보안성 측정의 한 방법

보안을 할 때 항상 고민되는 것이 보안성을 어떻게 평가할까이다. 

객관적인 기준이 있으면 좋겠으나, 실험도 어렵고... 

MITRE에서 관리하고 있는 시스템 보안 측정 방식이다. 

Making Security Measurable

http://makingsecuritymeasurable.mitre.org/

여기서는 취약점, 설정, 표준 준수 등 목록 이용해서 측정 한다. 

엔터프라이즈 시스템에 대해서는 도움이 될 것 같다. 

연구할 때는 이 기준으로 평가하기는 어렵겠지만...

이런 방식 외에는 없을까? 

예전에도 비슷한 방식으로 복잡도 측정하면서도 뭔가 부족한 느낌이 들었는데.