• 제목/요약/키워드: Information security requirement

검색결과 293건 처리시간 0.032초

Misuse Case 모델을 이용한 CC기반의 보안요구사항 분식 및 명제 방법론 (A Methodology for CC-based Security Requirements Analysis and Specification by using Misuse Case Model)

  • 최상수;장세진;최명길;이강수
    • 정보보호학회논문지
    • /
    • 제14권3호
    • /
    • pp.85-100
    • /
    • 2004
  • 모든 정보시스템은 보안기능이 강화된 정보보호시스템이라 할 수 있으며, 정보보호시스템의 품질을 높이기 위해서는 초기 요구사항 분석 단계에서 보안요구사항을 정형적이며 일관적으로 분석 및 명세하여야 한다. 본 논문에서는 UML의 Use Case 모델을 확장한 Misuse Case 모델을 이용하여 보안요구사항을 분석 및 명세하는 모델과 프로세스를 제시하였으며, 도출된 보안기능요구사항들을 제품화한 비용효과적인 보안제품 선정 알고리즘을 제시하였다. 제시한 모델 및 프로세스를 통해 개발된 정보보호시스템의 품질을 제고할 수 있을 것이다

정보시스템 감리에서의 정보보호 감리모형 설계 (A Design on the Information Security Auditing Framework of the Information System Audit)

  • 이지용;김동수;김희완
    • 디지털산업정보학회논문지
    • /
    • 제6권2호
    • /
    • pp.233-245
    • /
    • 2010
  • This paper proposes security architecture, security audit framework, and audit check item. These are based on the security requirement that has been researched in the information system audit. The proposed information security architecture is built in a way that it could defend a cyber attack. According to its life cycle, it considers a security service and security control that is required by the information system. It is mapped in a way that it can control the security technology and security environment. As a result, an audit framework of the information system is presented based on the security requirement and security architecture. The standard checkpoints of security audit are of the highest level. It was applied to the system introduction for the next generation of D stock and D life insurance company. Also, it was applied to the human resources information system of K institution and was verified. Before applying to institutions, system developers and administrators were educated about their awareness about security so that they can follow guidelines of a developer security. As a result, the systemic security problems were decreased by more than eighty percent.

Analyses of requirements for Network Security Technology

  • Kim, Jung-Tae
    • Journal of information and communication convergence engineering
    • /
    • 제5권1호
    • /
    • pp.64-67
    • /
    • 2007
  • IT industry strategy trend and home network security technology is presented. First, we consider the development strategy to improve next generation IT industry. Second, we have analyzed the technique for implementing home network. Last, we have analyzed the technique to security home network field.

Meeting Real Challenges in Eliciting Security Attributes for Mobile Application Development

  • Yusop, Noorrezam;Kamalrudin, Massila;Yusof, Mokhtar Mohd;Sidek, Safiah
    • 인터넷정보학회논문지
    • /
    • 제17권5호
    • /
    • pp.25-32
    • /
    • 2016
  • There has been a rapid growth in the development of mobile application resulting from its wide usage for online transaction, data storage and exchange of information. However, an important issue that has been overlooked is the lack of emphasis on the security issues at the early stage of the development. In fact, security issues have been kept until the later stage of the implementation of mobile apps. Requirements engineers frequently ignore and incorrectly elicit security related requirements at the early stage of mobile application development. This scenario has led to the failure of developing secure and safe mobile application based on the needs of the users. As such, this paper intends to provide further understanding of the real challenges in extracting security attributes for mobile application faced by novice requirements engineers. For this purpose, two experiments on eliciting security attributes requirements of textual requirements scenario were conducted. The performance related to the correctness and time taken to elicit the security attributes were measured and recorded. It was found that the process of eliciting correct security attributes for mobile application requires effort, knowledge and skills. The findings indicate that an automated tool for correct elicitation security attributes requirement could help to overcome the challenges in eliciting security attributes requirements, especially among novice requirements engineers.

선박용 Security Information Event Management (SIEM) 개발을 위한 보안 정책 모델에 관한 연구 (Research on Security Detection Policy Model in the SIEM for Ship)

  • 손금준;안종우;이창식;강남선;김성록
    • 대한조선학회논문집
    • /
    • 제61권4호
    • /
    • pp.278-288
    • /
    • 2024
  • According to International Association of Classification Societies (IACS) Unified Requirement (UR) E26, ships contracted for construction after July 1, 2024 should be designed, constructed, commissioned and operated taking into account of cyber security. In particular, ship network monitoring tools should be installed in accordance with requirement 4.3.1 in IACS UR E26. In this paper, we propose a Security Information and Event Management (SIEM) security policy model for ships as an effective threat detection method by analyzing the cyber security regulations and ship network status in the maritime domain. For this purpose, we derived the items managed in the SIEM from the maritime cyber security regulations such as those of International Maritime Organization (IMO) and IACS, and defined 14 detection policies considering the status of the ship network. We also presents the detection policy for non-expert crews to understand it, and occurrence conditions depending on the ship's network environment to minimize indiscriminate alarms. We expect that the results of this study will help improve the efficiency of ship SIEM to be installed in the future.

설계단계의 정보보호 활동 (Information Security Activities of The Design Phase)

  • 신성윤;김도관;;이현창;;박기홍
    • 한국정보통신학회:학술대회논문집
    • /
    • 한국정보통신학회 2016년도 추계학술대회
    • /
    • pp.745-746
    • /
    • 2016
  • 설계 단계는 분석단계에서의 요구사항이 정보시스템으로 구현되기 위해 해석되고 구체화되는 과정이다. 설계 단계에서는 정보보호 설계, 정보보호 시험계획 수립 활동이 수행 된다.

  • PDF

이용자의 금융거래정보 보호를 위한 확장 종단간(End-to-End) 암호화 기술과 보안고려사항 (Extensional End-to-End Encryption Technologies to Enhance User's Financial Information Security and Considerable Security Issues)

  • 성재모;이수미;노봉남;안승호
    • 정보보호학회논문지
    • /
    • 제20권4호
    • /
    • pp.145-154
    • /
    • 2010
  • 종단간 암호화는 계좌 비밀번호 및 계좌번호 등 주요 금융거래정보를 암호화하여 이용자 PC에서부터 전자금융거래 서버까지 보호하는 것을 의미한다. 초기에 적용된 종단간 암호화는 이용자 PC내에 평문으로 존재하는 구간이 없어야 한다는 기본적인 보안요구사항을 만족하지 못하여 전자금융거래 시 여러 해킹기법에 의해 취약함이 발견되었다. 따라서 확장 종단간 암호화 기술은 이용자의 금융거래정보에 대해 기밀성 및 무결성을 제공하여 유출, 위 변조 등의 위협으로부터 보호하고 있다. 본 논문에서 확장 종단간 암호화 기술에 대해 살펴보고 금융회사에서 확장 종단간 암호화 기술 적용 시 고려해야 할 보안 고려사항에 대해 알아본다.

컴포넌트기반 보안개발방법의 프레임워크 (Framework of Security Development Method based on Component)

  • 홍진근
    • 한국산학기술학회논문지
    • /
    • 제11권3호
    • /
    • pp.926-930
    • /
    • 2010
  • 본 논문은 컴포넌트 기반의 보안 시스템 개발을 위해 요구되는 개발 프레임워크에 관한 것이다. 정보시스템의 개발방법론 적용과 함께, 정보보호 제품의 개발방법론 적용이 현시점에 요구되고 있다. 본 논문에서는 개발방법의 NIST 요구규격, SDLC 단계별 요구기준, 위험평가 주요 보안 가이드 라인을 살펴보았다. 또한 SDLC 주요 보안 요소를 살펴보았고, 컴포넌트 기반 보안 프레임워크 수립에 대한 이해를 돕기 위해, 위협트리 STRIDE 기반의 외부 엔티티에 대한 스푸핑 측면에서 보안설계와 DFD 관계를 분석 제시하였다.

An Analysis of Security Threats and Security Requirements on the Designated PC Solution

  • Lee, Kyungroul;Lee, Sun-Young;Yim, Kangbin
    • 한국컴퓨터정보학회논문지
    • /
    • 제22권5호
    • /
    • pp.29-39
    • /
    • 2017
  • In this paper, we analyse security threats and security requirements about the designated PC solution which restricts usable PCs that are only an user own PCs or a registered PC for online banking or very important services. Accordingly, causable threats of the designated PC solution are classified a process, a network layer, a software module, and an environment of platform, and we draw security requirements based on analysed security threats. Results of this research are considered utilization of criteria for improving security of the designated PC solution and standards for giving hint of imposition of the designated PC solution.

원전 사이버보안 체계 개발 방안에 대한 연구 (development plan of nuclear cyber security system)

  • 한경수;이강수
    • 정보보호학회논문지
    • /
    • 제23권3호
    • /
    • pp.471-478
    • /
    • 2013
  • 산업제어시스템은 초기에 주로 아날로그 형태로 구축되었다. 그러나 산업발전에 따라 운영에 필요한 센서들이 증가하면서 시스템이 복잡해지고 정밀함이 요구되어 디지털 설계의 필요성이 높아졌다. 그런 필요성에 발맞추어 디지털 시스템들의 안정성은 크게 향상되었고, 최근에는 원전을 포함한 대부분의 제어시스템들이 디지털로 설계되고 있다. 산업제어시스템의 디지털 활용이 점차 개방화 표준화되면서 잠재적인 사이버 위협세력에 의한 제어시스템 침투 및 파괴 가능성이 매우 높아졌다. 이에 따라 국내 외에서는 위협의 식별과 효과적인 대책마련을 위하여 다양한 노력을 기울이고 있다. 본 논문은 관련지침 분석을 통해 제어시스템과 원전제어시스템의 공통되는 보안요구사항을 취하고, 향후 원전 인 허가 요건으로 필수적인 원전 사이버보안 체계 개발방안을 제안한다.