WO2017034072A1 - Network security system and security method - Google Patents

Network security system and security method Download PDF

Info

Publication number
WO2017034072A1
WO2017034072A1 PCT/KR2015/011066 KR2015011066W WO2017034072A1 WO 2017034072 A1 WO2017034072 A1 WO 2017034072A1 KR 2015011066 W KR2015011066 W KR 2015011066W WO 2017034072 A1 WO2017034072 A1 WO 2017034072A1
Authority
WO
WIPO (PCT)
Prior art keywords
user terminal
server
security
information
access
Prior art date
Application number
PCT/KR2015/011066
Other languages
French (fr)
Korean (ko)
Inventor
전석기
소준영
Original Assignee
주식회사 아이티스테이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이티스테이션 filed Critical 주식회사 아이티스테이션
Publication of WO2017034072A1 publication Critical patent/WO2017034072A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Definitions

  • the present invention relates to a network security system security method, and more particularly, to a network security system and a security method capable of coping with an external unknown hacking risk.
  • Cyber attacks are organized and intelligent, and in particular, advanced persistent threats (APTs), in which hacking organizations are economically targeted, perform stealthy, continuous, and intelligent attacks against specific attack targets. It is rapidly increasing and is a big social problem.
  • APT attacks involve hackers or hacking organizations infiltrating malicious code into the target organization to illegally steal the important information of the organization, and then continuously update the malware to infect the host of important information accessors with malware. This is an attack method that leaks important information.
  • Korean Patent No. 10-0635130 (“Kernel backdoor detection system and method through Windows network monitoring”), a network packet passing through a TDI (Transport Driver Interface) layer and a Network Driver Interface Specification (NDIS) layer among the Windows network components.
  • TDI Transport Driver Interface
  • NDIS Network Driver Interface Specification
  • the kernel backdoors are detected and the network packets generated from these kernel backdoors are filtered.
  • a system and method for detecting a kernel backdoor that can prevent intrusion by a kernel backdoor are disclosed.
  • Korean Patent No. 10-0635130 is a technique limited to preventing intrusion into the kernel backdoor, and a technique for preventing document leakage or hacking through terminals connected to a system server or an internal network is not disclosed.
  • the problem to be solved by the present invention is to recover in case of suspicion of infringement of the system while performing operating system patch, application patch, software distribution and media control for effective defense of the client system which is the primary attack target of APT (Advanced Persistent Threat) It is to provide a network security system and security method that can apply technology to cope with unknown hacking threats.
  • APT Advanced Persistent Threat
  • Another problem to be solved by the present invention is a network security system and security that can protect and monitor the user and administrator client access to the key information or document information to recognize the leakage of key information or document information and eliminate risks To provide a way.
  • the present invention provides a plurality of user terminals using an internal network, a system server for storing a plurality of main information or document information generated in at least one of the plurality of user terminals, and manages the plurality of user terminals.
  • the security server is an important document to be attacked from the external hacking of the plurality of main information or document information
  • a preventive control module for identifying and analyzing risk factors among the important documents to restrict access of the plurality of user terminals from external hacking servers known to control external access; Monitoring the network traffic to access the important document, and stores the log file of the user terminal that generated the network traffic to access the important document, if the abnormal behavior including hacking in the user terminal is monitored the work of the user terminal Detection control module to terminate the; And generating and storing a backup system image when the plurality of user terminals access the system server, and performing a restoration operation through the backup system image when the abnormal behavior is monitored among the plurality of user terminals. It can provide a network security system comprising a.
  • the preventive control module evaluates the importance of the main information or the document information by assigning a score to the confidentiality, integrity and availability of the plurality of main information or document information, and performs information management according to the evaluated importance. It may include an evaluation unit.
  • the preventive control module analyzes and detects a risk factor for a document having high importance among the main information or document information, and performs a safety check on all main information or document information when the risk factor is detected.
  • the analysis unit may further include.
  • the preventive control module may further include a control policy management unit configured to transmit a security notice to the user terminal through the manager terminal, and to feed back whether the security bulletin is read from the user terminal.
  • a control policy management unit configured to transmit a security notice to the user terminal through the manager terminal, and to feed back whether the security bulletin is read from the user terminal.
  • the preventive control module includes a terminal authentication unit for authenticating using at least one authentication element of the user ID and the OTP, the official certificate, the ARS, and the QR code of the user terminal;
  • the user terminal which has been authenticated by the terminal authentication unit, monitors and manages access to an external network through a C & C C & C (Command & Control) server, or accesses the C & C server to the system server through the user terminal.
  • Server management unit The user terminal controls access to a P2P server or a harmful site, and when accessing the important information from the user terminal, access time and port are connected to the user terminal to confirm whether the user is authorized access or unauthorized access.
  • a server access control unit which transmits a predetermined notification message, and transmits a warning message to the manager terminal by determining that an intrusion or hacking is received from an external server when there is no reply to the notification message after sending the notification message;
  • a network traffic analyzer configured to collect network traffic generated from the user terminal and set a path.
  • the calibration control module includes a TCP tagging and recognition unit for tagging a unique ID to network traffic or a network packet generated in the user terminal; A security agent manager for monitoring the installation of the security agent installed in the user terminal and transmitting the security agent to the user terminal in which the security agent is not installed; A user terminal controller which determines that the main information or document information is an external attack when the user terminal does not perform authentication and blocks access to the system server; And a system restoration unit which determines that the user terminal is infected with at least one of the virus, malicious code, and spyware, stores a backup image of the infected user terminal, and restores the backup image to a state before infection.
  • the present invention provides a plurality of user terminals using an internal network, a system server for storing a plurality of main information or document information generated in at least one of the plurality of user terminals, an administrator terminal for managing the plurality of user terminals and the A security method performed in a security server for protecting a user terminal, an administrator terminal, and a system server, the security method comprising: (a) defining a control policy for controlling access to an external network or an unconfigured server from the security server; (b) an authentication step of performing authentication in the user terminal to grant access to the system server for performing a task; (c) monitoring access of a main server, a C & C server, a P2P server, a malicious site, and checking whether the control policy is violated in the security server when the user terminal performs a task; (d) informing the administrator terminal of the control policy violation in the security server; (e) blocking the network of the user terminal in violation of the control policy at the security server; (f) storing a backup image of the user
  • the importance of the critical information or document information is evaluated by assigning a score to the confidentiality, integrity and availability of the plurality of main information or document information stored in the system server, and according to the evaluated importance.
  • the step (b) may be authenticated using at least one authentication element of the user ID and the OTP, public certificate, ARS, QR code of the user terminal.
  • step (h) it may further comprise the step of reflecting the digital forensic results in the control policy.
  • the network security system and security method performs an operating system patch, application patch, software distribution, and media control for effective defense of a client system that is a primary attack target of APT (Advanced Persistent Threat).
  • APT Advanced Persistent Threat
  • recovery techniques can be applied to counter unknown hacking threats.
  • security may be strengthened through two-factor authentication, and information used for authentication may be protected by changing a service channel and a channel for authentication.
  • FIG. 1 is a system diagram schematically showing a network security system according to an embodiment of the present invention.
  • FIG. 2 is a block diagram showing the internal configuration of the security server shown in FIG.
  • FIG. 3 is a block diagram showing the configuration of the preventive control module shown in FIG. 2;
  • FIG. 4 is a block diagram illustrating the detection control module shown in FIG.
  • FIG. 5 is a block diagram illustrating the calibration control module shown in FIG. 2.
  • FIG. 5 is a block diagram illustrating the calibration control module shown in FIG. 2.
  • FIG. 6 is a flowchart illustrating a network security method according to an embodiment of the present invention.
  • the present invention provides a plurality of user terminals using an internal network, a system server for storing a plurality of main information or document information generated in at least one of the plurality of user terminals, an administrator terminal for managing the plurality of user terminals, and the user terminal. And a security server for protecting an administrator terminal and a system server, wherein the security server identifies an important document to be attacked from an external hack among the plurality of main information or document information, and identifies the important document.
  • a preventive control module configured to limit the access of the plurality of user terminals from external hacking servers known to control the external access by analyzing a risk factor among the; Monitoring the network traffic to access the important document, and stores the log file of the user terminal that generated the network traffic to access the important document, if the abnormal behavior including hacking in the user terminal is monitored the work of the user terminal Detection control module to terminate the; And generating and storing a backup system image when the plurality of user terminals access the system server, and performing a restoration operation through the backup system image when the abnormal behavior is monitored among the plurality of user terminals. It can provide a network security system comprising a.
  • first and second are terms used to describe various components, and are not limited in themselves, and are used only to distinguish one component from other components.
  • FIG. 1 is a system diagram schematically showing a network security system according to an embodiment of the present invention.
  • a network security system may include a user terminal 10, an administrator terminal 20, a security server 40, and a system server 30.
  • the user terminal 10 may include a terminal such as a computer, a laptop, a smartphone, and the like used in an enterprise, a school, an institution, and the like.
  • the manager terminal 20 may include a terminal such as a computer, a laptop, a smartphone, or the like, such as the user terminal 10.
  • the system server 30 may be connected to the user terminal 10 through an internal communication network to store a plurality of pieces of main information or document information generated in the user terminal 10.
  • the system server 30 may provide a usage environment of the user terminal 10 to access the system server 30.
  • the security server 40 evaluates the importance of a plurality of pieces of main information or document information and sets access rights according to the importance. For example, the security server 40 assigns scores for confidentiality, integrity, and availability of a plurality of pieces of key information or document information to evaluate the importance of the key information or document information, and the evaluated key information or document information to importance. Accordingly different access rights.
  • the security server 40 analyzes the risk factors to control the access of the main information or document information that has risk factors.
  • the security server 40 controls access to main information or document information of the user terminal 10 according to authority for access control of main information or document information.
  • the security server 40 registers an external server used for hacking in order to protect key information or document information from external external hacking, and in advance, the user terminal 10 accesses an external server that is a main route of hacking. Block or control access to the user terminal 10 from an external server.
  • the security server 40 monitors the network traffic of the user terminal 10.
  • the security server 40 stores a log file of the user terminal 10, and terminates the work of the user terminal when abnormal behavior including hacking through the user terminal 10 is monitored, or the user terminal 10 Log off).
  • the security server 40 may generate and store a backup image of the user terminal 10, restore the backup image, and provide the backup image to the user terminal 10.
  • the security server 40 may update the risk factors for risks such as a hacking server connected through the user terminal 10 before the backup image restoration and notify the user terminal 10.
  • the description of the security server 40 will be described in detail later with reference to FIGS. 2 to 5.
  • FIG. 2 is a block diagram showing an internal configuration of the security server shown in FIG. 1
  • FIG. 3 is a block diagram showing a configuration of the preventive control module shown in FIG. 2
  • FIG. 4 is a detection control shown in FIG. A block diagram illustrating the module
  • FIG. 5 is a block diagram illustrating the calibration control module shown in FIG. 2.
  • the security server 40 may include a preventive control module 100, a detection control module 200, and a calibration control module 300.
  • the preventive control module 100 may include an information asset evaluation unit 110, a risk analysis unit 120, and a control policy management unit 130.
  • the information asset evaluation unit 110 evaluates the importance of the plurality of pieces of main information or document information.
  • the information asset evaluation unit 110 evaluates the importance of the main information or the document information by assigning a score to the confidentiality, integrity, and availability of the plurality of pieces of the main information or the document information according to preset criteria.
  • the information asset evaluation unit 110 may store the main information or the document information stored in the system server 30 in the upper, middle, lower or A, B, C, ... or 1, 2, 3, Set the rating with ...
  • confidentiality is set high, and documents, such as general work documents, are set relatively low.
  • the information asset evaluation unit 110 evaluates whether or not there is a defect with respect to the document of which confidentiality evaluation is completed. Whether or not the document is defective is set as a confidentiality evaluation through the virus or malicious code infection, whether the document is finished, whether it is encrypted or not. In addition, the information asset evaluation unit 110 sets a rating, such as a confidentiality evaluation, regarding the availability of the main information or the document information.
  • the information asset evaluation unit 110 sets a rating by combining confidentiality, integrity, and availability.
  • the information asset evaluation unit 110 distinguishes key information or document information having a high comprehensive grade from key information or document information having a low comprehensive grade.
  • the information asset evaluation unit 110 may change the access authority when the user terminal 10 or the manager terminal 20 accesses according to the grade when the grade of the main information or the document information is determined. For example, when the level of the main information or the document information is high, the user terminal 10 may not be accessible, and only the manager terminal 20 may be accessible. In addition, when the grade of the main information or document information is lowered, the user terminal 10 may be accessible.
  • the risk analysis unit 120 analyzes a vulnerability of a network or a vulnerability of main information or document information.
  • the risk analysis unit 120 analyzes a potential risk factor of key information or document information using a vulnerability analysis tool, and if a new vulnerability is found, the risk analysis unit 120 performs a security check on a new vulnerability to detect a new vulnerability. Provide information.
  • the risk analysis unit 120 stores a history related to vulnerability inspection and vulnerability discovery information of potential risk factors, and may provide such a history to the manager terminal 20.
  • the risk analysis unit 120 may provide a graph, a figure, a numerical value, or the like to visually recognize the vulnerability information or the history provided to the manager terminal 20.
  • the control policy manager 130 controls the user terminal 10 or the administrator terminal 20 to access an unauthorized web server in order to control access to main information or document information. To this end, the control policy management unit 130 presets URL information of an accessible web server or a blocked web server. The control policy manager 130 may notify the user terminal 10 or the administrator terminal 20 to block access when the URL of the web server is blocked.
  • control policy management unit 130 may force the security notification to the user terminal (10). For example, when the control policy management unit 130 transmits the security notification in the form of a web page from the manager terminal 20 to the user terminal 10, the control policy manager 130 blocks the connected web page of the user terminal 10, and the security notification web. Can direct access to a page.
  • the control policy manager 130 controls the security notice sent to the user terminal 10 to determine whether the security notice sent from the manager terminal 20 is confirmed by the user terminal 10. Feedback to 130 may be made.
  • the preventive control module 100 may include a terminal authenticator 210, a server manager 220, a server access controller 230, and a network traffic analyzer 240.
  • the terminal authenticator 210 may perform access authentication of the system server 30 for the task of the user terminal 10 or the manager terminal 20.
  • the terminal authentication unit 210 may use a two factor authentication method that can authenticate using two or more authentication elements. For example, the terminal authentication unit 210 performs the first authentication when the ID (ID) and the password (Password) input in the user terminal 10 or the administrator terminal 20, and after the first authentication is completed, OTP, Secondary authentication is performed using a method such as an accredited certificate, ARS or QR code. Through this, the access security of the terminal can be strengthened.
  • the terminal authenticator 210 performs authentication through a separate channel, and the authentication channel does not use another service. In this way, the user terminal 10 or the manager terminal 20 can fundamentally block the risk of the attacker's account takeover during authentication.
  • the system server 30 may be notified to access the system server 30 from the user terminal 10 or the manager terminal 20.
  • the server manager 220 manages an IP list of a Command & Control (C & C) server that serves as a host of an advanced persistent threat (APT), and collects and analyzes related information.
  • the server manager 220 periodically updates the list of new C & C servers provided as RSS services to access the user terminal 10 or the manager terminal 20 through the C & C server, or the user terminal 10 or the C & C server.
  • the manager terminal 20 can manage access to the system server 30.
  • the server access control unit 230 may control the user terminal 10 or the administrator terminal 20 to access the P2P server or harmful site.
  • the server access control unit 230 may control the access of the harmful site by using a preset P2P server or URL information of the harmful site. At this time, the server access control unit 230 controls the access of P2P server or harmful sites other than C & C server access.
  • the server access control unit 230 accesses the main information or document information in the terminals, the server access control unit 230 transmits a notification message to determine the access time and port to the terminals in order to check whether the authorized access or unauthorized access.
  • the server access control unit 230 transmits a warning message using a phone number, a messenger, an e-mail, etc. set in the administrator terminal 20 by determining that an intrusion of an external server is not received after a notification is sent. .
  • the server access control unit 230 detects this when the user terminal 10 accesses the main information or document information and notifies the manager terminal 20.
  • the network traffic analyzer 240 collects all network traffic generated by the user terminal 10 and stores a path. In this case, the network traffic analyzer 240 monitors the port, service active state, and main window log for accurate analysis of the corresponding user terminal 10 when the access of the main information or document information which is not authorized in the user terminal 10 is monitored. Etc. can be collected.
  • the network traffic analyzer 240 may not perform packet monitoring on a site or server that is registered in advance using a pre-matching URL and IP.
  • the network traffic analyzer 240 may monitor the secret packet transmitted through the encrypted communication in order to detect the IP-based C & C server.
  • the calibration control module 300 may include a TCP packet tagging and recognition unit 310, a security agent manager 320, a central document manager 330, a user terminal controller 340, and a system restorer 350.
  • the TCP packet tagging and recognition unit 310 may tag a unique ID to all TCP packets generated in the user terminal 10 in order to distinguish the network packet generated in the user terminal 10 using the router of the internal network. have. Through this, the TCP packet tagging and recognizing unit 310 may distinguish the TCP packet so that the network traffic collected by the network traffic analyzer 240 may be easily analyzed.
  • the security agent manager 320 monitors the installation of a security agent (for example, a security program or an antivirus program) installed in the user terminal 10, and installs the security agent in the user terminal 10 on which the security agent is not installed.
  • the security agent may be transmitted to the user terminal 10 to install.
  • the security agent manager 320 proceeds to update the latest version to the security agent installed in the user terminal 10.
  • the central document manager 330 uses a file system driver to store a document worked on the user terminal 10 in the system server 30.
  • the file system driver may be a document preparation standard file system of the user terminal 10.
  • the user terminal control unit 340 determines that the external attack, and the network of the user terminal 10 as a communication and a main medium (system server, etc.). You can block access.
  • the user terminal controller 340 approaches the user terminal 10 and forcibly terminates execution of a process or a program classified as a threat, such as malware, spyware, a virus, a spy bot, or executes the processor. Can be prevented.
  • the user terminal controller 340 generates and transmits a one-time password to allow access to the system server 30 to the user terminal 10 where the risk factor is not found, and transmits the password to the system server 30 when the password is input. Grant access
  • the system restorer 350 stores a backup image of the corresponding user terminal.
  • the system restorer 350 restores the user terminal 10 to a virus, malware, spyware, spy bot, etc. state before infection.
  • the system restoration unit 350 may perform the digital forensics, and notify the control policy management unit 130 of the forensic results.
  • FIG. 6 is a flowchart illustrating a network security method according to an embodiment of the present invention.
  • a control policy is defined in a preventive control module of a security server (S150), an authentication of a user terminal (S220), and a task of a user terminal.
  • defining the control policy (S150) is a step performed in the preventive control module 100. Prior to the step of defining the control policy (S150), the information asset business impact evaluation step (S110), identifying a critical asset (S120), risk analysis step (S130) and vulnerability analysis step (S140) is preceded.
  • the information asset business impact evaluation step (S110) and the step of identifying the important asset (S120) evaluate the importance of the important information or document information stored in the system server 30 according to the set criteria, and identify the important asset according to the importance .
  • the importance of the main information or document information evaluates the confidentiality, integrity, and availability of the main information or document information in the information asset evaluation unit 110. At this time, the high-level main information or document information is classified as an important asset.
  • the risk analysis step (S130) and vulnerability analysis step (S140) analyzes the vulnerability of the internal network or the vulnerability of the main information or document information in the preventive control module (100).
  • a vulnerability analysis tool or program is used to analyze potential risks of key information or document information. If a risk factor of main information or document information is found in the risk analysis step (S130), a safety check is performed, and the manager terminal 20 is notified of this.
  • Defining a control policy defines a URL of an accessible server and a URL of an access prohibited server in order to control access of main information or document information. Through this, when accessing the URL of the server forbidden access from the user terminal or the administrator terminal, it can be blocked, and the work performed in the user terminal 10 or the administrator terminal 20 can be terminated.
  • defining the control policy may include forcing the security notification to the user terminal 10.
  • the preventive control module 100 induces the security notification to be transmitted to the user terminal 10 through the manager terminal 20, and the user terminal 10 receiving the security notification blocks the connected webpage, It can be connected to the announcement web page.
  • two-factor (2factor) authentication is performed in advance.
  • the two-factor authentication performs the first authentication through the user ID and password as described above, and performs the second authentication using additional authentication means (for example, OTP, public certificate, ARS, QR code, etc.). do.
  • the user terminal 10 may not access the system server 30 or may terminate the user terminal 10 (S225).
  • the user terminal 10 may store main information or document information generated after the work in the system server (S230 and S235). In addition, the user terminal 10 may receive a major security bulletin notification received from the manager terminal 20 (S240). The manager terminal 20 or the system server 30 may store a confirmation log corresponding thereto. The user terminal 10 receives a security agent from the user terminal controller 340 and performs a security check inside the user terminal 10 (S250). At this time, the security agent is periodically updated. Thereafter, the result log of the security check may be stored in the system server 30 or the security server 40 (S255). After the security check, the user terminal 10 may continue to perform the task (S260).
  • the detection control module 200 monitors the abnormal behavior from the user terminal 10 during the performance of the user terminal 10 (S270). In this case, when abnormal behavior is not detected in the user terminal 10, the work is normally performed, and the work ends after the work is performed. Here, after the end of the work, the calibration control module 300 checks whether the security patch transmitted to the user terminal 10 (S350). If there is no need for a security patch as a result of the security patch check, the window of the user terminal 10 may be finally terminated. If a security patch is required, the image of the user terminal 10 is stored. Subsequently, the security patch is installed on the user terminal 10 (S370), and a log file of installation information is stored. Subsequently, after storing the system image of the user terminal 10 (S375), the system image is restored (S360).
  • the main server access is checked (S275).
  • the information on the main server may be URLs or IP addresses of preset servers.
  • the detection control module 200 transmits a user confirmation notification message to the corresponding user terminal when the main server access is confirmed as a result of the main server access check (S280).
  • the user terminal 10 requests the authentication (S300).
  • the two-factor authentication described above may be performed for authentication with the user terminal 10.
  • the user terminal 10 and the security server 40 may perform authentication through a dedicated channel for authentication. When the authentication is completed, to continue the work performance (S260).
  • the detection control module 200 determines whether the main server access is not checked whether the C & C server access (S290). In addition, after checking the access to the C & C server, if not the access to the C & C server, and checks the P2P server access (S295). If it is determined that the P2P server is not accessed, the access to the harmful site is checked (S299). If it is determined that the access to the C & C server or P2P server or harmful site is determined above, it is determined whether the policy is violated (S297). In this case, if the detection control module 200 determines that the policy violation of the user terminal 10 is notified to the manager terminal 20 and stores a log file (S310).
  • the system image of the user terminal 100 is stored for forensics (S330).
  • the final system full image of the user terminal is stored for the digital forensics of the user terminal 10.
  • the security server described above may be combined with a system server and may be an OS or a program operating in the system server.
  • the terminal authentication unit has been described, for example, included in the detection control module, but is not limited thereto, and may be included in a calibration control module or a system server.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a network security system and can provide a network security system comprising: a plurality of user terminals using an intra network; a system server for storing a plurality of pieces of main information or document information generated by at least one of the plurality of user terminals; a manager terminal for managing the plurality of user terminals; and a security server for protecting the user terminals, the manager terminal, and the system server.

Description

네트워크 보안 시스템 및 보안 방법Network security system and security method
본 발명은 네트워크 보안 시스템 보안 방법에 관한 것으로, 외부의 알려지지 않은 해킹 위험에 대응할 수 있는 네트워크 보안 시스템 및 보안 방법에 관한 것이다.The present invention relates to a network security system security method, and more particularly, to a network security system and a security method capable of coping with an external unknown hacking risk.
사이버 공격은 조직적이고 지능적으로 이루어지고 있으며, 특히, 해킹 조직이 경제적인 목적을 가지고 특정 공격 표적을 대상으로 은밀하고, 지속적으로 지능적인 공격을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이 급격히 증가하고 있어 사회적으로 큰 문제가 되고 있다. 특히, APT 공격은 조직의 중요정보를 불법적으로 갈취하기 위해 해커 또는 해킹 조직이 공격 대상 조직에 악성코드를 침투시킨 후, 지속적인 악성코드 업데이트를 통해, 중요정보 접근 권한자의 호스트를 악성코드로 감염시킴으로써, 중요정보를 유출시키는 공격 방법이다.Cyber attacks are organized and intelligent, and in particular, advanced persistent threats (APTs), in which hacking organizations are economically targeted, perform stealthy, continuous, and intelligent attacks against specific attack targets. It is rapidly increasing and is a big social problem. In particular, APT attacks involve hackers or hacking organizations infiltrating malicious code into the target organization to illegally steal the important information of the organization, and then continuously update the malware to infect the host of important information accessors with malware. This is an attack method that leaks important information.
국내등록특허 제10-0635130호("윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및 방법")에서는 윈도우 네트워크 구성요소 중에서 TDI(Transport Driver Interface) 계층과 NDIS(Network Driver Interface Specification) 계층을 통과하는 네트워크 패킷의 정보를 비교 분석하여 정상적인 네트워크 행위로부터 발생된 네트워크 패킷과 커널 백도어와 같은 악성 네트워크 행위로부터 발생된 네트워크 패킷을 서로 구분하여 커널 백도어를 탐지함과 아울러, 이러한 커널 백도어로부터 발생된 네트워크 패킷을 필터링하여 커널 백도어로 인한 침입을 방지할 수 있는 커널 백도어 탐지 시스템 및 방법을 개시하고 있다.In Korean Patent No. 10-0635130 ("Kernel backdoor detection system and method through Windows network monitoring"), a network packet passing through a TDI (Transport Driver Interface) layer and a Network Driver Interface Specification (NDIS) layer among the Windows network components. By comparing and analyzing the information on the network packets generated from normal network behaviors and network packets generated from malicious network behaviors such as kernel backdoors, the kernel backdoors are detected and the network packets generated from these kernel backdoors are filtered. A system and method for detecting a kernel backdoor that can prevent intrusion by a kernel backdoor are disclosed.
그러나 국내등록특허 제10-0635130호는 커널 백도어로 칩입을 방지하는 데 국한된 기술로, 시스템 서버 또는 내부 네트워크에 접속된 단말들을 통해 문서 유출 또는 해킹을 방지할 수 있는 기술이 개시되어 있지 않다.However, Korean Patent No. 10-0635130 is a technique limited to preventing intrusion into the kernel backdoor, and a technique for preventing document leakage or hacking through terminals connected to a system server or an internal network is not disclosed.
본 발명이 해결하고자 하는 과제는 APT(Advanced Persistent Threat)의 1차 공격목표인 클라이언트 시스템의 효과적인 방어를 위한 운영체제패치, 어플리케이션패치, 소프트웨어배포 및 매체 제어를 수행하면서 시스템의 침해 의심이 발생하는 경우 복구기술을 적용하여 알려지지 않은 해킹 위협에 대응할 수 있는 네트워크 보안 시스템 및 보안 방법을 제공하는 데 있다.The problem to be solved by the present invention is to recover in case of suspicion of infringement of the system while performing operating system patch, application patch, software distribution and media control for effective defense of the client system which is the primary attack target of APT (Advanced Persistent Threat) It is to provide a network security system and security method that can apply technology to cope with unknown hacking threats.
또한, 본 발명이 해결하고자 하는 다른 과제는 주요 정보 또는 문서 정보에 접근하는 사용자 및 관리자 클라이언트를 보호하고, 감시하여 주요 정보 또는 문서 정보 유출을 인지하고 위험 요소를 제거할 수 있는 네트워크 보안 시스템 및 보안 방법을 제공하는 데 있다.In addition, another problem to be solved by the present invention is a network security system and security that can protect and monitor the user and administrator client access to the key information or document information to recognize the leakage of key information or document information and eliminate risks To provide a way.
상기 과제를 해결하기 위하여, 본 발명은 내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말 및 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버를 구비하는 네트워크 보안 시스템에 있어서, 상기 보안 서버는 상기 복수의 주요 정보 또는 문서 정보들 중 외부 해킹으로부터 공격대상이 되는 중요 문서를 식별하고, 상기 중요 문서 중 위험 요소를 분석하여, 상기 외부의 접근을 통제하도록 알려진 외부 해킹 서버들로부터 상기 복수의 사용자 단말의 접근을 제한하도록 설정하는 예방 통제 모듈; 상기 중요 문서로 접근하는 네트워크 트래픽을 감시하고, 상기 중요 문서로 접근하는 네트워크 트래픽을 발생시킨 사용자 단말의 로그 파일을 저장하며, 상기 사용자 단말에서 해킹을 포함하는 비정상행위가 모니터링 되면 해당 사용자 단말의 업무를 종료시키는 탐지 통제 모듈; 및 상기 복수의 사용자 단말들이 상기 시스템 서버에 접속 시 백업 시스템 이미지를 생성하여 저장하며, 상기 복수의 사용자 단말들 중 상기 비정상행위가 모니터링될 경우 상기 백업 시스템 이미지를 통해 복원 작업을 수행하는 교정 통제 모듈을 포함하는 네트워크 보안 시스템을 제공할 수 있다.In order to solve the above problems, the present invention provides a plurality of user terminals using an internal network, a system server for storing a plurality of main information or document information generated in at least one of the plurality of user terminals, and manages the plurality of user terminals. In the network security system comprising a security terminal to protect the user terminal, the user terminal, the administrator terminal and the system server, the security server is an important document to be attacked from the external hacking of the plurality of main information or document information A preventive control module for identifying and analyzing risk factors among the important documents to restrict access of the plurality of user terminals from external hacking servers known to control external access; Monitoring the network traffic to access the important document, and stores the log file of the user terminal that generated the network traffic to access the important document, if the abnormal behavior including hacking in the user terminal is monitored the work of the user terminal Detection control module to terminate the; And generating and storing a backup system image when the plurality of user terminals access the system server, and performing a restoration operation through the backup system image when the abnormal behavior is monitored among the plurality of user terminals. It can provide a network security system comprising a.
상기 예방 통제 모듈은 상기 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리를 수행하는 정보 자산 평가부를 포함할 수 있다.The preventive control module evaluates the importance of the main information or the document information by assigning a score to the confidentiality, integrity and availability of the plurality of main information or document information, and performs information management according to the evaluated importance. It may include an evaluation unit.
상기 예방 통제 모듈은 상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 취약성 분석부를 더 포함할 수 있다.The preventive control module analyzes and detects a risk factor for a document having high importance among the main information or document information, and performs a safety check on all main information or document information when the risk factor is detected. The analysis unit may further include.
상기 예방 통제 모듈은 상기 관리자 단말을 통해 상기 사용자 단말로 보안 공지를 전송하도록 하며, 상기 사용자 단말에서 상기 보안 공지의 열람 여부를 피드백 하도록 하는 통제 정책 관리부를 더 포함할 수 있다.The preventive control module may further include a control policy management unit configured to transmit a security notice to the user terminal through the manager terminal, and to feed back whether the security bulletin is read from the user terminal.
상기 예방 통제 모듈은 상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 적어도 1개의 인증 요소를 사용하여 인증하는 단말 인증부; 상기 단말 인증부에서 인증을 거친 사용자 단말이 업무 수행 중 C&C C&C(Command & Control) 서버를 통해 외부 네트워크에 접속하거나, 상기 C&C 서버가 상기 사용자 단말을 통해 상기 시스템 서버에 접속하는 것을 감시하고 관리하는 서버 관리부; 상기 사용자 단말이 P2P서버 또는 유해 사이트에 접근하는 것을 통제하며, 상기 사용자 단말에서 상기 중요 정보에 접근할 때, 허가된 접근인지 또는 허가되지 않은 접근인지 확인하기 위하여 상기 사용자 단말에 접속 시간 및 포트를 정하는 공지 메시지를 전송하고, 상기 공지 메시지 발송 이후, 상기 공지 메시지에 대한 회신이 없을 경우 외부 서버로부터의 침입 또는 해킹으로 판단하여 상기 관리자 단말에 경고 메시지를 전송하는 서버 접근 통제부; 및 상기 사용자 단말에서 발생되는 네트워크 트래픽을 수집하고 경로를 설정하는 네트워크 트래픽 분석부를 더 포함할 수 있다.The preventive control module includes a terminal authentication unit for authenticating using at least one authentication element of the user ID and the OTP, the official certificate, the ARS, and the QR code of the user terminal; The user terminal, which has been authenticated by the terminal authentication unit, monitors and manages access to an external network through a C & C C & C (Command & Control) server, or accesses the C & C server to the system server through the user terminal. Server management unit; The user terminal controls access to a P2P server or a harmful site, and when accessing the important information from the user terminal, access time and port are connected to the user terminal to confirm whether the user is authorized access or unauthorized access. A server access control unit which transmits a predetermined notification message, and transmits a warning message to the manager terminal by determining that an intrusion or hacking is received from an external server when there is no reply to the notification message after sending the notification message; And a network traffic analyzer configured to collect network traffic generated from the user terminal and set a path.
상기 교정 통제 모듈은 상기 사용자 단말에서 발생한 네트워크 트래픽 또는 네트워크 패킷에 고유 아이디를 태깅하는 TCP 태깅 및 인식부; 상기 사용자 단말에 설치되는 보안 에이전트의 설치를 감시하고, 상기 보안 에이전트가 미설치된 사용자 단말에 보안 에이전트를 전송하는 보안 에이전트 관리부; 상기 사용자 단말에서 인증을 수행하지 않고 상기 주요 정보 또는 문서 정보에 접근 시 이를 외부 공격으로 판단하고, 상기 시스템 서버로 접근하는 것을 차단하는 사용자 단말 제어부; 및 상기 사용자 단말이 상기 바이러스, 악성코드, 스파이웨어 중 적어도 하나에 감염된 것으로 판단되며 감염된 사용자 단말의 백업 이미지를 저장하고, 감염 이전 상태로 복원하는 시스템 복원부를 더 포함할 수 있다.The calibration control module includes a TCP tagging and recognition unit for tagging a unique ID to network traffic or a network packet generated in the user terminal; A security agent manager for monitoring the installation of the security agent installed in the user terminal and transmitting the security agent to the user terminal in which the security agent is not installed; A user terminal controller which determines that the main information or document information is an external attack when the user terminal does not perform authentication and blocks access to the system server; And a system restoration unit which determines that the user terminal is infected with at least one of the virus, malicious code, and spyware, stores a backup image of the infected user terminal, and restores the backup image to a state before infection.
또한, 본 발명은 내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말과 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버에서 수행되는 보안 방법에 있어서, (a) 상기 보안 서버에서 외부 네트워크의 접속 또는 미설정된 서버로 접근을 통제하는 통제 정책을 정의하는 단계; (b) 상기 사용자 단말에서 업무 수행을 위하여 상기 시스템 서버로 접근을 허가하는 인증을 수행하는 인증 단계; (c) 상기 보안 서버에서 상기 사용자 단말의 업무 수행 시 상기 사용자 단말에서 주요 서버, C&C 서버, P2P 서버, 유해 사이트의 접근을 모니터링하고, 상기 통제 정책 위반 여부를 확인하는 단계; (d) 상기 보안 서버에서 상기 통제 정책 위반 시 상기 관리자 단말에 통지하는 단계; (e) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 네트워크를 차단하는 단계; (f) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 백업 이미지를 보관 단계; (g) 상기 보안 서버에서 상기 백업 이미지를 통해 사용자 단말을 복구하는 단계; 및 (h) 상기 보안 서버에서 상기 백업 이미지로부터 디지털 포렌식을 수행하는 단계를 포함하는 보안 방법을 제공할 수 있다.In addition, the present invention provides a plurality of user terminals using an internal network, a system server for storing a plurality of main information or document information generated in at least one of the plurality of user terminals, an administrator terminal for managing the plurality of user terminals and the A security method performed in a security server for protecting a user terminal, an administrator terminal, and a system server, the security method comprising: (a) defining a control policy for controlling access to an external network or an unconfigured server from the security server; (b) an authentication step of performing authentication in the user terminal to grant access to the system server for performing a task; (c) monitoring access of a main server, a C & C server, a P2P server, a malicious site, and checking whether the control policy is violated in the security server when the user terminal performs a task; (d) informing the administrator terminal of the control policy violation in the security server; (e) blocking the network of the user terminal in violation of the control policy at the security server; (f) storing a backup image of the user terminal in violation of the control policy in the security server; (g) recovering a user terminal through the backup image at the security server; And (h) performing digital forensics from the backup image at the security server.
상기 단계 (a) 이전에, 상기 시스템 서버에 저장된 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리하는 단계; 및 상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 단계를 더 포함할 수 있다.Prior to the step (a), the importance of the critical information or document information is evaluated by assigning a score to the confidentiality, integrity and availability of the plurality of main information or document information stored in the system server, and according to the evaluated importance. Managing information; And analyzing and detecting a risk factor with respect to a document having high importance among the main information or document information, and performing a safety check on all main information or document information when the risk factor is detected. Can be.
상기 단계 (b)는 상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 적어도 1개의 인증 요소를 사용하여 인증할 수 있다.The step (b) may be authenticated using at least one authentication element of the user ID and the OTP, public certificate, ARS, QR code of the user terminal.
상기 단계 (h) 이후, 상기 디지털 포렌식 결과를 상기 통제 정책에 반영하는 단계를 더 포함할 수 있다.After the step (h), it may further comprise the step of reflecting the digital forensic results in the control policy.
본 발명의 실시 예에 따른 네트워크 보안 시스템 및 보안 방법은 APT(Advanced Persistent Threat)의 1차 공격목표인 클라이언트 시스템의 효과적인 방어를 위한 운영체제패치, 어플리케이션패치, 소프트웨어배포 및 매체 제어를 수행하면서 내부 네트워크의 침입 의심이 발생하는 경우 복구 기술을 적용하여 알려지지 않은 해킹 위협에 대응할 수 있다.The network security system and security method according to an embodiment of the present invention performs an operating system patch, application patch, software distribution, and media control for effective defense of a client system that is a primary attack target of APT (Advanced Persistent Threat). In case of suspicion of intrusion, recovery techniques can be applied to counter unknown hacking threats.
또한, 사용자 단말 인식시 2팩터 인증을 통해 보안을 강화할 수 있고, 서비스 채널과 인증을 위한 채널을 다르게 하여 인증 시에 사용되는 정보를 보호할 수 있다.In addition, when the user terminal is recognized, security may be strengthened through two-factor authentication, and information used for authentication may be protected by changing a service channel and a channel for authentication.
도 1은 본 발명의 실시 예에 따른 네트워크 보안 시스템을 개략적으로 도시한 시스템도.1 is a system diagram schematically showing a network security system according to an embodiment of the present invention.
도 2는 도 1에 도시된 보안 서버의 내부 구성을 도시한 블록도.2 is a block diagram showing the internal configuration of the security server shown in FIG.
도 3은 도 2에 도시된 예방 통제 모듈의 구성을 도시한 블록도.3 is a block diagram showing the configuration of the preventive control module shown in FIG. 2;
도 4는 도 2에 도시된 탐지 통제 모듈을 도시한 블록도.4 is a block diagram illustrating the detection control module shown in FIG.
도 5는 도 2에 도시된 교정 통제 모듈을 도시한 블록도.FIG. 5 is a block diagram illustrating the calibration control module shown in FIG. 2. FIG.
도 6은 본 발명의 실시 예에 따른 네트워크 보안 방법을 도시한 흐름도.6 is a flowchart illustrating a network security method according to an embodiment of the present invention.
본 발명은 내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말 및 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버를 구비하는 네트워크 보안 시스템에 있어서, 상기 보안 서버는 상기 복수의 주요 정보 또는 문서 정보들 중 외부 해킹으로부터 공격대상이 되는 중요 문서를 식별하고, 상기 중요 문서 중 위험 요소를 분석하여, 상기 외부의 접근을 통제하도록 알려진 외부 해킹 서버들로부터 상기 복수의 사용자 단말의 접근을 제한하도록 설정하는 예방 통제 모듈; 상기 중요 문서로 접근하는 네트워크 트래픽을 감시하고, 상기 중요 문서로 접근하는 네트워크 트래픽을 발생시킨 사용자 단말의 로그 파일을 저장하며, 상기 사용자 단말에서 해킹을 포함하는 비정상행위가 모니터링 되면 해당 사용자 단말의 업무를 종료시키는 탐지 통제 모듈; 및 상기 복수의 사용자 단말들이 상기 시스템 서버에 접속 시 백업 시스템 이미지를 생성하여 저장하며, 상기 복수의 사용자 단말들 중 상기 비정상행위가 모니터링될 경우 상기 백업 시스템 이미지를 통해 복원 작업을 수행하는 교정 통제 모듈을 포함하는 네트워크 보안 시스템을 제공할 수 있다.The present invention provides a plurality of user terminals using an internal network, a system server for storing a plurality of main information or document information generated in at least one of the plurality of user terminals, an administrator terminal for managing the plurality of user terminals, and the user terminal. And a security server for protecting an administrator terminal and a system server, wherein the security server identifies an important document to be attacked from an external hack among the plurality of main information or document information, and identifies the important document. A preventive control module configured to limit the access of the plurality of user terminals from external hacking servers known to control the external access by analyzing a risk factor among the; Monitoring the network traffic to access the important document, and stores the log file of the user terminal that generated the network traffic to access the important document, if the abnormal behavior including hacking in the user terminal is monitored the work of the user terminal Detection control module to terminate the; And generating and storing a backup system image when the plurality of user terminals access the system server, and performing a restoration operation through the backup system image when the abnormal behavior is monitored among the plurality of user terminals. It can provide a network security system comprising a.
이하, 도면을 참조한 본 발명의 설명은 특정한 실시 형태에 대해 한정되지 않으며, 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있다. 또한, 이하에서 설명하는 내용은 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Hereinafter, the description of the present invention with reference to the drawings is not limited to the specific embodiments, various changes may be made and various embodiments may be provided. In addition, the contents described below should be understood to include all transformations, equivalents, and substitutes included in the spirit and technical scope of the present invention.
이하의 설명에서 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용되는 용어로서, 그 자체에 의미가 한정되지 아니하며, 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.In the following description, terms such as “first” and “second” are terms used to describe various components, and are not limited in themselves, and are used only to distinguish one component from other components.
본 명세서 전체에 걸쳐 사용되는 동일한 참조번호는 동일한 구성요소를 나타낸다.Like reference numerals used throughout the present specification refer to like elements.
본 발명에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 또한, 이하에서 기재되는 "포함하다", "구비하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것으로 해석되어야 하며, 하나 또는 그 이상의 다른 특징들이나, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.As used herein, the singular forms "a", "an" and "the" include plural forms unless the context clearly indicates otherwise. In addition, the terms "comprise", "comprise" or "have" described below are intended to designate that the features, numbers, steps, operations, components, parts, or combinations thereof described in the specification exist. It is to be understood that it does not exclude in advance the possibility of the presence or the addition of one or more other features or numbers, steps, actions, components, parts or combinations thereof.
이하, 본 발명의 실시 예를 첨부한 도 1 내지 도 6을 참조하여 상세히 설명하기로 한다.Hereinafter, an embodiment of the present invention will be described in detail with reference to FIGS. 1 to 6.
도 1은 본 발명의 실시 예에 따른 네트워크 보안 시스템을 개략적으로 도시한 시스템도이다.1 is a system diagram schematically showing a network security system according to an embodiment of the present invention.
도 1을 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 시스템은 사용자 단말(10), 관리자 단말(20), 보안 서버(40) 및 시스템 서버(30)를 포함할 수 있다.Referring to FIG. 1, a network security system according to an embodiment of the present invention may include a user terminal 10, an administrator terminal 20, a security server 40, and a system server 30.
구체적으로, 사용자 단말(10)은 기업, 학교, 기관 등에서 사용되는 컴퓨터, 노트북, 스마트폰 등의 단말을 포함할 수 있다. In detail, the user terminal 10 may include a terminal such as a computer, a laptop, a smartphone, and the like used in an enterprise, a school, an institution, and the like.
관리자 단말(20)은 사용자 단말(10)과 같은 컴퓨터, 노트북, 스마트폰 등의 단말을 포함할 수 있다.The manager terminal 20 may include a terminal such as a computer, a laptop, a smartphone, or the like, such as the user terminal 10.
시스템 서버(30)는 사용자 단말(10)과 내부 통신망을 통해 접속되어 사용자 단말(10)에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장할 수 있다. 시스템 서버(30)는 접속하는 사용자 단말(10)의 사용환경을 제공할 수 있다.The system server 30 may be connected to the user terminal 10 through an internal communication network to store a plurality of pieces of main information or document information generated in the user terminal 10. The system server 30 may provide a usage environment of the user terminal 10 to access the system server 30.
보안 서버(40)는 복수의 주요 정보 또는 문서 정보들의 중요도를 평가하여 중요도별로 접근 권한을 설정한다. 예를 들면, 보안 서버(40)는 복수의 주요 정보 또는 문서 정보들 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 주요 정보 또는 문서 정보의 중요도를 평가하고, 평가된 주요 정보 또는 문서 정보들을 중요도에 따라 접근 권한을 다르게 한다.The security server 40 evaluates the importance of a plurality of pieces of main information or document information and sets access rights according to the importance. For example, the security server 40 assigns scores for confidentiality, integrity, and availability of a plurality of pieces of key information or document information to evaluate the importance of the key information or document information, and the evaluated key information or document information to importance. Accordingly different access rights.
또한, 보안 서버(40)는 위험 요소를 분석하여 위험 요소가 있는 주요 정보 또는 문서 정보의 접근을 통제한다. 보안 서버(40)는 주요 정보 또는 문서 정보의 접근 통제를 위하여 권한에 따른 사용자 단말(10)의 주요 정보 또는 문서 정보 접근을 통제한다.In addition, the security server 40 analyzes the risk factors to control the access of the main information or document information that has risk factors. The security server 40 controls access to main information or document information of the user terminal 10 according to authority for access control of main information or document information.
보안 서버(40)는 외부 외부 해킹으로부터 주요 정보 또는 문서 정보를 보호하기 위하여, 해킹으로 사용되는 외부 서버를 등록하고, 사용자 단말(10)이 해킹의 주요 루트가 되는 외부 서버로 접속하는 것을 사전에 차단하거나, 외부 서버에서 사용자 단말(10)로 접근하는 것을 통제한다. The security server 40 registers an external server used for hacking in order to protect key information or document information from external external hacking, and in advance, the user terminal 10 accesses an external server that is a main route of hacking. Block or control access to the user terminal 10 from an external server.
이를 위하여, 보안 서버(40)는 사용자 단말(10)의 네트워크 트래픽을 감시한다. 또한, 보안 서버(40)는 사용자 단말(10)의 로그 파일을 저장하며, 사용자 단말(10)을 통한 해킹을 포함하는 비정상행위가 모니터링되면 해당 사용자 단말의 업무를 종료시키거나, 사용자 단말(10)를 로그오프 시킨다.To this end, the security server 40 monitors the network traffic of the user terminal 10. In addition, the security server 40 stores a log file of the user terminal 10, and terminates the work of the user terminal when abnormal behavior including hacking through the user terminal 10 is monitored, or the user terminal 10 Log off).
이때, 보안 서버(40)는 사용자 단말(10)의 백업 이미지를 생성하여 저장하고, 백업 이미지를 복원하여 사용자 단말(10)에 제공할 수 있다.In this case, the security server 40 may generate and store a backup image of the user terminal 10, restore the backup image, and provide the backup image to the user terminal 10.
보안 서버(40)는 백업 이미지 복원 이전에 사용자 단말(10)을 통해 접속된 해킹 서버 등의 위험에 대한 위험 요소를 업데이트하여 사용자 단말(10)에 공지할 수 있다.The security server 40 may update the risk factors for risks such as a hacking server connected through the user terminal 10 before the backup image restoration and notify the user terminal 10.
상기의 보안 서버(40)에 대한 설명은 도 2 내지 도 5를 참조하여 다시 상세히 하기로 한다.The description of the security server 40 will be described in detail later with reference to FIGS. 2 to 5.
도 2는 도 1에 도시된 보안 서버의 내부 구성을 도시한 블록도이고, 도 3은 도 2에 도시된 예방 통제 모듈의 구성을 도시한 블록도이며, 도 4는 도 2에 도시된 탐지 통제 모듈을 도시한 블록도이며, 도 5는 도 2에 도시된 교정 통제 모듈을 도시한 블록도이다.FIG. 2 is a block diagram showing an internal configuration of the security server shown in FIG. 1, FIG. 3 is a block diagram showing a configuration of the preventive control module shown in FIG. 2, and FIG. 4 is a detection control shown in FIG. A block diagram illustrating the module, and FIG. 5 is a block diagram illustrating the calibration control module shown in FIG. 2.
도 2 내지 도 5를 참조하면, 보안 서버(40)는 예방 통제 모듈(100), 탐지 통제 모듈(200) 및 교정 통제 모듈(300)를 구비할 수 있다.2 to 5, the security server 40 may include a preventive control module 100, a detection control module 200, and a calibration control module 300.
먼저, 예방 통제 모듈(100)은 정보 자산 평가부(110), 위험 분석부(120) 및 통제 정책 관리부(130)를 포함할 수 있다.First, the preventive control module 100 may include an information asset evaluation unit 110, a risk analysis unit 120, and a control policy management unit 130.
구체적으로, 정보 자산 평가부(110)는 복수의 주요 정보 또는 문서 정보들의 중요도를 평가한다. 정보 자산 평가부(110)는 미리 설정된 기준에 따라 복수의 주요 정보 또는 문서 정보들의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 주요 정보 또는 문서 정보의 중요도를 평가한다. 예를 들면, 정보 자산 평가부(110)는 시스템 서버(30)에 저장된 주요 정보 또는 문서 정보를 기밀성에 대하여 상, 중, 하 또는 A, B, C,... 또는 1, 2, 3, ... 등으로 등급을 설정한다. 예를 들면, 개인 정보, 금융 정보 등의 경우 기밀성을 높게 설정하고, 일반 업무 문서 등의 문서는 기밀성을 상대적으로 낮게 설정한다.Specifically, the information asset evaluation unit 110 evaluates the importance of the plurality of pieces of main information or document information. The information asset evaluation unit 110 evaluates the importance of the main information or the document information by assigning a score to the confidentiality, integrity, and availability of the plurality of pieces of the main information or the document information according to preset criteria. For example, the information asset evaluation unit 110 may store the main information or the document information stored in the system server 30 in the upper, middle, lower or A, B, C, ... or 1, 2, 3, Set the rating with ... For example, in the case of personal information, financial information, etc., confidentiality is set high, and documents, such as general work documents, are set relatively low.
그리고 정보 자산 평가부(110)는 기밀성 평가가 완료된 문서에 대하여 결함 여부를 평가한다. 문서의 결함여부는 바이러스 또는 악성 코드의 감염여부, 문서의 작성 종결 여부, 암호화 여부 등을 통해 기밀성 평가와 같이 등급을 설정한다. 또한, 정보 자산 평가부(110)는 주요 정보 또는 문서 정보의 가용성에 대하여 기밀성 평가와 같이 등급을 설정한다. In addition, the information asset evaluation unit 110 evaluates whether or not there is a defect with respect to the document of which confidentiality evaluation is completed. Whether or not the document is defective is set as a confidentiality evaluation through the virus or malicious code infection, whether the document is finished, whether it is encrypted or not. In addition, the information asset evaluation unit 110 sets a rating, such as a confidentiality evaluation, regarding the availability of the main information or the document information.
정보 자산 평가부(110)는 기밀성, 무결성 및 가용성을 종합하여 등급을 설정한다. 정보 자산 평가부(110)는 종합 등급이 높은 주요 정보 또는 문서 정보와 종합 등급이 낮은 주요 정보 또는 문서 정보 등을 구분한다.The information asset evaluation unit 110 sets a rating by combining confidentiality, integrity, and availability. The information asset evaluation unit 110 distinguishes key information or document information having a high comprehensive grade from key information or document information having a low comprehensive grade.
정보 자산 평가부(110)는 주요 정보 또는 문서 정보의 등급이 결정되면 등급에 따라 사용자 단말(10) 또는 관리자 단말(20)에서 접근시 접근 권한을 다르게 할 수 있다. 예를 들면, 주요 정보 또는 문서 정보의 등급이 높을 경우 사용자 단말(10)에서 접근이 불가능하도록 하며, 관리자 단말(20)에서만 접근이 가능하도록 할 수 있다. 또한, 주요 정보 또는 문서 정보의 등급이 낮아질 경우 사용자 단말(10)에서도 접근이 가능하도록 할 수 있다.The information asset evaluation unit 110 may change the access authority when the user terminal 10 or the manager terminal 20 accesses according to the grade when the grade of the main information or the document information is determined. For example, when the level of the main information or the document information is high, the user terminal 10 may not be accessible, and only the manager terminal 20 may be accessible. In addition, when the grade of the main information or document information is lowered, the user terminal 10 may be accessible.
위험 분석부(120)는 네트워크의 취약점 또는 주요 정보 또는 문서 정보의 취약점을 분석한다. 위험 분석부(120)는 취약성 분석 도구를 이용하여 주요 정보 또는 문서 정보의 잠재적 위험 요소를 분석하고, 신규 취약성에 발견되면 신규 취약성에 대한 안전성 검사를 수행하도록 관리자 단말(20)에 신규 취약성 발견에 대한 정보를 제공한다.The risk analysis unit 120 analyzes a vulnerability of a network or a vulnerability of main information or document information. The risk analysis unit 120 analyzes a potential risk factor of key information or document information using a vulnerability analysis tool, and if a new vulnerability is found, the risk analysis unit 120 performs a security check on a new vulnerability to detect a new vulnerability. Provide information.
또한, 위험 분석부(120)는 잠재적 위험 요소의 취약성 검사 및 취약성 발견 정보와 관련된 이력을 저장하며, 이러한 이력을 관리자 단말(20)에 제공할 수 있다. In addition, the risk analysis unit 120 stores a history related to vulnerability inspection and vulnerability discovery information of potential risk factors, and may provide such a history to the manager terminal 20.
위험 분석부(120)는 관리자 단말(20)로 제공되는 취약성 정보 또는 이력을 시각적으로 인지하도록 그래프, 도형, 수치 등으로 제공할 수 있다.The risk analysis unit 120 may provide a graph, a figure, a numerical value, or the like to visually recognize the vulnerability information or the history provided to the manager terminal 20.
통제 정책 관리부(130)는 주요 정보 또는 문서 정보에 접근을 통제하기 위하여, 사용자 단말(10) 또는 관리자 단말(20)이 인가되지 않은 웹서버로 접근하는 것을 통제한다. 이를 위하여, 통제 정책 관리부(130)는 접속 가능한 웹서버 또는 접속 차단한 웹서버의 URL 정보를 미리 설정한다. 통제 정책 관리부(130)는 사용자 단말(10) 또는 관리자 단말(20)에서 접속 차단한 웹서버의 URL 접속시 접속을 차단하도록 통지할 수 있다.The control policy manager 130 controls the user terminal 10 or the administrator terminal 20 to access an unauthorized web server in order to control access to main information or document information. To this end, the control policy management unit 130 presets URL information of an accessible web server or a blocked web server. The control policy manager 130 may notify the user terminal 10 or the administrator terminal 20 to block access when the URL of the web server is blocked.
또한, 통제 정책 관리부(130)는 사용자 단말(10)로 보안공지를 강제하도록 할 수 있다. 예를 들면, 통제 정책 관리부(130)는 관리자 단말(20)에서 사용자 단말(10)로 보안공지를 웹페이지 형태로 전송하면, 사용자 단말(10)의 접속된 웹페이지를 차단하고, 보안공지 웹페이지로 접속을 유도할 수 있다.In addition, the control policy management unit 130 may force the security notification to the user terminal (10). For example, when the control policy management unit 130 transmits the security notification in the form of a web page from the manager terminal 20 to the user terminal 10, the control policy manager 130 blocks the connected web page of the user terminal 10, and the security notification web. Can direct access to a page.
통제 정책 관리부(130)는 관리자 단말(20)에서 발송된 보안공지를 사용자 단말(10)의 확인 여부를 파악하기 위하여 사용자 단말(10)로 전송된 보안공지를 관리자 단말(20) 또는 통제 정책 관리부(130)에 피드백하도록 할 수 있다.The control policy manager 130 controls the security notice sent to the user terminal 10 to determine whether the security notice sent from the manager terminal 20 is confirmed by the user terminal 10. Feedback to 130 may be made.
예방 통제 모듈(100)은 단말 인증부(210), 서버 관리부(220), 서버 접근 통제부(230) 및 네트워크 트래픽 분석부(240)를 포함할 수 있다.The preventive control module 100 may include a terminal authenticator 210, a server manager 220, a server access controller 230, and a network traffic analyzer 240.
구체적으로, 단말 인증부(210)는 사용자 단말(10) 또는 관리자 단말(20)의 업무를 위한 시스템 서버(30) 접속 인증을 수행할 수 있다. 이때, 단말 인증부(210)는 2개 이상의 인증 요소를 사용하여 인증할 수 있는 2팩터(2 factor) 인증 방식을 사용할 수 있다. 예를 들면, 단말 인증부(210)는 사용자 단말(10) 또는 관리자 단말(20)에서 아이디(ID)와 패스워드(Password) 입력시 1차 인증을 수행하고, 1차 인증이 완료되면 이후 OTP, 공인인증서, ARS, QR코드 등의 방식을 이용하여 2차 인증을 수행한다. 이를 통해 단말의 접속 보안을 강화할 수 있다. In detail, the terminal authenticator 210 may perform access authentication of the system server 30 for the task of the user terminal 10 or the manager terminal 20. In this case, the terminal authentication unit 210 may use a two factor authentication method that can authenticate using two or more authentication elements. For example, the terminal authentication unit 210 performs the first authentication when the ID (ID) and the password (Password) input in the user terminal 10 or the administrator terminal 20, and after the first authentication is completed, OTP, Secondary authentication is performed using a method such as an accredited certificate, ARS or QR code. Through this, the access security of the terminal can be strengthened.
이때, 단말 인증부(210)는 별도의 채널을 통해 인증을 수행하며, 인증용 채널은 다른 서비스를 이용하지 않는 것이 바람직하다. 이를 통해, 사용자 단말(10) 또는 관리자 단말(20)은 인증 중에 공격자의 계정 탈취에 대한 위험을 원천적으로 차단할 수 있다.In this case, the terminal authenticator 210 performs authentication through a separate channel, and the authentication channel does not use another service. In this way, the user terminal 10 or the manager terminal 20 can fundamentally block the risk of the attacker's account takeover during authentication.
단말 인증부(210)에서 인증이 완료되면, 시스템 서버(30)에 이를 통지하여 사용자 단말(10) 또는 관리자 단말(20)에서 시스템 서버(30)로 접근하도록 할 수 있다.When the authentication is completed in the terminal authenticator 210, the system server 30 may be notified to access the system server 30 from the user terminal 10 or the manager terminal 20.
서버 관리부(220)는 지능형 타깃 지속 공격(APT; Advanced Persistent Threat)의 호스트 역할을 역할을 하는 C&C(Command & Control) 서버의 IP 목록을 관리하고, 이에 대한 관련 정보를 수집 및 분석한다. 서버 관리부(220)는 RSS 서비스로 제공되는 신규 C&C 서버의 목록을 주기적으로 업데이트하여 사용자 단말(10) 또는 관리자 단말(20)에서 C&C 서버를 통해 접속하거나, C&C 서버를 통해 사용자 단말(10) 또는 관리자 단말(20)이 시스템 서버(30)로 접속하는 것을 관리할 수 있다.The server manager 220 manages an IP list of a Command & Control (C & C) server that serves as a host of an advanced persistent threat (APT), and collects and analyzes related information. The server manager 220 periodically updates the list of new C & C servers provided as RSS services to access the user terminal 10 or the manager terminal 20 through the C & C server, or the user terminal 10 or the C & C server. The manager terminal 20 can manage access to the system server 30.
서버 접근 통제부(230)는 사용자 단말(10) 또는 관리자 단말(20)이 P2P서버 또는 유해 사이트에 접근하는 것을 통제할 수 있다. 서버 접근 통제부(230)는 미리 설정된 P2P서버 또는 유해 사이트의 URL정보를 이용하여 유해 사이트의 접근을 통제할 수 있다. 이때, 서버 접근 통제부(230)는 C&C 서버 접속 이외의 P2P서버 또는 유해 사이트들의 접근을 통제한다.The server access control unit 230 may control the user terminal 10 or the administrator terminal 20 to access the P2P server or harmful site. The server access control unit 230 may control the access of the harmful site by using a preset P2P server or URL information of the harmful site. At this time, the server access control unit 230 controls the access of P2P server or harmful sites other than C & C server access.
서버 접근 통제부(230)는 단말들에서 주요 정보 또는 문서 정보에 접근할 때, 허가된 접근인지 또는 허가되지 않은 접근인지 확인하기 위하여 상기 단말들에 접속 시간 및 포트를 정하는 공지 메시지를 전송한다. When the server access control unit 230 accesses the main information or document information in the terminals, the server access control unit 230 transmits a notification message to determine the access time and port to the terminals in order to check whether the authorized access or unauthorized access.
이때, 서버 접근 통제부(230)는 공지 발송 이후, 공지에 대한 회신이 없을 경우 외부 서버의 침입으로 판단하여 관리자 단말(20)에 설정된 전화번호, 메신저, 이메일 등을 이용하여 경고 메시지를 전송한다.At this time, the server access control unit 230 transmits a warning message using a phone number, a messenger, an e-mail, etc. set in the administrator terminal 20 by determining that an intrusion of an external server is not received after a notification is sent. .
또한, 서버 접근 통제부(230)는 사용자 단말(10)에서 주요 정보 또는 문서 정보에 접근시 이를 탐지하여 관리자 단말(20)에 통보한다.In addition, the server access control unit 230 detects this when the user terminal 10 accesses the main information or document information and notifies the manager terminal 20.
네트워크 트래픽 분석부(240)는 사용자 단말(10)에서 발생되는 모든 네트워크 트래픽을 수집하고 경로를 저장한다. 이때, 네트워크 트래픽 분석부(240)는 사용자 단말(10)에서 허가되지 않은 주요 정보 또는 문서 정보의 접속이 모니터링될 경우 해당 사용자 단말(10)의 정확한 분석을 위하여 포트, 서비스 활성 상태, 주요 윈도우 로그 등을 수집할 수 있다.The network traffic analyzer 240 collects all network traffic generated by the user terminal 10 and stores a path. In this case, the network traffic analyzer 240 monitors the port, service active state, and main window log for accurate analysis of the corresponding user terminal 10 when the access of the main information or document information which is not authorized in the user terminal 10 is monitored. Etc. can be collected.
한편, 네트워크 트래픽 분석부(240)는 URL과 IP의 사전 매칭을 이용하여 미리 등록된 사이트 또는 서버에 대해서 패킷 감시를 수행하지 않을 수 있다.Meanwhile, the network traffic analyzer 240 may not perform packet monitoring on a site or server that is registered in advance using a pre-matching URL and IP.
한편, 네트워크 트래픽 분석부(240)는 IP 기반 C&C 서버의 탐지를 위하여 암호화 통신을 통해 전달되는 비밀 패킷을 모니터링할 수 있다. Meanwhile, the network traffic analyzer 240 may monitor the secret packet transmitted through the encrypted communication in order to detect the IP-based C & C server.
교정 통제 모듈(300)은 TCP 패킷 태깅 및 인식부(310), 보안 에이전트 관리부(320), 중앙 문서 관리부(330), 사용자 단말 제어부(340) 및 시스템 복원부(350)를 포함할 수 있다.The calibration control module 300 may include a TCP packet tagging and recognition unit 310, a security agent manager 320, a central document manager 330, a user terminal controller 340, and a system restorer 350.
구체적으로, TCP 패킷 태깅 및 인식부(310)는 내부 네트워크의 공유기를 사용하는 사용자 단말(10)에서 발생한 네트워크 패킷을 구별하기 위하여 사용자 단말(10)에서 발생한 모든 TCP 패킷에 고유 ID를 태깅할 수 있다. 이를 통해, TCP 패킷 태깅 및 인식부(310)는 TCP 패킷을 구분할 수 있어 네트워크 트래픽 분석부(240)에서 수집된 네트워크 트래픽을 용이하게 분석하도록 할 수 있다.Specifically, the TCP packet tagging and recognition unit 310 may tag a unique ID to all TCP packets generated in the user terminal 10 in order to distinguish the network packet generated in the user terminal 10 using the router of the internal network. have. Through this, the TCP packet tagging and recognizing unit 310 may distinguish the TCP packet so that the network traffic collected by the network traffic analyzer 240 may be easily analyzed.
보안 에이전트 관리부(320)는 사용자 단말(10)에 설치되는 보안 에이전트(예를 들면, 보안 프로그램 또는 안티 바이러스 프로그램 등)의 설치를 감시하고, 보안 에이전트가 설치되지 않은 사용자 단말(10)에 보안 에이전트를 설치하도록 보안 에이전트를 사용자 단말(10)에 전송할 수 있다.The security agent manager 320 monitors the installation of a security agent (for example, a security program or an antivirus program) installed in the user terminal 10, and installs the security agent in the user terminal 10 on which the security agent is not installed. The security agent may be transmitted to the user terminal 10 to install.
또한, 보안 에이전트 관리부(320)는 사용자 단말(10)에 설치된 보안 에이전트에 최신 버전의 업데이트를 진행한다.In addition, the security agent manager 320 proceeds to update the latest version to the security agent installed in the user terminal 10.
중앙 문서 관리부(330)는 사용자 단말(10)에서 작업된 문서를 시스템 서버(30)에 저장할 수 있도록 파일 시스템 드라이버를 사용한다. 여기서, 파일 시스템 드라이버는 사용자 단말(10)의 문서 작성 표준 파일 시스템일 수 있다.The central document manager 330 uses a file system driver to store a document worked on the user terminal 10 in the system server 30. Here, the file system driver may be a document preparation standard file system of the user terminal 10.
사용자 단말 제어부(340)는 허가되지 않은 사용자 단말(10)에서 주요 정보 또는 문서 정보에 접근할 경우 이를 외부 공격으로 판단하고, 사용자 단말(10)의 네트워크를 통신 및 주요 매체(시스템 서버 등)으로 접근을 차단할 수 있다. 사용자 단말 제어부(340)는 사용자 단말(10)에 접근하여 내부에 악성코드, 스파이웨어, 바이러스, 스파이 봇 등의 위험요소로 분류된 프로세스 또는 프로그램의 실행을 강제로 종료시키거나, 해당 프로세서의 실행을 방지할 수 있다. 그리고, 사용자 단말 제어부(340)는 상기 위험 요소가 발견되지 않은 사용자 단말(10)에 시스템 서버(30)로 접근이 가능하도록 1회용 암호를 생성하여 전송하고, 암호 입력시 시스템 서버(30)로 접근을 허락한다.When the user terminal 10 accesses the main information or the document information from the unauthorized user terminal 10, the user terminal control unit 340 determines that the external attack, and the network of the user terminal 10 as a communication and a main medium (system server, etc.). You can block access. The user terminal controller 340 approaches the user terminal 10 and forcibly terminates execution of a process or a program classified as a threat, such as malware, spyware, a virus, a spy bot, or executes the processor. Can be prevented. In addition, the user terminal controller 340 generates and transmits a one-time password to allow access to the system server 30 to the user terminal 10 where the risk factor is not found, and transmits the password to the system server 30 when the password is input. Grant access
시스템 복원부(350)는 사용자 단말(10)이 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염된 것으로 판단되면, 해당 사용자 단말의 백업 이미지를 저장한다.If it is determined that the user terminal 10 is infected with a virus, malware, spyware, spy bot, etc., the system restorer 350 stores a backup image of the corresponding user terminal.
시스템 복원부(350)는 사용자 단말(10)을 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염 이전 상태로 복원한다. 이때, 시스템 복원부(350)는 디지털 포렌식을 수행하고, 포렌식 결과를 통제 정책 관리부(130)에 통보할 수 있다.The system restorer 350 restores the user terminal 10 to a virus, malware, spyware, spy bot, etc. state before infection. In this case, the system restoration unit 350 may perform the digital forensics, and notify the control policy management unit 130 of the forensic results.
도 6은 본 발명의 실시 예에 따른 네트워크 보안 방법을 도시한 흐름도이다.6 is a flowchart illustrating a network security method according to an embodiment of the present invention.
도 6을 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 방법은 보안 서버의 예방 통제 모듈에서 통제 정책을 정의하는 단계(S150), 사용자 단말의 인증을 수행하는 단계(S220), 사용자 단말의 업무 수행 시 사용자 단말에서 주요 서버, C&C 서버, P2P 서버, 유해 사이트의 접근을 모니터링하고, 통제 정책 위반 여부를 확인하는 단계(S297), 통제 정책 위반 시 교정 통제 모듈에서 관리자 단말에 통지하는 단계(S310), 사용자 단말의 네트워크를 차단하는 단계(S320), 포렌식을 위한 이미지 보관 단계(S330), 이미지 복구 단계(S340), 포렌식 단계(S335) 및 포렌식 결과에 대한 통제 정책 반영 단계(S357)를 포함할 수 있다.Referring to FIG. 6, in the network security method according to an embodiment of the present invention, a control policy is defined in a preventive control module of a security server (S150), an authentication of a user terminal (S220), and a task of a user terminal. Monitoring the access of the main server, C & C server, P2P server, harmful site at the user terminal when performing, and checking whether the control policy violation (S297), and notifying the administrator terminal in the calibration control module when the control policy violation (S310) ), Blocking the network of the user terminal (S320), image storage step for forensics (S330), image recovery step (S340), forensic step (S335) and the control policy reflection step (S357) for forensic results can do.
구체적으로, 통제 정책을 정의하는 단계(S150)는 예방 통제 모듈(100)에서 수행되는 단계이다. 통제 정책을 정의하는 단계(S150) 이전에 정보 자산 업무 영향 평가 단계(S110), 중요 자산을 식별하는 단계(S120), 위험 분석 단계(S130) 및 취약점 분석 단계(S140)가 선행된다. Specifically, defining the control policy (S150) is a step performed in the preventive control module 100. Prior to the step of defining the control policy (S150), the information asset business impact evaluation step (S110), identifying a critical asset (S120), risk analysis step (S130) and vulnerability analysis step (S140) is preceded.
정보 자산 업무 영향 평가 단계(S110) 및 중요 자산을 식별하는 단계(S120)는 시스템 서버(30)에 저장된 주요 정보 또는 문서 정보들을 설정된 기준에 따라 중요도를 평가하고, 중요도에 따라 중요 자산을 식별한다. 주요 정보 또는 문서 정보들의 중요도는 상술한 바와 같이, 정보 자산 평가부(110)에서 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성을 평가한다. 이때, 높은 등급의 주요 정보 또는 문서 정보들이 중요 자산으로 구분한다.The information asset business impact evaluation step (S110) and the step of identifying the important asset (S120) evaluate the importance of the important information or document information stored in the system server 30 according to the set criteria, and identify the important asset according to the importance . As described above, the importance of the main information or document information evaluates the confidentiality, integrity, and availability of the main information or document information in the information asset evaluation unit 110. At this time, the high-level main information or document information is classified as an important asset.
다음으로, 위험 분석 단계(S130) 및 취약점 분석 단계(S140)는 예방 통제 모듈(100)에서 내부 네트워크의 취약점 또는 주요 정보 또는 문서 정보의 취약점을 분석한다. 이때, 취약성 분석 도구 또는 프로그램을 이용하여 주요 정보 또는 문서 정보의 잠재적 위험 요소를 분석한다. 위험 분석 단계(S130)에서 주요 정보 또는 문서 정보의 위험 요소가 발견되면 안전성 검사를 수행하고, 관리자 단말(20)에 이를 통지한다.Next, the risk analysis step (S130) and vulnerability analysis step (S140) analyzes the vulnerability of the internal network or the vulnerability of the main information or document information in the preventive control module (100). At this point, a vulnerability analysis tool or program is used to analyze potential risks of key information or document information. If a risk factor of main information or document information is found in the risk analysis step (S130), a safety check is performed, and the manager terminal 20 is notified of this.
통제 정책을 정의하는 단계(S150)는 주요 정보 또는 문서 정보의 접근을 통제하기 위하여, 접속 가능한 서버의 URL과 접속 금지한 서버의 URL을 정의한다. 이를 통해, 사용자 단말 또는 관리자 단말에서 접속 금지한 서버의 URL로 접근 시 이를 차단하고, 사용자 단말(10) 또는 관리자 단말(20)에서 수행되는 업무를 종료 시킬 수 있다.Defining a control policy (S150) defines a URL of an accessible server and a URL of an access prohibited server in order to control access of main information or document information. Through this, when accessing the URL of the server forbidden access from the user terminal or the administrator terminal, it can be blocked, and the work performed in the user terminal 10 or the administrator terminal 20 can be terminated.
또한, 통제 정책을 정의하는 단계(S150)는 사용자 단말(10)로 보안 공지를 강제하도록 하는 단계를 포함할 수 있다. 이때, 예방 통제 모듈(100)에서 관리자 단말(20)을 통해 보안 공지를 사용자 단말(10)로 전송하도록 유도하며, 보안 공지를 수신한 사용자 단말(10)은 접속된 웹페이지를 차단하고, 보안 공지 웹페이지로 접속되도록 할 수 있다.In addition, defining the control policy (S150) may include forcing the security notification to the user terminal 10. In this case, the preventive control module 100 induces the security notification to be transmitted to the user terminal 10 through the manager terminal 20, and the user terminal 10 receiving the security notification blocks the connected webpage, It can be connected to the announcement web page.
사용자 단말의 인증을 수행하는 단계(S220)는 사용자 단말(10)이 시스템 서버(30)에 접근 시 2팩터(2factor)인증을 미리 수행한다. 이때, 2팩터 인증은 상술한 바와 같이 사용자 아이디와 패스워드를 통해 1차 인증을 수행하고, 추가 인증 수단(예를 들면, OTP, 공인인증서, ARS, QR코드 등)을 이용하여 2차 인증을 수행한다.In performing the authentication of the user terminal (S220), when the user terminal 10 approaches the system server 30, two-factor (2factor) authentication is performed in advance. At this time, the two-factor authentication performs the first authentication through the user ID and password as described above, and performs the second authentication using additional authentication means (for example, OTP, public certificate, ARS, QR code, etc.). do.
이때, 2팩터 인증이 수행되지 않을 경우, 사용자 단말(10)이 시스템 서버(30)로 접속하지 못하도록 하거나, 사용자 단말(10)을 종료시킬 수 있다(S225).In this case, when the two-factor authentication is not performed, the user terminal 10 may not access the system server 30 or may terminate the user terminal 10 (S225).
인증이 완료된 사용자 단말(10)은 업무 이후 생성된 주요 정보 또는 문서 정보를 시스템 서버에 저장할 수 있다(S230, S235). 또한, 사용자 단말(10)은 관리자 단말(20)로부터 수신되는 주요 보안 사항 공지를 수신할 수 있다(S240). 관리자 단말(20) 또는 시스템 서버(30)는 이에 상응하는 확인 로그를 저장할 수 있다. 사용자 단말(10)은 사용자 단말 제어부(340)로부터 보안 에이전트를 수신하여 사용자 단말(10) 내부의 보안 점검을 수행한다(S250). 이때, 보안 에이전트는 주기적으로 업데이트된다. 이후, 보안 점검에 대한 결과를 시스템 서버(30) 또는 보안 서버(40)에 결과 로그를 저장할 수 있다(S255). 보안 점검 이후 사용자 단말(10)은 업무수행을 계속 진행할 수 있다(S260).After the authentication is completed, the user terminal 10 may store main information or document information generated after the work in the system server (S230 and S235). In addition, the user terminal 10 may receive a major security bulletin notification received from the manager terminal 20 (S240). The manager terminal 20 or the system server 30 may store a confirmation log corresponding thereto. The user terminal 10 receives a security agent from the user terminal controller 340 and performs a security check inside the user terminal 10 (S250). At this time, the security agent is periodically updated. Thereafter, the result log of the security check may be stored in the system server 30 or the security server 40 (S255). After the security check, the user terminal 10 may continue to perform the task (S260).
한편, 탐지 통제 모듈(200)은 사용자 단말(10)의 업무수행 중 사용자 단말(10)로부터 비정상 행위를 감시한다(S270). 이때, 사용자 단말(10)에서 비정상 행위가 감지되지 않을 경우 정상적으로 업무를 수행하고, 업무 수행 이후 종료한다. 여기서, 업무종료 이후, 교정 통제 모듈(300)은 사용자 단말(10)로 전송한 보안 패치의 여부를 확인한다(S350). 보안패치 확인 결과 보안 패치의 필요성이 없을 경우 최종적으로 사용자 단말(10)의 윈도우를 종료시킬 수 있다. 보안 패치가 필요할 경우 사용자 단말(10)의 이미지를 저장한다. 이어서, 사용자 단말(10)에 보안 패치를 설치하고(S370), 설치 정보에 대한 로그 파일을 저장한다. 이어서, 사용자 단말(10)의 시스템 이미지를 저장한 이후(S375), 시스템 이미지를 복구한다(S360).On the other hand, the detection control module 200 monitors the abnormal behavior from the user terminal 10 during the performance of the user terminal 10 (S270). In this case, when abnormal behavior is not detected in the user terminal 10, the work is normally performed, and the work ends after the work is performed. Here, after the end of the work, the calibration control module 300 checks whether the security patch transmitted to the user terminal 10 (S350). If there is no need for a security patch as a result of the security patch check, the window of the user terminal 10 may be finally terminated. If a security patch is required, the image of the user terminal 10 is stored. Subsequently, the security patch is installed on the user terminal 10 (S370), and a log file of installation information is stored. Subsequently, after storing the system image of the user terminal 10 (S375), the system image is restored (S360).
탐지 통제 모듈(200)에서 비정상 행위가 모니터링 되었을 경우, 주요 서버 접속을 확인한다(S275). 이때, 주요 서버에 대한 정보는 미리 설정된 서버들의 URL 또는 IP 주소일 수 있다.When abnormal behavior is monitored in the detection control module 200, the main server access is checked (S275). In this case, the information on the main server may be URLs or IP addresses of preset servers.
탐지 통제 모듈(200)은 주요 서버 접속 확인 결과, 설정된 주요 서버에 접속한 경우 해당 사용자 단말에 사용자 확인 공지 메시지를 발송한다(S280). 또한, 해당 사용자 단말(10)로 인증을 요청한다(S300). 사용자 단말(10)과의 인증을 위하여 상술한 2팩터 인증을 수행할 수 있다. 이때, 사용자 단말(10)과 보안 서버(40)는 인증을 위한 전용 채널을 통해 인증을 수행할 수 있다. 인증이 완료되면, 업무수행을 계속 진행하도록 한다(S260).The detection control module 200 transmits a user confirmation notification message to the corresponding user terminal when the main server access is confirmed as a result of the main server access check (S280). In addition, the user terminal 10 requests the authentication (S300). The two-factor authentication described above may be performed for authentication with the user terminal 10. In this case, the user terminal 10 and the security server 40 may perform authentication through a dedicated channel for authentication. When the authentication is completed, to continue the work performance (S260).
그러나, 인증이 확인되지 않을 경우 관리자 단말(20)에 통보하고, 사용자 단말의 시스템 이미지 복구를 위하여 로그 파일을 저장한다(S310).However, if the authentication is not confirmed, and notifies the manager terminal 20, and stores a log file for the system image recovery of the user terminal (S310).
한편, 탐지 통제 모듈(200)에서 주요 서버 접속 확인 결과, 주요 서버 접속이 아닌 경우 C&C 서버 접근 여부를 확인한다(S290). 또한, C&C 서버 접근 여부를 확인 후 C&C 서버 접근이 아닐 경우, P2P 서버 접근을 확인한다(S295). P2P 서버 접근 확인 결과 P2P 서버 접근이 아닐 경우 유해 사이트 접근을 확인한다(S299). 상기에서 C&C 서버 또는 P2P 서버 또는 유해 사이트 접근으로 확인될 경우 정책 위반 여부를 판단한다(S297). 이때, 탐지 통제 모듈(200)에서 사용자 단말(10)의 정책 위반으로 판단한 경우 관리자 단말(20)에 통보하고, 로그 파일을 저장한다(S310). On the other hand, in the detection control module 200 as a result of the main server access check, if the main server access is not checked whether the C & C server access (S290). In addition, after checking the access to the C & C server, if not the access to the C & C server, and checks the P2P server access (S295). If it is determined that the P2P server is not accessed, the access to the harmful site is checked (S299). If it is determined that the access to the C & C server or P2P server or harmful site is determined above, it is determined whether the policy is violated (S297). In this case, if the detection control module 200 determines that the policy violation of the user terminal 10 is notified to the manager terminal 20 and stores a log file (S310).
이어서, 사용자 단말의 네트워크를 차단한다(S320). Subsequently, the network of the user terminal is blocked (S320).
이후, 포렌식을 위하여 사용자 단말(100)의 시스템 이미지 보관한다(S330). 이때, 사용자 단말(10)의 디지털 포렌식을 위하여 사용자 단말의 최종 시스템 전체 이미지를 저장한다. Thereafter, the system image of the user terminal 100 is stored for forensics (S330). At this time, the final system full image of the user terminal is stored for the digital forensics of the user terminal 10.
다음으로, 저장된 이미지를 이용하여 사용자 단말(10)의 시스템 이미지 복구한다(S340). Next, the system image of the user terminal 10 is restored using the stored image (S340).
이후, 사용자 단말(10)의 디지털 포렌식을 수행하고(S335), 디지털 포렌식 결과에 대한 통제 정책 반영한다(S357).Thereafter, the digital forensics of the user terminal 10 is performed (S335), and the control policy for the digital forensic result is reflected (S357).
상기에서 설명한 보안 서버는 시스템 서버와 결합될 수 있고, 시스템 서버 내에서 동작하는 OS 또는 프로그램일 수 있다.The security server described above may be combined with a system server and may be an OS or a program operating in the system server.
또한, 상기 단말 인증부는 탐지 통제 모듈에 포함된 것을 예를 들어 설명하였으나, 이에 한정 되지 않으며, 교정 통제 모듈 또는 시스템 서버에 포함될 수 있다.In addition, the terminal authentication unit has been described, for example, included in the detection control module, but is not limited thereto, and may be included in a calibration control module or a system server.
이상으로 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 그 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다. Although the embodiments of the present invention have been described above with reference to the accompanying drawings, those skilled in the art may implement the present invention in other specific forms without changing the technical spirit or essential features of the present invention. You will understand that. Accordingly, the embodiments described above are exemplary in all respects and not restrictive.

Claims (10)

  1. 내부 내트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말 및 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버를 구비하는 네트워크 보안 시스템에 있어서,A plurality of user terminals using an internal network, a system server for storing a plurality of main information or document information generated in at least one of the plurality of user terminals, an administrator terminal for managing the plurality of user terminals and the user terminal, manager In the network security system having a security server for protecting the terminal and the system server,
    상기 보안 서버는The security server
    상기 복수의 주요 정보 또는 문서 정보들 중 외부 해킹으로부터 공격대상이 되는 중요 문서를 식별하고, 상기 중요 문서 중 위험 요소를 분석하여, 상기 외부의 접근을 통제하도록 알려진 외부 해킹 서버들로부터 상기 복수의 사용자 단말의 접근을 제한하도록 설정하는 예방 통제 모듈;The plurality of users from the external hacking server known to control the external access by identifying the important document to be attacked from the external hacking of the plurality of main information or document information, and analyzing the risk factor of the important document A preventive control module configured to restrict access of the terminal;
    상기 중요 문서로 접근하는 네트워크 트래픽을 감시하고, 상기 중요 문서로 접근하는 네트워크 트래픽을 발생시킨 사용자 단말의 로그 파일을 저장하며, 상기 사용자 단말에서 해킹을 포함하는 비정상행위가 모니터링 되면 해당 사용자 단말의 업무를 종료시키는 탐지 통제 모듈; 및Monitoring the network traffic to access the important document, and stores the log file of the user terminal that generated the network traffic to access the important document, if the abnormal behavior including hacking in the user terminal is monitored the work of the user terminal Detection control module to terminate the; And
    상기 복수의 사용자 단말들이 상기 시스템 서버에 접속 시 백업 시스템 이미지를 생성하여 저장하며, 상기 복수의 사용자 단말들 중 상기 비정상행위가 모니터링될 경우 상기 백업 시스템 이미지를 통해 복원 작업을 수행하는 교정 통제 모듈을 포함하는 네트워크 보안 시스템.A calibration control module for generating and storing a backup system image when the plurality of user terminals access the system server, and performing restoration work through the backup system image when the abnormal behavior is monitored among the plurality of user terminals; Including network security system.
  2. 제 1 항에 있어서,The method of claim 1,
    상기 예방 통제 모듈은 The preventive control module
    상기 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리를 수행하는 정보 자산 평가부를 포함하는 네트워크 보안 시스템.A network comprising an information asset evaluation unit for assigning a score for confidentiality, integrity and availability of the plurality of pieces of main information or document information to evaluate the importance of the main information or document information, and performing information management according to the evaluated importance. Security system.
  3. 제 2 항에 있어서,The method of claim 2,
    상기 예방 통제 모듈은The preventive control module
    상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 취약성 분석부를 더 포함하는 네트워크 보안 시스템.Further comprising a vulnerability analysis unit for analyzing and detecting a risk factor for a document of high importance among the main information or document information, and performs a safety check on all the main information or document information when the risk factor is detected. Network security system.
  4. 제 3 항에 있어서,The method of claim 3, wherein
    상기 예방 통제 모듈은The preventive control module
    상기 관리자 단말을 통해 상기 사용자 단말로 보안 공지를 전송하도록 하며, 상기 사용자 단말에서 상기 보안 공지의 열람 여부를 피드백 하도록 하는 통제 정책 관리부를 더 포함하는 네트워크 보안 시스템.And a control policy management unit configured to transmit a security notice to the user terminal through the manager terminal, and to feed back whether the security bulletin is read from the user terminal.
  5. 제 1 항에 있어서,The method of claim 1,
    상기 예방 통제 모듈은 The preventive control module
    상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 적어도 1개의 인증 요소를 사용하여 인증하는 단말 인증부;A terminal authentication unit for authenticating using at least one authentication element of a user ID and an OTP, an official certificate, an ARS, and a QR code of the user terminal;
    상기 단말 인증부에서 인증을 거친 사용자 단말이 업무 수행 중 C&C(Command & Control)서버를 통해 외부 네트워크에 접속하거나, 상기 C&C 서버가 상기 사용자 단말을 통해 상기 시스템 서버에 접속하는 것을 감시하고 관리하는 서버 관리부;A server that monitors and manages a user terminal authenticated by the terminal authentication unit accessing an external network through a command & control (C & C) server, or accessing the C & C server to the system server through the user terminal while performing a task. Management;
    상기 사용자 단말이 P2P서버 또는 유해 사이트에 접근하는 것을 통제하며, 상기 사용자 단말에서 상기 중요 정보에 접근할 때, 허가된 접근인지 또는 허가되지 않은 접근인지 확인하기 위하여 상기 사용자 단말에 접속 시간 및 포트를 정하는 공지 메시지를 전송하고, 상기 공지 메시지 발송 이후, 상기 공지 메시지에 대한 회신이 없을 경우 외부 서버로부터의 침입 또는 해킹으로 판단하여 상기 관리자 단말에 경고 메시지를 전송하는 서버 접근 통제부; 및The user terminal controls access to a P2P server or a harmful site, and when accessing the important information from the user terminal, access time and port are connected to the user terminal to confirm whether the user is authorized access or unauthorized access. A server access control unit which transmits a predetermined notification message, and transmits a warning message to the manager terminal by determining that an intrusion or hacking is received from an external server when there is no reply to the notification message after sending the notification message; And
    상기 사용자 단말에서 발생되는 네트워크 트래픽을 수집하고 경로를 설정하는 네트워크 트래픽 분석부를 더 포함하는 네트워크 보안 시스템.The network security system further comprises a network traffic analysis unit for collecting the network traffic generated from the user terminal and set the path.
  6. 제 1 항에 있어서,The method of claim 1,
    상기 교정 통제 모듈은 The calibration control module
    상기 사용자 단말에서 발생한 네트워크 트래픽 또는 네트워크 패킷에 고유 아이디를 태깅하는 TCP 태깅 및 인식부;A TCP tagging and recognizing unit for tagging a unique ID to network traffic or a network packet generated at the user terminal;
    상기 사용자 단말에 설치되는 보안 에이전트의 설치를 감시하고, 상기 보안 에이전트가 미설치된 사용자 단말에 보안 에이전트를 전송하는 보안 에이전트 관리부;A security agent manager for monitoring the installation of the security agent installed in the user terminal and transmitting the security agent to the user terminal in which the security agent is not installed;
    상기 사용자 단말에서 인증을 수행하지 않고 상기 주요 정보 또는 문서 정보에 접근 시 이를 외부 공격으로 판단하고, 상기 시스템 서버로 접근하는 것을 차단하는 사용자 단말 제어부; 및A user terminal controller which determines that the main information or document information is an external attack when the user terminal does not perform authentication and blocks access to the system server; And
    상기 사용자 단말이 상기 바이러스, 악성코드, 스파이웨어 중 적어도 하나에 감염된 것으로 판단되며 감염된 사용자 단말의 백업 이미지를 저장하고, 감염 이전 상태로 복원하는 시스템 복원부를 더 포함하는 네트워크 보안 시스템.It is determined that the user terminal is infected with at least one of the virus, malicious code, spyware, and further includes a system restorer for storing a backup image of the infected user terminal, and restores to a previous state of infection.
  7. 내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말과 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버에서 수행되는 정보 보호 방법에 있어서,A plurality of user terminals using an internal network, a system server for storing a plurality of main information or document information generated in at least one of the plurality of user terminals, an administrator terminal for managing the plurality of user terminals and the user terminal, manager terminal And a method for protecting information performed on a security server protecting a system server,
    (a) 상기 보안 서버에서 외부 네트워크의 접속 또는 미설정된 서버로 접근을 통제하는 통제 정책을 정의하는 단계;(a) defining a control policy for controlling access from the security server to access to an external network or to an unconfigured server;
    (b) 상기 사용자 단말에서 업무 수행을 위하여 상기 시스템 서버로 접근을 허가하는 인증을 수행하는 인증 단계;(b) an authentication step of performing authentication in the user terminal to grant access to the system server for performing a task;
    (c) 상기 보안 서버에서 상기 사용자 단말의 업무 수행 시 상기 사용자 단말에서 주요 서버, C&C 서버, P2P 서버, 유해 사이트의 접근을 모니터링하고, 상기 통제 정책 위반 여부를 확인하는 단계;(c) monitoring access of a main server, a C & C server, a P2P server, a malicious site, and checking whether the control policy is violated in the security server when the user terminal performs a task;
    (d) 상기 보안 서버에서 상기 통제 정책 위반 시 상기 관리자 단말에 통지하는 단계;(d) informing the administrator terminal of the control policy violation in the security server;
    (e) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 네트워크를 차단하는 단계;(e) blocking the network of the user terminal in violation of the control policy at the security server;
    (f) 상기 보안 서버에서 상기 통제 정책을 위반한 사용자 단말의 백업 이미지를 보관 단계;(f) storing a backup image of the user terminal in violation of the control policy in the security server;
    (g) 상기 보안 서버에서 상기 백업 이미지를 통해 사용자 단말을 복구하는 단계; 및(g) recovering a user terminal through the backup image at the security server; And
    (h) 상기 보안 서버에서 상기 백업 이미지로부터 디지털 포렌식을 수행하는 단계를 포함하는 네트워크 보안 방법.(h) performing digital forensics from the backup image at the security server.
  8. 제 7 항에 있어서,The method of claim 7, wherein
    상기 단계 (a) 이전에,Before step (a) above,
    상기 시스템 서버에 저장된 복수의 주요 정보 또는 문서 정보의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 상기 주요 정보 또는 문서 정보의 중요도를 평가하며, 상기 평가된 중요도에 따라 정보 관리하는 단계; 및Evaluating the importance of the main information or document information by assigning scores for confidentiality, integrity, and availability of a plurality of main information or document information stored in the system server, and managing information according to the evaluated importance level; And
    상기 주요 정보 또는 문서 정보들 중 중요도가 높게 평가된 문서에 대하여 위험 요소를 분석 및 검출하고, 상기 위험 요소가 검출되면 모든 주요 정보 또는 문서 정보들에 대한 안전성 검사를 수행하는 단계를 더 포함하는 네트워크 보안 방법.A network further comprising analyzing and detecting a risk factor with respect to a document having high importance among the main information or document information, and performing a safety check on all the main information or document information when the risk factor is detected. Security method.
  9. 제 7 항에 있어서,The method of claim 7, wherein
    상기 단계 (b)는 Step (b) is
    상기 사용자 단말의 사용자 ID 및 OTP, 공인인증서, ARS, QR코드 적어도 1개의 인증 요소를 사용하여 인증하는 것을 특징으로 하는 네트워크 보안 방법.And a user ID and an OTP, an official certificate, an ARS, and a QR code of at least one authentication element of the user terminal.
  10. 제 7 항에 있어서,The method of claim 7, wherein
    상기 단계 (h) 이후,After step (h),
    상기 디지털 포렌식 결과를 상기 통제 정책에 반영하는 단계를 더 포함하는 네트워크 보안 방법.And reflecting the digital forensic result in the control policy.
PCT/KR2015/011066 2015-08-25 2015-10-20 Network security system and security method WO2017034072A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020150119696A KR101744631B1 (en) 2015-08-25 2015-08-25 Network security system and a method thereof
KR10-2015-0119696 2015-08-25

Publications (1)

Publication Number Publication Date
WO2017034072A1 true WO2017034072A1 (en) 2017-03-02

Family

ID=58100642

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2015/011066 WO2017034072A1 (en) 2015-08-25 2015-10-20 Network security system and security method

Country Status (2)

Country Link
KR (1) KR101744631B1 (en)
WO (1) WO2017034072A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112217770A (en) * 2019-07-11 2021-01-12 奇安信科技集团股份有限公司 Security detection method and device, computer equipment and storage medium
CN115021999A (en) * 2022-05-27 2022-09-06 武汉云月玲智科技有限公司 Network information security monitoring system and method based on big data management

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101989581B1 (en) * 2017-07-24 2019-06-14 한국전자통신연구원 Apparatus and method for verifying file to be transmitted to internal network
KR102199054B1 (en) 2017-08-10 2021-01-07 한국전자통신연구원 Apparatus for serial port based cyber security vulnerability assessment and method for the same
KR102196970B1 (en) 2017-12-06 2020-12-31 한국전자통신연구원 Apparatus for inspecting security vulnerability through console connection and method for the same
KR101983997B1 (en) * 2018-01-23 2019-05-30 충남대학교산학협력단 System and method for detecting malignant code
KR101986738B1 (en) * 2018-11-28 2019-06-07 (주)시큐레이어 Method for providing visualization of information for network management service and apparatus using the same
KR102559568B1 (en) * 2019-03-11 2023-07-26 한국전자통신연구원 Apparatus and method for security control in IoT infrastructure environment
KR102611045B1 (en) 2021-11-18 2023-12-07 (주)디에스멘토링 Various trust factor based access control system
KR102623681B1 (en) * 2022-02-21 2024-01-11 주식회사 리니어리티 Malicious code infection detecting system and method through network communication log analysis

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040065674A (en) * 2003-01-15 2004-07-23 권창훈 Host-based security system and method
KR20060058296A (en) * 2004-11-25 2006-05-30 주식회사 코어그리드테크놀로지 Intergration process method for auto backup and recovery of system/data
KR20070105199A (en) * 2006-04-25 2007-10-30 엘지엔시스(주) Network security device and method for controlling of packet data using the same
KR20090094922A (en) * 2008-03-04 2009-09-09 주식회사 조은시큐리티 Intrusion detection and management system on home-network and thereof method
WO2014100103A1 (en) * 2012-12-18 2014-06-26 Mcafee, Inc. Automated asset criticality assessment

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040065674A (en) * 2003-01-15 2004-07-23 권창훈 Host-based security system and method
KR20060058296A (en) * 2004-11-25 2006-05-30 주식회사 코어그리드테크놀로지 Intergration process method for auto backup and recovery of system/data
KR20070105199A (en) * 2006-04-25 2007-10-30 엘지엔시스(주) Network security device and method for controlling of packet data using the same
KR20090094922A (en) * 2008-03-04 2009-09-09 주식회사 조은시큐리티 Intrusion detection and management system on home-network and thereof method
WO2014100103A1 (en) * 2012-12-18 2014-06-26 Mcafee, Inc. Automated asset criticality assessment

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112217770A (en) * 2019-07-11 2021-01-12 奇安信科技集团股份有限公司 Security detection method and device, computer equipment and storage medium
CN112217770B (en) * 2019-07-11 2023-10-13 奇安信科技集团股份有限公司 Security detection method, security detection device, computer equipment and storage medium
CN115021999A (en) * 2022-05-27 2022-09-06 武汉云月玲智科技有限公司 Network information security monitoring system and method based on big data management

Also Published As

Publication number Publication date
KR20170024428A (en) 2017-03-07
KR101744631B1 (en) 2017-06-20

Similar Documents

Publication Publication Date Title
WO2017034072A1 (en) Network security system and security method
CN105409164B (en) Rootkit detection by using hardware resources to detect inconsistencies in network traffic
EP3225010B1 (en) Systems and methods for malicious code detection accuracy assurance
US7653941B2 (en) System and method for detecting an infective element in a network environment
US20060026683A1 (en) Intrusion protection system and method
WO2017069348A1 (en) Method and device for automatically verifying security event
WO2013048111A2 (en) Method and apparatus for detecting an intrusion on a cloud computing service
CN113660224B (en) Situation awareness defense method, device and system based on network vulnerability scanning
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
KR20120010562A (en) Hacker virus security aggregation management apparatus
KR100788256B1 (en) System for monitoring web server fablication using network and method thereof
WO2021112494A1 (en) Endpoint-based managing-type detection and response system and method
CN113411295A (en) Role-based access control situation awareness defense method and system
CN113411297A (en) Situation awareness defense method and system based on attribute access control
CN113660222A (en) Situation awareness defense method and system based on mandatory access control
KR101006372B1 (en) System and method for sifting out the malicious traffic
CN110086812B (en) Safe and controllable internal network safety patrol system and method
KR101614809B1 (en) Practice control system of endpoint application program and method for control the same
KR20070061287A (en) Apparatus and method for user's privacy & intellectual property protection of enterprise against denial of information
KR20100067383A (en) Server security system and server security method
CN113824678A (en) System and method for processing information security events to detect network attacks
Choi IoT (Internet of Things) based Solution Trend Identification and Analysis Research
WO2018079867A1 (en) Restoration method using network restoration system in advanced persistent threat environment
Wang Design and research on the test of internal network penetration test
Ruha Cybersecurity of computer networks

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15902344

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15902344

Country of ref document: EP

Kind code of ref document: A1