• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제4권4호
• /
• pp.671-690
• /
• 2010

The continuous growth of attacks in the Internet causes to generate a number of rules in security devices such as Intrusion Prevention Systems, firewalls, etc. Policy anomalies in security devices create security holes and prevent the system from determining quickly whether allow or deny a packet. Policy anomalies exist among the rules in multiple security devices as well as in a single security device. The solution for policy anomalies requires complex and complicated algorithms. In this paper, we propose a new method to remove policy anomalies in a single security device and avoid policy anomalies among the rules in distributed security devices. The proposed method classifies rules according to traffic direction and checks policy anomalies in each device. It is unnecessary to compare the rules for outgoing traffic with the rules for incoming traffic. Therefore, classifying rules by in-out traffic, the proposed method can reduce the number of rules to be compared up to a half. Instead of detecting policy anomalies in distributed security devices, one adopts the rules from others for avoiding anomaly. After removing policy anomalies in each device, other firewalls can keep the policy consistency without anomalies by adopting the rules of a trusted firewall. In addition, it blocks unnecessary traffic because a source side sends as much traffic as the destination side accepts. Also we explain another policy anomaly which can be found under a connection-oriented communication protocol.

• 디지털융복합연구
• /
• 제10권4호
• /
• pp.23-35
• /
• 2012

본 연구의 목적은 조직원들의 지속적인 정보보안 준수행위를 유도할 있는 요인을 규명하는 것이다. 이를 위해 기존연구에서 제시된 보안 대책인 보안인식교육과 보안정책을 선행요인으로 선정하였다. 연구결과 보안인식교육은 보안 정책과 정보보안 정책의 지속적 준수에 유의한 영향을 미치는 것으로 나타났다. 또한 정보보안 정책의 포괄성은 지속적 보안 정책준수 태도와 의도에 유의한 영향을 미치는 반면, 보안 정책의 간결성은 태도에만 유의한 영향을 미치는 것으로 나타났다.

• 융합보안논문지
• /
• 제22권1호
• /
• pp.113-120
• /
• 2022

기술 발달에 따른 기존 보안정책의 한계에도 불구하고 기업은 폐쇄적 보안정책을 유지함으로써 변화에 능동적으로 대응하지 못하고 있다. 본 연구는 정보보안 정책을 3가지 유형인 규제형 정책, 권고형 정책 그리고 고지형 정책으로 분류하였다. 분류된 각 정책의 유형은 확장된 계획행동이론을 적용하여 조직 구성원의 정보보안 정책 준수행동에 주는 영향을 규명하고 보안 스트레스의 조절효과를 살펴보았다. 각 요인들 간에 영향을 미치는 관계를 분석하기 위해서는 구조방정식모델링 기법인 SmartPLS 2.0과 SPSS 21.0을 활용하였다. 연구 결과 규제형, 권고형 그리고 고지형 정보보안 정책은 조직 구성원의 정보보안정책 준수행동에 영향을 주었으며 보안 스트레스는 계획된 행동이론의 선행요인인 정보보안 순응태도와 정보보안에 대한 주관적 규범에 영향을 주었다. 본 연구를 통해 기업의 정보보안 정책에 다양한 유형이 적용될 수 있음과 보안스트레스가 구성원의 정보보안 행동에 영향을 줄 수 있음이 제시되었다.

• 한국컴퓨터정보학회논문지
• /
• 제22권10호
• /
• pp.73-81
• /
• 2017

In this paper, we propose an analysis framework to capture the trends of information security incidents and evaluate the security policy based on the incident analysis. We build a big data from news media collecting security incidents news and policy news, identify key trends in information security from this, and present an analytical method for evaluating policies from the point of view of incidents. In more specific, we propose a network-based analysis model that allows us to easily identify the trends of information security incidents and policy at a glance, and a cosine similarity measure to find important events from incidents and policy announcements.

• Journal of Information Technology Applications and Management
• /
• 제22권4호
• /
• pp.225-251
• /
• 2015

This paper analyzed factors for employees to violate information security policy in financial companies based on the theory of reasoned action (TRA), general deterrence theory (GDT), and information security awareness and moderating effects of perceived sensitivity of customer information. Using the 376 samples that were collected through both online and offline surveys, statistical tests were performed. We found that the perceived severity of sanction and information security policy support to information policy violation attitude and subjective norm but the perceived certainty of sanction and general information security awareness support to only subjective norm. Also, the moderating effects of perceived sensitivity of customer information against information policy violation attitude and subjective norm were supported. Academic implications of this study are expected to be the basis for future research on information security policy violations of financial companies; Employees' perceived sanctions and information security policy awareness have an impact on the subjective norm significantly. Practical implications are that it can provide a guide to establish information security management strategies for information security compliance; when implementing information security awareness training for employees to deter violations by emphasizing the sensitivity of customer information, a company should make their employees recognize that the customer information is very sensitive data.

• 정보보호학회논문지
• /
• 제13권5호
• /
• pp.57-67
• /
• 2003

보안정책모델은 평가대상제품(Target of Evaluation, TOE)의 보안정책을 비정형적, 준정형적, 또는 정형적 방법을 사용하여 구조적으로 표현하는 한 것이다. 보안정책모델은 보안기능요구사항과 기능명세간의 일관성 및 완전성을 제공함으로써 평가대상제품이 요구사항과 기능명세간 불명확성으로 인한 보안결점을 최소화할 수 있도록 보증성을 보장한다. 이러한 이유로 ISO/IEC 15408(공통평가기준. CC) 등 IT 제품 및 시스템의 보안성 평가기준의 고등급 평가에서 보안정책모델을 요구하고 있다. 본 논문에서는 보안정책모델의 개념과 관련 연구 및 공통평가기준의 보안정책모델 보증요구사항을 분석하여 보안정책모델 평가방법을 제시한다.

• 디지털융복합연구
• /
• 제11권1호
• /
• pp.27-38
• /
• 2013

보안정책의 두 가지 구성요소는 내용과 형식이다. 지금까지 보안 정책 내용에 대한 연구는 폭 넓게 수행되어온 반면, 보안 정책의 형식에 대해서는 관련연구가 매우 부족한 실정이다. 형식이 보안정책의 성공을 결정하는 중요한 요인이기 때문에 어떻게 보안 정책의 형식을 작성할 것인가는 매우 중요하다. 따라서 본 연구의 목적은 보안 정책의 형식과 조직 구성원들의 보안 정책 준수간의 관계를 규명하는 것이다. 분석결과 보안정책의 형식은 보안준수태도, 주관적 규범, 인지된 행위 통제, 그리고 인지된 보안정책 준수비용에 유의한 영향을 미치는 것으로 나타났으며, 보안정책 준수태도와 주관적 규범은 지속적 보안준수 의도에 유의한 영향을 미치는 것으로 나타났다.

• 디지털융복합연구
• /
• 제19권11호
• /
• pp.327-339
• /
• 2021

본 연구는 TTAT를 기반으로 정보보안 정책의 관점에서 보안 정책의 특성(정책의 취약성, 정책의 효과성, 정책 준수 비용, 정책 준수 효능감, 사회적 영향력)이 조직의 정보보안 정책 준수 동기에 미치는 영향을 살펴보기 위해 수행되었다. 분석 결과는 다음과 같다. 첫째, 보안 정책의 위협은 정책 준수 동기에 유의한 영향을 미치는 것으로 나타났다. 둘째, 정책의 효과성은 준수 동기에 통계적으로 유의한 영향을 미치지 못하는 것으로 나타났다. 셋째, 정책 준수 비용은 정책 준수 동기에 유의한 영향을 미치는 것으로 나타났다. 넷째, 정책 준수 효능감은 회피 동기에 유의한 영향을 미치지 못하는 것으로 나타났다. 마지막으로, 사회적 영향력은 준수 동기에 유의한 영향을 미치는 것으로 나타났다.

• 한국IT서비스학회지
• /
• 제19권5호
• /
• pp.15-31
• /
• 2020

This study explores the process in which employees adopt the information security policy. The results of this study, which surveyed 234 employees in three call centers and four hospitals, show that the employees adapt the information security policy through the social structuring process suggested by the AST model. In particular, this study identifies roles of two appropriation activities (FOA : Faithfulness of Appropriation & COA : Consensus on Appropriation) observed in the social structuring process. Regarding to the interactions between the two appropriation activities, FOA, which indicates a better understanding of the information security policy, is examined as a more critical factor than COA, which indicates the degree of agreement among employees about how to use it. FOA not only has a direct effect on compliance intention toward the information security policy, but also indirectly through COA, whereas COA has only a indirect effect through FOA. This result shows that, in order for a company to successfully implement a new information security policy, it is important for employees to understand its purpose and intention. The adaption of information security policy through two appropriation activities is observed in both hospitals and call centers, but due to the different working environments, there were differences in the preceding variables affecting the appropriation activities. The results of this study are expected to provide guidelines for companies who want to successfully adopt information security policy.

• 융합보안논문지
• /
• 제11권5호
• /
• pp.41-51
• /
• 2011

이 연구는 우리나라 경비업 현황분석을 통하여 현재 경비업의 개괄적 실태를 살펴본 후, 경비업법 개정과정 분석을 통하여 어떠한 정책기조가 법 개정에 투영되었는가를 도출한 다음, 우리나라 시큐리티산업의 정책방향을 제안하는데 연구의 목적을 두고 있다. 경비업법 개정 과정을 통하여 보면 공공성 강화와 기업성 강화가 어떤 뚜렷한 정책적 기조를 이루고 있는 것으로 보이진 않는다. 다만 강력한 공공성의 기조하에 부분적으로 기업성을 일부 반영한 것으로 밖에 해석되지 않는 것이다. 경비업의 건전한 발전을 위해서는 기존의 정책 방향에서 탈피하여 경비업의 기업성을 강화하는 방향으로 정책 기조가 변화되어야 한다. 경찰의 지도 감독 권한을 한국경비협회에 대폭 이관하여 경비업계의 자율적인 정화 기능을 키워야 한다. 경찰에서는 치안서비스의 공동생산 차원에서의 정책 개발에 관심을 두고 지혜를 모아야 할 것이다.