• 한국전자거래학회지
• /
• 제16권2호
• /
• pp.159-169
• /
• 2011

본 논문은 정보통신 서비스 제공기관 및 업체가 현재의 보안 상태를 단계별로 등급화된 지표에 따라 평가하고, 지속적으로 정보보호 수준을 상위 단계로 개선해 나갈 수 있도록 정보 보호 수준평가방법을 제안하였다. 이를 위해 SP800-26의 17개 분야, SP800-53의 3개 분야, ISMS의 15개 분야, ISO27001의 10개 분야를 분석하여 중복적인 분야를 제거하고, 관련 전문가 회의를 통해 12개 평가분야와 SP800-26의 221개 항목, SP800-53의 17개 항목, ISMS의 137개 항목, ISO27001의 127개 항목을 분석하여 54개 평가항목을 도출하였다. 또한, 54개 평가항목에 대한 수준을 5단계로 구분된 지표에 따라 각각 평가하고, 각 평가분야별로 등급 을 결정할 수 있도록 하였다. 아울러, 개발된 평가항목과 등급 등이 실제 운영환경에 잘 적용될 수 있도록 운영상에서 발생할 수 있는 문제점을 사전에 분석하고, 이를 고려한 수준평가의 효과적인 7가지 수행방안을 제시하였다. 본 논문에서 제안한 정보보호 수준평가 방법은 계량화된 데이터를 통해 해당조직의 정보보호 대책을 수립할 수 있도록 지원하며, 조직 관리자들의 정보보호 목표수준 설정을 위한 자료로 활용되어 국가적 차원의 정보보호 수준 향상에 기여할 수 있을 것이다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권5호
• /
• pp.2414-2428
• /
• 2018

In order to solve the problem that the current network security situation assessment methods just focus on the attack behaviors, this paper proposes a kind of network security situation assessment method based on Markov Decision Process and Game theory. The method takes the Markov Game model as the core, and uses the 4 levels data fusion to realize the evaluation of the network security situation. In this process, the Nash equilibrium point of the game is used to determine the impact on the network security. Experiments show that the results of this method are basically consistent with the expert evaluation data. As the method takes full account of the interaction between the attackers and defenders, it is closer to reality, and can accurately assess network security situation.

• 정보보호학회논문지
• /
• 제25권6호
• /
• pp.1595-1606
• /
• 2015

위험분석은 위험을 허용 가능한 수준으로 관리하기 위한 방안을 수립하는 데 활용된다. 이러한 위험관리 의사결정에 있어서 위험의 시각화는 중요하다. 그러나 기존의 위험 시각화 방식은 위험의 요소들을 고려하여 입체적으로 위험을 시각화하는 데 있어서 한계를 지닌다. 본 논문에서는 기밀성, 무결성, 가용성 측면에서 개별적 혹은 종합적으로 위험을 표현할 수 있는 개선된 위험도 3차원 시각화 방법을 제시한다. 제안된 방법을 기업의 위험분석 평가에 적용하여 유효성을 검증한다. 제안된 시각화 방법은 내부통제를 위한 정보보호 의사결정 과정에 효과적으로 활용될 수 있다.

• 정보보호학회논문지
• /
• 제33권2호
• /
• pp.281-293
• /
• 2023

산업제어시스템의 특성에 대한 공격자들의 이해 증가와 더불어 정보 기술과의 연결성이 확대되면서 산업제어시스템을 대상으로 하는 보안사고가 증가하고 있다. 이와 관련된 취약점의 수는 매년 급증하고 있지만, 모든 취약점에 대해 적시의 패치를 수행하는 것은 어렵다. 현재 취약점 패치의 기준으로 여겨지는 공통 취약점 평가체계는 취약점이 발견된 후의 무기화를 고려하고 있지않다는 한계점을 지니고 있다. 따라서 본 연구에서는 운영 기술 및 산업제어시스템 내 발생 취약점 정보가 포함된 공개 정보를 기반으로 시간의 흐름에 따라 변화하는 공격자의 기술 수준을 분류하기 위한 기준을 정의한다. 또한 해당 속성을 기존 심각도 점수 산출에 반영하여 취약점의 실제 위험성과 긴급성이 반영된 심각도를 평가하는 방안을 제안하고자 한다. 해당 평가 방안의 시계열적 특성 반영 및 운영기술 및 산업제어시스템 환경에서의 유효성을 확인하기 위해 실제 사고에 활용된 취약점에 기반한 사례연구를 수행하였다.

• 정보보호학회논문지
• /
• 제17권6호
• /
• pp.19-28
• /
• 2007

본 논문은 지문 데이터베이스를 평가하는데 가장 큰 영향을 미치는 image quality를 측정하는 새로운 방법을 제안한다. 본 논문에서는 image quality를 측정하는 hybrid segmentation 방법을 소개하고, 다양한 지문 데이터베이스에 대해 실험한 결과를 분석한다. 개발한 방법의 객관적인 평가를 위해 NIST에서 제공하는 NFIQ 프로그램을 통해 얻은 결과와 variance와 coherence의 fusion을 이용한 hybrid segmentation 결과를 비교한다. NFIQ는 지문 영상의 품질을 정확하게 측정하지만 결과가 $1{\sim}5$로 세분화되어 있지 못한 문제점을 가지고 있다. 반면 제안하는 hybrid 방법은 NFIQ보다 더 정확하고 세분화된 평가 결과를 제공한다. 두 방법에 의해 실험한 데이터베이스들을 평가한 결과, 동일한 영상에 대해 NFIQ와 hybrid segmentation의 결과가 유사하며 지문 영상의 품질을 세분화하여 측정할 수 있는 점에서 NFIQ보다 뛰어나다고 할 수 있다.