DOI QR코드

DOI QR Code

A Safe Qperati ng Strategy for Information System of Small and Medium Enterprises

중소기업 정보시스템의 안정적 운영 전략

  • 여상수 (목원대학교 컴퓨터공학부) ;
  • 황수철 (인하공업전문대학 컴퓨터시스템과)
  • Published : 2009.07.31

Abstract

Small and medium enterprises have more dependency on their information technology than large enterprises have. but they can't pay much for information technology and information security due to financial restrictions, limited resources, and lack of know-how. So there are many vulnerabilities in small and medium enterprises and these would make many security incidents. Security managers of small and medium enterprises think that information security in their company is simply equivalent to updating the antivirus solutions. managing firewall, and patching systems regularly. However, security policies, prevention of information theft. business continuity, access controls, and many other information security issues should be considered for mitigating security incidents. In this context, we redefined security countermeasures and strategies which are only appropriate to large enterprises. for making them appropriate on a secure operating for information system of small and medium enterprises, and we investigate information security issues in the four views of information system and company, and finally we present information security strategies for each view, in this paper.

중소기업은 대기업에 비해, 정보기술에 대한 의존도가 높지만, 재정적인 어려움과 한정된 자원 및 노하우의 부족 등의 이유로 인해서 정보기술 및 정보 보안에 투자하는 비용은 크지 않다. 이로 인해서 정보 보안에 취약점이 많으며, 그로 인한 침해 사고도 많아지게 된다. 중소기업의 정보 보안 실무자들은 바이러스 방역 솔루션을 업데이트하고, 방화벽을 운영하며, 정기적인 시스템 패치를 적용하는 것이 정보 보안의 전부라고 생각한다. 하지만 보안 사로를 줄이기 위해서 보안 정책, 정보 유출 방지, 사업 연속성, 접근 제어 및 기타 많은 정보 보안 이슈들이 고려되어야지만 한다. 본 논문에서는 이러한 관점에서 대기업 위주의 보안 대책과 전략들을 중소기업 정보시스템의 안정적 운영에 적합하도록 새롭게 정리하여, 4가지의 관점엥서 정보 보안 고려 사항들을 도출하고, 정보 보안 전략을 제안한다.

Keywords

References

  1. 인터넷침해사고대응지원센터(KrCERT), "인터넷침해사고 동향 및 분석 월보", 2000년 1월판-2009년 3월판.
  2. E. Weippl, and M. Klemen, "Implementing IT Security for Small and Medium Enterprises," Information Security and Ethics, pp. 2970-2985, Information Science reference, New York, 2006.
  3. 김종기, 전진환, "대기업과 중소기업 간의 정보보안 요소에 대한 사용자의 인지 비교: 컴퓨터 바이러스를 중심으로," 정보보호학회논문지, 제16권, 제5호, 2006년 10월.
  4. 문현정, "우리나라 중소기업의 정보 보호 역량 강화를 위한 교육 훈련 현황과 문제점," 정보보호학회지, 제19권, 제1호, 2009년 2월.
  5. 김인중, "정보통신 기반시설에 대한 위험 분석 및 피해 산정 연구," 성균관대학교 대학원 박사학위논문, 2006년 2월.
  6. D. L. Pipkin, "Information Security: Protecting the Global Enterprise," Prentice Hall PTR , May 2000.
  7. R. Anderson, "Security Engineering: A Guide to Building Dependable Distributed Systems 2nd Ed.," John Wiley & Sons, April 2008.
  8. A. Avizienis, J.-C. Laprie, B. Randell, and C. Landwehr, "Basic Concepts And Taxonomy Of Dependable And Secure Computing," IEEE Transactions of Dependable and Secure Computing, Vol. 1, No. 1, pp. 11-33, January 2004. https://doi.org/10.1109/TDSC.2004.2
  9. D. Bell, and L. LaPadula, "Secure computer system: Unified exposition and multics interpretation," ESD-TR-75-306, Technical Report MTR-2997, Mitre Corporation, 1975.
  10. D. Bell, and L. LaPadula, "Secure computer system," Mitre Technical Report 2547, Journal of Computer Security, Vol. 4, No. 2, pp. 239-263, 1996. https://doi.org/10.3233/JCS-1996-42-308
  11. K. J. Biba, "Integrity considerations for secure computer systems," Technical Report ESDTR-76-372, ESD./AFSC, MTR 3153, Mitre Corporation, 1977.
  12. cy"D. Brewer, M. Nash, "The Chinese wall security policy," In Proceedings of IEEE Symposium on Security and Privacy, Oakland, May 1989.