[Security] 보안 요구사항(Security Requirements)

보안 요구사항(Security Requirements)

중요한 시스템 데이터의 기밀성, 무결성, 가용성을 보호하는 방법을 명세하는 것을 말한다.

 

명세(Specification)

수집된 요구사항을 정해진 규칙과 구조에 따라 문서화 하는 과정이다.

• 의도한 대상 고객이 이해하고 평가하고 사용할 수 있도록 수집된 사용자 니즈를 실제 요구사항 문서와 적절한 다이어그램으로 변환하기

요구사항은 명확하고 검증 가능하도록 명세해야 하고, 작성된 요구사항은 추적성을 가져야 한다.

최종 산출물 : SRS(Software Requirements Specification)

• 사용자, 개발자, 테스터 및 모든 이해관계자들에게 공통의 목표를 제시한다.
• 소프트웨어 시스템이 반드시 제공해야 하는 기능과 능력, 특징 고려해야 하는 제약조건을 명시한다.

 

보안 요구사항 식별하고 정의

요구사항으로부터 보안 요구사항을 식별하고 정의해야 한다.

 

보안 목표 식별(Identifying Security Goals)

보호해야 할 대상에 대한 보안 목표를 식별하고 구체화한다.

• 보안 목표: 기밀성, 무결성, 가용성

정보에 대한 보안 목표 식별: 정보 권한을 가진 사용자 만이 안전하게 수집, 전송, 처리, 보관, 폐기해야 하는 정보를 식별할 수 있다.

• 고려 사항: 법적 의무사항, 필수적 안전조치, 정보 유출 시 예상 피해 기준 등

예) 사용자의 은행 계좌 잔액은 승인되지 않는 한 다른 사용자가 알아내거나(기밀성) 수정해서는(무결성) 안된다.

 

보안 요구사항 정의(Defining Security Requirements)

수립한 보안 보안 목표(기밀성/무결성/가용성)를 만족하는 필요 조치(보안 정책/매커니즘)을 도출한다.

• 인증, 권한부여, 부인방지, 암호화, 메시지 인증코드와 전자서명, 암호화 통신 프로토콜 등

[보안 매커니즘] 암호화(Cryptography)

[보안 매커니즘] 암호화(Cryptography)

[보안 매커니즘] 부인 방지 (Non-Repudiation)

[보안 매커니즘] 메시지 인증코드(MAC)

[보안 매커니즘] 전자 서명 (Digital Signatures)

[보안 매커니즘] 인증서

[보안 매커니즘] 암호화 보안 프로토콜(SSL/TLS)

 

 

다양한 참고 자료를 기반으로 보안 요구사항을 결정하고 명세한다.

• 내부 정책: 전사/조직 내 정책/규정, 가이드 등
• 외부 정책: 법/법령, 규제, 관련 지침, 표준 등
• 산업계 요구사항(industry requirements), Coding Practice
• 이전 사고 검토 내용, 알려진 위협 등

 

시스템 보안 요구사항에서 SW 보안 요구사항으로 점점 구체화 시켜나갈 수 있다.

(보안 목표) 사용자의 은행 계좌 잔액은 승인되지 않는 한 다른 사용자가 알아내거나 수정해서는 안된다.

1. 사용자는 암호를 사용하여 자신을 식별한다. 2. 비밀번호는 강력해야 한다. 3. 비밀번호 데이터베이스는 로그인 프로그램에서만 액세스 할 수 있다.

 

보안 요구사항 분석(Analyzing Security Requirements)

[Security] 보안 요구사항 분석(Analyzing Security Requirements)

 

보안 특성

기밀성(confidentiality) : 권한(authorization)이 없는 엑세스 또는 공개로부터 정보를 보호하는 것

무결성(integrity) : 정보를 비인가된 조작(무단 수정 또는 파기)으로부터 보호하는 것

가용성(availability) : 정보 및 정보 시스템을 무단 중단으로부터 보호하는 것

 

보안 특성 - 대표적 보안 방안

기밀성: 암호화, 인증/접근제거

무결성: MAC/전자 서명

가용성: Filtering, FT