KR20120070771A - 정량적 보안 정책 평가 장치 및 방법 - Google Patents
정량적 보안 정책 평가 장치 및 방법 Download PDFInfo
- Publication number
- KR20120070771A KR20120070771A KR1020100132217A KR20100132217A KR20120070771A KR 20120070771 A KR20120070771 A KR 20120070771A KR 1020100132217 A KR1020100132217 A KR 1020100132217A KR 20100132217 A KR20100132217 A KR 20100132217A KR 20120070771 A KR20120070771 A KR 20120070771A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- evaluation
- quantitative
- security policy
- policy
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 정량적 보안 정책 평가에 있어서, 다양한 보안 정책들이 정의되고 있는 환경에서 통합된 평가 기준 및 정량적인 평가 모델을 통해 이기종 네트워크에서 다양한 보안 컴포넌트들로 결합된 보안 정책들을 효과적으로 정량 평가할 수 있도록 하여 보다 효과적인 보안 관리를 할 수 있다. 또한, 정량화된 평가 방법의 결과인 총이익함수 결과값에 대한 모순이 발생하는 경우 효용함수를 임의로 수정해야 하는 종래 방법과는 달리 본 발명에서는 모델링 작업을 통해 역순환 계산을 할 필요가 없게 되어 정량 평가를 보다 효과적으로 수행할 수 있다.
Description
본 발명은 보안 정책 평가에 관한 것으로, 특히 인터 도메인(inter-domain)으로 다른 통신 사업자간 연동과 더불어 이기종(heterogeneous) 네트워크(network)와 같이 통합 유무선 네트워크간 연동 등을 포함한 다양한 이기종 네트워크간 보안 연동 서비스를 안전하게 지원하기 위해 다양한 보안 정책들이 정의되고 있는 환경에서, 통합된 평가 기준 및 정형화된 보안 평가 모델(evaluation model)을 제안함으로써, 다양한 보안 컴포넌트(security component)들로 결합된 보안 정책들을 효과적으로 정량 평가할 수 있도록 하는 정량적 보안 정책 평가 장치 및 방법에 관한 것이다.
통상적으로 보안 정책 평가는 다양한 네트워크에 설치되는 보안 컴포넌트들에 대해 보안 정책을 평가하여 현재 보안 정책의 수준을 표시하기 위한 것으로, 각 네트워크별로 설정된 별도의 정책에 따라 평가 수행이 이루어지고 있다.
위와 같은 보안 정책 평가를 위한 종래 방법에서는 다양한 보안 컴포넌트들로 구성된 보안 정책을 정량적으로 평가하기 위해 각 보안 컴포넌트들이 보안 요소들을 만족시키는지 여부에 따른 평가 결과를 기반으로 단순 누적하는 방식으로 보안 정책 평가를 수행하는 것이 대부분이었다.
그러나, 위와 같은 종래 보안 정책 평가 기술은 최근 들어 통신 사업자들의 네트워크내 보안 정책들이 다수의 보안 컴포넌트들로 구성되고 있어 평가 기준, 평가 요소, 평가 방법 등에 대한 문제점들이 발생되었다.
특히, 종래 보안 정책 평가에서는 평가 대상이 되는 보안 컴포넌트들에 대해 단순 누적함수를 적용하여 보안 평가를 수행하고 있기 때문에 취약한 보안 컴포넌트가 다수로 구성된 보안 정책이 안전한 보안 컴포넌트 소수로 구성된 보안 정책보다도 높은 평가를 받을 수 있는 등의 문제점을 가지고 있다.
위와 같은 문제점이 발생하는 경우 종래에는 임의로 보안 컴포넌트의 평가결과를 수정하는 방법을 사용하고 있으나, 보안 정책을 구성하는 보안 컴포넌트들이 증가될 경우 모든 평가 요소, 기준, 방법들이 변경되어야 하기 때문에 정량적인 평가 방법으로 효과적이지 못한 문제점이 있었다.
따라서, 본 발명은 인터 도메인(inter-domain)으로 다른 통신 사업자간 연동과 더불어 이기종(heterogeneous) 네트워크와 같이 통합 유무선 네트워크간 연동 등을 포함한 다양한 이기종 네트워크간 보안 연동 서비스를 안전하게 지원하기 위해 다양한 보안 정책들이 정의되고 있는 환경에서, 통합된 평가 기준 및 정형화된 보안 평가 모델을 제안함으로써, 다양한 보안 컴포넌들로 결합된 보안 정책들을 효과적으로 정량 평가할 수 있도록 하는 정량적 보안 정책 평가 장치 및 방법을 제공하고자 한다.
상술한 본 발명은 정량적 보안 정책 평가 장치로서, 네트워크의 보안 정책을 분석하는 보안정책 분석부와, 평가 요소로서 보안 요소들을 분류하고 각 보안 요소를 평가하기 위한 평가 기준을 정의하는 평가기준 정의부와, 상기 각 보안 요소에 대한 평가 기준을 기반으로 각 보안 컴포넌트의 평가 결과를 산출하는 평가결과 산출부와, 상기 보안 컴포넌트를 보안 기능에 따라 분류하여 그룹화하고, 각 그룹의 보안 기능을 고려한 가중치를 산출하는 가중치 산출부와, 상기 가중치를 이용하여 상기 그룹별 보안 정책을 정량 평가하여 순위를 결정하는 정량 평가부를 포함한다.
또한, 상기 보안정책 분석부는, 이기종의 네트워크상 다양한 보안 컴포넌트로 조합된 보안 정책을 분석하여 최소의 보안 컴포넌트로 분류하는 것을 특징으로 한다.
또한, 평가결과 산출부는, 각 보안 요소들에 대한 평가 기준들을 기반으로 각 보안 컴포넌트를 효용함수를 이용하여 수치화하고 효용함수의 수치들을 종합한 결과값으로 평가 결과를 산출하는 것을 특징으로 한다.
또한, 정량 평가부는, 상기 보안 컴포넌트들의 그룹화 과정에서 정의된 보안 기능에 기반하여 보안 정책들의 우선순위에 적합한 데이터 셋을 유도하고, 유도된 데이터 셋에 기반하여 다양한 보안 컴포넌트로 조합된 보안 정책들을 정량 평가하여 순위를 결정하는 것을 특징으로 한다.
또한, 상기 정량 평가부는, 유도된 데이터 셋을 총이익 함수로 계산하여 다양한 보안 컴포넌트로 조합된 보안 정책들 각각에 대한 정량 평가를 수행하는 것을 특징으로 한다.
또한, 본 발명은 정량적 보안 정책 평가 방법으로서, 네트워크의 보안 정책을 분석하는 단계와, 평가 요소로서 보안 요소들을 분류하고 각 보안 요소를 평가하기 위한 평가 기준을 정의하는 단계와, 상기 각 보안 요소에 대한 평가 기준을 기반으로 각 보안 컴포넌트의 평가 결과를 산출하는 단계와, 상기 보안 컴포넌트를 보안 기능에 따라 분류하여 그룹화하고, 각 그룹의 보안 기능을 고려한 가중치를 산출하는 단계와, 상기 가중치를 이용하여 상기 그룹별 보안 정책을 정량 평가하는 단계를 포함한다.
또한, 상기 보안정책을 분석하는 단계는, 이기종의 네트워크상 다양한 보안 컴포넌트로 조합된 보안 정책을 분석하는 단계와, 상기 분석을 통해 상기 보안 컴포넌트를 최소의 보안 컴포넌트로 분류하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 평가결과를 산출하는 단계는, 각 보안 요소들에 대한 평가 기준들을 기반으로 각 보안 컴포넌트를 효용함수를 이용하여 수치화하는 단계와, 상기 효용함수의 수치들을 종합한 결과값으로 평가 결과를 산출하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 정량 평가 단계는, 상기 보안 컴포넌트들의 그룹화 과정에서 정의된 보안 기능에 기반한 보안 정책들의 우선순위에 적합한 데이터 셋을 유도하는 단계와, 상기 유도된 데이터 셋에 기반하여 다양한 보안 컴포넌트로 조합된 보안 정책들을 정량 평가하는 단계와, 상기 정량 평가 결과를 기반으로 상기 보안 정책들의 순위를 결정하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 정량 평가하는 단계에서, 상기 유도된 데이터 셋을 총이익 함수로 계산하여 다양한 보안 컴포넌트로 조합된 보안 정책들 각각에 대한 정량 평가를 수행하는 것을 특징으로 한다.
본 발명에서는 정량적 보안 정책 평가에 있어서, 다양한 보안 정책들이 정의되고 있는 환경에서 통합된 평가 기준 및 정량적인 평가 모델을 통해 이기종 네트워크에서 다양한 보안 컴포넌트들로 결합된 보안 정책들을 효과적으로 정량 평가할 수 있도록 하여 보다 효과적인 보안 관리를 할 수 있는 이점이 있다.
또한, 정량화된 평가 방법의 결과인 총이익함수 결과값에 대한 모순이 발생하는 경우 효용함수를 임의로 수정해야 하는 종래 방법과는 달리 본 발명에서는 모델링 작업을 통해 역순환 계산을 할 필요가 없게 되어 정량 평가를 보다 효과적으로 수행할 수 있는 이점이 있다.
또한, 본 발명에서는 보안 정책들이 한가지 기능만을 지원하는 것이 아니라 다양한 보안 기능을 제공하기 때문에 이러한 분류 방법을 통해 각 보안 기능에 대한 서비스에 적합한 효과적인 적용이 가능하며, 보안 요소들에 대한 가중치 집합들을 유도함에 따라 보안 정책 평가에 있어 단순한 합산 계산으로 인한 모순 발생이나 임의의 가중치 값에 대한 할당으로 발생하는 모순을 방지할 수 있는 이점이 있다.
도 1은 본 발명의 실시 예에 따른 정량적 보안 정책 평가 장치의 블록 구성도,
도 2는 본 발명의 실시 예에 따른 네트워크의 보안 정책을 정량적으로 평가하는 동작 제어 흐름도.
도 2는 본 발명의 실시 예에 따른 네트워크의 보안 정책을 정량적으로 평가하는 동작 제어 흐름도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이며, 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들(실행 엔진)에 의해 수행될 수도 있으며, 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
그리고, 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명되는 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능들을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있으며, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하며, 또한 그 블록들 또는 단계들이 필요에 따라 해당하는 기능의 역순으로 수행되는 것도 가능하다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예에 대하여 상세하게 설명한다.
현재 보안 정책들이 다양한 분야에서 필수 요건으로 적용되어야만 하는 환경에 더불어 단일한 보안 정책의 적용이 아닌 다양한 보안 요소들을 만족시키기 위한 다양한 정책들이 서로 유기적으로 조합되어 환경을 구축하고 있다. 특히, 네트워크 환경에서는 단일 플랫폼 환경에서 벗어나 이기종간의 연동이 요구됨에 따라 효과적이고 균등한 레벨의 보안연동을 위해서는 각 개별적인 네트워크에서 정의하고 있는 보안 정책에 대해 분석하고 이를 정량적인 방법으로 측정한 결과들이 필요하다.
각 네트워크들이 독립적으로 정의하고 있는 보안 정책들은 인증, 기밀성, 무결성, 접근 제어, 취약성 분석과 같은 다양한 보안 요소들을 요구하고 있다.
이러한 필수 보안 요소들을 만족하기 위해 각각의 보안 컴포넌트들이 조합되어 하나의 보안 정책을 정의하고 있다. 서로 상호 작용을 하고 있는 보안 컴포넌트들에 대한 정량적 평가 방법으로 본 발명에서는 기존의 QoP(quality of protection) 모델을 기반으로 다양한 보안 정책들을 정량적으로 평가할 수 있는 장치 및 방법을 제안한다.
이때, QoP모델이란 보안 프로토콜의 강도를 측정하는 모델로서 보안 컴포넌트들의 미시적인 관점에서의 평가 방법인 효용함수(utility function)와 효용함수의 수치들을 종합하여 각 보안 정책들을 거시적 관점에서 평가할 수 있는 총이익함수(total reward function)로 구성될 수 있다.
도 1은 본 발명의 실시 예에 따른 정량적 보안 정책 평가 장치(100)의 상세 블록 구성을 도시한 것으로, 정량적 보안 정책 평가 장치(100)는 보안정책 분석부(102)와, 평가기준 정의부(104)와, 평가결과 산출부(106)와 가중치 산출부(108)와 정량 평가부(110)를 포함한다.
이하, 도 1을 참조하여 본 발명의 정량적 보안 정책 평가 장치(100)의 각 구성요소의 동작을 상세히 설명하기로 한다.
먼저, 보안정책 분석부(102)는 이기종의 네트워크상 다양한 보안 컴포넌트(security component)로 조합된 보안 정책을 분석하여 최소의 보안 컴포넌트로 분류한다.
평가기준 정의부(104)는 평가 요소로서 보안 요소(security feature)들을 분류하고 각 보안 요소들을 평가할 수 있는 평가 기준들을 정의한다.
평가결과 산출부(106)는 각 보안 요소들에 대한 평가 기준들을 기반으로 각 보안 컴포넌트들을 효용함수(utility function)를 이용하여 수치화하고 효용함수의 수치들을 종합한 결과값으로 평가 결과를 산출한다.
가중치 산출부(108)는 평가결과 산출부(106)에서 효용함수를 통해 평가된 보안 컴포넌트들을 보안 기능에 따라 분류하여 그룹화하고, 각 그룹의 보안 기능 측면의 가중치(indicator) 값을 산출한다.
정량 평가부(110)는 가중치 산출부(108)로부터 산출되는 보안 컴포넌트 그룹별 가중치값을 이용하여 보안 컴포넌트들의 그룹화 과정에서 정의된 보안 기능에 기반한 보안 정책들의 우선순위에 적합한 데이터 셋(data set)을 유도하고, 유도된 데이터 셋에 기반하여 다양한 보안 컴포넌트로 조합된 보안 정책들을 정량 평가하여 순위를 결정한다.
도 2는 본 발명의 실시 예에 따른 정량적 보안 정책 평가 장치(100)에서 다양한 보안 컴포넌트들로 결합된 보안 정책들을 효과적으로 정량 평가하는 동작 제어 흐름을 도시한 것이다. 이하, 도 1 및 도 2를 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.
먼저, 보안정책 분석부(102)는 각 개별적인 네트워크에서 정의하고 있는 보안 정책에 대해 분석한다(S200). 즉, 보안정책 분석부(102)는 본 발명에 따라 보안 정책의 정량적인 평가 방법으로 다양한 보안 컴포넌트로 조합한 보안 정책을 분석하여 최소의 보안 컴포넌트로 분류한다(S202).
위와 같이, 보안 정책이 보안 정책 분석을 통해 최소의 보안 컴포넌트로 분류되는 경우(S204), 평가기준 정의부(104)는 평가 요소로서 보안 요소들을 분류하고 각 보안 요소들을 평가할 수 있는 평가 기준들을 정의한다(S206).
이와 같이 평가 기준들이 정의되는 경우, 평가결과 산출부(106)는 각 보안 요소들에 대한 평가 기준들을 기반으로 각 보안 컴포넌트들을 효용함수를 통해 평가 결과를 산출한다(S208). 이때, 평가결과 산출부(106)는 각 보안 컴포넌트들 효용함수를 이용하여 수치화하고 효용함수의 수치들을 종합한 결과값으로 평가 결과를 산출한다.
위와 같이 평가 결과가 산출되면, 가중치 산출부(108)는 평가결과 산출부(106)에 사용된 효용함수를 통해 평가된 보안 컴포넌트들을 보안 기능에 따라 분류하여 그룹화하고(S210), 각 그룹의 보안 기능 측면의 가중치 값을 산출한다(S212).
이러한 가중치값은 종래 단순 누적 함수로 정의되는 아래의 [수학식 1]에서와 같은 총이익함수
를 통해 서로 다른 특성을 가지는 보안 정책들이 동일한 결과를 얻게되는 문제점을 해결한다.
즉, 종래 단순 누적 함수로 정의된 총이익함수에서는 보안 요소를 지원하는 경우 1의 값을, 그렇지 않은 경우 0의 가중치를 할당하는 방법으로 서로 다른 특성을 가지는 보안 정책들이 동일한 결과를 얻게 되어 동일하게 평가되는 문제점이 있는데, 본 발명에서는 위 설명한 바와 같이 보안 기능에 따라 분류되어 그룹화된 보안 컴포넌트들에 대해 가중치 값을 적용함으로서 종래 평가 방범의 문제점을 해결하게 된다.
이때, 각 보안 컴포넌트들이 지원하는 보안 기능에 따른 특징들을 가지고 있기 때문에 가중치 산출부(108)에서는 유사한 기능을 가진 컴포넌트들을 그룹화하여 각 그룹의 보안 기능에 기반한 가중치값을 조절한다. 여기서 가중치값은 기존의 관리자가 임의로 혹은 경험을 기반으로 할당하는 값이 아닌 그룹화 과정에서 정의된 보안 기능에 기반한 보안 정책들의 우선 순위에 적합한 데이터 셋이 유도된다.
이어, 정량 평가부(110)에서는 가중치 산출부(108)로부터 산출되는 보안 컴포넌트 그룹별 가중치값을 이용하여 보안 컴포넌트들의 그룹화 과정에서 정의된 보안 기능에 기반한 보안 정책들의 우선순위에 적합한 데이터 셋을 유도하고, 유도된 데이터 셋을 총이익 함수로 계산하여 다양한 보안 컴포넌트로 조합된 보안 정책들 각각에 대한 정량 평가를 수행한다(S214).
본 발명에서 정의하고 있는 총이익 함수는 아래의 [수학식 2]와 같이 정의될 수 있다.
Pi : 보안정책
I : Indicator 값(
: 평가요소에 따른 indicator 값)
A, K, R, C, M : 평가요소(A: Authentication, K: Key management, R: Replay protection of traffic, C: Confidentiality, M: Message Authenticity) -> 하나의 대표적인 보안 평가 요소로 다른 요소들이 추가 혹은 수정될 수도 있음.
본 발명에서는 위의 [수학식 2]를 개선하여 아래의 [수학식 3]에서와 같은 행렬구조로 측정한다.
이때, 위의 총이익함수에서 평가항목(
)들을 보안 기능에 따라 그룹화하여 가중치(indicator)값을 할당함으로써 적합한 보안 기능에 따른 보안 정책에 대한 정량적 평가가 가능하다.
이때, 보안 관리자가 전체 네트워크에서의 중점을 두고자 하는 보안 기능에 대해 고려하여 예를 들어, [수학식 3]에서 f그룹의 특징을 가진 보안 기능에 중점을 둔다고 가정하면, 보안 정책 Pi는 아래의 [수학식 4]에서와 같이 순서화된다.
즉, 위와 같이 순서화된 보안 정책에 대해 가중치값에 대한 데이터 셋을 유도하여 다양한 보안 컴포넌트로 조합된 보안 정책들을 정량 평가하는 것이 가능하게 된다.
상기한 바와 같이, 본 발명은 정량적 보안 정책 평가에 있어서, 다양한 보안 정책들이 정의되고 있는 환경에서 통합된 평가 기준 및 정량적인 평가 모델을 통해 이기종 네트워크에서 다양한 보안 컴포넌트들로 결합된 보안 정책들을 효과적으로 정량 평가할 수 있도록 하여 보다 효과적인 보안 관리를 할 수 있다.
또한, 정량화된 평가 방법의 결과인 총이익함수 결과값에 대한 모순이 발생하는 경우 효용함수를 임의로 수정해야 하는 종래 방법과는 달리 본 발명에서는 모델링 작업을 통해 역순환 계산을 할 필요가 없게 되어 정량 평가를 보다 효과적으로 수행할 수 있다.
또한, 본 발명에서는 보안 정책들이 한가지 기능만을 지원하는 것이 아니라 다양한 보안 기능을 제공하기 때문에 이러한 분류 방법을 통해 각 보안 기능에 대한 서비스에 적합한 효과적인 적용이 가능하며, 보안 요소들에 대한 가중치 집합들을 유도함에 따라 보안 정책 평가에 있어 단순한 합산 계산으로 인한 모순 발생이나 임의의 가중치값에 대한 할당으로 발생하는 모순을 방지할 수 있다.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
102 : 보안정책 분석부 104 : 평가기준 정의부
106 : 평가결과 산출부 108 : 가중치 산출부
110 : 정량 평가부
106 : 평가결과 산출부 108 : 가중치 산출부
110 : 정량 평가부
Claims (10)
- 정량적 보안 정책 평가 장치로서,
네트워크의 보안 정책을 분석하는 보안정책 분석부와,
평가 요소로서 보안 요소들을 분류하고 각 보안 요소를 평가하기 위한 평가 기준을 정의하는 평가기준 정의부와,
상기 각 보안 요소에 대한 평가 기준을 기반으로 각 보안 컴포넌트의 평가 결과를 산출하는 평가결과 산출부와,
상기 보안 컴포넌트를 보안 기능에 따라 분류하여 그룹화하고, 각 그룹의 보안 기능을 고려한 가중치를 산출하는 가중치 산출부와,
상기 가중치를 이용하여 상기 그룹별 보안 정책을 정량 평가하여 순위를 결정하는 정량 평가부
를 포함하는 정량적 보안 정책 평가 장치.
- 제 1 항에 있어서,
상기 보안정책 분석부는,
이기종의 네트워크상 다양한 보안 컴포넌트로 조합된 보안 정책을 분석하여 최소의 보안 컴포넌트로 분류하는 정량적 보안 정책 평가 장치.
- 제 1 항에 있어서,
평가결과 산출부는,
각 보안 요소들에 대한 평가 기준들을 기반으로 각 보안 컴포넌트를 효용함수를 이용하여 수치화하고 효용함수의 수치들을 종합한 결과값으로 평가 결과를 산출하는 정량적 보안 정책 평가 장치.
- 제 1 항에 있어서,
정량 평가부는,
상기 보안 컴포넌트들의 그룹화 과정에서 정의된 보안 기능에 기반하여 보안 정책들의 우선순위에 적합한 데이터 셋을 유도하고, 유도된 데이터 셋에 기반하여 다양한 보안 컴포넌트로 조합된 보안 정책들을 정량 평가하여 순위를 결정하는 정량적 보안 정책 평가 장치.
- 제 4 항에 있어서,
상기 정량 평가부는,
유도된 데이터 셋을 총이익 함수로 계산하여 다양한 보안 컴포넌트로 조합된 보안 정책들 각각에 대한 정량 평가를 수행하는 정량적 보안 정책 평가 장치. - 정량적 보안 정책 평가 방법으로서,
네트워크의 보안 정책을 분석하는 단계와,
평가 요소로서 보안 요소들을 분류하고 각 보안 요소를 평가하기 위한 평가 기준을 정의하는 단계와,
상기 각 보안 요소에 대한 평가 기준을 기반으로 각 보안 컴포넌트의 평가 결과를 산출하는 단계와,
상기 보안 컴포넌트를 보안 기능에 따라 분류하여 그룹화하고, 각 그룹의 보안 기능을 고려한 가중치를 산출하는 단계와,
상기 가중치를 이용하여 상기 그룹별 보안 정책을 정량 평가하는 단계
를 포함하는 정량적 보안 정책 평가 방법.
- 제 6 항에 있어서,
상기 보안정책을 분석하는 단계는,
이기종의 네트워크상 다양한 보안 컴포넌트로 조합된 보안 정책을 분석하는 단계와,
상기 분석을 통해 상기 보안 컴포넌트를 최소의 보안 컴포넌트로 분류하는 단계
를 포함하는 정량적 보안 정책 평가 방법. - 제 6 항에 있어서,
상기 평가결과를 산출하는 단계는,
각 보안 요소들에 대한 평가 기준들을 기반으로 각 보안 컴포넌트를 효용함수를 이용하여 수치화하는 단계와,
상기 효용함수의 수치들을 종합한 결과값으로 평가 결과를 산출하는 단계
를 포함하는 정량적 보안 정책 평가 방법.
- 제 6 항에 있어서,
상기 정량 평가 단계는,
상기 보안 컴포넌트들의 그룹화 과정에서 정의된 보안 기능에 기반한 보안 정책들의 우선순위에 적합한 데이터 셋을 유도하는 단계와,
상기 유도된 데이터 셋에 기반하여 다양한 보안 컴포넌트로 조합된 보안 정책들을 정량 평가하는 단계와,
상기 정량 평가 결과를 기반으로 상기 보안 정책들의 순위를 결정하는 단계
를 포함하는 정량적 보안 정책 평가 방법.
- 제 9 항에 있어서,
상기 정량 평가하는 단계에서,
상기 유도된 데이터 셋을 총이익 함수로 계산하여 다양한 보안 컴포넌트로 조합된 보안 정책들 각각에 대한 정량 평가를 수행하는 정량적 보안 정책 평가 방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100132217A KR20120070771A (ko) | 2010-12-22 | 2010-12-22 | 정량적 보안 정책 평가 장치 및 방법 |
| US13/324,482 US20120167163A1 (en) | 2010-12-22 | 2011-12-13 | Apparatus and method for quantitatively evaluating security policy |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100132217A KR20120070771A (ko) | 2010-12-22 | 2010-12-22 | 정량적 보안 정책 평가 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20120070771A true KR20120070771A (ko) | 2012-07-02 |
Family
ID=46318682
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100132217A KR20120070771A (ko) | 2010-12-22 | 2010-12-22 | 정량적 보안 정책 평가 장치 및 방법 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20120167163A1 (ko) |
| KR (1) | KR20120070771A (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160083466A (ko) * | 2014-12-31 | 2016-07-12 | 주식회사 시큐아이 | 보안 정책 관리 장치 및 방법 |
| KR20210152817A (ko) * | 2020-06-09 | 2021-12-16 | 한국전자통신연구원 | 이기종 시스템 보안이벤트의 중점 모니터링 대상 선별 장치 및 방법 |
| US12003381B2 (en) | 2021-04-08 | 2024-06-04 | Electronics And Telecommunications Research Institute | Apparatus and method for configuring network of factory energy management system |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9754117B2 (en) * | 2014-02-24 | 2017-09-05 | Northcross Group | Security management system |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4084914B2 (ja) * | 1999-09-29 | 2008-04-30 | 株式会社日立製作所 | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
| EP1107140A3 (en) * | 1999-11-30 | 2004-01-28 | Hitachi, Ltd. | Security system design supporting method |
| US6898717B1 (en) * | 2000-07-20 | 2005-05-24 | International Business Machines Corporation | Network domain with secured and unsecured servers |
| US6950802B1 (en) * | 2000-07-25 | 2005-09-27 | International Business Machines Corporation | System and method for systems integration |
| US7251831B2 (en) * | 2001-04-19 | 2007-07-31 | International Business Machines Corporation | Method and system for architecting a secure solution |
| US7103914B2 (en) * | 2002-06-17 | 2006-09-05 | Bae Systems Information Technology Llc | Trusted computer system |
| JP2004341623A (ja) * | 2003-05-13 | 2004-12-02 | Hitachi Ltd | セキュリティ仕様書作成支援装置、および、セキュリティ仕様書作成支援方法 |
| US7577991B2 (en) * | 2004-07-22 | 2009-08-18 | International Business Machines Corporation | Method to enhance platform firmware security for logical partition data processing systems by dynamic restriction of available external interfaces |
| US20060129810A1 (en) * | 2004-12-14 | 2006-06-15 | Electronics And Telecommunications Research Institute | Method and apparatus for evaluating security of subscriber network |
| WO2008014800A1 (en) * | 2006-07-31 | 2008-02-07 | Telecom Italia S.P.A. | A system for implementing security on telecommunications terminals |
| US20080047016A1 (en) * | 2006-08-16 | 2008-02-21 | Cybrinth, Llc | CCLIF: A quantified methodology system to assess risk of IT architectures and cyber operations |
| US8856863B2 (en) * | 2008-06-10 | 2014-10-07 | Object Security Llc | Method and system for rapid accreditation/re-accreditation of agile IT environments, for example service oriented architecture (SOA) |
| US8856926B2 (en) * | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
| US8589333B2 (en) * | 2008-08-19 | 2013-11-19 | Northrop Grumman Systems Corporation | System and method for information sharing across security boundaries |
| KR101282190B1 (ko) * | 2009-12-11 | 2013-07-04 | 한국전자통신연구원 | 적응형 보안 정책 기반의 스케일러블 영상 서비스 방법 및 장치 |
| US8661499B2 (en) * | 2010-07-07 | 2014-02-25 | Ca, Inc. | Dynamic policy trees for matching policies |
-
2010
- 2010-12-22 KR KR1020100132217A patent/KR20120070771A/ko not_active Application Discontinuation
-
2011
- 2011-12-13 US US13/324,482 patent/US20120167163A1/en not_active Abandoned
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160083466A (ko) * | 2014-12-31 | 2016-07-12 | 주식회사 시큐아이 | 보안 정책 관리 장치 및 방법 |
| KR20210152817A (ko) * | 2020-06-09 | 2021-12-16 | 한국전자통신연구원 | 이기종 시스템 보안이벤트의 중점 모니터링 대상 선별 장치 및 방법 |
| US12003381B2 (en) | 2021-04-08 | 2024-06-04 | Electronics And Telecommunications Research Institute | Apparatus and method for configuring network of factory energy management system |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120167163A1 (en) | 2012-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gomez et al. | An optimization-based decision support framework for coupled pre-and post-earthquake infrastructure risk management | |
| Mozhaev et al. | Multiservice network security metric | |
| US8646085B2 (en) | Apparatus for reconfiguration of a technical system based on security analysis and a corresponding technical decision support system and computer program product | |
| EP3244334B1 (en) | Log files graphs path decomposition for network anomaly detection | |
| CN108881110B (zh) | 一种安全态势评估与防御策略联合决策方法及系统 | |
| Xinlan et al. | Information security risk assessment methodology research: Group decision making and analytic hierarchy process | |
| CN106612511B (zh) | 一种基于支持向量机的无线网络吞吐量的评估方法及装置 | |
| US20240160754A1 (en) | Method and system for enhancing data privacy of an industrial system or electric power system | |
| CN113469578B (zh) | 基于多目标优化的业务策略生成方法、装置及系统 | |
| Alswailim et al. | A reputation system to evaluate participants for participatory sensing | |
| CN104320271B (zh) | 一种网络设备安全评估方法及装置 | |
| KR20120070771A (ko) | 정량적 보안 정책 평가 장치 및 방법 | |
| Amini et al. | A comprehensive review of existing risk assessment models in cloud computing | |
| Zhang et al. | Network security situational awareness model based on threat intelligence | |
| CN113158435B (zh) | 基于集成学习的复杂系统仿真运行时间预测方法与设备 | |
| CN114282607A (zh) | 一种基于双筛模型的弥散轨迹分析方法及系统 | |
| Halabi et al. | Evaluation and selection of Cloud security services based on Multi-Criteria Analysis MCA | |
| Allahdadi et al. | Predicting short 802.11 sessions from radius usage data | |
| CN116361974A (zh) | 一种基于公路业务及数据网络的数据源重要性判别方法 | |
| Li et al. | Search-based uncertainty-wise requirements prioritization | |
| Spathoulas et al. | Attack path analysis and cost-efficient selection of cybersecurity controls for complex cyberphysical systems | |
| Aubert et al. | Real-time security monitoring of interdependent services in critical infrastructures. case study of a risk-based approach | |
| Djemame et al. | A machine learning based context-aware prediction framework for edge computing environments | |
| KR101872406B1 (ko) | 악성코드들의 위험도를 정량적으로 결정하는 장치 및 방법 | |
| Nováczki et al. | A scoring method for the verification of configuration changes in self-organizing networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |