Journal of KIISE:Information Networking (한국정보과학회논문지:정보통신)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Design of the Security Evaluation System for Decision Support in the Enterprise Network Security Management

대규모 네트워크 환경에서의 보안관리를 위한 보안평가 시스템 설계

  • 이재승 (한국전자통신연구원 정보보호연구본부) ;
  • 김상춘 (삼척대학교 정보통신공학과)
  • Published : 2003.12.01
Download PDF
⟨ Previous Next ⟩

Abstract

Security Evaluation System is a system that evaluates the security of the entire enterprise network domain which consists of various components and that supports a security manager or a Security Management System in making decisions about security management of the enterprise network based on the evaluation. It helps the security manager or the security management system to make a decision about how to change the configuration of the network to prevent the attack due to the security vulnerabilities of the network. Security Evaluation System checks the “current status” of the network, predicts the possible intrusion and supports decision-making about security management to prevent the intrusion in advance. In this paper we analyze the requirements of the Security Evaluation System that automates the security evaluation of the enterprise network which consists of various components and that supports decision-making about security management to prevent the intrusion, and we propose a design for it which satisfies the requirements.

보안평가 시스템은 다양한 요소로 구성된 대규모 네트워크 도메인 전체의 보안성을 평가하고 이를 바탕으로 보안 관리자 혹은 보안관리 시스템이 네트워크 보안관리를 수행하는데 필요한 의사결정을 지원하는 시스템이다. 이 시스템은 보안상 취약점들로 인한 공격을 방지하기 위해 어떻게 네트워크의 보안 관련 설정을 해주어야 하는지에 관한 의사결정을 지원해 준다. 보안평가 시스템은 네트워크의 “현재 상태”를 분석하고 공격 가능성을 찾아내어 불법적인 침해 행위를 사전에 예방하도록 보안관리의 의사결정을 지원해 준다. 본 논문에서는 다양한 요소로 구성된 대규모 네트워크의 보안성 평가를 자동화하고 침해사고 예방을 위해 보안관리의 의사결정을 도와주는 보안평가 시스템에 대한 요구 사항을 분석하고 이를 반영한 보안평가 시스템을 설계한다.

Keywords

References

  1. Simson Garfinkel & Gene Spafford, Practical UNIX & Internet Security, O'REILLY, Second Edition
  2. Sundaram Aurobindo, 'An Introduction to Intrusion Detection,' ACM CROSSROADS Issue2.4, 1996.4
  3. Daniel Farmer, Eugene H. Spafford, 'The COPS Security Checker System,' Purdue University Technical Report CSD-TR-993, Jan 1994
  4. Larry J. Hughes, Jr., Actually Useful Internet Security Techniques, New Riders Publishing, 1995
  5. Nessus Project Home Page, http://www.nessus.org/
  6. Symantec Enterprise Solutions Home Page, http://enterprisesecurity.symantec.com
  7. ISS Vulnerability Assessment Products Home Page, http://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/index.php
  8. Shostack, A., S. Blake., 'Toward a Taxonomy of Network Security Assessment Techniques,' Proceedings of the 1999 Black Hat Briefings, July 1999
  9. S. J. Shin, J. W. Yoo and B. M. Lee, 'A Prototype Design of Expert System for Automated Risk Analysis tool,' Proceedings of the 10th Workshop on Information Security and Cryptography, pp. 383-395, 1998
  10. ISS, 'Network and Host-based Vulnerability Assessment,' http://documents.iss.net/whitepapers/nva.pdf
  11. ISS, 'Securing Operating Platforms: A Solution for tightening system security,' January 1997
  12. Farmer, D. and W. Venema, 'Security Administrator Tool for Analyzing Networks,' http://www.fish.com/satan
  13. Baldwin, R. W., 'Rule-Based Analysis of Computer Security,' Massachusetts Institute of Technology, Cambridge, MA, june 1987
  14. 이재승, 김상춘, 이종태, 김경범, 손승원, '대규모 네트워크 환경하에서의 침해사고 예방을 위한 보안평가 시스템 설계,' 제12회 정보보호와 암호에 관한 학술대회(WISC2000), 160-176, 2000. 9
  15. 한국전산원, 정보시스템 보안을 위한 위험분석 소프트웨어 개발 보고서, 1997
  16. S. W. Kim, H. J. Jang and B. Park, 'Dynamic Monitoring based on Security Agent,' Proceedings of the 10th Workshop on Information Security and Cryptography, pp.518-530, 1998