사이버 침해사고와 해킹의 위험성이 증대되고 있다. 이를 해결하기 위하여 정보보호기술중에서 보안위험분석 분야의 연구가 활발하게 이루어지고 있다. 하지만 평가를 위해서는 적지 않은 평가비용, 수개월의 평가기간, 평가 참여인원, 평가후의 보안대책비용, 보안관리비용에 대한 부담이 클 수밖에 없다. 이에 따라, 본 논문에서는 정량평가 형태의 위험분석평가를 프로젝트단위로 관리하며, 평가기간 및 적정 평가자 선정을 위한 사례기반추론알고리즘을 이용한 위험분석방법론 제안한다.
사이버 침해사고와 해킹의 위험성이 증대되고 있다. 이를 해결하기 위하여 정보보호기술중에서 보안위험분석 분야의 연구가 활발하게 이루어지고 있다. 하지만 평가를 위해서는 적지 않은 평가비용, 수개월의 평가기간, 평가 참여인원, 평가후의 보안대책비용, 보안관리비용에 대한 부담이 클 수밖에 없다. 이에 따라, 본 논문에서는 정량평가 형태의 위험분석평가를 프로젝트단위로 관리하며, 평가기간 및 적정 평가자 선정을 위한 사례기반추론알고리즘을 이용한 위험분석방법론 제안한다.
The risk enlargement of cyber infringement and hacking is one of the latest hot issues. To solve the problem, the research for Security Risk Analysis, one of Information Security Technique, has been activating. However, the evaluation for Security Risk Analysis has many burdens; evaluation cost, lon...
The risk enlargement of cyber infringement and hacking is one of the latest hot issues. To solve the problem, the research for Security Risk Analysis, one of Information Security Technique, has been activating. However, the evaluation for Security Risk Analysis has many burdens; evaluation cost, long period of the performing time, participants’ working delay, countermeasure cost, Security Management cost, etc. In addition, pre-existing methods have only treated Analyzing Standard and Analyzing Method, even though their scale is so large that seems like a project. the Analyzing Method have no option but to include assessors’ projective opinion due to the mixture using that both qualitative and quantitative method are used for. Consequently, in this paper, we propose the Security Risk Analysis Methodology which manage the quantitative evaluation as a project and use Case-Based Reasoning Algorithm for define the period of the performing time and for select participants.
The risk enlargement of cyber infringement and hacking is one of the latest hot issues. To solve the problem, the research for Security Risk Analysis, one of Information Security Technique, has been activating. However, the evaluation for Security Risk Analysis has many burdens; evaluation cost, long period of the performing time, participants’ working delay, countermeasure cost, Security Management cost, etc. In addition, pre-existing methods have only treated Analyzing Standard and Analyzing Method, even though their scale is so large that seems like a project. the Analyzing Method have no option but to include assessors’ projective opinion due to the mixture using that both qualitative and quantitative method are used for. Consequently, in this paper, we propose the Security Risk Analysis Methodology which manage the quantitative evaluation as a project and use Case-Based Reasoning Algorithm for define the period of the performing time and for select participants.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 기존의 위험분석 평가 방법을 조사. 연구하여 평가프로세스를 개발하였고 사례기반 추론을 이용하여 사례의 재사용 및 사례적용과 정 제시를 통한 위험분석 평가에 최적을 평가 프로젝트의 설계를 수립하고 위험관리를 고려한 위험분석 방법을 제안하였으며, 이를 지원하고 향상된 기능을 제공하는 위험분석 도구를 설계 구현하였다.
제안 방법
[그림 1]의 평가프로세스는 계획단계, 위험분석적용 범위 선정단계, 위험분석단계, 적용단계의 4단계의 구분 된다. 1, 2단계를 상위수준 평가 단계라고 하고 3, 4단계를 하위수준 평가 단계로 분리하여 분석을 실시한다. 또한 평가 프로세서에 할의해서 지속적인 보안 관리를 할 수 있다.
환경적, 기술적 평가를 모두 수행할 수 있는 전사적 위험분석 평가가 가능하다. 또한 위험분석업무를 보다 효율적으로 처리하고 관리할 수 있도록 Top-down 방식으로 구성되었다. 위험분석 평가 업무에서 관리적, 환경적, 위험분석 평가는 BS7799의 일부를 이용하며, 기술적 평가 부분은 미국의 카네기멜론 대학의 OCTAVE 방법론 중 일부를 이용한다.
본 논문에서 제시한 사례기반추론 적용 위험분석 시스템은 위험분석 평가계획부터 보안 대책 선정 및 적용까지의 기간 동안을 기존분석 방법과 사례기반추론을 적용한 방법의 모의실험을 통한 성능평가를 실시하였다. 기존의 평가에 대비 평가 기간 및 평가자의 적절한 선택으로 평가비용의 감소를 가질 수 있으며, 초기 사례기반추론에 대한 평가 결과가 존재하지 않기 때문에 평가에 대한 참조데이터의 증가됨으로 본 결과보다 성능이 향상될 것으로 기대되며, 실제 위험분석을 위한 검증이 필요할 것으로 보인다.
할 수 있다. 본 논문에서 제안한 평가 프로세스는 조직의 관리적. 환경적, 기술적 평가를 모두 수행할 수 있는 전사적 위험분석 평가가 가능하다.
연구하여 평가프로세스를 개발하였고 사례기반 추론을 이용하여 사례의 재사용 및 사례적용과 정 제시를 통한 위험분석 평가에 최적을 평가 프로젝트의 설계를 수립하고 위험관리를 고려한 위험분석 방법을 제안하였으며, 이를 지원하고 향상된 기능을 제공하는 위험분석 도구를 설계 구현하였다. 복잡한 평가 프로젝트이나 새로운 평가대상 기관의 의뢰가 있을 경우 평가 계획에 대한 최적화된 설계를 통한 성공적인 평가 계획을 수립할 수 있다.
위험분석평가 프로세스 및 사례기반추론 알고리즘을 적용한 국내실정을 고려한 위험분석 도구를 설계 구현하였다. 위험분석도구는 사례기 반추론엔진을 중심으로 3개의 서브시스템으로 구성된다.
이러한 배경에서 본 논문에서는 정량평가 형태의 위험분석 평가를 프로젝트 단위로 관리하며, 평가기간 및 적정 평가자 선정을 위한 사례기반추론알고리즘을 이용한 위험분석방법론을 제안한다. 본 결과는 위험분석을 수행하는 초기단계 및 진행단계에서 기존의 평가 결과를 추론 규칙을 통해서 제공받음으로써 위험분석 평가프로젝트 수행에 대한 가이드를 제시하고, 평가 기간 및 적정평가자 선정, 보안대책비용의 추정 등을 통해 체계적인 평가프로젝트를 성공적으로 이룰 수 있을 것이다.
조사 연구된 표준이나 다른 많은 위험분석 방법론에서 제시하는 통제항목을 이용한 정보 보안 관리 및 보안 수준 평가, 자산식별, 위협분석, 취약성 분석, 피해 영향 분석, 자산별 위험도 산정, 보안 대책 구현 등을 기반으로 문제점을 분석하고 위험분석 방법을 제안하고자 한다. 특히, 사례기반추론알고리즘을 통한 평과 결과의 활용 및 보안 대책적용 측면, 전사적 위험분석 측면, 자산평가 측면, 프로세스 측면을 고려하였다.
특히, 사례기반추론알고리즘을 통한 평과 결과의 활용 및 보안 대책적용 측면, 전사적 위험분석 측면, 자산평가 측면, 프로세스 측면을 고려하였다.
대상 데이터
또한 평가대상 조직의 사용자들이 가진 정보를 획득하기 위한 인터뷰 기능을 가진다. 데이터베이스는 평가에 사용되는 취약점 목록, 보안대책 목록 등을 담당하는 공통 DB, 평가 결과를 관리하는 평가DB, 평가자들의 의견조정이 이루어지기 전에 평가결과를 임시로 저장하는 임시 DB, 시스템관리와 관련된 데이터를 관리하는 관리DB, 평가척도 등의 참조자료를 관리하는 참조 DB 등의 5부분으로 구성된다. Web Suwey부분은평가대상 조직의 정보를 수집할 때 임의의 응답자를 대상으로 웹기반 설문을 하고 설문 결과를 자동으로 분석 할 수 있는 기능을 제공한다.
데이터처리
평가방법이다. 평가 방법으로는 정량평가와 정성평가가 있으며, 정보인프라에 대한 분석과정을 통해 단위자산을 파악하고 위험분석 평가과정을 수행한다. 위험분석 방법론은 크게 정량평가와 정성평가로 나눌 수 있다.
이론/모형
또한 위험분석업무를 보다 효율적으로 처리하고 관리할 수 있도록 Top-down 방식으로 구성되었다. 위험분석 평가 업무에서 관리적, 환경적, 위험분석 평가는 BS7799의 일부를 이용하며, 기술적 평가 부분은 미국의 카네기멜론 대학의 OCTAVE 방법론 중 일부를 이용한다. 평가프로세스는 전체 4단계로 진행되며, 각 단계별 평가 업무를 위한 프로세스로 구성되어 있다.
성능/효과
. 평가 결과를 종합하여 상기 특정 조직에 대한 위험을 분석하고, 상기 정보보안 위험 분석 결과를 평가자에게 제공함으로써 평가프로젝트의 성공률을 높일 수 있다.
후속연구
실시하였다. 기존의 평가에 대비 평가 기간 및 평가자의 적절한 선택으로 평가비용의 감소를 가질 수 있으며, 초기 사례기반추론에 대한 평가 결과가 존재하지 않기 때문에 평가에 대한 참조데이터의 증가됨으로 본 결과보다 성능이 향상될 것으로 기대되며, 실제 위험분석을 위한 검증이 필요할 것으로 보인다.
위험분석 평가에 대한 성능 관점에서는 평가에 대한 관리, 평가자의 평가행동에 대한 가이드, 평가기간 단축으로 인한 비용 절감, 적정평가가 선택을 통한 평가 일력 최적 활용을 들 수 있다. 본 결과는 위험분석을 수행하는 초기 단계 및 진행단계에서 기존의 평가 결과를 추론 규칙을 통해서 제공받음으로써 위험분석 평가 프로젝트 수행에 대한 가이드를 제시하고, 평가기간 및 적정평가자 선정, 보안대책비용의 추정 등을 통해 체계적인 평가프로젝트를 성공적으로 이룰 수 있을 것이라 기대된다.
위험분석방법론을 제안한다. 본 결과는 위험분석을 수행하는 초기단계 및 진행단계에서 기존의 평가 결과를 추론 규칙을 통해서 제공받음으로써 위험분석 평가프로젝트 수행에 대한 가이드를 제시하고, 평가 기간 및 적정평가자 선정, 보안대책비용의 추정 등을 통해 체계적인 평가프로젝트를 성공적으로 이룰 수 있을 것이다. 본 논문의 2장에서는 기존의 연구된 위험분석 방법 및 도구들을 비교분석하고, 3장에서는 위험분석 평가 프로세스 및 위험분석도구 개발을 위한 분석 엔진 중 사례기반추론알고리즘 이용한 평가 엔진을 제시하며 4장에서는 이를 이용한 평가 사례연구 통해 유용성을 입증하고, 끝으로 결론을 맺는다.
상위수준의 평가는 평가계획을 위한 예비평가에 해당한다. 상위수준의 평가 결과가 우수하다면, 노력이 많이 드는 하위수준의 평가는 유보할 수 있으므로, 조직의 보안 관리 비용을 줄일 수 있을 것이다.
참고문헌 (7)
Young-hwan Bang, Yoon-jung Jung, In-jung Kim, 'The Design and Development for Risk Anlysis Automaitc Tool', LNCS 3043, Part 1, pp.49l-499, May. 2004
Hoh Peter In, Young-Gab Kim, Taek Lee, Chang-Joo Moon, Yoonjung Jung, Injung Kim, 'Security Risk Analysis Model for Information Systems,' LNCS 3398, Systems Modeling and Simulation : Theory and Applications: Third Asian Simulation Conference, AsianSim 2004
OCTAVE, 'OCATVE Criteria, Version 2.0', Carnegie Mellon Software Engineering Institute (2001. 12), OCATVE Method Implementation Guide Version 2.0, OCTAVE, 2001. 6, http://www.sei.cmu.edu/publications/pubweb.html
CSE, 'A Guide to Security Risk Management for IT Systems', Govemment of Canada, Communications Security Establishment(CSE)', 1996
British Standards Institution(BSI), 'BS-7799', 1999
Bundesamt fur Sicherheit in der Informationstechnik, 'IT Baseline Protect Manual', Standard security safeguards, http://www.bsi.bund.de/gshb/english/menue.htm
SSE-CMM, 'Project, Systems Security Engineering Capability Maturity Model (SSE-CMM) - Model Description Document', V.2, http://www.sse-cmm.org, 1999. 4. 1
※ AI-Helper는 부적절한 답변을 할 수 있습니다.