• 제목/요약/키워드: 정보보호 평가 및 승인

검색결과 11건 처리시간 0.025초

국내 정보보호 시스템 평가기관 승인 자격기준 개발

  • 유다혜;윤신숙;오수현;김환구
    • 정보보호학회지
    • /
    • 제17권3호
    • /
    • pp.49-59
    • /
    • 2007
  • 정보보호 시스템 평가제도는 안정성과 신뢰성이 검증된 시스템사용을 권장하고 이를 통해 정보보호 제품 개발을 유도하며 정보보호 산업 육성을 기여하기 위한 것이다. 최근 정보보호 제품의 해외 경쟁력 증대를 위하여 인증된 평가기관 설립의 필요성이 대두되고 있어 본 논문에서는 국내 환경에 적합한 국내 정보보호 시스템 평가인증 제도의 평가기관 자격 기준을 제안하고자 한다. 이를 위하여 본 논문에서는 해외 각 국의 인증 요구사항 및 절차를 항목별로 상세히 비교 분석하였으며, 이를 토대로 국내 실정에 맞는 국내 정보보호 시스템 평가기관 승인 요구사항을 도출하였다. 적절히 제안된 평가 기관 설립 기준안은 평가가기관의 추가 설립을 위한 기준안으로 활용될 수 있을 것으로 기대한다.

외국의 정보보호 체계 분석($) (A study on the Foreign Information Security Evaluation and Certification Scheme($))

  • 강창구;윤이중;김대호;이대기
    • 정보보호학회지
    • /
    • 제5권1호
    • /
    • pp.73-84
    • /
    • 1995
  • 본 논문에서는 국내 정보보호 체계를 수립하기 위하여 외국에서의 정보보호 체계분석의 일환으로 영국의 정보보호 시스템 평사승인 체계에 대하여 분석하였다. 먼저 영국에서의 정보기관 구조를 소개하고, 정보보호 체계와 관련한 조직의 구성 및 임무에 대하여 기술하였다. 또한 영국의 정보보호 시스템 평가승인 절차를 분석하였으며 영국의 암호 알고리즘과 평가 기준서인ITSEC에 대해 분석하였다.

  • PDF

외국의 정보보호 체계 분석 (I) (A Study on the Foreign Information Security Evaluation and Certification Scheme(I))

  • 강창구;윤이중;김대호;이대기
    • 정보보호학회지
    • /
    • 제5권1호
    • /
    • pp.61-72
    • /
    • 1995
  • 본 연구에서는 국내 정보보호 체계를 수립하기 위하여 외국정보보호 체계분석의 일환으로 미국의 정보보호 체계를 분석하였다. 본 논문에서는 먼저 미국의 정보보호 체계의 주요 기구인NCSC와 NIST의 역할을 알라보고, 미국의 컴퓨터 보안 프로그램으로서 TPEP, 네트워크 제품평가 및 DBMS평가방법에 대해서 분석하였으며 또한 통신 보안 프로그램으로 CCEP, 정부 승인 DES 제품 프로그램, EFT 인증 프로그램, PNSL, OLSL및 암호 제품의 판매 제한정책에 대하여 기술하였다.

  • PDF

정보보호 사전평가 제도 개발을 위한 국내외 관련 제도검토 및 정보화사업에서의 정보보호 현황분석 (An Analysis of InfoSec Implementation Status in the Public Information System Projects for the Institutionalization of InfoSec Pre-Assessment)

  • 김정덕;홍기향
    • 디지털융복합연구
    • /
    • 제1권1호
    • /
    • pp.69-91
    • /
    • 2003
  • The purpose of this paper is to provide several considerations to be taken into account when institutionalizing the information security(Infosec) pre-assessment. Infosec pre-assessment is a necessary process to embed the security requirements into the information systems at the early stages in their development, resulting in more cost-effective infosec. In order to provide some institutional issues, domestic infosec assessment schemes and U.S. Infosec certification and accreditation schemes are reviewed. Also, the current status of infosec implementation in the public information systems projects is analyzed. Based on the analyses, the seven suggestions are proposed in developing and performing the infosec pre-assessment scheme.

  • PDF

프로세스 보증을 통한 제품 평가 효율성 향상 방안

  • 임종인;김태훈;이태승
    • 정보보호학회지
    • /
    • 제13권6호
    • /
    • pp.1-5
    • /
    • 2003
  • IT 산업이 급속히 발전하면서 정보보호와 관련된 문제가 중요한 고려 사항으로 대두되고 있다. 이러한 문제 해결의 일환으로 정보보호제품에 대한 수요가 증가하고 있으며, 또한 이들 정보보호제품의 안전 $.$신뢰성이 중요한 이슈로 부각되고 있다. 정보보호제품에 대한 보안성 평가가 이미 시행되고 있지만, 보안성 평가에는 비교적 많은 시간이 소요되므로 개발자가 평가 과정을 거쳐 적시에 제품을 시장에 출시하는 데에는 어려움이 따른다. 본 고에서는 정보보호 제품 개발 프로세스를 공통평가기준에서 요구하는 수준으로 개선하도록 함으로써, 제품 평가 준비 및 평가에 소요되는 비용과 시간을 경감시키고 평가의 효율성을 향상시킬 수 있는 방안을 모색하여 보고자 한다.

정보 보안 평가 및 취약점 분석을 위한 SW 테스팅 절차 (A SW Testing Procedure for Information Technology Security Evaluation and Vulnerability Analysis)

  • 김동진;정윤식;조성제;박민규;이진영;김일곤;이태승;김홍근
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2012년도 한국컴퓨터종합학술대회논문집 Vol.39 No.1(A)
    • /
    • pp.80-82
    • /
    • 2012
  • 다양한 정보보호 제품이 개발됨에 따라, 정보보호 제품 보증을 위해 자체의 보안성 평가 및 인증이 중요시되고 있다. 정보보호 제품의 평가 및 인증을 위해서는 보안기능 검사와 취약점 분석 단계가 매우 중요하지만 이를 위한 정보보호 제품의 보안기능 시험과 취약성 분석을 위한 테스팅 절차에 대한 연구는 그 중요성에 비해 많이 수행되지 않았다. 현재까지는 보안제품을 기능별로 제품을 분류하여 보안성을 평가하였는데, 본 논문에서는 보안 제품들에서 공격에 취약한 SW 모듈 중심으로 테스팅 대상을 분류하는 방법을 제안한다. 분류된 SW 모듈별로 적합한 보안 테스팅 기법을 정의하고, 보안제품의 취약점을 효과적으로 탐지하기 위해 공개되어 있는 관련 취약점도 분석하였다. 이를 통해 정보보호 제품의 취약점 분석 및 제품 보안성 평가를 위한 SW 모듈별 보안 테스팅 절차를 수립하고, 테스트하였다. 실험을 통해 취약한 SW 모듈별 적절한 공격 기법 선정 시 제안 절차가 정보보호 제품 평가 인증에 활용될 수 있음을 확인하였다.

미 국방성의 종심방어전략과 전자정부의 정보보호전략에 관한 비교 연구 (A Comparative Study on the Information Security Strategy of Korean I-Government with Defense-in-Depth Strategy of DoD)

  • 송운호;정욱재;김준범;강한승
    • 정보처리학회논문지C
    • /
    • 제12C권5호
    • /
    • pp.659-664
    • /
    • 2005
  • 정보화 시대가 도래함에 따라 세계 각국이 전자정부 구현에 많은 관심을 갖고 있으며, 이미 몇몇 선도 국가들은 다양한 민원서비스 및 행정서비스를 인터넷을 통해 국민들에게 편리하게 제공하고 있다. 본 연구에서는 미 국방성의 종심방어전략(Defense-In-Depth Strategy)과 한국의 전자정부 정보보호전략을 비교$\cdot$평가함으로써 더욱 안전하고 신뢰할 수 있는 전자정부 구현에 이바지 할 수 있는 기반을 제공하고자 한다.

오픈소스 취약점 점검 도구 및 종합 보안 메트릭 설계를 통한 DevSecOps 구축방안 연구 (A Study on the Development of DevSecOps through the Combination of Open Source Vulnerability Scanning Tools and the Design of Security Metrics)

  • 최영해;노형준;조성윤;강한승;김동완;박수현;조민재;이주형
    • 정보보호학회논문지
    • /
    • 제33권4호
    • /
    • pp.699-707
    • /
    • 2023
  • DevSecOps는 DevOps의 짧은 개발과 운용주기에 대응하기 위해 DevOps의 운용절차에 보안절차를 추가한 개념이다. DevSecOps 구축 시 빠른 개발 및 배포 주기를 지원하면서 안정적으로 보안성을 제공하기 위해 여러 단계의 취약점 점검 절차가 고려되어야 한다. 각 점검 단계별 활용 가능한 여러 오픈소스 취약점 점검 도구들이 존재하고 있으나 도구들이 지원하는 기능이 다양하고 점검결과들이 상이해 통합 운용 시 보안성 수준 평가 및 정보의 중요도 파악에 어려움이 있다. 본 논문은 오픈소스를 활용한 DevSecOps 구축 시에 보안점검 단계별 활용 가능한 오픈소스 취약점 점검 도구의 조합과 점검결과에 대한 통합적인 보안메트릭 설계방안을 제안한다.

보안기능의 무력화 공격을 예방하기 위한 위협분석 기반 소프트웨어 보안 테스팅 (Threat Analysis based Software Security Testing for preventing the Attacks to Incapacitate Security Features of Information Security Systems)

  • 김동진;정윤식;윤광열;유해영;조성제;김기연;이진영;김홍근;이태승;임재명;원동호
    • 정보보호학회논문지
    • /
    • 제22권5호
    • /
    • pp.1191-1204
    • /
    • 2012
  • 정보보안시스템을 무력화하는 공격이 나타남에 따라, 정보보안제품의 취약성을 분석하는 보안 테스팅에 대한 관심이 높아지고 있다. 보안제품 개발의 주요 단계인 침투 테스팅은, 공격자가 악용할 수 있는 취약성을 찾기 위해 컴퓨터 시스템을 실제적으로 테스팅하는 것이다. 침투 테스팅과 같은 보안 테스팅은 대상 시스템에 대한 정보 수집, 가능한 진입점 식별, 침입 시도, 결과 보고 등의 과정을 포함한다. 따라서 취약성 분석 및 보안 테스팅에서 일반성, 재사용성, 효율성을 극대화하는 것이 매우 중요하다. 본 논문에서는, 정보보호제품이 자신의 보안 기능을 무력화하거나 우회하는 공격에 대응할 수 있는 자체보호기능 및 우회불가성을 제공하는 가를 평가할 수 있는 위협분석 기반의 소프트웨어 보안 테스팅을 제안한다. 위협분석으로 취약성을 식별한 후, 보안 테스팅의 재사용성과 효율성을 개선하기 위해 소프트웨어 모듈과 보안 기능에 따라 테스팅 전략을 수립한다. 제안기법은 위협 분석 및 테스팅 분류, 적절한 보안테스팅 전략 선정, 보안 테스팅으로 구성된다. 사례연구와 보안테스팅을 통해 제안 기법이 보안 시스템을 체계적으로 평가할 수 있음을 보였다.

한강 주요 하천의 겨울철 조류상 변화 장기 모니터링: 기존 생물다양성과 계통적 생물다양성 평가 및 비교 (Wintering Avifauna Change Long-term Monitoring in Major Watershed Tributariesin Han River: Fundamental and Phylogenetic Biodiversity Assessment and Comparison)

  • 윤성호;홍미진;최진환;이후승;유정칠
    • 환경영향평가
    • /
    • 제30권3호
    • /
    • pp.164-174
    • /
    • 2021
  • 개체수와 종수에 기초한 기존 생물다양성 평가와 달리, 계통적 다양성 평가는 계통유전적 다양성 및 생태적 다양성도 평가할 수 있다. 본 연구에서는 서울특별시 철새보호구역으로 지정되어 다년간의 생태모니터링이 용이한 한강의 주요 하천인 중랑천, 청계천 및 안양천의 지난 9년간의 겨울철 조류상 장기 모니터링 결과를 이용하여 기존의 다양성 평가와 계통적 다양성 평가를 각각 수행한 뒤 각 결과가 내포하는 정보에 대해 고찰했다. 분석결과 중랑천과 안양천은 전반적으로 조류 개체수가 시계열적으로 감소한 반면 청계천은 개체수 변동이 없었다. 종 풍부도는 청계천에서 시간에 따라 소폭 상승한 반면, 중랑천과 안양천은 연도별로 차이가 없었다. 기존 종 다양도는 안양천을 제외한 중랑천과 청계천에서 시간에 따라 증가했는데, 계통적 종 다양도는 청계천에서만 증가하는 추세를 보였다. 이러한 생물다양성 평가 지수의 변동은 각 조사구역 내에서 발생한 공사 등의 인위적 요인에 의한 것으로 판단되며, 종 다양도와 계통적 종 다양도는 같은 결과를 반영하지 않는다는 것을 보여준다. 따라서 본 연구는 생물다양성 평가에 있어 유전 및 생태적 관점과 같은 다양한 시각에서 고려할 필요가 있음을 시사한다.