• Electronics and Telecommunications Trends
• /
• v.12 no.5 s.47
• /
• pp.84-94
• /
• 1997

정보제품에 대한 보안성 평가를 통해 정보보안 사고를 사전에 예방하기 위해 각 국에서는 독자적인 보안 평가기준을 만들어 시행하여 왔다. 이들 기준간에는 호환성이 없으며, 평가결과가 상호 인증되지 않기 때문에 평가의 중복성 문제를 유발하였다. 이러한 문제를 해결하기 위한 새로운 보안 평가기준으로 최근에 CC(Common Criteria)가 발표되었다. 본 고에서는 보안 평가기준의 중요성 인식제고와 이 분야의 국내 기술 발전계획을 수립하는 데 필요한 기초 자료를 제공하기 위해 우선 보안 평가기준의 발전과정을 전반적으로 살펴보고, 향후 국제 표준으로의 채택이 유력시 되어 주목을 받고 있는 CC가 무엇이며 어떤 특성을 갖는지 분석하였다. 또한 보안 평가기술의 향후 발전 전망과 이에 따른 우리의 바람직한 대응 방안을 제시하고자 한다.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2007.06a
• /
• pp.765-768
• /
• 2007

In this paper, the security evaluation method about mobile web services message is suggested in the method for improving the safety an reliability about the mobile web services message. In order that the goal of this paper is accomplished, the security threat and the security vulnerability which can be occurred in the mobile web services message are defined. The evaluation method for performing the security evaluation about the mobile web services message is defined. Also, the requirements for the mobile web services message security evaluation are defined. Finally, the evaluation framework for performing the mobile web services message security evaluation is constituted, and the evaluation scenario example is suggested. By using the mobile web services message security evaluation defined in the paper, before the mobile web services is deployed, the security threats and security vulnerability can be verified. Also, the countermeasure for the security threat and security vulnerability discovered in the verification result can be prepared. Therefore, the sorority and reliability about the mobile web services can be improved.

• Proceedings of the KAIS Fall Conference
• /
• 2009.12a
• /
• pp.578-581
• /
• 2009

본 논문에서는 통합보안관리 시스템에 대해서 주요 기능을 분석하고 시장동향을 조사하였으며, 기존의 소프트웨어 품질 평가 기술 및 표준화에 관한 연구를 추진하고, 통합보안관리 시스템의 보안성 품질 평가 모델을 개발하였다. 본 연구를 통하여 도출된 통합보안관리 시스템의 보안성 품질 평가 모델을 통하여 통합보안관리 시스템의 품질을 향상시키는데 중요한 역할을 할 것으로 본다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.335-339
• /
• 2001

국외의 경우엔 일찍부터 컴퓨터 시스템 평가기준이 제정되어 활용중이나 국내의 경우엔 아직 평가기준이 없는 상태이다. 본 논문에서는 국내외 정보시스템의 보안 요구사항과 보증 요구사항을 바탕으로 리눅스 기반 PC의 보안성 평가기준을 제안하고자 한다. 평가등급은 KL(Korea Linux)1, KL2, KL3 등의 3등급으로 분류하였다. 제안된 평가기준은 오픈 소스기반의 리눅스를 이용하여 보안기능을 강화한 운영체제 개발방향을 제시하였고, 보안 시스템 구축의 방향 및 보안표준에 대한 복잡한 문제를 줄였다. 또한 국제공통평가기준(CC : Common Criteria)의 보안기능부분과 보증부분을 거의 수용함으로써, 외국의 보안성 평가기준과 상호 운용이 가능하다.

• Journal of KIISE:Information Networking
• /
• v.30 no.6
• /
• pp.776-786
• /
• 2003

Security Evaluation System is a system that evaluates the security of the entire enterprise network domain which consists of various components and that supports a security manager or a Security Management System in making decisions about security management of the enterprise network based on the evaluation. It helps the security manager or the security management system to make a decision about how to change the configuration of the network to prevent the attack due to the security vulnerabilities of the network. Security Evaluation System checks the “current status” of the network, predicts the possible intrusion and supports decision-making about security management to prevent the intrusion in advance. In this paper we analyze the requirements of the Security Evaluation System that automates the security evaluation of the enterprise network which consists of various components and that supports decision-making about security management to prevent the intrusion, and we propose a design for it which satisfies the requirements.

• 한국IT서비스학회:학술대회논문집
• /
• 2003.05a
• /
• pp.363-370
• /
• 2003

지금까지 국내 보안감리 평가는 정성적인 평가에 머물러 있어 평가를 담당하는 감리인마다 평가 결과가 서로 상이하여 피 평가자에게 신뢰를 심어주지 못하는 결과가 초래되고 있다. 본 연구에서는 보안감리에 대한 국내의 연구와 해외 사례를 참조하여 SI사업에서의 보안감리평가 효율성을 제고할 수 있는 방안 및 평가체계를 정량화하는 방안을 제시하였다. 이를 위해 SI사업의 소프트웨어 개발 및 개발 환경(네트워크, 서버 등)을 중심으로 한국전산원에서 제시하고 있는 보안감리 지침과 한국정보시스템감리인협회의 보안관련 세부 감리지침을 통합하고 세부 감리지침에 따른 평가를 정량화 하였다. 보안감리 평가의 정량화 방안에 대한 감리전문가의 인터뷰와 사례 프로젝트의 적용을 통하여 연구 모형에 대한 검증을 실시하였다.

• Journal of KIISE:Computing Practices and Letters
• /
• v.11 no.2
• /
• pp.192-207
• /
• 2005

As the evaluation for the information security has been an important issue, numerous security evaluation methods have been proposed. Those security evaluation methods can be categorized into three different aspects in large including product, process and control. In this paper we identify the possible problems that may occur when one-sided security evaluation is conducted that is on the aspect of product, process or control alone, present with the actual example of threat, and propose an approach to resolve each problem. Based on these approaches, we propose the security evaluation model, which incorporates these three aspects of product, process and control.

• Review of KIISC
• /
• v.11 no.3
• /
• pp.38-48
• /
• 2001

다양한 정보보안 평가 방법론들 중에서 BS7799는 정보시스템을 운영하는 조직 전반의 보안 상태를 평가하는데 유용한 방법론으로서, 여러 나라에서 활용하고 있으며 최근에는 국제표준으로 채택되었다. 본 고에서는 BS7799에서 제시하고 있는 보안통제 항목과 정보보안관리시스템의 구축 및 이의 객관적인 평가를 위한 인증 방법을 살펴본다. BS7799는 전자상거래를 수행하는 기업들 사이에 보안 수준에 대한 상호 신뢰를 확인하기 위한 방법으로 활용될 수 있으며, 최근에 제정된 정보통신기반보호법에서 요구하고 있는 취약성 평가에도 적용될 수 있을 것이다.

• Proceedings of the Korean Information Science Society Conference
• /
• 1999.10c
• /
• pp.363-365
• /
• 1999

오늘날 전세계를 하나로 잇는 정보화사회는 보다 신뢰성 있는 네트워크 보안제품을 요구하며 이들 제품을 객관적으로 평가하기 위한 평가기준을 필요로 한다. 따라서 본 논문에서는 국내 네트워크 보안제품 관련 평가기준(안) 제정을 위해 국제공통평가기준인 CC(Common Criteria)와 미국의 네트워크 보안제품 관련 평가기준인 TNI(Trusted Network Interpretation of TCSEC)를 비교/분석하여 필요한 보안기능 요구사항을 도출하여 향후 평가기준(안) 제정을 위한 방향성을 제시한다.

• Review of KIISC
• /
• v.10 no.3
• /
• pp.37-48
• /
• 2000

국제 공통평가기준(CC)은 정보보호제품의 개발·평가·사용을 위한 ISO 15048 국제 표준이다. 국제 공통평가기준의 제 2부 보안기능 요구사항은 정보보호제품의 보안 기능을 11개 클래스로 분류하였고 13개국 인증제품 상호승인 협정(MRA)에 의하여 교차 사용이 가능한 평가된 보안제품을 해설할 수 있는 공통언어로써 사용할 수 있다 보호프로파일(PP)은 특정형태의 제품군의 지녀야 할 보안 목적을 사용자 그룹에서 요구한 명세서이다. 보호프로파일은 제품군의 운영환영, 위협요소를 분석하고 보안기능 요구사항의 부분 집합들을 모아서 제품군이 목표로 하는 보안 목적들을 주장할 수 있다.