• Review of KIISC
• /
• v.17 no.3
• /
• pp.49-59
• /
• 2007

정보보호 시스템 평가제도는 안정성과 신뢰성이 검증된 시스템사용을 권장하고 이를 통해 정보보호 제품 개발을 유도하며 정보보호 산업 육성을 기여하기 위한 것이다. 최근 정보보호 제품의 해외 경쟁력 증대를 위하여 인증된 평가기관 설립의 필요성이 대두되고 있어 본 논문에서는 국내 환경에 적합한 국내 정보보호 시스템 평가인증 제도의 평가기관 자격 기준을 제안하고자 한다. 이를 위하여 본 논문에서는 해외 각 국의 인증 요구사항 및 절차를 항목별로 상세히 비교 분석하였으며, 이를 토대로 국내 실정에 맞는 국내 정보보호 시스템 평가기관 승인 요구사항을 도출하였다. 적절히 제안된 평가 기관 설립 기준안은 평가가기관의 추가 설립을 위한 기준안으로 활용될 수 있을 것으로 기대한다.

• Review of KIISC
• /
• v.5 no.1
• /
• pp.73-84
• /
• 1995

본 논문에서는 국내 정보보호 체계를 수립하기 위하여 외국에서의 정보보호 체계분석의 일환으로 영국의 정보보호 시스템 평사승인 체계에 대하여 분석하였다. 먼저 영국에서의 정보기관 구조를 소개하고, 정보보호 체계와 관련한 조직의 구성 및 임무에 대하여 기술하였다. 또한 영국의 정보보호 시스템 평가승인 절차를 분석하였으며 영국의 암호 알고리즘과 평가 기준서인ITSEC에 대해 분석하였다.

• Review of KIISC
• /
• v.5 no.1
• /
• pp.61-72
• /
• 1995

본 연구에서는 국내 정보보호 체계를 수립하기 위하여 외국정보보호 체계분석의 일환으로 미국의 정보보호 체계를 분석하였다. 본 논문에서는 먼저 미국의 정보보호 체계의 주요 기구인NCSC와 NIST의 역할을 알라보고, 미국의 컴퓨터 보안 프로그램으로서 TPEP, 네트워크 제품평가 및 DBMS평가방법에 대해서 분석하였으며 또한 통신 보안 프로그램으로 CCEP, 정부 승인 DES 제품 프로그램, EFT 인증 프로그램, PNSL, OLSL및 암호 제품의 판매 제한정책에 대하여 기술하였다.

• Journal of Digital Convergence
• /
• v.1 no.1
• /
• pp.69-91
• /
• 2003

The purpose of this paper is to provide several considerations to be taken into account when institutionalizing the information security(Infosec) pre-assessment. Infosec pre-assessment is a necessary process to embed the security requirements into the information systems at the early stages in their development, resulting in more cost-effective infosec. In order to provide some institutional issues, domestic infosec assessment schemes and U.S. Infosec certification and accreditation schemes are reviewed. Also, the current status of infosec implementation in the public information systems projects is analyzed. Based on the analyses, the seven suggestions are proposed in developing and performing the infosec pre-assessment scheme.

• Review of KIISC
• /
• v.13 no.6
• /
• pp.1-5
• /
• 2003

IT 산업이 급속히 발전하면서 정보보호와 관련된 문제가 중요한 고려 사항으로 대두되고 있다. 이러한 문제 해결의 일환으로 정보보호제품에 대한 수요가 증가하고 있으며, 또한 이들 정보보호제품의 안전 $.$신뢰성이 중요한 이슈로 부각되고 있다. 정보보호제품에 대한 보안성 평가가 이미 시행되고 있지만, 보안성 평가에는 비교적 많은 시간이 소요되므로 개발자가 평가 과정을 거쳐 적시에 제품을 시장에 출시하는 데에는 어려움이 따른다. 본 고에서는 정보보호 제품 개발 프로세스를 공통평가기준에서 요구하는 수준으로 개선하도록 함으로써, 제품 평가 준비 및 평가에 소요되는 비용과 시간을 경감시키고 평가의 효율성을 향상시킬 수 있는 방안을 모색하여 보고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2012.06a
• /
• pp.80-82
• /
• 2012

다양한 정보보호 제품이 개발됨에 따라, 정보보호 제품 보증을 위해 자체의 보안성 평가 및 인증이 중요시되고 있다. 정보보호 제품의 평가 및 인증을 위해서는 보안기능 검사와 취약점 분석 단계가 매우 중요하지만 이를 위한 정보보호 제품의 보안기능 시험과 취약성 분석을 위한 테스팅 절차에 대한 연구는 그 중요성에 비해 많이 수행되지 않았다. 현재까지는 보안제품을 기능별로 제품을 분류하여 보안성을 평가하였는데, 본 논문에서는 보안 제품들에서 공격에 취약한 SW 모듈 중심으로 테스팅 대상을 분류하는 방법을 제안한다. 분류된 SW 모듈별로 적합한 보안 테스팅 기법을 정의하고, 보안제품의 취약점을 효과적으로 탐지하기 위해 공개되어 있는 관련 취약점도 분석하였다. 이를 통해 정보보호 제품의 취약점 분석 및 제품 보안성 평가를 위한 SW 모듈별 보안 테스팅 절차를 수립하고, 테스트하였다. 실험을 통해 취약한 SW 모듈별 적절한 공격 기법 선정 시 제안 절차가 정보보호 제품 평가 인증에 활용될 수 있음을 확인하였다.

• The KIPS Transactions:PartC
• /
• v.12C no.5 s.101
• /
• pp.659-664
• /
• 2005

Advanced countries overhaul government workflows using IT, which not only enhances efficiency and productivity, but paves the way to a 'e-Government' offering prompt, quality service for citizens. This research analyzes the DiD(Defense-in-Depth Strategy) and compares the information protection strategy of Korean e-Government with DiD for reliable and safe e-Government's build.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.33 no.4
• /
• pp.699-707
• /
• 2023

DevSecOps is a concept that adds security procedures to the operational procedures of DevOps to respond to the short development and operation cycle. Multi-step vulnerability scanning process should be considered to provide reliable security while supporting rapid development and deployment cycle in DevSecOps. Many open-source vulnerability scanning tools available can be used for each stage of scanning, but there are difficulties in evaluating the security level and identifying the importance of information in integrated operation due to the various functions supported by the tools and different security results. This paper proposes an integrated security metric design plan for scurity results and the combination of open-source scanning tools that can be used in security stage when building the open-source based DevSecOps system.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.5
• /
• pp.1191-1204
• /
• 2012

As attackers try to paralyze information security systems, many researchers have investigated security testing to analyze vulnerabilities of information security products. Penetration testing, a critical step in the development of any secure product, is the practice of testing a computer systems to find vulnerabilities that an attacker could exploit. Security testing like penetration testing includes gathering information about the target before the test, identifying possible entry points, attempting to break in and reporting back the findings. Therefore, to obtain maximum generality, re-usability and efficiency is very useful for efficient security testing and vulnerability hunting activities. In this paper, we propose a threat analysis based software security testing technique for evaluating that the security functionality of target products provides the properties of self-protection and non-bypassability in order to respond to attacks to incapacitate or bypass the security features of the target products. We conduct a security threat analysis to identify vulnerabilities and establish a testing strategy according to software modules and security features/functions of the target products after threat analysis to improve re-usability and efficiency of software security testing. The proposed technique consists of threat analysis and classification, selection of right strategy for security testing, and security testing. We demonstrate our technique can systematically evaluate the strength of security systems by analyzing case studies and performing security tests.

• Journal of Environmental Impact Assessment
• /
• v.30 no.3
• /
• pp.164-174
• /
• 2021

Information on biodiversity plays an important role in conservation planning for ecosystem. As existing biodiversity indices are calculated and predicted only based on the number of individuals and species, it is difficult to explain aspects of genetic and ecological diversity. Phylogenetic diversity can indirectly evaluate ecological diversity as well as genetic diversity overlooked by existing biodiversity assessments. In this study, typical metrics of biodiversity (e.g., species diversity, species richness, etc.) and phylogenetic diversity were evaluated together using a long-term monitoring data of winter birds in Jungrang, Cheonggye and Anyang stream where are designated as Seoul migratory bird reserves. Then discussed the meaning of each assessmentresult. In Jungrang and Anyang stream, the number of individuals generally decreased overtime, whereas in Cheonggye stream, there was no significant change. In addition, species abundance increased over time slightly in Cheonggye stream, while there was no significant change in Jungrang and Anyang stream. Species diversity temporally increased in Jungrang and Cheonggye stream, excluding Anyang stream, but phylogenetic diversity showed a tendency to increase only in Cheonggye stream. These changes in the biodiversity assessment indices are thought to be due to anthropogenic disturbances such as construction that occurred within each site, and it was shown that species diversity and phylogenetic diversity do not always lead to the same assessment results. Therefore, this study suggests that biodiversity assessment needs to be considered from various contexts such as genetic and ecological perspectives.