJ.2 보안목적 ASE_REQ.2 도출된보안요구사항 ASE_SPD.1 보안문제정의 ASE_TSS.1 TOE 요약명세 ADV_ARC.1 보안구조설명 ADV_FSP.4 완전한기능명세 ADV_IMP.1 TSF에대한구현의표현 ADV_TDS.3 기본적인모듈화설계 AGD_OPE.1 사용자운영설명서 AGD_PRE.1 준비설차 ALC_CMC.4 생산지원, 수용절차및자동화 ALC_CMS.4 문제추적형상관리범위 ALC_DEL.1 배포절차 ALC_DVS.1 보안대책의식별 ALC_LCD.1 개발자가정의한생명주기모델 ALC_TAT.1 잘정의된개발도구 ATE_COV.2 시험범위의분석 ATE_DPT.2 보안-수행모듈시험 ATE_FUN.1 기능시험 ATE_IND.2 독립적인시험 : 표본시험 AVA_VAN.3 강화된취약성분석 본 ST는 EAL4 보증등급에해당하는보증요구사항을제공한다. 본 ST는 FW-PP와완전히동등한보증요구사항을포함하며, FW-PP에추가하거나계층적으로더강력한보증요구사항을명세하지않는다. 42

51 3 보안문제정의 140 보안문제정의는 TOE 및 TOE 운영환경이다루도록의도된위협, 조직의보안정책및지원되어야하는가정사항을정의한다. 141 본보안목표명세서는 FW-PP 의보안문제정의를모두준수한다. 본보안목표명세서에서추가로정의한보안문제정의, 즉위협, 조직의보안정책및가정사항은다음 [ 표 3-1 ] 와같다. 표 3-1 보안문제정의 - 보안목표명세서에서추가 구분위협조직의보안정책가정사항 T. 고장 보안목표명세서에서추가된보안문제정의 T. 비정상적인패킷발송 T. 서비스거부공격 T. 불법접근 없음 A. 신뢰된 _ 보안관리 _UI A. 신뢰된 _ 업데이트 _ 서버 A. 신뢰된 _SSH_ 통신 A. 신뢰된 _SSL_ 통신 A. 신뢰된 _TOE_ 연동 _ 서버 A. 신뢰된 _TOE_ 연동 _ 엔진 3.1 위협 142 위협원은일반적으로외부에서 TOE 및내부의자산에불법적인접근을시도하거나비정상적인방법으로 TOE 및내부의자산에위해를가하는 IT 실체및사용자이다. 위협은강화된-기본수준의전문지식, 자원, 동기를가진다. 143 본보안목표명세서는 FW-PP 에명세된모든위협을준수한다. 이와더불어다음의위협을추가로정의한다. T. 고장 T. 비정상적인패킷발송 T. 서비스거부공격 T. 불법접근 위협 144 다음은본보안목표명세서가준수한 FW-PP 에서수용한위협으로 FW-PP 와완전히동일하 다. T. 가장 145 위협원은인가된사용자로가장하여 TOE에접근할수있다. 43

52 T. 기록실패 146 위협원은저장용량을소진시켜서 TOE 의보안관련사건이기록되지않도록할수있다. T. 불법정보유입 147 위협원은외부로부터허용되지않은정보를유입하여내부네트워크를침해할수있다. T. 불법정보유출 148 내부의사용자가네트워크를통하여불법적으로정보를외부로유출할수있다. T. 연속인증시도 149 위협원은 TOE 에접근하기위해연속적으로인증을시도하여인가된사용자권한을획득할수 있다. T. 재사용공격 150 위협원은인가된사용자의인증데이터를재사용하여 TOE에접근할수있다. T. 저장데이터훼손 151 위협원은 TOE에저장된 TSF 데이터를인가되지않은방식으로노출, 변경, 삭제할수있다. T. 주소위장 152 외부네트워크의위협원은출발지주소를내부주소로위장하여내부네트워크접근권한을획득하려할수있다 위협 ( 추가 ) 153 다음은보안목표명세서에서추가로정의한위협이다. T. 고장 154 TOE 또는 TOE와상호작용하는외부실체 (DBMS) 가사용중이나, 외부의공격등에의해고장이발생하여정상적인서비스를제공하지못할수있다. T. 비정상적인패킷발송 155 위협원은비정상적인구조를가지는네트워크패킷을전송하여내부망의시스템에오동작을일으킬수있다. T. 서비스거부공격 156 위협원은 TOE 운영환경에있는내부망컴퓨터시스템의서비스자원을비정상적으로초과사용하여정상적인사용자들의사용을방해할수있다. 44

53 T. 불법접근 157 위협원은네트워크를통하여 TOE 에또는인가되지않은 IT 실체에접근할수있다. 3.2 조직의보안정책 158 본절에서기술하는조직의보안정책은 TOE에의해서다루어진다. 159 본보안목표명세서는 FW-PP 에명세된모든조직의보안정책을준수한다. 본보안목표명세서 에서추가로정의한조직의보안정책은없다 조직의보안정책 160 다음은본보안목표명세서가준수한 FW-PP 에서수용한조직의보안정책으로 FW-PP 와완전 히동일하다. P. 감사 161 보안과관련된모든행동에대한책임을추적하기위해보안관련사건은기록및유지되어야하며, 기록된데이터는검토되어야한다. P. 안전한관리 162 TOE는인가된관리자가안전한방식으로 TOE를관리할수있도록관리수단을제공해야한다. 45

54 3.3 가정사항 163 다음의조건들이 TOE 운영환경에존재한다고가정한다. 164 본보안목표명세서는 FW-PP 에명세된모든가정사항을준수한다. 이와더불어다음의가정사항을추가로정의한다. A. 신뢰된 _ 보안관리 _UI A. 신뢰된 _ 업데이트 _ 서버 A. 신뢰된 _SSH_ 통신 A. 신뢰된 _SSL_ 통신 A. 신뢰된 _TOE_ 연동 _ 서버 A. 신뢰된 _TOE_ 연동 _ 엔진 가정사항 165 다음은본보안목표명세서가준수한 FW-PP 에서수용한가정사항으로 FW-PP 와완전히동일 하다. A. 물리적보안 166 TOE는인가된관리자만이접근가능한물리적으로안전한환경에위치한다. A. 보안유지 167 네트워크구성변경, 호스트의증감, 서비스의증감등으로내부네트워크환경이변화될때, 변화된환경과보안정책을즉시 TOE 운영정책에반영하여이전과동일한수준의보안을유지한다. A. 신뢰된관리자 168 TOE의인가된관리자는악의가없으며, TOE 관리기능에대하여적절히교육받았고, 관리자지침에따라정확하게의무를수행한다. A. 운영체제보강 169 불필요한운영체제상의서비스나수단등을모두제거하는작업과운영체제상의취약점에대한보강작업을수행하여운영체제에대한신뢰성과안정성을보장한다. A. 유일한연결점 170 모든외부네트워크와내부네트워크간의통신은 TOE를통해서만이루어진다 가정사항 ( 추가 ) 171 다음은보안목표명세서에서추가로정의한가정사항이다. 46

55 A. 신뢰된 _ 보안관리 _UI 172 TOE는웹브라우저를통한보안관리인터페이스 (GUI) 와 SSH/Serial 통신지원소프트웨어를통한보안관리인터페이스 (CLI) 를제공한다. 일반적으로, 웹브라우저는마이크로소프트社의인터넷익스플로러 (Internet Explorer) 가사용된다. TOE 보안관리인터페이스가운영되는관리자시스템의운영체제 ( 예 : 윈도우 XP Pro) 와웹브라우저, SSH/Serial 통신소프트웨어는안전한방법으로배포, 설치된다. 인가된관리자는관리지침을준수하여안전한방식으로관리하여보안관리인터페이스에대한신뢰성과안정성을보장한다 A. 신뢰된 _ 업데이트 _ 서버 173 TOE 운영환경은 TOE의취약성목록및펌웨어업데이트 ( 패치 ), Anti-Virus 엔진업데이트에사용되는신뢰된서버인 AST 서버및 CDN 서버를제공한다. 업데이트서버는안전한방식으로관리되며신뢰성과안전성을보장한다. A. 신뢰된 _SSH_ 통신 174 TOE 운영환경은 TOE와 TOE 외부의신뢰된 IT 제품간의통신시 IT 실체 ( 사용자 ) 의인증및암호통신에사용할수있는신뢰할수있는 SSH 기반의통신메커니즘을제공한다. 이를통해 SSH 통신시신뢰성과안정성을보장한다. A. 신뢰된 _SSL_ 통신 175 TOE 운영환경은 SSL 인증에사용할인증서를 TOE( 전용장비 ) 가구동될때마다생성하여 TOE에저장하며, SSL 인증서는안전하게생성되어관리된다. TOE 운영환경은 TOE와신뢰된외부 IT 실체간의통신시, 외부 IT 실체의인증및암호통신에사용할수있는신뢰된 SSL 기반의통신메커니즘을제공한다. 이를통해 SSL 통신시신뢰성과안정성을보장한다. [ 참고사항 ] 신뢰된외부 IT 실체란 'A. 신뢰된 _ 업데이트 _ 서버 ' 에서명시된업데이트서버와 TOE 가제공 하는보안관리기능에접근하는 ' 관리자시스템 ' 을의미한다. A. 신뢰된 _TOE_ 연동 _ 서버 176 TOE 운영환경은 TOE와연동하는신뢰된서버를제공한다. TOE는 Syslog 서버, SNMP Manager 서버, 정보통신윤리위원회 DB 서버, NTP 서버, RADIUS 서버와의연동기능을제공한다. 이러한서버들은안전한방식으로관리되며신뢰성과안정성을보장한다. A. 신뢰된 _TOE_ 연동 _ 엔진 177 TOE 운영환경은 TOE의 Anti-Virus 기능에사용되는필터링엔진 (V3 엔진 ) 을제공한다. 이러한엔진들은그안전성이입증되어일반적으로널리사용되고있는것들로신뢰성과안정성을보장한다. 47

56 4 보안목적 178 본보안목표명세서는보안목적을 TOE에대한보안목적및운영환경에대한보안목적으로분류하여정의한다. TOE에대한보안목적은 TOE에의해서직접적으로다루어지는보안목적이고, 운영환경에대한보안목적은 TOE가보안기능성을정확히제공할수있도록운영환경에서지원하는기술적 / 절차적수단에의해다루어야하는보안목적이다. 179 본보안목표명세서는 FW-PP 의보안목적를모두준수한다. 본보안목표명세서에서추가로정의한보안목적, 즉 TOE에대한보안목적, 운영환경에대한보안목적은다음 [ 표 4-1] 와같다. 표 4-1 보안목적 - 보안목표명세서에서추가 구분 TOE 보안목적 운영환경에대한보안목적 보안목표명세서에서추가된보안목적 O. 비정상적인패킷차단 O. 서비스거부공격차단 O. 안전한상태유지 O. 접근통제 OE. 신뢰된 _ 보안관리 _UI OE. 신뢰된 _ 업데이트 _ 서버 OE. 신뢰된 _SSH_ 통신 OE. 신뢰된 _SSL_ 통신 OE. 신뢰된 _TOE_ 연동 _ 서버 OE. 신뢰된 _TOE_ 연동 _ 엔진 4.1 TOE 보안목적 180 다음은 TOE에의해직접적으로다루어져야하는보안목적이다. 181 본보안목표명세서는 FW-PP 에명세된모든 TOE 보안목적을수용한다. 이와더불어다음의 TOE 보안목적을추가로정의한다. O. 비정상적인패킷차단 O. 서비스거부공격차단 O. 안전한상태유지 O. 접근통제 TOE 보안목적 182 다음은본보안목표명세서가준수한 FW-PP 에서수용한 TOE 보안목적으로 FW-PP 와완전히 동일하다. O. 감사 183 TOE는보안과관련된행동의책임추적이가능하도록보안관련사건을기록및유지해야하며, 기록된데이터를검토할수있는수단을제공해야한다. 48

57 O. 관리 184 TOE 는 TOE 의인가된관리자가 TOE 를효율적으로관리할수있는관리수단을안전한방법으 로제공해야한다. O. 데이터보호 185 TOE는 TOE에저장된 TSF 데이터를인가되지않은노출, 변경, 삭제로부터보호해야한다. O. 식별및인증 186 TOE는사용자를유일하게식별해야하고, 사용자의신원을인증해야한다. O. 정보흐름통제 187 TOE는외부에서내부로또는내부에서외부로의인가되지않은정보유 출입을통제하여야한다 TOE 보안목적 ( 추가 ) 188 다음은보안목표명세서에서추가로정의한 TOE 보안목적이다. O. 비정상적인패킷차단 189 TOE는 TOE를통과하는패킷중비정상적인구조를가지는패킷을차단해야한다. [ 참고사항 ] 비정상적인패킷이란 RFC 791( 인터넷프로토콜 ), RFC 792( 인터넷통제메시지프로토콜 ), RFC 793( 전송통제프로토콜 ) 등인터텟표준프로토콜에정의된 TCP/IP 패킷이아닌것 이나, IP 주소가위장된패킷, 브로드캐스팅패킷, 루핑패킷등을의미한다. O. 서비스거부공격차단 190 TOE는보호하는컴퓨터의네트워크서비스가정상적인사용자들이사용할수있도록하기위 하여, 공격자들이비정상적으로컴퓨터의서비스자원을사용할경우이를차단해야한다. O. 안전한상태유지 191 TOE는 TSF 및 TOE와상호작용하는외부실체 (DBMS) 의장애가발생한경우안전한상태를유지해야한다. O. 접근통제 192 TOE는외부또는내부에서 TOE로의접근및인가되지않은 IT 실체에대한접근을통제하여야한다. 49

58 4.2 운영환경에대한보안목적 193 다음은 TOE가보안기능성을정확히제공할수있도록운영환경에서지원하는기술적 / 절차적수단에의해다루어야하는보안목적이다. 194 본보안목표명세서는 FW-PP 에명세된모든운영환경에대한보안목적을준수한다. 이와더불어다음의운영환경에대한보안목적을추가로정의한다. OE. 신뢰된 _ 보안관리 _UI OE. 신뢰된 _ 업데이트 _ 서버 OE. 신뢰된 _SSH_ 통신 OE. 신뢰된 _SSL_ 통신 OE. 신뢰된 _TOE_ 연동 _ 서버 OE. 신뢰된 _TOE_ 연동 _ 엔진 운영환경에대한보안목적 195 다음은본보안목표명세서가준수한 FW-PP 에서수용한운영환경에대한보안목적으로 FW-PP 와완전히동일하다. OE. 물리적보안 196 TOE는인가된관리자만이접근가능한물리적으로안전한환경에위치해야한다. OE. 보안유지 197 네트워크구성변경, 호스트의증감, 서비스의증감등으로내부네트워크환경이변화될때, 변화된환경과보안정책을즉시 TOE 운영정책에반영하여, 이전과동일한수준의보안을유지해야한다. OE. 신뢰된관리자 198 TOE의인가된관리자는악의가없으며, TOE 관리기능에대하여적절히교육받았고, 관리자지침에따라정확하게의무를수행해야한다. OE. 운영체제보강 199 불필요한운영체제상의서비스나수단등을모두제거하는작업과운영체제상의취약점에대한보강작업을수행하여운영체제에대한신뢰성과안정성을보장해야한다. OE. 유일한연결 200 모든외부네트워크와내부네트워크간의통신은 TOE를통해서만이루어져야한다. OE. 타임스탬프 201 TOE는 TOE 운영환경에서제공하는신뢰할수있는타임스탬프를사용해서보안관련사건을 50

59 정확하게기록해야한다 운영환경에대한보안목적 ( 추가 ) 202 다음은본보안목표명세서에서 FW-PP 에추가로정의한운영환경에대한보안목적이다. OE. 신뢰된 _ 보안관리 _UI 203 TOE 운영환경은 SSL 기반의웹브라우저를통한보안관리인터페이스 (GUI) 와 SSH 및 Serial 기반의 SSH/Serial 통신지원소프트웨어를통한보안관리인터페이스 (CLI) 를제공한다. TOE 보안관리인터페이스가운영되는관리자시스템의운영체제 ( 예 : 윈도우 XP Pro) 와웹브라우저, SSH/Serial 통신소프트웨어는안전한방법으로배포, 설치되며인가된관리자는관리지침을준수하여안전한방식으로관리하여신뢰성과안정성을보장해야한다. OE. 신뢰된 _ 업데이트 _ 서버 204 TOE 운영환경은취약성목록및펌웨어업데이트 ( 패치 ), Anti-Virus 엔진업데이트에사용되는 AST 서버및 CDN 서버를안전하게관리하여신뢰성과안정성을보장해야한다. OE. 신뢰된 _SSH_ 통신 205 TOE 운영환경은원격관리콘솔 (SSH 통신프로그램을통해 CLI에접근하는시스템 ) 과의안전한통신을위한통신채널형성시 TOE 운영환경이제공하는 SSH 프로토콜기반의통신메커니즘을사용하여신뢰성과안전성을보장해야한다. TOE 운영환경은 SSH 프로토콜을이용하여상호간의통신을암호화하고사용자를인증하여 TSF 데이터를보호해야한다. OE. 신뢰된 _SSL_ 통신 206 TOE 운영환경은 TOE와업데이트서버및관리자시스템과의안전한통신을위한통신채널형성시 TOE 운영환경이제공되는 SSL 프로토콜통신메커니즘을사용하여신뢰성과안전성을보장해야한다. OE. 신뢰된 _TOE_ 연동 _ 서버 207 TOE 운영환경은 TOE와연동하는 Syslog 서버, SNMP Manager, 정보통신윤리위원회 DB 서버, MS SQL 서버, NTP 서버, RADIUS 서버를안전하게관리하여신뢰성과안전성을보장해야한다. OE. 신뢰된 _TOE_ 연동 _ 엔진 208 TOE 운영환경은 TOE의 Anti-Virus 연동기능에사용되는엔진을안전하게관리하여신뢰성과안전성을보장해야한다. 또한새로운악의적인공격으로부터 TOE 및 TOE 운영환경을보호하기위해최신엔진을유지해야한다. 51

60 4.3 보안목적의이론적근거 209 보안목적의이론적근거는명세한보안목적이적합하고, 보안문제를다루기에충분하며, 과도하지않고반드시필요한것임을입증한다. 210 보안목적의이론적근거는다음을입증한다. 각가정사항, 위협, 조직의보안정책이최소한하나의보안목적에의해서다루어진다. 각보안목적은최소한하나의가정사항, 위협, 조직의보안정책을다룬다. 52

61 표 4-2 보안문제정의와보안목적대응 53

62 4.3.1 TOE 보안목적의이론적근거 O. 감사 211 TOE는보안관련사건을상세하고정확하게기록, 유지, 검토하는수단을제공함을보장한다. 그리고생성된감사기록을통해연속적인인증시도를할경우공격자의신원을탐지할수있도록보장한다. 그리고서비스거부공격, 비정상적인패킷을제조하여발송하는공격도감사기록을통해공격을추적할수있다. 그러므로본 TOE 보안목적은위협 T. 기록실패, T. 연속인증시도, T. 비정상적인패킷발송, T. 서비스거부공격에대응하고, 조직의보안정책 P. 감사를수행하는데필요하다. O. 관리 212 TOE는인가된관리자가 TOE를안전하게관리하는수단을제공하므로조직의보안정책 P. 안전한관리를수행하는데필요하다. O. 데이터보호 213 TOE는 TSF 데이터의무결성을보장하므로위협 T. 저장데이터훼손에대응하는데필요하다. O. 식별및인증 214 TOE는사용자를유일하게식별및인증함을보장한다. 특히, 사용자를식별하는것은비정상적인패킷발송, 서비스거부공격차단에관한감사기록생성시필요한기능이다. 그러므로위협 T. 가장, T. 연속인증시도, T. 재사용공격, T. 저장데이터훼손, T. 비정상적인패킷발송, T. 서비스거부공격에대응하는데필요하다. O. 정보흐름통제 215 TOE는보안정책에따라정보흐름을중재함을보장하므로위협 T. 불법정보유입, T. 불법정보유출, T. 주소위장에대응하는데필요하다. O. 비정상적인패킷차단 216 본보안목적은외부망에서내부망으로유입되는많은양의패킷중에 TCP/IP 표준에적합하지않는패킷, 외부망에서유입되는패킷중내부망의주소를가지는패킷, 브로드캐스팅 (broadcasting) 패킷, 루핑패킷등이내부망으로유입되지않도록보장한다. 그러므로본 TOE 보안목적은위협 T. 비정상적인패킷발송, T. 주소위장에대응하는데필요하다. O. 서비스거부공격차단 217 공격자는 TOE를통과하여내부망컴퓨터를대상으로네트워크서비스거부공격을수행할수있다. 대표적인네트워크서비스거부공격은원격의사용자가내부컴퓨터에비정상적으로많은서비스를요청하여컴퓨터자원을소모시키는것이다. 이때내부컴퓨터는공격자에게많은 54

63 자원을할당하여정상적인사용자가컴퓨터를사용하지못하도록방해한다. 이러한경우를대비하여 TOE는특정한사용자가특정한컴퓨터의자원을독점하는것을차단하여정상적인사용자가컴퓨터를사용할수있도록보장한다. 그러므로본 TOE 보안목적은위협 T. 서비스거부공격, T. 주소위장에대응하는데필요하다. O. 안전한상태유지 218 TOE는외부로부터예기치않은공격등 TOE 고장발생으로사용자에게정상적인서비스를제공하지못할수있다. 본보안목적에서 TOE는고장등으로인한장애가발생할때, 안전한상태를유지할수있도록보장한다. 또한 TOE는자신과상호작용하는외부실체 (DBMS) 가정확하게운영됨을보이기위해초기시동시, 운영중에주기적으로시험을수행하여시험에실패한경우경고창을출력하여인가된관리자가복구조치를취하여안전한상태를유지하기위한기능을제공한다. 그러므로본 TOE 보안목적은위협 T. 고장에대응하는데필요하다. O. 접근통제 219 본 TOE 보안목적은보안정책에따라 TOE에대한접근및인가되지않은 IT 실체로의접근을통제함을보장하므로위협 T. 불법접근에대응하는데필요하다. 55

64 4.3.2 운영환경에대한보안목적의이론적근거 OE. 물리적보안 220 본운영환경에대한보안목적은 TOE 의물리적안전을보장하므로가정사항 A. 물리적보안을 지원하는데필요하다. OE. 보안유지 221 본운영환경에대한보안목적은내부네트워크구성변경, 호스트의증감, 서비스의증감등으로내부네트워크환경이변화될때, 변화된환경과보안정책을즉시 TOE 운영정책에반영하여이전과동일한수준의보안을유지하도록보장하므로가정사항 A. 보안유지를지원하는데필요하다. OE. 신뢰된관리자 222 본운영환경에대한보안목적은 TOE의인가된관리자를신뢰할수있음을보장하므로조직의보안정책 P. 안전한관리를수행하고, 가정사항 A. 신뢰된관리자를지원하는데필요하다. OE. 운영체제보강 223 본운영환경에대한보안목적은불필요한운영체제상의서비스나수단등을모두제거하는작업과운영체제상의취약점에대한보강작업을수행하여운영체제가안전하고신뢰됨을보장하므로가정사항 A. 운영체제보강을지원하는데필요하다. OE. 유일한연결점 224 본운영환경에대한보안목적은모든외부네트워크와내부네트워크간의통신이 TOE를통해서이루어지도록보장하므로가정사항 A. 유일한연결점을지원하는데필요하다. OE. 타임스탬프 225 본운영환경에대한보안목적은 TOE가 TOE 운영환경에서제공하는신뢰할수있는타임스탬프를사용해서보안관련사건을정확하게기록함을보장하므로조직의보안정책 P. 감사를수행하는데필요하다. OE. 신뢰된 _ 보안관리 _UI 226 본환경에대한보안목적은 TOE와 TOE가제공하는보안관리인터페이스 (GUI, CLI) 에접근하기위해사용하는소프트웨어및하부운영체제가안전하게배포, 설치되며인가된관리자가안전한방식으로관리하여보안관리를위해사용되는소프트웨어의안전성및신뢰성을보장하므로가정사항 A. 신뢰된 _ 보안관리 _UI를지원하는데필요하다. OE. 신뢰된 _ 업데이트 _ 서버 56

65 227 본환경에대한보안목적은 TOE 가관리하고있는취약성에대한데이터베이스, 펌웨어의갱신 ( 패치 ), 정보통신윤리위원회 DB, Anti-virus 엔진의갱신및관리하는것을보장하므로가정사 항 A_ 신뢰된 _ 업데이트 _ 서버를지원하는데필요하다. OE. 신뢰된 _SSH_ 통신 228 본환경에대한보안목적은 TOE와 TOE가제공하는보안관리 (CLI) 에접근하는시스템과의안전한통신을위한통신채널형성시 SSH 프로토콜기반의통신메커니즘을제공하는것을보장하므로가정사항 A. 신뢰된 _SSH_ 통신을지원하는데필요하다. OE. 신뢰된 _SSL_ 통신 229 본환경에대한보안목적은 TOE와업데이트서버및관리자시스템과의통신시안전한통신을위한통신채널형성및상호인증시 SSL 프로토콜기반의신뢰성있는통신메커니즘을제공하는것을보장하므로가정사항 A. 신뢰된 _SSL_ 통신을지원하는데필요하다. OE. 신뢰된 _TOE_ 연동 _ 서버 230 본환경에대한보안목적은 TOE와연동하는 Syslog 서버, SNMP Manager, 정보통신윤리위원회 DB 서버, MS SQL 서버, NTP 서버, RADIUS 서버가안전하게관리되는것을보장하므로가정사항 A. 신뢰된 _TOE_ 연동 _ 서버를지원하는데필요하다. OE. 신뢰된 _TOE_ 연동 _ 엔진 231 본환경에대한보안목적은 TOE가제공 / 관리하는 Anti-Virus 기능에서호출하는 TOE 운영환경의엔진이안전하게관리되는것을보장하여새로운악의적인공격으로부터 TOE 및 TOE 운영환경을안전하게관리되는것을보장하므로가정사항 A. 신뢰된 _TOE_ 연동 _ 엔진을지원하는데필요하다. 57

66 5 확장컴포넌트정의 232 본장에서는본보안목표명세서에서공통평가기준 2 부또는 3 부에서확장한컴포넌트를설명 한다. 5.1 확장컴포넌트정의 233 본보안목표명세서에는공통평가기준 2 부또는 3 부에서확장한컴포넌트가존재하지않는다. 58

67 6 보안요구사항 234 본장에서는 TOE에서만족되어야하는기능및보증요구사항을서술한다. 235 본보안목표명세서의보안요구사항은다음의보호프로파일을 ' 입증가능한방법으로준수 ' 하여작성하였다. 침입차단시스템보호프로파일 V2.0(KECS-PP , 2008년 4월 24일 ) ( 이하 'FW-PP' 로표기 ) 236 본보안목표명세서는보안요구사항에서사용되는주체, 객체, 오퍼레이션, 보안속성, 외부실체, 기타조건을다음과같이정의한다 ( 참고로, 보증요구사항에서사용되는주체, 객체, 오퍼레이션, 보안속성, 외부실체, 기타조건들은없다 ). a) 주체와객체및관련보안속성, 오퍼레이션 : 다음 [ 표 6-1] 참고 b) 외부실체 : 다음 [ 표 6-2] 참고 표 6-1 주체와객체및관련보안속성, 오퍼레이션정의 (*) 일반관리자및로그일반관리자는 ' 질의 ' 오퍼레이션만허용됨 주체 ( 사용자 ) 객체 ( 정보 ) 목록보안속성목록보안속성 오퍼레이션 해당 SFR TOE 를통 IP 주소 TOE 를 통 출발지 IP 네트워크트 FDP_IFF.1 해서정보를송ㆍ수 과하는트워크 네트 주소, 목적지 IP 래픽통과, 거부 신하는사 래픽 주소, 용자 프로토콜 ( 서비스 ), 시간 TOE를통해서주체 출발지주소, IP 허용하는규칙이있을 FDP_IFF.1(1), FDP_IFF.1(4), 에서다른곳으로보 목적지주소, IP 경우통과, 거부 FDP_IFF.1(6), FDP_IFF.1(8), 내는 트래 프로토콜, 픽 서비스 포 트, 패킷 데이 터, 시간 출발지 IP FDP_IFF.1(2) 주소, 출발 지 ( 내부 ) 포 트 목적지 IP 주소, 목적 지 ( 외부 ) 포 트 59

68 주체 ( 사용자 ) 객체 ( 정보 ) 목록보안속성목록보안속성 프로토콜 출발지 IP 주소 목적지 IP 주소 / 서비스포트 출발지 IP 주소 / 서비스포트 목적지 IP 주소 / 서비스포트 IP 주소 TOE IP 주소, 서비스포트 오퍼레이션 접근허용, 차단 해당 SFR FDP_IFF.1(3) FDP_IFF.1(7) FDP_ACF.1(1) IP 주소, 보안레 TOE을통해서정보 IP 주소, 보안레이블 FDP_ACF.1(2) 이블 를송 수신하는사 용자 인가된관 식별자 식별및인 파일변경, 삭제 FMT_MTD.1(1) 리자 ( 상위관리자, * 일반관리자 ) 비밀번호 접근권한 잠김여부 증데이터감사저장소용량, 실패한인증시도횟 파일한계치명세 FMT_MTD.2 수, 자체시 험이 발생 하는 시간 간격 TSF 터 데이 파일무결성검증 FPT_TST.1 보안속성 파일디폴트값변경, 질의, 변경, 삭제디폴트값대체를위한초기값명세보안기능 파일행동을결정, 중지, 개시, 행동을변경 FMT_MSA.1 FMT_MOF.1 최대치 할당 파일질의, 변경 FMT_MOF.1, FRU_RSA.1 인가된일 식별자, 인증데이터 파일변경 FMT_MTD.1(3) 반사용자 비밀번호 ( 비밀정보 ) 60

69 주체 ( 사용자 ) 객체 ( 정보 ) 목록보안속성목록보안속성 오퍼레이션 해당 SFR 인가된관리자 ( 상위 TOE( 전용장비 ) 보안 파일 ( 인증데이터 ) 식별및인증, FIA_UAU.1(1), FIA_UID.2 관리자, 일반관리자, 로그상위관리자, 로그일반관 관리 TOE( 로그서버 ) 보안관리 파일 ( 인증데이터 ) 성공적으로완료한경우접근허용 일반관리자, 로그일 FIA_UAU.1(3) FIA_UID.2 리자 ) 반관리자도동일 (*) 일반관리자및로그일반관리자는 ' 질의 ' 오퍼레이션만허용됨 주체 ( 사용자 ) 객체 ( 정보 ) 목록보안속성목록보안속성 오퍼레이션 해당 SFR 인가된 관 식별자 감사데이터파일통계처 FMT_MTD.1(2) 리자 ( 로그상위관리 비밀정보 리, 반영구적 자 ) 로그인시도 인보조기억장치에 최대 백업 및 허용수 잠금 복구 시간 잠금 여부 이름 권한 인가된 관 식별자 감사데이터백업 파일질의, 변 FMT_MTD.1(2) 리자 ( 상위관리자, * 일 비밀번호 설정 ( 예약백업, 백업경 경 반관리자 ) 접근권한 로, 백업대상, 최근백업내역 ) 잠김여부 TOE를구성하는중요파일 ( 설정파일 ) 파일 반영구적인보조기 FMT_MTD.1(2) 억장치에백업하고 복구, 최초배포 시설정으로되돌리 기 무결성점검데이터파일질의, 변 FMT_MTD.1(2) 경 업데이트설정 ( 자동업데이트사 파일 질의, 변 경 FMT_MTD.1(2) 용여부, 업데이트 61

70 주체 ( 사용자 ) 객체 ( 정보 ) 목록보안속성목록보안속성 주기 ) 오퍼레이션 해당 SFR 취약성목록 ( 침입탐지규칙 ) 옵션 : 로그설정 ( 로그종류, 로그전송방법, 로그서버 ) 선택적인감사데이터생성을위한설정환경설정 : TOE 식별 ( 호스트 ) 이름환경설정 : 시간환경설정 : 세션시간제한설정 (TCP, UDP, ICMP 세션유지시간, TCP MSS 사용여부및크기, TCP 유효성검사여부 ) HA 설정정보 : 감시포트 ( 물리적포트, 로컬 / 원격장비가상 IP, Ping 허용여부 ) 목록 파일질의, 변경, 최신데이터로갱신, ( 새로운취약성목록생성및인가된관리자가생성하여추가한취약성목록에한하여삭제파일질의, 변경, 소거, 감사데이터를전송받을로그서버 (IP 주소 ) 목록을생성하고삭제파일질의, 변경 파일 질의, 변 경 파일 질의, 변 경 파일 질의, 변 경 파일 질의, 변 경, 감시 포트목록 을생성하 고삭제 FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) HA 설정정보 : 파일질의, 변 FMT_MTD.1(2) 62

71 주체 ( 사용자 ) 객체 ( 정보 ) 목록보안속성목록보안속성 HA 설정 ( 사용여부, 우선순위, 연결 NIC, 원격장비 IP 주소, Heart beat 상태 ) 오퍼레이션 경 해당 SFR 정책적용대상목록 : IP 주소 ( 이름, 종류, IP 주소, 네트워크포트, 보안등급 ) 및 IP 주소그룹 ( 이름, 네트워크포트, 그룹에포함되는 IP 주소객체 ) 목록정책적용대상목록 : 서비스 ( 이름, 프로토콜, 출발지 / 목적지포트 ) 및서비스그룹 ( 이름, 그룹에포함되는서비스객체 ) 목록정책적용대상목록 : 일정 ( 이름, 주기, 시간 ) 목록 정책적용대상목록 : QoS 적용 ( 이름, 최소대역폭, 최대대역폭, 우선순위 ) 목록프록시서비스객체목록 : 프록시 ( 이름, 프록시종류 ( 일반프록시, HTTP 프록시, FTP 프록시, SMTP 프록시, POP3 프록시, Oracle 프록시, UDP 프록시, DNS 프록시중단일선택 ), 포트, 시간제한, 전달호스트 ) 및프록시그룹 ( 이름, 그룹에포되는프록시객체 ) 목록 파일질의, 변경, 삭제, IP 주소및 IP 주소그룹목록을생성하고삭제 파일질의, 변경, 삭제, 서비스및서비스그룹목록을생성하고삭제 파일질의, 변경, ( 일정목록을생성하고삭제 ) 파일잘의, 변경, QoS 적용목록을생성하고삭제파일질의, 변경, 삭제, 프록시서비스객체목록을생성하고삭제 ) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) 63

72 주체 ( 사용자 ) 객체 ( 정보 ) 목록보안속성목록보안속성 오퍼레이션 해당 SFR 프록시세부규칙설정 ( 바이러스차단사용여부, 웹사이트필터링사용여부, 스팸메일차단사용여부, 명령어차단사용여부및차단할명령어목록, DNS 응답검사사용여부, DNS 응답시사설 IP 주소차단사용여부 ) 프록시인증사용자목록 ( 사용자아이디, 프록시종류, 접속한 IP 주소, 접속시간 ) 프록시동시연결수 ( 일반, HTTP, FTP, SMTP, POP3, Oracle, UDP, DNS 프록시별로지정됨 ) 바이러스차단설정 ( 메일본문검사여부, 메일크기, POP3 검사설정, SMTP 검사설정, 필터링할파일확장자목록 ) 스팸메일차단설정 ( 나가는메일검사여부, 메일크기, POP3 검사설정, SMTP 검사설정, 스팸메일 / 허용메일적용대상및처리방법목록, RBL 사용여부및 RBL 서버목록 ) 스펨메일차단설정 : 키워드필터링목록 ( 그룹이름, 키워드, 파일 질의, 변 경 파일 질의, 변 경 파일 질의, 변 경 파일 질의, 변 경, 파일 확장자목 록을생성 하고삭제 파일질의, 변경, 스팸메일 / 허용메일적용대상및처리방법목록을생성하고삭제, RBL 서버목록을생성하고삭제파일질의, 변경, 키워드필터링목록을생 FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) 64

73 주체 ( 사용자 ) 객체 ( 정보 ) 목록보안속성목록보안속성 적용대상, 키워드종류 ) 오퍼레이션 성하고삭제 해당 SFR 웹사이트필터링설정 ( 인터넷내용등급 DB 사용여부, 내용등급태그검사사용여부및필터링할태그, 파일첨부필터링여부및첨부된파일처리방법, 차단메시지및리디렉션 URL, 웹사이트구성요소차단설정 ) 웹사이트필터링설정 : URL 필터링목록 ( 그룹이름, URL) 웹사이트필터링설정 : URL 필터링예외목록 ( 사용여부, 적용대상, 출발지 / 목적지구분 ) DDoS 공격방어설정 파일 질의, 변 경 파일 질의, 변 경, 소거, 웹사이트 필터링목 록을생성 하고삭제 파일 질의, 변 경, 소거, URL 필터 링 예외 목록을생 성하고삭 제 파일 질의, 변 경 FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) FMT_MTD.1(2) (*) 일반관리자및로그일반관리자는 ' 질의 ' 오퍼레이션만허용됨 주체 ( 사용자 ) 객체 ( 정보 ) 목록보안속성목록보안속성 오퍼레이션 해당 SFR 인가된 관 리자 ( 로그 상위 관리 자, * 로그 일반 관리 자 ) 식별자 비밀정보 로그인시도최대허용수 잠금시간 잠금여부 물리적으로 분리된 파일 질의 FMT_MTD.1(2) TOE간 ( 로그서버와전용장비 ) 의연결정보 TOE에로그인한사 파일 질의 FMT_MTD.1(2) 용자에대한정보 접속할로그서버정 파일 질의, 변 FMT_MTD.1(2) 보및연결설정, 자동로그아웃사용여부 경 알림메일설정 파일 질의, 변 FMT_MTD.1(2) 65

74 주체 ( 사용자 ) 객체 ( 정보 ) 목록보안속성목록보안속성 오퍼레이션 해당 SFR 이름 권한 ( 스팸메일목록전송여부, 목록전송시간, 메일주소, 알림방법, 받는사람메일주소, 메일서버정보 (IP 주소, 포트, 아이디, 비밀번호 ) 경 사용자설정 (AhnLab LogServer) ( 아이디, 비밀번호, 이름, 권한, 로그인, 로그인실패허용횟수, 잠금기간 ) 파일 질의, 변 경, 사용 자목록을 생성하고 삭제 FMT_MTD.1(2) 관리대상 TOE( 전용장비 ) 정보 (TOE( 전용장비 ) 이름, IP 주소, 펌웨어버전, 연속사용시간, 상태 ) 파일질의 FMT_MTD.1(2) 표 6-2 외부실체정의 외부실체 설명 해당 SFR 업데이트서버 TOE와의연동서버 TOE와의연동엔진관리자시스템 Anti-Virus 엔진, TOE 패치및패턴업데이트에사용되는 AST 서버및 CDN 서버로업데이트기능수행시 TOE에의해호출된다. TOE는인가된관리자가지정한보안정책에따라 SNMP Manager 서버, 정보통신윤리위원회 DB 서버, MS SQL 서버, NTP 서버, RADIUS 서버와의연동기능을수행한다. TOE는인가된관리자가지정한보안정책에따라 TOE와연동하는 Anti-Virus 엔진을호출한다. SSL 통신 (128bit 암호화 ) 을지원하는웹브라우저또는 SSH 통신을지원하는소프트웨어가설치된관리자시스템, 직렬데이터통신을통해보안관리기능을사용하는경우 TOE와직렬데이터케이블로직접연결된관리자시스템으로인가된관리자가 TOE의보안관리에사용하는시스템이다. FMT_MTD.1(2) FAU_ARP.1, FDP_IFF.1(1) FPT_TEE.1, FMT_MTD.1(2), FIA_ATD.1(2) FDP_IFF.1(8) FMT_MOF.1 감사데이터시스템 관리 MS SQL 서버및 TOE 의감사데이터관리프로그램인 AhnLab LogServer 가설치된시스템으로일 FMT_MOF.1, FPT_ITT.1 반적으로위의웹브라우저또는 SSH 통신을지원하는소프트웨어가설치된관리자시스템이사 용된다. TOE 의감사데이터가저장된다. 66

75 67

76 6.1 보안기능요구사항 237 본보안목표명세서에서정의된보안기능요구사항은 'FW-PP' 를준수하여작성되었다. 'FW-PP' 에정의되지않은, 즉본보안목표명세서에서추가한보안기능요구사항은공통평가기준 2부의기능컴포넌트들로구성된다. 참고로, 본보안목표명세서는 'FW-PP' 를입증가능한방법으로준수한다. [ 참고사항 ] 다음 [ 표 6-3] 은본보안목표명세서에서 'FW-PP' 에추가로정의한기능컴포넌트를요약하여보여준다. 자세한내용은 <6.2 보안기능요구사항 ( 추가 )> 에서서술한다. 표 6-3 FW-PP에추가한보안기능요구사항보안기능클래스 보안기능컴포넌트 사용자데이터보호 TSF 보호 자원활용 FDP_ACC.2(1) ~ (2) FDP_ACF.1(1) ~ (2) FDP_IFC.1(1) ~ (10) FDP_IFF.1(1) ~ (10) FPT_FLS.1 FPT_ITT.1 FPT_TEE.1 FRU_FLT.1 FRU_RSA.1 완전한접근통제보안속성에기반한접근통제부분적인정보흐름통제단일계층보안속성장애시안전한상태유지내부전송 TSF 데이터의기본적인보호 TOE와상호작용하는외부실체시험오류에대한내성 : 부분적용최대할당치 238 공통평가기준 2부에서완료되지않은오퍼레이션또는본보안목표명세서가준수한 'FW-PP' 에서완료되지않은오퍼레이션을가진보안기능요구사항은본보안목표명세서작성자에의해완성되었다. 239 다음 [ 표 6-4] 는본보안목표명세서에서정의하고있는보안기능기능컴포넌트를요약하여보여준다. 68

77 표 6-4 보안기능요구사항 보안기능클래스보안기능컴포넌트비고 보안감사 FAU_ARP.1 보안경보 FW-PP FAU_GEN.1 감사데이터생성 FAU_SAA.1 잠재적인위반분석 FAU_SAR.1 감사검토 FAU_SAR.3 선택가능한감사검토 FAU_SEL.1 선택적인감사 FAU_STG.1 감사증적저장소보호 FAU_STG.3 감사데이터손실예측시대응행동 FAU_STG.4 감사데이터의손실방지 사용자데이터보 FDP_IFC.2 완전한정보흐름통제 FW-PP 호 FDP_IFF.1 단일계층보안속성 FDP_ACC.2(1) 완전한접근통제 추가 FDP_ACF.1(1) 보안속성에기반한접근통제 FDP_ACC.2(2) 완전한접근통제 FDP_ACF.1(2) 보안속성에기반한접근통제 FDP_IFC.1(1) 부분적인정보흐름통제 FDP_IFF.1(1) 단일계층보안속성 FDP_IFC.1(2) 부분적인정보흐름통제 FDP_IFF.1(2) 단일계층보안속성 FDP_IFC.1(3) 부분적인정보흐름통제 FDP_IFF.1(3) 단일계층보안속성 FDP_IFC.1(4) 부분적인정보흐름통제 FDP_IFF.1(4) 단일계층보안속성 FDP_IFC.1(5) 부분적인정보흐름통제 FDP_IFF.1(5) 단일계층보안속성 FDP_IFC.1(6) 부분적인정보흐름통제 FDP_IFF.1(6) 단일계층보안속성 FDP_IFC.1(7) 부분적인정보흐름통제 FDP_IFF.1(7) 단일계층보안속성 FDP_IFC.1(8) 부분적인정보흐름통제 FDP_IFF.1(8) 단일계층보안속성 69

78 보안기능클래스보안기능컴포넌트비고 식별및인증 FIA_AFL.1 인증실패처리 FW-PP FIA_ATD.1(1) 사용자속성정의 FIA_ATD.1(2) FIA_ATD.1(3) 사용자속성정의사용자속성정의 추가 ( 반복 ) FIA_ATD.1(4) 사용자속성정의 FIA_SOS.1 비밀정보의검증 FW-PP FIA_UAU.1(1) 인증 FIA_UAU.1(2) FIA_UAU.1(3) 인증인증 추가 ( 반복 ) FIA_UAU.4 재사용방지인증메커니즘 FW-PP FIA_UAU.7 인증피드백보호 FIA_UID.2(1) 모든행동이전에사용자식별 FIA_UID.2(2) FIA_UID.2(3) 모든행동이전에사용자식별모든행동이전에사용자식별 추가 ( 반복 ) FIA_UID.24) 모든행동이전에사용자식별 보안관리 FMT_MOF.1 보안기능관리 FW-PP FMT_MSA.1 보안속성관리 FMT_MSA.3 정적속성초기화 FMT_MTD.1(1) TSF 데이터관리 FMT_MTD.1(2) TSF 데이터관리 FMT_MTD.1(3) TSF 데이터관리 추가 ( 반복 ) FMT_MTD.2 FMT_SMF.1 FMT_SMR.1(1) TSF 데이터한계치의관리 관리기능명세 보안역할 FW-PP TSF 보호 FMT_SMR.1(2) 보안역할추가 ( 반복 ) FPT_TST.1 TSF 자체시험 FW-PP FPT_FLS.1 장애시안전한상태유지 추가 FPT_ITT.1 내부전송 TSF 데이터의기본적인보 호 FPT_TEE.1 TOE 와상호작용하는외부실체시험 자원활용 FRU_FLT.1 오류에대한내성 : 부분적용 추가 FRU_RSA.1 최대할당치 TOE 접근 FTA_SSL.1 TSF 에의한세션잠금 FW-PP 70

79 보안기능클래스보안기능컴포넌트비고 FTA_SSL.3 TSF 에의한세션종료 ( 비고란에서 'FW-PP' 는 PP 에서수용한 SFR 을, ' 추가 ' 는 ST 에서추가한 SFR 을의미 ) 71

80 6.1.1 보안감사 FAU_ARP.1 보안경보 계층관계 : 없음 종속관계 : FAU_SAA.1 잠재적인위반분석 FAU_ARP.1.1 TSF는잠재적인보안위반을탐지한경우, [ { 다음의 } 혼란을최소화하는대응행동목록 ] 을취해야한다. { a) FIA_UAU.1(1) ~ (3) 의감사대상사건중인증실패감사사건 : Notify( 통보 ), Logging( 감사기록 ) b) FDP_IFF.1, FDP_ACF.1(1) ~ (2), FDP_IFF.1(1) ~ (4), FDP_IFF.1(6) ~ (8) 의감사대상사건중통제규칙위반감사사건 : Notify( 통보 ), Drop( 차단 ), Logging( 감사기록 ) c) FDP_IFF.1(5) 의감사대상사건중통제규칙위반감사사건 : Notify( 통보 ), Prevention( 차단 ), Quarantine( 시스템격리 ), Session Drop( 세션끊기 ), Logging( 감사기록 ) d) FPT_TST.1의감사대상사건중무결성위반감사사건 : Notify( 통보 ), Logging( 감사기록 ) e) CPU, 메모리, 디스크사용량 (%) 에대한감사대상사건중사용량 (%) 및기간 ( 분 ) 이지정된한계치에도달한감사사건 : Notify( 통보 ), Logging( 감사기록 ) } FAU_GEN.1 감사데이터생성계층관계 : 없음 종속관계 : FPT_STM.1 신뢰할수있는타임스탬프 FAU_GEN.1.1 TSF는다음과같은감사대상사건들의감사레코드를생성할수있어야한다. a) 감사기능의시동 (start-up) 과종료 (shut-down) b) 지정되지않음감사수준에따른모든감사대상사건 c) [ [ 표 6-5] 감사대상사건의 " 감사대상사건 " 참조 ] FAU_GEN.1.2 TSF는최소한다음정보를각감사레코드내에기록해야한다. a) 사건일시, 사건유형, 주체의신원 ( 가능한경우 ), 사건결과 ( 성공또는실패 ) b) 각감사사건유형에대하여, 보안목표명세서에포함된기능컴포넌트의감사대상사건정의에기반한 [ [ 표 6-5] 감사대상사건의 "" 추가적인감사기록내용 " 참조 ] FAU_SAA.1 잠재적인위반분석계층관계 : 없음 72

81 종속관계 : FAU_GEN.1 감사데이터생성 FAU_SAA.1.1 TSF 는감사된사건을검사하는경우에규칙집합을적용할수있어야하고, 이규칙에기반 하여 SFR의수행에대한잠재적위반을지적할수있어야한다. FAU_SAA.1.2 TSF는감사된사건을검사하는경우에다음과같은규칙을적용해야한다. a) 잠재적인보안위반을나타내는알려진 [ FIA_UAU.1 의감사대상사건중인증실패감사사건, FDP_IFF.1 의감사대상사건중통제규칙위반감사사건, FPT_TST.1의감사대상사건중무결성위반감사사건 ] 의누적또는조합 b) [ { 다음에명세 } 된기타규칙 ] { FDP_ACF.1의감사대상사건중통제규칙위반감사사건의누적또는조합 CPU, 메모리, 디스크사용량 (%) 에대한감사대상사건중사용량 (%) 및기간 ( 분 ) 이지정된한계치에도달한감사사건 } 표 6-5 감사대상사건 기능컴포넌트 감사대상사건 추가적인감사기록내용 FAU_ARP.1 급박한보안위반으로인하여취해지는대 대응행동의수신자신원 응행동 FAU_SAA.1 분석메커니즘의동작개시와동작정지, - 도구에의한자동대응 FAU_SEL.1 감사수집기능이수행되는동안에발생한 - 감사환경설정의변경사항 FDP_IFF.1 정보흐름요청에대한결정 객체의식별정보 FIA_AFL.1 실패한인증시도의한계치도달과취해진 - 대응행동, 적절하다면, 이어서일어난정상상태로의회복 FIA_SOS.1 TSF에의한모든시험된비밀정보의거부 - FIA_UAU.1 인증메커니즘의모든사용 - FIA_UAU.4 인증데이터의재사용시도 - FIA_UID.2 제공된사용자신원을포함하여사용자식 - 별메커니즘의사용실패 FMT_MOF.1 TSF 기능에대한모든변경 - FMT_MSA.1 보안속성값에대한모든변경변경된보안속성값 FMT_MTD.1 TSF 데이터값에대한모든변경변경된 TSF 데이터값 FMT_MTD.2 TSF 데이터한계치에대한모든변경 변경된 TSF 데이터한계 치 FMT_SMF.1 관리기능의사용 - FMT_SMR.1 역할을분담하는사용자그룹에대한변경 - FPT_TST.1 TSF 자체시험의실행과시험결과무결성위반시변경된 73

82 기능컴포넌트감사대상사건추가적인감사기록내용 TSF 데이터혹은실행코드 FTA_SSL.1 세션잠금메커니즘에의한상호작용세션 - 잠금, 상호작용세션의성공적인잠금해제 FTA_SSL.3 세션잠금메커니즘에의한상호작용세션 - 종료 FDP_ACF.1 SFP에의해서다루어지는객체에대한오 객체의식별정보 퍼레이션수행의성공적인요청 FRU_FLT.1 TSF에의해탐지된모든장애 - FRU_RSA.1 자원한계로인한할당오퍼레이션의거부 - FAU_SAR.1 감사검토계층관계 : 없음 종속관계 : FAU_GEN.1 감사데이터생성 FAU_SAR.1.1 TSF 는 [ 인가된관리자 ] 에게감사레코드로부터 [ 모든감사데이터 ] 를읽을수있는기 능을제공해야한다. FAU_SAR.1.2 TSF 는사용자가정보를해석하기에적합하도록감사레코드를제공해야한다. FAU_SAR.3 선택가능한감사검토계층관계 : 없음 종속관계 : FAU_SAR.1 감사검토 FAU_SAR.3.1 TSF 는 [ 다음의논리관계를갖는기준 ] 에기초하여감사데이터에대한 [ 다음의선택및 / 또는순서화방법 ] 을적용할수있는능력을제공해야한다. [ 논리관계를갖는기준 : < 표 6-6> 의감사데이터유형및감사데이터유형에따른선택기준 선택및 / 또는순서화방법 : < 표 6-6> 의 ' 감사데이터유형에따른선택기준 ' 에따라발생시간을기준으로내림차순으로순서화 ] [ 참고사항 ] 감사데이터유형은크게운영로그, 방화벽로그, IPS 로그, 시스템격리로그, 콘텐츠필터 로그, 웹사이트필터로그, 바이러스차단로그, 스팸메일차단로그로구분된다. 표 6-6 감사데이터유형및감사데이터유형에따른기준 ( 검색, 정렬 ) 감사데이터유형감사데이터유형에따른선택기준허용능력 운영로그 그룹 / 장비 : 등록된 TOE( 그룹, 전용장비 ) 중단일선택 검색기간 : 단일선택 ( 오늘, 1주일 ) 최대검색 ( 건수 ): 단일선택 (1000, 2000, 3000, 검색, ( 발생시간에따른 ) 정렬 74

83 감사데이터유형감사데이터유형에따른선택기준허용능력 방화벽로그 IPS 로그 시스템격리로그 콘텐츠필터로그 4000, 5000, 10000, 20000, 30000, 40000, 50000) 특정기간 ( 시작일시 ~ 종료일시 ) 내용 : 검색할내용 그룹 / 장비 : 등록된 TOE( 그룹 ) 중단일선택 로그종류 : 단일선택 ( 허용, 차단, 종료 ) 검색기간 : 단일선택 ( 오늘, 특정기간 : 시작일시 ~ 종료일시 ) 프로토콜 : 단일선택 ( 모두, TCP, UDP, ICMP, IGMP, ESP, AH, OSPF, VRRP, 기타선택시 : 포트번호 ) 출발지 IP 주소 출발지포트 목적지 IP 주소 목적지포트 최대검색 ( 건수 ): 단일선택 (1000, 2000, 3000, 4000, 5000, 10000, 20000, 30000, 40000, 50000) 그룹 / 장비 : 등록된 TOE( 그룹 ) 중단일선택 검색기간 : 단일선택 ( 오늘, 1주일, 특정기간 : 시작일시 ~ 종료일시 ) 위험도 : 단일선택 ( 모두, 매우높음, 높음, 보통, 낮음, 매우낮음 ) 출발지 IP 주소 출발지포트 목적지 IP 주소 목적지포트 처리방법 : 단일선택 ( 모두, 차단, 시스템격리, 허용, REPLACE, 리디렉션, 세션끊기, 사용량제한, DDoS 공격차단, Unknown) 공격유형 최대검색 ( 건수 ): 단일선택 (1000, 2000, 3000, 4000, 5000, 10000, 20000, 30000, 40000, 50000) 그룹 / 장비 : 등록된 TOE( 그룹 ) 중단일선택 검색기간 : 단일택일 ( 오늘, 1주일, 특정기간 : 시작일시 ~ 종료일시 ) 처리방법 : 단일선택 ( 모두, 시스템격리, 해제 ) 최대검색 : 단일선택 (1000, 2000, 3000, 4000, 5000, 10000, 20000, 30000, 40000, 50000) 출발지 IP 주소 내용 그룹 / 장비 : 등록된 TOE( 그룹 ) 중단일선택 검색기간 : 단일선택 ( 오늘, 특정기간 : 시작일시 ~ 종료일시 ) 로그종류 : 단일선택 ( 모두, 오류, 운영로그 ) 최대검색 ( 건수 ): 단일선택 (1000, 2000, 3000, 4000, 5000, 10000, 20000, 30000, 40000, 50000) 검색, ( 발생시간에따른 ) 정렬 검색, ( 발생시간에따른 ) 정렬 검색, ( 발생시간에따른 ) 정렬 검색, ( 발생시간에따른 ) 정렬 75

84 감사데이터유형감사데이터유형에따른선택기준허용능력 내용 웹사이트로그 필터 그룹 / 장비 : 등록된 TOE( 그룹 ) 중단일선택 검색기간 : 단일선택 ( 오늘, 특정기간 : 시작일시 검색, ( 발생시간에따른 ) 정 ~ 종료일시 ) 처리방법 : 단일선택 ( 모두, 허용, 차단 ) 렬 출발지 IP 주소 출발지포트 목적지 IP 주소 목적지포트 URL 최대검색 ( 건수 ): 단일선택 (1000, 2000, 3000, 4000, 5000, 10000, 20000, 30000, 40000, 50000) 바이러스로그 차단 그룹 / 장비 : 등록된 TOE( 그룹 ) 중단일선택 로그종류 : 단일선택 ( 허용, 차단, 종료 ) 검색, ( 발생시간에따른 ) 정 검색기간 : 단일선택 ( 오늘, 특정기간 : 시작일시 ~ 종료일시 ) 렬 처리방법 : 단일선택 ( 모두, 허용, 차단 ) 출발지 IP 주소 출발지포트 목적지 IP 주소 목적지포트 설명 최대검색 ( 건수 ): 단일선택 (1000, 2000, 3000, 4000, 5000, 10000, 20000, 30000, 40000, 50000) 스팸메일차단로그 그룹 / 장비 : 등록된 TOE( 그룹 ) 중단일선택 검색기간 : 단일선택 ( 오늘, 특정기간 : 시작일시 ~ 종료일시 ) 처리방법 : 단일선택 ( 모두, 허용, 차단 ) 출발지 IP 주소 출발지포트 목적지 IP 주소 목적지포트 보낸사람 받는사람 메일제목 최대검색 ( 건수 ): 단일선택 (1000, 2000, 3000, 4000, 5000, 10000, 20000, 30000, 40000, 50000) 검색, ( 발생시간에따른 ) 정렬 ( 범례 : 위의 기호는 'and' 를, 기호는 'or' 를의미함 ) FAU_SEL.1 선택적인감사계층관계 : 없음 종속관계 : FAU_GEN.1 감사데이터생성 76

85 FMT_MTD.1 TSF 데이터관리 FAU_SEL.1.1 TSF 는다음속성에기반하여모든감사대상사건집합으로부터감사되어야할사건의집합 을선택할수있어야한다. a) 사건유형 b) [ 없음 ] FAU_STG.1 감사증적저장소보호 계층관계 : 없음 종속관계 : FAU_GEN.1 감사데이터생성 FAU_STG.1.1 TSF 는인가되지않은삭제로부터감사증적내에저장된감사레코드를보호해야한다. FAU_STG.1.2 TSF 는감사증적내에저장된레코드에대한비인가된변경을방지해야한다. FAU_STG.3 FAU_STG.3.1 감사데이터손실예측시대응행동계층관계 : 없음종속관계 : FAU_STG.1 감사증적저장소보호 TSF는감사증적이 [ 인가된관리자가지정한도 ( 감사증적저장소총용량 - 확보해야할여유공간 (%), 확보해야할여유공간의기본값 : 10%) ] 를초과할경우에 [ 인가된관리자 에게통보, { 다음의명세 } 된대응행동 ] 을취해야한다. { a) 감사증적을지정된위치로백업하거나가장오래된감사증적을순차적으로삭제 } FAU_STG.4 FAU_STG.4.1 감사데이터의손실방지계층관계 : FAU_STG.3 종속관계 : FAU_STG.1 감사증적저장소보호 TSF는감사증적이포화인경우, TSF는특별권한을갖는인가된사용자에의해취해진행동을제외한감사대상사건의방지및 [ { 다음의명세 } 된감사저장실패의경우에취해야할그밖의행동 ] 을수행해야한다. { a) 감사저장소복구조치를취할수있도록인가된관리자에게다음의방법으로통보 인가된관리자가지정한이메일주소로메일전송 } 사용자데이터보호 FDP_IFC.2 완전한정보흐름통제계층관계 : FDP_IFC.1 종속관계 : FDP_IFF.1 단일계층보안속성 77

86 FDP_IFC.2.1 TSF 는 [ 다음의주체목록과정보목록 ] 과 SFP 에의하여다루어지는통제된주체로 / 주체 로부터의정보흐름을유발하는모든오퍼레이션에대하여 [ Packet Filtering SFP ] 을강제해 야한다. [ a) 주체 : TOE를통해서정보를송 수신하는사용자 b) 정보 : TOE를통과하는네트워크트래픽 ] FDP_IFC.2.2 TSF는 TOE 내의모든주체로 / 주체로부터 TOE내의모든정보흐름을유발하는모든오퍼레이션들이정보흐름통제 SFP에의하여다루어짐을보장해야한다. FDP_IFF.1.1 [ 참고사항 ] FDP_IFF.1 단일계층보안속성계층관계 : 없음종속관계 : FDP_IFC.1 부분적인정보흐름통제 FMT_MSA.3 정적속성초기화 TSF는적어도 [ 다음의 SFP에서통제되는주체와정보의목록, 주체와정보각각에대한보안속성 ] 과같은주체보안속성및정보보안속성유형에기반하여 [ Packet Filtering SFP ] 를강제해야한다. [ a) 주체보안속성 IP 주소 b) 정보보안속성 출발지 IP 주소 목적지 IP 주소 프로토콜 ( 서비스 ) 시간 ] Packet Filtering SFP에는우선순위가존재하며인가된관리자가설정한정보흐름통제보안정책의규칙들중에서일치되는첫번째규칙 ( 최상위규칙 ) 이적용되어야한다. FDP_IFF.1.2 TSF는다음과같은규칙이유지되면통제된오퍼레이션을통하여통제된주체와통제된정보간의정보흐름을허용해야한다 : [ 다음의각오퍼레이션에대하여주체와정보보안속성간에서유지되어야하는보안속성에기반한관계 ] [ a) TOE를통해서주체에서다른곳으로보내는트래픽에대하여, TOE는정보흐름통제보안정책에따라 주체 (IP 주소 ) 가전송을요청한정보의보안속성 ( 출발지 IP 주소, 목적지 IP 주소, 프로토콜 ( 서비스 ), 시간 ) 과인가된관리자가정의한정보흐름통제보안정책의속성을 78

87 비교하여, 그정보흐름에대한처리방법이 ' 허용 ' 으로지정되어있으면요청된정 보흐름을허용해야한다. ] FDP_IFF.1.3 TSF 는 [ 없음 ] 을강제해야한다. FDP_IFF.1.4 TSF 는 [ 없음 ] 에기반하여정보흐름을명시적으로인가해야한다. FDP_IFF1.5 TSF는 [ 다음의보안속성에기반하여명시적으로정보흐름을거부하는규칙 ] 에기반하여정보흐름을명시적으로거부해야한다. [ a) TOE는외부망의 IT 실체에서도착한정보에내부망의주체 IP 주소를가지고있는것을반드시접속요청을차단하여야한다. b) TOE는내부망의 IT 실체에서도착한정보에외부망의주체 IP 주소를가지고있는것은반드시접속요청을차단하여야한다. c) TOE는외부망의 IT 실체에서도착한정보에브로드캐스팅하는주체 IP 주소를가지고있는것은반드시접속요청을차단하여야한다. d) TOE는외부망의 IT 실체에서도착한정보에루핑하는주체 IP 주소를가지고있는것은반드시접속요청을차단하여야한다. e) TOE는외부망의 IT 실체에서도착한정보에비정상적인패킷구조를가지고있는것은반드시접속요청을차단하여야한다. ] 식별및인증 FIA_AFL.1 FIA_AFL.1.1 인증실패처리계층관계 : 없음종속관계 : FIA_UAU.1 인증 TSF는 [ 다음의인증사건의목록 ] 에관련된 [ [ 다음의지정된양수 ], 관리자가구성가능한 [ 다음의지정된수의범위 ] 안의양수 ] 번의실패한인증시도가발생한경우이를탐지해 야한다. [ a) 다음의 TOE 보안관리인터페이스로의접근시도시마지막성공적인인증이후의성공하지못한인증시도 Web User Interface(HTTPS): 10회 Command Line Interface(SSH) : 10회 AhnLab LogServer(Win32 어플리케이션 ): 관리자가구성가능한양수 ( 기본값 6회, 구성가능범위 : 1 ~ 99회 ) b) FDP_IFC.1(1), FDP_IFF.1(1) Application Filtering SFP 중사용자인증이강제된다음의서비스요청시마지막성공적인인증이후의성공하지못한인증시도 일반 (General TCP) 프록시 : 관리자가구성가능한양수 ( 기본값 : 없음, 구성가능범 79

88 위 : 1 ~ 9 회 ) [ 참고사항 ] FTP 프록시 : 관리자가구성가능한양수 ( 기본값 : 없음, 구성가능범위 : 1 ~ 9회 ) HTTP 프록시 : 관리자가구성가능한양수 ( 기본값 : 없음, 구성가능범위 : 1 ~ 9회 ) ] FIA_AFL.1.1 의 a) 항중 AhnLab LogServer에명세된 SFR은 LogViewer 에의해제공된다. FIA_AFL.1.2 [ 참고사항 ] 실패한인증시도가정의된회수에도달하면, TSF는 [ 인가된관리자가대응행동을취할때까지해당사용자인증방지, { 다음의명세 } 된대응행동목록 ] 을수행해야한다. { a) 다음의 TOE 보안관리인터페이스로의접근시도시실패한인증시도가정의된횟수에도달한경우 Web User Interface(HTTPS): 인가된관리자가대응행동을취할때까지해당사용자인증방지, 인가된관리자에게이메일로통보 Command Line Interface(SSH): 인가된관리자가대응행동을취할때까지해당사용자인증방지, 인가된관리자에게이메일로통보 AhnLab LogServer(Win32 어플리케이션 ): 인가된관리자가지정한기간까지해당사용자인증지연 ( 기본값 : 10분 ) b) 다음의 FDP_IFC.1(1), FDP_IFF.1(1) Application Filtering SFP 중사용자인증이강제된서비스요청시실패한인증시도가정의된횟수에도달한경우 일반 (General TCP) 프록시 : 인가된관리자가대응행동을취할때까지해당사용자인증방지 FTP 프록시 : 인가된관리자가대응행동을취할때까지해당사용자인증방지 HTTP 프록시 : 인가된관리자가대응행동을취할때까지해당사용자인증방지 } FIA_AFL.1.2 의 a) 항중 AhnLab LogServer 에명세된 SFR은 LogViewer 에의해제공된다. FIA_ATD.1(1) FIA_ATD.1.1 사용자속성정의계층관계 : 없음종속관계 : 없음 TSF는각인가된관리자에속한다음의보안속성목록을유지해야한다 : [ 다음의보안속성목록 ] [ a) 식별자 b) 비밀정보 ( 패스워드 ) c) 접근권한 d) 잠김여부 ] 80

89 [ 참고사항 ] 본보안기능요구사항은 TOE에접근하여 TOE와상호작용하며관리하고자하는관리자 ( 상위관리자, 일반관리자 ) 를식별하기위해사용되는사용자속성이다. 이것을이용하여 TOE는정당한관리자를식별하고식별후인증을요청한다. 여기서의관리자는 TOE의구성요소중에서 'UTM 데몬패키지 ' 상에서식별되는상위관리자와일반관리자를의미한다. TOE의사용자에대한자세한내용은 'FMT_SMR.1 보안역할 ' 에서다룬다. FIA_ATD.1(2) FIA_ATD.1.1 [ 참고사항 ] 사용자속성정의계층관계 : 없음종속관계 : 없음 TSF는각인가된일반사용자에속한다음의보안속성목록을유지해야한다 : [ 다음의보안속성목록 ] [ a) 아이디 b) 비밀정보 ( 패스워드 ) c) 사용자인증서버 d) 인증방법 e) 보안등급 f) 로그인시도허용횟수 g) 암호사용기간 h) 만료날짜 i) 사용자잠금 ] 본보안기능요구사항은 TOE를통해서정보를송 수신하는사용자중에서인증이강제되는사용자를식별하기위해사용되는사용자속성이다. 이것을이용하여 TOE는인가된관리자가지정한규칙에따라정당한사용자를식별하고식별후인증을요청할수있다. 사용자인증서버 : 인가된관리자가지정한규칙에따라 TOE 자체인증처리모듈또는 TOE 운영환경에배치되어있는인증서버 (RADIUS) 가사용될수있다. 인증방법 : 비밀번호, 일회용비밀번호중인가된관리자가지정한규칙에따라선택적으로사용할수있다. 보안등급 : 높음, 보통, 낮음 3단계로구분 FIA_ATD.1(3) FIA_ATD.1.1 사용자속성정의계층관계 : 없음종속관계 : 없음 TSF는각 IT 실체에속한다음의보안속성목록을유지해야한다 : [ 다음의보안속성목록 ] [ a) 이름 81

90 [ 참고사항 ] b) 종류 : 단일, 범위, CIDR 중선택된값 c) IP 주소 : b) 항의 ' 종류 ' 에서선택된값에따라 단일 : IP 주소 범위 : IP 주소범위 ( 시작 IP 주소 ~ 끝 IP 주소 ) CIDR: IP 주소, 서브넷마스크 d) 네트워크포트 e) 보안등급 ] 본보안기능요구사항은 TOE를통과하여보호하고자하는내부의컴퓨터와통신하는인증되지않은외부의사용자 (IT 실체 ) 를식별하기위해사용되는사용자속성이다. 이것을이용하여 TOE는외부 IT 실체를식별하고외부 IT 실체의보안사건을감사기록하며추후에책임을추적할수있다. FIA_ATD.1(4) FIA_ATD.1.1 [ 참고사항 ] 사용자속성정의계층관계 : 없음종속관계 : 없음 TSF는각인가된로그관리자에속한다음의보안속성목록을유지해야한다 : [ 다음의보안속성목록 ] [ a) 식별자 b) 비밀정보 ( 패스워드 ) c) 로그인시도최대허용수 : 기본값 (6회) d) 잠금시간 : 기본값 (10분) e) 잠금여부 : On/Off f) 이름 : 사용자에대한설명 g) 권한 : 관리가가능한 TOE( 전용장비 ) 목록 ] 본보안기능요구사항은 TOE에접근하여 TOE와상호작용하며관리하고자하는로그관리자 ( 로그상위관리자, 로그일반관리자 ) 를식별하기위해사용되는사용자속성이다. 이것을이용하여 TOE는정당한관리자를식별하고식별후인증을요청한다. 여기서의관리자는 TOE의구성요소중에서 'AhnLab LogServer' 상에서식별되는로그관리자를의미한다. FIA_ATD.1.1 은 LogViewer, LogReporter 를통해 TOE와상호작용하며관리하고자하는로그관리자에게강제된다. TOE의사용자에대한자세한내용은 'FMT_SMR.1 보안역할 ' 에서다룬다. FIA_SOS.1 비밀정보의검증계층관계 : 없음 종속관계 : 없음 82

91 FIA_SOS.1.1 TSF 는비밀정보가 [ 다음에정의된허용기준 ] 을만족시킴을검증하는메커니즘을제공해 야한다. [ a) 허용문자 알파벳대소문자 (52자: a ~ z, A ~ Z), 숫자 (10자: 0 ~ 9), 특수문자 (26자: $ 문자를제외한키보드를통해입력가능한특수문자 ) b) 조합규칙 사전단어 (Dictionary) 배제 적어도하나이상의영문자또는숫자를포함해야함 바로인접한뒷글자가연속한문자 ( 숫자 ) 또는그역에해당하는문자인경우가 5 번이상이면부적합패스워드 ( 예 : abcd123, dcba123) 동일한문자가 3번이상반복되면, 부적합패스워드 ( 예 : 123xxx) c) 최소 / 최대길이 6 ~ 15문자 (6 ~ 15byte) d) 변경주기 ( 암호사용기간 ) 0 ~ 9999일 ] FIA_UAU.1(1) FIA_UAU.1.1 인증계층관계 : 없음종속관계 : FIA_UID.1 식별 TSF는인가된관리자가인증되기전에인가된관리자를대신하여수행될 [ 다음의 TSF가중재하는행동의목록 ] 을허용해야한다. [ a) FDP_ACC.2(1), FDP_ACF.1(1) 의보안관리모드접근통제 SFP b) 식별및인증절차요청 ( 로그인화면 ) ] FIA_UAU.1.2 [ 참고사항 ] TSF는 FIA_UAU.1.1 에서명시된행동이외의인가된관리자를대신하여 TSF가중재하는다른모든행동을허용하기전에인가된관리자를성공적으로인증해야한다. 본보안기능요구사항은식별된관리자 ( 상위관리자, 일반관리자 ) 인증시적용되며식별된 IT 실체에대해서는적용되지않는다. 여기서의관리자는상위관리자와일반관리자를의미한다. TOE의사용자에대한자세한내용은 'FMT_SMR.1 보안역할 ' 에서다룬다.. FIA_UAU.1(2) FIA_UAU.1.1 인증계층관계 : 없음종속관계 : FIA_UID.1 식별 TSF는인가된일반사용자가인증되기전에인가된일반사용자를대신하여수행될 [ 다음의 TSF가중재하는행동의목록 ] 을허용해야한다. 83

92 [ a) FDP_IFC.1(1), FDP_IFF.1(1) 의 Application Filtering SFP b) 식별및인증절차요청 ( 로그인화면 ) ] FIA_UAU.1.2 [ 참고사항 ] TSF는 FIA_UAU.1.1 에서명시된행동이외의인가된일반사용자를대신하여 TSF가중재하는다른모든행동을허용하기전에인가된일반사용자를성공적으로인증해야한다. 본보안기능요구사항은식별된 Application Filtering( 프록시 ) SFP의사용자인증시적용되며식별된외부 IT 실체에대해서는적용되지않는다. FIA_UAU.1(3) FIA_UAU.1.1 인증계층관계 : 없음종속관계 : FIA_UID.1 식별 TSF는인가된로그관리자가인증되기전에인가된로그관리자를대신하여수행될 [ 다음의 TSF가중재하는행동의목록 ] 을허용해야한다. [ a) 식별및인증절차요청 ( 로그인화면 ) b) 연결설정 (LogServer) 서버주소, 서버포트, 검색포트, 보안전송여부 언어 ( 한국어 ), 자동로그아웃 ( 기간 ( 분 ), 사용여부 ) ] FIA_UAU.1.2 [ 참고사항 ] TSF는 FIA_UAU.1.1 에서명시된행동이외의인가된로그관리자를대신하여 TSF가중재하는다른모든행동을허용하기전에인가된로그관리자를성공적으로인증해야한다. 본보안기능요구사항은식별된로그관리자 ( 로그상위관리자, 로그일반관리자 ) 인증시적용되며식별된 IT 실체에대해서는적용되지않는다. 여기서의관리자는여기서의관리자는 TOE의구성요소중에서 'AhnLab LogServer' 상에서식별되는로그관리자를의미한다. FIA_UAU.1.1 은 LogViewer, LogReporter 를통해 TOE와상호작용하며관리하고자하는로그관리자에게강제된다. TOE의사용자에대한자세한내용은 'FMT_SMR.1 보안역할 ' 에서다룬다.. FIA_UAU.4 FIA_UAU.4.1 재사용방지인증메커니즘계층관계 : 없음종속관계 : 없음 TSF는 [ 다음의식별된인증메커니즘 ( 들 ) ] 에관련된인증데이터의재사용을방지해야한다. [ a) 일반사용자인증 ] 84

93 FIA_UAU.7 인증피드백보호 계층관계 : 없음 종속관계 : FIA_UAU.1 인증 FIA_UAU.7.1 TSF는인증이진행되는동안사용자에게 [ 다음의피드백목록 ] 만을제공해야한다. [ a) 비밀정보 ( 패스워드 ) 입력시입력창의각문자를 ' * ' 문자로변경하여화면에출력 b) 인증실패시 ' 인증메커니즘실패원인정보 ' ] FIA_UID.2(1) FIA_UID.2.1 [ 참고사항 ] 모든행동이전에사용자식별계층관계 : FIA_UID.1 종속관계 : 없음 TSF는사용자를대신하여 TSF가중재하는다른모든행동을허용하기전에각인가된관리자를성공적으로식별해야한다. TOE의사용자는인가된관리자, 인가된로그관리자, 인가된일반사용자, IT 실체로구분된다. 본보안기능요구사항은인가된관리자 ( 상위관리자, 일반관리자 ) 의식별을요구하는것이다. TOE의사용자에대한자세한내용은 'FMT_SMR.1 보안역할 ' 에서다룬다 FIA_UID.2(2) FIA_UID.2.1 [ 참고사항 ] 모든행동이전에사용자식별계층관계 : FIA_UID.1 종속관계 : 없음 TSF는사용자를대신하여 TSF가중재하는다른모든행동을허용하기전에각인가된일반사용자를성공적으로식별해야한다. TOE의사용자는인가된관리자, 인가된로그관리자, 인가된일반사용자, IT 실체로구분된다. 본보안기능요구사항은인가된일반사용자의식별을요구하는것이다. TOE의사용자에대한자세한내용은 'FMT_SMR.1 보안역할 ' 에서다룬다 FIA_UID.2(3) FIA_UID.2.1 [ 참고사항 ] 모든행동이전에사용자식별계층관계 : FIA_UID.1 종속관계 : 없음 TSF는사용자를대신하여 TSF가중재하는다른모든행동을허용하기전에각 IT 실체를성공적으로식별해야한다. TOE의사용자는인가된관리자, 인가된로그관리자, 인가된일반사용자, IT 실체로구분된다. 본보안기능요구사항은 IT 실체의식별을요구하는것이다. FIA_UID.2(4) 모든행동이전에사용자식별계층관계 : FIA_UID.1 85

94 종속관계 : 없음 FIA_UID.2.1 TSF 는사용자를대신하여 TSF 가중재하는다른모든행동을허용하기전에각인가된로 그관리자를성공적으로식별해야한다. [ 참고사항 ] TOE 의사용자는인가된관리자, 인가된로그관리자, 인가된일반사용자, IT 실체로구분된 다. 본보안기능요구사항은인가된로그관리자 ( 로그상위관리자, 로그일반관리자 ) 의식별 을요구하는것이다. TOE 의사용자에대한자세한내용은 'FMT_SMR.1 보안역할 ' 에서다룬 다 보안관리 FMT_MOF.1 보안기능관리계층관계 : 없음 종속관계 : FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 FMT_MOF.1.1 TSF 는 [ 다음 < 표 6-7> 의보안기능목록 ] 의기능에대해행동을결정, 중지, 개시, 행동을 변경하는능력을 [ 인가된관리자 ] 로제한해야한다. [ 참고사항 ] 본보안기능요구사항에서명세된 ' 인가된관리자 ' 는상위관리자를의미한다. TOE 의사용 자역할에대한자세한사항은 'FMT_SMR.1 보안역할 ' 에명세된내용을참고한다. 표 6-7 보안기능목록및보안기능관리능력 보안기능 능력 행동을결정 중지 개시 행동을변경 TOE 재기동 - - O - 식별및인증 O - - O 백업및복구 - - O - Alarm( 알람 ) 통보 O O O - 감사데이터생성 / 전송 O O O O 보안감사데이터검토 - O O - Firewall 보안정책 ( 기능 ) O O O O Intrusion Prevention 보안정책 ( 기능 ) O O O O Application Filter 보안정책 ( 기능 ) O O O O QoS 보안정책 ( 기능 ) O O O O 무결성검사 - - O - 업데이트기능 O O O - HA(High Availiability) 기능 O O O - ( 범례 : - 미지원, O 지원 ) 86

95 FMT_MSA.1 보안속성관리계층관계 : 없음종속관계 : [ FDP_ACC.1 부분적인접근통제또는 FDP_IFC.1 부분적인정보흐름통제 ] FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 FMT_MSA.1.1 TSF는 [ 다음 < 표 6-8> 의보안속성목록 ] 의보안속성을디폴트값변경, 질의, 변경, 삭제, [ 소거 ] 하는능력을 [ 인가된관리자 ] 로제한하도록 [ 다음의접근통제 SFP, 정보흐름통제 SFP ] 를강제해야한다. [ a) 접근통제 SFP 보안관리모드접근통제 SFP 보안레이블기반접근통제 SFP b) 정보흐름통제 SFP Packet Filtering SFP Application Filtering SFP Network Address Translation (NAT) SFP White List( 예외정책 ) SFP Anti-Spam SFP Intrusion Prevention SFP Traffic Control SFP Quarantine SFP Anti-Virus SFP ] [ 참고사항 ] 본보안기능요구사항에서명세된 ' 인가된관리자 ' 는상위관리자, 일반관리자를의미한다. TOE 의사용자역할에대한자세한사항은 'FMT_SMR.1 보안역할 " 에명세된내용을참고 한다. 상위관리자는본보안기능요구사항에명세된모든능력 ( 디폴트값변경, 질의, 변경, 삭제, 소거 ) 을갖으며, 일반관리자에게는 ' 질의 ' 능력만이부여된다. 표 6-8 보안속성목록및관리능력 구분 보안속성 능력 디폴 질의 변경 삭제 소거 트값변경 주체 IP 주소 O O O O O 출발지 IP 주소 O O O O O 87

96 구분 보안속성 능력 디폴트값 변경 질의변경삭제소거 목적지 IP 주소 O O O O O 프로토콜 ( 서비스 ) O O O O O 네트워크트래픽이유출 / O O O O O 입되는 TOE의물리적인네트워크포트 시간 O O O O O 보안관리모드접근통제 SFP 주체 IP 주소 - O O O - 객체 IP 주소 - O O - O 보안레이블기반접근통제 SFP 주체 객체 서비스포트 - O O - O IP 주소 O O O O O 보안레이블 - O O O O IP 주소 O O O O O 보안레이블 - O O O O Application Filtering SFP 주체 IP 주소 O O O O O 정보 출발지 IP 주소 O O O O O 목적지 IP 주소 O O O O O 프로토콜 O O O O O 서비스포트 O O O O O 패킷데이터 시간 O O O O O Network Address Translation(NAT) SFP 주체 IP 주소 O O O O O 정보 출발지 IP 주소 O O O O O 출발지 ( 내부 ) 포트 - O O O O 목적지 IP 주소 O O O O O 목적지 ( 외부 ) 포트 - O O O O 프로토콜 - O O - O White List( 예외정책 ) SFP 주체 IP 주소 O O O O O 정보 출발지 IP 주소 O O O O O 목적지 IP 주소 O O O O O 서비스포트 O O O O O Anti-Spam SFP 주체 IP 주소 O O O O O 정보출발지 IP 주소 O O O O O 88

97 구분 보안속성 능력 디폴트값 변경 질의변경삭제소거 목적지 IP 주소 O O O O O 프로토콜 ( 서비스 ) O O O O O 패킷데이터 ( 페이로드 ) O O O O O Intrusion Prevention SFP 주체 IP 주소 O O O O O 정보 출발지 IP 주소 O O O O O 목적지 IP 주소 O O O O O 프로토콜 ( 서비스 ) O O O O O 패킷데이터 O O O O O 시간 O O O O O Traffic Control SFP 주체 IP 주소 O O O O O 정보 출발지 IP 주소 O O O O O 목적지 IP 주소 O O O O O 프로토콜 ( 서비스 ) O O O O O 패킷데이터 O O O O O 시간 O O O O O Quarantine SFP 주체 IP 주소 O O O O O 정보 출발지 IP 주소 O O O O O 서비스포트 O O O O O 목적지 IP 주소 O O O O O 서비스포트 O O O O O Anti-Virus SFP 주체 IP 주소 O O O O O 정보 출발지 IP 주소 O O O O O 목적지 IP 주소 O O O O O 프로토콜 ( 서비스 ) O O O O O 패킷데이터 O O O O O ( 범례 : - 미지원, O 지원 ) FMT_MSA.3 정적속성초기화계층관계 : 없음 종속관계 : FMT_MSA.1 보안속성관리 FMT_SMR.1 보안역할 89

98 FMT_MSA.3.1 FMT_MSA.3.2 [ 참고사항 ] TSF는 SFP를강제하기위하여사용되는보안속성의제한적인디폴트값을제공하도록 [ 다음 < 표 6-9> 의접근통제 SFP, 정보흐름통제 SFP ] 를강제해야한다. TSF는객체나정보생성시디폴트값을대체하기위하여 [ 인가된관리자 ] 가선택적인초기값을명세하도록허용해야한다. 본보안기능요구사항에서명세된 ' 인가된관리자 ' 는상위관리자를의미한다. TOE의사용자역할에대한자세한사항은 'FMT_SMR.1 보안역할 " 에명세된내용을참고한다. 표 6-9 접근통제 SFP 및정보흐름통제 SFP 구분 접근통제 / 정보흐름통제 SFP 명칭 접근통제 SFP 보안관리모드접근통제 SFP 보안레이블기반접근통제 SFP 정보흐름통제 SFP Packet Filtering SFP Application Filtering SFP Network Address Translation (NAT) SFP White List( 예외정책 ) SFP: Anti-Spam SFP Intrusion Prevention SFP Traffic Control SFP Quarantine SFP Anti-Virus SFP FMT_MTD.1(1) TSF 데이터관리계층관계 : 없음종속관계 : FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 FMT_MTD.1.1 [ 참고사항 ] TSF는 [ 식별및인증데이터 ] 를변경, 삭제하는능력을 [ 인가된관리자 ] 로제한해야한다. 본보안기능요구사항에서명세된 ' 인가된관리자 ' 는상위관리자를의미한다. TOE의사용자역할에대한자세한사항은 'FMT_SMR.1 보안역할 ' 에명세된내용을참고한다. FMT_MTD.1(2) TSF 데이터관리계층관계 : 없음종속관계 : FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 FMT_MTD.1.1 TSF는 [ 감사데이터, { 다음 < 표 6-10> 에명세 } 된 TSF 데이터목록 ] 을질의, 변경, 삭제, 소거, [ 다음 < 표 6-10> 의 ' 기타 ' 에명세된것과같이연산 ] 하는능력을 [ 인가된관리 90

99 자 ] 로제한해야한다. [ 참고사항 ] 본보안기능요구사항에서명세된 ' 인가된관리자 ' 는상위관리자, 로그관리자를의미한다. TOE 의사용자역할에대한자세한사항은 'FMT_SMR.1 보안역할 ' 에명세된내용을참고 한다. 표 6-10 TSF 데이터목록및관리능력 TSF 데이터 능력 디폴 질의 변경 삭제 소거 기타 트값변경 감사데이터 통계처리, 반영구적인보조기억장치에백업및복구 감사데이터백업설정 - O O ( 예약백업, 백업경로, 백업대상, 최근백업내역 ) TOE를구성하는중요파일 ( 설정파일 ) - O O - - 반영구적인보조기억장치에백업하고복구, 최초배포시설정으로되돌리기 (roallback) 무결성점검데이터 - O O 업데이트설정 ( 자동업데이트사용여부, 업데이트주기 ) 취약성목록 ( 침입탐지규칙 ) 옵션 : 로그설정 ( 로그종류, 로그전송방법, 로그서버 ) 선택적인감사데이터생성을위한설정환경설정 : TOE 식별 ( 호스트 ) 이름환경설정 : 시간환경설정 : 세션시간제한설정 (TCP, UDP, ICMP 세션유지시간, TCP MSS 사용여부및크기, TCP 유효성검사여부 ) - O O O O - O 최신데이터로갱신, ( 새로운취약성목록생성및인가된관리자가생성하여추가한취약성목록에한하여삭제 ) - O O - O 감사데이터를전송받 을로그서버 (IP 주소 ) 목록을생성하고삭제 - O O O O O O O O

100 TSF 데이터 네트워크정보 : 네트워크포트 ( 이름, 사용여부, 유형, 물리적포트, IP 주소, 제어, MTU), 라우팅정보 HA 설정정보 : 감시포트 ( 물리적포트, 로컬 / 원격장비가상 IP, Ping 허용여부 ) 목록 HA 설정정보 : HA 설정 ( 사용여부, 우선순위, 연결 NIC, 원격장비 IP 주소, Heart beat 상태 ) 정책적용대상목록 : IP 주소 ( 이름, 종류, IP 주소, 네트워크포트, 보안등급 ) 및 IP 주소그룹 ( 이름, 네트워크포트, 그룹에포함되는 IP 주소객체 ) 목록정책적용대상목록 : 서비스 ( 이름, 프로토콜, 출발지 / 목적지포트 ) 및서비스그룹 ( 이름, 그룹에포함되는서비스객체 ) 목록정책적용대상목록 : 일정 ( 이름, 주기, 시간 ) 목록정책적용대상목록 : QoS 적용 ( 이름, 최소대역폭, 최대대역폭, 우선순위 ) 목록프록시서비스객체목록 : 프록시 ( 이름, 프록시종류 ( 일반프록시, HTTP 프록시, FTP 프록시, SMTP 프록시, POP3 프록시, Oracle 프록시, UDP 프록시, DNS 프록시중단일선택 ), 포트, 시간제한, 전달호스 디폴트값 능력 질의변경삭제소거기타 변경 - O O O O ( 논리적인 ) 네트워크포 트목록을생성하고삭 제 - O O - - 감시포트목록을생성 하고삭제 - O O O O O - IP 주소및 IP 주소그 룹목록을생성하고삭 제 - O O O - 서비스및서비스그룹 목록을생성하고삭제 - O O - - ( 일정목록을생성하고 삭제 ) - O O - - QoS 적용목록을생성 하고삭제 - O O O - 프록시서비스객체목 록을생성하고삭제 92

101 TSF 데이터 트 ) 및프록시그룹 ( 이름, 그룹에포되는프록시객체 ) 목록프록시세부규칙설정 ( 바이러스차단사용여부, 웹사이트필터링사용여부, 스팸메일차단사용여부, 명령어차단사용여부및차단할명령어목록, DNS 응답검사사용여부, DNS 응답시사설 IP 주소차단사용여부 ) 프록시인증사용자목록 ( 사용자아이디, 프록시종류, 접속한 IP 주소, 접속시간 ) 프록시동시연결수 ( 일반, HTTP, FTP, SMTP, POP3, Oracle, UDP, DNS 프록시별로지정됨 ) 바이러스차단설정 ( 메일본문검사여부, 메일크기, POP3 검사설정, SMTP 검사설정, 필터링할파일확장자목록 ) 스팸메일차단설정 ( 나가는메일검사여부, 메일크기, POP3 검사설정, SMTP 검사설정, 스팸메일 / 허용메일적용대상및처리방법목록, RBL 사용여부및 RBL 서버목록 ) 스펨메일차단설정 : 키워드필터링목록 ( 그룹이름, 키워드, 적용대상, 키워드종류 ) 웹사이트필터링설정 ( 인터넷내용등급 DB 사용여부, 내용등급태그검사사용여부및필터 디폴트값 변경 능력 질의변경삭제소거기타 - O O O O O O O - - 파일확장자목록을생 성하고삭제 - O O - - 스팸메일 / 허용메일적용대상및처리방법목록을생성하고삭제, RBL 서버목록을생성하고삭제 - O O - - 키워드필터링목록을 생성하고삭제 - O O

102 TSF 데이터 능력 디폴트값 변경 질의변경삭제소거기타 링할태그, 파일첨부필터링여부및첨부된파일처리방법, 차단메시지및리디렉션 URL, 웹사이트구성요소차단설정 ) 웹사이트필터링설정 : URL 필터링목록 ( 그룹이름, URL) 웹사이트필터링설정 : URL 필터링예외목록 ( 사용여부, 적용대상, 출발지 / 목적지구분 ) DDoS 공격방어설정 ( 정책적용시간, 네트워크포트 (WAN), IP 대역별차단기준, 웹부하공격차단 ( 사용여부, HTTP 포트 ) 물리적으로분리된 TOE 간 ( 로그서버와전용장비 ) 의연결정보 TOE에로그인한사용자에대한정보접속할로그서버정보및연결설정, 자동로그아웃사용여부알림메일설정 ( 스팸메일목록전송여부, 목록전송시간, 메일주소, 알림방법, 받는사람메일주소, 메일서버정보 (IP 주소, 포트, 아이디, 비밀번호 ) 사용자설정 (AhnLab LogServer) ( 아이디, 비밀번호, 이름, 권한, 로그인, 로그인실패허용횟수, 잠금기간 ) 관리대상 TOE( 전용장비 ) 정보 (TOE( 전용장비 ) 이름, IP 주소, 펌웨어버전, - O O - O 웹사이트필터링목록 을생성하고삭제 - O O - O URL 필터링예외목록 을생성하고삭제 - O O - O - - O O O O O O O O O O - - 사용자목록을생성하 고삭제 - O

103 TSF 데이터 연속사용시간, 상태 ) 디폴트값 변경 능력 질의변경삭제소거기타 ( 범례 : - 미지원, O 지원 ) FMT_MTD.1(3) TSF 데이터관리계층관계 : 없음 종속관계 : FMT_SMF.1 관리기능명세 FMT_SMR.1 보안역할 FMT_MTD.1.1 TSF 는 [ 인증데이터 ( 인가된일반사용자자신의비밀정보 ( 패스워드 )) ] 을변경하는능력 을 [ 인가된일반사용자 ] 로제한해야한다. [ 참고사항 ] 본보안기능요구사항은 TOE 가인식하는역할, 즉사용자가보안에관련하여가질수있는 역할중 ' 인가된일반사용자 ' 에게강제 ( 제공 ) 된다. TOE의인가된일반사용자는 'FIA_ATD.1(2) 사용자속성정의 ' 에명세된보안속성목록중에서자신의 ' 패스워드 ' 를변경할수있다. TOE의사용자역할에대한자세한사항은 'FMT_SMR.1 보안역할 ' 에명세된내용을참고한다. FMT_MTD.2 TSF 데이터한계치의관리계층관계 : 없음 종속관계 : FMT_MTD.1 TSF 데이터관리 FMT_SMR.1 보안역할 FMT_MTD.2.1 TSF 는 [ 감사저장소용량, 실패한인증시도횟수, 자체시험이발생하는시간간격 ] 에 대한한계치의명세를 [ 인가된관리자 ] 로제한해야한다. FMT_MTD.2.2 TSF 는 TSF 데이터가지정된한계치에이르거나이를초과하는경우 [ FAU_STG.3, FIA_AFL.1 에서명세된대응행동, FPT_TST.1 에서명세된자체시험 ] 을수행해야한다. [ 참고사항 ] 본보안기능요구사항에서명세된 ' 인가된관리자 ' 는상위관리자, 로그관리자를의미한다. TOE 의사용자역할에대한자세한사항은 'FMT_SMR.1 보안역할 " 에명세된내용을참고 한다. FMT_SMF.1 관리기능명세계층관계 : 없음 종속관계 : 없음 FMT_SMF.1.1 TSF 는다음의관리기능을수행할수있어야한다 : [ 다음의 TSF 가제공하는관리기능목 록 ] [ 95

104 a) FMT_MOF.1 에명세된보안기능목록 b) FMT_MSA.1 에명세된보안속성목록 c) FMT_MSA.3 에명세된정적속성초기화목록 d) FMT_MTD.1(1) ~ (3), FMT_MTD.2에명세된 TSF 데이터관리목록 ] FMT_SMR.1(1) 보안역할계층관계 : 없음종속관계 : FIA_UID.1 식별 FMT_SMR.1.1 TSF는 [ 인가된관리자 ] 역할을유지해야한다. FMT_SMR.1.2 TSF는사용자와인가된관리자역할을연관지을수있어야한다. [ 참고사항 ] TOE 가인식하는역할, 즉사용자가보안에관련하여가질수있는역할은상위관리자, 일 반관리자, 로그상위관리자, 로그일반관리자등 4가지역할로구분되는인가된관리자와인가된일반사용자로구분된다. 인가된관리자중상위관리자만이일반관리자, 인가된일반사용자를추가할수있다. 로그관리자의경우에는별도의 TOE 운영환경관리자가존재한다. 각역할에대한자세한내용은 [ 보안역할구분 ] 설명에서다룬다. 표 6-11 보안역할구분 (1) 인가된관리자 역할상위관리자일반관리자로그상위관리자로그일반관리자 설명 모든권한 (Read/Write) 을가진인가된관리자 TOE 운영과관련하여정책을조회할수있는인가된관리자로검토권한 (Read-Only) 만을가짐물리적으로분리된 TOE(AhnLab LogServer) 의모든권한을가진인가된관리자물리적으로분리된 TOE(AhnLab LogServer) 에서감사데이터를조회권한을가진인가된관리자 FMT_SMR.1(2) 보안역할 계층관계 : 없음종속관계 : FIA_UID.1 식별 FMT_SMR.1.1 TSF는인가된일반사용자역할을유지해야한다. FMT_SMR.1.2 TSF는사용자와인가된일반사용자역할을연관지을수있어야한다. [ 참고사항 ] TOE 가인식하는역할은크게인가된관리자와인가된일반사용자로구분된다. 인가된관 리자의역할에대한설명은 'FMT_SMR.1(1)' 에서다루고있다. 인가된관리자중상위관리 자가인가된일반사용자를추가할수있다. 인가된일반사용자의역할은다음과같다. 표 6-12 보안역할구분 (2) 역할 설명 96

105 역할 인가된일반사용자 설명 'FIA_UAU.1(2)' 에명세된바와같이 TSF가강제하는식별및인증메커니즘을성공적으로완료한일반사용자로단지, 자신의패스워드만변경할수있는사용자 TSF 보호 FPT_TST.1 TSF 자체시험계층관계 : 없음 종속관계 : 없음 FPT_TST.1.1 TSF 는 [ TOE 프로세스관리데몬을제외한모든 TSF ] 의정확한운영을입증하기위하여시 동시, 정규운영동안주기적으로, 인가된사용자요구시자체시험을실행해야한다. FPT_TST.1.2 TSF 는인가된관리자에게 TSF 데이터의무결성을검증하는기능을제공해야한다. FPT_TST.1.3 TSF 는인가된관리자에게저장된 TSF 실행코드의무결성을검증하는기능을제공해야한 다. [ 참고사항 ] 본보안기능요구사항에서명세된 ' 인가된관리자 ' 는상위관리자를의미한다. TOE 의사용 자역할에대한자세한사항은 'FMT_SMR.1 보안역할 " 에명세된내용을참고한다 TOE 접근 FTA_SSL.1 TSF에의한세션잠금계층관계 : 없음 종속관계 : FIA_UAU.1 인증 FTA_SSL.1.1 TSF 는다음방법에의해 [ 인가된관리자의비활동기간 10 분경과 ] 후상호작용하는인 가된관리자세션을잠궈야한다. a) 현재내용을읽을수없도록화면표시장치를소거하거나덮어쓰기하기 b) 세션을잠금해제하기보다는인가된관리자의데이터접근 / 화면표시장치의모든활동을무력화하기 FTA_SSL.1.2 TSF는세션을잠금해제하기전에 [ 관리자재인증 ] 을요구해야한다. FTA_SSL.3 TSF에의한세션종료계층관계 : 없음 종속관계 : 없음 FTA_SSL.3.1 TSF 는 [ 다음 < 표 6-13> 에명세된사용자비활동기간 ] 후에상호작용하는사용자세션을 종료해야한다. 97

106 표 6-13 사용자비활동기간 구분 사용자비활동기간 ( 일반 ) 사용자 인가된관리자가지정한다음의 ( 일반 ) 사용자비활동기간 인가된일반사용자 UDP ( 기본값 : 30 초 ) ICMP ( 기본값 : 30 초 ) TCP ( 기본값 : 초 ) FDP_IFF.1(1) 의정보흐름통제정책의세부규칙에서각각의서비스타입별로인가된관리자가지정한사용자비활동기간 ( 기본값 : 120초 ) 일반 (General TCP) 프록시, SMTP 프록시, POP3 프록시, FTP 프록시, HTTP 프록시, Oracle 프록시, UDP 프록시, DNS 프록시에지정된시간제한 인가된관리자가지정한다음의인가된일반사용자비활동기간 FDP_IFF.1(1) 의정보흐름통제정책중 ' 사용자인증 ' 정책에의해세션이형성된경우 ( 기본값 : 30분 ) [ 참고사항 ] 본보안기능요구사항에서명세된 '( 일반 ) 사용자 ' 는 TOE 의보안정책에따라 ( 접근통제및 정보흐름통제규칙 ) ' 사용자인증 ' 이강제되지않은사용자를의미한다. 98

107 6.2 보안기능요구사항 ( 추가 ) 240 본절에기술된보안기능요구사항은본보안목표명세서가준수한보호프로파일에추가로정의한것으로공통평가기준 2부의기능컴포넌트들로구성된다. 공통평가기준 2부에서완료되지않은오퍼레이션을가진보안기능요구사항은본보안목표명세서작성자에의해완성되었다. 241 다음 [ 표 6-14] 은본보안목표명세서에서추가한기능컴포넌트를요약하여보여준다. 표 6-14 보안기능요구사항 ( 추가 ) 보안기능클래스사용자데이터보호 TSF 보호자원활용 FDP_ACC.2(1) ~ (2) FDP_ACF.1(1) ~ (2) FDP_IFC.1(1) ~ (10) FDP_IFF.1(1) ~ (10) FPT_FLS.1 FPT_ITT.1 FPT_TEE.1 FRU_FLT.1 FRU_RSA.1 보안기능컴포넌트완전한접근통제보안속성에기반한접근통제부분적인정보흐름통제단일계층보안속성장애시안전한상태유지내부전송 TSF 데이터의기본적인보호 TOE와상호작용하는외부실체시험오류에대한내성 : 부분적용최대할당치 사용자데이터보호 FDP_ACC.2(1) 완전한접근통제계층관계 : FDP_ACC.1 부분적인접근통제 종속관계 : FDP_ACF.1 보안속성에기반한접근통제 FDP_ACC.2.1 FDP_ACC.2.2 [ 참고사항 ] TSF는 [ 다음의주체목록과객체목록 ] 과 SFP에의해서다루어지는주체와객체간의모든오퍼레이션에대하여 [ 보안관리모드접근통제 SFP ] 를강제해야한다. [ a) 주체 : TOE를통해서정보를송ㆍ수신하는사용자 b) 객체 : TOE ] TSF는 TSF에의해통제되는모든주체와객체간의모든오퍼레이션이접근통제 SFP에의해서다루어짐을보장해야한다. 본보안기능요구사항은 TOE의보안관리인터페이스에대한접근통제 SFP로허가되지않은사용자로부터유발되는 TOE 보안관리인터페이스로의접근을통제하기위한요구사항이다. 99

108 FDP_ACF.1(1) 보안속성에기반한접근통제계층관계 : 없음종속관계 : FDP_ACC.1 부분적인접근통제 FMT_MSA.3 정적속성초기화 FDP_ACF.1.1 TSF는 [ 다음의 SFP 하에서통제되는주체와객체의목록, 주체와객체각각에대해 SFP에적절한보안속성또는명명된보안속성의그룹 ] 에기초하여객체에대한 [ 보안관리모드접근통제 SFP ] 를강제해야한다. [ a) 주체보안속성 : IP 주소 b) 객체보안속성 : IP 주소, 서비스포트 ] FDP_ACF.1.2 TSF는통제된주체와통제된객체간의오퍼레이션을허용할것인지를결정하기위하여다음과같은규칙을강제해야한다 : [ 다음의통제된객체에대한통제된오퍼레이션을이용하여통제된주체와통제된객체간의접근을제어하는규칙 ] [ a) 주체가요청한객체로의접근요청에대하여, TOE는보안정책에따라 주체로부터도착한보안속성 (IP 주소 ) 이객체 (IP 주소, 서비스포트 ) 로의접근이명시적으로허용된경우에만주체로부터객체로의접근을허용해야한다. 주체로부터도착한보안속성 (IP 주소 ) 이객체 (IP 주소, 서비스포트 ) 로의접근이명시적으로허용되지않은경우주체로부터객체로의모든접근을거부해야한다. ] FDP_ACF.1.3 TSF는다음과같은추가적인규칙에기반하여객체에대한주체의접근을명시적으로인가해야한다 : [ 없음 ] FDP_ACF.1.4 TSF는 [ 없음 ] 에기반하여객체에대한주체의접근을명시적으로거부해야한다. FDP_ACC.2(2) 완전한접근통제계층관계 : FDP_ACC.1 종속관계 : FDP_ACF.1 보안속성에기반한접근통제 FDP_ACC.2.1 FDP_ACC.2.2 TSF는 [ 다음의주체목록과객체목록 ] 과 SFP에의해서다루어지는주체와객체간의모든오퍼레이션에대하여 [ 보안레이블기반접근통제 SFP ] 를강제해야한다. [ a) 주체 : TOE를통해서정보를송ㆍ수신하는사용자 b) 객체 : TOE를통해서정보를송ㆍ수신하는사용자 ] TSF는 TSF에의해통제되는모든주체와객체간의모든오퍼레이션이접근통제 SFP에의해서다루어짐을보장해야한다. 100

109 FDP_ACF.1(2) 보안속성에기반한접근통제계층관계 : 없음종속관계 : FDP_ACC.1 부분적인접근통제 FMT_MSA.3 정적속성초기화 FDP_ACF.1.1 TSF는 [ 다음의 SFP 하에서통제되는주체와객체의목록, 주체와객체각각에대해 SFP에적절한보안속성또는명명된보안속성의그룹 ] 에기초하여객체에대한 [ 보안레이블기반접근통제 SFP ] 를강제해야한다. [ 참고사항 ] [ a) 주체보안속성 : IP 주소, 보안레이블 b) 객체보안속성 : IP 주소, 보안레이블 ] TOE가제공하는보안레이블은높음, 보통, 낮음등 3가지등급으로구분된다. 보안레이블 ' 높음 ' 이 ' 낮음 ' 보다높다. FDP_ACF.1.2 TSF는통제된주체와통제된객체간의오퍼레이션을허용할것인지를결정하기위하여다음과같은규칙을강제해야한다 : [ 다음의통제된객체에대한통제된오퍼레이션을이용하여통제된주체와통제된객체간의접근을제어하는규칙 ] [ a) 주체가요청한객체로의접근요청에대하여, TOE는보안정책에따라 주체 (IP 주소 ) 의보안레이블과객체 (IP 주소 ) 의보안레이블을비교하여주체의보안레이블이객체의보안레이블보다높거나같으면주체로부터객체로의접근을허용해야한다. 주체의보안레이블이객체의보안등급보다낮으면주체로부터객체로의접근을거부해야한다. ] FDP_ACF.1.3 TSF는다음과같은추가적인규칙에기반하여객체에대한주체의접근을명시적으로인가해야한다 : [ 없음 ] FDP_ACF.1.4 TSF는 [ 없음 ] 에기반하여객체에대한주체의접근을명시적으로거부해야한다. FDP_IFC.1(1) FDP_IFC.1.1 부분적인정보흐름통제계층관계 : 없음종속관계 : FDP_IFF.1 단일계층보안속성 TSF는 [ 다음의주체및정보목록과 SFP에의하여다루어지는통제된주체로 / 주체로부터의정보흐름을유발하는오퍼레이션 ] 에대하여 [ Application Filtering SFP ] 을강제해야한다. [ a) 주체 : TOE 를통해서정보를송 수신하는사용자 101

110 b) 정보 : TOE 를통해서주체에서다른곳으로보내는트래픽 c) 오퍼레이션 : 허용하는규칙이있을경우통과, 거부 ] FDP_IFF.1(1) FDP_IFF.1.1 단일계층보안속성계층관계 : 없음종속관계 : FDP_IFC.1 부분적인정보흐름통제 FMT_MSA.3 정적속성초기화 TSF는적어도 [ 다음의 SFP에서통제되는주체와정보의목록, 주체와정보각각에대한보안속성 ] 과같은주체보안속성및정보보안속성유형에기반하여 [ Application Filtering SFP ] 를강제해야한다. [ a) 주체보안속성 IP 주소 b) 정보보안속성 출발지 IP 주소 목적지 IP 주소 프로토콜 서비스포트 패킷데이터 시간 ] FDP_IFF.1.2 TSF는다음과같은규칙이유지되면통제된오퍼레이션을통하여통제된주체와통제된정보간의정보흐름을허용해야한다 : [ 다음의각오퍼레이션에대하여주체와정보보안속성간에서유지되어야하는보안속성에기반한관계 ] [ a) TOE를통해서주체에서다른곳으로보내는트래픽에대하여, TOE는정보흐름통제보안정책에따라주체 (IP 주소 ) 가전송을요청한정보의보안속성 ( 출발지 IP 주소, 목적지 IP 주소, 프로토콜, 서비스포트, 패킷데이터, 시간 ) 과인가된관리자가정의한정보흐름통제보안정책의속성을비교하여, 요청된정보흐름에대한처리방법이 ' 허용 ' 으로지정되어있으면정보흐름을허용해야한다 ( 단, 이경우에도다음의 'b) 항 ' 을강제해야함 ) 요청된정보흐름에대한처리방법이 ' 인증 ' 으로지정되어있으면, 인증을성공적으로완료한경우에만정보흐름을허용해야한다. b) 위의 'a) 항 ' 의결과로허용된정보흐름에대하여, TOE는정보흐름통제보안정책에따라 요청된정보흐름에대한처리방법에세부규칙이추가로지정되어있으면다음 < 표 6-15> 에명세된허용규칙을강제하여적법한경우에만정보흐름을허용해야한다. 102

111 ] [ 참고사항 ] 인증정책은정보보안속성중서비스의속성 ( 서비스포트 ) 이인가된관리자가정의한프록 시정책에해당하는경우에만적용가능하다. 표 6-15 Application Filtering SFP 의세부규칙에따른허용규칙 구분일반 (General TCP) 프록시 SMTP 프록시 POP3 프록시 허용규칙 TOE는정보흐름통제보안정책의세부규칙에 ' 시간제한 ' 값이지정되어있으면, 지정된 ' 세션유휴기간 ' 을초과하지않은정보흐름요청인경우에해당정보흐름을허용해야한다 ( 세션타임아웃 ). ' 전달호스트 ( 목적지 IP 주소, 프로토콜, 서비스포트 )' 가지정되어있으면, 지정된전달호스트로변환하여정보흐름을허용해야한다 ( 전달호스트 ). TOE는정보흐름통제보안정책의세부규칙에 ' 시간제한 ' 이지정되어있으면, 지정된 ' 세션유휴기간 ' 을초과하지않은정보흐름요청인경우에해당정보흐름을허용해야한다 ( 세션타임아웃 ). ' 전달호스트 ( 목적지 IP 주소, 서비스포트 )' 가지정되어있으면, 지정된전달호스트로변환하여정보흐름을허용해야한다 ( 전달호스트 ). ' 메일중계 ( 릴레이 ) 차단 ' 이지정되어있으면, 내부메일서버가목적지 IP 주소인경우에만정보흐름을허용해야한다 ( 메일중계 ( 릴레이 ) 차단 ). ' 바이러스차단 ' 이지정되어있으면, 요청된정보흐름에서 TOE 운영환경의 Anti-Virus 엔진으로정보 ( 패킷데이터 ) 를전달해야한다. 즉, TOE는 'FDP_IFC.1(8), FDP_IFF.1(8) 에서명세하고있는 Anti-Virus SFP' 로정보를전달하여그결과에따라정보흐름허용여부를결정해야한다 (Anti-Virus). ' 스팸메일차단 ' 이지정되어있으면, 전송이요청된정보 ( 패킷데이터 ) 를 'Anti-Spam SFP' 로전달해야한다. 즉, TOE는 'FDP_IFC.1(4), FDP_IFF.1(4) 에서명세하고있는 Anti-Spam SFP' 로정보를전달하여그결과에따라정보흐름허용여부를결정해야한다 (Anti-Spam). ' 명령어차단 ' 이지정되어있으면, 전송이요청된정보 ( 패킷데이터 ) 에서 ' 차단으로지정되지않은명령어 ( 예 : vrfy, debug, expn)' 인경우에만정보흐름을허용해야한다 ( 명령어차단 ). TOE는정보흐름통제보안정책의세부규칙에 ' 시간제한 ' 이지정되어있으면, 지정된 ' 세션유휴기간 ' 을초과하지않은정보흐름요청인경우에해당정보흐름을허용해야한다 ( 세션타임아웃 ). ' 전달호스트 ( 목적지 IP 주소, 프로토콜, 서비스포트 )' 가지정되어있으면, 지정된전달호스트로변환하여정보흐름을허용해야한다 ( 전달호스트 ). ' 바이러스차단 ' 이지정되어있으면, 요청된정보흐름에서 TOE 운영환경의 Anti-Virus 엔진으로정보 ( 패킷데이터 ) 를전달해야한다. 즉, TOE는 'FDP_IFC.1(8), FDP_IFF.1(8) 에서명세하고있는 Anti-Virus SFP' 로정보를전달하여그결과에따라정보흐름허용여부를결정해야한다 (Anti-Virus). 103

112 구분 FTP 프록시 HTTP 프록시 허용규칙 ' 스팸메일차단 ' 이지정되어있으면, 전송이요청된정보 ( 패킷데이터 ) 를 'Anti-Spam SFP' 로전달해야한다. 즉, TOE는 'FDP_IFC.1(4), FDP_IFF.1(4) 에서명세하고있는 Anti-Spam SFP' 로정보를전달하여그결과에따라정보흐름허용여부를결정해야한다 (Anti-Spam). TOE는정보흐름통제보안정책의세부규칙에 ' 시간제한 ' 이지정되어있으면, 지정된 ' 세션유휴기간 ' 을초과하지않은정보흐름요청인경우에해당정보흐름을허용해야한다 ( 세션타임아웃 ). ' 전달호스트 ( 목적지 IP 주소, 프로토콜, 서비스포트 )' 가지정되어있으면, 지정된전달호스트로변환하여정보흐름을허용해야한다 ( 전달호스트 ). ' 바이러스차단 ' 이지정되어있으면, 요청된정보흐름에서 TOE 운영환경의 Anti-Virus 엔진으로정보 ( 패킷데이터 ) 를전달해야한다. 즉, TOE는 'FDP_IFC.1(8), FDP_IFF.1(8) 에서명세하고있는 Anti-Virus SFP' 로정보를전달하여그결과에따라정보흐름허용여부를결정해야한다 (Anti-Virus). ' 명령어차단 ' 이지정되어있으면, 전송이요청된정보 ( 패킷데이터 ) 에서 ' 차단으로지정되지않은명령어 ( 예 : put, get, chmod, delete, mdelete, rename, rmdir, dir, ls)' 인경우에만정보흐름을허용해야한다 ( 명령어차단 ). TOE는정보흐름통제보안정책의세부규칙에 ' 시간제한 ' 이지정되어있으면, 지정된 ' 세션유휴기간 ' 을초과하지않은정보흐름요청인경우에해당정보흐름을허용해야한다 ( 세션타임아웃 ). ' 전달호스트 ( 목적지 IP 주소, 프로토콜, 서비스포트 )' 가지정되어있으면, 지정된전달호스트로변환하여정보흐름을허용해야한다 ( 전달호스트 ). ' 바이러스차단 ' 이지정되어있으면, 요청된정보흐름에서 TOE 운영환경의 Anti-Virus 엔진으로정보 ( 패킷데이터 ) 를전달해야한다. 즉, TOE는 'FDP_IFC.1(8), FDP_IFF.1(8) 에서명세하고있는 Anti-Virus SFP' 로정보를전달하여그결과에따라정보흐름허용여부를결정해야한다 (Anti-Virus). ' 웹사이트필터링 ' 이지정되어있으면, 전송이요청된정보 ( 패킷데이터 ) 에대하여다음의규칙을강제해야한다 ( 웹사이트필터링 ). ' 인터넷내용등급DB' 가지정되어있으면, TOE 운영환경의정보통신윤리위원회 DB와요청된정보 ( 패킷데이터 ) 를비교하여보유목록과일치하지않은경우에만정보흐름을허용해야한다. ' 내용등급태그검사 ' 가지정되어있으면, 내용등급태그 (PICS) 와요청된정보 ( 패킷데이터 ) 를비교하여일치하지않은경우에만정보흐름을허용해야한다. ' 파일첨부필터링 ' 이지정되어있으면, 설정된파일크기를초과하지않은경우에만정보흐름을허용해야한다. 'ActiveX 차단, Applet 차단, 자바스크립트차단, VB 스크립트차단, Textarea 태그차단 ' 이지정되지않은경우와인가된관리자가지정한태그와일치하지않은경우에만이들과관련된정보 ( 패킷데이터, 예 : 웹사이트구성요소 ) 의흐름을허용해야한다. 104

113 구분 Oracle 프록시 UDP 프록시 DNS 프록시 허용규칙 'URL 필터링 ' 이지정되어있으면, 등록된 URL 목록과전송이요청된정보 ( 패킷데이터 ) 를비교하여일치하지않는경우에만정보흐름을허용해야한다. 또한필터링예외목록과일치하는경우정보흐름을허용해야한다. TOE는정보흐름통제보안정책의세부규칙에 ' 시간제한 ' 이지정되어있으면, 지정된 ' 세션유휴기간 ' 을초과하지않은정보흐름요청인경우에해당정보흐름을허용해야한다 ( 세션타임아웃 ). ' 전달호스트 ( 목적지 IP 주소, 프로토콜, 서비스포트 )' 가지정되어있으면, 지정된전달호스트로변환하여정보흐름을허용해야한다 ( 전달호스트 ). TOE는정보흐름통제보안정책의세부규칙에 ' 시간제한 ' 이지정되어있으면, 지정된 ' 세션유휴기간 ' 을초과하지않은정보흐름요청인경우에해당정보흐름을허용해야한다 ( 세션타임아웃 ). ' 전달호스트 ( 목적지 IP 주소, 프로토콜, 서비스포트 )' 가지정되어있으면, 지정된전달호스트로변환하여정보흐름을허용해야한다 ( 전달호스트 ). TOE는정보흐름통제보안정책의세부규칙에 ' 시간제한 ' 이지정되어있으면, 지정된 ' 세션유휴기간 ' 을초과하지않은정보흐름요청인경우에해당정보흐름을허용해야한다 ( 세션타임아웃 ). ' 전달호스트 ( 목적지 IP 주소, 프로토콜, 서비스포트 )' 가지정되어있으면, 지정된전달호스트로변환하여정보흐름을허용해야한다 ( 전달호스트 ). 'DNS 응답검사 ' 가지정되어있으면, 전송이요청된정보 ( 패킷데이터 ) 에서, 즉 DNS 응답이사설 IP 주소가아닌경우에만정보흐름을허용해야한다 (DNS 응답검사 ). ' 분할 DNS' 가지정되어있으면, DNS 요청에대한응답에해당하는정보흐름을허용해야한다. FDP_IFF.1.3 TSF 는 [ 없음 ] 을강제해야한다. FDP_IFF.1.4 TSF 는 [ 없음 ] 에기반하여정보흐름을명시적으로인가해야한다. FDP_IFF.1.5 TSF 는 [ 없음 ] 에기반하여정보흐름을명시적으로거부해야한다. FDP_IFC.1(2) 부분적인정보흐름통제계층관계 : 없음 종속관계 : FDP_IFF.1 단일계층보안속성 FDP_IFC.1.1 TSF 는 [ 다음의주체및정보목록과 SFP 에의하여다루어지는통제된주체로 / 주체로부터 의정보흐름을유발하는오퍼레이션 ] 에대하여 [ Network Address Translation(NAT) SFP ] 을강제해야한다. [ a) 주체 : TOE를통해서정보를송 수신하는사용자 b) 정보 : TOE를통해서주체에서다른곳으로보내는트래픽 105

114 c) 오퍼레이션 : 허용하는규칙이있을경우통과, 거부 ] FDP_IFF.1(2) FDP_IFF.1.1 단일계층보안속성계층관계 : 없음종속관계 : FDP_IFC.1 부분적인정보흐름통제 FMT_MSA.3 정적속성초기화 TSF는적어도 [ 다음의 SFP에서통제되는주체와정보의목록, 주체와정보각각에대한보안속성 ] 과같은주체보안속성및정보보안속성유형에기반하여 [ Network Address Translation(NAT) SFP ] 를강제해야한다. [ a) 주체보안속성 IP 주소 b) 정보보안속성 출발지 IP 주소, 출발지 ( 내부 ) 포트 목적지 IP 주소, 목적지 ( 외부 ) 포트 프로토콜 ] FDP_IFF.1.2 TSF는다음과같은규칙이유지되면통제된오퍼레이션을통하여통제된주체와통제된정보간의정보흐름을허용해야한다 : [ 다음의각오퍼레이션에대하여주체와정보보안속성간에서유지되어야하는보안속성에기반한관계 ] [ a) TOE를통해서주체에서다른곳으로보내는트래픽에대하여, TOE는정보흐름통제보안정책에따라, 주체 (IP 주소 ) 가전송을요청한정보의보안속성 ( 출발지 IP 주소, 출발지 ( 내부 ) 포트, 목적지 IP 주소, 목적지 ( 외부 ) 포트, 프로토콜 ) 과인가된관리자가정의한정보흐름통제보안정책의속성을비교하여, 요청된정보흐름에대한 ' 주소변환규칙 ' 이지정되어있으면, 다음 < 표 6-16> 에명세된 ( 내부망의 IT 실체에서요청된 ) 정보의출발지 IP 주소기반의주소변환규칙에따라네트워크주소를변환하여요청된정보흐름을허용해야한다 (SNAT). 이때주소변환과더불어인가된관리자가지정한규칙에따라 1:1 포트변환또는 M:N 포트변환을강제해야한다. 위에서허용된정보흐름에대한응답의결과로써외부망의 IT 실체으로부터요청된정보의목적지 IP 주소기반을기반으로하는주소변환규칙에따라네트워크주소를변환하여정보흐름을허용해야한다 (DNAT). 이때주소변환과더불어인가된관리자가지정한규칙에따라 1:1 포트변환또는 M:N 포트변환을강제해야한다. ] 106

115 표 6-16 Network Address Translation(NAT) SFP 의주소변환규칙 구분 Dynamic NAT Static NAT 변환안함 주소변환규칙 요청된정보에대한정보흐름통제정책의처리방법이 'Dynamic NAT' 이면 M개 ( 하나이상 ) 의내부망의사설 IP 주소를 N개 ( 하나이상 ) 의공인외부 IP 주소로의변환을강제해야한다. 이때주소변환과더불어인가된관리자가지정한규칙에따라 1:1 포트의변환또는 M:N 포트변환을강제해야한다 (Dynamic NAT(M:N)). 요청된정보에대한정보흐름통제정책의처리방법이 'Static NAT' 이면내부망의사설 IP 주소 (1개) 의외부망의공인 IP 주소 (1 개 ) 로의변환을강제해야한다. 이때주소변환과더불어인가된관리자가지정한규칙에따라 1:1 포트의변환또는 M:N 포트변환을강제해야한다 (Static NAT(1:1)). 요청된정보에대한정보흐름통제정책의처리방법이 ' 변환안함 ' 이면, 위의 Dynamic NAT, Static NAT 규칙의적용해제를강제해야한다 ( 변환안함 ). FDP_IFF.1.3 TSF 는 [ 없음 ] 을강제해야한다. FDP_IFF.1.4 TSF 는 [ 없음 ] 에기반하여정보흐름을명시적으로인가해야한다. FDP_IFF.1.5 TSF 는 [ 없음 ] 에기반하여정보흐름을명시적으로거부해야한다. FDP_IFC.1(3) 부분적인정보흐름통제계층관계 : 없음 종속관계 : FDP_IFF.1 단일계층보안속성 FDP_IFC.1.1 TSF 는 [ 다음의주체및정보목록과 SFP 에의하여다루어지는통제된주체로 / 주체로부터 의정보흐름을유발하는오퍼레이션 ] 에대하여 [ White List( 예외정책 ) SFP ] 을강제해야한다. [ a) 주체 : TOE를통해서정보를송 수신하는사용자 b) 정보 : TOE를통해서주체에서다른곳으로보내는트래픽 c) 오퍼레이션 : 허용하는규칙이있을경우통과, 거부 ] FDP_IFF.1(3) 단일계층보안속성계층관계 : 없음 종속관계 : FDP_IFC.1 부분적인정보흐름통제 FMT_MSA.3 정적속성초기화 FDP_IFF.1.1 TSF 는적어도 [ 다음의 SFP 에서통제되는주체와정보의목록, 주체와정보각각에대한보 안속성 ] 과같은주체보안속성및정보보안속성유형에기반하여 [ White List( 예외정책 ) SFP ] 를강제해야한다. 107

116 [ a) 주체보안속성 : IP 주소 b) 정보보안속성 : 출발지 IP 주소 목적지 IP 주소 / 서비스포트 ] FDP_IFF.1.2 TSF 는다음과같은규칙이유지되면통제된오퍼레이션을통하여통제된주체와통제된정 보간의정보흐름을허용해야한다 : [ 다음의각오퍼레이션에대하여주체와정보보안속성 간에서유지되어야하는보안속성에기반한관계 ] [ a) TOE를통해서주체 (IP 주소 ) 에서다른곳으로보내는트래픽에대하여, TOE는정보흐름통제보안정책에따라, 주체가전송을요청한정보의보안속성 ( 출발지 IP 주소, 목적지 IP 주소 / 서비스포트 ) 과인가된관리자가정의한정보흐름통제보안정책의속성을비교하여, 정보흐름이허용된주체및정보보안속성이면요청된정보흐름을허용해야한다. ] FDP_IFF.1.3 TSF는 [ 없음 ] 을강제해야한다. FDP_IFF.1.4 TSF는 [ 없음 ] 에기반하여정보흐름을명시적으로인가해야한다. FDP_IFF.1.5 TSF는 [ 없음 ] 에기반하여정보흐름을명시적으로거부해야한다. FDP_IFC.1(4) FDP_IFC.1.1 부분적인정보흐름통제계층관계 : 없음종속관계 : FDP_IFF.1 단일계층보안속성 TSF는 [ 다음의주체및정보목록과 SFP에의하여다루어지는통제된주체로 / 주체로부터의정보흐름을유발하는오퍼레이션 ] 에대하여 [ Anti-Spam SFP ] 을강제해야한다. [ a) 주체 : TOE를통해서정보를송 수신하는사용자 b) 정보 : TOE를통해서주체에서다른곳으로보내는트래픽 c) 오퍼레이션 : 허용하는규칙이있을경우통과, 거부 ] FDP_IFF.1(4) FDP_IFF.1.1 단일계층보안속성계층관계 : 없음종속관계 : FDP_IFC.1 부분적인정보흐름통제 FMT_MSA.3 정적속성초기화 TSF는적어도 [ 다음의 SFP에서통제되는주체와정보의목록, 주체와정보각각에대한보 108

117 안속성 ] 과같은주체보안속성및정보보안속성유형에기반하여 [ Anti-Spam SFP ] 를강제해야한다. [ a) 주체보안속성 IP 주소 b) 정보보안속성 출발지 IP 주소 목적지 IP 주소 프로토콜 ( 서비스 ) 패킷데이터 ( 페이로드 ) ] FDP_IFF.1.2 TSF는다음과같은규칙이유지되면통제된오퍼레이션을통하여통제된주체와통제된정보간의정보흐름을허용해야한다 : [ 다음의각오퍼레이션에대하여주체와정보보안속성간에서유지되어야하는보안속성에기반한관계 ] [ a) TOE를통해서주체에서다른곳으로보내는트래픽에대하여, TOE는정보흐름통제보안정책에따라, 주체 (IP 주소 ) 가전송을요청한정보의보안속성 ( 출발지 IP 주소, 목적지 IP 주소, 프로토콜 ( 서비스 ), 패킷데이터 ) 과인가된관리자가정의한정보흐름통제보안정책 ( 보내는사람의 IP 주소, 보내는사람의이메일주소, 받는사람의이메일주소 ) 을비교하여, 요청된정보흐름에대한처리방법이 ' 허용메일 ' 으로지정되어있으면정보흐름을허용해야한다. 이때, ' 제목에글머리달기 ' 가지정되어있으면그글머리를추가한후요청된정보흐름을허용해야한다 (POP3, SMTP). 요청된정보흐름에대한처리방법이 ' 차단 ' 으로지정되어있으면등록된키워드필터링목록 ( 제목, 본문에서찾을키워드 ) 과비교하여일치하지않은경우에만정보흐름을허용해야한다. 이때, 키워드필터링목록과일치하여정보흐름이 ' 거부 ' 된경우에도 ' 수신거부응답전송 ' 이지정되어있으면정보흐름을요청한주체로의 ' 수신거부응답 ' 을허용해야한다 (SMTP). 이때, 키워드필터링목록과일치하여정보흐름이 ' 거부 ' 된경우에도, ' 차단한메일목록전송 ' 이지정되어있으면인가된관리자가지정한 IT 실체로의 ' 차단한메일목록전송 ' 을허용해야한다 (SMTP). b) TOE를통해서주체에서다른곳으로보내는트래픽에대하여, TOE는정보흐름통제보안정책에따라, 주체 (IP 주소 ) 가전송을요청한정보의보안속성 ( 출발지 IP 주소, 목적지 IP 주소, 프로토콜 ( 서비스 ), 패킷데이터 ) 과인가된관리자가정의한정보흐름통제보안정책 (RBL(Real-time Blackhole List) 서버의스팸목록 ) 을비교하여 109

118 ] 일치하지않은경우에만정보흐름을허용해야한다. FDP_IFF.1.3 TSF 는 [ 없음 ] 을강제해야한다. FDP_IFF.1.4 TSF 는 [ 없음 ] 에기반하여정보흐름을명시적으로인가해야한다. FDP_IFF.1.5 TSF 는 [ 없음 ] 에기반하여정보흐름을명시적으로거부해야한다. FDP_IFC.1(5) FDP_IFC.1.1 [ 참고사항 ] 부분적인정보흐름통제계층관계 : 없음종속관계 : FDP_IFF.1 단일계층보안속성 TSF는 [ 다음의주체및정보목록과 SFP에의하여다루어지는통제된주체로 / 주체로부터의정보흐름을유발하는오퍼레이션 ] 에대하여 [ Intrusion Prevention SFP ] 을강제해야한다. [ a) 주체 : TOE를통해서정보를송 수신하는사용자 b) 정보 : TOE를통해서주체에서다른곳으로보내는트래픽 c) 오퍼레이션 : 허용하는규칙이있을경우통과, 거부 ] 본보안정책은 Packet Filtering SFP 이후에적용되는보안정책이다. 즉본네트워크트래픽접근통제정책을통해 TOE는 Packet Filtering SFP 적용이후허용하고자하는서비스에대한규칙을정의하여접근을허용하고나머지는차단한다. FDP_IFF.1(5) FDP_IFF.1.1 단일계층보안속성계층관계 : 없음종속관계 : FDP_IFC.1 부분적인정보흐름통제 FMT_MSA.3 정적속성초기화 TSF는적어도 [ 다음의 SFP에서통제되는주체와정보의목록, 주체와정보각각에대한보안속성 ] 과같은주체보안속성및정보보안속성유형에기반하여 [ Intrusion Prevention SFP ] 를강제해야한다. [ a) 주체보안속성 IP 주소 b) 정보보안속성 출발지 IP 주소 목적지 IP 주소 프로토콜 ( 서비스 ) 패킷데이터 시간 ] 110

119 FDP_IFF.1.2 TSF 는다음과같은규칙이유지되면통제된오퍼레이션을통하여통제된주체와통제된정 보간의정보흐름을허용해야한다 : [ 다음의각오퍼레이션에대하여주체와정보보안속성 간에서유지되어야하는보안속성에기반한관계 ] [ a) TOE를통해서주체 (IP 주소 ) 에서다른곳으로보내는트래픽에대하여, TOE는정보흐름통제보안정책에따라주체가전송을요청한정보의보안속성 ( 출발지 IP 주소, 목적지 IP 주소, 프로토콜, 패킷데이터, 시간 ) 과취약성목록데이터 ( 시그니쳐 ) 를비교하여 일치하지않으면요청된정보흐름을허용해야한다. 일치하는경우그것에대한처리방법이 ' 허용 ' 으로지정되어있으면요청된정보흐름을허용해야한다. 일치하는경우그것에대한처리방법이 ' 사용량제한 ' 으로지정되어있으면 'FDP_IFC.1(6), FDP_IFF.1(6) 에명세된 Traffic Control SFP' 로의정보흐름을허용해야한다. 일치하는경우그것에대한처리방법이 ' 시스템격리 ' 로지정되어있으면, 'FDP_IFC.1(7), FDP_IFF.1(7) 에명세된 Quarantine SFP' 로의정보흐름을허용해야한다. 일치하는경우주체에처리방법이 ' 규칙적용예외 ' 로지정되어있으면요청된정보흐름을허용해야한다. ] FDP_IFF.1.3 TSF는 [ 없음 ] 을강제해야한다. FDP_IFF.1.4 TSF는 [ 없음 ] 에기반하여정보흐름을명시적으로인가해야한다. FDP_IFF.1.5 TSF는 [ 없음 ] 에기반하여정보흐름을명시적으로거부해야한다. FDP_IFC.1(6) FDP_IFC.1.1 [ 참고사항 ] 부분적인정보흐름통제계층관계 : 없음종속관계 : FDP_IFF.1 단일계층보안속성 TSF는 [ 다음의주체및정보목록과 SFP에의하여다루어지는통제된주체로 / 주체로부터의정보흐름을유발하는오퍼레이션 ] 에대하여 [ Traffic Control SFP ] 을강제해야한다. [ a) 주체 : TOE를통해서정보를송 수신하는사용자 b) 정보 : TOE를통해서주체에서다른곳으로보내는트래픽 c) 오퍼레이션 : 허용하는규칙이있을경우통과, 거부 ] Traffic Control SFP는인가된관리자가지정한경우에한하여, Packet Filtering SFP, Intrusion Prevention SFP의대응규칙으로적용된다. FDP_IFF.1(6) 단일계층보안속성계층관계 : 없음 111

120 종속관계 : FDP_IFC.1 부분적인정보흐름통제 FMT_MSA.3 정적속성초기화 FDP_IFF.1.1 TSF는적어도 [ 다음의 SFP에서통제되는주체와정보의목록, 주체와정보각각에대한보안속성 ] 과같은주체보안속성및정보보안속성유형에기반하여 [ Traffic Control SFP ] 를강제해야한다. [ a) 주체보안속성 IP 주소 b) 정보보안속성 출발지 IP 주소 목적지 IP 주소 프로토콜 ( 서비스 ) 패킷데이터 시간 ] FDP_IFF.1.2 TSF는다음과같은규칙이유지되면통제된오퍼레이션을통하여통제된주체와통제된정보간의정보흐름을허용해야한다 : [ 다음의각오퍼레이션에대하여주체와정보보안속성간에서유지되어야하는보안속성에기반한관계 ] [ a) TOE를통해서주체 (IP 주소 ) 에서다른곳으로보내는트래픽에대하여, TOE는정보흐름통제보안정책에따라주체가전송을요청한정보의보안속성 ( 출발지 IP 주소, 목적지 IP 주소, 프로토콜 ( 서비스 ), 패킷데이터, 시간 ) 과인가된관리자가정의한정보흐름통제보안정책의속성을비교하여 ' 정보흐름에대한최대임계치 ( 허용치 )' 가지정되어있으면, 그것을초과하지않는정보흐름만을허용해야한다 ( 최대대역폭 ). ] FDP_IFF.1.3 TSF는 [ 없음 ] 을강제해야한다. FDP_IFF.1.4 TSF는 [ 없음 ] 에기반하여정보흐름을명시적으로인가해야한다. FDP_IFF.1.5 TSF는 [ 없음 ] 에기반하여정보흐름을명시적으로거부해야한다. FDP_IFC.1(7) FDP_IFC.1.1 부분적인정보흐름통제계층관계 : 없음종속관계 : FDP_IFF.1 단일계층보안속성 TSF는 [ 다음의주체및정보목록과 SFP에의하여다루어지는통제된주체로 / 주체로부터의정보흐름을유발하는오퍼레이션 ] 에대하여 [ Quarantine SFP ] 을강제해야한다. [ a) 주체 : TOE 를통해서정보를송 수신하는사용자 112

121 [ 참고사항 ] b) 정보 : TOE를통해서주체에서다른곳으로보내는트래픽 c) 오퍼레이션 : 허용하는규칙이있을경우통과, 거부 ] 본 SFP에서사용되는 Quarantine 목록은인가된관리자가 Intrusion Prevention SFP에서정보흐름의대응행동으로시스템격리를지정한경우에생성 / 등록된다. FDP_IFF.1(7) FDP_IFF.1.1 단일계층보안속성계층관계 : 없음종속관계 : FDP_IFC.1 부분적인정보흐름통제 FMT_MSA.3 정적속성초기화 TSF는적어도 [ 다음의 SFP에서통제되는주체와정보의목록, 주체와정보각각에대한보안속성 ] 과같은주체보안속성및정보보안속성유형에기반하여 [ Quarantine SFP ] 를강제해야한다. [ a) 주체보안속성 IP 주소 b) 정보보안속성 출발지 IP 주소 / 서비스포트 목적지 IP 주소 / 서비스포트 ] FDP_IFF.1.2 TSF는다음과같은규칙이유지되면통제된오퍼레이션을통하여통제된주체와통제된정보간의정보흐름을허용해야한다 : [ 다음의각오퍼레이션에대하여주체와정보보안속성간에서유지되어야하는보안속성에기반한관계 ] [ a) TOE를통해서주체에서다른곳으로보내는트래픽에대하여, TOE는정보흐름통제보안정책에따라주체 (IP 주소 ) 가전송을요청한정보의보안속성 ( 출발지 IP 주소 / 서비스포트 ) 과 Quarantine 목록 (IP 주소 ) 을비교하여 일치하지않으면요청된정보흐름을허용해야한다. b) TOE는 Quarantine 목록에등록된주체 (IP 주소 ) 에대하여인가된관리자가정보흐름통제정책의보안속성으로 ' 자동해제시간 ' 을지정한경우, 그시간이경과한후에 'Quarantine 목록 ' 에서삭제하고정보흐름을허용해야한다. ] FDP_IFF.1.3 TSF는 [ 없음 ] 을강제해야한다. FDP_IFF.1.4 TSF는 [ 없음 ] 에기반하여정보흐름을명시적으로인가해야한다. FDP_IFF.1.5 TSF는 [ 없음 ] 에기반하여정보흐름을명시적으로거부해야한다. FDP_IFC.1(8) 부분적인정보흐름통제계층관계 : 없음 113

122 종속관계 : FDP_IFF.1 단일계층보안속성 FDP_IFC.1.1 [ 참고사항 ] TSF는 [ 다음의주체및정보목록과 SFP에의하여다루어지는통제된주체로 / 주체로부터의정보흐름을유발하는오퍼레이션 ] 에대하여 [ Anti-Virus SFP ] 을강제해야한다. [ a) 주체 : TOE를통해서정보를송 수신하는사용자 b) 정보 : TOE를통해서주체에서다른곳으로보내는트래픽 c) 오퍼레이션 : 허용하는규칙이있을경우통과, 거부 ] TOE는바이러스탐지시 TOE 운영환경에서제공하는 Anti-Virus 엔진 (V3 엔진 ) 을이용한다. Anti-Virus 엔진은평가범위에서제외된다. 본 SFP는 Application Filtering SFP의 POP3, SMTP, HTTP, FTP 프록시에서 TOE의보안정책에따라, 즉그보안정책에서인가된관리자가지정한대응행동에따라선택적으로적용된다. FDP_IFF.1(8) FDP_IFF.1.1 단일계층보안속성계층관계 : 없음종속관계 : FDP_IFC.1 부분적인정보흐름통제 FMT_MSA.3 정적속성초기화 TSF는적어도 [ 다음의 SFP에서통제되는주체와정보의목록, 주체와정보각각에대한보안속성 ] 과같은주체보안속성및정보보안속성유형에기반하여 [ Anti-Virus SFP ] 를강제해야한다. [ a) 주체보안속성 IP 주소 b) 정보보안속성 출발지 IP 주소 목적지 IP 주소 프로토콜 ( 서비스 ) 패킷데이터 ( 페이로드 ) ] FDP_IFF.1.2 TSF는다음과같은규칙이유지되면통제된오퍼레이션을통하여통제된주체와통제된정보간의정보흐름을허용해야한다 : [ 다음의각오퍼레이션에대하여주체와정보보안속성간에서유지되어야하는보안속성에기반한관계 ] [ a) TOE를통해서주체 (IP 주소 ) 에서다른곳으로보내는트래픽에대하여, TOE는정보흐름통제보안정책에따라 TSF는 TOE가호출하는 TOE 운영환경의 Anti-Virus 엔진을통해, 주체가전송을요청한정보의보안속성 ( 출발지 IP 주소, 목적지 IP 주소, 프로토콜, 패킷데이터 ) 을 114

123 기반으로바이러스검사를수행하여그결과가정상적인것으로판명, 즉바이러스 에감염된패킷데이터가아닌경우에만요청된정보흐름을허용해야한다. ] FDP_IFF.1.3 TSF는 [ 없음 ] 을강제해야한다. FDP_IFF.1.4 TSF는 [ 없음 ] 에기반하여정보흐름을명시적으로인가해야한다. FDP_IFF.1.5 TSF는 [ 없음 ] 에기반하여정보흐름을명시적으로거부해야한다 TSF 보호 FPT_FLS.1 FPT_FLS.1.1 [ 참고사항 ] 장애시안전한상태유지계층관계 : 없음종속관계 : 없음 TSF는다음과같은유형의장애가발생한경우안전한상태를유지해야한다 : [ 다음의 TSF 장애유형목록 ] [ a) 소프트웨어적인장애 TOE의프로세스관리데몬을제외한타데몬의장애 물리적으로분리된 TOE(AhnLab LogServer) 의운영장애 b) 하드웨어적인장애 TOE가복수대로구성되어운영되는경우일부 TOE의장애 ] TOE 프로세스관리데몬은자신을제외한 TOE의다른데몬들의상태를검사하여장애가발생한경우안전한상태로복구하는데몬이다. TOE 프로세스관리데몬은 TOE 운영환경 ( 운영체제 ) 에의해안전한상태가유지된다. FPT_ITT.1 FPT_ITT.1.1 [ 참고사항 ] 내부전송 TSF 데이터의기본적인보호계층관계 : 없음종속관계 : 없음 TSF는 TOE의분리된부분간에 TSF 데이터가전송될때노출으로부터 TSF 데이터를보호해야한다. TOE는물리적으로침입차단, 탐지 / 방지기능을수행하는 TOE( 전용장비 ) 와보안감사전용관리프로그램 (AhnLab LogServer) 으로분리되어구현된다. 본보안기능요구사항은네트워크매체를통해전송되는 TOE( 전용장비 ) 와 AhnLab LogServer 간의 TSF 데이터의노출을방지하기위해 TSF 데이터전송시안전한내부채널을구현하는요구사항이다. 안전한내부채널은 TOE( 전용장비 ) 와 AhnLab LogServer 간의통신시에 TSF 데이터의암호화 (SEED) 를통해제공한다. FPT_TEE.1 외부실체시험 115

124 계층관계 : 없음 종속관계 : 없음 FPT_TEE.1.1 TSF 는 [ 다음의외부실체의속성목록 ] 이만족되는지검사하기위해초기시동시, 정규운 영중에주기적으로일련의시험을실행해야한다. [ a) 외부실체의속성목록 TOE와연동하는 DBMS: IP 주소, 서비스포트 ] FPT_TEE.1.2 시험이실패할경우, TSF는 [ 다음의대응행동 ] 을수행해야한다. [ a) TOE와연동하는 DBMS 시험실패시 경고창을출력하여인가된관리자가복구조치를취할수있도록한다. ] 자원활용 FRU_FLT.1 오류에대한내성 : 부분적용계층관계 : 없음 종속관계 : FPT_FLS.1 장애시안전한상태유지 FRU_FLT.1.1 TSF 는다음의장애 [ 다음 < 표 6-17> 의장애유형 ] 이발생한경우, [ 다음 < 표 6-17> 의 TOE 기능목록 ] 이운영됨을보장해야한다. 표 6-17 장애유형및 TOE 기능목록 소프트웨어적인장애 하드웨어적인장애 장애유형 TOE 프로세스관리데몬을제외한 TSF를수행하는다른데몬의장애 물리적으로분리된 TOE(AhnLab LogServer) 의운영장애 TOE가복수대로구성되어운영되는경우일부 TOE의장애 TOE 기능목록 TOE 프로세스관리데몬은주기적으로 TSF 를수행하는다른데몬의상태를확인하여이상이발생한경우, 그데몬을재구동하여그것이제공하는 TSF는정상적으로운영되어야한다. TOE(AhLab LogServer) 가운영되는 TOE 운영환경의영향으로운용장애가발생한경우에도 TOE( 전용장비 ) 를통해제공되는모든 TSF는정상적으로운영되어야한다 인가된관리자가 TOE를복수대로구성하여운영하는경우, 일부 TOE의장애가발생한경우에도나머지 TOE를통해모든 TSF는정상적으로운영되어야한다. [ 참고사항 ] 본기능은 TOE 가장애가발생해도사용자들이네트워크서비스를사용할수있는것을보 장하는것을목적으로한다. 116

125 FRU_RSA.1 FRU_RSA.1.1 최대할당치계층관계 : 없음종속관계 : 없음 TSF는개별사용자, 정의된사용자그룹이동시에사용할수있는다음의자원 [ TCP의 SYN 패킷연결 ] 의최대할당치를강제해야한다. 117

126 6.3 보증요구사항 242 본보안목표명세서의보증요구사항은공통평가기준 3 부의보증컴포넌트로구성되었고, 평가보 증등급은 EAL4 이다. 다음 [ 표 6-18] 는보증컴포넌트를요약하여보여준다. 표 6-18 보증요구사항 보증클래스 보안목표명세서평가 보증컴포넌트 ASE_INT.1 보안목표명세서소개 ASE_ECD.1 확장컴포넌트정의 ASE_CCL.1 준수선언 ASE_OBJ.2 보안목적 ASE_REQ.2 도출된보안요구사항 ASE_SPD.1 보안문제정의 ASE_TSS.1 TOE 요약명세 개발 ADV_ARC.1 보안구조설명 ADV_FSP.4 완전한기능명세 ADV_IMP.1 TSF 에대한구현의표현 ADV_TDS.3 기본적인모듈화설계 설명서 AGD_OPE.1 사용자운영설명서 AGD_PRE.1 준비설차 생명주기지원 ALC_CMC.4 생산지원, 수용절차및자동화 ALC_CMS.4 문제추적형상관리범위 ALC_DEL.1 배포절차 ALC_DVS.1 보안대책의식별 ALC_LCD.1 개발자가정의한생명주기모델 ALC_TAT.1 잘정의된개발도구 시험 ATE_COV.2 시험범위의분석 ATE_DPT.2 보안 - 수행모듈시험 ATE_FUN.1 기능시험 ATE_IND.2 독립적인시험 : 표본시험 취약성평가 AVA_VAN.3 강화된취약성분석 118

127 6.3.1 보안목표명세서 ASE_INT.1 보안목표명세서소개 종속관계 : 없음 개발자요구사항 ASE_INT.1.1D 개발자는보안목표명세서소개를제공해야한다. 증거요구사항 ASE_INT.1.1C 보안목표명세서소개는보안목표명세서참조, TOE 참조, TOE 개요, TOE 설명을포함해야한 다. ASE_INT.1.2C 보안목표명세서참조는유일하게보안목표명세서를식별해야한다. ASE_INT.1.3C TOE 참조는 TOE를식별해야한다. ASE_INT.1.4C TOE 개요는 TOE의용도와주요보안특성을요약해야한다. ASE_INT.1.5C TOE 개요는 TOE 유형을식별해야한다. ASE_INT.1.6C TOE 개요는 TOE에서요구되는비-TOE에해당하는하드웨어 / 소프트웨어 / 펌웨어를식별해 야한다. ASE_INT.1.7C TOE 설명은 TOE의물리적인범위를서술해야한다. ASE_INT.1.8C TOE 설명은 TOE의논리적인범위를서술해야한다. 평가자요구사항 ASE_INT.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_INT.1.2E 평가자는 TOE 참조, TOE 개요, TOE 설명이서로일관성이있음을확인해야한다. ASE_CCL.1 준수선언종속관계 : ASE_INT.1 보안목표명세서소개 ASE_ECD.1 확장컴포넌트정의 ASE_REQ.1 명시된보안요구사항 개발자요구사항 ASE_CCL.1.1D 개발자는준수선언을제공해야한다. ASE_CCL.1.2D 개발자는준수선언의이론적근거를제공해야한다. 증거요구사항 ASE_CCL.1.1C 준수선언은보안목표명세서및 TOE 가준수하는공통평가기준의버전을식별하기위해공 통평가기준준수선언을포함해야한다. 119

128 ASE_CCL.1.2C 공통평가기준준수선언은보안목표명세서의공통평가기준 2부에대한준수선언을 2부준수 또는 2부확장 으로서술해야한다. ASE_CCL.1.3C 공통평가기준준수선언은보안목표명세서의공통평가기준 3부에대한준수선언을 3부준수 또는 3부확장 으로서술해야한다. ASE_CCL.1.4C 공통평가기준준수선언은확장컴포넌트정의와일관성이있어야한다. ASE_CCL.1.5C 준수선언은보안목표명세서가준수하는모든보호프로파일및보안요구사항패키지를식별해야한다. ASE_CCL.1.6C 준수선언은보안목표명세서의패키지에대한준수선언을 ' 패키지준수 ' 또는 ' 패키지추가 ' 로서술해야한다. ASE_CCL.1.7C 준수선언의이론적근거는보안목표명세서의 TOE 유형이그보안목표명세서가준수하는보호프로파일의 TOE 유형과일관성이있음을입증해야한다. ASE_CCL.1.8C 준수선언의이론적근거는보안목표명세서의보안문제정의에대한설명이그보안목표명세서가준수하는보호프로파일의보안문제정의설명과일관성이있음을입증해야한다. ASE_CCL.1.9C 준수선언의이론적근거는보안목표명세서의보안목적에대한설명이그보안목표명세서가준수하는보호프로파일의보안목적설명과일관성이있음을입증해야한다. ASE_CCL.1.10C 준수선언의이론적근거는보안목표명세서의보안요구사항에대한설명이그보안목표명세서가준수하는보호프로파일의보안요구사항설명과일관성이있음을입증해야한다. 평가자요구사항 ASE_CCL.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_SPD.1 보안문제정의종속관계 : 없음 개발자요구사항 ASE_SPD.1.1D 개발자는보안문제정의를제공해야한다. 증거요구사항 ASE_SPD.1.1C 보안문제정의는위협을서술해야한다. ASE_SPD.1.2C 모든위협은위협원, 자산, 공격행동의관점에서서술되어야한다. ASE_SPD.1.3C 보안문제정의는조직의보안정책 (OSP) 을서술해야한다. ASE_SPD.1.4C 보안문제정의는 TOE 운영환경에관한가정사항을서술해야한다. 평가자요구사항 ASE_SPD.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_OBJ.2 보안목적 120

129 종속관계 : ASE_SPD.1 보안문제정의 개발자요구사항 ASE_OBJ.2.1D 개발자는보안목적에대한설명을제공해야한다. ASE_OBJ.2.2D 개발자는보안목적의이론적근거를제공해야한다. 증거요구사항 ASE_OBJ.2.1C 보안목적에대한설명은 TOE에대한보안목적과운영환경에대한보안목적을서술해야한다. ASE_OBJ.2.2C 보안목적의이론적근거는 TOE에대한각보안목적을보안목적에의해대응되는위협과보안목적에의해수행되는조직의보안정책으로추적해야한다. ASE_OBJ.2.3C 보안목적의이론적근거는운영환경에대한각보안목적을보안목적에의해대응되는위협, 보안목적에의해수행되는조직의보안정책, 보안목적에의해지원되는가정사항으로추적해야한다. ASE_OBJ.2.4C 보안목적의이론적근거는보안목적이모든위협에대응함을입증해야한다. ASE_OBJ.2.5C 보안목적의이론적근거는보안목적이모든조직의보안정책을수행함을입증해야한다. ASE_OBJ.2.6C 보안목적의이론적근거는운영환경에대한보안목적이모든가정사항을지원함을입증해야한다. 평가자요구사항 ASE_OBJ.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_ECD.1 확장컴포넌트정의종속관계 : 없음 개발자요구사항 ASE_ECD.1.1D 개발자는보안요구사항에대한설명을제공해야한다. ASE_ECD.1.2D 개발자는확장컴포넌트정의를제공해야한다. 증거요구사항 ASE_ECD.1.1C 보안요구사항에대한설명은확장된모든보안요구사항을식별해야한다. ASE_ECD.1.2C 확장컴포넌트정의는각각확장된보안요구사항에대한확장컴포넌트를정의해야한다. ASE_ECD.1.3C ASE_ECD.1.4C ASE_ECD.1.5C 확장컴포넌트정의는각확장컴포넌트가기존의공통평가기준컴포넌트, 패밀리, 클래스와어떻게연관되는지를서술해야한다. 확장컴포넌트정의는기존의공통평가기준컴포넌트, 패밀리, 클래스와방법론을모델로하여표현해야한다. 확장컴포넌트는각엘리먼트에대한준수여부를입증할수있도록측정가능하고객관적 121

130 인엘리먼트로구성되어야한다. 평가자요구사항 ASE_ECD.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_ECD.1.2E 평가자는확장된컴포넌트가기존의컴포넌트를이용하여명확히표현할수없음을확인해 야한다. ASE_REQ.2 도출된보안요구사항종속관계 : ASE_OBJ.2 보안목적 ASE_ECD.1 확장컴포넌트정의 개발자요구사항 ASE_REQ.2.1D 개발자는보안요구사항에대한설명을제공해야한다. ASE_REQ.2.2D 개발자는보안요구사항의이론적근거를제공해야한다. 증거요구사항 ASE_REQ.2.1C 보안요구사항에대한설명은보안기능요구사항과보증요구사항을서술해야한다. ASE_REQ.2.2C 보안기능요구사항및보증요구사항에서사용되는모든주체, 객체, 오퍼레이션, 보안속성, 외부실체, 기타조건들은정의되어야한다. ASE_REQ.2.3C 보안요구사항에대한설명은보안요구사항에대한모든오퍼레이션을식별해야한다. ASE_REQ.2.4C 모든오퍼레이션은정확히수행되어야한다. ASE_REQ.2.5C 보안요구사항의각종속관계는만족되어야하며, 그렇지않을경우에는보안요구사항의이론적근거에그에대한정당화가제공되어야한다. ASE_REQ.2.6C 보안요구사항의이론적근거는각보안기능요구사항을 TOE에대한보안목적으로추적해야한다. ASE_REQ.2.7C 보안요구사항의이론적근거는보안기능요구사항이 TOE에대한모든보안목적을만족한다는것을입증해야한다. ASE_REQ.2.8C 보안요구사항의이론적근거는보증요구사항이선택된이유를설명해야한다. ASE_REQ.2.9C 보안요구사항에대한설명은내부적으로일관성이있어야한다. 평가자요구사항 ASE_REQ.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_TSS.1 TOE 요약명세종속관계 : ASE_INT.1 보안목표명세서소개 ASE_REQ.1 명시된보안요구사항 ADV_FSP.1 기본적인기능명세 122

131 개발자요구사항 ASE_TSS.1.1D 개발자는 TOE 요약명세를제공해야한다. 증거요구사항 ASE_TSS.1.1C TOE 요약명세는 TOE 가어떻게각각의보안기능요구사항을만족시키는지서술해야한다. 평가자요구사항 ASE_TSS.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_TSS.1.2E 평가자는 TOE 요약명세가 TOE 개요및 TOE 설명과일관성이있음을확인해야한다 개발 ADV_ARC.1 보안구조설명종속관계 : ADV_FSP.1 기본적인기능명세 ADV_TDS.1 기본적인설계 개발자요구사항 ADV_ARC.1.1D 개발자는 TSF의보안특성이우회되지않도록 TOE를설계하고구현해야한다. ADV_ARC.1.2D 개발자는신뢰되지않은능동적실체에의한침해로부터 TSF 자체를보호할수있도록 TSF 를설계하고구현해야한다. ADV_ARC.1.3D 개발자는 TSF의보안구조설명을제공해야한다. 증거요구사항 ADV_ARC.1.1C 보안구조설명은 TOE 설계문서에서술된 SFR-수행추상화설명에알맞은상세수준으로 서술되어야한다. ADV_ARC.1.2C 보안구조설명은 TSF에의해서 SFR과일관성있게유지되어야하는보안영역을서술해야 한다. ADV_ARC.1.3C 보안구조설명은 TSF 초기화과정이어떻게안전한지서술해야한다. ADV_ARC.1.4C 보안구조설명은 TSF가침해로부터자신을보호함을입증해야한다. ADV_ARC.1.5C 보안구조설명은 TSF가 SFR-수행기능성의우회를방지함을입증해야한다. 평가자요구사항 ADV_ARC.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ADV_FSP.4 완전한기능명세종속관계 : ADV_TDS.1 기본적인설계 123

132 개발자요구사항 ADV_FSP.4.1D 개발자는기능명세를제공해야한다. ADV_FSP.4.2D 개발자는기능명세에서 SFR 로의추적성을제공해야한다. 증거요구사항 ADV_FSP.4.1C 기능명세는 TSF를완전하게표현해야한다. ADV_FSP.4.2C 기능명세는모든 TSFI에대한목적과사용방법을서술해야한다. ADV_FSP.4.3C 기능명세는각 TSFI와관련된모든매개변수를식별및서술해야한다. ADV_FSP.4.4C 기능명세는각 TSFI에관련된모든행동을서술해야한다. ADV_FSP.4.5C 기능명세는각 TSFI 호출결과로발생하는모든직접적인오류메시지를서술해야한다. ADV_FSP.4.6C 추적성은 SFR이기능명세내의 TSFI로추적됨을입증해야한다. 평가자요구사항 ADV_FSP.4.1E 평가자는제공된정보가모든증거요구사항을만족함을확인해야한다. ADV_FSP.4.2E 평가자는기능명세가 SFR 을정확하고완전하게실체화하는지결정해야한다. ADV_IMP.1 TSF에대한구현의표현종속관계 : ADV_TDS.3 기본적인모듈화설계 ALC_TAT.1 잘정의된개발도구 개발자요구사항 ADV_IMP.1.1D 개발자는전체 TSF 에대한구현의표현을가용하게해야한다. ADV_IMP.1.2D 개발자는 TOE 설계설명과구현의표현표본간의대응관계를제공해야한다. 증거요구사항 ADV_IMP.1.1C 구현의표현은더이상의설계과정없이 TSF가생성될수있는상세수준으로 TSF를정의해야한다. ADV_IMP.1.2C 구현의표현은개발인력이사용한형태이어야한다. ADV_IMP.1.3C TOE 설계설명과구현의표현표본간의대응관계는이들의일치성을입증해야한다. 평가자요구사항 ADV_IMP.1.1E 평가자는선택된구현의표현표본에대해제공된정보가모든증거요구사항을만족하는지 확인해야한다. ADV_TDS.3 기본적인모듈화설계종속관계 : ADV_FSP.4 완전한기능명세 124

133 개발자요구사항 ADV_TDS.3.1D 개발자는 TOE 설계를제공해야한다. ADV_TDS.3.2D 개발자는기능명세의 TSFI 와 TOE 설계에서사용가능한가장상세수준분해간의대응관계 를제공해야한다. 증거요구사항 ADV_TDS.3.1C 설계는 TOE의구조를서브시스템측면에서서술해야한다. ADV_TDS.3.2C 설계는 TSF를모듈측면에서서술해야한다. ADV_TDS.3.3C 설계는 TSF의모든서브시스템을식별해야한다. ADV_TDS.3.4C 설계는 TSF의각서브시스템에대한설명을제공해야한다. ADV_TDS.3.5C 설계는 TSF의모든서브시스템들간의상호작용에대한설명을제공해야한다. ADV_TDS.3.6C 설계는 TSF 서브시스템과 TSF 모듈간의대응관계를제공해야한다. ADV_TDS.3.7C 설계는각 SFR-수행모듈을그목적및다른모듈간의상호작용측면에서서술해야한다. ADV_TDS.3.8C 설계는각 SFR-수행모듈을 SFR-관련인터페이스, 인터페이스로부터의반환값, 다른모듈 에서호출된인터페이스및다른모듈간의상호작용등의측면에서서술해야한다. ADV_TDS.3.9C 설계는각 SFR-지원또는 SFR-비-간섭모듈을목적및다른모듈과의상호작용측면에서 서술해야한다. ADV_TDS.3.10C 대응관계는 TOE 설계내에서술된모든행동이그것을호출하는 TSFI로대응됨을입증해야 한다. 평가자요구사항 ADV_TDS.3.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ADV_TDS.3.2E 평가자는설계가모든보안기능요구사항을정확하고완전하게실체화하는지결정해야한다 설명서 AGD_OPE.1 사용자운영설명서종속관계 : ADV_FSP.1 기본적인기능명세 개발자요구사항 AGD_OPE.1.1D 개발자는사용자운영설명서를제공해야한다. 증거요구사항 AGD_OPE.1.1C AGD_OPE.1.2C 사용자운영설명서는각각의사용자역할에대해안전한처리환경내에서통제되어야하는 사용자가접근가능한기능및특권에대해적절한경고를포함해서서술해야한다. 사용자운영설명서는각각의사용자역할에대해 TOE 에의해안전한방식으로제공되는 125

134 인터페이스의사용방법을서술해야한다. AGD_OPE.1.3C 사용자운영설명서는각각의사용자역할에대해사용가능한기능및인터페이스를서술해야한다. 특히사용자의통제하에있는모든보안매개변수에대해안전한값을적절하게표시해야한다. AGD_OPE.1.4C 사용자운영설명서는각각의사용자역할에대해, 수행되어야할사용자가접근할수있는기능과연관된보안-관련사건의각유형을명확히제시해야한다. 여기에는 TSF의통제하에있는실체에대한보안특성의변경도포함되어야한다. AGD_OPE.1.5C 사용자운영설명서는 ( 장애후의운영또는운영상의오류후의운영을포함한 ) TOE의모든가능한운영모드, 그영향및안전한운영유지를위한관련사항들을식별해야한다. AGD_OPE.1.6C 사용자운영설명서는각각의사용자역할에대해보안목표명세서에기술된대로운영환경에대한보안목적을만족시키기위해준수해야하는보안대책을서술해야한다. AGD_OPE.1.7C 사용자운영설명서는명확하고타당해야한다. 평가자요구사항 AGD_OPE.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. AGD_PRE.1 준비절차종속관계 : 없음 개발자요구사항 AGD_PRE.1.1D 개발자는준비절차를포함하여 TOE 를제공해야한다. 증거요구사항 AGD_PRE.1.1C 준비절차는배포된 TOE의안전한인수를위해필요한모든단계를개발자의배포절차와일관되게서술해야한다. AGD_PRE.1.2C 준비절차는 TOE의안전한설치및운영환경의안전한준비를위해필요한모든단계를보안목표명세서에기술된운영환경에대한보안목적과일관되게서술해야한다. 평가자요구사항 AGD_PRE.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. AGD_PRE.1.2E 평가자는 TOE 가운영을위해안전하게준비될수있음을확인하기위해준비절차를적용 해야한다 생명주기지원 ALC_CMC.4 생산지원, 수용절차및자동화종속관계 : ALC_CMS.1 TOE 형상관리범위 126

135 ALC_DVS.1 보안대책의식별 ALC_LCD.1 개발자가정의한생명주기모델 개발자요구사항 ALC_CMC.4.1D 개발자는 TOE 및그에대한참조를제공해야한다. ALC_CMC.4.2D 개발자는형상관리문서를제공해야한다. ALC_CMC.4.3D 개발자는형상관리시스템을사용해야한다. 증거요구사항 ALC_CMC.4.1C TOE는유일한참조를위한레이블을붙여야한다. ALC_CMC.4.2C 형상관리문서는형상항목을유일하게식별하는데사용된방법을서술해야한다. ALC_CMC.4.3C 형상관리시스템은모든형상항목을유일하게식별해야한다. ALC_CMC.4.4C 형상관리시스템은형상항목에인가된변경만을허용하는자동화된수단을제공해야한다. ALC_CMC.4.5C 형상관리시스템은자동화된수단을이용하여 TOE의생산을지원해야한다. ALC_CMC.4.6C 형상관리문서는형상관리계획을포함해야한다. ALC_CMC.4.7C 형상관리계획은형상관리시스템이 TOE 개발에사용되는방법을서술해야한다. ALC_CMC.4.8C 형상관리계획은변경되거나새로생성된형상항목을 TOE의일부로수용하는데사용된절차를서술해야한다. ALC_CMC.4.9C 증거는모든형상항목이형상관리시스템하에유지되고있음을입증해야한다. ALC_CMC.4.10C 증거는형상관리시스템이형상관리계획에따라운영되고있음을입증해야한다. 평가자요구사항 ALC_CMC.4.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ALC_CMS.4 문제추적형상관리범위종속관계 : 없음 개발자요구사항 ALC_CMS.4.1D 개발자는 TOE 에대한형상목록을제공해야한다. 증거요구사항 ALC_CMS.4.1C 형상목록은 TOE, 보증요구사항에서요구하는평가증거, TOE를구성하는부분, 구현표현, 보안결함보고서및해결상태를포함해야한다. ALC_CMS.4.2C 형상목록은형상항목을유일하게식별해야한다. ALC_CMS.4.3C 형상목록은각 TSF 관련형상항목의개발자를표시해야한다. 평가자요구사항 127

136 ALC_CMS.4.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ALC_DEL.1 배포절차 종속관계 : 없음 개발자요구사항 ALC_DEL.1.1D 개발자는소비자에게 TOE 나 TOE 일부를배포하는절차를문서화해야한다. ALC_DEL.1.2D 개발자는배포절차를사용해야한다. 증거요구사항 ALC_DEL.1.1C 배포문서는 TOE 를소비자에게배포할때보안을유지하기위해필요한모든절차를서술 해야한다. 평가자요구사항 ALC_DEL.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ALC_DVS.1 보안대책의식별종속관계 : 없음 개발자요구사항 ALC_DVS.1.1D 개발자는개발보안문서를작성해야한다. 증거요구사항 ALC_DVS.1.1C 개발보안문서는개발환경내에서 TOE 설계및구현과정의비밀성과무결성을보호하기 위하여필요한모든물리적, 절차적, 인적및기타보안대책을서술해야한다. 평가자요구사항 ALC_DVS.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ALC_DVS.1.2E 평가자는보안대책이적용되고있는지확인해야한다. ALC_LCD.1 개발자가정의한생명주기모델종속관계 : 없음 개발자요구사항 ALC_LCD.1.1D 개발자는 TOE 의개발과유지에사용되는생명주기모델을수립해야한다. ALC_LCD.1.2D 개발자는생명주기정의문서를제공해야한다. 128

137 증거요구사항 ALC_LCD.1.1C 생명주기정의문서는 TOE 의개발과유지에사용되는모델을서술해야한다. ALC_LCD.1.2C 생명주기모델은 TOE 의개발과유지에필요한통제를제공해야한다. 평가자요구사항 ALC_LCD.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ALC_TAT.1 잘정의된개발도구종속관계 : ADV_IMP.1 TSF에대한구현의표현 개발자요구사항 ALC_TAT.1.1D 개발자는 TOE 에사용된각개발도구를식별해야한다. ALC_TAT.1.2D 개발자는각개발도구에대해구현 - 종속적인선택사항을문서화해야한다. 증거요구사항 ALC_TAT.1.1C 구현에사용된각개발도구는잘정의된것이어야한다. ALC_TAT.1.2C 각개발도구문서는구현에사용된모든규정과지시어뿐만아니라모든명령문의의미를모호하지않게정의해야한다. ALC_TAT.1.3C 각개발도구문서는모든구현-종속적인선택사항의의미를모호하지않게정의해야한다. 평가자요구사항 ALC_TAT.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다 시험 ATE_COV.2 시험범위의분석종속관계 : ADV_FSP.2 보안-수행기능명세 ATE_FUN.1 기능시험 개발자요구사항 ATE_COV.2.1D 개발자는시험범위의분석을제공해야한다. 증거요구사항 ATE_COV.2.1C 시험범위의분석은시험문서내의시험항목과기능명세내의 TSFI간의일치성을입증해야한다. ATE_COV.2.2C 시험범위의분석은기능명세내의모든 TSFI가시험되었음을입증해야한다. 129

138 평가자요구사항 ATE_COV.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ATE_DPT.2 보안-수행모듈시험종속관계 : ADV_ARC.1 보안구조설명 ADV_TDS.3 기본적인모듈화설계 ATE_FUN.1 기능시험 개발자요구사항 ATE_DPT.2.1D 개발자는시험의상세수준분석을제공해야한다. 증거요구사항 ATE_DPT.2.1C 시험의상세수준분석은시험문서내의시험항목과 TOE 설계내의 TSF 서브시스템및 SFR-수행모듈간의일치성을입증해야한다. ATE_DPT.2.2C 시험의상세수준분석은 TOE 설계내의모든 TSF 서브시스템이시험되었음을입증해야한다. ATE_DPT.2.3C 시험의상세수준분석은 TOE 설계내의 SFR-수행모듈이시험되었음을입증해야한다. 평가자요구사항 ATE_DPT.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ATE_FUN.1 기능시험종속관계 : ATE_COV.1 시험범위의증거 개발자요구사항 ATE_FUN.1.1D 개발자는 TSF 를시험하고그결과를문서화해야한다. ATE_FUN.1.2D 개발자는시험문서를제공해야한다. 증거요구사항 ATE_FUN.1.1C 시험문서는시험계획, 예상시험결과, 실제시험결과로구성되어야한다. ATE_FUN.1.2C 시험계획은수행되어야할시험항목을식별하고각시험수행의시나리오를서술해야한다. 이러한시나리오는다른시험결과에대한순서종속관계를포함해야한다. ATE_FUN.1.3C 예상시험결과는시험의성공적인수행으로기대되는결과를제시해야한다. ATE_FUN.1.4C 실제시험결과는예상시험결과와일관성이있어야한다. 평가자요구사항 ATE_FUN.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 130

139 ATE_IND.2 독립적인시험 : 표본시험종속관계 : ADV_FSP.2 보안-수행기능명세 AGD_OPE.1 사용자운영설명서 AGD_PRE.1 준비절차 ATE_COV.1 시험범위의증거 ATE_FUN.1 기능시험 개발자요구사항 ATE_IND.2.1D 개발자는시험할 TOE 를제공해야한다. 증거요구사항 ATE_IND.2.1C TOE 는시험하기에적합해야한다. ATE_IND.2.2C 개발자는개발자의 TSF 기능시험에사용된자원과동등한자원을제공해야한다. 평가자요구사항 ATE_IND.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ATE_IND.2.2E 평가자는개발자시험결과를검증하기위하여시험문서내의시험항목에대한표본시험을수행해야한다. ATE_IND.2.3E 평가자는 TSF가명세된대로동작함을확인하기위하여 TSF의일부를시험해야한다 취약성분석 AVA_VAN.3 강화된취약성분석종속관계 : ADV_ARC.1 보안구조설명 ADV_FSP.2 보안-수행기능명세 ADV_TDS.3 기본적인모듈화설계 ADV_IMP.1 TSF에대한구현의표현 AGD_OPE.1 사용자운영설명서 AGD_PRE.1 준비절차 개발자요구사항 AVA_VLA.3.1D 개발자는시험할 TOE 를제공해야한다. 증거요구사항 AVA_VLA.3.1C TOE 는시험하기에적합해야한다. 131

140 평가자요구사항 AVA_VLA.3.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. AVA_VLA.3.2E 평가자는 TOE 의잠재적취약성을식별하기위해공개영역에대한조사를수행해야한다. AVA_VLA.3.3E AVA_VLA.3.4E 평가자는 TOE의잠재적취약성을식별하기위해설명서, 기능명세, TOE 설계및보안구조설명, 구현의표현을이용하여독립적인취약성분석을수행해야한다. 평가자는 TOE가강화된-기본공격성공가능성을가진공격자에의해행해지는공격에내성이있음을결정하기위해, 식별된잠재적취약성에근거하여침투시험을수행해야한다. 132

141 6.4 보안요구사항의이론적근거 243 보안요구사항의이론적근거는서술된보안요구사항이보안목적을만족시키기에적합하고, 그 결과보안문제를다루기에적절함을입증한다 보안기능요구사항의이론적근거 244 보안기능요구사항의이론적근거는다음을입증한다. 각보안목적은적어도하나의보안기능요구사항에의해서다루어진다. 각보안기능요구사항은적어도하나의보안목적을다룬다. 133

142 표 6-19 보안목적과보안기능요구사항대응 134

143 표 6-20 보안목적과보안기능요구사항대응 ( 계속 ) 135

144 표 6-21 보안목적과보안기능요구사항대응 ( 계속 ) 136