holycall holycall

보안을 할 때 항상 고민되는 것이 보안성을 어떻게 평가할까이다. 객관적인 기준이 있으면 좋겠으나, 실험도 어렵고... MITRE에서 관리하고 있는 시스템 보안 측정 방식이다. Making Security Measurable http://makingsecuritymeasurable.mitre.org/ 여기서는 취약점, 설정, 표준 준수 등 목록 이용해서 측정 한다. 엔터프라이즈 시스템에 대해서는 도움이 될 것 같다. 연구할 때는 이 기준으로 평가하기는 어렵겠지만... 이런 방식 외에는 없을까? 예전에도 비슷한 방식으로 복잡도 측정하면서도 뭔가 부족한 느낌이 들었는데.