KR100639997B1 - 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그장치 - Google Patents

가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그장치 Download PDF

Info

Publication number
KR100639997B1
KR100639997B1 KR1020050058362A KR20050058362A KR100639997B1 KR 100639997 B1 KR100639997 B1 KR 100639997B1 KR 1020050058362 A KR1020050058362 A KR 1020050058362A KR 20050058362 A KR20050058362 A KR 20050058362A KR 100639997 B1 KR100639997 B1 KR 100639997B1
Authority
KR
South Korea
Prior art keywords
security
network
level
function
evaluating
Prior art date
Application number
KR1020050058362A
Other languages
English (en)
Other versions
KR20060067124A (ko
Inventor
정연서
최양서
박원주
오승희
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US11/302,476 priority Critical patent/US20060129810A1/en
Publication of KR20060067124A publication Critical patent/KR20060067124A/ko
Application granted granted Critical
Publication of KR100639997B1 publication Critical patent/KR100639997B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그 장치를 개시한다.
본 발명에 의하면, 가입자 네트워크의 보안을 평가하는 방법에 있어서, 네트워크에 연결되어 있는 각 보안 장비들이 제공하는 보안 기능들을 각 보안 장비별로 수집하고, 수집된 보안 기능들을 보호 기능의 종류와 역할 및 중요도에 따라 각 보안 장비별로 분류하며, 분류된 보안 기능마다 점수 및 가중치를 부여하고, 각 보안 장비별로 보안 기능에 대한 점수를 계산하여 보안 등급을 결정하여, 해당 네트워크가 내부나 외부로부터의 사이버 공격에 대하여 어느 정도의 보호 기능들을 갖추고 있는지를 보다 객관적으로 평가할 수 있으며, 이를 이용하여 보안 기능에 대한 사전 평가가 가능하고 그 결과를 바탕으로 정보보호 기능들을 강화하거나 보완할 수 있는 방법을 제시한다.

Description

가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그 장치{Method for evaluation of network security level of customer network and apparatus thereof}
도 1은 본 발명에 따른 가입자 네트워크 정보 보호 수준 평가를 위한 방법의 흐름을 도시한 것이다.
도 2는 본 발명에 따른 가입자 네트워크 정보 보호 수준 평가를 위한 장치의 구성을 블록으로 도시한 것이다.
본 발명은 통신망 상의 정보 보호에 관한 것으로서, 가입자망의 정보보호 수준 평가를 하는 방법 및 그 장치에 관한 것이다.
최근 사이버 공격들이 네트워크 인프라에 대한 시도가 늘어나고 웜과 같은 유해코드의 전파 시 급속한 감염으로 인해 전 세계적인 망 마비 사태가 빈번하게 생겨나고 있다. 이와 관련하여 기존의 호스트(host) 단에서의 보호 대책에 앞서 네트워크의 사용자 단에서의 정보보호의 중요성이 강조되고 있다. 그리고 사이버 공격이나 유해 코드로 인해 네트워크가 마비되기 전에 네트워크의 정보보호 수준을 분석하여 사전에 부족한 네트워크의 보안기능을 보완하여야 한다.
그러나 이와 같은 정보 보호 수준에 대한 판단 기준이 없는 상태이다. 현재 국내외에서 시행되고 있는 기존 연구들은 관리적인 부분에서 보안성 평가 위주로 진행되고 있어 실제 네트워크의 정보를 보호하는 면에는 실질적인 도움이 되지 못하는 문제가 있다.
본 발명이 이루고자 하는 기술적인 과제는, 상기의 문제점들을 해결하기 위해, 네트워크에서 구비하고 있는 각종의 정보보호 기능들을 조사 분석하여 객관적이고 정량적인 방법에 따라 네트워크에 대해 효과적이고 효율적으로 위험관리를 수행 할 수 있는 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그 장치를 제공하는데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 가입자 네트워크 정보 보호 수준 평가를 위한 방법은, 가입자 네트워크의 보안을 평가하는 방법에 있어서, (a) 상기 네트워크에 연결되어 있는 각 보안 장비들이 제공하는 보안 기능들이 각 보안 장비별로 수집된 것을 입력받는 단계; (b) 상기 입력된 보안 기능들을 보호 기능의 종류와 역할 및 중요도에 따라 각 보안 장비별로 분류하는 단계; (c) 상기 분류된 보안 기능마다 점수 및 가중치를 부여하는 단계; 및 (d) 상기 각 보안 장비별로 보안 기능에 대한 점수를 계산하여 보안 등급을 결정하는 단계;를 포함하는 것을 특징으로 한다.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 가입자 네트워크 정보 보호 수준 평가를 위한 장치는, 가입자 네트워크의 보안을 평가하는 장치에 있어서, 상기 네트워크에 연결되어 있는 각 보안 장비들이 제공하는 보안 기능들이 각 보안 장비별로 수집된 결과를 입력받는 정보수집부; 상기 입력된 보안 기능들을 보호 기능의 종류와 역할 및 중요도에 따라 각 보안 장비별로 분류하는 분류부; 상기 분류된 보안 기능마다 점수 및 가중치를 부여하는 점수부여부; 및 상기 각 보안 장비별로 보안 기능에 대한 점수를 계산하여 보안 등급을 결정하는 결정부;를 포함하는 것을 특징으로 한다.
이하에서 첨부된 도면을 참조하여 본 발명의 바람직한 일 실시예를 상세히 설명한다.
도 1은 본 발명에 따른 가입자 네트워크 정보 보호 수준 평가를 위한 방법의 흐름을 도시한 것이다.
가입자 네트워크의 보안을 평가하는 이 방법은, 상기 네트워크에 연결되어 있는 각 보안 장비들이 제공하는 보안 기능들이 각 보안 장비별로 수집된 것을 입력받고(100 단계), 상기 입력된 보안 기능들을 보호 기능의 종류와 역할 및 중요도에 따라 각 보안 장비별로 분류하고(110 단계), 상기 분류된 보안 기능마다 점수 및 가중치를 부여하고(120 단계), 상기 각 보안 장비별로 보안 기능에 대한 점수를 계산하여 보안 등급을 결정한다(130 단계).
도 2는 본 발명에 따른 가입자 네트워크 정보 보호 수준 평가를 위한 장치의 구성을 블록으로 도시한 것이다.
가입자 네트워크의 보안을 평가하는 이 장치는, 상기 네트워크에 연결되어 있는 각 보안 장비들이 제공하는 보안 기능들이 각 보안 장비별로 수집되어 입력되는 정보수집부(200), 상기 입력된 보안 기능들을 보호 기능의 종류와 역할 및 중요도에 따라 각 보안 장비별로 분류하는 분류부(210), 상기 분류된 보안 기능마다 점수 및 가중치를 부여하는 점수부여부(220) 및 상기 각 보안 장비별로 보안 기능에 대한 점수를 계산하여 보안 등급을 결정하는 결정부(230)를 포함한다.
정보수집부(200)를 통해 네트워크에 연결되어 있는 각 보안 장비들이 제공하는 보안 기능들이 각 보안 장비별로 수집되어 입력된다(100 단계). 이와 같은 각 장비들이 제공하는 보안기능은 관리자와 같은 사용자에 의해 입력받는다. 보안장비들은 기능들에 대한 정의가 표준화나 규격화가 되어 있다면 네트워크를 통해 각 장비에 접속하여 필요한 정보를 자동적으로 받아올 수 있을 것이나, 아직 이와 같은 수집에 대한 방법이 정립되지 않았으므로, 관리자에 의해 필요한 장비별로 해당 장비의 기능을 조사/분석하여 그 결과를 입력으로 받아 처리하게 된다.
이때에 수집하는 정보들은 네트워크로의 침입을 탐지하는 탐지 방식 및 탐지 대상에 대한 정보, 침입에 대해 대응하는 방안에 대한 정보, 보안 장비들이 연결되어 보안 기능을 제공하는 시스템의 자체적인 보안의 방법의 구비 여부, 네트워크의 안정성을 제공하기 위한 방법, 시스템 관리 운영에 대한 정보 등을 포함한다. 이 정보들에 대해서는 이하에서 상세하게 설명될 것이다.
분류부(210)는 100 단계에서 입력된 보안 기능들을 보호 기능의 종류와 역할 및 중요도에 따라 각 보안 장비별로 분류한다(110 단계).
이때에 110 단계에서 보안 기능을 분류하는 것은, 상기 네트워크의 외부 및 내부로부터의 침입 탐지 및 탐지된 사이버 공격으로부터 네트워크를 보호하기 위한 대응 기능으로 분류하는 것이 바람직하다.
이 경우 상기 침입 탐지 기능은 침입탐지 기능의 경우 탐지 방식에 따라 패킷을 분석하는 기술과 분석 레벨에 따른 패킷 분석 수준, 아노말리(anomaly) 방식의 탐지를 위한 상관 분석 수준 및 상기 네트워크에 침입을 탐지하기 위한 탐지 패턴이 어떤 형태로 적용되었는지에 따른 수준에 따라 재분류되는 것이 바람직하다.
더 상세하게는 상기 패킷 분석 수준에 따른 분류는 IP 헤더의 정보들을 갖고서 탐지 분석을 하는 패킷레벨 분석, 세션상태 정보를 관리하여 이를 기반으로 정상적이지 않은 경우를 가려내는 방식의 세션레벨 분석 및 네트워크를 이동하는 데이터 내용까지도 모두 분석하여 침입탐지를 수행하는 응용레벨 분석으로 다시 분류되는 것이 바람직하다.
또한 상기 상관 분석 수준에 따른 분류는 임계치 설정 방법과 정보를 수집하는 정보원의 수에 따라서 망의 상태에 무관하게 값이 일정한 고정값 임계치 적용, 망의 상태에 따라 그 값이 유동적인 유동값 임계치 적용, 상관 분석 데이터 수집처가 단일 서버인 단일 정보 상관 분석 및 상관 분석 데이터 수집처가 복수의 서버인 다중 정보 상관 분석으로 다시 분류되는 것이 바람직하다.
상관분석의 경우에 있어 많은 False Alarm(Positive 및 Negative)은 네트웍 기반의 보안 제품들이 당면해 있는 문제로 상관분석은 개별적인 침해 탐지 요소들을 다양한 조합으로 재해석할 수 있는 방안을 제시함으로써 보안 관리자가 침해 사 고 요인들을 파악하는데 들여야 하는 노력들을 줄이고 효과적인 위험 관리를 하는데 기여한다.
예를 들면 보안장비의 경우 침입탐지 기능은 보안장비가 보유하고 있는 시그네쳐와 동일한 패킷이 발견될 경우 경보를 통해 알려준다. 그러나 한 두 개의 패킷으로 위협이 되지 않는 많은 패킷들이 있으며, 그리고 한 개씩 존재할 경우 정상적인 패킷이더라도 개수가 많아지게 되면 위험한 공격 패킷이 되는 경우도 있다. 이러한 것들은 단순 패턴매칭의 시그네쳐 기반의 탐지 기법으로는 오탐율이 높아 다른 정보 데이터 수집처로부터의 정보들이나 전후의 탐지 정보들과 패턴의 누적된 정보들을 시간 값과 종합하여 상관분석을 할 필요가 있다.
그리고 상기 탐지 패턴의 적용 형태에 따른 분류는 탐지 패턴이 발표된 경우의 시그네쳐(signature) 형태의 패턴, 발표된 취약점 정보에 의거한 취약점 정보 패턴 및 프로토콜의 정당성 검사 패턴으로 다시 분류되는 것이 바람직하다.
탐지 패턴이 발표된 경우의 시그네쳐라 함은 공격이 발생된 후 이에 대한 탐지 패턴인 시그네쳐를 만드는 경우이다. 발표된 취약점 정보에 의거한 취약점 정보패턴은 실제 공격 패킷은 만들어지지 않았으나 발표된 취약점에 대한 탐지 패턴(시그네쳐)을 미리 만드는 것이다. 그리고 프로토콜 정당성 검사라 함은 패킷이 프로토콜 스택(규격)에 맞추어서 제대로 만들어져 있는가를 검사하는 것이다. 예를 들면 IP 패킷의 플래그에 동시에 여러 개가 설정되어 있는 경우(SYN, FIN 플래그 를 동시에 설정하거나 혹은 모든 플래그를 설정)를 생각할 수 있다.
상기 침입 탐지 기능은 탐지 대상에 따라 과다 트래픽 정보로부터 이상탐지 를 하는 경우, 바이러스와 웜을 탐지하는 경우 및 마지막으로 일반적인 해킹 수법 탐지 경우로 재분류되는 것이 바람직하다.
네트워크가 공격당하는 경우 예를 들면 DoS와 같이 트래픽이 갑자기 크게 늘어나는 것을 탐지하여 네트워크가 침입당한 것을 알 수 있으며, 바이러스와 웜의 동작으로 인해 통상의 프로그램은 접근하지 않는 영역에 접근하려는 프로그램이 있는 것을 탐지하여 바이러스나 웜을 탐지하며, 비정상적인 동작의 발생으로부터 일반적인 해킹을 탐지할 수 있다. 이 외에도 다양한 모습으로 탐지 대상을 결정할 수 있다.
110 단계에서 대응 기능은 침입 목적의 해당 패킷을 차단하는 경우와 할당된 대역을 초과하는 경우 이들을 폐기하는 대역폭 제어로 재분류되는 것이 바람직하며, 각각의 경우 상기 패킷 차단은 해당 패킷만을 차단 처리하는 패킷수준제어, 세션을 관리해서 세션별로 차단 처리하는 세션수준제어 및 패킷에 포함된 내용을 기반으로 해당 패킷을 차단 처리하는 내용기반제어로 다시 분류되고, 상기 대역폭 제어는 침입에 대하여 관리자가 직접 지정해 놓은 값인 임계치를 기반으로 하는 경우와 네트워크 상황에 따른 자기학습에 따른 유동적인 임계치를 적용하는 경우로 다시 분류되는 것이 바람직하다.
자기 학습에 의한 유동적인 임계치란 정해 놓은 기간, 예를 들면 최근 3개월의 평균 트래픽 유형에서 30%를 초과하는 경우와 같은 값이며, 이런 경우에는 대역폭 제어를 하게 되어 네트워크를 보호하게 된다. 물론 상기의 30%라는 것은 하나의 예를 든 값이며, 실제 적용시 관리자가 해당 네트워크의 특성을 고려한 값을 설정 할 것이며, 그와 같이 설정된 값에 따라 임계치는 결정된다.
상기와 같은 분류는 다음의 표 1과 같이 정리될 수 있다. 표 1에서 120 단계에서 부여할 각 분류에 따른 점수도 같이 표시되어 있다.
대분류 중분류 소분류 상세 분류 점수
침입 탐지 탐지 방식 패킷 분석 수준 패킷레벨 분석 1
세션레벨 분석 3
응용레벨 분석 6
상관 분석 수준 고정값 임계치 적용 1
유동값 임계치 적용 3
단일 정보 상관 분석 2
다중 정보 상관 분석 4
탐지 패턴 적용 시그네쳐 패턴 2
취약점 정보 패턴 3
프로토콜 검사 패턴 5
탐지 대상 이상 과다 트래픽 탐지 10
바이러스/웜 탐지 10
일반 해킹 차단 10
침입 대응 패킷 차단 패킷 수준 제어 1
세션 수준 제어 3
내용 수준 제어 6
대역폭 차단 고정값 임계치 적용 3
유동값 임계치 적용 7
네트워크 만이 아니라 네트워크에 연결되어 네트워크를 구성하면서 상기의 보안 장비로부터 보안 서비스를 받는 시스템들에 대한 보안 문제도 네트워크 전체의 보안에 영향을 미칠 수 있기 때문에 상기의 시스템에 대한 것도 같이 고려해야 할 필요가 있다. 따라서 110 단계에서 보안 기능을 분류하는 것은, 상기 보안 장비와 네트워크를 통해 연결되어 보안 서비스를 받는 시스템 자체의 보안성과 상기 네트워크가 안정성을 유지하면서 패킷을 전달해 주는 네트워크 안정성 및 상기 시스템의 원할한 운영을 위한 시스템 관리/운용으로 분류되는 것이 바람직하다.
이때에 상기 시스템 자체의 보안성은 사용자가 시스템에 접근하는 것을 제어하기 위해 사용하는 제어방식으로 ID 및 패스워드를 이용해서 정당한 사용자만이 시스템에 접속할 수 있게 하는 방식, PKI 방식과 같은 공개키 기반의 제어를 이용해서 정당한 사용자 외에는 시스템에 접근할 수 없도록 하거나 생체 인증 방식에 따른 검사를 거쳐야 시스템에 접근할 수 있게 하는 제어 방식의 종류에 따라 재분류되는 것이 바람직하다. 이때에 뒤로 갈수록 정당한 권한이 없는 자의 시스템에로의 접근을 막기에 더 적합할 것이다.
또한 운용 프로그램 자체적으로도 보안성을 제공하여 시스템의 자원에 임의로 접근하는 것을 막을 수 있는 Secure OS를 사용하여 시스템에 부당하게 접근하는 것을 막을 수 있는 포함한 제어를 하는가의 여부로 재분류되는 것이 바람직하다.
그리고 상기 시스템 자체의 보안성은 시스템의 일부 기능을 외부로는 노출시키지 않는 스텔스(stealth_ 기능, 시스템에 고유한 전용의 운용 프로그램(OS) 사용, 시스템 전용의 하드웨어 시스템 사용 및 물리적으로 시스템을 보호할 수 있는 시설을 포함하는 부가 기능 포함의 여부로 재분류되는 것이 바람직하다. 이와 같은 기능들을 포함하는 경우 시스템에 대한 보안의 정도는 더 높아지기 때문이다.
상기 네트워크 안정성은 네트워크에 이상이 발생한 경우 성능이 저하된 상태로라도 네트워크 서비스를 계속 제공할 수 있는 폴 백(fall back) 기능 및 네트워크에 연결된 장치 사이에 부하가 균등하게 걸리도록 작업 처리를 분산하여 처리하는 부하 분산(load balancing) 기능의 구비 여부로 재분류되는 것이 바람직하다. 이와 같은 기능은 보안의 문제 이전에 네트워크의 안정성을 높일 수 있는 기능을 제공하기 때문이다.
그 외에도 상기 시스템관리/운용은 자동적인 실시간 시그네쳐 갱신 기능, 중앙 집중식 보안 시스템 관리 기능, 시스템 운용에 대한 감시 기록 유지 및 통계 리포트 관리 기능, 높은 가용성 유지 기능, 신규한 프로그램 모듈이나 패치를 자동으로 업데이트하는 기능 및 네트워크 지역의 세그멘테이션(Network Zone Segmentation) 기능을 상기 시스템이 구비하는 가의 여부로 재분류되는 것이 바람직하다.
시그네쳐 갱신 기능은 바이러스 백신들의 자동 업데이트 기능과 같이 갱신될 내용이 있는가를 주기적으로 혹은 관리자의 조작에 따라 자동으로 검색하여 갱신될 내용이 있는 경우 바로 그 새로운 내용으로 갱신하는 것이다.
Network Zone Segmentation은 내부 네트워크를 기업 조직 내의 보안 영역으로 분할하여 잠재적인 공격을 봉쇄하고, 불특정한 직원의 접근을 최소화하여 의심스러운 컴퓨터를 격리시키고, 네트워크 장치 및 패치 관리 지원툴의 오염 확산을 방지하기 위해 공격을 차단하고 문제가 발생한 장치를 격리시키는 경우에 적용되는 대응 방법이다. 이는 침해로부터 최소한의 피해로 전파를 막고자 하는 것이 그 목적이다.
상기와 같은 분류는 다음의 표 2와 같이 정리될 수 있다. 표 2에서 120 단계에서 부여할 각 분류에 따른 점수도 같이 표시되어 있다.
대분류 중분류 소분류 상세 분류 점수
자체 시스템 보안 사용자 접근 제어 ID/Password 방식 1
PKI 방식 3
생체 인증 방식 6
시스템 자원 접근 제어 Secure OS 10
부가 기능 Stealth 기능 3
전용 OS 사용 3
전용 HW 사용 3
물리적인 장비 보호 1
네트워크안전성 Fall Back 10
Load Balancing 10
시스템 관리 및 운영 자동화된 실시간 Signature 갱신 10
중앙 집중식 보안 시스템 관리 10
감시 기록 및 통계 리포트 관리 10
고 가용성 10
신규 모듈/패치 자동 업데이트 10
Network Zone Segmentation 10
점수부여부(220)는 상기와 같이 보안 기능마다 점수 및 가중치를 부여한다(120 단계). 이 점수 및 가중치는 보안 기능마다 달라질 수 있는 것이며, 그 기준은 고정되기 보다는 경우에 따라 변경될 수 있는 값들이다.
점수부여부(220)가 부여한 점수와 가중치의 예는 상기의 표 1, 2와 다음의 표 3에 기재되어 있다.
대분류[만점] 중분류[만점] 소분류 항목별 등급 가중치
침입 탐지 (A) 탐지 방식 [30] 0 - 10 Low 0.75
11 - 20 Medium
21 - 30 High
탐지 대상 [30] 0 - 10 Low
20 Medium
30 High
침입 대응 (B) [20] 0 - 6 Low 0.75
7 - 13 Medium
14 - 20 High
자체 시스템 보안 (C) [30] 0 - 12 Low 0.50
13 - 20 Medium
21 - 30 High
네트워크 안정성 (D) [20] 0 Low 0.25
10 Medium
20 High
시스템 관리 및 운영 (E) [60] 0 - 20 Low 0.33
21 - 40 Medium
41 - 60 High
결정부(230)는 각 보안 장비별로 상기의 표들과 같은 기준에 따라 보안 기능에 대한 점수를 계산하여 보안 등급을 결정한다(130 단계).
상기의 표 1 내지 표 3의 기준에 따라 정보 보호 수준의 점수를 계산하는 식은 다음과 같이 정의될 수 있다.
정보보호 수준 점수 = 3/4(A+B) + 1/2C + 1/4D + 1/3E
이때에 모든 점수를 전부 만점을 받는 경우 190점이 되므로 이를 등급으로 나누고 알아보기 쉽게 100점 만점의 점수로 환산하여 여기서 나온 점수를 이용하여 등급 수준을 부여할 수 있다.
표 4는 보안 등급 혹은 정보 보호 수준평가의 기준의 예를 표시한 것이다. 각 해당 점수별 네트워크의 정보보호 수준을 정의하고 있다.
정보보호수준 점 수 비 고
E1 90 이상 네트워크 정보 보호 수준 우수 상태
E2 70 이상 네트워크 정보 보호 수준 양호 상태
E3 50 이상 네트워크 정보 보호 수준 미흠 상태
E4 30 이상 네트워크 정보 보호 수준 불량 상태
E5 30 미만 네트워크 정보 보호 개념이 적용되지 않은 불안전 상태
도 2의 200 내지 230의 본 발명의 각 구성 요소는 별도의 설명이 없더라도 서버와 같은 장치의 내부에 상기에 설명된 바와 같이 동작하는 적절한 프로그램을 통해 용이하게 구현될 수 있다는 것은 본 발명이 속한 기술 분야의 통상의 지식을 가진 자에게는 자명하다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 본 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 상기의 설명에 포함된 예들은 본 발명에 대한 이해를 위해 도입된 것이며, 이 예들은 본 발명의 사상과 범위를 한정하지 않는다. 상기의 예들 외에도 본 발명에 따른 다양한 실시 태양이 가능하다는 것은, 본 발명이 속한 기술 분야에 통상의 지식을 가진 사람에게는 자명할 것이다. 본 발명의 범위는 전술한 설명이 아니라 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
또한 본 발명에 따른 상기의 각 단계는 일반적인 프로그래밍 기법을 이용하여 소프트웨어적으로 또는 하드웨어적으로 다양하게 구현할 수 있다는 것은 이 분야에 통상의 기술을 가진 자라면 용이하게 알 수 있는 것이다.
그리고 본 발명의 일부 단계들은, 또한, 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, CD-RW, 자기 테이프, 플로피디스크, HDD, 광 디스크, 광자기 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
본 발명에 의하면, 가입자 네트워크의 보안을 평가하는 방법에 있어서, 네트워크에 연결되어 있는 각 보안 장비들이 제공하는 보안 기능들을 각 보안 장비별로 수집된 것을 입력받아, 입력된 보안 기능들을 보호 기능의 종류와 역할 및 중요도에 따라 각 보안 장비별로 분류하며, 분류된 보안 기능마다 점수 및 가중치를 부여하고, 각 보안 장비별로 보안 기능에 대한 점수를 계산하여 보안 등급을 결정하여, 해당 네트워크가 내부나 외부로부터의 사이버 공격에 대하여 어느 정도의 보호 기능들을 갖추고 있는지를 보다 객관적으로 평가할 수 있으며, 이를 이용하여 보안 기능에 대한 사전 평가가 가능하고 그 결과를 바탕으로 정보보호 기능들을 강화하거나 보완할 수 있는 방법을 제시한다.

Claims (17)

  1. 가입자 네트워크의 보안을 평가하는 방법에 있어서,
    (a) 상기 네트워크에 연결되어 있는 각 보안 장비들이 제공하는 보안 기능들이 각 보안 장비별로 수집된 것을 입력받는 단계;
    (b) 상기 입력된 보안 기능들을 보호 기능의 종류와 역할 및 중요도에 따라 각 보안 장비별로 분류하는 단계;
    (c) 상기 분류된 보안 기능마다 점수 및 가중치를 부여하는 단계; 및
    (d) 상기 각 보안 장비별로 보안 기능에 대한 점수를 계산하여 보안 등급을 결정하는 단계;를 포함하는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  2. 제1항에 있어서,
    제 (b) 단계에서 보안 기능을 분류하는 것은,
    상기 네트워크의 외부 및 내부로부터의 침입 탐지 및 탐지된 사이버 공격으로부터 네트워크를 보호하기 위한 대응 기능으로 분류하는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  3. 제2항에 있어서,
    상기 침입 탐지 기능은 침입탐지 기능의 경우 탐지 방식에 따라 패킷을 분석 하는 기술과 분석 레벨에 따른 패킷 분석 수준,
    아노말리(anomaly) 방식의 탐지를 위한 상관 분석 수준 및
    상기 네트워크에 침입을 탐지하기 위한 탐지 패턴이 어떤 형태로 적용되었는지에 따른 수준에 따라 재분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  4. 제3항에 있어서,
    상기 패킷 분석 수준에 따른 분류는 IP 헤더의 정보들을 갖고서 탐지 분석을 하는 패킷레벨 분석, 세션상태 정보를 관리하여 이를 기반으로 정상적이지 않은 경우를 가려내는 방식의 세션레벨 분석 및 네트워크를 이동하는 데이터 내용까지도 모두 분석하여 침입탐지를 수행하는 응용레벨 분석으로 다시 분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  5. 제3항에 있어서,
    상기 상관 분석 수준에 따른 분류는 임계치 설정 방법과 정보를 수집하는 정보원의 수에 따라서 망의 상태에 무관하게 값이 일정한 고정값 임계치 적용, 망의 상태에 따라 그 값이 유동적인 유동값 임계치 적용, 상관 분석 데이터 수집처가 단일 서버인 단일 정보 상관 분석 및 상관 분석 데이터 수집처가 복수의 서버인 다중 정보 상관 분석으로 다시 분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  6. 제3항에 있어서,
    상기 탐지 패턴의 적용 형태에 따른 분류는 탐지 패턴이 발표된 경우의 시그네쳐 형태의 패턴, 발표된 취약점 정보에 의거한 취약점 정보 패턴 및 프로토콜의 정당성 검사 패턴으로 다시 분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  7. 제2항에 있어서,
    상기 침입 탐지 기능은 탐지 대상에 따라 과다 트래픽 정보로부터 이상탐지를 하는 경우, 바이러스와 웜을 탐지하는 경우 및 마지막으로 일반적인 해킹 수법 탐지 경우로 재분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  8. 제2항에 있어서,
    상기 대응 기능은 침입 목적의 해당 패킷을 차단하는 경우와 할당된 대역을 초과하는 경우 이들을 폐기하는 대역폭 제어로 재분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  9. 제8항에 있어서,
    상기 패킷 차단은 해당 패킷만을 처리하는 패킷수준제어, 세션을 관리해서 세션별로 처리하는 세션수준제어 및 패킷에 포함된 내용을 기반으로 해당 패킷을 처리하는 내용기반제어로 다시 분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  10. 제8항에 있어서,
    상기 대역폭 제어는 침입에 대하여 미리 정해진 임계치를 기반으로 하는 경우와 네트워크 상황에 따른 소정의 방법에 따른 자기학습에 따른 유동적인 임계치 값을 적용하는 경우로 다시 분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  11. 제1항에 있어서,
    제 (b) 단계에서 보안 기능을 분류하는 것은,
    상기 보안 장비와 네트워크를 통해 연결되어 보안 서비스를 받는 시스템 자체의 보안성과 상기 네트워크가 안정성을 유지하면서 패킷을 전달해 주는 네트워크 안정성 및 상기 시스템의 원할한 운영을 위한 시스템관리/운용으로 분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  12. 제11항에 있어서,
    상기 시스템 자체의 보안성은 사용자가 시스템에 접근하는 것을 제어하는 여부 및 ID 및 패스워드 방식, PKI 방식 및/혹은 생체 인증 방식을 포함하는 제어 방 식의 종류에 따라 재분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  13. 제11항에 있어서,
    상기 시스템 자체의 보안성은 시스템의 자원에 임의로 접근하는 것을 막을 수 있는 Secure OS 사용을 포함한 제어를 하는가의 여부로 재분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  14. 제11항에 있어서,
    상기 시스템 자체의 보안성은 시스템의 일부 기능을 외부로는 노출시키지 않는 스텔스 기능, 시스템에 고유한 전용의 운용 프로그램 사용, 시스템 전용의 하드웨어 시스템 및 물리적으로 시스템을 보호할 수 있는 시설을 포함하는 부가 기능 포함 여부로 재분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  15. 제11항에 있어서,
    상기 네트워크 안정성은 네트워크에 이상이 발생한 경우 성능이 저하된 상태로라도 네트워크 서비스를 계속 제공할 수 있는 폴 백(fall back) 기능 및 네트워크에 연결된 장치 사이에 부하가 균등하게 걸리도록 작업 처리를 분산하여 처리하는 부하 분산 기능의 구비 여부로 재분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  16. 제11항에 있어서,
    상기 시스템관리/운용은 자동적인 실시간 시그네쳐 갱신 기능, 중앙 집중식 보안 시스템 관리 기능, 시스템 운용에 대한 감시 기록 유지 및 통계 리포트 관리 기능, 높은 가용성 유지 기능, 신규한 프로그램 모듈이나 패치를 자동으로 업데이트하는 기능 및 네트워크 지역의 세그멘테이션 기능을 상기 시스템이 구비하는 가의 여부로 재분류되는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 방법.
  17. 가입자 네트워크의 보안을 평가하는 장치에 있어서,
    상기 네트워크에 연결되어 있는 각 보안 장비들이 제공하는 보안 기능들이 각 보안 장비별로 수집된 결과를 입력받는 정보수집부;
    상기 입력된 보안 기능들을 보호 기능의 종류와 역할 및 중요도에 따라 각 보안 장비별로 분류하는 분류부;
    상기 분류된 보안 기능마다 점수 및 가중치를 부여하는 점수부여부; 및
    상기 각 보안 장비별로 보안 기능에 대한 점수를 계산하여 보안 등급을 결정하는 결정부;를 포함하는 것을 특징으로 하는 가입자 네트워크 정보 보호 수준 평가를 위한 장치.
KR1020050058362A 2004-12-14 2005-06-30 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그장치 KR100639997B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US11/302,476 US20060129810A1 (en) 2004-12-14 2005-12-12 Method and apparatus for evaluating security of subscriber network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020040105429 2004-12-14
KR20040105429 2004-12-14

Publications (2)

Publication Number Publication Date
KR20060067124A KR20060067124A (ko) 2006-06-19
KR100639997B1 true KR100639997B1 (ko) 2006-11-01

Family

ID=37161739

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050058362A KR100639997B1 (ko) 2004-12-14 2005-06-30 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그장치

Country Status (1)

Country Link
KR (1) KR100639997B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140051467A (ko) 2012-09-27 2014-05-02 에스케이플래닛 주식회사 점수 기반의 보안 강화 장치 및 방법
US11363041B2 (en) 2020-05-15 2022-06-14 International Business Machines Corporation Protecting computer assets from malicious attacks

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101310487B1 (ko) * 2006-09-29 2013-09-24 주식회사 케이티 고객 요구형 위험 관리 시스템 및 그 방법
KR100817799B1 (ko) * 2006-10-13 2008-03-31 한국정보보호진흥원 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법
EP2112803B1 (en) * 2008-04-22 2013-12-18 Alcatel Lucent Attack protection for a packet-based network
KR101442691B1 (ko) * 2013-03-26 2014-09-25 한국전자통신연구원 시스템의 취약점 정량화 장치 및 그 방법
CN111159155B (zh) * 2019-12-31 2020-11-03 百望股份有限公司 基于大数据的数据库安全保障系统及方法
KR102611045B1 (ko) * 2021-11-18 2023-12-07 (주)디에스멘토링 다중 신뢰도 기반 접근통제 시스템
KR102656375B1 (ko) * 2023-05-19 2024-04-11 (주)다우기술 공유 콘텐츠 보안 향상을 위한 디지털 권한 관리 시스템 및 그 동작 방법
CN116827674A (zh) * 2023-08-15 2023-09-29 北京中科网芯科技有限公司 一种基于网络通信安全的防护方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140051467A (ko) 2012-09-27 2014-05-02 에스케이플래닛 주식회사 점수 기반의 보안 강화 장치 및 방법
US11363041B2 (en) 2020-05-15 2022-06-14 International Business Machines Corporation Protecting computer assets from malicious attacks
US11888872B2 (en) 2020-05-15 2024-01-30 International Business Machines Corporation Protecting computer assets from malicious attacks

Also Published As

Publication number Publication date
KR20060067124A (ko) 2006-06-19

Similar Documents

Publication Publication Date Title
KR100639997B1 (ko) 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그장치
US20060129810A1 (en) Method and apparatus for evaluating security of subscriber network
CN110149350B (zh) 一种告警日志关联的网络攻击事件分析方法及装置
US7941855B2 (en) Computationally intelligent agents for distributed intrusion detection system and method of practicing same
EP3101865B1 (en) Detection of anomalous administrative actions
CN108289088B (zh) 基于业务模型的异常流量检测系统及方法
US8931099B2 (en) System, method and program for identifying and preventing malicious intrusions
EP2619958B1 (en) Ip prioritization and scoring method and system for ddos detection and mitigation
US9386036B2 (en) Method for detecting and preventing a DDoS attack using cloud computing, and server
US9401924B2 (en) Monitoring operational activities in networks and detecting potential network intrusions and misuses
US7624447B1 (en) Using threshold lists for worm detection
US8209759B2 (en) Security incident manager
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
US20060010493A1 (en) Attack impact prediction system
US11128670B2 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
White et al. Cooperating security managers: Distributed intrusion detection systems
KR100656351B1 (ko) 네트워크의 취약성 평가 기반의 위험 관리 분석 방법 및 그장치
CN116319061A (zh) 一种智能控制网络系统
CN108667642B (zh) 一种基于风险评估的服务器的风险均衡器
KR20110028106A (ko) 접속 이력 기반 분산 서비스 공격 트래픽 제어 장치 및 그 방법
Chu et al. ALERT-ID: analyze logs of the network element in real time for intrusion detection
Keshri et al. DoS attacks prevention using IDS and data mining
KR20140078329A (ko) 내부망 타겟 공격 대응 장치 및 방법
KR102377784B1 (ko) 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템
CN115277173B (zh) 一种网络安全监测管理系统及方法

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20091228

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee