8.공통평가기준(CC) , 사회공학 기법

1,공통평가기준(CC:Common Criteria) : 정보시스템의 보안성을 평가하기 위한 기준을 정의한 국제 표준

(미국: TCSEC / 유렵: ITSEC)

-구성요소

구성요소	설명
평가대상 (TOE)	정보시스템의 보안성 평가범위를 정의
보호 프로파일 (PP)	평가대상(TOE) 유형별 보안 기능 요구사항을 기술한 문서
보안목표 명세서 (ST)	평가대상(TOE)의 세부 보안 기능 요구사항과 구현 내용을 기술한 문서로 평가의 근거로 사용
평가보증등급 (EAL)	평가대상(TOE)의 보증 수준을 판단하는 척도를 정의한 등급으로 해당 등급을 구성하는 보증 컴포넌트 패키지로 이루어짐 최저등급(EAL1)부터 최고등급(EAL7)까지 7등급으로 구분됨

 

2,사회공학기법: 사람들 사이의 신뢰 관계를 바탕으로 사람들을 속여 정상적인 보안 절차를 무너트리고 비기술적인 수단으로 정보를 탈취하는 행위

(인간기반과 컴퓨터기반으로 나뉨)

구분	유형
인간 기반 공격	1.직접적인 접근 2.도청/엿듣기 3.쓰레기통 뒤지기 4.어꺠너머로 훔쳐보기
컴퓨터 기반 공격	1.시스템 분석 2.피싱 3.파밍 4.스미싱 5.기타(큐싱 등등)