Browse > Article
http://dx.doi.org/10.13089/JKIISC.2009.19.6.175

Estimating Information Security Risk-Using Fuzzy Number Compromising Quantitative and Qualitative Methods  

Pak, Ro-Jin (Dankook University)
Lee, Dong-Hoon (Korea University)
Publication Information
Journal of the Korea Institute of Information Security & Cryptology / v.19, no.6, 2009 , pp. 175-184 More about this Journal
Abstract
There have been two methods of estimating computer related security risk such as qualitative and quantitative methods which have distinctive advantages or disadvantages. The former is too narrative and somehow abstract to implement and the latter produces concrete result but needs lots of data, so that it is needed to develop a method overcoming such difficulties. It is advised to mix such two methods in a proper way depending on the conditions of a computer system. In this article, a concept of fuzzy number is employed on the way of mixing the two methods and provide a simple example using fuzzy numbers. Simulation was conducted for an assumed model system and it is demonstrated how to calculated expected and unexpected risk.
Keywords
Fuzzy number; loss; risk;
Citations & Related Records
Times Cited By KSCI : 3  (Citation Analysis)
연도 인용수 순위
1 임채호, 박태완, 이경석, "전산망보안을 위한 위험관리기술지원서 개발 연구," 한국통신정보보호학회 종합학술발표회논문집, pp. 316-323, 1994년 11월
2 주성진, 김종, "온라인 위험 가능성 평가를 통한 지속적인 보안관리 체계," 한국정보보호학회 종합학술발표회논문집, pp. 544-547, 2002년 11월
3 최상수, 방영환, 최성자, 이강수, "보안관리 및 위험분석을 위한 분류체계, 평가기준 및 평가스케일의 조사연구," 정보보호학회지, 13(3), pp. 38-49, 2003년 6월
4 CCTA, CRAMM User's Guide (Version 2.0), The central computer and telecommunication agency, 1991
5 조경식, "보안위험분석을 위한안정성 평가 시스템 설계 및 구현," 한국컴퓨터정보학회논문지, 12(2), pp. 333-339, 2007년 5월
6 문호건, 최진기, 김형순, "ISP(Internet Service Provider)네트워크의 정량적인 위험분석을 위한 시스템 설계 및 구현," 정보보호학회논문지, 14(2), pp. 101-111, 2004년 4월
7 Microsoft Corporation, 보안위험관리 가이드, http://www.microsoft.com/koera/technet, 2004
8 Computer Security Institute, "2006 CSI/FBI Computer Crime and Security Survey," 2006
9 송문섭, 비모수 통계학(S-LINK를 이용한), 자유아카데미, 2003년 8월
10 김진호, 리스크의 이해, 경문사, 2005년 8월
11 이재창, 이용구, 수리통계학개론, 경문사, 2008년 11월
12 문호건, 이종필, "ISP(Internet Service Provider)의 네트워크 보안 위험을 고려한 예상 자산손실 모델링," 한국정보보호학회 동계학술대회 pp. 121-127, 2003년 12월
13 한국정보보호진흥원, 인터넷침해사고 동향 및 분석 월보, 2008년 11월
14 박중길, "정량적 방법을 이용한 위험분석 방법론 연구," 정보처리학회논문지C, 13(7), pp. 851-858, 2006년 12월
15 이성만, 이필중, "해외의 보안위험분석 방법론 현황 및 분석," 한국통신정보보호학회 종합학술발표회논문집, pp. 288-302, 1994년 11월
16 이광현, 오길록, 퍼지이론과 응용 I, II, 홍릉과학출판사, 1997년 5월
17 윤정원, 신순자, 이병만, "자동화 위험분석도구의개발 및 적용과정을 통하여 분석한 국내 정보시스템 보안관리체계의 문제점," 한국통신정보보호학회 종합학술발표회논문집, pp. 68-77, 1997년 11월
18 한국전산원, 정보시스템 보안을 위한 위험 분석 실무 지침서, 2007년 12월
19 G. Stoneburner, A. Goguen, and A. Feringa, "Risk Management Guide for Information Technology Systems," NIST, 2002
20 윤정원, 신순자, 김기수, 이병만, 송관호, "전산 시스템 보안을 위한 자동화 위험분석 도구(HAWK: Hankuk risk Analysis Watch-out Kit)의 개발에 관한 연구," 한국통신정보보호학회 종합학술발표회논문집, pp. 65-74, 1996년 11월
21 이혁로, 안성진, "객체지향 자산분류모델을 이용한 위험분석에 관한 연구," 한국인터넷정보학회 논문지, 9(4), pp. 79-84, 2008년 8월
22 유동선, 이교원, 기초퍼지이론, 교우사, 1998년 3월
23 김성원, 김휘영, 권영찬, 윤호상, 김철호, "네트워크 기반의 실시간 위험관리를 위한 위험분석 및 평가 방법연구," 한국컴퓨터종합학술대회논문집, pp. 29-34, 2007년 6월