5 시스템 요구사항

5.1 시스템 모델
5.2 가용성 요구사항
5.3 민감성
5.4 요소보안 체크리스트

시스템에 요구되는 보안은 그 시스템이 어떤 정보를, 어떤 목적을 위해서 처리하느냐에 달려 있다. 그러한 정보와 정보 처리 기능에 대해서는 민감성과 가용성 등급이 분류되어 있어 시스템의 보안 요구사항을 결정할 수 있어야 한다.

시스템의 보안 요구사항은 예를들어 가용성, 기밀성 또는 무결성에 집중될 수 있다:

어떤 시스템은 기밀 데이타를 가지고 있지는 않지만 하루 24시간 사용 가능해야 할 수도 있다. - 따라서 이 시스템은 낮은 데이타 민감성과 이에반해 높은 가용성의 요구사항을 가진다. 고 가용성 시스템들은 "서비스 거부" 공격 방지를 위해 항상 더 나은 기밀성을 필요로 한다.
다른 시스템들은 기밀성(즉 정보의 비노출)이 무결성( 정보의 비변조)보다 더 중요하고, 또 다른 것들은 그 반대이다.

다음에 나오는 절들에서는 앞장에서 제시된 민감성과 가용성 등급에 따른 일단의 요구사항들이 제시된다.

5.1 시스템 모델

시스템들을 구성요소와 분석된 각 요소의 보안으로 나누어야 한다. 사용자가 데이타에 접근할 때, 그 사용자는 여러가지의 가능한 보안 통제 또는 요소를 거쳐간다. 이러한 통제들 증 어떤 것은 물리적이고, 어떤 것은 조직과 관련되며 어떤 것은 컴퓨터를 기반으로 한다. 다음은 연관된 요소/ 통제들을 나타내는 방법 중 하나이다.

보호되어야 하는 데이타에 대해, 물리계층부터 운영체제에 이르는 각각의 계층 (보안 요소)을 올바르게 구성 및 감시해야 한다. 예를들어 단순히 물리적인 접근에 대해서만 보호 하는 것으로는 네트웍을 통한 접근을 배제할 수 없기 때문에 부족하다.

이러한 모델을 사용할 때는, 어떤 시스템(또는 데이타)을 보호하는데 필요한 수단들을 실생활의 소프트웨어/하드웨어/인간에 상응하는 부시스템으로 쪼갤 수 있다.

이 장에서는 요구사항을 정의하고, II부와 III부에서는 위 모델의 각 계층을 보호하기 위한 지침을 제시한다.

5.2 가용성 요구사항

다음은 각 가용성 등급마다 시스템과 조직에 대한 요구사항을 규정한다.

제목	세부 항목
백업 개념	백업 및 복원 정책이 반드시 있어야 한다.	X	X	X	X
	복원 정책을 정기적으로 테스트한다	1/Year	1/Year	1/Year	1/Year
	최소 정기 백업 주기	weekly	daily	daily	daily
	최소 외부 (Off-site) 백업 주기		monthly	weekly	weekly
환경	에어 컨디셔닝			X	X
	전자기 보호 (EMP 강화)				X
	UPS (220V 보호)			X	X
조직	명확하게 정의된 지원 조직		X	X	X
	가용성 측정, 복원 절차, 재난 계획 (바이러스 출현, 보안 침해, 화재, 정전 등)에 대한 문서		X	X	X
	변경 관리(갱신/패치/새로운 SW)		X	X	X
	효과적인 (가능하면 자동화된) 로그 감시 및 경보		X	X	X
	자원 오남용 방지		X	X	X
	서비스 슬롯이 정의되고 정기적인 유지보수 계획이 있어야 한다.		X	X	X
	24 시간 인력				X
	헬프데스크 (대응 시간, 에스컬레이션 절차)			X	X
여분 /중복성 (hw/sw)	예비 하드웨어 또는 벤더 유지보수 계약		X	X	X
	데이타베이스 서버: RAID, 복제, 트랜잭션 모니터			X	X
	네임 서버 (NT,NIS+, DNS, NIS...): 백업/복제 서버			X	X
	파일 서버: 미러링, RAID 5, 파일 복제			X	X

복잡성 / 유지보수의 용이성도 가용성에 미치는 영향이 크다. 유지보수가 복잡하고 어려운 시스템은 잘못 구성되기 쉬울 것이고 (숙련된 시스템 관리자가 없다면) 따라서 보안 위험도 커진다.

여기에서 제시되는 부터 까지의 각 민감성 등급에 대한 요구사항은 미 국방성 (DoD, Department of Defense) 오렌지 북 [tcsec] (부록 E 참조) 등급 C1,C2 & B1 및 유럽 오렌지 북 - the European Orange Book - (or ITSEC) [itsec]의 안전한 통신을 위한 등급 F-DX 의 요구사항이다. 이러한 국제 표준에 요구사항의 근거를 두는 것이 좋은데, 이는 회사간 보안정책이 보다 쉽게 정의될 수 있고 이러한 표준들은 다른 회사들에 의해 이미 시행되고 테스트된 것들이기 때문이다.

등급 C1과 C2에 대한 오렌지 북 명세사항은 부록 E에 포함되어 있다. 아래에 관련 오렌지 북 등급의 간단한 요약이 있다.
오렌지 북 등급은 Trusted Computing Base ( TCB) 개념을 광범위하게 쓴다. 이것은 보안 기능을 수행하도록 신뢰받는 시스템의 중심부분 (예: 커널) 이다.

5.3.1 등급 요구사항: 공개 / 미분류 데이타

등급 의 요구사항은 어떤 표준에도 없지만 "상식"을 근거로 한 것이다. 이 요구사항은 회사내의 모든시스템이 지켜야 하는 최소한의 조건을 규정한다.

민감하지 않은 데이타만을 가지는 시스템들도 최소한의 보안레벨을 가지는데 (특히 네트웍에 연결되어 있다면), 그렇지 않다면 기밀성이 높은 다른 시스템의 공격을 위한 진입로로 이용될 수 있다.

네트웍 스니핑 소프트웨어는 설치되지 않아야 한다.
바이러스 스캐너가 설치되어야 한다 (도스/윈도우).
계정은 인가된 사람에게만 부여되고 항상 패스워드가 반드시 있어야 한다.
휴지시간이 15분이상 지속되면 패스워드로 보호되는 스크린 잠금기능을 활성화해야 한다.
네트웍 파일시스템에 대한 쓰기 권한은 특정 그룹의 사용자나 시스템에게로 한정되어야 한다.
통신 소프트웨어 (NFS, LanManager, RAS, PPP, UUCP, Workgroups..) 들은 보안 옵션을 활성화하여 올바르게 설치해야 한다.

5.3.2 등급 요구사항: 내부 데이타

요약: 오렌지 북 C1 (임의적 보안 보호).
C1은 민감성 수준이 동등한 데이타를 작업하는 동료 사용자들에 대해 사용된다.

문서: 테스트, 보안 설계 방침, 보안 기능의 사용자 지침 (사용자 입장에서 본 보안 메카니즘 설명), 신뢰되는 facility 매뉴얼(보안 관리 지침).
보증: 시스템 아키텍쳐: TCB가 보호 모드에서 작동하는가? 하드웨어 및 펌웨어 무결성을 점검하는 기능이 있어야 한다. 보안 메카니즘은 성공적으로 테스트 되었는가?
사용자 식별 및 인증이 필요하며, 인증 데이타는 보호되어야 한다. [2].
임의적 접근 통제: 명명된 사용자 (또는 사용자 그룹)와 명명된 객체 간에 접근이 통제된다.

5.3.3 등급 요구사항: 기밀 데이타

요약: 오렌지 북 C2 + 안전한 데이타 전송

C2 (통제적 접근 보호):
- C1에 덧붙여 다음에 대한 요구사항 추가: 신뢰되는 facility 매뉴얼 ( C2 메카니즘 설명), 식별 & 인증 (그룹계정 없음), 임의적 접근 통제 (권한 할당 통제) 및 보안 테스팅 (C2 메카니즘 테스트)
- 사용자 책임 추적성: 사용자는 자기의 행동에 대한 책임이 있다. 감시 및 경보 기능과 더불어 감사 추적이 가능해야 한다. 감사 로그는 보호되어야 한다.
- 객체 재사용: 어떤 주체에 의해 사용된 객체는 다른 주체에 의해 사용되기 전에 재 초기화 해야 한다. 즉, 객체 재사용에 의한 보안 위험이 없어야 한다.
안전한 데이타 전송 : 메시지를 보낼때나 프로그램들이 서로 통신할 때, 비밀과 완전성(기밀성과 무결성)이 유지되어야 한다.
어떤 어플리케이션들의 경우, 수신자는 그 정보가 다른 어떤 사람이 아닌 바로 송신자로부터 왔음을 절대적으로 확신할 수 있어야 하는 경우가 있다. 이것을 송신 부인 방지라고 한다. 이와 반대로 송신자는 수신자가 메시지를 받았음을 확신할 수 있어야 할 필요가 있을 수 있다 - 수신 거부 방지.

5.3.4 등급 요구사항: 극비 데이타

요약: 오렌지 북 B1 + 안전한 데이타 통신

B1 (레이블된 보안 보호):
- C2에 덧붙여 식별및 인증(보안 구획 정보 유지), 신뢰되는 facility 매뉴얼(B1 메카니즘 & 보안 구획 변경 방법), 설계 매뉴얼 (보안 모델 및 메카니즘의 설명), 보증 (시스템 아키텍쳐: 프로세스 고립, 무결성 검사, 보안 테스팅: 침투 공격 시도 & 결점 제거) 및 감사 (객체의 보안 레벨 로그).
- 레이블 : TCB의 통제 아래 민감성 레이블을 유지, 레이블된 정보의 입출력, 레이블무결성(객체에 링크), 레이블을 읽을 수 있는 형태로 출력, 단일 & 다중 레벨 I/O
- 명세 및 설계의 검증: 시스템이 설계 모델에 따라 행동하고 있는가?
- 레이블된 정보 내보내기(export), 다중레벨 및 단일레벨 장치에 내보내기
- 강제적 접근 통제: 객체와 주체에 대한 접근통제는 TCB에 의해 규정된다 (사용자가 아닌).
비밀 (covert) 채널과 신뢰되는 경로 분석(trusted path analysis) 은 B1의 일부가 아니다. 이들은 어떤 시스템에는 필요할 수 있다. B2 등급은 이들 및 심화된 요구사항을 포함한다.
안전한 데이타 전송: 과 같음.

5.3.5 요구사항: 오렌지 북 등급과의 관계 요약

다음은 본 문서에서 고안된 데이타 민감성 등급 부터 까지가 오렌지북 등급 D-B1과 대략 어떻게 연관되는 지를 보여준다.

제목	오렌지 북 등급	D	C1	C2	B1
	데이타 민감성 등급
문서	테스트 문서 설계 문서, 보안 기능 사용자 매뉴얼, 신뢰되는 facility 매뉴얼		+	+	+
보증	시스템 아키텍쳐 검증 하드웨어/펌웨어 무결성 검사 보안 테스팅 (Loop Hole 테스트)		+	+	+
책임추적성	사용자 식별 /인증		+	+	+
	감사 추적			+	+
접근 통제	임의적 접근 통제			+	+
	객체 재사용:객체의 재초기화			+	=
레이블	레이블, 무결성, 가독성 출력물				+
검증	명세 및 설계 검증				+
내보내기(Exporting)	레이블된 정보를 다중레벨 & 단일 레벨 장치로				+
오렌지 북에 덧붙인 요구사항:
안전한 데이타 교환	통신 상대방 인증		+	+	=
	데이타 무결성			+	=
	데이타 기밀성			+	=
	데이타 발신지 인증/발신부인 방지			+	+
	수신 부인 방지			+	+
	접근 통제				+

범례:
+ 는 이전 등급의 요구사항 전부에 추가적인 요구사항을 의미
= 는 이전 등급과 같은 요구사항을 의미

5.4 요소보안 체크리스트

다음 체크리스트에 따라 시스템의 개별 구성요소와 시스템 전체를 분석할 것을 제안한다.
I. 문서: 시스템 보안 기능의 문서화가 잘 되어 있는가? 보안 기능 사용자 지침, 시스템 관리자 보안 지침, 테스트 문서, 설계 문서.
II. 보증 : 시스템이 자기 역할을 다하고 있는지 어떻게 확신할 수 있는가?:- 시스템 아키텍쳐, 시스템 무결성, 보안 테스팅. 시스템이 알려진 표준을 따르는지 증명되었는가?
III. 책임추적성 : 사용자들이 자기의 행위에 대해 책임질 수 있게 해야 한다.

식별/인증: 사용자들은 유일하게 식별되어야 하며 (e.g. 사용자 이름 + 로그인) 인증되어야 한다 (e.g. 패스워드를 통해). 인증 데이타는 반드시 보호되어야 한다.
감사 추적 :
- 누가 무엇을, 어떤 단말에서, 어떤 시스템에서, 언제, 어떤 객체를 사용하여 했는지, 그리고 그것이 성공적이었는지 아닌지에 대한 기록이 유지되어야 한다.
- 로깅할 이벤트: 식별/인증, 접근 권한 관리, 민감한 객체의 생성/삭제, 시스템 보안에 영향을 미치는 행위.
- 로그는 보호되어야 하고 (기밀성, 무결성 e.g. 파일 퍼미션) 주기적으로 감시되며 필요할 경우 보안 경보를 (자동으로) 발생시켜야 한다.
- 감사 추적을 다루는 도구가 있어야 하고 특정한 사용자의 행위가 식별되도록 해줄 수 있어야 한다 (이해할 수 있는 방법으로)

IV. 접근 통제 :

임의적 접근통제: 사용자, 사용자 그룹, 객체 (e.g 파일시스템, 공유 메모리, 플로피 드라이브, 프린터, 장치, 네트웍 서비스, 메뉴 옵션, 어플리케이션 옵션 등에 대한 퍼미션) 간의 접근 권한을 시스템이 구별하고 관리해야 한다.
강제적 접근통제 : 객체 및 주체에 대한 접근 통제는 TCB에서 규정한다 (i.e 사용자가 아니라)
안전한 시스템 시동 - 구성요소들은 안전하게 시동되어야 한다.
객체 재사용 : 주체에 의해 사용된 객체는 다른 주체에 의해 사용되기 전에 반드시 재초기화 되어야 한다.

V. 안전한 데이타 교환 / 네트웍 통신

네트웍 통신 상대방 인증: 양쪽 (사용자 & 프로세스) 모두 데이터를 교환하기 이전에 자신을 식별 및 인증해야 한다 (자기 신원을 증명해야 한다).
네트웍 데이타 무결성: 데이타는 전송되는 동안 안전하게 유지되어야 한다. 사용자 데이타, 추적 데이타의 인가되지 않은 조작 및 전송의 재생은 확실히 에러로 판명되어야 한다.
네트웍 데이타 기밀성: 인가된 사람들만이 데이타에 접근할 수 있어야 한다. (e.g. end-to-end 데이타 암호화)
데이타 발신지 인증 : 수신 프로세스는 데이타가 누구로부터 오는지 알고 있는가? 등급 시스템에 대해서는, 송신 부인 방지 가 필요하다: 데이타 수신시, 데이타의 발신자를 유일하게 식별하고 인증할 수 있어야 한다. 수신자는 정보가 어디로부터 왔는지에 대한 증거가 있는가? 이것은 전자 서명으로 해결할 수 있다.
수신 부인 방지: 발신자는 의도된 수신자가 정보를 받았는지에 대한 증거가 있는가?
접근 통제: 비인가 복호화에 사용될 수 있는, 이미 전송된 모든 정보는 인가된 사람에게만 접근 가능해야 한다.

VI. 가용성

백업: 백업 및 복원 정책이 있어야 하고 정기적으로 테스트되어야 한다.
자원 오남용 방지 : e.g. 할당량(Quotas), CPU, 메모리, 사용자당 프로세스 제한
패치/변경관리 : 프로덕션 시스템의 갱신이나 구성변경에 대해 신중하고 정확한 절차가 필요하다. "변경 로그"는 최신의 것으로 유지되어야 한다.
환경 : 에어 컨디셔닝, 케이블링, 규정량.
재난 복구 : 정전에 대비한 계획 (UPS), 화재 및 홍수, 보안 침해.
조직 : 정의된 지원 절차, 서비스 레벨 협약에 의한 역할 및 책임, 절차에 대한 문서, 서비스 슬롯, 7x24H ( ).
장비의 처분
여분/중복성 (Redundancy): 다양한 수준에서의 중복성이 가능하다. CPU, 디스크, 디스크 드라이브, 네트웍, 전송(e.g. OLTP), 어플리케이션 (e.g. NIS+, Lan Manager, DNS)및 전체 시스템 (e.g. HACMP). 중복성은 정기적으로 테스트 되어야 한다.

[2] 유닉스 시스템에서 이것은 shadow password 파일이 필요하다는 것을 의미한다.