Tools for Web-Based Security Management Level Analysis

웹기반 보안 관리 수준 분석 도구

  • 김점구 (남서울대학교 컴퓨터학과) ;
  • 최경호 (경기대학교 산업기술보호특화센터) ;
  • 노시춘 (남서울대학교 컴퓨터학과) ;
  • 이도현 (남서울대학교 IT융합기술사업단)
  • Received : 2012.05.31
  • Accepted : 2012.06.11
  • Published : 2012.06.30

Abstract

Today, the typical web hacking attacks are cross-site scripting(XSS) attacks, injection vulnerabilities, malicious file execution and insecure direct object reference included. Web hacking security systems, access control solutions, access only to the web service and flow inside but do not control the packet. So you have been illegally modified to pass the packet even if the packet is considered as a unnormal packet. The defense system is to fail to appropriate controls. Therefore, in order to ensure a successful web services diagnostic system development is necessary. Web application diagnostic system is real and urgent need and alternative. The diagnostic system development process mu st be carried out step of established diagnostic systems, diagnostic scoping web system vulnerabilities, web application, analysis, security vulnerability assessment and selecting items. And diagnostic system as required by the web system environment using tools, programming languages, interfaces, parameters must be set.

기존의 보안 관리 수준을 측정하기 위한 방법들이 다양하지만 IT 자산을 중심으로 한 평가만이 이루어지고 있는 관계로 조직 전반에 걸친 분석이 이루어지지 못했다. 따라서 본 논문에서는 보안 관리 수준 점검을 손쉽게 할 수 있도록 웹 기반 보안 관리 수준 분석 도구에 대해 제시한다. 본 도구의 경우는 전사적 정보 보호 관리 방법론인 ISO 27001의 보안통제 항목들을 기반으로 설문 내용을 구성하였다.

Keywords

References

  1. 이강신 외, "국내․외 정보보호 관리 모델에 관한 고찰", 정보보호학회지 제 11 권 제 3호, 2001. 6, pp 24-37.
  2. BSI, "Information security management - Part 1 : Code of Practices for Information Security Management", 연구 개발은-1:1999, 1999.
  3. ISO/IEC, "Guidelines for the Management of IT Security(GMITS)," TR 13335, 2000. 3.
  4. NIST, SP300-3, 4, 12, 14, 16, 18, http://www.nist.gov.
  5. 박정현, "업무 연속성 유지를 위한 5단계와 프로젝트 시작 및 관리," 정보보호 21C, 2002. 3, pp78-80.
  6. SSE-CMM, "Project, Systems Security Engineering Capability Maturity Model(SSE-CMM) - Model Description Document," V.2, http://www.sse-cmm.org, 1999. 4.
  7. 박현우 외, "정보 시스템을 위한 범용 웹기반 위험 분석 프로세스," 2002 한국 디지털 컨텐츠 학회 학술대회(DCS 2002) 논문집, Vol.3, 2002. 12, pp 205-209.
  8. 정효숙 외, "표본 조사 학습을 위한 웹 설문 분석 시스템의 설계 및 구현," 한국 정보 교육 학회, 정보 교육 학회 논문지, 2000, pp375-384.
  9. 김광용 외 "웹 설문 조사의 기술적 방법론 문제에 관한 연구," 한국 경영 학회, 1999년도 하계 경영학 관련 통합 학술 대회 발표 논문집, 1999, pp237 -242.
  10. 김광용 외, "인터넷 설문 조사를 활용한 사이버 쇼핑몰 디자인에 관한 연구," 경영 정보학 연구 제 9 권 제 2 호, 1999. 6, pp133-150.
  11. CSI, "IPAK(Information Protection Assessment Kit)," http://www.gocsi.com.
  12. 신수정, "주요 정보보호 실행 기준들의 구조 및 특징," 정보보호 21C, 2002. 4, pp76-81.
  13. 조태희, "주요 정보통신 기반시설 취약점 분석․ 평가 모델," KISA KTnet-2002 발표자료, 2002.
  14. NIST, "Risk Management Guide for Information Technology Systems," SP800-30, Oct. 2001.
  15. 이경서, "조사 방법론," 학문사, 2001.