• 제목/요약/키워드: Security controls

검색결과 203건 처리시간 0.036초

원자력시설의 필수디지털자산에 대한 기술적 보안조치항목에 대한 연구 (A Study on the Implementation of Technical Security Control for Critical Digital Asset of Nuclear Facilities)

  • 최윤혁;이상진
    • 정보보호학회논문지
    • /
    • 제29권4호
    • /
    • pp.877-884
    • /
    • 2019
  • 기술발전에 따라 원자력시설에 사용되는 장비가 아날로그 시스템에서 디지털 시스템으로 변경되는 추세이다. 컴퓨터와 디지털시스템의 비율이 증가함에 따라 원자력시설은 사이버 위협에 노출되었다. 그 결과 사이버보안에 대한 관심이 높아지고 사이버 공격으로부터 시스템을 보호해야 한다는 인식의 변화가 생겼다. 국내 규제기관에서 발행한 KINAC/RS-015는 필수디지털자산에 대해 101가지 사이버보안 통제항목을 제시하였지만 디지털자산의 특성을 고려하지 않은 일반적인 항목이다. 모든 사이버보안 통제항목을 필수디지털자산에 적용하는 것은 많은 작업량과 효율성을 떨어뜨린다. 본 논문에서는 필수디지털자산의 특성을 파악하고 적절한 보안조치항목을 제시함으로써 효과적인 사이버 보안 통제항목 적용을 제안한다.

EDI시스템에 있어서 내부통제가 정보시스템 보안성 및 유용성에 미치는 영향 (The Impact of Internal Control on the Security and Usefulness of EDI System)

  • 한인구;이재창
    • Asia pacific journal of information systems
    • /
    • 제9권3호
    • /
    • pp.143-157
    • /
    • 1999
  • EDI is one of the most important information technologies in todays business environment. This study is an exploratory study on the EDI control of Korean companies in their early stage of EDI implementation. The purpose of this study is to examine the impact of EDI controls on the security and usefulness of EDI systems for Korean companies who have adopted EDI. The data of fifty-one Korean companies for financial, manufacturing, and trade industries are collected by the mail survey and interview methods. The level of EDI control is mediocre on the average. The level of EDI security is low while that of EDI usefulness is mediocre. The empirical results show that the EDI controls in general improve the EDI security and usefulness significantly. Especially, the application and security control affect the EDI security significantly while the management, application, and security controls affect the EDI usefulness significantly. The gap between the level and perceived importance of control does not affect the EDI security but decreses the EDI usefulness at the marginal level of significance. The limitation of this study is that only a small number of companies are available for data collection because Korea is in the early stage of EDI implementation.

  • PDF

사회 신뢰수준에 따른 기업의 보안통제 수준 비교 (Comparison of Corporate Security Control Level with Social Trust Index)

  • 나후성;이경호
    • 정보보호학회논문지
    • /
    • 제27권3호
    • /
    • pp.673-685
    • /
    • 2017
  • 사회적으로 형성되어 있는 신뢰수준은 국가 간 상이하고 이러한 신뢰수준에 따라 보안통제가 이뤄져야 기업에서는 합리적인 보안통제를 수행할 수 있다. 이에 한국과 미국의 신뢰수준을 Diamond Model을 사용하여 비교하고, 해당 국가 기업의 보안통제 현황을 조사하여 사회의 신뢰수준이 기업 보안통제 수준에 영향을 미치는지 연구하고자 한다. 또한 AHP(Analytic Hierarchy Process)를 사용하여 상이한 국가의 보안통제 수준을 비교할 수 있는 통제항목과 공식을 제시하고 검증한다.

대규모 조직에서의 패스워드 관리에 관한 권고 고찰 (A Study On Enterprise Password Management Recommendations)

  • 박진섭
    • 안보군사학연구
    • /
    • 통권8호
    • /
    • pp.421-465
    • /
    • 2010
  • Passwords are used in many ways to protect data, systems, and networks. Passwords are also used to protect files and other stored information. In addition, passwords are often used in less visible ways for authentication. In this article, We provides recommendations for password management, which is the process of defining, implementing, and maintaining password policies throughout an enterprise. Effective password management reduces the risk of compromise of password-based authentication systems. Organizations need to protect the confidentiality, integrity, and availability of passwords so that all authorized users - and no unauthorized users - can use passwords successfully as needed. Integrity and availability should be ensured by typical data security controls, such as using access control lists to prevent attackers from overwriting passwords and having secured backups of password files. Ensuring the confidentiality of passwords is considerably more challenging and involves a number of security controls along with decisions involving the characteristics of the passwords themselves.

  • PDF

제어시스템 보안성 평가 방법에 관한 연구 (A Study on Security Evaluation Methodology for Industrial Control Systems)

  • 최명길
    • 정보보호학회논문지
    • /
    • 제23권2호
    • /
    • pp.287-298
    • /
    • 2013
  • 주요 국가기반 산업분야에서 운용중인 제어시스템은 다양한 제어 기능을 수행하고 있으며, 최근 제어시스템에 가해지는 다양한 위협이 가해지고 있는 실정이다. 제어시스템의 안전한 운용을 보증하기 위하여 제어시스템의 안전성을 검증할 수 있는 보증방법의 개발이 절실히 필요하다. 본 연구는 제어시스템의 특성을 반영한 정보보안평가 절차 및 방법론을 제시하고, 체크리스트로 구현을 통해서 절차 및 방법론의 효과성을 검증한다. 동 연구가 제시하는 제어시스템의 정보보안 평가 절차 및 점검체크리스트는 제어시스템 운용자 및 보증 평가자가 제어시스템의 개발 과정 및 운용의 안전성을 담보할 수 있는 보증 활동시에 사용할 수 있다.

Why Dynamic Security for the Internet of Things?

  • Hashemi, Seyyed Yasser;Aliee, Fereidoon Shams
    • Journal of Computing Science and Engineering
    • /
    • 제12권1호
    • /
    • pp.12-23
    • /
    • 2018
  • The Internet of Things (IoT) ecosystem potentially includes heterogeneous devices with different processing mechanisms as well as very complicated network and communication models. Thus, analysis of data associated with adverse conditions is much more complicated. Moreover, mobile things in the IoT lead to dynamic alteration of environments and developments of a dynamic and ultra-large-scale (ULS) environment. Also, IoT and the services provided by that are mostly based on devices with limited resources or things that may not be capable of hosting conventional controls. Finally, the dynamic and heterogeneous and ULS environment of the IoT will lead to the emergence of new security requirements. The conventional preventive and diagnostic security controls cannot sufficiently protect it against increasing complication of threats. The counteractions provided by these methods are mostly dependent on insufficient static data that cannot sufficiently protect systems against sophisticated and dynamically evolved attacks. Accordingly, this paper investigates the current security approaches employed in the IoT architectures. Moreover, we define the dynamic security based on dynamic event analysis, dynamic engineering of new security requirements, context awareness and adaptability, clarify the need for employment of new security mechanism, and delineate further works that need to be conducted to achieve a secure IoT.

클라우드 서비스 평가 프로그램과 ISO/IEC 27001:2013의 비교 연구 (A Comparison Study between Cloud Service Assessment Programs and ISO/IEC 27001:2013)

  • 최주영;최은정;김명주
    • 디지털융복합연구
    • /
    • 제12권1호
    • /
    • pp.405-414
    • /
    • 2014
  • IT 자원의 동적 확장과 비용절감이라는 클라우드 서비스의 장점은 IT 사용자의 관심이다. 그러나 클라우드 서비스의 신뢰성은 클라우드 서비스를 적극적으로 사용하는데 걸림돌이 되고 있다. 기존 클라우드 서비스의 평가 프로그램은 ISO/IEC 27001:2005을 참고하여 정보보호 평가 항목을 도출하고 클라우드 서비스 특징을 추가하는 방법으로 연구가 이루어지고 있다. 본 논문은 최근 발표된 ISO/IEC 27001:2013의 추가와 삭제 그리고 변경된 통제영역 및 통제 항목을 살펴본다. ISO/IEC 27001:2013의 통제 항목과 클라우드 서비스 평가 프로그램인 CSA CCM v.3, FedRAMP의 통제 항목을 비교 분석하여 정보보호관리체계에서 클라우드 서비스와 관련된 평가 항목을 제시한다. 도출한 통제 항목은 클라우드 서비스 기반의 정보보호관리체계를 운영하는 기업의 보안 정책에 참고 지표가 될 것이다.

Research of Home Application Model for Implementation of Home Automation Server

  • Kim, Yu-Chul;Kim, Hyo-Sup;Lee, Guhn-Song;Cho, Young-Jo
    • 제어로봇시스템학회:학술대회논문집
    • /
    • 제어로봇시스템학회 2001년도 ICCAS
    • /
    • pp.70.2-70
    • /
    • 2001
  • This paper presents an application model for home automation control. In this work, we propose home application scenarios that are suitable for the home life style and design a control structure integrating various home automation functions, such as lightning, heating, cooling, security, fire protection, telemetering, entertainment and communication. State-of-the-art wired/wireless home networks such as Bluetooth, LonWorks, IEEE1394 and PLC(Power Line Communication) are included in the control structure.

  • PDF

A Continuous Evaluation Processes for Information Security Management

  • Choi, Myeonggil
    • Journal of Information Technology Applications and Management
    • /
    • 제23권3호
    • /
    • pp.61-69
    • /
    • 2016
  • Growing information threats have threatened organization to lose information security controls in these days. Many organizations have accepted the various information security management systems does mention necessity of a continuous evaluation process for the executions of information security management in a theoretical aspect. This study suggests a continuous evaluation process for information security management reflecting the real execution of managers and employees in organizations.

The Security Establishment for Cloud Computing through CASE Study

  • Choi, Myeonggil
    • Journal of Information Technology Applications and Management
    • /
    • 제27권6호
    • /
    • pp.89-99
    • /
    • 2020
  • Cloud computing is rapidly increasing for achieving comfortable computing. Cloud computing has essentially security vulnerability of software and hardware. For achieving secure cloud computing, the vulnerabilities of cloud computing could be analyzed in a various and systematic approach from perspective of the service designer, service operator, the designer of cloud security and certifiers of cloud systems. The paper investigates the vulnerabilities and security controls from the perspective of administration, and systems. For achieving the secure operation of cloud computing, this paper analyzes technological security vulnerability, operational weakness and the security issues in an enterprise. Based on analysis, the paper suggests secure establishments for cloud computing.