• 정보보호학회논문지
• /
• 제11권4호
• /
• pp.33-43
• /
• 2001

본 논문은 리눅스 운영체제의 커널 수준에서 다중등급 보안기능 등을 추가적으로 구현한 보안 운영체제를 제시한다. 최근 Firewall, IDS와 같은 응용 프로그램 수준에서의 보안 제품은 기존의 부족한 운영체제 보안 기능을 이용하기 때문에 해킹 등에 취약점을 보이고 있다. 그러나 국내에서의 보안 리눅스 운영체제의 개발은 이제 시작 단계이며, 미국에서는 NSA에서 프로토타입을 개발하였으나 구현기술의 일부만 공개하고 있는 실정이다. 따라서 본 논문에서 상용화 수준으로 개발한 다중등급 보안커널 기능의 보안 리눅스 운영체제는 TCSEC B1급에서 정한 기능을 만족하며, 커널모드 암호화, DB를 이용한 실시간 감사추적, root의 권한 제한 등의 추가적 기능을 제공한다.

• 한국정보시스템학회지:정보시스템연구
• /
• 제27권1호
• /
• pp.193-224
• /
• 2018

Purpose Targeting Korean companies listed on Korean securities markets (i.e., KOSPI and KOSDAQ markets), this study aims to shed lights the effects of personal information security breaches on stock prices of information security companies. Interestingly, this study is, to the best of our knowledge, the first to examine the information transfer effect on personal information security breaches of companies. Design / Methodology /Approach To examine the information transfer effect of personal information security breaches, our study employs the event study commonly used in financial studies. To this end, we investigate a variety of events of personal information security breaches of companies listed on the KOPSI stock market and the KOSDAQ market. We collect the total samples of one hundred and twelve with forty seven of events of personal information security breaches by thirty companies and sixty five of information security companies. Findings The principal findings from the empirical study are as follows. First, for companies of personal information security breaches, our event study presents the significantly negative AAR (averaged abnormal return) value on the event day at the 5 % level and the highly significant negative CAAR(cumulative averaged abnormal return) value on the event day and the day after the event day at the 1 % level. The results suggest that personal information breaches significantly contribute to an decrease in value of the information breached companies. The cross sectional regressions in this study estimate the significantly negative coefficient for the ME/BE variable, the proxy for a growth opportunity at the 5 % level. This suggests a reverse relation between the growth opportunity of companies and their value. As for the various samples of the information security companies categorized by physical security, network and system security, security application software, code authentication, system integration, we find the significantly positive AAR on the day after the event day at the 5% level, only for the network and system security-companies. This addresses that the information transfer effect followed by personal information breaches is uniquely observable for companies categorized into network and system companies. The regressions for the network and system companies estimate the significantly positive coefficient for the NS dummy variable (i.e., the dummy of the network and system security companies) at the standard level. This allows us to identify appropriate times needed to make the information transfer effect realized from personal information breached companies to information security companies.

• 대한전기학회논문지:전력기술부문A
• /
• 제52권3호
• /
• pp.165-172
• /
• 2003

This paper presents an operation scheme to enhance the power system security by applying FACTS on Power systems. Three main generic types of FACTS devices are suggested an illustrated. Flow congestions over lines have been solved by controlling active power of series-compensated FACTS devices and low voltages at buses have been solved by controlling reactive power of shunt-compensated FACTS devices. Especially, Especially, UPFC has been applied in both line congestion and low voltages. Two kinds of indices which indicate the power system security level related to line flow and bus voltage are utilized in this paper. They have been minimized to enhance the power system security level through the iterative method and the sensitivity vector of security index is derived to determine the direction to minimum. The proposed algorithm has been tested on the IEEE 57-bus system with FACTS devices in a normal condition and a line-faulted contingency.

• Journal of Information Processing Systems
• /
• 제5권4호
• /
• pp.197-206
• /
• 2009

We introduce a novel high-level security metrics objective taxonomization model for software- intensive systems. The model systematizes and organizes security metrics development activities. It focuses on the security level and security performance of technical systems while taking into account the alignment of metrics objectives with different business and other management goals. The model emphasizes the roles of security-enforcing mechanisms, the overall security quality of the system under investigation, and secure system lifecycle, project and business management. Security correctness, effectiveness and efficiency are seen as the fundamental measurement objectives, determining the directions for more detailed security metrics development. Integration of the proposed model with riskdriven security metrics development approaches is also discussed.

• 융합보안논문지
• /
• 제20권4호
• /
• pp.187-196
• /
• 2020

정보보호 위험평가를 위해 다양한 정보보호 수준 평가와 정보보호 관리체계 인증이 그 어느때보다도 대규모로 이루어지고 있다. 그러나 정보보호 수준평가 우수기업과 정보보호 관리체계 인증 우수기업에 대한 정보보호 침해 사례가 지속적으로 발생하고 있는 실정이다. 기존의 정보보호 위험평가 방법론은 사이버 위협이 어디로부터 유입되는지에 대한 검토와 각 유입경로 구간에 대한 보안장비들의 적절한 운영여부에 대한 검토 없이 정보시스템 내부의 정보자산들을 식별하여 위험도를 정성적으로 판단하여 분석하고 있는 실정이다. 현재의 위험평가 방안을 개선하기 위해서는 사이버 위협이 어디로부터 유입되는지 살펴보고 각 유입구간별 봉쇄수준을 향상시켜 불필요하게 유입되는 사이버 위협을 절대적으로 감소시킬 필요가 있다. 이와 더불어 현재의 위험평가 방법론에서 간과되고 있는 보안장비의 적절한 구성과 운영수준에 대한 측정과 향상이 반드시 필요하다. 사이버 위협의 출입구를 최대한 봉쇄하고 어쩔 수 없이 열려 있는 틈새를 통과해서 내부로 유입되는 사이버 위협을 각 보안장비를 동원하여 탐지하고 대응하는 것이 필요한 것이다. 이에 본 논문에서는 ISMS-P 인증항목과 주요정보통신기반시설 취약점 분석평가 항목에 사이버 위협에 대한 봉쇄수준을 평가할 수 있는 심사항목과 각 유입경로 구간에 대한 보안장비 구성 수준을 측정하는 심사항목을 추가 제안하고자 한다. 이를 통해 사이버 위협의 유입 자체를 감소시키고 사이버 침해사고의 가능성을 원천적으로 차단하는데 기여하고자 한다.

• 대한전기학회논문지:전력기술부문A
• /
• 제50권8호
• /
• pp.388-394
• /
• 2001

This paper presents how to determine the optimal operating points of Unified Power Flow controllers (UPFC) the line flow control of which can enhance system security level. In order to analyze the effect of these devices on the power system, the decoupled model has been employed as a mathematical model of UPFC for power flow analysis. The security index that indicates the level of congestion of transmission line has been proposed and minimized by iterative method. The sensitivity of objective function for control variables of and UPFC has been derived, and it represents the change in the security index for a given set of changes in real power outputs of UPFC. The proposed algorithm with sensitivity analysis gives the optimal set of operating points of multiple UPECs that reduces the index or increases the security margin and Marquart method has been adopted as an optimization method because of stable convergence. The algorithm is verified by the 10-unit 39-bus New England system that includes multiple FACTS devices. The simulation results show that the power flow congestion can be relieved in normal state and the security margin can be guaranteed even in a fault condition by the cooperative operation of multiple UPECs.

• 한국공간정보시스템학회 논문지
• /
• 제2권1호
• /
• pp.83-90
• /
• 2000

최근 인터넷의 발달로 GIS 관련 연구분야도 지금까지의 GIS 정보구축분야에서 구축된 정보에 대한 활용을 위한 정보유통분야로 관심이 집중되고 있다. 이에 본 논문에서는 GIS 유통구조에 대한 표준화동향을 살펴보고, 국내 GIS 분야에서 현재 사용되고 있는 데이터들을 분류하여 GIS 전문가 설문조사를 통하여 데이터별 보안요구를 조사하였다. 이를 바탕으로 현재 국내에서 진행중인 암호 및 인증을 위한 공개키기반 구축사업과 연계하여 GIS 정보의 안전한 전송과 접근제어를 위한 보안방안을 제시한다.

• 정보처리학회논문지C
• /
• 제8C권5호
• /
• pp.565-572
• /
• 2001

개방형 구조를 갖는 인터넷이 전 세계적으로 광범위하게 활용되면서 네트워크상의 보안 취약점에 대한 사이버테러 위험성이 급증하고 있는 추세이다. 지금까지 네트워크 상의 정보보호는 주로 보안 호스트 및 특정 보안 시스템에 대한 수동적인 정보보호였다. 그러나 이러한 소극적인 정보보호만으로는 전세계적으로 연결된 인터넷 시스템들의 침해에 대한 방어 능력이 취약하여, 사이버테러의 방어에 한계가 있다고 판단된다. 즉 보안 호스트에 국한되는 소극적인 보안이 아니라, 전체 네트워크 차원의 통합 보안관리기능이 제공되어야 한다. 본 논문에서는 보안 문제점들의 기술 제약요인 및 제반 환경요인의 해결방안에 접근하기 위하여 네트워크 차원의 능동적 정보보호 기능을 위한 정책(Policy) 기반의 정보보호 서비스 구조, 제공 기능에 대하여 살펴본다. 그리고 정보보호 서비스 제공을 위한 목표시스템의 설계와 향후 네트워크 차원의 전개 방안에 대하여도 네트워크 보안 시뮬레이션을 통하여 검토한다.

• 한국정보통신학회논문지
• /
• 제11권12호
• /
• pp.2280-2286
• /
• 2007

정보시스템은 다양한 구성요소들을 포함하고 있으며, 이들 구성요소들은 몇 개의 유형으로 구분될 수 있다. 보안수준관리활동을 준비 할 때, 관리활동의 대상을 정의하는 것이 가장 중요하며, 이들 대상을 정의한 이후 보안수준 관리활동이 시작될 수 있다. 본 논문에서는 정보시스템을 몇 개의 부분으로 나눔으로써 관리대상을 정의하고, 이들 대상은 운영 환경과 특성에 따라 다양하게 관리될 수 있음을 보여준다.

• 한국정보시스템학회지:정보시스템연구
• /
• 제19권3호
• /
• pp.1-12
• /
• 2010

Personality is comprehensive nature of the mood and attitude of people, most clearly revealed in the interaction with other people. This study is a analysis on personality type to information system security and control from financial institute employee. Based on 'The Big Five' personality model, this study develops hypothetical causal relationships of potential organization member's personality and their information system security and control. Research hypotheses are empirically tested with data collected from 901 employees. Results show that employees of high level security mind are the owner of conscientious and emotional stable personality and the employees of high level control mind are the owner of agreeable and emotional stable personality. Therefore the owner of agreeable and stable personality is higher security and control than others.