생몰정보
소속
직위
직업
활동분야
주기
서지
국회도서관 서비스 이용에 대한 안내를 해드립니다.
검색결과 (전체 1건)
원문 있는 자료 (1) 열기
원문 아이콘이 없는 경우 국회도서관 방문 시 책자로 이용 가능
목차보기더보기
표제지
목차
요약문 3
SUMMARY 5
제1장 서론 15
제2장 국내 상용 및 공개 소프트웨어의 보안성 점검 동향 18
제1절 개요 18
제2절 공통평가기준의 패키지 소프트웨어 점검 24
1. 공통 평기기준의 개요 24
2/3. 보증 요구사항의 구성 26
제3절 무기체계 소프트웨어의 획득 절차 31
1. 무기 체계 소프트웨어 31
2. 무기체계 소프트웨어 획득 프로세스 33
제4절 패키지 소프트웨어의 전략물자 수출입 고시 48
1. 전략물자 수출입고시 48
2. 패키지 소프트웨어 52
제3장 미국의 상용 및 공개SW 보안성 점검 동향 55
제1절 개요 55
제2절 소프트웨어 획득 절차의 구성 55
1. 계획 단계 56
2. 계약 단계 70
3. 모니터링과 수용 단계 74
4. 유지 단계 78
제3절 상용 및 공개 소프트웨어 획득 점검 82
1. 상용 소프트웨어에 대한 질문사항 82
2. 공개 소프트웨어에 대한 질문사항 87
제4장 중국의 상용 및 공개SW 보안성 점검 동향 89
제1절 중국 소프트웨어 보안관련 정부조직 및 관련 규정 89
제2절 중국의 소프트웨어 인증 93
제3절 응용 소프트웨어 관련 법규 100
제5장 일본의 상용 및 공개SW 보안성 점검 동향 112
제1절 일본의 소프트웨어 조달 조직 112
제2절 일본 정부 정보시스템의 소프트웨어 조달 지침 114
제6장 미국의 SW공급망 보증 동향 및 국내 활용방안 128
제1절 미국의 SW공급망 보증 동향 128
1. 소프트웨어 공급망(Software Supply Chain) 128
2. 소프트웨어 공급망의 보안 위험 131
3. 소프트웨어 공급망 위험 분석 133
제2절 국내 활용방안 137
1. 국내 적용을 위한 이슈 및 문제점 분석 137
2. 소프트웨어 공급망 보증 국내 적용 방안 및 발전 방향 139
제7장 SSCA 보증 방안 141
제1절 개발(공급)자 : Developer(Provider) 145
1. 보안 개발(Secure Coding) 145
2. 보안 설계(Secure Design) 148
3. 보안 개발방법론(Secure SDLC) 152
제2절 공급업체 : Supplier 162
1. CWE를 이용한 약점 관리 162
2. CWE의 활용방안 165
3. 공급망에서의 소프트웨어생명주기 168
4. 공급망에서의 소프트웨어 품질보증 171
5. 공급망 위험관리(NIST SP800-161) 174
제3절 조직(기업) : Organization 189
제4절 매매보호 서비스 : Escrow 195
1. 소프트웨어 분석/검증 195
2. 소프트웨어 위험분석 및 평가 197
제8장 결론 221
참고문헌 223
판권기 225
[표 2-1] 상용SW와 기술성 평가항목 비교 21
[표 3-1] 일반적인 소프트웨어 획득 절차의 개념적 비교 56
[표 3-2] 소프트웨어 보증 우려사항 분류 및 설명 67
[표 3-3] 상용소프트웨어 보안 평가항목 82
[표 3-4] 공개소프트웨어 보안 평가항목 87
[표 4-1] 중국의 소프트웨어 제품 인증 테스트 98
[표 5-1] 정보 시스템의 정비/관리 참가자 및 역할 115
[표 6-1] 획득 생명주기 단계와 대응하는 공급망 보안 위험 관리활동 132
[표 6-2] 정보보호관리체계에서 공급망 보증에 대한 고려사항 139
[표 6-3] 정보보호 관리체계 단계별 세부내용 140
[표 7-1] SW 개발단계별 결함 수정비용 147
[표 7-2] 거버넌스의 Security Practices 154
[표 7-3] 구성의 Security Practices 155
[표 7-4] 검증의 Security Practices 156
[표 7-5] 배포의 Security Practices 157
[표 7-6] BSIMM의 구조(SW보안 프레임워크) 160
[표 7-7]/[표 7-8] SCAP의 구성요소 164
[표 7-8]/[표 7-9] 2011 CWE/SANS 가장 위험한 25대 소프트웨어 오류 165
[표 7-9]/[표 7-10] OWASP Top10 과 CWE 매핑테이블 167
[표 7-10]/[표 7-11] 소프트웨어 개발보안 단계 170
[표 7-11]/[표 7-12] CWE별 점검할 수 있는 도구 샘플 173
[표 7-12]/[표 7-13] SCRM 이해관계자(Stakeholder) 181
[표 7-13]/[표 7-14] 위험관리 프로세스에서 ICT SCRM 활동 186
[표 7-14]/[표 7-15] 보호프로파일(PP, Protection Profile) 구조 예시 196
[표 7-15]/[표 7-16] 접근 벡터 202
[표 7-16]/[표 7-17] 접근 난이도 203
[표 7-17]/[표 7-18] 인증 204
[표 7-18]/[표 7-19] 기밀성 영향 205
[표 7-19]/[표 7-20] 무결성 영향 205
[표 7-20]/[표 7-21] 가용성 영향 206
[표 7-21]/[표 7-22] 공격 가능성 207
[표 7-22]/[표 7-23] 대응 수준 208
[표 7-23]/[표 7-24] 보고 신뢰성 208
[표 7-24]/[표 7-25] 부수적 피해 잠재성 210
[표 7-25]/[표 7-26] 대상 분포 211
[표 7-26]/[표 7-27] 보안 요구 212
[표 7-27]/[표 7-28] CWSS에 포함된 평가 방식 213
[표 7-28]/[표 7-29] Base Finding 메트릭 그룹과 하위 요소 215
[표 7-29]/[표 7-30] Attack Surface 메트릭 그룹과 하위 요소 216
[표 7-30]/[표 7-31] Environment 메트릭 그룹과 하위 요소 217
(그림 2-1) 소프트웨어 수출규모(spri.kr/post/7137) 18
(그림 2-2) 보안 명세 단계 및 산출물 25
(그림 2-3) 보안 클래스의 계층구조 26
(그림 2-4) 무기체계 소프트웨어의 획득 프로세스 구성 34
(그림 4-1) 전자정부시스템 등급보호 관리 시행 안내도 91
(그림 4-2) 중국의 소프트웨어 인증 과정(중화인민공화국 공업 및 정보화부에서 발표한 "소프트웨어 관리법(2009.03)"에 근거) 93
(그림 4-3) 제남시의 소프트웨어 등록 과정 97
(그림 5-1) IPA의 활동 영역 113
(그림 5-2) 일본정부 정보 시스템의 정비 및 관리에 관한 표준 지침 114
(그림 6-1) 인수 생명주기의 개시 및 개발단계의 예상 공급망 129
(그림 6-2) 인수 생명주기의 운영/유지단계의 예상 공급망 130
(그림 6-3) 소프트웨어 공급망 컴포넌트 134
(그림 7-1) 기업(조직) 관점에서의 SSCA 142
(그림 7-2) SSCA Ecosystem 143
(그림 7-3) SSCA 관점의 오염(Tainted) 144
(그림 7-4) SwA 구성요소 145
(그림 7-5) 응용프로그램에서의 해킹사고 발생 비율 146
(그림 7-6) 전통적인 소프트웨어 개발 방법(폭포수 모델) 149
(그림 7-7) 보안설계의 예인 Cleanroom 프로세스 모형 150
(그림 7-8) Box 프로세스도 151
(그림 7-9) SAMM 프로세스 152
(그림 7-10) 소프트웨어 보증 성숙도 모델 159
(그림 7-11) 7 Touch Point 161
(그림 7-12) NVD 취약점 관리 시스템 163
(그림 7-13) 공급망에서의 소프트웨어 생명주기 168
(그림 7-14) 계획/개발/검증 프로세스의 관계 169
(그림 7-15) 공급망에서 소프트웨어 품질보증을 위한 절차 171
(그림 7-16) 소프트웨어 품질보증을 위한 공급사 개발 프로세스 172
(그림 7-17) ICT 공급망 위험 174
(그림 7-18) ICT SCRM의 4가지 원형 176
(그림 7-19) 위험관리 과정 179
(그림 7-20) 다중 계층 조직 전반의 위험 관리 180
(그림 7-21) ICT SCRM 위험 관리 185
(그림 7-22) ICT SCRM 계획 및 라이프 사이클 187
(그림 7-23) 매매보호 서비스(Escrow) 소프트웨어 분석/검증 절차 196
(그림 7-24) 매매보호 서비스(Escrow) 소프트웨어 위험분석 및 평가 198
(그림 7-25) ICT의 다양한 도메인에 대한 사이버보안 표준의 활용 199
(그림 7-26) CVSS 메트릭 그룹 200
(그림 7-27) CVSS 메트릭과 공식의 관계 201
(그림 7-28) CWSS 메트릭 그룹과 그룹별 하위 요소들 214
(그림 7-29) CVSS 계산기 예시 218
(그림 7-30) CVE 항목대상 CVSS 측정 예 219
(그림 7-31) CVSS 기본점수: High / Medium / Low 220
이용현황보기
가상서가
원문구축 및 2018년 이후 자료는 524호에서 직접 열람하십시요.
도서위치안내: / 서가번호:
우편복사 목록담기를 완료하였습니다.
* 표시는 필수사항 입니다.
* 주의: 국회도서관 이용자 모두에게 공유서재로 서비스 됩니다.
저장 되었습니다.
로그인을 하시려면 아이디와 비밀번호를 입력해주세요. 모바일 간편 열람증으로 입실한 경우 회원가입을 해야합니다.
공용 PC이므로 한번 더 로그인 해 주시기 바랍니다.
아이디 또는 비밀번호를 확인해주세요