KR101480443B1 - 하이브리드 망 분리 시스템 및 그 방법 - Google Patents

하이브리드 망 분리 시스템 및 그 방법 Download PDF

Info

Publication number
KR101480443B1
KR101480443B1 KR1020130111752A KR20130111752A KR101480443B1 KR 101480443 B1 KR101480443 B1 KR 101480443B1 KR 1020130111752 A KR1020130111752 A KR 1020130111752A KR 20130111752 A KR20130111752 A KR 20130111752A KR 101480443 B1 KR101480443 B1 KR 101480443B1
Authority
KR
South Korea
Prior art keywords
network
terminal
internet
business
server
Prior art date
Application number
KR1020130111752A
Other languages
English (en)
Inventor
정의석
전승열
조국환
강태욱
우동훈
신재호
윤경호
Original Assignee
주식회사 하나은행
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 하나은행 filed Critical 주식회사 하나은행
Priority to KR1020130111752A priority Critical patent/KR101480443B1/ko
Application granted granted Critical
Publication of KR101480443B1 publication Critical patent/KR101480443B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

하이브리드 망 분리 시스템은 업무의 보안 위험 수준이 상대적으로 높은 사용자에게 지급되고, 인터넷망으로 직접 접속이 가능한 제1 업무용 단말, 업무의 보안 위험 수준이 상대적으로 낮은 사용자에게 지급되고, 가상화 기술을 이용하여 인터넷망으로의 접근이 제한적으로 허용되는 제2 업무용 단말, 그리고 상기 제2 업무용 단말의 가상환경에서 실행된 프로세스로부터의 인터넷망 접속 요청만 허용하고, 상기 가상환경을 통하지 않은 프로세스로부터의 인터넷망 접속 요청은 차단시키는 가상화 서버를 포함한다.

Description

하이브리드 망 분리 시스템 및 그 방법{HYBRID NETWORK PARTITION SYSTEM AND METHOD THEREOF}
본 발명은 하이브리드 망 분리 시스템 및 그 방법에 관한 것으로서, 세부적으로, 내부망과 외부망을 분리하는 망 분리 기술에 관한 것이다.
정보화의 발달로 일반 개인은 물론 각종 산업이 인터넷과 정보 기술에 대한 활용도 및 의존도가 급속히 높아졌다.
인터넷에 대한 의존도가 높아지면서 국가 및 기관에서는 질 높은 서비스를 제공하기 위해 자료 및 정보를 디지털화하여 제공하고 있다. 그러나 자료 및 정보의 전송이 디지털화되면서 해킹, 악성 프로그램 유포 등과 같이 다양한 유형의 사이버 공격이 나타나고 있다. 사이버 공격은 정보 유출, 시스템 다운, 사이트 및 망 마비 등으로 개인 뿐만 아니라 조직 및 국가적으로 많은 피해를 주고 있다. 증가하고 있는 사이버 공격을 차단하여 국가 및 산업의 중요 정보를 보호하기 위한 방안으로 망분리 기술이 요구되었으며, 2008년도부터 국가 기관의 망 분리 사업이 진행되어 왔다.
망분리에는 외부와 내부망을 물리적으로 분리하는 물리적 망분리와 가상화를 이용하여 분리하는 논리적 망분리가 있다.
국가 및 공공기관에서는 물리적 망 분리를 많이 적용하고 있다. 물리적 망 분리는 외부와 내부망을 별도로 분리하는 기술로 보안 안전성은 뛰어나지만, 망구축 및 에너지 비용이 높고, 업무 효율성 저하가 발생하는 문제가 있다.
또한, 가상화를 이용하여 외부와 내부망을 분리하는 서버 가상화 방식의 논리적 망분리는 업무 효율성면에서는 우수하지만 고비용, 프로그램 호환성, 성능 문제가 발생한다. 그리고 PC 가상화 방식은 상대적으로 저 비용으로 구축 가능하나 상대적으로 낮은 보안성 및 사용자 환경별 호환성, 성능 문제가 발생한다.
따라서, 본 발명이 이루고자 하는 기술적 과제는 물리적 망 분리 방식과 제한적 서버 가상화 방식이 혼합된 하이브리드 망 분리 시스템 및 그 방법을 제공하는 것이다.
본 발명의 한 실시예에 따른 하이브리드 망 분리 시스템은 업무의 보안 위험 수준이 상대적으로 높은 사용자에게 지급되고, 인터넷망으로 직접 접속이 가능한 제1 업무용 단말, 업무의 보안 위험 수준이 상대적으로 낮은 사용자에게 지급되고, 가상화 기술을 이용하여 인터넷망으로의 접근이 제한적으로 허용되는 제2 업무용 단말, 그리고 상기 제2 업무용 단말의 가상환경에서 실행된 프로세스로부터의 인터넷망 접속 요청만 허용하고, 상기 가상환경을 통하지 않은 프로세스로부터의 인터넷망 접속 요청은 차단시키는 가상화 서버를 포함한다.
상기 제1 업무용 단말과 연결되고, 상기 인터넷망과 연결되어 상기 제1 업무용 단말과 상기 인터넷망 간에 송수신하는 데이터를 스위칭하는 제1 네트워크 스위치, 그리고 상기 제2 업무용 단말 및 상기 가상화 서버와 각각 연결되고, 상기 제2 업무용 단말과 상기 가상화 서버 간에 송수신하는 데이터를 스위칭하는 제2 네트워크 스위치를 포함할 수 있다.
상기 제1 네트워크 스위치 및 상기 제2 네트워크 스위치와 연결되고, 상기 제1 네트워크 스위치와 상기 인터넷 망간에 송수신하는 데이터와, 상기 제2 네트워크 스위치와 상기 가상화 서버 간에 송수신하는 데이터를 처리하는 멀티서비스 프로비저닝 플랫폼 장치를 더 포함할 수 있다.
상기 제1 업무용 단말의 IP 주소 대역 및 상기 제2 업무용 단말의 IP 주소 대역을 각각 가상랜으로 그룹화하고, 가상랜 별로 다른 IP 대역에 따라 트래픽을 분리하며, 상기 제1 업무용 단말과 상기 인터넷망간의 트래픽은 인터넷 회선을 통해 교환되도록 스위칭하고, 상기 제2 업무용 단말과 상기 가상화 서버간의 트래픽은 업무망 회선을 통해 교환되도록 스위칭할 수 있다.
인터넷망과 연결되는 제1 라우터, 상기 가상화 서버와 연결되는 제2 라우터,상기 가상랜 스위치, 상기 제1 라우터 및 상기 제2 라우터와 연결되고, 상기 가상랜 스위치와 상기 인터넷 망간에 송수신하는 데이터와, 상기 가상랜 스위치와 상기 가상화 서버 간에 송수신하는 데이터를 처리하는 멀티서비스 프로비저닝 플랫폼 장치를 더 포함할 수 있다.
본 발명의 다른 실시예에 따른 하이브리드 망 분리 시스템은 내부망에서 전송된 데이터를 관리하는 내부망 DB 서버, 외부망에서 전송된 데이터를 관리하는 외부망 DB 서버, 그리고 상기 제1 업무용 단말에서 요청하거나 전송한 데이터, 상기 제2 업무용 단말에서 요청하거나 전송한 데이터를 기 정의된 정책에 따라 모니터링하여 상기 제1 업무용 단말의 상기 외부망 교환 서버 접속 및 상기 제2 업무용 단말의 상기 내부망 교환 서버 접속의 승인 처리를 수행하는 통합 승인 서버를 더 포함할 수 있다.
상기 가상화 서버는, 상기 제2 업무용 단말의 접속 시간 및 상기 제2 업무용 단말을 통한 접속 사용자를 모니터링하여 기 정의된 정책에 따라 제어하고, 상기 제2 업무용 단말이 접속하는 인터넷 사이트를 조회하여 상기 인터넷 사이트의 접속을 제한할 수 있다.
본점에 설치된 상기 제1 업무용 단말과 연결되고, 상기 인터넷망과 연결되어 상기 본점에 설치된 제1 업무용 단말과 상기 인터넷망 간에 송수신하는 데이터를 스위칭하며, 상기 본점에 설치된 제1 네트워크 스위치, 본점에 설치된 제2 업무용 단말 및 상기 가상화 서버와 각각 연결되고, 상기 본점에 설치된 제2 업무용 단말과 상기 가상화 서버 간에 송수신하는 데이터를 스위칭하며, 상기 본점에 설치된 제2 네트워크 스위치, 그리고 영업점에 설치된 상기 제1 업무용 단말의 IP 주소 대역 및 상기 영업점에 설치된 상기 제2 업무용 단말의 IP 주소 대역을 각각 가상랜으로 그룹화하고, 가상랜 별로 다른 IP 대역에 따라 트래픽을 분리하며, 상기 영업점에 설치된 제1 업무용 단말과 상기 인터넷망간의 트래픽은 인터넷 회선을 통해 교환되도록 스위칭하고, 상기 영업점에 설치된 제2 업무용 단말과 상기 가상 서버간의 트래픽은 업무망 회선을 통해 교환되도록 스위칭하는 가상랜 스위치를 더 포함할 수 있다.
상기 제1 네트워크 스위치 및 상기 제2 네트워크 스위치와 연결되고, 상기 제1 네트워크 스위치와 상기 인터넷 망간에 송수신하는 데이터와, 상기 제2 네트워크 스위치와 상기 가상화 서버 간에 송수신하는 데이터를 처리하며, 상기 본점에 설치되는 멀티서비스 프로비저닝 플랫폼 장치, 상기 가상랜 스위치와 연결되고, 상기 가상랜 스위치와 상기 인터넷 망간에 송수신하는 데이터와, 상기 가상랜 스위치와 상기 가상화 서버 간에 송수신하는 데이터를 처리하며, 상기 영업점에 설치되는 하나 이상의 멀티서비스 프로비저닝 플랫폼 장치, 인터넷망과 연결되는 제1 라우터, 상기 가상화 서버와 연결되는 제2 라우터, 그리고 상기 본점에 설치되는 멀티서비스 프로비저닝 플랫폼 장치 및 상기 영업점에 설치되는 하나 이상의 멀티서비스 프로비저닝 플랫폼 장치와 연결되어 전달되는 데이터를 처리하고, 상기 제1 라우터 및 상기 제2 라우터와 직접 연결되는 멀티서비스 프로비저닝 플랫폼 장치를 더 포함할 수 있다.
상기 제2 라우터와 연결되고, 내부망에서 전송된 데이터를 관리하는 내부망 DB 서버, 상기 제1 라우터와 연결되고, 외부 인터넷망에서 전송된 데이터를 관리하는 외부망 DB 서버, 그리고 상기 제1 업무용 단말에서 요청하거나 전송한 데이터, 상기 제2 업무용 단말에서 요청하거나 전송한 데이터를 기 정의된 정책에 따라 모니터링하여 상기 제1 업무용 단말의 상기 외부망 DB 서버 접속 및 상기 제2 업무용 단말의 상기 내부망 DB 서버 접속의 승인 처리를 수행하는 통합 승인 서버를 더 포함할 수 있다.
상기 가상화 서버는, 상기 제2 업무용 단말의 접속 시간 및 상기 제2 업무용 단말을 통한 접속 사용자를 모니터링하여 기 정의된 정책에 따라 제어하며, 상기 제2 업무용 단말이 접속하는 인터넷 사이트를 조회하여 상기 인터넷 사이트의 접속을 제한할 수 있다.
본 발명의 다른 실시예에 따른 하이브리드 망 분리 방법은 하이브리드 망 분리 시스템에 포함되는 네트워크 장비가 업무의 보안 위험 수준이 상대적으로 높은 사용자에게 지급되는 제1 업무용 단말을 인터넷망으로 직접 접속시키는 단계, 상기 네트워크 장비가 업무의 보안 위험 수준이 상대적으로 낮은 사용자에게 지급되고, 가상화 기술을 이용하여 인터넷망으로의 접근이 제한적으로 허용되는 제2 업무용 단말을 가상화 서버로 접속시키는 단계, 상기 하이브리드 망 분리 시스템에 포함되는 상기 가상화 서버가 상기 제2 업무용 단말의 인터넷망 접속 요청이 상기 제2 업무용 단말의 가상환경에서 실행된 프로세스로부터 수신된 것인지를 판단하는 단계, 상기 판단 결과에 따라 상기 제2 업무용 단말의 가상환경에서 실행된 프로세스로부터의 인터넷망 접속 요청은 허용하는 단계, 그리고 상기 판단 결과에 따라 상기 가상환경을 통하지 않은 프로세스로부터의 인터넷망 접속 요청은 차단시키는 단계를 포함한다.
상기 하이브리드 망 분리 시스템에 포함되는 통합 승인 서버가 상기 제1 업무용 단말에서 요청하거나 전송한 데이터, 상기 제2 업무용 단말에서 요청하거나 전송한 데이터를 기 정의된 정책에 따라 모니터링하여 상기 제1 업무용 단말 및 상기 제2 업무용 단말의 외부망 데이터 또는 내부망 데이터로의 접속의 승인 처리를 수행하는 단계를 더 포함할 수 있다.
상기 하이브리드 망 분리 시스템에 포함되는 가상화 서버가 상기 제2 업무용 단말의 접속 시간 및 상기 제2 업무용 단말을 통한 접속 사용자를 모니터링하여 기 정의된 정책에 따라 제어하는 단계, 그리고 상기 제2 업무용 단말이 접속하는 인터넷 사이트를 조회하여 상기 인터넷 사이트의 접속을 제한하는 단계를 더 포함할 수 있다.
본 발명의 다른 실시예에 따른 하이브리드 망 분리 방법은 하이브리드 망 분리 시스템에 포함되는 네트워크 장비가 업무의 보안 위험 수준이 상대적으로 높은 사용자에게 지급되는 제1 업무용 단말의 IP 주소 대역 및 업무의 보안 위험 수준이 상대적으로 낮은 사용자에게 지급되고, 가상화 기술을 이용하여 인터넷망으로의 접근이 제한적으로 허용되는 제2 업무용 단말의 IP 주소 대역을 각각 가상랜으로 그룹핑하는 단계, 상기 제1 업무용 단말의 트래픽은 인터넷 회선을 통해 전달되도록 스위칭하는 단계, 그리고 상기 제2 업무용 단말의 트래픽은 업무망 회선을 통해 전달되도록 스위칭하는 단계를 포함한다.
상기 업무망 회선을 통해 전달되도록 스위칭하는 단계 이후, 상기 하이브리드 망 분리 시스템에 포함되는 상기 가상화 서버가 상기 제2 업무용 단말의 인터넷망 접속 요청이 상기 제2 업무용 단말의 가상환경에서 실행된 프로세스로부터 수신되는지를 판단하는 단계, 상기 실행된 프로세스로부터의 인터넷망 접속 요청은 허용하는 단계, 그리고 상기 가상환경을 통하지 않은 프로세스로부터의 인터넷망 접속 요청은 차단시키는 단계를 더 포함할 수 있다.
상기 업무망 회선을 통해 전달되도록 스위칭하는 단계 이후, 상기 하이브리드 망 분리 시스템에 포함되는 통합 승인 서버가 상기 제1 업무용 단말에서 요청하거나 전송한 데이터, 상기 제2 업무용 단말에서 요청하거나 전송한 데이터를 기 정의된 정책에 따라 모니터링하여 상기 제1 업무용 단말 및 상기 제2 업무용 단말의 외부망 데이터 또는 내부망 데이터로의 접속의 승인 처리를 수행하는 단계를 더 포함할 수 있다.
상기 업무망 회선을 통해 전달되도록 스위칭하는 단계 이후, 상기 하이브리드 망 분리 시스템에 포함되는 가상화 서버가 상기 제2 업무용 단말의 접속 시간 및 상기 제2 업무용 단말을 통한 접속 사용자를 모니터링하여 기 정의된 정책에 따라 제어하는 단계, 그리고 상기 제2 업무용 단말이 접속하는 인터넷 사이트를 조회하여 상기 인터넷 사이트의 접속을 제한하는 단계를 더 포함할 수 있다.
본 발명의 실시예에 따르면, 하이브리드 망 분리 시스템을 구성하여 보안성 및 사용자 편의성을 최대한 보장 할 수 있다.
도 1은 본 발명의 실시예에 따른 하이브리드 망 분리 시스템의 구성도이다.
도 2는 본 발명의 실시예에 따른 가상랜 스위치가 포함된 망 분리 시스템의 구성도이다.
도 3은 본 발명의 한 실시예에 따른 하이브리드 망 분리 방법을 나타낸 순서도이다.
도 4는 본 발명의 다른 실시예에 따른 하이브리드 망 분리 방법을 나타낸 순서도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "…부", "…모듈" 의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
이하, 도면을 참조로 하여 본 발명의 실시예에 따른 하이브리드 망 분리 시스템 및 그 방법에 대하여 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 하이브리드 망 분리 시스템의 구성도이다.
도 1을 참조하면, 제1 업무용 단말(100)은 인터넷망으로 직접 접속이 가능한 단말이다. 제2 업무용 단말(200)은 가상화 기술을 이용하여 인터넷망으로의 접근이 제한적으로 허용된다. 여기서, 제1 업무용 단말(100) 및 제2 업무용 단말(200)은 데스크톱 컴퓨터 또는 PC(Personal Computer)일 수 있다.
이때, 제1 업무용 단말(100) 및 제2 업무용 단말(200)이 업무의 보안 위험 수준이 상대적으로 높은 제1 사용자에게 지급된다. 따라서, 제1 사용자는 인터넷망 이용시에는 제1 업무용 단말(100)을 사용하고, 업무와 관련된 인터넷망 이용시에는 제2 업무용 단말(200)을 사용할 수 있다. 여기서, 제1 사용자는 인터넷 집중도가 높아 보안 위험 수준이 높은 사용자를 말하고, 전산 시스템 접근자를 말한다. 이처럼, 단말 자체를 구분하여 접속망 자체를 달리하는 것이 물리적 망 분리 방식이다. 즉, 인터넷 망 접속시에는 제1 업무용 단말(100)을 사용하는 것이다.
또한, 제2 업무용 단말(200)은 업무의 보안 위험 수준이 상대적으로 낮은 제2 사용자에게 지급된다. 이때, 제2 업무용 단말(200)은 가상화 서버(900)와 연동하여 제2 사용자의 인터넷망 접속을 제한적으로 허용한다. 이처럼, 가상화 기술을 이용하여 하나의 단말 내에서 접속망을 달리할 수 있는 것이 논리적 망 분리 방식이다.
본 발명의 실시예에 따른 하이브리드 망 분리 시스템은 이와 같은 물리적 망 분리 방식과 논리적 망 분리 방식이 공존하고, 사용자의 보안 등급에 따라 인터넷 접근 방식을 구분한다. 여기서, 인터넷 접근 방식을 구분하는 것은 제1 사용자에게 제1 업무용 단말(100) 및 제2 업무용 단말(200)을 모두 지급하고, 제2 사용자에게는 제2 업무용 단말(200)만을 지급하는 것을 말한다.
또한, 하이브리드 망 분리 시스템은 기업, 금융기관 등 다양한 곳에 구현될 수 있다. 여기서, 본점, 영업점, 전산센터로 구분되는 경우, 본점에 설치되는 제1 업무용 단말(100)은 제1 네트워크 스위치(300)와 연결된다. 그리고 제2 업무용 단말(200)은 제2 네트워크 스위치(400)와 연결된다. 그리고 제1 네트워크 스위치(300) 및 제2 네트워크 스위치(400)는 제1 멀티서비스 프로비저닝 플랫폼(MSPP, Multi Service Provisioning Platform) 장치(500)와 연결된다.
여기서, 제1 네트워크 스위치(300) 및 제2 네트워크 스위치(400)는 네트워크 단위들을 연결하는 통신 장비를 말한다. 제1 네트워크 스위치(300)는 인터넷망(1800)과 연결되어 제1 업무용 단말(100)과 인터넷망(1800) 간에 송수신하는 데이터를 스위칭한다.
또한, 제2 네트워크 스위치(400)는 제2 업무용 단말(200) 및 가상화 서버(900)와 각각 연결되고, 제2 업무용 단말(200)과 가상화 서버(900) 간에 송수신하는 데이터를 스위칭한다.
제1 멀티서비스 프로비저닝 플랫폼 장치(500)는 제1 네트워크 스위치(300) 및 제2 네트워크 스위치(400)와 연결되고, 제1 네트워크 스위치(300)와 인터넷 망(1800)간에 송수신하는 데이터와, 제2 네트워크 스위치(400)와 가상화 서버(900) 간에 송수신하는 데이터를 처리한다. 즉, 회선 분배 기능을 통해 인터넷 망 회선과 업무망 회선을 분배한다. 일반적으로, 멀티서비스 프로비저닝 플랫폼 장치(500, 700, 800)는 하나의 장비에서 다양한 이종 서비스, 예컨대 음성서비스를 위한 PDH(Plesiochronous Digital Hierarchy), SDH(Synchronous Digital Hierarchy) 계위 신호를 수용하면서 데이터 서비스를 위한 이더넷(Ethernet)을 수용한다. 그리고 회선 분배 기능 내장이 가능하고, 모든 신호를 동일 장비에서 수용이 가능하도록 구현된다.
한편, 복수의 영업점 별로 각각 설치되는 제1 업무용 단말(100) 및 제2 업무용 단말(200)은 가상랜 스위치(600)와 연결된다. 즉, 영업점 마다 가상랜 스위치(600)가 각각 한 개씩 구비된다. 그리고 이러한 가상랜 스위치(600)는 마찬가지로 영업점 별로 설치된 각각의 제2 멀티서비스 프로비저닝 플랫폼 장치(700)와 연결된다.
여기서, 가상랜 스위치(600)는 제1 업무용 단말(100)의 IP 주소 대역 및 제2 업무용 단말(200)의 IP 주소 대역을 각각 가상랜으로 그룹핑한다. 그리고, 가상랜 별로 다른 IP 대역에 따라 트래픽을 분리한다. 즉, 제1 업무용 단말(100)과 인터넷망(1800)간의 트래픽은 인터넷 회선을 통해 교환되도록 스위칭한다. 그리고, 제2 업무용 단말(200)과 가상화 서버(900)간의 트래픽은 업무망 회선을 통해 교환되도록 스위칭한다. 여기서, 인터넷 회선과 업무망 회선 간에는 통신 연결이 불가능하다.
이때, 가상랜 스위치(600)에는 IP가 부여되지 않고, 제1 라우터(1000)에서 가상 랜(Virtual LAN, 이하, VLAN으로 통칭함)을 관리하는 구조이다. 이는IEEE 802.1Q VLAN Tagging에 정의된 대로 VLAN을 브리지(Bridge) 역할로 사용하는 것이다.
제2 멀티서비스 프로비저닝 플랫폼 장치(700)는 가상랜 스위치(600)와 연결되고, 회선 분배 기능을 통해 인터넷 망 회선과 업무망 회선을 분배한다.
한편, 전산센터에 설치되는 제3 멀티서비스 프로비저닝 플랫폼 장치(800)는 제1 멀티서비스 프로비저닝 플랫폼 장치(500) 및 하나 이상의 제2 멀티서비스 프로비저닝 플랫폼 장치(700)와 연결된다. 그리고 마찬가지로 회선 분배 기능을 통해 인터넷 망 회선과 업무망 회선을 분배한다.
제3 멀티서비스 프로비저닝 플랫폼 장치(800)는 인터넷망(1800)과 연결되는 제1 라우터(1000) 및 내부 업무망(1600)과 연결되는 제2 라우터(1100)와 각각 연결되어 있다. 그리고 제1 업무용 단말(100)의 트래픽은 인터넷 회선을 통해 제1 라우터(1000)로 분배하고, 제2 업무용 단말(200)의 트래픽은 업무망 회선을 통해 제2 라우터(1100)로 분배한다.
가상화 서버(900)는 제1 라우터(1000)를 통해 제3 멀티서비스 프로비저닝 플랫폼 장치(800)과 연결된다. 그리고 제2 업무용 단말(200)의 가상환경에서 실행된 프로세스로부터의 인터넷망 접속 요청만 허용하고, 가상환경을 통하지 않은 프로세스로부터의 인터넷망 접속 요청은 차단시킨다.
가상화 서버(900)는 가상화 방식으로 제2 업무용 단말(200)의 PC 할당을 수행한다. 그리고 종료시 초기화를 수행한다. 또한, 부점별 접속 사용자, 통제 시간을 통제하고, 제한된 사용자 계정으로 전직원이 사용가능하게 할 수도 있다. 그리고 제2 업무용 단말(200)이 접속하는 인터넷 사이트를 조회하여 인터넷 사이트의 접속을 제한할 수 있다.
통합 승인 서버(1200)는 제1 라우터(1000) 및 제2 라우터(1100)와 연결된다. 이때, 제1 라우터(1000)는 방화벽(1700)을 통해 인터넷망(1800)과 연결된다.
통합 승인 서버(1200)는 분리된 망 즉 업무망(1600)과 인터넷망(1800)간의 직접 접속이 없는 방식의 자료 교환 시스템을 구현한다. 외부 즉 인터넷망(1800)에서 유입된 데이터의 보안 침해 요소를 방역하는 기능을 한다.
통합 승인 서버(1200)는 제1 업무용 단말(100)과 인터넷망(1800)간에 송수신하는 데이터, 제2 업무용 단말(200)과 업무망(1600)간에 송수신하는 데이터를 기 정의된 정책에 따라 모니터링한다. 그리고 제1 업무용 단말(100)의 외부망 DB 서버(1400)로의 접속 및 제2 업무용 단말(200)의 내부망 DB 서버(1300)로의 접속의 승인 처리를 수행한다. 이때, 개인 정보 유무를 검출하여 개인 정보는 인터넷망(1800)으로 유출되지 않게 제한 또는 차단할 수 있다.
통합 승인 서버(1200)는 분리된 망 간의 자료 연계를 관리하고, 외부 반입 자료의 방역 처리 및 검역소를 운영한다. 즉 인터넷망(1800)으로 반출되는 데이터의 개인 정보 탐지, 암호화 및 승인을 수행한다. 그리고 인터넷망(1800)에서 반입되는 데이터의 방역 처리 및 유입 경로를 추적한다. 즉, 보안 침해 요소를 판단하여 처리한다.
내부망 DB 서버(1300)는 업무망(1600)에서 유입되거나 또는 제2 업무용 단말(200)과 업무망(1600)간의 송수신되는 데이터를 관리한다. 그리고 제1 업무용 단말(100)의 업무망(1600) 접근을 아예 차단하고, 제2 업무용 단말(200)와 동일 수준의 보안 프로그램을 운영할 수도 있다. 또한, USB의 읽기/쓰기를 허용하고, 인터넷 사용시 정책에 따라 접근을 허용할 수 있다. 그리고 개인 정보를 포함하는 파일은 주기적으로 삭제시키고, 웹메일은 통합 승인 서버(1200)와 연동하여 사용 가능하다.
외부망 DB 서버(1400)는 인터넷망(1800)에서 유입되거나 또는 제1 업무용 단말(100)과 인터넷망(1800)간의 송수신되는 데이터를 관리한다. 그리고 데이터의 라이프 사이클(Life Cycle)을 관리한다. 그리고 웹메일을 포함하여 인터넷 접속의 차단, USB 사용의 읽기 권한 허용 및 검역소 운영할 수 있다. 그리고 업무망(1600)에 한해 접근 허용이 되도록 제한할 수도 있다.
이때, 내부망 DB 서버(1300) 및 외부망 DB 서버(1400)는 물리적으로 구분된 서버 구성 형태로 도시하였지만, 물리적으로 하나의 스토리지를 외부망 영역과 내부망 영역을 구분하는 방식으로 구현될 수 있다.
보안 서버(1500)는 제1 업무용 단말(100) 및 제2 업무용 단말(200)을 대상으로 통합 PC 보안, 자산관리 프로그램, 개인 정보 지킴이, NAC(Network Access Control) 프로그램, 문서 보안, 출력물 보안 프로그램을 관리한다.
도 2는 본 발명의 실시예에 따른 가상랜 스위치가 포함된 망 분리 시스템의 구성도이다. 즉, 도 1의 영업점 시스템을 좀 더 세부적으로 나타낸 것이다.
도 2를 참조하면, 가상랜 스위치(600)는 제1 업무용 단말(100) 및 제2 업무용 단말(200)과 각각 연결된다. 그리고 제1 업무용 단말(100)과는 인터넷 영역 VLAN을 형성한다. 또한, 제2 업무용 단말(200)과는 업무망 영역 VLAN을 형성한다.
가상랜 스위치(600)는 제1 업무용 단말(100) 및 제2 업무용 단말(200)에서 생성된 트래픽을 하나로 집선하여 제2 멀티서비스 프로비저닝 플랫폼 장치(700)로 전달한다. 이때, 트래픽이 발생한 IP 대역에 따라 트래픽을 그룹핑하여 분리하여 전달한다. 그러면, 그러면, 제2 멀티서비스 프로비저닝 플랫폼 장치(700)는 제1 업무용 단말(100)의 IP 대역에서 발생한 트래픽은 인터넷 VC 회선을 통해 제3 멀티서비스 프로비저닝 플랫폼 장치(800)로 전달한다. 그리고 제2 업무용 단말(200)의 IP 대역에서 발생한 트래픽은 업무망 VC 회선을 통해 제3 멀티서비스 프로비저닝 플랫폼 장치(800)로 전달한다.
제3 멀티서비스 프로비저닝 플랫폼 장치(800)는 인터넷 VC 회선을 통해 전달된 트래픽은 제1 라우터(1000)->방화벽(1700)->인터넷망(1800)의 경로로 전달되도록 한다. 그리고 업무망 VC 회선을 통해 전달된 트래픽은 제2 라우터(1100)->업무망(1600)의 경로로 전달되도록 한다.
여기서, 단말(100, 200)에서 망(1600, 1800)으로 전달되는 경로를 설명하였으나, 그 반대 경로의 경우도 전술한 바와 같다.
그러면, 지금까지 설명한 내용에 기초하여 하이브리드 망 분리 방법을 설명하기로 한다. 이때, 도 1 및 도 2와 동일한 구성은 동일한 도면 부호를 사용하여 설명한다.
도 3은 본 발명의 한 실시예에 따른 하이브리드 망 분리 방법을 나타낸 순서도이다. 특히, 도 1의 본점 시스템의 구조에서 하이브리드 망 분리 과정을 나타낸다.
도 3을 참조하면, 제1 업무용 단말(100)은 제1 네트워크 스위치(300)<->제1 멀티서비스 프로비저닝 플랫폼 장치(500)<->제3 멀티서비스 프로비저닝 플랫폼 장치(800)<->제1 라우터(1000)<->방화벽(1700)<->인터넷망(1800)의 경로로 접속되어 인터넷 트래픽의 송수신이 이루어지진다(S101).
제2 업무용 단말(200)은 제2 네트워크 스위치(400)<->제1 멀티서비스 프로비저닝 플랫폼 장치(500)<->제3 멀티서비스 프로비저닝 플랫폼 장치(800)<->가상화 서버(900)로 먼저 접속(S103)된다.
가상화 서버(900)는 제2 업무용 단말(200)로부터 인터넷망 접속 요청이 수신(S105)되면, 제2 업무용 단말(200)의 가상 환경에서 실행된 프로세스에서 수신된 것인지를 판단한다(S107).
이때, 가상환경에서 실행된 프로세스에서 수신되었다면, 인터넷망 접속 요청을 허용한다(S109).
반면, 가상환경에서 실행된 프로세스에서 수신되지 않았다면, 인터넷망 접속 요청을 차단한다(S111).
도 4는 본 발명의 다른 실시예에 따른 하이브리드 망 분리 방법을 나타낸 순서도이다. 특히, 도 1 및 도 2의 영업점 시스템의 구조에서 하이브리드 망 분리 과정을 나타낸다.
도 4를 참조하면, 가상랜 스위치(600)가 제1 업무용 단말(100)의 IP 주소 대역 및 제2 업무용 단말(200)의 IP 주소 대역을 각각 가상랜으로 그룹핑한다(S201).
가상랜 스위치(600)는 트래픽이 수신(S203)되면, 제1 업무용 단말(100)의 트래픽인지 또는 제2 업무용 단말(200)의 트래픽인지를 판단한다(S205). 이때, 판단은 트래픽의 발신 주소의 IP 대역을 확인하여 S201 단계에서 그룹핑한 내역을 참조하여 트래픽을 분류한다.
이때, 제1 업무용 단말(100)의 트래픽으로 판단되면, S203 단계에서 수신된 트래픽은 인터넷 회선을 통해 전달되도록 스위칭한다(S207).
반면, 제2 업무용 단말(200)의 트래픽으로 판단되면, S203 단계에서 수신된 트래픽은 업무망 회선을 통해 전달되도록 스위칭한다(S209).
한편, S209 단계 이후, 제2 업무용 단말(200)의 인터넷망 접속 요청에 대해서는 S107 단계~S111 단계와 동일하게 이루어진다.
또한, S111 단계 또는 S209 단계 이후, 통합 승인 서버(1200)가 제1 업무용 단말(100)에서 요청하거나 전송한 데이터, 제2 업무용 단말(200)에서 요청하거나 전송한 데이터를 기 정의된 정책에 따라 모니터링하고, 제1 업무용 단말(100) 및 제2 업무용 단말(200)의 접속의 승인 처리를 수행하는 단계를 더 포함할 수 있다. 즉, 전술한 대로 외부망 데이터 또는 내부망 데이터로의 접속의 승인 처리를 수행한다.
또한, S111 단계 또는 209 단계 이후, 가상화 서버(900)가 제2 업무용 단말(200)의 접속 시간 및 제2 업무용 단말(200)의 접속 사용자를 모니터링하여 기 정의된 정책에 따라 제어하는 단계를 더 포함할 수 있다. 그리고 제2 업무용 단말(200)이 접속하는 인터넷 사이트를 조회하여 인터넷 사이트의 접속을 제한하는 단계를 추가로 더 포함할 수 있다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (18)

  1. 업무의 보안 위험 수준이 상대적으로 높은 사용자에게 지급되고, 인터넷망으로 직접 접속이 가능한 제1 업무용 단말,
    업무의 보안 위험 수준이 상대적으로 낮은 사용자에게 지급되고, 가상화 기술을 이용하여 인터넷망으로의 접근이 제한적으로 허용되는 제2 업무용 단말,
    상기 제2 업무용 단말의 가상환경에서 실행된 프로세스로부터의 인터넷망 접속 요청만 허용하고, 상기 가상환경을 통하지 않은 프로세스로부터의 인터넷망 접속 요청은 차단시키는 가상화 서버
    상기 제1 업무용 단말과 연결되고, 상기 인터넷망과 연결되어 상기 제1 업무용 단말과 상기 인터넷망 간에 송수신하는 데이터를 스위칭하는 제1 네트워크 스위치, 그리고
    상기 제2 업무용 단말 및 상기 가상화 서버와 각각 연결되고, 상기 제2 업무용 단말과 상기 가상화 서버 간에 송수신하는 데이터를 스위칭하는 제2 네트워크 스위치
    를 포함하는 하이브리드 망 분리 시스템.
  2. 삭제
  3. 제1항에서,
    상기 제1 네트워크 스위치 및 상기 제2 네트워크 스위치와 연결되고, 상기 제1 네트워크 스위치와 상기 인터넷 망간에 송수신하는 데이터와, 상기 제2 네트워크 스위치와 상기 가상화 서버 간에 송수신하는 데이터를 처리하는 멀티서비스 프로비저닝 플랫폼 장치
    를 더 포함하는 하이브리드 망 분리 시스템.
  4. 제1항에서,
    상기 제1 업무용 단말의 IP 주소 대역 및 상기 제2 업무용 단말의 IP 주소 대역을 각각 가상랜으로 그룹화하고, 가상랜 별로 다른 IP 대역에 따라 트래픽을 분리하며, 상기 제1 업무용 단말과 상기 인터넷망간의 트래픽은 인터넷 회선을 통해 교환되도록 스위칭하고, 상기 제2 업무용 단말과 상기 가상화 서버간의 트래픽은 업무망 회선을 통해 교환되도록 스위칭하는 가상랜 스위치
    를 더 포함하는 하이브리드 망 분리 시스템.
  5. 제4항에서,
    인터넷망과 연결되는 제1 라우터,
    상기 가상화 서버와 연결되는 제2 라우터,
    상기 가상랜 스위치, 상기 제1 라우터 및 상기 제2 라우터와 연결되고, 상기 가상랜 스위치와 상기 인터넷 망간에 송수신하는 데이터와, 상기 가상랜 스위치와 상기 가상화 서버 간에 송수신하는 데이터를 처리하는 멀티서비스 프로비저닝 플랫폼 장치
    를 더 포함하는 하이브리드 망 분리 시스템.
  6. 제1항에서,
    내부망에서 전송된 데이터를 관리하는 내부망 DB 서버,
    외부망에서 전송된 데이터를 관리하는 외부망 DB 서버, 그리고
    상기 제1 업무용 단말에서 요청하거나 전송한 데이터, 상기 제2 업무용 단말에서 요청하거나 전송한 데이터를 기 정의된 정책에 따라 모니터링하여 상기 제1 업무용 단말의 상기 외부망 교환 서버 접속 및 상기 제2 업무용 단말의 상기 내부망 교환 서버 접속의 승인 처리를 수행하는 통합 승인 서버
    를 더 포함하는 하이브리드 망 분리 시스템.
  7. 제1항에서,
    상기 가상화 서버는,
    상기 제2 업무용 단말의 접속 시간 및 상기 제2 업무용 단말을 통한 접속 사용자를 모니터링하여 기 정의된 정책에 따라 제어하고, 상기 제2 업무용 단말이 접속하는 인터넷 사이트를 조회하여 상기 인터넷 사이트의 접속을 제한하는 하이브리드 망 분리 시스템.
  8. 제1항에서,
    본점에 설치된 상기 제1 업무용 단말과 연결되고, 상기 인터넷망과 연결되어 상기 본점에 설치된 제1 업무용 단말과 상기 인터넷망 간에 송수신하는 데이터를 스위칭하며, 상기 본점에 설치된 제1 네트워크 스위치,
    본점에 설치된 제2 업무용 단말 및 상기 가상화 서버와 각각 연결되고, 상기 본점에 설치된 제2 업무용 단말과 상기 가상화 서버 간에 송수신하는 데이터를 스위칭하며, 상기 본점에 설치된 제2 네트워크 스위치, 그리고
    영업점에 설치된 상기 제1 업무용 단말의 IP 주소 대역 및 상기 영업점에 설치된 상기 제2 업무용 단말의 IP 주소 대역을 각각 가상랜으로 그룹화하고, 가상랜 별로 다른 IP 대역에 따라 트래픽을 분리하며, 상기 영업점에 설치된 제1 업무용 단말과 상기 인터넷망간의 트래픽은 인터넷 회선을 통해 교환되도록 스위칭하고, 상기 영업점에 설치된 제2 업무용 단말과 상기 가상 서버간의 트래픽은 업무망 회선을 통해 교환되도록 스위칭하는 가상랜 스위치
    를 더 포함하는 하이브리드 망 분리 시스템.
  9. 제8항에 있어서,
    상기 제1 네트워크 스위치 및 상기 제2 네트워크 스위치와 연결되고, 상기 제1 네트워크 스위치와 상기 인터넷 망간에 송수신하는 데이터와, 상기 제2 네트워크 스위치와 상기 가상화 서버 간에 송수신하는 데이터를 처리하며, 상기 본점에 설치되는 멀티서비스 프로비저닝 플랫폼 장치,
    상기 가상랜 스위치와 연결되고, 상기 가상랜 스위치와 상기 인터넷 망간에 송수신하는 데이터와, 상기 가상랜 스위치와 상기 가상화 서버 간에 송수신하는 데이터를 처리하며, 상기 영업점에 설치되는 하나 이상의 멀티서비스 프로비저닝 플랫폼 장치,
    인터넷망과 연결되는 제1 라우터,
    상기 가상화 서버와 연결되는 제2 라우터, 그리고
    상기 본점에 설치되는 멀티서비스 프로비저닝 플랫폼 장치 및 상기 영업점에 설치되는 하나 이상의 멀티서비스 프로비저닝 플랫폼 장치와 연결되어 전달되는 데이터를 처리하고, 상기 제1 라우터 및 상기 제2 라우터와 직접 연결되는 멀티서비스 프로비저닝 플랫폼 장치
    를 더 포함하는 하이브리드 망 분리 시스템.
  10. 제9항에 있어서,
    상기 제2 라우터와 연결되고, 내부망에서 전송된 데이터를 관리하는 내부망 DB 서버,
    상기 제1 라우터와 연결되고, 외부 인터넷망에서 전송된 데이터를 관리하는 외부망 DB 서버, 그리고
    상기 제1 업무용 단말에서 요청하거나 전송한 데이터, 상기 제2 업무용 단말에서 요청하거나 전송한 데이터를 기 정의된 정책에 따라 모니터링하여 상기 제1 업무용 단말의 상기 외부망 DB 서버 접속 및 상기 제2 업무용 단말의 상기 내부망 DB 서버 접속의 승인 처리를 수행하는 통합 승인 서버
    를 더 포함하는 하이브리드 망 분리 시스템.
  11. 제10항에 있어서,
    상기 가상화 서버는,
    상기 제2 업무용 단말의 접속 시간 및 상기 제2 업무용 단말을 통한 접속 사용자를 모니터링하여 기 정의된 정책에 따라 제어하며, 상기 제2 업무용 단말이 접속하는 인터넷 사이트를 조회하여 상기 인터넷 사이트의 접속을 제한하는 하이브리드 망 분리 시스템.
  12. 하이브리드 망 분리 시스템에 포함되는 네트워크 장비가 업무의 보안 위험 수준이 상대적으로 높은 사용자에게 지급되는 제1 업무용 단말을 인터넷망으로 직접 접속시키는 단계,
    상기 네트워크 장비가 업무의 보안 위험 수준이 상대적으로 낮은 사용자에게 지급되고, 가상화 기술을 이용하여 인터넷망으로의 접근이 제한적으로 허용되는 제2 업무용 단말을 가상화 서버로 접속시키는 단계,
    상기 하이브리드 망 분리 시스템에 포함되는 상기 가상화 서버가 상기 제2 업무용 단말의 인터넷망 접속 요청이 상기 제2 업무용 단말의 가상환경에서 실행된 프로세스로부터 수신된 것인지를 판단하는 단계,
    상기 판단 결과에 따라 상기 제2 업무용 단말의 가상환경에서 실행된 프로세스로부터의 인터넷망 접속 요청은 허용하는 단계,
    상기 판단 결과에 따라 상기 가상환경을 통하지 않은 프로세스로부터의 인터넷망 접속 요청은 차단시키는 단계, 그리고
    상기 하이브리드 망 분리 시스템에 포함되는 통합 승인 서버가 상기 제1 업무용 단말에서 요청하거나 전송한 데이터, 상기 제2 업무용 단말에서 요청하거나 전송한 데이터를 기 정의된 정책에 따라 모니터링하여 상기 제1 업무용 단말 및 상기 제2 업무용 단말의 외부망 데이터 또는 내부망 데이터로의 접속의 승인 처리를 수행하는 단계
    를 포함하는 하이브리드 망 분리 방법.
  13. 삭제
  14. 제12항에 있어서,
    상기 하이브리드 망 분리 시스템에 포함되는 가상화 서버가 상기 제2 업무용 단말의 접속 시간 및 상기 제2 업무용 단말을 통한 접속 사용자를 모니터링하여 기 정의된 정책에 따라 제어하는 단계, 그리고
    상기 제2 업무용 단말이 접속하는 인터넷 사이트를 조회하여 상기 인터넷 사이트의 접속을 제한하는 단계
    를 더 포함하는 하이브리드 망 분리 방법.
  15. 하이브리드 망 분리 시스템에 포함되는 네트워크 장비가 업무의 보안 위험 수준이 상대적으로 높은 사용자에게 지급되는 제1 업무용 단말의 IP 주소 대역 및 업무의 보안 위험 수준이 상대적으로 낮은 사용자에게 지급되고, 가상화 기술을 이용하여 인터넷망으로의 접근이 제한적으로 허용되는 제2 업무용 단말의 IP 주소 대역을 각각 가상랜으로 그룹핑하는 단계,
    상기 제1 업무용 단말의 트래픽은 인터넷 회선을 통해 전달되도록 스위칭하는 단계, 그리고
    상기 제2 업무용 단말의 트래픽은 업무망 회선을 통해 전달되도록 스위칭하는 단계
    를 포함하고,
    상기 업무망 회선을 통해 전달되도록 스위칭하는 단계 이후,
    상기 하이브리드 망 분리 시스템에 포함되는 상기 가상화 서버가 상기 제2 업무용 단말의 인터넷망 접속 요청이 상기 제2 업무용 단말의 가상환경에서 실행된 프로세스로부터 수신되는지를 판단하는 단계,
    상기 실행된 프로세스로부터의 인터넷망 접속 요청은 허용하는 단계, 그리고
    상기 가상환경을 통하지 않은 프로세스로부터의 인터넷망 접속 요청은 차단시키는 단계
    를 더 포함하는 하이브리드 망 분리 방법.
  16. 삭제
  17. 제15항에 있어서,
    상기 업무망 회선을 통해 전달되도록 스위칭하는 단계 이후,
    상기 하이브리드 망 분리 시스템에 포함되는 통합 승인 서버가 상기 제1 업무용 단말에서 요청하거나 전송한 데이터, 상기 제2 업무용 단말에서 요청하거나 전송한 데이터를 기 정의된 정책에 따라 모니터링하여 상기 제1 업무용 단말 및 상기 제2 업무용 단말의 외부망 데이터 또는 내부망 데이터로의 접속의 승인 처리를 수행하는 단계
    를 더 포함하는 하이브리드 망 분리 방법.
  18. 제17항에 있어서,
    상기 업무망 회선을 통해 전달되도록 스위칭하는 단계 이후,
    상기 하이브리드 망 분리 시스템에 포함되는 가상화 서버가 상기 제2 업무용 단말의 접속 시간 및 상기 제2 업무용 단말을 통한 접속 사용자를 모니터링하여 기 정의된 정책에 따라 제어하는 단계, 그리고
    상기 제2 업무용 단말이 접속하는 인터넷 사이트를 조회하여 상기 인터넷 사이트의 접속을 제한하는 단계
    를 더 포함하는 하이브리드 망 분리 방법.
KR1020130111752A 2013-09-17 2013-09-17 하이브리드 망 분리 시스템 및 그 방법 KR101480443B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130111752A KR101480443B1 (ko) 2013-09-17 2013-09-17 하이브리드 망 분리 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130111752A KR101480443B1 (ko) 2013-09-17 2013-09-17 하이브리드 망 분리 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR101480443B1 true KR101480443B1 (ko) 2015-01-09

Family

ID=52588248

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130111752A KR101480443B1 (ko) 2013-09-17 2013-09-17 하이브리드 망 분리 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101480443B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102321930B1 (ko) * 2020-08-24 2021-11-04 주식회사 두두아이티 듀얼 제로 클라이언트 기반의 통신 방법 및 장치
KR102345265B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법
KR102345261B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법
KR102434472B1 (ko) * 2022-03-04 2022-08-22 주식회사 티아이지코리아 서버 및 그 서버의 보안 방법
KR102443713B1 (ko) * 2021-12-30 2022-09-16 주식회사 제네럴테크놀로지 차세대 융합 보안 시스템

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110100839A (ko) * 2010-03-05 2011-09-15 주식회사 안철수연구소 클라이언트 가상화를 이용한 서버의 논리적 망분리 시스템 및 방법
KR20110100952A (ko) * 2010-03-05 2011-09-15 주식회사 안철수연구소 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법
KR101173911B1 (ko) * 2011-11-16 2012-08-14 (주)엔텍 가상 머신 사이에 스위칭 방식의 선택을 이용한 망 분리 시스템
KR101290963B1 (ko) * 2012-03-26 2013-07-30 제주대학교 산학협력단 가상화 기반 망분리 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110100839A (ko) * 2010-03-05 2011-09-15 주식회사 안철수연구소 클라이언트 가상화를 이용한 서버의 논리적 망분리 시스템 및 방법
KR20110100952A (ko) * 2010-03-05 2011-09-15 주식회사 안철수연구소 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법
KR101173911B1 (ko) * 2011-11-16 2012-08-14 (주)엔텍 가상 머신 사이에 스위칭 방식의 선택을 이용한 망 분리 시스템
KR101290963B1 (ko) * 2012-03-26 2013-07-30 제주대학교 산학협력단 가상화 기반 망분리 시스템 및 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102321930B1 (ko) * 2020-08-24 2021-11-04 주식회사 두두아이티 듀얼 제로 클라이언트 기반의 통신 방법 및 장치
KR102345265B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 네트워크 제어 방법
KR102345261B1 (ko) * 2021-05-13 2021-12-29 이수희 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법
KR102443713B1 (ko) * 2021-12-30 2022-09-16 주식회사 제네럴테크놀로지 차세대 융합 보안 시스템
KR102434472B1 (ko) * 2022-03-04 2022-08-22 주식회사 티아이지코리아 서버 및 그 서버의 보안 방법

Similar Documents

Publication Publication Date Title
US11575712B2 (en) Automated enforcement of security policies in cloud and hybrid infrastructure environments
US10805330B2 (en) Identifying and handling threats to data compute nodes in public cloud
AU2017321075B2 (en) Extension of network control system into public cloud
AU2015374078B2 (en) Systems and methods for automatically applying firewall policies within data center applications
CA2972467C (en) Systems and methods for monitoring virtual networks
US20190182256A1 (en) Private network layering in provider network environments
US10264020B1 (en) Systems and methods for scalable network monitoring in virtual data centers
KR101480443B1 (ko) 하이브리드 망 분리 시스템 및 그 방법
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
US9462001B2 (en) Computer network access control
GB2458157A (en) Hosting program for a computer network to check the status of applications running on virtual machines hosted by the hosting program.
US10469476B1 (en) Method, system, and apparatus for delegating control over the configuration of multi-tenant network devices
Shaikh et al. Security issues in cloud computing: A survey
EP3750289B1 (en) Method, apparatus, and computer readable medium for providing security service for data center
US11271899B2 (en) Implementing a multi-regional cloud based network using network address translation
CN111818081B (zh) 虚拟加密机管理方法、装置、计算机设备和存储介质
Elmrabet et al. A new secure network architecture to increase security among virtual machines in cloud computing
CN108809935A (zh) 一种云环境或虚拟环境下的安全访问控制方法和装置
He et al. Dynamic secure interconnection for security enhancement in cloud computing
US11323454B1 (en) Systems and methods for securing communications
CN109818908A (zh) 一种云和虚拟环境下的安全控制方法
Raza et al. A review on security issues and their impact on hybrid cloud computing environment
CN115622808B (zh) 安全隔离的方法、电子设备、计算机可读介质
KR102666943B1 (ko) 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 방법 및 이를 이용한 액세스 스위치
JP7366320B1 (ja) 情報処理システム、情報処理方法および情報処理プログラム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171212

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181219

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191230

Year of fee payment: 6