KR100673137B1 - 전자문서 보관소의 보안 시스템 및 방법 - Google Patents

전자문서 보관소의 보안 시스템 및 방법 Download PDF

Info

Publication number
KR100673137B1
KR100673137B1 KR1020050088606A KR20050088606A KR100673137B1 KR 100673137 B1 KR100673137 B1 KR 100673137B1 KR 1020050088606 A KR1020050088606 A KR 1020050088606A KR 20050088606 A KR20050088606 A KR 20050088606A KR 100673137 B1 KR100673137 B1 KR 100673137B1
Authority
KR
South Korea
Prior art keywords
security
packet
database system
network
server
Prior art date
Application number
KR1020050088606A
Other languages
English (en)
Inventor
소경필
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020050088606A priority Critical patent/KR100673137B1/ko
Application granted granted Critical
Publication of KR100673137B1 publication Critical patent/KR100673137B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크를 통해 다수의 사용자 서버들과 접속되고, 데이터베이스 시스템을 포함하는 전자문서 보관소의 보안 시스템에 관한 것으로, 스위치를 통해 네트워크 패킷을 캡처하여 분석하고, 패킷이 보안정책에 어긋나는 경우 패킷을 차단하고 경고하는 보안 서버 및, 데이터베이스 시스템에서 인라인 모드로 작동하여, 데이터베이스 시스템 내부의 패킷을 캡처하여 분석하고, 패킷이 보안정책에 어긋나는 경우 통제기능을 수행하며, 데이터베이스 시스템 자체의 취약점을 분석하는 에이전트를 구비한다.

Description

전자문서 보관소의 보안 시스템 및 방법{ Security system and method in electronic document repository }
도 1은 본 발명의 바람직한 실시 예에 따른 전자문서 보관소 보안 시스템의 구성을 나타내는 개념도이다.
도 2는 본 발명의 바람직한 실시 예에 따른 전자문서 보관소의 네트워크 감시 시스템을 설명하기 위한 순서도이다.
<도면의 주요 부분에 대한 부호의 설명>
100a ~ 100n : 사용자 단말기등 101 : 전자문서 보관소
102 : 보안 시스템 103 : 관리자 콘솔
104 : 검색 시스템 105 : 기록부
106 : 전자문서 송수신 시스템 107 : 백본 스위치
108 : 문서관리 시스템 110 : 증명서 관리 시스템
112 : 메타데이터 DB 시스템 114 : 전자문서 DB 시스템
116,120 : 에이전트 118,122 : DB
본 발명은 네트워크 패킷 감사와 접근 통제를 통한 전자문서 보관소의 보안 시스템 및 방법에 관한 것으로, 더욱 상세하게는 관리대상 데이터베이스 시스템을 목적지 또는 출발지로 하는 네트워크 패킷을 캡처하고 패킷을 분석하여 관리 및 통제하는 보안 시스템 및 방법에 관한 것이다.
산업 전반에 걸친 보안 침해가 증가하고 정보보호에 대한 요구가 커짐에 따라, 데이터 베이스의 보안에 대한 중요성이 날로 증가하고 있다. 또한, 정보 보호 산업의 패러다임이 재래산업에서 인터넷을 기반으로 한 e-Biz산업으로 빠르게 급변하면서 이를 뒷받침할 수 있는 정보보호 인프라의 중요성이 그 어느 때보다 강조되고 있다.
세계적인 IT분야의 시장조사기관인 가트너 그룹의 조사에 의하면 세계적으로 기업과 조직의 중요한 데이터는 90% 이상 데이터베이스에 저장되어 있으며 개인정보는 금융, 재정, 의료 및 교육 등 거의 모든 산업에서 데이터 베이스에 저장되어 있다고 한다. 기업 내부정보나 고객 데이터와 같은 기밀정보에 대한 공격이 늘고 있고, 데이터에 대한 공격 또는 유출이 발생시키는 피해는 조직 또는 개인의 경제적 손실 등 이루 말할 수 없이 심각하다.
미국의 한 은행은 최근 보안 사고로 인해 120만 명의 개인 정보가 유출되는 등 막대한 피해를 입었다. 이러한 예는 공식적으로 공개된 소수의 예에 불과하며, 공개되지 않은 피해는 더 클 것이다. 해커 또는 내부 조직원에 의한 데이터 침해 사고는 계속 발생하고, 바이러스 유포 및 개인정보 유출 등의 사이버 범죄가 크게 늘면서 기업을 포함한 조직은 자체 데이터 베이스를 안전하게 보호할 수단을 강구해야만 한다.
그런데 최근 취급이 용이하고 작성 및 보존 비용이 저렴한 전자 문서의 활용이 증대되고 있고, 이에 따라 전자문서의 보관, 전자문서의 송수신 및 중계, 전자문서의 증거효력 부여 등을 위한 공인 전자문서 보관소의 설치 및 운영이 요구되고 있다.
이러한 문서의 전자화는 문서의 생명주기인 생성, 유통, 보존 및, 폐기의 모든 부분에 있어서 안전하다는 것이 보장되어야 가능한데, 현재 전자문서의 경우 생성과 유통은 전자 서명으로 안전성을 보장할 수 있으나 보존의 경우 위조, 변조 및, 멸실을 방지하는 시스템은 미비하다. 왜냐하면, 기존의 데이터베이스 관리 시스템은 인증, 인증허가 및 액세스 컨트롤 등의 기본적인 보안 기능을 제공하지만, 데이터 보호에 대한 강력한 정책과 프로세스를 적용할 수 있는 기반은 제공하지 못하고 있기 때문이다.
따라서 본 발명은 이러한 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 네트워크를 통한 해킹이나 보안침해 등의 공격에 의해 피해를 입기 전에 미리 능동적으로 공격을 차단함으로써 공격에 대한 피해를 최소화할 수 있는 능동적인 데이터 베이스 보안 시스템 및 방법을 제공하는 데 있다.
본 발명의 다른 목적은 공격탐지를 뛰어넘어 탐지된 공격에 대해 웹 연결을 끊는 등 적극적으로 막아주는 데이터 베이스 보안 시스템 및 방법을 제공하는 데 있다.
본 발명의 또 다른 목적은 데이터 베이스로 흘러들어가는 데이터 패킷을 네트워크상에서 감시하고 통제하는 구성을 가지므로 정밀한 감사, 진단, 침입 추적, 접근통제 및 권한 통제와 같은 강력한 기능을 제공하고 정책 기반의 보안, 프로세스 중심의 관리 기반을 지원할 수 있는 데이터 베이스 보안 시스템 및 방법을 제공하는 데 있다.
상술한 문제점을 해결하기 위한 기술적 수단으로서, 본 발명은 네트워크를 통해 다수의 사용자 서버들과 접속되고, 데이터베이스 시스템을 포함하는 전자문서 보관소의 보안 시스템에 있어서, 스위치를 통해 네트워크 패킷을 캡처하여 분석하고, 패킷이 보안정책에 어긋나는 경우 패킷을 차단하고 경고하는 보안 서버 및, 데이터베이스 시스템에서 인라인 모드로 작동하여, 데이터베이스 시스템 내부의 패킷을 캡처하여 분석하고, 패킷이 보안정책에 어긋나는 경우 통제기능을 수행하며, 데이터베이스 시스템 자체의 취약점을 분석하는 에이전트를 구비하는 보안 시스템을 제공한다.
이때 보안 서버는 보안 정책을 설정하고 보안 로그를 분석하여 사용자에게 보고하는 관리자 콘솔 및, 분류된 패킷을 저장하고 특정 사용자가 데이터베이스 시스템에 대해 행한 행위를 기록하는 기록부를 구비하는 것이 바람직하다.
보안정책은, 외부의 사용자 서버가 전자문서 보관소 내부로 또는 내부 사용 자가 외부 네트워크로 통신하기 위해 데이터베이스에 접근할 때, 접근이 허용된 서버에서 요청을 하는지와, 통신 대상이 되는 목적지 서버에 대한 접근 권한이 있는지에 관한 것이다.
상술한 문제점을 해결하기 위한 기술적 수단으로서, 본 발명은 네트워크를 통해 다수의 사용자 서버들과 접속되고, 데이터베이스 시스템 및 보안서버를 포함하는 전자문서 보관소에서 수행되는 보안 방법에 있어서, 보안 서버가 스위치를 통해 네트워크 패킷을 캡처하는 제1단계, 캡처된 패킷의 헤더를 분석하여 데이터베이스 시스템을 출발지 또는 목적지로 하는 패킷인지 판단하는 제2단계, 패킷이 데이터베이스 시스템을 출발지 또는 목적지로 하는 패킷이면, 패킷의 내용을 분석하는 제3단계, 분석된 내용에 따라 보안정책에 위반이 되는 패킷인가 판단하는 제4단계 및, 보안정책에 위반이 되면, 해당 패킷을 차단하는 제5단계를 포함하는 보안 방법을 제공한다.
이때, 제3단계는, 패킷의 SQL 정보를 추출하여 분석하는 것임을 특징으로 한다. 그리고, 제5단계 후에, 관리자에게 경고하고 로그를 기록하는 단계를 더 포함하는 것이 바람직하다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 바람직한 실시 예들을 첨부된 도면들을 참조하여 설명한다.
도 1은 본 발명의 바람직한 실시 예에 따른 네트워크 패킷 감사와 접근 통제를 통한 전자문서 보관소 보안 시스템의 구성을 나타내는 개념도이다.
도 1을 참조하면, 전자문서 보관소(101)는 인터넷 등의 네트워크를 통해 다수의 서버들(100a, 100b, …, 100n)과 온라인으로 연결된다. 전자문서 서비스를 이용하고자 하는 다수의 서버들은 개인에 해당하는 사용자 단말기(100a), 은행 서버(100b), 병원 서버(100n) 등이 가능하다.
전자문서 보관소(101)는 보안 서버(102), 검색 시스템(104), 전자문서 송수신 시스템(106), 문서관리 시스템(108), 증명서 관리 시스템(110), 메타데이터 DB 시스템(112) 및, 전자문서 DB 시스템(114)로 구성된다.
검색 시스템(104)은 사용자나 사업자가 전자문서 보관소에 저장된 데이터를 용이하게 검색할 수 있도록 하는 작업을 수행하는 시스템이다. 검색 시스템(104)은 식별자, 문서의 제목, 키워드 및, 문서 생성일자 등의 표준화된 인터페이스가 사용되어 검색이 이루어진다.
전자문서 송수신 시스템(106)은 전자문서 보관소 외부의 서버들(100a, 100b, …, 100n)이 요청한 문서를 송수신하고 문서를 출력하는 서비스를 제공하는 시스템이다. 전자문서 송수신 시스템(106)은 전자문서의 보안 및 인증을 위해 보안 서버(102)를 거쳐서 외부와 접속된다. 전자문서 송수신 시스템(106)은 전자문서를 압축표준에 따라 압축하는 등의 패킹 작업 후에 송수신하는 서비스를 제공한다.
문서관리 시스템(108)은 전자문서를 등록하거나, 등록된 전자문서의 이력을 관리하거나, 타 보관소로의 이관 및 폐기에 관련된 서비스를 제공하는 시스템이다.
증명서 관리 시스템(110)은 사용자가 전자문서에 대한 증명서를 원할 경우 증명서를 생성하여 제공하고, 등록증명, 송수신 증명, 원본 증명, 증명서의 이력을 관리한다. 또한 증명서를 타 보관소로 이관하거나 증명서의 폐기를 관리한다.
메타데이터 DB 시스템(112) 및 전자문서 DB 시스템(114)은 검색 시스템(104), 전자문서 송수신 시스템(106), 문서관리 시스템(108) 및, 증명서 관리 시스템(110)과 연결되어 전자문서를 저장하고 저장된 전자문서를 제공하는 기능을 한다.
메타데이터 DB 시스템(112)은 문서정보와 문서의 관리에 대한 데이터를 저장하고, 전자문서 DB 시스템(114)은 원본문서와 각종 증명서에 대한 데이터를 저장하게 된다. 메타데이터 DB 시스템(112)과 전자문서 DB 시스템(114)은 각각 에이전트(116,120) 및 데이터베이스(118,122)를 포함한다.
이하, 도 1에 도시된 전자문서 보관소(101)의 보안 시스템에 대해 더욱 상세하게 설명한다.
전자문서 보관소(101)의 보안 서버(102)는 백본 스위치(107)를 통해 네트워크와 접속된다. 즉, 백본 스위치(107)는 전자문서 보관소의 데이터 베이스(118, 122)와 다수의 서버(100a, 100b, …, 100n) 사이의 데이터 트래픽 경로에 위치한다.
보안 서버(102)는 백본 스위치(107)를 미러링하여 관리대상 데이터 베이스 시스템(112,114)를 목적지 또는 출발지로 하는 데이터 패킷을 수집한다. 보안 서버(102)는 패킷을 감시, 분류 및, 저장할 수 있는 기능이 있으며, 분류된 패킷은 별 도의 독립적인 기록부(105)에 저장한다.
보안 서버(102)는 관리자 콘솔(103)에 의해 설정된 보안정책에 의거하여 패킷을 차단하고, 패킷이 보안정책에 어긋나거나, 위협이 감지되는 경우 보안시스템의 관리자에게 경고하도록 설정될 수 있다. 또한 보안 서버(102)는 특정 사용자가 데이터베이스 시스템(112,114), 데이터베이스 시스템 내의 객체 및, 데이터 등 보호되어야 할 대상에 대해 행한 모든 행위의 기록을 유지 및 보존하고, 사후 추적할 수 있는 감사(audit)기능이 있다. 따라서, 보안 정책을 설정하고 관리하기 위한 응용프로그램이 보안 서버(102)에 포함될 수 있다.
관리자 콘솔(103)은 관리할 데이터 베이스 시스템(112,114)에 대해 보안 정책을 설정하고, 보안 로그를 분석하여 보고하며 사용자를 관리하는 작업을 수행하여 관리조직의 특성을 반영한 정책을 설정한다. 또한 보안 로그를 분석하여 관리자가 이해하기 쉽도록 화면, 그림 및, 통계그래프 등의 정보를 제공하고, 분석된 내용은 기록부(105)에 기록한다. 이러한 보안 정책은 서버 IP, 포트 번호, 클라이언트 IP, 데이터베이스 사용자의 ID, 응용프로그램, SQL 타입 및, 대상 테이블 등의 다양한 요소를 참조하고 조합하여 설정된다.
관리 대상인 데이터 베이스 시스템(112,114)은 에이전트(116,120)와 데이터베이스(118,122)를 포함한다. 에이전트(116,120)는 특정 사용자가 데이터베이스(118,122), 데이터베이스 내의 객체 및, 데이터 등 보호되어야 할 대상에 대해 주어진 권한 내에서만 액세스할 수 있도록 통제하는 역할을 한다. 에이전트(116,120)는 관리대상 데이터베이스 시스템에서 인라인(in-line) 모드로 작동하여 DB 접속에 대한 통제기능을 수행하며, 외부 네트워크에서 캡쳐할 수 없는 내부 세션에 의한 SQL 모니터링 및 로깅기능도 수행한다.
즉, 에이전트(116,120)는 내부 패킷을 캡처하여 분석하고 그 결과를 저장하며 데이터베이스 시스템(112,114) 자체의 보안 취약점을 주기적으로 점검 및 분석한다. 또한 에이전트(116,120)는 내부적으로 관리자와 연결되어 데이터베이스 시스템(112,114) 내부의 데이터에 대한 관리 데이터를 관리자에게 전송하며, 데이터베이스 시스템(112,114) 외부의 보안 서버(102)와 연계하여 보안기능을 수행함으로써, 더욱 강력한 보안기능을 수행할 수 있도록 한다.
이하에서는 네트워크상의 패킷 흐름을 캡처하고, 분석을 통해 패킷차단의 단계까지의 데이터 패킷 처리의 흐름을 상세히 설명한다.
도 2는 본 발명의 바람직한 실시 예에 따른 패킷 감사와 접근 통제를 통한 네트워크 감시 시스템을 설명하기 위한 순서도이다.
도 2를 참조하면, 보안 서버(102)는 네트워크의 백본 스위치(107)를 지속적으로 미러링하면서 네트워크상의 데이터 패킷을 캡처한다(S201). 캡춰된 데이터 패킷은 보안 서버(102)에 의해 IP 및 TCP 헤더가 분석되고(S202), 패킷의 헤더 부분에서 추출한 IP 정보, 명령어, 전달하고자하는 SQL 및, Port 정보를 기준으로 해당 데이터 패킷이 보안 관리 대상인 데이터 베이스 시스템(112,114)를 출발지 또는 목적지로 하는 패킷인지가 판단된다(S203).
만일 해당 패킷이 관리대상 데이터베이스 시스템(112,114)에 대한 패킷이면, 해당 패킷의 SQL 정보가 들어있는 부분이 분석되어 SQL 타입, 대상 테이블, 명령어 및, SQL 문장 등의 상세 정보를 추출해낸다(S204).
다음으로, 분석이 끝난 데이터 패킷이 보안 정책의 기준에 맞는지 판단된다(S205).
보안정책은 외부 사용자가 내부 네트워크로 또는 내부 사용자가 인터넷 등과 같은 외부 네트워크로 통신하기 위해 데이터베이스에 접근할 때, 접근이 허용된 시스템에서 요청을 하는지, 통신 대상이 되는 목적지 시스템에 대한 접근 권한이 있는지를 검사하는 것에 대한 기준이 된다. 따라서 네트워크의 특정 자원에 대해서 접근자격이 있는 지가 검사된 후 접근 여부를 결정함으로써, 불법 침입자에 의한 불법적인 자원에 대한 접근 및 파괴를 방지할 수 있다.
이러한 접근통제는 접근통제 규칙에 의해서 이루어지며, 접근통제 규칙은 보안 시스템의 보안정책에 의해 결정이 된다. 보안정책의 수립을 올바로 이루어야, 궁극적으로 보호하고자 하는 자원에 대한 접근통제가 바르게 이루어질 수 있다. 보안정책이 수립이 되면 보안 시스템의 보안정책에 따라 접근통제 규칙이 설정되어야 하는데, 다음의 표 1과 같은 원칙을 고려하여 접근통제 규칙을 설정하여야 한다.
<표 1>
명확하게 허용하지 않는 것은 금지 명확하게 금지하지 않는 것은 허용
접근통제 규칙을 설정할 때, 보안정책에 따라 침입차단시스템에 접근이 허용된 주체와 주체가 접근할 수 있는 객체 리스트를 이용하여 접근통제규칙을 설정하고 접근통제 규칙에 해당 되지 않는 모든 접근에 대해서는 접근통제를 위반한 것으로 하는 원칙 금지된 주체와 객체의 리스트를 이용하여 접근통제 규칙을 설정하고 접근 통제 규칙에 설정되지 않은 모든 접근에 대해서는 허용
두 가지 원칙은 접근통제 규칙을 설정하기 위한 접근방법으로 사용이 된다.
만약, 명확하게 금지하지 않는 것은 허용하는 원칙에 따라 접근통제 규칙이 정해지면 새로운 서비스가 추가될 경우 접근통제 규칙이 적용되지 않는 보안상의 허점을 가질 수 있다.
따라서 시스템의 보안 특성상 엄격한 접근통제를 필요로 하는 경우에는, 접근통제 규칙에 해당하지 않는 접근에 대해서 접근을 거부하는 '명확하게 허용하지 않는 것은 금지'라는 원칙에 따라 접근통제 규칙이 설정되어야 한다. 이때, 접근통제 규칙의 접근권한은 접근을 허용 또는 허용하지 않는 것으로 설정될 수 있다.
또한, 접근통제를 하기 위해서는 신분확인 프로세스를 통해 객체에 접근하려는 주체의 신분이 먼저 결정이 되어야 한다. 접근통제에서의 접근 여부는 신분확인에 의해 시스템에 접근 여부를 허가하는 것과는 구분이 되어야 하는데, 식별 및 인증을 통해 사용자가 정당한 사용자인지를 확인하여 정당한 사용자가 아닌 경우에 접근을 통제하는 신분확인과, 접근통제 객체에 대해 사용을 요청한 사용자가 요청한 형태의 접근을 허가받았는지를 확인하여 접근을 통제하는 접근통제로 구분할 수 있다.
만약 보안 정책상 전송시켜서는 안 될 패킷이면, 해당 노드를 차단(S206)하여 패킷이 접근하지 못하게 하거나 특정 동작이 실행되지 않도록 패킷을 차단할 수 있고, 관리자에게 메일, SMS 등의 방법으로 경고를 보낼 수 있으며 로그로 남길 수도 있다(S207). 보안 정책상 전송시켜서는 안 될 패킷이 아니면, 패킷을 전송시키고 패킷에 대한 기록을 남기게 된다.
패킷에 대한 모든 분석 내용은 데이터베이스 보안 서버의 기록부(105)에 보관되어 실시간 또는 사후 분석, 근거 유지 등의 방안으로 활용된다.
본 발명의 기술 사상은 상기 바람직한 실시 예에 따라 구체적으로 기술되었으나, 상기한 실시 예는 그 설명을 위한 것이며, 그 제한을 위한 것이 아님을 주지하여야 한다. 또한, 본 발명의 기술분야에서 통상의 전문가라면 본 발명의 기술 사상의 범위 내에서 다양한 실시 예가 가능함을 이해할 수 있을 것이다.
이상에서 설명한 바와 같이, 본 발명에 의한 네트워크 패킷 감사와 접근 통제를 통한 데이터 베이스 보안 시스템 및 방법은 데이터베이스에 가해질 수 있는 여러 가지 보안 위협을 네트워크상에서 사전에 감사, 통제하는 구성을 가지므로, 보안 침해로 인한 위험을 최소화하고 다양한 종류의 공격에 의한 충격을 최소화할 수 있게 되어 데이터 베이스를 운영하는 조직의 정보보호수준 향상에 기여할 수 있게 하는 효과가 있고, 웜과 바이러스 등의 침입을 네트워크에서 차단함으로 보안 인프라와 네트워크 영향을 제거하며 공격에 대한 사후 조사로 인해 소요되는 관리자 운영 부담을 없애주는 효과가 있다.

Claims (7)

  1. 네트워크를 통해 다수의 사용자 서버들과 접속되고, 데이터베이스 시스템을 포함하는 전자문서 보관소의 보안 시스템에 있어서,
    스위치를 통해 네트워크 패킷을 캡처하여 분석하고, 패킷이 보안정책에 어긋나는 경우 패킷을 차단하고 경고하는 보안 서버 및;
    상기 데이터베이스 시스템에서 인라인 모드로 작동하여, 데이터베이스 시스템 내부의 패킷을 캡처하여 분석하고, 패킷이 보안정책에 어긋나는 경우 통제기능을 수행하며, 데이터베이스 시스템 자체의 취약점을 분석하는 에이전트를 구비하는 것을 특징으로 하는 보안 시스템.
  2. 제 1항에 있어서, 상기 보안 서버는 보안 정책을 설정하고 보안 로그를 분석하여 사용자에게 보고하는 관리자 콘솔을 구비하는 것을 특징으로 하는 보안 시스템.
  3. 제 1항에 있어서, 상기 보안 서버는, 분류된 패킷을 저장하고 특정 사용자가 데이터베이스 시스템에 대해 행한 행위를 기록하는 기록부를 구비하는 것을 특징으로 하는 보안 시스템.
  4. 제 1항에 있어서, 상기 보안정책은, 외부의 사용자 서버가 전자문서 보관소 내부로 또는 내부 사용자가 외부 네트워크로 통신하기 위해 데이터베이스에 접근할 때, 접근이 허용된 서버에서 요청을 하는지와, 통신 대상이 되는 목적지 서버에 대한 접근 권한이 있는지에 관한 것인 것을 특징으로 하는 보안 시스템.
  5. 네트워크를 통해 다수의 사용자 서버들과 접속되고, 데이터베이스 시스템 및 보안서버를 포함하는 전자문서 보관소에서 수행되는 보안 방법에 있어서,
    보안 서버가 스위치를 통해 네트워크 패킷을 캡처하는 제1단계;
    캡처된 패킷의 헤더를 분석하여 데이터베이스 시스템을 출발지 또는 목적지로 하는 패킷인지 판단하는 제2단계;
    패킷이 데이터베이스 시스템을 출발지 또는 목적지로 하는 패킷이면, 패킷의 내용을 분석하는 제3단계;
    분석된 내용에 따라 보안정책에 위반이 되는 패킷인가 판단하는 제4단계 및;
    보안정책에 위반이 되면, 해당 패킷을 차단하는 제5단계를 포함하는 것을 특징으로 하는 보안 방법.
  6. 제 5항에 있어서, 상기 제3단계는, 패킷의 SQL 정보를 추출하여 분석하는 것임을 특징으로 하는 보안 방법.
  7. 제 5항에 있어서, 상기 제5단계 후에, 관리자에게 경고하고 로그를 기록하는 단계를 더 포함하는 것을 특징으로 하는 보안 방법.
KR1020050088606A 2005-09-23 2005-09-23 전자문서 보관소의 보안 시스템 및 방법 KR100673137B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050088606A KR100673137B1 (ko) 2005-09-23 2005-09-23 전자문서 보관소의 보안 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050088606A KR100673137B1 (ko) 2005-09-23 2005-09-23 전자문서 보관소의 보안 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR100673137B1 true KR100673137B1 (ko) 2007-01-22

Family

ID=38014591

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050088606A KR100673137B1 (ko) 2005-09-23 2005-09-23 전자문서 보관소의 보안 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100673137B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210068832A (ko) * 2019-12-02 2021-06-10 주식회사 신시웨이 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210068832A (ko) * 2019-12-02 2021-06-10 주식회사 신시웨이 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법
KR102284183B1 (ko) 2019-12-02 2021-07-30 주식회사 신시웨이 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법

Similar Documents

Publication Publication Date Title
US8880893B2 (en) Enterprise information asset protection through insider attack specification, monitoring and mitigation
CN113032710A (zh) 一种综合审计监管系统
Phyo et al. A detection-oriented classification of insider it misuse
CN111526156B (zh) 基于大数据的安全云平台系统
JP2002342279A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
Ali et al. BCALS: Blockchain‐based secure log management system for cloud computing
US20070162596A1 (en) Server monitor program, server monitor device, and server monitor method
JP2022037896A (ja) 脅威対応自動化方法
Patil Madhubala Survey on security concerns in Cloud computing
Shrivastava et al. Network forensics: Today and tomorrow
Shulman et al. Top ten database security threats
Sureshkumar et al. A study of the cloud security attacks and threats
Ahmad et al. Cloud Computing–Threats and Challenges
SOX This White Paper
CN116894259A (zh) 一种数据库的安全访问控制系统
CN111556040A (zh) 一种运营商数据安全共享方法
KR100673137B1 (ko) 전자문서 보관소의 보안 시스템 및 방법
KR101400062B1 (ko) Iptv세트톱박스 보안관리시스템
Hassen et al. Preventive Approach against HULK Attacks in Network Environment
Banday et al. A study of Indian approach towards cyber security
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법
KR101032134B1 (ko) 암호화 기능이 포함된 웹서비스 공유물에 대한 통제 시스템제공 방법
KR20050095147A (ko) 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법
KR101007400B1 (ko) 데이터 프로세싱 보안 서비스 제공 방법 및 시스템
Cormack Processing Data to Protect Data: Resolving the Breach Detection Paradox

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130108

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140103

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141231

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20151228

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170102

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20171213

Year of fee payment: 12

LAPS Lapse due to unpaid annual fee