KR20040051744A - System for evaluating risk value of network property and method thereof - Google Patents
System for evaluating risk value of network property and method thereof Download PDFInfo
- Publication number
- KR20040051744A KR20040051744A KR1020020078711A KR20020078711A KR20040051744A KR 20040051744 A KR20040051744 A KR 20040051744A KR 1020020078711 A KR1020020078711 A KR 1020020078711A KR 20020078711 A KR20020078711 A KR 20020078711A KR 20040051744 A KR20040051744 A KR 20040051744A
- Authority
- KR
- South Korea
- Prior art keywords
- risk
- primary
- reference value
- rating
- asset
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000011156 evaluation Methods 0.000 claims abstract description 15
- 238000012502 risk assessment Methods 0.000 claims description 99
- 238000004364 calculation method Methods 0.000 claims description 14
- 238000011835 investigation Methods 0.000 abstract description 6
- 238000003745 diagnosis Methods 0.000 description 11
- 238000007726 management method Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 3
- 238000012954 risk control Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013070 change management Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000003891 environmental analysis Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5019—Ensuring fulfilment of SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
Abstract
Description
본 발명은 네트워크 자산의 위험 등급 산출 시스템 및 그 방법에 관한 것으로, 네트워크 자산의 위험 평가 레벨을 차등화하여 위험 평가를 수행하고, 이전의 위험 평가 결과를 다음 평가에 반영하는 네트워크 자산의 위험 등급 산출 시스템 및 그 방법에 관한 것이다.The present invention relates to a system and method for calculating a risk rating of a network asset. The present invention relates to a risk rating calculation system for a network asset that performs a risk evaluation by differentially evaluating a risk assessment level of a network asset and reflects the previous risk evaluation result in a next evaluation. And to a method thereof.
네트워크 자산에 대한 위험 평가 기술은 아직 표준화가 추진 중에 있으며, 대표적인 표준화 기관으로 ISO(International Organization for Standardization)의 RA(Risk Assessment) Part가 있으나 위험 평가 기술 자체를 표준화하는 것이 아니라 위험 평가와 보안 관리 사이의 개념을 정립하는 것이다.The standardization of risk assessment technology for network assets is still underway, and the representative standardization agency is the Risk Assessment (RA) part of the International Organization for Standardization (ISO), but it does not standardize the risk assessment technology itself, but rather between risk assessment and security management. It is to establish the concept of.
더욱이 위험 평가의 특성상 기본적인 환경 분석을 통해 대상 시설 자산을 분류하는 방법, 각 자산에 적합한 위험 분석을 적용하는 방법, 위험 분석 결과를 가공하여 위험 등급을 산출하는 방법, 및 산출된 자산의 위험 등급을 평가하여 전체 네트워크의 보안 등급을 산출하는 방법 등은 정형화되어 있는 상황이 아니다.Moreover, due to the nature of the risk assessment, basic environmental analysis is used to classify the target facility assets, apply appropriate risk analysis to each asset, process the risk analysis results to calculate the risk rating, and calculate the risk rating of the calculated assets. How to evaluate and calculate the security level of the entire network is not a formal situation.
따라서 이 부분에 대한 깊이 있는 연구가 요구되며, 실제 적용을 통한 검증 역시 필요한 상황이다.Therefore, an in-depth study of this area is required, and verification through actual application is also required.
본 발명의 목적은, 네트워크 자산의 위험 평가 레벨을 차등화하여 위험 등급을 산출하는데 있다.It is an object of the present invention to calculate a risk rating by differentiating the risk assessment level of a network asset.
본 발명의 다른 목적은, 네트워크 자산의 위험 평가 레벨에 각각 기준치를 설정하여 위험 등급을 산출하는데 있다.Another object of the present invention is to calculate a risk level by setting a reference value at each risk assessment level of a network asset.
도 1은 본 발명에 따른 네트워크 자산의 위험 등급 산출 시스템의 구성도.1 is a block diagram of a system for calculating a risk rating of a network asset according to the present invention.
도 2는 도 1의 데이터 처리부에서 위험 평가의 1차 기준치를 산출하는 과정의 흐름도.FIG. 2 is a flowchart of a process of calculating a primary reference value of risk assessment in the data processor of FIG. 1.
도 3은 도 1의 데이터 처리부에서 위험 평가의 2차 기준치를 산출하는 과정의 흐름도.3 is a flowchart of a process of calculating a second reference value of risk assessment in the data processor of FIG. 1;
도 4는 본 발명에 따른 위험 평가의 동작 흐름도.4 is an operational flow of risk assessment in accordance with the present invention.
이를 위하여, 본 발명에 따른 네트워크 자산의 위험 등급 산출 시스템은, 네트워크 자산의 위험 평가를 1차 및 2차로 나누어 평가하고, 1차 및 2차의 평가에 따라 1차 및 2차 위험 등급과 전체 위험 등급 및 세부 등급을 각각 산출하는 위험 등급 설정 장치; 1차 및 2차의 위험 평가 시, 1차 및 2차 위험 등급을 나누는 기준이 되는 1차 및 2차 기준치를 각각 산출하는 기준치 설정 장치; 및 매회 위험 평가 시 산출되는 1차 및 2차 위험 등급과 전체 위험 등급 및 세부 등급을 저장하고, 1차 및 2차 기준치를 저장하며, 위험 평가에 필요한 기본 조사 내용과 위험 평가 시 산출되는 중간 데이터를 저장하고, 네트워크 자산의 정보를 저장하는 보안 정보 저장 장치를 구비하는 것을 특징으로 한다.To this end, the risk rating calculation system of network assets according to the present invention evaluates the risk assessment of the network assets by dividing them into primary and secondary risks, and according to the primary and secondary assessments, the primary and secondary risk classes and overall risks. A risk class setting device for calculating a class and a detailed class respectively; A reference value setting device that calculates primary and secondary reference values, which serve as a reference for dividing the primary and secondary risk classes, respectively, in the primary and secondary risk evaluations; And primary and secondary risk levels and overall risk and detail ratings calculated during each risk assessment, primary and secondary baseline values, basic investigations required for risk assessment, and intermediate data generated during risk assessment. And a security information storage device for storing the information of the network asset.
그리고, 본 발명에 따른 네트워크 자산의 위험 등급 산출 방법은, 미리 조사되어 있는 네트워크 자산에 대한 기본 조사 내용을 참조하여 세부 등급을 산출하는 제 1과정; 산출된 세부 등급을 이용하여 1차 및 2차 위험 수치를 산출하는 제 2과정; 산출된 1차 위험 수치를 이용하여 1차 위험 등급을 산출하는 제 3과정; 산출된 1차 위험 등급을 위험 평가의 대상을 선별하는 기준인 1차 기준치와 비교하여, 1차 위험 등급이 1차 기준치보다 크면, 2차 위험 수치를 이용하여 2차 위험 등급을 산출하는 제 4과정; 네트워크 자산의 전체 위험 등급을 산출하는 제 5과정; 및 산출된 전체 위험 등급을 보안 투자를 결정하는 기준인 2차 기준치와 비교하여, 전체 위험 등급이 2차 기준치보다 크면, 해당 자산에 보안 처리가 필요함을 판단하는 제 6과정을 포함하는 것을 특징으로 한다.In addition, the risk rating calculation method of the network asset according to the present invention may include a first step of calculating a detailed rating by referring to basic survey contents of a network asset that has been previously investigated; A second step of calculating first and second risk values using the calculated detailed grades; A third step of calculating a primary risk level using the calculated primary risk value; Comparing the calculated primary risk rating to the primary threshold, the criteria for screening the subjects of risk assessment, and if the primary risk rating is greater than the primary threshold, a fourth risk rating is calculated using the secondary risk value. process; Calculating a total risk level of the network asset; And a sixth process of comparing the calculated overall risk level with a second reference value that is a criterion for determining the security investment, and determining that the asset requires security processing if the overall risk level is greater than the second reference value. do.
이하, 본 발명에 따른 바람직한 실시 예를 첨부 도면을 참조하여 상세히 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.
본 발명에 따른 네트워크 자산의 위험 등급 산출 시스템은, 연속적인 위험 평가를 하기 위하여 각 자산별로 목록을 만들어 이에 대한 위험 분석을 수행하고 이를 평가하여 전체적인 위험 상태를 수치화함으로써 향후 네트워크 자산의 투자 여부와 투자 내용을 결정하도록 한다.In the risk rating calculation system of network assets according to the present invention, in order to perform a continuous risk assessment, a list of each asset is made, a risk analysis is performed, and the overall risk state is quantified by evaluating the risks. Determine the content.
이를 위하여 본 발명에 따른 네트워크 자산의 위험 등급 산출 시스템은, 도1에 도시된 바와 같이, 보안 정보 데이터베이스(110), 기준치 설정 장치(120), 및 위험 등급 설정 장치(130)를 구비하며, 일정한 주기에 따라 네트워크 자산의 위험을 평가하여 등급을 산출한다.To this end, the risk rating calculation system for network assets according to the present invention, as shown in Figure 1, comprises a security information database 110, a reference value setting device 120, and a risk rating setting device 130, The cycle evaluates the risk of network assets and calculates a rating.
보안 정보 데이터베이스(110)는 이러한 네트워크 자산의 위험 등급 산출을 위해 필요한 정보를 저장하며, 이를 위하여 기본적인 네트워크 자산의 정보와 매회마다 수행된 위험 평가 결과를 저장하는 위험 평가 히스토리 데이터베이스(112)와 현재 수행되는 위험 평가에 필요한 기본 조사 내용과 현재 수행되는 위험 평가의 중간 데이터 및 결과를 저장하는 위험 진단 데이터베이스(114), 및 위험 등급 산출에 필요한 기준치를 저장하는 기준치 관리 데이터베이스(116)를 구비한다.The security information database 110 stores information necessary for calculating a risk level of such network assets. For this purpose, the risk information history database 112 and the current performance of the risk assessment history are stored to store basic network asset information and a risk assessment result performed every time. A risk diagnosis database 114 for storing the basic investigation contents necessary for the risk assessment to be performed and intermediate data and results of the current risk assessment, and a reference value management database 116 for storing the reference values necessary for calculating the risk level.
위험 평가 히스토리 데이터베이스(112)에 저장되는 기본적인 네트워크 자산의 정보란, 자산의 히스토리 정보로서, 자산에 대한 분류(인적/물적) 정보와 함께 이들의 상세 정보(물적 자산의 경우, 도입년도, 도입비용, 감가상각률 등)등을 포함하는, 자산 가치를 산정할 수 있는 정보이다.The basic network asset information stored in the risk assessment history database 112 is history information of the asset, together with the classification (human / physical) information about the asset and their detailed information (in the case of the physical asset, the introduction year and introduction cost). Information about which assets can be valued, including depreciation rates, etc.).
그리고, 매회마다 수행된 위험 평가 결과란, 위험 평가의 연속성을 위해 이전의 위험 평가 결과를 다음 평가에 반영하기 위한 것으로, 예를 들면, 각 자산별로 전체 위험 등급, 1차 및 2차 위험 등급, 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급 등의 세부적인 등급이 이에 해당된다.The result of each risk assessment is to reflect the previous risk assessment result in the next assessment for the continuity of the risk assessment. For example, the total risk rating, the first and second risk ratings for each asset, This includes detailed ratings such as revenue contribution, other asset correlation, risk implication, asset rating, vulnerability rating, and threat rating.
위험 진단 데이터베이스(114)는 앞으로 수행될 위험 평가의 위험 등급 산출을 위해 세부적인 자료 조사 및 설문 조사 결과를 저장한다.The risk diagnosis database 114 stores detailed data surveys and survey results for the purpose of calculating risk ratings for risk assessments to be performed in the future.
따라서 위험 진단 데이터베이스(114)는 매회 위험 평가를 수행할 때마다 업데이트되며, 여기에는 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급 등을 산출하기 위한 기본 조사 내용이 저장된다.Therefore, the risk diagnosis database 114 is updated every time a risk assessment is performed, which includes basic survey contents for calculating profit contribution, other asset correlation, risk implication, asset rating, vulnerability rating, and threat rating. Is stored.
이러한 이유로 위험 평가에 필요한 세부적인 조사 항목의 선정은 조직의 정책에 따라 융통성있게 적용될 수 있다.For this reason, the selection of detailed investigation items for risk assessment can be applied flexibly, depending on the organization's policies.
예를 들면, 수익기여도와 타자산연관도의 경우에는 운영자 및 관리자의 설문 조사(등급 체크)로 수행될 수 있고, 위험내재도의 경우에는 운영자 및 관리자의 설문 조사(등급 체크)와 과거 위험 발생 빈도 조사로 수행될 수 있으며, 이러한 모든 조사 내용은 자산별로 수행되어 입력된다.For example, in the case of revenue contribution and other asset-related diagrams, the survey may be conducted by the operator and the manager (grade check), and in the case of the risk implication, the operator and the manager's survey (the grade check) and past risks are generated Frequency surveys can be conducted and all of these surveys are performed on a per asset basis.
또한, 위험 진단 데이터베이스(114)는 상기와 같은 세부적인 자료 조사 및 설문 조사 결과를 이용하여 위험 평가를 수행하면서 산출되는 여러 가지 중간 데이터들과 위험 평가의 결과 값을 저장한다.In addition, the risk diagnosis database 114 stores various intermediate data calculated while performing risk assessment using the detailed data survey and questionnaire results and the result value of the risk assessment.
위험 평가 히스토리 데이터베이스(112)에 저장되어 있는 기본적인 네트워크 자산의 정보는 자산의 처분 및 구입에 따라 내용의 삭제 및 추가가 가능하도록 하는 것이 바람직하고, 매회마다 수행된 위험 평가의 결과는 조직의 보안 정책에 따라 최근 몇년까지 저장한다는 원칙 하에 업데이트 되는 것이 바람직하며, 반면, 위험 진단 데이터베이스(114)는 상술된 바와 같이 현재 수행할 위험 평가의 위험 등급 산출에 사용되는 정보를 저장하므로 매회마다 업데이트 되는 것이 바람직하다.The basic network asset information stored in the risk assessment history database 112 should be able to delete and add contents according to the disposal and purchase of the asset, and the result of the risk assessment performed every time is the organization's security policy. According to the principle of storing up to recent years, the risk diagnosis database 114 stores the information used to calculate the risk level of the risk assessment to be performed at present, as described above. Do.
기준치 관리 데이터베이스(116)는 n-1회의 위험 평가 수행 시 산출된 1차 및 2차 기준치를 저장하며, 이러한 n-1회의 1차 및 2차 기준치는 n회의 1차 및 2차 기준치 산출에 사용된다.The baseline management database 116 stores the primary and secondary baseline values calculated during n-1 risk assessments, and these n-1 primary and secondary baselines are used to calculate n primary and secondary baseline values. do.
따라서, 기준치 관리 데이터베이스(116)는 매회 산출되는 1차 및 2차 기준치를 저장하여 다음 회의 1차 및 2차 기준치 산출을 위해 사용되며, 매회 1차 및 2차 기준치가 산출되면 업데이트 된다.Therefore, the reference value management database 116 stores the first and second reference values calculated each time and is used for calculating the next first and second reference values, and is updated when the first and second reference values are calculated each time.
그리고 본 발명은 위험 평가 레벨을 1차 위험 평가와 2차 위험 평가의 두 단계로 차등화하여 자산의 위험 평가를 수행하는데, 1차 위험 평가를 통해 2차 위험 평가를 수행하지 않아도 될 자산을 필터링한다.In addition, the present invention performs risk assessment of assets by dividing the risk assessment level into two stages of primary risk assessment and secondary risk assessment, and filters assets that do not require secondary risk assessment through primary risk assessment. .
다시 말하면, 1차 위험 평가를 통해 분리되어 2차 위험 평가를 수행하지 않은 자산은 위험도가 낮아 위험 제어, 즉 보안 투자가 필요없는 자산으로 판단된다.In other words, assets that are separated through the primary risk assessment and do not perform the secondary risk assessment are considered to be low-risk assets that do not require risk control, that is, security investment.
이에, 1차 및 2차의 위험 평가를 통해 자산의 위험 등급을 나누기 위한 기준치가 필요하며, 이러한 기준치는 기준치 설정 장치(120)에서 설정된다.Therefore, a reference value for dividing the risk level of the asset through the first and second risk assessment is required, and this reference value is set in the reference value setting device 120.
1차 위험 평가를 위한 1차 기준치는 위험 평가의 대상을 선별하는 기준 값이며, 2차 위험 평가를 위한 2차 기준치는 위험 평가 결과에 따라 보안 투자를 결정하는 기준 값이다.The primary baseline for the primary risk assessment is the baseline for screening the subjects of the risk assessment, and the secondary baseline for the secondary risk assessment is the baseline for determining security investments based on the results of the risk assessment.
1차 및 2차 기준치 모두 이전에 수행되었던 위험 평가의 결과를 가공하여 산출되며, 이러한 산출 방법은 해당 위험 평가가 대상 네트워크의 변화 관리 결과를 연속적으로 반영시킨다는 장점을 갖는다.Both primary and secondary baseline values are calculated by processing the results of risk assessments that have been previously performed, and this method has the advantage that the risk assessment continuously reflects the change management results of the target network.
기준치 설정 장치(120)는 데이터 입력부(122), 데이터 처리부(124), 및 데이터 출력부(126)를 구비한다.The reference value setting device 120 includes a data input unit 122, a data processing unit 124, and a data output unit 126.
데이터 입력부(122)는 1차 및 2차 기준치를 산출하기 위하여 위험 평가 히스토리 데이터베이스(112)로부터 n-1회에 수행된 위험 평가 결과의 1차 및 2차 위험등급과 전체 위험 등급 정보를 가져오고, 기준치 관리 데이터베이스에서 2차 기준치 정보를 가져온다.The data input unit 122 obtains the first and second risk ratings and the overall risk rating information of the risk evaluation results performed n-1 times from the risk assessment history database 112 to calculate the first and second reference values. From the baseline management database, the secondary baseline information is retrieved.
그리고, 가져온 n-1회 1차 및 2차 위험 등급과 전체 위험 등급 정보를 이용하여, 1차 위험 등급 < 2차 위험 등급인 자산 비율, 1차 위험 등급 > 2차 위험 등급인 자산 비율, 전체 위험 등급 < 2차 기준치인 자산 비율, 및 전체 위험 등급 > 2차 기준치인 자산 비율 등의 값을 계산한다.Then, using the imported n-1 times primary and secondary risk ratings and overall risk rating information, the proportion of assets with primary risk rating <secondary risk rating, primary risk rating> secondary risk rating, overall Calculate values such as Risk Rate <Secondary Baseline Asset Ratio, and Overall Risk Class> Secondary Baseline Asset Ratio.
이때 계산된 정보는 이전 위험 평가 결과 자료에 대한 통계치로서, 1차 및 2차 위험 평가를 모두 수행한 자산들의 위험 등급의 차이를 산출한 값들이다.The calculated information is a statistical value of the previous risk assessment data, and is a value that calculates the difference in risk grades of assets that have performed both the first and second risk assessments.
데이터 입력부(122)에서 계산된 통계 자료가 입력되면, 이를 이용하여 데이터 처리부(124)는 n회 위험 평가의 1차 기준치 및 2차 기준치를 산출한다.When the statistical data calculated by the data input unit 122 is input, the data processing unit 124 calculates the first reference value and the second reference value of the n-time risk assessment using the same.
도 2는 데이터 처리부(124)에서 n회 위험 평가의 1차 기준치를 산출하는 과정의 흐름도이다.2 is a flowchart of a process of calculating a first reference value of n-time risk assessment by the data processor 124.
먼저, n회 위험 평가의 1차 기준치 하향 비율을 산출한다(S210).First, the first baseline down ratio of the n-time risk assessment is calculated (S210).
이는 데이터 입력부(122)를 통해 입력받은 1차 위험 등급 < 2차 위험 등급인 자산 비율의 값을 이용하여, n-1회에 수행되었던 위험 평가 기록 가운데 2차 위험 평가 결과 얻어진 위험 등급이 1차 위험 등급보다 높아진 자산의 비율을 계산함으로써 산출된다.The risk rating obtained as a result of the second risk assessment is the first among the risk assessment records that were performed n-1 times using the value of the ratio of the assets having the first risk rating <the second risk rating input through the data input unit 122. It is calculated by calculating the percentage of assets above the risk class.
그리고 n회 위험 평가의 1차 기준치 상향 비율을 산출한다(S220).In operation S220, the first baseline increase rate of the risk assessment is calculated.
이는 데이터 입력부(122)를 통해 입력받은 1차 위험 등급 > 2차 위험 등급인 자산 비율의 값을 이용하여, n-1회에 수행되었던 위험 평가 기록 가운데 2차 위험평가 결과 얻어진 위험 등급이 1차 위험 등급보다 낮아진 자산의 비율을 계산함으로 산출된다.This is based on the value of the asset ratio of the first risk level> the second risk level, which is input through the data input unit 122, and the risk level obtained as a result of the second risk evaluation is the first among the risk evaluation records performed n-1 times. It is calculated by calculating the proportion of assets below the risk class.
산출된 1차 기준치 하향 비율이 일정 수준(T1)을 초과하면(S230), n회 위험 평가의 1차 기준치를 하향 조정한다(S240).If the calculated first baseline down ratio exceeds a predetermined level (T1) (S230), the first baseline of the n-time risk assessment is adjusted down (S240).
그러나 산출된 1차 기준치 상향 비율이 일정 수준(T1)을 초과하면(S250), n회 위험 평가의 1차 기준치를 상향 조정한다(S260).However, if the calculated first baseline rate of increase exceeds a predetermined level (T1) (S250), the first baseline of the n-time risk assessment is adjusted (S260).
위 두가지 조건에 만족하지 않으면 기존의 1차 기준치를 그대로 유지한다(S270).If the above two conditions are not satisfied, the existing primary reference value is maintained as it is (S270).
도 3은 데이터 처리부(124)에서 n회 위험 평가의 2차 기준치를 산출하는 과정의 흐름도이다.3 is a flowchart of a process of calculating a second reference value of n-time risk assessment by the data processor 124.
먼저, n회 위험 평가의 2차 기준치 하향 비율을 산출한다(S310).First, a rate of decreasing the second reference value of the n-time risk assessment is calculated (S310).
이는 데이터 입력부(122)를 통해 입력받은 전체 위험 등급 < 2차 기준치인 자산 비율의 값을 이용하여, n-1회에 수행되었던 위험 평가 결과 산출된 전체 위험 등급이 2차 기준치보다 작은 경우에 해당하는 자산의 비율을 계산함으로써 산출된다.This is the case when the total risk rating calculated as a result of the risk assessment performed at n-1 times is smaller than the second reference value by using the value of the asset ratio which is the total risk rating <the second reference value input through the data input unit 122. Calculated by calculating the ratio of assets to
그리고 n회 위험 평가의 2차 기준치 상향 비율을 산출한다(S320).In operation S320, a rate of raising the second reference value of the n-time risk assessment is calculated.
이는 데이터 입력부(122)를 통해 입력받은 전체 위험 등급 > 2차 기준치인 자산 비율의 값을 이용하여, n-1회에 수행되었던 위험 평가 결과 산출된 전체 위험 등급이 2차 기준치보다 큰 경우에 해당하는 자산의 비율을 계산함으로써 산출된다.This is the case when the total risk rating calculated as a result of the risk assessment performed at n-1 times is greater than the second reference value by using the value of the asset ratio which is the total risk level> the second reference value input through the data input unit 122. Calculated by calculating the ratio of assets to
산출된 2차 기준치 하향 비율이 일정 수준(T2)을 초과하면(S330), n회 위험평가의 2차 기준치를 하향 조정한다(S340).If the calculated second threshold fall ratio exceeds a predetermined level (T2) (S330), the second threshold of the n-time risk assessment is adjusted downward (S340).
그러나 산출된 2차 기준치 상향 비율이 일정 수준(T2)을 초과하면(S350), n회 위험 평가의 2차 기준치를 상향 조정한다(S360).However, if the calculated second baseline rate of increase exceeds a predetermined level (T2) (S350), the second baseline of the n-time risk assessment is adjusted (S360).
위 두가지 조건에 만족하지 않으면 기존의 2차 기준치를 그대로 유지한다(S370).If the above two conditions are not satisfied, the existing secondary reference value is maintained as it is (S370).
그리고, 상기와 같은 n회의 1차 및 2차 기준치를 산출하기 위한 1차 기준치 하향 및 상향 비율과 2차 기준치 하향 및 상향 비율은, 위험 평가 수행을 위한 중간 데이터로서 위험 진단 데이터베이스(114)에 임시 저장되어 있다가 1차 및 2차 기준치를 산출하는데 사용된다.In addition, the first baseline down and up rates and the second base line down and up rates for calculating the n primary and secondary base values as described above are temporarily stored in the risk diagnosis database 114 as intermediate data for performing risk assessment. It is stored and used to calculate the primary and secondary reference values.
데이터 출력부(126)는 이렇게 산출된 n회의 1차 및 2차 기준치를 기준치 관리 데이터베이스(116)에 저장하여 추후 위험 등급 설정 장치(130)에서 기준치에 의한 네트워크 자산의 위험 등급이 산출되도록 한다.The data output unit 126 stores the n times the first and second reference values calculated in the reference value management database 116 so that the risk rating of the network asset based on the reference value may be calculated in the risk class setting device 130 later.
위험 등급 설정 장치(130)는 위험 분석부(132), 위험 평가부(134), 및 위험 제어부(136)를 구비한다.The risk rating device 130 includes a risk analyzer 132, a risk evaluator 134, and a risk controller 136.
n회 위험 평가를 위한 위험 등급 설정 장치(130)의 기능 및 동작을 도 4를 참조하여 설명한다.The function and operation of the risk class setting device 130 for n-time risk evaluation will be described with reference to FIG. 4.
위험 분석부(132)는 네트워크 자산, 예를 들면, 라우터 및 스위치 등의 장비, 운용 및 관리 인력, 문서화 등의 자료에 대한 리스트를 바탕으로 각각의 수준에 맞게 위험을 분석한다.The risk analysis unit 132 analyzes the risk at each level based on a list of data on network assets, such as equipment such as routers and switches, operation and management personnel, and documentation.
이때 위험 분석은 자산별로 1차와 2차로 나누어 수행되며, 1차 분석은 수익기여도, 타자산연관도, 및 위험내재도를 점수화하여 자산별 1차 위험 수치를 산출하는 것이고, 2차 분석은 자산등급, 취약성등급, 및 위협성등급을 세부 항목별로 분석하여 자산별 2차 위험 수치를 산출하는 것이다.In this case, the risk analysis is performed by dividing the asset into primary and secondary, and the primary analysis is to calculate the primary risk value for each asset by scoring the profit contribution, other asset correlation, and risk intrinsicness. The secondary risk value for each asset is calculated by analyzing the ratings, vulnerability ratings, and threat ratings in detail.
이를 위하여, 위험 분석부(132)는 먼저, 위험 진단 데이터베이스(114)로부터 n회 위험 평가를 위해 미리 조사되어 저장되어 있는 기본 조사 내용을 참조하여, 1차 및 2차 위험 수치를 산출하기 위한 기초 데이터로서, 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급 등을 산출한다(S410).To this end, the risk analysis unit 132 first refers to the basic investigation contents which have been pre-investigated and stored for the risk assessment n times from the risk diagnosis database 114, and the basis for calculating the primary and secondary risk values. As data, the degree of profit contribution, the degree of association with other assets, the degree of risk implications, the asset class, the vulnerability rating, and the threat rating are calculated (S410).
특히, 자산등급, 취약성등급, 및 위협성등급을 산출하는 식은 식 1과 같다.In particular, the equation for calculating asset class, vulnerability class, and threat class is as shown in Equation 1.
<식 1><Equation 1>
자산등급=실제자산가치수익기여도타자산연관도위험내재도Asset class = actual asset value Revenue contribution Other asset association diagram Risk implications
취약성등급=취약성요소가중치취약심각도Vulnerability Rating = Vulnerability Factor Weighted Vulnerability Severity
위협성등급=위협성요소가중치위협빈도Threat class = weight of threat factor Threat frequency
식 1에서 자산등급, 취약성등급, 및 위협성등급을 산출하기 위한 실제자산가치, 수익기여도, 타자산연관도, 위험내재도, 취약성요소가중치, 취약심각도, 위협성요소가중치, 및 위협빈도는 위험 진단 데이터베이스(114)로부터 n회 위험 평가를 위해 미리 조사되어 저장되어 있는 기본 조사 내용에 포함되는 정보이다.Actual asset value, revenue contribution, other asset correlation, risk intrinsic, vulnerability weighting, vulnerability severity, threat factor weighting, and threat frequency for calculating asset class, vulnerability class, and threat class in Equation 1 The information included in the basic investigation content which is previously investigated and stored for n risk assessments from (114).
상기와 같이 1차 및 2차 위험 수치를 산출하기 위한 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급의 기초 데이터 산출이 완료되면, 식 2에 따라 자산별 1차 및 2차 위험 수치를 산출한다(S420).As described above, when the basic data of revenue contribution, other asset association, risk impliedness, asset class, vulnerability rating, and threat rating are calculated to calculate the primary and secondary risk values, The second and second risk values are calculated (S420).
<식 2><Equation 2>
1차 위험 수치=수익기여도타자산연관도위험내재도1st risk figure = revenue contribution Other asset association diagram Risk implications
2차 위험 수치=자산등급취약성등급위협성등급2nd risk figure = asset class Vulnerability level Threat rating
상술된 바와 같이 위험 분석부(132)에서 산출된 자산별 수익기여도, 타자산연관도, 위험내재도, 자산등급, 취약성등급, 및 위협성등급과, 자산별 1차 및 2차 위험 수치는 위험 평가 수행을 위한 중간 데이터로서 위험 진단 데이터베이스(114)에 저장된다.As described above, the asset-specific revenue contribution, other asset correlation, risk implication, asset class, vulnerability rating, and threat rating, and the first and second risk values for each asset are calculated by the risk analysis unit 132. It is stored in the risk diagnosis database 114 as intermediate data for performance.
위험 평가부(134)는 먼저, 위험 분석부(132)에서 산출된 1차 위험 수치를 위험 진단 데이터베이스(114)로부터 참조하여 자산별 1차 위험 등급을 산출한다(S430).The risk evaluation unit 134 first calculates a primary risk level for each asset by referring to the primary risk value calculated by the risk analysis unit 132 from the risk diagnosis database 114 (S430).
1차 위험 등급의 산출은 기 정해진 규칙에 따라 1차 위험 수치가 해당 위험 등급에 포함되는 수치인지를 판단하여 수행된다.The calculation of the primary risk level is carried out by determining whether the primary risk value is included in the risk level according to a predetermined rule.
1차 위험 등급이 산출되면, 기준치 관리 데이터베이스(116)의 1차 기준치를 참조하여, 산출된 1차 위험 등급과 위험 평가의 대상을 선별하는 기준인 1차 기준치와 비교하여(S440) 1차 위험 평가 등급이 더 크면 자산별 2차 위험 등급을 산출한다(S450).When the primary risk level is calculated, the primary risk is compared with the primary reference value, which is a criterion for selecting the target risk level and the object of the risk assessment, by referring to the primary reference value of the baseline management database 116 (S440). If the evaluation grade is larger, a second risk rating for each asset is calculated (S450).
2차 위험 등급의 산출은 1차 위험 등급의 산출과 마찬가지로, 위험 분석부(132)에서 산출된 2차 위험 수치를 위험 진단 데이터베이스(114)로부터 참조하여 기 정해진 규칙에 따라 해당 위험 등급에 포함되는 수치인지를 판단하여 수행된다.Similar to the calculation of the primary risk rating, the calculation of the secondary risk rating refers to the secondary risk value calculated by the risk analysis unit 132 from the risk diagnosis database 114 and is included in the corresponding risk level according to a predetermined rule. This is done by determining if it is a numerical value.
2차 위험 등급이 산출되고 나면 해당 자산의 위험 평가에 대한 전체 위험 등급을 산출한다(S460).After the secondary risk rating is calculated, the overall risk rating for the risk assessment of the asset is calculated (S460).
위험 평가부(134)에서 산출된 자산별 1차 및 2차 위험 등급과 전체 위험 등급은 위험 평가 수행을 위한 중간 데이터로서 위험 진단 데이터베이스(114)에 저장된다.The asset-specific primary and secondary risk grades and the overall risk grade calculated by the risk assessment unit 134 are stored in the risk diagnosis database 114 as intermediate data for performing the risk assessment.
전체 위험 등급이 산출되면, 위험 제어부(136)는 기준치 관리 데이터베이스 (116)의 2차 기준치를 참조하여, 산출된 전체 위험 등급과 위험 평가 결과에 따라 보안 투자를 결정하는 기준 값인 2차 기준치를 비교하며(S470), 이에 전체 위험 등급이 2차 기준치보다 더 크면 해당 자산을 위험 평가 결과 보안이 필요한 것으로 판단하여 그에 따른 제어가 이루어지도록 한다(S480).Once the overall risk rating is calculated, the risk control unit 136 refers to the secondary reference value of the baseline management database 116 and compares the calculated secondary risk value with the secondary reference value, which is a reference value for determining the security investment based on the risk assessment result. If (S470), if the overall risk level is greater than the second reference value, it is determined that the asset is required for security as a result of risk assessment, and control is performed accordingly (S480).
상술된 바와 같이, 본 발명은 기준치 개념을 도입하여 위험 평가를 차등 적용함으로써 위험 평가에 소요되는 비용을 절감하는 효과가 있다.As described above, the present invention has an effect of reducing the cost required for risk assessment by differentially applying risk assessment by introducing the concept of a baseline.
더욱이 기준치 설정을 위하여 이전에 수행되었던 위험 평가의 결과를 사용함으로써 네트워크의 변화를 연속적으로 반영하기 때문에 중장기적인 관점에서 소요되는 보안 관리 비용이 절감되며, 연속적이며 체계적인 보안 관리를 가능하게 한다.Furthermore, by using the results of the risk assessment that has been previously performed to establish the baseline, it continuously reflects changes in the network, thereby reducing the cost of security management in the mid to long term, and enabling continuous and systematic security management.
그리고, 향후 위험 평가 시스템의 개선을 위한 기본 데이터를 제공할 수 있으며, SLA(Service Level Agreement) 사업의 보안 서비스 부분의 기본 인프라를 구축할 수 있다.In addition, it is possible to provide basic data for improving the risk assessment system in the future, and to establish a basic infrastructure of the security service part of a service level agreement (SLA) project.
Claims (13)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020020078711A KR20040051744A (en) | 2002-12-11 | 2002-12-11 | System for evaluating risk value of network property and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020020078711A KR20040051744A (en) | 2002-12-11 | 2002-12-11 | System for evaluating risk value of network property and method thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20040051744A true KR20040051744A (en) | 2004-06-19 |
Family
ID=37345551
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020020078711A KR20040051744A (en) | 2002-12-11 | 2002-12-11 | System for evaluating risk value of network property and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20040051744A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100713546B1 (en) * | 2005-12-22 | 2007-04-30 | 기술신용보증기금 | Method of technology evaluation |
KR20180060616A (en) * | 2016-11-29 | 2018-06-07 | 주식회사 엘앤제이테크 | RBA based integrated weak point diagnosis method |
CN114884735A (en) * | 2022-05-10 | 2022-08-09 | 厦门融达信数据技术股份有限公司 | Multisource data intelligent evaluation system based on security situation |
-
2002
- 2002-12-11 KR KR1020020078711A patent/KR20040051744A/en not_active Application Discontinuation
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100713546B1 (en) * | 2005-12-22 | 2007-04-30 | 기술신용보증기금 | Method of technology evaluation |
KR20180060616A (en) * | 2016-11-29 | 2018-06-07 | 주식회사 엘앤제이테크 | RBA based integrated weak point diagnosis method |
CN114884735A (en) * | 2022-05-10 | 2022-08-09 | 厦门融达信数据技术股份有限公司 | Multisource data intelligent evaluation system based on security situation |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11657352B2 (en) | Reducing cybersecurity risk level of a portfolio of companies using a cybersecurity risk multiplier | |
US11282018B2 (en) | Method and system for risk measurement and modeling | |
US20190034845A1 (en) | Reducing cybersecurity risk level of a portfolio of companies using a cybersecurity risk multiplier | |
Roldán-Molina et al. | A comparison of cybersecurity risk analysis tools | |
Fenz et al. | Information security risk management: In which security solutions is it worth investing? | |
KR100892415B1 (en) | Cyber Threat Forecasting System and Method therefor | |
US20120203590A1 (en) | Technology Risk Assessment, Forecasting, and Prioritization | |
KR100755000B1 (en) | Security risk management system and method | |
Woods et al. | Towards integrating insurance data into information security investment decision making | |
JPWO2008139856A1 (en) | Risk model correction system, risk model correction method, and risk model correction program | |
EP3726441A1 (en) | Company bankruptcy prediction system and operating method therefor | |
CN114492605A (en) | Federal learning feature selection method, device and system and electronic equipment | |
WO2008154346A2 (en) | System and method for risk prioritization | |
CN112561685A (en) | Client classification method and device | |
CN115760332A (en) | Risk prediction method, system, medium and device based on enterprise data analysis | |
KR100524649B1 (en) | Risk analysis system for information assets | |
CN113505980A (en) | Reliability evaluation method, device and system for intelligent traffic management system | |
CN117132383A (en) | Credit data processing method, device, equipment and readable storage medium | |
CN115660774B (en) | Block chain-based material supply chain system credit evaluation method | |
KR20040051744A (en) | System for evaluating risk value of network property and method thereof | |
US8000995B2 (en) | System and method for assessing customer segmentation strategies | |
Derakhshandeh et al. | New framework for comparing information security risk assessment methodologies | |
Rodpysh | Model to predict the behavior of customers churn at the industry | |
Dhaniawaty | Evaluation Maturity Level IT Risk Management of Metatrader Software Using Risk IT Framework With Domain Risk Governance (RG) | |
CN113822490B (en) | Asset collection method and device based on artificial intelligence and electronic equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |