블로그 이미지
Twitter : @parkkopil 박코필

카테고리

분류 전체보기 (68)
Common Criteria (4)
WEB (3)
Server (12)
보안 솔루션 (6)
Reversing (5)
암호학 (0)
시스템 (3)
Network (3)
스토리지 (0)
컨설팅 (1)
자격증 (4)
뉴스 (5)
Q & A (5)
잡동사니 (4)
Hack (0)
작업 (1)
c# (7)
야구 -그리핀스 (2)
Android (1)
Total77,711
Today12
Yesterday21

달력

« » 2018.10
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

공지사항

태그목록

피칭연습 10.7.23

분류없음 / 2010.07.23 18:59
Posted by 박코필

PDF 용량 줄이기

Q & A / 2010.05.06 14:24
1. PDF(Professional) - 고급 - PDF 최적화
- 7.0 선택 및 설정으로  확 줄일 수 있다.

'Q & A' 카테고리의 다른 글

PDF 용량 줄이기  (0) 2010.05.06
4월 5일 Q&A  (0) 2009.04.05
4월 3일 Q&A  (0) 2009.04.03
4월 1일 Q & A  (0) 2009.04.01
3월 31일 Q&A  (0) 2009.03.31
Posted by 박코필
cmd - dbca
         netca 
후... next 및 설정

'Server' 카테고리의 다른 글

오라클 서비가 관리도구에 올라오지 않을 경우  (0) 2010.05.05
Oracle Alter 정의 및 사용법  (0) 2009.12.15
Oracle Tablespace 관련  (0) 2009.12.15
오라클 설치 문서  (0) 2009.12.10
SSH와 PAM (pam_SSH)  (0) 2009.12.01
Unix histroy 기능 사용 방법  (0) 2009.11.26
Posted by 박코필
높은 공이였지만 눈에 보이는 공이였기에 타격했다. 결과는 좌월 2루타!
투수한다고 타석에 들어가지 못했더니 그나마 익혔던 것들이 죄다 무너졌다.
다음에는 손을 놓치 않고 끝까지 타격하는 팔로윙을 보여주자. ^^ 

'야구 -그리핀스' 카테고리의 다른 글

신월구장 - 2010.04.25  (0) 2010.05.02
Mizuno All Round  (0) 2010.01.20
Posted by 박코필

'WEB' 카테고리의 다른 글

2009-12 flex 기반 전자금융서비스 보안기술 분석 보고서  (0) 2010.04.15
WebDav 취약점  (0) 2009.09.15
IE8 세션 공유  (0) 2009.05.22
Posted by 박코필

Vmware 네트워크 설정

Network / 2010.04.14 15:45
http://v.daum.net/link/1526398

자세한 설명... 
안쓰다가 쓸려고 하면 까먹으니...

이 밖에 설치부터 setting까지 상세하게 설명되어있다.

'Network' 카테고리의 다른 글

Vmware 네트워크 설정  (0) 2010.04.14
Packet Generator by gilgil  (0) 2009.10.06
네이트온..... 뚤어요  (0) 2009.07.02
Posted by 박코필

EAL-3 EAL-4 비교

분류없음 / 2010.03.24 17:35

* EAL-4등급

EAL4는 개발환경 통제, 자동화를 포함한 추가적인 TOE의 형상관리, 안전한 배포 절차의 증거를 통하여 보증을 제공합니다 EAL4는 더 많은 설계 설명, TSF 일부에 대한 구현의 표현, TOE가 개발 또는 배포 과정에서 변경되지 않도록 하는 개선된 매커니즘 및 절차를  요구함으로써 EAL3보다 높은 보증을 제공합니다

 

 

>> EAL3에서 EAL4로 강화된 보증평가 사항

1. DPT 모듈 시험

2. VAN –강화된 취약성 분석

3. CMC/CMS 형상관리 문서

4. TDS TOS 설계

5. FSP 완전한 기능 명세

 

* DPT 모듈 시험

상세수준(ATE_DPT) 패밀리의 목적은 TOE 개발 중 발생하는 오류를 간과할 위험에 대응하는 것 입니다. 특정 내부 인터페이스에 대한 시험은 TSF가 바람직한 외부 보안행동을 나타내고 있음을 보장할 뿐 아니라 외부보안행동이 내부기능성의 정확한 운영에 의한 것임을 보증하는 것 입니다. à EAL4에서 강화됨

-> EAL3에서는 서브시스템 단계에서의 시험만 실시

   EAL4에서는 서브시스템과 모듈 수준(더 자세하게) 시험을 실시

 

* VAN –강화된 취약성 분석

강화된 취약성 분석 AVA_VAN.3 컴포넌트의 목적은 잠재적인 취약성 존재 여부를 확인하는 것으로 AVA_VAN.2에서 요구하는 문서를 포함하고 추가로 IMP를 이용한 독립적인 취약성 분석을 수행합니다. 또한 강화된-기본 공격 성공가능성을 가정하고 침투시험을 수행합니다.

평가자의 독립적인 취약성 분석은 각 보증제출물별 평가 시 취약성 가능성을 분석하며, 네트워크 스캐닝 도구 nmap, wireshark, 소스코드 취약성 점검 도구 등을 이용하여 TOE 유형별 일반적인 취약성 분석을 수행합니다. 그 후 관련 논문, TOE에 대한 CVE 코드 등을 조사를 통해 공개영역으로부터 취약성 조사를 수행하며 그 다음 ST의 위협에 서술되어 있는 정보를 통해 공격 성공 가능성을 계산하여 취약성 분석을 완료 합니다. 공격 성공 가능성 계산 방법은 정보보호시스템 공통평가방법론 부록 B에 서술되어 있습니다. 또한 평가자는 취약성 분석 평가 시 침투 시험을 수행해야 하며 이에 따른 침투 시험 계획서를 작성하고 계획서 대로 침투시험을 수행하며 그 결과를 AVA_VAN 단위보고서에 작성해야 합니다. 침투 시험서에서는 침투 시험 도구, 환경구성 등을 서술해야 하며 잠재적인 취약성 목록과 침투시험 항목을 서술해야 합니다. 또한 침투 시험 항목에서는 시험항목과 유사하게 시험 목적 및 방법, 관련 인터페이스 시험절차, 침투 시험 결과 등을 서술해야 합니다.

à 평가자(평가기관)에서 취약성을 분석함

à EAL3보다 더 강화된 취약성 분석을 통하여 EAL4에 대한 취약성을 보장

 

* CMC/CMS 형상관리 문서

형상관리 시스템은 형상관리 하에 있는 항목, 즉 형상목록에서 식별된 형상항목들에 한해서만 변경을 통제할 수 있습니다. TOE TOE를 구성하는 부분들, TOE 구현 표현, 보안목표명세서의 보증요구사항(SAR)에서 요구하는 평가증거를 형상관리 하에 포함하는 것은 이들이 적절한 인간에 따라 통제된 방식으로 변경되었음을 보증합니다. 보안 결함을 형상관리 하에 포함함으로써 보안 결함 보고서가 손실되거나 간과되지 않음을 보장하고, 개발자가 보안 결함을 해결하기 위해 이를 추적하도록 합니다. -> EAL4 강화된 부분

 

* TDS TOS 설계

ADV_TDS.2 비정형화된 표현 컴포넌트 또한 TSF 서브시스템에 대한 서술을 요구합니다. SFR-수행 서브시스템은 서브시스템의 구조, SFR 수행 행동의 상세한 설명, 기타 행동에 대한 요약, 상호작용을 서술해야 합니다. SFR-지원 서브시스템은 서브시스템의 구조, 다른 행동에 대한 요약과 상호작용을 서술해야 하고, SFR--간섭 서브시스템은 분류 지원 및 상호작용을 서술해야 합니다. 보증등급 EAL4에 해당하는 ADV_TDS.3 비정형화된 표현 컴포넌트는 TSF 서브시스템과 TSF 모듈에 대한 서술을 요구하며, 그 세부사항은 설명드리면, TSF 서브시스템에 대하여 요구되는 정보는 다음과 같습니다. SFR-수행서브시스템, SFR-지원 서브시스템, SFR--간섭 서브시스템은 모두 각 서브시스템의 설명과 상호작용만을 서술하면 됩니다. TSF 모듈에 대하여 요구되는 정보는 다음과 같습니다. SFR-수행 모듈은 모듈의 목적과 SFR 인터페이스에 대하여 서술해야 하며, SFR-지원 모듈 및  SFR--간섭 모듈은 모듈의 목적과 상호작용만을 서술하면 됩니다. -> EAL4 강화

à EAL3에서 서술하는 서브시스템 뿐만 아니라 더 상세한 모듈 측면까지 서술

   모듈간 상호 작용설명

 

* FSP 완전한 기능 명세

ADV_FSP.3 완전한 요약정보가 제공되는 기능명세에서 개발자는 ADV_FSP.2에서 요구된 정보에 추가적으로 SFR-지원 및 SFR--간섭이 SFR-수행이 아님을 입증하면서, 이들의 행동에 대한 충분한 정보를 제공해야 합니다. 또한, 개발자는 SFR-수행 TSFI를 호출한 결과 발생하는 모든 직접적인 오류 메시지를 문서화해야 합니다. ADV_FSP.4 완전한 기능명세에서 SFR-수행, SFR-지원, SFR--간섭 인터페이스 등 모든 TSFI는 직접적인 오류 메시지 전부를 포함하여 같은 수준으로 서술되어야 합니다.  à EAL4 강화

 

 

 

>> EAL4에서 추가된 검증

* IMP TOE 설계와 구현의 매핑

구현의 표현(ADV_IMP) TOE와 설계가 일치함을 입증하고, 취약성 평가나 TOE 설계 분석과 같은 다른 분야 평가 시 분석 활동에서 사용할 수 있습니다. 구현의 표현의 예로는, 소프트웨어 소스코드, 펌웨어 소스코드, 하드웨어 도면 및/또는 IC 하드웨어 설계 언어 코드 또는 레이아웃 데이터 등이 있습니다.

EAL4 à 개발도구에 대한 내용, 설계상의 모듈(보안기능들..인터페이스..)과 소스파일과 연관(매칭) 시킴

* TAT 잘 정의된 개발 도구

패밀리는 TOE를 개발, 분석, 구현하는데 사용되는 도구의 선택에 관련된 측면을 다룹니다. 이는 잘못 정의되거나 일관성이 없거나 부정확한 개발 도구가  TOE 개발에 사용되는 것을 방지하기 위한 요구사항을 포함합니다. 도구와 기법 패밀리는 프 로그래밍 언어, 문서화, 구현 표준, 실행시간 라이브러리 지원과 같은 TOE의 다른 부분들을 포함하지만 이에 한정되지는 않습니다.

첫 번째, 구현에 사용된 각 개발 도구는 잘 정의된 것이어야 합니다. 두 번째, 각 개발 도구 문서는 구현에 사용된 모든 규정과 지시어 뿐만 아니라 모든 명령문의 의미를 모호하지 않게 정의해야 합니다. 세 번째, 각 개발 도구 문서는 모든 구현-종속적인 선택사항의 의미를 모호하지 않게 정의해야 합니다.

EAL4 à 부정확한 개발도구가 아닌 잘 정의된 개발도구를 사용하여 개발한 것을 보장하고 구현에 사용된 모든 규정과 명령문들이 모호하지 않음을 보장

 

 

EAL-3

EAL-4

ATE_DPT 시험

기본 설계 시험

보안-수행 모듈 시험

AVA_VAN – 취약성 평가

취약성 분석

강화된 취약성 분석

CMC/CMS 형상관리 문서

인가통제

생산지원, 수용절차 및 자동화 도구 사용

ADV_TDS   TOS 설계

구조적인 설계

기본적인 모듈화 설계

FSP 완전한 기능 명세

요약정보 제공 기능명세

완전한 기능명세

IMP 구현의 표현

없음

보안기능에 대한 구현의 표현

TAT 도구와 기법

없음

잘 정의된 개발도구

<EAL-3 EAL-4와의 비교>

Posted by 박코필

CISSP 도메인

자격증 / 2010.03.01 17:59

* 시험 과목

1. Access Control Systems and Methodology(접근제어시스템 및 방법론)
2. Applications and Systems Development Security (응용 및 시스템 개발 보안)
3. Business Continuity Planning(BCP) and Disaster Recovery Planning(DRP) (사업연속계획 및 비상복구계획)
4. Cryptography (암호학)
5. Law, Investigation and Ethics (법, 수사 및 윤리)
6. Operations Security (운영보안)
7. Physical Security (물리보안)
8. Security Architecutre and Models (보안구조 및 모델)
9. Security Management Practices(보안관리)
10. Telecommunications and Network Security (통신 및 네트워크 보안)

1. 시스템 접근통제 및 방법론
2. 통신망 및 네트워크 보안
3. 보안관리
4. 물리적 보안
5. 응용프로그램 및 시스템 개발
6. 암호학
7. 보안 아키텍처 및 모델
8. 시스템 운영보안
9. 사업연속계획 및 비상복구계획
10. 관련 법률, 사고조사기법, 윤리

'자격증' 카테고리의 다른 글

CISSP 도메인  (0) 2010.03.01
CISSP key point  (0) 2009.07.29
(License) CCNA  (2) 2009.06.04
2009년 SIS - 정보보호 전문가 일정  (0) 2009.03.31
Posted by 박코필
* 준비
1. Java SDK
2. Eclipse
3. Android SDK   가 필요
  파일을 다운 받던... 이클립스에서 경로를 적어 다운 받을 수 있다.

* 설치
1. 자바
2. 이클립스
    설치 없이... 실행하면 된다.
3.  다운 받아서 압축해제(c:\에 하는게 편하다)
4. 이클립스에서 안드로이드 개발 툴킷(ADT) 설치
5. 이클립스에서 안드로이드 SDK 경로 지정
   [windows] - [Preferences] - Android 선택후 경로 지정 + Apply + Ok
6. File - New - Project - 안드로이드 프로젝트 - Next
7. 에뮬레이터(avd) 생성
8. 에러시.... 경로에 한글이 들어가 있어서 그러함. 사용자 계정이 한글이면... 폴더를 변경해주어야함
  (CMD 프롬프트 환경에서)    sdk 가 있는 폴더의 tool 폴더로  이동 후 

> android move avd -n <avd 이름> - p <경로>
  해당 폴더를 생성하면 안됨. -> 자동생성 
9. 프로젝트 클릭 후 팝업메뉴  - Run As - Android Application 으로 실행



'Android' 카테고리의 다른 글

Android 개발 환경 구축  (0) 2010.02.25
Posted by 박코필

windows 7 xp 가상화

시스템 / 2010.01.22 11:55
http://blog.naver.com/film_kid/60097165058
Posted by 박코필

티스토리 툴바