< E3120B1E2B9DD C3420C6F2B0A1C1A6C3E2B9B020C0DBBCBAB0A1C0CCB5E5B6F3C0CE56302E E687770>

Transcription

1 CC v3.1 기반 EAL4 정보보호제품 평가제출물작성가이드

2 주의사항 이가이드의사용에는어떠한제한도없지만다음과같은사항에주의 하여야합니다. 제 1 장 1. 목적 에정의된가이드의고유목적외에다른목적으 로이용하시면안됩니다. 가이드내에기술된예시등은평가신청인, 제품개발자의고유한 환경을고려하지않았으므로실제평가제출물작성에그대로적용 되지않을수있습니다. 이가이드의내용중오류가발견되었거나내용에대한의견이있을 때에는 mkkim@kisa.or.kr 로해당내용을보내주시기바랍니다.

3 CC v3.1 기반 EAL4 정보보호제품 평가제출물작성가이드

4 목 차 제 1 장 개 요 1 제 1 절 목 적 1 제 2 절 적용대상 2 제 3 절 가이드구성 3 제 2 장보안목표명세서평가클래스 (ASE) 작성 7 제 1 절개요 7 제 2 절보안목표명세서구조 8 1. 보안목표명세서필수구성요소 8 2. 보안목표명세서구성 1 0 제 3 절보안목표명세서작성방법 보안목표명세서소개작성방법 준수선언 보안문제정의 보안목적 확장컴포넌트정의 보안요구사항 TOE 요약명세 6 2 제 4 절보안목표명세서작성예제 보안목표명세서소개작성예제 준수선언작성예제 보안문제정의작성예제 보안목적작성예제 75 - i -

5 5. 확장컴포넌트정의작성예제 보안요구사항작성예제 TOE 요약명세작성예제 8 4 제 3 장개발클래스 (ADV) 작성 87 제 1 절개발클래스구조 보안구조설명서 (ADV_ARC.1 보안구조설명 ) 기능명세서 (ADV_FSP.4 완전한기능명세 ) TOE 설계서 (ADV_TDS.3 기본적인모듈화설계 ) 구현검증명세서 (ADV_IMP.1 TSF에대한구현의표현 ) 제 2 절개발클래스작성방법 보안구조설명서 (ADV_ARC.1 보안구조설명 ) 작성방법 기능명세서 (ADV_FSP.4 완전한기능명세 ) 작성방법 TOE 설계서 (ADV_TDS.3 기본적인모듈화설계 ) 작성방법 구현검증명세서 (ADV_IMP.1 TSF에대한구현의표현 ) 작성방법 1 55 제 3 절개발클래스작성예제 보안구조설명서작성예제 기능명세서작성예제 TOE 설계서작성예제 구현검증명세서작성예제 제 4 장생명주기지원클래스 (ALC) 작성 201 제 1 절생명주기지원클래스구조 형상관리문서 (ALC_CMC.4, ALC_CMS.4) 배포절차서 (ALC_DEL) 개발보안문서 (ALC_DVS.1, ALC_LCD.1, ALC_TAT.1) 제 2 절생명주기지원클래스작성방법 ii -

6 1. 형상관리문서 (ALC_CMC.4, ALC_CMS.4) 작성방법 배포절차서 (ALC_DEL.1 배포절차 ) 작성방법 개발보안문서 (ALC_DVS.1, ALC_LCD.1, ALC_TAT.1) 작성방법 2 34 제 3 절생명주기지원클래스작성예제 형상관리문서작성예제 배포절차서작성예제 개발보안문서작성예제 2 73 제 5 장시험클래스 (ATE) 작성 285 제 1 절시험클래스구조 시험서 (ATE_COV.2, ATE_DPT.2, ATE_FUN.1) 287 제 2 절시험클래스작성방법 시험서 (ATE_COV.2, ATE_DPT.2, ATE_FUN.1) 작성방법 294 제 3 절시험클래스작성예제 시험서작성예제 306 제 6 장설명서클래스 (AGD) 작성 321 제 1 절설명서클래스구조 제품설명서 (AGD_OPE.1, AGD_PRE.1) 323 제 2 절설명서클래스작성방법 제품설명서 (AGD_OPE.1, AGD_PRE.1) 작성방법 329 제 3 절설명서클래스작성예제 사용자운영설명서작성예제 준비절차서작성예제 iii -

7 표목차 [ 표 2-1] 보안목표명세서보증요구사항 11 [ 표 2-2] ASE_INT.1 보안목표명세서소개 12 [ 표 2-3] ASE_CCL.1 준수선언 13 [ 표 2-4] ASE_SPD.1 보안문제정의 14 [ 표 2-5] ASE_OBJ.2 보안목적 15 [ 표 2-6] ASE_ECD.1 확장컴포넌트정의 16 [ 표 2-7] ASE_REQ.2 보안요구사항 17 [ 표 2-8] ASE_TSS.1 TOE 요약명세 18 [ 표 2-9] 보안목표명세서소개에대한평가제출물점검사항 19 [ 표 2-10] 준수선언에대한평가제출물점검사항 28 [ 표 2-11] 보안문제정의평가제출물점검사항 36 [ 표 2-12] 보안목적에대한평가제출물점검사항 40 [ 표 2-13] 확장컴포넌트에대한평가제출물점검사항 48 [ 표 2-14] 보안요구사항에대한평가제출물점검사항 52 [ 표 2-15] TOE 요약명세에대한평가제출물점검사항 62 [ 표 3-1] 개발클래스보증요구사항 89 [ 표 3-2] EAL4 보증요구사항과평가문서 90 [ 표 3-3] 보안구조설명 98 [ 표 3-4] 기능명세 109 [ 표 3-5] 각서브시스템에서요구되는정보요약 117 [ 표 3-6] TOE 설계 120 [ 표 3-7] 개발클래스 - 구현검증 123 [ 표 3-8] 보안구조설명에대한평가제출물점검사항 125 [ 표 3-9] 기능명세에대한평가제출물점검사항 iv -

8 [ 표 3-10] TOE 설계에대한평가제출물점검사항 143 [ 표 3-11] 구현검증명세에대한평가제출물점검사항 155 [ 표 4-1] 생명주기지원클래스보증요구사항 202 [ 표 4-2] EAL4 보증요구사항과평가문서 203 [ 표 4-3] 형상관리능력 207 [ 표 4-4] 형상관리범위 209 [ 표 4-5] 배포 211 [ 표 4-6] 개발보안 213 [ 표 4-7] 생명주기정의 215 [ 표 4-8] 도구와기법 217 [ 표 4-9] 평가제출물점검가이드라인형상관리점검사항 219 [ 표 4-10] 평가제출물점검가이드라인형상관리범위점검사항 228 [ 표 4-11] 형상관리에대한개발환경보안점검목록 230 [ 표 4-12] 평가제출물점검가이드라인배포절차에대한점검사항 231 [ 표 4-13] 배포에대한개발환경보안점검목록 233 [ 표 4-14] 평가제출물점검가이드라인보안대책식별점검사항 234 [ 표 4-15] 평가제출물점검가이드라인생명주기모델점검사항 237 [ 표 4-16] 평가제출물점검가이드라인개발도구점검사항 239 [ 표 4-17] 일반적보안대책점검목록 242 [ 표 4-18] 인적보안대책점검목록 242 [ 표 4-19] 물리적보안대책점검목록 243 [ 표 4-20] 절차적보안대책점검목록 244 [ 표 4-20] 절차적보안대책점검목록 ( 계속 ) 245 [ 표 5-1] CC V3.1의평가보증등급 (EAL) 286 [ 표 5-2] EAL4 보증요구사항과평가문서 286 [ 표 5-3] 범위 287 [ 표 5-4] 상세수준 289 [ 표 5-5] 기능시험 290 [ 표 5-6] 평가제출물점검가이드라인시험범위점검사항 v -

9 [ 표 5-7] 평가제출물점검가이드라인모듈시험점검사항 297 [ 표 5-8] 평가제출물점검가이드라인기능시험점검사항 301 [ 표 6-1] CC V3.1의평가보증등급 (EAL) 322 [ 표 6-2] EAL4 보증요구사항과평가문서 322 [ 표 6-3] 사용자운영설명서 325 [ 표 6-4] 보안-수행모듈시험 327 [ 표 6-5] 평가제출물점검가이드라인운영설명서점검사항 329 [ 표 6-6] 평가제출물점검가이드라인준비절차점검사항 vi -

10 그림목차 ( 그림 2-1) 보안목표명세서의구성요소 9 ( 그림 2-2) 보안목표명세서평가클래스구성 10 ( 그림 2-3) 허용되는보안목적과보안문제정의간추적성 45 ( 그림 2-4) 보안문제정의, 보안목적, 보안요구사항간관계 60 ( 그림 3-1) 개발 (ADV) 클래스 87 ( 그림 3-2) 개발클래스내패밀리관계 88 ( 그림 3-3) 래퍼 102 ( 그림 3-4) DBMS 시스템인터페이스 104 ( 그림 3-5) 서브시스템및모듈 111 ( 그림 4-1) 생명주기지원클래스구성 202 ( 그림 5-1) 시험클래스구성 286 ( 그림 6-1) 설명서클래스구성 vii -

11 제 1 장개요 제 1 절목 적 2005년 5월 21일, 정보보호시스템평가 인증지침 ( 정보통신부고시제 호 ) 과정보보호시스템공통평가기준 ( 정보통신부고시제 호 ) 이개정됨에따라평가대상이침입차단시스템, 침입탐지시스템등기존 6종에서모든정보보호제품으로확대되었다. 따라서, 개발자및신청인은제품판매과정에서필요한경우 정보보호시스템평가 인증수행규정 의 평가대상제품군분류표 " 에자사제품이포함되는지를반드시확인하고, 포함된다면한국정보보호진흥원등평가기관에해당제품에대한평가신청을하여야한다. 1) 이가이드는변경된정보보호시스템공통평가기준버전 3.1에따라정보보호제품평가를준비하는개발자및신청인을위한평가제출물작성요령을제공한다. 1) 평가대상제품군분류표 : 국가정보원은네트워크정보보호제품군, 정보보호기반제품군, 컴퓨팅정보보호제품군및보호프로파일의 4 개정보보호제품군과총 50 여개정보보호제품을분류하고있다

12 제 2 절적용대상 이가이드의적용대상은 정보보호제품평가인증수행규정 의 제품분류표기 에정의된정보보호제품의개발자및신청인모두해당되며, 개발자및신청인은공통평가기준과공통평가방법론에대한기본지식이있어야한다. 이가이드는공통평가기준 (CC) 및공통평가방법론 (CEM) V3.1 기반의 EAL4 등급용으로작성되었지만, EAL4 등급뿐만아니라 EAL2 EAL4+ 등급을지닌정보보호제품평가를위한평가제출물을작성하는데도많은도움을제공할것이다

13 제 3 절가이드구성 평가제출물이란 " 신청인이정보보호시스템을평가받기위해평가기관에제출하는제품및모든문서 " 를말한다. 2) 이가이드는평가제출물을아래와같이분류한다. - 보증요구사항 : 보안목표명세서 (ASE), 개발 (ADV), 설명서 (AGD), 생명주기 지원 (ALC), 시험 (ATE), 취약성평가 (AVA) 의 집합 또는 보호프로파일 (APE) 보증요구사항보안목표명세서 (ASE) 개발 (ADV) 설명서 (AGD) 형상관리범위생명주기지원배포 (ALC) 개발보안생명주기지원도구와기법 시험 (ATE) 제출물보안목표명세서 보안구조 (ARC) 보안구조설명서 기능명세 (FSP) 기능명세서 TOE 설계 (TDS) TOE 설계서 구현의표현 (IMP) 구현검증명세서 사용자운영설명서사용자설명서관리자설명서준비절차설치지침서 형상관리능력 범위 상세수준기능시험 형상관리문서 배포문서개발보안문서생명주기지원서 개발도구문서 시험서 생명주기지원서와개발도구문서는개발보안문서에포함되어서술될수있다. 또한각제출문서들은반드시따로제출되어야하는것이아니라다른문서에포함되어서술될수있다. 2) 정보보호시스템평가 인증지침 - 3 -

14 공통평가기준 V2.3에서는보안목표명세서와보증요구사항을분리하여분류하였으나공통평가기준 v3.1에서는보안목표명세서를보증요구사항에포함하고있다. 본가이드에서는평가자가수행하는취약성평가 (AVA) 는제외한다. 또한보호프로파일작성은보안목표명세서작성법을참고한다. 본가이드는 CC 3부및 CEM의요구사항을기준으로제출물에포함되어야하는내용과이에대한예제를중심으로다루고있다. 1장에서는 CC v3.1 기반제출물작성가이드라인에대하여간략하게소개하고있으며 2장부터 CC v3.1에서의평가제출문서작성방법에대해설명한다. 2장의 1절은보안목표명세서의소개를하고있으며 2절은공통평가기준에서의보안목표명세서의구조및기준에대한설명을위주로공통평가방법론과비교하기위하여인덱싱되어있다. 3절은보안목표명세서작성방법에대하여공통평가방법론을위주로설명하고있으며 4절은작성예제를나타내고있다. 3장에서 6장까지의 1절은각클래스에대한소개및보증요구사항의본문과부록중 EAL 4에해당되는해설을위주로구성하고있으며공통평가방법론과비교하기위하여인덱싱되어있다. 3장에서 6장까지의 2절은각클래스작성방법은공통평가방법론 (CEM) 의 EAL4 기준으로작성하고있다. 먼저평가제출물점검가이드라인 (EAL4) 을제시하고있으며공통평가방법론을기반으로 EAL4에대한평가제출물작성방법을설명하고있으며해석의편의성을위해공통평가기준과비교하고있다. 클래스작성방법은제출물작성요령, 고려사항또는주의사항등을설명한다. 3장에서 6장까지의각 3절은클래스작성예제를나타내고있다. 작성예제에서는운영체제보안시스템의평가를위한제출물작성샘플을구체적으로제시한다

15 운영체제보안시스템은 등급기반접근통제시스템보호프로파일 V2.0 을준수한 KMACS (KISA Multi-level Access Control System) 로가칭하며제조사는주식회사키사코오퍼레이션 (KISACO) 로가정한다

16 ( 이페이지는인쇄를위해비워놓은것임 ) - 6 -

17 제 2 장보안목표명세서평가클래스 (ASE) 작성 제 1 절개요 보안목표명세서가특정 TOE( 예 : MinuteGap v18.5 침입차단시스템 ) 를서술하는반면, 보호프로파일은 TOE 유형 ( 예 : 침입차단시스템 ) 을서술한다. 따라서동일한보호프로파일이다양한보안목표명세서에대한기본모델 ( 템플릿 template) 로써사용될수있다. 보안목표명세서를평가된보호프로파일에근거하여작성하면다음과같은두가지이점이있다. - 보호프로파일내에오류, 모호한의미, 결함이있을위험이적어진다. 해당보호프로파일평가를수행했다면발견했을보호프로파일의문제점이새로운보안목표명세서의작성또는평가중에발견될경우, 그것을수정하는데에는상당한시간이소요된다. - 새로운보호프로파일 / 보안목표명세서를평가할때기존에평가된보호프로파일의평가결과를재사용하면평가에드는노력을줄일수있다. 보안목표명세서가보호프로파일에대한준수를선언할경우, 그보안목표명세서에대한평가는보안목표명세서가실제로그보호프로파일을준수한다는것을입증할수있고이는다음과같은절차에따라진행될수있다. - 특정한유형의 IT 보안제품을필요로하는조직에서그들의보안요구에대한보호프로파일을개발하고, 보호프로파일평가를받은후공표한다. - 개발자는이보호프로파일을이용해서그것을준수하는보안목표명세서를작성하고, 보안목표명세서평가를받는다. - 개발자는 TOE를구성하거나기존의 TOE를사용하여보안목표명세서에대한 TOE를평가받는다. 그결과개발자는자신이개발한 TOE가조직의보안요구를준수함을증명할수있다. 따라서그조직은보안요구를만족하는 TOE를획득할수있다

18 제 2 절보안목표명세서구조 1. 보안목표명세서필수구성요소 ( 그림 2-1) 은보안목표명세서의필수구성요소를나타낸다. 이는보안목표명세서의구조상의개요로써사용될수있으며, 이와다른형태의구성도가능하다. 예를들어, 보안요구사항의이론적근거가분량이많을경우, 보안요구사항장에포함하는대신부록에첨부할수있다. 보안목표명세서를구성하는각장및그내용은아래와같으며, 보안목표명세서는일반적으로다음의요소들을포함한다. 보안목표명세서소개 (ST introduction) 보안목표명세서참조및 TOE 참조, TOE 개요, TOE 설명등 3개의각기다른추상화수준으로이루어진 TOE에관한서술적인설명문을포함한다. 준수선언 (Conformance claims) 보안목표명세서가보호프로파일및 / 또는패키지에대한준수를선언하는지의여부와그대상이어떤보호프로파일및 / 또는패키지인지를서술한다. 보안문제정의 (Security problem definition) TOE 및운영환경에의해대응되어야하는위협, 수행되어야하는조직의보안정책, 지원되어야하는가정사항을서술한다. 보안목적 (Conformance claims) 보안문제의해결책이어떻게 TOE 보안목적과 TOE 운영환경에대한보안목적으로구분되는지서술한다. 확장컴포넌트정의 (Extended components definition) 공통평가기준 2부나 3부에포함되지않은새로운컴포넌트를정의한다. 이것은확장기능요구사항및확장보증요구사항을정의하는데필요하다

19 보안요구사항 (Security requirements) TOE 보안목적이표준화된언어로표현되는것으로, 표준화된언어는보안기능요구사항 (SFR) 의형태로되어있다. 또한, 보증요구사항 (SAR) 에대한정의도제공된다. TOE 요약명세 (TOE summary specification) 보안기능요구사항 (SFR) 이 TOE 에서어떻게구현되는지서술한다. ( 그림 2-1) 보안목표명세서의구성요소 - 9 -

20 2. 보안목표명세서구성 3 부보안목표명세서평가보증요구사항 보안목표명세서평가 (ASE, Security target evalution) 는보안목표명세서가타당하고내부적으로일관성이있으며, 하나이상의다른보호프로파일이나패키지에근거하고있을경우그것들을정확히실체화한것임을입증하기위해필요한활동이다. 이러한특성들로인해보안목표명세서는 TOE 평가를위한기초자료로사용하기에적합하다. 아래그림은보안목표명세서평가클래스내의패밀리및패밀리내의컴포넌트계층관계를나타낸다. ( 그림 2-2) 보안목표명세서평가클래스구성 아래표는보안목표명세서에대한보증요구사항을나타내고있다. 보안목표명세서에대한 EAL4 등급의보증요구사항은굵은박스로음영표시되어있다

21 [ 표 2-1] 보안목표명세서보증요구사항 보증클래스 보안목표명세서평가 보증패밀리 보안목표명세서소개 (ASE_INT) 준수선언 (ASE_CCL) 보안문제정의 (ASE_SPD) 보안목적 (ASE_OBJ) 확장컴포넌트정의 (ASE_ECD) 보안요구사항 (ASE_REQ) TOE 요약명세 (ASE_TSS) 평가보증등급요약 EAL1 EAL2 EAl3 EAL4 EAL5 EAL6 EAL 다음은 EAL4 등급의보안목표명세서평가를위한보증컴포넌트 ( 개발자, 증거, 평가자의요구사항 ) 와이에대응되는공통평가방법론의관계를보여준다. 가. 보안목표명세서소개 (ASE_INT) 본패밀리의목적은 3단계의추상화수준 ( 즉, 보안목표명세서 /TOE 참조, TOE 개요, TOE 설명 ) 에서 TOE를서술식으로기술하는것이다. 보안목표명세서소개에대한평가는보안목표명세서및 TOE가정확하게식별되고, TOE가 3단계의추상화수준에서정확하게서술되었으며, 이러한서술들이서로일관성이있다는것을입증하기위해요구되는활동이다

22 [ 표 2-2] ASE_INT.1 보안목표명세서소개 공통평가기준컴포넌트엘리먼트설명개발자는보안목표명세서소개를제공해야 ASE_INT.1.1D 한다. ASE_INT.1.1C ASE_INT.1.2C ASE_INT.1.4C ASE_INT.1 ( 보안목표명세서소개 ) 공통평가방법론 보안목표명세서소개는보안목표명세서참조, TOE 참조, TOE 개요, TOE 설명을포함해 ASE_INT.1-1 야한다. 보안목표명세서참조는유일하게보안목표명 ASE_INT.1-2 세서를식별해야한다. ASE_INT.1.3C TOE 참조는 TOE 를식별해야한다. TOE 개요는 TOE 의용도와주요보안특성을요약해야한다. ASE_INT.1.5C TOE 개요는 TOE 유형을식별해야한다. ASE_INT.1.6C ASE_INT.1.7C ASE_INT.1.8C ASE_INT.1.1E ASE_INT.1.2E ASE_INT.1-3 ASE_INT.1-4 ASE_INT.1-5 ASE_INT.1-6 ASE_INT.1-7 TOE 개요는 TOE에서요구되는비-TOE에해당하는하드웨어 / 소프트웨어 / 펌웨어를식별해 ASE_INT.1-8 야한다. TOE 설명은 TOE 의물리적인범위를서술해야한다. TOE 설명은 TOE 의논리적인범위를서술해야한다. 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 평가자는 TOE 참조, TOE 개요, TOE 설명이서로일관성이있음을확인해야한다. ASE_INT.1-9 ASE_INT.1-10 ASE_INT.1-11 비고 나. 준수선언 (ASE_CCL) 본패밀리의목적은준수선언의유효성을결정하는것이다. 또한, 보안목표명세서에서보호프로파일준수를선언하는방법을명세한다

23 [ 표 2-3] ASE_CCL.1 준수선언 공통평가기준컴포넌트엘리먼트설명 ASE_CCL.1.1D 개발자는준수선언을제공해야한다. 개발자는준수선언의이론적근거를제공해 ASE_CCL.1.2D 야한다. ASE_CCL.1 ( 준수선언 ) ASE_CCL.1.1C ASE_CCL.1.2C ASE_CCL.1.3C ASE_CCL.1.4C ASE_CCL.1.5C ASE_CCL.1.6C ASE_CCL.1.7C 공통평가방법론 준수선언은보안목표명세서및 TOE가준수하는공통평가기준의버전을식별하기위해 ASE_CCL.1-1 공통평가기준준수선언을포함해야한다. 공통평가기준준수선언은보안목표명세서의공통평가기준 2부에대한준수선언을 '2부 ASE_CCL.1-2 준수 ' 또는 '2부확장 ' 으로서술해야한다. 공통평가기준준수선언은보안목표명세서의공통평가기준 3부에대한준수선언을 '3부 ASE_CCL.1-3 준수 ' 또는 '3부확장 ' 으로서술해야한다. 공통평가기준준수선언은확장컴포넌트정의와일관성이있어야한다. ASE_CCL.1-4 ASE_CCL.1-5 준수선언은보안목표명세서가준수하는모 ASE_CCL.1-6 든보호프로파일및보안요구사항패키지를 ASE_CCL.1-7 식별해야한다. 준수선언은보안목표명세서의패키지에대한준수선언을 ' 패키지준수 ' 또는 ' 패키지 ASE_CCL.1-8 추가 ' 로서술해야한다. 준수선언의이론적근거는보안목표명세서의 TOE 유형이그보안목표명세서가준수하 ASE_CCL.1-9 는보호프로파일의 TOE 유형과일관성이있음을입증해야한다. 준수선언의이론적근거는보안목표명세서의보안문제정의에대한설명이그보안목표 ASE_CCL.1.8C 명세서가준수하는보호프로파일의보안문제 ASE_CCL.1-10 정의설명과일관성이있음을입증해야한다. 준수선언의이론적근거는보안목표명세서의보안목적에대한설명이그보안목표명세 ASE_CCL.1.9C ASE_CCL.1-11 서가준수하는보호프로파일의보안목적설명과일관성이있음을입증해야한다. 준수선언의이론적근거는보안목표명세서의보안요구사항에대한설명이그보안목표 ASE_CCL.1.10C 명세서가준수하는보호프로파일의보안요구 ASE_CCL.1-12 사항설명과일관성이있음을입증해야한다. ASE_CCL.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 비고

24 다. 보안문제정의 (ASE_SPD) 본패밀리는 TOE 및 TOE 운영환경에서다루어야하는보안문제를정의한다. 보안문제정의에대한평가는 TOE 및 TOE 운영환경에서다루어야하는보안문제가명확히정의되었음을입증하기위해요구되는활동이다. [ 표 2-4] ASE_SPD.1 보안문제정의 공통평가기준컴포넌트엘리먼트설명 ASE_SPD.1.1D 개발자는보안문제정의를제공해야한다. ASE_SPD.1.1C 보안문제정의는위협을서술해야한다. ASE_SPD.1 ( 보안문제정의 ) ASE_SPD.1.2C ASE_SPD.1.3C ASE_SPD.1.4C ASE_SPD.1.1E 모든위협은위협원, 자산, 공격행동의관점에서서술되어야한다. 공통평가방법론 ASE_SPD.1-1 ASE_SPD.1-2 보안문제정의는조직의보안정책 (OSP) 을서 ASE_SPD.1-3 술해야한다. 보안문제정의는 TOE 운영환경에관한가정사항을서술해야한다. 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_SPD.1-4 비고 라. 보안목적 (ASE_OBJ) 보안목적은보안문제정의 (ASE_SPD) 패밀리에서정의된보안문제에대한대응을간결하게서술한것이다. 보안목적에대한평가는보안목적이적절하고완전하게보안문제정의를다루고, TOE와 TOE 운영환경에서발생되는보안문제의분류가명확하게정의됨을입증하기위해요구되는활동이다. 본패밀리내의컴포넌트들은운영환경에대한보안목적만을규정하는지, 또는 TOE 및운영환경에대한보안목적을규정하는지에따라계층화되어있다

25 [ 표 2-5] ASE_OBJ.2 보안목적 공통평가기준공통평가컴포넌트엘리먼트설명방법론개발자는보안목적에대한설명을제공해야 ASE_OBJ.2.1D 한다. 개발자는보안목적의이론적근거를제공해 ASE_OBJ.2.2D 야한다. 보안목적에대한설명은 TOE 보안목적과운 ASE_OBJ.2.1C ASE_OBJ.2-1 영환경에대한보안목적을서술해야한다. ASE_OBJ.2 ( 보안목적 ) ASE_OBJ.2.2C 보안목적의이론적근거는 TOE에대한각보안목적을보안목적에의해대응되는위협 ASE_OBJ.2-2 과보안목적에의해수행되는조직의보안정책으로추적해야한다. 보안목적의이론적근거는운영환경에대한각보안목적을보안목적에의해대응되는위 ASE_OBJ.2.3C 협, 보안목적에의해수행되는조직의보안 ASE_OBJ.2-3 정책, 보안목적에의해지원되는가정사항으로추적해야한다. ASE_OBJ.2.4C ASE_OBJ.2.5C ASE_OBJ.2.6C ASE_OBJ.2.1E 보안목적의이론적근거는보안목적이모든위협에대응함을입증해야한다. 보안목적의이론적근거는보안목적이모든조직의보안정책을수행함을입증해야한다. ASE_OBJ.2-4 ASE_OBJ.2-5 보안목적의이론적근거는운영환경에대한보안목적이모든가정사항을지원함을입증 ASE_OBJ.2-6 해야한다. 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 비고 마. 확장컴포넌트정의 (ASE_ECD) 확장보안요구사항은공통평가기준 2부나 3부의컴포넌트에근거하지않고, 보안목표명세서작성자에의해정의된확장된컴포넌트에근거하는요구사항을의미한다. 확장컴포넌트정의에대한평가는확장된컴포넌트들이명확하고모호하지않으며, 필요여부 ( 예 : 공통평가기준 2부및 3부에정의된기존컴포넌트를사용해서명확히표현될수없는지여부 ) 를결정하기위해요구된다

26 [ 표 2-6] ASE_ECD.1 확장컴포넌트정의 공통평가기준공통평가컴포넌트엘리먼트설명방법론개발자는보안요구사항에대한설명을제공 ASE_ECD.1.1D 해야한다. 개발자는확장컴포넌트정의를제공해야 ASE_ECD.1.2D 한다. 보안요구사항에대한설명은확장된모든 ASE_ECD.1.1C ASE_ECD.1-1 보안요구사항을식별해야한다. ASE_ECD.1 ( 확장컴포넌트정의 ) ASE_ECD.1.2C 확장컴포넌트정의는각각확장된보안요구사항에대한확장컴포넌트를정의해야 ASE_ECD.1-2 한다. 확장컴포넌트정의는각확장컴포넌트가기존의공통평가기준컴포넌트, 패밀리, 클 ASE_ECD.1-3 ASE_ECD.1.3C 래스와어떻게연관되는지를서술해야한 ASE_ECD.1-4 다. ASE_ECD.1.4C ASE_ECD.1.5C ASE_ECD.1.1E ASE_ECD.1.2E ASE_ECD.1-5 ASE_ECD.1-6 확장컴포넌트정의는기존의공통평가기준 ASE_ECD.1-7 컴포넌트, 패밀리, 클래스와방법론을모델 ASE_ECD.1-8 로하여표현해야한다. ASE_ECD.1-9 ASE_ECD.1-10 ASE_ECD.1-11 확장컴포넌트는각엘리먼트에대한준수여부를입증할수있도록측정가능하고객 ASE_ECD.1-12 관적인엘리먼트로구성되어야한다. 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 평가자는확장된컴포넌트가기존의컴포넌트를이용하여명확히표현할수없음을확 ASE_ECD.1-13 인해야한다. 비고 바. 보안요구사항 (ASE_REQ) 보안기능요구사항은 TOE의예상되는보안행동에대한명확하고모호하지않으며잘정의된설명으로구성된다. 보증요구사항은보증을획득하기위해 TOE 내에서취해지는예상되는행동에대한명확하고모호하지않으며잘정의된설명으로구성된다. 보안요구사항에대한평가는보안요구사항이명확하고모호하지않으며잘정의되었음을보장하기위해요구되는활동이다

27 본패밀리내의컴포넌트들은그들이컴포넌트자체로서술되었는지, 또는 TOE 보안목적으로부터도출되었는지에따라계층화되어있다. [ 표 2-7] ASE_REQ.2 보안요구사항 공통평가기준 컴포넌트엘리먼트설명 ASE_REQ.2.1D ASE_REQ.2.2D 개발자는보안요구사항에대한설명을제공해야한다. 개발자는보안요구사항의이론적근거를제공해야한다. 공통평가방법론 비고 ASE_REQ.2 ( 도출된보안요구사항 ) ASE_REQ.2.1C 보안요구사항에대한설명은보안기능요구사항과보증요구사항을서술해야한다. ASE_REQ.2-1 ASE_REQ.2-2 보안기능요구사항및보증요구사항에서사용되는모든주체, 객체, 오퍼레이션, 보안 ASE_REQ.2.2C ASE_REQ.2-3 속성, 외부실체, 기타조건들은정의되어야한다. ASE_REQ.2.3C 보안요구사항에대한설명은보안요구사항에대한모든오퍼레이션을식별해야한다. ASE_REQ.2.4C 모든오퍼레이션은정확히수행되어야한다. ASE_REQ.2.5C ASE_REQ.2.6C ASE_REQ.2.7C ASE_REQ.2.8C ASE_REQ.2.9C ASE_REQ.2.1E ASE_REQ.2-4 ASE_REQ.2-5 ASE_REQ.2-6 ASE_REQ.2-7 ASE_REQ.2-8 보안요구사항의각종속관계는만족되어야하며, 그렇지않을경우에는보안요구사항의 ASE_REQ.2-9 이론적근거에그에대한정당화가제공되어야한다. 보안요구사항의이론적근거는각보안기능요구사항을 TOE에대한보안목적으로추적 ASE_REQ.2-10 해야한다. 보안요구사항의이론적근거는보안기능요구사항이 TOE에대한모든보안목적을만족 ASE_REQ.2-11 한다는것을입증해야한다. 보안요구사항의이론적근거는보증요구사항이선택된이유를설명해야한다. 보안요구사항에대한설명은내부적으로일관성이있어야한다. 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_REQ.2-12 ASE_REQ

28 사. TOE 요약명세 (ASE_TSS) TOE 요약명세는평가자및잠재적인소비자들이 TOE가어떻게구현되어있는지개괄적으로이해할수있게해준다. TOE 요약명세에대한평가는 TOE가다음에대해어떻게적절하게서술되어있으며, - 보안기능요구사항을만족시킴 - 간섭, 논리적침해및우회에대한자체보호 TOE 요약명세가 TOE의다른서술적인설명과일관성이있는지를결정하기위해필요한활동이다. 본패밀리내의컴포넌트들은 TOE 요약명세가 TOE가보안기능요구사항을어떻게만족하는지서술하는것만필요한지또는논리적침해및우회에대한 TOE 자체보호를어떻게서술하는지에따라계층화되어있다. 이러한추가적인설명은 TOE 보안구조와관련된특정상황에서사용될수있다. [ 표 2-8] ASE_TSS.1 TOE 요약명세 공통평가기준 컴포넌트엘리먼트설명 ASE_TSS.1.1D 개발자는 TOE 요약명세를제공해야한다. 공통평가방법론 비고 ASE_TSS.1 (TOE 요약명세 ) ASE_TSS.1.1C ASE_TSS.1.1E TOE 요약명세는 TOE가어떻게각각의보안기능요구사항을만족시키는지서술해야한 ASE_TSS.1-1 다. 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ASE_TSS.1.2E 평가자는 TOE 요약명세가 TOE 개요및 TOE 설명과일관성이있음을확인해야한다. ASE_TSS

29 제 3 절보안목표명세서작성방법 이절에서는보안목표명세서의구성항목별로각각해당되는세부항목에대한작성방법을상세하게다룬다. 1. 보안목표명세서소개작성방법 : 보안목표명세서소개평가 (ASE_INT.1) 평가제출물점검가이드라인 (EAL4) 에서보안목표명세서소개에대한점검사항은다음과같이구성되어있다. [ 표 2-9] 보안목표명세서소개에대한평가제출물점검사항 항목 점검사항 제출내용 적부 [INT.1-1] 보안목표명세서참조, TOE 참조, TOE 개요, TOE 설명포함 [INT.1-2] 보안목표명세서를유일하게식별 [INT.1-3] TOE 식별 [INT.1-4] TOE 참조를오도되지않도록기술 [INT.1-5] TOE 용도및주요보안특징서술 [INT.1-6] TOE 유형식별 [INT.1-7] TOE 유형이오도되지않도록기술 [INT.1-8] TOE 가요구는모든하드웨어 / 소프트웨어 / 펌웨어식별 [INT.1-9] TOE 의물리적범위서술 [INT.1-10] TOE 의논리적범위서술 보안목표명세서소개에대한점검사항을살펴보면다음과같다

30 CC 3 부 ASE_INT.1.1C CEM ASE_INT.1-1 보안목표명세서소개는보안목표명세서참조, TOE 참조, TOE 개요, TOE 설명을포함해야한다. 평가자는보안목표명세서소개가보안목표명세서참조, TOE 참조, TOE 개요, TOE 설명을포함하는지확인해야한다. 보안목표명세서소개에서는크게다음의 3가지를다루어야한다. - 보안목표명세서참조및 TOE 참조 : ST와 TOE 식별하기위한참조 ( 레이블 ) 명시 - TOE 개요 : TOE를간략하게서술 - TOE 설명 : TOE를좀더상세히서술 (1) 보안목표명세서및 TOE 참조 보안목표명세서참조 CC 3 부 ASE_INT.1.2C 보안목표명세서참조는유일하게보안목표명세서를식별해야한다. CEM ASE_INT.1-2 평가자는보안목표명세서참조가보안목표명세서를유일하게식별하는지결정하기위해보안목표명세서참조를조사해야한다. 보안목표명세서를식별함으로써다른보안목표명세서와쉽게구별될수있어야한다. 보안목표명세서에버전및발간날짜등과같은정보를포함시킴으로써하나의 TOE를다루는보안목표명세서간에도버전별로유일하게식별이가능하게된다. 전형적인보안목표명세서참조는제목, 버전, 작성자, 출판날짜로구성된다. 아래예는제목, 버전, 작성자, 출판날짜등으로구성된보안목표명세서참조예이다

31 ST 참조예 제목 : KMACS v for Asianux 2.0 보안목표명세서, Version 1.4 작성자 : Kisa Corp. 발간일 : 2007 년 9 월 17 일 TOE 참조 CC 3 부 ASE_INT.1.3C TOE 참조는 TOE 를식별해야한다. CEM ASE_INT.1-3 평가자는 TOE 참조가 TOE 를식별하는지결정하기위해 TOE 참조를조사해야한다. 보안목표명세서는자신을준수하는 TOE를식별하는 TOE 참조를포함한다. TOE 참조는 TOE의버전 / 발간 / 구축번호또는발간날짜를포함하여 TOE 버전을식별한다. 아래는 TOE 명, TOE 버전, 개발자, 릴리즈날짜등으로구성된 TOE 참조예이다. TOE 참조예제품명 : KMACS v2.0 for Asianux TOE명 : KMACS v for Asianux 2.0 개발자 : ( 주 )Kisa Corp. 릴리즈날짜 : 2007년 4월 18일 보안목표명세서참조와 TOE 참조는보안목표명세서및 TOE의표시및참조를용이하게하고그것들이평가된 TOE/ 제품의목록에포함될수있도록한다

32 작성시주의사항 CEM ASE_INT.1-4 평가자는 TOE 참조가오도되지않았음을결정하기위해 TOE 참조를조사해야한다. TOE가한개이상의잘알려진제품과관련되어있는경우, 이를 TOE 참조에반영해도된다. 하지만이는소비자를오도하는데사용되어서는안된다. 다음과같은경우에는 TOE 유형이소비자를혼동시킬수있다. - 특정 TOE 유형에대해특정한기능성이기대되나사실상그기능성이없는경우 ( 예 : 침입차단시스템유형의 TOE가전세계적으로통용되는프로토콜을지원하지않는경우 ) - TOE가특정한운영환경내에서작동할것으로기대되나그렇지못할경우 ( 예 : 침입차단시스템이그것을통해접속할수있는모든사용자들이악의가없는경우에만안전하게기능할수있는경우 ) 위와같은경우에 TOE 개요는잠재적인소비자들이혼동되지않음을보장할수있는부가적인정보를포함해야한다. (2) TOE 개요 TOE 개요는평가된제품중자신 ( 소비자 ) 들의보안요구에맞으며하드웨어, 소프트웨어, 펌웨어에의해지원되는 TOE를찾는잠재적소비자에게정보를제공하기위한것이다. TOE 개요는다음과같이구성된다. - TOE 개요는 TOE의용도및주요보안특성을간략히서술 - TOE 유형을식별 - TOE에의해요구되는주요하드웨어 / 소프트웨어 / 펌웨어를식별

33 TOE 의용도및주요보안특성 CC 3 부 ASE_INT.1.4C TOE 개요는 TOE 의용도와주요보안특성을요약해야한다. CEM ASE_INT.1-5 평가자는 TOE 개요가 TOE 의용도와주요보안특징을서술하는지결정하기위해 TOE 개요를조사해야한다. TOE 개요는 TOE의용도와주요보안특징을간략하게몇단락으로서술해야한다. TOE의용도및주요보안특성에관한설명은 TOE가어떤기능을하는지, 어떻게사용될수있는지에대해전반적인지식을제공하기위한것이다. TOE 개요는소비자를위해충분히명확하고이들에게 TOE의의도된용도와주요보안특징에대한일반적이해를충분히제공하도록구성해야한다. TOE 의용도및주요보안특성예 TOE 는 KISA Corp. 의운영체제보안시스템인 KMACS v for Asianux 2.0 이다. TOE 는상용운영체제를위한운영체제보안시스템으로, 사용자및자원에등급을부여하고이를기반으로 MAC 정책을제공하는강제적접근통제기능및 ACL(Access Control List) 을기반으로하는임의적접근통제기능을제공하여운영체제의보안성을강화하기위한목적으로사용된다. TOE 유형 CC 3 부 ASE_INT.1.5C TOE 개요는 TOE 유형을식별해야한다. CEM ASE_INT.1-6 평가자는 TOE 개요가 TOE 유형을식별하는지확인해야한다. 침입차단시스템, 가상사설망-침입차단시스템, 스마트카드, 암호화모뎀, 인트라넷, 웹서버, 데이터베이스관리시스템등과같이 TOE의일반적인유형을식별해야한다. 만약, TOE가어떤유형인지쉽게적용할수없는경우에는 없음 이라고기재하면된다

34 TOE 유형식별예 TOE 는상용운영체제의보안성을강화하기위하여강제적접근통제및임의적접근통제기능을제공하는운영체제보안시스템이다. CEM ASE_INT.1-7 평가자는 TOE 유형이오도되지않았음을결정하기위해 TOE 개요를조사해야한다. 일반소비자가 TOE 유형으로인해 TOE가특정운영환경에서운영가능할것이라고기대하는 TOE가존재한다. 그러므로 TOE 유형을식별할때는반드시그기능에적절한유형을식별해야하며, 주로제공하지않는기능의유형으로식별하여오용하면안된다. 다음의예는해당제품이 IPS 로서의역할이크고, 안티바이러스기능을외부제품과연동해야지만동작함에도불구하고아래와같이잘못식별하여오용한예를나타내고있다. TOE 유형식별 - 오용의예 KisaSecure Anti-Virus 는외부의침입방지를하는침입방지기능과외부의안티바이러스제품과연동하는안티바이러스제품이다. 하드웨어 / 소프트웨어 / 펌웨어식별 CC 3 부 CEM ASE_INT.1.6C ASE_INT.1-8 TOE 개요는 TOE 에서요구되는비 -TOE 에해당하는하드웨어 / 소프트웨어 / 펌웨어를식별해야한다. 평가자는 TOE 에서요구되는비 -TOE 에해당하는하드웨어 / 소프트웨어 / 펌웨어를 TOE 가식별하는지결정하기위해, TOE 개요를조사해야한다. 몇몇 TOE는독립적으로실행될수있는반면, 기타 TOE( 특히소프트웨어 TOE) 는운영을위해부가적하드웨어, 소프트웨어또는펌웨어를필요로한다

35 이경우 TOE 개요는이러한평가대상이외의하드웨어 / 소프트웨어 / 펌웨어를식별해야한다. 이식별정보는완전하고상세할필요는없지만, 잠재적인소비자들이 TOE를사용하기위해필요한주요하드웨어 / 소프트웨어 / 펌웨어를결정할수있을정도로충분히완전하고상세해야한다. 하드웨어 / 소프트웨어 / 펌웨어식별예 <KMACS Agent 최소요구사항 > HW : CPU Intel Xeon 1GHz, RAM 1024MB 이상 NIC : 10/100 포트 1 개이상 OS : Asianux 2.0 커널버전 AX <KMACS Manager 최소요구사항 > HW : CPU Pentium 1GHz, RAM 512MB 이상 NIC : 10/100 포트 1 개이상 OS : Windows 2000 Professional SP4 위의예는 TOE가설치되는시스템에대한기술의예이며, TOE가외부의 IT환경의도움이필요한경우이에대한사항도기술되어야한다. TOE가하드웨어나, 소프트웨어, 또는펌웨어를요구하지않는경우, 서술하지않아도된다. (3) TOE 설명 TOE 설명은크게물리적범위와논리적범위로나누어설명을해야한다

36 물리적범위 CC 3 부 ASE_INT.1.7C TOE 설명은 TOE 의물리적인범위를서술해야한다. CEM ASE_INT.1-9 평가자는 TOE 설명이 TOE 의물리적범위를서술하는지결정하기위해 TOE 설명을조사해야한다. TOE 의물리적범위는실제 TOE 를구성하는모든하드웨어 / 펌웨어 / 소프트웨어를식별해야하며, 읽는사람이그구성요소들을이해하기충분할정도로상세히기술되어야한다. 물리적범위와경계예 물리적 TOE 범위에는크게 KMACS 커널모듈과에이전트, 으로나눌수있다. 관리자시스템 커널은...( 중략 )... 기능을하고, 에이전트와시스템 call 에의한통신을한다. 에이전트는... ( 중략 )... 이다

37 논리적범위 CC 3 부 ASE_INT.1.8C TOE 설명은 TOE 의논리적인범위를서술해야한다. CEM ASE_INT.1-10 평가자는 TOE 설명이 TOE 의논리적범위를서술하는지결정하기위해 TOE 설명을조사해야한다. TOE의논리적범위는 TOE의기능별로구분이되어, 읽는사람이각각의기능들을이해하기에충분할정도로상세히기술되어야한다. 이설명은 TOE 개요에서서술되었던주요보안특성설명보다상세해야한다. 논리적범위와경계예 논리적 TOE 범위에는참조모니터기능, 강제적및임의적접근통제기능, 단순해킹방어기능, 식별및인증기능, 보안감사기능, 보안속성및보안데이터관리기능, 무결성점검등의 TSF 보호기능, 보안기능화면인터페이스 (GUI, Graphical User Interface) 및명령인터페이스 (CLI, Command Line Interface) 기능이있다. - 참조모니터기능 :...( 중략 ) ( 중략 )... 참조 CEM ASE_INT.1-11 평가자는 TOE 참조, TOE 개요, TOE 설명이서로일관성이있는지결정하기위해이들을조사해야한다

38 2. 준수선언 : 준수선언평가 (ASE_CCL.1) 평가제출물점검가이드라인 (EAL4) 에서준수선언에대한점검사항은다음과같이구성되어있다. [ 표 2-10] 준수선언에대한평가제출물점검사항 항목 [CCL.1-1] 점검사항준수하는공통평가기준식별 제출내용 적부 [CCL.1-2] ST 에대하여 2 부준수또는 2 부확장을선언 [CCL.1-3] ST 에대하여 3 부준수또는 3 부확장을선언 [CCL.1-4] 공통평가기준 2 부확장컴포넌트정의와일관성 [CCL.1-5] 공통평가기준 3 부확장컴포넌트정의와일관성 [CCL.1-6] 준수선언된모든보호프로파일식별 [CCL.1-7] 준수선언된모든패키지식별 [CCL.1-8] 패키지준수 또는 패키지추가 선언 [CCL.1-9] 준수한보호프로파일의유형과 TOE 유형의일관성 [CCL.1-10] 준수한보호프로파일의보안문제정의와일관성 [CCL.1-11] 준수한보호프로파일의보안목적과일관성 [CCL.1-12] 준수한보호프로파일의보안요구사항과일관성 보안목표명세서준수선언은크게아래의 3가지내용을준수하는방법을서술한다. - 공통평가기준 - 보호프로파일 ( 존재할경우 ) - 패키지 ( 존재할경우 )

39 (1) 공통평가기준준수선언 공통평가기준준수선언 CC 3 부 CEM ASE_CCL.1.1C ASE_CCL.1-1 준수선언은보안목표명세서및 TOE 가준수하는공통평가기준의버전을식별하기위해공통평가기준준수선언을포함해야한다. 평가자는준수선언이보안목표명세서와 TOE 가준수할것을선언한공통평가기준의버전을식별하는공통평가기준준수선언을포함하는지확인해야한다. 공통평가기준준수선언이이보안목표명세서를개발하는데사용된공통평가기준의버전을식별한다. 이는공통평가기준의버전번호를포함해야하고, 공통평가기준의국제영어판이사용되지않았을경우사용된공통평가기준버전의언어를포함해야한다. 아래의예와같이공통평가기준의고시번호와함께공통평가기준의버전번호 ( 필요시, Release 번호명시 ) 를명시한다. 공통평가기준준수선언예 정보보호시스템공통평가기준 ( 정보통신부고시제 호 ) V3.1 준수 2 부에대한준수선언 CC 3 부 CEM ASE_CCL.1.2C ASE_CCL.1-2 공통평가기준준수선언은보안목표명세서의공통평가기준 2 부에대한준수선언을 "2 부준수 " 또는 "2 부확장 " 으로서술해야한다. 평가자는공통평가기준준수선언이보안목표명세서에대한공통평가기준 2 부준수또는공통평가기준 2 부확장의선언을서술하는지확인해야한다. 공통평가기준 2부 ( 보안기능요구사항 ) 에대한준수여부는다음과같이작성한다

40 공통평가기준 2 부 ( 보안기능요구사항 ) 에대한준수여부 2 부준수 2 부확장 보안목표명세서의 SFR이 2부의기능컴포넌트에만기반을둔경우 2부준수 로기재보안목표명세서의 SFR이 2부에없는기능컴포넌트를포함하는경우 2부확장 으로기재 2 부준수선언예 공통평가기준 V3.1 2 부준수 (3) 3 부에대한준수선언 CC 3 부 CEM ASE_CCL.1.3C ASE_CCL.1-3 공통평가기준준수선언은보안목표명세서의공통평가기준 3 부에대한준수선언을 "3 부준수 " 또는 "3 부확장 " 으로서술해야한다. 평가자는공통평가기준준수선언이보안목표명세서에대한공통평가기준 3 부준수또는공통평가기준 3 부확장의선언을서술하는지확인해야한다. 공통평가기준 3 부 ( 보증요구사항 ) 에대한준수여부는다음과같이작성한다. 공통평가기준 3 부 ( 보증요구사항 ) 에대한준수여부 3 부준수 3 부확장 보안목표명세서의 SAR이 3부의보증컴포넌트에만기반을둔경우 3부준수 로기재보안목표명세서의 SAR이 3부에없는보증컴포넌트를포함하는경우 3부확장 으로기재 3 부준수선언예 공통평가기준 V3.1 3 부준수

41 공통평가기준확장컴포넌트정의 CC 3 부 CEM CEM ASE_CCL.1.4C ASE_CCL.1-4 ASE_CCL.1-5 공통평가기준준수선언은확장컴포넌트정의와일관성이있어야한다. 평가자는공통평가기준 2 부에대한공통평가기준준수선언이확장컴포넌트정의와일관성이있는지조사하기위해공통평가기준 2 부에대한공통평가기준준수선언을조사해야한다. 평가자는공통평가기준 3 부에대한공통평가기준준수선언이확장컴포넌트정의와일관성이있는지결정하기위해공통평가기준 3 부에대한공통평가기준준수선언을조사해야한다. 공통평가기준 2부의 SFR이나 3부의 SAR에기반을둔경우각각 2부와 3부에대해서준수선언을한다. 2부나 3부의요구사항이외의추가컴포넌트가필요할경우확장컴포넌트정의 (ASE_ECD) 에추가컴포넌트를식별, 설명하고이곳에서 2부확장혹은 3부확장이라고선언한다. 일반적으로공통평가기준 2부와 3부를준수하는범위에서제출물이작성되는경우가많으며확장컴포넌트를정의하지않는경우가일반적이다. 확장컴포넌트선언예 확장된보안요구사항은존재하지않는다

42 (2) 보호프로파일준수선언 CC 3 부 CEM ASE_CCL.1.5C ASE_CCL.1-6 준수선언은보안목표명세서가준수하는모든보호프로파일및보안요구사항패키지를식별해야한다. 평가자는준수선언이보안목표명세서가준수할것을선언한모든보호프로파일을식별하는보호프로파일선언을포함하는지확인해야한다. 보호프로파일을준수하는경우제목및버전번호또는이보호프로파일소개에포함된식별정보를이용하여참조된모든보호프로파일을식별해야한다. 보호프로파일준수 보호프로파일준수 보호프로파일또는 TOE가특정보호프로파일을만족할경우, 준수결과의일부로기재 보호프로파일에대한부분적인준수선언이허용되지않으며보안목표명세서가보호프로파일준수를선언하지않는경우보호프로파일준수선언을작성하지않아도된다. 보호프로파일선언예 등급기반접근통제시스템보호프로파일 v2.0 (3) 패키지준수선언 CC 3 부 CEM ASE_CCL.1.5C ASE_CCL.1-7 준수선언은보안목표명세서가준수하는모든보호프로파일및보안요구사항패키지를식별해야한다. 평가자는준수선언이보호목표명세서가준수할것을선언한모든패키지를식별하는패키지선언을포함하는지확인해야한다. 패키지명의경우사전에정의된패키지 ( 일반적으로 CC 에서는 EAL 을정의

43 하고있음 ) 준수를선언할수있다. 그러나보안목표명세서가패키지준수를선언하지않는경우패키지준수선언을작성하지않아도된다. CC 3 부 CEM ASE_CCL.1.6C ASE_CCL.1-8 준수선언은보안목표명세서의패키지에대한준수선언을 " 패키지준수 " 또는 " 패키지추가 " 로서술해야한다. 평가자는각식별패키지에대해준수선언이패키지명준수또는패키지명추가의선언을서술하는지확인해야한다. 패키지준수여부는다음과같이작성한다. 패키지 패키지명준수패키지명추가 보안목표명세서는다음과같은경우미리정의된패키지 ( 예 : EAL) 에대해 패키지명준수 로기재. - 보안목표명세서의 SFR이패키지의 SFR과동일한경우 - 보안목표명세서의 SAR이패키지의 SAR과동일한경우보안목표명세서는다음과같은경우미리정의된패키지에대해 패키지명추가 로기재 - 보호프로파일이나보안목표명세서가패키지의 SFR을모두포함하고, 그외에추가적인 SFR을하나라도포함하거나, 패키지의 SFR 보단계층적으로상위에있는 SFR 을포함하는경우 SAR 경우도동일함 위에서언급한바와같이패키지명의경우사전에정의된패키지인 CC에서의 EAL로준수를선언하는것이일반적이다. 패키지준수선언예 본보안목표명세서의보증등급은 EAL4 이다

44 (4) 보호프로파일준수에따른이론적근거 이론적근거에서는보안목표명세서에서보호프로파일의 TOE 유형, 보안문제정의, 보안목적및보안요구사항을준수하고있는지입증해야한다. 보안목표명세서가보호프로파일준수를선언하지않는경우보호프로파일준수에따른이론적근거를작성하지않아도된다. TOE 유형 CC 3 부 CEM ASE_CCL.1.7C ASE_CCL.1-9 준수선언의이론적근거는보안목표명세서의 TOE 유형이그보안목표명세서가준수하는보호프로파일의 TOE 유형과일관성이있음을입증해야한다. 평가자는 TOE 의 TOE 유형이보호프로파일의모든 TOE 유형과일관성이있음을결정하기위해준수선언의이론적근거를조사해야한다. 보안문제정의 CC 3 부 ASE_CCL.1.8C 준수선언의이론적근거는보안목표명세서의보안문제정의에대한설명이그보안목표명세서가준수하는보호프로파일의보안문제정의설명과일관성이있음을입증해야한다. CEM ASE_CCL.1-10 평가자는보호프로파일의준수설명에정의된바와같이보안문제정의설명이준수할것이선언된보호프로파일에서서술한보안문제정의설명과일관성이있음을입증하는지결정하기위해준수선언의이론적근거를조사해야한다

45 보안목적 CC 3 부 ASE_CCL.1.9C 준수선언의이론적근거는보안목표명세서의보안목적에대한설명이그보안목표명세서가준수하는보호프로파일의보안목적설명과일관성이있음을입증해야한다. CEM ASE_CCL.1-11 평가자는보호프로파일의준수설명에서정의한바와같이보안목적설명이보호프로파일의보안목적설명과일관성이있는지결정하기위해준수선언의이론적근거를조사해야한다. 보안요구사항 CC 3 부 CEM ASE_CCL.1.10C ASE_CCL.1-12 준수선언의이론적근거는보안목표명세서의보안요구사항에대한설명이그보안목표명세서가준수하는보호프로파일의보안요구사항설명과일관성이있음을입증해야한다. 평가자는보안목표명세서가보호프로파일의준수설명에서정의한바와같이준수할것이선언된보호프로파일의모든보안요구사항과일관성이있는지결정하기위해보안목표명세서를조사해야한다. 이론적근거작성예 위에서언급한것처럼보안목표명세서가보호프로파일준수를선언하지않는경우이론적근거를작성할필요가없다. 보호프로파일이있을경우대부분보호프로파일과동일하게보안목표명세서에적용하므로다음과같이작성할수있다. 패키지준수선언예 본보안목표명세서는보호프로파일의 TOE 유형, 보안문제정의, 보안목적및보안요구사항을동일하게수용하고있으므로 등급기반접근통제시스템보호프로파일 v2.0 의준수선언은 입증가능한준수 이다

46 3. 보안문제정의 : 보안문제정의평가 (ASE_SPD.1) 평가제출물점검가이드라인 (EAL4) 에서보안문제정의에대한점검사항은다음과같이구성되어있다. [ 표 2-11] 보안문제정의평가제출물점검사항 항목 [SPD.1-1] 위협서술 점검사항 제출내용 적부 [SPD.1-2] 모든위협을위협원, 자산, 공격행동의관점에서서술 [SPD.1-3] 조직의보안정책서술 [SPD.1-4] TOE 운영환경에관한가정사항서술 보안문제정의는보안목표명세서에서다루는보안문제를정의한다. 보안문제의정의를얼마나효과적으로하느냐에따라보안목표명세서의유용성이차이가나므로, 높은수준의보안문제정의를도출하기위해충분한자원을사용하고잘정의된절차와분석을이용하는것은그만한가치가있는일이다. 보안목표명세서에는위협, 조직의보안정책또는가정사항등이없을수도있다. 그러나보안목표명세서에위협이없다면조직의보안정책은반드시포함되어야하며, 조직의보안정책이없을경우에는위협을반드시포함해야한다. TOE가물리적으로분산되어있는경우에는관련된위협, 조직의보안정책, 가정사항을 TOE 운영환경의별개의영역별로분리하여설명하는것이좋다. 보안문제정의에서자산의전체집합을정의하고 TOE 보안기능으로보호하고자하는자산과환경에서가정사항으로보호하는자산을구분할수있도록정의하여야한다. 보호프로파일을수용하였을경우는보호프로파일에서자산을정의하였으므로특별히따로정의할필요는없으나. 보호하고자하는자산의범위가보호프로파일과정확히동일하지않다

47 면, 추가로자산을정의하여야한다. (1) 위협 CC 3 부 ASE_SPD.1.1C 보안문제정의는위협을서술해야한다. CEM ASE_SPD.1-1 평가자는보안문제정의가위협을서술하는지확인해야한다. 위협절에서는 TOE에대한위협이나, TOE 운영환경에대응되는위협을서술한다. 위협은위협원, 자산, 그리고자산에대한위협원의공격행동으로이루어진다. 그러나개발자는 TOE 및운영환경에대응하는위협으로나누어서술할필요는없다. TOE 및운영환경에대응하는위협으로나누어확인하는것은평가자가평가시수행한다. CC 3 부 ASE_SPD.1.2C 모든위협은위협원, 자산, 공격행동의관점에서서술되어야한다. CEM ASE_SPD.1-2 평가자는모든위협이위협원, 자산, 공격행동의관점에서서술되는지결정하기위해보안문제정의를조사해야한다. 위협원이란자산에해를끼치는행동을할수있는실체를말한다. 위협원에는해커, 사용자, 컴퓨터프로세스, TOE 개발자, 재난등이있을수있다. 위협원은전문지식, 자원, 기회, 동기등과같은측면에서더자세히서술될것이다. 위협원은개별실체로서술될수도있으나, 실체의유형, 실체의그룹등으로서술하는것이더나은경우도있다. 공격행동은위협원이자산에대해수행하는행동이며, 이것은자산의가치를발생시키는하나이상의특성에영향을미친다

48 위협예 T. 가장 : 위협원은인가된관리자신원 (ID/Password) 으로가장하여 TOE 에접근할수있다. T. 불법서비스접근 : 위협원은내부망의호스트에허가되지않은서비스에접근하여, 호스트의정상적인서비스제공을방해할수있다. (2) 조직의보안정책 CC 3 부 ASE_SPD.1.3C CEM ASE_SPD.1-3 보안문제정의는조직의보안정책 (OSP) 을서술해야한다. 평가자는보안문제정의가조직의보안정책을서술하는지확인해야한다. 조직의보안정책절에서는 TOE, TOE의운영환경또는그모두에의해수행될조직의보안정책을서술한다. 조직의보안정책은운영환경내의실제또는가정상의조직에의해현재및 / 또는이후에부과되는 ( 또는부과될것으로여겨지는 ) 보안규칙, 절차, 지침을말한다. 조직의보안정책은 TOE의운영환경을통제하는조직에의해결정되기도하고, 정책제정및규정기관에의해결정되기도한다. 조직의보안정책은 TOE 및 / 또는그운영환경에적용될수있다. 조직의보안정책예 P. 감사 : 보안과관련된모든행동에대한책임을추적하기위해보안관련사건은기록및유지되어야하며, 기록된데이터는검토되어야한다. P. 안전한관리 : 인가된관리자는안전한방법으로 TOE 를관리한다. (3) 가정사항

49 CC 3 부 ASE_SPD.1.4C 보안문제정의는 TOE 운영환경에관한가정사항을서술해야한다. CEM ASE_SPD.1-4 평가자는보안문제정의가 TOE 운영환경에관한가정사항을서술하는지결정하기위해보안문제정의를조사해야한다. 가정사항절에서는보안기능성을제공하기위해운영환경에설정된가정사항을서술한다. TOE가가정사항을만족시키지못하는운영환경에설치될경우, TOE는모든보안기능성을제공할수없게될것이다. 가정사항은운영환경의물리적, 인적및연결성측면을포함한다. 가정사항예 A. 물리적보안 : TOE는인가된자만이접근가능한물리적으로안전한환경에위치한다. A. 신뢰된관리자 : TOE의인가된관리자는악의가없으며, TOE 관리기능에대하여적절히교육받았고, 관리자지침에따라의무를수행한다. A. 유일한연결점 : TOE는네트워크상에설치운영되는경우, 네트워크를외부망과내부망으로분기해주며, 외부망과내부망간의모든통신은 TOE 를통해서만이루어진다. 가정사항은운영환경에대해서만설정될수있으며, TOE 행동에대한가정사항은설정될수없다

50 4. 보안목적 : 보안목적평가 (ASE_OBJ.2) 평가제출물점검가이드라인 (EAL4) 에서보안목적에대한점검사항은다음과같이구성되어있다. [ 표 2-12] 보안목적에대한평가제출물점검사항 항목 [OBJ.2-1] 점검사항 TOE 보안목적및운영환경에대한보안목적정의 제출내용 적부 [OBJ.2-2] TOE 보안목적을대응되는위협및 / 또는조직의보안정책으로추적 [OBJ.2-3] 운영환경에대한보안목적에대응되는위협, 조직의보안정책, 가정사항으로추적 [OBJ.2-4] 위협에대하여보안목적의대응과대응의적합함에대한정당성 [OBJ.2-5] 조직의보안정책에대하여보안목적이해당조직의보안정책의수행과이에대한정당성 [OBJ.2-6] 운영환경에대한가정사항에대하여운영환경에대한보안목적이해당가정사항의지원과그지원의적합함에대한정당성 보안목적절은보안문제정의에서서술된문제에대한해결책을간결하고추상적인문장으로표현한다. 보안목적의역할은다음세가지로구분된다. - 보안문제에대해상위수준의자연어로표현된해결책을제공한다. - 이해결책을두부분으로나눈다. 이것은별개의실체가각각보안문제의한부분을다루어야함을나타낸다. - 이렇게두부분으로나뉜해결책이보안문제에대한완전한해결책이됨을입증한다

51 가. 상위수준의해결책 보안목적은많은세부사항을포함하지않고, 보안문제에대한상위수준의해결책을구성하는간결하고명확한문장들로구성된다. 보안목적의추상화수준은관련지식이있는 TOE의잠재적인소비자가읽기에명확하고이해하기쉬운수준을목표로한다. 보안목적은자연어로서술된다. 몇몇보안목적에대해서는더욱정확하고표준화된설명이보안요구사항의일부분으로써제공될것이다. 나. 두부분으로구성된해결책 보안목적에의해서술된보안목표명세서의상위수준의보안해결책은두부분으로나뉜다. 즉, 각각 TOE 보안목적과운영환경에대한보안목적이된다. 이러한구성은보안해결책이 TOE 및그운영환경의두실체에의해제공됨을나타낸다. (1) TOE 보안목적 CC 3 부 ASE_OBJ.2.1C 보안목적에대한설명은 TOE 보안목적과운영환경에대한보안목적을서술해야한다. CEM ASE_OBJ.2-1 평가자는보안목적설명이 TOE 에대한보안목적과운영환경에대한보안목적을서술하는지확인해야한다. TOE는보안문제정의에서서술된문제의특정부분을해결하기위한보안기능성을제공한다. 이해결책을 TOE 보안목적이라고하며, 이는문제를해결하기위해 TOE가달성해야하는목적의집합으로이루어진다

52 CC 3 부 CEM ASE_OBJ.2.2C ASE_OBJ.2-2 보안목적의이론적근거는 TOE 에대한각보안목적을보안목적에의해대응되는위협과보안목적에의해수행되는조직의보안정책으로추적해야한다. 평가자는보안목적의이론적근거가보안목적이대응하는위협및 / 또는보안목적이수행하는조직의보안정책으로 TOE 에대한모든보안목적을추적하는지확인해야한다. TOE에대한각보안목적은위협, 조직의보안정책, 또는위협과조직의보안정책의조합으로추적될수있지만이는반드시적어도하나이상의위협또는조직의보안정책으로추적되어야한다. 추적이되지않을경우보안목적의이론적근거가불완전하거나보안문제정의가불완전하거나혹은 TOE에대한보안목적이유용한목적을갖지않음을의미한다. TOE 보안목적예 O. 가용성 : TOE는우발적또는외부의공격에의해고장이발생시최소한보안기능을유지하여정상적인서비스를제공해야한다. O. 감사 : TOE는보안과관련된행동의책임추적이가능하도록보안관련사건을기록및유지해야하며, 기록된데이터를검토할수있는수단을제공해야한다. O. 관리 : TOE는 TOE의인가된관리자가 TOE를효율적으로관리할수있는관리수단을안전한방법으로제공해야한다. TOE가물리적으로분산되어있는경우에는보안목표명세서에서 TOE 보안목적을설명하는부분을영역별로나누어다루는것이좋다

53 (2) 운영환경에대한보안목적 CC 3 부 CEM ASE_OBJ.2.3C ASE_OBJ.2-3 보안목적의이론적근거는운영환경에대한각보안목적을보안목적에의해대응되는위협, 보안목적에의해수행되는조직의보안정책, 보안목적에의해지원되는가정사항으로추적해야한다. 평가자는보안목적의이론적근거가보안목적이대응하는위협과보안목적이수행하는조직의보안정책, 보안목적이지원하는가정사항으로 TOE 에대한각보안목적을추적하는지확인해야한다. TOE의운영환경은 TOE가 TOE에대한보안목적에서정의된보안기능성을정확히제공할수있도록지원하는기술적 절차적수단을구현한다. 이해결책을운영환경에대한보안목적이라고하며, 이는그운영환경이달성해야하는목적을서술하는문장의집합으로이루어진다. 환경에대한보안목적예 OE. 물리적보안 : TOE는인가된관리자만이접근가능한물리적으로안전한환경에위치해야한다. OE. 보안유지 : 네트워크구성변경, 호스트의증감, 서비스의증감등으로내부네트워크환경이변화될때, 변화된환경과보안정책을즉시 TOE 운영정책에반영하여, 이전과동일한수준의보안을유지해야한다. OE. 신뢰된관리자 : TOE의인가된관리자는악의가없으며, TOE 관리기능에대하여교육을받았고, 관리자지침에따라정확하게의무를수행해야한다. TOE의운영환경이각각특성이다른여러장소로나누어져있을경우에는보안목표명세서에서운영환경에대한보안목적을설명하는부분을각장소별로나누어다루는것이좋다

54 (3) 보안목적에대한이론적근거 CC 3 부 ASE_OBJ.2.4C 보안목적의이론적근거는보안목적이모든위협에대응함을입증해야한다. CEM ASE_OBJ.2-4 평가자는보안목적의이론적근거가각위협을대응하는데보안목적이적합하다는것을정당화하는지결정하기위해보안목적의이론적근거를조사해야한다. 보안목표명세서는보안목적의이론적근거를포함하는데, 이것은다음두부분으로이루어져있다. - 각보안목적이어떤위협, 조직의보안정책, 가정사항을다루는가를보여주는추적성 - 모든위협, 조직의보안정책, 가정사항이보안목적에의해효율적으로다루어진다는정당화의집합 보안목적과보안문제정의간의추적성 추적성은보안목적이어떻게보안문제정의에서술된위협, 조직의보안정책, 가정사항으로추적되는지를보여준다. 여기에는다음세가지규칙이있다. - 비논리적인목적이없을것 : 각보안목적은적어도하나의위협, 조직의보안정책, 또는가정사항으로추적된다. - 보안문제정의와비교하여완전할것 : 각각의위협, 조직의보안정책, 가정사항은그에추적되는보안목적을최소한하나씩가진다. - 정확한추적 : 가정사항은항상 TOE 운영환경에대해설정되므로, TOE 보안목적은가정사항으로추적되지않는다. 허용되는추적성은다음그림에나타나있다

55 ( 그림 2-3) 허용되는보안목적과보안문제정의간추적성 여러개의보안목적이하나의위협으로추적될수도있다. 이경우는그보안목적들의조합이하나의위협에대응하는것이다. 조직의보안정책이나가정사항도마찬가지이다. 추적에대한정당화제공 ( 보안정책및가정사항 ) CC 3 부 ASE_OBJ.2.5C 보안목적의이론적근거는보안목적이모든조직의보안정책을수행함을입증해야한다. CEM ASE_OBJ.2-5 평가자는보안목적의이론적근거가각조직의보안정책을수행하는데보안목적이적합하다는것을정당화하는지결정하기위해보안목적의이론적근거를조사해야한다. CC 3 부 CEM ASE_OBJ.2.6C ASE_OBJ.2-6 보안목적의이론적근거는운영환경에대한보안목적이모든가정사항을지원함을입증해야한다. 평가자는운영환경에대한각가정사항에있어보안목적의이론적근거가운영환경에대한보안목적이가정사항을지원하기에적합하다는적절한정당화를포함하는지결정하기위해보안목적의이론적근거를조사해야한다. 보안목적의이론적근거는추적이효율적이라는것을입증한다. 특정위협 / 조직의보안정책 / 가정사항으로추적되는모든보안목적이달성될경우, 그위협 /

56 조직의보안정책 / 가정사항은대응 / 수행 / 지원된다. 이러한입증은위협에대응하고조직의보안정책을수행하며가정사항을지원하는관련보안목적달성에대한영향을분석하고, 이것이효과가있다는결론을이끌어낸다. T. 가장 : 위협원은인가된관리자로가장하여 TOE 에접근할수있다. 이라는위협에대해, O. 식별및인증 : TOE는사용자를유일하게식별해야하고, 사용자의신원을인증해야한다. 라는 TOE에대한보안목적이있는경우, 이는 위협 T. 가장은보안목적 O. 식별및인증에대응된다. 와같은문장으로추적에대한정당성을제공할수있다. 일반적으로 ST를작성할때는각각의위협 / 조직의보안정책 / 가정사항들에대해대응되는보안목적들을표로추적하는매핑과이에대한정당화 ( 추적에대한정당한논리 ) 를제공한다. 위협에대응 위협에대응한다는것이위협을제거하는것만을의미하는것은아니며, 위협을충분히감소시키거나완화시키는것을모두의미할수있다. 다음은위협을제거하는예이다. - 위협원의공격행동을수행할능력을제거한다. - 공격행동이더이상적용될수없도록자산을이동, 변경, 또는보호한다. - 위협원을제거한다. ( 예 : 빈번하게네트워크를파괴하는장비를네트워크에서제거한다.) 다음은위협을감소시키는예이다. - 위협원의공격행동을수행할능력을제한한다. - 위협원의공격행동을수행할기회를제한한다. - 수행된공격행동이성공할가능성을감소시킨다. - 위협원을저지하여공격행동을수행할동기를감소시킨다. - 위협원에게더많은전문지식또는자원을요구한다

57 다음은위협의효과를완화시키는예이다. - 자산을자주백업한다. - 자산의사본을준비한다. - 자산에대한보험에가입한다. - 성공적인공격행동이항상적시에탐지되고적절한대응이취해짐을보장한다. 이론적근거예

58 5. 확장컴포넌트정의 : 확장컴포넌트정의평가 (ASE_ECD.1) 평가제출물점검가이드라인 (EAL4) 에서확장컴포넌트에대한점검사항은다음과같이구성되어있다. [ 표 2-13] 확장컴포넌트에대한평가제출물점검사항 항목 점검사항 제출내용 적부 [ECD.1-1] [ECD.1-2] [ECD.1-3] [ECD.1-4] [ECD.1-5] [ECD.1-6] [ECD.1-7] [ECD.1-8] [ECD.1-9] [ECD.1-10] [ECD.1-11] [ECD.1-12] 확장컴포넌트의식별확장컴포넌트를정의공통평가기준컴포넌트, 패밀리, 클래스와의관계적용가능한종속관계식별공통평가기준 2부컴포넌트모델사용공통평가기준기능패밀리모델사용공통평가기준기능클래스모델사용공통평가기준 3부컴포넌트모델사용신규보증요구사항에대해적용가능한평가방법론제공공통평가기준보증패밀리모델사용공통평가기준보증클래스모델사용측정가능한엘리먼트, 객관적인평가요구사항 대다수의보안목표명세서는공통평가기준 2부와 3부의컴포넌트를기초하고있으며, 앞에서도언급한것과같이이를준수한다고명시하게된다. 이와같은경우확장컴포넌트정의 (ASE_ECD) 에서추가서술이필요하지않지만, 2부나 3부에기초하지않을경우, 즉준수선언에서 확장 으로선언이된경우본확장컴포넌트정의절에새로운컴포넌트를정의해야한다

59 (1) 확장컴포넌트식별 CC 3 부 ASE_ECD.1.1C CEM ASE_ECD.1-1 보안요구사항에대한설명은확장된모든보안요구사항을식별해야한다. 평가자는확장요구사항으로식별되지않은보안요구사항설명내모든보안요구사항이공통평가기준 2 부또는공통평가기준 3 부에제시되어있는지확인해야한다. (2) 확장컴포넌트정의 CC 3 부 ASE_ECD.1.2C CEM ASE_ECD.1-2 확장컴포넌트정의는각각확장된보안요구사항에대한확장컴포넌트를정의해야한다. 평가자는확장컴포넌트정의가각확장보안요구사항에대한확장컴포넌트를정의하는지확인해야한다. CC 3 부 CEM CEM ASE_ECD.1.3C ASE_ECD.1-3 ASE_ECD.1-4 확장컴포넌트정의는각확장컴포넌트가기존의공통평가기준컴포넌트, 패밀리, 클래스와어떻게연관되는지를서술해야한다. 평가자는확장컴포넌트정의가각확장컴포넌트와기존공통평가기준의컴포넌트, 패밀리, 클래스와의관련방식을서술하는지결정하기위해확장컴포넌트정의를조사해야한다. 평가자는확장컴포넌트의각정의가이컴포넌트의적용가능한모든종속관계를식별하는지결정하기위해확장컴포넌트정의를조사해야한다. 확장컴포넌트는컴포넌트수준의확장, 패밀리수준의확장, 클래스수준의확장으로구분된다. 컴포넌트수준의확장 패밀리수준의확장 클래스수준의확장 CC의기존클래스 / 패밀리구조안에포함하여기술 CC의기존클래스안에 CC와동일한구성의패밀리구조를만들고그안에컴포넌트를포함하여기술 CC 와동일한구조 ( 클래스 / 패밀리 / 컴포넌트 ) 로기술

60 컴포넌트, 패밀리, 클래스와방법론 CC 3부 CEM CEM CEM CEM CEM ASE_ECD.1.4C ASE_ECD.1-5 ASE_ECD.1-6 ASE_ECD.1-7 ASE_ECD.1-8 ASE_ECD.1-9 확장컴포넌트정의는기존의공통평가기준컴포넌트, 패밀리, 클래스와방법론을모델로하여표현해야한다. 평가자는확각확장기능컴포넌트가기존공통평가기준의컴포넌트를표현모델로사용하는지결정하기위해확장컴포넌트를조사해야한다. 평가자는신규기능패밀리의각정의가기존공통평가기준의기능패밀리를표현모델로사용하는지결정하기위해확장컴포넌트정의를조사해야한다. 평가자는신규기능클래스의각정의가기존공통평가기준의기능클래스를표현모델로사용하는지결정하기위해확장컴포넌트정의를조사해야한다. 평가자는확장보증컴포넌트의각정의가기존공통평가기준 3 부의컴포넌트를표현모델로사용하는지결정하기위해확장컴포넌트정의를조사해야한다. 평가자는각각의정의된확장보증컴포넌트에대해적용가능한방법론이제공되는지결정하기위해확장보증컴포넌트정의를조사해야한다. CEM CEM ASE_ECD.1-10 ASE_ECD.1-11 평가자는신규보증패밀리의각정의가기존공통평가기준의보증패밀리를표현모델로사용하는지결정하기위해확장컴포넌트정의를조사해야한다. 평가자는신규보증클래스의각정의가기존공통평가기준의보증클래스를표현모델로사용하는지결정하기위해확장컴포넌트정의를조사해야한다

61 엘리먼트에대한준수여부 CC 3 부 ASE_ECD.1.5C 확장컴포넌트는각엘리먼트에대한준수여부를입증할수있도록측정가능하고객관적인엘리먼트로구성되어야한다. CEM ASE_ECD.1-12 평가자는각확장컴포넌트의각엘리먼트가측정가능하고객관적평가요구사항을서술하여준수또는비준수하는지를입증할수있는지결정하기위해확장컴포넌트정의를조사해야한다. 참고 CEM ASE_ECD.1-13 평가자는각확장컴포넌트가기존컴포넌트를사용하여명확히표현되지못함을결정하기위해확장컴포넌트를조사해야한다

62 6. 보안요구사항 : 도출된보안요구사항평가 (ASE_REQ.2) 평가제출물점검가이드라인 (EAL4) 에서도출된보안요구사항에대한점검사항은다음과같이구성되어있다. [ 표 2-14] 보안요구사항에대한평가제출물점검사항 항목 점검사항 제출내용 적부 [REQ.2-1] 보안기능요구사항 (SFR) 서술 [REQ.2-2] 보증요구사항 (SAR) 서술 [REQ.2-3] SFR 및 SAR에서사용되는모든주체, 객체, 오퍼레이션, 보안속성, 외부실체및기타조건정의 [REQ.2-4] 보안요구사항에대한모든오퍼레이션을식별 [REQ.2-5] 할당오퍼레이션의정확한수행 [REQ.2-6] 반복오퍼레이션의정확한수행 [REQ.2-7] 선택오퍼레이션의정확한수행 [REQ.2-8] 정교화오퍼레이션의정확한수행 [REQ.2-9] 종속관계에대한정당화 [REQ.2-10] 각 SFR 을 TOE 보안목적으로추적 [REQ.2-11] TOE 보안목적을만족하는 SFR 의적합성 [REQ.2-12] SAR 선택의이유 [REQ.2-13] 보안요구사항의내부적일관성 보안요구사항은두그룹으로구성된다. - 보안기능요구사항 (SFR): TOE 보안목적을표준화된언어로표현한것 - 보증요구사항 (SAR): TOE가보안기능요구사항을만족시키는보증이어떻게얻어지는지에대한설명

63 (1) 보안기능요구사항 (SFR) CC 3 부 ASE_REQ.2.1C CEM ASE_REQ.2-1 보안요구사항에대한설명은보안기능요구사항과보증요구사항을서술해야한다. 평가자는보안요구사항설명이 SFR 을서술하는지확인해야한다. 보안기능요구사항은 TOE 보안목적을달성하기위한 TOE의보안기능요구사항이정의된것이다. 보안기능요구사항은보통상세한추상화수준으로서술되지만, TOE 보안목적을완전히다루어야한다. 공통평가기준은다음과같은이유로이러한변환이표준화된언어로작성되어야한다. - 평가대상에대한정확한설명을제공한다. TOE 보안목적은대부분자연어로표현되는데, 이를표준화된언어로옮기는것은 TOE의기능성을더정확히설명할수있다. - 두보안목표명세서의비교를가능하게한다. 두보안목표명세서작성자가보안목적을서술하는데서로다른용어를사용할수있지만, 표준화된언어는같은용어와개념을사용하도록강제하므로비교를용이하게한다. 운영환경은평가대상이아니기때문에운영환경에대한보안목적을표준화된언어로표현할필요는없다. 운영환경의일부가다른평가의대상이될수있는데, 이는현재의평가범위를벗어나는사항이다. 예를들어운영체제 TOE가운영환경내에침입차단시스템을요구하고다른평가에서그침입차단시스템을평가할수있으나, 이평가는운영체제 TOE와는관련이없는것이다. 표준화된언어로의표현을위해다음세가지의방법으로서술해야한다. - 평가대상을정확하게서술할수있는미리정의된간결한 언어 제공 : 공통평가기준 2부에서정의된컴포넌트를이용하여서술하여야한다. 몇몇예외를제외하고는 TOE 보안목적을보안기능요구사항 (SFR) 으로표현할때이언어의사용은필수적이다. - 오퍼레이션을정확히수행하여야한다 : 오퍼레이션은보안기능요구사항을

64 수정하여 TOE 보안목적을더정확히표현할수있도록하는메커니즘이다. 공통평가기준은할당, 선택, 반복, 정교화의네가지오퍼레이션을포함한다. - 종속관계를만족하여야한다 : 종속관계는보안기능요구사항을더욱완전하게표현할수있게지원하는메커니즘이다. 공통평가기준 2부에서, 하나의보안기능요구사항은다른보안기능요구사항에대해종속관계를가질수있다. 이것은곧보안목표명세서가어떤보안기능요구사항을사용하면, 다른보안기능요구사항도사용할필요가있다는의미가된다. 이렇게보안목표명세서작성자가필요한보안기능요구사항을누락시킬가능성이적어지면보안목표명세서의완전성이증대된다. (2) 보증요구사항 (SAR) CC 3 부 ASE_REQ.2.1C CEM ASE_REQ.2-2 보안요구사항에대한설명은보안기능요구사항과보증요구사항을서술해야한다. 평가자는보안요구사항설명이 SAR 을서술하는지확인해야한다. 보증요구사항은 TOE가평가되는방법에대한서술이다. 이는다음과같은이유로표준화된언어를사용한다. - TOE가평가되는방법에대한정확한설명을제공한다. 표준화된언어는정확한설명을가능하게하며, 모호한의미를없앤다. - 두보안목표명세서의비교를가능하게한다. 두보안목표명세서작성자가평가를서술하는데서로다른용어를사용할수있지만, 표준화된언어는같은용어와개념을사용하도록요구함으로써비교를용이하게해준다. 표준화된언어는공통평가기준 3 부에서정의된컴포넌트의집합으로정의된다

65 보안기능요구사항및보증요구사항작성시주의사항 CC 3 부 ASE_REQ.2.2C 보안기능요구사항및보증요구사항에서사용되는모든주체, 객체, 오퍼레이션, 보안속성, 외부실체, 기타조건들은정의되어야한다. CEM ASE_REQ.2-3 평가자는 SFR 및 SAR 에서사용되는모든주체, 객체, 오퍼레이션, 보안속성, 외부개체및기타용어들이정의되어있는지결정하기위해보안목표명세서를조사해야한다. CC 3 부 ASE_REQ.2.3C 보안요구사항에대한설명은보안요구사항에대한모든오퍼레이션을식별해야한다. CEM ASE_REQ.2-4 평가자는보안요구사항의설명이보안요구사항의모든오퍼레이션을식별하는지확인해야한다. CC 3 부 ASE_REQ.2.4C 모든오퍼레이션은정확히수행되어야한다. CEM CEM CEM CEM ASE_REQ.2-5 ASE_REQ.2-6 ASE_REQ.2-7 ASE_REQ.2-8 평가자는모든할당오퍼레이션이정확하게수행되는지결정하기위해보안요구사항의설명을조사해야한다. 평가자는모든반복오퍼레이션이정확하게수행되는지결정하기위해보안요구사항의설명을조사해야한다. 평가자는모든선택오퍼레이션이정확하게수행되는지결정하기위해보안요구사항의설명을조사해야한다. 평가자는모든정교화오퍼레이션이정확하게수행되는지결정하기위해보안요구사항의설명을조사해야한다. 보안요구사항에서사용되는모든주체, 객체, 오퍼레이션, 보안속성, 외부개체및기타용어들이명확히정의되어야한다. 또한보안요구사항의일부로정의되는것이아니라전체적인보안요구사항의관점에서정의되어야한다

66 (3) 보안기능요구사항및보증요구사항의이론적근거 보안목표명세서는특정보증요구사항의집합이적절하다고판단되는이유를설명하는보안요구사항의이론적근거를포함한다. 이설명의형식에는특정한규칙이없다. TOE와 TOE 개발환경에대한상세한위험분석에대해 없음 이나 보호프로파일또는국가법에서규정하므로 등으로설명될수있다. 이설명의목적은보안목표명세서를읽는사람이왜특정집합이선택되었는지를이해할수있도록하는것이다. 추적성은보안기능요구사항이어떻게 TOE 보안목적으로추적되는지를보여준다. 여기에는다음두가지규칙이있다. - 비논리적인보안기능요구사항이없을것 : 각보안기능요구사항은적어도하나의보안목적으로추적된다. - TOE 보안목적과비교하여완전할것 : 각 TOE 보안목적은그에추적되는보안기능요구사항을최소한하나씩가진다. 여러개의보안기능요구사항이하나의 TOE 보안목적으로추적될수도있다. 이경우는그보안기능요구사항들의조합이하나의 TOE 보안목적을만족시키는것이다. 보안요구사항의이론적근거는추적이효율적이라는것을입증한다. 특정 TOE 보안목적으로추적되는모든보안기능요구사항이만족될경우, 그 TOE 보안목적은달성된다. 이러한입증은 TOE 보안목적을달성하는관련보안기능요구사항을만족시키는것에대한영향을분석하고, 이것이효과가있다는결론을이끌어낸다. 보안기능요구사항이 TOE 보안목적과매우유사할경우에는입증이간단해진다. 보증요구사항은보안목표명세서의나머지부분과일관성이있어야한다. 일관되지않는예로는, 보안문제정의에서위협원의공격능력이매우높다고

67 언급되고, 보증요구사항에낮은수준의취약성분석패밀리 (AVA_VAN) 가포함되는경우, 또는취약성분석패밀리가포함되지않는경우등이다. 일반적으로보증요구사항에대한이론적근거는 EAL 등급선택에대한이론적근거라말할수있다. 종속관계에대한이론적근거 CC 3 부 ASE_REQ.2.5C 보안요구사항의각종속관계는만족되어야하며, 그렇지않을경우에는보안요구사항의이론적근거에그에대한정당화가제공되어야한다. CEM ASE_REQ.2-9 평가자는보안요구사항의각종속관계는만족되며그렇지않은경우보안요구사항의이론적근거가이종속관계의불만족을정당화하는지결정하기위해보안요구사항의설명을조사해야한다. 종속관계에대한이론적근거에서는기능컴포넌트의종속관계와보증요구사항에대한종속관계를표현한다. 먼저기능컴포넌트에대한종속관계는다음과같이표현할수있다. 종속관계에대한이론적근거예

68 다음으로보증요구사항에대한종속관계는공통평가기준에서제공하는각보증패키지를사용하였을경우이미만족되어있으므로이를이론적근거로제시하면된다. 보안기능요구사항의이론적근거 CC 3 부 ASE_REQ.2.6C 보안요구사항의이론적근거는각보안기능요구사항을 TOE 에대한보안목적으로추적해야한다. CEM ASE_REQ.2-10 평가자는보안요구사항의이론적근거가 TOE 에대한보안목적으로각 SFR 을추적하는지확인해야한다. CC 3 부 ASE_REQ.2.7C 보안구사항의이론적근거는보안기능요구사항이 TOE 에대한모든보안목적을만족한다는것을입증해야한다. CEM ASE_REQ.2-11 평가자는 TOE 에대한각보안목적에있어보안요구사항의이론적근거가 SFR 이 TOE 의보안목적을충족시키기에적합하다는것을입증하는지결정하기위해보안요구사항의이론적근거를조사해야한다. TOE 보안기능요구사항의이론적근거는다음을입증한다. - 각 TOE 보안목적은적어도하나의 TOE 보안기능요구사항에의해서다루어진다. - 각 TOE 보안기능요구사항은적어도하나의 TOE 보안목적을다룬다

69 보안요구사항에대한이론적근거예 보증요구사항의이론적근거 CC 3 부 ASE_REQ.2.8C 보안요구사항의이론적근거는보증요구사항이선택된이유를설명해야한다. CEM ASE_REQ.2-12 평가자는보안요구사항의이론적근거가 SAR 의선택이유를설명하는지확인해야한다. 보안목표명세서의보증등급과보호프로파일의준수등을보증요구사항의이론적근거로제시할수있다. 참고 : 보안요구사항설명의일관성 CC 3 부 ASE_REQ.2.9C 보안요구사항에대한설명은내부적으로일관성이있어야한다. CEM ASE_REQ.2-13 평가자는보안요구사항의설명이내부적으로일관성이있는지결정하기위해보안요구사항의설명을조사해야한다

70 (4) 보안요구사항 : 결론 보안목표명세서의보안문제정의에서보안문제는위협, 조직의보안정책및가정사항으로구성된다고서술하였다. 보안목적절에서는그에대한해결책이두가지형태로제공된다. - TOE에대한보안목적 - 운영환경에대한보안목적 추가적으로, 모든보안목적이달성되면보안문제가해결됨을증명하는보안목적의이론적근거가제공된다. 보안문제가해결된다는것은모든위협이대응되고, 모든조직의보안정책이수행되고, 모든가정사항이지원됨을의미한다. ( 그림 2-4) 보안문제정의, 보안목적, 보안요구사항간관계 보안목표명세서의보안요구사항절에서 TOE 보안목적은보안기능요구사항으로표현되며, 모든보안기능요구사항이만족되면모든 TOE 보안목적이달성됨을증명하는보안요구사항의이론적근거가제공된다. 또한, TOE를평가하는방법을보여주는보증요구사항의집합이그집합의선택에대한설명과함께제공된다

71 위에서술된모든사항들이조합되어다음과같은결론을얻을수있다. 모든보안기능요구사항및보증요구사항이만족되고모든운영환경에대한보안목적이달성되면, 보안문제정의패밀리 (ASE_SPD) 에정의된보안문제가해결된다는보증, 즉모든위협이대응되고, 모든조직의보안정책이수행되고, 모든가정사항이지원된다는보증을얻을수있다. 이는 ( 그림 2-4) 에도식화되어있다. 얻을수있는보증의양은보증요구사항에의해정의되며, 그양이충분한지의여부는보증요구사항의선택에대한설명에의해정의된다

72 7. TOE 요약명세 : TOE 요약명세평가 (ASE_TSS.1) 평가제출물점검가이드라인 (EAL4) 에서 TOE 요약명세에대한점검사항은다음과같이구성되어있다. [ 표 2-15] TOE 요약명세에대한평가제출물점검사항 항목 점검사항 제출내용 적부 [TSS.1-1] TOE 가각 SFR 을만족하는기능기술 TOE 요약명세의목적은 TOE의잠재적인소비자에게 TOE가모든보안기능요구사항을만족시키는방법을설명하는것이다. CC 3 부 ASE_TSS.1.1C CEM ASE_TSS.1-1 TOE 요약명세는 TOE 가어떻게각각의보안기능요구사항을만족시키는지서술해야한다. 평가자는 TOE 요약명세가 TOE 의각 SFR 을충족하는방식에대해서술하는지결정하기위해 TOE 요약명세를조사해야한다. TOE 요약명세는 TOE가이러한목적을위해사용하는일반적인기술메커니즘을제공해야한다. 이설명은잠재적인소비자들이 TOE의일반적인형태및구현을이해할수있는상세수준으로이루어져야한다. 예를들어, TOE가인터넷 PC이고보안기능요구사항이인증을명세하기위해 FIA_UAU.1 컴포넌트를포함할경우, TOE 요약명세는이인증이이루어지는방법을패스워드, 토큰, 홍채인식등으로표시해야한다. 보안기능요구사항을만족시키기위해 TOE가사용하는적용가능한표준과같은부가적인정보나, 더상세한설명도제공될수있다

73 CEM ASE_TSS.1-2 평가자는 TOE 요약명세가 TOE 개요및 TOE 설명과일관성있는지결정하기위해 TOE 요약명세를조사해야한다. TOE 개요, TOE 설명, TOE 요약명세는서술형식으로써점차상세하게 TOE를설명한다. 따라서이들서술은일관될필요가있다

74 제 4 절보안목표명세서작성예제 공통평가기준은보안목표명세서요구사항을표현하는데표준화된작성양식을규정하고있지않다. 본절에서는보안목표명세서작성에참고할수있도록상용운영체제보안시스템인 제품에대한보안목표명세서작성예제의일부분을제시한다. 운영체제보안시스템은 국가기관용다중등급기반접근통제시스템보호프로파일 을준수한 KMACS (KISA Multi-level Access Control System) 로가칭하며제조사는주식회사키사코오퍼레이션 (KISACO) 로가정한다. (" " 은작성시유의또는참고해야할사항임 ) 1. 보안목표명세서소개작성예제 보안목표명세서소개는 3단계의추상화수준 ( 즉, 보안목표명세서 /TOE 참조, TOE 개요, TOE 설명 ) 에서 TOE를서술식으로기술한다. 가. 보안목표명세서참조 (ST reference) o 제목 : KMACS v for Asianux 2.0 보안목표명세서, Version 1.4 o 작성자 : KISA Corp. o 발간일 : 2007년 9월 17일 o 주요단어 : 운영체제보안시스템, 등급기반강제적접근통제, 임의적접근통제 나. TOE 참조 (TOE reference) o 제품명 : KMACS v2.0 for Asianux o TOE 명 : KMACS v for Asianux 2.0 o 릴리즈날짜 : 2007년 04월 18일 o 개발자 : KISA Corp. o 운영체제식별 : Asianux 2.0 ( AX)

75 다. TOE 개요 (TOE Overview) TOE 는 KISA Corp. 의운영체제보안시스템인 KMACS v for Asianux 2.0 이다. TOE 는상용운영체제를위한운영체제보안시스템으로, 사용자및자원에등급을부여하고이를기반으로 MAC 정책을제공하는강제적접근통제기능및 ACL(Access Control List) 을기반으로하는임의적접근통제기능을제공하여운영체제의보안성을강화하기위한목적으로사용된다. TOE는논리상보안기능처리부분과보안관리부분으로구성된다. - 보안기능처리부분 : KMACS Agent - 보안관리부분 : KMACS Manager TOE의보안기능처리부분인 KMACS Agent는보호대상인각운영체제에탑재되며강제적접근통제와임의적접근통제등을수행하는커널부분과기타보안기능을처리하는응용부분으로구성되며, KMACS Manager는 KMACS Agent에대한보안정책수립, 감사데이터조회등의보안관리자를위한 GUI를제공한다. 본평가제품은다음과같은구성으로운영된다

76 본 TOE를운영하기위한하드웨어및소프트웨어요구사항은다음과같 다. 구분 KMACS Agent KMACS Manager Software Asianux 2.0 ( AX) Windows 2000 Professional SP4 Hardware CPU: AMD Opteron Processor Intel Pentium IV Processor CPU: Pentium III 600 MHz 이상 Intel Xeon Processor RAM: 256 MB 이상 Intel Itanium2 Processor HDD: 50 MB 이상 RAM: 512MB 이상 Network: 10/100BaseT HDD: 200MB 이상 Network: 10/100BaseT Asianux 2.0 운영체제는다중사용자 (muit-user), 다중작업 (multi-tasking) 을지원하는리눅스배포판의한종류로한국, 중국, 일본의리눅스개발회사가공동으로개발한상용리눅스제품이다. Asianux 2.0 은리눅스커널 버전을기반으로개발되었으며, 배포판커널버전은 AX 이다. Asianux는다양한하드웨어플랫폼에서구동이가능한데, 32-bit 플랫폼으로는 Intel Pentium CPU를장착한하드웨어, 64-bit 플랫폼으로는 AMD Opetron, Intel Xeon 및 Intel Itanium2 CPU를장착한하드웨어를지원한다. 또한, IBM PowerPC CPU 버전도가지고있다. KMACS v2.0은다음과같은주요기능을제공한다. - 등급기반의강제적접근통제 (MAC, Mandatory Access Control) 기능 - ACL 기반의임의적접근통제 (DAC, Discretionary Access Control) 기능 [ 추가작성 ]

77 라. TOE 설명 (TOE Description) 본장에서는평가대상의물리적범위와논리적범위를설명한다. 1) 물리적범위 TOE 는 KMACS v for Asianux 2.0 이며, 보안기능처리부인 KMACS Agent 와보안관리부인 KMACS Manager 로구성된소프트웨어이다. KMACS Agent 는식별및인증, 감사수집및저장, 로컬보안관리및통신등의보안기능을수행하는응용부분과참조모니터, 파일시스템접근통제등의보안기능을수행하는커널부분으로구성된다. KMACS Manager 는여러 KMACS Agent 에대한통합보안관리기능을수행한다. TOE 의물리적인범위와경계는다음그림과같다. [ 추가작성 ]

78 2) 논리적범위 TOE 의논리적범위와경계는다음그림과같다. i). 접근통제등급기반강제적접근통제 : 객체에대한주체의읽기및쓰기오퍼레이션에대하여주체와객체의등급기반으로접근통제가강제되는부분으로주체생성시보안속성부여및객체생성시주체보안속성상속, 객체삭제시보안속성회수기능이제공된다. 실행허용후속성재설정목록에의해목록에등록된프로그램이실행되었을때등급기반강제적접근통제를우회하여실행을허용해주며목록에명시된보안속성으로재설정해준다. [ 추가작성 ]

79 ii) 식별및인증 Agent 식별및인증기능 : 보안관리자가 Manager를통하여접속하거나보안사용자가보안속성이부여된파일에접근하기위하여보안패스워드에의해식별및인증되어야한다. [ 추가작성 ] iii) 보안감사감사데이터생성및수집 : 커널및보안관리부분에서생성한보안로그, 시스템로그및 IP Filter 로그를수집하여저장한다. [ 추가작성 ] iv) 보안관리보안기능개시및중지처리 : 보안관리자의접근통제, 감사데이터등의보안기능의개시및중지요청을처리한다. [ 추가작성 ] v) TSF 보호 추상기계및 TSF 운영시험처리 : Agent 의상태와 Agent 가운영중인시스템의상태를파악하는기능을처리한다. [ 추가작성 ] 마. 작성규칙 (Conventions) 본보안목표명세서는일부약어및명확한의미전달을위해영어를혼용한다. 사용된표기법, 형태, 작성규칙은정보보호시스템공통평가기준 ( 정보통신부고시제 호 )( 이하공통평가기준이라한다 ) 을따른다. 공통평가기준은보안기능요구사항에서수행될수있는선택, 할당, 정교화, 반복오퍼레이션을허용한다

80 반복오퍼레이션을다양하게적용하여하나의컴포넌트를여러번반복할경우사용된다. 반복오퍼레이션의결과는컴포넌트식별자뒤에괄호안의반복번호즉, ( 반복번호 ) 로표시된다. 예를들면, FAU_SAR.3(1), FAU_SAR.3(2) [ 추가작성 ] 바. 용어정의 (Terminology) 본보안목표명세서에서정의된용어는등급기반접근통제시스템에국한되며, 공통평가기준에사용된용어와동일한것은별도로정의하지않고공통평가기준을따른다. 강제적접근통제 (MAC, Mandatory Access Control) 객체의중요도레이블및주체의접근권한에기반하여접근을통제하는방식을말하며, 공통평가기준에서는 B&L(Bell and La Padula) 보안모델을예로들고있음 [ 추가작성 ] 사. ST 구성 (Structure) 1장은보안목표명세서소개로보안목표명세서참조, TOE 참조, TOE 개요및 TOE 설명정보를제공한다. 2장은준수선언으로공통평가기준, 보호프로파일, 패키지에대한준수를선언한다. [ 추가작성 ]

81 2. 준수선언작성예제 준수선언은본보안목표명세서가어떠한방식으로공통평가기준 (CC), 보호프로파일및패키지를준수하고있는지를서술한다. 가. CC 준수 (CC Conformance) 본보안목표명세서는정보보호시스템공통평가기준 ( 정보통신부고시제 호 ) V3.1을준수하고있으며, 확장된보안요구사항은존재하지않는다. - 공통평가기준 V3.1(Release 1) 2부준수 - 공통평가기준 V3.1(Release 1) 3부준수나. 보호프로파일준수 (PP claim) < 보호프로파일을준수하는경우 > 본보안목표명세서는다음보호프로파일을엄격하게준수한다. 즉, 본보안목표명세서는보호프로파일내에있는모든서술문을포함해야하며, 별도의서술을포함하여작성된다. - 등급기반접근통제시스템보호프로파일 v2.0 < 보호프로파일을준수하지않는경우 > 본보안목표명세서는준수하는보호프로파일이없다. 다. 패키지준수 (Package claim) 본보안목표명세서는다음과같은보증요구사항패키지를준수한다. - 보증패키지 : EAL4 준수 라. 준수선언의이론적근거 (Conformance Rationale) < 보호프로파일의엄격한준수 > 본보안목표명세서는보호프로파일의 TOE 유형, 보안문제정의, 보안목적및보안요구사항을동일하게수용하고있으므로보호프로파일을엄격히준수하고있음을입증한다

82 < 보호프로파일의입증가능한준수 > 본보안목표명세서는보호프로파일의 TOE 유형, 보안문제정의, 보안목적및보안요구사항에대하여보호프로파일을엄격히준수하고있으며보안문제정의는입증가능한준수를요구하고있다. 보안목표명세서의보안문제정의는보호프로파일의것과동등하며다음조건을만족한다. - 보안목표명세서의보안문제정의를만족시키는 TOE는모두보호프로파일의보안문제정의또한만족시킨다. - 보호프로파일의보안문제정의를만족시키는운영환경은모두보안목표명세서의보안문제정의또한만족시킨다. < 보호프로파일을준수하지않는경우 > 본보안목표명세서는다른보호프로파일을준수하지않았으므로, 준수선언의이론적근거기술은필요하지않다

83 3. 보안문제정의작성예제 보안문제정의는위협원에의해 TOE 자산이나환경에가해질수있는위협, 보안을위해 TOE 가따라야하는규칙, 절차, 관행, 지침인조직의보안정책, TO E 환경에대한보안성을서술하는가정사항으로구성된다. 가. 위협 (Threats) 위협원은일반적으로 TOE가보호하고자하는자산에불법적인접근을시도하거나비정상적인방법으로자산에위해를가하는 IT 실체및사용인이다. TOE에대한위협원은낮은수준의전문지식, 자원, 동기를가진다. 1) TOE 에대한위협 T. 결함코드개발자는명세서에따라서수행되지않거나보안상의결함이있는코드를포함하여 TOE를취약하게할수있다. [ 추가작성 ] 2) TOE 운영환경에대한위협 TE. 관리부실 인가된관리자는 TOE 를안전하지않은방식으로구성, 관리, 사용될수있다. [ 추가작성 ] 나. 조직의보안정책 (OSP) 본절에서기술하는조직의보안정책은본보안목표명세를수용하는 TOE에서준수되어야한다

84 P. 감사보안과관련된모든행동에대한책임을추적하기위해보안관련사건은기록및유지되어야되며, 기록된데이터는검토되어야한다. [ 추가작성 ] 다. 가정사항 (Assumptions) 다음의조건들이본보안목표명세를수용하는 TOE 운영환경에존재한다고가정한다. 1) 보호프로파일과동일한가정사항 A. 물리적보안 TOE는물리적으로안전한환경에위치하며, 인가되지않은물리적변경으로부터보호된다. [ 추가작성 ] 2) 추가된가정사항 다음은본보안목표명세서에서추가된가정사항이다. A. SSL 프로토콜 TOE에서 Agent와 Manager간의안전한통신을위해 openssl을사용하여구현한 SSL(Secure Socket Layer) 프로토콜은안전하다. [ 추가작성 ]

85 4. 보안목적작성예제 본보안목표명세서는보안목적을 TOE 보안목적및운영환경에대한보안목적으로분류하여정의한다. TOE 보안목적은 TOE에의해서직접적으로다루어지는보안목적이고, 운영환경에대한보안목적은 IT 영역이나비기술적 / 절차적수단에의해다루어지는보안목적이다. 가. TOE 보안목적 다음은 TOE 에의해직접적으로다루어져야하는보안목적이다. O. 감사 TOE는보안과관련된모든행동의책임추적이가능하도록보안관련사건을기록및유지해야하며, 기록된데이터를검토할수있는수단을제공해야한다. [ 추가작성 ] 나. 운영환경에대한보안목적 다음은 IT 영역또는비기술적 / 절차적수단에의해달성하려는보안목표이다. OE. 물리적보안 TOE는인가된관리자만이접근가능한물리적으로안전한환경에위치해야한다. [ 추가작성 ]

86 다. 보안목적의이론적근거 보안목적의이론적근거는명세한보안목적이적합하고, 보안문제를다루기에충분하며, 과도하지않고반드시필요한것임을입증한다. 보안목적의이론적근거는다음을입증한다. - 각가정사항, 위협, 조직의보안정책이최소한하나의보안목적에의해서다루어진다. - 각보안목적은최소한하나의가정사항, 위협, 조직의보안정책을다룬다. 보안목적 TOE 보안목적 운영환경에대한보안목적 O. 감사 O. 강제접근통제 O. 결함코드검사 O. 관리 O. 데이터보호 O. 보안등급부여 OE. 물리적보안 OE. 신뢰된관리자 OE. 안전한관리 보안문제정의 T. 결함코드 X T. 기록실패 X T. 데이터침해 X P. 감사 X P. 강제접근통제 P. 보안등급부여 X X X X

87 1) TOE 보안목적의이론적근거 O. 감사본보안목적은 TOE가보안관련사건을기록및검토하는수단을제공함을보장하므로위협 T. 기록실패에대응하고, 조직의보안정책 P. 감사를지원하는데필요하다. [ 추가작성 ] 2) 운영환경에대한보안목적의이론적근거 OE. 물리적보안본보안목적은 TOE가인가된관리자만이접근가능하고물리적으로안전한환경에위치하는것을보장하므로가정사항 A. 물리적보안에대응된다. [ 추가작성 ]

88 5. 확장컴포넌트정의작성예제 < 확장컴포넌트가존재하지않는경우 > 본보안목표명세서내의보안요구사항은공통평가기준 2부또는 3부컴포넌트에기초하고있다. 따라서, 본보안목표명세서는공통평가기준에기초하지않는요구사항이존재하지않으며, 새롭게정의할확장컴포넌트가존재하지않는다. < 확장컴포넌트가존재하는경우 > 본보안목표명세서는공통평가기준 2부의컴포넌트외에다음과같은컴포넌트를정의하여사용한다. 다음은확장된보안기능요구사항컴포넌트를보여준고있다. - FRO_RFS.1( 확장 ) 역할기능명세 보안기능클래스보안기능컴포넌트역할기능 FRO_RFS.1( 확장 ) 역할기능명세 [ 추가작성 ]

89 6. 보안요구사항작성예제 IT 보안요구사항 (SR, Security Requirements) 은본보안목표명세서를수용하는 TOE에서만족되어야하는기능및보증요구사항을서술한다. 가. TOE 보안기능요구사항 (SFR) 본보안목표명세서의 TOE 보안기능요구사항 (SFR, Security Functional Requirements) 은 " 등급기반접근통제시스템보호프로파일 v2.0" 의 TOE 보안기능요구사항을준수하고있다. TOE 보안기능요구사항은공통평가기준 2부의기능컴포넌트로구성된다. 다음은기능컴포넌트를요약하여보여준다. 보안기능 클래스 보안기능 컴포넌트 FAU_ARP.1 보안경보 FAU_GEN.1 감사데이터 생성 보안감사 FAU_GEN.2 사용자 신원 연관 FAU_SAA.1 잠재적인 위반 분석 사용자데이터 보호 FDP_ACC.1 부분적인접근통제 FDP_ACF.1 보안속성에기반한접근통제 FDP_IFC.1 부분적인정보흐름통제 1) 보안감사 (FAU) FAU_ARP.1 보안경보계층관계 : 없음 종속관계 : FAU_SAA.1 잠재적인위반분석

90 FAU_ARP.1.1 TSF는잠재적인보안위반을탐지한경우, [ 다음과같이혼란을최소화하는대응행동의목록 ] 을취해야한다. a) [ 위반주체프로세스강제종료 b) KMACS Manager으로실시간경보 c) 보안관리자가등록한 로잠재적인위반분석사건통보 ] [ 추가작성 ] 나. TOE 보증요구사항 (SAR) 본보호프로파일의보증요구사항은공통평가기준 3부의보증컴포넌트로구성되었고, 보증등급은 EAL4이다. 다음은보증컴포넌트를요약하여보여준다. 보증클래스보증컴포넌트 ASE_INT.1 보안목표명세서소개보안목표명세서 AS E_ CCL.1 준수선언평가 ASE_SPD.1 보안문제정의 개발 ADV_ARC.1 보안구조설명 AD V_F SP.4 완전한기능명세

91 1) 보안목표명세서평가클래스 (ASE) 가 ) 보안목표명세서소개 (INT) ASE_INT.1 보안목표명세서소개종속관계 : 없음 개발자요구사항 ASE_INT.1.1D 개발자는보안목표명세서소개를제공해야한다. 증거요구사항 ASE_INT.1.1C ASE_INT.1.2C 보안목표명세서소개는보안목표명세서참조, TOE 참조, TOE 개요, TOE 설명을포함해야한다. 보안목표명세서참조는유일하게보안목표명세서를식별해야한다. [ 추가작성 ] 다. 보안요구사항의이론적근거 보안요구사항의이론적근거는서술된 IT 보안요구사항이보안목적을만족시키기에적합하고, 그결과보안문제를다루기에적절함을입증한다. 1) TOE 보안기능요구사항의이론적근거 TOE 보안기능요구사항의이론적근거는다음을입증한다. - 각 TOE 보안목적은적어도하나의 TOE 보안기능요구사항에의해서다루어진다. 단, O. 결함코드검사는보증요구사항에의해다루어진다. - 각 TOE 보안기능요구사항은적어도하나의 TOE 보안목적을다룬다

92 보안기능요구사항 보안목적 FAU_ARP.1 FAU_GEN.1 FAU_GEN.2 FAU _ SAA.1 O. 감사 X X X X O. 강제접근통제 O. 결함코드검사 O. 관리 O. 데이터보호 O. 보안등급부여 O. 식별및인증 O. 임의접근통제 O. 자체기능보호 O. 잔여정보제거 FDP_ACC.1 FDP_ACF.1 FDP_IFC.1 X X X FAU_ARP.1 보안경보 본컴포넌트는보안위반을탐지한경우대응행동을취하는능력을보장하므로 TOE 보안목적 O. 감사를만족시킨다. [ 추가작성 ] 2) TOE 보증요구사항의이론적근거 본보안목표명세서의보증등급은 EAL4이며, 등급기반접근통제시스템보호프로파일 V2.0의보증요구사항을준수하므로추가된보증컴포넌트는없다

93 가 ) 종속관계에대한이론적근거 1 TOE 보안기능요구사항의종속관계 다음표는기능컴포넌트의종속관계를보여준다. FAU_GEN.2, FIA_UAU.1, FMT_SMR.1은 FIA_UID.1에종속관계를가지며, 이는 FIA_UID.1과계층관계에있는 FIA_UID.2에의해만족된다. FDP_IFC.1은 FDP_IFF.1에종속관계를가지며, 이는 FDP_IFF.1과계층관계에있는 FDP_IFF.2에의해만족된다. 번호 기능컴포넌트 종속관계 참조번호 1 FAU_ARP.1 FAU _ SAA FAU_GEN.1 FPT_STM FAU _ GEN.2 FAU _ GEN.1, FI A_ U ID.1 2, FAU _ SAA.1 FAU _ GEN FAU _ SAA FAU _ SAR.1 FAU _ GEN TOE 보증요구사항의종속관계 정보보호시스템공통평가기준에서제공하는각보증패키지의종속관계는이미만족되어있으므로이에대한이론적근거는생략하도록한다

94 7. TOE 요약명세작성예제 다음은 TOE 요약명세에서명세하는보안기능목록이다. 구분 식별자 보안기능 보안감사 (AU) AU.1 감사데이터생성및수집 AU.2 잠재적인위반분석및대응 AU.3 감사저장소관리 AU.4 감사데이터조회및검토 식별및인증 (IA) IA.1 Manager 식별및 인증 IA.2 Agent 식별및 인증 참조모니터 (RM) RM.1 참조모니터 접근통제 (AC) AC.1 등급기반강제적접근통제 AC.2 ACL기반임의적접근통제 가. 보안감사 (AU) TOE 의보안감사기능은감사데이터생성및수집 (AU.1), 잠재적위반분석및대응 (AU.2), 감사저장소관리 (AU.3), 감사데이터조회및검토 (AU.4) 로구성된다. (1) 감사데이터생성및수집 (AU.1) 본평가제품에서는다음과같은감사데이터가생성되며이를로그데몬에서수집하여저장한다.(FAU_GEN.1 만족 ) - 보안관리기능에서생성한보안로그 - 접근통제기능에서생성한보안로그 - 서비스통제기능에서생성한보안로그각보안로그는각각다음과같은항목을포함하여감사데이터가구성된다. 만족되는 보안기능 요구사항 : FDP_IFC.1, FDP_IFF.2, FDP_ITC.1, FIA_USB.1 [ 추가작성 ]

95 나. 식별및인증 (IA) TOE 의식별및인증보안기능은 Manager 를사용하기위한식별및인증 (IA.1), Manager 을통한 Agent 접속시보안관리자의식별및인증 (IA.2) 이있다. 1) Manager 식별및인증 (IA.1) Manager 관리자및사용자 ( 이하 Manager 사용자 ) 는 KMACS Manager 의 Manager 식별및인증을거친후 KMACS Agent 에접속할수있다. Manager 관리자및사용자는화면인터페이스를통하여다음과같은식별및인증정보를입력하여야한다.(FIA_UID.2, FIA_UAU.7 만족 ) a) Manager 사용자 ID b)manager 사용자패스워드 만족되는보안기능요구사항 : FIA_AFL.1, FIA_UID.2, FIA_UAU.7 [ 추가작성 ]

96 ( 이페이지는인쇄를위해비워놓은것임 )

97 제 3 장개발클래스 (ADV) 작성 제 1 절개발클래스구조 공통평가기준 v3.1 에서개발클래스 (ADV) 는다양한추상화수준및형태의관점에서 TSF를구조화하고표현하기위한요구사항을정의하는다음과같은 6개의패밀리를포함한다. - 다양한추상화수준으로보안기능요구사항설계및구현을설명하기위한요구사항 : ADV_FSP, ADV_TDS, ADV_IMP - 보안기능성의영역분리, TSF 자체보호, 우회불가성에대한구조적관점에서의특성을설명하기위한요구사항 : ADV_ARC - 보안정책모델, 보안정책모델및기능명세간일치성대응관계에대한요구사항 : ADV_SPM - 모듈화, 계층화, 복잡도최소화등을다루는 TSF 내부구조에대한요구사항 : ADV_INT ( 그림 3-1) 개발 (ADV) 클래스 TOE 보안기능성을문서화하는경우두가지특성이입증되어야한다. 첫번째는보안기능성이정확하게, 즉명세된대로동작함을입증하는것이고, 두

98 번째는 TOE가보안기능성이손상되거나우회될수있는방식으로사용될수없음을입증하는것으로, 두번째특성은첫번째보다입증하기어렵다. 이두특성은서로다른분석방법을요구하며, 따라서개발클래스내의패밀리는이러한다양한접근법을지원하도록구성되어있다. 즉, 기능명세 (ADV_FSP), TOE 설계 (ADV_TDS), 구현의표현 (ADV_IMP), 보안정책모델 (ADV_SPM) 패밀리는첫번째특성인보안기능성명세를다루고, 보안구조 (ADV_ARC), TSF 내부 (ADV_INT) 패밀리는두번째특성인보안기능성이손상되거나우회될수없음을입증하는 TOE 설계명세를다룬다. ( 그림 3-2) 는개발클래스내의다양한 TSF 표현간의관계및다른클래스와의관계를나타낸다. 그림에서알수있듯이보호프로파일평가 (APE) 클래스와보안목표명세서평가 (ASE) 클래스는보안기능요구사항 (SFR) 과 TOE 보안목적간의일치성에대한요구사항을정의한다. 또한, ASE는보안목적과 SFR 간의일치성에대한요구사항및 TOE가 SFR을만족시키는방법에대해서술하는 TOE 요약명세에대한요구사항을정의한다. ( 그림 3-2) 개발클래스내패밀리관계

99 위의그림 ( 그림 3-2) 에나타난일치성에대한요구사항은개발클래스에정의되어있다. 보안정책모델패밀리 (ADV_SPM) 는선택된 SFR의정형화된모델화를위한요구사항및기능명세와정형화된모델사이의일치성을제공하기위한요구사항을정의한다. TSF 표현특유의각보증패밀리 ( 즉, 기능명세 (ADV_FSP), TOE 설계 (ADV_TDS), 구현표현 (ADV_IMP) 패밀리 ) 는해당 TSF 표현을 SFR로대응시키는요구사항을정의한다. 모든구성요소는다른부분들을정확히반영해야한다. 즉, 개발클래스내의모든패밀리들은상호보완적이어야한다. 개발자는각컴포넌트의마지막증거요구사항에서추적에대한정보를제공한다. 이에대한보증은특정구성요소에대한분석이이루어질때다른구성요소들을이용하여클래스의각구성단계에대한분석을수행함으로써얻어진다. ADV_INT 패밀리는 TSF의내부구조와관련된것이고, ADV_ARC 패밀리또한 TSF 표현보다는구조적적절성과관련된패밀리이므로 ( 그림 3-2) 에포함되어있지않다. 아래표는개발클래스에대한보증요구사항을나타내고있다. 개발클래스에대한 EAL4 등급의보증요구사항은굵은박스로음영표시되어있다. [ 표 3-1] 개발클래스보증요구사항 보증클래스 개발 보증패밀리 보안구조 (ADV_ARC) 기능명세 (ADV_FSP) TOE 설계 (ADV_TDS) 구현의표현 (ADV_IMP) TSF 내부 (ADV_INT) 보안정책모델 (ADV_SPM) 평가보증등급요약 EAL1 EAL2 EAl3 EAL4 EAL5 EAL6 EAL

100 또한개발클래스보증요구사항과평가제출물의관계는다음과같다. [ 표 3-2] EAL4 보증요구사항과평가문서 보증클래스보증컴포넌트평가문서 개발 ADV_ARC.1 보안구조설명 ADV_FSP.4 완전한기능명세 ADV_TDS.3 기본적인모듈화설계 ADV_IMP.1 TSF에대한구현의표현 보안구조설명서기능명세서 TOE 설계서구현검증명세서 다음은 EAL4 등급의개발클래스평가를위한보증컴포넌트 ( 개발자, 증거, 평가자의요구사항 ) 와이에대응되는공통평가방법론의관계를보여준다

101 1. 보안구조설명서 (ADV_ARC.1 보안구조설명 ) 보안구조 (ADV_ARC, Security Architecture) 는개발자가 TSF의보안구조에대한설명을제공하도록하는것이다. 이는 TSF에대한다른평가증거와함께 TSF가요구되는특성을만족하는지확인할수있도록정보분석을가능하게한다. 보안구조설명은 TOE 보안분석이 TSF를조사함으로써달성될수있다는주장을뒷받침한다. 적절한구조가없을경우에는 TOE의모든기능성을조사해야한다. 일반적으로보안구조는자체보호, 영역분리, 우회불가성을포함한 TSF 특성의집합을나타낸다. 이러한특성은 TSF가보안서비스를제공한다는신뢰의기초를제공한다. 자체보호나우회불가성은대부분의경우 TSF에서직접적으로관찰가능한인터페이스가없기때문에자체보호, 영역분리, 우회불가성과같은특성은 2부 SFR에서표현된보안기능성과는구별된다. 오히려, 이는 TOE 및 TSF 설계를통해이루어지고 TOE 설계의정확한구현을통해수행되는 TSF 특성을갖는다. 가. 보안구조특성 자체보호란 TSF에변경을일으킬수있는외부실체의조작으로부터자신을보호하는 TSF의능력을가리킨다. 이러한특성이없다면, TSF는보안서비스를수행하는것이불가능할수도있다. TOE가자신의기능을수행하기위해다른 IT 실체가제공하는서비스 / 자원을사용하는경우가있다 ( 예 : 하부운영체제에의존하는응용프로그램 ). 이경우 TSF가사용하는서비스를보호하는다른 IT 실체에의존하기때문에, TSF가자신을전적으로보호하는것은아니다. 영역분리는각신뢰되지않은능동실체에대해 TSF 자원을운영하기위한분리된보안영역을생성하는특성으로, 이러한영역은다른영역과분리되며어떠한실체도다른영역에접근할수없도록유지된다. 예를들어, 운영체제인 TOE는신뢰되지않은실체와연관된프로세스에대한영역 ( 주소공간, 프로

102 세스별환경변수 ) 을제공한다. 어떤 TOE의경우, 신뢰되지않은실체의모든행동이 TSF에의해중재되기때문에이러한영역이존재하지않는다. 패킷필터 FW은신뢰되지않은실체영역이존재하지않는 (TSF가유지하는데이터구조만이존재 ) 이러한 TOE의일례가된다 ( 이는 TOE가신뢰하는영역과외부환경과나눠서생각할수도있음 ). 영역의존재여부는 1) TOE 유형, 2) TOE에할당된 SFR에따라다르다. TOE가신뢰되지않은실체를위한영역을제공하는경우, ADV_ARC는그러한영역들이서로분리되어서한영역내의신뢰되지않은실체가다른신뢰되지않은실체의영역으로부터침해받는것이 (TSF의중재없이 ) 방지될것을요구한다. 우회불가성은특정메커니즘이적용되는경우 TSF의보안기능성 (SFR에서명시된대로 ) 이항상호출되어우회될수없는특성이다. 예를들어, 파일에대한접근통제가 SFR에따라 TSF의기능으로명시된경우, TSF의접근통제메커니즘을호출하지않고파일에접근할수있는인터페이스 ( 예 : 원형 (raw) 디스크에접근할수있는인터페이스 ) 는존재하지않아야한다. 자체보호의경우와같이, 일부 TOE는 TSF의우회불가성역할을수행하기위해그환경에의존할수있다. 예를들어, 보안응용프로그램 TOE는하부운영체제에의해호출될것이요구된다. 유사하게, FW은내부및외부네트워크간의직접적인연결이없고내부및외부의모든트래픽은반드시그 FW을통해이루어져야한다는사실에의존한다. 나. 보안구조설명 보안구조설명은위에서서술된특성을 TSF에나타내는방법을기술한다. 이는영역을정의하고 TSF가분리된영역을유지하는방법을서술하며, 신뢰되지않은프로세스가 TSF로진입및 TSF를변경하는것을방지하는방법을서술한다. 또한, TSF가통제하는모든자원이적절하게보호되고 SFR과관련된모든행동이 TSF에의해중재됨을보장하는방법을서술한다. 이러한특성을위해

103 환경에서수행하는역할 ( 예 : 하부환경에의해정확하게호출되는지, 보안기능이어떻게호출되는지등 ) 을설명한다. 보안구조설명은 TSF의자체보호, 영역분리, 우회불가성특성을설계분해에대한설명측면에서표현해야한다. 설명의수준은 ADV_FSP, ADV_TDS, ADV_IMP에서요구되는 TSF 설명과동일한수준이어야한다. 예를들어, ADV_FSP만이 TSF 설명으로유일하게사용가능한경우, TSF 내부동작에대한상세정보를사용할수없기때문에의미있는구조적설계를제공하는것은어려울것이다. 그러나, 가장기본적인수준이라도 TOE 설계가가용한경우 (ADV_TDS.1), TSF를구성하는서브시스템에관한일부정보가이용가능하며, 이들이자체보호, 영역분리, 우회불가성을구현하기위해어떻게동작하는지에대해설명될수있다. 예를들어, TOE와상호작용하는모든사용자는사용자의보안속성을모두적용하는사용자를대신하여행동하는프로세스를통해서제한된다. 구조적설계는이러한프로세스가어떻게나타나고, 프로세스의행동이 TSF에의해서어떻게제한되고 ( 따라서이들은 TSF를손상시킬수없고 ), 해당프로세스의모든행동이어떻게 TSF에의해서중재되는지 ( 그결과 TSF가우회될수없는이유를설명 ) 등을서술할것이다. 가용한 TOE 설계가더욱상세하거나 ( 예 : 모듈화수준 ), 구현의표현도가용한경우, 구조적설계에대한설명은사용자프로세스가 TSF 프로세스와어떻게통신하는지, 다양한요청이 TSF에서어떻게처리되는지, 어떤매개변수가처리되는지, 어떤프로그램상의보호 ( 버퍼오버플로보호, 매개변수경계검사, 검사시간 / 사용시간확인 ) 가있는지등을더욱상세히설명할것이다. 유사하게, 보안목표명세서에 ADV_IMP가포함되어있는 TOE는특정구현세부사항까지설명될것이다. 보안구조설명에서제공되는서술은그들의정확성을시험할수있을만큼충분히상세할것을요구한다. 즉, 단순한정보 ( 예 : TSF는영역분리를제공한다.) 만으로는읽는사람에게 TSF가실제로영역을생성하고분리했는지를확신

104 할수있도록유용한정보를제공할수없다. (1) 영역분리 전적으로영역분리를 TOE에구현하는경우, 영역분리가어떻게달성되는지직접설명할수있다. 보안구조설명은 TSF에정의된다양한영역의유형, 영역이어떻게정의되는지 ( 예 : 어떤자원이각영역에할당되는지 ), 보호되지않고남겨진자원은없는지, 영역이어떻게분리되어유지되는지, 한영역내의능동실체가다른영역내의자원을침해하지않는지설명될것이다. 영역분리의역할수행을다른 IT 실체에의존하는 TOE의경우, 역할의분담을반드시명확하게해야한다. 예를들어, 응용소프트웨어인 TOE는 TOE가정의한영역을정확하게실체화하기위해하부운영체제에의존한다. 즉, TOE 가각영역에대해프로세싱공간, 메모리공간등으로분리해서정의한경우, 정확하고올바르게운영하기위해 ( 예 : 프로세서는 TOE 소프트웨어에의해요구되는실행영역내에서만수행되도록허용 ) 하부운영체제에의존하게된다. 예를들어, 영역분리를구현하는메커니즘 ( 예 : 메모리관리, 하드웨어가제공하는보호된프로세싱모드등 ) 은식별및서술될수있다. 또한, TSF는시스템주소공간으로부터사용자주소공간을서술함으로써소프트웨어영역분리구현에기여하는소프트웨어보호구조또는코딩규약을구현할수있다. 취약성분석및시험 (AVA_VAN 참조 ) 활동은 TSF 감시또는직접공격을통하여서술된 TSF 영역분리를파괴하려는시도를포함할것이다. (2) TSF 자체보호 전적으로자체보호를 TOE에구현하는경우, 자체보호가어떻게달성되는지직접설명할수있다. 다른 ( 사용자 ) 영역으로부터보호되는 TSF 영역을정의하기위해영역분리를사용한메커니즘은식별되고서술될것이다

105 자체보호역할수행을다른 IT 실체에의존하는 TOE의경우, 역할의분담을반드시명확하게해야한다. 예를들어, 응용소프트웨어인 TOE는정확하고올바르게운영하기위해하부운영체제에의존하게된다. 즉, 응용프로그램은악의적인운영체제가그응용프로그램을손상시키는 ( 예 : 실행코드또는 TSF 데이터덮어쓰기 ) 것에대해그자체를보호할수없다. 보안구조설명은사용자입력에의해서 TSF 자신이손상의대상이되지않도록해당사용자입력이 TSF에의해서다루어지는방법을포함해야한다. 예를들어, TSF는특권개념을구현할수있고사용자데이터를다루는특권-모드루틴을사용함으로써자신을보호할수있다. TSF는프로세서-기반분리메커니즘 ( 예 : 특권계층또는링 ) 을사용할수있다. TSF는시스템주소공간으로부터사용자주소공간을서술함으로써소프트웨어분리구현에기여하는소프트웨어보호구조또는코딩규약을구현할수있다. 상세-기능모드 ( 예 : 설치자또는관리자만접근가능한단일-사용자모드 ) 에서시동되고평가된안전한구성 ( 예 : 신뢰되지않은사용자가로그인할수있고, TOE의서비스및자원을사용할수있는모드 ) 으로전이되는 TOE에대해, 보안구조설명은평가된구성내에서실행되지않는초기화코드에대해 TSF 가보호되는방법을설명한다. 이러한 TOE는보안구조설명에서평가된구성내에서초기화동안에만이용가능한이러한서비스 ( 예 : 자원으로직접접근 ) 에대한접근을어떻게방지하는지설명하고, 평가된구성내에있는 TOE가실행으로부터초기화코드를방지하는방법을설명할것이다. 또한, 신뢰된초기화코드가 TSF( 및그초기화절차 ) 의무결성을유지하는방법을설명해야한다. 초기화절차는 TSF가초기의안전한상태로위장하는결과를발생시키는어떠한변경도탐지할수있어야한다. 취약성분석및시험 (AVA_VAN 참조 ) 활동은 TSF 침해, 직접공격또는감시를통하여서술된 TSF 자체보호를파괴시키는시도를포함할것이다

106 (3) TSF 우회불가성 우회불가성특성은수행메커니즘을우회하는인터페이스와관련된것이다. 대부분의경우이는구현의결과이다. 프로그래머가어떤객체에접근하거나조작하는인터페이스를작성하는경우, 해당객체에대하여 SFR 수행메커니즘의일부가되도록인터페이스를사용하고해당인터페이스를우회하지않도록하는것은프로그래머의책임이다. 우회불가성과관련된설명에서다루어야하는두가지분야는다음과같다. 첫째, SFR-수행을위한인터페이스들로구성된다. 이러한인터페이스의특성은자신이 TSF를우회하는데사용되도록허용하는어떤오퍼레이션또는모드도포함하고있지않다는것이다. ADV_FSP 및 ADV_TDS의증거들은이러한결정을내리는데큰부분을차지할수있다. 이러한 TSFI를통해서이용가능한특정오퍼레이션만문서화되고 (SFR-수행이기때문에 ) 다른부분은문서화되지않은경우, 개발자는 TSFI의비-SFR-수행오퍼레이션이신뢰되지않은실체에게수행되어야하는정책을우회하는능력을주지않음을결정하기위해추가적인정보가 (ADV_FSP 및 ADV_TDS에서제시된 ) 필요한지여부를고려하도록권고된다. 이러한정보가필요한경우, 이는구조적설계문서에포함된다. 둘째, 인터페이스간의상호작용이 SFR-수행과관련되지않은인터페이스에관한것이다. ADV_FSP 및 ADV_TDS에따라서, 이러한인터페이스에관한정보는기능명세및 TOE 설계문서에존재할수도존재하지않을수도있다. 이러한인터페이스 ( 또는인터페이스그룹 ) 에대하여제시된정보는충분하여서 (ADV에서제공되는나머지증거들과동등한상세수준에서 ) 읽는사람이수행메커니즘이우회될수없음을결정할수있어야한다. 보안기능성이우회될수없다는특성은모든보안기능성에동등하게적용된다. 즉, 설계설명은 SFR 하에서보호되는객체 ( 일반적으로 FDP_* 컴포넌트 ) 및 TSF가제공하는기능성 ( 예 : 감사 ) 을다루도록권고된다. 또한, 설명은보안기능성과관련된인터페이스를식별하도록권고된다. 이는기능명세에있는정보를사용할수있다. 이러한설명은객체관리자, 이들의사용방법등과같은

107 설계구성물을서술하도록권고된다. 예를들어, 감사레코드를생성하기위해루틴에서표준매크로를사용해야하는경우, 이러한규약은감사메커니즘의우회불가성에기여하는설계의일부이다. 여기서우회불가성은 "TSF 구현의일부가악성인경우보안기능성을우회할수있느냐 " 라는질문에대한대답이아니라, 해당구현이보안기능성을우회하지않는방법을문서화하는것임에주의하는것이중요하다. 취약성분석및시험 (AVA_VAN 참조 ) 활동은 TSF를우회함으로써정의된우회불가성을파괴하려는시도를포함할것이다. 다. 보안구조패밀리컴포넌트 본패밀리에서사용된방법론은개발자가위에서언급한특성들을갖는 TSF 를설계하여제공하도록하며, TSF의해당특성들을설명하는 ( 문서형태의 ) 증거를제공하도록하기위한것이다. TSF 특성에대한설명은 TOE 설계문서내의 SFR-수행 TOE 구성요소설명과동일한상세수준으로제공해야한다. 평가자는 TOE 및 TSF에대하여제공된다른평가증거와함께이증거를조사하고해당특성들이만족되는지결정할책임이있다. SFR을구현하는보안기능성에대한명세 ( 기능명세 (ADV_FSP), TOE 설계 (ADV_TDS)) 에서는자체보호및우회불가성을구현하는데사용된메커니즘 ( 예 : 메모리관리메커니즘등 ) 을반드시서술하는것은아니다. 따라서, 이러한요구사항이만족된다는보증을제공하는데필요한자료들은 ADV_FSP 및 ADV_TDS에포함된 TSF 설계분해와는별도로제공되는것이더적합하다. 이는, 이컴포넌트에서요구되는보안구조설명이설계분해자료들을참조하거나사용할수없다는의미가아니라, 설계분해문서에서제공된대부분의상세사항이보안구조설명문서에서제공되어야하는논증과관련이없을것이라는의미이다. 구조의적절성에대한설명은 TSF가적합하고모든 SFR을수행한다는정당화를제공하도록하는개발자의취약성분석으로고려될수있다. 적절성이특

108 정보안메커니즘에의해달성되는경우해당메커니즘은상세수준 (ATE_DPT) 요구사항의일부로써시험될것이다. 적절성이구조자체에의해달성되는경우보안행동은취약성평가 (AVA) 요구사항의일부로써시험될것이다. 본패밀리는자체보호, 영역분리, 우회불가성특성및이러한특성들이 TSF 초기화에사용된 TOE 부분들에의해서지원되는방법을서술하는보안구조설명에대한요구사항으로구성된다. [ 표 3-3] 보안구조설명 공통평가기준컴포넌트엘리먼트설명개발자는 TSF의보안특성이우회되지않도록 ADV_ARC.1.1D TOE를설계하고구현해야한다. 개발자는신뢰되지않은능동적실체에의한 ADV_ARC.1.2D 침해로부터 TSF 자체를보호할수있도록 TSF를설계하고구현해야한다. 개발자는 TSF의보안구조설명을제공해야 ADV_ARC.1.3D 한다. 공통평가방법론 비고 ADV_ARC.1 ( 보안구조설명 ) ADV_ARC.1.1C ADV_ARC.1.2C ADV_ARC.1.3C ADV_ARC.1.4C ADV_ARC.1.5C ADV_ARC.1.1E 보안구조설명은 TSF에의해서 SFR과일관성있게유지되어야하는보안영역을서술해 ADV_ARC.1-1 야한다. TOE 개요는 TOE 의용도와주요보안특성을요약해야한다. 보안구조설명은 TSF 초기화과정이어떻게안전한지서술해야한다. 보안구조설명은 TSF 가침해로부터자신을보호함을입증해야한다. 보안구조설명은 TSF 가 SFR- 수행기능성의우회를방지함을입증해야한다. 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. ADV_ARC.1-2 ADV_ARC.1-3 ADV_ARC.1-4 ADV_ARC

109 2. 기능명세서 (ADV_FSP.4 완전한기능명세 ) 기능명세 (ADV_FSP, Functional specification) 는 TSF 인터페이스 (TSFI) 를서술한다. TSFI는사용자가 TSF로부터서비스를호출하는모든수단 (TSF가처리하는데이터를제공함으로써 ) 및서비스호출에대한응답으로구성된다. 본패밀리는 TSF가서비스요청을처리하는방법이나 TSF가운영환경으로부터서비스를호출할때의통신은서술하지않는다. 이는각각 TOE 설계 (ADV_TDS) 와종속컴포넌트의의존성 (ACO_REL) 에서다룬다. 본패밀리는평가자로하여금 TSF가어떻게 SFR을만족시키는지이해할수있게함으로써직접적인보증을제공한다. 또한, 본패밀리는다른패밀리나클래스의입력으로작용해서, 간접적인보증을제공한다. - 보안구조 (ADV_ARC) 에서 TSFI 설명은 TSF가손상 ( 예 : 자체보호또는영역분리의파괴 ) 및 / 또는우회되지않고보호되는방법을더잘이해하는데사용될수있음 - 시험 (ATE) 에서 TSFI 설명은개발자및평가자시험을위한중요한입력정보로사용됨 - 취약성평가 (AVA) 에서 TSFI 설명은취약성조사에사용됨 TSFI를명세하는목적은시험을수행하는데필요한정보를제공하는것이다. TSF와상호작용이가능한수단에대한인식없이, TSF의행동을적절히시험할수없다. TSFI를명세하는두가지유형은, TSFI를식별하고서술하는것이다. TOE 의다양성및한 TOE 내의다양한 TSF 때문에, "TSFI" 라고칭하는인터페이스의표준은없다. 여기에서는인터페이스를 TSFI라고결정하는요소에대한지침을제공한다. 가. TSFI 결정및식별 TSF 인터페이스를식별하기위해서, 우선 TSF 를구성하는 TOE 부분들이

110 식별되어야한다. 이러한식별과정은실제로 ADV_TDS(TOE 설계 ) 분석의일부이지만, ADV_TDS가보증패키지에포함되지않은경우개발자에의해서 (TSFI 식별및서술을통해서 ) 내포적으로수행된다. 이러한분석에서, TOE의어떤부분이보안목표명세서의 SFR을만족시키는데 ( 전체적으로또는부분적으로 ) 기여하는경우이는 TSF로반드시고려되어야한다. 이는 TSF 실행시초기화에기여하는 TOE의모든부분, 예를들면, SFR 수행이아직시작되지않았으므로 ( 예 : 부팅하는동안 ) 자체보호를할수있도록 TSF보다먼저실행되는소프트웨어를포함한다. 또한, TSF 자체보호, 영역분리, 우회불가성에대한구조적원칙 (ADV_ARC 참조 ) 에기여하는 TOE의모든부분도 TSF에포함된다. TSF가정의되면, TSFI가식별된다. TSFI는사용자가 (TSF에의해처리되는데이터를제공함으로써 ) TSF의서비스를호출하는모든수단및해당서비스호출에대한응답으로구성된다. 이러한서비스호출및응답은 TSF 경계를가로짓는수단이다. 대부분은명백하지만, 분명하지않은것도있을수있다. TSFI를결정할때다음질문에대답이요구된다. "TSF와상호작용하는잠재적인공격자는어떻게 SFR을손상시키려는시도를하는가?" 다음논의는다양한 TSFI 정의의응용을서술한다. (1) 전기적인터페이스 스마트카드와같은 TOE에서, 공격자는 TOE에대하여논리적으로접근할뿐만아니라, TOE에물리적으로완전하게접근하며, TSF 경계는물리적경계가된다. 노출된전기적인터페이스는이를조작하면 TSF 행동에영향을줄수있으므로 TSFI로고려된다. 따라서이러한모든인터페이스 ( 전기접점 ) 는서술되어야한다 ( 예 : 다양한전압이적용될수있음. 등 ). (2) 네트워크프로토콜스택 TOE의 TSFI는잠재적인공격자가직접접근할수있는프로토콜계층이되는프로토콜처리를수행한다. 이는전체프로토콜스택이필요하지않을수도, 필요할수도있다

111 예를들어, TOE가네트워크장비의일종인경우잠재적인공격자가프로토콜각계층에영향을줄수있도록 ( 예 : 수신된임의적신호, 임의적전압, 임의적패킷, 임의적데이터그램등 ) 허용되므로, TSF 경계는스택의각계층에존재한다. 따라서, 기능명세는스택의각층에모든프로토콜을나타내야한다. 그러나, TOE가인터넷으로부터내부네트워크를보호하는 FW인경우, 잠재적인공격자는 TOE로입력되는전압을직접조작하는수단을갖지못한다. 어떤극도의전압은인터넷을통해통과될수없다. 즉, 공격자는인터넷계층또는상위의프로토콜로만접근할수있다. TSF 경계는스택의각층에존재한다. 그러므로, 기능명세는인터넷계층또는상위의프로토콜에대해서만나타내야한다. 이경우기능명세는 FW이회선에나타내는잘구성된입력은무엇으로구성되며, 잘구성된입력및잘못구성된입력에대한처리결과에관해서노출되는각각의통신계층을서술할것이다. 예를들어, 인터넷프로토콜계층에대한설명은잘구성된 IP 패킷은무엇으로구성되며정확하게구성된패킷및잘못구성된패킷을수신한경우어떤일이일어나는지서술할것이다. 유사하게, TCP 계층에대한설명은성공적인 TCP 연결을서술하고, 성공적인연결이형성된경우및연결이형성될수없거나의도하지않게중단된경우어떤일이일어나는지서술할것이다. FW의목적이응용계층명령어 ( 예 : FTP, telnet) 를필터링하기위한것이라고가정하면, 응용계층에대한설명은 FW이인식하고필터링해야하는응용계층명령어및알려지지않은명령어에대응되는결과를서술할것이다. 이러한계층의설명은사용되는공개된통신표준 ( 예 : telnet, FTP, TCP 등 ) 에어떤사용자정의옵션이선택되었는지참조할수있을것이다. (3) 래퍼 (Wrappers) " 래퍼 (wrapper)" 는복잡한일련의상호작용을간소화한공통서비스로바꾸는것으로, 예를들면운영체제가응용프로그램에의해사용되는 API를생성하는것이다 (( 그림 3-3) 에서보여지는것처럼 ). TSFI는응용프로그램에서이용가능한

112 것에따라시스템콜또는 API가될수있다. 응용프로그램이시스템콜을직접사용할경우, 그시스템콜은 TSFI 이다. 그러나, 시스템콜을직접사용하는것을제한하고모든통신이 API를통해요구되는경우, API는 TSFI가될것이다. ( 그림 3-3) 래퍼 그래픽사용자인터페이스 (GUI) 는기계가이해할수있는명령어와사용자에게친근한그래픽간의변환을의미한다. 유사하게, 사용자가명령어에접근할경우명령어가 TSFI가되거나, 또는사용자가그래픽사용을강요하는경우그래픽 ( 풀다운 (pull-down) 메뉴, 체크박스, 텍스트필드 ) 이 TSFI가될수있다. 이러한예에서, 사용자가더원시적인인터페이스 ( 예 : 시스템콜또는명령어 ) 사용이제한되는경우, 이러한제한및수행에대한설명은보안구조설명 (A.1 참조 ) 에포함되어야함을주목해야한다. 또한, 래퍼는 TSF의부분이될것이다. (4) 접근불가능한인터페이스 특정 TOE에대해, 모든인터페이스가접근가능한것은아니다. 즉, ( 보안목표명세서내의 ) 운영환경에대한보안목적에서이러한인터페이스에대한접근을금지하거나이들을실제적으로접근불가능하게하는방식으로접근을제한할수있다. 이러한예는다음과같다

113 - 독립형 FW의운영환경에대한보안목적에서 "FW은신뢰되고훈련된사람만이접근권한을가지고, 전력공급이단절되지않는 ( 정전에대하여 ) 설비가갖추어진서버실환경에서운영될것이다 " 라고서술하는경우, 물리적인터페이스및전력인터페이스는접근가능하지않을것이다. 신뢰되고훈련된사람은 FW을철거하거나전력공급을중단시키려는시도를하지않을것이기때문이다. - 소프트웨어 FW( 응용프로그램 ) 의운영환경에대한보안목적에서 " 운영체제및하드웨어는다른프로그램의침해를받지않도록응용프로그램을위한보안영역을제공할것이다 " 라고서술하는경우, 운영체제상의다른응용프로그램이 FW에접근할수있는인터페이스 ( 예 : FW 실행코드삭제 / 변경, FW 메모리공간에직접읽기 / 쓰기 ) 는접근불가능할것이다. 운영환경의운영체제 / 하드웨어부분은이러한인터페이스를접근불가능하게만들것이기때문이다. - 소프트웨어 FW의운영환경에대한보안목적에서 " 운영체제및하드웨어는 TOE 명령어를충실하게실행할것이며, 어떤방식으로든지 TOE를침해하지않을것이다 " 라고서술하는경우, 운영체제 / 하드웨어로부터원시기능성 (primitive functionality) 을얻기위한인터페이스 ( 파일생성 / 읽기 / 쓰기 / 삭제, 그래픽 API 등과같은기계코드명령어, 운영체제 API 실행 ) 는접근불가능할것이다. 운영체제 / 하드웨어는해당인터페이스에접근할수있는유일한실체이며, 완전하게신뢰되기때문이다. 이러한예에서, 접근불가능한인터페이스는 TSFI가아닐것이다. (5) 복잡한 DBMS 아래그림은 TOE 경계밖에있는하드웨어및소프트웨어 (IT 환경으로부름 ) 에의존하는데이터베이스관리시스템인복잡한 TOE를보여준다. 이예를단순하게하기위해, TOE는 TSF와동일하게하였다. 음영이들어간부분은 TSF를나타내며, 음영이없는부분은환경에서의 IT 실체를나타낸다. TSF는데이터베이스엔진및관리 GUI(DB로레이블된박스 ), 몇가지보안기능을수행하는

114 운영체제의일부로써실행하는커널모듈 (PLG로레이블된박스 ) 로구성된다. TSF 커널모듈은운영체제가몇몇기능 ( 이는장치드라이버또는인증모듈등이될수있음 ) 을호출하는운영체제명세에의해정의된진입점을가지고있다. 요점은이플러그된커널모듈이보안목표명세서의기능요구사항에서명세된보안서비스를제공한다는것이다. ( 그림 3-4) DBMS 시스템인터페이스 IT 환경은운영체제자신 (OS로레이블된박스 ) 과외부서버 (SRV로레이블된박스 ) 로구성된다. 이외부서버는운영체제와마찬가지로 TSF가의존하는서비스를제공하므로 IT 환경이되어야한다. 위의그림 ) 에서인터페이스는 TSFI 인경우 Ax로, 기타인터페이스인경우 Bx(ACO에서문서화되어야할것임 ) 로레이블된다. 인터페이스그룹 A1은가장명백한 TSFI 집합을나타낸다. 이들은사용자가직접적으로데이터베이스와그보안기능성및자원을접근하는데사용되는인터페이스이다

115 인터페이스그룹 A2는운영체제가플러그된모듈이제공하는기능성을얻기위해서호출하는 TSFI를나타낸다. 이는인터페이스그룹 B3와반대인데, B3는플러그된모듈이 IT 환경으로부터서비스를얻기위한호출을나타낸다. 인터페이스그룹 A3는 IT 환경을통과하는 TSFI를나타낸다. 이경우, DBMS는전용응용-계층프로토콜을사용하여네트워크상에서통신한다. IT 환경이다양한보조프로토콜 ( 예 : 이더넷, IP, TCP) 을제공할책임이있지만, DBMS로부터서비스를얻기위해사용되는응용-계층프로토콜은 TSFI이며 TSFI로써문서화되어야한다. 점선은네트워크접속상에서 TSF가제공하는반환값 / 서비스를나타낸다. Bx로레이블된인터페이스는 IT 환경의기능성에대한인터페이스를나타낸다. 이러한인터페이스는 TSFI가아니며 ACO 클래스와관련된평가활동의일부로써 TOE가합성평가에사용되는경우에만논의및분석되어야한다. 나. TSFI 서술 TSFI가결정되면이들을서술해야한다. 낮은수준의컴포넌트에서개발자는 TOE의보안-관련측면에훨씬더초점을맞춰문서화하고, 평가자는 TOE의보안-관련측면에초점을맞춰분석을수행한다. TSFI를통해이용가능한서비스와 SFR 관련성에근거하여 TSFI는 3 개의범주로정의된다. - 인터페이스를통해이용가능한서비스가 TSF에요구되는 SFR 중하나로추적될경우, 그인터페이스는 "SFR-수행인터페이스 " 이다. 한인터페이스를통해여러개의서비스와결과가있을수있으며그중어떤것은 SFR-수행이지만어떤것은아닐수있음에주의해야한다. - SFR-수행기능성이의존하며, TOE의보안정책이유지되기위해정확하게기능해야하는서비스의인터페이스 ( 또는그러한서비스에연관되는인터페이스를통해이용가능한서비스 ) 는 "SFR-지원인터페이스 " 이다

116 - SFR-수행기능성이의존하지않는서비스의인터페이스는 "SFR-비-간섭인터페이스 " 이다. SFR-지원또는 SFR-비-간섭인터페이스는 SFR-수행서비스나결과를가지지않아야한다. 반면에, SFR-수행인터페이스는 SFR-지원서비스를가질수있다. 예를들어, 인터페이스가시스템시간을설정하는기능은 SFR-수행서비스가될수있지만, 그인터페이스가시스템날짜를출력하는데사용되면 SFR-지원서비스가될수있다. 순수한 SFR-지원인터페이스의예로사용자또는사용자를대신하여 TSF 부분에의해사용되는시스템콜인터페이스를들수있다. TSFI에관한정보가더많이제공될수록인터페이스가정확하게분류 / 분석된다는보증을더많이얻을수있다. 낮은수준의요구사항에서 SFR-비-간섭인터페이스에대해요구되는정보는평가자가효율적인평가를수행하는데필요한최소한의수준으로제공되도록구성된다. 더높은수준의요구사항에서는평가자가더많은정보를이용할수있으므로더많은신뢰를얻을수있게된다. ( 낮은보증컴포넌트에서 ) SFR-수행, SFR-지원, SFR-비-간섭등의명칭을정의하고그각각에대해다른요구사항을부과하는것은분석의초점을어디에맞출것인가에대한예상을가능하게하고, 그분석이수행되는데필요한증거를제공하기위한것이다. 개발자의 TSF 인터페이스문서에서모든인터페이스를 SFR-수행인터페이스에대한요구사항수준으로서술하는경우 ( 즉, 문서가요구사항의범위를초과하는경우 ), 개발자가그요구사항에부합하는증거를새로생성할필요는없다. 마찬가지로, 위에서정의된명칭들은요구사항내의인터페이스유형을구별하는수단에불과하므로, 개발자가 SFR-수행, SFR- 지원, SFR-비-간섭인터페이스라는명칭을붙이려는목적으로증거를갱신할필요는없다. 이러한명칭지정의주된목적은완전하게정립되지않은개발방법론 ( 그리고상세화된인터페이스및설계문서등의관련결과물 ) 을이용하여개발자가과도한비용없이필요한증거만을제공할수있도록하기위해서이다

117 본패밀리에서각컴포넌트내의마지막증거요구사항들은 SFR과기능명세간의직접적인일치성을제공한다. 즉, 각 SFR을호출하는데어떤인터페이스가사용되었는지를나타낸다. 보안목표명세서가잔여정보보호 (FDP_RIP) 와같은기능요구사항을포함할경우, 해당기능성이 TSFI로명시되지않을수있으며, 기능명세및 / 또는추적을통해이러한 SFR을식별할것으로예상된다 (FDP_RIP에대한 TSFI가무조건적으로없다는말은아니며, 여러 TSFI에암시적으로관련되어있을수있음 ). 기능명세내에 SFR을포함시키는것은관련된상세수준의분해에도 SFR이존재함을보장하는데도움이된다. 다. 인터페이스세부사항 요구사항에서는제공되어야할 TSFI에대한세부사항을정의한다. 요구사항의목적을위해인터페이스는목적, 사용방법, 매개변수, 매개변수설명, 오류메시지의관점에서 ( 다양한상세수준으로 ) 명세된다. 인터페이스의목적은인터페이스의일반적인목적에대한상위수준설명이다 ( 예 : GUI 명령어처리, 네트워크패킷수신, 프린터출력제공등 ). 인터페이스의사용방법은해당인터페이스가사용되는방법을서술한다. 이러한설명은해당인터페이스에서사용가능한다양한상호작용을중심으로이루어져야한다. 예를들어, 인터페이스가유닉스명령어쉘 (shell) 인경우, ls, mv, cp는해당인터페이스의상호작용이될수있다. 각각의상호작용에대하여, 사용방법은해당인터페이스에서보이는행동 ( 예 : 프로그래머가 API를호출, 윈도우즈사용자가레지스트리설정을변경등 ) 뿐만아니라다른인터페이스의행동 ( 예 : 감사레코드생성 ) 에대하여상호작용이무엇인지서술해야한다. 매개변수는인터페이스의행동을통제하는명시적인입력및출력이다. 예를들어, 매개변수는 API에제공되는인수들, 주어진네트워크프로토콜에대한패킷내의다양한필드들, 윈도우즈레지스트리내의각키값, 칩에서핀 (pin) 들에보내지는신호들, ls에대해설정된플래그등이될수있다. 매개변수는그

118 들을설명하는간단한목록으로 " 식별된다." 매개변수설명은매개변수의의미를서술한다. 예를들어, 인터페이스 foo(i) 는 " 매개변수 i는정수이다 " 라고서술될수있지만, 이는허용가능한매개변수설명이아니다. " 매개변수 i는현재시스템에로그인하고있는사용자의수를나타내는정수이다 " 와같이서술한매개변수설명이훨씬더허용가능한표현이다. 인터페이스행동에대한설명은인터페이스가어떤일을하는지서술한다. 이는인터페이스목적보다상세화된것으로써, " 목적 " 에서는그것을사용하는이유를설명하는반면 " 행동 " 에서는인터페이스가하는모든것을설명한다. 이러한행동은 SFR과관련이있을수도, 그렇지않을수도있다. 인터페이스행동이 SFR과관련이없을경우, 인터페이스행동설명은요약정보만을제공해도된다. 이는인터페이스가 SFR과관련이없다는것을명확히함을의미한다. 오류메시지설명은오류메시지가생성된조건, 메시지의내용, 오류코드의의미를식별한다. 오류메시지는일정수준의문제또는변칙적인경우가발생하였음을알리기위해 TSF에의해생성된다. 본패밀리내의요구사항들은다음과같은유형의오류메시지와관련이있다. - " 직접적인 " 오류메시지는특정 TSFI 호출로연결되는보안-관련응답이다. - " 간접적인 " 오류는전반적인시스템범위에걸친조건 ( 예 : 자원고갈, 연결성중단등 ) 에서발생되는것이기때문에특정 TSFI 호출로연결될수없다. 또한, 보안-관련이아닌오류메시지들도 " 간접적인 " 것으로간주된다. - " 남아있는 " 오류는코드내에서참조되는오류등과같은나머지오류들을의미한다. 예를들어, 논리적으로일어날수없는상황 ( 예 : "case" 구문의마지막 "else" 와같은경우 ) 에대한검사를수행하는조건-검사코드의사용은포괄적인오류메시지생성을위해제공된다. 운영되는 TOE에서는이러한오류메시지는절대로발생되어서는안된다

119 라. 기능명세패밀리컴포넌트 보증이증가할수록, 본패밀리내의컴포넌트계층관계에따른상세화수준으로인터페이스명세의완전성및정확성이증가하도록개발자문서가요구된다. EAL4 등급에서평가하는 ADV_FSP.4 완전한기능명세에서 SFR-수행, SFR-지원, SFR-비-간섭인터페이스등모든 TSFI는직접적인오류메시지전부를포함하여같은수준으로서술되어야한다. [ 표 3-4] 기능명세 공통평가기준 컴포넌트엘리먼트설명 ADV_FSP.4.1D 개발자는기능명세를제공해야한다. ADV_FSP.4.2D 개발자는기능명세에서 SFR 로의추적성을제공해야한다. ADV_FSP.4.1C 기능명세는 TSF 를완전하게표현해야한다. 공통평가방법론 ADV_FSP.4-1 비고 ADV_FSP.4 ( 완전한기능명세 ) ADV_FSP.4.2C ADV_FSP.4.3C ADV_FSP.4.4C ADV_FSP.4.5C ADV_FSP.4.6C ADV_FSP.4.1E ADV_FSP.4.2E 기능명세는모든 TSFI 에대한목적과사용방법을서술해야한다. 기능명세는각 TSFI 와관련된모든매개변수를식별및서술해야한다. 기능명세는각 TSFI 에관련된모든행동을서술해야한다. ADV_FSP.4-2 ADV_FSP.4-3 ADV_FSP.4-4 ADV_FSP.4-5 ADV_FSP.4-6 기능명세는각 TSFI 호출과관련된보안수 ADV_FSP.4-7 행효과및예외사항결과로발생하는모든 ADV_FSP.4-8 직접적인오류메시지를서술해야한다. 추적성은 SFR 이기능명세내의 TSFI 로추적됨을입증해야한다. 평가자는제공된정보가모든증거요구사항을만족함을확인해야한다. 평가자는기능명세가 SFR 을정확하고완전하게실체화하는지결정해야한다. ADV_FSP.4-9 ADV_FSP.4-10 ADV_FSP

120 3. TOE 설계서 (ADV_TDS.3 기본적인모듈화설계 ) TOE 설계 (ADV_TDS, TOE design) 패밀리는 TSF 설명을위한배경및전체 TSF 설명을제공한다. 보증에대한요구가증가함에따라, 설명에서제공되는상세수준도높아진다. TSF의크기및복잡도가증가하면, 여러수준의분해가적절하다. 설계요구사항은보안기능요구사항이실현된다는결정을하기위한 ( 주어진보증수준에상응하는 ) 정보를제공하기위한것이다. 설계문서의목적은 TSF 경계를결정하고 TSF가보안기능요구사항을어떻게구현하는지서술하기위한정보를충분히제공하는것이다. 설계문서의분량및구조는 TOE의복잡도및 SFR 개수에따라다르다. 일반적으로, 많은수의 SFR을포함하는매우복잡한 TOE는적은수의 SFR만을가지는매우단순한 TOE보다설계문서를더많이요구할것이다. 매우복잡한 TOE는 ( 제공되는보증측면에서 ) 설계서술시다양한분해수준으로작성하는것이이로울것이고, 반면에매우단순한 TOE는구현에대한상위수준설명및상세수준설명을모두요구하지는않을것이다. 본패밀리는서브시스템과모듈이라는두가지수준의분해를사용한다. 모듈은기능성에대한가장상세한서술로써, 구현에대한설명이다. 개발자는모듈에서서술된 TOE의일부를더이상의설계과정없이구현할수있어야한다. 서브시스템은 TOE 설계에대한설명으로, TOE의부분이어떤역할을어떻게수행하는지에대한상위수준의설명을제공할수있게해준다. 서브시스템은더상세수준의서브시스템또는모듈로세분화될수있다. 매우복잡한 TOE는 TOE가어떻게동작하는지에대한유용한설명을적절하게전달하기위해서여러수준의서브시스템을요구할수도있다. 반면, 매우단순한 TOE는서브시스템수준의설명을요구하지않고모듈에서 TOE가어떻게동작하는지를적절하게서술할수도있다. 가. 서브시스템 아래그림은 TSF 의복잡도에따라설계가서브시스템및모듈에관해서서

121 술될수있으며 ( 서브시스템이모듈보다더상위수준의추상화인경우 ), 한가지추상화수준에관해서만서술될수있음을보여준다 ( 예 : 낮은보증등급에서는서브시스템을, 높은보증등급에서는모듈을 ). 상세수준의추상화 ( 모듈 ) 가제시된경우, 상위수준의추상화 ( 서브시스템 ) 에부과된요구사항은기본적으로반드시만족된다. 이러한개념은아래의서브시스템및모듈에대한논의에서더욱상세히설명된다. ( 그림 3-5) 서브시스템및모듈 개발자는서브시스템관점으로 TOE 설계를서술할것이다. 용어 " 서브시스템 " 은엄밀히말하면막연한것으로, TOE에적합한구성요소를가리킬수있다 ( 예 : 서브시스템, 모듈 ). 서브시스템은서브시스템설명에대한요구사항이만족되는한그범위가일정하지않을수도있다. 서브시스템의첫번째용도는 TSF 경계를구별하는것이다. 즉, TSF를구성하는 TOE 부분을구별하는것이다. 일반적으로, 서브시스템이 SFR의정확한오퍼레이션에영향을주는능력이있는경우 ( 설계또는구현에의해 ) 이는

122 TSF 부분이다. 예를들어, 영역분리를제공하는여러하드웨어실행모드에의존하는소프트웨어에서 (A.1 참조 ) SFR-수행코드가하나의영역에서실행되는경우, 해당영역에서실행되는모든서브시스템은 TSF 부분으로간주된다. 유사하게, 서버가해당영역외부에서 SFR을구현한경우 ( 예 : 서버가관리하는객체에접근통제정책을수행 ), 이또한 TSF 부분으로고려될것이다. 서브시스템의두번째용도는 TSF가어떻게동작하는지서술하지만, 모듈설명에서볼수있는구현에대한상세수준의세부내용을반드시포함할필요는없는서술수준으로 TSF를서술하기위한구조를제공하는것이다. 서브시스템은상위수준 ( 구현세부사항을충분하게제공하지않음 ) 또는상세수준 ( 구현내부에대하여더많이제공 ) 으로서술된다. 서브시스템의서술수준은해당서브시스템이 SFR을구현할책임이있는정도에따라서결정된다. SFR-수행서브시스템은 SFR 엘리먼트를수행하는메커니즘을제공하거나, SFR을수행할책임이있는서브시스템을직접적으로지원하는서브시스템이다. 어떤서브시스템이 SFR-수행 TSFI를제공 ( 구현 ) 하는경우, 그서브시스템은 SFR-수행이다. 또한, 서브시스템은 SFR-지원및 SFR-비-간섭으로식별될수있다. SFR- 지원서브시스템은 SFR-수행서브시스템이 SFR을구현하기위해의존하지만 SFR-지원요구사항으로써 SFR 구현에직접적인역할을수행하지않는서브시스템이다. SFR-비-간섭서브시스템은 SFR을구현하기위해지원또는수행역할로써의존되지않는서브시스템이다. 나. 모듈 모듈은일반적으로 TSF 내부 (ADV_INT) 에서논의된특성에관해서특징지어질수있는상대적으로작은구조적단위이다. ADV_TDS.3 ( 또는그상위컴포넌트 ) 및 ADV_INT 요구사항이둘다보호프로파일 / 보안목표명세서에존재하는경우, TOE 설계 (ADV_TDS) 요구사항관점에서 " 모듈 " 은 TSF 내부 (ADV_INT) 요구사항의 " 모듈 " 과동일한실체를가리킨다. 서브시스템과달리

123 모듈은구현의표현을검토하기위한지침으로써사용할수있도록상세한수준으로구현을서술한다. TOE에따라서모듈과서브시스템은동일한추상체를가리킬수있음에주의해야한다. ADV_TDS.1 및 ADV_TDS.2의경우 ( 모듈수준의서술을요구하지않음 ), 서브시스템설명은 TSF에관해가용한가장상세수준의세부사항을제공한다. ADV_TDS.3의경우 ( 모듈설명을요구함 ), 서브시스템설명은 ( 분리된실체로존재하는경우 ) 단순히모듈설명을위한배경만을제공하고, 모듈이가장상세수준의세부사항을제공한다. 즉, 모듈설명이존재하는경우상세한서브시스템설명을제공할필요가없다. 아주단순한 TOE에서, 분리된 " 서브시스템설명 " 은불필요하며, 해당요구사항은모듈에서제공되는문서를통해서만족될수있다. 복잡한 TOE의경우, 서브시스템설명 (TSF에관한 ) 의목적은읽는사람에게배경을제공하는것이므로적절한분석에초점을둘수있다. 이차이는 ( 그림 4-6) 에서설명된다. SFR-수행모듈은보안목표명세서의 SFR을직접적으로구현하는모듈이다. 이러한모듈은일반적으로 SFR-수행 TSFI를구현하지만, SFR에서표현된일부기능성은 ( 예 : 감사및객체재사용기능성 ) 하나의 TSFI에직접적으로연관되지않을수있다. 서브시스템의경우와마찬가지로, SFR-지원모듈은 SFR- 수행모듈이의존하는모듈이지만직접적으로 SFR을구현할책임은없다. SFR-비-간섭모듈은 SFR-수행을직접적으로또는간접적으로다루지않는모듈이다. " 직접적으로구현한다 " 는의미가무엇인지결정하는것은다소주관적임에주의해야한다. 가장협의로정의하면, 요구사항을구현하는비교, 소거연산등을수행하는한두줄의코드를의미하는것으로해석될수있다. 좀더광의로해석하면 SFR-수행 TSFI에대한응답으로호출되는모듈및그모듈에의해서차례대로호출될수있는모든모듈 ( 호출이완료될때까지 ) 을포함할수있다. 이러한해석들이만족되지않을수있는데, 협의의해석은중요한모듈이 SFR-지원으로써부정확하게분류될수있으며, 두번째해석은실제로 SFR- 수행이아닌모듈이 SFR-수행으로써분류될수있기때문이다

124 모듈설명은설명으로부터모듈구현을생성할수있어야하며, 그결과구현은 1) 모듈에서제시되고사용되는인터페이스에관해서실제 TSF 구현과동일하고, 2) 알고리즘측면에서해당 TSF 모듈과동일할것이다. 예를들어, RFC 793은 TCP 프로토콜에대한상위수준설명을제공한다. 이는물론구현에독립적이다. 이는많은세부사항을제공하지만, 구현을한정하지않으므로설계설명으로적합하지않다. 실제구현은 RFC에명세된프로토콜에추가될수있으며, 구현선택사항 ( 예 : 구현의다양한부분에서글로벌데이터및로컬데이터를사용하는것 ) 은분석수행시영향을줄수있다. TCP 모듈의설계설명은 TCP를구현하는모듈 ( 이들이 TSF 부분이라가정하고 ) 과관련된처리에대한알고리즘설명뿐만아니라구현 (RFC 793에서정의된것만이아닌 ) 에서제공되는인터페이스를나열할것이다. 설계에서, 모듈은자신이제공하는기능 ( 목적 ), 자신이제시하는인터페이스, 이러한인터페이스의반환값, 다른모듈이사용하는인터페이스, 자신의기능성을어떻게제공하는지에대한알고리즘설명관점에서상세히서술된다. 모듈의목적은해당모듈이어떤기능을제공하는지나타내도록서술되어야한다. 이는읽는사람이해당모듈의기능이구조내에서어떤것인지에대한일반적인개념을얻을수있기에충분해야한다. 모듈이제시하는인터페이스는제공되는기능성을호출하기위해다른모듈이사용하는인터페이스이다. 인터페이스는내포된인터페이스 ( 예 : 해당모듈이조작하는글로벌데이터 ) 와명시적인인터페이스 ( 예 : 다른모듈에의해호출되는호출시퀀스 ) 모두를포함한다. 인터페이스는이들이호출되는방법, 반환값의관점으로서술된다. 이러한서술은매개변수목록및매개변수에대한설명을포함할것이다. 매개변수가값의집합으로예상되는경우 ( 예 : " 플래그 " 매개변수 ), 모듈프로세스에영향을줄수있는매개변수값의완전한집합이명세될것이다. 유사하게, 데이터구조를나타내는매개변수는데이터구조의각필드가식별되고서술되어야한다. 글로벌데이터는해당모듈에서읽기및 / 또는쓰기여부에관해서서술되어야한다

125 다양한프로그래밍언어는명백하지않은추가적인 " 인터페이스 " 를가질수있음에주의해야한다. 예를들어, C++ 에서오퍼레이터 / 함수오버로드를들수있다. 클래스설명시이러한 " 내포된인터페이스 " 도모듈설계의일부로써서술될것이다. 모듈은인터페이스하나만을제시할수도있지만, 관련된인터페이스들의작은집합을제시하는것이더욱일반적이다. 반대로, 모듈이사용하는인터페이스는서술되는해당모듈이어떤모듈을호출하는지결정할수있도록식별되어야한다. 또한호출되는모듈을호출하는알고리즘상의이유가설계설명에서명료하게제공되어야한다. 예를들어, 모듈 A가서술되고이는모듈 B의버블정렬 (bubble sort) 루틴을사용하는경우, 부적절한알고리즘서술로 " 모듈 A는버블정렬을수행하기위해모듈 B의인터페이스double_bubble() 을호출한다 " 가될수있다. 적절한알고리즘서술은 " 모듈 A는접근통제항목의목록으로 double_bubble 루틴을호출한다. double_bubble() 은사용자명의첫번째문자로정렬된항목을리턴할것이고, 다음의규칙에따라 access_allowed 필드에서..." 이될것이다. 설계에서상세한모듈설명은모듈 A가버블정렬인터페이스로부터어떤효과를기대하고있는지명료하도록충분히상세하게서술되어야한다. 이렇게호출되는인터페이스를나타내는한가지방법은호출트리를이용하는것이며, 이런경우해당알고리즘설명은호출되는모듈의알고리즘설명에포함될수있음에주의해야한다. 앞에서논의되었듯이, 모듈의알고리즘설명은모듈구현의알고리즘성향을서술해야한다. 이는수도-코드, 플로차트, 또는 (ADV_TDS.3 기본적인모듈화설계에서 ) 비정형화된문장을통해서이루어질수있다. 이는모듈이입력하는방법및호출되는기능이해당모듈의기능을수행하는데사용되는방법을논의한다. 이는글로벌데이터, 시스템상태, 모듈이생성하는반환값의변경에대하여서술해야함을주의해야한다. 이는 TOE의실제구현과아주유사할수있도록구현이도출될수있는상세수준이어야한다. 소스코드는모듈문서요구사항을만족시키지못함에주의해야한다. 모듈

126 설계는구현을서술하지만, 구현그자체는아니다. 소스코드에포함된주석이소스코드의의도를설명하는경우충분한문서가될수도있다. 단순히각코드라인별로하는일을서술하는주석은모듈이수행해야하는것을설명하는것이아니므로의미가없다. A.4.3에서, 서브시스템및모듈에서논의되는레이블 (SFR-수행, SFR-지원, SFR-비-간섭 ) 은개발자가가용하도록해야하는정보의양및유형을서술하는데사용된다. 이요소들이구조화되어서개발자가명세된정보만을제공할것이라고예측하는것은아니다. 즉, TSF에대한개발자의문서가요구사항에해당하는정보를제공하는경우, 개발자가 SFR-수행, SFR-지원, SFR-비-간섭을사용하여서브시스템및모듈을레이블링하고, 문서를갱신할것으로기대하지는않는다. 이렇게레이블을다는주요목적은덜성숙한방법론 ( 및상세한인터페이스및설계문서같은관련산출물 ) 을가진개발자가과도한비용없이필요한증거를제공하는것을허용하기위함이다. 다. 계층화방법론 어떤것이 SFR-수행인지, SFR-지원인지결정하는것은주관적이므로 ( 어떤경우 SFR-비-간섭을결정하는것도주관적일수있음 ), 이패밀리에는다음의패러다임이적용된다. 이패밀리의낮은컴포넌트에서는, 개발자가적절한정보를제공하여서 SFR-수행등으로서브시스템을분류하는결정을하고, 평가자가이러한주장을지원하기위해조사하는약간의추가적인증거가요구된다. 요구되는보증이증가함에따라, 여전히개발자가분류에대한결정을하지만, 평가자는개발자의분류를확인하는데사용되는더많은증거를획득한다. TOE의 SFR-관련부분에대한평가자의분석에초점을두기위해, 특히낮은보증등급에서, 이패밀리의서브시스템은 SFR-수행에대하여서만상세한정보를요구하도록계층화되어있다. 보증등급이증가함에따라, 더많은정보가 SFR-지원및 ( 궁극적으로는 ) SFR-비-간섭요소에대해서도요구된다. 완전한정보가요구되는경우라도, 이러한모든정보가동일한상세수준으로분석될필요가없음에주의해야한다. 모든경우에있어서필요한정보가제공되었고분

127 석되었는지에초점을두어야한다. [ 표 3-5] 은이패밀리의각서브시스템에서요구되는정보를요약한것이다. [ 표 3-5] 각서브시스템에서요구되는정보요약 ADV_TDS.1 ( 비정형화된표현 ) ADV_TDS.2 ( 비정형화된표현 ) ADV_TDS.3 ( 비정형화된표현 ) ADV_TDS.4 ( 준정형화된표현 ) ADV_TDS.5 ( 준정형화된표현 ) ADV_TDS.6 ( 준정형화된표현, 추가적인정형화된표현 ) TSF 서브시스템 TSF 모듈 SFR 수행 SFR 지원 SFR 비간섭 SFR 수행 SFR 지원 SFR 비간섭 구조, SFR- 수행 행동, 분류지원 (1) 분류지원 상호작용의 요약 구조, SFR- 수행 행동의 상세한설명, 기타행동에대한상위수준설명, 상호작용 설명, 상호작용 설명, 상호작용 설명, 상호작용 설명, 상호작용 구조, 다른행동, 상호작용에대한요약 설명, 상호작용 설명, 상호작용 설명, 상호작용 설명, 상호작용 분류지원, 상호작용 설명, 상호작용 설명, 상호작용 설명, 상호작용 설명, 상호작용 목적, 상호작용, SFR 인터페이스 (2) 목적 목적, SFR 인터페이스 목적, SFR 인터페이스 목적, 모든목적, 모든인터페이스 (3) 인터페이스 목적, 모든인터페이스 목적, 모든인터페이스 상호작용, 목적 상호작용, 목적 목적, 모든인터페이스 목적, 모든인터페이스 (1) 분류지원 (designation support), 서브시스템 / 모듈의분류를지원하기에충분한문서만이요구됨을의미함 (2) SFR 인터페이스 (interface), 각 SFR 관련인터페이스에대해반환값, 다른모듈에서사용되는인터페이스를포함하는모듈설명 (3) 모든인터페이스 (Interface), 각인터페이스에대해반환값, 다른모듈에서사용되는인터페이스를포함하는모듈설명

128 라. TOE 설계패밀리컴포넌트 설계문서작성에사용되는일반적인방법은, 보증수준이높아질수록서술의강조점이개략적인 ( 서브시스템수준 ) 것으로부터구체적인세부사항으로 ( 모듈수준 ) 이동한다는것이다. TOE가모듈수준에서서술될수있을정도로단순해서모듈수준의추상화가적절할경우에는, 해당보증등급에서서브시스템수준의서술을요구하더라도모듈수준의설명만으로충분하다. 그러나복잡한 TOE의경우에는서브시스템수준의설명이제공되지않으면방대한양의 ( 모듈수준 ) 세부사항을이해할수없다. 이는 TSF의구현에대한추가적인세부사항을제공함으로써 SFR이정확히구현되었다는보증을강화시키고시험시 (ATE : 시험 ) 이를입증하는데사용될수있는정보를제공한다는일반적인패러다임을따르는것이다. 본패밀리내의요구사항에서인터페이스라는용어는 ( 두서브시스템간, 또는두모듈간의 ) 통신수단을의미하는것이다. 인터페이스는통신이호출되는방법을서술하며, 이것은 TSFI의세부사항과유사하다 (ADV_FSP 기능명세참조 ). 상호작용이라는용어는통신의목적을식별하는데사용되며, 두서브시스템또는모듈이통신하는이유를식별한다. 요구사항은제공되어야할서브시스템과모듈의세부사항을정의한다. - 서브시스템과모듈은그들을나타내는간단한목록에의해식별된다. - 서브시스템은 ( 암시적또는명시적으로 ) "SFR-수행", "SFR-지원", "SFR- 비-간섭 " 서브시스템으로범주화될수있다. 이명칭들은기능명세 (ADV_FSP) 에서사용된것과같은의미로쓰인다. - 서브시스템의행동은서브시스템이수행하는것이다. 서브시스템의행동은 SFR-수행, SFR-지원, SFR-비-간섭으로범주화될수있다. 서브시스템행동은그서브시스템자체의범주이외에더 SFR-관련범주로구분될수없

129 다. 예를들어, SFR-수행서브시스템은 SFR-수행행동과비-SFR-수행행동을모두가질수있다. - 서브시스템행동요약은서브시스템이수행하는행동에대한개요이다. ( 예 : "TCP 서브시스템은 IP 데이터그램을신뢰할수있는바이트흐름으로통합한다.") - 서브시스템행동설명은서브시스템이하는모든것에대한설명이다. 이는사용자가서브시스템행동이 SFR 수행과관련을갖는지쉽게결정할수있는정도의상세수준으로서술되어야한다. - 서브시스템간의상호작용설명은서브시스템이통신하는이유를식별하고, 전달된정보의특성을기술한다. 그러나그정보를인터페이스명세와같은상세수준으로정의할필요는없다. 예를들어, " 서브시스템 X는할당된메모리위치에관해응답하는메모리관리자로부터메모리블록을요구한다." 와같은서술수준이면충분하다. - 모듈의목적은더이상의설계과정이필요하지않을정도의세부사항을충분히제공하는것이다. 모듈을구현하는소스코드와모듈의목적사이의일치성은명백히제시되어야한다. - 모듈은엘리먼트내에식별된것과관련해서서술된다

130 공통평가기준 컴포넌트엘리먼트설명 ADV_TDS.3.1D 개발자는 TOE 설계를제공해야한다. ADV_TDS.3.2D [ 표 3-6] TOE 설계 개발자는기능명세의 TSFI 와 TOE 설계에서사용가능한가장상세수준분해간의대응관계를제공해야한다. 공통평가방법론 비고 ADV_TDS.3 ( 기본적인모듈화설계 ) 설계는 TOE의구조를서브시스템측면에서 ADV_TDS.3.1C ADV_TDS.3-1 서술해야한다. ADV_TDS.3.2C 설계는 TSF를모듈측면에서서술해야한다.ADV_TDS.3-2 설계는 TSF의모든서브시스템을식별해야 ADV_TDS.3.3C ADV_TDS.3-3 한다. ADV_TDS.3.4C ADV_TDS.3.5C ADV_TDS.3.6C ADV_TDS.3.7C 설계는 TSF 의각서브시스템에대한설명을제공해야한다. 설계는 TSF 의모든서브시스템들간의상호작용에대한설명을제공해야한다. 설계는 TSF 서브시스템과 TSF 모듈간의대응관계를제공해야한다. 설계는각 SFR- 수행모듈을그목적측면에서서술해야한다. ADV_TDS.3-4 ADV_TDS.3-5 ADV_TDS.3-6 ADV_TDS.3-7 ADV_TDS.3-8 설계는각 SFR-수행모듈을 SFR-관련인터페이스, 인터페이스로부터의반환값, 다른모 ADV_TDS.3.8C ADV_TDS.3-9 듈에서호출된인터페이스등의측면에서서술해야한다. ADV_TDS.3.9C ADV_TDS.3.10C ADV_TDS.3.1E ADV_TDS.3.2E 설계는각 SFR-지원또는 SFR-비-간섭모듈 ADV_TDS.3-10 을목적및다른모듈과의상호작용측면에 ADV_TDS.3-11 서서술해야한다. ADV_TDS.3-12 대응관계는 TOE 설계내에서술된모든행동이그것을호출하는 TSFI로대응됨을입증 ADV_TDS.3-13 해야한다. 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 평가자는설계가모든보안기능요구사항을 ADV_TDS.3-14 정확하고완전하게실체화하는지결정해야 ADV_TDS.3-15 한다

131 4. 구현검증명세서 (ADV_IMP.1 TSF 에대한구현의표현 ) 구현의표현 (ADV_IMP, Implementation representation) 패밀리의목적은개발자가 TOE에대한구현의표현 ( 더높은수준의컴포넌트에서는구현자체 ) 을평가자가분석할수있는형태로사용가능하게하는것이다. 구현의표현은 TOE가그설계와일치함을입증하고다른분야평가시 ( 예 : 취약성조사 ) 분석에필요한근거를제공하기위해서다른패밀리 ( 예 : TOE 설계분석 ) 의분석활동에서사용된다. 구현의표현은 TSF의상세한내부동작을포함하는형태여야한다. 이는소프트웨어소스코드, 펌웨어소스코드, 하드웨어도면및 / 또는 IC 하드웨어설계언어코드또는레이아웃데이터가될수있다. 구현의표현에대한예로소스코드, 실제하드웨어를구축하는데사용되는하드웨어도면및 / 또는 IC 하드웨어설계언어코드또는레이아웃데이터등을들수있다. 구현의표현은평가자가사용가능해야하지만, 이것이평가자가구현의표현을소유해야함을의미하지는않는다는것에주의해야한다. 예를들어, 개발자는평가자에게개발자가지정한장소에서구현의표현을검토할것을요청할수있다. 정보의부족으로인하여분석활동이위축되지않도록보장하기위해서전체구현의표현이이용가능해야한다. 그러나분석활동이수행되는경우에모든표현이조사됨을의미하지는않는다. 이는대부분의경우현실적이지않을수있으며, 또한구현의표현을표본추출하는것에비하여더높은보증을제공하는 TOE를보장할수있는것도아니다. 구현의표현은다른 TOE 설계분해 ( 예 : 기능명세, TOE 설계 ) 의분석이가능하도록, 상위수준설계의보안기능성이실제로 TOE에구현된다는신뢰성을얻을수있도록가용해야한다. 구현의표현에대한일부작성규칙은구현의표현자체를실제로컴파일하거나실행시해석한결과가무엇인지결정하는것을어렵거나불가능하게할수있다. 예를들어, C언어컴파일러에서사용하는컴파일러명령어는컴파일러가코드전체를배제하거나포함하도록할수있다. 이런이유로, 구현의표현이정확하게결정될수있도록 " 추가적인 " 정보및관련도구 ( 예 : 스크립트, 컴파일러등 ) 가제공되는것이중요하다

132 구현의표현과 TOE 설계설명간의대응관계는평가자분석을돕기위한것이다. TOE의내부동작은 TOE 설계가그에상응하는구현의표현부분과함께분석될경우이해하기쉽다. 대응관계는구현의표현에대한색인역할을한다. 낮은수준의컴포넌트에서는구현표현의일부만이 TOE 설계설명에대응된다. 따라서, 구현표현의어느부분이매핑되어야하는지불확실하기때문에, 개발자는전체구현표현을사전에매핑할것인지또는추후평가자가요구하는부분만을매핑할것인지선택할수있다. 개발자는구현의표현을실제구현으로변환하기에적합한형태로다루어야한다. 예를들어, 개발자는컴파일되어 TSF의일부가될소스코드를포함하는파일을다룰수있다. 개발자가자신이사용한형태의구현표현을제공하는경우, 평가자는분석시자동화된기법을사용할수있다. 이는조사된구현표현이실제로 TSF 생성에사용된것이라는신뢰성을증가시킨다 ( 이는구현표현이워드프로세서문서등의다른표현형태로제공되었을경우와는반대된다.). 개발자가다른형태의구현표현역시사용할수있고, 이또한제공할수있음에주의해야한다. 구현표현제공의전반적인목적은평가자에게평가자분석노력의효율성을극대화할정보를제공하는것이다. 일부형태의구현표현은이해및분석하기에는중대한장애가있어서추가적인정보가필요할수있다. 예를들면, 보호된 (shrouded) 소스코드또는이해및 / 또는분석을방지하는방식으로판단방지된 (obfuscated) 소스코드등을들수있다. 이러한형태의구현표현은일반적으로 TOE 개발자가사용하는버전의구현표현에보호또는판단방지프로그램을실행한결과생성된다. 보호된표현은컴파일된것으로원본 ( 즉, 보호되지않은표현 ) 보다 ( 구조관점에서 ) 구현에가까울수있는반면, 판단방지코드가제공되는표현은분석업무에현저하게많은시간이소모될것이다. 이러한형태의표현이생성되는경우, 이패밀리의컴포넌트들은보호되지않은표현이제공될수있도록보호도구 / 알고리즘에대한상세한정보를요구하며, 추가적인정보는보호프로세스가보안기능성을손상시키지않는다는신뢰성을획득하는데사용될수있다

133 공통평가기준 컴포넌트엘리먼트설명 ADV_IMP.1.1D ADV_IMP.1.2D [ 표 3-7] 개발클래스 - 구현검증 개발자는전체 TSF 에대한구현의표현을가용하게해야한다. 개발자는 TOE 설계설명과구현의표현표본간의대응관계를제공해야한다. 공통평가방법론 비고 ADV_IMP.1 (TSF 에대한구현의표현 ) ADV_IMP.1.1C ADV_IMP.1.2C ADV_IMP.1.3C ADV_IMP.1.1E 구현의표현은더이상의설계과정없이 TSF 가생성될수있는상세수준으로 TSF를정의 ADV_IMP.1-1 해야한다. 구현의표현은개발인력이사용한형태이어야한다. TOE 설계설명과구현의표현표본간의대응관계는이들의일치성을입증해야한다. 평가자는선택된구현의표현표본에대해제공된정보가모든증거요구사항을만족하는지확인해야한다. ADV_IMP.1-2 ADV_IMP

134 제 2 절개발클래스작성방법 CC v3.1 기반의평가제출물점검가이드라인 (EAL4) 은공통평가방법론 (CEM) 을기반으로작성되어있으며본절에서는공통평가기준과공통평가방법론을비교하여개발클래스작성방법을설명한다. 개발클래스제출물의작성목적은 TSF가 SFR을만족시키는방법및 SFR 구현이침해되거나우회되지않는방법을이해하기에적절한지설계문서를평가받기위한것이다. 개발클래스제출물은점차적으로상세화되는 TSF 설계문서를작성함으로써평가자를이해시킬수있게된다. 설계문서는기능명세 (TSF 인터페이스서술 ), TOE 설계설명 ( 선언된 SFR과관련된기능을수행하기위하여 TSF가어떻게동작하는지서술 ), 구현설명 ( 소스코드수준의서술 ) 으로구성된다. 또한설계문서는보안구조설명 (TSF 보안수행이손상되거나우회되지않는방법을설명하는 TSF의구조특성서술 ), TSF 내부설명 (TSF가이해도를높이는방식으로어떻게구성되는지서술 ), 보안정책모델 (TSF가수행하는보안정책을정형화된방식으로서술 ) 을포함한다

135 1. 보안구조설명서 (ADV_ARC.1 보안구조설명 ) 작성방법 평가제출물점검가이드라인 (EAL4) 에서보안구조설명 (ADV_ARC.1) 에대한점검사항은다음과같이구성되어있다. [ 표 3-8] 보안구조설명에대한평가제출물점검사항 항목 점검사항 제출내용 필수 적부 [ARC.1-1] SFR- 수행추상화설명에알맞은상세수준으로서술 [ARC.1-2] TSF가유지하는보안영역서술 [ARC.1-3] TSF 초기화과정의보안유지서술 [ARC.1-4] TSF가침해로부터자신의보호를입증 [ARC.1-5] TSF가 SFR-수행기능성의우회방지입증 보안구조설명서는 TSF가침해되거나우회되지않도록구조화되고 TSF가제공하는보안영역이다른영역과분리되는지를설명하는것이다. 자체보호와영역분리, 우회불가성은대부분의경우 TSF에서직접적으로관찰가능한인터페이스가없기때문에자체보호, 영역분리, 우회불가성과같은개념은 2부 SFR에서표현된보안기능성과는구별된다. 오히려이는 TOE 설계를통해만족되고, TOE 설계의정확한구현을통해수행되는 TSF 특성을갖는다. 전체적인접근방식은개발자가위에서언급된특성을만족하는 TSF와이러한특성을실제로만족하는지보여주기위해분석한증거 ( 문서의형태 ) 를제공하는것이다. 보안구조설명은영역이정의되는방법과 TSF가그영역을분리해서유지하는방법을서술한다. 보안구조설명은 TSF로진입해서변경하려는신뢰되지

136 않은절차를방지하는방법을서술하며 TSF 통제하의모든자원이적절하게보호되고 SFR과관련된모든행동이 TSF에의해중재됨을보장하는방법을서술한다. 또한, 이러한기능을수행하는환경의역할 ( 예 : TSF의하부환경에의해정확하게구현되어있고, 보안기능성은어떻게제공되는지등 ) 을설명한다. 즉, 보안구조설명은 TOE가보안서비스를제공하도록고려되는방법을설명한다. (1) 보안구조설명의전체적인작성방법 CC 3 부 ADV_ARC.1.1C 보안 구조 설명은 TOE 설계 문서에 서술된 SFR-수행 추상화 설명에 알맞은 상세수준으로 서술되어야 한다. CEM ADV_ARC.1-1 평가자는증거에서제공된정보가기능명세및 TOE 설계문서에포함된 SFR- 수행추상화설명에알맞은상세수준으로제시되었음을결정하기위해보안구조설명을조사해야한다. 기능명세와관련하여, 서술된자체보호기능성이 TSFI에서명백하게나타나는효과를다루고있음을나타내야한다. 이러한설명은 TSF 실행이미지에대한보호및객체 ( 예 : TSF가사용하는파일 ) 에대한보호를포함할수있다. TSFI를통해서호출될수있는기능성을서술해야한다. EAL4 등급의 TOE 설계는 ADV_TDS.3 기본적인모듈화설계 를요구하므로보안구조설명에서 TSF 영역분리에기여하는서브시스템및모듈이어떻게동작하는지나타내야하며구현-종속적인정보도포함하여야한다. EAL4 등급은 ADV_IMP.1을요구하기때문에, 소스코드수준의보안구조설명도필요하다. 예를들면, TSF 손상 ( 예 : 버퍼오버플로 ) 을방지하는매개변수확인을위한코딩규약에대한정보및오퍼레이션호출및반환을위한스택관리에대한정보를포함하여야한다. 또한보안구조설명과구현의표현간에모호성이거의없을정도의상세수준임을보장하기위해메커니즘에대하여설명을하여야한다

137 보안구조설명에서기능명세또는 TOE 설계문서에서술되지않은모듈, 서브시스템, 인터페이스를언급하는경우이는잘못작성한것으로본다. (2) 영역분리작성방법 CC 3 부 ADV_ARC.1.2C 보안 구조 설명은 TSF에 의해서 SFR과 일관성 있게 유지되어야 하는 보안 영역을 서술해야 한 다. CEM ADV_ARC.1-2 평가자는 TSF 가유지하는보안영역을서술하는지결정하기위해보안구조설명을조사해야한다. 보안영역은손상을입힐가능성이있는실체에대해 TSF가제공하는환경을의미한다. 예를들어, 전형적인보안운영체제는제한된접근권한및보안속성을지닌프로세스가사용하기위한자원 ( 주소공간, 프로세스당환경변수 ) 들을제공한다. 그러므로제출물작성자는개발자의보안영역에대한설명에서 TOE에포함된모든 SFR을고려하여야한다. 다른문서와마찬가지로보안구조설명에서사용하는주체, 객체, 자원및이에대한보안속성은보안목표명세서보안요구사항절에기술된다. 어떤 TOE의경우사용자가이용할수있는모든상호작용이 TSF에의해서엄격하게제한되기때문에이러한영역이존재하지않을수있다. 패킷-필터침입차단시스템이이러한 TOE의예이다 (TSF 범위를제외한영역과분리하여 TSF 영역을하나의보안영역으로볼수도있다 ). LAN 또는 WAN 상의사용자는 TOE와상호작용할수없으며, 따라서보안영역이필요하지않다. 즉, 사용자패킷을분리된상태로두기위해 TSF가유지하는데이터구조만이존재한다. 실제로이러한영역이사용가능하지않을경우증거에서영역이지원되지않는다고선언해야한다. 영역분리기능은보통 H/W 및 OS에서제공한다. 그렇지만, TOE가 OS가아닌일반어플리케이션일경우, 일반적으로영역분리기능을제공하지않는다. 이럴경우는환경에서영역분리를위해어떤도움을받는지기술하게된다

138 (4) 자체보호작성방법 ( 초기화및자체보호 ) 자체보호에서는 TSF 초기화과정에서어떻게안전한지와 TSF가침해로부터자신을보호하는지에대하여서술한다. CC 3 부 ADV_ARC.1.3C 보안구조설명은 TSF 초기화과정이어떻게안전한지서술해야한다. CEM ADV_ARC.1-3 평가자는초기화과정이보안을유지하는지결정하기위해보안구조설명을조사해야한다. 보안구조설명에서 TSF 초기화와관련하여제공되는정보는전원을켜거나 (power-on) 재시동 (reset) 될때 TSF를초기안전한상태 ( 즉, TSF의모든부분이동작하게될때 ) 가되도록하는것과관련된 TOE 컴포넌트에적용된다. 보안구조설명에서이와관련된논의는 다운 상태에서초기안전한상태로전환시발생하는시스템초기화컴포넌트및프로세스를나열하여야한다. 안전한상태가된이후에는이러한초기화기능을수행하는컴포넌트에접근할수없는경우가있다. 이런경우구조적설계에서해당컴포넌트를식별하고, TSF가설치된이후신뢰되지않은실체가해당컴포넌트들에어떻게접근할수없는지설명한다. 이경우유지되어야하는특성은이러한컴포넌트들이 1) 안전한상태에도달한이후에신뢰되지않은실체에의해접근될수없거나, 2) 신뢰되지않은실체에게인터페이스를제공하는경우이러한 TSFI가 TSF를침해하는데사용될수없다는것이다. TSF 초기화와관련된 TOE 컴포넌트들은 TSF 일부로취급되며이러한관점에서분석된다

139 CC 3 부 ADV_ARC.1.4C 보안구조설명은 TSF 가침해로부터자신을보호함을입증해야한다. CEM ADV_ARC.1-4 평가자는 TSF 가신뢰되지않은능동적인실체에의한침해로부터자신을보호할수있음을입증하는충분한정보를포함하는지결정하기위해보안구조설명을조사해야한다. 자체보호 는 TSF를변경시킬수있는외부실체의조작으로부터자신을보호하는 TSF의능력을의미한다. 다른 IT 실체에의존하는 TOE의경우자신의기능을수행하기위해서다른 IT 실체가제공하는서비스를사용하는경우가있다. 이경우 TSF는보호를일부제공하기위해다른 IT 실체에의존하기때문에 TSF가전적으로자신을보호하지못한다. 보안구조설명에서자체보호의의미는 TSF가사용하는하부 IT 실체가제공하는서비스가아니라 TSFI를통해서 TSF가제공하는서비스에만적용된다. 자체보호는일반적으로 TOE에대한물리적 / 논리적접근을제한하는것에서부터, 하드웨어기반의수단 ( 예 : 실행링 및메모리관리기능성 ), 소프트웨어기반의수단 ( 예 : 신뢰된서버에대한입력경계검사 ) 에이르기까지다양한수단을통해이루어진다. 제출물작성자는설계설명에서 TSF가사용자입력에의해손상되지않도록 TSF에서사용자입력을처리하는방법을서술해야한다. 예를들어, TSF는특권개념을구현하고사용자데이터를처리하기위한특권모드루틴을사용하여자신을보호할수있다. TSF는특권계층 (privilege levels) 또는링 (ring) 과같은프로세서기반의분리메커니즘을사용할수있다. TSF는시스템주소공간과사용자주소공간을규정함으로써소프트웨어영역분리를구현하는데기여하는소프트웨어보호구조또는코딩규약을구현할수있다. 또한, TSF는 TSF 보호를일부지원하기위해자신의환경에의존할수있다. 자체보호기능에기여하는모든메커니즘이서술된다. 자체보호에기여하는기능성이보안구조설명에존재하지않는경우, 다른제출물 (TOE의보증패키

140 지에포함된기능명세, TOE 설계, TSF 내부설명, 보안구조설명의다른부분, 또는구현의표현 ) 을이용하여정보를제시해야한다. 자체보호메커니즘에대한설명이정확하다는것은설명에서무엇이구현되었는지를충실하게서술하고있음을의미한다. 제출물작성자는자체보호메커니즘에대한설명에서모순이발생하지않도록다른제출물 (TOE의 ST에포함된기능명세, TOE 설계, TSF 내부문서, 보안구조설명의다른부분, 구현의표현 ) 에서도일관성을유지해야한다. 예를들어, TOE의보증패키지에구현의표현 (ADV_IMP) 이포함되어있는경우구현의표현에대한표본을선택해서설명되어야한다. 특정자체보호메커니즘이동작하는방법또는시스템구조에서동작하는방법을평가자가이해할수있도록서술해야한다. TOE에서주기적인무결성검사기능을제공할경우, 무결성검사기능이 TOE 자체보호기능은아니다. 오히려이무결성검사기능이침해되지않음을기술하는것이자체보호기능이다. (4) 우회불가성작성방법 CC 3 부 ADV_ARC.1.5C 보안구조설명은 TSF 가 SFR- 수행기능성의우회를방지함을입증해야한다. CEM ADV_ARC.1-5 평가자는보안구조설명에서 SFR- 수행메커니즘이우회될수없는방법을적절하게서술하는분석을포함함을결정하기위해보안구조설명을조사해야한다. 우회불가성은 TSF의보안기능성 (SFR에서명세된 ) 이항상호출된다는특성이다. 예를들어, 파일에대한접근통제가 SFR을통한 TSF의기능으로명세된경우 TSF의접근통제메커니즘을호출하지않고파일에접근할수있는인터페이스 ( 예 : 원형디스크접근이발생하는인터페이스 ) 는존재하지않아야한다. 일반적으로 TSF 메커니즘이우회될수없는방법을서술하는경우 TSF 및 TSFI에기반한체계적인논증이필요하다. TSF가동작하는방법에대한설명

141 은 ( 기능명세, TOE 설계문서등과같은설계분해증거에포함됨 ) - TSS에있는정보와함께 - 평가자가어떤자원이보호되고있으며어떤보안기능이제공되고있는지이해하는데필요한배경지식을제공한다. 기능명세는자원 / 기능에접근하기위한 TSFI에대한설명을제공한다. 어떤인터페이스도 TSF를우회하는데사용될수없음을보장하기위해설명 ( 및기능명세와같이개발자가제공하는다른정보 ) 이제공되어야한다. 이는모든가용한인터페이스가 ST에명세된 SFR과관련이없는것 ( 그리고 SFR을만족시키기위해사용되는모든것과상호작용하지않아야함 ) 이거나다른개발증거에서술된보안기능성을서술된방식대로사용해야함을의미한다. 예를들어, 게임은 SFR과관련이없을것이므로, 게임이어떻게보안에영향을줄수없는가에대한설명이있어야한다. 그러나사용자데이터에대한접근은접근통제 SFR과관련된것이므로데이터접근인터페이스를통해서호출되는경우보안기능성이어떻게동작하는지에대해서술될것이다. 이러한설명은모든가용한인터페이스에대하여필요하다. 설명의예는다음과같다. TSF가파일보호를제공한다고가정하자. 또한열기, 읽기, 쓰기를위한 전통적인 시스템호출 TSFI가 TOE 설계에서술된파일보호메커니즘을호출하지만, 일괄 (batch) 작업을위한기능 ( 일괄작업생성, 작업삭제, 처리되지않은작업변경 ) 에접근할수있는 TSFI가존재한다고가정하자. 이 TSFI가 전통적인 인터페이스처럼동일한보호메커니즘을호출하는지설명하여야한다. 이는일괄작업기능 TSFI가자신의보안목적을어떻게달성하는지설명하는 TOE 설계의적정부분을참조함으로써이루어질수있다. 동일한예를사용하여날짜및시간을표시하는목적으로사용되는 TSFI가있다고가정하자. 보안구조설명에이 TSFI가보호되는자원을조작할수없으며보안기능성을호출하지않아야함을적절하게논증하여야한다. 우회에대한다른예로 TSF가암호키 ( 암호연산에사용하는것은허용되지만, 이에대한읽기 / 쓰기는허용되지않음 ) 의비밀성을유지하도록해야하는

142 경우를들수있다. 공격자가장치에직접적으로물리적인접근을하는경우공격자는장치의전력소모, 정확한시점, 전자기방출등과같은부채널을조사하여키를추론할수있을것이다. 이러한부채널이존재하는경우평가증거에서랜덤내부클록 (clock), 이중선 (dual line) 기술등과같은부채널발생을방지하는메커니즘을다루도록권고된다. 보호되는자원이아닌보안기능성을사용하는마지막예로 TSF가 ST에서명세된정보유형에대하여발신증거를제공하도록요구하는 FCO_NRO.2를포함한다고가정하자. 정보유형 은 TOE가이메일을사용하여전송하는모든정보를포함한다고가정한경우, 이메일을전송하기위해호출되는모든 TSFI가 발신증거생성 기능을수행함을보장하는지해당설명을기술하여야한다. 이러한설명은이메일이발생할수있는모든위치 ( 예 : 이메일프로그램, 스크립트 / 일괄작업의통지 ) 및이러한모든위치에서어떻게발신증거생성기능을호출하는지입증하기위해사용자설명서를참조할수도있다

143 2. 기능명세서 (ADV_FSP.4 완전한기능명세 ) 작성방법 평가제출물점검가이드라인 (EAL4) 에서완전한기능명세 (ADV_FSP.4) 에대한점검사항은다음과같이구성되어있다. [ 표 3-9] 기능명세에대한평가제출물점검사항 항목 점검사항 제출내용 필수 적부 [FSP.4-1] [FSP.4-2] [FSP.4-3] TSF 를완전하게표현 각 TSFI 의목적서술 각 TSFI 의사용방법서술 [FSP.4-4] 각 TSFI 와관련된모든매개변수 ( 인자 ) 를식별 [FSP.4-5] TSFI 와관련된모든매개변수를완전하고정확하게서술 [FSP.4-6] TSFI 와관련된모든동작을완전하게서술 [FSP.4-7] [FSP.4-8] TSFI 호출결과발생하는모든오류메시지서술 TSFI 호출과관련된오류메시지의의미를서술 [FSP.4-9] SFR 과 TSFI 사이의추적성기술 기능명세서는 TSFI를정확하고완전하게서술하고, ST의보안기능요구사항을구현할수있을정도로모든 TSFI를서술해야한다. 기능명세서는구조적인방법으로 TSF에대한인터페이스 (TSFI) 를서술해야한다. TSF는 TOE 설계문서에기술한다. 기능명세서에서는 TSFI 자체뿐아니라, TSFI의개별구성요소 ( 매개변수, 행동, 오류메시지등 ) 을정확성하고완전성하게서술해야한다. 기능요구사항의기능성이하나의특정메커니즘보다는오히려구조적으로

144 ( 전체또는부분 ) 명시되는경우를인지하도록권고된다. 잔여정보보호 (FDP_RIP) 를구현하는메커니즘의구현이이러한예이다. 이러한메커니즘은행동이존재하지않음을보장하기위해구현되는것으로, 시험하기어려우며일반적으로분석을통해검증된다. 이러한기능요구사항이 ST에포함된경우, 이러한유형의 SFR에대한인터페이스가없음을인지하고, 기능명세의결함으로고려하지않을수있다. (1) TSF 표현 CC 3 부 AD V _ F S P.4.1C 기능명세는 TSF 를완전하게표현해야한다. CEM ADV_FSP.4-1 평가자는 TSF 를완전하게표현하는지결정하기위해기능명세를조사해야한다. TSFI를식별하기위하여 TSF가식별되어야한다 ( 이러한 TSF 식별은 ADV_TDS 작업단위일부에서수행된다.). 대규모인터페이스그룹 ( 네트워크프로토콜, 하드웨어인터페이스, 구성파일 ) 이누락되지않았음을보증할수있도록상위수준에서 TSFI를식별하거나그하위레벨로상세수준에서 TSFI를식별할수있다. TSF의모든부분은해당인터페이스설명을포함하도록권고되며 TSF의일부분에대해이에대응하는인터페이스가없는경우관련된이론적근거를기술하여야한다. (2) TSFI 목적과사용방법 CC 3 부 AD V _ F S P.4.2 C 기능명세는모든 TSFI 에대한목적과사용방법을서술해야한다. CEM ADV_FSP.4-2 평가자는 기능명세에 각 TSFI에 대한 목적을 서 술하는지 결정하기 위해 기능명세를 조사해야 한다. TSFI 의목적은인터페이스를통해제공된기능성을요약한개괄적인문장이

145 다. TSFI 목적은인터페이스의행동및결과를완전하게서술하는것이아니라읽는사람의이해를돕기위해인터페이스사용의도가무엇인지를서술한것이다. CEM ADV_FSP.4-3 평가자는기능명세에각 TSFI 에대한사용방법이제공되는지결정하기위해기능명세를조사해야한다. TSFI 사용방법은 TSFI와관련된행동을호출하여결과를얻기위해인터페이스를다루는방법을요약한것이다. 이는각 TSFI에대한별도의사용방법이반드시필요하다는의미는아니다. 예를들어, 커널호출의경우호출방법을일반적으로서술하고이러한일반적인유형을이용하여각인터페이스를식별하는것이가능할수있기때문이다. 인터페이스의유형이다른경우사용방법에대한명세가구분되어서술되도록요구된다. API, 네트워크프로토콜인터페이스, 시스템구성매개변수및하드웨어버스인터페이스등은매우다른사용방법을갖는다. 신뢰되지않은사용자가관리인터페이스기능성에접근할수없는것으로문서화할경우, 이러한접근불가성을 ( 시험서에기술하여 ) 시험하여야한다. (3) TSFI 매개변수식별및서술 CC 3 부 AD V _ F S P.4.3C CEM ADV_FSP.4-4 기능명세는각 TSFI 와관련된모든매개변수를식별및서술해야한다. 평가자는각 TSFI 와관련된모든매개변수를 TSFI 표현에서완전하게식별하는지결정하기위해 TSFI 표현을조사해야한다. 각 TSFI에대해모든매개변수가서술되어야한다. 매개변수는인터페이스의행동을조절하는인터페이스에대한명시적인입력또는출력값이다. 예를들어, API에서는인자 (argument), 네트워크프로토콜에서는패킷의다양한필드,

146 윈도우레지스트리에서는개별키값, 칩에서는핀셋 (set) 을통과하는신호등이매개변수가된다. TSFI의모든매개변수를기술하고, 매개변수의효과도기술하여야한다. TSFI의행동또는추가매개변수가다른증거 ( 예 : TOE 설계, 보안구조설명, 사용자운영설명서, 구현의표현 ) 와비교하여기능명세에서술되지않은지검토할수있다. CEM ADV_FSP.4-5 평가자는각 TSFI 와관련된모든매개변수를 TSFI 표현에서완전하게식별하는지결정하기위해 TSFI 표현을조사해야한다. 매개변수설명은의미있는방식으로 매개변수는무엇이다 라고나타내는것이다. 예를들어, 인터페이스 foo(i) 는 매개변수 i는정수이다 라고서술될수있지만이는허용가능한매개변수설명이아니다. 매개변수 i는현재시스템에로그인하고있는사용자의수를나타내는정수이다 와같이서술한매개변수설명이훨씬더허용가능한표현이다. (4) TSFI 행동서술 CC 3 부 AD V _ F S P.4.4C 기능명세는각 TSFI 에관련된모든행동을서술해야한다. CEM ADV_FSP.4-6 평가자는각 TSFI 와관련된모든행동이 TSFI 표현에서완전하고정확하게서술하는지결정하기위해 TSFI 표현을조사해야한다. 인터페이스를통해이용할수있는행동은인터페이스가무엇을하는지서술하는것이다 ( 반면, TOE 설계에서는행동이 TSF에의해제공되는방법을서술하는것이다 ). 인터페이스행동은인터페이스를통해호출될수있는기능성을서술한것으

147 로정규행동과 SFR-관련행동으로분류될수있다. 정규행동은인터페이스가무엇을하는지에대한설명이다. 이러한설명에서제공되어야하는정보의양은인터페이스의복잡도에따라달라진다. SFR-관련행동은모든외부인터페이스에서보여지는것이다 ( 예를들어, ST에서감사요구사항이포함되어있는경우인터페이스호출을통한행동의결과가외부로보여지지않는다고하더라도, 인터페이스호출에의해발생된감사활동은서술되도록권고된다 ). 인터페이스의매개변수에따라인터페이스를통해호출될수있는행동의종류가매우다를수있다 ( 예를들어, API에서첫번째매개변수로 subcommand 가될수있고, 다음매개변수들은이 subcommand에특화된매개변수들이될수있다. 유닉스시스템에서 IOCTL API는이러한인터페이스의예가될수있다 ). (5) TSFI 보안수행효과및예외사항결과 CC 3 부 AD V _ F S P.4.5 C 기능명세는 TSFI 를호출과관련된보안수행효과및예외사항결과로발생하는모든직접적인오류메시지를서술해야한다. CEM ADV_FSP.4-7 평가자는각 TSFI 를호출한결과발생하는모든오류메시지를완전하고정확하게서술하는지결정하기위해 TSFI 표현을조사해야한다. 오류는서술되는인터페이스에따라다양한형태를지닐수있다. API의경우인터페이스는자체적으로오류코드 ( 전역오류조건의집합또는오류코드를갖는특정매개변수집합 ) 를반환할수있다. 구성파일의경우부정확하게설정된매개변수로인한오류메시지가로그파일에기록될수있다. 하드웨어 PCI 카드인경우오류조건이버스에신호를일으키거나 CPU에예외조건을유발시킬수있다. 오류 ( 및이와관련된오류메시지 ) 는인터페이스의호출을통해발생한다. 인터페이스호출의응답으로발생하는처리과정에서오류메시지가생성되도록유발 ( 구현메커니즘을통해 ) 시키는오류조건이발견될수있다. 한예로이는인터페이스자체로부터값을반환할수있다. 다른예로오류메시지에대한공통적인값을설정하고인터페이스호출이후에오류메시지가검사될수도있다

148 TOE는 디스크고갈 또는 자원사용제한 과같이기본적인자원에대한조건으로부터발생할수있는상세수준의오류메시지를포함할수있다. 이러한오류메시지는다수의 TSFI로대응될수도있다. CEM ADV_FSP.4-8 평가자는각 TSFI 와관련된모든오류의의미를완전하고정확하게서술하는지결정하기위해 TSFI 표현을조사해야한다. 오류의의미를이해할수있어야한다. 예를들어, Foo() 인터페이스호출로부터발생가능한오류는 0, 1 또는 2이다. 와같이기능명세에서술된경우인터페이스가숫자로된코드 (0, 1 또는 2) 를반환한다면평가자는오류를이해할수없게된다. Foo() 인터페이스호출로부터발생가능한오류는 0( 처리성공 ), 1( 파일이존재하지않음 ) 또는 2( 잘못된파일명 ) 이다. 와같이기능명세에오류메시지의의미도같이서술되어야한다. 인터페이스를사용함으로써발생할수있는잠재적인오류조건에대한사항도설명되어야한다. (6) TSFI 추적 CC 3 부 AD V _ F S P.4.6 C 추적성은 SFR 이기능명세내의 TSFI 로추적됨을입증해야한다. CEM ADV_FSP.4-9 평가자는 SFR 에대응되는 TSFI 와의추적관계를확인해야한다. 추적성은개발자가어떤 SFR이어떠한 TSFI와관련되는지에대한지침을제공하는것이다. 이러한추적성은간단한표형태가될수도있다. (7) 기능명세조사 CEM ADV_FSP.4-10 평가자는기능명세가 SFR 을완전하게실체화하는지결정하기위해기능명세를조사해야한다

149 제시한대응관계는보안목표명세서작성자가기능요구사항에오퍼레이션 ( 할당, 정교화, 선택 ) 을적용하기때문에컴포넌트수준일수도있고엘리먼트수준일수도있다. 예를들어, FDP_ACC.1 컴포넌트는할당오퍼레이션을갖는엘리먼트를포함한다. ST가 FDP_ACC.1에서할당오퍼레이션을통해 10개의규칙을포함하고있고이 10개의규칙이 3개의서로다른 TSFI로다루어지는경우 FDP_ACC.1을 TSFI A, B 및 C로대응하는것은불충분하다. 대신 FDP_ACC.1( 규칙 1) 은 TSFI A로 FDP_ACC.1( 규칙 2) 는 TSFI B 등으로대응시킬수있다. 또한이러한경우의다른예로인터페이스가 래퍼인터페이스 ( 예 : IOCTL( 입출력제어 )) 인경우거나대응관계가해당인터페이스에대한특정매개변수집합으로인해특화되는경우를들수있다. TSF 경계표시가없거나거의없는요구사항 ( 예 : FDP_RIP) 에대해 TSFI 로완전히대응될수없음을인지해야한다. 이러한요구사항에대한분석은 TOE 설계 (ADV_TDS) 에서수행될것이다 (ST에 ADV_TDS가포함된경우 ). 즉 SFR에대응되는기능명세의인터페이스가없을수있지만, TOE 설계에서는모두대응된다는것이다. CEM ADV_FSP.4-11 평가자는기능명세가 SFR 을정확하게실체화하는지결정하기위해기능명세를조사해야한다. TSF 경계에서볼수있는효과를발생시키는각 ST 기능요구사항에대해이요구사항에대한 TSFI와관련된정보에는해당요구사항에서요구된기능성이명세된다. 예를들어, ST에접근통제목록에대한요구사항이포함된경우이요구사항에대응되는 TSFI가 UNIX 형태의보호비트에대한기능성을명세하고있다면기능명세는이요구사항에관련하여정확한것이아니다. (8) 기능명세예제

150 FW은내부네트워크및외부네트워크간에사용되며, 수신된데이터의발신지주소를검증한다 ( 외부데이터가내부데이터로부터발생된것처럼가장하는시도가없음을보장하기위해 ). 이러한시도가탐지된경우, 위반된시도는감사로그로저장된다. 관리자는내부네트워크로부터 FW에 telnet 연결을수립함으로써 FW과연결된다. 관리자행동은인증, 패스워드변경, 감사로그검토, 내부및외부네트워크주소설정또는변경으로구성된다. FW은내부네트워크에다음과같은인터페이스를나타낸다. - IP 데이터그램 - 관리자명령어 그리고외부네트워크에는다음과같은인터페이스를나타낸다. - IP 데이터그램 ( 가 ) 인터페이스설명 : IP 데이터그램 데이터그램은 RFC 791 에서명세된형식을갖는다. - 목적 : 발신처단말기로부터목적지단말기로데이터의블록 (" 데이터그램 ") 전송을위해고정된길이의주소를식별한다. 또한, 필요한경우작은-패킷네트워크전송을위해긴데이터그램의단편화및재조합을제공한다. - 사용방법 : IP 데이터그램은하위-계층 ( 예 : 데이터링크 ) 프로토콜로부터도착한다. - 매개변수 : IP 데이터그램헤더의다음필드들 ( 발신주소, 목적지주소, 단편화되지않은플래그 ) - 매개변수설명 : RFC 791, 3.1절 " 인터넷헤더포맷 " 정의참조 - 행동 : 위장되지않은데이터그램전송, 필요한경우큰데이터그램단편화, 단편화를데이터그램으로재조합 - 오류메시지 : ( 없음 ). 신뢰성이보장되지않는 ( 신뢰성은상위-계층프로토콜에의해제공됨 ) 전송이불가능한데이터그램 ( 예 : 전송을위해단편화

151 되어야하지만, 단편화되지않은플래그로설정된다 ) 은중단된다. ( 나 ) 인터페이스설명 : 관리자명령어 관리자명령어는 FW과상호작용하는관리자를위한수단을제공한다. 이러한명령어와응답은내부네트워크의어떤단말기로부터수립된 telnet(rfc 854) 연결을통해진행된다. 이용가능한명령어는다음과같다. - Passwd 목적 : 관리자패스워드설정 사용방법 : Passwd <password> 매개변수 : password 매개변수설명 : 새로운패스워드값 행동 : 패스워드를제공된새로운값으로변경. 제약사항은없음 오류메시지 : 없음 - Readaudit 목적 : 관리자에게감사로그보여주기 사용방법 : Readaudit 매개변수 : 없음 매개변수설명 : 없음 행동 : 감사로그텍스트제공 오류메시지 : 없음 - Setintaddr 목적 : 내부주소의주소설정 사용방법 : Setintddr <address> 매개변수 : address 매개변수설명 : IP 주소 (RFC 791 정의참조 ) 의첫세필드. ( 예 : ) 행동 : 내부네트워크에서정의된변수의내부값, 위장시도판단에사

152 용된값변경 오류메시지 : "address in use" : 식별된내부네트워크가외부네트워크와동일하게표현됨 - Setextaddr 목적 : 외부주소의주소설정 사용방법 : Setextddr <address> 매개변수 : address 매개변수설명 : IP 주소 (RFC 791 정의참조 ) 의첫세필드. 예 : 행동 : 외부네트워크에서정의된변수의내부값변경 오류메시지 : "address in use" : 식별된외부네트워크가내부네트워크와동일하게표현됨

153 3. TOE 설계서 (ADV_TDS.3 기본적인모듈화설계 ) 작성방법 평가제출물점검가이드라인 (EAL4) 에서기본적인모듈화설계 (ADV_TDS.3) 에대한점검사항은다음과같이구성되어있다. [ 표 3-10] TOE 설계에대한평가제출물점검사항 항목 점검사항 제출내용 필수 적부 [TDS.3-1] 전체 TOE 구조를서브시스템으로서술 [TDS.3-2] 전제 TSF 를모듈에관해서서술 [TDS.3-3] [TDS.3-4] TSF 의모든서브시스템을식별 TSF 의각서브시스템이 SFR 을수행하는역할을서술 [TDS.3-5] TSF 서브시스템간의상호작용이서술 [TDS.3-6] TSF 의서브시스템과 TSF 의모듈간완전한매핑 [TDS.3-7] [TDS.3-8] [TDS.3-9] [TDS.3-10] [TDS.3-11] [TDS.3-12] [TDS.3-13] TSF 의서브시스템과 TSF 의모듈간정확한매핑 SFR- 수행모듈의목적을완전하고정확하게서술 SFR- 관련매개변수, 각인터페이스호출규약및인터페이스에의해리턴되는값을정확하고완전하게서술비-SFR- 수행모듈을정확하게분류 비-SFR- 수행모듈의목적서술을완전하고정확하게서술비-SFR- 수행모듈과다른모듈의상호작용을완전하고정확하게서술기능명세에서술된 TSFI와 TSF 모듈간의완전하고정확한매핑 본 TOE 설계에서 TSF 경계를결정하는데충분하도록 TOE에대한설명을서브시스템관점으로제공하고, TSF 내부에대한설명을모듈관점으로제공 ( 선택적으로상위수준의추상화제공 ) 하여야한다. 이는 SFR이완전하고정확하게구현되었음을결정하도록 SFR-수행모듈에대한상세한설명과 SFR-지

154 원및 SFR- 비 - 간섭모듈에대한충분한정보를제공한다는것이다. 첫째, 개발자는 TSF 경계를적절하게서술하여야한다. 둘째, 해당증거요구사항을준수하는서브시스템과모듈에대한문서를제공하고, 이는 TOE에대한다른평가제출물과일관성이있음을기술하여야한다. 마지막으로시스템이구현된방법을이해하고기능명세내의 TSFI가적절히서술되며 TSF를적절하게시험하는 (ATE 클래스에서수행 ) 시험정보가제공됨을보장하기위해 SFR-수행모듈 ( 상세한수준 ) 및비-SFR-수행모듈 ( 덜상세한수준 ) 에대해설계정보가제공되어야한다. 개발자는 TSF의완전한설명 (SFR-수행모듈이비-SFR-수행모듈보다더상세하더라도 ) 을제공해야한다. 각모듈의세부사항은다양할수있다. 각모듈을충분히이해할수있도록분석하며, 모듈분석의상세수준은시스템내의모듈역할에따라다양할수있다. 기능성이정확하게서술되어야하며, 시스템구조에서그들의역할에따라비-SFR-수행모듈을암시적 ( 혹은명시적 ) 으로지정하여야한다. 개발자는모듈을 SFR-수행, SFR-지원, SFR-비-간섭으로지정할수있지만, 이러한태그는개발자가반드시제공해야하는정보의양및유형을서술하기위해서만사용된다. 또한이는개발자의엔지니어링프로세스에서, 요구되는문서를생성하지않는경우개발자가개발해야하는정보의양을제한하는데사용될수있다. (1) 서브시스템서술 CC 3 부 AD V_T DS.3.1C 설계는 TOE의 구조를 서브시스템 측면에서 서 술해야 한다. CEM ADV_TDS.3-1 평가자는 전체 TOE 구조가 서브시스템 측면에 서 서술됨을 결정하기 위해 TOE 설계를 조사해 야 한다. TOE 의모든서브시스템이식별되어야한다. TOE 에대한이러한설명은

155 TSF 만이아닌전체 TOE 에대한것이다. TOE( 및 TSF) 는여러계층으로추상화되어서술될수있다 ( 즉, 서브시스템및모듈 ). TOE의복잡도에따라공통평가기준 3부 부록 A.4 ADV_TDS: 서브시스템및모듈 에서술된것과같이설계는서브시스템및모듈에관해서서술될수있다. 매우단순한 TOE의경우설계는 모듈 수준으로만서술될수있다 (ADV_TDS.3-2 참조 ). (2) 모듈서술 CC 3 부 AD V_T DS.3.2C 설계는 TSF 를모듈측면에서서술해야한다. CEM ADV_TDS.3-2 평가자는전체 TSF 가모듈측면에서서술됨을결정하기위해 TOE 설계를조사해야한다. 모듈화설명이 TSF의일부만이아닌전체 TSF를다루어야한다. 예를들어, 기능명세가 TOE 설계설명에서서술되지않은기능성에대한인터페이스를포함하는경우, TSF의어느한부분은적절하게포함되지않았음을의미한다. 서브시스템과달리, 모듈은구현의표현을검토하기위한지침으로써사용될수있을정도의상세수준으로구현을서술한다. 한모듈에대한설명은해당설명으로부터해당모듈에대한구현을생성할수있어야하며, 그결과생성된구현은 1) 해당모듈에서제시되고사용되는인터페이스에관해서실제 TSF 구현과동일하고 2)TSF 모듈과알고리즘상동일할것이다. (3) 서브시스템식별 CC 3 부 AD V_T DS.3.3C 설계는 TSF의 모든 서브시스템을 식별해야 한 다. CEM ADV_TDS.3-3 평가자는 TSF 의모든서브시스템이식별됨을결정하기위해 TOE 설계를조사해야한다. 앞에서 TOE 의모든서브시스템이식별되었으며비 -TSF 서브시스템이정확

156 하게특징지어졌음을결정하였다. 그러한작업에기반하여, 비-TSF 서브시스템으로특징지어지지않았던서브시스템들은정확하게식별되도록권고된다. 준비절차 (AGD_PRE) 에따라설치되고구성된하드웨어및소프트웨어중에서각서브시스템이 TSF 부분이거나 TSF 부분이아니라는것이설명되어야한다. (4) 서브시스템설명 CC 3 부 AD V_T DS.3.4C 설계는 TSF의 각 서브시스템에 대한 설명을 제 공해야 한다. CEM ADV_TDS.3-4 평가자는 TSF의 각 서브시스템에서 ST에 명세 된 SFR을 수행하는 서브시스템의 역할을 서술 하는지 결정하기 위해 TOE 설계를 조사해야 한 다. 모듈화설명에추가적으로서브시스템수준의 TSF 설명을해야하는충분히복잡한시스템의경우, 서브시스템수준의서술목적은평가자에게모듈화설명에대한배경을제공하기위한것이다. 그러나이는모듈화설명보다상위의추상화수준이다. 서브시스템수준의설명은모듈설명과연결되는수준에서사용된메커니즘을논의하도록권고된다. 이는평가자에게모듈설명에포함된정보를평가하는데필요한로드맵을제공할것이다. 잘작성된서브시스템설명은평가자가조사해야하는가장중요한모듈을결정하고, SFR 수행과가장밀접하게관련된 TSF 부분에대한평가활동에집중하도록지원할것이다. 설명에서는 SFR 구현을수행또는지원하는서브시스템의역할에초점을맞추도록권고되지만, SFR-관련기능성을이해하기위한충분한배경정보가제시되어야한다. (5) 서브시스템간의상호작용설명 CC 3 부 AD V_T DS.3.5C 설계는 TSF 의모든서브시스템들간의상호작용에대한설명을제공해야한다. CEM ADV_TDS.3-5 평가자는 TSF 서브시스템간의상호작용이서술됨을결정하기위해 TOE 설계를조사해야한다

157 모듈화설명에추가적으로서브시스템수준의 TSF 설명을해야하는충분히복잡한시스템의경우, 서브시스템간의상호작용을서술하는목적은읽는사람이 TSF가그기능을어떻게수행하는지더욱잘이해하도록돕기위해서이다. 이러한상호작용은구현수준 ( 예 : 한서브시스템의한루틴으로부터다른서브시스템의루틴으로전송되는매개변수들, 전역변수들, 하나의하드웨어서브시스템에서인터럽트를처리하는서브시스템으로의하드웨어신호 ( 예 : 인터럽트 )) 에서특징지어질필요는없으나, 다른서브시스템에서사용되어야할특정서브시스템에대해식별된데이터요소들은여기서논의되도록권고된다. 또한서브시스템간의통제관계 ( 예 : 침입차단시스템에서기본규칙을구성할책임이있는서브시스템과실제로이러한규칙들을구현하는서브시스템의관계 ) 도서술되도록권고된다. (6) 서브시스템과모듈간대응관계 CC 3 부 AD V_T DS.3.6C CEM ADV_TDS.3-6 설계는 TSF 서브시스템과 TSF 모듈간의대응관계를제공해야한다. 평가자는 TSF 서브시스템과 TSF 모듈 간의 대 응관계가 완전함을 결정하기 위해 TOE 설계를 조사해야 한다. 모듈화설명에추가적으로서브시스템수준의 TSF 설명을해야하는충분히복잡한시스템의경우, 개발자는 TSF 모듈이서브시스템으로어떻게할당되는지를보여주는간단한대응관계를제공한다. 모든서브시스템이적어도하나의모듈에대응되고, 모든모듈이정확하게하나의서브시스템으로대응되어야한다. CEM ADV_TDS.3-7 평가자는 TSF 서브시스템과 TSF 모듈 간의 대 응관계가 정확함을 결정하기 위해 TOE 설계를 조사해야 한다

158 모듈화설명에추가적으로서브시스템수준의 TSF 설명을해야하는충분히복잡한시스템의경우, 개발자는 TSF 모듈이서브시스템으로어떻게할당되는지를보여주는간단한대응관계를제공한다. 부정확한 대응관계란어떤모듈의기능이특정서브시스템에서사용되지않음에도그모듈을해당서브시스템과잘못연관시키는것이다. (7) SFR- 수행모듈의목적 CC 3 부 AD V_T DS.3.7C 설계는각 SFR- 수행모듈을그목적측면에서서술해야한다. CEM ADV_TDS.3-8 평가자는 각 SFR-수행 모듈의 목적 설명이 완 전하고 정확함을 결정하기 위해 TOE 설계를 조 사해야 한다. 개발자는모듈을 SFR-수행, SFR-지원, SFR-비-간섭중하나로지정할수있지만, 이러한 태그 는개발자가반드시제공해야하는정보의양및유형을서술하기위해서만사용된다. 또한이는개발자의엔지니어링프로세스에서, 요구되는문서를생성하지않는경우개발자가개발해야하는정보의양을제한하는데사용될수있다. 모듈의목적은모듈이어떤기능을만족시키는지를나타내는설명을제공한다. 평가자가 ADV_ARC 에서수행되는구조분석을지원하는것뿐만아니라모듈이어떻게동작하는지이해해서 SFR을적절하게구현하는지결정할수있도록상세해야한다. (8) SFR- 관련인터페이스서술

159 CC 3 부 AD V_T DS.3.8C 설계는 각 SFR-수행 모듈을 SFR-관련 인터페이 스, 인터페이스로부터의 반환 값, 다른 모듈에서 호출된 인터페이스 등의 측면에서 서술해야 한 다. CEM ADV_TDS.3-9 평가자는각 SFR- 수행모듈에서제시된인터페이스설명에서 SFR- 관련매개변수, 각인터페이스호출규약및인터페이스에의해직접적으로반환되는값을정확하고완전하게서술하고있음을결정하기위해 TOE 설계를조사해야한다. 모듈의 SFR-관련인터페이스는제공되는 SFR-관련오퍼레이션을호출하고해당모듈에게입력을주거나출력을받는수단으로써다른모듈에의해사용되는인터페이스이다. 이러한인터페이스를명세하는목적은시험하는동안이들을동작시키기위함이다. SFR-관련이아닌모듈간인터페이스는시험요소가아니므로명세되거나서술될필요가없다. 유사하게 SFR-관련수행경로 ( 예 : 고정된내부경로 ) 를지나가지않는다른내부인터페이스도시험요소가아니므로명세되거나서술될필요는없다. SFR-관련인터페이스는이들이호출되는방법및반환값에관해서서술된다. 이러한설명은 SFR-관련매개변수목록및매개변수에대한설명을포함할것이다. 글로벌데이터 (global data) 가호출시 ( 입력또는출력으로써 ) 모듈에의해사용되는경우, 이또한매개변수로고려하도록주의해야한다. 매개변수가값의집합을갖는경우 ( 예 : 플래그 매개변수 ), 모듈의프로세스에영향을줄수있는해당매개변수값의완전한집합이명세될것이다. 유사하게데이터구조를나타내는매개변수는데이터구조의각필드가식별되고서술된다. 다양한프로그래밍언어는명확하지않은추가적인 인터페이스 를가질수있음을주의해야한다. 예를들어, C++ 에서연산자 / 함수오버로드를들수있다. 클래스설명에서이러한 내포된인터페이스 도상세수준 TOE 설계의일부로써서술될것이다. 하나의모듈이하나의인터페이스만을제시할수도있지만관련된인터페이스들의작은집합을제시하는것이더욱일반적임을주의해야한다. 또한모듈의매개변수 ( 입력및출력 ) 기술에관련하여글로벌데이터사용이

160 고려되어야한다. 모듈은데이터를읽거나쓰는경우글로벌데이터를사용한다. 모듈의기능및제시된인터페이스 ( 특히인터페이스의매개변수 ) 를조사함으로써모듈이수행하는프로세스를우선결정할수있다. 그이후에평가자는프로세스가 TOE 설계에서식별된글로벌데이터영역을 접근하는 것인지확인할수있다. 접근된 각글로벌데이터영역이모듈의입력또는출력수단으로써열거되어야한다. 해당인터페이스를통해서모듈의기능성을사용하기위한프로그램을작성하는경우, 호출규약은모듈의인터페이스를정확하게호출하는데사용할수있도록하는프로그래밍-참조-유형설명이다. 이는전역변수와관련해서수행되어야하는설정을포함하여, 필요한입력및출력을포함한다. 인터페이스를통해서반환되는값은매개변수또는메시지를통해서전달되는값, C 프로그램함수호출과같은것에서함수호출이반환하는값, 전역적인수단을통해서전달되는값 (*ix-style OS에서특정오류루틴과같은 ) 을의미한다. 설명이완전함을보증하기위해모듈의기능수행에필요한모든데이터가제시됨을보장하고, 조사중인모듈이다른모듈에게제공할것으로예상되는값들이모듈에서반환하는것과동일하게식별됨을보장하여야한다. (9) SFR- 비 - 간섭모듈목적및상호작용 CC 3 부 AD V_T DS.3.9C 설계는각 SFR- 지원및 SFR- 비 - 간섭모듈을목적및다른모듈과의상호작용측면에서서술해야한다. CEM ADV_TDS.3-10 평가자는비 -SFR- 수행모듈이정확하게분류됨을결정하기위해 TOE 설계를조사해야한다. 개발자는서로다른모듈에대하여서로다른양의정보를제공하여, 암시적인분류를수행할수있다. 즉, SFR-관련인터페이스를상세하게제시한모듈

161 (ADV_TDS.3.10C 참조 ) 은 SFR-수행모듈로분류된다. 모듈자신의목적및다른모듈과의상호작용만설명하는경우에는비-SFR-수행으로암시적으로분류된다. 그렇지만, 평가자의이해를돕기위해서는 SFR-수행, 비-SFR-수행등으로구분하여기술하는것이좋다. CEM ADV_TDS.3-11 평가자는 각 비-SFR-수행 모듈의 목적 설명이 완전하고 정확함을 결정하기 위해 TOE 설계를 조사해야 한다. 모듈목적에대한설명은모듈이어떤기능을만족시키는지를나타낸다. 이러한설명으로부터평가자는모듈의역할에대한일반적인개념을얻을수있다. 모듈목적설명이완전함을보증하기위해다른모듈과해당모듈의상호작용에관해제공된정보를이용한다. 따라서모듈목적의기술과모듈간상호작용의설명은일관성있어야한다. CEM ADV_TDS.3-12 평가자는 각 비-SFR-수행 모듈의 상호작용 설 명이 완전하고 정확함을 결정하기 위해 TOE 설 계를 조사해야 한다. 상호작용 은 인터페이스 보다덜엄격한의미를전달하기위한것이다. 상호작용은구현수준 ( 예 : 한모듈의한루틴으로부터다른모듈의루틴으로전송되는매개변수들, 전역변수들, 하드웨어서브시스템에서인터럽트를처리하는서브시스템으로의하드웨어신호 ( 예 : 인터럽트 )) 에서특징지어질필요는없으나, 다른모듈에서사용되어야할특정모듈에대해식별된데이터요소들은여기서논의되도록권고된다. 또한모듈간의통제관계 ( 예 : 침입차단시스템에서기본규칙을구성할책임이있는모듈과실제로이러한규칙들을구현하는모듈의관계 ) 도서술되도록권고된다. 한모듈과다른모듈간의상호작용은다양한방식으로알수있다. TOE 설계의목적은평가자가전체 TOE 설계내에서비-SFR-수행모듈의역할을 ( 모듈상호작용분석을통해서일부분 ) 이해할수있도록하는것이다. 이러한역

162 할을이해하는것은작업단위 ADV_TDS.3-15 수행시평가자에게도움이될것이다. 한모듈과다른모듈간의상호작용은호출트리와같은문서의범위를넘어서는것으로, 상호작용은한모듈이다른모듈과상호작용하는이유에대해기능적인관점으로서술된다. 모듈의목적은해당모듈이다른모듈에게어떤기능을제공하는지서술한다. 상호작용에서는이러한기능을수행하기위해해당모듈이다른모듈에의존하는것이무엇인지서술하도록권고된다. (10) TSFI 대응관계 CC 3 부 ADV_TDS.3.10C 대응관계는 TOE 설계 내에 서술된 모든 행동이 그것을 호출하는 TSFI로 대응됨을 입증해야 한 다. CEM ADV_TDS.3-13 평가자는 기능명세에 서술된 TSFI와 TOE 설계 에 서술된 TSF 모듈 간의 완전하고 정확한 대응 관계를 포함함을 결정하기 위해 TOE 설계를 조 사해야 한다. TOE 설계에서술된모듈은 TSF 구현에대한설명을제공한다. TSFI는구현이어떻게동작하는지에대한설명을제공한다. 오퍼레이션이 TSFI에서요청되는경우초기에호출되는모듈을식별하고, 해당기능성을우선적으로구현할책임이있는모듈까지호출되는연쇄적인모듈들을식별한다. 그러나본작업단위에서각 TSFI에대한완전한호출트리는요구되지않는다. 하나이상의모듈이식별되어야할경우입력을조절하거나재조합하는기능성외에는다른기능성이없는 진입점 (entry point) 모듈또는래퍼 (wrapper) 모듈이존재하는경우이다. 정확성의첫번째관점은각 TSFI가 TSF 경계에있는모듈에대응되는것이다. 이러한결정은모듈설명및모듈인터페이스 / 상호작용을검토함으로써이루어질수있다. 정확성의두번째관점은각 TSFI가식별된초기모듈과 TSF에나타난기능을우선적으로구현할책임이있는모듈간에, 연쇄적인모듈들을식별하는것이다. 식별된모듈은초기모듈이거나여러모듈 ( 입력을사

163 전에얼마나조절하느냐에따라 ) 이될수도있음에주의해야한다. TSFI가모두유사한유형인경우 ( 예 : 시스템콜 ) 다수의 TSFI에의해호출되는하나의사전조절모듈이존재한다는것을주의하도록권고된다. 정확성의마지막관점은대응관계가의미있는지결정하는것이다. 예를들어, 접근통제를다루는 TSFI를패스워드검사에대한모듈에대응시키는것은정확하지않다. 이러한정보의목적은평가자가시스템및 SFR의구현을이해하고, TSF 경계에있는실체들과 TSF의상호작용방식을이해하도록지원하는것이다. (11) TOE 설계조사 CEM ADV_TDS.3-14 평가자는모든 ST 의보안기능요구사항이 TOE 설계에서다루어지는지결정하기위해 TOE 보안기능요구사항및 TOE 설계를조사해야한다. TOE 보안기능요구사항과 TOE 설계간에대응관계를기술한다. 이러한대응관계는서브시스템에대한기능요구사항으로부터기인할수있다. 또한이러한대응관계는서브시스템이하의상세수준또는 ST 작성자가기능요구사항에서수행한오퍼레이션 ( 할당, 정교화, 선택 ) 으로인하여요구사항의엘리먼트수준의상세수준이될수있음을주의해야한다. 예를들어, FDP_ACC.1 부분적인접근통제서브시스템은할당오퍼레이션이있는엘리먼트를포함한다. 즉, ST가 FDP_ACC.1의할당에열가지규칙을포함하고, 이열가지규칙은열다섯개의모듈내의특정위치에구현된경우 FDP_ACC.1을하나의서브시스템으로대응시키고본작업단위가완료되었다고선언하는것은부적절할것이다. 대신 FDP_ACC.1 부분적인접근통제 ( 규칙 1) 를서브시스템 A의행동 x, y, z에대응시키고, FDP_ACC.1 부분적인접근통제 ( 규칙 2) 를서브시스템 A의행동 x, p, q로대응시키는등의행동을수행해야할것이다. CEM ADV_TDS.3-15 평가자는 TOE 설계가모든보안기능요구사항을정확하게실체화하는지결정하기위해 TOE 설계를조사해야한다

164 TOE 설계내에 ST의각 TOE 보안기능요구사항에해당하는설계설명이존재하고, TOE 설계설명은 TSF가이러한요구사항을어떻게만족하는지상세히설명해야한다. 이는기능요구사항을구현할책임이있는서브시스템을식별하하고, 최종적으로평가자는요구사항이정확하게구현되었는지평가할것이다. 예를들어, ST 요구사항에서역할기반접근통제메커니즘을명세한경우, 우선이메커니즘구현에기여하는서브시스템을식별할것이다. 이는 TOE 설계에대한심층적인지식또는이해에의해서, 또는이전의작업단위에서수행된작업을통해이루어질수있을것이다. 이러한추적은서브시스템을식별하기위한것이지, 완전하게분석하기위한것은아님을주의해야한다. 다음단계로서브시스템이어떤메커니즘을구현하는지이해해야한다. 예를들어, 설계에서 UNIX 형태의보호비트를기반해서접근통제를구현했음을서술한경우, 설계는 ST에서제시된접근통제요구사항 ( 역할기반접근통제 ) 을정확하게실체화한것이아니다

165 4. 구현검증명세서 (ADV_IMP.1 TSF 에대한구현의표현 ) 작성 방법 평가제출물점검가이드라인 (EAL4) 에서 TSF에대한구현의표현 (ADV_IMP.1) 에대한점검사항은다음과같이구성되어있다. [ 표 3-11] 구현검증명세에대한평가제출물점검사항 항목 점검사항 제출필수적부내용 [IMP-1-1] 상세수준 ( 예 : 소스코드 ) 으로 TSF 정의 [IMP-1-2] 구현표현이개발자가사용한형태대로존재 [IMP-1-3] TOE 설계명세와구현표현견본사이의매핑일치 구현검증명세서는이용가능한구현의표현이다른문서의분석활동에서이용하기에적합하도록, 소스에관련된사항을기술해야하며, 관련소스코드도제출해야한다. 평가자는, 필요한경우, 모든구현표현을요구할수있으므로이를염두에두고구현검증명세서를서술해야한다. (1) 상세수준 TSF 정의 CC 3 부 AD V _ I M P.1.1C 구현의 표현은 더 이상의 설계과정 없이 TSF가 생성될 수 있는 상세수준으로 TSF를 정의해야 한다. CEM ADV_IMP.1-1 평가자는더이상의설계과정없이 TSF 가생성될수있는상세수준으로 TSF 를정의하는지결정하기위해구현의표현을확인해야한다. 구현의표현은소스코드또는하드웨어다이어그램및 / 또는 IC 하드웨어설계언어코드또는실제하드웨어를제작하는데사용되는레이아웃 (layout) 데이터등이그예가된다

166 (2) 개발인력이사용한형태표현 CC 3 부 AD V _ I M P.1.2 C 구현의 표현은 개발 인력이 사용한 형태이어야 한다. CEM ADV_IMP.1-2 평가자는구현의표현이개발자가사용한형태대로존재하는지확인해야한다. 구현의표현을실제구현으로변환하기에적합한형태로다루어야한다. 예를들어, 컴파일되어 TSF의일부가될소스코드를포함하는파일을다룰수있다. 개발자자신이사용한형태대로구현의표현을가용하게하는경우평가자는분석시자동화된기법을사용할수있다. 구현의표현제공의전반적인목적은평가자분석노력의효율성을극대화하는것이다. 평가자는구현의표현이개발자가이용한버전이라는신뢰를얻기위해구현의표현에대한표본을추출한다. 이러한표본은평가자가구현의표현에대한모든영역이요구사항을준수한다는보증을갖도록해준다. 구현의표현일부로는컴파일러를사용하여 TOE를생성시킬수없기때문에평가중평가자가전체소스코드를요청할경우, 개발자환경에평가자에게컴파일과정을시연하여이를보증할수도있다. 일부형태의구현의표현은이해와분석을어렵게숨겨진 (shrouded) 소스코드또는이해또는분석을방지하기위한방식으로암호화된 (obfuscated) 소스코드등이있을수있다. 이때는원래개발자가 TOE 개발에사용한소스코드를평가자에게제공해야한다. (3) TOE 설계설명과구현의표현간의대응관계

167 CC 3 부 AD V _ I M P.1.3C TOE 설계설명과구현의표현표본간의대응관계는이들의일치성을입증해야한다. CEM ADV_IMP.1-3 평가자는 TOE 설계설명과구현의표현표본간의대응관계가정확한지를결정하기위해이들대응관계를조사해야한다. 구현의표현일부와 TOE 설계설명간의정확성을검증하여야한다. 예를들어, TOE 설계에서사용자식별및인증을위해사용되는로그인모듈을식별할수있다. 사용자인증이상당히중요한경우, TOE 설계에서술된식별및인증서비스에대응되는소스코드가실제로구현되었는지검증할것이다. 또한기능명세에서술된대로소스코드가매개변수를허용하는지검증할수있다. 개발자가전체구현의표현에대한매핑을수행할지 ( 전체구현의표현매핑을제공함으로써선택한표본이다루어짐을보장할수있음 ), 또는매핑을수행하기전에표본이선택되기를기다릴것인가에대한여부 ( 추후평가자가요구하는부분만을매핑 ) 를결정해야한다는것은중요하다. 전체매핑을수행하는것은작업량은더많지만평가가시작되기전에완전함을제공하고, 평가지연을미리예방할수있다. 일부매핑을수행하는것은작업량은적지만필요한증거가발생할경우평가활동에영향을미칠수있다

168 제 3 절개발클래스작성예제 개발클래스에대한평가제출물은보안구조설명서, 기능명세서, TOE 설계서, 구현검증명세로구성되며작성예제는다음과같다. 1. 보안구조설명서작성예제 가. 개요 1) 목적본문서는 TSF의보안구조에대한설명을제공하기위한것으로, TOE가자체보호, 영역분리, 우회불가성의보안특성을어떻게제공하고있는지를설명한다. 2) 보안구조설명식별 o 제목 : KMACS v for Asianux 2.0 보안구조설명서, Version 1.1 o 작성자 : KISA Corp. o 발간일 : 2007년 10월 01일 o 주요단어 : 운영체제보안시스템, 등급기반강제적접근통제, 임의적접근통제 3) 보안구조특성 가 ) 자체보호 (self-protection) 자체보호란 TSF에변경을일으킬수있는외부실체의조작으로부터자신을보호하는 TSF의능력을가리킨다. 이러한특성이없다면, TSF는보안서비스를수행하는것이불가능할수도있다. 하부운영체제에의존하는응용프로그램처럼 TOE가자신의기능을수행하기위해다른 IT 실체가제공하는서비스나자원을사용하는경우가있다. 이경우 TSF가자신을전적으로보호하는것이아니라다른IT 실체에의존하게된다

169 나 ) 영역분리 (domain isolation) 영역분리는신뢰되지못한실체에대해TSF 자원을운영하기위한분리된보안영역을정의하고, 이영역들이서로철저하게분리되어유지되고그결과로각개체들이다른영역에서는실행될수없음을보장하도록한다. 영역분리를 TOE에구현하는경우, 영역분리가어떻게달성되는지직접설명할수있다. 보안구조설명은 TSF에정의된다양한영역의유형, 어떤자원이각영역에할당되는지, 보호되지않고남겨진자원은없는지, 영역이어떻게분리되어유지되는지, 한영역내의능동실체가다른영역내의자원을침해하지않는지설명될것이다. 예를들어, 응용소프트웨어인 TOE는 TOE가정의한영역을정확하게실체화하기위해하부운영체제에의존한다. 즉, TOE가각영역에대해프로세싱공간, 메모리공간등으로분리해서정의한경우, TOE 소프트웨어는프로세서의실행영역내에서만수행되도록허용됨을설명하여야한다. 다 ) 우회불가성 (non-bypassability) 우회불가성특성은수행메커니즘을우회하는인터페이스와관련된것이다. 프로그래머가어떤객체에접근하거나조작하는인터페이스를작성하는경우, 해당객체에대하여 SFR 수행메커니즘의일부가되도록인터페이스를사용하고해당인터페이스를우회하지않도록구현하여야한다. 우회불가성과관련된설명은 SFR-수행을위한인터페이스가 TSF를우회하는데사용되도록허용하는어떤오퍼레이션또는모드도포함하고있지않다는것을증명하여야한다. 또한, SFR-수행과관련되지않은인터페이스 ( 이러한인터페이스는 TOE 설계문서에존재할수도존재하지않을수도있다 ) 의수행메커니즘이우회될수없음을설명하여야한다. 4) 구성 본문서는아래와같이구성되어있다. 제1장은보안구조설명서개요로문서의목적, 식별및구성등을기술한다. 제2장에서는평가기준에서요구하는 TOE 보안구조특성에대해설명하고있다. 제3장에서는 TOE의보안구조에대한자세한설명을제공한다

170 나. TOE 보안구조 1) 자체보호 가 ) 리눅스운영체제에의한 KMACS 커널모듈보호운영체제인커널은하드웨어의모든자원을관리하고접근가능하며, 사용자태스크에자원을할당해주어야하므로커널공간에서동작하여야하며, 사용자태스크는운영체제에자원을요구하고할당받아사용하므로사용자공간에서동작해야된다. KMACS 커널모듈도역시커널서버스의기능을수행하므로커널공간에서수행한다. [ 추가작성 ] 나 ) TSF 실행파일무결성 TOE는 TSF 실행파일에대한무결성검사를통하여 TOE 자체보호보안특성을만족한다. TOE는 Manager 실행파일에대한무결성과 Agent 실행파일에대한무결성을제공한다. Manager 실행파일에대한무결성검사는 TOE의응용데몬이구동할때와 Manager 무결성관리화면인터페이스를사용하여보안관리자에의해수행된다. 또한 Manager 및 Agent의실행파일은무결성검사대상목록에서삭제되지않도록보호된다

171 TSF 실행파일에대한무결성검사는 sosd 데몬에서수행하며 [LSM.14.F3] 파일무결성검사모듈을이용하여다음과같이수행한다. 보안구조설명시소스레벨의설명이필요 int main(int argc, char *argv[]) {... /* 무결성 DB 파일을읽음 */ ReadFileIntegrit ydb(&gst_fileint); /* 무결성점검 */ f or (i = 0; i < gst_fileint.ncount; i++) { pst_fileint = CheckFileIntegrityItem(gst_fil eint.items[i].szpath, &gst_fileint); if (pst _f ileint == (fileint_item_t *)NULL) { do_log(product, LV_ERR, "Integrity Violation [Path = %s].", gst_fileint.items[i].szpath); rc_exit(0); } } [ 추가작성 ]

172 2) 영역분리 가 ) 리눅스에서의영역분리 KMACS는커널모듈과응용모듈로구분되며동작특성은리눅스의커널과응용프로세스의특성과동일하다. 리눅스커널은커널자신이동작하는선형주소공간과프로세스가동작하는선형주소공간을분리함으로써일반사용자프로세스가커널이동작하는부분에접근하는것을막는다. 그리고, 시스템에존재하는모든프로세스들은자신만을위한선형주소공간을가지며, 이렇게함으로써특별한경우를제외하고는하나의프로세스가다른프로세스의선형주소공간으로접근하지못하도록한다 [ 추가작성 ] 나 ) TOE에서의영역분리 TOE의커널모듈은리눅스커널과는분리되게구현된모듈의하나이다. TOE 커널모듈은 /lib/modules/version/kernel에설치된다. 운영체제는구동할때디렉터리에존재하는모듈들을커널데이터메모리상에로드한다. TOE 커널모듈이리눅스커널에로드되어 TOE 보안기능이시작될때파일로저장되어있던접근통제정책등의보안데이터를커널의데이터영역에저장한다. [ 추가작성 ]

173 3) 우회불가성 가 ) 보안관리자 GUI 접속경로보안관리자가 GUI를실행하면 GUI에대한관리자식별및인증을거쳐야한다. 관리자식별및인증은화면인터레이스를통하여관리자 ID와패스워드를입력한다. GUI로로그인한관리자가 KMACS Agent에접속하기위해서는화면인터페이스를통하여 Agent 서버에서의시스템 ID 및패스워드, 보안관리자패스워드를입력한다. KMACS Manager가 Agent에접속을요청하면 KMACS Agent는 sods.allow 파일과 sosd.deny 파일을이용하여접속을통제한다. 허가된서버에서의접속일경우시스템사용자 ID와패스워드를가지고 1 차인증을한후보안관리자패스워드를이용하여 2차인증을한다. Manager (1) 인증정보 (2) 인증정보 관리자식별및인증 Agent 식별및인증화면인터페이스 Agent Manager 에대한식별및인증 사용자 / 보안관리자식별및인증 명령인터페이스및 TOE 함수호출 [ 추가작성 ]

174 나 ) 응용모듈에서커널모듈로의경로 ( 참조모니터 ) KMACS에서보안관리자는 TOE의보안기능인터페이스를통하여어플리케이션에서커널영역으로접근할수있으며 [RM.1.F3] 제어시스템콜인터셉트모듈에서커널모듈로의접근기능을제공한다. 다음그림은 KMACS의보안기능과인터페이스를도식화한것이다. KMACS Manager 보안관리 GUI Manager 보안기능 SSL 통신 보안관리 CLI Agent 보안기능 응용프로그램 파일 System Call 커널보안기능 메모리 접근통제보안기능 Agent(Kernel) Operating System (Kernel) SFR- 수행 SFR- 지원 SFR- 비 - 간섭 [ 추가작성 ]

175 2. 기능명세서작성예제 가. 개요 본장에서는기능명세 (FSP, Functional Specification) 에필요한목적, 구성, 기술된용어에대하여각각기술한다. 기능명세는 TSF 사용자가볼수있는인터페이스와동작에대한기본설명이며, TOE 보안기능요구사항을실체화한것이다. 1) 목적본기능명세서는 TOE의보안기능을보안목표명세서의 TOE 요약명세에서기술된 TOE의보안기능을좀더상세하게기술하며 TSF와의외부인터페이스를정의하는데목적이있다. 따라서본기능명세서는 등급기반접근통제시스템보호프로파일 v2.0 에정의된보안기능요구사항에준하여보안목표명세서의보안기능을구체화한다. 본기능명세서는보안목표명세서와기본설계서사이에서일관성을유지하는역할을한다. 2) 기능명세식별 o 제목 : KMACS v for Asianux 2.0 기능명세서, Version 1.5 o 작성자 : KISA Corp. o 발간일 : 2007년 9월 17일 o 주요단어 : 운영체제보안시스템, 등급기반강제적접근통제, 임의적접근통제 3) 구성본기능명세서는다음과같이구성되어있다. 1장은기능명세서소개로목적, 구성, 용어정의등을기술한다. 2장은기본구조로평가대상 (TOE) 의기본적인구조를기술한다. 3장은기능명세로보안기능의동작과연관된 TSF 인터페이스에대하여기술한다

176 4장은 TSF 인터페이스로각인터페이스에대한목적, 사용방법, 운영모드, 효과, 예외사항, 오류메시지, 관련보안기능등을기술한다. 5장은이론적근거로보안목표명세의보안기능이적절히다루어지고적합함을입증한다. 4) 작성규칙 본기능명세서는일부약어및명확한의미전달을위해영어를혼용한다. 본기능명세서에서기술되는평가제품의보안기능, 인터페이스, 에러등에사용되는식별자는다음과같다. 보안기능식별자 보안기능의참조를용이하게하기위하여 " 보안기능명.#" 형태의유일한참조식별자를할당한다. ( 예를들면 Admin.1, Audit.1 등 ) TSF 인터페이스식별자 TSF 인터페이스의참조를용이하게하기위하여 "EI_ 인터페이스위치 _ 인터페이스명 " 형태로다음과같이유일한참조식별자를할당한다. [ 추가작성 ] 5) 용어정의 강제적접근통제 (MAC, Mandatory Access Control) 객체의중요도레이블및주체의접근권한에기반하여접근을통제하는방식을말하며, 공통평가기준에서는 B&L(Bell and La Padula) 보안모델을예로들고있음 객체 (Object) 주체의오퍼레이션대상이며정보를포함하거나수신하는 TOE 내의수동적인실체 [ 추가작성 ]

177 나. 기본구조 본장은 TOE인 KMACS v for Asianux 2.0에대한기본구조를기술한다. 1) KMACS v2.0 개요 KMACS v2.0은상용운영체제에서동작하는프로그램형태로구현된등급기반접근통제시스템이다. 본평가제품은강제적접근통제정책과임의적접근통제정책을제공하며상용운영체제에서제공하는임의적접근통제정책을지원한다. 본평가제품은논리상보안기능처리부분과관리부분으로구성되며다음그림과같이설치및운영된다. [ 그림 ] KMACS 시스템구성 TOE의보안기능처리부분인 KMACS Agent는각운영체제에탑재되며강제적접근통제와임의적접근통제등을수행하는커널부분과기타보안기능을처리하는응용부분으로구성된다. KMACS Agent의주요기능과특징은다음과같다. o 등급기반강제적접근통제기능 o ACL 기반임의적접근통제기능

178 TOE의보안관리부분인 KMACS manager는 Windows 2000 Professional (Service Pack 4) 환경에서운영된다. 보안관리기능은화면인터페이스 (GUI) 를통하여제공되며기능및특징은다음과같다. o MANAGER 식별및인증기능 o 화면보호기기능 o Agent 식별및인증 GUI TOE의 Manager과 Agent 간은 SSL(Secure Socket Layer) version 3 프로토콜을사용하여모든데이터를암호화한다. 사용자레벨의응용이운영체제를이용하여동작하기위해서는반드시시스템콜을사용해야한다. 본평가제품은사용자레벨의응용에서운영체제에있는루틴을수행하기위하여시스템콜이발생하면참조모니터에서이를인터셉트한다. [ 추가작성 ] 2) TOE 보안기능 본절에서는 TOE의보안기능에대한설명을제공한다. 그리고시술된보안기능은기본설계서, 상세설계서등모든제출물에서단계적으로상세히기술되며, 그내용의일관성이유지된다. TOE 보안기능은다음과같이분류할수있다

179 보안기능분류 보안기능 참조모니터 Refer.1 시스템콜인터셉트 Ac_mac.1 주체보안속성설정 강제적접근통제 Ac_mac.2 등급기반강제적접근통제... Ac_dac.1 ACL 기반임의적접근통제 임의적접근통제 Ac_dac.2 목록기반임의적접근통제... 식별및인증 Auth.1 Manager 식별및인증 Auth.2 Agent 식별및인증 Audit.1 감사데이터생성및수집 보안감사 Audit.2 잠재적인위반분석및대응... Admin.1 보안기능개시및중지 Admin.2 보안그룹관리 Admin.3 보안사용자관리 보안관리 Admin.4 객체보안속성관리 Admin.5 주체보안속성관리 Admin.6 ACL 정책관리... Protect.1 추상기계및TSF 운영시험 TSF 보호 Protect.2 무결성점검및관리... [ 추가작성 ] 3) TOE 인터페이스본절에서는 TOE의보안기능인터페이스에대하여기술한다. 인터페이스를통해이용가능한서비스가 TSF에요구되는 SFR 중하나로추적될경우, 그인터페이스는 "SFR-수행인터페이스 " 이다. SFR-수행기능성이의존하며, TOE의보안정책이유지되기위해정확하게기능해야하는서비스의인터페이스는 "SFR-지원인터페이스 " 가된다. 또한, SFR-수행기능성이의존하지않는서비스의인터페이스는 "SFR-비-간섭인터페이스 " 이다. 다음그림은평가대상제품의보안기능과인터페이스를도식화한것이다

180 보안관리기능을제공하는 GUI 인터페이스및 CLI 인터페이스는 TSF 데이터에대한조회, 설정기능을제공하므로 SRF-수행인터페이스가된다. TSF 통신데이터를보호하기위하여사용되는 OpenSSL 인터페이스는 SRF-수행기능성에의존하며 TOE 보안정책이유지되기위해정확하게기능해야하는서비스이므로 SRF-지원인터페이스가된다. KMACS의참조모니터는시스템콜테이블을변경하여시스템콜이 TSF 내로들어오도록구현한다. 그러므로사용자또는사용자를대신하여 TSF 부분에의해사용되는시스템콜인터페이스는 SFR-지원인터페이스가된다

181 시스템정보를보여주기위하여사용되는시스템명령어인터페이스는 SFR-수행기능성이의존하지않는서비스이므로 SFR-비-간섭인터페이스이다. 다음은 TOE 보안기능의인터페이스를나열한것이다. 보안기능인터페이스식별인터페이스명사용방법 EI_OS_SCALL Refer Refer.1 EI_OS_MLOAD 커널모듈 참조모니터 시스템콜인터셉터 Auth 식별및인증 Auth.1 Manager 식별및인증 Auth.2 Agent 식별및인증 OS시스템콜임의의호출인터페이스 로드인터페이스 응용프로그램에서호출한 TOE 통제범위내의시스템콜이강제되도록하기위하여구현한 KMACS 시스템콜인터페이스 KMACS 커널모듈을운영체제커널에탑재하기위하여호출하는운영체제명령인터페이스 EI_OS_MUNLOAD 커널모듈언로 KMACS 커널모듈을운영체드인터페이제커널에서제거하기위하스여호출하는운영체제명령인터페이스 EI_GUI_EAUTH Manager 로그인사용자가 Manager에로그인화면인터페이하기위하여사용. ID와패스스워드를입력받으며패스워드는인증피드백보호를위하여 * 로표시. EI_GUI_MAIN KMACS Manager KMACS_Manager.exe 파일을 메인 화면인터 실행하여 Manager를이용 페이스 하여 Agent를관리할목적으로사용하는화면인터페이스

182 다. 보안기능 본장에서는 TOE의보안기능동작을기술한다. 각보안기능의동작내용에대하여자세하게기술하며각보안기능을동작시키는외부인터페이스도기술한다. 보안기능작성목차는다음과같으며각보안기능별로작성해야한다. ( 전체적인구조를보여주기위해부가적으로작성한것임 ) 1) 참조모니터가 ) Refer.1: 시스템콜인터셉트 2) 강제적접근통제가 ) Ac_mac.1: 주체보안속성설정나 ) Ac_mac.2: 등급기반강제적접근통제다 ) Ac_mac.3: 객체보안속성상속및회수 3) 임의적접근통제기능가 ) Ac_dac.1: ACL 기반임의적접근통제나 ) Ac_dac.2: 목록기반임의적접근통제 4) 식별및인증기능가 ) Auth.1: Manager 식별및인증나 ) Auth.2: Agent 식별및인증 5) 보안감사기능가 ) Audit.1: 감사데이터생성및수집나 ) Audit.2: 잠재적인위반분석및대응다 ) Audit.3: 감사저장소증적검사라 ) Audit.4: 감사데이터조회및검토 6) 보안관리기능가 ) Admin.1: 보안기능개시및중지나 ) Admin.2: 보안그룹관리다 ) Admin.3: 보안사용자관리라 ) Admin.4: 객체보안속성관리마 ) Admin.5: 주체보안속성관리바 ) Admin.6: ACL 정책관리사 ) Admin.7: 허용 / 거부목록관리아 ) Admin.8: 감사데이터환경설정자 ) Admin.9: Manager 사용자관리차 ) Admin.10: 보안패스워드관리카 ) Admin.11: 보안기능환경설정 7) TSF 보호기능가 ) Protect.1: 추상기계및 TSF 운영시험나 ) Protect.2: 무결성점검및관리다 ) Protect.3: Manager 화면보호라 ) Protect.4: 통신및데이터보호

183 1) 참조모니터 가 ) Refer.1: 시스템콜인터셉트 TSF는 TSC(TSF Scope of Control) 내의각기능이수행되도록허용되기전에 TSP를강제하는기능이호출되고성공한다는것을보장하기위하여참조모니터기능을제공한다. [ 그림 ] 참조모니터개념 참조모니터기능은다음과같은목적을위하여제공된다. TSC(TSF Scope of Control) 내의각기능이수행되도록허용되기전에 TSP를강제하는기능이호출되고성공한다는것을보장하기위하여제공된다. 보안관리기능에서보안정책및보안기능환경설정등을위하여본평가대상제품에서만사용하는시스템콜이추가된다. 새롭게추가된시스템콜은감사기록기능에서감사기록을수집할때도사용된다

184 이러한참조모니터기능은 [ 그림 3-2] 와같이시스템콜테이블을변경함으로써구현된다. [ 그림 ] 참조모니터개념 참조모니터의시스템콜테이블변경형태는다음과구분된다. o 새로운시스템콜추가 : KMACS가운영체제에탑재될때 o 새로운시스템콜삭제 : KMACS가운영체제에서분리될때 o 운영체제시스템콜대치 : 보안기능시작시 o 운영체제시스템콜복구 : 보안기능중지시 운영체제가시동되면서운영체제의커널에 KMACS 커널모듈이탑재될때본평가제품에서사용하는시스템콜을추가하는과정과보안기능이시작될때운영체제의시스템콜을대치하는과정을수행한다. 역으로, 보안기능이정지될때운영체제의시스템콜을복구하는과정과운영체제가정지 (shutdown) 되면서 KMACS 커널모듈이운영체제커널에서삭제될때추가한시스템콜을삭제하는과정이수행된다

185 시스템콜인터셉트기능 (Refer.1) 에서참조하는외부인터페이스는다음과같다. 인터페이스식별인터페이스명사용방법 EI_OS_SCALL OS시스템콜 호 출인터페이스 EI_OS_MLOAD 커널모듈 로드 인터페이스 임의의응용프로그램에서호출한 TOE 통제범위내의시스템콜이강제되도록하기위하여구현한 RedCastle 시스템콜인터페이스 KMACS 커널모듈을운영체제커널에탑재하기위하여호출하는운영체제명령인터페이스 EI_OS_MUNLOAD 커널모듈 언로드 인터페이스 KMACS 커널모듈을운영체제커널에서제거하기위하여호출하는운영체제명령인터페이스 [ 각보안기능별로추가작성 ]

186 라. TSF 인터페이스 1) CLI 인터페이스 1 EI_OS_SCALL 인터페이스실행허용명령어목록관리명령인터페이스 EI_CLI_ALCMD 목적 실행허용명령어 목록을관리하기 위하여보안관리자에 의해 실행되는 명령인터페이스 사용방법 다음의인터페이스는 보안관리자 (SO, 1, 1) 에의해서만 호출 가능하다. 실행허용명령어목록에서지정된실행역할의 root가명령어를실행하면, 명령어의보안속성은목록에등록된보안속성으로재설정된다.. alcmd [-a -d -g -m] [ -a ]: 명령어를등록한다. (1) alcmd -a를입력하고엔터를친다. (2) Input a full pathname of command: 메시지가나오면목록에추가할명령어경로와이름을입력하고엔터를친다. (3) Input execution role (UXR, SA, ALL): 메시지가나오면명령어를실행시킬주체의보안역할을 UXR, SA, ALL 중에선택하여입력하고엔터를친다. (4) Input new role (UXR, SA, SO): 메시지가나오면명령이실행될때변경되는보안역할을 UXR, SA, SO 중에선택하여입력하고엔터를친다. (5) Input new level (1 ~ 7): 메시지가나오면명령이실행될때변경되는보안등급을 1 ~ 7의숫자중에선택하여입력하고엔터를친다.( 사용방법 (3), (4) 에서모두 UXR로설정시 level은 0으로설정된다.) (6) Input new SA Category ID: 메시지가나오면명령이실행될때변경되는보안그룹의 Category ID( 보안그룹 ID) 를입력하고엔터를친다. 보안그룹 ID는현재보안그룹목록에존재하는보안그룹의 ID이다. 보안그룹은 getcat 명령어를이용하여확인할수있다. 보안역할에따라보안등급또는보안그룹은자동으로지정될수있다. [ -d ]: 등록된명령어를삭제한다. (1) alcmd -d 를입력하고엔터를친다. (2) Select the number of command to be deleted: 메시지가나오면삭제할명령어의목록번호를입력하고엔터를친다. [ -g ]: 보안속성재설정목록을조회한다. (1) alcmd -g 를입력하고엔터를친다

187 효과 [ -a ] : 명령어등록. 사용방법 (1) 에서보안관리자 (SO,1,1) 가실행하지않았을때 Permission denied 메시지를출력한다.. 사용방법 (2) 에서명령어경로만입력후엔터를칠때 Not regular file 메시지를출력한다.. 사용방법 (2) 에서잘못된명령어를입력후엔터를칠때 No such file 메시지를출력한다.. 사용방법 (3), (4), (5) 에서잘못된입력값을입력후엔터를칠때 Invalid input 메시지를출력한다.. 명령어등록이성공하면보안속성재설정목록에명령어가추가됨을알려주고, 사용방법 (2) ~ (5) 에서설정한값을출력한다. [ -d ]: 등록된명령어삭제. 사용방법 (1) 에서보안관리자 (SO,1,1) 가실행하지않았을때 Permission denied 메시지를출력한다.. 사용방법 (2) 에서잘못된입력값을입력후엔터를칠때 Invalid input 메시지를출력한다.. 등록된명령어삭제가성공하면삭제된명령어의경로및이름과목록에서삭제되었음을알려준다. [ -g ] : 보안속성재설정목록조회. 사용방법 (1) 에서보안관리자 (SO,1,1) 가실행하지않았을때 Permission denied 메시지를출력한다.. 보안속성재설정목록조회가성공하면보안속성재설정목록을출력한다. 예외사항및 Permission denied 오류메시지 Not regular file No such file Invalid input Command modification failure Not SA category or no such category 운영모드 보안관리자모드 관련보안기능 Admin.8 허용 / 거부목록 관리 [ 인터페이스별추가작성 ]

188 마. 이론적근거 1) 보안기능상관분석 보안기능요구사항과보안기능을대응하여다음과같이작성한다. TOE 보안기능요구사항컴포넌트엘리먼트 기능명세서보안기능 FAU_ARP.1 FAU_ARP.1.1 Audit.2: 잠재적인위반분석및대응 FAU_GEN.1 FAU_GEN.1.1 Audit.1: 감사데이터생성및수집 FAU_GEN.1.2 Audit.1: 감사데이터생성및수집 FAU_GEN.2 FAU_GEN.2.1 Audit.1: 감사데이터생성및수집 FAU_SAA.1 FAU_SAA.1.1 Audit.2: 잠재적인위반분석및대응 FAU_SAA.1.2 Audit.2: 잠재적인위반분석및대응 FAU_SAR.1 FAU_SAR.1.1 Audit.4: 감사데이터조회및검토 FAU_SAR.1.2 Audit.4: 감사데이터조회및검토 FAU_SAR.2 FAU_SAR.2.1 Audit.3: 감사저장소증적검사 FAU_SAR.3 FAU_SAR.3.1 Audit.4: 감사데이터조회및검토 FAU_SEL.1 FAU_SEL.1.1 Audit.1: 감사데이터생성및수집 FAU_STG.1 FAU_STG.1.1 Audit.3: 감사저장소증적검사 FAU_STG.1.2 Audit.3: 감사저장소증적검사 FAU_STG.3 FAU_STG.3.1 Audit.3: 감사저장소증적검사 FAU_STG.4 FAU_STG.4.1 Audit.3: 감사저장소증적검사 FDP_ACC.1 FDP_ACC.1.1 Ac_dac.1: ACL 기반임의적접근통제 Ac_dac.2" 목록기반임의적접근통제 FDP_ACF.1.1 Ac_dac.1: ACL 기반임의적접근통제 FDP_ACF.1 FDP_ACF.1.2 Ac_dac.1: ACL 기반임의적접근통제 FDP_ACF.1.3 Ac_dac.2" 목록기반임의적접근통제

189 2) TSFI 상관분석 보안기능요구사항과 TSFI 간의상관관계를다음과같이적성한다. TOE 보안기능요구사항컴포넌트엘리먼트 TSF 인터페이스 FAU_ARP.1 FAU_ARP.1.1 EI_GUI_RCCTL( 보안기능제어화면인터페이스 ) FAU_GEN.1 FAU_GEN.1.1 EI_GUI_RCCTL( 보안기능제어화면인터페이스 ) FAU_GEN.1.2 EI_GUI_RCCTL( 보안기능제어화면인터페이스 ) FAU_GEN.2 FAU_GEN.2.1 EI_GUI_RCCTL( 보안기능제어화면인터페이스 ) FAU_SAA.1 FAU_SAA.1.1 EI_GUI_RCCTL( 보안기능제어화면인터페이스 ) FAU_SAA.1.2 EI_GUI_RCCTL( 보안기능제어화면인터페이스 ) FAU_SAR.1 FAU_SAR.1.1 EI_GUI_SECLOG( 감사기록조회화면인터페이스 ) EI_GUI_KERNLOG( 커널로그조회화면인터페이스 ) FAU_SAR.1.2 EI_GUI_SECLOG( 감사기록조회화면인터페이스 ) EI_GUI_KERNLOG( 커널로그조회화면인터페이스 ) FAU_SAR.2 FAU_SAR.2.1 EI_GUI_RCCTL( 보안기능제어화면인터페이스 ) FAU_SAR.3 FAU_SAR.3.1 EI_GUI_KERNLOG( 커널로그조회화면인터페이스 ) FAU_SEL.1 FAU_SEL.1.1 EI_GUI_RCCTL( 보안기능제어화면인터페이스 ) FAU_STG.1 FAU_STG.1.1 EI_OS_SCALL (OS시스템콜호출인터페이스 ) FAU_STG.1.2 EI_OS_SCALL (OS시스템콜호출인터페이스 ) FAU_STG.3 FAU_STG.3.1 EI_GUI_RCCTL( 보안기능제어화면인터페이스 ) FAU_STG.4 FAU_STG.4.1 EI_OS_SCALL (OS시스템콜호출인터페이스 ) FDP_ACC.1 FDP_ACC.1.1 EI_OS_SCALL (OS시스템콜호출인터페이스 ) FDP_ACF.1.1 EI_OS_SCALL (OS시스템콜호출인터페이스 ) FDP_ACF.1 FDP_ACF.1.2 EI_OS_SCALL (OS시스템콜호출인터페이스 )... FDP_IFC.1 FDP_IFC.1.1 EI_OS_SCALL (OS시스템콜호출인터페이스 ) FDP_IFF.2.1 EI_OS_SCALL (OS시스템콜호출인터페이스 ) FDP_IFF.2 FDP_IFF.2.2 EI_OS_SCALL (OS시스템콜호출인터페이스 ) FDP_IFF.2.3 EI_OS_SCALL (OS시스템콜호출인터페이스 ) EI_CLI_FACLSET( 개별파일정책설정명령인터페이스 ) EI_CLI_FACLGET( 개별파일정책조회명령인터페이스 ) FMT_MSA.1(1) FMT_MSA.1.1 EI_CLI_FGRPSET( 그룹파일정책설정명령인터페이스 ) EI_CLI_FGRPGET( 그룹파일정책조회명령인터페이스 ) EI_GUI_ACL(ACL정책관리화면인터페이스 )

190 3. TOE 설계서작성예제 가. 개요 1) 목적 TOE 설계서 (TDS, TOE Design) 는 TSF 설명을위한배경및전체 TSF 설명을제공한다. TOE 설계는서브시스템과모듈이라는두가지수준의분해를사용한다. 모듈은기능성에대한가장상세한서술로써, 구현에대한설명이다. 서브시스템은 TOE 설계에대한설명으로, TOE의부분이어떤역할을어떻게수행하는지에대한상위수준의설명을제공할수있게해준다. 서브시스템은더상세수준의서브시스템또는모듈로세분화될수있다. 2) TOE 설계식별 o 제목 : KMACS v for Asianux 2.0 TOE설계서, Version 1.3 o 작성자 : KISA Corp. o 발간일 : 2007년 10월 01일 o 주요단어 : 운영체제보안시스템, 등급기반강제적접근통제, 임의적접근통제 3) 구성본문서는아래와같이구성되어있다. 제 1장은 TOE 설계서개요로 TOE 설계서의목적, 식별및구성등을기술한다. 제 2장에서는서브시스템을식별하고있다. 제 3장에서제 10장까지는식별된보안서브시스템과모듈에대하여각각기술하며시스템전체적인구조와구성요소에대하여설명한다. 제 11장은이론적근거로보안목표명세에대하여보안기능이적절히다루어지고적합함을입증한다

191 나. TOE 기본구조 1) 서브시스템구성도 TOE는보호대상시스템에설치되는 KMACS Agent와화면인터페이스제공을위한 KMACS Manager으로구성되어있다. KMACS Manager은다수의 KMACS Agent와의접속을처리할수있도록구현되어있다. TOE는다음과같은서브시스템및하부시스템으로구성되어있다. o 통합관리서브시스템 (ESM) - ESM.1: Manager식별및인증 - ESM.2: Manager 사용자관리 o 통신서브시스템 (SSL) - SSL.1: 전용통신클라이언트 - SSL.2: 전용통신서버 o 보안관리서브시스템 (LSM) - LSM.1: 보안기능개시및중지 - LSM.2: 보안그룹관리 - LSM.3: 보안사용자관리 o 감사관리서브시스템 (LOG) - LOG.1: 보안로그수집및저장 - LOG.2: 잠재적위반분석및대응 - LOG.3: 보안로그 DB 증적관리 o 커널관리서브시스템 (KSM) - KSM.1: 보안기능제어 - KSM.2: 보안그룹설정

192 다음그림은 KMACS 전체서브시스템의구성도를도식화한것이다

193 2) 서브시스템별기능 1 통합관리서브시스템 (ESM) 통합관리서브시스템은 KMACS Agent의보안및비보안기능을관리하기위한전용도구로제공되는것으로 Windows GUI로구현된다. 통합관리서브시스템은다음과같은기능들로구성되어있다. o Manager 식별및인증 o Manager 사용자관리 o Manager 화면보호기기능 o Manager 실행파일무결성관리기능 o 보안관리자에게화면인터페이스 (GUI) 제공 - Manager 로그인화면인터페이스 - Manager 사용자관리화면인터페이스 - Manager 사용자등록화면인터페이스 통합관리서브시스템은 KMACS Agent와네트워크로연결되며, 관리자가보안관리기능을수행할수있도록안전한통신세션을유지하여야한다. 2 통신서브시스템 (SSL) 본평가제품에서 KMACS Agent가설치되는보안관리서브시스템 (LSM) 과통합관리서브시스템 (ESM) 은네트워크인터페이스를통하여연결된다. LSM 과 ESM 사이에전송되는데이터는 SSL version 3 프로토콜을사용하여보호된다. KMACS Manager이 SSL 클라이언트로동작하여 SSL 서버인 KMACS Agent에접속을하여안전한통신이연결된다. 통신서브시스템은다음과같은하부서브시스템으로구성된다. o 전용통신클라이언트 : 통합관리서브시스템 (ESM) 의하부에위치 o 전용통신서버 : 보안관리서브시스템 (LSM) 의하부에위치 [ 추가작성 ]

194 3) 서브시스템구분본평가대상시스템의서브시스템들은다음과같이하부시스템으로세분화하고그하부시스템들은 SFR-수행, SFR-지원, SFR-비-간섭서브시스템으로범주화될수있다. 서브시스템참조모니터 (RM) 강제적접근통제 (MAC) 임의적접근통제 (DAC) 감사관리 (LOG) 통합관리 (ESM) 보안관리 (LSM) 커널관리 (KSM) 통신 (SSL) 하부시스템참조모니터 (RM.1) 주체보안속성설정 (MAC.1) 등급기반강제적접근통제 (MAC.2)... ACL기반임의적접근통제 (DAC.1) 목록기반임의적접근통제 (DAC.2) 보안로그수집및저장 (LOG.1) 잠재적위반분석및대응 (LOG.2)... Manager식별및인증 (ESM.1) Manager사용자관리 (ESM.2)... 보안기능개시및중지 (LSM.1) 보안그룹관리 (LSM.2) 보안사용자관리 (LSM.3) 객체보안속성관리 (LSM.4)... 보안기능제어 (KSM.1) 보안그룹설정 (KSM.2) 보안사용자설정 (KSM.3) 객체보안속성설정 (KSM.4)... 전용통신클라이언트 (SSL.1) 전용통신서버 (SSL.2)

195 서브시스템별로작성 다. 참조모니터서브시스템 (RM) 다음에서는참조모니터서브시스템 (RM, Reference Monitor) 에서처리되는각보안기능을하부시스템으로규정하고각하부시스템에따른세부구성요소를식별하도록한다. 참조모니터서브시스템의하부시스템은다음과같이구성된다. o RM.1: 참조모니터 1) 참조모니터 (RM.1) 가 ) 서브시스템설명참조모니터 (RM.1) 하부시스템은 TOE의 SFR을직접구현한것으로, SFR 의기능성을제공하므로 SFR-수행서브시스템이다. 다음은참조모니터하부시스템의행동과그설명이다. 하부시스템 RM.1 구성설명요소 [ 제어시스템콜추가 ] KMACS 커널모듈이탑재될때접 RM.1.F1 근통제서브시스템을제어하기위한시스템콜이추가된다. [ 제어시스템콜삭제 ] KMACS 커널모듈이운영체제에서 RM.1.F2 분리될때추가한제어시스템콜을삭제한다. [ 제어시스템콜인터셉트 ] KMACS 보안관리서브시스템 RM.1.F3 에서호출된제어시스템콜은인터셉트되어보안관리명령에따라커널관리서브시스템으로제어를넘긴다

196 다음은참조모니터 (RM.1) 하부서브시스템내의보안기능과타서브시스템과의상호작용관계를도식화한것이다. 참조모니터서브시스템의참조모니터하부시스템 (RM.1) 은보안기능이개시될때 KMACS 커널모듈이운영체제에탑재되며이때 TOE에서사용하는시스템콜을추가하는과정 (RM.1.F1) 이수행된다. 나 ) 상호작용운영체제가기동되어 TOE의커널모듈이 OS에탑재되면 RM.1.F1이호출되어제어시스템콜을추가하는기능을수행한다. TOE의커널모듈이운영체제에서분리되면 RM.1.F2가호출되어추가한제어시스템콜을삭제하는기능을수행한다

197 다 ) 모듈설명 1 제어시스템콜추가 (RM.1.F1.M1) o 모듈의목적보안관리서브시스템, 감사관리서브시스템등에서사용할시스템콜을추가한다. 제어시스템콜이포함된커널모듈을커널로로드하게되면운영체제시스템콜테이블에제어시스템콜이추가된다. o 제시인터페이스 인터페이스명호출되는방법입력변수전역변수반환값 I_RM.1.F1.M1 TOE 커널모듈은운영체제에탑재될때운영체제에의해호출된다. 추가할시스템콜번호, 인자갯수, 시스템콜함수포인터를매개변수로호출한다. int id : 추가제어시스템콜번호 int narg : 추가제어시스템콜인자개수 void (* func)() : 추가제어시스템콜함수포인터 char *s_name : 추가제어시스템콜명칭 rg_sys_init : 커널모듈탑재시대치할운영체제시스템콜정보테이블 rg_sys_call_table: 운영체제시스템콜테이블 rg_fsyscall_table: 운영체제시스템콜테이블 ( ia64 light 시스템콜테이블 ) rg_ia32_syscall_table: 운영체제시스템콜테이블 (ia64 32bit 시스템콜테이블 ) 없음 o o 호출인터페이스 : 없음 알고리즘설명 운영체제가구동되어보안기능이시작하면 TOE 커널모듈이운영체제커널에탑재하게되고, 이때, 제어시스템콜을추가하기위하여 rc_add_new_syscall() 함수를호출한다

198 모듈명 I_RM.1.F1.M1 함수명 void rc_add_new_syscall(int id, int narg, void (*func)(), char *s_name) 입력모듈 없음 출력모듈 없음 관련보안기능 Refer.1 : 시스템콜인터셉트 기능제공방법 제어시스템콜이포함된커널모듈을커널로로드한다. 효과 운영체제시스템콜테이블에제어시스템콜이추가된다. 예외사항 없음 오류메시지 없음 인터페이스 없음 /* 시스템콜테이블을백업하고새로운시스템콜로대체하기위한 FOR LOOP */ FOR I=0, rg_sys_init[i].sys_id!= 0, i++ ENDLOOP /* SYS_UNUSED 이면후킹대상이아니므로다음시스템콜처리 */ IF rg_sys_init[i].sys_id == SYS_UNUSED continue; /* 시스템콜 ID 를 s_id 에저장 */ s_id = rg_sys_init[i].sys_id /* 원래의시스템콜테이블을저장 */ rg_sys_init[i].org_scall = rg_sys_call_table[s_id] /* MACS 에서설정한새로운시스템콜을시스템콜테이블에저장 */ rg_sys_call_table[s_id] = rg_sys_init[i].new_scall /* 시스템콜테이블에제어시스템콜추가 */ /* 사용하지않는시스템콜을저장 */ org_rg_comm = rg_sys_call_table[id] /* 추가시스템콜함수포인터인 func 를시스템콜테이블에저장 */ rg_sys_call_table[id] = func [ 추가작성 ]

199 서브시스템별로추가작성 라. 강제적접근통제서브시스템 (MAC) 하부시스템별로추가작성 1) 주체의보안속성설정 (MAC.1) 가 ) 서브시스템설명나 ) 상호작용다 ) 모듈설명 모듈별추가작성 1 OOOO 모듈 o 모듈의목적 o 제시인터페이스 o 호출인터페이스 o 알고리즘설명 2 OOOO 모듈 o 모듈의목적 o 제시인터페이스 o 호출인터페이스 o 알고리즘설명 [ 추가작성 ] 하부시스템추가작성 2) 주체의보안속성설정 (MAC.2) [ 추가작성 ]

200 마. 이론적근거 1) 서브시스템과모듈의대응관계 [ 표 ] 하부서브시스템목록 서브시스템 하부시스템 참조모니터 (RM) RM.1 참조모니터 MAC.1 주체보안속성설정강제적접근통제 MAC.2 등급기반강제적접근통제 (MAC)... DAC.1 ACL 기반임의적접근통제임의적접근통제 DAC.2 목록기반임의적접근통제 (DAC)... LOG.1 보안로그수집및저장 감사관리 (LOG) LOG.2 잠재적위반분석및대응... ESM.1 Manager 식별및인증 통합관리 (ESM) ESM.2 Manager 사용자관리... LSM.1 보안기능개시및중지 보안관리 (LSM) LSM.2 보안그룹관리 LSM.3 보안사용자관리... KSM.1 보안기능제어 커널관리 (KSM) KSM.2 보안그룹설정 KSM.3 보안사용자설정... 통신 (SSL) SSL.1 전용통신클라이언트 SSL.2 전용통신서버

201 [ 표 ] 서브시스템과모듈간의대응관계 서브시스템 하부시스템 모듈 RM.1.F1.M1 ( 제어시스템콜추가 ) 참조모니터 (RM) RM.1 RM.1.F2.M1 ( 제어시스템콜삭제 ) RM.1.F3.M1 ( 제어시스템콜인터셉트 )... MAC.1.F1.M1 ( 주체보안속성초기화 ) MAC.1 MAC.1.F2.M1 ( 주체생성시보안속성설정 )... 강제적접근통제 MAC.2.F1.M1 ( 등급기반파일접근통제 ) (MAC) MAC.2 MAC.2.F2.M1 ( 등급기반 kill 접근통제 ) DAC.1 DAC.1.F1.M1 ( 파일테이블에서객체조회 ) 임의적접근통제 (DAC) DAC.2 LOG.1 감사관리 (LOG) LOG.2... ESM.1 통합관리 (ESM) ESM.2... LSM.1 보안관리 (LSM) LSM DAC.1.F2.M1 ( 객체에대한 ACL 정책강제 ) DAC.2.F1.M1 ( 사용자로 su 허용 ) DAC.2.F2.M1 (SETUID 실행허용 )... LOG.1.F1.M1 ( 감사운영환경초기화 ) LOG.1.F2.M1 ( 커널로그수집 )... LOG.2.F1.M1 ( 잠재적위반분석 ) LOG.2.F2.M1 ( 누적위반대응 ) ESM.1.F1.M1 (Manager 사용자식별 ) ESM.1.F2.M1 (Manager 인증데이터검증메커니즘 )... ESM.2.F1.M1 (Manager 사용자최초등록 ) ESM.2.F2.M1 (Manager 사용자등록 )... LSM.1.F1.M1 ( 로그데몬시작 ) LSM.1.F2.M1 ( 로그데몬정지 )... LSM.2.F1.M1 ( 보안그룹추가 ) LSM.2.F2.M1 ( 보안그룹수정 )

202 2) 보안기능요구사항과의대응관계 다음은보안기능요구사항에따른 TSF 인터페이스의상관관계및이에대응하는 TSF 모듈을보여준다. [ 표 ] SFR, TSFI 및모듈간의대응관계 TOE 보안기능요구사항컴포넌트엘리먼트 TSF 인터페이스 TSF 모듈 FAU_ARP.1 FAU_ARP.1.1 EI_GUI_RCCTL LOG.2.F2.M1 FAU_GEN.1.1 LOG.1.F1.M1 LOG.1.F2.M1 LOG.1.F3.M1 FAU_GEN.1 EI_GUI_RCCTL... FAU_GEN.1.2 LOG.4.F1.M1 LOG.4.F2.M1... FAU_GEN.2 FAU_GEN.2.1 EI_GUI_RCCTL KSM.9.F1.M1 FAU_SAA.1 FAU_SAA.1.1 EI_GUI_RCCTL LOG.2.F1.M1 FAU_SAA.1.2 EI_GUI_RCCTL LOG.2.F1.M1 LSM.13.F1.M1 LSM.13.F2.M1 EI_GUI_SECLOG FAU_SAR.1.1 LSM.13.F2.M2 EI_GUI_KERNLOG FAU_SAR.1 LSM.13.F2.M3... FAU_SAR.1.2 EI_GUI_SECLOG EI_GUI_KERNLOG KSM.9.F2.M1 FAU_SAR.2 FAU_SAR.2.1 EI_GUI_RCCTL MAC.2.F1.M1 FAU_SAR.3 FAU_SAR.3.1 EI_GUI_KERNLOG LSM.13.F4.M1 FAU_SEL.1 FAU_SEL.1.1 EI_GUI_RCCTL LOG.1.F1.M1 LOG.1.F2.M1 FAU_STG.1 FAU_STG.1.1 FAU_STG.1.2 EI_OS_SCALL MAC.2.F1.M1 FAU_STG.3 FAU_STG.3.1 EI_GUI_RCCTL LOG.3.F1.M1 FAU_STG.4 FAU_STG.4.1 EI_OS_SCALL LOG.3.F2.M1 FDP_ACC.1 FDP_ACC.1.1 EI_OS_SCALL DAC.1.F1.M1 DAC.1.F2.M

203 4. 구현검증명세서작성예제 가. 개요 1) 목적본구현검증명세서는 KMACS을개발하는데사용된프로그래밍언어, 개발도구등을서술하고, TOE 설계서에서식별된보안모듈과 KMACS 원시프로그램사이의일치성을기술한다. 2) 구현검증명세식별 o 제목 : KMACS v for Asianux 2.0 구현검증명세서, Version 1.2 o 작성자 : KISA Corp. o 발간일 : 2007년 10월 01일 o 주요단어 : 운영체제보안시스템, 등급기반강제적접근통제, 임의적접근통제 3) 구성제1장은구현검증명세서개요로구현검증명세서의목적, 구성, 용어정의등을기술한다. 제2장에서는개발도구및구현표현구성에대해기술한다. 본평가대상제품의개발에사용된개발도구를모두나열하고 KMACS 원시프로그램의구성을서술한다. 제 3 장에서는 TOE설계서에서식별된보안모듈과원시프로그램사이의일치성을기술한다. 제 4 장에서는 TOE설계의각모듈이구현의표현에서정확하고일관성있으며완전하게실체화되어있는지확인할수있도록기술한다

204 나. 개발도구및구현표현구성 본장에서는 KMACS을개발하는데사용된개발도구와개발된원시프로그램의구성에대하여기술한다. 1) 개발도구 KMACS 을개발하는데사용된모든개발도구를기술하면아래와같다. o KMACS Manager - 프로그래밍언어 : Microsoft Visual C, MFC - 프로그래밍컴파일러 : Microsoft Visual C 6.0 o KMACS Agent - 프로그래밍언어 : 표준 C - 프로그래밍컴파일러 : GNU C 컴파일러 ( 버전 2.9), GNU make, autoconf, automake, m4 2) 컴파일옵션 o KMACS Manager KMACS Manager를컴파일하는데사용하는옵션은아래와같다. 컴파일옵션 설명 _AFXDLL MFC 사용 CERT_SHA 사용자인증을위한해쉬를 SHA사용 _OPEN_SSL OpenSSL 사용 /I " 헤더파일경로 " 컴파일시헤더파일을검색할디렉토리지정 o KMACS Agent KMACS Agent 의커널모듈을컴파일하는데사용하는옵션은아래와같다

205 [ 표 ] KMACS Agent 커널모듈컴파일옵션 컴파일옵션 설명 -DFT_PPROMISC Promiscuous mode 설정탐지코드포함 -DFT_MODHIDING Module Hiding 코드포함 -DIPS_PROTECTION 침입방지기능코드포함 -D_RC_V20 KMACS ver 2.0 커널모듈생성 -DVERSION=< 버전 > KMACS 커널모듈버전정보 -DRC_BUILD=< 날짜 > 컴파일날짜 -D_KERNEL 커널모듈용소스코드사용 -DOS_LINUX Linux 용소스코드사용 -DRC_X86_64 -DX86_64 Linux amd64 용소스코드사용 -DRC_CONFIG_SMP Linux smp 모듈용소스코드사용 -I< 헤더파일경로 > 컴파일시헤더파일을검색할디렉토리지정 -c Object 파일만생성 < 컴파일예 > gcc -D_KERNEL -D FULL_PROTO -DOS_LINUX DRC_X86_64 -DX86_64 -DRC_CONFIG_SMP -DFT_PPROMISC -DFT_MODHIDING -DIPS_PROTECTION -D_RC_V20 -DVERSION=\"2.0.6\" -DRC_BUILD=\"`060310`\" -D_EAL3P I. -I../include -c -o <Object 파일명 > <Input 파일 > KMACS Agent의응용프로그램을컴파일하는데사용하는옵션은아래와같다. [ 표 ] KMACS Agent 응용프로그램컴파일옵션 컴파일옵션설명 -DLM_VER_BUILD=< 날짜 > 컴파일날짜 -DOS_LINUX Linux 용소스코드사용 -DX86_64 Linux amd64 용소스코드사용 -D_RC_V20 KMACS ver 2.0 응용프로그램생성 -g 컴파일결과파일에디버깅정보포함 -o <Output 파일 > 컴파일후생성되는결과파일명지정 < 컴파일예 > gcc -Wall -DMONOLITH -DLM_VER_BUILD=\"050610\" -DOS_LINUX DX86_64 -D_RC_V20 -D_EAL3P -g -O2 -Xlinker -bi:/usr/lib/rc_syscalls.exp -o <Output 파일 > <Input 파일 > < 라이브러리 >

206 3) 구현표현의구성 본절에서는원시프로그램의디렉토리구성, 각디렉토리내에포함된파일목록과설명을다음과같이기술한다. 1 KMACS Manager (RedCon) Manager의원시프로그램의디렉토리및파일의구성은다음과같다. 기준디렉토리 KMACS/RedCaseWin 디렉토리 위치 RCastlESM 설명 KMACS를통합관리하는콘솔프로그램 파일명 코드 설명 AgentConnectDlg.cpp C1 에이전트에로그인하는다이로그 AgentFolderView.cpp C2 에이전트파일의내용을트리형식으로보여주는뷰 AgentInfoPage.cpp C3 에이전트에대한정보를출력하는페이지 AgentModuleConfigDlg.cpp C4 에이전트에대한정보, 관련모듈을제어하는다 이얼로그 AgentModulePage.cpp C5 커널엔진모듈, 방화벽, 로그데몬에대한상태정보및제어를하는페이지... 디렉토리 위치 AGTEXPLR 설명에이전트편집기 파일명 코드 설명 AgentExplorerDlg.cpp C1 에이전트를추가, 삭제, 수정및정보를보는다이얼로그 AddGroupNameDlg.cpp C2 그룹이름추가하는다이얼로그 AgentProbeDlg.cpp C3 레드캐슬에이전트정보를수집하는진행상태를보여주는다이얼로그 HostFindDlg.cpp C4 찾고자하는레드캐슬에이전트의 IP 범위및포트입력받는다이얼로그... 2 통신서버 (sosd) 통신서버의원시프로그램의디렉토리및파일의구성은다음과같다. [ 추가작성 ]

207 다. 구현표현 TOE 설계서의보안모듈이정확히구현되었는지검증하기위하여보안모듈의세부구현내용을서술한다. 1) 참조모니터서브시스템 (RM) 참조모니터서브시스템은다음과같은모듈로구성되어있다. 모듈관련소스파일관련함수 RM.1.F1.M1 KMACS/src/rckern2/LINUX/rg_sysent.c rc_add_new_syscall() ( 제어시스템콜추가 ) RM.1.F2.M1 KMACS/src/rckern2/LINUX/rg_sysent.c rc_remove_new_syscall() ( 제어시스템콜삭제 ) RM.1.F3.M1 KMACS/src/rckern2/rg_comm2.c rg_comm2() ( 제어시스템콜인터셉트 )... 가 ) 참조모니터 (RM.1) 1 rc_add_new_syscall void rc_add_new_syscall(int id, int narg, void (* func)(), char *s_name) KMACS 커널모듈관리를위한제어시스템콜을추가한다. 없음 int id : 추가제어시스템콜번호 int narg : 추가제어시스템콜인자개수 void (* func)() : 추가제어시스템콜함수포인터 char *s_name : 추가제어시스템콜명칭 rg_sys_init : 커널모듈탑재시대치할운영체제시스템콜정보테이블 rg_sys_call_table: 운영체제시스템콜테이블 rg_fsyscall_table: 운영체제시스템콜테이블 ( ia64 light 시스템콜테이블 ) rg_ia32_syscall_table: 운영체제시스템콜테이블 (ia64 32bit 시스템콜테이블 ) 없음 RM.1.F1.M1 KMACS/src/rckern2/LINUX/rg_sysent.c 운영체제가구동되어보안기능이시작하면 TOE 커널모듈이운영체제커널에탑재하게되고, 이때, 제어시스템콜을추가하기위하여호출한다

208 void rc_add_new_syscall(int id, int narg, void (*func)(), char *s_name) { int i; int s_id; #if defined (RC_IA64) unsigned long kernel_gp; struct fptr *new_syscall; #if LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,0) struct fptr *new_fsyscall; #endif /* LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,0) */ #endif /* RC_IA64 */ rg_sys_call_table = rg_symbol_to_address("sys_call_table"); if(rg_sys_call_table == NULL) return;... 2 rc_remove_new_syscall [ 추가작성 ] 2) 접근통제서브시스템 (AC) 접근통제서브시스템은다음과같은모듈로구성되어있다. 모듈관련소스파일관련함수 MAC.1.F1.M1 prst_all_init() KMACS/src/rckern2/prst_main.c ( 주체보안속성초기화 ) prst_init()... 가 ) 주체보안속성설정 (MAC.1) 1 prst_all_init [ 추가작성 ]

209 라. 이론적근거 다음에서는 TOE 설계에서기술된모듈이구현의표현에서정확하고일관성있으며완전하게실체화되고있음을보이고있다. [ 표 ] 모듈과구현의표현간의일치성분석 모듈 관련소스파일 관련함수 RM.1.F1.M1 ( 제어시스템콜추가 ) KMACS/src/rckern2/LINUX/rg_sysent.c rc_add_new_syscall () RM.1.F2.M1 ( 제어시스템콜삭제 ) KMACS/src/rckern2/LINUX/rg_sysent.c rc_remove_new_syscall () RM.1.F3.M1 ( 제어시스템콜인터셉트 ) KMACS/src/rckern2/rg_comm2.c rg_comm2() RM.1.F4.M1 (OS시스템콜대치 ) KMACS/src/rckern2/LINUX/rg_sysent.c rc_change_org_syscalls () RM.1.F5.M1 (OS시스템콜복구 ) KMACS/src/rckern2/LINUX/rg_sysent.c rc_restore_org_syscalls ()

210 ( 이페이지는인쇄를위해비워놓은것임 )

211 제 4 장생명주기지원클래스 (ALC) 작성 제 1 절생명주기지원클래스구조 제품의생명주기에서는 TOE가개발환경또는사용환경어디에위치하는지보다는 TOE가개발자또는사용자책임하에있는지가중요한사항이다. 책임변경의시점은 TOE가사용자에게인수되는때이다. 이는동시에생명주기지원 (ALC) 클래스에서설명서 (AGD) 클래스로의이동이기도하다. 생명주기지원 (ALC) 클래스는 7개의패밀리로구성되어있다. 생명주기정의 (ALC_LCD) 패밀리는 TOE 생명주기에대한상위수준설명이다. 형상관리능력 (ALC_CMC) 패밀리는형상항목의관리에대한보다상세한설명이다. 형상관리범위 (ALC_CMS) 패밀리는정의된방식대로관리될형상항목의최소집합을요구한다. 개발보안 (ALC_DVS) 패밀리는개발자의물리적, 절차적, 인적및기타보안대책을, 도구및기법 (ALC_TAT) 패밀리는개발자가사용하는개발도구와구현의표준을, 결함교정 (ALC_FLR) 패밀리는보안결함을다루는것과각각관련되어있다. 배포 (ALC_DEL) 패밀리는 TOE를소비자에게로배포하는절차를정의한다. TOE의개발중에발생하는배포과정은전송 (transportation) 을의미하며본클래스내의다른패밀리에소개된통합및수용절차와관련하여다루어진다. 본클래스에서 " 개발 (development)", " 개발자 ", " 개발하다 " 와같은단어들은개발과생산을포함하는포괄적인의미로쓰이며, " 생산 (production) 은구현표현을최종 TOE로변형시키는과정을말한다. ( 그림 4-1) 은생명주기지원클래스내의패밀리및패밀리내의컴포넌트계층관계를나타낸다

212 ( 그림 4-1) 생명주기지원클래스구성 아래표는생명주기지원클래스에대한보증요구사항을나타내고있다. 생명주기지원클래스에대한 EAL4 등급의보증요구사항은굵은박스로음영표시되어있다. [ 표 4-1] 생명주기지원클래스보증요구사항 보증클래스 생명주기지원 보증패밀리형상관리능력 (ALC_CMC) 형상관리범위 ( ALC_CMS ) 배포 (ALC_DEL) 개발보안 (ALC_DVS) 결함교정 ( ALC_ F LR ) 생명주기정의 (ALC_ LCD) 도구와기법 (ALC_TAT) 평가보증등급요약 EAL1 EAL2 EAl 3 EAL4 EAL5 EAL6 EAL 또한생명주기지원클래스보증요구사항과평가제출물의관계는다음과같다

213 [ 표 4-2] EAL4 보증요구사항과평가문서 보증클래스보증컴포넌트평가문서 생명주기지원 ALC_CMC.4 생산지원, 수용절차및자동화형상관리문서 ALC_CMS.4 문제추적형상관리범위 ALC_DEL.1 배포절차배포절차서 ALC_ DVS.1 보안대책의식별 ALC_ LCD.1 개발자가정의한생명주기모델개발보안문서 ALC_TAT.1 잘정의된개발도구 다음은 EAL4 등급의생명주기지원클래스평가를위한보증컴포넌트 ( 개발자, 증거, 평가자의요구사항 ) 와이에대응되는공통평가방법론의관계를보여준다

214 1. 형상관리문서 (ALC_CMC.4, ALC_CMS.4) 가. 형상관리능력 (ALC_CMC) 형상관리는 TOE가보안기능요구사항 (SFR) 을만족시킨다는보증을강화하는수단이다. 이것은 TOE 및관련정보의상세화및변경과정에대한규정과통제를요구함으로써이루어진다. 형상관리시스템은변경을추적하는방법을제공하고모든변경이인가되었음을보장함으로써자신이통제하는 TOE의무결성을보장한다. 형상관리능력 (CMC, CM capabilities) 패밀리의목적은개발자의형상관리시스템이특정한능력을가질것을요구하는것이다. 이능력은형상항목에우연한변경이나인가되지않은변경이발생할가능성을낮추기위한것이다. 형상관리시스템은초기설계단계에서부터이후의유지단계까지의모든단계에서 TOE의무결성을보장해야한다. 자동화된형상관리도구를도입하는목적은형상관리시스템의효율성을높이기위한것이다. 자동이나수동형상관리시스템모두우회되거나무시될수있고, 인가되지않은변경을막는데불충분할수있으나, 자동화된시스템은사람의실수나태만에의한오류를줄일수있다. 본패밀리의목적은다음과같다. a) 소비자에게배포되기전까지 TOE 가정확하고완전함을보장한다. b) 평가중에단하나의형상항목도빠뜨리지않음을보장한다. c) TOE 형상항목의인가되지않은변경, 추가, 삭제를막는다. 형상관리가초기설계단계에서부터지속적으로적용되는것이바람직하지만, 본패밀리에서는형상관리가평가종료전까지는준비되고사용되도록요구

215 된다. TOE가제품의일부인경우, 본패밀리의요구사항은전체제품이아닌 TOE 형상항목에만적용된다. 개발자는형상관리시스템을생명주기단계에따라구분한경우 ( 예 : 개발, 생산, 최종제품단계 ) 그모두에대한문서를작성해야한다. 평가를위해각각의형상관리시스템은평가기준에서다루는전체형상관리시스템의일부로간주되어야한다. 이와유사하게, TOE의일부가다른개발자에의해또는다른장소에서생산되었을경우, 다른장소에서사용되는형상관리시스템은평가기준에서다루는전체형상관리시스템의일부로간주되어야한다. 이런경우에는형상관리시스템의통합역시고려의대상이된다. 형상관리능력패밀리의몇몇엘리먼트는형상항목을나타내고있다. 이들은형상목록에서식별된모든항목에부과되는형상관리요구사항을식별하고있으나, 목록의내용은개발자의판단에맡기고있다. 형상관리범위 (ACM_CMS) 패밀리는형상목록에포함되어야하고그에따라형상관리에서다루어야하는특정항목을식별함으로써그판단의범위를한정하는데사용될수있다. ALC_CMC.2.3C는형상관리시스템이모든형상항목을유일하게식별할것을요구한다. 또한형상항목을변경할경우해당형상항목에대해새로운유일한식별자를할당할것을요구한다. ALC_CMC.3.8C는형상관리시스템이형상관리계획에따라운영됨을입증하는증거를요구한다. 이러한증거로는화면스냅샷, 형상관리시스템으로부터나온감사증적, 개발자가제공하는형상관리시스템의상세한입증등을들수있다. 평가자는이러한증거가형상관리시스템이형상관리계획과일관되게운영됨을보이기에충분한지결정해야한다

216 ALC_CMC.4.5C는형상관리시스템이 TOE 생산을지원하는자동화된수단을제공할것을요구한다. 이는형상관리시스템이 TOE 생성에정확한형상항목이사용되었는지결정하기위한자동화된수단을제공할것을요구한다. ALC_CMC.5.10C는형상관리시스템이현재 TOE와이전버전 TOE간의변경을확인하는자동화된수단을제공할것을요구한다. TOE의이전버전이없어도, 개발자는현재 TOE와이후버전 TOE간의변경을확인하기위해자동화된수단을제공해야한다. ALC_CMC.4 생산지원, 수용절차및자동화 각버전의 TOE는평가시모호함이없도록유일하게참조되어야한다. TOE 참조를위한레이블을붙이는것은 TOE 사용자가자신이사용하고있는 TOE 버전을알수있도록보장한다. 형상항목을유일하게식별함으로써 TOE 구성을명확하게이해할수있으며, 그결과 TOE 평가요구사항의대상이되는형상항목을결정하는데도움을준다. 형상관리시스템의사용은형상항목이통제된방식으로유지된다는보증을강화한다. TOE에인가되지않은변경이일어나지않음을보장하기위한통제 (" 형상관리접근통제 ") 를제공하고형상관리시스템의적절한기능성과사용을보장하는것은 TOE의무결성을유지하는데도움을준다. 수용절차의목적은 TOE의부분들이적절한특성을가지고있음을보장하고, 형상항목의생성이나변경이인가된것임을확인하는것이다. 수용절차는 TOE 의통합절차및생명주기관리측면에서필수적인요소이다. 형상항목이복잡한경우의개발환경에서는자동화된도구없이변경을통제

217 하기가어렵다. 특히, 이러한자동화도구는개발과정에서발생하는수많은변경을지원할수있어야하고, 그변경이인가된것임을보장할수있어야한다. 본컴포넌트의목적은자동화된수단을통하여형상항목이통제됨을보장하는것이다. TOE 개발에여러명의개발자가참여하는경우 ( 예 : 통합과정이필요한경우 ), 자동화된도구의사용은적절한것이다. 생산지원절차는관리된형상항목의집합으로부터 TOE가인가된방법으로정확하게생성되었음을보장하는데도움을준다. 특히, 이절차는서로다른개발자들이 TOE의생산에참여하여그에따른통합과정이필요한경우에도움이된다. [ 표 4-3] 형상관리능력 공통평가기준 공통평가 컴포넌트 엘리먼트 설 명 방법론 ALC_CMC.4.1D 개발자는 TOE 및그에대한참조를제공해야한다. ALC_CMC.4.2D 개발자는형상관리문서를제공해야한다. ALC_CMC.4.3D 개발자는형상관리시스템을사용해야한다. ALC_CMC.4.1C TOE는유일한참조를위한레이블을붙여 ALC_ CMC.4-1 야한다. ALC_ CMC.4-2 ALC_CMC.4.2 C 형상관리문서는형상항목을유일하게식별 ALC_ CMC.4-3 하는데사용된방법을서술해야한다. ALC_CMC.4.3C 형상관리시스템은모든형상항목을유일하 ALC_ CMC.4-4 게식별해야한다. 형상관리 시스템은 형상항목에 인가된 변경 ALC_CMC.4.4C 만을 허용하는 자동화된 수단을 제공해야 ALC_ CMC.4-5 ALC_ CM C.4 한다. ( 생산지원, 형상관리시스템은자동화된수단을이용하 ALC_ CMC.4-6 ALC_CMC.4.5 C 수용절차및여 TOE의생산을지원해야한다. ALC_ CMC.4-7 자동화 ) 형상관리문서는형상관리계획을포함해야 ALC_CMC.4.6 C ALC_ CMC.4-8 한다. ALC_CMC.4.7 C 형상관리계획은형상관리시스템이 TOE ALC_ CMC.4-9 개발에사용되는방법을서술해야한다. 형상관리 계획은 변경되거나 새로 생성된 ALC_CMC.4.8 C 형상항목을 TOE의 일부로 수용하는데 사용 ALC_ CMC.4-10 된절차를서술해야한다. ALC_CMC.4.9 C 증거는모든형상항목이형상관리시스템 ALC_ CMC.4-11 하에유지되고있음을입증해야한다. ALC_CMC.4.10 C 증거는형상관리시스템이형상관리계획에 ALC_ CMC.4-12 따라운영되고있음을입증해야한다. ALC_ CMC.4-13 ALC_CMC.4.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 비고

218 나. 형상관리범위 (ALC_CMS) 형상관리범위 (ALC_CMS, CM scope) 패밀리의목적은형상항목에포함되어형상관리능력 (ALC_CMC) 의형상관리요구사항이적용될항목들을식별하는것이다. 형상항목을추가하고형상관리를적용함으로써 TOE의무결성이유지된다는추가적인보증을제공할수있다. ALC_CMS가형상목록및목록상의각항목이형상관리에적용될것을강제하는반면, ALC_CMC는형상목록내용을개발자재량으로한다. ALC_CMS는형상목록에포함되어야하는항목을식별하여 ALC_CMC의형상관리요구사항에적용받게함으로써개발자의재량을제한한다. ALC_CMS.4 문제추적형상관리범위 형상관리시스템은형상관리하에있는항목, 즉형상목록에서식별된형상항목들에한해서만변경을통제할수있다. TOE와 TOE를구성하는부분들, TOE 구현표현, 보안목표명세서의보증요구사항 (SAR) 에서요구하는평가증거를형상관리하에포함하는것은이들이적절한인가에따라통제된방식으로변경되었음을보증한다. 보안결함을형상관리하에포함함으로써보안결함보고서가손실되거나간과되지않음을보장하고, 개발자가보안결함을해결하기위해이를추적하도록한다. ALC_CMS.4.1C는보안결함이형상목록에포함되고여기에 ALC_CMC의형상관리요구사항이적용될것을요구한다. 이것은현재의보안결함에관한세부사항뿐아니라기존의보안결함및그해결에관한정보도유지될것을요구한다

219 [ 표 4-4] 형상관리범위 공통평가기준 컴포넌트 엘리먼트 설 명 ALC_CMS.4.1D 개발자는 T O E 에대한형상목록을제공해야한다. 형상목록은 TOE, 보증요구사항에서 요구하 는평가증거, TOE를구성하는부분, 구현 ALC_CMS.4.1C 표현, 보안결함보고서및해결상태를포 ALC_ CM S.4 함해야한다. ( 문제추적형형상목록은형상항목을유일하게식별해야상관리범위 ) ALC_CMS.4.2C 한다. ALC_CMS.4.3C 형상목록은각 TSF 관련형상항목의개발자를표시해야한다. ALC_CMS.4.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 공통평가방법론 ALC_ CM S.4-1 ALC_ CM S.4-2 ALC_ CM S.4-3 비고

220 2. 배포절차서 (ALC_DEL) : ALC_DEL.1 배포절차 배포 (ALC_DEL, Delivery) 패밀리는완료된 TOE를개발환경으로부터사용자에게로안전하게전송하는것을다룬다. 배포에대한요구사항은시스템통제, 배포시설, TOE가사용자에게로배포되는동안보안이유지된다는것을보증하는데필요한방법을서술하는절차를요구한다. TOE를정확하게배포하기위해, TOE 배포절차는보호프로파일 / 보안목표명세서에서식별된, 배포하는동안 TOE 보안과관련된목적을다룬다. 하도급자 (subcontractor) 로부터개발자로의전송또는서로다른개발장소간의이동은개발보안 (ALC_DVS) 패밀리에서다루어진다. 배포의마지막단계는 TOE가사용자의책임하에들어가게되는때이다. 이시점은 TOE가사용자측에도착하는시점과반드시일치할필요는없다. 배포절차는다음과같은사항을적용가능하다면고려하도록권고된다. a) 소비자에게전달된 TOE 가평가된 TOE 버전과정확하게일치함을보장 b) TOE 실제버전을변경하는것을차단또는탐지 c) TOE 의잘못된버전을제출하는것을방지 d) TOE를소비자에게배포할때불필요한정보차단. 잠재적인공격자들이배포시기와방법을알아서는안되는상황이있을수있다. e) TOE 가배포되는동안가로채기되는것을차단또는탐지 f) TOE 배포가지연되거나중단되는상황을차단

221 배포절차는위와같은문제로부터예상되는수신자의행동을포함하도록권고된다. 예상되는행동에대한설명의일치성은존재할경우준비절차 (AGD_PRE) 패밀리에서조사된다. [ 표 4-5] 배포 공통평가기준 공통평가 컴포넌트 엘리먼트 설 명 방법론 ALC_D EL.1.1D 개발자는소비자에게 TOE나 TOE 일부를배포하는절차를문서화해야한다. ALC_DEL.1.2D 개발자는배포절차를사용해야한다. ALC_DEL.1-2 ALC_ DEL.1 배포 문서는 TOE를 소비자에게 배포할 때 ( 배포절차 ) ALC_D EL.1.1C 보안을 유지하기 위해 필요한 모든 절차를 ALC_ DEL.1-1 서술해야한다. ALC_D EL.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 비고

222 3. 개발보안문서 (ALC_DVS.1, ALC_LCD.1, ALC_TAT.1) 가. 개발보안 (ALC_DVS) : ALC_DVS.1 보안대책의식별 개발보안 (ALC_DVS, Development security) 패밀리는 TOE와 TOE 부분들을보호하기위해개발환경에서사용될수있는물리적, 절차적, 인적, 기타보안대책에관한것이다. 이는개발장소의물리적보안과개발인력을선발할때사용되는절차가포함된다. 본패밀리는개발자측에존재하는위협을제거하거나줄이기위한대책을다룬다. 평가자는개발보안에대한증거를평가하기위해개발자측을방문하도록권고된다. 여기에는 TOE의개발및생산을맡은하도급자측도포함될수있다. 방문이불필요하다고판단할경우인증기관의동의가필요하다. 개발보안에서는 TOE 유지와평가완료후의관련사항들이다루어지지만, 본패밀리요구사항은개발보안대책이평가시에준비될것만을명세한다. 또한, 본패밀리는평가종료후개발보안대책을적용하려는평가신청인의의도와관련된어떠한요구사항도포함되지않는다. 개발환경에서의 TOE 보호에관해비밀성이항상중요한쟁점이되는것은아니다. " 필요한 " 이라는단어는적절한보안대책의선택을고려할경우에사용된다

223 [ 표 4-6] 개발보안 공통평가기준컴포넌트엘리먼트설명 ALC_D VS.1.1D 개발자는개발보안문서를작성해야한다. 개발보안문서는개발환경내에서 TOE 설계및구현과정의비밀성과무결성을보호 ALC_D VS.1.1C 하기위하여필요한모든물리적, 절차적, 인적및기타보안대책을서술해야한다. ALC_ DVS.1 ( 보안대책의식별 ) ALC_D VS.1.1E ALC_D VS.1.2E 공통평가방법론 ALC_ DVS.1-1 ALC_ DVS.1-2 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 평가자는보안대책이적용되고있는지확인 ALC_ DVS.1-3 해야한다. 비고

224 나. 생명주기정의 (ADV_LCS) : ADV_LCD.1 개발자가정의한생명주기모델 TOE의개발과유지를제대로통제하지못하면 TOE가모든보안기능요구사항 (SFR) 을만족시키지못하게될수있다. 그러므로, TOE의개발및유지모델은 TOE 생명주기에서가능한초기에수립되는것이중요하다. TOE의개발및유지모델을사용하는것만으로 TOE가모든보안기능요구사항 (SFR) 을만족함을보장하는것은아니다. 선택된모델이불충분하거나적절치않아서 TOE의품질에아무런도움이되지않을수도있다. 일부전문가그룹 ( 예 : 학계전문가, 표준화기관 ) 에의해인정되어온생명주기모델을사용하면개발및유지모델이 TOE가 SFR을만족시키는데도움을줄가능성이높아진다. 측정가능한생명주기모델을사용하면 TOE 개발과정의전반적인품질에대한보증을강화할수있다. 생명주기모델은 TOE를개발하고유지하는데사용된절차, 도구, 기법등을포함한다. 이러한모델이다루는과정에는설계방법, 검토절차, 프로젝트관리통제, 변경통제절차, 시험방법, 수용절차등이있다. 효과적인생명주기모델은전체관리구조내에서개발및유지과정의책임을할당하고진행과정을감시하는측면을다룬다. 공통평가기준은여러개의패밀리에걸쳐다양한유형의수용상황을다루고있다. 하도급자가배포한 TOE 부분들의수용 (" 통합 (integration)") 은생명주기정의 (ALC_LCD) 패밀리, 내부전송후의수용은개발보안 (ALC_DVS) 패밀리, TOE 부분들의형상관리시스템내부로의수용은형상관리능력 (ALC_CMC) 패밀리, 배포된 TOE의소비자수용은배포 (ALC_DEL) 패밀리에서각각다루어진다. 처음세가지유형은서로중복되는부분이있을수있다. 생명주기정의에서는 TOE의유지와평가완료후의관련측면이다루어지지만, 생명주기정의에대한평가에서는평가시제공되는 TOE의생명주기에관한정보를분석함으로써보증을강화한다

225 생명주기모델이 TOE가보안요구사항을만족시키지못할위험을최소화할수있도록한다면, 그모델은 TOE의개발및유지에필요한통제를제공하는것이다. 측정가능한생명주기모델은관리된제품의개발특성을측정하기위해양적인평가 ( 산술매개변수및 / 또는척도 ) 를사용하는모델이다. 이러한척도의전형적인예는소스코드복잡도, 결함빈도 ( 코드크기당오류횟수 ), 평균고장수명 (mean time to failure) 등이있다. 이러한척도는모두보안성평가와관련되어, 결함발생확률을줄이고 TOE 보안에대한보증을강화함으로써제품의품질을향상시키는데사용된다. 폭포수모델 (waterfall) 과같은표준화된생명주기모델과결함빈도와같은표준화된척도가함께사용될수도있다. 공통평가기준에서는생명주기가두가지측면을정의하는데단하나의표준을따를것을요구하지는않는다. [ 표 4-7] 생명주기정의 공통평가기준공통평가컴포넌트엘리먼트설명방법론개발자는 TOE의개발과유지에사용되는 ALC_LCD.1.1D 생명주기모델을수립해야한다. 개발자는생명주기정의문서를제공해야 ALC_ LCD.1 ALC_LCD.1.2 D 한다. ( 개발자가생명주기정의문서는 TOE의개발과유지정의한 ALC_LCD.1.1C ALC_ LCD.1-1 에사용되는모델을서술해야한다. 생명주기생명주기모델은 TOE의개발과유지에필모델 ) ALC_LCD.1.2 C ALC_ LCD.1-2 요한통제를제공해야한다. 평가자는제공된정보가모든증거요구사 ALC_LCD.1.1E 항을만족하는지확인해야한다. 비고

226 다. 도구와기법 (ADV_TAT) : ADV_TAT.1 잘정의된개발도구 도구와기법 (ALC_TAT, Tools and techniques) 패밀리는 TOE를개발, 분석, 구현하는데사용되는도구의선택에관련된측면을다룬다. 이는잘못정의되거나일관성이없거나부정확한개발도구가 TOE 개발에사용되는것을방지하기위한요구사항을포함한다. 본패밀리는프로그래밍언어, 문서화, 구현표준, 실행시간라이브러리지원과같은 TOE의다른부분들을포함하지만이에한정되지는않는다. 본패밀리에는잘정의된개발도구를위한요구사항이존재한다. 이는명확하고완전하게서술된도구들이다. 예를들어, 표준화기구에서발표한표준에기초한프로그래밍언어와컴퓨터이용설계 (CAD) 시스템은잘정의된것으로간주된다. 직접고안한도구에대해서는그것이잘정의된것인지를명확하게하기위한조사가요구될것이다. ALC_TAT.1.2C는특히소스코드내의모든명령문이모호하지않음을보장하기위해프로그래밍언어에적용가능하다. ALC_TAT.2와 ALC_TAT.3에서구현지침은전문가그룹 ( 예 : 학계전문가, 표준화기관 ) 에의해승인받았을경우구현표준으로인정될수있다. 구현표준은대개의경우특정한산업부문에서일반적이며쉽게수용되고일상적인관례이지만, 특정개발자구현지침도표준으로인정될수있다. 이때중시되는것은전문적기술이다. 본패밀리는개발자에의해적용되는구현표준 (ALC_TAT.2.3D) 과제3자의소프트웨어나하드웨어, 펌웨어를포함한 "TOE의모든부분 " 에대한구현표준 (ALC_TAT.3.3D) 을구별하고있다. 형상관리범위 (ALC_CMS) 패밀리에명세된형상목록은각 TSF 관련형상항목이 TOE 개발자에의해생성된것인지또는제3자의개발자에의해생성된것인지를나타내도록요구한다

227 [ 표 4-8] 도구와기법 공통평가기준 공통평가 컴포넌트 엘리먼트 설 명 방법론 ALC_TAT.1.1D 개발자는 TOE에사용된각개발도구를식별해야한다. ALC_TAT.1.2D 개발자는각개발도구에대해구현-종속적인선택사항을문서화해야한다. 구현에사용된각개발도구는잘정의된 ALC_TAT.1.1C ALC_TAT.1-1 것이어야한다. ALC_TAT.1 각개발도구문서는구현에사용된모든 ( 잘정의된 ALC_TAT.1.2C 규정과지시어뿐만아니라모든명령문의 ALC_TAT.1-2 개발도구 ) 의미를모호하지않게정의해야한다. 각 개발 도구 문서는 모든 구현-종속적인 ALC_TAT.1.3C 선택사항의 의미를 모호하지 않게 정의해야 ALC_TAT.1-3 한다. ALC_TAT.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 비고

228 제 2 절생명주기지원클래스작성방법 생명주기지원서는개발자가 TOE를개발및유지하는동안사용하는적절한보안절차를작성하는것이다. 이러한절차에는개발자가사용한생명주기모델, 형상관리, TOE 개발전반에사용된보안대책, TOE 생명주기전체에걸쳐개발자가사용한도구, 보안결함처리, 배포활동이포함된다. TOE의개발과유지를충분히통제하지않으면구현시취약성이발생할수있다. 정의된생명주기모델의준수를통해이러한영역에대한통제를개선할수있다. TOE를위해사용된측정가능한생명주기모델은 TOE 개발과정을평가할때생기는모호성을제거할수있다. 형상관리문서는소비자가평가된 TOE를식별하도록도와주며, 형상항목이유일하게식별되는지와 TOE의변경사항을통제및추적하기위해개발자가따르는적절한절차를작성하는것이다. 또한이것은어떤변경사항이추적되는지, 어떻게잠재적변경이형상관리되는지그리고오류의범위를줄이기위해사용되는자동화수준에대한상세한내용을포함한다. 개발보안문서는간섭또는노출로부터 TOE와설계정보를보호하는절차를서술하여야한다. 개발절차에대한간섭으로취약성이고의적으로내재될수있으며, 설계정보의노출로취약성이쉽게악용될수있다. 개발절차의적절성은 TOE 특성과 TOE 개발절차의특성에의존할것이다. 개발도구문서는개발과정에참여하는개발자및제3자가잘정의된개발도구를이용하고구현표준을적용하여개발하는것은구현이상세화되는동안의도하지않은취약성이발생하지않도록보장하는내용을포함한다. 배포문서는 TOE가변경되지않고소비자에게배포된다는것을보증하기위해사용하는적절한절차를서술한다

229 1. 형상관리문서 (ALC_CMC.4, ALC_CMS.4) 작성방법 가. 형상관리능력 (ALC_CMC) 작성방법 : ALC_CMC.4 생산지원, 수용절차및자동화 평가제출물점검가이드라인 (EAL4) 에서생산지원, 수용절차및자동화 (ALC_CMC.4) 에대한점검사항은다음과같이구성되어있다. [ 표 4-9] 평가제출물점검가이드라인형상관리점검사항 항목 점검사항 제출내용 필수 적부 [CMC.4-1] TOE 에참조를위한레이블을붙여야함 [CMC.4-2] TOE 에대한참조의일관성 [CMC.4-3] 모든형상항목을유일하게식별하기위한방법서술 [CMC.4-4] 형상항목이형상관리문서와일관성있는방법으로식별 [CMC.4-5] 형상관리시스템의접근통제수단이형상항목에인가되지않은접근에대해효과적이고자동적으로방지되어야함 [CMC.4-6] 형상관리시스템은자동화된 TOE 의생산을지원 [CMC.4-7] 구현표현으로부터 TOE 가생성됨을효과적으로보장 [CMC.4-8] 형상관리문서는형상관리계획을포함 [CMC.4-9] [CMC.4-10] [CMC.4-11] [CMC.4-12] TOE 개발을위해형상관리시스템사용방법서술 변경되거나새로생성된형상항목이 TOE의일부로수용하는데사용된절차를서술 형상목록에서식별된형상항목유지방법기술 형상관리계획에서식별된형상관리시스템기록내역을포함 형상관리문서에는다음과같은내용이포함되어야한다. - TOE 와 TOE 관련형상항목이명확히식별되어야한다

230 - 형상항목을변경하는능력이자동화된도구에의해적절하게통제되어형상관리시스템에서사람의실수또는태만에의해발생하는오류가감소되도록작성되어야한다. (1) 참조를위한레이블 CC 3 부 ALC_CMC.4.1C TOE는 유일한 참조를 위한 레이블을 붙여야 한 다. CEM ALC_CMC.4-1 평가자는평가를위해제공된 TOE 에참조를위한레이블이붙었는지확인해야한다. 형상관리문서에서는 TOE에대한유일한참조를위한레이블을붙여야하며, 보안목표명세서에이에대한유일한참조를포함해야한다. 이것은소비자가해당 TOE를식별 ( 예 : 판매나사용시점에서 ) 할수있는패키지또는매체에레이블을붙이거나운영중인 TOE에붙어있는레이블을통해이루어질수있다. TOE를쉽게식별할수있는방법을서술할수있다. 예를들어, 소프트웨어 TOE의경우시동루틴중또는명령어라인입력에응답하여 TOE의이름과버전번호가표시될수있다. 하드웨어나펌웨어 TOE의경우 TOE에물리적으로각인된제품번호로 TOE가식별될수있다. 다른방안으로 TOE에대한유일한참조는 TOE를구성하는 ( 예 : 합성 TOE 의경우 ) 각컴포넌트의유일한참조의조합으로이루어질수있다. CEM ALC_CMC.4-2 평가자는일관성있게 TOE 에대한참조가사용되는지확인해야한다. TOE에한번이상레이블이붙여진경우레이블간에일관성이있어야한다. 예를들어, TOE의일부로제공되는설명서와평가되어운영중인 TOE를연관시키는것이가능하도록한다. 이는소비자가평가된 TOE 버전을구매및설치하였고보안목표명세서에따라 TOE를운영하기위해정확한버전의설명

231 서가제공되었다는것을확신할수있도록보장한다. 또한사용된 TOE 에대한참조가보안목표명세서에포함되어있어야한다. (2) 형상관리문서의형상항목식별 CC 3 부 ALC_CMC.4.2 C 형상관리문서는형상항목을유일하게식별하는데사용된방법을서술해야한다. CEM ALC_CMC.4-3 평가자는형상항목을유일하게식별하기위해사용된방법이서술되어있는지결정하기위해형상항목식별방법을조사해야한다. 각형상항목의상태가 TOE 생명주기를통해추적될수있는방법에대한절차가서술되어야한다. 이러한절차는형상관리계획또는형상관리문서를통해상세하게설명될수있다. 절차에는아래와같은항목이포함되어야한다. a) 동일한형상항목버전에대한추적이가능하도록각형상항목이유일하게식별되는방법 b) 형상항목에고유식별자를할당하는방법과형상항목이형상관리시스템으로입력되는방법 c) 형상항목의대체버전을식별하는데사용되는방법 (3) 형상관리시스템의형상항목식별방법 CC 3 부 ALC_CMC.4.3C 형상관리시스템은모든형상항목을유일하게식별해야한다. CEM ALC_CMC.4-4 평가자는형상항목이형상관리문서와일관성있는방법으로식별되는지결정하기위해형상항목을조사해야한다. 형상관리시스템에서모든형상항목은유일하게식별되어야한다. TOE 를구

232 성하는형상항목은형상관리문서에서술되어있는형상항목식별방법과동일한방법을사용하여유일한식별정보를갖도록레이블해야한다. (4) 형상관리시스템의형상항목변경 CC 3 부 ALC_CMC.4.4C 형상관리시스템은형상항목에인가된변경만을허용하는자동화된수단을제공해야한다. CEM ALC_CMC.4-5 평가자는형상관리계획 ( 참조 :ALC_CMC.4.6.C) 에서술되어있는접근통제수단이형상항목에대한비인가된접근을자동적이고효과적으로방지하는지결정하기위해형상관리접근통제수단을조사해야한다. 비인가된접근을효과적으로방지하는형상관리접근통제절차및수단을서술하여야한다. (5) 형상관리시스템의자동화된절차 CC 3 부 ALC_CMC.4.5 C 형상관리시스템은자동화된수단을통해 TOE 의생산을지원해야한다. CEM ALC_CMC.4-6 평가자는 TOE 의생산을지원하는자동화된절차에대한형상관리계획 ( 참조 : ALC_CMC.4.6C) 을확인해야한다. 생산 이라는용어는 TOE를구현에서부터최종소비자에게배포될준비가된상태까지진행시키기위해개발자가도입한과정에적용된다. 형상관리문서에서형상관리계획에자동화된생산지원절차를서술한다. 다음은 TOE 생산을지원하는자동화된수단에대한예이다. - 소프트웨어 TOE의경우 make 도구 ( 다수의소프트웨어개발도구와함께제공되는 )

233 - 하드웨어 TOE의경우실제로각부분이결합되어있다는것을자동적으로보장하는도구 ( 예 : 바코드 ) CEM ALC_CMC.4-7 T OE 가 구현 표현을 반영하여 생성되었음을 TOE 생산 지원 절차가 효과적으로 보장하는지 결정하기 위해 평가자는 TOE 생산 지원 절차를 조사해야 한다. 생산지원절차는최종 TOE을구현표현으로부터명확히정의된방법으로생성하기위해사용되어야하는도구들을기술하여야한다. 규정, 지시어또는기타필요한구성물들은개발도구문서에서술할수있다. 어떠한형상항목이어떠한생산지원절차를따라 TOE가생성되는지서술한다. 예를들어, 소프트웨어 TOE인경우자동화된생산절차에서모든소스파일및관련라이브러리가컴파일된목적코드에포함된다는것설명할수있다. 또한이절차는컴파일러옵션및비교가능한다른옵션이고유하게정의된다는것을보장여야한다. 하드웨어 TOE인경우자동화된생산절차에서일체의부품이함께조립되었으며빠진부품이없다는것을설명하면된다. 이것을통해소비자는설치를위해배포된 TOE의버전이명확한방법으로구현의표현으로부터파생되었으며보안목표명세서에서술된것처럼보안기능요구사항들을구현하고있다는것을확신할수있다. 형상관리시스템에 TOE 생산기능은필요하지않을수있지만사람이오류를범할가능성을줄이기위한방법은설명하고있어야한다는것을유의하여서술한다. (6) 형상관리계획

234 CC 3 부 ALC_CMC.4.6 C 형상관리문서는형상관리계획을포함해야한다. CEM ALC_CMC.4-8 평가자는제공된형상관리문서가형상관리계획을포함하고있는지확인해야한다. 형상관리계획은하나의통합된문서로제공될필요는없지만여러부분에서서술된형상관리계획을참조할수있는별도의문서를제공하도록권고된다. 형상관리계획이이러한별도의문서를제공하지않는경우이후작업단위의목록을통하여이에대한단서를얻을수있다. CC 3 부 ALC_CMC.4.7 C 형상관리계획은형상관리시스템이 TOE 개발에사용되는방법을서술해야한다. CEM ALC_CMC.4-9 평가자는형상관리시스템이 TOE 개발에사용되는방법을서술하는지결정하기위해형상관리계획을조사해야한다. 형상관리계획은다음과같은항목을포함한다. a) 형상관리절차에종속된 TOE 개발에서수행되는모든행동 ( 예 : 형상항목의생성, 변경또는삭제, 데이터백업, 보관 ) b) 반드시가용되어야하는수단 ( 예 : 형상관리도구, 양식 ) c) 형상관리도구의사용법 : 형상관리시스템의사용자가 TOE의무결성을유지하기위해형상관리도구를정확히조작할수있는데필요한세부사항 d) 생산지원절차 e) 형상관리통제하의여타객체 ( 개발구성요소, 도구, 평가환경등 ) f) 각각의형상항목에대한작업을수행하기위해요구되는개인의역할및

235 책임 ( 형상항목의유형 ( 예 : 설계문서또는소스코드 ) 에따라서로다른역할이식별될수있다.) g) 형상관리주체 ( 예 : 변경통제위원회, 인터페이스통제작업그룹 ) 가소개되고인력이배치되는방법 h) 변경관리설명 i) 오직인가된자만이형상항목을변경할수있도록보장하는절차 j) 형상항목을동시에변경하더라도동시수행문제가발생하지않도록보장 하는절차 k) 절차수행의결과로써생성되는증거. 예를들어, 형상항목을변경하기위해형상관리시스템은변경에대한설명및책임성, 변경에의해영향을받는모든형상항목, 상태 ( 미결또는완료 ), 변경일시를기록할수있다. 이는변경감사증적이나변경통제기록내역에기록될수있다. l) 버전통제및 TOE 버전에대한고유식별방법 ( 예 : 패치된운영체제의처리및패치결과탐지 ) (7) 형상관리계획의변경 CC 3 부 ALC_CMC.4.8 C 형상관리계획은변경되거나새로생성된형상항목을 TOE의일부로수용하는데사용된절차를서술해야한다. CEM ALC_CMC.4-10 평가자는형상관리계획 ( 참조 :ALC_CMC.4.6.C) 에서술되어있는접근통제수단이형상항목에대한비인가된접근을자동적이고효과적으로방지하는지결정하기위해형상관리접근통제수단을조사해야한다. 형상관리계획의수용절차에대한서술은개발자의역할, 수용에책임이있

236 는개인그리고수용에사용된기준을포함하여야한다. 발생할수있는모든수용상황을참작해야하며특히다음과같은사항을고려하여야한다. a) 최초로형상관리시스템에형상항목을추가하여수용하는상황, 특히다른생산자로부터생산된소프트웨어, 펌웨어및하드웨어컴포넌트를 TOE에추가하는상황 ( 통합 ) b) TOE의각구성단계에서다음생명주기단계로형상항목을이동시키는상황 ( 예 : 모듈, 서브시스템, 시스템 ) c) 각각의다른개발장소로이동후수반되는상황 (8) 형상관리시스템유지증거 CC 3 부 ALC_CMC.4.9C 증거는모든형상항목이형상관리시스템하에유지되고있음을입증해야한다. CEM ALC_CMC.4-11 형상관리목록에서식별된형상관리항목이형상관리시스템에의해서유지되고있는지확인해야한다. 개발자가사용하는형상관리시스템은 TOE의무결성을유지하도록해야한다. 형상목록에포함된여러유형의형상항목 ( 예 : 설계문서또는소스코드모듈 ) 이형상관리계획에서술되어있는절차에따라생성된증거의예들을포함해야한다. 이경우형상항목을통제하는형상관리시스템에서사용되는단위정보의크기에따라표본추출방법이달라진다. 예를들어, 10,000개의소스코드모듈이형상항목에서식별되는경우와 5개나심지어 1개가있는경우는서로상이한표본추출방법이적용되도록권고된다. (9) 형상관리시스템운영증거

237 CC 3 부 CEM ALC_CMC.4.10C ALC_CMC.4-12 증거는형상관리시스템이형상관리계획에따라운영되고있음을입증해야한다. 형상관리문서에형상관리계획에서식별된형상관리시스템기록내역이포함되었는지확인하기위해형상관리문서를확인해야한다. 형상관리계획이준수되고있으며모든형상항목이형상관리계획에따라형상관리시스템에서유지되고있는증거로서형상관리시스템에서생성되는결과물을제공하여야한다. 결과물의예로서는변경통제양식또는형상항목접근승인양식등을들수있다. CEM ALC_CMC.4-13 형상관리시스템이형상관리계획에따라운영되고있는지결정하기위해증거를조사해야한다. 형상관리시스템의모든작업이문서화된절차와일치하는지증명하기위해형상항목에대한여러유형의형상관리관련작업 ( 예 : 생성, 변경, 삭제, 초기버전에대한버전변경 ) 의증거표본을서술할수있다. 형상관리시스템에대한증거는평가자가개발환경보안점검시개발직원과의면담이나문서화된증거조사및시연을통하여확인할수있다

238 나. 형상관리범위 (ALC_CMS) 작성방법 : ALC_CMS.4 문제추적형상관리범위 평가제출물점검가이드라인 (EAL4) 에서문제추적형상관리범위 (ALC_CMS.4) 에대한점검사항은다음과같이구성되어있다. [ 표 4-10] 평가제출물점검가이드라인형상관리범위점검사항 항목 [CMS.4-1] [CMS.4-2] [CMS.4-3] 점검사항 형상목록은 TOE 및보증요구사항에서요구하는평가증거를포함 형상목록은형상항목이유일하게식별되어야함 형상목록은각 TSF 관련형상항목의개발자를표시 제출내용 필수 적부 형상목록은 TOE, TOE를구성하는부분, TOE 구현표현, 보안결함, 평가증거를포함하여야한다. (1) 형상목록구성 CC 3 부 CEM ALC_CMS.4.1C ALC_CMS.4-1 형상목록은 TOE, 보증요구사항에서요구하는평가증거, TOE를구성하는부분, 구현표현, 보안결함보고서및해결상태를포함해야한다. 평가자는형상목록이아래의사항을포함하는지확인해야한다. a) TOE b) TOE를구성하는부분 c) TOE 구현표현 d) 보안목표명세서의보증요구사항에서요구하는평가증거 e) 구현과관련된보고된보안결함의상세한사항을기록하기위해사용된문서 ( 예 : 개발자의문제데이터베이스로부터파생된문제상태보고서 )

239 (2) 형상목록식별 CC 3 부 ALC_CMS.4.2C 형상목록은형상항목을유일하게식별해야한다. CEM ALC_CMS.4-2 평가자는형상목록이각형상항목을유일하게식별하는지결정하기위해형상목록을조사해야한다. 형상목록은각항목에사용된버전을 ( 일반적으로버전번호사용 ) 유일하게식별할수있는충분한정보를포함하고있다. (3) 형상항목의개발자표시 CC 3 부 ALC_CMS.4.3C CEM ALC_CMS.4-3 형상목록은각 TSF 관련형상항목의개발자를표시해야한다. 평가자는형상목록이각 TSF 관련형상항목의개발자를표시하는지확인해야한다. 단지한명의개발자만이 TOE의개발에연관되어있는경우형상항목의개발자표시는특별히하지않아도된다. 그렇지만, 평가자의오해를불러일으키지않기위해서는모든형상항목에대해개발자를명시하는것이권고된다

240 다. 형상관리에대한개발환경평가점검목록 다음은평가자가개발환경보안점검을실시할때형상관리에대한개발환경보안점검목록의예를나타내고있다. [ 표 4-11] 형상관리에대한개발환경보안점검목록 점검사항 1. 형상관리방법은무엇인가? 2. 사용하는형상관리시스템은무엇인가? 3. 사용하는형상관리도구는무엇인가? 4. TOE 구현의표현에대한접근을통제하는자동화된수단은무엇인가? 5. 형상관리시스템이전체 TOE 개발및제조과정에서적용되는방법은무엇인가? 6. 형상관리시스템이전체 TOE 시험및분석과정에서적용되는방법은무엇인가? 7. 형상관리시스템에정의된역할및책임은무엇인가? 8. 형상관리시스템에의해서통제되는형상항목은무엇인가? 9. 형상항목에대한행위중형상관리의대상이되는행위는무엇인가? 10. 형상항목을변경할수있도록인가된역할 / 사람은누구인가? 11. 인가된사람만이형상항목을변경하도록보장하는수단은무엇인가? 12. 형상항목을변경했다는사실은어떻게기록및감사되는가? 13. 형상항목에대한접근권한을부여하는사람은누구인가? 14. 형상항목에대한접근권한을변경했다는사실은어떻게기록및감사되는가? 15. 형상관리시스템에서생성된로그파일을보호하는방법은무엇인가? 16. 형상관리시스템에서생성된로그파일을감사하는방법은무엇인가? 17. 각버전의 TOE가유일하게참조및레이블되는방법은무엇인가? 18. 각버전의 TOE와 TOE 형상항목이연결되는방법은무엇인가? 19. 각버전의 TOE와시험계획및결과가연결되는방법은무엇인가? 20. TOE 및 TOE 컴포넌트를운용하기전에이들을검사하고릴리즈하기위해어떤절차를적용하는가? 21. TOE 및설명서를사용자에게릴리즈하기전에어떤절차를적용하는가? 22. 어떤형상관리문서가존재하는가? 23. 형상관리문서와관련된역할및책임은무엇인가? 비고

241 2. 배포절차서 (ALC_DEL.1 배포절차 ) 작성방법 가. 배포절차서 (ALC_DEL.1 배포절차 ) 작성방법 평가제출물점검가이드라인 (EAL4) 에서배포절차 (ALC_DEL.1) 에대한점검사항은다음과같이구성되어있다. [ 표 4-12] 평가제출물점검가이드라인배포절차에대한점검사항 항목 [DEL.1-1] 점검사항 배포문서는 TOE를소비자에게배포할때보안을유지하기위해필요한모든절차를서술 제출필수적부내용 TOE를사용자에게배포할때 TOE 보안유지를위한모든절차가 TOE 배포문서에서술되어있어야한다. (1) 배포절차서술 CC 3 부 CEM ALC_DEL.1.1C ALC_DEL.1-1 배포문서는 TOE 를소비자에게배포할때보안을유지하기위해필요한모든절차를서술해야한다. 평가자는 TOE 또는 TOE 일부를소비자에게배포할때보안을유지하기위해필요한모든보안유지절차가서술되어있는지결정하기위해배포문서를조사해야한다. 배포문서는 TOE 또는 TOE 일부구성요소의전달과정중 TOE의보안을유지하고 TOE를식별하기위한적절한절차를서술한다. 배포문서는전체 TOE를다루도록권고되지만 TOE의서로다른부분에대해서서로다른배포절차를포함하여야한다. 즉, 제품의버그수정등을통해온라인으로업데이트하는등 TOE의일부에대한배포절차도본배포문서에

242 기술되어야하고, 안전한배포절차수립이필요하다. 배포절차는생산환경에서설치환경 ( 예 : 패키지, 저장및배포 ) 까지모든배포단계에걸쳐적용되어야한다. 패키지와배포에대한표준적인상용방식이수용될수있다. 상용방식으로수축포장패키지, 보안테이프또는봉인된봉투등이있다. 배포를위해서는물리적 ( 예 : 공공우편또는민간물류서비스 ) 또는전자적 ( 예 : 이메일또는인터넷으로부터다운로드 ) 절차가사용될수있다. 변조나위장을탐지하기위하여개발자는암호학적체크섬이나소프트웨어서명을사용할수있다. 변조방지봉인은부가적으로비밀성의손상여부를알려준다. 소프트웨어 TOE의경우암호화방법을사용하여비밀성을보장할수있다. 가용성이주요관심대상인경우보안전송이요구될수있다. 보안유지에필요한 이라는용어를해석하기위해서는다음과같은사항을고려할필요가있다. - TOE 의특성 ( 예 : TOE 가소프트웨어또는하드웨어인지여부 ) - 선택된취약성평가수준에따라 TOE에요구되는전반적인보안수준. TOE가의도된환경에서특정잠재적공격에대한내성이요구되는경우이는또한 TOE의배포에도적용되도록권고된다. - 보안목표명세서에의해제공되는보안목적. 특히실제 TOE와연관되는보안관점 ( 무결성, 비밀성, 가용성 ) 은보안목표명세서상에정의된개발환경에대한보안목적에서유도되도록권고된다. TOE의무결성을유지하는것은항상중요하기때문에무결성과관련된대책이배포문서에서강조될수있다. 하지만일부 TOE의배포에있어서는비밀성과가용성이주요관심의대상이될수있다. 안전한배포의이런측면들과관련된절차또한배포절차내에서논의되도록권고된다

243 (2) 간접평가 CC 3 부 ALC_DEL.1.2D 개발자는배포절차를사용해야한다. CEM ALC_DEL.1-2 평가자는배포절차가사용되는지결정하기위해배포절차의여러측면을조사해야한다. 배포절차가사용되는지평가자가평가시확인하는부분이며이에대한문서적서술사항은없다. 나. 배포에대한개발환경보안점검목록 다음은평가자가개발환경보안점검을실시할때배포에대한개발환경보안점검목록의예를나타내고있다. [ 표 4-13] 배포에대한개발환경보안점검목록 점검사항 1. 배포하는동안 TOE 의보안을유지하기위한절차는무엇인가? 2. TOE 의어떤부분에배포절차를적용할수있는가? 3. 배포절차가적용되는배포단계는무엇인가? 4. TOE 배포시고려해야하는보안성은무엇인가? 5. TOE를배포하는동안 TOE 무결성을유지하기위한기술적인방법은무엇인가? 6. TOE가사용자에게배포되는방법은무엇인가? 7. 배포되어야하는버전의 TOE 만이배포됨은보장하는방법은무엇인가? 8. 개발자의마스터복사본과사용자측에서수령한버전간의불일치를탐지하는방법은무엇인가? 9. 개발자로위장한배포시도를탐지하기위한방법은무엇인가? 비고

244 3. 개발보안문서 (ALC_DVS.1, ALC_LCD.1, ALC_TAT.1) 작 성방법 가. 개발보안 (ALC_DVS) : ALC_DVS.1 보안대책의식별작성방법 평가제출물점검가이드라인 (EAL4) 에서보안대책의식별작성방법 (ALC_DVS.1) 에대한점검사항은다음과같이구성되어있다. [ 표 4-14] 평가제출물점검가이드라인보안대책식별점검사항 항목 [DVS.1-1] [DVS.1-2] 제출점검사항필수적부내용개발환경내에서 TOE 설계및구현의비밀성과무결성을보호하기위해필요한모든물리적, 절차적, 인적및 기타보안대책서술 개발비밀성과무결성에대한보안대책제공 TOE의안전한운영이손상되지않도록보장하기위하여 TOE 설계및구현에대한비밀성및무결성이요구된다. 이러한비밀성과무결성을제공하기위하여개발자가개발환경에적용하는적절한보안통제를서술하는것이다. (1) 개발보안문서서술 CC 3 부 CEM ALC_DVS.1.1D ALC_DVS.1-1 개발보안문서는개발환경내에서 TOE 설계및구현과정의비밀성과무결성을보호하기위하여필요한모든물리적, 절차적, 인적및기타보안대책을서술해야한다. 평가자는개발보안문서가 TOE 설계및구현과정의비밀성과무결성을보호하기위해필요한개발환경에서사용된모든보안절차를상세하게서술하는지결정하기위해개발보안문서를조사해야한다

245 개발보안문서를작성시필요한보안대책을서술시보안목표명세서, 특히개발환경에대한보안목적부분을참조하여보안대책을결정한다. 문서를작성할때, 다음의보안대책유형을고려한다. a) 물리적대책, 예를들어, TOE 개발환경에대한비인가된접근 ( 보통의업무시간과그이외의시간동안 ) 을방지하는데사용되는물리적인접근통제 b) 절차적대책, 예를들어, - 개발환경또는개발장비같은환경의특정부분에대한접근허용 - 개발팀에서떠난사람에대해접근권한폐지 - 정의된수용절차에따라개발환경내부, 외부및서로다른개발현장간으로보호되어야하는물품의전송 - 개발환경에대한방문자출입허가및동행 - 지속적인보안대책의적용과보안위배에대한탐지를보장하는역할과책임 c) 인적대책, 예를들어, 신입개발직원의신뢰를확립하기위한통제와확인 d) 기타보안대책, 예를들어, 하나의개발장비에대한논리적인보호조치 개발보안문서에는개발이이루어지는장소가식별되어야하며각개발장소및타개발장소로의이동에대해적용되는보안대책그리고수행되는개발측면이개발보안문서에서술되도록권고된다. 예를들어, 개발은한건물내의여러장소에서이루어질수있고같은지역내의여러건물내에서또는다른지역내에서진행될수있다. TOE의일부또는개발이완료되지않은 TOE를여러개발장소로이동시키는것은개발보안문서에서다루어지며개발이완료된 TOE를소비자에게전달하는것은배포문서에서다루어진다. TOE 의생산은개발에포함된다

246 CEM ALC_D VS.1-1 평가자는사용되고있는보안대책이충분한지결정하기위해개발비밀성과무결성정책을조사해야한다. 다음사항을통제하는정책들을포함하여서술한다. a) TOE의개발과관련하여기밀을유지해야할정보는무엇이며그러한정보에접근할수있는개발부서의직원은누구인가? b) TOE의무결성을유지하기위하여비인가된변경으로부터보호되어야하는정보는무엇이며그러한정보를변경할수있는개발부서의직원은누구인가? 이러한정책들이개발보안문서에서술되었고사용되는보안대책들이이정책들과일관성을가지며보안대책들이완전하게서술되어야한다. (2) 평가자확인 CC 3 부 ALC_D VS.1.2E CEM ALC_D VS.1-3 평가자는 보안대책이 적용되고 있는지 확인해야 한다. 평가자는 보안대책이 실제로 적용되고 있는지 결정하기 위해 개발보안 문서 및 관련된 증거를 조사해야 한다. 개발보안문서에서 TOE의무결성과관련문서의비밀성이적절히보호하기위하여개발보안문서상에서술된보안대책을준수하고있는증거를서술한다. 평가자는평가시개발환경보안점검시, 사용되는보안대책을확인할수있다. a) 적용되고있는보안대책을관찰 ( 예 : 물리적대책 ) b) 적용되고있는절차에대한문서적인증거조사

247 c) 개발직원이개발보안정책, 절차그리고책임을인지하고있는지확인하기위한개발직원과의면담 따라서, 개발자는제품의평가가시작되기전, 물리적인보안대책은미리고려하여평가준비에임해야하겠으며, 개발환경보안점검을하겠다는평가자의요청이있을시문서적인증거및개발자를포함한인원에대해본개발보안문서에대한내용을숙지할수있도록해야한다. 나. 생명주기정의 (ALC_LCD) : ALC_LCD.1 개발자가정의한생명주기모델작성방법 평가제출물점검가이드라인 (EAL4) 에서개발자가정의한생명주기모델작성방법 (ALC_LCD.1) 에대한점검사항은다음과같이구성되어있다. [ 표 4-15] 평가제출물점검가이드라인생명주기모델점검사항 항목 점검사항 제출내용 필수 적부 [LCD.1-1] 생명주기모델정의 [LCD.1-2] 생명주기모델의절차, 도구, 기법서술 생명주기모델문서에서는개발자가 TOE 생명주기모델을설명해야한다. (1) 생명주기모델정의 CC 3 부 ALC_LCD.1.1C CEM ALC_LCD.1-1 생명주기정의문서는 TOE 의개발과유지에사용되는모델을서술해야한다. 평가자는사용되고있는생명주기모델이개발및유지절차를다루고있는지결정하기위해생명주기모델에대한문서화된서술내용을조사해야한다

248 생명주기모델의설명은다음을포함하도록권고된다. a) TOE 의생명주기단계및인접단계들사이의경계에대한정보 b) 개발자가사용한절차, 도구, 기법 ( 예 : 설계, 코딩, 시험, 버그수정을위한 ) 에대한정보 c) 절차의적용을통제하는전반적인관리구조 ( 예 : 생명주기모델에서다루어지는개발및유지과정에서필요한절차가요구하는각개인의책임에대한식별과서술 ) d) 하청업체가연관되어있을경우하청업체가 TOE의어떤부분을담당했는지에대한정보 반드시사용된모델이다른표준생명주기모델을준수하도록요구하지않는다. (2) 생명주기모델조사 CC 3 부 ALC_LCD.1.2C CEM ALC_LCD.1-2 생명주기모델은 TOE 의개발과유지에필요한통제를제공해야한다. 평가자는생명주기모델에서서술된절차, 도구, 기법이 TOE 개발및유지에긍정적인기여를하는지결정하기위해생명주기모델을조사해야한다. 개발및유지절차가보안결함가능성을최소화하도록생명주기모델을서술한다. 생명주기모델에서술된 TOE 개발및유지보수절차가형상관리문서에서제공되는정보와일관성있게작성되어야한다. 공통평가기준은특정개발방법론을강제하지않으며각개발방법론에따라평가되도록권고된다. 예를들어, 나선형모델 (spiral), 신속한프로토타입모델 (rapid-prototyping), 폭포수모델 (waterfall) 설계방법론은통제된환경에적용되는경우양질의 TOE 생산에사용될수있다

249 다. 도구와기법 (ALC_TAT) : ALC_TAT.1 잘정의된개발도구작성방법 평가제출물점검가이드라인 (EAL4) 에서잘정의된개발도구작성방법 (ALC_TAT.1) 에대한점검사항은다음과같이구성되어있다. [ 표 4-16] 평가제출물점검가이드라인개발도구점검사항 항목 점검사항 제출내용 필수 적부 [TAT.1-1] [TAT.1-2] 잘정의된개발도구 구현에사용된모든명령문과규칙및지시자의의미를모호하지않게정의 [TAT.1-3] 구현 - 종속적인선택사항의의미를모호하지않게정의 개발도구문서에서는개발도구 ( 예 : 프로그래밍언어또는컴퓨터지원설계 (CAD) 시스템 ) 를일관성있고예측가능한결과를낼수있도록잘정의하는것이다. (1) 개발도구정의 CC 3 부 ALC_T AT.1.1C CEM ALC_T AT.1-1 구현에사용된각개발도구는잘정의된것이어야한다. 평가자는개발도구가잘정의된것인지결정하기위해제공된개발도구문서를조사해야한다. 예를들어, 잘정의된언어, 컴파일러, CAD 시스템은 ISO 표준같이인정된표준을준수하는것으로고려될수있다. 잘정의된언어는문법이명확하고완전하게서술되고각구문의의미가상세하게서술된것이다. (2) 개발도구문서

250 CC 3 부 ALC_T AT.1.2C CEM ALC_T AT.1-2 각개발도구문서는구현에사용된모든규정과지시어뿐만아니라모든명령문의의미를모호하지않게정의해야한다. 평가자는개발도구문서가구현에사용된모든규정과지시어뿐만아니라모든명령문의의미를모호하지않게정의하는지결정하기위해개발도구문서를조사해야한다. 개발도구문서 ( 예 : 프로그래밍언어명세서, 사용자매뉴얼 ) 는 TOE 구현표현에사용된모든명령문을다루며각명령문에대하여명령문의목적및효과에대한명확하고모호하지않은정의를제공하도록권고된다. 문서작성시문서를읽는사람이해당프로그래밍언어에대해전문가라고가정하지않도록권고된다. 표준사용에대한참조정보는허용되며이는해당표준을평가자가이용할수있도록제공하면된다. 표준과의차이점이있는경우에는해당내용이문서화되도록권고된다. 다음의체크리스트가문제점이있는부분을찾기위해추가로사용될수있다. a) 언어정의에서 이구문의효과는정의되지않음 과같은 구문및구현에따라다름 또는 오류있음 이란용어는잘못정의된부분을나타낼수있다. b) 에일리어싱 (aliasing : 동일한메모리부분을서로다른방법으로참조하는것을가능하게한다 ) 은모호성문제에대한공통적인원인이다. c) 예외처리 ( 예 : 메모리고갈이나스택오버플로우발생후처리방법 ) 는종종불완전하게정의된다. 일반적으로사용되는대부분의언어는잘설계된경우에도문제가있는구문

251 이존재할수있다. 구현언어는대부분잘정의되어있지만몇가지문제가있는구문이존재하는경우소스코드를조사할때까지보류판정을하도록권고된다. 개발도구문서는구현에사용된모든규정과지시어를정의하도록권고된다. (3) 개발도구문서조사 CC 3 부 ALC_T AT.1.3C CEM ALC_T AT.1-3 각개발도구문서는모든구현 - 종속적인선택사항의의미를모호하지않게정의해야한다. 평가자는개발도구문서가모든구현 - 종속적인선택사항의의미를모호하지않게정의하는지결정하기위해개발도구문서를조사해야한다. 소프트웨어개발도구에대한문서는실행코드에영향을줄수있는구현-종속적인선택사항및표준언어와다른부분에대한정의를포함하도록권고된다. 개발도구문서에소스코드를컴파일시사용된컴파일및링크옵션도제공되도록권고된다. 하드웨어설계및개발도구에대한문서에는해당도구로부터나오는결과물에영향을주는모든선택사항의사용에대해서술되도록권고된다 ( 예 : 상세 한하드웨어명세서, 또는실제하드웨어 ). 라. 개발보안에대한개발환경보안점검목록 다음은평가자가개발환경보안점검을실시할때개발보안에대한개발환경보안점검목록의예를나타내고있다

252 [ 표 4-17] 일반적보안대책점검목록 점검사항 비고 1. TOE가개발 / 제조 ( 설계 / 구현 ) 되는장소는어디인가? 2. TOE 보안과관련된보안조직은어떻게구성되어있는가? 3. 물리적보안및 IT 보안에대한책임자는누구인가? 4. 개발, 제조, 시험, 품질에대한통제를분리하는방법은무엇인가? [ 표 4-18] 인적보안대책점검목록 점검사항 비고 1. 보안과관련하여직원들에게부여되는의무는무엇인가? 2. 직원들이보안과관련된의무를이행하도록하는방법은무엇인가? 3. 직원들에대한보안교육은어떻게이루어지는가? 4. 직원들에대한보안교육은어떻게갱신되는가?

253 [ 표 4-19] 물리적보안대책점검목록 점검사항 1. 회사건물에대한보안수단은무엇인가? 2. 회사건물의접근통제방법은무엇인가? 3. 회사건물에접근할수있는사람은누구인가? 4. 회사건물에대한접근권한을부여하는사람은누구인가? 5. 회사건물에대한접근이기록되는방법은무엇인가? 6. 회사건물에대한접근기록을보호하는방법은무엇인가? 7. 회사건물에대한접근기록을감사하는사람은누구인가? 8. 회사건물에대하여인가되지않은접근시도시취해지는대응행동은무엇인가? 9. 개발 / 제조영역에대한보안수단은무엇인가? 10. 근무시간이후의개발 / 제조영역에대한보안수단은무엇인가? 11. 개발 / 제조영역의접근통제방법은무엇인가? 12. 개발 / 제조영역에접근할수있는사람은누구인가? 13. 개발 / 제조영역에대한접근권한을부여하는사람은누구인가? 14. 개발 / 제조영역에대한접근이기록되는방법은무엇인가? 15. 개발 / 제조영역에대한접근기록을보호하는방법은무엇인가? 16. 개발 / 제조영역에대한접근기록을감사하는사람은누구인가? 17. 개발 / 제조영역에대하여인가되지않은접근시도시취해지는대응행동은무엇인가? 비고

254 [ 표 4-20] 절차적보안대책점검목록 점검사항 1. 개발영역내에서접근통제되어야하는객체는무엇인가? 비밀성이유지되어야하는 TOE 개발 / 제조자료는무엇인가? TOE 무결성을보호하기위해인가되지않은변경으로부터보호되어야하는 TOE 개발자료는무엇인가? 2. 위의객체에대하여접근통제하는방법및접근통제에사용된정보를보호하는방법은무엇인가? 3. 위의객체에접근할수있는사람은누구인가? 비밀성이유지되어야하는 TOE 개발 / 제조자료에접근할수있는직원은누구인가? TOE 무결성을보호하기위해인가되지않은변경으로부터보호되어야하는 TOE 개발자료에접근할수있는직원은누구인가? 4. 위의객체에대한접근권한을부여하는사람은누구인가? 5. 위의객체에대한접근이기록되는방법은무엇인가? 6. 위의객체에대한접근기록을보호하는방법은무엇인가? 7. 위의객체에대한접근기록을감사하는사람은누구인가? 8. 위의객체에대하여인가되지않은접근시도시취해지는대응행동은무엇인가? 9. 출력장치는어떤것이존재하며, 어디에위치하는가? 출력장치를보호하는방법은무엇인가? 10. 내부네트워크연결은어떻게구성되며, 이들을보호하는방법은무엇인가? 11. 외부로나가는네트워크연결은어떻게구성되며, 이들을보호하는방법은무엇인가? 12. 개발영역내에서바이러스등악성소프트웨어는어떻게검사하는가? 13. 개발 / 제조자료가보관되는장소및방법은무엇인가? 14. 개발 / 제조자료의손상을방지하기위한절차는무엇인가? 15. 개발 / 제조자료를전송하기위한절차는무엇인가? 비고

255 [ 표 4-20] 절차적보안대책점검목록 ( 계속 ) 점검사항 16. TOE의사용자용복사본을제조하고사용자에게전달하는절차는무엇인가? 17. 개발 / 제조자료및 TOE 구성요소를파기하기위한절차는무엇인가? 18. 개발장비가이동되는경우안전하게데이터를파기하기위한절차는무엇인가? 19. 개발 / 제조자료를전송하거나파기한경우이를기록하는방법은무엇인가? 20. 데이터백업과관련된역할및책임은무엇인가? 21. 데이터백업수행주기는어떻게되는가? 22. 데이터백업에사용되는저장매체는무엇인가? 23. 데이터백업이보관되는장소및방법은무엇인가? 24. 데이터백업시이를기록하는방법은무엇인가? 25. 비상시계획및절차는무엇인가? 26. 비상시계획및절차는직원들에게어떻게통보되는가? 27. 비상시책임자는누구인가? 28. TOE 는비상시에도안전한가? 29. TOE 개발 / 제조에사용되는도구에적용되는절차는무엇인가? 30. 개발인력에변경이발생한경우보안을유지하기위한절차는무엇인가? 31. 방문객에게적용되는보안절차는무엇인가? 비고

256 제 3 절생명주기지원클래스작성예제 생명주기지원클래스에대한평가제출물은형상관리문서, 배포절차서, 개발보안문서로구성되며작성예제는다음과같다. 1. 형상관리문서작성예제 가. 개요 본장에서는기본설계 (HLP, High-Level Design) 가적용되는평가대상시스템에대한식별과이에필요한목적, 작성규칙, 구성등에대하여각각기술한다. 기본설계에서는 TSF를주요구성단위 ( 즉, 서브시스템 ) 들로서술하고, 구성단위들과이들이제공하는기능과의관계를설명한다. 1) 목적형상관리는형상항목의변화를일관성있게통제하고관리함으로써생산성극대화및높은품질보증수준을갖는제품을개발함에목적이있다. 또한형상관리를통해주어진시점의제품의형상을식별하며형상변경을체계적으로제어하며개발기간동안형상항목에대한무결성및추적가능성을보장한다. 본문서는 KISACO에서운영중인형상관리관련표준정책, 절차를상세히기술한문서이다. 2) 형상관리문서식별 o 문서명 : KMACS v for Asianux 2.0 형상관리문서, Version 1.2 o 작성자 : KISA Corp. o 작성일 : o 주요단어 : 등급기반접근통제, 임의적접근통제, 강제적접근통제

257 2) 구성본문서는아래와같이구성되어있다. 제1장은형상관리문서개요로형상관리문서의목적, 구성, 용어정의등을기술한다. 제2장에서는형상목록의형상항목식별방법을서술하고본평가대상제품의최종형상항목을식별한다. 제3장에서는형상관리시스템을정의하고형상관리시스템의사용방법과운영증거를기술한다. 제4장에서는평가대상시스템인 KMACS 제품형상변경이력, 실행파일의형상변경이력, 개발관련문서및사용자관련문서의형상변경이력, 개발과정에서산출된소스파일의형상변경이력. 보안결함보고서의형상변경이력형상이력변경관리를기술한다. 3) 작성규칙 본문서의서술은형상관리의규정과그에따른실행결과를서술적방식으로기술한다. 4) 용어정의본문서를작성하면서사용된전문용어나특정용어에대하여설명하며본절에정의되지않은용어는공통평가기준에정의된내용을참고하도록한다. 베이스라인 (Baseline) 공식적으로검토되고승인된사양또는제품으로서다음개발단계를위한기본바탕이되며이에대한변경은오직변경관리절차를통해서만이루어진다. [ 추가작성 ]

258 나. 형상항목 본장에서는 TOE를구성하는형상항목을정의하고형상항목을고유하게식별하는방법을규정한다. 또한, 식별된형상항목에대한형상목록을작성한다. 형상관리의적용대상은포괄적인대상으로개발과정에서작성되는모든문서, 소스파일, 프로그램파일등을의미한다. 형상목록형태의구성형태를개발관련문서 (D), 소스파일 (S), 프로그램파일 (E), 사용자관련문서 (U), 보안결함보고서 (R) 등으로분류하여정의한다. 1) 형상항목식별방법형상항목식별방법에서는모든형상항목에대하여이름과번호를부여하는방법으로목록에서번호체계를이루고있는형태에대하여기술한다. 또한모든형상항목에유일한식별번호를부여하는방법에대하여서술하고있다. 가 ) 베이스라인설정 다음에서는 TOE를구성하는형상항목을정의하고각형상항목의식별자및형상목록식별방법에대해설명한다. 형상계층 형상항목 식별자형상목록식별방법 보안목표명세서 ASE RCX07D-ASE-버전 기능명세서 FSP RCX07D -FSP-버전 TOE 설계서 TDS RCX07D -TDS- 버전 보안구조설명서 ARC RCX07D -ARC-버전 개발관련문서 구현검증명세서 IMP RCX07D -IMP- 버전 형상관리문서 CMC RCX07D -CMC-버전 시험서 ATE RCX07D -ATE-버전 개발보안문서 DVS RCX07D -DVS- 버전 배포절차서 DEL RCX07D-DEL-버전 사용자관련문서 운영설명서 OPE RCX07U-OPE-버전준비절차서 PRE RCX07U-PRE-버전 보안결함 보안결함보고서 SRR RCX07R-SRR-버전 개발파일 소스파일 RCX04S-{ 소스그룹식별 }-{ 파일식별 }-{ 버전 } 실행파일 RCX04E-{ 파일식별 }-{ 제품버전 }.{ 빌드버전 } KMACS v2.0 v2.0.{ 패키지버전 } 제품식별 KMACS Manager KMACS v2.0.{ 빌드버전 } KMACS Agent KMACSESM v2.0.{ 빌드버전 } TOE 식별 KMACS OSAC CCE4 v2.0.{toe 버전 }

259 나 ) 형상항목식별방법형상항목식별은형상항목의성격에따라다음과같이구성된다. o TOE 식별 : KMACS v2.0의 TOE 식별방법 o 제품식별 : KMACS v2.0의제품식별방법 o Manager 식별 : KMACS Manager v2.0의 Manager 식별방법 o Agnet 식별 : KMACS Agnet v2.0의식별방법 o 프로젝트식별 : KMACS v2.0 프로젝트식별방법 o 실행파일식별 : 제품을구성하는바이너리파일들의식별방법 o 소스파일식별 : 구현표현에서발생한소스파일들의식별방법 o 보안결함보고서식별 : 보안결함관련의보고서들의식별방법 o 문서식별 : 개발관련문서및사용자관련문서들의식별방법 1 TOE 식별방법본평가대상은배포전단계에서발생되는가능한설명서가수반되는제품의집합을의미한다. 본평가대상의식별방법은다음과같이구성된다. v{ 제품버전 }.{TOE 버전 } o 제품버전 : [2.0], 제품식별의제품버전과동일하게유지 o TOE버전 : [ 두자리숫자 ], 평가대상내에서설명서버전또는제품의버전이변경되었을때 1씩증가. 배포관리자에의해부여되어형상관리자에게통보. 최초버전은 00 o 예 : 본평가대상의최초식별은 v 제품식별방법 [ 추가작성 ]

260 2) KMACS 형상항목 가 ) TOE 형상항목본평가대상의최종형상번호는다음과같다. 형상번호 v 최종수정일 나 ) 제품형상항목본평가제품의최종제품형상번호는다음과같다. 형상번호 v 최종수정일 다 ) KMACS Agent 형상항목본평가제품의최종 KMACS Agent 형상번호는다음과같다. 형상번호 KMACS v 최종수정일 라 ) KMACS Manager 형상항목본평가제품의최종 KMACS Manager 형상번호는다음과같다. 형상번호 KMACSESM v 최종수정일 마 ) 실행파일형상항목 다음은본평가제품을구성하는실행모듈들의목록과최종버전을나타낸것이다. 모듈명 설명 최종수정일 형상번호 KMACSlESM.exe KMACS Manager 메인실행파일 RCC04E-RCON AgtExplr.dll Agent 관리 Dll RCC04E-AEXP RedConBan.dll 사용자식별및인증처리 RCC04E-BAN ModFirewall.dll 방화벽관리 dll RCC04E-MODFW ActWzd.dll 계정관리 dll RCC04E-ACT

261 바 ) 문서형상항목다음은본평가제품의개발과정에서발생하는모든문서들의목록과최종형상번호를나타낸것이다. 문서명 최종수정일 작성자 형상번호 형상관리문서 윤현선 RCX07D-CMC-01 보안목표명세서 김상철 RCX07D-ASE-02 기능명세서 김상철 RCX07D-FSP-01 TOE 설계서 김상철 RCX07D-TDS-01 보안구조설명서 김상철 RCX07D-ARC-01 구현검증명세서 김상철 RCX07D-IMP-01 시험서 윤현선 RCX07D-ATE 사 ) 보안결함보고서형상항목다음은본평가제품의개발과정에서발생하는모든보안결함보고서의목록과최종형상번호를나타낸것이다. 형상번호 RCX07R-SRR-04 최종수정일 아 ) 소스파일형상항목다음은본평가제품의개발과정에서발생하는모든소스들의목록과최종형상번호를나타낸것이다. 1 KMACS Manager (RCON) 프로젝트명 KMACSESM 코드 RCON 설명 KMACS 통합관리콘솔프로그램 파일명 파일번호최종수정일시 최종형상번호 경로 KMACS/RedCaseWin/RCastlESM AgentConnectDlg.cpp C 오후 06:39:02 RCC04S-RCON-C1-7 AgentFolderView.cpp C 오후 03:36:05 RCC04S-RCON-C2-5 AgentInfoPage.cpp C 오후 03:00:58 RCC04S-RCON-C3-2 AgentModuleConfigDlg.cpp C 오후 01:31:33 RCC04S-RCON-C [ 추가작성 ]

262 다. 형상관리시스템 본장에서는형상관리시스템의사용방법과형상관리시스템에서사용하는자동화된도구에대해규정하고, 형상항목의등록, 변경및삭제지침, 백업지침을규정한다. 1) 형상항목관리 형상항목의관리방법에서는형상항목의등록, 변경및삭제이력관리, 백업등에대한방법을규정한다. 가 ) 형상항목관리규정형상항목관리는형상항목의등록, 변경및삭제와백업에대한방법과원칙을제시하고등록된형상항목들의파일들을공통디렉터리에저장하며또한필요시형상항목의내용들을검색할수있도록환경을구축하고이를관리하는일이다. 본평가대상제품을위한형상관리시스템의형상항목관리규정은다음과같다. 1 형상항목관리의대상은베이스라인에설정된형상항목과형상변경이력이다. 2 형상항목의최초등록은형상관리위원회의승인에의함을원칙으로하며개별형상항목의등록및삭제규정은별도로명시한다. 형상변경관리는형상항목의최초버전 ( 버전 1) 이등록된이후에발생하는장애, 규격의변경, 기능의추가및삭제, 그리고개량및변경을처리하는일련의절차, 방법및조직운용을말한다. 형상항목의변경은변경요구 (CR, Change Request) 를매체로하여 CR의각상태 ( 발생, 검토, 해결, 승인, 시험, 합격, 배포 ) 를제어함으로써실현된다

263 다음은형상항목의관리과정에서형상항목이등록, 변경및삭제되는표준절차를도식화한것이다. ( 그림 ) 형상최초등록표준절차 ( 그림 ) 형상변경 / 삭제표준절차 1 형상등록, 변경, 삭제의발생은개발자가형상등록요청서에변경내용을작성하여형상관리자에게요청을함으로써이루어진다

264 나 ) 형상항목관리방법개별형상항목에대하여형상의상태를기록하고그상태에대한이력을유지, 관리함으로써사용자가필요로하는정보를효과적으로제공하기위해각담당자는다음과같은절차를수행한다. 1 제품및실행파일형상관리방법 제품을구성하는실행파일의형상관리는별도로규정하지않으며제품형상항목관리방법에포함된다. 즉, 실행파일형상항목은형상관리도구에별도로등록하는절차가없으며단지제품형상항목의등록으로실행파일형상항목이등록된것으로간주한다. 다음에서는본평가대상제품및제품을구성하는실행파일의형상관리방법에대하여설명한다. 종류별형상관리방법추가작성문서형상관리방법, 소스파일및보안결함보고서형상관리방법, 형상관리문서관리방법등

265 다 ) 형상관리조직본제품의형상관리에관련된조직과각담당자의역할과범위는다음과같다. 조직 담당자 역할 형상관리위원회 OOO 형상등록 / 변경승인및담당자임명을총괄하는조직. 형상관리위원장과위원으로구성. 형상관리위원은각서브시스템개발담당자 형상관리자 OOO 형상관리의과정을검토및형상항목의등록을담당. 형상관리문서및형상관리도구의운영을담당 배포담당자 OOO 형상관리위원회의승인에의해실행파일컴파일, 빌드및배포할제품을구성하는담당자 문서작성자 OOO 본제품의개발과정에서산출되는평가문서및사용자관련문서의작성을담당 시험담당자 OOO 본제품의서비스시험및통합시험을담당 개발자 OOO 본제품의개발을담당. 라 ) 형상등록신청서형상등록신청서는형상등록을신청하는개발자, 문서작성자, 배포담당자가작성하여야하며형상관리자에게이를통보한다. 형상관리자는형상등록신청서를접수하여이를일괄적으로형상관리문서에반영한다. 형상관리문서에반영하는주기는형상관리위원회에서별도로규정하지않는한주 1회를기본으로한다. 형상관리자는접수된형상등록신청서를검토하여수정사항이있으면작성자에게수정을요청하며최종검토된신청서에대하여이를별도로형상관리도구에등록하며형상등록이력부분을형상관리문서에반영한다. 다음은형상등록신청서양식이다. o 3 ~ 11 항목까지는형상등록요청자가형상등록이일어날경우작성을하여형상관리자을통해형상관리위원회로전달된다. o 1 ~ 2 항목은형상관리위원회에서형상등록요청건을승인한담당자의서명과승인한날을기입하여시험담당자에게전달된다

266 [ 표 ] 형상등록신청서양식 1승인자 2승인일 3작성자 4작성부서 5요청일 6설명 7 제품명 8 운영체제 9 등록형태 10 형상계층 11 제목 12 시험자 1. 신규 ( ) 2. 변경 ( ) 3. 삭제 ( ) 1. 개발관련문서 ( ) 2. 파일 ( ) 3. 기타 ( ) 13 시험결과및의견 [ 표 ] 보안결함보고서양식 경로및파일명 보안결함 보안결함정도대응방법해결상태 [ 표 ] 형상변경이력양식 파일명형상항목요약 작성자변경요청일형상관리번호설명작성자변경요청일형상관리번호설명... 승인자등록일자승인자등록일자

267 2) 형상관리위원회 본평가대상제품의형상관리를위하여형상변경에대한검토, 승인등을담당하는형상관리의실제적주체인형상관리위원회의구성과운영지침은다음과같다. 가 ) 형상관리위원회구성형상관리위원회는프로젝트책임자를형상관리책임자로임명하여형상항목의등록, 형상변경의검토및승인을위한위원을다음과같이구성한다. 또한, 형상변경의승인에는권한이없지만형상관리시스템을관리할형상관리자를별도로선임한다. 위원장 OOO 프로젝트책임자 형상관리등록최종승인및프로젝트관리책임 OOO 개발책임자 프로젝트개발및개발책임자 OOO 개발책임자 프로젝트개발및개발책임자 위원 OOO 개발담당자 서브시스템개발담당자 OOO 개발담당자 서브시스템개발담당자 OOO 형상관리자 형상항목및형상정보관리자 나 ) 형상관리위원회의목적형상관리위원회는본평가대상제품의형상에대한형상식별, 형상제, 형상감사, 형상기록을심의, 평가, 인준함을목적으로한다. 통 다 ) 형상관리위원회의기능형상관리위원회는다음의사항을심의, 평가, 인준한다. o 형상관리를실행하기위한조직과관련기술의설정 o 형상항목과기능베이스라인의설정 라 ) 형상관리위원회운영규칙 o 형상관리위원회개최조건 : 프로젝트개시전, 형상항목의추가및삭제, 형상변경요청, 프로젝트완료

268 3) 형상관리도구 본절에서는평가대상제품의형상항목의무결성이유지되고형상항목의동시변화에따른일치성문제가발생하지않는다는것을보장하기위해사용된형상관리도구에대해서술한다. 가 ) ClearCase 기능본평가대상제품의형상관리를위해사용한형상관리도구는다음과같다. o Rational ClearCase Rational ClearCase는이미시장에서최고로검증된소프트웨어형상관리솔루션으로, 이는신뢰성있는버전조정과모든소프트웨어개발결과에대한공통의레포지토리를제공한다. ClearCase의간략한제품기능은다음과같다. 나 ) ClearCase 기술적분석다음절에서는본평가대상제품을위한 ClearCase 도구가형상관리문서에서서술한형상항목관리를보증해줄수있는지에대하여서술한다. 다 ) 형상관리시스템의운영정책형상관리항목에대한유출이나파괴또는변조등에대비하여다음의보호대책을강구한다

269 라 ) ClearCase 사용방법다음절에서는본평가대상제품을위한 ClearCase 구성환경과사용법에대하여서술한다. 1 설치방법 2 시작방법 3 VIEW 생성방법 마 ) TOE 생산지원본절에서는 TOE의생산을지원하는자동화된수단은서술한다. 1 KMACS Agent 소스파일생성시운영체제에서제공하는텍스트편집기인 vi를사용하고, 실행파일을생성하기위해서는GNU C, GNU make, autoconf, automake, m4 의도구를설치한다. 이들도구는 makefile을만들고 makefile을이용하여소스컴파일및빌드과정제어를한다. 마지막으로 rpm-build를통하여실행파일을모아패키지를만들게된다. 2KMACS Manager MS Visual Studio 6.0의 MS Visual C++ 을사용하여소스파일생성하여 MS Visual C++ 에서제공하는컴파일을통해실행파일을생성한다. 이렇게만들어진실행파일은 Windows 환경에서설치할수있도록 InstallShield를통하여패키지를만들게된다

270 라. 형상목록변경관리본장에서는개별형상항목중제품에대한세부변경이력, 제품을구성하는실행파일들의세부변경이력, 보안결함보고서의변경이력을기록한다. 기록방법은최종버전에대한변경이력이가장먼저기록되도록한다. 1) TOE 형상변경관리 본평가대상은가능한설명서가수반되는제품의형태로배포되며, TOE 형상변경등록은설명서또는제품의변경이발생했을때등록한다. 형상변경관리에서의파일명은 KMACS OSAC CCE4로통일한다. 파일명 KMACS OSAC CCE4 형상항목요약평가대상 작성자 OOO 승인자 OOO 변경요청일 등록일자 오후 9:00:00 형상관리번호 v 방화벽 default 정책적용 Modified for CC test log. Modified ftpd process secattr. RCastleESM.exe - pwndmna->m_patnode 가 Null일때처리 설명 배포절차서 - 최초등록운영설명서 - 최초등록준비절차서 - 최초등록 작성자 OOO 승인자 OOO 변경요청일 등록일자 오후 06:00 형상관리번호 v 설명 AIX 5.3 버전제품등록 : KMACS aix5300-ppc64ar 작성자 승인자 변경요청일 등록일자 형상관리번호 설명 작성자 승인자 변경요청일 등록일자 형상관리번호 설명

271 2) 제품형상변경관리 본평가대상의제품은크게다음과같이두개의형태로배포되며, 제품형상변경등록은 KMACS Agent 또는 KMACS Manager의변경이발생했을때등록한다. 형상변경관리에서의파일명은KMACS v for Asianux 2.0로통일한다. o KMACS Manager를구성하는파일배포판 o KMACS Agent를구성하는파일배포판 파일명 KMACS v for Asianux 2.0 형상항목요약 평가대상제품 작성자 OOO 승인자 OOO 변경요청일 등록일자 오후 9:00:00 형상관리번호 v 방화벽 default 정책적용 Modified for CC test log. 설명 Modified ftpd process secattr. KMACSESM.exe - pwndmna->m_patnode 가 Null일때처리 작성자 OOO 승인자 OOO 변경요청일 등록일자 오후 06:00 형상관리번호 v 설명 AIX 5.3 버전제품등록 : KMACS aix5300-ppc64ar 작성자 승인자 변경요청일 등록일자 형상관리번호 설명 작성자 승인자 변경요청일 등록일자 형상관리번호 설명 형상항목별형상이력변경관리추가작성 3) KMACS Agent 형상변경관리 4) KMACS Manager 형상변경관리 5) 실행파일형상변경관리 6) 문서형상변경관리 7) 소스파일형상변경관리 8) 보안결함보고서형상변경관리

272 2. 배포절차서작성예제 가. 개요 배포절차서 (DEL, Delivery) 는사용자에게 TOE가변경없는상태로전달되는것을보증하기위한시스템통제와배포시설및절차를기술한다. 사용자가수령한버전이 TOE 원본과정확하게일치할수있도록, 실제버전이변경되거나잘못된버전으로대치되는것을방지하기위해 TOE 전달과정에서필요한모든절차를서술한다. 본장에서는배포절차서에필요한목적, 구성, 기술된용어에대하여각각기술한다. 1) 목적 본배포절차서의목적은 TOE가생산되어고객사로배포되기까지의무결성을유지하기위해진행되는과정을설명한다. 2) 문서식별 o 문서명 : KMACS v for Asianux 2.0 배포절차서, Version 1.1 o 작성일 : o 문서작성자 : KISA Corp. o 주요단어 : 등급기반접근통제, 임의적접근통제, 강제적접근통제

273 2) 구성본배포절차서는다음과같이구성되어있다. 제 1장에서는목적, 구성, 용어정의등을기술한다. 제 2장에서는제품관리체계에대하여기술한다. 제 3장에서는배포환경에대하여기술한다. 제 4장에서는기술지원환경에대하여기술한다. 제 5장에서는 TOE 전체배포절차에대하여기술한다. 제 6장에서는 TOE 일부배포절차에대하여기술한다. 제 7장에서는 ST상의보안환경과보안목적에상응함을기술한다. 2) 용어정의 용어설명에서는배포절차서에서사용된전문용어나특정용어에대하여설명한다. 매뉴얼 KMACS 에설치, 운영, 사용을위한설명자료로제품설명서가있음 소스 CD KMACS v2.0의프로그램소스가저장된 CD로 KMACS Agent 소스 CD 와 KMACS Manager 소스 CD로구분 패키지 CD 개발이완료된 KMACS을빌드하고패키지한 CD로 KMACS Agent 패키지 CD와 KMACS Manager 패키지 CD로구분 제품 CD 또는설치 CD KMACS v2.0을설치하기위하여고객사로전달되어 CD로 KMACS Agent 설치 CD와 KMACS Manager 설치 CD로구분

274 나. 제품관리체계 1) 제품관리업무규정 가 ) 제품관련업무규정기술지원본부제품관련업무는제품별로구분되며제품별관리업무는제품제작, 제품배포, 기술지원등의업무로나누어진다. [ 추가작성 ] 나 ) 제품외업무규정기술지원본부제품관련업무의보안성을확보하기위하여장비반출입통제, 시스템관리, 자료관리등의업무를수행해야한다. [ 추가작성 ] 2) 제품관리인력체계 기술지원본부장은각제품에대한제품관리책임자를임명하고제품관리책임자는제품제작, 배포, 기술지원등에대한책임자및담당자를임명한다. o ( 제품관리책임자 ) 제품에관련된제작, 배포, 기술지원업무를총괄하며각영역의책임자와담당자를임명 기술지원본부제품관련업무는다음과같이직무를분리 운영한다. 조직 역할 담당자 KMACS 제품관리책임자 KMACS 제품관리책임자 OOO... 제품관리관계부서담당자는다음과같다. [ 추가작성 ]

275 다. 배포환경 1) 배포본제작 가 ) 제품제작체계영업본부로부터납품요청이발생하면제품제작담당자는납품요청서의제품관리책임자서명을확인하여승인을득한후원본제품패키지를이용하여해당수량만큼배포제품을제작한다. 배포본제작절차추가작성나 ) 지침서인쇄다 ) 배포 TOE 구성라 ) 기타 : 제품제작설비관리, 제품정보보호, 제품제작인력신뢰성확보, 제품제작설비로의접근통제, 제품제작설비로의행동통제, 제품보관통제절차, 제품제작설비운용관리등 2) 배포본처리 가 ) 원본제품패키지전달경로연구소배포담당자는연구소보안책임자의승인을득한후형상관리된원본제품패키지를기술지원본부제품제작담당자에게전달해야한다. 배포본처리절차추가작성나 ) 원본제품과제작제품간의무결성다 ) 제품패키지구성및형상관리라 ) 기타 : 제품불용품처리, 제품인수인계절차, 제품제작시스템반출입통제, 제품제작시스템손망실처리등

276 3) 제품배포절차 가 ) 제품배포운영관리절차제품관리책임자는제품배포자를공공분야와민간분야로나누어구성하고제품배포자는책임자와담당자로나누어관리하며라벨이봉인된제품 Box 형태로고객에전달되어야한다. 제품배포절차추가작성나 ) 제품배포경로의신뢰성확보다 ) 수신제품무결성보증절차라 ) 회수제품처리 4) 재고관리 제품은영업본부의납품요청에근거하여납품요청된수량만큼제작하여제품보관소에관리하며여유분의재고의생산은금한다. 재고관리절차추가작성

277 라. 기술지원환경 1) 기술지원인력 가 ) 기술지원업무규정기술지원본부장은제품별로기술지원인력을구성하고기술지원인력은고객사에설치및운영지원, 교육지원, 유지보수, 장애처리등의업무를지원해야한다. 기술지원의역할및업무는다음과같다. [ 추가작성 ] 나 ) 기술지원인력신뢰성확보다 ) 기술지원인력관리체계라 ) 기타 : 기술지원보안교육, 기술지원인력의자원할당및회수, 기술지원업무인수인계등 2) 기술지원자료, 장비, 설비 가 ) 기술지원업무수행규정기술지원인력은고객사의관리자의승인을득한후작업을수행해야하며고객사의시스템으로만작업해야한다. 비상시를대비하여노트북을지참할수있으며시스템의사용은고객사의보안관리정책에준한다. [ 추가작성 ] 나 ) 기술지원시개발정보보호다 ) 기술지원자료의전송라 ) 기타 : 기술지원업무관리및자료통제, 기술지원업무기록의백업및복구, 기술지원장비및관리체계, 기술지원장비의접근통제, 기술지원장비반출입통제등

278 마. TOE 전체배포절차 아래그림은제품개발이완료되었을경우 TOE 생산부터고객사에설치되기까지의배포과정을보여주고있다. TOE 전체배포는평가인증기관에서평가또는재평가된제품에한정된다

279 1) 제품구성단계개발이완료되면연구소에서제품패키지를구성하고이를형상관리한다. 제품생산을위하여연구소배포담당자는제품패키지 CD를구성하여기술지원의제품생산담당자에게전달한다. 제품생산담당자는이를제품보관소에보관한다. 패키지로구성한 KMACS Agent는다음과같이구성된다. KMACS Manager CD는다음과같이구성된다. 제품구성절차추가작성 2) 제품생산단계영업에서제품을수주하면기술지원제품납품을요청한다. 기술지원의배포담당자는고객사를방문하여대상시스템환경을분석한다. 제품생산담당자는분석된시스템환경에적합한제품패키지를기반으로설치 CD를구성하고제품라이센스를발급한다. 마지막으로설치 CD, 인증서, 매뉴얼을제품 Box에포장하고제품보관소에보관한다. 라이센스발급절차, BOX 구성절차등추가절차작성 3) 제품납품단계기술지원배포담당자는제품 Box의봉인된상태를확인하고납품확인서를가지고고객에게직접전달하며, 인터넷으로다운로딩과 등의전자적인방법으로는배포하지않는다. 제품을직접전달을한후에는납품상태를확인한다. 제품납품확인절차, 라이센스검증절차등추가절차작성

280 바. TOE 일부배포절차 아래그림은패치발생시 TOE 생산부터고객사에설치되기까지의배포과정을보여주고있다. TOE 일부배포는평가인증기관에의하여사후관리되는범위에한정되며매뉴얼을제외한패치 CD만물리적으로전달된다

281 1) 패치구성단계 Miner한기능이변경되거나재평가에해당되지않는형태의치명적인결점이나버그가발견되었을경우연구소는패치를개발한다. 패치가완료되면 KMACS를빌드하고패키지한다. 개발소스, 평가문서, 제품패키지, 패치패키지는연구소에서형상관리된다. 2) 패치생산단계기술지원부서는고객에게패치사항을통보하고일정을협의한다. 기술지원의제품생산담당자는 " 제품생산관리대장 " 에근거하여이전에배포된제품을확인하고패치패키지 CD를패치 CD로복사한다. 3) 제품납품단계기술지원배포담당자는패치 CD 케이스의봉인된상태를확인하고납품확인서를가지고고객에게직접전달하며, 인터넷으로다운로딩과 등의전자적인방법으로는배포하지않는다. 기술지원배포담당자는고객사의담당자와다음절차에따라납품상태를확인한다

282 사. 이론적근거 본배포절차서는보안목표명세서에서다음과같은보안환경을고려하고있다. A. 물리적보안 TOE는물리적으로안전한환경에위치하며, 인가되지않은물리적변경으로부터보호된다. TE. 배포설치배포및설치담당자는 TOE의배포및설치과정에서 TOE의보안을손상할수있다. 본배포절차에서는위와같은보안환경에대하여보안목표에대한수단을제공한다. OE. 물리적보안 TOE는인가된관리자만이접근가능한물리적으로안전한환경에위치해야한다. OE. 안전한관리 TOE는안전한방법으로배포및설치되며, 인가된관리자에의해안전한방식으로구성, 관리, 사용되어야한다

283 3. 개발보안문서작성예제 가. 개요 개발보안문서 (ALC, Development Security) 는평가대상제품을개발하여유지하는동안 TOE의상세화과정에서요구되는규칙및통제를수립한다. 본장에서는개발보안문서에필요한목적, 구성, 기술된용어에대하여각각기술한다. 1) 목적 본개발보안문서는 TOE를보호하기위하여개발환경에사용될수있는물리적, 절차적, 인적, 기타보안대책에관한개발보안 (ALC_DVS, Development security) 패밀리, TOE 생명주기에대한상위수준설명인생명주기정의 (ALC_LCD, Life cycle definition) 패밀리, TOE의개발, 분석, 구현등에사용되는도구를선택하는측면을다루는도구와기법 (ALC_TAT, Tools and techniques) 패밀리에대하여서술한다. 개발보안은개발자측에존재하는위협을제거하거나줄이기위한대책을다루는부분으로개발장소의물리적보안과개발인원을선택하는데사용되는절차등이서술된다. 생명주기정의는 TOE를개발하고유지하는데사용된절차, 도구, 기법등의생명주기모델이서술된다. 도구와기법은잘못정의되거나일관성이없거나부정확한개발도구가 TOE를개발하는데사용되지않도록하는요구사항이포함된다. 2) 문서식별 o 문서명 : KMACS v for Asianux2.0개발보안문서,Version 1.2 o 작성일 : o 문서작성자 : KISA Corp. o 주요단어 : 등급기반접근통제, 임의적접근통제, 강제적접근통제

284 3) 구성 본문서는아래와같이구성되어있다. 제 1장은개발보안문서개요로본문서의목적, 구성, 용어정의등을기술한다. 제 2장에서는보안정책관리에대하여서술한다. 제 3장에서는인적보안대책에대하여서술한다. 제 4장에서는물리적보안대책에대하여서술한다. 제 5장에서는절차적보안대책에대하여서술한다. 제 6장에서는개발의비밀성및무결성정책에대하여기술한다. 제 7장에서는 TOE 개발에사용되었던도구및구현방법에대하여기술한다. 제 8장에서는개발선택사항에대하여기술한다. 4) 용어정의 본문서를작성하면서사용된전문용어나특정용어에대하여설명하며본절에정의되지않은용어는공통평가기준에정의된내용을참고하도록한다. 개발환경보안정보시스템을개발함에있어서개발과정의안전성을보장하고개발관련정보의비밀을보장하기위하여개발자가유지하여야하는인적, 물리적, 절차적보안대책

285 나. 보안정책 1) 보안정책문서화 가 ) 보안정책수립제품관련보안정책은인적측면, 물리적측면, 절차적측면, 제품관리측면등으로구분되어야하며보안정책에따른세부지침을마련해야한다. 나 ) 보안규정의적정성정보보호정책의타당성이년 1회당해년도말에재검토되어다음년도에반영되어야한다. 2) 보안정책관리 1) 정보보호업무계획수립정보보호담당관은년도별정보보호업무계획을수립시행하고보안업무시행결과를평가 분석하여야한다

286 다. 인적보안 다음은평가제출물점검가이드에서개발보안의인적보안대책체크리스트이다. 아래사항을고려하여작성 1. 보안과관련하여직원들에게부여되는의무는무엇인가? 2. 직원들이보안과관련된의무를이행하도록하는방법은무엇인가? 3. 직원들에대한보안교육은어떻게이루어지는가? 4. 직원들에대한보안교육은어떻게갱신되는가? 특정업체의정보보호지침중인적보안에관련된항목을예시하고있다. 1) 보안관리 1 임직원숙지 2 임직원보안업무규정 3 임직원교육 4 보안관리조직 5 보안점검 2) 신규인력관리 1 신규인력채용정책 2 신규인력개발자원할당절차 3 신규인력신뢰성확보대책 4 신규인력교육 3) 내부인력관리 1 내부인력업무규정 2 내부인력관리체계 3 내부인력보안교육 4 내부인력개발정보 / 자료비밀유지대책 5 개발인력현황유지절차 4) 퇴사및직무변경인력관리 5) 외근및재택근무관리 6) 제3자및아웃소싱관리

287 라. 물리적보안 다음은평가제출물점검가이드에서개발보안의물리적보안대책체크리스트이다. 아래사항을고려하여작성 1. 회사건물에대한보안수단은무엇인가? 2. 회사건물의접근통제방법은무엇인가? 3. 회사건물에접근할수있는사람은누구인가? 4. 회사건물에대한접근권한을부여하는사람은누구인가? 5. 회사건물에대한접근이기록되는방법은무엇인가? 6. 회사건물에대한접근기록을보호하는방법은무엇인가? 7. 회사건물에대한접근기록을감사하는사람은누구인가? 8. 회사건물에대하여인가되지않은접근시도시취해지는대응행동은무엇인가? 9. 개발 / 제조영역에대한보안수단은무엇인가? 10. 근무시간이후의개발 / 제조영역에대한보안수단은무엇인가? 11. 개발 / 제조영역의접근통제방법은무엇인가? 12. 개발 / 제조영역에접근할수있는사람은누구인가? 13. 개발 / 제조영역에대한접근권한을부여하는사람은누구인가? 14. 개발 / 제조영역에대한접근이기록되는방법은무엇인가? 15. 개발 / 제조영역에대한접근기록을보호하는방법은무엇인가? 16. 개발 / 제조영역에대한접근기록을감사하는사람은누구인가? 17. 개발 / 제조영역에대하여인가되지않은접근시도시취해지는대응행동은무엇인가? 특정업체의정보보호지침중인적보안에관련된항목을예시하고있다. 1) 출입통제 1 물리적영역의구분 2 보호구역설정 3 출입통제설비운영관리체계 4 출입통제설비의물리적특성 5 출입통제설비의통제내역관리 2) 재난및침해사고대응 3) 전원관리 4) 네트워크관리 5) 개발및형상관리시스템관리 6) 자료보관실 7) 자료보관장비관리

288 마. 절차적보안 다음은평가제출물점검가이드에서개발보안의절차적보안대책체크리스트이다. 아래사항을고려하여작성 1. 개발영역내에서접근통제되어야하는객체는무엇인가? 비밀성이유지되어야하는 TOE 개발 / 제조자료는무엇인가? TOE 무결성을보호하기위해인가되지않은변경으로부터보호되어야하는 TOE 개발자료는무엇인가? 2. 위의객체에대하여접근통제하는방법및접근통제에사용된정보를보호하는방법은무엇인가? 3. 위의객체에접근할수있는사람은누구인가? 비밀성이유지되어야하는 TOE 개발 / 제조자료에접근할수있는직원은누구인가? TOE 무결성을보호하기위해인가되지않은변경으로부터보호되어야하는 TOE 개발자료에접근할수있는직원은누구인가? 4. 위의객체에대한접근권한을부여하는사람은누구인가? 5. 위의객체에대한접근이기록되는방법은무엇인가? 6. 위의객체에대한접근기록을보호하는방법은무엇인가? 7. 위의객체에대한접근기록을감사하는사람은누구인가? 8. 위의객체에대하여인가되지않은접근시도시취해지는대응행동은무엇인가? 9. 출력장치는어떤것이존재하며, 어디에위치하는가? 출력장치를보호하는방법은무엇인가? 10. 내부네트워크연결은어떻게구성되며, 이들을보호하는방법은무엇인가? 11. 외부로나가는네트워크연결은어떻게구성되며, 이들을보호하는방법은무엇인가? 12. 개발영역내에서바이러스등악성소프트웨어는어떻게검사하는가? 13. 개발 / 제조자료가보관되는장소및방법은무엇인가? 14. 개발 / 제조자료의손상을방지하기위한절차는무엇인가? 15. 개발 / 제조자료를전송하기위한절차는무엇인가? 16. TOE 의사용자용복사본을제조하고사용자에게전달하는절차는무엇인가? 17. 개발 / 제조자료및 TOE 구성요소를파기하기위한절차는무엇인가? 18. 개발장비가이동되는경우안전하게데이터를파기하기위한절차는무엇인가? 19. 개발 / 제조자료를전송하거나파기한경우이를기록하는방법은무엇인가? 20. 데이터백업과관련된역할및책임은무엇인가? 21. 데이터백업수행주기는어떻게되는가? 22. 데이터백업에사용되는저장매체는무엇인가? 23. 데이터백업이보관되는장소및방법은무엇인가? 24. 데이터백업시이를기록하는방법은무엇인가? 25. 비상시계획및절차는무엇인가? 26. 비상시계획및절차는직원들에게어떻게통보되는가? 27. 비상시책임자는누구인가? 28. TOE 는비상시에도안전한가? 29. TOE 개발 / 제조에사용되는도구에적용되는절차는무엇인가? 30. 개발인력에변경이발생한경우보안을유지하기위한절차는무엇인가? 31. 방문객에게적용되는보안절차는무엇인가?

289 특정업체의정보보호지침중인적보안에관련된항목을예시하고있다. 1) 개발자료보안 1 전산자료보호등급분류 2 개발중생성자료관리 3 개발자료파기 4 개발과정보안유지정책 5 역할및임무에따른개발자료접근통제 6 자리비움시개발자료보호절차 7 개발자료백업및복구 8 개발자료전송 2) 개발실운영통제 1 통신장비사용 2 개발실내인력행동범위 3 퇴근시개발자료보호절차 4 연구소최종퇴근자보안점검 5 시스템장비반출입통제 6 개발자료반출입통제 7 정보자산관리 3) 안내데스크운영 4) 형상관리체계 5) 형상관리운용 6) 비상계획및사업연속성

290 바. 개발의비밀성및무결성정책 소프트웨어개발및유지보수의어려움을극복하고, 정보의비밀성, 무결성, 가용성을보호할수있는성공적인소프트웨어를개발하기위해서는소프트웨어개발수명주기를통한단계별개발계획작성, 지속적인검증으로오류의조기발견및교정, 고급프로그래밍기술적용, 문서화, 소규모유능한개발요원의참여등의원칙이적용되어야한다. 1) 소프트웨어개발위험과통제 가 ) 소프트웨어개발과관련된위험소프트웨어개발단계에서소프트웨어비밀성, 무결성, 가용성을침해할수있는여러가지위험들이발생할수있다. 대표적인위험은아래와같다. o 허가되지않은불법프로그램의삽입 : 소프트웨어개발단계에서소프트웨어개발자나관리자에의해허가되지않은프로그램 ( 예를들면, 트로이목마, 바이러스, 트랩도어등 ) 이삽입될위험이있다. 이러한프로그램은시스템의보안기능을침해할수있다. 나 ) 소프트웨어개발과관련된통제소프트웨어개발단계에서발생할수있는위험을방지하기위해서는아래와같은보안통제가이루어져야한다. 2) 소프트웨어변경위험과통제 가 ) 형상관리소프트웨어개발및유지보수도중에통제되지않은변경이발생할경우, 시스템관리상에많은문제가발생할수있다. 변경에대한통제를형상관리라고부르며침입차단시스템평가를위한제출문서중형상관리문서에당사의형상관리규정이명시되어있다

291 나 ) 소프트웨어변경과관련된위험소프트웨어변경도중이나변경후에발생할수있는위험들로아래와같은것이있다. o 공식적인변경통제절차미수립 다 ) 소프트웨어변경과관련된통제소프트웨어변경단계에서발생할수있는위험에대응하여아래와같은보안통제가이루어져야한다. o 공식적인변경통제절차수립 라 ) 변경통제유형소프트웨어의변경통제에는일반적으로비상시변경통제, 계획된변경, 기능향상을위한변경의세가지유형이있다. o 비상시변경 o 계획된변경 o 기능향상을위한변경 3) 소프트웨어개발생명주기상의보안기능구현 가 ) 소프트웨어개발수명주기나 ) 보안소프트웨어개발수명주기와보안 1 시작단계에서의보안 2 분석단계에서의보안 3 설계단계에서의보안 4 구현및시험단계에서의보안 5 운영단계에서의보안

292 사. 개발도구 1) 개발환경 평가제품인 KMACS 의개발환경은다음과같다. 시스템명 구분 상세내역 비고 개발플랫폼 H/W: Dell PowerEdge 1300 ( intel chip ) OS: Asianux 2.0 KMACS Agent 개발도구 GNU C Compiler, GNU make, autoconf, automake, m4 openssl, rpm-build H/W: IBM PC Pentium Ⅲ 이상개발플랫폼 KMACS Manager OS: Windows 2000 개발도구 Complier : MS Visual Studio 6.0 2) 개발도구명세 본평가제품을개발하기위하여사용되었던도구는다음과같다. 가 ) KMACS Agent 개발도구 1 컴파일링부문 KMACS Agent 컴파일링도구는다음과같다. No 제품명 비고 1 GNU C GNU gcc version KMACS Agent 응용, 커널부문에대한컴파일 / 빌드환경제공 GNU make GNU make Makefile 파일에따라소스컴파일및빌드과정을제어하기위해제공되 는도구 3 autoconf GNU autoconf 2.59 LINUX 용 Makefile 파일을생성하기위해제공되는도구 4 automake GNU automake LINUX 용 Makefile 파일을생성하기위해제공되는도구 5 m4 GNU m autoconf 설치시요구하는도구 2 컴파일링부문 3 소스코드생성 ( 코딩 ) 부문 4 패키지생성부문 5 형상관리부문

293 나 ) KMACS Manager 개발도구 1 컴파일링부문 KMACS Manager 컴파일링도구는다음과같다. No 제품명비고 Win32 기반어플리케이션작성지원도구 Visual Studio KMACS Manager개발에대한통합 IDE 환경에서의편집및 (Visual C/C++ 6.0) 컴파일제공 2 컴파일링부문 3 소스코드생성 ( 코딩 ) 부문 4 패키지생성부문 5 형상관리부문 3) 구현표현구현표현에는본평가제품에서사용된모든명령문의의미를기술한다. 본평가제품은 ANSI 표준 C에서정의된구문을사용하였으며관련표준은다음과같다. o ISO/IEC 9899:1999Programming languages C 다음과같은사이트에서위와관련된매뉴얼, 표준등을참조할수있다. o o o

294 아. 개발선택사항 개발선택사항에서는모든구현-종속적인선택사항을정의한다. 본장에서는컴파일과정및컴파일시사용되었던컴파일옵션등을기술한다. 1) KMACS Manager 모든프로그램은 Visual C++6.0 을이용하여컴파일한다. 가 ) 컴파일과정 KMACS Manager의컴파일은다음과같은절차로수행된다. o ClearCase Windows Client로최신소스파일로업데이트한다. o Visual Studio 통합프로그램인 MSDEV 를실행한다. 나 ) 컴파일옵션 KMACS Manager Release 파일을컴파일하는데사용하는옵션은아래와같다. /nologo /MD /W3 /GX /O2 /I "../../include" /I "../tools/rgfc" /I "../" /D "WIN32" /D "NDEBUG" /D "_WINDOWS" /D "_AFXDLL" /D "_MBCS" /D "_OPEN_SSL" /FR"Release/" /Fp"Release/RCastlESM.pch" /Yu"stdafx.h" /Fo"Release/" /Fd"Release/" /FD /c 다 ) 제품빌드과정 KMACS Manager의제품패키지빌드는다음과같은절차로수행된다. o InstallShield 및 Visual Stuio가설치되어있는 PC로로그인한다. o 임의의디렉토리 (ESMPKG) 에 KMACS Manager 최신소스파일을복사한다. 2) KMACS Agent 가 ) 컴파일과정나 ) 컴파일옵션다 ) 제품빌드과정

295 제 5 장시험클래스 (ATE) 작성 제 1 절시험클래스구조 본클래스는 TSF가설계설명대로동작함을확인하는데에중점을두고있다. 본클래스에서는침투시험을다루지않는다. 침투시험은 TSF의설계와구현의취약성을식별하고자하는 TSF 분석에기초하며, 취약성평가 (AVA) 클래스에서별도로다루어진다. 시험 (ATE) 클래스는시험을개발자시험과평가자시험으로구분하고있다. 범위 (ATE_COV) 와상세수준 (ATE_DPT) 은개발자시험의완전성측면을다루는패밀리이다. 범위 (ATE_COV) 는기능명세를시험하는엄밀성의수준을, 상세수준 (ATE_DPT) 은다른설계설명들 ( 보안구조, TOE 설계, 구현표현등 ) 에근거하는시험이요구되는지를다룬다. 기능시험 (ATE_FUN) 은개발자에의한시험수행및그시험이문서화되는방법을다룬다. 독립적인시험 (ATE_IND) 은평가자시험을다루는패밀리로, 평가자가개발자시험의일부또는전체를반복해야하는지, 평가자가수행해야하는독립적인시험의양은어느정도인지를설명한다. ( 그림 5-1) 은시험클래스내의패밀리및패밀리내의컴포넌트계층관계를나타낸다

296 ( 그림 5-1) 시험클래스구성 아래표는시험클래스에대한보증요구사항을나타내고있다. 시험클래스에대한 EAL4 등급의보증요구사항은굵은박스로음영표시되어있다. [ 표 5-1] CC V3.1 의평가보증등급 (EAL) 보증클래스 시험 보증패밀리범위 (ATE_COV) 상세수준 (ATE_DPT) 기능시험 (ATE_FUN) 독립적인시험 (ATE_IND) 평가보증등급 요약 EAL1 EAL2 EAl3 EAL4 EAL5 EAL6 EAL 또한시험클래스보증요구사항과평가제출물의관계는다음과같다. [ 표 5-2] EAL4 보증요구사항과평가문서 보증클래스보증컴포넌트평가문서 ATE_COV.2 시험범위의분석 ATE_DPT.2 보안 -수행모듈시험시험서시험 ATE_FUN.1 기능시험 ATE_IND.2 독립적인시험 : 표본시험 N/A( 평가자 ) 다음은 EAL4 등급의시험클래스평가를위한보증컴포넌트 ( 개발자, 증거, 평가자의요구사항 ) 와이에대응되는공통평가방법론의관계를보여준다

297 1. 시험서 (ATE_COV.2, ATE_DPT.2, ATE_FUN.1) 가. 범위 (ATE_COV) 범위 (ATE_COV, Coverage) 패밀리는 TSF가기능명세에따라시험되었는지를입증하는것이다. 개발자가제공한일치성의증거를조사함으로써이를확인할수있다. ATE_COV.2 시험범위의분석 본컴포넌트의목적은모든 TSFI 가시험되었음을확인하는것이다. 본컴포넌트에서개발자는시험문서내의시험항목과기능명세내의모든 TSFI와의일치성을확인한다. 이는표를사용하여일치성을표현함으로써수행될수있으며, 또한, 개발자는시험범위의분석을제공한다. [ 표 5-3] 범위 공통평가기준컴포넌트엘리먼트설명 AT E_ CO V.2.1D 개발자는시험범위의분석을제공해야한다. 시험범위의분석은시험문서내의시험항목 AT E_ CO V.2.1C 과기능명세내의 TSFI 간의일치성을입증해야한다. AT E_ CO V.2 ( 시험범위의분석 ) 공통평가방법론 AT E_ CO V.2-1 AT E_ CO V.2-2 AT E_ CO V.2-3 AT E_ CO V.2.2 C 시험범위의분석은기능명세내의모든 T S FI AT E_ CO V.2-4 가시험되었음을입증해야한다. AT E_ CO V.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 비고 나. 상세수준 (ATE_DPT) 상세수준 (ATE_DPT, Depth) 패밀리의컴포넌트들은개발자가수행하는 TSF 시험의상세수준을다룬다. TSF 시험은추가적인설계표현및설명 (TOE 설계, 구현표현, 보안구조설명 ) 으로부터얻은정보의상세수준에기반한다

298 본패밀리의목적은 TOE 개발중에발생하는오류를간과할위험에대응하는것이다. 특정내부인터페이스에대한시험은 TSF가바람직한외부보안행동을나타내고있음을보증할뿐아니라외부보안행동이내부기능성의정확한운영에의한것임을보증한다. TOE 설계는내부컴포넌트 ( 예 : 서브시스템 ), TSF 모듈및그들사이의인터페이스를서술한다. TOE 설계시험의증거는내부인터페이스가수행되며서술된대로동작함을제시해야한다. 이러한증거는 TSF 외부인터페이스를통하여시험하거나시험도구를사용하여 TOE 컴포넌트인터페이스를따로분리하여시험함으로써가능하다. 내부인터페이스의일부측면이외부인터페이스를통해시험될수없는경우, 이런측면이시험될필요가없다는데대한정당화가제공되거나, 내부인터페이스가직접적으로시험되어야한다. 내부인터페이스를직접시험하는경우에는 TOE 설계는직접적인시험이용이하도록충분히상세해야한다. TSF의구조적타당성에대한설명 (ADV_ARC 패밀리내의 ) 에서특정메커니즘이언급될경우, 개발자시험은그메커니즘이수행되었으며서술된대로동작함을제시해야한다. 본패밀리내의계층관계상가장높은단계에해당하는컴포넌트에서시험은 TOE 설계뿐만아니라구현표현에대해서도수행되어야한다. ATE_DPT.2 보안 - 수행모듈시험 TSF 서브시스템및모듈설명은 TSF의내부동작에관한상위수준의설명과 TSF의 SFR-수행모듈인터페이스에대한설명을제공한다. 이단계에서의시험은 TSF 서브시스템과 SFR-수행모듈이 TOE 설계및보안구조설명내에서술된대로동작하고상호작용함을보증한다

299 [ 표 5-4] 상세수준 공통평가기준 공통평가 컴포넌트 엘리먼트 설 명 방법론 AT E_ DPT.2.1D 개발자는시험의상세수준분석을제공해야한다. AT E_ D PT.2-1 시험의 상세수준 분석은 시험 문서 내의 시 AT E_ D PT.2-2 AT E_ DPT.2.1C 험항목과 TOE 설계 내의 TSF 서브시스템 및모듈간의일치성을입증해야한다. AT E_ D PT.2 ( 보안 - 수행모듈시험 ) AT E_ D PT.2-3 AT E_ D PT.2-4 AT E_ D PT.2-5 시험의 상세수준 분석은 TOE 설계 내의 모 AT E_ DP T.2.2 C 든 T S F 서브시스템이 시험되었음을 입증해 AT E_ D PT.2-6 야한다. 시험의 상세수준 분석은 TOE 설계 내의 AT E_ DPT.2.3C SFR-수행 모듈이 시험되었음을 입증해야 한 AT E_ D PT.2-7 다. AT E_ DPT.2.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 비고 다. 기능시험 (ATE_FUN) 개발자가수행하는기능시험은시험문서내의시험항목이정확하게수행되고문서화되었음을보증한다. 시험항목과 TSF 설계설명간의일치성은범위 (ATE_COV), 상세수준 (ATE_DPT) 패밀리에서다룬다. 기능시험 (ATE_FUN, Funtional tests) 패밀리는발견되지않은결함이발생할가능성이비교적적다는것을보증하는데기여한다. 범위 (ATE_COV), 상세수준 (ATE_DPT), 기능시험 (ATE_FUN) 패밀리는모두개발자가제공하는시험의증거를정의하기위해사용된다. 평가자의독립적인기능시험은독립적인시험 (ATE_IND) 패밀리에서명세된다. 시험을수행하기위한절차에는시험프로그램을사용하기위한지침과시험환경, 시험조건, 시험데이터매개변수, 시험데이터값등을포함한시험문서를제공해야한다. 또한, 시험절차는시험입력으로부터시험결과가도출되는방법을제시해야한다

300 순서종속관계는특정상태가존재해야만특정시험을성공적으로수행할수있는경우와관련이있다. 예를들어, 시험 A의성공적인수행으로인한결과가시험 B를성공적으로수행하기위한전제조건이므로시험 A가시험 B 직전에수행되도록요구하는경우가있다. 따라서, 시험 B의실패는순서종속관계에관한문제와관련이있을수있다. 위의예에서, 시험 B의실패는 ( 시험 A 대신에 ) 시험 C가직전에수행되었거나시험 A의실패와관련이있을수있다. ATE_FUN.1 기능시험 본컴포넌트의목적은개발자가시험문서내의시험항목이정확하게수행되고문서화되었음을입증하는것이다. [ 표 5-5] 기능시험 공통평가기준 컴포넌트 엘리먼트 설 명 AT E_ FU N.1.1D 개발자는 TSF를시험하고그결과를문서화해야한다. ATE_FUN.1.2D 개발자는시험문서를제공해야한다. AT E_ FU N.1.1C 시험문서는시험계획, 예상시험결과, 실제시험결과로구성되어야한다. 시험계획은 수행되어야 할 시험항목을 식별 하고각시험수행의시나리오를서술해야 AT E_ FU N.1 AT E_ FU N.1.2 C 한다. 이러한시나리오는다른시험결과에 ( 기능시험 ) 대한순서종속관계를포함해야한다. AT E_ FU N.1.3C 예상시험결과는시험의성공적인수행으로기대되는결과를제시해야한다. AT E_ FU N.1.4C 실제시험결과는예상시험결과와일관성이있어야한다. AT E_ FU N.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 공통평가방법론 비고

301 제 2 절시험클래스작성방법 시험클래스는 TOE가보안목표명세서에서술된방식과평가증거에명세된방식 (ADV 클래스에서서술 ) 으로동작하는지결정하는것이다. 이러한결정은개발자의 TSF 기능시험 (ATE_FUN) 과평가자의 TSF 독립시험 (ATE_IND) 의조합을통해이루어진다. 개발자는 TSF를시험하고그결과를문서화하여제공해야한다. 개발자는시험문서를시험계획, 예상시험결과, 실제시험결과순으로구성할수있다. 시험계획은시험항목을식별하고시험수행의시나리오를서술한다. 시험수행의시나리오에시험을위한순서종속관계 ( 시험선행조건 ) 를포함한상세시험절차가기술되어야한다. 시험범위 (ATE_COV) 는 TSFI에 ( 기능명세 (ADV_FSP) 참조 ) 명세된바와같이수행되어야하며시험이 TSF의내부행동과속성을증명할수있어야한다. 시험의상세수준 (ATE_DPT) 은 TOE 설계 (ADV_TDS) 에서기술하는서브시스템및 SFR-수행모듈에대해시험하였음을입증하여야한다. 공통평가기준은컴포넌트적용시유연성을높이기위해기능시험의범위와상세수준을분리했다. 그러나이요구사항들은 TSF가해당명세에따라동작하는지확인하기위해함께적용된다. 이러한시험범위와상세수준의결합은세부평가활동전반에걸쳐평가자작업단위의중복을가져온다. 제시된응용시주의사항을이용하여세부평가활동사이의중복적인작업을최소화할수있다. 예상되는 TOE 행동에대한이해 시험서작성자는시험서작성의요구사항을만족시키기위한보안기능의예상되는행동을숙지해야한다. 이를위해 ST에기술된 SFR의내용과이에따라기술되는 TSF, TSFI를고려해야한다. 각각의보안목표명세서의요구사항과기능명세및설명서의관련부분을고려하여관련된 TSFI의예상행동을

302 작성하여야한다. 유사하게, TOE 설계및보안구조문서의관련부분을고려하여관련모듈이나 TSF 서브시스템의예상행동을작성해야한다. 대부분의경우시험방법은호출된 TSFI와관찰된반응을포함한다. 외부가시적인기능성은직접시험될수있으나기능성이 TOE 외부에서가시적이지않은경우 ( 예를들어, 잔여정보보호기능성을시험할시 ) 다른수단이적용될필요가있다. 예상되는가능성의행동을검증하기위한시험과대체방법 특정기능성 ( 외부적으로가시적인 TSFI를제공하지않는기능성 ) 에대한시험을실행할수없거나부적절한경우시험계획은예상되는행동을검증하기위한대체방법을식별하도록권고된다. 대체방법이가능할경우다음사항이고려되어야한다. a) TOE에서요구되는행동을결정하기위해시험대신에구현의표현을분석할수있다. 이는소프트웨어 TOE인경우에는소스코드를, 하드웨어 TOE인경우에는칩마스크를점검하는것을의미할수있다. b) 선언된보증요구사항이 TOE 모듈 ( 예 : ADV_TDS.3 세부평가활동 ) 에대한상세설계또는구현 ( 구현의표현 (ADV_IMP)) 을요구하지않더라도모듈이나구현의표현수준의시험을평가자로부터요청받을수있다. 개발자와평가자모두예상행동을시험하기위한유용한방법이존재하지않는다고결정했을때에만시험을보완하기위한대체방법이사용될수있다. 시험의적절성검증 시험의선행조건은시험의초기조건확립을위해필요하다. 시험의선행조건은반드시설정되어야할매개변수의관점이나하나의시험이종료된후또다른시험을위해필요한선행조건을세우는경우에는시험순서의관점에서

303 표현될수있다. 시험의선행조건을완전하고적절하게제공해야, 시험결과에영향을미치지않는다. 시험단계와예상시험결과는 TSFI에적용되는동작과매개변수를명세하고예상시험결과는무엇이며그것을검증하는방법에대해서도명세한다. 시험단계와예상결과가기능명세내에서술된 TSFI와일관성있게서술되어야한다. 이는기능명세에명시적으로서술된 TSFI 행동의각특징들이그행동을검증하기위한시험단계와예상시험결과를반드시가지고있어야함을의미한다. 시험서에는각각의서브시스템, 모듈, TSFI가기능명세, TOE 설계, 보안구조설명에명세된대로행동하는지에대하여충분한시험이수행되었는지그시험내용을기술하는것이다

304 1. 시험서 (ATE_COV.2, ATE_DPT.2, ATE_FUN.1) 작성방법 가. 범위 (ATE_COV) : ATE_COV.2 시험범위의분석작성방법 평가제출물점검가이드라인 (EAL4) 에서시험범위의분석작성방법 (ATE_COV.2) 에대한점검사항은다음과같이구성되어있다. [ 표 5-6] 평가제출물점검가이드라인시험범위점검사항 항목 점검사항 제출내용 필수 적부 [COV.2-1] 시험항목과기능명세의인터페이스간일치 [COV.2-2] [COV.2-3] [COV.2-4] 시험계획에 TSF의각보안기능의시험방법이예상된행동임을기술각보안기능을적절하게시험했는지시험절차확인 인터페이스와시험문서에서식별된시험항목간일치 개발자는모든 TSFI를시험해야하며, 시험문서에식별되는시험과기능명세에서술된 TSFI 간일치성이있어야한다. (1) 시험범위의분석 CC 3 부 ATE_COV.2.1C 시험범위의 분석은 시험 문서 내의 시험항목과 기능명세 내의 TSF I 간의 일치성을 입증해야 한 다. CEM 평가자는시험문서에식별된부분시험항목과 A T E _ C O V. 2-1 기능명세에서술된인터페이스간의일치성이정확하다는것을결정하기위해시험범위분석을조사해야한다. 단순한교차표의사용도시험의일치성을나타내는데충분할수있다. 시험

305 범위분석에서제시된부분시험항목과인터페이스에대한식별은명확해야한다. 시험문서내의모든시험항목이기능명세내의인터페이스에반드시대응되어야함을의미하지는않는다는것을상기한다. 기능명세의인터페이스에해당하지않는보안기능시험을위해시험항목이작성될수있기때문이다. CEM ATE_COV.2-2 평가자는각인터페이스에대한시험방법이해당인터페이스의예상된행동을입증하기에적합하다는것을결정하기위해시험계획을조사해야한다. CEM ATE_COV.2-3 평가자는시험선행조건, 시험단계및예상시험결과가각인터페이스를적절하게시험하는지결정하기위해시험절차를조사해야한다. 시험항목은대응되는인터페이스에대한예상된행동을입증할수있도록상세히작성되어야한다. 시험항목은시험선행조건, 시험단계, 예상시험결과등이기술되어야한다. 시험항목을작성할때, 작성자는 TOE 행동을충분히이해하고있어야하며, 인터페이스시험을위해기능시험으로해당인터페이스의적절성을나타낼수없는경우, 모듈시험등의대체방법도고려할수있다. 위의사항을이해하기위해서는앞에서기술한 예상되는 TOE 행동에대한이해, 예상되는기능성의행동을검증하기위한시험과대체방법, 시험의적절성검증 을참고할수있다. (2) 기능명세와시험문서간일치성

306 CC 3 부 ATE_COV.2.2C 시험범위의분석은기능명세내의모든 TSFI 가시험되었음을입증해야한다. CEM 평가자는기능명세의인터페이스와시험문서의 A T E _ C O V. 2-4 부분시험항목간일치성이완전하다는것을결정하기위해시험범위분석을조사해야한다. 인터페이스의철저한명세시험이요구되지는않지만, 기능명세에서술된모든 TSFI는시험범위분석에표현되어야하고완전성을위해시험과대응되어야한다. 인터페이스가시험범위의분석에서식별되지만이에대한시험이없다면시험범위의분석은불완전하다. 그렇지만, 이것이시험문서내의모든부분시험항목이기능명세내의인터페이스에반드시대응되어야함을의미하지는않는다는것을상기해야한다

307 나. 상세수준 (ATE_DPT) : ATE_DPT.2 보안 - 수행모듈시험작성방법 평가제출물점검가이드라인 (EAL4) 에서보안-수행모듈시험작성방법 (ATE_DPT.2) 에대한점검사항은다음과같이구성되어있다. [ 표 5-7] 평가제출물점검가이드라인모듈시험점검사항 항목 점검사항 제출내용 필수 적부 [DPT.2-1] TSF 서브시스템행동및 TSF 간의상호작용을시험서에기술 [DPT.2-2] 서브시스템의행동을시험계획, 시험전제, 시험절차및예상결과에서입증 [DPT.2-3] 서브시스템간의상호작용을시험계획, 시험전제, 시험절차및예상결과에서입증 [DPT.2-4] SFR- 수행모듈의인터페이스의시험포함여부분석 [DPT.2-5] TSF 모듈인터페이스의예상행동이포함된시험방법기술 개발자는 TOE 설계및보안구조설명에대한 TSF 서브시스템, SFR-수행모듈의인터페이스를시험하여야한다. (1) 시험의상세수준분석 CC 3 부 ATE_DPT.2.1C 시험의상세수준분석은시험문서내의시험항목과 TOE 설계내의 TSF 서브시스템및모듈간의일치성을입증해야한다. CEM ATE_DPT.2-1 평가자는 TSF 서브시스템행동및 TSF 서브시스템간의상호작용에대한설명이시험문서내에포함되어있는지결정하기위해시험상세수준분석을조사해야한다. 모든시험항목과 TOE 설계의설명 ( 서브시스템, 모듈 ) 간의일치성을검증하

308 는부분이필요하다. TSF의구조적타당성에대한설명 (ADV_ARC 패밀리내의 ) 에서특정메커니즘이언급될경우부분시험항목과그러한메커니즘의행동에대한설명간의일치성을검증하는부분을서술해야한다. 단순한교차표의사용도시험의일치성을나타내는데충분할수있다. 시험상세수준분석에서제시된부분시험항목과행동 / 상호작용에대한식별은반드시명백해야한다. 시험문서내의모든부분시험항목이서브시스템행동또는상호작용설명에반드시대응되어야함을의미하지는않는다. CEM ATE_DPT.2-2 평가자는 TSF 서브시스템행동설명에대한시험방법이 TOE 설계에서술된대로해당서브시스템이행동한다는것을입증하는지결정하기위해시험계획, 시험선행조건, 시험단계그리고예상되는결과를조사해야한다. TSF 서브시스템인터페이스가서술되어있는경우이서브시스템의행동은해당인터페이스로부터직접시험될수있다. TSF 서브시스템인터페이스가서술되어있지않은경우이서브시스템의행동은 TSFI 인터페이스에서시험되거나두가지의조합으로수행될수있다. 위의사항을이해하기위해서는앞에서기술한 예상되는 TOE 행동에대한이해, 예상되는기능성의행동을검증하기위한시험과대체방법 을참고할수있다. CEM ATE_DPT.2-3 평가자는 TSF 서브시스템행동설명에대한시험방법이서브시스템들이 TO E 설계에서술된대로상호작용한다는것을입증하는지결정하기위해시험계획, 시험선행조건, 시험단계그리고예상되는결과를조사해야한다

309 시험계획, 시험선행조건, 시험단계그리고예상되는결과에서서브시스템의행동과서브시스템간의상호작용을이해할수있도록서술해야한다. 위의사항을이해하기위해서는앞에서기술한 예상되는 TOE 행동에대한이해, 예상되는기능성의행동을검증하기위한시험과대체방법 을참고할수있다. TSF 서브시스템인터페이스가서술되어있는경우다른서브시스템과의상호작용은해당인터페이스로부터직접시험될수있다. TSF 서브시스템인터페이스가서술되어있지않은경우서브시스템간의상호작용은반드시 TSFI 인터페이스에서추론되어야한다. CEM ATE_DPT.2-4 평가자는 SFR- 수행모듈의인터페이스가시험문서내에포함되어있는지결정하기위해시험상세수준분석을조사해야한다. 부분시험항목과 TOE 설계의설명간의일치성이있도록기술하여야한다. TSF의구조적타당성에대한설명 (ADV_ARC 패밀리내의 ) 에서모듈수준의특정메커니즘이언급될경우, 부분시험항목과그메커니즘의행동에대한설명간의일치성분석내용을기술하여야한다. 단순한교차표의사용도시험의일치성을나타내는데충분할수있다. 시험상세수준분석에서제시된부분시험항목과행동 / 상호작용에대한식별은반드시명백해야한다. 시험문서내의모든부분시험항목이서브시스템행동또는상호작용설명에반드시대응되어야함을의미하지는않는다

310 CEM ATE_DPT.2-5 평가자는각 TSF 모듈인터페이스에대한시험방법이해당인터페이스의예상되는행동을입증한다는것을결정하기위해시험계획, 시험선행조건, 시험단계그리고예상되는결과를조사해야한다. 시험항목을서술시서브시스템의예상되는행동과 TSF 모듈인터페이스의예상되는행동을확인할수있도록서술한다. 위의사항을이해하기위해서는앞에서기술한 예상되는 TOE 행동에대한이해, 예상되는기능성의행동을검증하기위한시험과대체방법 을참고할수있다. 인터페이스의시험은해당인터페이스에서또는외부인터페이스에서직접적으로또는이두가지의조합으로수행될수있다. 인터페이스를적절히시험하기위해어떤전략을사용하든지간에해당전략의적합성을고려해야한다. 특히내부인터페이스에서의시험이필요한지와외부인터페이스를실행함으로써이러한내부인터페이스가 ( 명시적이지는않지만 ) 적절하게시험될수있는지결정하여야한다. (2) 서브시스템시험 CC 3 부 ATE_DPT.2.2C CEM ATE_DPT.2-6 시험의상세수준분석은 TOE 설계내의모든 TSF 서브시스템이시험되었음을입증해야한다. 평가자는 TSF 서브시스템행동및상호작용의모든설명이시험된다는것을결정하기위해시험절차를조사해야한다. TOE 설계에서제공된 TSF 서브시스템행동과 TSF 서브시스템간의상호작용에대한모든설명이모두시험항목으로표현되어야한다

311 (3) SFR- 수행모듈시험 CC 3 부 ATE_DPT.2.3C CEM ATE_DPT.2-7 시험의상세수준분석은 TOE 설계내의 SFR- 수행모듈이시험되었음을입증해야한다. 평가자는 SFR- 수행모듈의모든인터페이스가시험된다는것을결정하기위해시험절차를조사해야한다. TOE 설계에서제공된 SFR-수행모듈의모든인터페이스는반드시시험항목으로표현되어야한다. 다. 기능시험 (ATE_FUN) : ATE_FUN.1 기능기험작성방법 평가제출물점검가이드라인 (EAL4) 에서기능시험작성방법 (ATE_FUN.1) 에대한점검사항은다음과같이구성되어있다. [ 표 5-8] 평가제출물점검가이드라인기능시험점검사항 항목 점검사항 제출내용 필수 적부 [FUN.1-1] 시험계획, 시험절차설명, 예상시험결과및실제시험결과가포함된시험서기술 [FUN.1-2] 시험계획에시험되어야할시나리오서술 [FUN.1-3] [FUN.1-4] 시험환경이보안목표명세서와일치 순서종속성을포함한초기시험조건을재현할수있는지침제공. [FUN.1-5] 예상시험결과기술 [FUN.1-6] 예상시험결과와실제시험결과의일관성 개발자는시험문서의부분시험항목을올바르게수행하고문서화하여야한

312 다. 시험문서의범위는보증컴포넌트범위에따라포함되는 TSF를다루도록요구된다. 개발자는시험계획, 시험절차, 예상시험결과및실제시험결과가포함된시험서를기술해야한다. 시험환경은평가자가시험서만보고시험이가능하도록상세하고타당해야하며, 예상시험결과는실제결과와일치해야한다. (1) 시험문서의구성 CC 3 부 AT E_F U N.1.1C CEM AT E_F U N.1-1 시험문서는시험계획, 예상시험결과, 실제시험결과로구성되어야한다. 시험문서가시험계획, 예상시험결과, 실제시험결과를포함하고있는지확인해야한다. 시험계획, 예상시험결과, 실제시험결과가시험문서내에포함되어야한다. (2) 시험계획 CC 3 부 AT E_F U N.1.2C CEM AT E_F U N.1-2 시험계획은수행되어야할시험항목을식별하고각시험수행의시나리오를서술해야한다. 이러한시나리오는다른시험결과에대한순서종속관계를포함해야한다. 평가자는시험계획이각각의시험수행시나리오를서술하는지결정하기위해시험계획을조사해야한다. 시험계획은 TOE 구성및사용되는모든시험장비를포함하는시험구성에관한정보를제공하여야한다. 이러한정보는시험환경을재현할수있을정도로상세하게서술되어야한다. 또한시험계획은모든필요한자동화된구성절차 ( 및절차를수행하기위해필요한권한 ), 시험에사용되는입력, 입력을시험에적용하는방법, 입력에대한출력을얻는방법, 모든자동화된제거절차 ( 및절차를수행하기위해필요한권한 ) 등과같은시험수행방법에대한정보를제공하여야하며, 이러한정보는시험을재현할수있을정도로상세히서술되어야한다

313 CEM AT E_F U N.1-3 평가자는 TOE 시험구성이보안목표명세서와일관성이있는지결정하기위해시험계획을조사해야한다. 개발자시험계획에서참조된 TOE는형상관리능력 (ALC_CMC) 세부평가활동에서규정되고보안목표명세서소개에서식별된것과같이동일하고유일한참조를가지도록권고된다. 보안목표명세서는평가를위해한가지이상의구성을명세할수있다. 개발자시험문서에서식별된모든시험구성이보안목표명세서와일관성이있어야한다. 예를들어, 보안목표명세서는구성사항을반드시설정해야하고이것은추가적인부분을포함또는배제함으로써 TOE 범위에영향을줄수있다. 시험환경에적용될수있는보안목표명세서에서술된운영환경의보안목적에대해고려하여야한다. 일부운영환경의보안목적은시험환경에적용되지않을수있다. 예를들어, 사용자인가등급에대한보안목적은시험환경에적용되지않을수있지만네트워크에대한유일한연결점에대한보안목적은시험환경에적용될수있다. CEM AT E_F U N.1-4 평가자는 순서 종속관계에 대한 충분한 지침이 제공되는지 결정하기 위해, 시험계획을 조사해야 한다. 일부시험단계는시험수행이전에필요한선행조건들이만족되어야만시험을수행할수있다. 예를들어, 사용자계정삭제에대한시험을수행하기위해서는그이전에사용자계정생성의선행조건이만족되어야한다. 다른시험결과에대한순서종속관계의예를들어, 감사기록의검색및분류에대한시험을수행하기전에해당감사기록의생성을시험하는것이선행되어야할필요가있다. 순서종속관계의또다른예로다른시험케이스를위한입력으로써사용되기위한데이터파일을생성하는시험케이스를들수있다

314 (3) 예상시험결과 CC 3 부 AT E_F U N.1.3C CEM AT E_F U N.1-5 예상시험결과는시험의성공적인수행으로기대되는결과를제시해야한다. 평가자는시험문서가모든예상시험결과를포함하고있는지결정하기위해시험문서를조사해야한다. 시험이성공적으로수행되었는지결정하기위해서는예상시험결과가필요하다. 예상시험결과가명백하고시험수행의예상된행동과일관성이있다면충분하다. (3) 실제시험결과 CC 3 부 AT E_F U N.1.4C CEM AT E_F U N.1-6 실제 시험결과는 예상 시험결과와 일관성이 있 어야 한다. 평가자는시험문서의예상시험결과가시험문서의실제시험결과와일관성이있는지확인해야한다. 개발자가제공한실제시험결과와예상시험결과를비교하여두결과사이의비일관성을알아낼수있다. 데이터의축약또는통합이먼저수행된후에실제시험결과의직접적인비교가이루어질수있다. 그런경우개발자의시험문서에실제데이터를축약하거나통합하는절차가서술되도록권고된다. 예를들어, 개발자는버퍼의내용을결정하기위해네트워크연결이이루어진후에메시지버퍼의내용을시험할필요가있을수있다. 메시지버퍼는이진수를포함할것이다. 이러한이진수는시험과정에서다른형태의데이터형식으로변환되어야할것이다. 이진표현데이터의상위수준표현으로의변환에대해평가자가변환절차를수행할수있도록충분히자세하게서술되어야할

315 것이다.( 즉, 동기식또는비동기식전송, 종료비트수, 패리티등 ) 실제데이터를축약또는통합하는데사용되는절차에대한설명은그절차가올바른것인지를평가하기위한것임을유의하여야한다. 평가자의이해를돕기위해예상시험결과를실제시험결과와비교하기쉬운형태로변환하는것이바람직하다. CEM AT E_F U N.1-7 평가자는개발자시험노력, 시험방법개요, 구성, 시험상세수준, 결과를보고해야한다. 평가자가아래의사항을평가보고서에기록할수있도록, 개발자는시험서에아래의사항을상세히기술하여야한다. a) TOE 시험구성. 시험을구성하거나시험이종료된후이를제거하기위해특정권한이요구되는지에관한사항을포함하는시험되는 TOE의특정구성환경 b) 시험방법. 전체적인개발자시험전략의설명 c) 시험결과. 전체적인개발자시험결과의설명

316 제 3 절시험클래스작성예제 시험클래스관련제출물은시험서로구성되며작성예제는다음과같다. 1. 시험서작성예제 가. 개요 시험은보안목표명세서, 기능명세서, TOE설계서를통하여구현된평가대상시스템이보안목적에맞게정확히작동되는지를시험하여이를증명하는데목적이있다. 본장에서는시험서 (ATE, Tests) 가적용되는평가대상시스템에대한식별과시험서의목적, 작성규칙, 구성등에대하여각각기술한다. 1) 목적본시험서는평가대상시스템을구성하는모든보안기능이보안목표명세서에명시된보안목적에맞게동작하는지확인하고, 보안기능들이전체적으로효용성있는하나의보안시스템으로동작하는지여부를확인하는데목적이있다. 2) 시험서식별 o 제목 : KMACS v for Asianux 2.0 시험서, Version 1.2 o 작성자 : KISA Corp. o 발간일 : 2007년 10월 24일 o 주요단어 : 운영체제보안시스템, 등급기반강제적접근통제, 임의적접근통제

317 3) 구성본문서는아래와같이구성되어있다. 제1장은시험서개요로시험서의목적, 구성, 작성규칙, 용어정의등을기술한다. 제 2 장에서는본평가대상시스템의시험을위한환경에대하여기술한다. 제 3 장에서는각보안모듈과기능에대한시험항목을식별한다. 제 4 장에서는각모듈시험의목적, 시험절차및시험결과에대하여기술한다. 제 5 장에서는각통합시험의목적, 시험절차및시험결과에대하여기술한다. 제 6 장에서는각서비스시험의목적, 시험절차및시험결과에대하여기술한다. 제 7 장에서는시험항목과기능명세서에서정의된 TOE 보안기능 (TSF), TOE설계서에서정의된서브시스템간의상관관계를기술한다. 4) 작성규칙 가 ) 서술방식본문서는비정형화된방법을사용한다. 나 ) 식별자본시험서에는일부약어및영문단어가포함되어있으며, 이는정확한의미의전달을위한것이다. 본시험서에서기술되는식별자는다음과같다. 모듈시험항목식별자 모듈시험항목의참조를용이하게하기위하여 T_ 보안모듈형태의유일한참조식별자를할당한다. ( 예 : T_MAC.1.F1, T_Audit.1.F1 등 )

318 5) 용어정의본시험서를작성하면서사용된전문용어나특정용어에대하여설명하며본절에정의되지않은용어는공통평가기준에정의된내용을참고하도록한다. 강제적접근통제 (MAC, Mandatory Access Control) 객체의중요도레이블및주체의접근권한에기반하여접근을통제하는방식을말하며, 공통평가기준에서는 B&L(Bell and La Padula) 보안모델을예로들고있음 [ 추가작성 ]

319 나. 이론적근거 본장에서는평가대상시스템을시험하기위한환경에대하여기술한다. 1) 네트워크환경 효과적인시험을위하여내부 / 외부네트워크를분리하고내부네트워크에시험을위한시스템을설치한다. 시험을위한시스템에는시험사용자만접속하여사용해야한다. KMACS Agent와 KMACS Manager 간은10/100BaseT Ethernet 환경을통하여접속한다. 시험사용자는 telnet으로 KMACS Agent가설치된서버에접속하고시험을수행하여평가대상시스템이보안목적에맞게동작하는지확인하며, KMACS Manager를통하여보안관리기능을수행하고, 감사기록을검토한다. 시험을위한시스템의구성은아래와같다. KMACS Agent KMACS Manager Test User PC

320 2) 하드웨어및소프트웨어환경 시험시스템을구성하기위해요구되는운영체제와하드웨어사양은아래와같다. 구분 KMACS Agent KMACS Manager 운영체제 Asianux 2.0 Windows 2000 Professional SP4 하드웨어 ( 최소사양 ) AMD_64 1.4GHz 이상 RAM : 128MB 이상 HDD : 200MB 이상 Network : 10/100BaseT Pentium III 600 MHz 이상 RAM : 128 MB 이상 HDD : 10 MB 이상 Network : 10/100BaseT 하드웨어 ( 권장사양 ) AMD_64 1.4GHz 이상 RAM : 256MB 이상 HDD : 500MB 이상 Network : 10/100BaseT Pentium IV 1.0GHz 이상 RAM : 256 MB 이상 HDD : 100 MB 이상 Network : 10/100BaseT 본시험에서사용된하드웨어및소프트웨어정보는아래와같다. 구분 KMACS Agent KMACS Manager Test User PC 운영체제 Asianux 2.0 Windows 2000 Professional Windows 2000 Professional i386 Pentium IV 1.8GHz Pentium IV 1.8GHz RAM : 512MB RAM : 512MB RAM : 512MB 하드웨어 HDD : 36GB HDD : 3.5GB HDD : 15GB Network : 10/100BaseT Network : 10/100BaseT Network : 10/100BaseT 소프트웨어 KMACS v2.0 (KMACS Agent) KMACS v2.0 (KMACS Manager) Telnet S/W 3) KMACS 설치및환경구성 설치지침서에따라서 KMACS 제품을설치한후시험환경을구성한다. 1 보안모듈상태 2 보안사용자구성 3 사용자상태 4 시험프로그램 5 시험파일환경구성 6 보안기능환경초기화및변경 7 테스트커널로그확인 8 서비스시험환경

321 다. 시험항목 본장에서는각시험항목을모듈시험과통합시험, 서비스시험으로구분하여기술한다. 1) 모듈시험 TOE 보안기능 (TSF) 을위하여구현된각모듈단위의시험항목을식별하고, 각시험항목과 TOE 보안기능과의관계를정의한다. 본평가대상시스템의모듈시험항목은아래와같다. 시험항목 기능명세 TSF T_RM.1.F1.M1 ( 제어시스템콜추가 ) Refer.1 ( 시스템콜인터셉트 ) T_RM.1.F2.M1 ( 제어시스템콜삭제 ) Refer.1 ( 시스템콜인터셉트 ) T_RM.1.F3.M1 ( 제어시스템콜인터셉트 ) Refer.1 ( 시스템콜인터셉트 )...[ 추가작성 ] T_RM.1.F1.M1 ( 제어시스템콜추가 ) 에대하여시험서예제작성 2) 통합시험 통합시험에서는각서브시스템에대하여시험한다. 본평가대상시스템의통합시험항목은아래와같다. 시험항목 T_Refer.1.M1( 시스템콜인터셉트 ) T_Ac_mac.1.M1( 주체보안속성설정 ) T_Ac_mac.2.M1( 등급기반강제적접근통제 ) 관련서브시스템 RM ( 참조모니터서브시스템 ) AC ( 접근통제서브시스템 ) RM ( 참조모니터서브시스템 ) AC ( 접근통제서브시스템 ) LOG ( 감사기록서브시스템 ) AC ( 접근통제서브시스템 ) LOG ( 감사기록서브시스템 )...[ 추가작성 ] T_Refer.1.M1( 시스템콜인터셉트 ) 에대하여시험서예제작성

322 3) 서비스시험 서비스시험에서는각 TOE 보안기능 (TSF) 에대하여시험한다. 본평가대상시스템의서비스시험항목은아래와같다. TOE 보안기능 TSFI 시험항목 Refer ( 참조모니터 ) Ac_mac ( 강제적접근통제 ) Refer.1 ( 참조모니터 ) Ac_mac.1 ( 주체보안속성설정 ) Ac_mac.2 ( 등급기반강제적접근통제 ) EI_OS_SCALL EI_OS_MLOAD EI_OS_MUNLOAD 없음 없음 TOE 통제범위내의각시스템콜을호출 (T_S VC.1) 운영체제에커널모듈로드및언로드 (T_SVC.2) 보안기능시작시주체보안속성초기화 (T_SVC. 3) ((T_SVC.27), (T_SVC.44) 시험항목의 TSFI 사용 ) 보안사용자등록에의한프로세스및객체의보안속성부여 (T_SVC.4) ((T_SVC.34) 또는 (T_SVC.38), (T_SVC.41), (T_SVC.43) 또는 (T_SVC.44) 시험항목의 TSFI 사용 ) 등급기반파일접근위반차단 (T_SVC.5) 등급기반 kill 위반차단 (T_SVC.6) 객체생성시보안속성상속및삭제 (T_SVC.7) ((T_SVC.41) 시험항목의 TSFI 사용 )......[ 추가작성 ] 등급기반파일접근위반차단 (T_SVC.5) 에대하여시험서예제작성

323 라. 모듈시험 1) 참조모니터서브시스템 (RM) 가 ) 제어시스템콜추가 (T_RM.1.F1.M1) 시험목적운영체제의커널에 KMACS 커널모듈이탑재될때본평가제품에서사용하는시스템콜이정상적으로추가되는지확인한다. 관련보안기능 Refer.1 ( 시스템콜인터셉트 ) 관련서브시스템 RM ( 참조모니터서브시스템 ) 관련 TSFI EI_OS_SCALL(OS시스템호출인터페이스 ) 시험도구해당사항없음시험환경 1) root 상태에서시험한다. 2) 보안모듈이탑재되지않은상태이다. 종속관계해당사항없음시험절차 1) 명령어를실행하여테스트보안모듈이탑재된상태로만든다. # /sbin/insmod /lib/modules/" 커널버전 "/KMACS.ko 2) 테스트커널로그를확인하여 KMACS 관리를위한시스템콜이정상적으로추가되었는지확인한다. 예상시험결과 KMACS 관리를위해추가된시스템콜에대한정보가테스트커널로그에출력된다. 실제시험결과 < 시험과정결과 > # /sbin/insmod /lib/modules/" 커널버전 "/KMACS.ko < 테스트커널로그결과 > [RC] New Syscall rg_comm2 is added [ 각모듈에대하여추가작성 ]

324 마. 통합시험 1) 시스템콜인터셉트 (T_Refer.1.M1) 시험목적 TOE 통제범위내의운영체제시스템콜이호출되면해당시스템콜이인터셉트되어주체프로세스에보안속성이부여되고접근통제기능이수행되는지확인한다. 관련보안기능 Refer.1 ( 시스템콜인터셉트 ) Ac_mac.1 ( 주체보안속성설정 ) Ac_mac.2 ( 등급기반강제적접근통제 ) 관련서브시스템 RM ( 참조모니터서브시스템 ) AC ( 접근통제서브시스템 ) 관련 TSFI EI_OS_SCALL(OS 시스템호출인터페이스 ) 시험도구해당사항없음시험환경 1) 보안기능이시작된상태이다. 2) 시험대상서버로 KMACS Manager 가접속된상태이다. 3) 시험사용자 사용자 ID 역할 보호범주 보호등급 rcmu MU 연구1팀 (4) 4 등급 4) 시험파일 파일경로속성역할보호범주보호등급 /rctest/so_file rwxrwxrwx SO ROOT(1) 1 등급 종속관계해당사항없음 시험절차 1) rcmu 사용자상태에서다음과같이 vi 명령어를실행하여파일을 open 한다. % vi /rctest/so_file [ 각서브시스템에대하여추가작성 ]

325 2) 다른터미널에서 ps 명령어를사용하여 1) 번과정에서생성된 vi 프로세스의프로세스 ID(PID) 를확인한다. 3) KMACS Manager 의프로세스관리창에서 1) 번과정에서생성된 vi 프로세스의보안속성이설정되었는지확인한다. 프로세스확인시 2) 번과정에서구한 PID 를이용한다. 4) rcmu 사용자의파일 open 행위가차단되었는지확인한다. 예상시험결과 TOE 통제범위내의시스템콜이인터셉트되며, 객체에대한접근허가여부를검사하기전에주체프로세스보안속성이있는지를검사하여보안속성이없으면프로세스에보안속성을부여한다. 또한, 객체에대한불법적인접근행위는차단된다. 실제시험결과 [ 보안속성설정결과화면 ] [ 파일 open 차단결과 ]

326 바. 서비스시험 5) 등급기반파일접근위반차단 (T_SVC.5) 시험목적 1) 파일읽기, 실행접근시주체보호범주 / 보호등급이객체보호범주 / 보호등급을포함하지않으면접근이거부되고보안위반감사기록이생성되는지확인한다. 2) 파일쓰기접근시주체와객체보호범주 / 보호등급이일치하지않으면접근이거부되고보안위반감사기록이생성되는지확인한다. 관련보안기능 Mc_mac.2 ( 등급기반강제적접근통제 ) Audit.1 ( 감사데이터생성및수집 ) 관련서브시스템 AC ( 접근통제서브시스템 ) LOG ( 감사기록서브시스템 ) 관련 TSFI EI_OS_SCALL(OS 시스템호출인터페이스 ) EI_GUI_RCCTL ( 보안기능제어화면인터페이스 ) 시험도구해당사항없음 시험환경 1) 서비스시험환경을사용한다. 2) 시험사용자 사용자 ID 역할 보호범주 보호등급 rcmu MU 연구1팀 (4) 4 등급 3) 접근파일 파일경로 속성 역할 보호범주 보호등급 /rctest/mu_file2 rwxrwxrwx MU 연구소 (3) 4 등급 /rctest/mu_file3 rwxrwxrwx MU 연구1팀 (4) 5 등급 4) 보호범주연구1팀 (4) 은보호범주연구소 (3) 의하위보호범주이다. 종속관계해당사항없음

327 시험절차 [ 파일읽기시등급기반접근통제 ] 1) rcmu 사용자가 more 명령을사용하여 /rctest/mu_file2 파일을읽기시도한다. % more /rctest/mu_file2 2) 파일읽기가거부되었는지확인한다. 3) KMACS Manager 를통하여파일접근위반에대한감사기록이생성되었는지확인한다. [ 파일쓰기시등급기반접근통제 ] 1) rcmu 사용자가 echo 명령을사용하여 /rctest/mu_file3 파일에쓰기시도한다. % echo test data >> /rctest/mu_file3 2) 파일쓰기가거부되었는지확인한다. 3) KMACS Manager 를통하여파일접근위반에대한감사기록이생성되었는지확인한다. 예상시험결과 [ 파일읽기시등급기반접근통제 ] rcmu 사용자가상위보호범주에속하는 /rctest/mu_file2 파일을읽는행위는등급기반접근통제읽기규칙에위반되므로접근이거부되고보안위반감사기록이생성된다. [ 파일쓰기시등급기반접근통제 ] rcmu 사용자가보호등급이다른 /rctest/mu_file3 파일에쓰는행위는등급기반접근통제쓰기규칙에위반되므로접근이거부되고보안위반감사기록이생성된다. 실제시험결과 [ 파일읽기차단결과 ] % more /rctest/mu_file2 /rctest/mu_file2: Permission denied [ 파일읽기위반감사기록 ]

328 [ 파일쓰기차단결과 ] % echo test data >> /rctest/mu_file3 /rctest/mu_file3: Permission denied [ 파일쓰기위반감사기록 ] [ 각 TOE 보안기능별추가작성 ]

329 사. 일치성분석 서비스시험항목과 TOE 보안기능간의대응관계는다음과같다. Ac_da Refer Ac_mac Auth 시험항목 c Audit Admin Protect T_SVC.1 O O T_SVC.2 O O T_SVC.3 O O T_SVC.4 O O T_SVC.5 O O 통합시험항목과서브시스템간의대응관계는다음과같다. 시험항목 RM AC AH LOG ESM LSM KSM SSL SYS IPF T_Refer.1.M1 O O T_Ac_mac.1.M1 O O O T_Ac_mac.2.M1 O O T_Ac_mac.2.M2 O O T_Ac_mac.2.M3 O... 모듈시험항목과모듈간의관계는다음과같다. 시험항목 T_RM.1.F1.M1 T_RM.1.F2.M1 T_RM.1.F3.M1 T_RM.1.F4.M1 T_RM.1.F5.M1 관련모듈 RM.1.F1.M1 RM.1.F2.M1 RM.1.F3.M1 RM.1.F4.M1 RM.1.F5.M

330 ( 이페이지는인쇄를위해비워놓은것임 )

331 제 6 장설명서클래스 (AGD) 작성 제 1 절설명서클래스구조 TOE의준비와운영을위한설명서뿐아니라, 최종사용자, 관리자, 소프트웨어나하드웨어인터페이스를사용하는응용프로그래머등의여러사용자역할에따라서도별도로설명서가제공되어야하는경우가많이있다. 설명서클래스는두개의패밀리로구성되어있다. 준비상의 (preparative) 사용자설명서 ( 즉, 준비절차 ) 와관련된 AGD_PRE 패밀리는배포된 TOE를보안목표명세서에기술된운영환경내의평가받은구성으로전환시키기위한절차를설명하며, 운영상의 (operational) 사용자설명서 ( 즉, 사용자운영설명서 ) 와관련된 AGD_OPE 패밀리는평가받은구성에서의 TOE 운영과관련된요구사항을설명하고있다. ( 그림 6-1) 는설명서클래스내의패밀리및패밀리내의컴포넌트계층관계를나타낸다. ( 그림 6-1) 설명서클래스구성 아래표는설명서클래스에대한보증요구사항을나타내고있다. 설명서클래스에대한 EAL4 등급의보증요구사항은굵은박스로음영표시되어있다

332 [ 표 6-1] CC V3.1 의평가보증등급 (EAL) 보증클래스 설명서 보증패밀리 사용자운영설명서 (AGD_OPE) 준비절차 (AGD_PRE) 평가보증등급 요약 EAL1 EAL2 EAl3 EAL4 EAL5 EAL6 EAL 또한설명서클래스보증요구사항과평가제출물의관계는다음과같다. [ 표 6-2] EAL4 보증요구사항과평가문서 보증클래스 보증컴포넌트 평가문서 설명서 AGD_OPE.1 사용자운영설명서 AGD_PRE.1 준비절차 제품설명서 다음은 EAL4 등급의설명서클래스평가를위한보증컴포넌트 ( 개발자, 증거, 평가자의요구사항 ) 와이에대응되는공통평가방법론의관계를보여준다

333 1. 제품설명서 (AGD_OPE.1, AGD_PRE.1) 가. 사용자운영설명서 (AGD_OPE.1 사용자운영설명서 ) 사용자운영설명서는평가받은구성에서 TOE의모든사용자가이용하는문서화된자료이다. TOE의사용자는최종사용자, 보안을극대화하기위해정확한방법으로 TOE를유지및관리할책임이있는담당자들, TOE의외부인터페이스를이용하는프로그래머등이될수있다. 사용자운영설명서는 TSF 에의해제공되는보안기능성을기술하고, 지시및지침 ( 경고를포함 ) 을제공하며, TSF의이해를돕는다. 또한, 보안상중요한정보및안전한사용을위해요구되는중요한보안행동을포함한다. 오해의소지가있거나불합리한내용은설명서에포함되어서는안되며, 모든운영모드에대한안전한절차가언급되어야한다. 또한, 불안전한상태는쉽게탐지되어야한다. 사용자운영설명서는악의가없는사용자, 관리자, 응용프로그램제공자, TOE의외부인터페이스를사용하는사람들이 TOE의안전한운영을이해하고 TOE를의도한대로사용할것이라는확신을제공한다. 설명서평가에서는사용자가타당한이유로안전하다고믿으나사실상 TOE가불안전한방식으로사용되는상황이있을수있는지를조사하는일도포함된다. 이러한평가의목적은운영중발생하는사람이나기타원인에의한오류로인해보안기능성을비활성화, 무력화시키거나보안기능성활성화에실패하여결국 TOE를탐지되지않은불안전한상태에이르게할수있는위험을최소화하는것이다. TOE에의해인식되고 TSF와상호작용할수있는사용자역할이나그룹에는여러다른형태가있을수있다. 이들역할및그룹은사용자운영설명서에서다루어야한다. 이들은크게관리자와관리자가아닌사용자들의두그룹으로구분할수있으며, 더상세하게는 TOE의인수, 수용, 설치, 유지의책임이있는그룹, 응용프로그래머, 교정인, 감사자, 일일관리자, 최종사용자등으로나뉜다. 각각의역할은많은능력을가질수도있고, 한가지에국한될수도있다

334 AGD_OPE.1.1C는 TOE의운영시보호프로파일 / 보안목표명세서에기술된운영환경에대한보안목적및보안문제정의와관련하여사용자에대해취해지는경고사항이설명서에서적절히다루어져야함을요구한다. AGD_OPE.1.3C에나타난대로, " 안전한값 " 의개념은사용자가보안매개변수전체를통제하는경우와관련이있다. 따라서, 이와같은매개변수에대한안전한설정및불안전한설정에대한지침이제공되어야한다. AGD_OPE.1.4C는설명서가모든보안-관련사건에대해적절한대응을서술할것을요구한다. 대부분의경우보안-관련사건은기능수행의결과이지만, 항상그런것은아니다 ( 예 : 감사로그포화, 침입탐지 ). 또한, 하나의보안-관련사건이특정한일련의기능들의결로발생할수있으며, 반대로여러개의보안- 관련사건이하나의기능에의해유발될수도있다. AGD_OPE.1.7C는설명서가명확하고타당할것을요구한다. 내용에오해의소지가있거나불합리한설명서로인해사용자는 TOE가불안전한상태에있음에도불구하고안전하다고믿을수있다. 오해의소지가있는설명서의예는하나의지시사항이하나이상의의미로해석되어그중한가지라도불안전한상태를초래할수있는경우이다. 불합리한설명서의예는절차를수행하기위한권고사항이지나치게복잡하여사용자가올바르게따를수있을것이라고기대할수없는경우이다

335 [ 표 6-3] 사용자운영설명서 공통평가기준공통평가컴포넌트엘리먼트설명방법론개발자는사용자운영설명서를제공해야한 AGD _ O PE.1.1D 다. 사용자운영설명서는각각의사용자역할에대해안전한처리환경내에서통제되어야하 AGD _ O PE.1.1C AGD_ O P E.1-1 는사용자가접근가능한기능및특권에대해적절한경고를포함해서서술해야한다. 사용자운영설명서는각각의사용자역할에 AGD _ O PE.1.2 C 대해 T O E 에의해안전한방식으로제공되는 AGD_ O P E.1-2 인터페이스의사용방법을서술해야한다. 사용자운영설명서는각각의사용자역할에대해사용가능한기능및인터페이스를서 AGD _ O PE.1.3C 술해야한다. 특히사용자의통제하에있는 AGD_ O P E.1-3 모든보안매개변수에대해안전한값을적절하게표시해야한다. 사용자운영설명서는각각의사용자역할에대해, 수행되어야할사용자가접근할수있는기능과연관된보안 -관련사건의각유형 AGD_ O P E.1 ( 사용자운영설명서 ) AGD _ O PE.1.4C 을 명확히 제시해야 한다. 여기에는 AGD_ O P E.1-4 T S F 의 통제하에 있는 실체에 대한 보안 특성의 변 경도포함되어야한다. 사용자 운영 설명서는 ( 장애 후의 운영 또는 운영상의 오류 후의 운영을 포함한 ) TOE의 AGD _ O PE.1.5 C 모든 가능한 운영 모드, 그 영향 및 안전한 AGD_ O P E.1-5 운영유지를위한관련사항들을식별해야한 다. 사용자운영설명서는각각의사용자역할에 AGD _ O PE.1.6 C 대해보안목표명세서에기술된대로운영환 AGD_ O P E.1-6 경에대한보안목적을만족시키기위해준수 해야하는보안대책을서술해야한다. AGD _ O PE.1.7 C 사용자운영설명서는명확하고타당해야한 AGD_ O P E.1-7 다. AGD_ O P E.1-8 AGD _ O PE.1.1E 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 비고

336 나. 준비절차 (AGD_PRE.1 준비절차 ) 준비절차는 TOE가개발자의의도대로안전한방식으로인수되고설치되었음을보장하기위한것이다. 준비를위한요구사항은배포된 TOE로부터 TOE 의초기운영환경으로의안전한전환을요구한다. 또한, TOE 사용자는타당한이유로안전하다고믿으나사실상 TOE는불안전한방식으로구성되고설치되는상황이있을수있는지조사하는것도포함된다. 본패밀리내의요구사항은 TOE가운영상태로배포되는지, TOE가 TOE 소유자측에서설치되어야하는지등여러측면에따라다양하게응용될수있다. 준비절차에서다루는첫번째과정은소비자가인수한 TOE를개발자의배포절차와일관되게안전하게수용하는것이다. 개발자가배포절차를정의하지않은경우에는다른방법으로수용과정의보안성을보장해야한다. TOE 설치에서는운영환경을보안목표명세서에명세된운영환경에대한보안목적과일치하는상태로전환시키는과정이포함된다. 스마트카드와같이설치가요구되지않는경우도있다. 이러한경우설치절차의요구및분석은부적절할수있다. 준비절차는자주사용되지않으며일회성에그치는특성이있으므로본보증패밀리내의요구사항은사용자운영설명서 (AGD_OPE) 패밀리의요구사항과는별개로제시되었다

337 [ 표 6-4] 보안 - 수행모듈시험 공통평가기준컴포넌트엘리먼트설명개발자는준비절차를포함하여 TOE를제공 AGD _ PRE.1.1D 해야한다. 준비절차는배포된 TOE의안전한인수를 AGD _ PRE.1.1C 위해필요한모든단계를개발자의배포절차와일관되게서술해야한다. AGD_ P RE.1 ( 준비절차 ) AGD _ PRE.1.2 C AGD _ PRE.1.1E AGD _ PRE.1.2 E 공통평가방법론 AGD_ P RE.1-1 AGD_ P RE.1-2 준비절차는 T O E 의안전한설치및운영환경의안전한준비를위해필요한모든단계 AGD_ P RE.1-3 를보안목표명세서에기술된운영환경에대 AGD_ P RE.1-4 한보안목적과일관되게서술해야한다. 평가자는제공된정보가모든증거요구사항을만족하는지확인해야한다. 평가자는 TOE가운영을위해안전하게준비될수있음을확인하기위해준비절차를적 AGD_ P RE.1-5 용해야한다. 비고

338 제 2 절설명서클래스작성방법 설명서평가활동의목적은사용자가안전하게 TOE를다룰수있는방법을서술하고있는설명서가적절한지평가하는것이다. 이러한설명서는부적절한행동으로 TOE 보안성이나자신이소유한데이터의보안성에영향을줄수있는다양한유형의사용자들을 ( 예 : TOE를인수, 설치, 관리또는운영하는자 ) 고려하도록권고된다. 설명서클래스는두개의패밀리로구성되어있다. 준비상의 (preparative) 사용자설명서 ( 즉, TOE의인수와설치 ) 와관련된패밀리는배포된 TOE를보안목표명세서에서술된운영환경내의평가받은구성으로변환시키기위한절차를설명하고, 운영상의 (operational) 사용자설명서 ( 즉, 운영과관리 ) 와관련된패밀리는평가받은구성에서의 TOE 운영에관련된요구사항을설명한다. 설명서평가활동은 TOE 보안과관련된기능과인터페이스에적용된다. TOE 의안전한구성은보안목표명세서내에서서술된다

339 1. 제품설명서 (AGD_OPE.1, AGD_PRE.1) 작성방법 가. 사용자운영설명서작성방법 : AGD_OPE.1 사용자운영설명서 평가제출물점검가이드라인 (EAL4) 에서사용자운영설명서 (AGD_OPE.1) 에대한점검사항은다음과같이구성되어있다. [ 표 6-5] 평가제출물점검가이드라인운영설명서점검사항 항목 [OPE.1-1] [OPE.1-2] [OPE.1-3] [OPE.1-4] [OPE.1-5] [OPE.1-6] [OPE.1-7] [OPE.1-8] 점검사항 안전한처리환경내에서통제되어야하는사용자기능및권한을해당경고를포함하여각사용자역할에따라서술 인터페이스에대한안전한사용법을사용자역할에따라서술유효한보안기능및인터페이스를사용자역할에따라서술 사용자기능에연관된보안관련사건유형을사용자역할에따라서술 모든 TOE 운영모드를식별, 안전한운영상태를유지하는동안의결과및영향을서술 ST에명세된운영환경에관한보안목적을만족시키는데필요한보안수단을사용자역할에따라서술 명료하게서술 합리적으로서술 제출내용 필수 적부 사용자운영설명서는다음과같은내용을포함해야한다. - TSF에서제공되는사용자역할별보안기능및인터페이스 - TOE를안전하게사용하기위한지시와지침 - 모든운영모드에대한안전한절차 - 불안전한 TOE 상태에대한예방및탐지방법

340 (1) 역할별접근가능기능및특권서술 CC 3 부 AG D_O PE.1.1C CEM AG D_O PE.1-1 사용자운영설명서는각각의사용자역할을위해안전한처리환경내에서통제되어야하는사용자가접근가능한기능과특권을적절한경고를포함해서서술해야한다. 평가자는사용자운영설명서가각사용자역할에대해안전한처리환경내에서통제되어야하는사용자가접근가능한기능과특권을적절한경고를포함해서서술하고있는지조사해야한다. TOE의구성에서사용자들은사용자에게부여된역할에따라각기다른 TOE의기능을사용하도록하는서로다른권한을부여받는다. 이는어떤사용자는특정한기능을수행하도록허가되지만다른사용자는허가되지않을수있다는것을의미한다. 이러한기능과권한은각각의사용자역할에따라설명서상에서술되도록권고된다. 사용자설명서는각사용자역할을위해반드시통제 관리되어야하는기능과권한, 이를위해요구되는명령어유형, 해당명령어에대한이유를식별한다. 사용자운영설명서는해당기능및권한의사용에대한경고가포함되도록권고된다. 경고문은예상효과, 가능한역효과, 가능한다른기능및권한과의상호작용에대해다루도록권고된다. (2) 인터페이스의안전한사용방법서술 CC 3 부 AG D_O PE.1.2C CEM AG D_O PE.1-2 사용자 운영 설명서는 각 사용자 역할에 대해 TOE에 의해 안전한 방식으로 제공되는 인터페 이스의 사용 방법을 서술해야 한다. 평가자는 사용자 운영 설명서가 각 사용자 역할 에 대해 TOE 에 의해 제공되는 인터페이스의 안 전한 사용 방법을 서술하고 있는지 조사해야 한 다. 사용자설명서는 TSF의효과적인사용방법을제공하도록권고된다. ( 예 : 패스워드조합에대한검토, 권고되는사용자파일백업횟수, 사용자의접근권한변경에대한효과검토 )

341 (3) 역할별사용기능및인터페이스서술 CC 3 부 AG D_O PE.1.3C CEM AG D_O PE.1-3 사용자 운영 설명서는 각 사용자 역할에 대해 사용 가능한 기능 및 인터페이스를 서술해야 한 다. 특히 사용자의 통제 하에 있는 모든 보안 매 개변수에 대해 안전한 값을 적절하게 표시해야 한다. 평가자는 사용자 운영 설명서 상의 각 사용자 역할에 대해 사용 가능한 기능 및 인터페이스가 서술되어 있는지, 특히 사용자의 통제 하에 있는 모든 보안 매개변수에 대해 안전한 값이 적절하 게 표시되어 있는지 조사해야 한다. 사용자설명서에는사용자인터페이스에서인지되는보안기능성에대한개요가포함되도록권고된다. 사용자설명서에는보안인터페이스와보안기능의목적, 행동, 상호관계가식별되고서술되도록권고된다. 사용자-접근가능인터페이스에대해사용자설명서는다음사항이서술되도록권고된다. a) 인터페이스가호출되는방법서술 ( 예 : 명령행, 프로그래밍언어의시스템콜, 메뉴선택, 명령버튼 ) b) 사용자가설정하는매개변수와매개변수의특정한목적, 매개변수의유효한값과디폴트값그리고매개변수의안전한또는불안전한사용설정에대해각각또는조합하여서술 c) 즉각적인 TSF 응답, 메시지, 또는반환코드서술 기능명세및보안목표명세서에서술된 TSF가사용자운영설명서와일관성이있도록작성되어야한다. 또한사용자운영설명서는모든유형의사용자에게이용가능한 TSFI를통해안전한사용을허용하기위해완전하다는것을

342 보장해야한다. (4) 사용자 - 접근가능기능및연관된보안 - 관련사건 CC 3 부 AG D_O PE.1.4C CEM AG D_O PE.1-4 사용자운영설명서는각사용자역할을위해수행되어야할사용자 - 접근가능기능과연관된보안 - 관련사건의각유형을명확히제시해야한다. 여기에는 TSF의통제하에있는실체에대한보안특성의변경도포함되어야한다. 평가자는사용자운영설명서에각사용자역할을위해수행되어야할사용자 -접근가능기능과연관된보안 -관련사건의각유형이명확히제시되어있으며 T SF의통제하에있는실체에대한보안특성의변경을포함하는지결정하기위해사용자운영설명서를조사해야한다. 보안관련사건의각유형은각사용자역할별로상세하게서술되어사용자는발생되는사건및보안을유지하기위해취해야하는행동을알수있다. TOE 운영중에일어날수있는보안관련사건 ( 예 : 감사증적포화상태, 시스템폭주, 조직을떠난사용자계정삭제와같은사용자기록갱신 ) 은안전한운영을유지하기위해사용자가개입할수있도록적절히정의된다. (5) 운영모드식별 CC 3 부 AG D_O PE.1.5C CEM AG D_O PE.1-5 사용자운영설명서는 ( 장애후의운영또는운영상의오류뒤에일어난운영을포함 ) TOE의모든가능한운영모드, 그결과및안전한운영유지를위한관련사항들을식별해야한다. 평가자는사용자운영설명서가 TOE 의가능한모든운영모드를식별하고있으며 ( 가능하다면장애후의운영또는운영상의오류가발생한후의운영을포함 ) 운영모드에서 TOE를안전하게유지하는동안의결과및영향을식별하는지결정하기위해사용자운영설명서와다른평가증거를조사해야한다. 기능명세서에는설명서에서 TOE 운영모드에대한충분한설명을포함하고있는지확인하기위해 TSF와 TSFI의설명에서이에대한설명을포함해야한

343 다. 시험문서에서는설명서가 TOE 운영모드에대한충분할설명을포함하고있는지확인할수있도록작성되어야한다. (6) 보안대책서술 CC 3 부 AG D_O PE.1.6C CEM AG D_O PE.1-6 사용자운영설명서는각각의사용자역할에대해보안목표명세서에서술된대로운영환경에대한보안목적을만족시키기위해준수해야하는보안대책을서술해야한다. 평가자는사용자운영설명서상에각각의사용자역할에따라보안목표명세서에서술된대로운영환경에대한보안목적을만족시키기위해준수해야하는보안대책이서술되어있는지조사해야한다. 보안목표명세서상에서술된운영환경에대한보안대책을분석하고각사용자역할을위해관련된보안대책이적절하게사용자설명서에서술되어야한다. 사용자설명서에서술된보안대책은모든관련된절차적, 물리적, 인적그리고연결대책을포함하도록권고한다. TOE 의안전한설치와관련된대책은준비절차 (AGD_PRE) 에서검토된다. (7) 사용자운영설명서의명확성 CC 3 부 AG D_O PE.1.7C 사용자운영설명서는명확하고타당해야한다. CEM AG D_O PE.1-7 평가자는사용자운영설명서가명확한지결정하기위해설명서를조사해야한다. 관리자나사용자가설명서를잘못해석하거나 TOE 나 TOE 가제공하는보안

344 을손상시키는방법으로설명서가사용되는경우이설명서는명확하지않다. CEM AG D_O PE.1-8 평가자는사용자운영설명서가타당한지결정하기위해설명서를조사해야한다. 설명서가보안목표명세서와일치하지않거나보안을유지하는데지나치게과도한부담을주도록 TOE를사용하거나운영환경을요구한다면설명서는불합리한것이다

345 나. 준비절차 (AGD_PRE) 작성방법 : AGD_PRE.1 준비절차작성방법 평가제출물점검가이드라인 (EAL4) 에서준비절차작성방법 (AGD_PRE.1) 에대한점검사항은다음과같이구성되어있다. [ 표 6-6] 평가제출물점검가이드라인준비절차점검사항 항목 점검사항 제출내용 필수 적부 [PRE.1-1] TOE 를안전하게인수하는데필요한절차제공 [PRE.1-2] TOE 를안전하게인수하는데필요한단계서술 [PRE.1-3] TOE 를안전하게설치하는데필요한절차제공 [PRE.1-4] TOE를안전하게설치하고 ST에서술된운영환경에대한보안목적과일치하도록모든단계를서술 준비절차는 TOE의안전한준비를위한절차및단계가잘설명되어있으며, 그수행결과에따라 TOE가안전하게구성될수있도록작성되어야한다. 준비절차는 TOE를보안목표명세서에서술되어있는것처럼안전하게구성하기위하여필요한모든인수및설치절차를언급한다. (1) 안전한인수절차 CC 3 부 AG D_PR E.1.1C 준비절차는배포된 TOE 의안전한인수를위해필요한모든단계를개발자의배포절차와일관되게서술해야한다. CEM AG D_P R E.1-1 평가자는배포된 TOE 의안전한인수를위해필요한모든절차가제공되는지검사해야한다. 인수절차를적용하거나적용할수있는개발자의배포절차가없는경우인

346 수절차에대한내용은작성하지않아도된다. CEM AG D_P R E.1-2 평가자는준비절차가배포된 TOE 의안전한인수를위해필요한모든단계를개발자의배포절차와일관되게서술하고있는지결정하기위해제공되는인수절차를조사해야한다. 인수절차에는사용자가 TOE의모든부분이보안목표명세서에명시된것과같이정확한버전으로배포되었음을검사해야한다는사항을최소한포함하도록권고된다. 인수절차는개발자의배포절차에의하여배포되는 TOE를인수하기위해사용자가수행해야하는단계들을반영하도록권고된다. 인수절차에는다음사항이포함되도록권고된다. a) 배포된 TOE 가완전하게평가된것임을확인 b) 배포된 TOE 의변경 / 위장을탐지 (2) 안전한설치절차 CC 3 부 AG D_P R E.1.2 C 준비절차는 TOE 의안전한설치및운영환경의안전한준비를위해필요한모든단계를보안목표명세서에서술된운영환경에대한보안목적과일관되게서술해야한다. CEM AG D_P R E.1-3 평가자는배포된 TOE 의안전한설치를위해필요한절차가제공되는지검사해야한다. TOE와운영환경에대한설치절차들이적용될수없는경우 ( 예 : TOE가운영중인상태로배포되고환경에대한요구사항이존재하지않는경우 ) 설치절차를작성하지않아도된다

347 CEM AG D_P R E.1-4 평가자는 설치 절차를 적용할 수 없는 경우 ( 예 : TOE가 이미 운영 상태에서 배포된 경우 ) 이 작 업단위는 적용되지 않으며, 만족되는 것으로 간 주된다. 설치 절차에는 다음 사항이 포함되도록 권고된 다. a) 안전한 설치를 위한 시스템의 최소 요구사항 b) 보안목표명세서가 제공하는 보안목적과 부합 하는 운영환경에 대한 요구사항 c) TSF 통제를 받는 개체의 보안 특징과 관련된 설치 내용 변경 ( 예 : 매개변수, 설정, 패스워 드 ) d) 예외 사항 및 문제 처리 (5) 안전한인수절차 CC 3 부 AG D_P R E.1.2 E CEM AG D_P R E.1-5 평가자는 TOE가 운영을 위해 안전하게 준비될 수 있음을 확인하기 위해 준비 절차를 적용해야 한다. 평가자는 제공되는 사용자 준비 절차만을 이용 하여 TOE와 그 운영환경을 안전하게 준비할 수 있는지 결정하기 위해 TOE를 준비하는데 필요 한 모든 사용자 절차를 수행해야 한다. TOE를배포상태에서 TOE 인수및설치를포함한운영할수있는상태로진행시키는과정을설명해야하며그에따라 TOE가보안목표명세서에명시된보안목적과일관성있게 SFR을수행하는지확인할수있도록작성되어야한다. 평가자가제공되는준비절차서만을이용하여개발자의절차를따라할수있을수준으로작성되어야하며소비자가일반적으로 TOE 인수및설치를위해수행할것으로예상되는행동위한설명을포함해야한다. 이과정에서절차를따르는것이어렵다면설명서가불완전하고불명확하며불합리하다는것을나타내는것이다

348 TOE가합성 TOE 평가를위한종속컴포넌트로사용되는경우평가자는합성 TOE에사용되는기본컴포넌트가운영환경을만족시키는지를확인하도록권고된다

349 제 3 절설명서클래스작성예제 설명서클래스관련제출물은사용자운영설명서와준비절차서로구성되며작성예제는다음과같다. 1. 사용자운영설명서작성예제 가. 개요 1) 목적본설명서는 KMACS 제품설명서로모든사용자가충분히숙지하여야할사항에대하여기술하고있다. 본설명서는 Asianux운영체제를기준으로설명되고있다. 2) 구성제 1장은본문서의목적및구성과본문서에서주로사용하게되는용어에대한설명을기술하고있다. 또한 KMACS 제품의구성및운영환경에대하여기술하고있다. 제 2장은 KMACS 에서제공하는주요기능에대해설명하고있다. 제 3장은 KMACS을시작하기에앞서필요한일반적인운영에대한권고사항을기술하고있다. 제 4장은 KMACS을최초시작하기위하여 Manager 시작 / 종료, GUI 구성, 에이전트관리등에대한설명을기술하고있다. 제 5장은 KMACS에서제공하는보안기능및로깅에관련된환경설정방법을기술하고있다. 제 6장은 KMACS에서제공하는무결성점검도구, IP Filter 관리도구, 계정관리도구, 시스템모니터링도구등에대한설정에대해설명하고있다. 제 7장은 KMACS에서제공하는핵심기능인강제적접근통제, 임의적접근통제, 보안감사, 실시간경고등에대해설명하고있다. 제 8장은보고서기능에대해설명하고있다. 제 9장은 KMACS의부가기능으로 Manager 관리와 Agent에서의 Manager 접속제한기능에대해설명하고있다

350 제 10장은 KMACS이일반사용자에게미치는영향에대하여기술한다. 제 11장은마지막으로보안대책에대하여기술한다. 3) 용어정의 본사용설명서에사용된전문용어나특정용어는다음과같다. 강제접근통제 (MAC, Mandatory Access Control) 객체의중요도레이블및주체의접근권한에기반하여접근을통제하는방식을말하며, 공통평가기준에서는 B&L(Bell and La Padula) 보안모델을예로들고있음 객체 (Object) 주체의오퍼레이션대상이며정보를포함하거나수신하는 TOE 내의수동적인실체 매뉴얼 KMACS에설치, 운영, 사용을위한설명자료로제품설명서가있음

351 나. 제품구성및환경 1) 제품개요 KMACS은접근통제기능등보안기능을수행하는 KMACS Agent와보안관리기능을수행하는 KMACS Manager로제공된다. KMACS Agent는보호자산인서버의응용부분과커널부분에서소프트웨어형태로동작하며 KMACS Manager는 Windows 2000 환경의응용소프트웨어형태로동작한다. KMACS Agent와 KMACS Manager는10/100BaseT Ethernet 환경을통하여연결된다. 다음그림은 KMACS 전체제품구조도를도식화한것이다. 1 KMACS Agent KMACS Agent는보호자산인서버의운영체제에탑재되며강제적접근통제와임의적접근통제등을수행하는커널부분과기타보안기능을처리하는응용부분으로구성되며주요기능은다음과같다. 2 KMACS Manager KMACS Manager은 Windows 2000 환경에서운영되며관리 GUI 인터페이스를통하여제공되며주요기능은다음과같다

352 2) 제품구성 가 ) KMACS 제품 Box의구성 KMACS 제품 Box에는다음과같은구성되어있다. 구분 종류 수량 비고 제품 CD-ROM KMACS Agent 1개 KMACS Manager 1개 매뉴얼 제품설명서 1부 제품인증서 제품라이센스 1부 [ 참고 ] 납품상태확인고객사의담당자와다음절차에따라납품상태를확인하고정확한버전의납품임이확인되면납품확인서에서명하여야한다. o 제품 Box 의봉인상태를확인 o 제품 CD 케이스의봉인상태확인 o 설치 CD 개수와매뉴얼개수확인 o 제품인증서확인 4) 운영환경 가 ) KMACS Manager 운영환경 KMACS Manager은 KMACS Agent에대한통합보안관리기능을제공하는관리 GUI로설치되어운영되기위한최소시스템요구사양은다음과같다. 소프트웨어운영체제 Hardware ( 최소사양 ) KMACS Manager Windows 2000 Professional SP4 CPU: Pentium III 600 MHz 이상 RAM: 256 MB 이상 HDD: 50 MB 이상 Network: 10/100BaseT 나 ) KMACS Agent 운영환경 KMACS Agent는보호대상시스템에서접근통제기능이되기위한최소시스템요구사양은다음과같다. 설치되어운영

353 다. 주요기능 주요기능및사전지식에필요한기술에대하여설명 라. KMACS 운영지침서 아래는운영체제보안시스템에대한관리자의운영방법을설명 1) Manager 시작하기 Manager 를시작하여 Agent 와연결하는사용법설명 2) 보안기능등에대한환경설정 보안기능, 로그등에대한환경설정방법설명 3) 주요기능에대한운영설정 주요기능에대한설정등운영방법설명 4) 보고서 보고서작성방법설명 5) 부가기능 부가기능에대한설명및운영방법설명

354 마. 일반사용자에미치는영향 1) 사용자구분 2) 강제적접근통제에의한영향 3) 보안역할에의한영향 4) 임의적접근통제에의한영향 바. 보안대책 1) 보안환경본제품설명서는보안목표명세서에서다음과같은보안환경을고려하고있다. o 물리적보안 KMACS는인가된관리자만이접근가능한물리적으로안전한환경에위치한다. 2) 장애시조치본제품설명서는보안목표명세서에서다음과같은보안환경을고려하고있다. KMACS 운영시장애가발생할경우에는다음과같이조치한다. o ESM 패스워드분실 ESM 의패스워드는암호화되어저장되며, 복호화가불가능하다. 이경우에는 KISACO( 주 ) 의고객지원센터로연락하여, 지원을받아야한다

355 사. [ 첨부 ] CLI 명령어 addcat 명령어 addcat p ParentId n Name명령어기능새로운보안범주 (Security Category) 를등록한다. 권한보안관리자 o 옵션설명 [ -p ParentId ] : 새로등록하는보안범주가속하는상위보안범주 ID. 1부터 127사이의숫자값을지정할수있다. 단, 상위보안범주의 Depth가 16인경우에는보안범주를추가할수없다. [ -n Name ]: 보안범주명칭. 보안범주명칭은중복등록이가능하지만, 동일한상위보안범주에서는구별되어야한다. o 기능설명 addcat 명령은보안관리자가새로운보안범주를등록할때사용하며, 등록할보안범주명칭과상위보안범주 ID 를인자로실행한다. 새로등록되는보안범주의 ID 는자동으로생성된다. o 사용예보안범주 Marketing 을 ID 가 3 인보안범주하위에신규로등록하고자하는경우 # addcat p 3 n Marketing

356 2. 준비절차서작성예제 가. 개요 1) 목적본설명서는 KMACS 준비절차서로모든사용자가충분히숙지하여야할사항에대하여기술하고있다. 본설명서는 Asianux운영체제를기준으로설명되고있다. 2) 구성제 1장은본문서의목적및구성과본문서에서주로사용하게되는용어에대한설명을기술하고있다. 제 2장은 KMACS의제품구성및설치환경에대하여기술한다. 제 3장은 KMACS 설치시일반권고사항을기술한다. 제 4장은 KMACS 설치전시스템환경점검사항을기술한다. 제 5장은설치시유의사항에대하여기술한다. 제 6장은 KMACS Agent의설치, 시동, 제거과정을기술한다. 제 7장은 KMACS Manager의설치, 시동, 제거과정을기술한다. 제 8 장은 KMACS Agent와 Manager의백업및재설치과정을기술한다. 제 9장은 KMACS 의배포절차및기술지원에대하여기술한다. 마지막으로제 10장은 KMACS의안전한설치에대하여기술한다 3) 용어정의 본사용설명서에사용된전문용어나특정용어는다음과같다. 강제접근통제 (MAC, Mandatory Access Control) 객체의중요도레이블및주체의접근권한에기반하여접근을통제하는방식을말하며, 공통평가기준에서는 B&L(Bell and La Padula) 보안모델을예로들고있음 객체 (Object) 주체의오퍼레이션대상이며정보를포함하거나수신하는 TOE 내의수동적인실체

357 나. 제품구성및설치환경 1) 제품개요 KMACS은접근통제기능등보안기능을수행하는 KMACS Agent와보안관리기능을수행하는 KMACS Manager로제공된다. KMACS Agent는보호자산인서버의응용부분과커널부분에서소프트웨어형태로동작하며 KMACS Manager는 Windows 2000 환경의응용소프트웨어형태로동작한다. KMACS Agent와 KMACS Manager는10/100BaseT Ethernet 환경을통하여연결된다. 다음그림은 KMACS 전체제품구조도를도식화한것이다. 1 KMACS Agent KMACS Agent는보호자산인서버의운영체제에탑재되며강제적접근통제와임의적접근통제등을수행하는커널부분과기타보안기능을처리하는응용부분으로구성되며주요기능은다음과같다. 2 KMACS Manager KMACS Manager은 Windows 2000 환경에서운영되며관리 GUI 인터페이스를통하여제공되며주요기능은다음과같다