KR100796814B1 - Pci-type security interface card and security management system - Google Patents

Pci-type security interface card and security management system Download PDF

Info

Publication number
KR100796814B1
KR100796814B1 KR1020060075775A KR20060075775A KR100796814B1 KR 100796814 B1 KR100796814 B1 KR 100796814B1 KR 1020060075775 A KR1020060075775 A KR 1020060075775A KR 20060075775 A KR20060075775 A KR 20060075775A KR 100796814 B1 KR100796814 B1 KR 100796814B1
Authority
KR
South Korea
Prior art keywords
security
server
card
pci
packet
Prior art date
Application number
KR1020060075775A
Other languages
Korean (ko)
Inventor
노철희
Original Assignee
모젠소프트 (주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 모젠소프트 (주) filed Critical 모젠소프트 (주)
Priority to KR1020060075775A priority Critical patent/KR100796814B1/en
Application granted granted Critical
Publication of KR100796814B1 publication Critical patent/KR100796814B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/10Program control for peripheral devices
    • G06F13/12Program control for peripheral devices using hardware independent of the central processor, e.g. channel or peripheral processor
    • G06F13/122Program control for peripheral devices using hardware independent of the central processor, e.g. channel or peripheral processor where hardware performs an I/O function other than control of data transfer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/287Remote access server, e.g. BRAS
    • H04L12/2876Handling of subscriber policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2898Subscriber equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

A PCI(Peripheral Component Interconnect)-typed security interface card and a security management system using the same are provided to prevent hacking infection or spread of a worm virus or hacking which detours security equipment of a gateway end fundamentally by attaching the PCI-typed security card to a main board of a server. A security card body(20) determines access of a user requesting the access through the internal/external network and packet transfer depending on a predetermined security level. A power supply interface(13) is installed under the security card body and supplies operation power by being mounted on a PCI slot of the main board of the server. A control interface(14) is installed under the body and transfers a command received from the server by being mounted on the PCI slot of the main board. An external connection port(11) is installed to one side of the security card body and transceives the packet connecting the external environment to a network cable. An internal connection port(12) is installed to one side of the security card body, refines/transmits the packet received from the outside to the server or receives the packet received from the server, and is connected to an NIC(Network Interface Card) end of the server through a cable.

Description

피씨아이형 보안 인터페이스 카드 및 보안관리 시스템{PCI-Type Security Interface Card and Security Management System}PC-type security interface card and security management system

도1은 본 발명에 따른 PCI형 보안 인터페이스 카드를 나타낸 블록도.1 is a block diagram showing a PCI type security interface card according to the present invention.

도2는 도1의 PCI형 보안 인터페이스 카드를 장착한 서버들의 보안관리 시스템을 나타낸 도면.FIG. 2 is a diagram illustrating a security management system of servers equipped with the PCI type security interface card of FIG. 1. FIG.

도3은 도2의 보안관리 시스템을 구성하는 중앙관리 서버의 구성을 나타낸 도면.3 is a view showing the configuration of a central management server constituting the security management system of FIG.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

10 : PCI형 보안 인터페이스 카드 11 : 외부연결 포트10: PCI type security interface card 11: external connection port

12 : 내부연겨 포트 13 : 전원공급 인터페이스12: internal connection port 13: power supply interface

14 : 콘트롤 인터페이스 20 : 보안카드 몸체14: control interface 20: security card body

21 : 중앙처리장치 22 : 부팅 메모리21: central processing unit 22: boot memory

23 : 패킷 버퍼 24 : 패턴저장 메모리23: packet buffer 24: pattern storage memory

30 : 개별 서버 40 : 중앙관리 서버30: individual server 40: central management server

41 : 개별서버 연결부 42 : 보안정책 설정부41: individual server connection 42: security policy setting unit

43 : 로그파일 수집부 44 : 보안 보고서 생성부43: log file collection unit 44: security report generation unit

45 : 위험수위 알림부 50 : RDBMS45: danger level notification unit 50: RDBMS

60 : 관리 콘솔60: management console

본 발명은 개별 서버의 해킹 및 바이러스의 침투를 방지하기 위한 PCI형 보안 인터페이스 카드에 관한 것으로, 특히 서버의 메인보드에 개별적으로 장착하고외부 네트워크를 통해 수신되는 패킷과 서버로부터 송신되는 패킷의 개별적인 보안이 가능하도록 함으로써 종래의 경계선 보안제품의 단점을 보완한 PCI형 보안 인터페이스 카드와; 상기 PCI형 보안 카드가 장착된 개별 서버들과 상기 개별 서버들에 장착된 보안 인터페이스 카드를 통합 관리할 수 있는 중앙관리서버, 상기 중앙관리서버에 연결되어 보안정책을 수립하고 각각의 개별 서버를 모니터링할 수 있는 관리 콘솔, 그리고 중앙서버에서 수집한 개별서버의 로그파일을 저장 관리하는 RDBMS로 구성된 보안관리 시스템을 제공함으로써 외부 및 내부 사용자에 의한 해킹 위협으로부터 개별서버들을 안전하게 보호할 수 있도록 한다. The present invention relates to a PCI type security interface card to prevent hacking and virus penetration of individual servers, and in particular, separate security of packets transmitted from the server and packets received separately from the main board of the server and separately A PCI type security interface card, which makes up for the above-mentioned disadvantages of conventional borderline security products; A central management server capable of integrated management of individual servers equipped with the PCI type security card and security interface cards mounted on the individual servers, and connected to the central management server to establish a security policy and monitor each individual server. It provides a security management system consisting of a management console that can be used and an RDBMS that stores and manages log files of individual servers collected from a central server, thereby protecting individual servers from hacking threats from external and internal users.

서버를 해킹으로 방지하여 정보를 보호하기 위한 현재의 보안제품들은 소프트웨어(Software) 방식과 하드웨어(Hardware) 방식을 바탕으로 개발되어 제공되고 있다.Current security products for protecting information by preventing servers from being hacked are being developed and provided based on a software method and a hardware method.

상기 소프트웨어 방식의 보안제품은 주로 프로그램형태로 제공되며, 이를 서버에 설치하여 외부로부터의 유해한 정보를 차단하고 있으나, 운영 시스템 내부에 하나의 어플리케이션 상태로 운영되기 때문에 성능 저하의 문제나 기존 시스템 또는 타 프로그램들과의 충돌이 발생한다는 문제점이 있었다.The security method of the software method is mainly provided in the form of a program, it is installed on the server to block harmful information from the outside, but because of operating in a single application state inside the operating system, the problem of performance degradation or existing system or other There was a problem with conflicts with programs.

또한, 하드웨어방식의 보안제품은 네트워크 시스템에 사용되고 있는 단품의 솔루션과 화이어 월(Firewall), IDS, VPN 등을 통합한 통합보안제품들이 개발되어 있고, 이들은 서버를 개별적으로 보호하는 것이 아니라 모두 게이트웨이 단에 설치되어 외부로부터 유입되는 유해 정보를 차단하고, 게이트웨이를 통한 해커들의 침입을 방지하여 서버에 악성 바이러스가 침투하거나 서버의 정보가 유출되는 것을 방지하였다.In addition, hardware-based security products have been developed as a single solution used in network systems and integrated security products that integrate Firewall, IDS, VPN, and so on. It was installed in the network to block harmful information from outside and prevent hackers from invading through the gateway to prevent malicious viruses from entering the server or leaking information from the server.

그러나, 상기와 같이 게이트웨이 단 즉, 경계선에 설치되는 보안제품은 네트워크를 통한 외부의 침입은 방지할 수 있으나 내부 사용자의 악의적인 해킹에는 무방비로 노출되어 있으므로 근본적인 대응이 어렵다는 문제점이 있었다.However, as described above, a security product installed at a gateway stage, that is, a boundary line can prevent intrusion from the outside through a network, but there is a problem in that it is difficult to fundamentally respond to malicious hacking of an internal user.

또한, 종래의 보안제품들은 VPN 및 무선 랜 사용이 가능한 인터넷 접점지역에 설치되기 때문에, 접점지역을 우회하여 내부에 침입할 수 있어 우회 침투에 항상 노출되어 있다는 문제점도 있었다.In addition, the conventional security products are installed in the Internet contact area that can be used VPN and wireless LAN, there is a problem that can be invaded inside by bypassing the contact area is always exposed to the bypass infiltration.

또한, 내부 사용자들에 의한 악의적인 웜 바이러스 등의 유포와 확산에 대한 내부 중요서버의 보안 대응이 어렵다는 문제점도 있었으며, 외주업체 상주시에 내부 네트워크 접근 통제가 어렵고, 이로 인해 주요서버의 보호 대응이 어렵다는 문 제점이 있었다.In addition, there was a problem that it was difficult for the internal critical server to cope with the distribution and spread of malicious worm virus by internal users, and it was difficult to control the access to the internal network when the subcontractor resides, which made it difficult to cope with the protection of the main server. There was a problem.

또한, 상기 하드웨어방식의 보안제품들은 별도의 전원을 사용하므로 그 전원이 차단된 경우 보안에 중대한 장애가 발생한다는 문제점도 있었으며, 제품이 크고 고가이므로 보안 시스템을 구축하기 위한 비용이 많이 소요되고, 단품의 서버 또는 PC에 장착하기 위해 개별적으로는 구입하기에는 부담이 크다는 문제점도 있었다.In addition, since the hardware-based security products use a separate power source, there was a problem that a serious obstacle to security occurs when the power is cut off, and since the product is large and expensive, it takes a lot of cost to build a security system. There was also a problem that it is too expensive to buy separately for mounting on a server or PC.

또한, 상기와 같은 소프트웨어 또는 하드웨어 방식의 보안제품들은 모두 서버의 OS 상에서 운영되기 때문에 DoS 또는 DDoS 공격 및 웜 바이러스의 공격에 취약하다는 문제점이 있었으며, 서버의 CPU, 메모리 등 서버의 리소스(Resource)를 공유하기 때문에 서버 전체의 성능을 저하시킨다는 문제점도 있었다.   In addition, all of the software or hardware-based security products operate on the server's operating system, which makes them vulnerable to DoS or DDoS attacks and worm viruses. Server resources such as CPU and memory of the server There was also the problem of slowing down overall server performance because of sharing.

따라서, 본 발명은 상술한 소프트웨어 및 하드웨어 방식의 보안제품들의 문제점을 해결하기 위하여 서버의 메인보드에 개별적으로 장착가능한 PCI 방식의 보안 인터페이스 카드를 제공함으로써, 게이트웨이 단의 보안장비를 우회하여 이루어지는 해킹이나 웜 바이러스 감염 또는 확산을 근본적으로 방지할 수 있도록 하는 것을 목적으로 한다.Accordingly, the present invention provides a PCI-type security interface card that can be individually mounted on the main board of the server in order to solve the problems of the above-described software and hardware-based security products, hacking is made by bypassing the security equipment of the gateway It aims to be able to fundamentally prevent worm virus infection or spread.

또한, 본 발명에 따른 PCI 방식의 보안 인터페이스 카드를 서버별로 개별 장착함으로써 내부 사용자에 의한 악의적인 해킹이나 중요 서버에 대한 불법적인 접근을 원천적으로 차단하여 기업의 중요 정보자원을 안전하게 보호할 수 있도록 하는 것을 또 다른 목적으로 한다.In addition, by installing the PCI-type security interface card according to the present invention for each server separately to prevent malicious hacking by the internal user or illegal access to the important server to protect the company's important information resources safely For another purpose.

또한, 서버에 개별적으로 장착함으로써 기존의 운영 시스템이나 타 프로그램 들과의 충돌발생을 방지하고, 보안 기능의 부가로 인한 서버의 성능저하 없이 DDoS 공격 및 웜 바이러스를 차단하고 서버를 안전하게 보호할 수 있도록 하는 것을 또 다른 목적으로 한다.In addition, it can be installed on the server individually to prevent conflicts with existing operating systems or other programs, and to block DDoS attacks and worm viruses and protect the server safely without degrading server performance due to the addition of security functions. To do it for another purpose.

또한, 서버에 장착하고 서버로부터 전원을 공급받아 구동되므로 별도의 전원을 사용할 필요없이 장비의 정전에 대한 장애 문제를 사전에 방지하는 것을 또 다른 목적으로 한다.In addition, since it is mounted on the server and driven by receiving power from the server, another object of the present invention is to prevent a problem of power failure in advance without using a separate power source.

또한, 메인 보드에 장착할 수 있도록 소형으로 제조하기 때문에 제조비용을 절감할 수 있어 소비자의 구매에 부담을 주지않고 개별서버 및 PC의 보안이 용이하게 하도록 하는 것을 또 다른 목적으로 한다.In addition, because it is manufactured in a small size to be mounted on the main board it is possible to reduce the manufacturing cost to facilitate the security of individual servers and PCs without burdening the consumer purchase.

상기 목적을 달성하기 위하여 본 발명은, 내외부 네트워크를 통해 접속을 요청한 사용자의 접속여부 및 패킷 전송유무를 기 설정된 보안수준에 따라 결정하는 보안카드 본체와; 상기 보안카드 본체 하단에 설치되고 서버의 메인보드의 PCI 슬롯에 장착되어 구동하기 위한 전원을 공급하는 전원공급 인터페이스와; 상기 보안카드 본체 하단에 설치되고 서버의 메인보드의 PCI 슬롯에 장착되어 상기 서버로부터 명령을 전달하기 위한 콘트롤 인터페이스와; 상기 보안카드 본체 일측에 설치되며 외부환경과 네트워크 케이블을 연결하는 패킷을 송수신하기 위한 외부 연결포트와; 상기 보안카드 본체 일측에 설치되며 외부로부터 전송된 패킷을 정제하여 서버로 전송하거나 서버로부터 전송된 패킷을 수신하며 서버의 NIC단에 케이블로 연결되는 내부 연결포트로 구성된 것을 특징으로 하는 PCI형 보안 인터페이스 카드를 제공한다.In order to achieve the above object, the present invention includes a security card body for determining whether or not the connection of the user requesting access through the internal and external network and whether or not the packet transmission according to a predetermined security level; A power supply interface installed at the bottom of the security card main body and supplied with a PCI slot of a main board of the server to supply power for driving; A control interface installed at the bottom of the security card main body and mounted in a PCI slot of the main board of the server to transmit a command from the server; An external connection port installed at one side of the security card main body and transmitting and receiving a packet connecting a network cable with an external environment; PCI type security interface is installed on one side of the main body of the security card, characterized in that it consists of an internal connection port connected to the server's NIC end by receiving a packet transmitted from the server to refine the packet transmitted from the outside to the server Provide the card.

또한, 상기 메인보드에 PCI형 보안카드가 장착되며, 상기 보안카드를 제어하기 위한 보안카드 콘트롤 에이전트가 설치된 개별 서버들과; 상기 개별 서버들에 연결되어 보안정책을 설정하고 이에 따라 상기 콘트롤 에이전트를 통해 보안카드를 제어하며, 서버 및 네트워크의 모니터링을 실시하기 위한 중앙관리 서버와; 상기 중앙관리 서버에 연결되어 서버별로 수집된 로그파일을 저장 관리하여 보고서를 생성하기 위한 로그파일의 통계값을 생성하는 RDBMS과; 암호화된 웹브라우져를 통해 중앙관리 서버에 접근하여 상기 중앙관리 서버에 연결된 보호대상 서버의 보안정책을 수립하고, 보안 관리자가 모니터링할 수 있도록 하는 관리 콘솔로 구성된 것을 특징으로 하는 PCI형 보안 인터페이스 카드를 이용한 보안관리 시스템을 제공한다.In addition, the main board is equipped with a PCI type security card, and the individual server is installed a security card control agent for controlling the security card; A central management server connected to the individual servers to set a security policy and control a security card through the control agent accordingly, and monitor the server and the network; An RDBMS connected to the central management server to store and manage log files collected for each server to generate statistical values of log files for generating reports; Access the central management server through an encrypted web browser to establish a security policy of the protected server connected to the central management server, and a PCI-type security interface card comprising a management console configured to allow the security administrator to monitor Provides a security management system.

이하, 첨부된 도면을 참조로 하여 본 발명에 좀 더 상세히 설명하기로 한다.Hereinafter, with reference to the accompanying drawings will be described in more detail the present invention.

도1은 본 발명에 따른 PCI형 보안 인터페이스 카드(10)를 나타낸 것으로, 내외부 네트워크를 통해 접속을 요청한 사용자의 접속여부 및 패킷 전송유무를 기 설정된 보안수준에 따라 결정하는 보안카드 본체(20)와; 상기 보안카드 본체(20) 하단에 설치되고 서버의 메인보드의 PCI 슬롯에 장착되어 구동 전원을 공급하는 전원공급 인터페이스(13)와; 상기 보안카드 본체(20) 하단에 설치되고 서버의 메인보드의 PCI 슬롯에 장착되어 상기 서버로부터 명령을 전달하기 위한 콘트롤 인터페이스(14)와; 상기 보안카드 본체(20) 일측에 설치되며 외부환경과 네트워크 케이블을 연결하는 패킷을 송수신하기 위한 외부 연결포트(11)와; 상기 보안카드 본체(20) 일측에 설치되며 외부로부터 전송된 패킷을 정제하여 서버로 전송하거나 서버로부터 전송된 패킷을 수신하며 서버의 NIC단에 연결하는 내부 연결포트(12)로 구성된다.1 illustrates a PCI type security interface card 10 according to the present invention, and includes a security card body 20 for determining whether a user requests access through an internal and external network and whether a packet is transmitted according to a preset security level. ; A power supply interface 13 installed at the bottom of the security card body 20 and mounted in a PCI slot of a main board of the server to supply driving power; A control interface 14 installed at the bottom of the security card main body 20 and mounted in a PCI slot of the main board of the server to transmit a command from the server; An external connection port 11 installed at one side of the security card main body 20 for transmitting and receiving a packet connecting a network cable with an external environment; Installed on one side of the security card main body 20 is purified by the packet transmitted from the outside and transmitted to the server or receives the packet transmitted from the server and consists of an internal connection port 12 connected to the NIC end of the server.

또한, 상기 보안카드 본체(20)는 외부 네트워크로부터 외부연결 포트(11)에 의해 수신된 인바운드 패킷 또는 서버로부터 수신되어 외부 네트워크로 송신되는 아웃 바운드 패킷에 기 설정된 보안수준을 적용하여 접속인가 여부와 접속된 인가자에게로의 패킷 전송여부를 결정하고, 상기 패킷의 바이러스 포함여부를 확인 및 정제하여 처리하기 위한 중앙처리장치(21)와; 상기 전원공급 인터페이스(13)로부터 전원을 공급받아 보안카드의 원활한 동작을 위해 실행되는 부팅 메모리(22)와; 대용량의 패킷을 처리하기 위한 일정 공간의 버퍼 공간 메모리인 패킷 버퍼(23)와; 보안정책을 설정하여 저장하고 패턴을 저장하는 패턴저장 메모리(24)와, 상기 보안카드의 동작상태를 나타내는 LED(25)로 구성된다.In addition, the security card main body 20 is applied to the inbound packet received by the external connection port 11 from the external network or the outbound packet received from the server and sent to the external network by applying a preset security level. A central processing unit (21) for determining whether or not to transmit a packet to a connected authorized person, and for identifying, purifying, and processing the virus in the packet; A boot memory 22 which receives power from the power supply interface 13 and is executed for smooth operation of the security card; A packet buffer 23 which is a buffer space memory of a predetermined space for processing a large amount of packets; It consists of a pattern storage memory 24 for setting and storing a security policy and storing a pattern, and an LED 25 for indicating an operation state of the security card.

또한, 상기 PCI형 보안 인터페이스 카드가 설치되는 서버에는 보안 인터페이스 카드의 부팅 메모리에 저장되어 있거나 별도로 제공되는 프로그램인 콘트롤 에이전트가 설치된다. 상기 콘트롤 에이전트는 보안 인터페이스 카드와 서버간의 물리적인 연결상태를 관리하며, 보안정책 수립을 위한 명령을 수행하고, 보안카드의 버전을 실시간으로 검색하여 실시간으로 업데이트를 점검하거나 적용한다.In addition, the control agent, which is a program stored in the boot memory of the security interface card or separately provided, is installed in the server where the PCI type security interface card is installed. The control agent manages a physical connection state between the security interface card and the server, executes a command for establishing a security policy, retrieves the version of the security card in real time, and checks or applies an update in real time.

상기와 같은 PCI형 보안 인터페이스 카드의 보안방법은 먼저 인가된 사용자만이 서버에 접근할 수 있도록 콘트롤 에이전트를 사용하여 서버 운용자나 PC 보유자가 직접 보안정책을 설정한다. 다음에, 상기 설정된 보안정책에 따라 서버로 접 근하는 IP 및 서비스 수준을 확인하여 인가된 사용자만이 서버에 접근할 수 있도록 한다. 또한, 접근이 허용된 사용자 및 서비스 수준에 대한 세부 패킷 검사를 실시하여, 설정된 보안정책에 따라 배드(Bad) 패킷으로 판단될 경우 이를 차단하고, 안전한 패킷만을 내부 연결포트를 통해 서버로 통과시킨다. 또한, DOS, DDOS, 트래픽 어노말리(traffic Anomaly), 프로토콜 어노말리(protocol Anomaly) 공격에 대해서는 보안정책 설정시 트래픽 조절 및 관리 기능을 부여하여 서버로 유입되는 유해 트래픽을 조절함으로써 서버의 안전을 도모할 수 있다.In the security method of the PCI-type security interface card as described above, a server operator or a PC owner directly sets a security policy so that only an authorized user can access the server. Next, check the IP and service level to access the server in accordance with the set security policy so that only authorized users can access the server. In addition, by performing detailed packet inspection on the user and service level allowed access, if it is determined to be a bad packet according to the set security policy, it blocks it, and passes only the safe packet to the server through the internal connection port. In addition, for DOS, DDOS, traffic anomaly, and protocol anomaly attacks, traffic control and management functions are provided when setting the security policy to control the harmful traffic flowing into the server to improve server safety. can do.

상기와 같이 PCI형 보안 인터페이스 카드는 인가된 사용자 및 서비스 수준에 따라 서버에 접속한 사용자를 접근시키고, 접근된 사용자라 하더라도 패킷의 안전여부를 검사하여 안전한 패킷만을 서버로 전송함으로써 외부 네트워크를 통한 사용자 및 내부 사용자들로부터 서버를 안전하게 보호할 수 있다.As described above, the PCI type security interface card accesses the user connected to the server according to the authorized user and the service level, and even the accessed user checks the safety of the packet and transmits only the safe packet to the server to the user through the external network. And secure the server from internal users.

상기와 같은 PCI형 보안 인터페이스 카드는 서버에 장착하는 것으로 설명하였으나 PC의 메인보드에 장착하여 PC의 보안에도 용이하게 적용할 수 있다.The PCI-type security interface card as described above has been described as being mounted on the server, but can be easily applied to the security of the PC by mounting it on the motherboard of the PC.

다음에, 도2는 본 발명에 따른 PCI형 보안 인터페이스 카드를 설치한 개별 서버들을 중앙관리하기 위한 보안 시스템을 개략적으로 나타낸 것으로서, 메인보드에 PCI형 보안 인터페이스 카드가 장착되며, 상기 보안카드를 제어하기 위한 보안카드 콘트롤 에이전트가 설치된 개별 서버(30)들과; 상기 개별 서버(30)들에 연결되어 보안정책을 설정하고 이에 따라 상기 콘트롤 에이전트를 통해 보안카드를 제어하며, 서버 및 네트워크의 모니터링을 실시하기 위한 중앙관리 서버(40)와; 상기 중앙관리 서버(40)에 연결되어 서버별로 수집된 로그파일을 저장 관리하여 보고서를 생성하기 위한 로그파일의 통계값을 생성하는 RDBMS(50, Relational Database Management System)과; 암호화된 웹브라우져를 통해 중안관리 서버에 접근하여 상기 중앙관리 서버에 연결된 보호대상 서버의 보안정책을 수립하고, 보안 관리자가 모니터링할 수 있도록 하는 관리 콘솔(60)로 구성된다.Next, FIG. 2 schematically shows a security system for centrally managing individual servers installed with a PCI type security interface card according to the present invention, in which a PCI type security interface card is mounted on a main board and controls the security card. Individual servers 30 to which a security card control agent is installed; A central management server 40 connected to the individual servers 30 to set a security policy and to control the security card through the control agent and to monitor the server and the network accordingly; A relational database management system (RDBMS) 50 connected to the central management server 40 for storing and managing log files collected for each server to generate statistical values of log files for generating reports; Access to the central management server through an encrypted web browser to establish a security policy of the server to be protected connected to the central management server, and consists of a management console 60 to monitor the security administrator.

또한, 상기 도3은 본 발명에 따른 도2의 보안 시스템의 중앙관리 서버(40)의 구성을 나타낸 것으로, 상기 중앙관리 서버(40)는 개별 서버(30)별로 분산된 보안을 집중적으로 통합관리하기 위해 개별 서버(30)에 설치된 콘트롤 에이전트를 관리하고 개별 서버별로 보안정책을 실시간으로 업데이트하도록 하며, 명령의 실행을 요청하는 개별서버 연결부(41)와; 개별 서버(30) 별로 저장된 데이터에 따른 보안등급을 달리하여 개별 보안정책을 설정하고 통제하기 위한 서버별 보안정책 설정부(42)와; 상기 수립된 보안정책에 따라 개별 서버에 접근한 사용자들의 Log 파일을 수집하고 통계값을 산출하여 상기 RDBMS에 저장하는 로그파일 수집부(43)와; 상기 로그파일 수집부(43)를 통해 산출된 통계값에 따라 개별 서버별 보안 보고서를 생성하는 보안 보고서 생성부(44)와; 개별 서버(41)에 해커의 침입 또는 바이러스의 침투여부를 확인하여 실시간으로 위험수위를 알려주는 위험수위 알림부(45)를 포함하도록 구성되어 있다. In addition, Figure 3 shows the configuration of the central management server 40 of the security system of Figure 2 in accordance with the present invention, the central management server 40 is integrated management intensively distributed security for each individual server 30 In order to manage the control agent installed in the individual server 30 to update the security policy for each individual server in real time, the individual server connection unit 41 for requesting the execution of the command; A server-specific security policy setting unit 42 for setting and controlling an individual security policy by varying a security level according to data stored for each server 30; A log file collecting unit 43 for collecting log files of users accessing individual servers according to the established security policy, calculating statistical values, and storing the calculated log values in the RDBMS; A security report generator 44 for generating a security report for each server according to the statistical value calculated by the log file collector 43; The individual server 41 is configured to include a risk level notification unit 45 to check whether the intrusion of hackers or infiltration of the virus in real time to tell the level of danger.

상기와 같이 구성된 PCI형 보안 인터페이스 카드를 이용한 보안 시스템의 보 안방법은 먼저 서버별로 메인보드에 PCI형 보안 인터페이스 카드를 설치하고, 보안카드 콘트롤 에이전트를 서버별로 설치한다. 다음에 상기 중앙관리 서버에서 각 서버에 저장된 데이터의 보안등급을 구분하여 서버별로 보안정책을 수립하고 그 수립된 보안정책을 각각의 서버로 전송하여 서버별로 별개의 보안정책이 반영되도록 한다. 이때, 보안정책에는 서버별로 접속 인가자들의 정보를 제공하여 비인가자가 접속 요청시 이를 사전에 차단할 수 있도록 한다. 다음에 수립된 정책에 따라 개별 서버에 접속한 로그파일을 수집하고 이를 RDBMS에 저장하며, 일정 주기로 통게값을 산출하고, 그 통계값을 바탕으로 개별 서버의 보안 보고서를 생성함으로써 차후 보안정책을 수립하는 자료로 활용한다.In the security method of the security system using the PCI type security interface card configured as described above, first install the PCI type security interface card on the motherboard for each server, and install the security card control agent for each server. Next, the central management server classifies the security level of the data stored in each server, establishes a security policy for each server, and transmits the established security policy to each server to reflect a separate security policy for each server. At this time, the security policy provides the information of the access authorization for each server so that an unauthorized person can block the access beforehand. Next, establish a security policy by collecting log files connected to individual servers according to the established policy, storing them in the RDBMS, calculating the general value at regular intervals, and generating security reports of individual servers based on the statistics. It is used as data to say.

상기와 같이 본 발명에 따른 하드웨어 방식의 PCI형 보안 인터페이스 카드와 보안카드 콘트롤 에이전트를 설치하고, 중앙 관리서버를 통해 서버의 보안등급에 맞는 보안정책을 수립하여 적용함으로써 외부 접속자 뿐만아니라 내부 접속자들의 접속권한을 관리 감독할 수 있다.As described above, by installing a hardware-type PCI type security interface card and a security card control agent according to the present invention, by establishing and applying a security policy according to the security level of the server through the central management server to access not only external users but also internal users Authority can be supervised.

이상과 같이 본 발명은 도면에 도시한 실시예를 참고하여 설명하였으나, 이는 발명을 설명하기 위한 것일 뿐이며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 발명의 상세한 설명으로부터 다양한 변형 또는 균등한 실시예가 가능하다는 것을 이해할 수 있을 것이다. 따라서 본 발명의 진정한 권리 범위는 특허청구범위의 기술적 사상에 의해 결정되어야 한다.As described above, the present invention has been described with reference to the embodiments shown in the drawings, but it is only for illustrating the invention, and those skilled in the art to which the present invention pertains various modifications or equivalents from the detailed description of the invention. It will be appreciated that one embodiment is possible. Therefore, the true scope of the present invention should be determined by the technical spirit of the claims.

상술한 바와 같이 본 발명에 따른 PCI형 보안 인터페이스 카드는 서버의 메인보드에 개별적으로 장착가능한 PCI 방식의 보안 인터페이스 카드를 제공함으로써, 게이트웨이 단의 보안장비를 우회하여 이루어지는 해킹이나 웜 바이러스 감염 또는 확산에 대해 근본적으로 방지할 수 있다.As described above, the PCI type security interface card according to the present invention provides a PCI type security interface card that can be individually mounted on a main board of a server, thereby preventing hacking or worm virus infection or spreading by bypassing a security device at a gateway end. Can be prevented fundamentally.

또한, 본 발명에 따른 PCI 방식의 보안 인터페이스 카드를 서버별로 개별 장착함으로써 내부 사용자에 의한 악의적인 해킹이나 중요 서버에 대한 불법적인 접근을 원천적으로 차단하여 기업의 중요 정보자원을 안전하게 보호할 수 있다.In addition, by installing the PCI-type security interface card according to the present invention for each server, it is possible to fundamentally block malicious hacking by the internal user or illegal access to the important server to securely protect important information resources of the enterprise.

또한, 서버에 개별적으로 장착함으로써 기존의 운영 시스템이나 타 프로그램들과의 충돌발생을 방지하고, 보안 기능의 부가로 인한 서버의 성능저하 없이 DDoS 공격 및 웜 바이러스를 차단하고 서버를 안전하게 보호할 수 있다.In addition, by separately installing on the server, it is possible to prevent conflicts with existing operating systems or other programs, and to block DDoS attacks and worm viruses and to secure the server without degrading the server performance due to the addition of security functions. .

또한, 서버에 장착하고 서버로부터 전원을 공급받아 구동되므로 별도의 전원을 사용할 필요가 없어 장비의 정전에 대한 장애 문제를 사전에 방지할 수 있다.In addition, since it is mounted on the server and driven by receiving power from the server, there is no need to use a separate power source, thereby preventing the problem of power failure in advance.

또한, 서버의 메인 보드에 장착할 수 있도록 소형으로 제조하기 때문에 제조비용을 절감할 수 있어 소비자의 구매에 부담을 주지않고 개별서버 및 PC의 보안을 용이하게 실시할 수 있다.In addition, since it is manufactured in a small size to be mounted on the main board of the server, manufacturing cost can be reduced, so that individual servers and PCs can be easily secured without burdening consumers.

Claims (6)

내외부 네트워크를 통해 접속을 요청한 사용자의 접속여부 및 패킷 전송유무를 기 설정된 보안수준에 따라 결정하는 보안카드 본체와; A security card body for determining whether a user who requests access through an internal or external network and whether or not a packet is transmitted according to a preset security level; 상기 보안카드 본체 하단에 설치되고 서버의 메인보드의 PCI 슬롯에 장착되어 구동 전원을 공급하는 전원공급 인터페이스와;A power supply interface installed at the bottom of the security card body and mounted in a PCI slot of a main board of the server to supply driving power; 상기 보안카드 본체 하단에 설치되고 서버의 메인보드의 PCI 슬롯에 장착되어 상기 서버로부터 명령을 전달하기 위한 콘트롤 인터페이스와; A control interface installed at the bottom of the security card main body and mounted in a PCI slot of the main board of the server to transmit a command from the server; 상기 보안카드 본체 일측에 설치되며 외부환경과 네트워크 케이블을 연결하는 패킷을 송수신하기 위한 외부 연결포트와; An external connection port installed at one side of the security card main body and transmitting and receiving a packet connecting a network cable with an external environment; 상기 보안카드 본체 일측에 설치되며 외부로부터 전송된 패킷을 정제하여 서버로 전송하거나 서버로부터 전송된 패킷을 수신하며 서버의 NIC단에 케이블로 연결되는 내부 연결포트를 포함하는 것을 특징으로 하는 PCI형 보안 인터페이스 카드.PCI type security, characterized in that it is installed on one side of the main body of the security card and purified by the packet transmitted from the outside to transmit to the server or receive the packet transmitted from the server and an internal connection port connected to the NIC of the server by a cable Interface card. 제 1 항에 있어서,The method of claim 1, 상기 보안카드 본체는,The security card body, 외부 네트워크로부터 외부연결 포트에 의해 수신된 인바운드 패킷 또는 서버로부터 수신되어 외부 네트워크로 송신되는 아웃 바운드 패킷에 기 설정된 보안수준을 적용하여 접속인가 여부와 접속된 인가자에게로의 패킷 전송여부를 결정하고, 상기 패킷의 바이러스 포함여부를 확인 및 정제하여 처리하기 위한 중앙처리장치와; Determining whether a connection is made and whether to send a packet to an authorized user by applying a preset security level to an inbound packet received from an external network by an external connection port or an outbound packet received from a server and sent to an external network, A central processing unit for identifying and purifying the packet including the virus; 상기 전원공급 인터페이스로부터 전원을 공급받아 보안카드의 원활한 동작을 위해 실행되는 부팅 메모리와; A boot memory which receives power from the power supply interface and is executed for smooth operation of the security card; 대용량의 패킷을 처리하기 위한 일정 공간의 버퍼 공간 메모리인 패킷 버퍼와; A packet buffer which is a buffer space memory of a predetermined space for processing a large amount of packets; 보안정책을 설정하여 저장하고 패턴을 저장하는 패턴저장 메모리와, A pattern storage memory for setting and storing security policies and storing patterns; 상기 보안카드의 동작상태를 나타내는 LED를 포함하는 것을 특징으로 하는 PCI형 보안 인터페이스 카드.PCI type security interface card comprising an LED indicating the operating state of the security card. 제 1 항에 있어서,The method of claim 1, 상기 PCI형 보안 인터페이스 카드는,The PCI type security interface card, 보안 인터페이스 카드와 서버간의 물리적인 연결상태를 관리하며, 보안정책 수립을 위한 명령을 수행하고, 보안카드의 버전을 실시간으로 검색하여 업데이트를 점검하거나 적용하는 프로그램인 콘트롤 에이전트를 더 포함하는 것을 특징으로 하는 PCI형 보안 인터페이스 카드.It further comprises a control agent that manages the physical connection between the security interface card and the server, performs a command for establishing a security policy, and checks or applies an update by searching for the version of the security card in real time. PCI-type security interface card. 제 3 항에 있어서,The method of claim 3, wherein 상기 콘트롤 에이전트의 보안정책은, The security policy of the control agent, 접속 인가자를 설정하고 인가자 등의 접속가능 서비스 수준을 결정하며, 외부포트로부터 수신된 패킷의 안전 여부를 결정하고, 트래픽 수준을 조절 및 관리하도록 설정하는 것을 특징으로 하는 PCI형 보안 인터페이스 카드.PCI type security interface card, characterized in that for setting the access authorization, and determine the level of accessible services, such as the authorization, to determine the safety of the packets received from the external port, and to adjust and manage the traffic level. 메인보드에 제1항의 PCI형 보안 인터페이스 카드가 장착되며, 상기 보안카드를 제어하기 위한 보안카드 콘트롤 에이전트가 설치된 개별 서버들과; A main server equipped with a PCI type security interface card of claim 1 and installed with a security card control agent for controlling the security card; 상기 개별 서버들에 연결되어 보안정책을 설정하고 이에 따라 상기 콘트롤 에이전트를 통해 보안카드를 제어하며, 서버 및 네트워크의 모니터링을 실시하기 위한 중앙관리 서버와; A central management server connected to the individual servers to set a security policy and control a security card through the control agent accordingly, and monitor the server and the network; 상기 중앙관리 서버에 연결되어 서버별로 수집된 로그파일을 저장 관리하여 보고서를 생성하기 위한 로그파일의 통계값을 생성하는 RDBMS과; An RDBMS connected to the central management server to store and manage log files collected for each server to generate statistical values of log files for generating reports; 암호화된 웹브라우져를 통해 중앙관리 서버에 접근하여 상기 중앙관리 서버에 연결된 보호대상 서버의 보안정책을 수립하고, 보안 관리자가 모니터링할 수 있도록 하는 관리 콘솔를 포함하는 것을 특징으로 하는 PCI형 보안 인터페이스 카드를 이용한 보안관리 시스템.Access the central management server through an encrypted web browser to establish a security policy of the protected server connected to the central management server, and a PCI-type security interface card comprising a management console for the security administrator to monitor Security management system using. 제 5 항에 있어서,The method of claim 5, wherein 상기 중앙관리 서버는,The central management server, 상기 개별 서버별로 분산된 보안을 집중적으로 통합관리하기 위해 개별 서버에 설치된 콘트롤 에이전트를 관리하고 개별 서버별로 보안정책을 실시간으로 업데이트하도록 하며, 명령의 실행을 요청하는 개별서버 연결부와; An individual server connection unit for managing a control agent installed in each server to centrally manage the security distributed by each server, updating the security policy for each server in real time, and requesting execution of a command; 개별 서버별로 저장된 데이터에 따른 보안등급을 달리하여 개별 보안정책을 설정하고 통제하기 위한 서버별 보안정책 설정부와; A server-specific security policy setting unit for setting and controlling an individual security policy by varying a security level according to data stored for each server; 상기 수립된 보안정책에 따라 개별 서버에 접근한 사용자들의 로그파일을 수집하고 통계값을 산출하여 상기 RDBMS에 저장하는 로그파일 수집부와; A log file collecting unit collecting log files of users accessing individual servers according to the established security policy, calculating a statistical value, and storing the calculated log values in the RDBMS; 상기 로그파일 수집부를 통해 산출된 통계값에 따라 개별 서버별 보안 보고서를 생성하는 보안 보고서 생성부와; A security report generator for generating a security report for each server according to the statistical value calculated through the log file collector; 개별 서버에 해커의 침입 또는 바이러스의 침투여부를 확인하여 실시간으로 위험수위를 알려주는 위험수위 알림부를 포함하는 것을 특징으로 하는 PCI형 보안 인터페이스 카드를 이용한 보안관리 시스템.Security management system using a PCI-type security interface card, characterized in that it comprises a risk level notification unit that informs the risk level in real time by checking whether the hacker intrusion or virus infiltration to the individual server.
KR1020060075775A 2006-08-10 2006-08-10 Pci-type security interface card and security management system KR100796814B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060075775A KR100796814B1 (en) 2006-08-10 2006-08-10 Pci-type security interface card and security management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060075775A KR100796814B1 (en) 2006-08-10 2006-08-10 Pci-type security interface card and security management system

Publications (1)

Publication Number Publication Date
KR100796814B1 true KR100796814B1 (en) 2008-01-31

Family

ID=39218849

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060075775A KR100796814B1 (en) 2006-08-10 2006-08-10 Pci-type security interface card and security management system

Country Status (1)

Country Link
KR (1) KR100796814B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101382569B1 (en) * 2012-09-24 2014-04-09 주식회사 시큐아이 System and method for processing packet

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050081439A (en) * 2004-02-13 2005-08-19 엘지엔시스(주) System of network security and working method thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050081439A (en) * 2004-02-13 2005-08-19 엘지엔시스(주) System of network security and working method thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
공개번호 10-2005-0081439

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101382569B1 (en) * 2012-09-24 2014-04-09 주식회사 시큐아이 System and method for processing packet

Similar Documents

Publication Publication Date Title
US11757835B2 (en) System and method for implementing content and network security inside a chip
US10567403B2 (en) System and method for providing data and device security between external and host devices
US10212134B2 (en) Centralized management and enforcement of online privacy policies
US8938799B2 (en) Security protection apparatus and method for endpoint computing systems
US7035850B2 (en) Access control system
KR100604604B1 (en) Method for securing system using server security solution and network security solution, and security system implementing the same
US7788366B2 (en) Centralized network control
KR101669694B1 (en) Health-based access to network resources
US8146137B2 (en) Dynamic internet address assignment based on user identity and policy compliance
KR101143847B1 (en) Network security apparatus and method thereof
US20060224897A1 (en) Access control service and control server
US20090044270A1 (en) Network element and an infrastructure for a network risk management system
EP2132643B1 (en) System and method for providing data and device security between external and host devices
US9928359B1 (en) System and methods for providing security to an endpoint device
KR20050026624A (en) Integration security system and method of pc using secure policy network
CA2793713A1 (en) Device for preventing, detecting and responding to security threats
CN107566359A (en) A kind of intelligent fire-proofing wall system and means of defence
KR100796814B1 (en) Pci-type security interface card and security management system
KR100495777B1 (en) An integrated client-management system using an agent program
KR101425726B1 (en) Linked network security system and method based on virtualization in the separate network environment
KR20030049853A (en) system for protecting of network and operation method thereof
JP2002158660A (en) Protection system against unauthorized access
KR20200098181A (en) Network security system by integrated security network card
TWI802804B (en) Information security management system for multiple information security software
RU2648942C1 (en) System of protection of information from unauthorized access

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120126

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee