• 안보군사학연구
• /
• 통권9호
• /
• pp.207-240
• /
• 2011

보안성은 현대의 정보시스템의 가장 중요한 특성 중의 하나이므로, 정보시스템의 보안성을 보증하기 위한 수많은 정보보증 제도(표준, 방법 등)가 있다. 그러나 제도간의 혼선이 있고 보증의 중복성 문제가 발생하고 있다. 본 논문에서는 기존의 정보보증 제도들을 조사하여 보증 대상별, 생명주기별 및 국가별로 분류하고 문제점을 지적하고 3가지의 새로운 정보보증 제도를 제시하였다. 특정 기관 및 업무별 보안기능 요구사항을 표준화하고 평가 및 인증하여 요구사항 자체를 보증하는 제도, 개발 중인 정보시스템에 대한 정보보증 제도, 신규 정보 시스템의 인증 및 사용 인가제도 확립 등이 그것이다. 이 연구는 국방 정보보증 제도의 설정에도 도움이 될 것이다.

• Journal of Information Technology Applications and Management
• /
• 제16권2호
• /
• pp.23-43
• /
• 2009

For reliability and confidentiality of information security systems, the security engineering methodologies are accepted in many organizations. To improve the effectiveness of security engineering, this paper suggests a security methodology ISEM, which considers both product assurance and production processes, takes advantages in terms of quality and cost. To verify the effectiveness of ISEM, this paper introduces the concepts of quality loss, and compares the development costs and quality losses between ISEM and CC through the development of VPN system.

• 정보보호학회논문지
• /
• 제8권3호
• /
• pp.63-78
• /
• 1998

Recently, to use the evaluated firewall is recognized as a solution to achieve the security and reliability for government and organizarions in Korea. Results of firewall evaluation using ITSEC(Information Technology Security Evaluation Criteria) and CCPP(Common Criteria Protection Peofile)have been announced. Because there are problems to apply ITSECor CCPP for the firewall evaluation in korea environment, korea government and korea Information security Agency (KISA) decided to develop our own security dvaluation critrtia fir firewalls.As a result of the efforts, Korea firewall security evaluation criteria has been published on Feb. 1998. In this paper, we introduce Korea security evaluation criteria for firewalls. The ceiteria consists of functional and assurance requirements that are compatible with CC Evaluation Assurance Levels(EALs)

• 정보보호학회논문지
• /
• 제13권5호
• /
• pp.57-67
• /
• 2003

보안정책모델은 평가대상제품(Target of Evaluation, TOE)의 보안정책을 비정형적, 준정형적, 또는 정형적 방법을 사용하여 구조적으로 표현하는 한 것이다. 보안정책모델은 보안기능요구사항과 기능명세간의 일관성 및 완전성을 제공함으로써 평가대상제품이 요구사항과 기능명세간 불명확성으로 인한 보안결점을 최소화할 수 있도록 보증성을 보장한다. 이러한 이유로 ISO/IEC 15408(공통평가기준. CC) 등 IT 제품 및 시스템의 보안성 평가기준의 고등급 평가에서 보안정책모델을 요구하고 있다. 본 논문에서는 보안정책모델의 개념과 관련 연구 및 공통평가기준의 보안정책모델 보증요구사항을 분석하여 보안정책모델 평가방법을 제시한다.

• 한국항행학회논문지
• /
• 제14권2호
• /
• pp.247-252
• /
• 2010

IT 기술이 발전함에 따라 네트워크를 통해 방대한 양의 정보가 이동하고 있다. 인터넷을 사용하는 사용자들은 올바른 사용으로 유용한 정보를 획득할 수 있으나, 올바르지 않은 사용을 하는 공격자는 악의적인 목적으로 사용하기 위해 타인의 개인 정보를 노출시키고 유포하여 다양한 피해를 발생시키고 있다. 이를 해결하기 위하여 다양한 정보보호제품이 개발되고 있다. 안전한 정보보호제품을 개발하기 위해서는 개발 과정부터 보안이 필요하며, 안전한 제품을 보증하기 위하여 제품 평가 및 보안 모듈에 대한 평가 제도들이 사용되고 있다. 본 논문에서는 정보보호제품이 안전하게 개발될 수 있도록 기존 정보보호제품 인증 제도뿐만 아니라, 정보보호 기능을 제공하지 않는 제품을 개발할 때 시행되고 있는 다양한 인증 제도까지 포함하여 연구함으로써, 더욱 안전하고 견고한 제품 개발 및 보증 방안을 제안한다.

• 한국사이버테러정보전학회:학술대회논문집
• /
• 한국사이버테러정보전학회 2004년도 제1회 춘계학술발표대회
• /
• pp.141-144
• /
• 2004

The Common Criteria (CC) philosophy is to provide assurance based upon an evaluation of the IT product or system that is to be trusted. Evaluation has been the traditional means of providing assurance. It is essential that not only the customer' srequirements for software functionality should be satisfied but also the security requirements imposed on the software development should be effectively analyzed and implemented in contributing to the security objectives of customer's requirements. Unless suitable requirements are established at the start of the software development process, the resulting end product, however well engineered, may not meet the objectives of its anticipated consumers. By the security evaluation, customer can sure about the quality of the products or systems they will buy and operate. In this paper, we propose a selection guide for If products by showing relationship between security engineering and security evaluation and make help user and customer select appropriate products or system.

• 융합보안논문지
• /
• 제19권1호
• /
• pp.31-40
• /
• 2019

정보보호(Information Security)는 최근 사이버공간의 출현과 확장으로 인해 그 중요성이 점차 증가하고 있다. 1998년 미국 국방부 정보작전 교리에서 유래된 '정보보증(Information Assurance)'은 기존의 정보보호 개념에 대응과 복구를 포함한 광의의 적극적 보호, 정보체계 전 수명주기에서 보안관리, 위험분석 과정에서의 신뢰성 등을 추가한 개념으로서 현재 널리 사용중이다. 그러나 국내에서는 정보보증 개념을 잘못 이해하거나 정보보호와 혼용하여 사용하는 경우가 종종 발생하고 있다. 본 논문에서는 정보보증 개념의 명확한 이해를 위해 정보보증 관련 기존 문헌들을 고찰하여 정보보증 개념을 정의하고자 하였다. 본 논문에서 제안한 정보보증 용어 정의의 주요 표현들에 대한 구문 분석을 수행함으로써, 용어 정의의 타당성을 제시하였다.

• 디지털산업정보학회논문지
• /
• 제5권4호
• /
• pp.109-116
• /
• 2009

In the paper, we designed an automatic security diagnostic evaluation System(SeDES) based on a security diagnostic evaluation model(SeDEM) for an organization's security assurance. The SeDEM evaluates a security level of an organization quantitatively by a security evaluation formula which is composed of security variables and security index as applying the statistical CAEL model for evaluate risk level of banks. The SeDES has a good expandability as changing security variables according to an organization scale, characteristics and so on. And it also has a excellent usage because it inputs only numeric data got from statistical technique to security index. We can understand more a security level correctly than the existent risk assessment system because it is possible to assess quantitatively with an security grade as well as score. analysis.

• 정보보호학회논문지
• /
• 제14권1호
• /
• pp.25-34
• /
• 2004

CC(=ISO/IEC 15408)는 정보보호시스템의 국제표준이며 CC평가 및 인증체계에서는 평가기관 운영하며 평가기관에서는 적정한 평가비 산정을 위한 근거가 필요하다. 본 논문에서는 특정한 평가기관의 환경이 아니라, CC기준과 기존의 PP 및 ST만을 바탕으로 하여, 제품유형별 및 보증수준별 평가업무량 모델을 제시하였으며, 평가실무자득의 경험, 보안기능의 사용율 개념 및 기능점수방법 등을 이용하였다. 본 결과는 CC평가환경에서 정보보호제품의 평가비 및 기간의 산정을 위한 기본자료로 활용될 수 있을 것이다.

• 융합보안논문지
• /
• 제4권2호
• /
• pp.71-75
• /
• 2004

The Common Criteria (CC) philosophy is to provide assurance based upon an evaluation of the IT product or system that is to be trusted. Evaluation has been the traditional means of providing assurance. It is essential that not only the customer' srequirements for software functionality should be satisfied but also the security requirements imposed on the software development should be effectively analyzed and implemented in contributing to the security objectives of customer's requirements. Unless suitable requirements are established at the start of the software development process, the re suiting end product, however well engineered, may not meet the objectives of its anticipated consumers. By the security evaluation, customer can sure about the quality of the products or sys tems they will buy and operate. In this paper, we propose a selection guide for If products by show ing relationship between security engineering and security evaluation and make help user and customer select appropriate products or system.