• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권1호
• /
• pp.406-434
• /
• 2019

In general, an information security approach estimates the risk, where the risk is to occur due to an unusual event, and the associated consequences for cloud organization. Information Security and Risk Management (ISRA) practices vary among cloud organizations and disciplines. There are several approaches to compare existing risk management methods for cloud organizations but their scope is limited considering stereo type criteria, rather than developing an agent based task that considers all aspects of the associated risk. It is the lack of considering all existing renowned risk management frameworks, their proper comparison, and agent techniques that motivates this research. This paper proposes Agent Based Information Security Framework for Hybrid Cloud Computing as an all-inclusive method including cloud related methods to review and compare existing different renowned methods for cloud computing risk issues and by adding new tasks from surveyed methods. The concepts of software agent and intelligent agent have been introduced that fetch/collect accurate information used in framework and to develop a decision system that facilitates the organization to take decision against threat agent on the basis of information provided by the security agents. The scope of this research primarily considers risk assessment methods that focus on assets, potential threats, vulnerabilities and their associated measures to calculate consequences. After in-depth comparison of renowned ISRA methods with ABISF, we have found that ISO/IEC 27005:2011 is the most appropriate approach among existing ISRA methods. The proposed framework was implemented using fuzzy inference system based upon fuzzy set theory, and MATLAB(R) fuzzy logic rules were used to test the framework. The fuzzy results confirm that proposed framework could be used for information security in cloud computing environment.

• 융합보안논문지
• /
• 제8권1호
• /
• pp.117-127
• /
• 2008

국내 보안관리 시스템의 후진성은 선진기술을 가진 외국 보안업체에 의존하는 현상을 낳았고, 이는 국내 기업은 물론 공공기관의 기밀사항이 외국에 유출될 위험을 내포하고 있다. 따라서 본 논문은 국내 공공망의 안전성 유지를 위한 자동화 보안분석 시스템을 설계 구현함으로서 보안성 분석기술을 확보하고, 이를 이용 공공기관의 보안수준을 높이며 외국업체에 대한 의존도를 줄여 국가 보안 안전성 확보에 기여하고자 한다.

• 한국전자거래학회지
• /
• 제25권3호
• /
• pp.109-130
• /
• 2020

최근 기술의 혁신을 위한 연구개발의 중요성이 커지고 있다. 연구개발의 급속한 발전은 다양한 긍정적 효과가 있지만, 동시에 정보 및 기술에 대한 유출 범죄를 가속화시키는 부정적 영향 또한 존재한다. 본 연구에서는 점차 심각해지는 연구개발 결과물 유출 사고를 대비하기 위해 조직 차원에서 이루어지는 연구개발 환경을 안전하게 보호할 수 있는 연구보안 수준측정 모형을 개발하였다. 먼저 국내외 연구개발 관련 보안정책들을 분석하고 종합하여, 연구보안 수준평가 항목 10개(연구보안 추진체계, 연구시설과 장비 보안, 전자정보 보안, 주요 연구정보 관리, 연구노트 관리, 지식재산권/특허 관리, 기술사업화 관리, 내부연구원 관리, 인가된 제3자 관리, 외부자 관리)를 전문가 인터뷰를 통해 도출하였다. 다음으로, 도출한 연구보안 수준평가 항목을 조직의 연구개발 환경에 다차원적 관점에서 적용 가능하도록 연구보안 수준평가 모형을 설계하였다. 마지막으로 모형에 대한 타당성을 검증하고, 실제 연구개발을 수행하는 조직을 대상으로 시범 적용하여 연구보안 수준을 평가해보았다. 본 연구에서 개발한 연구보안 수준평가 모형은 실제 연구개발을 수행하고 있는 조직 및 프로젝트의 보안 수준을 적절하게 측정하는 데 유용하게 활용될 수 있을 것으로 기대되고, 연구개발을 직접 수행하는 연구원들이 자체적으로 연구보안 체계를 수립하고 보안관리 대책을 마련하는 데 도움이 될 것이라 판단된다. 또한 연구개발을 수행하는 조직 차원의 보안성 향상뿐만 아니라 프로젝트 단위의 연구개발을 안전하게 수행함으로써, 연구개발 투자에 대한 안정적이고 효과적인 성과를 낼 수 있을 것이라 기대한다.

• 한국국방경영분석학회지
• /
• 제27권1호
• /
• pp.89-100
• /
• 2001

Information technology has been made remarkable progress and most of computer systems are connected with internet over the world. We have not only advantages to access them easy, but also disadvantages to misuse information, abuse, crack, and damage privacy. We should have safeguards to preserve confidentiality, integrity and availability for our information system. Even tough the security is very important for the defense information system, we should not over limit users availability. BS7799, a British standard, is an evaluation criteria for information security management. In this paper we propose an audit model to manage and audit information security using control items of BS7799, which could be useful to mange the defence information system security. We standardize audit items, and classify them by levels, and degrees by using appropriate audit techniques / methods / processes.

• 정보보호학회논문지
• /
• 제19권6호
• /
• pp.145-152
• /
• 2009

전기, 가스, 교통 등 주요 기반시설을 감시 제어하는 SCADA 시스템은 보안관리 소홀로 제어권한이 공격자에게 절취당하거나 서비스를 하지 못할 경우 국가적으로 큰 손실과 혼란을 초래할 수 있다. 따라서 SCADA 시스템은 구축시 완벽한 보안대책을 함께 강구하고 사후 보안관리도 철저히 하여야 한다. SCADA 시스템은 일반 정보시스템과는 서비스 응답, 통신 프로토콜, 네트워크 구조 등에서 상이한 특성을 지니므로 SCADA 시스템의 특성에 맞는 보안구조 및 기술을 개발하고, 국가차원에서 보안관리를 위한 법적근거를 마련할 필요가 있다. 본 논문에서는 SCADA 시스템에 관한 보안취약요인을 분석하고 이를 토대로 사이버공격에 대한 SCADA 시스템의 안전성 확보방안을 모색해 보았다.

• 융합보안논문지
• /
• 제10권4호
• /
• pp.39-48
• /
• 2010

복잡한 환경에서 안전한 IT환경은 하나이상으로 분리된 데이터의 그룹으로 나뉘어 같은 시스템에 상주하지 않게 함으로서 그 목적을 얻을 수 있다. 이러한 시스템의 사용자는 특정 데이터에 접근하는 방법과 등급을 다르게 하여야 한다. 정보구조, 물리적 구조, 사용자 권한 및 응용프로그램 보안 정책을 위한 유지 보수 등은 이러한 환경 관리를 더욱 복잡하게 하고 보안 관리자의 수의 증가를 가져온다. 본 논문은 이러한 환경관리를 위한 CM 툴을 시스템 공학의 CASE 툴을 모델로 하여 제안하고자 한다. 시스템 공학의 모델링 기법은 다중 정보 보안을 처리하는 데 사용할 수 있다. SE의 CASE 툴 모델은 동일 시스템에 대한 논리와 물리적인 관리를 쉽게 할 수 있는 중요한 구성 요소를 가지게 된다. CASE 툴의 확장된 영역은 물리적인 CM 툴을 사용자 친화적이고 안전한 IT시스템의 관리 환경의 문제점을 해결하는 기본을 제공하게 될 것이다.

• 한국멀티미디어학회논문지
• /
• 제20권12호
• /
• pp.1970-1979
• /
• 2017

Computerization of educational administration following educational informatization of government has been steadily improved for the purpose of teachers' offload and job efficiency, finally resulting that NEIS(National Education Information System) has been completed. The NEIS consists of Nationwide service of NEIS, Business portal system of NEIS, Authentication management system and so on. Students, parents and civil petitioners handle civil affairs through Nationwide service of NEIS and teachers and persons of task conduct theirs business by accessing the Business portal system of NEIS. At this time, users have to obtain their certification from Authentication management system. Previous Studies were mainly focused on the evaluation about its performance according to the introduction of NEIS. But from now on there is a growing interest in security assessment and an efficient method for security improvement to check if NEIS works properly. Therefore, in this thesis, we'll propose an analytic framework in which security assessment is carried out after comprehending the fault structures through performing Fault Fishbone Analysis based on the Fault Tree Analysis. As a result of the system applied, the system had the highest rate of improvement to 47.7 percent.

• 한국컴퓨터정보학회논문지
• /
• 제7권4호
• /
• pp.141-149
• /
• 2002

최근 네트워크 구성이 복잡해짐에 따라 정책기반의 네트워크 관리기술에 대한 필요성이 증가하고 있으며, 특히 네트워크 보안관리를 위한 새로운 패러다임으로 정책기반의 네트워크 관리 기술이 도입되고 있다. 보안정책 서버는 새로운 정책을 입력하거나 기존의 정책을 수정, 삭제하는 기능과 보안정책 결정 요구 발생시 정책결정을 수행하여야 하는데 이를 위해서는 보안정책 실행시스템에서 보내온 경보 메시지에 대한 분석 및 관리가 필요하다. 따라서 이 논문에서는 정책기반 네트워크 보안관리 프레임워크의 구조 중에서 보안정책 서버의 효율적인 보안정책 수립 및 수행을 지원하기 위한 경보데이터 관리기를 설계하고 구현한다. 경보 데이터 관리기는 데이터 마이닝 기법을 적용하여 경보 관리기나 고수준 분석기가 효율적으로 경보데이터를 분석하고 능동적인 보안정책관리를 지원할 수 있도록 한다.

• 컴퓨터교육학회논문지
• /
• 제7권5호
• /
• pp.93-99
• /
• 2004

인터넷에 기반하고 있는 전자상거래에서 무엇보다도 중요한 기술 요소는 거래 정보를 교환하는데 있어서 안정성을 보장하는 것이다. 이러한 보안 문제를 위한 다양한 기술들이 표준으로 제시되고 있다. 그 중에서도 XML(eXtensible Markup Language)이 전자상거래 시스템의 문서 표준으로 다양한 분야에서 사용되면서 XML 보안이 새로운 분야로 등장하였다. 본 논문에서는 웹 서비스(Web Services) 기반의 전자상거래 시스템에서 거래 정보의 안전한 교환을 위한 XML 보안 모델을 제안한다. XML 문서에 대한 보안을 이루기 위해서 XML 서명, XML 암호화와 XML 키 관리 체계가 기존의 보안과 다른 차이점을 제시하고 고유 특성에 바탕을 둔 새로운 구조를 제시한다. 특히 전자상거래에 필요한 프로세스 관리 시스템과의 통합을 이룰 수 있는 방안을 제시한다.

• 정보처리학회논문지C
• /
• 제9C권4호
• /
• pp.467-472
• /
• 2002

근래의 네트워크는 인터넷의 여러 보안 위협과 시스템의 취약성들로 인해 보안시스템의 도입, 보안 컨설팅 등을 통하여 시스템 보안에 많은 노력을 기울이고 있다. 통합보안관리시스템은 다수의 보안시스템 및 방화벽으로 구성된 보안 영역을 설정하고, 각각의 보안 제품들에 대해 일관성 있는 보안정책을 적용하는 시스템이다. 통합보안관리를 위해서는 적절한 정책과 더불어 정책을 적용할 보안시스템의 선정이 기본이 된다. 특히 통합보안관리시스템에서의 방화벽은 하나의 패킷흐름에 대해 패킷 경로에 놓인 여러 개의 방화벽 시스템이 관여를 하게 된다. 본 논문에서는 다수의 방화벽으로 구성된 통합보안관리시스템에서 접근제어 정책을 수행할 방화벽을 선정함에 있어서 문제점을 살펴보고 정책을 설정할 방화벽 선정 알고리즘인 FALCON 알고리즘을 제시한다. FALCON 알고리즘의 사용으로 방화벽 선정에 있어서 안정성, 확장성, 간결함 등의 이점을 기대할 수 있다.