[보안 인증] TCSEC 이란 무엇인가?

TCSEC(Trusted Computer System Evaluation Criteria)는 미 국방부 문서(Rainbow Series : Orange Book이라 불린다) 중 하나이다. TCSEC는 1960년부터 시작하여 1972년 지침이 발표되고 1983년에 미국 정보 보안 조례로 세계에 최초 공표되었으며 1995년에 공식화 되었다.  

오랜 역사를 가진 인증으로 보안 솔루션을 개발할 때 기준이 되는 표준이다. 

[TCSEC 보안 등급]

D: Minial Protection 

-보안 설정이 이루어지지 않은 단계 

C1 : DisTCSEC(Trusted Computer System Evaluation Criteria)는 미 국방부 문서(Rainbow Series : Orange Book이라 불린다) 중 하나이다. TCSEC는 1960년부터 시작하여 1972년 지침이 발표되고 1983년에 미국 정보 보안 조례로 세계에 최초 공표되었으며 1995년에 공식화 되었다.  

오랜 역사를 가진 인증으로 보안 솔루션을 개발할 때 기준이 되는 표준이다. 

[TCSEC 보안 등급]

D : Minial Protection 

-보안 설정이 이루어지지 않음

C1 : Discretionary Security Protection
-일반적인 로그인 과정이 존재하는 시스템이며 사용자 간 침범이 차단되어 있다. 
사용자는 자신이 생성한 파일에 대해 권한 설정이 가능하다.

C2 : Controlled Access Protection
- 계정별로 로그인이 가능하고 그룹별로 통제가 가능한 시스템이다. 

B1 : Labeled Security
- 시스템네 보안 정책을 적용할 수 있고 각 데이터에 보안 레벨 설정이 가능하다. 
- 시스템 파일이나 시스템에 권한을 설정할 수 있다. 

B2 : Sturctured Protection
- B1 등급의 기능을 모두 포함하고 정형화된 보안 정책이 존재한다. 

B3 : Security Domains
- 운영체제상 보안에 불필요한 영역은 모두 제거함, 모듈별 분석 및 테스트가 가능함. 
- 시스템 파일 및 디렉터리에 대한 접근 방식을 지정, 위험 동작으로 보이는 사용자에 대해 백업 자동화.

A1 : Verified Design
- 수학적으로 완벽한 시스템


TNI(Trust Network Interpretation) : Rainbow Series 문서에 Red Book이라는 문서로 LAN과 인트라넷의 보안에 초점을 맞추고 있음.

1. 통신의 무결성 : 상호 인증, 전달되는 메시지의 무결성, 부인 방지 보장
2. 서비스 거부(DoS) 공경에 대한 방어 : DoS 공격시에도 네트워크가 정상 운영 가능한지 여부.
3. 데이터 보호의 확실성 : 전달되는 데이터가 노출되지 않고 전달되는지 여부 

TNI 4등급 
1. None : 보안 사항 없음
2. C1 : 최소 
3. C2 : 양호
4. B2 : 좋음

 

*정보 보안 개론 (양대일 지음) 참고 : https://book.naver.com/bookdb/book_detail.nhn?bid=13189987