KR102361079B1 - One-way security data transmission device and its software management system - Google Patents

One-way security data transmission device and its software management system Download PDF

Info

Publication number
KR102361079B1
KR102361079B1 KR1020210052779A KR20210052779A KR102361079B1 KR 102361079 B1 KR102361079 B1 KR 102361079B1 KR 1020210052779 A KR1020210052779 A KR 1020210052779A KR 20210052779 A KR20210052779 A KR 20210052779A KR 102361079 B1 KR102361079 B1 KR 102361079B1
Authority
KR
South Korea
Prior art keywords
security
way
security policy
data
secure
Prior art date
Application number
KR1020210052779A
Other languages
Korean (ko)
Inventor
조만영
Original Assignee
가온플랫폼 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 가온플랫폼 주식회사 filed Critical 가온플랫폼 주식회사
Priority to PCT/KR2021/011187 priority Critical patent/WO2022124524A1/en
Application granted granted Critical
Publication of KR102361079B1 publication Critical patent/KR102361079B1/en

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Computer And Data Communications (AREA)
  • Technology Law (AREA)

Abstract

A software management system of a one-way security data transmission device manages software of a one-way data transmission device which transmits security data from a secure area to a non-secure area. The system comprises: a security policy setting unit for providing a screen UI to set and add a security policy for the security area, or to select and modify or delete one of the at least one pre-input security policy; a security policy display unit for outputting a list of security policies set in the security policy setting unit together on the screen UI; a packet log display unit for outputting a log for packets allowed or blocked according to the set security policy on the screen UI; and a one-way protocol setting unit for providing the screen UI so that the security policy setting unit can set a protocol to allow one-way transmission. The present invention can safely transmit the security data between heterogeneous systems.

Description

단방향 보안 데이터 전송 장치 및 이의 소프트웨어 관리 시스템{One-way security data transmission device and its software management system}One-way security data transmission device and its software management system

본 발명은 단방향 보안 데이터 전송 장치 및 이의 소프트웨어 관리 시스템에 관한 것으로, 보다 상세하게는 국가 보안시설, 국방 시설, 프로세스 플랜트 및 스마트 팩토리 등의 산업분야에서 실시간으로 제어 설비의 운전시 발생하는 진동을 모니터링하여 고장 및 상태를 예측할 수 있도록 제어 설비의 진동 데이터를 보안영역에서 비보안영역으로 안전하게 전송할 수 있는 단방향 보안 데이터 전송 장치 및 이의 소프트웨어 관리 시스템에 관한 것이다. The present invention relates to a one-way security data transmission device and a software management system thereof, and more particularly, monitoring vibrations generated during operation of control facilities in real time in industrial fields such as national security facilities, defense facilities, process plants and smart factories. It relates to a one-way security data transmission device and its software management system that can safely transmit vibration data of a control facility from a secure area to a non-secure area so that failures and conditions can be predicted.

일반적으로 사물인터넷(IoT; Internet of Things) 기술은 현재 다양한 산업 현장에서 적용되고 있으며, 제4차 산업혁명에서 핵심 기술로 발전되고 있다. In general, Internet of Things (IoT) technology is currently being applied in various industrial fields, and is being developed as a core technology in the fourth industrial revolution.

이러한 IoT의 발전과 함께 IoT 보안에 대한 인식과 중요성이 증가하고 있으며, 스마트 팩토리 및 국가보안시설의 경우 제어 설비의 데이터 보안 및 외부 침입을 방지하기 위해 보안영역(내부망)의 데이터를 비보안영역(외부망)으로 전송하는 망간자료전송 솔루션을 도입하여 각종 데이터를 수집하고있는 시점이다. With the development of IoT, awareness and importance of IoT security are increasing, and in the case of smart factories and national security facilities, data in the security area (internal network) is transferred to the non-security area ( It is time to collect various data by introducing a network data transmission solution that transmits data to an external network.

그러나, 종래의 망간자료전송 솔루션은 송신영역과 수신영역에 프로토콜 유형만 데이터를 전송하는 방식으로 구성되어 있기 때문에 해당 프로토콜의 패킷의 위·변조를 통해 데이터를 전송 할 수 있다는 보안 취약점이 존재한다. 그리고, 표준화 되지 않은 개발 밴더사의 자체 프로토콜 기반의 이기종 시스템으로 인해 데이터 수집에 한계가 있으며, 해당 데이터의 보호에 취약한 문제로 인해 항시 외부의 사이버 공격으로부터 노출되어 있다는 문제가 있다.However, since the conventional inter-network data transmission solution is configured in a way that only the protocol type transmits data in the transmission area and the reception area, there is a security vulnerability in that data can be transmitted through forgery or modulation of the packet of the corresponding protocol. In addition, there is a problem in that data collection is limited due to the non-standardized development vendor's proprietary protocol-based heterogeneous system, and is always exposed to external cyberattacks due to the weak protection of the data.

또한, 기존의 망간자료전송 제품은 다양한 통신 프로토콜에 대한 이기종 시스템 통신 인터페이스 기능을 제공하지 않아 데이터 취득을 위한 별도의 소프트웨어 시스템 설치가 필요한 상황이다.In addition, existing manganese data transmission products do not provide a heterogeneous system communication interface function for various communication protocols, so it is necessary to install a separate software system for data acquisition.

또한, 기존의 망간자료전송 시스템은 이미 제품 내에 내장된 프로토콜들에 대해서만 보안 정책을 설정할 수 있기에 새로운 프로토콜에 대하여 보안 정책을 구성하려면 제품의 코드를 수정하고 다시 소프트웨어를 빌드해서 새로운 프로토콜을 지원해야 하는 문제가 있다. In addition, the existing manganese data transmission system can set security policies only for protocols already built into the product. there is a problem.

기존의 망간자료전송 제품 중 소프트웨어적인 방법뿐만 아니라 특수하게 설계된 하드웨어 장치를 제공하여 물리적인 방법으로 보안영역으로부터 비보안영역으로만 데이터를 전송할 수 있도록 하는 단방향 통신 장치가 개발되었지만, 이 경우 고정된 사양의 하드웨어 장치를 사용하기에 더 많은 데이터를 처리하거나, 또는 더 강력한 보안 알고리즘을 적용하기 위해 하드웨어 사양을 업그레이드 하려면 하드웨어 장치 전부를 다시 설계하여 제작하여야 하는 문제가 있다.Among the existing manganese data transmission products, a one-way communication device has been developed that provides not only a software method but also a specially designed hardware device to transmit data only from the secure area to the non-secure area by a physical method. In order to use a hardware device to process more data or to upgrade hardware specifications to apply a stronger security algorithm, there is a problem in that all hardware devices must be redesigned and manufactured.

또한, 종래의 제품들의 경우 서버 하드웨어 깊이가 대부분 40cm 이상으로 설계되어 있기 때문에 서버 공급 업체의 범용 제품을 사용하기 위하여 랙에 장착하려면 랙 레일 키트가 추가로 필요하며, 서버 설치나 이전 등을 위한 운반을 할 때 많은 비용이 발생하게 된다. In addition, in the case of conventional products, since most of the server hardware is designed to have a depth of 40 cm or more, a rack rail kit is additionally required to mount it on a rack to use the general-purpose product of the server vendor, and transport for server installation or relocation, etc. It incurs a lot of cost when doing

또한, 종래의 제품들의 경우 단방향 통신 구간에서 사용하는 통신 케이블인 UTP 케이블을 구성하는 8개 라인 중 일부를 관리자가 직접 손으로 단락시켜 단방향 처리하여 사용하는 구성이기 때문에 케이블 수명이 줄어드는 문제가 있다. In addition, in the case of conventional products, there is a problem in that the cable life is reduced because a part of the eight lines constituting the UTP cable, which is a communication cable used in the one-way communication section, is short-circuited by the administrator by hand and is used by unidirectional processing.

또한, 설치된 단방향 UTP 케이블을 일반 제품으로 교체하여 장착할 경우 양방향 통신이 가능하게 되어 단방향 통신을 상실하는 문제가 있다. In addition, when the installed unidirectional UTP cable is replaced with a general product, two-way communication is possible and there is a problem in that one-way communication is lost.

이러한 문제를 해결하기 위하여 데이터 송신(TX)만 가능하도록, 또는 데이터 수신(RX)만 가능하도록 회로를 제작한 제품도 있으나, 이 경우 TX용 하드웨어 장치와 RX용 하드웨어 장치를 별개로 관리해야하는 어려움이 있다. In order to solve this problem, there are products in which circuits are made so that only data transmission (TX) or only data reception (RX) is possible. have.

또한, 종래의 제품 중 원가절감이나 소형화 기술 부족 등의 이유로 서버 장치 내부의 부품 발열을 해소해줄 냉각장치를 장착하지 않는 경우가 있는데, 이 경우 365일 24시간 동작해야하는 장치의 특성상 부품의 수명 감소와 데이터 처리 성능 저하 등의 문제가 발생할 가능성이 높다.In addition, among conventional products, there are cases in which a cooling device to relieve heat of parts inside the server device is not installed for reasons such as cost reduction or lack of miniaturization technology. Problems such as data processing performance degradation are highly likely to occur.

한편, 스마트 팩토리 및 국가보안시설의 업무를 담당하는 기관에서는 제어 설비의 운전 및 동작을 DCS(Distributed Control System)라는 분산제어장치에 전산화하여 제어 및 운전을 하고있다. 이러한 분산제어장치의 고장은 시스템에 있어 치명적일 수 있으므로, 분산제어장치가 구동할 때 발생하는 진동 데이터를 모니터링하여 고장 및 이상을 예측하고 있다. Meanwhile, institutions in charge of smart factories and national security facilities computerize the operation and operation of control facilities in a distributed control device called DCS (Distributed Control System) to control and operate them. Since the failure of such a distributed control device can be fatal to the system, failures and abnormalities are predicted by monitoring the vibration data generated when the distributed control device is driven.

예를 들어, 종래에는 DSC 장치에 통신 인터페이스(Interface)를 하여 TCP/IP 형태로 진동 데이터 등을 취득하였지만, 사이버 해킹 및 바이러스 문제가 대두되면서 UTP 통신방식으로 DCS에서 모니터링 장치로 단방향의 브로드캐스팅 방식으로 변경을 하고 있다. 즉, DCS가 구비된 보안영역에서 모니터링 장치가 구비된 비보안영역으로 데이터를 전송하는 단방향 데이터 전송 시스템을 이용하는 것이다. For example, in the prior art, vibration data was acquired in TCP/IP format through a communication interface to the DSC device. is changing to That is, a unidirectional data transmission system for transmitting data from a secure area equipped with DCS to a non-secure area equipped with a monitoring device is used.

그러나, 단방향 통신 기술은 전술한 문제들로 인해 보안의 위협으로부터 완전히 벗어날 수 없으며, 관리가 어려운 문제가 있다. 따라서, 이러한 문제를 해결하기 위한 보안 소프트웨어를 구축한 후, 관리할 수 있는 시스템이 필요한 실정이다. However, the one-way communication technology cannot completely escape from the security threat due to the above-mentioned problems, and there is a problem in that it is difficult to manage. Therefore, there is a need for a system capable of managing after building security software to solve this problem.

등록특허공보 10-1931683 (2018.12.241 공고)Registered Patent Publication No. 10-1931683 (Notice on Dec.41, 2018)

본 발명의 과제는 국가 보안시설, 국방 시설, 프로세스 플랜트 및 스마트 팩토리 등의 산업분야에서 보안영역에서 비보안영역으로 보안데이터를 전송할 때, 인가되지 않은 사용자와, 프로토콜 및 패킷의 접근을 차단하여 보안데이터를 보호하고, 사이버 공격에 대한 침입 방지가 가능한 단방향 보안 데이터 전송 장치 및 이의 소프트웨어 관리 시스템을 제공함에 있다.The object of the present invention is to block access of unauthorized users, protocols and packets when transmitting security data from a security area to a non-security area in industrial fields such as national security facilities, defense facilities, process plants and smart factories to secure data It is to provide a one-way secure data transmission device capable of protecting against cyber attacks and intrusion prevention against cyber attacks, and a software management system thereof.

상기의 과제를 달성하기 위한 본 발명에 따른 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템은 보안영역에서 비보안영역으로 보안데이터를 전송하는 단방향 데이터 전송 장치의 소프트웨어를 관리하기 위한 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템에 있어서, 상기 보안영역에 대한 보안정책을 설정하여 추가하거나, 기입력된 적어도 하나의 보안정책 중 하나를 선택하여 수정 또는 삭제할 수 있도록 화면 UI를 제공하는 보안정책 설정부; 상기 보안정책 설정부에서 설정된 보안정책에 대한 목록을 상기 화면 UI에 함께 출력하는 보안정책 표시부; 상기 설정된 보안정책에 의하여 허용되거나 차단된 패킷에 대한 로그를 화면 UI에 출력하는 패킷 로그 표시부; 및 상기 보안정책 설정부에서 단방향 전송을 허용할 프로토콜을 설정할 수 있도록 화면 UI를 제공하는 단방향 프로토콜 설정부;를 포함할 수 있다. The software management system of the one-way secure data transmission device according to the present invention for achieving the above object is software management of the one-way secure data transmission device for managing the software of the one-way data transmission device that transmits secure data from a secure area to a non-secure area A system, comprising: a security policy setting unit providing a screen UI to set and add a security policy for the security area, or to select and modify or delete one of at least one entered security policy; a security policy display unit for outputting a list of security policies set in the security policy setting unit together on the screen UI; a packet log display unit for outputting a log for packets allowed or blocked according to the set security policy on the screen UI; and a one-way protocol setting unit that provides a screen UI so that the security policy setting unit can set a protocol to allow one-way transmission.

또한, 상기 보안정책 표시부에서 허용되지 않은 패킷이 상기 비보안영역으로 전송되는 경우, 외부의 관리 서버로 경고 신호를 전송하는 경고 신호 전송부를 포함할 수 있다. In addition, when a packet not permitted by the security policy display unit is transmitted to the non-security area, it may include a warning signal transmission unit for transmitting a warning signal to an external management server.

또한, 상기 보안데이터는 공공기관에 구비된 기계설비의 운전시 발생하는 진동 데이터를 포함할 수 있다. In addition, the security data may include vibration data generated during operation of mechanical facilities provided in public institutions.

또한, 상기 단방향 프로토콜 설정부는 상기 보안영역에서 상기 비보안영역으로의 단방향 전송을 허용할 프로토콜에 대한 정보를 입력하도록 제공될 수 있다. In addition, the one-way protocol setting unit may be provided to input information about a protocol to allow one-way transmission from the secure area to the non-secure area.

또한, 상기 단방향 프로토콜 설정부는 상기 단방향 전송을 허용할 프로토콜로 사용할 프로토콜에 대한 패킷의 추가, 수정, 삭제를 수행할 수 있도록 형성될 수 있다. Also, the unidirectional protocol setting unit may be configured to add, modify, and delete packets for a protocol to be used as a protocol to allow the unidirectional transmission.

본 발명에 따른 단방향 보안 데이터 전송 장치는 소프트웨어가 설치되는 단방향 보안 데이터 전송 장치에 있어서, 상기 보안정책 설정부와, 상기 보안정책 표시부와, 상기 패킷 로그 표시부, 및 상기 단방향 프로토콜 설정부를 포함하는 소프트웨어 저장부; 상기 보안영역에 위치한 송신 서버의 TX와 상기 비보안영역에 위치한 수신 서버의 RX와 연결되고, 보안데이터를 상기 TX에서 RX로 또는 상기 RX에서 TX로의 전송을 허용하도록 선택하는 스위치; 상기 소프트웨어 저장부 및 상기 스위치가 설치되는 PCB 기판; 상기 PCB 기판에서 발생하는 열을 냉각하기 위한 적어도 하나의 냉각부재; 및 상기 PCB 기판과 상기 냉각부재가 설치되는 케이스;를 포함할 수 있다. A one-way secure data transmission device according to the present invention is a one-way secure data transmission device in which software is installed, and includes the security policy setting unit, the security policy display unit, the packet log display unit, and the one-way protocol setting unit. wealth; a switch connected to the TX of the transmitting server located in the secure area and the RX of the receiving server located in the non-secure area, and selecting to allow transmission of secure data from the TX to RX or from the RX to TX; a PCB board on which the software storage unit and the switch are installed; at least one cooling member for cooling the heat generated from the PCB substrate; and a case in which the PCB substrate and the cooling member are installed.

또한, 상기 PCB 기판의 일측에 배치되고, 상기 스위치의 선택에 따라 TX모드 또는 RX모드로 동작하여 상기 보안데이터를 상기 송신 서버에서 수신 서버로 전송하거나, 상기 수신 서버에서 송신 서버로 전송하는 LAN 카드를 더 포함할 수 있다. In addition, a LAN card disposed on one side of the PCB board and operated in TX mode or RX mode according to the selection of the switch to transmit the security data from the sending server to the receiving server, or from the receiving server to the sending server may further include.

또한, 상기 PCB 기판의 타측에 배치되고, 상기 PCB 기판 및 상기 냉각부재로 전원을 공급하기 위한 이중화 파워 서플라이를 더 포함할 수 있다.
또한, 보안영역에서 비보안영역으로 보안데이터를 전송하는 단방향 데이터 전송 장치의 소프트웨어를 관리하기 위한 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템에 있어서,
상기 보안영역에 대한 보안정책을 설정하여 추가하거나, 기입력된 적어도 하나의 보안정책 중 하나를 선택하여 수정 또는 삭제할 수 있도록 화면 UI를 제공하는 보안정책 설정부; 상기 보안정책 설정부에서 설정된 보안정책에 대한 목록을 상기 화면 UI에 함께 출력하는 보안정책 표시부; 상기 설정된 보안정책에 의하여 허용되거나 차단된 패킷에 대한 로그를 화면 UI에 출력하는 패킷 로그 표시부; 및 상기 보안정책 설정부에서 단방향 전송을 허용할 프로토콜을 설정할 수 있도록 화면 UI를 제공하는 단방향 프로토콜 설정부; 를 포함하고, 상기 비보안영역에 위치한 수신서버는 상기 보안 데이터가 상기 보안영역의 송신 서버로부터 전송된 데이터가 맞는지의 여부, 위조나 변조된 데이터가 아닌지의 여부를 체크한 후 상기 보안 데이터를 수신하는 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템을 포함할 수 있다.In addition, it is disposed on the other side of the PCB substrate and may further include a redundant power supply for supplying power to the PCB substrate and the cooling member.
In addition, in the software management system of the unidirectional secure data transmission device for managing the software of the unidirectional data transmission device for transmitting secure data from the secure area to the non-secure area,
a security policy setting unit providing a screen UI to set and add a security policy for the security area, or to select and modify or delete one of at least one entered security policy; a security policy display unit for outputting a list of security policies set in the security policy setting unit together on the screen UI; a packet log display unit for outputting a log for packets allowed or blocked according to the set security policy on the screen UI; and a one-way protocol setting unit that provides a screen UI so that the security policy setting unit can set a protocol to allow one-way transmission; Including, wherein the receiving server located in the non-security area receives the security data after checking whether the security data is data transmitted from the transmission server in the secure area, and whether it is not forged or forged data It may include a software management system of the unidirectional secure data transmission device.

본 발명에 따르면, 보안영역과 비보안영역 사이의 통신 인터페이스 구간에 대하여 관리자가 보안정책을 구성할 수 있도록 하고, 설정된 보안정책에 따라 허용되거나 차단된 네트워크 패킷에 대한 기록을 제공하기 때문에 이기종 시스템 간 안전하게 보안데이터를 전송할 수 있다. According to the present invention, since the administrator can configure the security policy for the communication interface section between the secure area and the non-secure area, and provides a record of network packets allowed or blocked according to the set security policy, it is safe between heterogeneous systems. Secure data can be transmitted.

또한, 보안영역에서 비보안영역으로 전송할 네트워크 패킷에 대한 보안정책을 관리자가 설정하여 허용된 패킷만 보안데이터를 전송할 수 있도록 제공함에 따라, 단방향 보안 통신 인터페이스의 사이버 보안을 강화할 수 있다. In addition, as the administrator sets a security policy for network packets to be transmitted from the secure area to the non-secure area and provides only allowed packets to transmit secure data, the cyber security of the one-way secure communication interface can be strengthened.

또한, 관리자의 보안정책 설정에 의해 허용되지 않은 패킷이 비보안영역으로 전송되는 상황이 탐지되는 경우, 이메일 발송 등의 방법을 통해 관리자에게 경고 신호를 전송함으로써 관리자가 즉시 조치를 취할 수 있다. In addition, when it is detected that packets that are not allowed by the administrator's security policy setting are transmitted to the non-security area, the administrator can take immediate action by sending a warning signal to the administrator through e-mail sending or the like.

또한, 이기종 통신 인터페이스 데이터 취득을 위한 시스템을 기본적으로 내장함으로써, 별도의 소프트웨어 시스템에 대한 설치의 필요 없이 서로 다른 종류의 통신 인터페이스 데이터를 단방향 연계할 수 있다. In addition, since a system for acquiring heterogeneous communication interface data is basically built-in, different types of communication interface data can be unidirectionally linked without the need for installing a separate software system.

또한, 보안영역의 데이터를 비보안영역으로 단방향 전송하며, 비보안영역에서 보안영역으로 전송되는 모든 데이터를 차단하여 항시 외부의 사이버 공격으로부터 보안영역을 안전하게 보호할 수 있다. In addition, the security area can be safely protected from external cyberattacks at all times by unidirectionally transmitting data from the secure area to the non-security area and blocking all data transmitted from the non-security area to the secure area.

또한, 보안영역으로부터 비보안영역으로 전송되는 패킷을 검증된 암호화 알고리즘으로 암호화하여 전송하고, 패킷을 복호화하는 과정에서 무결성을 검사하여 위조 또는 변조에 의한 데이터의 유출을 차단할 수 있다. In addition, the packet transmitted from the secure area to the non-secure area is encrypted and transmitted using a verified encryption algorithm, and integrity is checked in the process of decrypting the packet to block data leakage due to forgery or falsification.

또한, 소프트웨어 저장부를 설치할 수 있는 하드웨어 장치를 함께 제공하여 물리적으로도 보안영역으로부터 비보안영역으로의 단방향 전송만 가능하도록 할 수 있다. In addition, by providing a hardware device capable of installing the software storage unit, only one-way transmission from the secure area to the non-secure area may be physically possible.

또한, 더 많은 데이터 처리가 필요하거나 더 강력한 보안 알고리즘을 사용하기 위해 하드웨어 사양 업그레이드가 필요한 경우, 고성능의 부품을 시중에서 쉽게 구할 수 있으며, 해당 부품만 교체하면 되므로 효율적인 하드웨어 사양 업그레이드가 가능하다. In addition, when more data processing is required or a hardware specification upgrade is required to use a stronger security algorithm, high-performance parts are easily available on the market, and only those parts need to be replaced, enabling efficient hardware specification upgrade.

또한, 보안정책을 구성할 수 있는 프로토콜들에 대한 메타데이터를 프로그램 내의 소스 코드로 지원하는 것이 아닌 별도의 메타데이터 파일로 관리하여 새로운 프로토콜을 지원하기 위하여, 소스 코드의 수정 없이 메타데이터 파일만 추가하여 이에 대응하므로 소스 코드 수정에 따른 결함 발생 가능성과 추가 소요 시간 발생을 원천적으로 차단할 수 있다. In addition, in order to support new protocols by managing metadata for protocols that can compose security policies as separate metadata files rather than supporting them as source codes in the program, only metadata files are added without modifying the source code. Therefore, it is possible to fundamentally block the possibility of defects and the occurrence of additional time required due to source code modification.

또한, PCB기판 상에 TX모드와 RX모드를 선택할 수 있는 스위치를 장착하여 하나의 하드웨어 장치로 송신 서버와 수신 서버에 각각 대응하여 정방향 또는 역방향의 단방향 통신이 가능해지며, 단방향 통신 기능을 단순히 케이블이 아닌 내부회로에서 제공하므로 케이블 교체로 인한 인적 실수를 방지 할 수 있다.In addition, by mounting a switch that can select TX mode and RX mode on the PCB board, one hardware device enables one-way communication in the forward or reverse direction by corresponding to the sending server and the receiving server, respectively. Since it is provided by the internal circuit instead of the cable, human error due to cable replacement can be prevented.

또한, 하드웨어 내부에 CPU를 냉각하기 위한 제1 냉각팬과, CPU 이외의 부품을 냉각하기 위한 제2 냉각팬을 설치함에 따라, 365일 24시간 동작하는 환경에서도 발열로 인한 수명 감소와 보안데이터 처리 성능 저하를 방지할 수 있다.In addition, as the first cooling fan for cooling the CPU and the second cooling fan for cooling the components other than the CPU are installed inside the hardware, the lifespan is reduced due to heat generation and security data processing even in an environment that operates 24 hours a day, 365 days a year performance degradation can be prevented.

도 1은 본 발명의 일 실시예에 따른 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템의 구성을 설명하기 위한 블록도이다.
도 2는 도 1에 도시된 보안정책 설정부와 보안정책 표시부의 화면 UI를 도시한 도면이다.
도 3은 도 1에 도시된 패킷 로그 표시부의 화면 UI를 도시한 도면이다.
도 4는 도 1에 도시된 단방향 프로토콜 설정부의 화면 UI를 도시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템의 사용 예를 설명하기 위한 블록도이다.
도 6은 본 발명의 일 실시예에 따른 단방향 보안 데이터 전송 장치의 구성을 개략적으로 도시한 블록도이다.
도 7은 도 6에 도시된 단방향 보안 데이터 전송 장치의 구성을 개략적으로 도시한 단면도이다.
도 8은 본 발명의 일 실시예에 따른 단방향 보안 데이터 전송 장치를 이용하여 보안영역에 위치한 송신 서버로부터 비보안영역에 위치한 수신 서버로 보안데이터를 전송하는 방법을 개략적으로 도시한 블록도이다. 1 is a block diagram illustrating the configuration of a software management system of a one-way secure data transmission apparatus according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating a screen UI of the security policy setting unit and the security policy display unit shown in FIG. 1 .
FIG. 3 is a diagram illustrating a screen UI of the packet log display unit shown in FIG. 1 .
FIG. 4 is a diagram illustrating a screen UI of the one-way protocol setting unit shown in FIG. 1 .
5 is a block diagram illustrating an example of using a software management system of a one-way secure data transmission apparatus according to an embodiment of the present invention.
6 is a block diagram schematically illustrating the configuration of a one-way secure data transmission apparatus according to an embodiment of the present invention.
7 is a cross-sectional view schematically illustrating the configuration of the one-way secure data transmission apparatus shown in FIG. 6 .
8 is a block diagram schematically illustrating a method of transmitting secure data from a transmitting server located in a secure area to a receiving server located in a non-secure area using a one-way secure data transmission apparatus according to an embodiment of the present invention.

이하 첨부된 도면을 참조하여, 바람직한 실시예에 따른 단방향 보안 데이터 전송 장치 및 이의 소프트웨어 관리 시스템에 대해 상세히 설명하면 다음과 같다. 여기서, 동일한 구성에 대해서는 동일부호를 사용하며, 반복되는 설명, 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다. 발명의 실시형태는 당업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다. Hereinafter, a one-way secure data transmission apparatus and a software management system thereof according to a preferred embodiment will be described in detail with reference to the accompanying drawings. Here, the same reference numerals are used for the same components, and repeated descriptions and detailed descriptions of well-known functions and configurations that may unnecessarily obscure the gist of the invention will be omitted. The embodiments of the present invention are provided in order to more completely explain the present invention to those of ordinary skill in the art. Accordingly, the shapes and sizes of elements in the drawings may be exaggerated for clearer description.

도 1은 본 발명의 일 실시예에 따른 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템의 구성을 설명하기 위한 블록도이다. 그리고, 도 2는 도 1에 도시된 보안정책 설정부와 보안정책 표시부의 화면 UI를 도시한 도면이고, 도 3은 도 1에 도시된 패킷 로그 표시부의 화면 UI를 도시한 도면이며, 도 4는 도 1에 도시된 단방향 프로토콜 설정부의 화면 UI를 도시한 도면이다. 그리고, 도 5는 본 발명의 일 실시예에 따른 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템의 사용 예를 설명하기 위한 블록도이다. 1 is a block diagram illustrating the configuration of a software management system of a one-way secure data transmission apparatus according to an embodiment of the present invention. 2 is a view showing the screen UI of the security policy setting unit and the security policy display unit shown in FIG. 1, FIG. 3 is a view showing the screen UI of the packet log display unit shown in FIG. 1, FIG. 4 is It is a diagram illustrating a screen UI of the one-way protocol setting unit shown in FIG. 1 . And, FIG. 5 is a block diagram for explaining an example of using the software management system of the unidirectional secure data transmission apparatus according to an embodiment of the present invention.

도 1 내지 도 5를 참조하면, 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템(100)은 보안영역에서 비보안영역으로 보안데이터를 전송하는 단방향 데이터 전송 장치의 소프트웨어를 관리하기 위한 것으로서, 보안정책 설정부(110)와, 보안정책 표시부(120)와, 패킷 로그 표시부(130), 및 단방향 프로토콜 설정부(140)를 포함할 수 있다. 1 to 5, the software management system 100 of the one-way secure data transmission device is for managing software of the one-way data transmission device that transmits secure data from a secure area to a non-secure area, and a security policy setting unit ( 110 ), a security policy display unit 120 , a packet log display unit 130 , and a one-way protocol setting unit 140 .

본 실시예에서의 보안데이터는 공공기관에 구비된 기계설비의 운전시 발생하는 진동 데이터를 포함할 수 있다. 예를 들어, 모니터링 장치를 이용하여 공공기관에 설치된 분산제어장치인 DCS(Distributed Control System)에서 발생하는 진동을 모니터링하여 고장을 예측할 수 있는데, 이때 DCS의 진동 데이터를 보안데이터로 하여 외부의 모니터링 장치로 전송할 수 있다. 그러나, 보안테이터의 종류는 이에 한정되지 않으며, 스마트 팩토리 산업의 사물인터넷 데이터 등과 같이 산업 전반에서 보안을 필요로 하는 데이터라면 모두 적용 가능하다. The security data in this embodiment may include vibration data generated during operation of mechanical facilities provided in public institutions. For example, a failure can be predicted by monitoring the vibration generated in DCS (Distributed Control System), which is a distributed control device installed in a public institution, using a monitoring device. can be sent to However, the type of security data is not limited thereto, and any data that requires security throughout the industry, such as IoT data in the smart factory industry, may be applied.

보안정책 설정부(110)는 보안영역에 대한 보안정책을 설정하여 추가하거나, 기입력된 적어도 하나의 보안정책 중 하나를 선택하여 수정 또는 삭제할 수 있도록 화면 UI를 제공할 수 있다. 예를 들어, 도 2에 도시된 바와 같이, 보안정책 설정부(110)는 새로운 보안정책을 설정하여 추가하고, 추가되어 있는 보안정책을 선택하여 세부 항목을 수정하거나 선택하여 삭제할 수 있도록 화면 UI를 제공할 수 있다. The security policy setting unit 110 may provide a screen UI to set and add a security policy for the security area, or to select and modify or delete one of at least one entered security policy. For example, as shown in FIG. 2 , the security policy setting unit 110 sets and adds a new security policy, selects an added security policy, and displays the screen UI so that detailed items can be modified or selected and deleted. can provide

보안정책 표시부(120)는 보안정책 설정부(110)에서 설정된 보안정책에 대한 목록을 보안정책 설정부(110)의 화면 UI와 함께 출력할 수 있다. 예를 들어, 도 2에 도시된 바와 같이, 보안정책 표시부(120)는 관리자가 보안정책 설정부(110)에 보안정책을 추가하거나 수정하는 경우, 추가되거나 수정된 보안정책에 대한 목록을 화면 UI에 표시할 수 있다. 만약, 보안정책 설정부(110)에서 다수의 보안정책 중 하나를 선택하여 삭제한 경우, 보안정책 표시부(120)는 삭제된 보안정책을 제외하고 출력할 수 있다. The security policy display unit 120 may output a list of security policies set by the security policy setting unit 110 together with the screen UI of the security policy setting unit 110 . For example, as shown in FIG. 2 , when an administrator adds or modifies a security policy to the security policy setting unit 110 , the security policy display unit 120 displays a list of the added or modified security policies on the screen UI. can be displayed in If one of a plurality of security policies is selected and deleted in the security policy setting unit 110 , the security policy display unit 120 may output the deleted security policy except for the deleted security policy.

구체적으로, 보안정책 설정부(110)에서 관리자는 단방향 전송을 허용할 프로토콜에 대한 정보(보안정책 이름 / 프로토콜 / 출발지 주소 / 목적지 주소 / 목적지 포트 번호 등)를 입력하여 새로운 보안정책을 추가하고, 관리자는 다시 현재 추가된 보안정책을 선택하여 설정 정보를 수정할 수 있다. 이 밖에도, 관리자는 현재 추가된 보안정책을 선택하여 삭제할 수 있으며, 이렇게 설정된 보안정책은 내부적으로 반영되어 적용된 후 보안정책 표시부(120)에 표시될 수 있다. Specifically, in the security policy setting unit 110, the administrator adds a new security policy by inputting information about the protocol (security policy name / protocol / source address / destination address / destination port number, etc.) to allow one-way transmission, The administrator can select the currently added security policy again and modify the setting information. In addition, the administrator may select and delete the currently added security policy, and the set security policy may be internally reflected and applied, and then displayed on the security policy display unit 120 .

패킷 로그 표시부(130)는 보안정책 설정부(110)에서 설정된 보안정책에 의하여 허용되거나 차단된 패킷에 대한 로그를 화면 UI에 출력할 수 있다. 예를 들어, 패킷 로그 표시부(130)는 종랭래의 프로토콜 범위에서만 보안정책을 설정하던 기술의 진보성으로 인하여, 보안정책 설정부(110)를 통해 프로토콜을 넘어 세부적인 패킷을 차단 할 수 있는 패킷 보안정책에 의하여 허용되거나 차단된 패킷에 대한 로그를 화면 UI에 출력할 수 있다. 즉, 도 3에 도시된 바와 같이, 보안정책 설정부(110)에서 설정된 보안영역으로부터 허용되거나 차단된 패킷에 대한 로그를 표시할 수 있다. The packet log display unit 130 may output a log of packets allowed or blocked according to the security policy set in the security policy setting unit 110 on the screen UI. For example, the packet log display unit 130 is a packet security that can block detailed packets beyond the protocol through the security policy setting unit 110 due to the advancement of the technology for setting the security policy only in the range of the conventional protocol. Logs for packets allowed or blocked by policy can be output on the screen UI. That is, as shown in FIG. 3 , a log for packets allowed or blocked from the security area set in the security policy setting unit 110 may be displayed.

구체적으로, 패킷 로그 표시부(130)는 현재 설정되어 적용 중인 보안정책에 따라 허용 또는 차단된 패킷에 대한 정보(패킷이 차단 또는 허용된 시각 정보 / 허용된 패킷의 경우 관련 보안정책 이름(차단된 패킷의 경우 공백 표시) / 패킷의 허용 또는 차단 여부 / 프로토콜 / 출발지 주소 / 목적지 주소 / 목적지 포트 번호 등)를 표시할 수 있다. Specifically, the packet log display unit 130 displays information about allowed or blocked packets according to the currently set and applied security policy (information on the time when the packet is blocked or allowed / in case of an allowed packet, the related security policy name (blocked packet) (space is displayed) / whether packets are allowed or blocked / protocol / source address / destination address / destination port number, etc.) can be displayed.

한편, 소프트웨어 관리 시스템(100)은 보안정책 설정부(110)에서 허용되지 않은 패킷이 비보안영역으로 전송되는 경우, 외부의 관리 서버로 경고 신호를 전송하는 경고 신호 전송부(150)를 더 포함할 수 있다. 예를 들어, 경고 신호 전송부(150)는 허용되지 않은 패킷이 비보안영역으로 전송되려는 상황이 탐지되면, 이메일 발송 등을 통해 관리자에게 이 내용을 알릴 수 있고, 관리자는 이를 확인하여 즉시 적절한 조취를 취할 수 있게 된다. On the other hand, the software management system 100 may further include a warning signal transmission unit 150 for transmitting a warning signal to an external management server when a packet not permitted by the security policy setting unit 110 is transmitted to the non-security area. can For example, when the warning signal transmitter 150 detects a situation in which an unauthorized packet is being transmitted to the non-security area, it can notify the administrator of this content through e-mail, etc., and the administrator can check this and take appropriate action immediately be able to take

단방향 프로토콜 설정부(140)는 보안정책 설정부(110)에서 단방향 전송을 허용할 프로토콜을 설정할 수 있도록 화면 UI를 제공할 수 있다. 즉, 단방향 프로토콜 설정부(140)는 보안영역에서 비보안영역으로의 단방향 전송을 허용할 프로토콜에 대한 정보를 입력하도록 제공되는 것으로서, 보안정책 설정부(110)에서 단방향 전송을 허용할 프로토콜로 사용할 프로토콜과 그 패킷에 대한 추가, 수정, 삭제 등의 관리를 수행하는 기능을 수행할 수 있도록 화면 UI를 제공할 수 있다.The one-way protocol setting unit 140 may provide a screen UI so that the security policy setting unit 110 can set a protocol to allow one-way transmission. That is, the one-way protocol setting unit 140 is provided to input information about a protocol that will allow one-way transmission from the secure area to the non-secure area, and the protocol to be used as the protocol for allowing the one-way transmission in the security policy setting unit 110 . A screen UI can be provided to perform functions such as addition, modification, and deletion of the packet and the packet.

예를 들어, 단방향 프로토콜 설정부(140)에서 관리자는 프로토콜 및 패킷에 대한 정보(프로토콜 이름 / 필드 이름 / 데이터 타입 / 디스플레이 타입 / 타입 값 / 바이트 순서 / 설명 등)를 입력하여 새로운 프로토콜을 추가한 후, 다시 현재 추가된 프로토콜을 선택하여 설정 정보를 수정할 수 있다. 또한, 관리자는 현재 추가된 프로토콜을 선택하여 삭제할 수 있으며, 설정된 프로토콜은 내부적으로 반영되어 적용되고 보안정책 설정부(110)에 표시될 수 있다. For example, in the one-way protocol setting unit 140, the administrator adds a new protocol by inputting information about the protocol and packet (protocol name / field name / data type / display type / type value / byte order / description, etc.). After that, you can select the currently added protocol again to modify the setting information. In addition, the administrator may select and delete the currently added protocol, and the set protocol may be internally reflected and applied and displayed on the security policy setting unit 110 .

도 6은 본 발명의 일 실시예에 따른 단방향 보안 데이터 전송 장치의 구성을 개략적으로 도시한 블록도이고, 도 7은 도 6에 도시된 단방향 보안 데이터 전송 장치의 구성을 개략적으로 도시한 단면도이다. 본 실시예에서는 앞서 설명한 실시예와의 차이점을 중심으로 설명하기로 한다. 6 is a block diagram schematically showing the configuration of a one-way secure data transmission apparatus according to an embodiment of the present invention, and FIG. 7 is a cross-sectional view schematically illustrating the configuration of the one-way secure data transmission apparatus shown in FIG. 6 . In this embodiment, the difference from the previous embodiment will be mainly described.

도 6 내지 도 7을 참조하면, 단방향 보안 데이터 전송 장치(200)는 앞서 설명한 소프트웨어가 설치되는 하드웨어로서, 소프트웨어 저장부(210)와, 스위치(220)와, PCB 기판(230), 냉각부재(240), 및 케이스(250)를 포함할 수 있다. 6 to 7 , the unidirectional secure data transmission device 200 is hardware on which the aforementioned software is installed, and includes a software storage unit 210 , a switch 220 , a PCB substrate 230 , and a cooling member ( 240 ), and a case 250 .

소프트웨어 저장부(210)는 소프트웨어가 저장되는 일종의 메모리 칩으로서, 보안정책 설정부(110)와, 보안정책 표시부(120)와, 패킷 로그 표시부(130), 및 단방향 프로토콜 설정부(140)를 포함할 수 있다. The software storage unit 210 is a kind of memory chip in which software is stored, and includes a security policy setting unit 110 , a security policy display unit 120 , a packet log display unit 130 , and a one-way protocol setting unit 140 . can do.

스위치(220)는 보안영역에 위치한 송신 서버의 TX와 비보안영역에 위치한 수신 서버의 RX와 연결되고, 보안데이터를 TX에서 RX로 또는 RX에서 TX로의 전송을 허용하도록 선택할 수 있다. 즉, 종래와 같이 단순히 케이블을 단락시켜 단방향 통신을 수행하는 것이 아니라, 스위치의 동작에 따라 비보안영역에서 보안영역으로의 단방향 통신이 가능해지도록 형성함으로써 케이블 교체로 인한 인적 실수를 방지할 수 있다. 또한, 잦은 교체로 인하여 케이블의 수명이 줄어드는 것을 방지할 수 있다. The switch 220 is connected to the TX of the transmitting server located in the secure area and the RX of the receiving server located in the non-secure area, and may select to allow transmission of secure data from TX to RX or RX to TX. That is, it is possible to prevent human error due to cable replacement by forming such that one-way communication from the non-secure area to the secure area is possible according to the operation of the switch, rather than simply short-circuiting the cable as in the prior art to perform one-way communication. In addition, it is possible to prevent the life of the cable from being shortened due to frequent replacement.

PCB 기판(230)은 메인보드로서, 소프트웨어 저장부(210) 및 스위치(220)가 설치될 수 있다. 예를 들어, 소프트웨어 저장부(210) 및 스위치(220)는 PCB 기판 상에 솔더링되어 전기적으로 연결될 수 있다. The PCB board 230 is a main board, and a software storage unit 210 and a switch 220 may be installed therein. For example, the software storage unit 210 and the switch 220 may be electrically connected by soldering on the PCB substrate.

냉각부재(240)는 PCB 기판(230)에서 발생하는 열을 냉각하기 위한 것으로서, 적어도 하나 이상 구비될 수 있다. 예를 들어, 냉각부재(240)는 시스템 팬(fan)으로 제공될 수 있으며, CPU를 냉각하기 위한 제1 냉각팬과 CPU 이외의 부품을 냉각하기 위한 제2 냉각팬을 포함할 수 있다. 이와 같이, 단방향 보안 데이터 전송 장치(200)에 냉각부재(240)가 구비됨에 따라, 365일 24시간 동작하는 환경에서도 발열로 인한 수명 감소와 보안데이터 처리 성능 저하를 방지할 수 있다. The cooling member 240 is for cooling the heat generated in the PCB substrate 230, and at least one or more may be provided. For example, the cooling member 240 may be provided as a system fan, and may include a first cooling fan for cooling the CPU and a second cooling fan for cooling components other than the CPU. As described above, as the cooling member 240 is provided in the unidirectional secure data transmission device 200, it is possible to prevent a decrease in lifespan due to heat generation and a decrease in security data processing performance even in an environment that operates 24 hours 365 days a year.

케이스(250)는 PCB 기판(230)과 냉각부재(240)가 설치되는 것으로서, 내측 일면에는 PCB 기판(230)과 냉각부재(240)를 설치하기 위한 설치 홈부가 함몰형성될 수 있다. 이러한 케이스(250)는 방열을 위하여 알루미늄, 구리 등과 같이 열전도율이 좋은 재질로 형성될 수 있으며, 냉각팬에 의한 공기를 순환시킬 수 있도록 순환공이 복수개 형성될 수 있다. In the case 250 , the PCB substrate 230 and the cooling member 240 are installed, and an installation groove for installing the PCB substrate 230 and the cooling member 240 may be recessed in one inner surface thereof. The case 250 may be formed of a material having good thermal conductivity such as aluminum or copper for heat dissipation, and a plurality of circulation holes may be formed to circulate air by the cooling fan.

예를 들어, 케이스(250)의 내부는 30cm의 깊이를 갖도록 형성되어 콤팩트한 크기를 갖도록 제공될 수 있다. 즉, 종래의 케이스는 대부분 40cm 이상의 깊이를 갖도록 제작되었으나, 본 발명에 따른 케이스(250)는 30cm 이하의 깊이를 갖도록 형성되어 설치나 이전 등을 위한 운반이 용이해지는 이점이 있다. 또한, 종래에는 제품을 사용하기 위하여 케이스를 서버의 랙에 장착하려면 40cm 이상의 큰 크기로 인해 랙 레일 키트가 추가로 필요하였으나, 본 발명에 따르면 콤팩트한 사이즈로 인하여 랙 레일 키트 필요없이 랙에 장착할 수 있어 설치나 이전 시 비용이 줄어드는 이점이 있다. For example, the inside of the case 250 is formed to have a depth of 30 cm may be provided to have a compact size. That is, most of the conventional cases are manufactured to have a depth of 40 cm or more, but the case 250 according to the present invention is formed to have a depth of 30 cm or less, thereby facilitating transportation for installation or relocation. In addition, conventionally, a rack rail kit is additionally required due to the large size of 40 cm or more to mount the case to the rack of the server in order to use the product. This has the advantage of reducing costs during installation or relocation.

한편, 단방향 보안 데이터 전송 장치(200)는 LAN 카드(260)와, 이중화 파워 서플라이(270)를 더 포함할 수 있다. Meanwhile, the one-way secure data transmission apparatus 200 may further include a LAN card 260 and a redundant power supply 270 .

LAN 카드(260)는 PCB 기판(230)의 일측에 배치되고, 스위치(220)의 선택에 따라 TX모드 또는 RX모드로 동작하여 보안데이터를 송신 서버에서 수신 서버로 전송하거나, 수신 서버에서 송신 서버로 전송할 수 있다. 예를 들어, 스위치(220)에 의해 LAN 카드(260)는 TX모드 또는 RX모드로 동작할 수 있으며, 이로 인해 보안 데이터는 단일 방향으로 전송될 수 있다. The LAN card 260 is disposed on one side of the PCB board 230 and operates in TX mode or RX mode according to the selection of the switch 220 to transmit security data from the sending server to the receiving server, or from the receiving server to the sending server. can be sent to For example, the switch 220 allows the LAN card 260 to operate in a TX mode or an RX mode, whereby secure data can be transmitted in a single direction.

이중화 파워 서플라이(270)는 1개의 파워와 2개의 전원 단자가 구비된 것으로, PCB 기판(230)의 타측에 배치되고, PCB 기판(230) 및 냉각부재(240)로 전원을 공급할 수 있다. 이중화 파워 서플라이(270)는 시스템 다운을 방지하기 위한 것으로서, 만약 단방향 보안 데이터 전송 장치(200)가 24V의 DC 전원을 지속적으로 공급받지 못하게 된다면 장애가 발생 하여 시스템이 정지하게 된다. 이러한 사고를 방지하기 위하여 입력전원 측에 이중화 파워 서플라이(270)를 설치하여, 2개의 전원 단자 중 하나의 전원 단자가 정전 등의 이상 상황으로 인해 단락되더라도 나머지 전원 단자에 의해 절체되어 시스템 다운과 같은 사고를 미연에 방지할 수 있다. The redundant power supply 270 is provided with one power and two power terminals, is disposed on the other side of the PCB substrate 230 , and may supply power to the PCB substrate 230 and the cooling member 240 . The redundant power supply 270 is to prevent system down, and if the unidirectional secure data transmission device 200 does not continuously receive DC power of 24V, a failure occurs and the system stops. In order to prevent such an accident, a redundant power supply 270 is installed on the input power side, and even if one power terminal of the two power terminals is short-circuited due to an abnormal situation such as a power outage, it is transferred by the other power terminals, such as system down. Accidents can be prevented in advance.

도 8은 본 발명의 일 실시예에 따른 단방향 보안 데이터 전송 장치를 이용하여 보안영역에 위치한 송신 서버로부터 비보안영역에 위치한 수신 서버로 보안데이터를 전송하는 방법을 개략적으로 도시한 블록도이다. 8 is a block diagram schematically illustrating a method for transmitting secure data from a transmitting server located in a secure area to a receiving server located in a non-secure area using a one-way secure data transmission apparatus according to an embodiment of the present invention.

도 8을 참조하면, 보안영역에 위치한 송신 서버(SSSS TX Sever)의 DEVICE DRIVER A ~ C는 서로 다른 장치 A, B, C에 대하여 각 장치에 맞는 프로토콜을 이용하여 데이터를 수집할 수 있다. 여기서, DEVICE DRIVER를 A, B, C로 별도로 표시한 것은 데이터 수집 대상 장치가 서로 다른 장치이며, 서로 다른 프로토콜을 사용한다는 의미이다. 즉, 실제 현장 환경 구성에 따라 장치의 종류나 개수는 추가될 수 있다. Referring to FIG. 8 , DEVICE DRIVER A to C of a transmission server (SSSS TX Server) located in the secure area may collect data from different devices A, B, and C using a protocol suitable for each device. Here, the device drivers are marked separately as A, B, and C, meaning that the data collection target devices are different devices and use different protocols. That is, the type or number of devices may be added according to the configuration of the actual field environment.

이후 DEVICE MANAGER는 DEVICE DRIVER들로부터 전달받은 데이터를 NETWORK POLICY로 전달하고, NETWORK POLICY는 관리자에 의해 구성된 네트워크 정책에 따라 수집된 패킷에 대하여 패킷 검사를 한 후, 허용된 패킷이 맞을 경우 비보안영역으로 전송하며 그렇지 않은 경우 패킷을 차단한다. 즉, NETWORK POLICY는 본 발명에서의 단방향 프로토콜 설정부(140)로서, 이때 전송 또는 차단된 내역에 대한 기록을 NETWORK LOG에 기록할 수 있다. 그리고, NETWORK POLICY에 의하여 전송이 허용된 보안데이터는 ENCRYPT하여 NEWORK INTERFACE ADAPTOR (Tx LAN 카드)로 보내질 수 있다. After that, the DEVICE MANAGER transfers the data received from the DEVICE Drivers to the NETWORK POLICY, and the NETWORK POLICY inspects the collected packets according to the network policy configured by the administrator. Otherwise, the packet is blocked. That is, the NETWORK POLICY is the one-way protocol setting unit 140 in the present invention, and at this time, it is possible to record the history of transmission or blocking in the NETWORK LOG. And, the security data allowed to be transmitted by the NETWORK POLICY can be ENCRYPT and sent to the NEWORK INTERFACE ADAPTOR (Tx LAN card).

이후, 보안영역에 위치한 수신 서버(SSSS RX Sever)의 NEWORK INTERFACE ADAPTOR (Rx LAN 카드)는 수신한 보안데이터를 DECRYPT하여 송신 서버(SSSS TX Sever)로부터 전송된 데이터가 맞는지, 위조나 변조된 것이 아닌지를 체크한다. 이러한 체크 결과에 따라, 송신 서버(SSSS TX Server)로부터 전송된 패킷이 아니거나 위·변조된 패킷일 경우에는 차단하며, 송신 서버(SSSS TX Server)로부터 전송된 패킷이 맞고 위·변조된 패킷이 아닐 경우에는 보안데이터를 CHANNEL MANAGER로 전송한다. After that, the NEWORK INTERFACE ADAPTOR (Rx LAN card) of the receiving server (SSSS RX Sever) located in the secure area DECRYPT the received security data to check whether the data transmitted from the sending server (SSSS TX Sever) is correct, forged or forged. check According to the check result, if the packet is not transmitted from the sending server (SSSS TX Server) or it is a forged or forged packet, it is blocked. If not, the security data is transmitted to the CHANNEL MANAGER.

그러면, HANNEL MANAGER는 수신된 데이터를 정해진 목적지에 전송하고, CHANNEL DRIVER A ~ C는 서로 다른 종류의 목적지에 대하여 각 목적지에 맞는 프로토콜을 사용하여 데이터를 수신할 수 있다. Then, the HANNEL MANAGER transmits the received data to the specified destination, and the CHANNEL DRIVER A ~ C can receive data for different types of destinations using the protocol appropriate for each destination.

전술한 바와 같이, 단방향 보안 데이터 전송 장치 및 이의 소프트웨어 관리 시스템은 보안영역과 비보안영역 사이의 통신 인터페이스 구간에 대하여 관리자가 보안정책을 구성할 수 있도록 하고, 설정된 보안정책에 따라 허용되거나 차단된 네트워크 패킷에 대한 기록을 제공하기 때문에 이기종 시스템 간 안전하게 보안데이터를 전송할 수 있다. As described above, the unidirectional secure data transmission device and its software management system allow the administrator to configure a security policy for the communication interface section between the secure area and the non-secure area, and allow or block network packets according to the set security policy. Because it provides a record of the security data, it is possible to safely transmit security data between heterogeneous systems.

또한, 보안영역에서 비보안영역으로 전송할 네트워크 패킷에 대한 보안정책을 관리자가 설정하여 허용된 패킷만 보안데이터를 전송할 수 있도록 제공함에 따라, 단방향 보안 통신 인터페이스의 사이버 보안을 강화할 수 있다. In addition, as the administrator sets a security policy for network packets to be transmitted from the secure area to the non-secure area and provides only allowed packets to transmit secure data, the cyber security of the one-way secure communication interface can be strengthened.

또한, 관리자의 보안정책 설정에 의해 허용되지 않은 패킷이 비보안영역으로 전송되는 상황이 탐지되는 경우, 이메일 발송 등의 방법을 통해 관리자에게 경고 신호를 전송함으로써 관리자가 즉시 조치를 취할 수 있다. In addition, when it is detected that packets that are not allowed by the administrator's security policy setting are transmitted to the non-security area, the administrator can take immediate action by sending a warning signal to the administrator through e-mail sending or the like.

또한, 이기종 통신 인터페이스 데이터 취득을 위한 시스템을 기본적으로 내장함으로써, 별도의 소프트웨어 시스템에 대한 설치의 필요 없이 서로 다른 종류의 통신 인터페이스 데이터를 단방향 연계할 수 있다. In addition, since a system for acquiring heterogeneous communication interface data is basically built-in, different types of communication interface data can be unidirectionally linked without the need for installing a separate software system.

또한, 보안영역의 데이터를 비보안영역으로 단방향 전송하며, 비보안영역에서 보안영역으로 전송되는 모든 데이터를 차단하여 항시 외부의 사이버 공격으로부터 보안영역을 안전하게 보호할 수 있다. In addition, the security area can be safely protected from external cyberattacks at all times by unidirectionally transmitting data from the secure area to the non-security area and blocking all data transmitted from the non-security area to the secure area.

또한, 보안영역으로부터 비보안영역으로 전송되는 패킷을 검증된 암호화 알고리즘으로 암호화하여 전송하고, 패킷을 복호화하는 과정에서 무결성을 검사하여 위조 또는 변조에 의한 데이터의 유출을 차단할 수 있다. In addition, the packet transmitted from the secure area to the non-secure area is encrypted and transmitted using a verified encryption algorithm, and integrity is checked in the process of decrypting the packet to block data leakage due to forgery or falsification.

또한, 소프트웨어 저장부를 설치할 수 있는 하드웨어 장치를 함께 제공하여 물리적으로도 보안영역으로부터 비보안영역으로의 단방향 전송만 가능하도록 할 수 있다. In addition, by providing a hardware device capable of installing the software storage unit, only one-way transmission from the secure area to the non-secure area may be physically possible.

또한, 더 많은 데이터 처리가 필요하거나 더 강력한 보안 알고리즘을 사용하기 위해 하드웨어 사양 업그레이드가 필요한 경우, 고성능의 부품을 시중에서 쉽게 구할 수 있으며, 해당 부품만 교체하면 되므로 효율적인 하드웨어 사양 업그레이드가 가능하다. In addition, when more data processing is required or a hardware specification upgrade is required to use a stronger security algorithm, high-performance parts are easily available on the market, and only those parts need to be replaced, enabling efficient hardware specification upgrade.

또한, 보안정책을 구성할 수 있는 프로토콜들에 대한 메타데이터를 프로그램 내의 소스 코드로 지원하는 것이 아닌 별도의 메타데이터 파일로 관리하여 새로운 프로토콜을 지원하기 위하여, 소스 코드의 수정 없이 메타데이터 파일만 추가하여 이에 대응하므로 소스 코드 수정에 따른 결함 발생 가능성과 추가 소요 시간 발생을 원천적으로 차단할 수 있다. In addition, in order to support new protocols by managing metadata for protocols that can compose security policies as separate metadata files rather than supporting them as source codes in the program, only metadata files are added without modifying the source code. Therefore, it is possible to fundamentally block the possibility of defects and the occurrence of additional time required due to source code modification.

또한, PCB기판 상에 TX모드와 RX모드를 선택할 수 있는 스위치를 장착하여 하나의 하드웨어 장치로 송신 서버와 수신 서버에 각각 대응하여 정방향 또는 역방향의 단방향 통신이 가능해지며, 단방향 통신 기능을 단순히 케이블이 아닌 내부회로에서 제공하므로 케이블 교체로 인한 인적 실수를 방지 할 수 있다.In addition, by mounting a switch that can select TX mode and RX mode on the PCB board, one hardware device enables one-way communication in the forward or reverse direction by corresponding to the sending server and the receiving server, respectively. Since it is provided by the internal circuit instead of the cable, human error due to cable replacement can be prevented.

또한, 하드웨어 내부에 CPU를 냉각하기 위한 제1 냉각팬과, CPU 이외의 부품을 냉각하기 위한 제2 냉각팬을 설치함에 따라, 365일 24시간 동작하는 환경에서도 발열로 인한 수명 감소와 보안데이터 처리 성능 저하를 방지할 수 있다.In addition, as the first cooling fan for cooling the CPU and the second cooling fan for cooling the components other than the CPU are installed inside the hardware, the lifespan is reduced due to heat generation and security data processing even in an environment that operates 24 hours a day, 365 days a year performance degradation can be prevented.

본 발명은 첨부된 도면에 도시된 일 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 수 있을 것이다. 따라서, 본 발명의 진정한 보호 범위는 첨부된 청구 범위에 의해서만 정해져야 할 것이다. Although the present invention has been described with reference to an embodiment shown in the accompanying drawings, which is merely exemplary, those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom. will be able Accordingly, the true scope of protection of the present invention should be defined only by the appended claims.

110: 보안정책 설정부
120: 보안정책 표시부
130: 패킷 로그 표시부
140: 단방향 프로토콜 설정부
150: 경고 신호 전송부
210: 소프트웨어 저장부
220: 스위치
230: PCB 기판
240: 냉각부재
250: 케이스
260: LAN 카드
270: 이중화 파워 서플라이 110: security policy setting unit
120: security policy display unit
130: packet log display unit
140: one-way protocol setting unit
150: warning signal transmitter
210: software storage unit
220: switch
230: PCB board
240: cooling member
250: case
260: LAN card
270: redundant power supply

Claims (8)

보안영역에서 비보안영역으로 보안데이터를 전송하는 단방향 데이터 전송 장치의 소프트웨어를 관리하기 위한 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템에 있어서,
상기 보안영역에 대한 보안정책을 설정하여 추가하거나, 기입력된 적어도 하나의 보안정책 중 하나를 선택하여 수정 또는 삭제할 수 있도록 화면 UI를 제공하는 보안정책 설정부;
상기 보안정책 설정부에서 설정된 보안정책에 대한 목록을 상기 화면 UI에 함께 출력하는 보안정책 표시부;
상기 설정된 보안정책에 의하여 허용되거나 차단된 패킷에 대한 로그를 화면 UI에 출력하는 패킷 로그 표시부; 및
상기 보안정책 설정부에서 단방향 전송을 허용할 프로토콜을 설정할 수 있도록 화면 UI를 제공하는 단방향 프로토콜 설정부;
를 포함하고,
상기 비보안영역에 위치한 수신서버는 상기 보안 데이터가 상기 보안영역의 송신 서버로부터 전송된 데이터가 맞는지의 여부, 위조나 변조된 데이터가 아닌지의 여부를 체크한 후 상기 보안 데이터를 수신하는 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템.
A software management system for a one-way secure data transmission device for managing software of a one-way data transmission device that transmits secure data from a secure area to a non-secure area, the software management system comprising:
a security policy setting unit providing a screen UI to set and add a security policy for the security area, or to select and modify or delete one of at least one entered security policy;
a security policy display unit for outputting a list of security policies set in the security policy setting unit together on the screen UI;
a packet log display unit for outputting a log for packets allowed or blocked according to the set security policy on the screen UI; and
a one-way protocol setting unit that provides a screen UI so that the security policy setting unit can set a protocol to allow one-way transmission;
including,
The receiving server located in the non-secure area checks whether the security data is the data transmitted from the transmitting server in the secure area, whether it is forged or forged data, and then receives the security data one-way security data transmission The device's software management system.
 제1항에 있어서,
상기 보안정책 표시부에서 허용되지 않은 패킷이 상기 비보안영역으로 전송되는 경우, 외부의 관리 서버로 경고 신호를 전송하는 경고 신호 전송부를 포함하는 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템.
The method of claim 1,
and a warning signal transmission unit configured to transmit a warning signal to an external management server when a packet not permitted by the security policy display unit is transmitted to the non-security area.
 제1항에 있어서,
상기 보안데이터는 공공기관에 구비된 기계설비의 운전시 발생하는 진동 데이터를 포함하는 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템.
According to claim 1,
The security data is a software management system of a one-way security data transmission device including vibration data generated during operation of a mechanical facility provided in a public institution.
 제1항에 있어서,
상기 단방향 프로토콜 설정부는 상기 보안영역에서 상기 비보안영역으로의 단방향 전송을 허용할 프로토콜에 대한 정보를 입력하도록 제공되는 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템.
According to claim 1,
The one-way protocol setting unit is provided to input information about a protocol to allow one-way transmission from the secure area to the non-secure area.
 제1항에 있어서,
상기 단방향 프로토콜 설정부는 상기 단방향 전송을 허용할 프로토콜로 사용할 프로토콜에 대한 패킷의 추가, 수정, 삭제를 수행할 수 있도록 형성되는 단방향 보안 데이터 전송 장치의 소프트웨어 관리 시스템.
According to claim 1,
The one-way protocol setting unit is a software management system for a one-way secure data transmission device configured to add, modify, and delete packets for a protocol to be used as a protocol to allow the one-way transmission.
 제1항 내지 제5항 중 어느 한 항에 따른 소프트웨어 관리 시스템을 포함하는 단방향 보안 데이터 전송 장치에 있어서,
상기 보안정책 설정부와, 상기 보안정책 표시부와, 상기 패킷 로그 표시부, 및 상기 단방향 프로토콜 설정부를 포함하는 소프트웨어 저장부;
상기 보안영역에 위치한 송신 서버의 TX와 상기 비보안영역에 위치한 수신 서버의 RX와 연결되고, 보안데이터를 상기 TX에서 RX로 또는 상기 RX에서 TX로의 전송을 허용하도록 선택하는 스위치;
상기 소프트웨어 저장부 및 상기 스위치가 설치되는 PCB 기판;
상기 PCB 기판에서 발생하는 열을 냉각하기 위한 적어도 하나의 냉각부재; 및
상기 PCB 기판과 상기 냉각부재가 설치되는 케이스; 를 포함하는 단방향 보안 데이터 전송 장치.
A one-way secure data transmission device comprising the software management system according to any one of claims 1 to 5,
a software storage unit including the security policy setting unit, the security policy display unit, the packet log display unit, and the one-way protocol setting unit;
a switch connected to the TX of the transmitting server located in the secure area and the RX of the receiving server located in the non-secure area, and selecting to allow transmission of secure data from the TX to RX or from the RX to TX;
a PCB board on which the software storage unit and the switch are installed;
at least one cooling member for cooling the heat generated from the PCB substrate; and
a case in which the PCB substrate and the cooling member are installed; One-way secure data transmission device comprising a.
 제6항에 있어서,
상기 PCB 기판의 일측에 배치되고, 상기 스위치의 선택에 따라 TX모드 또는 RX모드로 동작하여 상기 보안데이터를 상기 송신 서버에서 수신 서버로 전송하거나, 상기 수신 서버에서 송신 서버로 전송하는 LAN 카드를 더 포함하는 단방향 보안 데이터 전송 장치.
7. The method of claim 6,
A LAN card disposed on one side of the PCB board and operated in TX mode or RX mode according to the selection of the switch to transmit the security data from the sending server to the receiving server, or from the receiving server to the sending server. One-way secure data transfer device comprising.
 제6항에 있어서,
상기 PCB 기판의 타측에 배치되고, 상기 PCB 기판 및 상기 냉각부재로 전원을 공급하기 위한 이중화 파워 서플라이를 더 포함하는 단방향 보안 데이터 전송 장치. 7. The method of claim 6,
One-way security data transmission device disposed on the other side of the PCB substrate, and further comprising a redundant power supply for supplying power to the PCB substrate and the cooling member.
KR1020210052779A 2020-12-10 2021-04-23 One-way security data transmission device and its software management system KR102361079B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2021/011187 WO2022124524A1 (en) 2020-12-10 2021-08-23 One-way secure data transmission device and software management system therefor

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20200172116 2020-12-10
KR1020200172116 2020-12-10

Publications (1)

Publication Number Publication Date
KR102361079B1 true KR102361079B1 (en) 2022-02-14

Family

ID=80254005

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210052779A KR102361079B1 (en) 2020-12-10 2021-04-23 One-way security data transmission device and its software management system

Country Status (2)

Country Link
KR (1) KR102361079B1 (en)
WO (1) WO2022124524A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002084680A (en) * 2000-09-08 2002-03-22 Nipron Co Ltd Uninterruptible duplexed power supply, structure of insertion, and extraction of unit in uninterruptible duplexed power supply
KR100502068B1 (en) * 2003-09-29 2005-07-25 한국전자통신연구원 Security engine management apparatus and method in network nodes
KR101438135B1 (en) * 2013-11-14 2014-09-15 한국지역난방공사 Data transfer apparatus from the central control network to the regional control network between the network according to the security role in the plant control system environments
KR101931683B1 (en) 2017-06-29 2018-12-24 (주)앤앤에스피 Security patch system employing unidirectional data transmission apparatus and method of operating the same
KR20200037816A (en) * 2017-08-02 2020-04-09 스트롱 포스 아이오티 포트폴리오 2016, 엘엘씨 Methods and systems for detection in an industrial Internet of Things data collection environment with large data sets

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101134217B1 (en) * 2005-06-13 2012-04-06 주식회사 엘지씨엔에스 Security policy encycripting method and Intrusion Prevention System for implementing the method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002084680A (en) * 2000-09-08 2002-03-22 Nipron Co Ltd Uninterruptible duplexed power supply, structure of insertion, and extraction of unit in uninterruptible duplexed power supply
KR100502068B1 (en) * 2003-09-29 2005-07-25 한국전자통신연구원 Security engine management apparatus and method in network nodes
KR101438135B1 (en) * 2013-11-14 2014-09-15 한국지역난방공사 Data transfer apparatus from the central control network to the regional control network between the network according to the security role in the plant control system environments
KR101931683B1 (en) 2017-06-29 2018-12-24 (주)앤앤에스피 Security patch system employing unidirectional data transmission apparatus and method of operating the same
KR20200037816A (en) * 2017-08-02 2020-04-09 스트롱 포스 아이오티 포트폴리오 2016, 엘엘씨 Methods and systems for detection in an industrial Internet of Things data collection environment with large data sets

Also Published As

Publication number Publication date
WO2022124524A1 (en) 2022-06-16

Similar Documents

Publication Publication Date Title
US7832006B2 (en) System and method for providing network security
US7222228B1 (en) System and method for secure management or remote systems
US9928359B1 (en) System and methods for providing security to an endpoint device
US9807055B2 (en) Preventing network attacks on baseboard management controllers
US9734094B2 (en) Computer security system and method
EP2104892B1 (en) Secure archive
US20050138402A1 (en) Methods and apparatus for hierarchical system validation
WO2004105297A2 (en) Method and system for providing secure one-way transfer of data
US8285984B2 (en) Secure network extension device and method
Cook et al. An assessment of the application of IT security mechanisms to industrial control systems
CN110493192B (en) Data security transmission system and method based on data gateway
US7047425B2 (en) Scaleable muti-level security method in object oriented open network systems
EP3729773B1 (en) One-way data transfer device with onboard system detection
US20030065953A1 (en) Proxy unit, method for the computer-assisted protection of an application server program, a system having a proxy unit and a unit for executing an application server program
KR102361079B1 (en) One-way security data transmission device and its software management system
US20110289548A1 (en) Guard Computer and a System for Connecting an External Device to a Physical Computer Network
KR100446816B1 (en) Network for integrated security management service
US9893935B2 (en) Dynamic information exchange for remote security system
US10938913B2 (en) Hardware turnstile
KR102494831B1 (en) Network intrusion detection system for information processing system of nuclear power plants
JP2003304289A (en) Security management system
KR101286978B1 (en) Appratus for Connection Multitude Network using Virtualization and Method thereof
US7127738B1 (en) Local firewall apparatus and method
WO2015030800A1 (en) Improving tamper resistance of aggregated data
US20020178378A1 (en) Secure intrusion detection system

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant