• Review of KIISC
• /
• v.5 no.3
• /
• pp.38-48
• /
• 1995

다단계 보안 데이타베이스 관리체계(Multi-Level Secure Database Management System: MLS/DBMS)에서 모든 거래와 데이타는 각각 유일한 보안성을 가지고 있다 MLS/DBMS 상에서 동시수행중인 거래들은 공유 데이타를 접근하는 과정에서 충돌가능성을 항시 지니고 있다. 이러한 충돌을 해결하는 과정에서 만약 낮은 보안등급을 가지는 거래가 지연되는 현상이 발생하였을 경우, 높은 보안등급의 정보가 낮은 보안등급의 거래로 유출되어 결과적으로 보안정책을 위반하게된다 이러한 종류의 통신경로를 비밀경로라고 한다. 비밀경보 문제를 해결하기 위한 몇몇 종류의 거래관리 기법들이 제시되었다. 이들 기법들은 비록 비밀경로 문제를 해결하였지만, 불행하게도 이들은 보안의 또 다른 측면인 무결성에 대한 고려를 간과하고 있다. 본 논문에서 제안하는 고수준 보안 거래 관리기는 동시에 수행중인 거래들을 스케줄링하는 과정에서 정보의 기밀성 유지를 무결성의 손실없이 이루고 있다. 기밀성을 위하여 고수준 보안 거래관리기는 비완료된 데이타의 은닉에 방법적 기반을 두고 있다. 또한, 무결성을 얻기 위하여 데이타의 적절성을 판단하는 과정에서 데이타의 신뢰성을 최신성과 함께 고려하고 있다.

• Review of KIISC
• /
• v.18 no.3
• /
• pp.109-117
• /
• 2008

기업의 Network 보안은 회사의 관문 방화벽에만 의존하고 있어 보안정책의 집중으로 효율성이 저하되고 이를 우회할 경우 심각한 위험에 노출될 수 있다. 본 연구는 신속성, 보안강화 측면에서 Network보안 관리 모델을 제시하여 기업의 보안 수준을 강화하는 것을 목적으로 하고 있다. 따라서 기업 비즈니스 환경 변화를 배경으로 관련 연구 결과 및 Trend에서 제시하는 이론(802.1x 사용자 인증, Virtual Backbone 등)을 조사하고 이를 바탕으로 보안 강화 측면에서의 기업의 Network 구조와 보안정책 관리모델을 제시하여 이를 실제 기업 Network에 적용하여 얻어진 효과를 검증한다.

• Journal of the Korea Society of Computer and Information
• /
• v.24 no.11
• /
• pp.99-107
• /
• 2019

The "Risk management" and "Security monitoring" activities for cyber security are deeply correlated in that they prepare for future security threats and minimize security incidents. In addition, it is effective to apply a pattern model that visually demonstrates to an administrator the threat to that information asset in both the risk management and the security system areas. Validated pattern models have long-standing "control chart" models in the traditional quality control sector, but lack the use of information systems in cyber risk management and security systems. In this paper, a cyber Security Risk Monitoring (SRM) system that integrates risk management and a security system was designed. The SRM presents a strategy for applying 'security control' using the pattern of 'control charts'. The security measures were integrated with the existing set of standardized security measures, ISMS, NIST SP 800-53 and CC. Using this information, we analyzed the warning trends of the cyber crisis in Korea for four years from 2014 to 2018 and this enables us to establish more flexible security measures in the future.

• Review of KIISC
• /
• v.23 no.5
• /
• pp.12-19
• /
• 2013

본 연구는 정보보안관리의 중요성에 대해 지적하고, 적절한 정보보안관리에 대해 알아보기 위해 국외의 정보보안 관리 현황에 대해 조사연구하였다. 미국, 일본, 영국, 독일은 각각 정부기관에 의해 정보보안관리가 체계적으로 수행되고 있으며, 그 효과에 대해 면밀히 검토하여 우리나라에 적용할 수 있는 방안을 모색해보고자 한다.

• Review of KIISC
• /
• v.11 no.3
• /
• pp.16-23
• /
• 2001

위험관리는 정보기술 보안관리의 초석이라고 할 정도로 매우 중요하고 비용효과적인 보안대책을 구현, 운영하기 위해서는 반드시 실행되어야 하는 과정이다. 특히 최근의 보안관리체계 인증에 대한 수요가 점증되면서 위험관리의 중요성이 대두되고 있다. 본 고에서는 위험관리 과정에 대한 표준문서의 내용을 요약 정리하였고 새로운 위험관리 기법의 발전방향인 시나리오 기반의 위험관리에 대해 소개하며 기존의 대표적인 위험분석 자동화 도구에 대한 비교분석을 수행하였다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.19 no.6
• /
• pp.153-160
• /
• 2009

This study is to develop a human resource (HR) security framework, and related HR security indicators in the context of information security. The HR security framework consists of three constructs, personnel assurance, personnel competence, and personnel security control. Based on the framework, HR security management indicators are derived as 26 indicators in 9 items out of 3 categories. An empirical research has been performed to verify the relevance and consistency between the indicators by conducting a questionnaire-based survey. Also, interrelationships between the proposed indicators and HR related security level were analyzed by the multiple regression analysis. As a result, the proposed hypothesis were mostly accepted, showing the significant relationships between the indicators and security level.

• 한국IT서비스학회:학술대회논문집
• /
• 2008.05a
• /
• pp.452-455
• /
• 2008

유비쿼터스 사회가 도래함에 따라 유비쿼터스 기술을 도시에 적용한 u-City가 개발되고 있다. u-City는 다양한 정보화 기기들이 존재하며 정보화 기기 사이를 연결하는 다양한 네트워크 기술이 상존한다. u-City의 핵심 요소인 u-City 통합운영센터는 u-City 내의 모든 서비스를 처리하도록 설계되었으며, 도시를 통제 관리하는 중요한 업무를 수행한다. 이 중에서 보안관리 업무는 시스템에서 수집, 가공, 산출하는 데이터 및 정보의 보안유지를 위해 중요한 부분이다. 따라서 본 논문에서는 u-City 통합운영센터의 보안유지를 위한 기술적, 물리적, 관리적인 측면에서 보안관리 대책을 제시하였다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.386-389
• /
• 2003

KeyNote 기반의 네트워크 보안 정책 관리는 분산 환경에서 보안 정책을 관리하고 적용하는 시스템이다. 기존의 네트워크에서 보안 정책 관리는 각각의 시스템에 보안 정책을 설정하여야 하는 구조로 구성되어 있다. 본 논문에서는 이러한 문제점을 개선하기 위하여 KeyNote 기반의 분산 네트워크 환경 하에서 보안 정책 관리를 이용한 보안정책의 정의 및 설정, 변환 등에 관련된 구조에 대한 설계와 이를 구현한다.

• Convergence Security Journal
• /
• v.9 no.4
• /
• pp.1-6
• /
• 2009

Current paradigm of industrial security is changing into the effective operation and management from simple establishment of security equipments. If the physical security system(entry control system, video security system, etc.) and the IT integrated security control system are conversed, it makes us possible to prevent, disrupt and track afterwards the insider's information leakage through the risk and security management of enterprise. That is, Without the additional expansion of the existing physical security and IT security manpower, the establishment of systematic conversion security management process in a short time is possible and can be expected the effective operation of professional organization system at all times. Now it is needed to build up integrated security management system as an individual technique including the security event collection and integrated management, the post connected tracking management in the case of security accident, the pattern definition and real time observation of information leakage and security violation, the rapid judgement and response/measure to the attempt of information leakage and security violation, the establishment of security policy by stages and systematically and conversion security.

• Journal of KIISE:Information Networking
• /
• v.30 no.6
• /
• pp.776-786
• /
• 2003

Security Evaluation System is a system that evaluates the security of the entire enterprise network domain which consists of various components and that supports a security manager or a Security Management System in making decisions about security management of the enterprise network based on the evaluation. It helps the security manager or the security management system to make a decision about how to change the configuration of the network to prevent the attack due to the security vulnerabilities of the network. Security Evaluation System checks the “current status” of the network, predicts the possible intrusion and supports decision-making about security management to prevent the intrusion in advance. In this paper we analyze the requirements of the Security Evaluation System that automates the security evaluation of the enterprise network which consists of various components and that supports decision-making about security management to prevent the intrusion, and we propose a design for it which satisfies the requirements.