KR101226693B1 - Database security method with remove the exposed weak point using Access Control System - Google Patents

Database security method with remove the exposed weak point using Access Control System Download PDF

Info

Publication number
KR101226693B1
KR101226693B1 KR1020100122614A KR20100122614A KR101226693B1 KR 101226693 B1 KR101226693 B1 KR 101226693B1 KR 1020100122614 A KR1020100122614 A KR 1020100122614A KR 20100122614 A KR20100122614 A KR 20100122614A KR 101226693 B1 KR101226693 B1 KR 101226693B1
Authority
KR
South Korea
Prior art keywords
database
vulnerability
security
vulnerabilities
security policy
Prior art date
Application number
KR1020100122614A
Other languages
Korean (ko)
Other versions
KR20120061335A (en
Inventor
김범
이필주
김지락
김민경
김민규
Original Assignee
주식회사 웨어밸리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 웨어밸리 filed Critical 주식회사 웨어밸리
Priority to KR1020100122614A priority Critical patent/KR101226693B1/en
Publication of KR20120061335A publication Critical patent/KR20120061335A/en
Application granted granted Critical
Publication of KR101226693B1 publication Critical patent/KR101226693B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Abstract

본 발명은 데이터베이스가 가지고 있는 공개된 보안 취약점들을 제거하기 위하여 미리 정의한 템플릿에 맞는 보안정책을 구성하여 데이터베이스 접근 제어 시스템에 적용하는 방식으로 데이터베이스를 가상으로 패치하는 데이터베이스 보안 관리 방법에 관한 것으로, 데이터베이스 취약점 분석 시스템이 공개된 취약점을 수집 및 분석하여, 취약점과 그 해결방법을 상기 데이터베이스 취약점 분석 시스템의 저장소에 보유하는 단계; 취약점 분석을 의뢰한 데이터베이스 보안관리자에게 운영 데이터베이스에 나타난 취약점 목록, DBMS 버전 패치, 스크립트 및 운영 환경 수동 보완 가이드 및 보안정책을 포함하는 정보를 제공하는 단계; 데이터베이스 보안관리자에 의하여 보안정책 적용이 선택되는 경우 데이터베이스 취약점 분석 결과에 따라 취약점 제거를 위해 상기 저장소에 보유하고 있던 보안정책을 데이터베이스 접근 제어 시스템에 적용하는 단계; 및 데이터베이스 접근 제어 시스템은 상기 데이터베이스 취약점 분석 시스템으로부터 적용된 보안정책을 이용하여 상기 운영 데이터베이스로의 접속 세션을 통제 및 차단하는 단계;를 포함하는 것을 특징으로 한다.The present invention relates to a database security management method for virtually patching a database by constructing a security policy conforming to a predefined template to remove the publicly disclosed security vulnerabilities of a database and applying it to a database access control system. Collecting and analyzing the disclosed vulnerabilities, and retaining the vulnerabilities and their solutions in a repository of the database vulnerability analysis system; Providing information to the database security administrator who has requested the vulnerability analysis, including a list of vulnerabilities in the operational database, a DBMS version patch, a manual manual for supplementing the operating environment, and a security policy; If a security policy application is selected by a database security manager, applying a security policy held in the repository to a database access control system according to a database vulnerability analysis result; And controlling and blocking an access session to the operation database by using a security policy applied from the database vulnerability analysis system.

Description

접근 제어 시스템으로 가상 패치하여 공개된 보안 취약점을 제거하는 데이터베이스 보안 관리 방법{Database security method with remove the exposed weak point using Access Control System}Database security method with remove the exposed weak point using Access Control System}

본 발명은 데이터베이스 보안 관리 방법에 관한 것으로, 더욱 상세하게는 데이터베이스가 가지고 있는 공개된 보안 취약점들을 제거하기 위하여 미리 정의한 템플릿에 맞는 보안정책을 구성하여 데이터베이스 접근 제어 시스템에 적용하는 방식으로 데이터베이스를 가상으로 패치하는 데이터베이스 보안 관리 방법에 관한 것이다.
The present invention relates to a method for managing database security, and more specifically, to remove a public security vulnerability of a database, a database is virtually constructed by applying a security policy according to a predefined template to a database access control system. It is about how to manage database security.

데이터베이스 관리 시스템(DBMS:Database Management System)의 보안 취약점은 벤더(Vendor), 공공 보안 서비스 웹 페이지(Web Site) 및 보안 커뮤니티(Community)에서 공개 발표되어, 해커(Hacker), 데이터베이스 관리자(DBA:Database Administrator) 및 데이터베이스 보안관리자 등에게 제공된다. 그러나 보안 취약점이 악의적인 해커에게 제공되는 경우, 해커들은 공개된 취약점을 악용하여 데이터베이스로의 침투를 시도하게 된다.Security vulnerabilities in Database Management System (DBMS) have been publicly announced by Vendors, Public Security Services Web Sites and Security Communities, Hackers and Database Administrators (DBA) Provided to Administrator and Database Security Manager. However, if a security vulnerability is provided to a malicious hacker, the hacker will attempt to penetrate the database by exploiting the publicly disclosed vulnerability.

이 경우 데이터베이스는 공개된 취약점으로 인해 버퍼 오버플로우(Buffer Overflow), 서비스 거부 공격(DoS), 비밀번호 추측 공격(Password Attack), 악의적인 권한 상승, SQL 주입 공격(SQL Injection), 환경설정 변경(Configuration), 정보 유출 등과 같은 위협을 받을 수 있기 때문에 반드시 보안 되어야 한다. 이를 위해 데이터베이스 벤더에서는 공개된 취약점에 대한 패치(Patch)를 제공한다. 하지만, 24시간 무정지로 가동되어야 하는 데이터베이스에 패치를 하기에는 상당한 위험이 따르고, 시간과 노력이 요구된다. 따라서 DBA와 데이터베이스 보안관리자들은 공개된 취약점 중 가장 위협적인 몇 개의 취약점에 대하여 패치를 수행하거나 직접 스크립트를 실행하여 취약점을 제거하기도 한다. 이 경우 패치하지 못한 나머지 취약점은 어쩔 수 없이 간과한 채로 데이터베이스를 운영하게 된다.In this case, the database may be exposed to a vulnerability that results in a buffer overflow, denial of service attack, password attack, malicious elevation of privilege, SQL injection, or configuration change. ), It must be secured because it can be threatened such as information leakage. To do this, database vendors provide patches for publicly disclosed vulnerabilities. However, patching a database that must be running 24/7 is very risky and requires time and effort. As a result, DBAs and database security administrators can patch some of the most threatened vulnerabilities in publicly disclosed vulnerabilities or run scripts directly to remove them. In this case, the rest of the unpatched vulnerabilities are inevitably overlooked.

도 1은 종래의 데이터베이스 취약점 제거 과정을 나타낸 순서도이다. 종래의 기술에 따른 데이터베이스 취약점 제거 과정은 도시된 바와 같이, 먼저 공개된 취약점을 수집하고(S1), 이를 분석하여 데이터베이스화 한다(S2). 이 후, 분석된 취약점 데이터를 기반으로 한 취약점 분석 시스템을 이용하여 현재 운영하고 있는 데이터베이스를 검사하여 운영 데이터베이스에 존재하는 취약점을 추출하고(S3), 취약점 제거를 위한 패치 가이드, 취약점 제거 스크립트, 수동으로 제거할 수 있는 목록과 같은 취약점 제거 방법에 대한 정보를 데이터베이스 보안관리자에게 제공한다(S4). 데이터베이스 보안관리자는 제공된 방법 중 적절한 방법을 선택하게 되고(S5), 선택된 방법에 따라 패치를 수행하거나(S6), 방화벽, IDS, IPS 등을 이용하여 운영 환경을 수동으로 보완하거나(S7), 직접 스크립트를 수행하는(S8) 방법으로 취약점을 간접적으로 제거한다.1 is a flowchart illustrating a conventional database vulnerability removal process. Database vulnerability removal process according to the prior art, as shown, first collect the disclosed vulnerabilities (S1), and analyzes and database them (S2). After that, using the vulnerability analysis system based on the analyzed vulnerability data, scan the currently operating database to extract the existing vulnerabilities in the operating database (S3), patch guide for removing the vulnerabilities, vulnerability removal script, manual It provides the database security administrator with information on how to remove the vulnerability, such as a list that can be removed (S4). The database security manager selects an appropriate method from the provided methods (S5), performs a patch according to the selected method (S6), or manually supplements the operating environment using a firewall, IDS, IPS, or the like (S7) or directly. The vulnerability is indirectly removed by executing a script (S8).

그러나, 이러한 종래의 데이터베이스 취약점 제거 방법들은 기능과 적용 범위에 한계가 있어 운영 환경의 보완으로 공개된 취약점을 완전히 제거하지 못하는 문제점이 있다.
However, these conventional methods for removing database vulnerabilities have limitations in functionality and scope of application and thus do not completely eliminate vulnerabilities disclosed as a supplement to the operating environment.

본 발명은 상기와 같은 문제점을 해결하기 위하여 제안된 것으로, 공개된 데이터베이스 취약점을 데이터베이스에서 직접 제거하지 않고, 데이터베이스 접근 제어 시스템을 이용하여 가상 패치의 개념으로 제거하는 방법을 제공하는 것을 목적으로 한다.The present invention has been proposed to solve the above problems, and an object of the present invention is to provide a method of removing a database vulnerability by using a database access control system instead of directly removing a database vulnerability.

또한, 본 발명은 DBA나 데이터베이스 보안관리자가 직접 취약점에 대한 분석을 하지 않고도 데이터베이스 운영에 어떠한 위험부담 없이 데이터베이스에 존재하는 공개된 취약점을 안전하게 제거하는 방법을 제공하는 것을 목적으로 한다.
It is also an object of the present invention to provide a method for safely removing a publicly disclosed vulnerability existing in a database without any risk of operating the database without directly analyzing the vulnerability by the DBA or the database security manager.

상기와 같은 목적을 달성하기 위한 본 발명의 데이터베이스 보안 관리 방법은 데이터베이스 취약점 분석 시스템이 공개된 취약점을 수집 및 분석하여, 취약점과 그 해결방법을 상기 데이터베이스 취약점 분석 시스템의 저장소에 보유하는 단계; 취약점 분석을 의뢰한 데이터베이스 보안관리자에게 운영 데이터베이스에 나타난 취약점 목록, DBMS 버전 패치, 스크립트 및 운영 환경 수동 보완 가이드 및 보안정책을 포함하는 정보를 제공하는 단계; 데이터베이스 보안관리자에 의하여 보안정책 적용이 선택되는 경우 데이터베이스 취약점 분석 결과에 따라 취약점 제거를 위해 상기 저장소에 보유하고 있던 보안정책을 데이터베이스 접근 제어 시스템에 적용하는 단계; 및 데이터베이스 접근 제어 시스템은 상기 데이터베이스 취약점 분석 시스템으로부터 적용된 보안정책을 이용하여 상기 운영 데이터베이스로의 접속 세션을 통제 및 차단하는 단계;를 포함하는 것을 특징으로 한다.The database security management method of the present invention for achieving the above object comprises the steps of: collecting and analyzing a vulnerability disclosed by the database vulnerability analysis system, and retaining the vulnerability and its solution in a repository of the database vulnerability analysis system; Providing information to the database security administrator who has requested the vulnerability analysis, including a list of vulnerabilities in the operational database, a DBMS version patch, a manual manual for supplementing the operating environment, and a security policy; If a security policy application is selected by a database security manager, applying a security policy held in the repository to a database access control system according to a database vulnerability analysis result; And controlling and blocking an access session to the operation database by using a security policy applied from the database vulnerability analysis system.

전술한 구성에 있어서, 상기 운영 데이터베이스에 나타난 취약점 목록은, 데이터베이스 취약점 분석 시스템이 공개된 취약점을 수집 및 분석하여 상기 저장소에 보유하는 목록 중 상기 운영 데이터베이스에 해당하는 취약점을 추출한 것을 특징으로 한다.In the above configuration, the list of vulnerabilities shown in the operational database is characterized in that the database vulnerability analysis system collects and analyzes publicly disclosed vulnerabilities and extracts a vulnerability corresponding to the operational database from a list held in the repository.

전술한 구성에 있어서, 상기 DBMS 버전 패치, 스크립트 및 운영 환경 수동 보완 가이드는, 데이터베이스 취약점 분석 시스템이 공개된 취약점을 수집 및 분석하여 상기 저장소에서 관리하는 것을 특징으로 한다.In the above configuration, the DBMS version patch, script and operating environment manual supplement guide is characterized in that the database vulnerability analysis system collects and analyzes the disclosed vulnerabilities and manages them in the repository.

전술한 구성에 있어서, 상기 보안정책은, 상기 데이터베이스 접근 제어 시스템에서 정의된 템플릿에 따라 DB Access User, IP, OS User, DB 평균 응답 시간, 접속 세션 수, Idle Time, 수행 SQL 건수, SQL Command, SQL 내 특정 Object, Table, Column, Text를 대상으로 생성되는 것을 특징으로 한다.In the above-described configuration, the security policy, DB Access User, IP, OS User, DB average response time, connection session number, Idle Time, execution SQL number, SQL Command, according to the template defined in the database access control system It is characterized by being created for a specific object, table, column, text in SQL.

전술한 구성에 있어서, 상기 보안정책에 의하여 운영 데이터베이스로의 접속 세션을 통제 및 차단하는 경우 그 결과를, 별도의 데이터베이스에 저장하고, 데이터베이스 보안관리자에게 제공하는 단계;를 더 포함하는 것을 특징으로 한다.
In the above-described configuration, if the control session and the connection to the operation database is blocked by the security policy, storing the result in a separate database, and providing to the database security administrator; characterized in that it further comprises a; .

본 발명의 실시예에 따른 접근 통제 시스템을 이용하여 공개된 취약점을 제거하는 방법은 데이터베이스의 취약점을 데이터베이스에 직접 패치하지 않고, 데이터베이스 바로 앞에서 데이터베이스를 보호하는 접근 통제 시스템으로부터 데이터베이스의 취약점을 제거하기 때문에, 데이터베이스의 무결성과 가용성을 유지하는 것이 가능하다.Since a method for removing a publicly disclosed vulnerability using an access control system according to an embodiment of the present invention does not directly patch a database's vulnerability to the database, the method removes the database's vulnerability from an access control system that protects the database directly in front of the database. It is possible to maintain the integrity and availability of the database.

또한, 데이터베이스 취약점 분석 시스템에서는 데이터베이스 보안관리자에게 데이터베이스 벤더에서 제공한 패치를 직접 수행할 수 있도록 패치 가이드와, 방화벽, IDS, IPS 등의 운영 환경에서의 취약점 보완 가이드와, 데이터베이스에 직접 수행할 수 있는 스크립트와, 데이터베이스 접근제어 시스템과 상호 호환 가능한 보안정책을 제공함으로써, 데이터베이스 보안관리자는 최적의 방법을 선택하여 취약점을 제거할 수 있다.In addition, the database vulnerability analysis system provides database security administrators with a patch guide to directly execute patches provided by the database vendor, a guide to supplementing vulnerabilities in operating environments such as firewalls, IDS, and IPS, and a database. By providing scripts and security policies that are compatible with database access control systems, database security administrators can choose the best way to eliminate vulnerabilities.

또한, 데이터베이스 취약점 분석 시스템에서 생성한 보안정책을 자동으로 데이터베이스 접근 제어 시스템에 적용하여 내 외부의 악의적인 데이터베이스 사용자들의 데이터베이스 접근을 통제 및 차단할 수 있다.In addition, the security policy created by the database vulnerability analysis system can be automatically applied to the database access control system to control and block database access by malicious database users.

또한, 취약점 분석 시스템과 데이터베이스 접근 제어 시스템의 연동으로 데이터베이스 취약점 분석 직후, 취약점 분석 시스템에서 제공하는 보안정책을 데이터베이스 접근 제어 시스템에 바로 등록하여 데이터베이스 운영 시스템에 적용할 수 있다.
In addition, by linking the vulnerability analysis system and the database access control system, immediately after analyzing the database vulnerability, the security policy provided by the vulnerability analysis system can be directly registered in the database access control system and applied to the database operating system.

도 1은 종래의 기술에 따른 데이터베이스 취약점 제거 과정을 나타낸 순서도,
도 2는 본 발명의 실시예에 따른 데이터베이스 보안 시스템의 구성을 개략적으로 나타낸 블록도,
도 3은 도 2의 취약점 분석 시스템에서의 취약점 제거 과정을 나타낸 순서도,
도 4는 도 2의 데이터베이스 접근 제어 시스템에서의 보안 관리 과정을 나타낸 순서도. 1 is a flow chart showing a database vulnerability removal process according to the prior art,
2 is a block diagram schematically showing the configuration of a database security system according to an embodiment of the present invention;
3 is a flowchart illustrating a vulnerability removal process in the vulnerability analysis system of FIG.
4 is a flowchart illustrating a security management process in the database access control system of FIG.

본 발명과 본 발명의 실시에 의해 달성되는 기술적 과제는 다음에서 설명하는 바람직한 실시예들에 의해 명확해질 것이다. 이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 살펴보기로 한다.
The technical problem achieved by the present invention and the practice of the present invention will be apparent from the preferred embodiments described below. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2는 본 발명의 실시예에 따른 데이터베이스 보안 시스템의 구성을 나타낸 블록도로서, 데이터베이스에 영향을 주지 않고 접근 통제 시스템을 이용하여 공개된 취약점을 제거하는 가상 패치 기술의 운영 환경을 개략적으로 나타내었다. 본 발명의 실시예에 따른 데이터베이스 보안 시스템은 공개된 데이터베이스 취약점을 악용하여 운영 서버(140-1, 140-N, 141-1, 141-N)로 불법 접속하려는 DB 사용자(130-1, 130-N)들을 보안정책(112)을 이용하여 통제 및 차단하는 방법으로 운영되는 시스템으로, 도시된 바와 같이 취약점 분석 시스템(110)에서 제공되는 보안정책(120)을 데이터베이스 접근 제어 시스템(120)에 적용함으로써 이루어진다.FIG. 2 is a block diagram illustrating a configuration of a database security system according to an embodiment of the present invention, and schematically illustrates an operating environment of a virtual patch technology that removes a vulnerability disclosed using an access control system without affecting a database. . The database security system according to an embodiment of the present invention exploits a publicly disclosed database vulnerability and attempts to illegally access the operation server 140-1, 140-N, 141-1, 141-N by a DB user 130-1, 130-. N) is a system that operates in a manner of controlling and blocking using the security policy 112, as shown in the security policy 120 provided by the vulnerability analysis system 110 to the database access control system 120 By doing so.

구체적으로 살펴보면, 데이터베이스 취약점 분석 시스템(110)은 취약점 저장소(Repository, 111)가 자체적으로 구비되어, 데이터베이스 관리 시스템(이하, 'DBMS'라 함) 버전 별 공개된 취약점들을 보유 및 저장한다. 취약점(111)은 취약점 분석 시스템(110) 운영자로부터 네트워크 스트림(Network stream)을 통하여 주기적으로 업데이트 된다. 취약점 저장소(111)에 업데이트 되는 정보는 각 취약점의 위험도, 취약점에 대한 설명, 해당 취약점을 가진 DBMS 버전 정보, 취약점을 시스템 운영 환경에서 제거하기 위한 가이드(Guide), 취약점 패치(Patch) 가이드, 취약점 제거 스크립트(Script), 취약점 공개 웹 사이트(Web Site) 정보, 취약점을 통해 침투하려는 악의적인 데이터베이스 사용자들을 통제 및 차단하기 위한 보안정책(112) 등이며, 이러한 정보들은 취약점 분석 시스템 운영자가 유연하게 변경하여 구성하는 것이 가능하다.Specifically, the database vulnerability analysis system 110 is provided with a vulnerability repository (Repository, 111) by itself, and holds and stores publicly disclosed vulnerabilities for each version of the database management system (hereinafter, referred to as 'DBMS'). The vulnerability 111 is periodically updated from the vulnerability analysis system 110 operator through a network stream. Information that is updated in the vulnerability store (111) includes the risk of each vulnerability, a description of the vulnerability, the version of the DBMS with that vulnerability, a guide for removing the vulnerability from the system's operating environment, a patch patch guide, and a vulnerability. Removal scripts, vulnerability web site information, and security policies (112) to control and block malicious database users attempting to infiltrate through vulnerabilities. It is possible to configure.

여기서 보안정책(112)은 네트워크 스트림을 통해서 악의적으로 운영 서버(140-1, 140-N) 또는 DBMS(141-1, 141-N)에 침투하려고 하는 DB 사용자(130-1, 130-N)들을 DB Access User, IP, OS User, DB 평균 응답 시간, 접속 세션 수, Idle Time, 수행 SQL 건수, SQL Command, SQL 내 특정 Object, Table, Column, Text 등으로 특정하여 구분한다. 이러한 보안정책 탬플릿은 미리 정의된 템플릿에 맞게 구성되되, 상기와 같은 구성에 한정되지 않고 다양한 형식과 구성을 가질 수 있다.Here, the security policy 112 is a DB user 130-1, 130-N attempting to infiltrate the operations server 140-1, 140-N or DBMS 141-1, 141-N through a network stream. Classify them into DB Access User, IP, OS User, DB Average Response Time, Connection Session Count, Idle Time, Execution SQL Count, SQL Command, Specific Object in SQL, Table, Column, and Text. The security policy template may be configured in accordance with a predefined template, but is not limited to the above configuration and may have various forms and configurations.

또한, 보안정책(112)은 취약점 저장소(111)에 저장되어 있는 정보 중 하나로서, 취약점 분석 시스템(110)에서 검출한 취약점들에 대응하는 정책을 추출하여 생성된다. 생성된 보안정책(112)은 DB 접근 제어 시스템(120)과 호환 가능한 것으로, DB 접근 제어 시스템(120)에 자동 등록되어 악의적인 DB 사용자(130-1, 130-N)들의 운영 서버(140-1, 140-N) 또는 DBMS(141-1, 141-N) 침투 시도를 차단하는 정책으로서 사용된다.In addition, the security policy 112 is one of information stored in the vulnerability storage 111, and is generated by extracting a policy corresponding to the vulnerabilities detected by the vulnerability analysis system 110. The generated security policy 112 is compatible with the DB access control system 120, and is automatically registered in the DB access control system 120 to operate the server 140-of malicious DB users 130-1 and 130 -N. 1, 140-N) or DBMSs 141-1 and 141-N.

DB 접근 제어 시스템(120)은 취약점 분석 시스템(110)으로부터 전달받은 보안정책(112)을 이용하여 보안정책(112)이 가지고 있는 속성별로 데이터베이스(140-1, 140-N, 141-1, 141-N)에 위협이 되는 세션을 통제하거나 차단한다. 또한, 세션 통제 및 차단한 내역과 DB 사용자 정보, 실행한 SQL 정보, 세션 통제 후 조치 결과 등을 감사 데이터로 기록한다.The DB access control system 120 uses the security policy 112 received from the vulnerability analysis system 110 to identify the database 140-1, 140-N, 141-1, and 141 for each property of the security policy 112. -N) Control or block sessions that threaten. In addition, session control and blocking details, DB user information, executed SQL information, and the results of actions after session control are recorded as audit data.

도 3은 도 2의 취약점 분석 시스템에서의 취약점 제거 과정을 나타낸 순서도이고, 도 4는 도 2의 데이터베이스 접근 제어 시스템에서의 보안 관리 과정을 나타낸 순서도이다. 3 is a flowchart illustrating a vulnerability removal process in the vulnerability analysis system of FIG. 2, and FIG. 4 is a flowchart illustrating a security management process in the database access control system of FIG. 2.

도 3을 참조하여 취약점 제거 과정을 살펴보면, 먼저 데이터베이스 취약점 분석 시스템(110)은 시스템 운영자에 의해 공개된 취약점을 수집한다(S111). 수집한 취약점을 분석하여 카테고리별로 분류하고, 각 취약점을 해결할 수 있는 패치 가이드, 취약점 제거 스크립트, 취약점 제거 가이드, 보안정책 등을 정의하여 저장소(111)에 저장 한다(S112). 한편, 데이터베이스 보안관리자가 데이터베이스 취약점 분석 시스템(110)을 이용하여 DBMS(141-1, 141-N)에서 운영 중인 데이터베이스에 존재하는 취약점을 분석하면, 데이터베이스 취약점 분석 시스템(110)은 운영 데이터베이스(140-1, 140-N, 141-1, 141-N)에 존재하는 취약점의 목록을 추출하여(S113) 데이터베이스 보안관리자에게 제공한다. 또한, 취약점 목록과 함께 각 취약점의 제거를 위한 다양한 정보를 제공하게 되는데(S114), 이때 제공되는 것이 취약점 분석 시스템(110)이 저장소(111)에 저장해 두었던 패치, 스크립트, 가이드, 보안정책 등과 관련된 정보들이다.Looking at the process of removing the vulnerability with reference to Figure 3, first, the database vulnerability analysis system 110 collects vulnerabilities disclosed by the system operator (S111). The collected vulnerabilities are analyzed and classified into categories, and a patch guide, a vulnerability removal script, a vulnerability removal guide, and a security policy that can solve each vulnerability are defined and stored in the storage 111 (S112). On the other hand, when the database security manager analyzes the vulnerabilities existing in the database operating in the DBMSs 141-1 and 141-N using the database vulnerability analysis system 110, the database vulnerability analysis system 110 operates in the operation database 140. -1, 140-N, 141-1, 141-N) extracts a list of vulnerabilities (S113) and provides them to the database security administrator. In addition, it provides a list of vulnerabilities and a variety of information for the removal of each vulnerability (S114), which is provided at this time related to patches, scripts, guides, security policies, etc. that the vulnerability analysis system 110 stored in the storage 111 Information.

데이터베이스 보안관리자는 데이터베이스 취약점 분석 시스템이 제공한 상기의 해결 방법 중 필요한 것을 유연하게 선택하여 데이터베이스 운영 시스템에 적용할 수 있다(S115). 즉, 데이터베이스 보안관리자는 패치 가이드를 참고하여 운영 DBMS를 상위 버전으로 패치 하는 것이 가능하고, 스크립트를 선택하여 운영 DB에 취약점을 보완하는 스크립트를 수행하고, 가이드를 선택하여 데이터베이스 보안관리자가 직접 가이드를 이용하여 수동으로 방화벽, IDS, IPS 등에서 취약점을 제거하는 방안을 시도하는 것이 가능하다(S117). 그리고 데이터베이스 보안관리자가 보안정책 적용을 선택하면, 취약점 분석 시스템(110)은 저장소(111)에 저장되어 있던 보안정책을 데이터베이스 접근 제어 시스템(120)으로 전송하여 자동으로 등록하게 된다(S116).The database security manager can flexibly select one of the above solutions provided by the database vulnerability analysis system and apply it to the database operating system (S115). In other words, the database security administrator can refer to the patch guide to patch the production DBMS to a higher version, select the script to execute the script to compensate for the vulnerability in the production database, and select the guide to directly guide the database security administrator. It is possible to manually try to remove the vulnerability from the firewall, IDS, IPS, etc. (S117). When the database security manager selects to apply the security policy, the vulnerability analysis system 110 transmits the security policy stored in the storage 111 to the database access control system 120 and automatically registers it (S116).

한편, 도 4에 도시된 바와 같이, 데이터베이스 접근 제어 시스템(120)에서는 데이터베이스 취약점 분석 시스템(110)에서 수신한 보안정책을 적용하여 데이터베이스를 실시간으로 감시 및 모니터링 하게되고(S121), 보안정책에 의해 불법적이거나 위협적인 접속이 감지되면 해당 세션 및 SQL을 차단하거나 통제하는 역할을 수행한다(S122). 또한, 데이터베이스를 감시 및 모니터링 한 결과와 데이터베이스로의 접근을 차단 및 통제한 내역 등을 데이터로 기록하여 데이터베이스 보안관리자에게 실시간으로 제공하거나 검색할 수 있게 하며, 리포트(Report) 통계 데이터로 출력하는 기능도 제공할 수 있다.On the other hand, as shown in Figure 4, the database access control system 120 is applied to the security policy received from the database vulnerability analysis system 110 to monitor and monitor the database in real time (S121), by the security policy If an illegal or threatening connection is detected, the session and SQL are blocked or controlled (S122). In addition, the results of monitoring and monitoring the database, and the details of blocking and controlling access to the database are recorded as data so that they can be provided or searched to the database security manager in real time and output as report statistical data. Can also be provided.

살펴본 바와 같이, 본 발명의 공개된 데이터베이스 취약점을 악용하여 운영 서버로 불법 접속하려는 DB 사용자들을 통제 및 차단하는 방법은 취약점 분석 기술과 데이터베이스 접근 제어 기술을 연동하여 적용함으로써, 데이터베이스에 영향을 주지 않고 공개된 취약점을 안전하게 제거할 수 있게 된다.
As described above, the method of controlling and blocking DB users attempting to illegally access the operation server by exploiting the disclosed database vulnerability of the present invention is applied by integrating vulnerability analysis technology and database access control technology, without affecting the database. The vulnerability can be safely removed.

이상에서 본 발명에 있어서 실시예를 참고로 설명되었으나, 본 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 권리범위는 이에 한정되는 것이 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
Although the embodiments of the present invention have been described with reference to the present invention, those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom. Therefore, the scope of the present invention is not limited to this, but various modifications and improvements of those skilled in the art using the basic concept of the present invention as defined in the following claims also belong to the scope of the present invention.

110: 취약점 분석 시스템 111: 취약점 분석 정보 저장소
112: 보안정책 120: DB 접근 제어 시스템
130: DB 사용자 140: 운영 서버
141: 운영 DBMS110: Vulnerability Analysis System 111: Vulnerability Analysis Information Store
112: security policy 120: DB access control system
130: DB user 140: production server
141: Operational DBMS

Claims (5)

취약점 저장소가 자체적으로 구비되어 데이터베이스 관리 시스템 버전 별 공개된 취약점들과 보안정책을 보유 및 저장하고 있고 상기 취약점 및 보안정책은 네트워크 스트림을 통하여 주기적으로 업데이트되는 데이터베이스 취약점 분석 시스템과, 상기 취약점 분석 시스템에서 검출한 취약점들에 대응하는 보안정책을 이용하여 상기 보안정책이 가지고 있는 속성별로 데이터베이스에 위협이 되는 세션을 통제하거나 차단하는 데이터베이스 접근 제어 시스템을 포함하여 데이터베이스의 취약점을 데이터베이스에 직접 패치하지 않고 데이터베이스 바로 앞에서 접근 제어 시스템으로 가상 패치하여 공개된 보안 취약점을 제거하는 데이터베이스 보안 관리 방법에 있어서,
상기 데이터베이스 취약점 분석 시스템이 공개된 취약점을 수집 및 분석하여, 취약점과 그 해결방법을 상기 데이터베이스 취약점 분석 시스템의 저장소에 보관하는 단계;
상기 데이터베이스 취약점 분석 시스템이 취약점 분석을 의뢰한 데이터베이스 보안관리자에게 운영 데이터베이스에 나타난 취약점 목록, DBMS 버전 패치, 스크립트 및 운영 환경, 수동 보완 가이드 및 보안정책을 포함하는 정보를 제공하는 단계;
데이터베이스 보안관리자에 의하여 보안정책 적용이 선택되는 경우, 상기 데이터베이스 접근 제어 시스템이 데이터베이스 취약점 분석 결과에 따라 취약점 제거를 위해 상기 저장소에 보유하고 있던 선택된 보안정책을 적용하는 단계;
상기 데이터베이스 접근 제어 시스템이 적용된 보안정책을 이용하여 상기 운영 데이터베이스로의 접속 세션을 통제 및 차단하는 단계; 및
상기 데이터베이스 접근 제어 시스템이 상기 보안정책에 의하여 운영 데이터베이스로의 접속 세션을 통제 및 차단하는 경우, 그 결과를 별도의 데이터베이스에 저장하고, 데이터베이스 보안관리자에게 이를 제공하는 단계를 포함하고,
상기 취약점 저장소에 업데이트되는 정보는 각 취약점의 위험도, 취약점에 대한 설명, 해당 취약점을 가진 DBMS 버전정보, 취약점을 시스템 운영 환경에서 제거하기 위한 가이드(Guide), 취약점 패치(Patch) 가이드, 취약점 제거 스크립트(Script), 취약점 공개 웹 사이트(Web Site) 정보, 취약점을 통해 침투하려는 악의적인 데이터베이스 사용자들을 통제 및 차단하기 위한 보안정책이고,
상기 보안정책은 상기 데이터베이스 접근 제어 시스템에서 정의된 템플릿에 따라 데이터베이스 사용자(DB Access User), IP, OS 사용자(OS User), DB 평균 응답 시간, 접속 세션 수, 아이들 타임(Idle Time), 수행 SQL 건수, SQL 명령(Command), SQL 내 특정 객체(Object), 테이블(Table), 칼럼(Column), 텍스트(Text)를 대상으로 생성되는 것을 특징으로 하는 데이터베이스 보안 관리 방법.Vulnerability repository is provided by itself and holds and stores publicly disclosed vulnerabilities and security policies by database management system version. The vulnerabilities and security policies are periodically updated through a network stream, and in the vulnerability analysis system. By using a security policy corresponding to the detected vulnerabilities, including a database access control system that controls or blocks sessions that threaten the database for each property of the security policy, the database may not be directly patched to the database. In the database security management method of virtually patching the access control system to eliminate the public security vulnerability,
Collecting and analyzing vulnerabilities disclosed by the database vulnerability analysis system, and storing the vulnerabilities and their solutions in a repository of the database vulnerability analysis system;
Providing, by the database vulnerability analysis system, information including a list of vulnerabilities, a DBMS version patch, a script and an operating environment, a manual supplement guide, and a security policy to a database security manager who has requested a vulnerability analysis;
If a security policy application is selected by a database security manager, applying, by the database access control system, the selected security policy held in the repository to remove the vulnerability according to a database vulnerability analysis result;
Controlling and blocking an access session to the operational database using a security policy to which the database access control system is applied; And
If the database access control system controls and blocks an access session to an operation database according to the security policy, storing the result in a separate database and providing the same to a database security manager;
The information that is updated in the vulnerability store includes the risk of each vulnerability, a description of the vulnerability, version information of the DBMS with the vulnerability, a guide for removing the vulnerability from the system operating environment, a patch patch guide, and a vulnerability removal script. (Script), vulnerability disclosure web site information, security policy to control and block malicious database users who try to infiltrate through vulnerability,
The security policy is based on the template defined in the database access control system, DB Access User, IP, OS User (OS User), DB Average Response Time, Access Session Number, Idle Time, Execution SQL Database security management method characterized in that the number, SQL commands (Command), the specific object (Object), Table (Column), Text (Text) in the SQL is created for the target. 삭제delete 삭제delete 삭제delete 삭제delete
KR1020100122614A 2010-12-03 2010-12-03 Database security method with remove the exposed weak point using Access Control System KR101226693B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100122614A KR101226693B1 (en) 2010-12-03 2010-12-03 Database security method with remove the exposed weak point using Access Control System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100122614A KR101226693B1 (en) 2010-12-03 2010-12-03 Database security method with remove the exposed weak point using Access Control System

Publications (2)

Publication Number Publication Date
KR20120061335A KR20120061335A (en) 2012-06-13
KR101226693B1 true KR101226693B1 (en) 2013-01-25

Family

ID=46611924

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100122614A KR101226693B1 (en) 2010-12-03 2010-12-03 Database security method with remove the exposed weak point using Access Control System

Country Status (1)

Country Link
KR (1) KR101226693B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016108478A1 (en) * 2014-12-31 2016-07-07 주식회사 파수닷컴 Method for managing data access, computer program therefor, and recording medium thereof

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8844045B2 (en) 2012-09-14 2014-09-23 Mastercard International Incorporated Methods and systems for evaluating software for known vulnerabilities
KR101905771B1 (en) * 2016-01-29 2018-10-11 주식회사 엔오디비즈웨어 Self defense security server with behavior and environment analysis and operating method thereof
KR102102256B1 (en) * 2016-08-12 2020-04-20 주식회사 케이티 System including apparatus for managing sharer and server and method thereof
JP6484657B2 (en) * 2017-03-17 2019-03-13 新日鉄住金ソリューションズ株式会社 Information processing apparatus, information processing method, and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030094921A (en) * 2002-06-10 2003-12-18 주식회사데이콤 System and method for Security Information Management and Vulnerability Analysis
KR100617314B1 (en) * 2004-11-11 2006-08-30 한국전자통신연구원 Security policy management method and apparatus of secure router system
KR20090035192A (en) * 2007-10-05 2009-04-09 에스케이 텔레콤주식회사 Apparatus and method for firewall system integrated management

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030094921A (en) * 2002-06-10 2003-12-18 주식회사데이콤 System and method for Security Information Management and Vulnerability Analysis
KR100617314B1 (en) * 2004-11-11 2006-08-30 한국전자통신연구원 Security policy management method and apparatus of secure router system
KR20090035192A (en) * 2007-10-05 2009-04-09 에스케이 텔레콤주식회사 Apparatus and method for firewall system integrated management

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016108478A1 (en) * 2014-12-31 2016-07-07 주식회사 파수닷컴 Method for managing data access, computer program therefor, and recording medium thereof

Also Published As

Publication number Publication date
KR20120061335A (en) 2012-06-13

Similar Documents

Publication Publication Date Title
US10560434B2 (en) Automated honeypot provisioning system
US11222123B2 (en) Securing privileged virtualized execution instances from penetrating a virtual host environment
EP2955894B1 (en) Deception network system
US10375101B2 (en) Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure
US10250627B2 (en) Remediating a security threat to a network
US10382469B2 (en) Domain age registration alert
US9166988B1 (en) System and method for controlling virtual network including security function
US11947693B2 (en) Memory management in virtualized computing environments
US7712137B2 (en) Configuring and organizing server security information
US9401924B2 (en) Monitoring operational activities in networks and detecting potential network intrusions and misuses
CN112637220B (en) Industrial control system safety protection method and device
US9954896B2 (en) Preconfigured honey net
CN109462599B (en) Honeypot management system
KR101226693B1 (en) Database security method with remove the exposed weak point using Access Control System
CN104077532B (en) A kind of Linux virtual platforms safety detection method and system
US10735430B1 (en) Systems and methods for dynamically enrolling virtualized execution instances and managing secure communications between virtualized execution instances and clients
CN103049702A (en) Server layer based security reinforcing strategy
US20220188444A1 (en) Systems and methods for securing virtualized execution instances
CN113407949A (en) Information security monitoring system, method, equipment and storage medium
KR101658450B1 (en) Security device using transaction information obtained from web application server and proper session id
Putra et al. Infrastructure as code for security automation and network infrastructure monitoring
KR20100078738A (en) Security system and security method at web application server
CN107516039B (en) Safety protection method and device for virtualization system
CN110990830A (en) Terminal evidence obtaining and tracing system and method
US20230334150A1 (en) Restricted execution mode for network-accessible devices

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160121

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170718

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180122

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190121

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191125

Year of fee payment: 8