최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.25 no.4, 2015년, pp.921 - 932
We proposed a new scoring system on software vulnerabilities, which calculates quantitatively the severity of software vulnerabilities. The proposed scoring system consists of metrics for vulnerability severity and scoring equations; the metrics are designed to measure the severity of a software vul...
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
핵심어 | 질문 | 논문에서 추출한 답변 |
---|---|---|
보안취약점 중요도 정량 평가 체계 연구 대표적인 사례에는 무엇이 있는가? | 소프트웨어의 보안취약점을 예방하기 위한 연구 및 활동의 기반 데이터를 제공하기 위하여 보안취약점과 보안약점에 대한 전반적인 정보를 축적하고 이를 효과적으로 제공하고자 하는 연구가 활발히 진행 되어 지금까지 상당한 진척과 성과를 보이고 있으며, 922 보안취약점 중요도 정량 평가 체계 연구 대표적인 사례로 CWE(Common Weakness Enumeration), CVE(Common Vulnerability Enumeration), NVD(National Vulnerability Database) 등이 있다[5,6,7]. 또한 다양한 보안약점 중에 중요 보안약점을 선별하여 대응하고자 하는 노력으로 CWE/SANS Top 25, OWASP Top 10 등이 발표되고 있으며, 국내에서도 행정자치부 보안약점 기준이 정보 소프트웨어 개발보안 정책을 위하여 발표된 바 있다[8,9,10]. | |
CWSS란 무엇인가? | CWSS는 보안약점의 중요도를 평가하는 체계로서 총체적인 소프트웨어 보안약점 명세데이터를 구축하는 CWE 프로젝트의 일환으로 추진되었다. CWE 와 CWSS의 특징은 안전한 소프트웨어의 개발과 보안 유지에 책임이 있는 당사자들인 정부, 학계, 산업체들이 모여서 만드는 커뮤니티 형태의 협업이라는 점에 있다. | |
소프트웨어 보안취약점의 중요도를 정량적으로 산출할 수 있는 중요도 정량 평가 체계는 무엇으로 구성되는가? | 본 논문에서는 소프트웨어 보안취약점의 중요도를 정량적으로 산출할 수 있는 중요도 정량 평가 체계를 제안한다. 제안된 평가 체계는 국내 소프트웨어 이용 환경을 고려한 보안취약점의 파급도, 위험도, 소프트웨어 점유율, 시스템에서의 사용 정도 등을 복합적으로 반영하여 보안취약점에 대한 심각성을 적절히 평가할 수 있는 평가 척도와 이를 기반으로 한 중요도 계산식으로 구성된다. 논문에서는 제안된 소프트웨어 보안취약점 평가 체계를 국내의 보안취약점에 시범적으로 적용하고 그 효용성을 CVSS 및 CWSS 등과 비교, 분석하였으며, 제안된 평가 체계의 활용 방안을 제시하였다. |
Gartner, "Now is the time for security at application level," http://www.gartner.com/id487227, December, 2005.
Common Weakness Enumeration (CWE), http://cwe.mitre.org/
Common Vulnerabilities and Exposures (CVE), http://cve.mitre.org
National Vulnerability Database (NVD), http://nvd.nist.gov
2011 CWE/SANS Top 25 Most Dangerous Software Errors, http://cwe.mitre.org/top25/
2010 OWASP (The Open Web Application Security Project) Top 10, http://www.owasp.org
Software development security, Guideline for governmental software systems, Chapter 6, http://www.law.go.kr/LSW/admRulInfoP.do?admRulSeq2000000099405
Bounty program for new SW vulnerabilities, Korea Internet & Security Agency Korea Internet Security Center (KISC), https://www.krcert.or.kr/kor/consult/consult_04.jsp
Common Weakness Scoring System (CWSS), http://cwe.mitre.org/cwss/
Common Vulnerability Scoring System (CVSS-SIG), http://www.first.org/cvss
CAPEC - Common Attack Pattern Enumeration and Classification, http://capec.mitre.org/
Joonseon Ahn, Byeong-Mo Chang, Eunyoung Lee, "Research on Software Vulnerability Scoring Systems," Korea Internet & Security Agency, Korea, 2013
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문
※ AI-Helper는 부적절한 답변을 할 수 있습니다.