The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on the Modeling Mechanism for Security Risk Analysis in Information Systems

정보시스템에 대한 보안위험분석을 위한 모델링 기법 연구

  • 김인중 (국가보안기술연구소) ;
  • 이영교 (안양과학대학 컴퓨터정보학부) ;
  • 정윤정 (국가보안기술연구소) ;
  • 원동호 (성균관대학교 정보통신공학부)
  • Published : 2005.12.01
Download PDF
⟨ Previous Next ⟩

Abstract

Information systems are today becoming larger and mostly broadband-networked. This exposes them at a higher risk of intrusions and hacking than ever before. Of the technologies developed to meet information system security needs, risk analysis is currently one of the most actively researched areas. Meanwhile, due to the extreme diversity of assets and complexity of network structure, there is a limit to the level of accuracy which can be achieved by an analysis tool in the assessment of risk run by an information system. Also, the results of a risk assessment are most oftennot up-to-date due to the changing nature of security threats. By the time an evaluation and associated set of solutions are ready, the nature and level of vulnerabilities and threats have evolved and increased, making them obsolete. Accordingly, what is needed is a risk analysis tool capable of assessing threats and propagation of damage, at the same time as security solutions are being identified. To do that, the information system must be simplified, and intrusion data must be diagrammed using a modeling technique this paper, we propose a modeling technique information systems to enable security risk analysis, using SPICE and Petri-net, and conduct simulations of risk analysis on a number of case studies.

최근 대부분의 정보시스템은 대규모 및 광역화되고 있으며 이에 따른 사이버 침해사고와 해킹의 위험성이 증대되고 있다. 이를 해결하기 위하여 정보보호 기술중에서 보안위험분석 분야의 연구가 활발하게 이루어지고 있다. 하지만 다양한 자산과 복잡한 네트워크의 구조로 인하여 위험도를 현실에 맞게 산정한다는 것이 사실상 불가능하다. 특히, 취약성과 위협의 증가는 시간에 따라 계속 증가하며 이에 대응하는 보호대책은 일정 시간이 흐른 뒤 이루어지므로 제시된 결과가 효과적인 위험분석의 결과로 볼 수 없다. 따라서. 정보시스템에 대한 모델링 기법을 통하여 정보시스템의 구조를 단순화하고 사이버 침해의 방향성을 도식화함으로써 위험분석 및 피해 파급 영향 분석을 보호대책 수립의 허용 시간 내에서 이루어질 수 있도록 해야 한다 이에 따라, 본 논문에서는 보안 위험을 분석할 수 있도록 SPICE와 Petri-Net을 이용한 정보시스템의 모델링 기법을 제안하고, 이 모델링을 기반으로 사례연구를 통하여 위험분석 시뮬레이션을 수행하고자 한다.

Keywords

References

  1. Sedong Kwon, Hyunmin Park, and Kangsun Lee, 'A Novel Mobility Prediction Algorithm Based on User Movement History,' 2004 Asia Simulation Conference (AsiaSim 2004), Lecture Notes in Computer Science 3398, pp.419-428, October, 2004 https://doi.org/10.1007/b105611
  2. 김인중, 정윤정, 박중길, 원동호, '중요핵심기반시설(SCADA)에 대한 보안위험관리 연구', 한국통신학회논문지 Vol. 30, 2005년 9월
  3. Kwang Min Park, Dong Kwang, PSpice Understanding and Application (revised), 1992, ISBN
  4. W. Reisig, Petri Nets, An Introduction, EATCS, Monographs on Theoretical Computer Science, W.Brauer, G. Rozenberg, A. Salomaa(Eds.), Springer Verlag, Berlin, 1985
  5. Edward Yourdon, Modern Structured Analysis, Prentice-Hall, 1989
  6. Paul E. Black, ed, 'deterministic finite state machine', Dictionary of Algorithms and Data Structures, NIST. http://www,nist.gov/dads/HTML/determFinitStateMach.html
  7. L.M. Kristensen, S. Christensen, K. Jensen: The Practitioner's Guide to Coloured Petri Nets. International Journal on Software Tools for Technology Transfer, 2 (1998), Springer Verlag, 98-132 https://doi.org/10.1007/s100090050021
  8. Paul Tuinenga, SPICE: A Guide to Circuit Simulation and Analysis Using PSpice (3rd Edition), Prentice-Hall, 1995, ISBN 0-13-158775-7
  9. MICTS(Previously GMITS), ISO/lEC 27005 ISMS Risk Management. 2005
  10. CSE(Canadian Secutiy Establishment), 'A Guide to Security Risk Management for IT Systems', Government of Canada, Communications Security Establishment(CSE)', 1996
  11. MacDonald, David/ Mackay, Steve (EDT), Practical Hazops, Trips and Alarms (Paperback), Butterworth-Heinemann, 2004
  12. RAC, Fault Tree Analysis Application Guide, 1991
  13. CMU, OCTAVE(Operationally Critical Threat, Assets and Vulnerability Evalustion), 2001. 12
  14. Theo Dimitrakos, Juan Bicarregui, KetilStolen. CORAS - a framework for risk analysis of security critical systems. ERCIM News, number 49, pages 25-26, 2002
  15. Young-Hwan Bang, YoonJung Jung, Injung Kim, Namhoon Lee, GangSoo Lee, 'The Design and Development for Risk Analysis Automatic Tool,' ICCSA2004, LNCS 3043, pp.491-499, 2004
  16. http://www.cramm.com, CRAMM(CCTA Risk Analysis and Management Method)
  17. Palisade Corporation, @RISK, http://www.palisade.com
  18. Countermeasures, Inc., , http://www.buddysystem.net
  19. ISO/IEC17799 & ISO/IEC27001(revised BS7799 part 2), Code of Practice for Information Security Management. 2000
  20. BSI, http://www.bsi.bund.de/english/gshb/manual/index.htm, 2003
  21. NCSC, 사이버안전메뉴얼, 2004
  22. InJung Kim, YoonJung Chung, YoungGyo Lee, Dongho Won, 'A Time-Variant Risk Analysis and Damage Estimation for Large-Scale Network Systems,' ICCSA2005, LNCS3043, May, 2005
  23. Injung Kim, YoonJung Jung, JoongGil Park, Dongho Won, 'A Study on Security Risk Modeling over Information and Communication Infrastructure,' SAM04(Security and Management 2004), pp.249-253, 2004
  24. Yoon Jung Jung, InJung Kim, JoongGil park, Dongho Won, 'A Practical Security Risk Analysis Process of Information System,' pp.576-581, 4th APIS, 2005
  25. Yoon Jung Chung, InJung Kim, NamHoon Lee, Taek Lee, Hoh Peter In, 'Security Risk Vector for Quantitative Asset Assessment', LNCS 3481/2005, Computational Science and Its Applications - ICCSA2005 May, 9-12, 2005
  26. 정윤정, 김인중, 이철원, '실용적인 위험분석 방법론 설계와 모듈 구현,' 한국통신학회 논문지 제27권 11C호, 한국통신학회 2002
  27. 엄정호, 우병구, 김인중, 정태명, '정보시스템의 효율적인 위험 관리를 위한 실용적인 위험감소 방법론에 관한 연구', 정보처리학회논문지C, 제10-C권 제2호, 2003
  28. Namhoon Lee, YoonJung Jung, InJung Kim, JungGil Park, 'The design and Implentation of Risk Analysis Tools and Suitable Countermeasure Choice Algorithm,' pp.49-53, SCI2004, July, 2004. 3
  29. 김인중, 정윤정, 이남훈, 이재욱, '국가 공공기관 정보통신기반 시설에 대한 위협 분석시 고려사항,' WISC2003 논문집, 2003년 9월
  30. YoonJung Jung, InJung Kim, SeungHyun Kim, 'The Design and Implementation for the Practical Risk Analysis Tools', Second Summer School 2003 by IFIP WG9.2, 9.6/11.7, 9.8, August, 2003
  31. D.S. Kim, Y.J. Jung, and T.M. Chung, 'PRISM: A Preventive and Risk-Reducing Integrated Security Management Model Using Security Label,' The Journal of Supercomputing, Volume 33, Number 1, Pages: 103-121, July, 2005 https://doi.org/10.1007/s11227-005-0224-0
  32. 김영갑, 이택, 인호, 정윤정, 김인중, 백두권, '정보통신기반에 대한 피해파급 모델,' WISC2005. 2005년 9월
  33. US-CERT, 'US-CERT Vulnerability Notes Database,' http://www.kb.cert.org/vuls
  34. Common Criteria(CC), http://www.commoncriteria.org