KR101552950B1 - 서버 및 네트워크 장비의 직접접근 제어시스템 - Google Patents

서버 및 네트워크 장비의 직접접근 제어시스템 Download PDF

Info

Publication number
KR101552950B1
KR101552950B1 KR1020140192591A KR20140192591A KR101552950B1 KR 101552950 B1 KR101552950 B1 KR 101552950B1 KR 1020140192591 A KR1020140192591 A KR 1020140192591A KR 20140192591 A KR20140192591 A KR 20140192591A KR 101552950 B1 KR101552950 B1 KR 101552950B1
Authority
KR
South Korea
Prior art keywords
access control
security
work
information
terminal
Prior art date
Application number
KR1020140192591A
Other languages
English (en)
Inventor
장건
Original Assignee
주식회사 비젯
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 비젯 filed Critical 주식회사 비젯
Priority to KR1020140192591A priority Critical patent/KR101552950B1/ko
Application granted granted Critical
Publication of KR101552950B1 publication Critical patent/KR101552950B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 서버 및 네트워크 장비의 직접접근 제어시스템에 관한 것으로, 기존 원격접근 제어시스템에서 제공하는 보안기능과 통제 및 감사로그 기능을 직접 접근 제어시스템에서 구현하기 위한 것이다.
이를 위하여 본 발명은 작업대상 장비에 대한 하나 이상의 작업 및 각 작업별 보안정책을 수립 및 등록하고 관리자 정보 및 작업자 정보, 작업대상 장비, 하나 이상의 작업전용 단말기 및 사용자 인증 토큰의 각 고유식별번호 등록 및 관리, 작업전용 단말기에 의한 작업 로그의 수집과 저장, 분석 및 보고서를 생성하는 접근제어 관리서버, 작업전용 단말기 정보와 작업자 정보와 작업 및 해당 작업의 통제를 위한 세부 보안정책 정보를 저장하며 지정된 단말기 정보와 작업자 정보의 식별과 인증을 실시하는 사용자 인증 토큰, 및 작업전용 단말기에 설치되어 보안 파티션을 생성하고 사용자 인증 토큰에 의해서 전달되는 작업별 세부 보안정책 정보를 보안 파티션에 입력 후 지정된 작업별 세부 보안정책에 따라 작업자의 작업 통제를 수행하는 접근제어 에이전트부를 포함하는, 서버 및 네트워크 장비의 직접접근 제어시스템을 제공하여, 보안과 통제 및 감사로그 기능을 직접 접근 제어시스템에서 구현하여 직접 접근 고유 환경에 대응할 수 있게 한다.

Description

서버 및 네트워크 장비의 직접접근 제어시스템{direct access management system for a server and network device}
본 발명은 서버 및 네트워크 장비의 직접접근제어시스템에 관한 것으로서, 더욱 상세하게는 관리자가 지정한 보안정책에 따라 작업자 인증, 작업대상 장비의 접근 권한 확인, 포트 및 매체 제어, 명령어 통제, 로그 추출, 동영상 기록 등의 통제 및 감사 로그를 수집할 수 있도록 하기 위해, 전산실에 방문하여 작업자 노트북을 서버 또는 네트워크 장비에 직접 케이블을 연결하여 작업하는 경우, 또는 장비의 유지보수, 운영을 위해 설치된 콘솔실에서 KVM(kernal-based virtual machine) 등의 콘솔장비를 통하여 접속하는 경우, 그 접속을 관리하고 보안감사를 실시할 수 있는 서버 및 네트워크 장비의 직접접근 제어스템에 관한 것이다.
일반적으로 서버와 네트워크 장비, 보안 장비 등의 정보시스템에 대한 접근제어는 필수적인 보안시스템으로서, 접근 제어시스템은 원격 접근제어시스템(RAMS, Remote Access Management System)과 직접 접근제어시스템(DAMS, Direct Access Management System)으로 구분된다.
원격접근제어시스템은 게이트웨이 장비를 통하여 정보시스템에 대한 접근을 통제하고 이에 대한 감사로그를 수집하는 시스템으로서, 기존에 도입된 서버접근제어시스템은 대부분 이러한 원격접근제어시스템을 이용하는 것으로 되어 있다. 그러나, 상기 원격접근제어시스템은 게이트웨이 장비를 통해 모든 통제와 감시를 수행하게 되므로, 해당 게이트웨이 장비를 우회하거나 경유하지 않는 경우 통제가 불가능할 수 있는 문제가 있으며, 케이블을 이용한 직접 연결 및 콘솔 연결 등의 우회 경로에 대한 보안대책은 전무한 실정이다.
한편, 서버 또는 네트워크 장비에 대한 유지보수, 업데이트, 장애 대응을 위해서는 필수적으로 전산실에 방문하여 직접 케이블을 연결하여 작업을 하게 되며, 특히 콘솔실 또는 작업실 등의 공간에서의 KVM 또는 시리얼 케이블을 통한 접속관리의 경우, 서버실에 점검운영 등의 작업을 위해 마련된 콘솔실에서의 콘솔 작업은 직접 접속방식으로 상시 수행되고 있다.
그러나, 이와 같이 전산실 또는 콘솔실에서 직접 접속을 통해 이루어지는 작업에 대해서는 보안 통제정책이 미비하므로 치명적인 사고가 발생될 수 있으며, 콘솔실에서의 장비를 통한 접속은 케이블 직접 접속으로서 기존 원격접속관리로는 해결할 수 없는 문제가 발생될 수 있다.
또한 작업자의 노트북을 케이블을 이용하여 서버에 연결하는 경우, 상기 서버에 보관중인 내부자료, 개인정보 등이 작업자의 노트북 HDD, USB 메모리, 심지어는 와이파이 등을 통해 이메일로 유출될 수 있는 위험도 있다.
이를 방지하기 위해 보안담당자가 직접 동행하여 암호를 입력해주는 경우에도 접속암호가 노출될 수 있는 것이 현실이며, 관리자가 지정한 정책 하에 작업을 수행하도록 감시/통제하는 것이 현실적으로 어렵고, 텔렛(telnet)을 통해 망간의 네트워크 장비를 넘나들면서 아무런 통제없이 작업하게 되는 특성상, 작업시 위험하거나 불필요한 명령어 사용을 사전에 차단할 수 없는 문제가 있으며, 작업시 위험하거나 악의적인 프로그램의 설치/실행을 사전에 차단할 수 없고, 악성코드 또는 스크립트를 이용하여 예약된 시간에 공격하도록 악의적으로 작업을 수행할 수 있는 위험도 상존하고 있다. 또한 configuration 재설정 후 사고발생 시 정확한 복원시점을 찾아낼 수 없으며, 작업자가 임의적으로 서버에 저장된 개인정보 등을 유출할 수 있고, 직접 연결하는 경우 작업내역에 대한 텍스트로그와 동영상로그를 추출할 수 없으며, 이런 경우 작업자가 작업내역을 부인하는 경우 검증할 방법이 없는 형편이다.
따라서 정보시스템에 케이블을 직접 연결하여 작업하는 경우, 작업자의 착오 또는 악의적인 목적의 오조작으로 인해 발생하는 피해가 기업차원을 넘어 범사회적으로 이루어질 수 있기 때문에, 이를 통제 및 감시할 수 있는 대책을 마련해야 할 필요가 있다.
KR 10-1437358 B1 2014. 08. 28.
따라서 본 발명은 상기의 문제점을 해결하기 위해 창출된 것으로서, 본 발명이 해결하고자 하는 기술적 과제는, 기존 원격접근 제어시스템에서 제공하는 보안기능, 통제 및 감사로그 기능을 직접접근 제어시스템에서도 동일하게 구현하여 동일한 수준의 보안기능을 제공함은 물론, 직접접근 고유 환경에 대응할 수 있는 차별화된 보안기능을 제공할 수 있는 서버 및 네트워크 장비의 직접접근 제어시스템을 제공하고자 하는 것이다.
상기 목적을 달성하기 위한 본 발명의 일 실시 형태는, 관리자 및 작업자 정보를 포함하는 관련정보를 등록 및 관리하며, 수집되는 작업 로그의 저장 및 분석을 수행하는 접근제어 관리서버; 작업자의 로그인 인증을 실시하고, 작업 통제를 위한 작업별 세부 보안정보를 해당 작업전용 단말기의 보안 파티션에 전송 및 기록하는 사용자 인증 토큰; 및 하나 이상의 작업전용 단말기(400)에 설치되며, 보안 파티션을 자동 생성함과 함께, 상기 사용자 인증 토큰(200)을 통해 전달되는 작업별 세부 보안정보를 상기 보안 파티션에 입력하여 작업 통제를 수행하는 접근제어에이전트부를 포함하여 구성되며, 더욱 상세하게는 작업대상 장비에 대한 하나 이상의 작업 및 각 작업별 보안정책을 수립하여 등록하고 관리자 정보 및 작업자 정보, 작업대상 장비, 하나 이상의 작업전용 단말기 및 사용자 인증 토큰의 각 고유식별번호를 등록 및 관리하며 작업전용 단말기에 설치 및 운영되는 접근제어 에이전트부로부터 수집되는 작업 로그를 저장하고 분석 및 보고서를 생성하는 접근제어 관리서버, 작업전용 단말기 정보와 작업자 정보와 작업 및 해당 작업의 통제를 위한 세부 보안정책 정보를 접근제어 관리서버에서 수신하여 저장하며 작업전용 단말기에 설치된 접근제어 에이전트부의 실행에 의한 작업자의 최초 로그인 시 지정된 단말기 정보와 작업자 정보의 식별 및 인증을 수행하여 작업자 로그인 인증을 실시하고 로그인 인증 후 메모리에 기록된 해당 작업의 통제를 위한 세부 보안정책 정보를 해당 작업전용 단말기의 보안 파티션에 전송 및 기록하는 사용자 인증 토큰, 및 하나 이상의 작업전용 단말기에 설치되되 각 단말기에 설치 시 윈도우 및 사용자 접근이 차단되는 보안 파티션을 자동으로 생성하고 사용자 인증 토큰에 의해서 전달되는 작업별 세부 보안정책 정보를 보안 파티션에 입력 후 지정된 작업별 세부 보안정책에 따라 작업자의 작업 통제를 수행하는 접근제어 에이전트부를 포함하는 서버 및 네트워크 장비의 직접접근 제어시스템이다.
상기 본 발명의 일 실시 형태에 따른 서버 및 네트워크 장비의 직접접근 제어시스템에서, 접근제어 관리서버는, 부서별 및 작업별 관리자 정보를 등록하여 각 작업에 대한 승인 및 작업자를 관리하고 작업 및 작업자 정보를 등록하여 지정된 작업 및 작업자에 대한 승인을 관리하며 접근제어 에이전트부가 설치되는 작업전용 단말기에 대한 각 고유식별정보를 등록 및 관리하는 작업등록 및 승인관리부; 작업별 보안정책과 각 작업별 세부 보안정책의 생성과 등록, 단말기 정보와 작업자 정보를 이용하여 지정 단말기만을 사용하도록 하는 작업환경 통제, 및 지정 단말기에 대한 물리적 통제와 작업자의 입력 및 실행에 대한 논리적 통제, 작업대상 장비, 사용가능 포트, 매체, 저장장치, 명령어, 프로그램의 지정 및 통제를 관리하는 작업통제 및 정책관리부; 및 작업별 식별번호를 생성하여 각 작업별 식별번호에 따른 작업의 개시와 종료 및 접속로그를 기록하고 작업내역에 대한 텍스트로그 및 동영상로그를 저장하며 작업별 보안정책을 위반하는 명령어의 입력, 프로그램의 실행 이벤트에 대한 보고서를 생성하고 각 로그의 분석 및 감사 보고서를 생성하는 로그저장 및 분석부를 포함하여 구성되는 것을 특징으로 한다.
상기 본 발명의 일 실시 형태에 따른 서버 및 네트워크 장비의 직접접근 제어시스템에서, 접근제어 에이전트부는, 단말기에 설치 시 하드디스크의 파티션 수행을 통해 윈도우 운영체제에 의해서는 할당되지 않고 관리자 전용 모드에 의해서만 접근 가능한 영역 내에 보안 파티션을 생성하여 위변조로부터 보호되어야 하는 보안 및 감사자료를 저장하고 관리자 전용 모드에 의해 보안 파티션 내의 보안 및 감사자료가 추출되도록 관리하는 보안파티션 생성 및 관리부; 사용자 인증 토큰을 기반으로 수행되는 작업자 또는 관리자의 인증 결과를 확인하여 작업전용 단말기를 통한 작업자 또는 관리자 각각에 대한 인증 및 권한 확인을 수행하고 관리자 전용 모드와 사용자 모드로 각각 구분하여 화면 잠금을 수행하는 로그인 및 화면 잠금부; 기등록된 작업별 보안정책에 따른 명령어의 통제, 프로그램의 실행 통제, 포트의 사용 통제, 매체의 사용 통제를 수행하는 작업환경 통제정책 수행부; 관리자에 의해 지정된 작업대상 장비 이외 접속을 차단하며, 보안 파티션을 통하여 유닉스(Unix), 리눅스(Linux), 윈도우 서버 및 보안, 통신 장비별 접속정보를 관리하는 접속통제 및 보호부; 및 콘솔실 작업전용 단말기 및 전산실 직접접속전용 휴대단말기에서 발생하는 지정된 작업에 관련된 텍스트 로그 및 동영상 로그를 추출하여 해당 단말기의 보안파티션에 보관 후 접근제어 관리서버에 전송하는 작업로그 추출 및 전송부를 포함하는 것을 특징으로 한다.
본 발명에 의하면, 직접 접속된 작업자와 작업 내용에 대한 보안정책을 제공할 수 있으며, 작업대상 장비에 직접 케이블을 연결하여 작업을 수행하거나 내부에 비치된 장비를 통해 작업을 수행하는 경우에도 작업환경의 통제, 명령어의 통제, 로그 수집, 동영상 녹화 등의 기본적인 보안통제정책을 제공함으로써, 사고예방과 사후감사를 수행할 수 있게 하는 이점이 있다.
또한 본 발명에 의하면, 작업목적에 맞도록 작업환경을 통제하고 접속장비 암호가 노출되지 않게 하며, 작업자 식별인증 후 허가된 접속대상 장비에만 접속하도록 통제 가능할 뿐만 아니라 지정된 명령어와 프로세스의 전송 및 실행을 차단할 수 있으며 모든 작업내역을 텍스트 및 동영상 형태로 기록하고, 작업 노트북의 포트매체통제로 정보유출 및 복제를 차단할 수 있어 보안을 필요로 하는 정보시스템의 보안을 완벽하게 수행할 수 있는 이점이 있다.
도 1은 본 발명의 일 실시 형태에 따른 서버 및 네트워크 장비의 직접접근 제어시스템의 전체적인 구성을 예시한 블록도.
도 2는 본 발명에 의한 서버 및 네트워크 장비의 직접접근 제어시스템에서, 사용자 인증 토큰을 중심으로 이루어지는 작업 인증 및 정책전송 절차의 흐름도.
도 3은 본 발명에 의한 서버 및 네트워크 장비의 직접접근 제어시스템에서, 접근제어 에이전트부에 의해 수행되는 디스크 파티션을 예시한 참고도.
이하, 본 발명에 의한 서버 및 네트워크 장비의 직접접근 제어시스템의 전체적인 구성 및 동작을 첨부 도면을 참조하여 상세히 설명한다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정 해석되지 아니하며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서, 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시 예에 불과할 뿐이므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
도 1은 본 발명의 바람직한 실시 형태에 의한 서버 및 네트워크 장비의 직접 접근 제어시스템의 전체적인 구성을 예시한 블록도이고, 도 2는 본 발명에 의한 서버 및 네트워크 장비의 직접접근 제어시스템에서 사용자 인증 토큰을 중심으로 이루어지는 작업 인증 및 정책전송 절차의 흐름도이며, 도 3은 본 발명에 의한 서버 및 네트워크 장비의 직접접근 제어시스템에서 접근제어 에이전트부에 의해 수행되는 디스크 파티션을 예시한 참고도이다.
도 1에 예시된 바와 같이 본 발명에 의한 직접접근 제어시스템은 접근제어 관리서버(100), 사용자 인증 토큰(200), 및 콘솔실의 작업전용 단말기(410) 또는 전산실의 직접 접속전용 단말기(420)에 설치되어 운영되는 접근제어 에이전트부(300)를 포함하여 구성되며, 콘솔실 또는 전산실(1)의 서버 또는 네트워크 장비에 직접 케이블(LAN 케이블, Serial 케이블 또는 KVM)을 연결하여 수행하게 되는 작업을 통제하고 이에 대한 감사로그를 수집하는 시스템으로서, 직접 케이블을 연결하여 작업하는 전산실 방문작업 및 콘솔실 작업에 대해 접근 통제, 명령어 통제, 프로세스 통제, 로그수집, 동영상 녹화 등의 보안기능을 제공할 수 있으며, 게이트웨이를 통하지 않는 경우에도 접근제어시스템에서 요구되는 모든 보안통제기능을 수행하고 감사자료를 수집할 수 있도록 구성된다.
접근제어 관리서버(100)는 직접접근 제어시스템을 전체적으로 관리하고 정책화하는 서버로서, 작업대상 장비에 대한 하나 이상의 작업 및 각 작업별 보안정책을 수립하여 등록하고, 관리자 정보 및 작업자 정보, 작업대상 장비, 하나 이상의 작업전용 단말기(410) 또는 직접 접속전용 단말기(420) 및 사용자 인증 토큰(200)의 각 고유식별번호를 등록 및 관리하며, 각 단말기(410,420)에 설치 및 운영되는 접근제어 에이전트부(300)로부터 수집되는 작업 로그를 저장하고 분석 및 보고서를 생성한다. 이러한 접근제어 관리서버(100)는, 작업대상 장비에 대한 하나 이상의 작업 및 각 작업별 보안정책을 수립하여 등록하게 될 때, 작업별 보안정책에 따른 명령어 사용통제, 프로그램 사용통제, 포트, 매체, 저장장치의 사용통제를 위한 세부 보안정책을 각각 생성하여 등록 및 관리할 수 있다.
이러한 기능을 수행하기 위하여 접근제어 관리서버(100)는, 작업등록 및 승인관리부(110), 작업통제 및 정책관리부(120), 및 로그저장 및 분석부(130)를 포함하여 구성된다.
작업등록 및 승인관리부(110)는 부서별 및 작업별 관리자 정보를 등록하여 각 작업에 대한 승인 및 작업자를 관리하고, 작업 및 작업자 정보를 등록하여 지정된 작업 및 작업자에 대한 승인을 관리하며, 접근제어 에이전트부(300)가 설치되는 작업전용 단말기(400)에 대한 각 고유식별정보를 등록 및 관리한다.
작업통제 및 정책관리부(120)는 작업별 보안정책과 각 작업별 세부 보안정책의 생성과 등록, 단말기 정보와 작업자 정보를 이용하여 지정 단말기만을 사용하도록 하는 작업환경 통제, 및 지정 단말기에 대한 물리적 통제와 작업자의 입력 및 실행에 대한 논리적 통제, 작업대상 장비, 사용가능 포트, 매체, 저장장치, 명령어, 프로그램의 지정 및 통제를 관리한다.
로그저장 및 분석부(130)는 작업별 식별번호를 생성하여 각 작업별 식별번호에 따른 작업의 개시와 종료 및 접속로그를 기록하고, 작업내역에 대한 텍스트로그 및 동영상로그를 저장하며, 작업별 보안정책을 위반하는 명령어의 입력, 프로그램의 실행 이벤트에 대한 보고서를 생성하고, 각 로그의 분석 및 감사 보고서를 생성한다.
사용자 인증 토큰(200)은 관리자 및 작업자 인증용 장치로서, 고객요구에 따라 지문인식 또는 스마트카드 방식으로 구성될 수 있다. 지문인식의 경우 관리자 및 작업자의 기등록 지문을 통한 인증을 실시할 수 있으며, 스마트 카드 방식의 경우 관리자 및 작업자가 기등록한 개인식별정보(pin)를 통한 인증을 실시할 수 있다. 또한 이러한 사용자 인증 토큰(200)은 아이디와 비밀번호로도 대체할 수 있다.
이러한 사용자 인증 토큰(200)은 지정된 단말기(410,420)의 USB 슬롯을 통해 판독 가능한 메모리를 내장하여, 관리자의 사전 승인으로 지정되는 작업별 단말기 정보, 작업자 정보와 작업관련 정보(대상 장비의 IP, 계정, 암호 등) 및 해당 작업의 통제를 위한 세부 보안정책 정보(차단 포트/매체/프로그, 차단 명령어/프로그램, 작업 시간정보 등)를 접근제어 관리서버(100)에서 수신하여 메모리에 저장한다. 그리고 도 2의 작업 인증 및 정책전송 절차 흐름도에 예시된 바와 같이, 각 단말기(410,420)에 설치된 접근제어 에이전트부(300)의 실행에 의한 작업자의 최초 로그인 시 지정된 단말기 정보와 작업자 정보의 식별 및 인증을 수행하여 작업자 로그인 인증을 실시하고, 로그인 인증 후 메모리에 기록된 해당 작업의 통제를 위한 세부 보안정책 정보를 해당 단말기(410,420)의 보안 파티션에 전송 및 기록한다.
이로써 상기 사용자 인증토큰(200)은 단말기(410,420)에서 접근제어 에이전트부(300)에 의해 통제되는 작업환경이 해당 단말기의 보안 파티션에 기록된 세부 보안정책을 따라 통제될 수 있게 한다.
접근제어 에이전트부(300)는 단말기(410, 420)에 설치되는 접근제어 에이전트 프로그램(특정목적에 대해 사용자를 대신하여 작업을 수행하는 자율적 프로세스)으로서, 단말기(410,420)에 설치되며, 각 단말기에 설치 시 도 3의 디스크 파티션 예시도에 도시된 바와 같이, 윈도우 및 사용자 접근이 차단되는 보안 파티션을 해당 단말기에 자동으로 생성하고, 사용자 인증 토큰(200)에 의해 전달되는 작업별 세부 보안정책 정보를 보안 파티션에 입력 후 지정된 작업별 세부 보안정책에 따라 작업자의 작업 통제를 수행하며, 작업대상 장비에 접속 시 접속 IP, 계정, 암호의 노출없이 접속토록 지정 기능 및 도구를 제공한다.
이러한 기능을 수행하기 위해 상기 접근제어 에이전트부(300)는, 보안파티션 생성 및 관리부(310), 로그인 및 화면 잠금부(320), 작업환경 통제정책 수행부(330), 접속통제 및 보호부(340), 및 작업로그 추출 및 전송부(350)를 포함하여 구성된다.
보안파티션 생성 및 관리부(310)는 접근제어 에이전트부(300)가 단말기에 설치 시, 도 3의 디스크 파티션 예시도에 도시된 바와 같이 하드디스크의 파티션 수행을 통해 윈도우 운영체제에 의해서는 할당되지 않고 관리자 전용 모드에 의해서만 접근 가능한 영역 내에 보안 파티션을 생성하여, 위변조로부터 보호되어야 하는 보안 및 감사자료를 저장하고, 관리자 전용 모드에 의해 상기 보안 파티션 내의 보안 및 감사자료가 추출되도록 관리한다. 상기 보안 파티션은 접근제어 에이전트부(300)의 보안파티션 생성 및 관리부(310)에 의해 관리되는 암호화 파티션으로서, 드라이브로 지정될 수 없으며, 운영 체제는 미할당 파티션으로 인식하고 보안 및 감사자료가 저장되며, 디스크 용량 및 로그추출 정책에 따라 지정될 수 있다. 이때 보안 파티션 내의 보안 및 감사자료로는 작업별 보안정책정보, 접속정보, 수집로그가 저장되게 된다.
로그인 및 화면 잠금부(320)는 사용자 인증 토큰(200)을 기반으로 수행되는 작업자 또는 관리자의 인증 결과를 확인하여 단말기(410, 420)를 통한 작업자 또는 관리자 각각에 대한 인증 및 권한 확인을 수행하고, 관리자 전용 모드와 사용자 모드로 각각 구분하여 화면 잠금을 수행한다.
작업환경 통제정책 수행부(330)는 관리자가 지정한 작업환경 통제정책에 따라 지정 단말기에 대한 물리적 통제와 작업자의 입력 및 실행에 대한 논리적 통제를 수행할 수 있으며, 명령어의 통제, 프로그램의 실행 통제, 포트의 사용 통제, 매체의 사용 통제를 수행한다.
이러한 작업환경 통제정책 수행부(330)는, 차단 명령어를 설정 및 등록하여 대상 작업에 불필요한 위험 명령어의 사용을 차단하고, 작업에 필요한 프로그램 이외의 프로그램 실행을 차단함으로써 악성코드의 설치 및 침투를 예방하며, LAN, WiFi, 직/병렬 사용 포트의 허가/차단을 제어하여 포트의 사용을 통제하고, 블루투스/무선랜 동글, Wibro 및 저장매체의 사용을 통제하여 무단 자료 유출을 방지한다.
접속통제 및 보호부(340)는 관리자에 의해 지정된 작업대상 장비 이외 접속을 차단하며, 보안 파티션을 통하여 유닉스(Unix), 리눅스(Linux), 윈도우 서버 및 보안, 통신 장비별 접속정보를 관리한다. 이러한 접속통제 및 보호부(340)는, 관리자에 의해 지정된 작업대상 장비에 대한 접속정보의 노출을 차단하여 보안정보가 작업자에게 노출되지 않도록 방지한다.
작업로그 추출 및 전송부(350)는 단말기(410, 420)에서 발생하는 지정된 작업에 관련된 텍스트 로그 및 동영상 로그를 추출하여 해당 단말기의 보안파티션에 보관 후 접근제어 관리서버(100)에 전송한다. 이러한 작업로그 추출 및 전송부(350)는, 작업에 관련된 텍스트 로그 및 동영상 로그를 관리자 지정 작업번호를 기반으로 추출하여 보안 파티션에 저장하고, 추출된 로그에 대해 관리자 전용 모드로의 접근시 관리자에 의해 수동 확인 가능하게 하는 기능을 제공한다.
단말기(400)는, 콘솔실에 설치되는 하나 이상의 콘솔실 작업전용 단말기(410), 전산실에 구비되는 전산실 직접접속전용 휴대단말기(420)로 구성될 수 있다.
콘솔실 작업전용 단말기(410)는 KVM(kernal-based virtual machine) 등의 콘솔장비를 통해 콘솔실의 작업대상 장비에 케이블로 직접 연결되어 작업을 수행할 수 있는 하나 이상의 데스크탑 단말기로서, 접근제어 관리서버(100)에 고유식별정보가 사전 등록되게 되며, 사용자 인증 토큰(200)의 사용 및 엑세스를 위한 슬롯을 구비하고, 접근제어 에이전트부(300)에 의해 보안 파티션을 생성하여 작업별 세부 보안정책과 접속정보 및 로그를 보안 파티션에 기록한다.
전산실 직접접속전용 휴대단말기(420)는 전산실의 작업대상 장비에 케이블로 직접 연결되어 작업을 수행할 수 있는 노트북 등의 휴대단말기로서, 접근제어 관리서버(100)에 고유식별정보가 사전 등록되며, 사용자 인증 토큰(200)의 사용 및 엑세스를 위한 슬롯을 구비하고, 접근제어 에이전트부(300)에 의해 보안 파티션을 생성하여 작업별 세부 보안정책과 접속정보 및 로그를 보안 파티션에 기록한다.
이상과 같이 구성되는 본 발명에 의한 서버 및 네트워크 장비의 직접 접근 제어시스템의 상세 동작 및 그에 의한 작용 효과를 설명하면 다음과 같다.
상기와 같이 구성 및 등록된 상태에서, 먼저 작업 인증 요청이 있는 경우 접근제어 관리서버(100)는 관리자 전용 모드에서 사용자 인증 토큰(200)에 작업자 정보(사용자 아이디와 암호, 또는 지문 등), 단말기 정보, 작업대상 장비의 IP, 계정, 암호, 차단 포트/매체/프로그램, 차단 명령어, 작업 시간 정보를 저장하여 발급하게 된다.
이후 작업자가 상기 발급받은 사용자 인증 토큰(200)을 콘솔실 작업전용 단말기(410) 또는 전산실 직접 접속전용 단말기(420)에 연결하여, 작업자의 최초 로그인을 시도하게 되면, 콘솔실 작업전용 단말기(410) 또는 전산실 직접 접속전용 단말기(420)에 설치된 해당 접근제어 에이전트부(300)는 작업자의 최초 로그인 시 사용자 인증 토큰(200)에 저장된 정보를 기반으로 하여 기지정된 단말기 정보와 작업자 정보의 식별 및 인증을 수행하여 작업자 로그인 인증을 실시하고, 로그인 인증 후 사용자 인증 토큰(200)에 기록된 해당 작업의 통제를 위한 세부 보안정책 정보를 사용자 인증 토큰(200)으로부터 수신하여 해당 단말기(410,420)의 보안 파티션에 기록한다.
이로써 콘솔실 작업전용 단말기(410) 또는 전산실 직접 접속전용 단말기(420)에 설치된 해당 접근제어 에이전트부(300)에서는 사용자 인증 토큰(200)에 의해 보안 파티션에 기록된, 관리자 정보, 작업자 정보, 단말기 정보, 작업대상 장비의 IP, 계정, 암호, 단말기 정보, 기지정된 작업별 세부 보안정책(차단 포트, 매체, 프로그램 명령어, 작업시간 등)에 따라 작업자의 작업에 대한 물리적 통제 및 논리적 통제를 수행할 수 있게 된다.
즉, 접근제어 에이전트부(300)는 로그인 및 화면 잠금부(320)를 통해 사용자 인증 토큰(200)을 기반으로 수행되는 작업자 또는 관리자의 인증 결과를 확인하여 콘솔실 작업전용 단말기(410) 또는 전산실 직접 접속전용 단말기(420)를 통한 작업자 또는 관리자 각각에 대한 인증 및 권한 확인을 수행하고, 관리자 전용 모드와 사용자 모드로 각각 구분하여 화면 잠금을 수행하여 작업을 통제하게 되며, 작업환경 통제정책 수행부(330)를 통해 관리자가 지정한 작업환경 통제정책에 따라 지정 단말기에 대한 물리적 통제와 작업자의 입력 및 실행에 대한 논리적 통제(명령어의 통제, 프로그램의 실행 통제, 포트의 사용 통제, 매체의 사용 통제)를 수행하게 된다.
또한 접근제어 에이전트부(300)는 접속통제 및 보호부(340)를 통해 관리자에 의해 지정된 작업대상 장비 이외 접속을 차단하며, 보안 파티션을 통해 유닉스(Unix), 리눅스(Linux), 윈도우 서버 및 보안, 통신 장비별 접속정보를 관리하게 되며, 작업로그 추출 및 전송부(350)를 통해 단말기(410, 420)에서 발생하는 지정된 작업에 관련된 텍스트 로그 및 동영상 로그를 추출하여 해당 단말기의 보안파티션에 보관 후 접근제어 관리서버(100)에 전송하게 된다.
따라서 접근제어 관리서버(100)의 로그 저장 및 분석부(130)에서는 접근제어 에이전트부(300)에서 작업로그 추출 및 전송부(350)를 통해 추출 및 전송되는 로그, 즉 각 단말기(410,420)에서 발생하는 지정된 작업에 관련된 텍스트 로그 및 동영상 로그를 수신하여 저장하고 분석함으로써, 해당 단말기에서 이루어지는 작업에 대한 작업식별번호에 따른 작업개시와 종료시간, 접속로그, 정책 위반 명령어의 입력, 프로그램의 실행 등의 각 이벤트에 대한 감사 보고서 등을 작성할 수 있게 된다.
한편, 이상의 본 발명에 의한 서버 및 네트워크 장비의 직접접근 제어시스템은 기존의 원격접근제어시스템의 정책관리서버와의 정책 연동을 통해, 병행 운용이 가능하게 구현될 수도 있다. 즉, 직접접근 제어시스템의 접근제어 관리서버(100)와 기존의 원격접근 제어시스템의 원격접근제어 정책 서버간에 원격접근제어 수립정책의 적용, 작업자/그룹 정보의 적용, 작업대상 장비의 접근제어 정책의 적용 등을 통해 구현될 수 있을 것이며, 직접접근 제어시스템의 직접접근 관리서버와 직접 작업 그룹 간에 콘솔실의 작업 정책, 전살실 직접 방문 작업 정책, 업무관리 및 로그관리 정책의 적용 등을 통해 구현될 수 있을 것이다.
또한 이상의 본 발명에 의한 서버 및 네트워크 장비의 직접접근 제어시스템은 기존 정부부처, 기관 및 단체의 정보시스템을 통합 관리하는 통합 센터, 금융기관, 연구기관, 및 기타 전산센터 등과의 연동을 통해서도 병행 운용이 가능하게 될 것이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허 청구 범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 접근제어 관리서버 110 : 작업등록 및 승인관리부
120 : 작업통제 및 정책관리부 130 : 로그저장 및 분석부
200 : 사용자 인증 토큰 300 : 접근제어 에이전트부
310 : 보안파티션 생성 및 관리부 320 : 로그인 및 화면 잠금부
330 : 작업환경 통제정책 수행부 340 : 접속통제 및 보호부
350 : 작업로그 추출 및 전송부 400 : 작업전용 단말기
410 : 콘솔실 작업전용 단말기 420 : 전산실 직접접속전용 휴대단말기

Claims (4)

  1. 작업대상 장비에 대한 하나 이상의 작업 및 각 작업별 보안정책을 수립하여 등록하고, 관리자 정보 및 작업자 정보, 작업대상 장비, 하나 이상의 작업전용 단말기(400) 및 사용자 인증 토큰(200)의 각 고유식별번호를 등록 및 관리하며, 작업전용 단말기(400)에 설치 및 운영되는 접근제어 에이전트부(300)로부터 수집되는 작업 로그를 저장하고 분석 및 보고서를 생성하는 접근제어 관리서버(100);
    작업전용 단말기 정보와 작업자 정보와 작업 및 해당 작업의 통제를 위한 세부 보안정책 정보를 상기 접근제어 관리서버(100)에서 수신하여 저장하며, 작업전용 단말기(400)에 설치된 접근제어 에이전트부(300)의 실행에 의한 작업자의 최초 로그인 시 지정된 단말기 정보와 작업자 정보의 식별 및 인증을 수행하여 작업자 로그인 인증을 실시하고, 로그인 인증 후 메모리에 기록된 해당 작업의 통제를 위한 세부 보안정책 정보를 해당 작업전용 단말기(400)의 보안 파티션에 전송 및 기록하는 사용자 인증 토큰(200); 및
    하나 이상의 작업전용 단말기(400)에 설치되되, 각 단말기에 설치 시 윈도우 및 사용자 접근이 차단되는 보안 파티션을 자동으로 생성하고, 사용자 인증 토큰(200)에 의해서 전달되는 작업별 세부 보안정책 정보를 상기 보안 파티션에 입력 후 지정된 작업별 세부 보안정책에 따라 작업자의 작업 통제를 수행하는 접근제어 에이전트부(300);
    를 포함하여 구성되며,
    상기 사용자 인증 토큰(200)은,
    작업전용 단말기(400)에서 접근제어 에이전트부(300)에 의해 통제되는 작업환경이 해당 단말기의 보안 파티션에 기록된 세부 보안정책을 따라 통제될 수 있게 제어하며,
    상기 접근제어 에이전트부(300)는,
    작업대상 장비에 접속 시 접속 IP, 계정, 암호의 노출없이 접속토록 지정 기능 및 도구를 제공하며,
    상기 접근제어 에이전트부(300)는,
    단말기에 설치 시 하드디스크의 파티션 수행을 통해 윈도우 운영체제에 의해서는 할당되지 않고 관리자 전용 모드에 의해서만 접근 가능한 영역 내에 보안 파티션을 생성하여 위변조로부터 보호되어야 하는 보안 및 감사자료를 저장하고, 관리자 전용 모드에 의해 상기 보안 파티션 내의 보안 및 감사자료가 추출되도록 관리하는 보안파티션 생성 및 관리부(310);
    사용자 인증 토큰(200)을 기반으로 수행되는 작업자 또는 관리자의 인증 결과를 확인하여 작업전용 단말기(400)를 통한 작업자 또는 관리자 각각에 대한 인증 및 권한 확인을 수행하고, 관리자 전용 모드와 사용자 모드로 각각 구분하여 화면 잠금을 수행하는 로그인 및 화면 잠금부(320);
    기등록된 작업별 보안정책에 따른 명령어의 통제, 프로그램의 실행 통제, 포트의 사용 통제, 매체의 사용 통제를 수행하는 작업환경 통제정책 수행부(330);
    관리자에 의해 지정된 작업대상 장비 이외 접속을 차단하며, 보안 파티션을 통하여 유닉스(Unix), 리눅스(Linux), 윈도우 서버 및 보안, 통신 장비별 접속정보를 관리하는 접속통제 및 보호부(340); 및
    콘솔실 작업전용 단말기 및 전산실 직접접속전용 휴대단말기에서 발생하는 지정된 작업에 관련된 텍스트 로그 및 동영상 로그를 추출하여 해당 단말기의 보안파티션에 보관 후 접근제어 관리서버(100)에 전송하는 작업로그 추출 및 전송부(350);
    를 포함하여 구성되며,
    상기 작업환경 통제정책 수행부(330)는,
    차단 명령어를 등록하여 대상 작업에 불필요한 위험 명령어의 사용을 차단하고, 작업에 필요한 프로그램 이외의 프로그램 실행을 차단하여 악성코드의 설치 및 침투를 예방하며, LAN, WiFi, 직/병렬 사용 포트의 허가/차단을 제어하여 포트의 사용을 통제하고, 블루투스/무선랜 동글, Wibro 및 저장매체의 사용을 통제하여 무단 자료 유출을 방지하는 것을 특징으로 하는 서버 및 네트워크 장비의 직접접근제어시스템.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서,
    상기 작업전용 단말기(400)는,
    콘솔실의 작업대상 장비에 대해 케이블로 직접 연결되며, 작업별 세부 보안정책과 접속정보 및 로그를 생성된 보안 파티션에 기록하는 하나 이상의 콘솔실 작업전용 단말기(410); 또는
    전산실에 구비된 작업대상 장비에 케이블로 직접 연결되며, 작업별 세부 보안정책과 접속정보 및 로그를 생성된 보안 파티션에 기록하는 하나 이상의 전산실 직접접속전용 휴대단말기(420);
    중 어느 하나 또는 둘 모두를 포함하여 구성되는 것을 특징으로 하는 서버 및 네트워크 장비의 직접접근제어시스템.
KR1020140192591A 2014-12-29 2014-12-29 서버 및 네트워크 장비의 직접접근 제어시스템 KR101552950B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140192591A KR101552950B1 (ko) 2014-12-29 2014-12-29 서버 및 네트워크 장비의 직접접근 제어시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140192591A KR101552950B1 (ko) 2014-12-29 2014-12-29 서버 및 네트워크 장비의 직접접근 제어시스템

Publications (1)

Publication Number Publication Date
KR101552950B1 true KR101552950B1 (ko) 2015-09-14

Family

ID=54248223

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140192591A KR101552950B1 (ko) 2014-12-29 2014-12-29 서버 및 네트워크 장비의 직접접근 제어시스템

Country Status (1)

Country Link
KR (1) KR101552950B1 (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11188659B2 (en) 2019-09-11 2021-11-30 International Business Machines Corporation Concurrent enablement of encryption on an operational path at a host port
US11188658B2 (en) 2019-09-11 2021-11-30 International Business Machines Corporation Concurrent enablement of encryption on an operational path at a storage port
US11201749B2 (en) 2019-09-11 2021-12-14 International Business Machines Corporation Establishing a security association and authentication to secure communication between an initiator and a responder
US11206144B2 (en) 2019-09-11 2021-12-21 International Business Machines Corporation Establishing a security association and authentication to secure communication between an initiator and a responder
US11245521B2 (en) 2019-09-25 2022-02-08 International Business Machines Corporation Reverting from a new security association to a previous security association in response to an error during a rekey operation
US11303441B2 (en) 2019-09-25 2022-04-12 International Business Machines Corporation Reverting from a new security association to a previous security association in response to an error during a rekey operation
US11308243B2 (en) 2019-09-11 2022-04-19 International Business Machines Corporation Maintenance of access for security enablement in a storage device
US11354455B2 (en) 2019-09-11 2022-06-07 International Business Machines Corporation Maintenance of access for security enablement on a host system
KR20230020120A (ko) 2021-08-03 2023-02-10 주식회사 익스트러스 무선랜 보안채널 구성방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101445708B1 (ko) * 2013-04-01 2014-10-01 주식회사 좋을 보안 시스템, 이를 위한 단말기 및 보안 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101445708B1 (ko) * 2013-04-01 2014-10-01 주식회사 좋을 보안 시스템, 이를 위한 단말기 및 보안 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11188659B2 (en) 2019-09-11 2021-11-30 International Business Machines Corporation Concurrent enablement of encryption on an operational path at a host port
US11188658B2 (en) 2019-09-11 2021-11-30 International Business Machines Corporation Concurrent enablement of encryption on an operational path at a storage port
US11201749B2 (en) 2019-09-11 2021-12-14 International Business Machines Corporation Establishing a security association and authentication to secure communication between an initiator and a responder
US11206144B2 (en) 2019-09-11 2021-12-21 International Business Machines Corporation Establishing a security association and authentication to secure communication between an initiator and a responder
US11308243B2 (en) 2019-09-11 2022-04-19 International Business Machines Corporation Maintenance of access for security enablement in a storage device
US11354455B2 (en) 2019-09-11 2022-06-07 International Business Machines Corporation Maintenance of access for security enablement on a host system
US11245521B2 (en) 2019-09-25 2022-02-08 International Business Machines Corporation Reverting from a new security association to a previous security association in response to an error during a rekey operation
US11303441B2 (en) 2019-09-25 2022-04-12 International Business Machines Corporation Reverting from a new security association to a previous security association in response to an error during a rekey operation
KR20230020120A (ko) 2021-08-03 2023-02-10 주식회사 익스트러스 무선랜 보안채널 구성방법

Similar Documents

Publication Publication Date Title
KR101552950B1 (ko) 서버 및 네트워크 장비의 직접접근 제어시스템
US10325095B2 (en) Correlating a task with a command to perform a change ticket in an it system
US8510572B2 (en) Remote access system, gateway, client device, program, and storage medium
US8984651B1 (en) Integrated physical security control system for computing resources
CN105141614B (zh) 一种移动存储设备的访问权限控制方法及装置
CN113407949A (zh) 一种信息安全监控系统、方法、设备及存储介质
US10848491B2 (en) Automatically detecting a violation in a privileged access session
CN112347440B (zh) 一种工控设备的用户访问权限分置系统及其使用方法
RU2434283C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
EP4006758B1 (en) Data storage apparatus with variable computer file system
Ukidve et al. Analysis of payment card industry data security standard [PCI DSS] compliance by confluence of COBIT 5 framework
CN117118729A (zh) 一种管理云服务器系统
CN112434270A (zh) 一种增强计算机系统数据安全的方法及系统
KR101445708B1 (ko) 보안 시스템, 이를 위한 단말기 및 보안 방법
Purba et al. Assessing Privileged Access Management (PAM) using ISO 27001: 2013 Control
KR102372541B1 (ko) Ics 통합 보안 관리 시스템 및 방법
RU2443017C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
KR100602180B1 (ko) 네트워크 기반의 금융 자동화기기 보안관리 시스템 및 그제어방법
CN113973193A (zh) 安全质量管控方法、电子设备及可读介质
US20150248255A1 (en) Method for secured use of transportable data storage media in closed networks
RU2571372C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
RU2504835C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
KR102107415B1 (ko) 사이버 보안 가이드 제공 방법
RU2648942C1 (ru) Система защиты информации от несанкционированного доступа
KR100800929B1 (ko) 외부 접속 기기를 사용한 컴퓨터의 제어방법 및 컴퓨터의제어시스템

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180808

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190724

Year of fee payment: 5