KR101533020B1 - Apparatus and method for security policy management - Google Patents

Apparatus and method for security policy management Download PDF

Info

Publication number
KR101533020B1
KR101533020B1 KR1020130116784A KR20130116784A KR101533020B1 KR 101533020 B1 KR101533020 B1 KR 101533020B1 KR 1020130116784 A KR1020130116784 A KR 1020130116784A KR 20130116784 A KR20130116784 A KR 20130116784A KR 101533020 B1 KR101533020 B1 KR 101533020B1
Authority
KR
South Korea
Prior art keywords
policy
security
rule
standard
standard policy
Prior art date
Application number
KR1020130116784A
Other languages
Korean (ko)
Other versions
KR20150037283A (en
Inventor
권유진
임용훈
주성호
최문석
임유석
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020130116784A priority Critical patent/KR101533020B1/en
Publication of KR20150037283A publication Critical patent/KR20150037283A/en
Application granted granted Critical
Publication of KR101533020B1 publication Critical patent/KR101533020B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

스마트 그리드 환경에서의 분산된 보안 정책을 통합하여 적용하기 위하여 네트워크 접근 정책을 관리하는 보안 정책 관리 장치 및 방법이 개시된다. 본 발명에 따른 보안 정책 관리 장치는, 적어도 하나 이상의 시스템으로부터 기정의된 접근 정책 보안 규칙을 취득하여 표준 형식의 문서로 변환함으로써 규칙 집합을 생성하는 규칙 집합 생성부, 상기 적어도 하나 이상의 시스템에 대한 네트 워크 구성도를 네트워크 토폴로지로 추출하는 토폴로지 추출부 및 생성된 규칙 집합 및 추출된 토폴로지를 병합하여 표준 정책을 생성하는 표준 정책 생성부를 포함한다.A security policy management apparatus and method for managing a network access policy to integrate and apply distributed security policies in a smart grid environment are disclosed. The security policy management apparatus according to the present invention includes a rule set generation unit that acquires a predetermined access policy security rule from at least one or more systems and converts the access policy security rule into a standard format document to generate a rule set, A topology extracting unit for extracting a work configuration diagram by a network topology, and a standard policy generator for generating a standard policy by merging the generated rule set and the extracted topology.

Description

보안 정책 관리 장치 및 방법{APPARATUS AND METHOD FOR SECURITY POLICY MANAGEMENT}[0001] APPARATUS AND METHOD FOR SECURITY POLICY MANAGEMENT [0002]

본 발명은 보안 정책 관리 장치 및 방법에 관한 것이다. 특히, 스마트 그리드 환경에서의 분산된 보안 정책을 통합하여 적용하기 위하여 네트워크 접근 정책을 관리하는 보안 정책 관리 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for managing a security policy. In particular, the present invention relates to a security policy management apparatus and method for managing a network access policy to integrate and apply distributed security policies in a smart grid environment.

스마트 그리드가 발전해감에 따라 다양한 시스템의 보급 또한 양적으로 증가하고 있다. 시스템들은 각각 서로 다른 접근 통제 정책을 갖고 있고, 시스템 별로 보안 중요도 등급이 상이하며, 해당 시스템 담당자 고유의 표현 규칙으로 접근 통제 정책을 관리하고 있다. As the smart grid evolves, the spread of various systems is also increasing in quantity. The systems have different access control policies, and the security importance levels are different for each system, and the access control policy is managed by the expression rules specific to the system administrator.

이렇게 보안 등급이 상이한 시스템 간 경계에는 Firewall(방화벽) 장비를 두어 최소한의 접근 통제를 관리 중이다. 이러한 시스템 구조에서는 유지보수, 운영, 시스템 관리 등의 역할이나, 권한에 맞는 접근통제 정책이 관리되어야만 시스템의 보안성을 만족시킬 수 있어 중요한 관리 작업의 하나로 인식되어지나, 현재까지는 각 시스템 별로 수작업을 통해 서로 다른 시스템간의 접근통제 정책을 수집하여 반영하고 있어 많은 시간과 비용이 소요된다. In this way, there are Firewall (Firewall) equipment in the boundary between different security class to manage minimum access control. In this system structure, the role of maintenance, operation, and system management, or access control policy corresponding to authority, must be managed to satisfy the system security, which is recognized as one of important management tasks. However, until now, It collects and reflects the access control policies between different systems, which takes a lot of time and money.

그리고 정부나 국제 표준기관 등에서 신규 접근 정책이 발표되거나, 신규 시스템이 추가되었을 경우에는 기존의 시스템들에 이를 일일이 적용해야 하는 번거로움이 있다. In addition, when a new access policy is announced by a government or an international standard organization, or a new system is added, it is troublesome to apply it to existing systems one by one.

또한 시스템 변경 시 정책 통합 누락, 수작업으로 인한 오류 및 정책간의 충돌 등이 발생하였을 경우 보안 사고가 발생하기 전까지 문제점을 제대로 파악하기가 어렵다. In addition, it is difficult to grasp the problem until a security incident occurs if a policy change is missed when a system is changed, a manual error occurs, or a conflict occurs between policies.

기존의 접근 통제 정책 관리는 사용자가 정책 파일을 열어서 해당 정책을 설정한 후 저장하여 관리하는 형태로 이루어진다. 이러한 보안 정책에 기반한 비인가 접근 탐지는 PAM(Pluggable Authentication Modules)으로 수행된다. The existing access control policy management consists of opening the policy file, setting the policy, storing and managing the policy file. Unauthorized access detection based on this security policy is performed by Pluggable Authentication Modules (PAM).

PAM은 업계 표준 인증 프레임 워크로, 시스템 관리자는 PAM을 통해 인증을 수행하는 시스템에서 사용할 수 있도록 한다. 또한 PAM을 사용함으로써 login, rsh, su, ftp, telnet과 같은 기존 응용 프로그램은 수정하지 않은 채 접근 통제 정책을 관리할 수 있다는 장점이 있다. PAM is an industry standard authentication framework that allows system administrators to use on systems that perform authentication via PAM. Using PAM also has the advantage of managing access control policies without modifying existing applications such as login, rsh, su, ftp, and telnet.

하지만 접근 통제 정책 파일은 시스템 관리자에 의하여 수작업으로 작성해야 하며, 다양한 운영체제와 시스템들이 통합 운영되는 스마트 그리드 환경에서는 서로 다른 시스템 간의 접근통제 정책을 통합 관리 함에 있어서 현재까지는 각 시스템 별 접근 통제 정책 파일을 수집하여 편집하는 작업에 많은 시간과 비용이 소요된다.However, the access control policy file must be created manually by the system administrator. In the Smart Grid environment where various operating systems and systems are integrated, the access control policy file for each system has been integrated to manage the access control policy between the different systems. Collecting and editing takes a lot of time and money.

상기와 같은 현상은 일개의 시스템 정책이 변경되었을 때, 통합 시스템 상에 정책 누락이나 오류, 충돌 등의 문제가 발생하는 경우가 많으며, 이러한 문제점이 발생하더라도 그 실태를 정확히 파악하기 어려운 상황이다. 검증 절차상 보안성이 수반되지 않으면 유명 무실한 보안 도구가 된다.Such a phenomenon often occurs when a single system policy is changed, such as a problem of missing policy, error, or collision on the integrated system. In such a situation, it is difficult to accurately grasp the actual situation. If the verification process does not involve security, it becomes a reputable security tool.

최근 전력시스템의 자동화와 더불어 보다 효율적인 구축과 운영을 위해 표준화된 통신 기술이 적용되고, 외부와의 연계점이 생기기 시작하면서 보안에 대한 관심이 증가하였으며 실제로 전력시스템에 대한 사이버 공격 사례가 발생하면서 보안에 대한 인식이 바뀌기 시작했다. Recently, with the automation of power system, standardized communication technology has been applied for more efficient construction and operation, and the connection with external has started to increase, and interest in security has increased. In fact, The perception began to change.

따라서 IEC 61850을 기반으로 한 전력 시스템의 보안성 확보를 위해 IEC 61850에 기반을 둔 스마트 그리드 환경에서의 분산된 보안정책을 통합하여 적용하기 위한 네트 워크 접근 정책을 관리하는 장치 및 방법이 필요한 실정이다. 관련 선행기술로는 한국공개특허 제2009-0035192호가 존재한다.Therefore, in order to secure the security of the power system based on IEC 61850, a device and a method for managing the network access policy for integrating and applying the distributed security policy in the smart grid environment based on IEC 61850 are needed . Korean Prior Art Patent Publication No. 2009-0035192 exists as a related art.

본 발명의 목적은, 각 시스템 별로 다양한 형태의 보안 규칙들을 자동으로 수집하여 표준 형식으로 통합함으로써 네트워크 접근 정책 간의 충돌이나 오류를 정확하게 분석하는 것을 가능케 하는 것이다.It is an object of the present invention to enable accurate analysis of collisions or errors between network access policies by automatically collecting various types of security rules for each system and integrating them in a standard format.

또한, 본 발명의 목적은, IEC 61850에 기반을 둔 스마트 그리드 환경에서의 분산된 보안 정책을 통합하여 적용함으로써 스마트그리드 환경 시스템 간의 상호 운영 시에 보안성을 극대화하는 것을 가능케 하는 것이다.It is also an object of the present invention to maximize security in mutual operation of smart grid environment systems by integrating and applying distributed security policies in a smart grid environment based on IEC 61850.

상기한 목적을 달성하기 위한 본 발명에 따른 보안 정책 관리 장치는, 적어도 하나 이상의 시스템으로부터 기정의된 접근 정책 보안 규칙을 취득하여 표준 형식의 문서로 변환함으로써 규칙 집합을 생성하는 규칙 집합 생성부, 상기 적어도 하나 이상의 시스템에 대한 네트워크 구성도를 네트워크 토폴로지로 추출하는 토폴로지 추출부 및 생성된 규칙 집합 및 추출된 토폴로지를 병합하여 표준 정책을 생성하는 표준 정책 생성부를 포함한다.According to an aspect of the present invention, there is provided a security policy management apparatus comprising: a rule set generation unit that acquires a predetermined access policy security rule from at least one or more systems and converts the acquired access policy security rule into a standard format document, A topology extracting unit for extracting a network topology for at least one or more systems in a network topology, and a standard policy generating unit for generating a standard policy by merging the generated topology and the generated rule set.

이 때, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함 가능한지 여부를 판단하는 일관성 검증부를 더 포함할 수 있다.At this time, it may further include a consistency verification unit that determines whether the security rule of the new system or the security rule of the changed system can be included as part of the standard policy.

이 때, 상기 규칙 집합 생성부는, 적어도 하나 이상의 시스템으로부터 접근 제어 서버 시스템, PC 내의 환경 설정, 문서 파일 중 적어도 하나 이상의 형태의 보안 규칙을 취득할 수 있다.At this time, the rule set generation unit may acquire at least one or more security rules in the form of an access control server system, an environment setting in the PC, and a document file from at least one system.

이 때, 상기 규칙 집합 생성부는, 취득된 접근 정책 보안 규칙을 XML 형식으로 변환하여 규칙 집합을 생성하고, 변환된 규칙 집합을 저장할 수 있다.In this case, the rule set generation unit may convert the acquired access policy security rules into XML format to generate a rule set, and store the converted rule set.

이 때, 상기 토폴로지 추출부는, 상기 네트워크 토폴로지를 XML 형식으로 추출하고, 추출된 네트워크 토폴로지를 저장할 수 있다.In this case, the topology extracting unit may extract the network topology in an XML format and store the extracted network topology.

이 때, 상기 토폴로지는, 현장에 존재하는 복수개의 전력 설비들의 종류 및 구성을 포함하며, 상기 복수개의 전력 설비들 간의 네트워크 정보를 포함할 수 있다.At this time, the topology includes a type and configuration of a plurality of power facilities existing in the field, and may include network information between the plurality of power facilities.

이 때, 상기 표준 정책 생성부는, 상기 표준 정책을 XML 형식으로 생성하고, 생성된 표준 정책을 저장할 수 있다.In this case, the standard policy generator may generate the standard policy in an XML format and store the generated standard policy.

이 때, 상기 일관성 검증부는, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 없는 것으로 판단된 경우, 상기 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙을 상기 표준 정책의 예외 사항으로 규정하여 상기 표준 정책을 보정하는 표준 정책 보정부를 포함할 수 있다.In this case, if it is determined that the security rule of the new system or the security rule of the changed system can not be included as a part of the standard policy, the consistency verification unit may change the security rule of the new system or the security rule of the changed system, And may include a standard policy correction unit that defines the standard policy as an exception and corrects the standard policy.

이 때, 상기 일관성 검증부는, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 없는 것으로 판단된 경우, 상기 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙 중 상기 표준 정책의 일부로 포함될 수 없는 부분을 표시하여 관리자에게 제공하는 위반 사항 표시부를 포함할 수 있다.In this case, if it is determined that the security rule of the new system or the security rule of the changed system can not be included as part of the standard policy, the consistency verification unit may determine whether the security rule of the new system or the security rule of the changed system, And may include a violation display part for displaying a part that can not be included as a part and providing it to the manager.

이 때, 상기 일관성 검증부는, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 있는 것으로 판단된 경우, 적어도 하나 이상의 시스템에게 상기 표준 정책을 전송하는 표준 정책 전송부를 포함할 수 있다.
In this case, the consistency verification unit may include a standard policy transmission unit for transmitting the standard policy to at least one or more systems when the security rule of the new system or the security rule of the changed system is determined to be included as a part of the standard policy .

또한, 상기한 목적을 달성하기 위한 본 발명에 따른 보안 정책 관리 방법은, 적어도 하나 이상의 시스템으로부터 기정의된 접근 정책 보안 규칙을 취득하여 표준 형식의 문서로 변환함으로써 규칙 집합을 생성하는 규칙 집합 생성 단계, 상기 적어도 하나 이상의 시스템에 대한 네트워크 구성도를 네트워크 토폴로지로 추출하는 토폴로지 추출 단계 및 생성된 규칙 집합 및 추출된 토폴로지를 병합하여 표준 정책을 생성하는 표준 정책 생성 단계를 포함한다.According to another aspect of the present invention, there is provided a method for managing a security policy, the method comprising: acquiring a predefined access policy security rule from at least one system and converting the access policy security rule into a standard format document, A topology extracting step of extracting a network topology for the at least one or more systems into a network topology, and a standard policy creating step of merging the generated topology and the generated topology to generate a standard policy.

이 때, 상기 표준 정책 생성 단계 이후에, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함 가능한지 여부를 판단하는 일관성 검증 단계를 더 포함할 수 있다.The method may further include a consistency verification step of determining whether the security rule of the new system or the security rule of the changed system can be included as part of the standard policy after the standard policy generation step.

이 때, 상기 규칙 집합 생성 단계는, 적어도 하나 이상의 시스템으로부터 접근 제어 서버 시스템, PC 내의 환경 설정, 문서 파일 중 적어도 하나 이상의 형태의 보안 규칙을 취득할 수 있다.At this time, the rule set generation step may acquire at least one or more security rules in the form of an access control server system, an environment setting in a PC, and a document file from at least one system.

이 때, 상기 규칙 집합 생성 단계는, 취득된 접근 정책 보안 규칙을 XML 형식으로 변환하여 규칙 집합을 생성하고, 변환된 규칙 집합을 저장할 수 있다.In this case, the rule set generation step may convert the obtained access policy security rules into XML format to generate a rule set, and store the converted rule set.

이 때, 상기 토폴로지 추출 단계는, 상기 네트워크 토폴로지를 XML 형식으로 추출하고, 추출된 네트워크 토폴로지를 저장할 수 있다.In this case, the topology extracting step may extract the network topology in an XML format and store the extracted network topology.

이 때, 상기 토폴로지는, 현장에 존재하는 복수개의 전력 설비들의 종류 및 구성을 포함하며, 상기 복수개의 전력 설비들 간의 네트워크 정보를 포함할 수 있다.At this time, the topology includes a type and configuration of a plurality of power facilities existing in the field, and may include network information between the plurality of power facilities.

이 때, 상기 표준 정책 생성 단계는, 상기 표준 정책을 XML 형식으로 생성하고, 생성된 표준 정책을 저장할 수 있다.In this case, the standard policy generation step may generate the standard policy in an XML format and store the generated standard policy.

이 때, 상기 일관성 검증 단계에서, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 없는 것으로 판단된 경우, 상기 일관성 검증 단계 이후에, 상기 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙을 상기 표준 정책의 예외 사항으로 규정하여 상기 표준 정책을 보정하는 표준 정책 보정 단계를 더 포함할 수 있다.If it is determined in the consistency verification step that the security rule of the new system or the security rule of the changed system can not be included as part of the standard policy, after the consistency verification step, the security rule of the new system or the modified system And a standard policy correction step of correcting the security policy of the standard policy as an exception of the standard policy.

이 때, 상기 일관성 검증 단계에서, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 없는 것으로 판단된 경우, 상기 일관성 검증 단계 이후에, 상기 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙 중 상기 표준 정책의 일부로 포함될 수 없는 부분을 표시하여 관리자에게 제공하는 위반 사항 표시 단계를 더 포함할 수 있다.If it is determined in the consistency verification step that the security rule of the new system or the security rule of the changed system can not be included as part of the standard policy, after the consistency verification step, the security rule of the new system or the modified system And displaying a portion of the security rules of the security policy that can not be included as part of the standard policy and providing the portion to the administrator.

이 때, 상기 일관성 검증 단계에서, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 있는 것으로 판단된 경우, 상기 일관성 검증 단계 이후에, 적어도 하나 이상의 시스템에게 상기 표준 정책을 전송하는 표준 정책 전송 단계를 더 포함할 수 있다.If it is determined in the consistency verification step that the security rule of the new system or the security rule of the changed system can be included as a part of the standard policy, after the consistency verification step, And transmitting the standard policy transmission step.

본 발명에 따르면, 각 시스템 별로 다양한 형태의 보안 규칙들을 자동으로 수집하여 표준 형식으로 통합함으로써 네트워크 접근 정책 간의 충돌이나 오류를 정확하게 분석할 수 있다.According to the present invention, various types of security rules are automatically collected and integrated into a standard format for each system, so that conflicts or errors between network access policies can be accurately analyzed.

또한, 본 발명에 따르면, IEC 61850에 기반을 둔 스마트 그리드 환경에서의 분산된 보안 정책을 통합하여 적용함으로써 스마트 그리드 환경 시스템 간의 상호 운영 시에 보안성을 극대화할 수 있다.In addition, according to the present invention, by integrating and applying distributed security policies in a smart grid environment based on IEC 61850, it is possible to maximize security in mutual operation of smart grid environment systems.

도 1은 본 발명에 따른 보안 정책 관리 장치의 블록도이다.
도 2는 적어도 하나 이상의 시스템으로부터 취득된 접근 정책 보안 규칙의 실시예이다.
도 3은 취득된 접근 정책 보안 규칙을 XML(eXtensible Markup Language) 형식으로 변환된 SCL(Substation Configuration Language) 파일(R.xml)의 실시예이다.
도 4는 SCL 파일의 종류를 설명하기 위한 도면이다.
도 5는 XML 형식으로 추출된 네트워크 토폴로지 파일(T.xml)의 실시예이다.
도 6은 본 발명에 따른 보안 정책 관리 장치의 일관성 검증부의 구성을 설명하기 위한 도면이다.
도 7은 본 발명에 따른 보안 정책 관리 장치의 일관성 검증부에서 일관성을 검증하는 실시예이다.
도 8 및 도 9는 일관성 검증부에서 일관성을 검증하는 절차를 설명하기 위한 제 1 실시예이다.
도 10 및 도 11은 일관성 검증부에서 일관성을 검증하는 절차를 설명하기 위한 제 2 실시예이다.
도 12는 본 발명에 따른 보안 정책 관리 방법의 제 1 실시예이다.
도 13은 본 발명에 따른 보안 정책 관리 방법의 제 2 실시예이다.1 is a block diagram of a security policy management apparatus according to the present invention.
2 is an embodiment of an access policy security rule obtained from at least one or more systems.
3 is an embodiment of an SCL (Substation Configuration Language) file (R.xml) converted into an XML (extensible Markup Language) format of the obtained access policy security rule.
4 is a diagram for explaining the types of SCL files.
Figure 5 is an embodiment of a network topology file (T.xml) extracted in XML format.
6 is a diagram for explaining the configuration of the consistency verifying unit of the security policy managing apparatus according to the present invention.
FIG. 7 is an embodiment for verifying consistency in the consistency verification unit of the security policy management apparatus according to the present invention.
FIGS. 8 and 9 show a first embodiment for explaining a procedure for verifying consistency in the consistency verification unit.
10 and 11 are a second embodiment for explaining a procedure for verifying consistency in the consistency verification unit.
12 is a first embodiment of a security policy management method according to the present invention.
13 is a second embodiment of a security policy management method according to the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted.

본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art.

따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

도 1은 본 발명에 따른 보안 정책 관리 장치의 블록도이다.1 is a block diagram of a security policy management apparatus according to the present invention.

도 1을 참조하여 설명하면, 본 발명에 따른 보안 정책 관리 장치(100)는, 적어도 하나 이상의 시스템으로부터 기정의된 접근 정책 보안 규칙을 취득하여 표준 형식의 문서로 변환함으로써 규칙 집합을 생성하는 규칙 집합 생성부(110), 보안 규칙을 통합하고자 하는 전체 시스템의 네트 워크 구성도를 네트워크 토폴로지로 추출하는 토폴로지 추출부(120) 및 상기 규칙 집합 생성부(110)에 의하여 생성된 규칙 집합 및 상기 토폴로지 추출부(120)에 의하여 추출된 토폴로지를 병합하여 표준 정책을 생성하는 표준 정책 생성부(130)를 포함한다.Referring to FIG. 1, the security policy management apparatus 100 according to the present invention acquires a predetermined access policy security rule from at least one or more systems and converts the security policy rule into a standard format document, thereby generating a rule set A topology extracting unit 120 for extracting a network topology of the entire system to which security rules are to be integrated in a network topology, a rule set generation unit 110 for generating a rule set, And a standard policy generation unit 130 for merging the topology extracted by the unit 120 and generating a standard policy.

이 때, 본 발명에 따른 보안 정책 관리 장치(100)는, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함 가능한지 여부를 판단하는 일관성 검증부(140)를 더 포함할 수 있다.
At this time, the security policy management apparatus 100 according to the present invention may further include a consistency verification unit 140 for determining whether the security rule of the new system or the security rule of the changed system can be included as part of the standard policy have.

상기 규칙 집합 생성부(110)는, 적어도 하나 이상의 시스템으로부터 기정의된 접근 정책 보안 규칙을 취득하여 표준 형식의 문서로 변환함으로써 규칙 집합을 생성하는 기능을 수행한다.The rule set generation unit 110 generates a rule set by acquiring predetermined access policy security rules from at least one system and converting the access policy security rules into a standard format document.

구체적으로, 적어도 하나 이상의 시스템으로부터 접근 제어 서버 시스템, PC 내의 환경 설정, 문서 파일 중 적어도 하나 이상의 형태의 접근 정책 보안 규칙을 취득하게 된다. More specifically, the access policy security rule of at least one of the access control server system, the environment setting in the PC, and the document file is obtained from at least one system.

즉, 각 시스템 별로 다양한 형태의 접근 정책 보안 규칙을 가지고 있으므로, 상기 규칙 집합 생성부(110)는, 접근 정책 보안 규칙을 취득할 때, 복수개의 시스템으로부터 다양한 형태의 보안 규칙을 취득하게 되는 것이다.That is, since various types of access policy security rules are provided for each system, the rule set generation unit 110 acquires various types of security rules from a plurality of systems when acquiring the access policy security rules.

상기 접근 정책 보안 규칙의 형태는 주로 자연어 형태나, 각 시스템에서 관리자 임의대로 정의한 형태인 경우가 많다.
The form of the access policy security rule is mainly a natural language form or a form defined by a manager arbitrarily in each system.

도 2는 적어도 하나 이상의 시스템으로부터 취득된 접근 정책 보안 규칙의 실시예이다.2 is an embodiment of an access policy security rule obtained from at least one or more systems.

도 2를 참조하여 접근 정책 보안 규칙의 예를 설명하면, '+' 기호는, 접근을 허용하는 표식으로, '-' 기호는,접근을 통제하는 구분자로 사용하였다.Referring to FIG. 2, an example of the access policy security rule will be described. The '+' symbol is used as an access allowance marker, and the '-' symbol is used as a discretionary access control rule.

특정 사용자 및 사용자 그룹은 2 번째 요소에 기술되었으며, 정책에 사용된 권한명이나, 기능명은 3 번째 요소에 기술되었다.
Specific users and user groups are described in the second element, and the authority name or function name used in the policy is described in the third element.

상기 규칙 집합 생성부(110)는, 취득된 접근 정책 보안 규칙을 XML 형식으로 변환하여 규칙 집합을 생성하고, 변환된 규칙 집합을 저장하는 기능도 수행한다.The rule set generation unit 110 also converts the obtained access policy security rules into an XML format to generate a rule set and stores the converted rule set.

도 3은 취득된 접근 정책 보안 규칙을 XML(eXtensible Markup Language) 형식으로 변환된 SCL(Substation Configuration Language) 파일(R.xml)의 실시예이다. 도 4는 SCL 파일의 종류를 설명하기 위한 도면이다.3 is an embodiment of an SCL (Substation Configuration Language) file (R.xml) converted into an XML (extensible Markup Language) format of the obtained access policy security rule. 4 is a diagram for explaining the types of SCL files.

적어도 하나 이상의 시스템으로부터 취득된 접근 정책 보안 규칙은 자연어 형태의 규칙 집합으로 이루어져 있는데, 이를 XML 표준 형식의 문서로 변환하여 규칙 집합(R.xml)으로 저장한다. Access policy security rules obtained from at least one system are composed of natural language rule sets, which are converted into XML standard format documents and stored in a rule set (R.xml).

도 4를 참조하여 설명하면, 기본적으로 IEC 61850 시스템은 SCL(Substation Configuration Language)라고 하는 변전소 구성정보 언어를 사용하며, 파일의 이동경로에 따라 SSD, SCD, ICD, CID 등의 여러 종류로 나눠진다. Referring to FIG. 4, the IEC 61850 system basically uses a substation configuration information language called SCL (Substation Configuration Language), and is divided into various types such as SSD, SCD, ICD, and CID according to a moving path of a file.

이들 SCL 파일은 모두 IEC 국제 표준에서 제정한 방식을 적용하여 XML 포맷 기반의 언어로 기술되어 있다. 따라서 본 발명에서의 핵심은 기존의 시스템 별 SCL 파일의 최하단부에, 검증을 완료한 표준 정책 파일(P.xml)을 추가해주는 작업이 된다.
All of these SCL files are described in a language based on the XML format by applying the method established by the IEC international standard. Therefore, the core of the present invention is to add a verified standard policy file (P.xml) to the bottom of the existing system-specific SCL file.

상기 토폴로지 추출부(120)는, 보안 규칙을 통합하고자 하는 전체 시스템의 네트 워크 구성도를 네트워크 토폴로지로 추출하는 기능을 수행한다.The topology extracting unit 120 extracts a network topology of the entire system in which the security rules are to be integrated into a network topology.

이 때, 상기 토폴로지 추출부(120)는, 상기 네트워크 토폴로지를 XML 형식으로 추출하고, 추출된 네트워크 토폴로지를 저장할 수 있다.In this case, the topology extracting unit 120 may extract the network topology in an XML format and store the extracted network topology.

또한, 상기 토폴로지는, 현장에 존재하는 복수개의 전력 설비들의 종류 및 구성을 포함하며, 상기 복수개의 전력 설비들 간의 네트워크 정보를 포함한다.
Also, the topology includes a type and configuration of a plurality of power facilities existing in the field, and includes network information between the plurality of power facilities.

도 5는 XML 형식으로 추출된 네트워크 토폴로지 파일(T.xml)의 실시예이다.Figure 5 is an embodiment of a network topology file (T.xml) extracted in XML format.

도 5를 참조하여 구체적으로 설명하면, 토폴로지는 XML 표준 포맷을 준용하여, 장비의 상세 인터페이스와 ip주소 등을 <node> 필드에 기술한다.More specifically, referring to FIG. 5, the topology describes the detailed interface of the device, the IP address, etc. in the <node> field according to the XML standard format.

또한, 장비들 간의 네트워크 정보는 <link> 필드에 기술하고, <from>과 <to> 필드를 이용해 네트워크의 방향성을 표시하도록 한다. 상이한 보안 등급을 가진 전력 설비들 간에 일방향의 네트워크 흐름을 갖고 있는 경우가 다수 존재하여, 방향을 표시하는 필드가 명시되어 있다.
Also, the network information between devices is described in the <link> field, and the <from> and <to> fields are used to indicate the network direction. There are many cases in which there is a one-way network flow between power facilities having different security levels, and a field indicating a direction is specified.

상기 표준 정책 생성부(130)는, 생성된 규칙 집합 및 추출된 토폴로지를 병합하여 표준 정책을 생성하는 기능을 수행한다.The standard policy generation unit 130 merges the generated rule set and the extracted topology to generate a standard policy.

이 때, 상기 표준 정책 생성부(130)는, 상기 표준 정책을 XML 형식으로 생성하고, 생성된 표준 정책을 저장할 수 있다.In this case, the standard policy generation unit 130 may generate the standard policy in an XML format and store the generated standard policy.

이렇게 상기 규칙 집합 생성부(110)에 의하여 생성된 규칙 집합(R.xml)과, 상기 토폴로지 추출부(120)에 의하여 추출된 토폴로지(T.xml)는 병합 작업을 통해 하나의 표준 정책 파일(P.xml)로 생성된다. The rule set R.xml generated by the rule set generation unit 110 and the topology T.xml extracted by the topology extraction unit 120 are merged into one standard policy file P.xml).

표준 정책 파일은 본 발명을 통해 도출될 최종 결과물로써, 후술할 일관성 검증이 완료되면, 표준 정책 파일(P.xml)을 분산된 시스템들에게 배포하게 된다. 이 파일은 일반적으로 정부 정책과 국제 표준을 준용하는 보안 정책이 기술된 문서로 사용되지만 본 발명에서는, 이 파일의 역할을 확장하여 분산된 시스템들의 보안 정책을 모두 포함하는 보안담당 주관 부서의 최종 정책 시그니쳐로 정의한다. 그리하여 표준 정책은 아래의 수학식 1로 표현이 가능하다.The standard policy file is the final result to be derived through the present invention, and when the consistency verification described later is completed, the standard policy file (P.xml) is distributed to the distributed systems. This file is generally used as a document describing security policies that comply with government policies and international standards. In the present invention, however, the role of this file is to extend the final policy of the security department that includes all security policies of distributed systems It is defined as a signature. Thus, the standard policy can be expressed by Equation 1 below.

Figure 112013088852964-pat00001
Figure 112013088852964-pat00001

i회차 보안정책 관리 작업 시 j번째 시스템에 보안정책

Figure 112013088852964-pat00002
이 반영되고, 네트워크 토폴로지
Figure 112013088852964-pat00003
가 생성된다고 가정한다 이 때 표준 정책
Figure 112013088852964-pat00004
는 두집합의 합집합으로써 표현된다.
Security policy for i-th time security policy management
Figure 112013088852964-pat00002
And the network topology
Figure 112013088852964-pat00003
It is assumed that the standard policy
Figure 112013088852964-pat00004
Is expressed as the union of two sets.

상기 일관성 검증부(140)는, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함 가능한지 여부를 판단하는 기능을 수행한다. The consistency verifying unit 140 performs a function of determining whether the security rule of the new system or the security rule of the changed system can be included as part of the standard policy.

도 6은 본 발명에 따른 보안 정책 관리 장치의 일관성 검증부의 구성을 설명하기 위한 도면이다.6 is a diagram for explaining the configuration of the consistency verifying unit of the security policy managing apparatus according to the present invention.

도 6을 참조하여 설명하면, 상기 일관성 검증부(140)는, 표준 정책 보정부(141)와 위반 사항 표시부(142)를 포함한다.Referring to FIG. 6, the consistency verifying unit 140 includes a standard policy correcting unit 141 and a violation display unit 142.

상기 표준 정책 보정부(141)는, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 없는 것으로 판단된 경우, 상기 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙을 상기 표준 정책의 예외 사항으로 규정하여 상기 표준 정책을 보정하는 기능을 수행한다.If it is determined that the security rule of the new system or the security rule of the changed system can not be included as a part of the standard policy, the standard policy corrector 141 updates the security rule of the new system or the security rule of the changed system to the standard And performs the function of correcting the standard policy by defining it as an exception of the policy.

상기 위반 사항 표시부(142)는, 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 없는 것으로 판단된 경우, 상기 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙 중 상기 표준 정책의 일부로 포함될 수 없는 부분을 표시하여 관리자에게 제공하는 기능을 수행한다.If it is determined that the security rule of the new system or the security rule of the changed system can not be included as part of the standard policy, the violation item display unit 142 displays the security rule of the new system or the security rule of the changed system, And displays the portion that can not be included as a part of the message and provides the message to the administrator.

상기 일관성 검증부(140)에 대하여 하기의 수학식 2 및 수학식 3을 통하여 구체적으로 설명하도록 한다.
The consistency verification unit 140 will be described in detail with reference to the following equations (2) and (3).

Figure 112013088852964-pat00005
Figure 112013088852964-pat00005

Figure 112013088852964-pat00006
Figure 112013088852964-pat00006

신규 시스템(n+1)이 발생했을 경우 일관성 검증 작업은 상기 수학식 2로 표현할 수 있다. 이 작업은 신규 시스템의 보안 규칙

Figure 112013088852964-pat00007
이 표준 정책의 일부로 포함 가능한지 검증하는 기능을 수행한다.When a new system (n + 1) occurs, the consistency verification operation can be expressed by Equation (2). This task is performed by the security rules
Figure 112013088852964-pat00007
As part of this standard policy.

그리고, 변경된 시스템이 발생했을 경우 각각에 대한 일관성 검증 작업은 상기 수학식 3으로 표현할 수 있다. 이 작업은 변경된 시스템의 보안 규칙

Figure 112013088852964-pat00008
이 표준 정책의 일부로 포함 가능한지 검증하는 기능을 수행한다.
If a changed system occurs, the consistency verification operation for each of the systems can be expressed by Equation (3). This is done by changing the security rules of the changed system
Figure 112013088852964-pat00008
As part of this standard policy.

도 7은 본 발명에 따른 보안 정책 관리 장치의 일관성 검증부에서 일관성을 검증하는 실시예이다.FIG. 7 is an embodiment for verifying consistency in the consistency verification unit of the security policy management apparatus according to the present invention.

도 7을 참조하여 설명하면, 기존 표준 정책의 일부로 병합이 되는지는 모든 항목에 대한 유사도를 검증하여, 100% 일치하거나, 가장 유사도가 높은 정책이 기술된 곳에 신규 항목 또는 변경된 항목을 추가한다.Referring to FIG. 7, it is verified whether or not merge is performed as part of the existing standard policy, and a new item or a changed item is added to a place where a 100% matching or a highest similarity policy is described.

이 때, 정책 위반 사항이 발견되지 않는다면 표준 정책(P.xml)을 분산된 시스템들에게 배포한다. 한 번 배포된 표준 정책은 결국, 상기 수학식 1의 형태로 최초의 규칙 집합과 네트워크 토폴로지의 결합 형태로 배포된다.At this time, if policy violation is not found, standard policy (P.xml) is distributed to distributed systems. The standard policy once distributed is eventually distributed as a combination of the first rule set and the network topology in the form of Equation (1).

배포된 표준 정책(P.xml)은 기존의 SCL파일에 병합되어 관리한다. The distributed standard policy (P.xml) is merged into the existing SCL file and managed.

도 8 및 도 9는 일관성 검증부에서 일관성을 검증하는 절차를 설명하기 위한 제 1 실시예이다.FIGS. 8 and 9 show a first embodiment for explaining a procedure for verifying consistency in the consistency verification unit.

도 8 및 도9를 참조하여 설명하면, 이미 한번 생성된 표준 정책(P.xml)이 존재하는 상황에서 신규 또는 변경된 스마트 그리드 시스템이 존재한다면, 신규 또는 변경된 시스템(1)은 네트워크 토폴로지(T.xml)를 전송하여, 표준 정책 서버(2)로부터 변경된 접근 정책을 전달 받는다. 즉, 개별 시스템의 규칙 집합은 R.xml의 형태로, 표준 정책은 P.xml의 형태로 전송된다.
Referring to FIGS. 8 and 9, if there is a new or changed Smart Grid system in a situation where there is a standard policy P.xml already created once, the new or changed system 1 may be configured to have a network topology T. xml), and receives the changed access policy from the standard policy server 2. That is, the rule set of the individual system is transmitted in the form of R.xml, and the standard policy is transmitted in the form of P.xml.

도 10 및 도 11은 일관성 검증부에서 일관성을 검증하는 절차를 설명하기 위한 제 2 실시예이다.10 and 11 are a second embodiment for explaining a procedure for verifying consistency in the consistency verification unit.

도 10 및 도 11을 참조하여 설명하면, 신규 또는 변경된 시스템(1)에서 이미 로딩된 토폴로지(T)와 변경된 규칙집합(R)을 전송하여, 표준 정책 서버(2)로부터, 변경된 표준접근 정책을 전달받는다. 즉, 개별 시스템의 규칙 집합은 R.xml의 형태로, 표준 정책은 P.xml의 형태로 전송된다.10 and 11, a topology T already loaded and a changed rule set R are transmitted in the new or changed system 1, and the changed standard access policy is transmitted from the standard policy server 2 Receive. That is, the rule set of the individual system is transmitted in the form of R.xml, and the standard policy is transmitted in the form of P.xml.

만약 정책의 위반 사항이 발견되었을 시에는 크게 2가지 작업이 이루어질 수 있는데, 이는 관리자 및 보안 담당자의 직접적인 확인이 필요한 부분이므로 필요한 대응 작업을 결과물에 표시하여 알려준다. 첫 번째로 관리자나, 보안 담당자에게 규칙 집합(R.xml)의 특정 항을 조정하도록 그 위치와 관련 근거를 표시한다. If a policy violation is detected, two tasks can be performed. This is a part where the administrator and the security officer need to confirm directly. First, indicate to the administrator or the security officer the location and the rationale to coordinate the specific terms in the rule set (R.xml).

두 번째로는 기존 정책과는 병합할 수 없는 규칙 집합(R.xml)을 정책 예외 사항으로 만들어 표준 정책(P.xml)에 포함하는 것으로 마무리한다. Second, we end up including a rule set (R.xml) that can not be merged with the existing policy as a policy exception and including it in the standard policy (P.xml).

도 11을 참조하여 설명하면,

Figure 112013088852964-pat00009
Figure 112013088852964-pat00010
에서 대응 작업이 필요한 영역을 알려주고, 위반 사항에 대한 근거를
Figure 112013088852964-pat00011
에서 찾아 그 위치를 표시하는 작업이 이루어 진다.
Referring to Fig. 11,
Figure 112013088852964-pat00009
And
Figure 112013088852964-pat00010
To identify the areas that need to be addressed, and to provide a basis for
Figure 112013088852964-pat00011
And the position is displayed.

이하, 본 발명에 따른 보안 정책 관리 방법에 대하여 설명하도록 한다.Hereinafter, a security policy management method according to the present invention will be described.

상기 살펴본 본 발명에 따른 보안 정책 관리 장치(100)와 공통되는 기술내용은 생략하도록 한다. The description of the technology common to the above-described security policy management apparatus 100 according to the present invention will be omitted.

도 12는 본 발명에 따른 보안 정책 관리 방법의 제 1 실시예이다. 도 13은 본 발명에 따른 보안 정책 관리 방법의 제 2 실시예이다.12 is a first embodiment of a security policy management method according to the present invention. 13 is a second embodiment of a security policy management method according to the present invention.

도 12를 참조하여 본 발명에 따른 보안 정책 관리 방법의 제 1 실시예를 설명하면, 본 발명에 따른 보안 정책 관리 방법은, 제일 먼저 시스템들로부터 보안 규칙을 취득하여 규칙 집합을 생성(S100)한다.Referring to FIG. 12, a first embodiment of a security policy management method according to the present invention will be described. In the security policy management method according to the present invention, first, a security rule is acquired from systems and a rule set is generated (S100) .

구체적으로, 상기 S100 단계에서는, 적어도 하나 이상의 시스템으로부터 기정의된 접근 정책 보안 규칙을 취득하여 표준 형식의 문서로 변환함으로써 규칙 집합을 생성하게 된다.Specifically, in step S100, the access policy security rule is retrieved from at least one or more systems and converted into a standard format document to generate a rule set.

이 때, 상기 S100 단계는, 적어도 하나 이상의 시스템으로부터 접근 제어 서버 시스템, PC 내의 환경 설정, 문서 파일 중 적어도 하나 이상의 형태의 보안 규칙을 취득하며, 취득된 접근 정책 보안 규칙을 XML 형식으로 변환하여 규칙 집합을 생성하고, 변환된 규칙 집합을 저장할 수 있다.At this time, the step S100 acquires at least one or more security rules of at least one of the access control server system, the environment setting in the PC, and the document file from the at least one system, converts the obtained access policy security rule into XML format, You can create a set, and save the converted rule set.

이 후, 네트워크 구성도를 토폴로지로 추출(S110)하게 된다.Thereafter, the network configuration diagram is extracted to the topology (S110).

구체적으로, 상기 S110 단계는, 보안 규칙을 통합하고자 하는 전체 시스템의 네트워크 구성도를 네트워크 토폴로지로 추출하게 된다.Specifically, in step S110, the network topology of the entire system in which the security rules are to be integrated is extracted.

이 때, 상기 S110 단계에서는, 상기 네트워크 토폴로지를 XML 형식으로 추출하고, 추출된 네트워크 토폴로지를 저장할 수 있으며, 상기 토폴로지는, 현장에 존재하는 복수개의 전력 설비들의 종류 및 구성을 포함하며, 상기 복수개의 전력 설비들 간의 네트워크 정보를 포함할 수 있다.In this case, in step S110, the network topology may be extracted in XML format and the extracted network topology may be stored. The topology may include a type and configuration of a plurality of power facilities existing in the field, And may include network information between power facilities.

이 후, 상기 S100 단계에서 생성된 규칙 집합과, 상기 S110 단계에서 추출된 토폴로지를 병합하여 표준 정책을 생성(S120)하게 된다.Thereafter, a standard policy is generated by merging the rule set generated in step S100 and the topology extracted in step S110 (S120).

이 때, 상기 S120 단계에서는, 상기 표준 정책을 XML 형식으로 생성하고, 생성된 표준 정책을 저장할 수 있다.In this case, in step S120, the standard policy may be generated in an XML format and the generated standard policy may be stored.

이 후, S130 단계에서는, 신규/변경 시스템의 보안 규칙이 표준 정책에 포함될 수 있는지를 검증하게 되는데, 포함될 수 있는 것으로 판단되면, S140 단계에서 시스템들에게 표준 정책을 전송하게 되고, 포함될 수 없는 것으로 판단되면, S150 단계에서 표준 정책의 예외 사항을 규정하여 표준 정책을 보정하게 되어 본 발명에 따른 보안 정책 관리 방법이 종료된다.
Thereafter, in step S130, it is verified whether or not the security rule of the new / change system can be included in the standard policy. If it is determined that it can be included, the standard policy is transmitted to the systems in step S140, If so, in step S150, an exception of the standard policy is specified to correct the standard policy, and the security policy management method according to the present invention is terminated.

도 13을 참조하여 본 발명에 따른 보안 정책 관리 방법의 제 2 실시예를 설명하면, 본 발명에 따른 보안 정책 관리 방법은, 제일 먼저 시스템들로부터 보안 규칙을 취득하여 규칙 집합을 생성(S200)한다.A security policy management method according to a second embodiment of the security policy management method according to the present invention will now be described with reference to FIG. 13. First, a security rule is acquired from systems and a rule set is generated (S200) .

구체적으로, 상기 S200 단계에서는, 적어도 하나 이상의 시스템으로부터 기정의된 접근 정책 보안 규칙을 취득하여 표준 형식의 문서로 변환함으로써 규칙 집합을 생성하게 된다.More specifically, in step S200, the access policy security rule is retrieved from at least one or more systems and converted into a standard format document to generate a rule set.

이 때, 상기 S200 단계는, 적어도 하나 이상의 시스템으로부터 접근 제어 서버 시스템, PC 내의 환경 설정, 문서 파일 중 적어도 하나 이상의 형태의 보안 규칙을 취득하며, 취득된 접근 정책 보안 규칙을 XML 형식으로 변환하여 규칙 집합을 생성하고, 변환된 규칙 집합을 저장할 수 있다.At this time, the step S200 acquires at least one or more security rules in the form of an access control server system, an environment setting in the PC, and a document file from at least one system, converts the obtained access policy security rule into an XML format, You can create a set, and save the converted rule set.

이 후, 네트워크 구성도를 토폴로지로 추출(S210)하게 된다.Thereafter, the network configuration diagram is extracted to the topology (S210).

구체적으로, 상기 S210 단계는, 보안 규칙을 통합하고자 하는 전체 시스템의 네트워크 구성도를 네트워크 토폴로지로 추출하게 된다.More specifically, the step S210 extracts a network topology of the entire system in which the security rules are to be integrated.

이 때, 상기 S210 단계에서는, 상기 네트워크 토폴로지를 XML 형식으로 추출하고, 추출된 네트워크 토폴로지를 저장할 수 있으며, 상기 토폴로지는, 현장에 존재하는 복수개의 전력 설비들의 종류 및 구성을 포함하며, 상기 복수개의 전력 설비들 간의 네트워크 정보를 포함할 수 있다.In this case, in step S210, the network topology may be extracted in an XML format and the extracted network topology may be stored. The topology may include a type and configuration of a plurality of power facilities existing in the field, And may include network information between power facilities.

이 후, 상기 S200 단계에서 생성된 규칙 집합과, 상기 S210 단계에서 추출된 토폴로지를 병합하여 표준 정책을 생성(S220)하게 된다.Thereafter, the standard policy is generated by merging the rule set generated in step S200 and the topology extracted in step S210 (S220).

이 때, 상기 S220 단계에서는, 상기 표준 정책을 XML 형식으로 생성하고, 생성된 표준 정책을 저장할 수 있다.At this time, in step S220, the standard policy may be generated in an XML format and the generated standard policy may be stored.

이 후, S230 단계에서는, 신규/변경 시스템의 보안 규칙이 표준 정책에 포함될 수 있는지를 검증하게 되는데, 포함될 수 있는 것으로 판단되면, S240 단계에서 시스템들에게 표준 정책을 전송하게 되고, 포함될 수 없는 것으로 판단되면, S250 단계에서 표준 정책에 포함될 수 없는 부분을 표시하여 관리자에게 제공하게 되어 본 발명에 따른 보안 정책 관리 방법이 종료된다.
Thereafter, in step S230, it is verified whether the security rule of the new / change system can be included in the standard policy. If it is determined that it can be included, the standard policy is transmitted to the systems in step S240, If it is determined in step S250, the part that can not be included in the standard policy is displayed and provided to the administrator in step S250, and the security policy management method according to the present invention ends.

상기 살펴본 바와 같이, 기존 스마트 그리드 환경에서는 분산된 시스템의 정책을 적용하는 작업을 시스템 없이 수작업으로 일부 접근통제 정책만을 적용하여 통합 관리에 많은 애로사항이 있었지만, 본 발명에 따른 보안 정책 관리 장치(100) 및 방법에 의하면, 네트워크 접근 정책 간의 충돌이나 오류를 정확하게 분석할 수 있도록 함에 따라, 스마트 그리드 환경 시스템 간의 상호 운영 시에 보안성을 극대화 할 수 있다.As described above, in the existing Smart Grid environment, there are many difficulties in integrated management by applying only some access control policies by hand, without the system, to apply policies of distributed systems. However, in the security policy management apparatus 100 ) And method, it is possible to accurately analyze collision or error between network access policies, thereby maximizing security in mutual operation of smart grid environment systems.

또한, 본 발명은 IEC 61850 표준의 스마트 그리드 환경의 보안 위협 탐지 기능에 활용할 수 있다. 보안 정책 위반 탐지를 규칙의 header로 사용하고, 시그니쳐 매핑에 의한 탐지를 body로 구성하여 전체 위협 탐지 규칙을 정의한다. 이 결과는 비 인가된 사용자나 시스템이 불법적으로 제어 시스템에 접근 시도할 때 고유의 정책이 반영되어 탐지하는 규칙으로써 그 활용성이 높다.
In addition, the present invention can be applied to the security threat detection function of the smart grid environment of the IEC 61850 standard. Defines the whole threat detection rule by using security policy violation detection as header of rule and body detection as signature detection. This result is highly applicable as a rule to be detected when an unauthorized user or system illegally attempts to access the control system.

이상에서와 같이 본 발명에 따른 보안 정책 관리 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다As described above, the apparatus and method for managing security policy according to the present invention are not limited to the configuration and method of the embodiments described above, but the embodiments may be modified in various ways, All or some of them may be selectively combined

100: 보안 정책 관리 장치
110: 규칙 집합 생성부 120: 토폴로지 추출부
130: 표준 정책 생성부 140: 일관성 검증부
141: 표준 정책 보정부 142: 위반 사항 표시부100: security policy management device
110: rule set generation unit 120: topology extraction unit
130: standard policy generation unit 140: consistency verification unit
141: Standard policy corrector 142: Violation indicator

Claims (20)

하나 이상의 시스템으로부터 기정의된 접근 정책 보안 규칙을 취득하여 표준 형식의 문서로 변환함으로써 규칙 집합을 생성하는 규칙 집합 생성부;
상기 하나 이상의 시스템에 대한 네트워크 구성도를 네트워크 토폴로지로 추출하는 토폴로지 추출부; 및
시스템에 적용되는 규칙 집합과 상기 네트워크 토폴로지의 합집합을 표준 정책으로 생성하되, 시스템이 복수개로 존재하는 경우, 각 시스템에 적용되는 규칙 집합과 상기 네트워크 토폴로지의 합집합들 모두를 합산함으로써 표준 정책을 생성하는 표준 정책 생성부를 포함하는 것을 특징으로 하는 보안 정책 관리 장치.A rule set generation unit for generating a rule set by acquiring predefined access policy security rules from one or more systems and converting them into a standard format document;
A topology extractor for extracting a network topology for the one or more systems; And
A standard policy for creating a standard policy by summing all the combinations of a rule set applied to each system and a network topology when a system has a plurality of sets of rule sets and a network topology, Wherein the security policy management unit comprises: 청구항 1에 있어서,
신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함 가능한지 여부를 판단하는 일관성 검증부를 더 포함하는 것을 특징으로 하는 보안 정책 관리 장치.The method according to claim 1,
Further comprising a consistency verifying unit for determining whether the security rule of the new system or the security rule of the changed system is included as part of the standard policy. 청구항 1에 있어서,
상기 규칙 집합 생성부는,
하나 이상의 시스템으로부터 접근 제어 서버 시스템, PC 내의 환경 설정, 문서 파일 중 하나 이상의 형태의 보안 규칙을 취득하는 것을 특징으로 하는 보안 정책 관리 장치.The method according to claim 1,
The rule-
Acquires security rules of at least one of an access control server system, an environment setting in a PC, and a document file from at least one system. 청구항 1에 있어서,
상기 규칙 집합 생성부는,
취득된 접근 정책 보안 규칙을 XML 형식으로 변환하여 규칙 집합을 생성하고, 변환된 규칙 집합을 저장하는 것을 특징으로 하는 보안 정책 관리 장치.The method according to claim 1,
The rule-
Converting the acquired access policy security rule into an XML format to generate a rule set, and storing the converted rule set. 청구항 1에 있어서,
상기 토폴로지 추출부는,
상기 네트워크 토폴로지를 XML 형식으로 추출하고, 추출된 네트워크 토폴로지를 저장하는 것을 특징으로 하는 보안 정책 관리 장치.The method according to claim 1,
The topology-
Extracts the network topology in an XML format, and stores the extracted network topology. 청구항 5에 있어서,
상기 네트워크 토폴로지는,
현장에 존재하는 복수개의 전력 설비들의 종류 및 구성을 포함하며,
상기 복수개의 전력 설비들 간의 네트워크 정보를 포함하는 것을 특징으로 하는 보안 정책 관리 장치.The method of claim 5,
The network topology includes:
The type and configuration of a plurality of power facilities existing in the field,
And network information between the plurality of power facilities. 청구항 1에 있어서,
상기 표준 정책 생성부는,
상기 표준 정책을 XML 형식으로 생성하고, 생성된 표준 정책을 저장하는 것을 특징으로 하는 보안 정책 관리 장치.The method according to claim 1,
The standard policy generation unit may include:
Generates the standard policy in an XML format, and stores the generated standard policy. 청구항 2에 있어서,
상기 일관성 검증부는,
신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 없는 것으로 판단된 경우,
상기 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙을 상기 표준 정책의 예외 사항으로 규정하여 상기 표준 정책을 보정하는 표준 정책 보정부를 포함하는 것을 특징으로 하는 보안 정책 관리 장치.The method of claim 2,
The consistency verification unit may include:
If it is determined that the security rule of the new system or the security rule of the changed system can not be included as part of the standard policy,
And a standard policy revising unit for revising the security policy of the new system or the security rule of the changed system as an exception of the standard policy and correcting the standard policy. 청구항 2에 있어서,
상기 일관성 검증부는,
신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 없는 것으로 판단된 경우,
상기 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙 중 상기 표준 정책의 일부로 포함될 수 없는 부분을 표시하여 관리자에게 제공하는 위반 사항 표시부를 포함하는 것을 특징으로 하는 보안 정책 관리 장치.The method of claim 2,
The consistency verification unit may include:
If it is determined that the security rule of the new system or the security rule of the changed system can not be included as part of the standard policy,
And displaying a part of the security rule of the new system or the security rule of the changed system that can not be included as part of the standard policy and providing the part to the administrator. 청구항 2에 있어서,
상기 일관성 검증부는,
신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 있는 것으로 판단된 경우,
하나 이상의 시스템에게 상기 표준 정책을 전송하는 표준 정책 전송부를 포함하는 것을 특징으로 하는 보안 정책 관리 장치.The method of claim 2,
The consistency verification unit may include:
If it is determined that the security rule of the new system or the security rule of the changed system can be included as part of the standard policy,
And a standard policy transmission unit transmitting the standard policy to one or more systems. 하나 이상의 시스템으로부터 기정의된 접근 정책 보안 규칙을 취득하여 표준 형식의 문서로 변환함으로써 규칙 집합을 생성하는 규칙 집합 생성 단계;
상기 하나 이상의 시스템에 대한 네트워크 구성도를 네트워크 토폴로지로 추출하는 토폴로지 추출 단계; 및
시스템에 적용되는 규칙 집합과 상기 네트워크 토폴로지의 합집합을 표준 정책으로 생성하는 표준 정책 생성 단계를 포함하고,
상기 표준 정책 생성 단계는,
시스템이 복수개로 존재하는 경우, 각 시스템에 적용되는 규칙 집합과 상기 네트워크 토폴로지의 합집합들 모두를 합산함으로써 표준 정책을 생성하는 것을 특징으로 하는 보안 정책 관리 방법.A rule set generation step of acquiring a predetermined access policy security rule from at least one system and converting the security rule into a standard format document to generate a rule set;
A topology extracting step of extracting a network topology for the one or more systems; And
And a standard policy creation step of creating a union of a rule set applied to the system and the network topology as a standard policy,
The standard policy generation step includes:
Wherein when a plurality of systems exist, a standard policy is generated by summing both the rule set applied to each system and the unions of the network topology. 청구항 11에 있어서,
상기 표준 정책 생성 단계 이후에,
신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함 가능한지 여부를 판단하는 일관성 검증 단계를 더 포함하는 것을 특징으로 하는 보안 정책 관리 방법.The method of claim 11,
After the standard policy generation step,
Further comprising a consistency verification step of determining whether the security rule of the new system or the security rule of the changed system can be included as part of the standard policy. 청구항 11에 있어서,
상기 규칙 집합 생성 단계는,
하나 이상의 시스템으로부터 접근 제어 서버 시스템, PC 내의 환경 설정, 문서 파일 중 하나 이상의 형태의 보안 규칙을 취득하는 것을 특징으로 하는 보안 정책 관리 방법.The method of claim 11,
The rule set generation step includes:
And acquiring security rules of at least one of an access control server system, an environment setting in a PC, and a document file from at least one system. 청구항 11에 있어서,
상기 규칙 집합 생성 단계는,
취득된 접근 정책 보안 규칙을 XML 형식으로 변환하여 규칙 집합을 생성하고, 변환된 규칙 집합을 저장하는 것을 특징으로 하는 보안 정책 관리 방법.The method of claim 11,
The rule set generation step includes:
Converting the acquired access policy security rules into an XML format to generate a rule set, and storing the converted rule set. 청구항 11에 있어서,
상기 토폴로지 추출 단계는,
상기 네트워크 토폴로지를 XML 형식으로 추출하고, 추출된 네트워크 토폴로지를 저장하는 것을 특징으로 하는 보안 정책 관리 방법.The method of claim 11,
In the topology extracting step,
Extracting the network topology in an XML format, and storing the extracted network topology. 청구항 15에 있어서,
상기 네트워크 토폴로지는,
현장에 존재하는 복수개의 전력 설비들의 종류 및 구성을 포함하며,
상기 복수개의 전력 설비들 간의 네트워크 정보를 포함하는 것을 특징으로 하는 보안 정책 관리 방법.16. The method of claim 15,
The network topology includes:
The type and configuration of a plurality of power facilities existing in the field,
And network information between the plurality of power facilities. 청구항 11에 있어서,
상기 표준 정책 생성 단계는,
상기 표준 정책을 XML 형식으로 생성하고, 생성된 표준 정책을 저장하는 것을 특징으로 하는 보안 정책 관리 방법.The method of claim 11,
The standard policy generation step includes:
Generating the standard policy in XML format, and storing the generated standard policy. 청구항 12에 있어서,
상기 일관성 검증 단계에서,
신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 없는 것으로 판단된 경우,
상기 일관성 검증 단계 이후에,
상기 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙을 상기 표준 정책의 예외 사항으로 규정하여 상기 표준 정책을 보정하는 표준 정책 보정 단계를 더 포함하는 것을 특징으로 하는 보안 정책 관리 방법.The method of claim 12,
In the consistency verification step,
If it is determined that the security rule of the new system or the security rule of the changed system can not be included as part of the standard policy,
After the consistency verification step,
Further comprising a standard policy correcting step of correcting the security policy of the new system or the security rule of the changed system as an exception of the standard policy to correct the standard policy. 청구항 12에 있어서,
상기 일관성 검증 단계에서,
신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 없는 것으로 판단된 경우,
상기 일관성 검증 단계 이후에,
상기 신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙 중 상기 표준 정책의 일부로 포함될 수 없는 부분을 표시하여 관리자에게 제공하는 위반 사항 표시 단계를 더 포함하는 것을 특징으로 하는 보안 정책 관리 방법.The method of claim 12,
In the consistency verification step,
If it is determined that the security rule of the new system or the security rule of the changed system can not be included as part of the standard policy,
After the consistency verification step,
And displaying a portion of the security rule of the new system or the security rule of the changed system that can not be included as a part of the standard policy and providing the portion to the administrator. 청구항 12에 있어서,
상기 일관성 검증 단계에서,
신규 시스템의 보안 규칙 또는 변경된 시스템의 보안 규칙이 상기 표준 정책의 일부로 포함될 수 있는 것으로 판단된 경우,
상기 일관성 검증 단계 이후에,
하나 이상의 시스템에게 상기 표준 정책을 전송하는 표준 정책 전송 단계를 더 포함하는 것을 특징으로 하는 보안 정책 관리 방법.The method of claim 12,
In the consistency verification step,
If it is determined that the security rule of the new system or the security rule of the changed system can be included as part of the standard policy,
After the consistency verification step,
Further comprising a standard policy transfer step of transferring the standard policy to one or more systems.
KR1020130116784A 2013-09-30 2013-09-30 Apparatus and method for security policy management KR101533020B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130116784A KR101533020B1 (en) 2013-09-30 2013-09-30 Apparatus and method for security policy management

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130116784A KR101533020B1 (en) 2013-09-30 2013-09-30 Apparatus and method for security policy management

Publications (2)

Publication Number Publication Date
KR20150037283A KR20150037283A (en) 2015-04-08
KR101533020B1 true KR101533020B1 (en) 2015-07-02

Family

ID=53033277

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130116784A KR101533020B1 (en) 2013-09-30 2013-09-30 Apparatus and method for security policy management

Country Status (1)

Country Link
KR (1) KR101533020B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100989347B1 (en) * 2009-08-21 2010-10-25 펜타시큐리티시스템 주식회사 Method for detecting a web attack based on a security rule
KR20110081445A (en) * 2010-01-08 2011-07-14 (주)넥스챌 Smart grid facility management system and method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100989347B1 (en) * 2009-08-21 2010-10-25 펜타시큐리티시스템 주식회사 Method for detecting a web attack based on a security rule
KR20110081445A (en) * 2010-01-08 2011-07-14 (주)넥스챌 Smart grid facility management system and method thereof

Also Published As

Publication number Publication date
KR20150037283A (en) 2015-04-08

Similar Documents

Publication Publication Date Title
CN107967143A (en) Obtain the methods, devices and systems of the update instruction information of client application source code
CN109150610B (en) Network event acquisition method based on rule adaptation
CN101711470A (en) A system and method for creating a list of shared information on a peer-to-peer network
US20190182368A1 (en) Ot system monitoring method, apparatus, and system, and storage medium
CN110191000A (en) A kind of data processing method, message tracing monitoring method and distributed system
US10284561B2 (en) Method and server for providing image captcha
KR102168212B1 (en) Apparatus and method for application log data processing
CN104079545A (en) Method, device and system for extracting data package filtering rules
CN105868169B (en) A kind of data acquisition device, collecting method and system
CN102779321A (en) Method and device used for verifying message and based on integrated Ethernet chip (IEC) 61968 message type definition
CN112217656A (en) Method and device for synchronizing configuration information of network equipment in SD-WAN (secure digital-to-Wide area network) system
CN104301875A (en) Short message processing method and device
CN113918526A (en) Log processing method and device, computer equipment and storage medium
CN104243198B (en) A kind of network management and system based on network configuration protocol
Varela-Vaca et al. CARMEN: A framework for the verification and diagnosis of the specification of security requirements in cyber-physical systems
CN109902505A (en) A kind of storage of Electronic Signature, verification method and device
CN111552626A (en) Method and system for testing developed system using real transaction data
US10200409B2 (en) Apparatus and method for security policy management
KR101533020B1 (en) Apparatus and method for security policy management
CN109698813A (en) A kind of intelligent meter data recording system and method
US20130290245A1 (en) Database history management method and system thereof
CN103457968B (en) A kind of method and system disposing cloud service
KR20140123126A (en) System and method for generating database based on SCL
CN109165513A (en) Method for inspecting, device and the server of system configuration information
CN106709315B (en) Login information verification method and device of application system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180530

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190529

Year of fee payment: 5