http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
정보시스템에서 사이버 침해에 따른 잔여위험분석 및 보험산정 연구
김인중 ( Injung Kim ),정윤정 ( Yoonjung Chung ),박중길 ( Joonggil Park ),원동호 ( Dongho Won ) 한국정보처리학회 2005 한국정보처리학회 학술대회논문집 Vol.12 No.1
중요 정보시스템에 대한 위험분석 프로세스는 자산 식별을 통해 위협, 취약성을 분석하고 이에 보호대책을 수립한다. 하지만 모든 보호대책을 적용하기에는 비용 대 효과면에서 불가능한 경우가 발생한다. 따라서, 잔여위험에 대한 분석을 통해 해결할 수 없는 위험에 대해서는 보험을 통하여 보호대책을 세워야 한다. 본 논문에서는 위험분석을 통해 계산된 피해 산정으로 사이버침해에 따른 보험 수준을 산정하는 방안을 제안하고자 한다.
CC(Common Criteria) 기반 보안위험분석 도구 개발
김인중 ( Injung Kim ),정윤정 ( Yoonjung Chung ),고재영 ( Jaeyoung Koh ),원동호 ( Dongho Won ) 한국인터넷정보학회 2006 인터넷정보학회논문지 Vol.7 No.1
정보화 발전으로 정보통신 시스템에 대한 의존도가 높아지고, 이에 대한 위협, 취약성, 위험이 증가하고, 조직의 정보노출 및 보안침해 사고가 증가하고 있는 추세이다. 이러한 정보통신시스템에 대한 위협, 취약성, 위험을 분석하고 제거하기 위한 보안위험분석의 중요성이 부각되고 있다. 위험분석도구는 조직에 내재한 위험을 식별하여 보안침해 사고 발생을 사전에 예방하기 위한 도구로서 주요 정보시스템을 분석평가하고, 위협, 취약성, 보안대책을 제시하여 조직의 위험 수준을 감소하는 데 도움을 준다. 본 논문은 국제공통평가기준 CC 스키마를 도입하여 정형화된 위험분석 프로세스를 정의하고, 정보보안 관리자가 쉽게 위험분석을 적용 할 수 있도록 보안위험분석 도구를 제안한다. The importance of the Security Risk Analysis has emerged as security breaches and information leaks has occurred in the companies and organization; threats toward information system and its vulnerabilities has grown up as the dependence on the information-communication systems goes higher as a result of technological advances in IT industry. A Risk Analysis Tool helps to mitigate overall risk of an organization by analysing and evaluating critical information systems and providing security measures against threats to systems and its vulnerabilities as a means to identify the inherent dangers and prevent security intrusion incident. This paper defines risk analysis process by introducing Common Criteria Scheme and suggest a risk analysis tool that can be easily implemented by an information security manager.
SCADA 시스템과 정보망의 연동을 위한 위험분석 연구
김인중 ( Injung Kim ),정윤정 ( Yoonjung Jung ),민병길 ( Byeonggil Min ),박중길 ( Joongil Park ) 한국정보처리학회 2004 한국정보처리학회 학술대회논문집 Vol.11 No.1
최근 SCADA 시스템은 국가기반시설의 중요한 시스템으로 인식됨에 따라 사이버상의 침해사고 대응 및 복구대책이 요구되고 있다. 일반적으로 기존에는 SCADA 시스템 설계시 공정 절차에 따라 이식성, 확장성, 가용성, 유연성을 고려하였으나 최근 안전하고 신뢰성있는 시스템 운영을 위하여 보안에 많은 관심을 갖게 되었다. 본 논문에서는 SCADA 시스템에 대한 보안 설계에 필요한 위험분석 절차를 제시함으로써 사이버테러에 의하여 발생될 국가적 재난·재해를 사전에 예방하고자 한다.
김인중,정윤정,고재영,원동호,Kim InJung,Chung YoonJung,Koh JaeYoung,Won Dongho 한국통신학회 2005 韓國通信學會論文誌 Vol.30 No.8C
전력, 가스, 상하수도, 고속전철 등 국가에서 관리하는 중요핵심기반시설은 대부분 SCADA(Supervisory Control and Data Acquisition) 시스템으로 관리, 운영되고 있다. 최근 이러한 시설들이 사이버 테러 및 해킹, 바이러스 등 에 의하여 원격 조작 및 통제되는 경우 심각한 위험에 빠질 수 있다. 따라서, 중요핵심기반시설에 대한 종합적인 정보보호 관리기법을 수립해야 할 시점에 이르게 되었다. 본 논문에서는 자산, 위협/취약성, 위험도 계산 등의 위험분석 프로세스를 기반으로 정보보호대책(기밀성, 무결성, 가용성) 및 장애처리를 포함한 보안관리 기법을 제안하고자 한다. 이를 위하여 미국, 일본 등 중요핵심기반시설에 대한 정보보호 관리 현황을 알아본다. Most of the national critical key infrastructure, such as power, piped gas and water supply facilities, or the high-speed railroad, is run on the SCADA system. Recently, concerns have been raised about the possibility of these facilities being attacked by cyber terrorists, hacking, or viruses. Thus, it is time to adopt the relevant security management techniques. This paper attempts to propose such security management techniques, including information protection measures and troubleshooting, based on a risk analysis process concerning assets, threats/vulnerability, and hazards, and to examine the security management status of critical key infrastructure in the U.S. and Japan.
정보시스템에 대한 보안위험분석을 위한 모델링 기법 연구
김인중,이영교,정윤정,원동호,Kim Injung,Lee Younggyo,Chung Yoonjung,Won Dongho 한국정보처리학회 2005 정보처리학회논문지 C : 정보통신,정보보안 Vol.12 No.7
최근 대부분의 정보시스템은 대규모 및 광역화되고 있으며 이에 따른 사이버 침해사고와 해킹의 위험성이 증대되고 있다. 이를 해결하기 위하여 정보보호 기술중에서 보안위험분석 분야의 연구가 활발하게 이루어지고 있다. 하지만 다양한 자산과 복잡한 네트워크의 구조로 인하여 위험도를 현실에 맞게 산정한다는 것이 사실상 불가능하다. 특히, 취약성과 위협의 증가는 시간에 따라 계속 증가하며 이에 대응하는 보호대책은 일정 시간이 흐른 뒤 이루어지므로 제시된 결과가 효과적인 위험분석의 결과로 볼 수 없다. 따라서. 정보시스템에 대한 모델링 기법을 통하여 정보시스템의 구조를 단순화하고 사이버 침해의 방향성을 도식화함으로써 위험분석 및 피해 파급 영향 분석을 보호대책 수립의 허용 시간 내에서 이루어질 수 있도록 해야 한다 이에 따라, 본 논문에서는 보안 위험을 분석할 수 있도록 SPICE와 Petri-Net을 이용한 정보시스템의 모델링 기법을 제안하고, 이 모델링을 기반으로 사례연구를 통하여 위험분석 시뮬레이션을 수행하고자 한다. Information systems are today becoming larger and mostly broadband-networked. This exposes them at a higher risk of intrusions and hacking than ever before. Of the technologies developed to meet information system security needs, risk analysis is currently one of the most actively researched areas. Meanwhile, due to the extreme diversity of assets and complexity of network structure, there is a limit to the level of accuracy which can be achieved by an analysis tool in the assessment of risk run by an information system. Also, the results of a risk assessment are most oftennot up-to-date due to the changing nature of security threats. By the time an evaluation and associated set of solutions are ready, the nature and level of vulnerabilities and threats have evolved and increased, making them obsolete. Accordingly, what is needed is a risk analysis tool capable of assessing threats and propagation of damage, at the same time as security solutions are being identified. To do that, the information system must be simplified, and intrusion data must be diagrammed using a modeling technique this paper, we propose a modeling technique information systems to enable security risk analysis, using SPICE and Petri-net, and conduct simulations of risk analysis on a number of case studies.