• 디지털산업정보학회논문지
• /
• 제15권2호
• /
• pp.53-61
• /
• 2019

In this paper, we propose 'a self - conformance system of convergence security provider' to provide basic data for security and reliability of convergence industrial technology, system and service. It is difficult to evaluate convergence security systems, limited to information and communication service providers, unable to check convergence security items, burden of submission documents, difficulty in measuring convergence security service level and we will summarize product and service-based requirements that can be integrated and systematically measure the level of convergence security and define renewed life cycle-based convergence security information and content security and assurance requirements. On the basis of this, each convergence security company declares conformity with the standard itself without the certification of the certification body, and introduces the provider conformity certification system which can manufacture and sell. This will enable the company to strengthen its competitiveness through timely launch and implementation of products and services and cost reduction.

• 융합보안논문지
• /
• 제20권4호
• /
• pp.187-196
• /
• 2020

정보보호 위험평가를 위해 다양한 정보보호 수준 평가와 정보보호 관리체계 인증이 그 어느때보다도 대규모로 이루어지고 있다. 그러나 정보보호 수준평가 우수기업과 정보보호 관리체계 인증 우수기업에 대한 정보보호 침해 사례가 지속적으로 발생하고 있는 실정이다. 기존의 정보보호 위험평가 방법론은 사이버 위협이 어디로부터 유입되는지에 대한 검토와 각 유입경로 구간에 대한 보안장비들의 적절한 운영여부에 대한 검토 없이 정보시스템 내부의 정보자산들을 식별하여 위험도를 정성적으로 판단하여 분석하고 있는 실정이다. 현재의 위험평가 방안을 개선하기 위해서는 사이버 위협이 어디로부터 유입되는지 살펴보고 각 유입구간별 봉쇄수준을 향상시켜 불필요하게 유입되는 사이버 위협을 절대적으로 감소시킬 필요가 있다. 이와 더불어 현재의 위험평가 방법론에서 간과되고 있는 보안장비의 적절한 구성과 운영수준에 대한 측정과 향상이 반드시 필요하다. 사이버 위협의 출입구를 최대한 봉쇄하고 어쩔 수 없이 열려 있는 틈새를 통과해서 내부로 유입되는 사이버 위협을 각 보안장비를 동원하여 탐지하고 대응하는 것이 필요한 것이다. 이에 본 논문에서는 ISMS-P 인증항목과 주요정보통신기반시설 취약점 분석평가 항목에 사이버 위협에 대한 봉쇄수준을 평가할 수 있는 심사항목과 각 유입경로 구간에 대한 보안장비 구성 수준을 측정하는 심사항목을 추가 제안하고자 한다. 이를 통해 사이버 위협의 유입 자체를 감소시키고 사이버 침해사고의 가능성을 원천적으로 차단하는데 기여하고자 한다.

• 융합보안논문지
• /
• 제12권6호
• /
• pp.11-17
• /
• 2012

네트워크보안 성능평가는 복잡하고 다양한 시스템 환경에서 특정한 단일성능 측정 만으로는 성능평가 측정자체의 의미와 평가결과의 신뢰성이 한계일 수 밖에 없다. 본 논문에서는 보안 QoS의 MOS 측정기법을 사용한 보안기능 만족도 측정방법을 제시한다. 그 내용은 네트워크보안 QoS 만족도에 대한 MOS(Mean Opinion Score) 평가사양 및 운용방법을 개발하여 향후 정보시스템에 대한 고객의 만족도 평가에 활용될 수 있는 QoS 측정/분석 모델을 운용현장에서 활용토록한다. 시스템공급자(개발업체)와 시스템소비자(사용자) 모두가 성능측정 결과를 이용할 수 있도록 가능한 수준의 객관화된 형태의 기준과 방법체계를 개발한다. 개발내용은 보안기능, 네트워킹 기능과 이 두 기능을 종합적으로 평가하는 3개영역의 성능이 상호 연계되는 성능측정 방법론이다. 본연구의 제안 방법론을 사용하여 체계적인 측정환경을 설계 할 경우 운용시스템상에서 보안 QoS의 만족도 산출이 가능하다. 앞으로 다양한 성능측정 기준과 성능측정 방법을 추가적으로 확장하여 네트워크 보안시스템 만족도 평가방법을 업그레이드 시켜나가야 할 것 이다.

• 한국융합학회논문지
• /
• 제8권11호
• /
• pp.63-69
• /
• 2017

IoT 시스템에서의 미들웨어는 인간과 사물, 사물과 사물 사이를 연결하여 데이터를 주고받을 수 있도록 중간 매개체 역할을 하는 소프트웨어이다. IoT 미들웨어는 그 형태와 목적이 서로 상이한 이기종간의 하드웨어, 프로토콜 및 통신 등을 전 영역에 걸쳐서 다양한 형태로 존재한다. 그러므로 시스템 각각의 역할별 종류를 달리 설계하더라도 공통적으로 보안을 강화할 수 있는 방안이 필요하다. 본 논문에서는 SOA(Service Oriented Architecture) 접근방법을 이용한 IoT 미들웨어 구조를 분석하고 이를 바탕으로 시스템 보안요구사항을 설계하였다. 기존 시스템 개발방법과는 달리 검증을 위하여 공통평가기준(Common Criteria) 기반으로 평가대상물(TOE: Target Of Evaluation)을 정의하였다. 향후 제시된 미들웨어 시스템은 보안문제정의 및 보안목적과 상관관계를 나타냄으로서 보안이 강화된 IoT 시스템 구현 근거가 될 것이다.

• 한국항행학회논문지
• /
• 제14권2호
• /
• pp.247-252
• /
• 2010

IT 기술이 발전함에 따라 네트워크를 통해 방대한 양의 정보가 이동하고 있다. 인터넷을 사용하는 사용자들은 올바른 사용으로 유용한 정보를 획득할 수 있으나, 올바르지 않은 사용을 하는 공격자는 악의적인 목적으로 사용하기 위해 타인의 개인 정보를 노출시키고 유포하여 다양한 피해를 발생시키고 있다. 이를 해결하기 위하여 다양한 정보보호제품이 개발되고 있다. 안전한 정보보호제품을 개발하기 위해서는 개발 과정부터 보안이 필요하며, 안전한 제품을 보증하기 위하여 제품 평가 및 보안 모듈에 대한 평가 제도들이 사용되고 있다. 본 논문에서는 정보보호제품이 안전하게 개발될 수 있도록 기존 정보보호제품 인증 제도뿐만 아니라, 정보보호 기능을 제공하지 않는 제품을 개발할 때 시행되고 있는 다양한 인증 제도까지 포함하여 연구함으로써, 더욱 안전하고 견고한 제품 개발 및 보증 방안을 제안한다.

• 디지털융복합연구
• /
• 제12권6호
• /
• pp.289-295
• /
• 2014

침입탐지시스템은 컴퓨터 시스템 내 외부의 비정상적인 사용을 실시간으로 탐지하는 시스템으로 기업의 보안을 강화하고 불법적 의도를 사전에 감지하는 적극적인 보안 방안이다. 침입탐지시스템의 성능은 침입탐지시스템의 영역에 해당하는 정보수집, 침입분석, 침입대응, 침입탐지 결과 검토 및 보호, 대응행동, 손실방지 등에 관해 제 역할을 수행하고 있는가를 판단해야 한다. 본 연구에서는 이러한 침입탐지시스템의 요구사항과 소프트웨어 제품평가에 관한 ISO 국제표준을 근간으로 평가모델을 구성하였다.

• 융합보안논문지
• /
• 제3권2호
• /
• pp.57-65
• /
• 2003

보호프로파일은(Protection Profile)은 특정형태의 제품군이 지녀야 할 보안 목적을 사용자 그룹에서 요구한 명세서이며 보호프로파일의 가정사항은 TOE(Target Of Evaluation)의 물리적, 인적, 네트워크적 관점을 포함하는 사용 환경과 TOE의 사용제한, 잠재적인 자산 가치, 추가적인 적용의 관점을 포함하는 TOE 사용 방법상의 내용을 기술한 것이다. 본 논문에서는 NSA(National Security Agency) 침입탐지 시스템 보호프로파일과 국가기관용 침입탐지 시스템 보호프로파일의 가정사항 항목을 비교 분석하였다.

• Journal of information and communication convergence engineering
• /
• 제7권3호
• /
• pp.335-339
• /
• 2009

RFID security and privacy issues have been intensively studied in the research field, the authentication between RFID reader and tag is the fundamental them. Most of the existing authentication protocols draw assumptions on classic primitives. Since tags have small capacities, the security mechanisms which are in use in computer networks and communication are not suitable. In this paper, we compare and analyze recent technical research on the problems of privacy and security. It consists of security mechanism, threats and performance evaluation, etc.

• 한국전자거래학회지
• /
• 제10권3호
• /
• pp.67-83
• /
• 2005

CC(공통평가기준: Common Criteria, ISO/IEC 15408)는 국가간에 서로 다른 평가기준을 적용하여 평가함으로써 발생되는 문제점을 해결하기 위해 1999년 6월에 발표되었으며, 현재 공식버전은 v2.2이며 드래프트 버전으로 v3.0이 나와 있다. 국내외적으로 CC기반의 평가 수요가 증가되고 있으며 이에 따라 평가시장 창출이 예상되고 실제 평가지침 및 평가활동의 자동화, 평가프로젝트의 관리가 필요하다. 본 논문에서는 평가자원(예: 제출물, 평가기준, 평가자 등)을 관리하고 평가환경에서 효율적으로 이용 가능한 CC 기반 보안평가관리시스템 ( CC-SEMS: CC based Security Evaluation Management System)을 제시하였다. CC-SEMS는 프로젝트관리. 워크플로우관리, 프로세스관리의 어플리케이션을 통합한 것이며 제출물, 평가업무 프로그램, 관리 객체, 평가워크플로우 엔진으로 구성되어 있다.

• 한국IT서비스학회지
• /
• 제21권1호
• /
• pp.81-102
• /
• 2022

Although more than 99% of all Korean companies are small and medium-sized enterprises (SMEs), which accounts for a large part of the national economy, they are having difficulties in securing information protection capabilities due to problems such as budget and manpower. On the other hand, as 97% of cyber incidents are concentrated in SMEs, it is urgent to strengthen the information protection management and response capabilities of SMEs. Although the government is promoting company-wide information security consulting for SMEs, the need for supplementing it's procedures and consulting items is being raised. Based on the results of information security consulting supported by the government in 2020, this study attempted to derive improvement plans by interviewing SME workers, information security consultants, and system operators. Through the research results, it is expected to create a basis for SMEs to autonomously check the information security management system and contribute to the reference of related policies.