KR101920613B1 - 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법 - Google Patents

보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법 Download PDF

Info

Publication number
KR101920613B1
KR101920613B1 KR1020180063167A KR20180063167A KR101920613B1 KR 101920613 B1 KR101920613 B1 KR 101920613B1 KR 1020180063167 A KR1020180063167 A KR 1020180063167A KR 20180063167 A KR20180063167 A KR 20180063167A KR 101920613 B1 KR101920613 B1 KR 101920613B1
Authority
KR
South Korea
Prior art keywords
security policy
policy
security
information
audit log
Prior art date
Application number
KR1020180063167A
Other languages
English (en)
Inventor
홍기융
이규호
이성근
손주양
송종만
Original Assignee
주식회사 시큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐브 filed Critical 주식회사 시큐브
Priority to KR1020180063167A priority Critical patent/KR101920613B1/ko
Application granted granted Critical
Publication of KR101920613B1 publication Critical patent/KR101920613B1/ko
Priority to JP2020567063A priority patent/JP7241360B2/ja
Priority to US16/345,785 priority patent/US20210279329A1/en
Priority to EP19717409.7A priority patent/EP3809298A4/en
Priority to PCT/KR2019/003325 priority patent/WO2019231089A1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 다양한 보안정책의 설정 및 변경으로 인하여 발생하는 각종 로그 정보를 효과적으로 조회 및 확인할 수 있고, 수집된 로그 정보를 기준으로 이와 연관된 보안정책이 어떠한 것인지 조회 및 확인할 수 있는 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법에 관한 것이다.
본 발명에 의하면, 각 보안정책에 의해 생성 및 기록된 로그를 조회, 대조 및 추적이 가능하며, 수집된 로그에 적용된 보안정책이 무엇인지 조회, 대조 및 추적이 가능하여 보안정책과 로그를 실시간으로 양방향 조회, 대조 및 추적이 가능하다.

Description

보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법{SECURITY POLICY AND AUDIT LOG BI-DIRECTIONAL LOOKUP, COMPARING AND TRACKING SYSTEM AND METHOD THEREOF}
본 발명은 현행 및 과거 보안정책과 로그를 실시간으로 양방향 조회, 대조 및 추적하여 확인할 수 있는 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법에 관한 것이다.
공개특허 제10-2009-0044202호는 웹페이지의 다양한 공격 유형 중 웹페이지의 우회 침입 및 웹페이지 매개변수 변조에 의한 침입에 대한 탐지 가능한 웹 보안 시스템을 구축함으로써, 보안 체계를 강화할 수 있는 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를 이용한 웹 보안 서비스 방법 및 그 시스템을 제공한다.
공개특허 제10-2009-0044202호는 웹서버로부터 생성된 로그파일을 수집하고, 수집된 로그파일을 저장하며 이 로그파일을 이용하여 접속 시도된 웹페이지의 접속 순서를 분석하며, 정상적인 웹페이지의 접속 순서와 비교하여 일치여부를 판단하여 비정상 접속 시도로 판단되면 보고서를 생성하고 보고서를 관리자 단말에 전송한다.
그러나 공개특허 제10-2009-0044202호는 각 로그 정보를 토대로 어떠한 보안정책이 적용된 것인지 대조 확인이 어려우며, 각 보안정책 정보를 토대로 어떠한 로그가 생성 및 기록되었는지 조회 확인이 어려운 문제가 있다.
그리고 현행 보안정책과 로그를 실시간으로 양방향 조회, 대조 및 추적 확인이 불가능하며, 현행 이전에 설정되었던 과거 보안정책과 로그를 실시간으로 양방향 조회, 대조 및 추적 확인이 불가능하다.
해킹 및 보안침해 공격의 기술 수준이 나날이 발전하고 있는데, 로그파일을 수집하더라도 이를 해당 보안 시스템에 설정된 보안정책과 비교하여 로그정보가 어떤 보안정책과 연관된 것인지를 분석하지 못하면 신속하고 체계적인 해킹 및 보안 침해사고의 원인 분석과 대응이 어려울 수 밖에 없다.
그리고, 관리자가 수집된 로그파일을 보안정책과 일일이 비교하여 분석한다면 시간이 상당히 오래 걸리며, 경제적인 측면에서도 상당히 비효율적일 수 밖에 없다.
결국, 빅데이터 통합로그 등 각종 보안관련 로그가 기하급수적으로 증가하고 있는 현 상황에서 조직의 보안정책 중 어떤 정책으로부터 해당 로그가 발생하였는지를 명확하게 비교분석하기가 매우 어려워 해킹 및 보안침해사고의 원인분석과 대응이 신속하고 체계적으로 이루어지지 못하고 있는 실정이다.
위와 같은 상황을 종합해 볼 때 방대한 양의 로그정보를 보안정책과 실시간 및 양방향으로 비교, 분석하여 보안침해 사고의 원인을 즉각적으로 파악할 수 있도록 하고, 신속한 사고 대응이 가능하도록 하는 보안 솔루션이 절실히 필요한 시점이다.
공개특허 제10-2009-0044202호(웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를 이용한 웹 보안 서비스 방법 및 그 시스템)
본 발명은 상기와 같은 문제점을 개선하기 위하여 발명된 것으로, 다양한 보안정책의 설정 및 변경으로 인하여 발생하는 각종 로그 정보를 효과적으로 조회 및 확인할 수 있고, 수집된 로그 정보를 기준으로 이와 연관된 보안정책이 어떠한 것인지 조회 및 확인할 수 있는 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법을 제공하기 위한 것이다.
구체적으로, 본 발명은 신규 보안정책 뿐만 아니라 기존 보안정책을 적용하여 보안정책을 준수 및 위반하는 이벤트 발생 시 감사로그를 기록하고, 보안정책과 감사로그 양쪽에 기록된 정책식별정보(보안정책 ID 또는 정책구성정보) 및 보안시스템 ID를 이용하여 보안정책과 관련된 로그 및 로그와 관련된 보안정책을 양방향으로 조회, 대조, 추적할 수 있는 시스템 및 그 방법을 제공하기 위한 것이다.
상기와 같은 목적을 달성하기 위하여, 본 발명은 보안정책이 생성 및 변경될 때마다 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB에 기록 및 관리하고, 보안소프트웨어 에이전트에 보안정책 정보를 전송하는 보안정책 설정부 - 상기 정책식별정보는 보안정책 ID 또는 보안정책 ID와 정책구성정보로 구성됨 -; 상기 보안정책 설정부에서 수신한 보안정책을 적용하여 상기 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그 발생과 관련된 보안정책 고유의 보안정책 ID 또는 정책구성정보를 상기 로그 정보에 포함시켜 감사로그를 생성하는 보안소프트웨어 에이전트; 상기 보안소프트웨어 에이전트에서 생성한 감사로그를 수집하고, 해당 감사로그에서 보안정책 ID 또는 정책구성정보를 추출하며, 이를 정책식별정보로 하여 수집된 감사로그 내용과 매핑하여 감사로그 DB에 기록하는 감사로그 수집부; 및 상기 통합보안정책 히스토리 DB에 기록된 정책식별정보와 감사로그 DB에 기록된 정책식별정보를 비교하여 보안정책과 관련된 감사로그를 조회, 대조 및 추적하고, 감사로그와 관련된 보안정책을 조회, 대조 및 추적하는 양방향 조회추적부;를 포함하는 것을 특징으로 한다.
한편, 상기와 같은 목적을 달성하기 위하여, 본 발명은 보안정책이 생성 및 변경될 때마다 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB에 기록 및 관리하고, 보안소프트웨어 에이전트에 보안정책 정보를 전송하는 보안정책 설정단계 - 상기 정책식별정보는 보안정책 ID 또는 보안정책 ID와 정책구성정보로 구성됨 -; 보안소프트웨어 에이전트는 수신한 보안정책을 적용하여 상기 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그 발생과 관련된 보안정책 고유의 보안정책 ID 또는 정책구성정보를 상기 로그 정보에 포함시켜 감사로그를 생성하는 보안정책 적용단계; 생성한 감사로그를 수집하고, 해당 감사로그에서 보안정책 ID 또는 정책구성정보를 추출하며, 이를 정책식별정보로 하여 수집된 감사로그 내용과 매핑시킨 후 감사로그 DB에 기록하는 감사로그 수집단계; 및 통합보안정책 히스토리 DB에 기록된 정책식별정보와 감사로그 DB에 기록된 정책식별정보를 비교하여 보안정책과 관련된 감사로그를 조회, 대조 및 추적하고, 감사로그와 관련된 보안정책을 조회, 대조 및 추적하는 양방향 조회추적단계;를 포함하는 것을 특징으로 한다.
상기와 같은 구성의 본 발명에 따르면, 다음과 같은 효과를 도모할 수 있다.
먼저, 각 보안정책에 의해 생성 및 기록된 로그를 조회, 대조 및 추적이 가능하며, 수집된 로그에 적용된 보안정책이 무엇인지 조회, 대조 및 추적이 가능하여 보안정책과 로그를 실시간으로 양방향 조회, 대조 및 추적이 가능하다.
그리고 빅데이터 통합로그 등 다량의 로그 분석 시 과거부터 현재까지의 보안정책과 대조 및 추적이 가능하여 조직의 보안정책 중 어떤 보안정책으로부터 해당 로그가 발생하였는지를 명확하게 비교분석할 수가 있어 해킹 및 보안침해사고의 원인분석과 대응이 신속하고 체계적으로 이루어질 수 있다.
나아가, 보안정책 DB와 신청정보 DB를 비교하여 보안정책에 대한 신청자 정보를 확인할 수 있음은 물론, 감사로그 DB와 보안정책 DB를 비교하여 감사로그에 대한 보안정책을 확인하고, 이를 이용하여 신청정보 DB에서 신청자 정보를 확인할 수 있어 감사로그에서 보안정책 신청자 정보를 추적할 수가 있다.
도 1은 본 발명의 일 실시 예에 따른 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템의 블록도이다.
도 2는 본 발명의 일 실시 예에 따른 보안정책 및 감사로그 양방향 조회, 대조, 추적 방법의 순서도이다.
도 3은 본 발명의 일 실시 예에 따른 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템을 구성하는 각 구성요소간의 관계를 나타내는 구성도이다.
도 4는 보안정책의 예시를 나타내는 도면이다.
도 5는 통합보안정책 히스토리 DB의 예시를 나타내는 도면이다.
도 6은 감사로그의 예시를 나타내는 도면이다.
도 7은 정책식별정보 추출 예시를 나타내는 도면이다.
도 8은 감사로그 DB의 예시를 나타내는 도면이다.
도 9는 본 발명의 일 실시 예에 따른 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템에서 보안정책과 감사로그 사이에 양방향 조회, 대조 및 추적이 이루어지는 상황에 대한 개념도이다.
도 10은 본 발명의 일 실시 예에 따른 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템에서 보안정책과 감사로그 정보를 통해 신청자 정보를 확인하는 상황에 대한 개념도이다.
도 11은 본 발명의 일 실시 예에 따른 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템에서 감사로그를 통해 보안정책 히스토리를 조회하고, 보안정책에 대한 신청자 정보를 조회하는 개념도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되는 실시 예를 참조하면 명확해질 것이다.
그러나, 본 발명은 이하에서 개시되는 실시 예로 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이다.
본 명세서에서 본 실시 예는 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다.
그리고 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
따라서, 몇몇 실시 예에서, 잘 알려진 구성 요소, 잘 알려진 동작 및 잘 알려진 기술들은 본 발명이 모호하게 해석되는 것을 피하기 위하여 구체적으로 설명되지 않는다.
또한, 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하고, 본 명세서에서 사용된(언급된) 용어들은 실시 예를 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다.
본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함하며, '포함(또는, 구비)한다'로 언급된 구성 요소 및 동작은 하나 이상의 다른 구성요소 및 동작의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다.
또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 정의되어 있지 않은 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 첨부된 도면을 참고로 본 발명의 바람직한 실시 예에 대하여 설명한다.
도 1 내지 도 11을 참고하면, 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템(100)은 보안정책 설정부(110), 보안소프트웨어 에이전트(120), 감사로그 수집부(130) 및 양방향 조회추적부(140)를 포함하며, 신청정보 설정부(150) 및 신청정보 확인부(160)를 더 포함할 수가 있다.
도 3 내지 도 5를 참고하면, 사용자들이 보안정책을 신청하면 관리자는 보안정책을 생성 및 변경한다.
보안정책 설정부(110)는 보안정책이 생성 및 변경될 때마다 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB(113)에 기록 및 관리하고, 보안소프트웨어 에이전트(120)에 보안정책 정보를 전송한다. 정책식별정보는 보안정책 ID 또는 보안정책 ID와 정책구성정보로 구성된다.
보안정책은 주체, 객체, 행위, 정책(허용/거부), 제약조건 등의 항목으로 구성되며, 도 4와 같이 기술되고 항목을 구분할 수 있다.
도 4를 참고하면, Linux 호스트 방화벽(iptables)으로 IP주소 ‘111.222.33.44’에서 모든 Protocol로 접근하는 행위를 차단하는 보안정책과 접근제어 보안SW에서 ‘root’ 사용자가 ‘/home/test’ 디렉터리에 ‘읽기/쓰기’ 행위만 허용하는 보안정책을 나타낸다.
정책식별정보는 해당 보안정책을 유일하게 식별 가능한 보안정책ID 또는 보안정책ID 및 정책구성정보로 생성될 수 있다.
정책구성정보는 보안정책 및 감사로그에 기록되는 항목 또는 항목의 조합이어야 한다. 정책구성정보는 보안정책 ID와 1:1로 매핑되어 저장 및 관리된다.
보안정책 설정부(110)는 보안정책을 유일하게 식별 가능한 보안정책 ID 또는 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 생성하고, 보안정책 ID와 해당 보안정책을 매핑하거나, 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 보안정책과 매핑하여 통합보안정책 히스토리 DB(113)에 기록한다.
정책구성정보는 해당 보안정책에서 추출한 주체정보, 객체정보 및 행위정보를 포함하는 복수 개의 항목으로 구성된다.
정책구성정보에 대해 구체적으로 설명하면 다음과 같다.
주체정보는 프로세스, IP(Host)주소 정보, 사용자계정, 그룹계정 등 컴퓨터 시스템에서 행위자를 식별할 수 있는 정보들을 말한다.
객체정보는 파일, 디렉터리, IP(Host)주소 정보, 프로세스 등 컴퓨터 시스템에서 행위대상을 식별할 수 있는 정보들을 말한다.
행위정보는 파일/디렉터리(읽기, 쓰기, 삭제, 생성, 이름변경 등), 프로세스(실행, 종료), 네트워크(Incoming, Outgoing) 등 컴퓨터 시스템에서 객체의 상태 변경 또는 정보의 흐름이 수반되는 행위들을 말한다.
보안정책 설정부(110)는 보안소프트웨어에서 기 설정된 보안정책을 수집하고 이와 같은 주체정보, 객체정보, 행위정보를 포함하는 정책구성정보를 설정한다.
구체적으로, 보안정책 설정부(110)는 보안소프트웨어의 보안정책 ID가 없는 보안정책을 수집하여 해당 보안정책에서 추출한 행위자 또는 행위자의 접근경로를 나타내는 주체정보, 상기 행위자 또는 접근경로를 통해 접근하려는 대상을 나타내는 객체정보 및 상기 행위자 또는 접근경로로 접근하려는 대상에 대해 실행하고자 하는 내용을 나타내는 행위정보를 포함하는 복수 개의 항목으로 구성되는 정책구성정보를 설정하고, 보안정책 ID를 부여하여 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 보안정책과 매핑하여 통합보안정책 히스토리 DB(113)에 기록한다.
기존에 설정된 보안정책에는 보안정책 ID가 부여되어 있지 않을 것이므로 보안정책 ID가 없는 보안정책을 수집하고, 해당 보안정책에서 추출한 정보를 이용하여 구성되는 정책구성정보를 설정한 후 보안정책 ID를 부여하는 것이다.
또한, 보안정책 설정부(110)는 보안정책 ID를 적용할 수 있는 보안소프트웨어의 경우, 보안정책에 대해 보안정책 ID를 부여하여 통합보안정책 히스토리 DB(113)에 기록하고, 보안정책 ID가 포함된 보안정책 정보를 보안소프트웨어 에이전트(120)에 전송한다. 보안정책 ID를 적용할 수 없는 보안소프트웨어의 경우, 보안정책에 대해 정책구성정보를 설정하고 보안정책 ID를 부여하여 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 보안정책과 매핑하여 통합보안정책 히스토리 DB(113)에 기록하고, 보안정책 정보만을 보안소프트웨어 에이전트(120)에 전송한다.
이 경우는 신규로 설정되는 보안정책에 대해 보안소프트웨어 에이전트(120)가 보안정책 ID를 적용할 수 있는 경우, 보안정책에 보안정책 ID를 부여하여 보안정책 ID가 포함된 보안정책 정보를 보안소프트웨어 에이전트(120)에 전송하고, 보안소프트웨어 에이전트(120)가 보안정책 ID를 적용할 수 없는 경우, 정책구성정보를 설정하고 보안정책 ID를 부여하되, 보안정책 정보만을 보안소프트웨어 에이전트(120)로 전송하는 것이다.
결국, 보안정책 ID가 포함되어 있지 않은 보안소프트웨어에 대한 보안정책은 보안정책 ID와 정책구성정보가 매핑되어 통합보안정책 히스토리 DB(113)에 저장되고, 보안정책 ID가 포함된 보안소프트웨어에 대한 보안정책은 보안정책 ID만 매핑되어 통합보안정책 히스토리 DB(113)에 저장된다.
도 5를 참고하면, 통합보안정책 히스토리 DB(113)는 정책식별정보와 보안정책을 매핑하여 저장한다. 도 5는 도 4의 보안정책 예시에서 본 두 가지 보안정책에 대한 정책식별정보 및 보안정책 저장에 대한 예를 나타낸다.
<보안정책 ID, 정책구성정보, 보안정책, 기타정보>를 통합보안정책 히스토리 DB(113)에 기록 및 유지한다. <기타정보>에는 보안정책 설정을 요청한 신청자 또는 관리자의 정보를 입력할 수 있다.
보안정책ID는 유일하게 정책을 식별하며, 정책구성정보는 대상 보안정책 항목의 조합이 될 수 있다.
보안정책ID “00000001”의 정책구성정보로 선택된 ‘주체’, ‘행위’ 항목은 감사로그에 기록되는 항목 중에 선택된 조합이다.
통합보안정책 히스토리 DB(113)는 현행 통합보안정책 DB와 과거 통합보안정책 DB로 구성되며, 보안정책 변경의 경우 현행 통합보안정책DB에 저장하고 기존정책은 과거 통합보안정책DB로 옮겨서 저장한다.
보안정책 설정부(110)는 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB(113)에 기록 및 관리하고, 보안소프트웨어 에이전트(120)에 보안정책 정보를 전송한다.
보안소프트웨어 에이전트(120)는 보안정책 설정부(110)에서 수신한 보안정책을 적용하여 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그 발생과 관련된 보안정책 고유의 보안정책 ID 또는 정책구성정보를 로그 정보에 포함시켜 감사로그를 생성한다. 보안소프트웨어 에이전트(120)는 관리대상이 되는 장치나 서버 등 어느 장치에서도 설치 및 동작이 가능하다.
보안소프트웨어 에이전트(120)는 보안정책 설정부(110)가 배포한 보안정책을 적용하여 보안기능을 수행한다. 적용된 보안정책에는 정책식별정보(보안정책 ID 또는 정책구성정보)가 포함되어 구성된다.
보안소프트웨어 에이전트(120)는 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그를 보안정책 설정부(110)에서 수신한 보안정책 정보에서 검색하여 해당 로그의 보안정책 ID가 있는 경우, 보안정책 ID를 로그에 포함시켜 감사로그를 기록한다.
보안정책 정보에서 검색 결과 해당 로그의 보안정책 ID가 없는 경우는 보안정책 ID를 기록할 수가 없기 때문에 정책구성정보를 로그에 포함시켜 감사로그를 기록한다.
구체적으로, 보안소프트웨어 에이전트(120)는 해당 로그에 보안정책 ID를 포함시킬 수 없는 경우 보안정책에서 추출한 행위자 또는 행위자의 접근경로를 나타내는 주체정보, 상기 행위자 또는 접근경로를 통해 접근하려는 대상을 나타내는 객체정보, 상기 행위자 또는 접근경로로 접근하려는 대상에 대해 실행하고자 하는 내용을 나타내는 행위정보 및 접근하려는 대상에 대해 실행하고자 하는 내용을 허용할 것인지 또는 거부할 것인지를 나타내는 허용/거부정보를 포함하는 정책구성정보를 로그에 포함시켜 감사로그를 기록한다.
도 6을 참고하면, 접근제어 보안소프트웨어의 경우 보안정책 ID를 포함하여 감사로그를 기록된 예를 나타낸다. 해당 로그의 보안정책 ID “00000002”를 포함하여 감사로그를 기록한 것이다. 보안정책 ID를 적용할 수 있는 보안소프트웨어의 경우 보안정책 ID를 포함하여 감사로그를 기록할 수 있다.
Linux 호스트 방화벽의 경우 보안정책 ID를 포함시킬 수 없어 정책구성정보를 포함하여 감사로그를 기록한 예를 나타낸다. 행위 “INPUT”, 허용 여부 “DROP”, 주체 “SRC:111.222.33.44”, 객체 “PROTO=TCP”를 정책구성정보로 포함하였으며, 보안정책 ID를 적용할 수 없는 보안소프트웨어 또는 보안정책 ID를 적용할 수 있는 보안소프트웨어일지라도 보안정책 ID가 부여되어 있지 않은 보안정책에 해당하여 보안정책 ID를 로그에 포함시킬 수 없을 때 정책구성정보를 포함하여 감사로그를 기록한다.
감사로그 수집부(130)는 보안소프트웨어 에이전트(120)에서 생성한 감사로그를 수집하고, 해당 감사로그에서 보안정책 ID 또는 정책구성정보를 추출하며, 이를 정책식별정보로 하여 수집된 감사로그 내용과 매핑하여 감사로그 DB(133)에 기록한다.
감사로그 수집부(130)는 수집된 감사로그에 보안정책 ID가 기록되어 있는 경우 보안정책 ID를 추출하여 정책식별정보로 사용하고, 수집된 감사로그에 보안정책 ID가 기록되어 있지 않은 경우 정책구성정보를 추출하고, 이를 이용하여 통합보안정책 히스토리 DB(113)를 조회하고 보안정책 ID를 획득하여 정책식별정보로 사용한다.
도 7을 참고하면, 접근제어 보안소프트웨어는 감사로그에 보안정책 ID가 포함되어 있다. 이 경우 “policyid” 항목을 추출하여 보안정책ID “00000002”를 획득한다.
Linux 호스트 방화벽의 경우 보안정책 ID가 포함되어 있지 않으며, 정책구성정보 “INPUT”, “SRC=111.222.33.44”, “PROTO=TCP”를 추출한다.
해당 정보를 이용하여 통합보안정책 히스토리 DB(113)을 조회한다. “PROTO=TCP”는 “PROTO=ALL”에 포함된다. 보안정책 ID “00000001”를 획득하고, 보안시스템ID 정보도 함께 획득한다.
도 8을 참고하면, 감사로그 수집부(130)는 이렇게 수집한 감사로그 내용과 획득한 보안정책 ID 및 보안시스템 ID를 매핑하여 감사로그 DB(133)에 기록한다.
양방향 조회추적부(140)는 통합보안정책 히스토리 DB(113)에 기록된 정책식별정보와 감사로그 DB(133)에 기록된 정책식별정보를 비교하여 보안정책과 관련된 감사로그를 조회, 대조 및 추적하고, 감사로그와 관련된 보안정책을 조회, 대조 및 추적할 수 있다.
통합보안정책 히스토리 DB(113)는 각 보안정책 별로 해당 보안정책을 신청한 신청서 ID가 할당된다.
도 9를 참고하면, 보안정책 -> 감사로그 방향으로 보안정책과 관련된 감사로그를 조회 및 추적할 수 있다.
그리고 감사로그 -> 보안정책 방향으로 감사로그와 관련된 해당 보안정책을 대조 및 추적할 수가 있다.
통합보안정책 히스토리 DB(113)와 감사로그 DB(133)에는 보안정책 ID가 공통으로 들어있기 때문에 이를 이용하여 양방향 대조 및 추적이 가능하다.
보안정책 설정부(110)는 보안소프트웨어에 대한 각 보안정책 별로 보안시스템 ID를 매핑하여 통합보안정책 히스토리 DB(113)에 기록하고, 감사로그 수집부(130)는 각 감사로그 별로 보안시스템 ID를 매핑하여 감사로그 DB(133)에 기록한다.
양방향 조회추적부(140)는 통합보안정책 히스토리 DB(113)에 기록된 보안시스템 ID와 감사로그 DB(133)에 기록된 보안시스템 ID를 비교하여 이기종 보안소프트웨어에 대해서도 양방향 조회, 대조 및 추적 기능을 제공한다.
이기종 보안소프트웨어에 대해서 보안정책을 모두 설정할 수는 없으나, 보안정책을 수집하고 이를 바탕으로 정책식별정보를 구성하여 통합보안정책 히스토리 DB(113)에 보안시스템 ID, 보안정책 ID 및 정책구성정보를 저장할 수 있는 것이다.
정리하면, 보안정책 히스토리별 정책 내용을 비교하여 보안정책의 변경이력을 추적 및 확인할 수가 있고, 현행 보안정책과 감사로그를 실시간으로 양방향 조회, 대조 및 추적이 가능하다.
그리고 현행 이전에 설정되었던 과거 보안정책과 감사로그를 실시간으로 양방향 조회, 대조 및 추적이 가능하다.
또한, 보안정책의 신청정보(신청서 ID)를 보안정책 ID와 매핑하여 관리함으로써 감사로그에서 보안정책 신청자 정보를 추적할 수가 있다.
신청정보 설정부(150)는 신청서 ID, 보안정책의 신청자 정보, 보안정책 신청 내용을 포함하는 정보를 신청정보 DB(153)에 기록 및 관리한다.
도 10을 참고하면, 통합보안정책 히스토리 DB(113)와 신청정보 DB(153)에는 신청서 ID가 포함되어 있다. 신청서 ID는 통합보안정책 히스토리 DB(113)와 신청정보 DB(153)를 연결하기 위한 인덱스(index)이다.
다시 말해서, 통합보안정책 히스토리 DB(113)의 각 보안정책에 대한 신청자 및 신청서 내용 등을 찾기 위한 인덱스이다.
신청정보 DB(153)는 신청서 ID, 신청자 정보, 신청일자, 신청내용, 신청사유 등이 포함된다.
도 10을 참고하면, 신청정보 확인부(160)는 통합보안정책 히스토리 DB(113)의 신청서 ID를 기초로 신청정보 DB(153)를 조회하여 해당 보안정책에 대한 신청정보를 조회할 수 있다.
또한, 감사로그 DB(133)에서 보안정책 ID 및 보안시스템 ID를 획득 후 이를 이용하여 통합보안정책 히스토리 DB(113)를 조회하여 보안정책 내용을 조회할 수 있고, 통합보안정책 히스토리 DB(113)를 조회하여 획득한 신청서 ID를 기초로 신청정보 DB(153)를 조회할 수도 있다.
도 11을 참고하면, 신청정보 확인부(160)는 감사로그 DB(133)의 각 감사로그에 할당된 보안정책 ID를 기초로 통합보안정책 히스토리 DB(113)를 검색하여 해당 보안정책에 대한 신청서 ID를 확인한 후 신청서 ID를 기초로 신청정보 DB(153)를 조회하여 해당 보안정책에 대한 신청정보를 조회할 수 있다.
정리하면, 감사로그가 발생한 시점의 보안정책 및 신청정보를 확인할 수 있고, 보안정책의 히스토리별 정책내용을 비교하여 보안정책의 변경이력을 추적 및 확인이 가능하다. 보안정책 ID와 신청정보 DB의 신청서 ID를 매핑하여 관리함으로써 감사로그에서 보안정책 신청자 정보를 추적할 수가 있다.
도 1 내지 도 3을 참고하여, 본 발명의 보안정책 및 감사로그 양방향 조회, 대조, 추적 방법을 설명한다.
먼저, 보안정책 설정부(110)는 보안정책이 생성 및 변경될 때마다 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB(113)에 기록 및 관리하고, 보안소프트웨어 에이전트(120)에 보안정책 정보를 전송하는 보안정책 설정단계를 수행한다(S210). 정책식별정보는 보안정책 ID 또는 보안정책 ID와 정책구성정보로 구성된다.
보안소프트웨어 에이전트(120)는 수신한 보안정책을 적용하여 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그 발생과 관련된 보안정책 고유의 보안정책 ID 또는 정책구성정보를 로그 정보에 포함시켜 감사로그를 생성하는 보안정책 적용단계를 수행한다(S220).
감사로그 수집부(130)는 생성한 감사로그를 수집하고, 해당 감사로그에서 보안정책 ID 또는 정책구성정보를 추출하며, 이를 정책식별정보로 하여 수집된 감사로그 내용과 매핑시킨 후 감사로그 DB(133)에 기록하는 감사로그 수집단계를 수행한다(S230).
양방향 조회추적부(140)는 통합보안정책 히스토리 DB(113)에 기록된 정책식별정보와 감사로그 DB(133)에 기록된 정책식별정보를 비교하여 보안정책과 관련된 감사로그를 조회, 대조 및 추적하고, 감사로그와 관련된 보안정책을 조회, 대조 및 추적하는 양방향 조회추적단계를 수행한다(S240).
보안정책 설정단계(S210)는 보안정책을 유일하게 식별 가능한 보안정책 ID 또는 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 생성하고, 보안정책 ID와 해당 보안정책을 매핑하거나, 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 보안정책과 매핑하여 통합보안정책 히스토리 DB(113)에 기록한다.
보안정책 설정단계(S210)는 보안소프트웨어에 기 설정된 보안정책 ID가 없는 보안정책을 수집하여 해당 보안정책에서 추출한 행위자 또는 행위자의 접근경로를 나타내는 주체정보, 상기 행위자 또는 접근경로를 통해 접근하려는 대상을 나타내는 객체정보 및 상기 행위자 또는 접근경로로 접근하려는 대상에 대해 실행하고자 하는 내용을 나타내는 행위정보를 포함하는 복수 개의 항목으로 구성되는 정책구성정보를 설정하고, 보안정책 ID를 부여하여 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 보안정책과 매핑하여 통합보안정책 히스토리 DB(113)에 기록한다.
그리고 보안정책 설정단계(S210)는 보안정책 ID를 적용할 수 있는 보안소프트웨어의 보안정책에 대해 보안정책 ID를 부여하여 통합보안정책 히스토리 DB(113)에 기록하고, 보안정책 ID가 포함된 보안정책 정보를 보안소프트웨어 에이전트(120)에 전송한다. 보안정책 ID를 적용할 수 없는 보안소프트웨어의 경우, 보안정책에 대해 정책구성정보를 설정하고 보안정책 ID를 부여하여 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 보안정책과 매핑하여 통합보안정책 히스토리 DB(113)에 기록하고, 보안정책 정보만을 보안소프트웨어 에이전트(120)에 전송한다.
보안정책 설정단계(S210)는 보안소프트웨어에 대한 각 보안정책 별로 보안시스템 ID를 매핑하여 통합보안정책 히스토리 DB(113)에 기록하고, 감사로그 수집단계(S230)는 각 감사로그 별로 보안시스템 ID를 매핑하여 감사로그 DB(133)에 기록한다.
양방향 조회추적단계(S240)는 통합보안정책 히스토리 DB(113)에 기록된 보안시스템 ID와 감사로그 DB(133)에 기록된 보안시스템 ID를 비교하여 보안정책과 감사로그 간에 양방향 조회, 대조 및 추적 기능을 제공한다.
보안정책 적용단계(S220)는 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그를 보안정책 설정단계(S210)에서 수신한 보안정책 정보에서 검색하여 해당 로그의 보안정책 ID가 있는 경우 보안정책 ID를 로그에 포함시켜 감사로그를 기록하고, 보안정책 정보에서 검색 결과 해당 로그의 보안정책 ID가 없는 경우 정책구성정보를 로그에 포함시켜 감사로그를 기록한다.
보안정책 적용단계(S220)는 해당 로그에 보안정책 ID를 포함시킬 수 없는 경우 보안정책에서 추출한 행위자 또는 행위자의 접근경로를 나타내는 주체정보, 상기 행위자 또는 접근경로를 통해 접근하려는 대상을 나타내는 객체정보, 상기 행위자 또는 접근경로로 접근하려는 대상에 대해 실행하고자 하는 내용을 나타내는 행위정보 및 접근하려는 대상에 대해 실행하고자 하는 내용을 허용할 것인지 또는 거부할 것인지를 나타내는 허용/거부정보를 나타내는 정보를 포함하는 정책구성정보를 로그에 포함시켜 감사로그를 기록한다.
감사로그 수집단계(S230)는 수집된 감사로그에 보안정책 ID가 기록되어 있는 경우 보안정책 ID를 추출하여 정책식별정보로 사용하고, 수집된 감사로그에 보안정책 ID가 기록되어 있지 않은 경우 정책구성정보를 추출하고, 이를 이용하여 통합보안정책 히스토리 DB(113)를 조회하고 보안정책 ID를 획득하여 정책식별정보로 사용한다.
신청서 ID, 보안정책의 신청자 정보, 보안정책 신청 내용을 포함하는 정보를 신청정보 DB(153)에 기록 및 관리하고, 통합보안정책 히스토리 DB(113)는 각 보안정책 별로 해당 보안정책을 신청한 신청서 ID가 할당된다.
마지막으로, 통합보안정책 히스토리 DB(113)의 신청서 ID를 기초로 신청정보 DB(153)를 조회하여 해당 보안정책에 대한 신청정보를 조회하거나, 감사로그 DB(133)의 각 감사로그에 할당된 보안정책 ID를 기초로 통합보안정책 히스토리 DB(113)를 검색하여 해당 보안정책에 대한 신청서 ID를 확인한 후 신청서 ID를 기초로 신청정보 DB(153)를 조회하여 해당 보안정책에 대한 신청정보를 조회하는 신청정보 확인단계(S250)를 수행할 수 있다.
그 밖에 중복되는 구체적인 설명은 상기에서 자세하게 설명하였으므로 생략한다.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시할 수 있으므로, 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다.
그리고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 특정되는 것이며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100... 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템
110...보안정책 설정부
113...통합보안정책 히스토리 DB
120...보안소프트웨어 에이전트
130...감사로그 수집부
133...감사로그 DB
140...양방향 조회추적부
150...신청정보 설정부
153...신청정보 DB
160...신청정보 확인부

Claims (18)

  1. 보안정책이 생성 및 변경될 때마다 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB에 기록 및 관리하고, 보안소프트웨어 에이전트에 보안정책 정보를 전송하는 보안정책 설정부 - 상기 정책식별정보는 보안정책 ID 또는 보안정책 ID와 정책구성정보로 구성됨 -;
    상기 보안정책 설정부에서 수신한 보안정책을 적용하여 상기 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그 발생과 관련된 보안정책 고유의 보안정책 ID 또는 정책구성정보를 상기 로그 정보에 포함시켜 감사로그를 생성하는 보안소프트웨어 에이전트;
    상기 보안소프트웨어 에이전트에서 생성한 감사로그를 수집하고, 해당 감사로그에서 보안정책 ID 또는 정책구성정보를 추출하며, 이를 정책식별정보로 하여 수집된 감사로그 내용과 매핑하여 감사로그 DB에 기록하는 감사로그 수집부; 및
    상기 통합보안정책 히스토리 DB에 기록된 정책식별정보와 감사로그 DB에 기록된 정책식별정보를 비교하여 보안정책과 관련된 감사로그를 조회, 대조 및 추적하고, 감사로그와 관련된 보안정책을 조회, 대조 및 추적하는 양방향 조회추적부;를 포함하되,
    상기 보안정책 설정부는,
    보안정책을 유일하게 식별 가능한 보안정책 ID 또는 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 생성하고, 보안정책 ID와 해당 보안정책을 매핑하거나, 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 보안정책과 매핑하여 상기 통합보안정책 히스토리 DB에 기록하고,
    상기 보안정책 설정부는,
    보안소프트웨어의 보안정책 ID가 없는 보안정책을 수집하여 해당 보안정책에서 추출한 행위자 또는 행위자의 접근경로를 나타내는 주체정보, 상기 행위자 또는 접근경로를 통해 접근하려는 대상을 나타내는 객체정보 및 상기 행위자 또는 접근경로로 접근하려는 대상에 대해 실행하고자 하는 내용을 나타내는 행위정보를 포함하는 복수 개의 항목으로 구성되는 정책구성정보를 설정하고, 보안정책 ID를 부여하여 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 보안정책과 매핑하여 상기 통합보안정책 히스토리 DB에 기록하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템.
  2. 삭제
  3. 삭제
  4. 청구항 1에 있어서,
    상기 보안정책 설정부는,
    보안정책 ID를 적용할 수 있는 보안소프트웨어의 보안정책에 대해 보안정책 ID를 부여하여 상기 통합보안정책 히스토리 DB에 기록하고, 보안정책 ID가 포함된 보안정책 정보를 상기 보안소프트웨어 에이전트에 전송하고, 보안정책 ID를 적용할 수 없는 보안소프트웨어의 보안정책에 대해 정책구성정보를 설정하고 보안정책 ID를 부여하여 상기 통합보안정책 히스토리 DB에 기록하고, 보안정책 ID가 포함되지 않은 보안정책 정보만을 상기 보안소프트웨어 에이전트에 전송하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템.
  5. 청구항 4에 있어서,
    상기 보안정책 설정부는 보안소프트웨어에 대한 각 보안정책 별로 보안시스템 ID를 매핑하여 통합보안정책 히스토리 DB에 기록하고,
    상기 감사로그 수집부는 각 감사로그 별로 보안시스템 ID를 매핑하여 감사로그 DB에 기록하며,
    상기 양방향 조회추적부는 통합보안정책 히스토리 DB에 기록된 보안시스템 ID와 감사로그 DB에 기록된 보안시스템 ID를 비교하여 보안정책과 감사로그 간에 양방향 조회, 대조 및 추적 기능을 제공하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템.
  6. 보안정책이 생성 및 변경될 때마다 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB에 기록 및 관리하고, 보안소프트웨어 에이전트에 보안정책 정보를 전송하는 보안정책 설정부 - 상기 정책식별정보는 보안정책 ID 또는 보안정책 ID와 정책구성정보로 구성됨 -;
    상기 보안정책 설정부에서 수신한 보안정책을 적용하여 상기 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그 발생과 관련된 보안정책 고유의 보안정책 ID 또는 정책구성정보를 상기 로그 정보에 포함시켜 감사로그를 생성하는 보안소프트웨어 에이전트;
    상기 보안소프트웨어 에이전트에서 생성한 감사로그를 수집하고, 해당 감사로그에서 보안정책 ID 또는 정책구성정보를 추출하며, 이를 정책식별정보로 하여 수집된 감사로그 내용과 매핑하여 감사로그 DB에 기록하는 감사로그 수집부; 및
    상기 통합보안정책 히스토리 DB에 기록된 정책식별정보와 감사로그 DB에 기록된 정책식별정보를 비교하여 보안정책과 관련된 감사로그를 조회, 대조 및 추적하고, 감사로그와 관련된 보안정책을 조회, 대조 및 추적하는 양방향 조회추적부;를 포함하되,
    상기 보안소프트웨어 에이전트는 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그를 상기 보안정책 설정부에서 수신한 보안정책 정보에서 검색하여 해당 로그의 보안정책 ID가 있는 경우 보안정책 ID를 로그에 포함시켜 감사로그를 기록하고, 보안정책 정보에서 검색 결과 해당 로그의 보안정책 ID가 없는 경우 정책구성정보를 로그에 포함시켜 감사로그를 기록하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템.
  7. 청구항 6에 있어서,
    상기 보안소프트웨어 에이전트는 해당 로그에 보안정책 ID를 포함시킬 수 없는 경우 보안정책에서 추출한 행위자 또는 행위자의 접근경로를 나타내는 주체정보, 상기 행위자 또는 접근경로를 통해 접근하려는 대상을 나타내는 객체정보, 상기 행위자 또는 접근경로로 접근하려는 대상에 대해 실행하고자 하는 내용을 나타내는 행위정보 및 접근하려는 대상에 대해 실행하고자 하는 내용을 허용할 것인지 또는 거부할 것인지를 나타내는 허용/거부정보를 포함하는 정책구성정보를 로그에 포함시켜 감사로그를 기록하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템.
  8. 보안정책이 생성 및 변경될 때마다 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB에 기록 및 관리하고, 보안소프트웨어 에이전트에 보안정책 정보를 전송하는 보안정책 설정부 - 상기 정책식별정보는 보안정책 ID 또는 보안정책 ID와 정책구성정보로 구성됨 -;
    상기 보안정책 설정부에서 수신한 보안정책을 적용하여 상기 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그 발생과 관련된 보안정책 고유의 보안정책 ID 또는 정책구성정보를 상기 로그 정보에 포함시켜 감사로그를 생성하는 보안소프트웨어 에이전트;
    상기 보안소프트웨어 에이전트에서 생성한 감사로그를 수집하고, 해당 감사로그에서 보안정책 ID 또는 정책구성정보를 추출하며, 이를 정책식별정보로 하여 수집된 감사로그 내용과 매핑하여 감사로그 DB에 기록하는 감사로그 수집부; 및
    상기 통합보안정책 히스토리 DB에 기록된 정책식별정보와 감사로그 DB에 기록된 정책식별정보를 비교하여 보안정책과 관련된 감사로그를 조회, 대조 및 추적하고, 감사로그와 관련된 보안정책을 조회, 대조 및 추적하는 양방향 조회추적부;를 포함하되,
    상기 감사로그 수집부는 수집된 감사로그에 보안정책 ID가 기록되어 있는 경우 보안정책 ID를 추출하여 정책식별정보로 사용하고, 수집된 감사로그에 보안정책 ID가 기록되어 있지 않은 경우 정책구성정보를 추출하고, 이를 이용하여 상기 통합보안정책 히스토리 DB를 조회하고 보안정책 ID를 획득하여 정책식별정보로 사용하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템.
  9. 청구항 1에 있어서,
    신청서 ID, 보안정책의 신청자 정보, 보안정책 신청 내용을 포함하는 정보를 신청정보 DB에 기록 및 관리하는 신청정보 설정부를 더 구비하고,
    상기 통합보안정책 히스토리 DB는 각 보안정책 별로 해당 보안정책을 신청한 상기 신청서 ID가 할당되며,
    상기 통합보안정책 히스토리 DB의 신청서 ID를 기초로 신청정보 DB를 조회하여 해당 보안정책에 대한 신청정보를 조회하거나, 상기 감사로그 DB의 각 감사로그에 할당된 보안정책 ID를 기초로 통합보안정책 히스토리 DB를 검색하여 해당 보안정책에 대한 신청서 ID를 확인한 후 신청서 ID를 기초로 신청정보 DB를 조회하여 해당 보안정책에 대한 신청정보를 조회하는 신청정보 확인부를 더 구비하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템.
  10. 보안정책이 생성 및 변경될 때마다 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB에 기록 및 관리하고, 보안소프트웨어 에이전트에 보안정책 정보를 전송하는 보안정책 설정단계 - 상기 정책식별정보는 보안정책 ID 또는 보안정책 ID와 정책구성정보로 구성됨 -;
    보안소프트웨어 에이전트는 수신한 보안정책을 적용하여 상기 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그 발생과 관련된 보안정책 고유의 보안정책 ID 또는 정책구성정보를 상기 로그 정보에 포함시켜 감사로그를 생성하는 보안정책 적용단계;
    생성한 감사로그를 수집하고, 해당 감사로그에서 보안정책 ID 또는 정책구성정보를 추출하며, 이를 정책식별정보로 하여 수집된 감사로그 내용과 매핑시킨 후 감사로그 DB에 기록하는 감사로그 수집단계; 및
    통합보안정책 히스토리 DB에 기록된 정책식별정보와 감사로그 DB에 기록된 정책식별정보를 비교하여 보안정책과 관련된 감사로그를 조회, 대조 및 추적하고, 감사로그와 관련된 보안정책을 조회, 대조 및 추적하는 양방향 조회추적단계;를 포함하되,
    상기 보안정책 설정단계는,
    보안정책을 유일하게 식별 가능한 보안정책 ID 또는 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 생성하고, 보안정책 ID와 해당 보안정책을 매핑하거나, 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 보안정책과 매핑하여 상기 통합보안정책 히스토리 DB에 기록하고,
    상기 보안정책 설정단계는,
    보안정책 ID가 없는 보안정책을 수집하여 해당 보안정책에서 추출한 행위자 또는 행위자의 접근경로를 나타내는 주체정보, 상기 행위자 또는 접근경로를 통해 접근하려는 대상을 나타내는 객체정보 및 상기 행위자 또는 접근경로로 접근하려는 대상에 대해 실행하고자 하는 내용을 나타내는 행위정보를 포함하는 복수 개의 항목으로 구성되는 정책구성정보를 설정하고, 보안정책 ID를 부여하여 보안정책 ID 및 복수 개의 항목으로 구성된 정책구성정보를 보안정책과 매핑하여 상기 통합보안정책 히스토리 DB에 기록하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 방법.
  11. 삭제
  12. 삭제
  13. 청구항 10에 있어서,
    상기 보안정책 설정단계는,
    보안정책 ID를 적용할 수 있는 보안소프트웨어의 보안정책에 대해 보안정책 ID를 부여하여 상기 통합보안정책 히스토리 DB에 기록하고, 보안정책 ID가 포함된 보안정책 정보를 상기 보안소프트웨어 에이전트에 전송하고, 보안정책 ID를 적용할 수 없는 보안소프트웨어의 보안정책에 대해 정책구성정보를 설정하고 보안정책 ID를 부여하여 상기 통합보안정책 히스토리 DB에 기록하고, 보안정책 ID가 포함되지 않은 보안정책 정보만을 상기 보안소프트웨어 에이전트에 전송하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 방법.
  14. 청구항 13에 있어서,
    상기 보안정책 설정단계는 상기 보안소프트웨어에 대한 각 보안정책 별로 보안시스템 ID를 매핑하여 통합보안정책 히스토리 DB에 기록하고,
    상기 감사로그 수집단계는 각 감사로그 별로 보안시스템 ID를 매핑하여 감사로그 DB에 기록하며,
    상기 양방향 조회추적단계는 통합보안정책 히스토리 DB에 기록된 보안시스템 ID와 감사로그 DB에 기록된 보안시스템 ID를 비교하여 보안정책과 감사로그 간에 양방향 조회, 대조 및 추적 기능을 제공하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 방법.
  15. 보안정책이 생성 및 변경될 때마다 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB에 기록 및 관리하고, 보안소프트웨어 에이전트에 보안정책 정보를 전송하는 보안정책 설정단계 - 상기 정책식별정보는 보안정책 ID 또는 보안정책 ID와 정책구성정보로 구성됨 -;
    보안소프트웨어 에이전트는 수신한 보안정책을 적용하여 상기 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그 발생과 관련된 보안정책 고유의 보안정책 ID 또는 정책구성정보를 상기 로그 정보에 포함시켜 감사로그를 생성하는 보안정책 적용단계;
    생성한 감사로그를 수집하고, 해당 감사로그에서 보안정책 ID 또는 정책구성정보를 추출하며, 이를 정책식별정보로 하여 수집된 감사로그 내용과 매핑시킨 후 감사로그 DB에 기록하는 감사로그 수집단계; 및
    통합보안정책 히스토리 DB에 기록된 정책식별정보와 감사로그 DB에 기록된 정책식별정보를 비교하여 보안정책과 관련된 감사로그를 조회, 대조 및 추적하고, 감사로그와 관련된 보안정책을 조회, 대조 및 추적하는 양방향 조회추적단계;를 포함하되,
    상기 보안정책 적용단계는 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그를 상기 보안정책 설정단계에서 수신한 보안정책 정보에서 검색하여 해당 로그의 보안정책 ID가 있는 경우 보안정책 ID를 로그에 포함시켜 감사로그를 기록하고, 보안정책 정보에서 검색 결과 해당 로그의 보안정책 ID가 없는 경우 정책구성정보를 로그에 포함시켜 감사로그를 기록하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 방법.
  16. 청구항 15에 있어서,
    상기 보안정책 적용단계는 해당 로그에 보안정책 ID를 포함시킬 수 없는 경우 보안정책에서 추출한 행위자 또는 행위자의 접근경로를 나타내는 주체정보, 상기 행위자 또는 접근경로를 통해 접근하려는 대상을 나타내는 객체정보, 상기 행위자 또는 접근경로로 접근하려는 대상에 대해 실행하고자 하는 내용을 나타내는 행위정보 및 접근하려는 대상에 대해 실행하고자 하는 내용을 허용할 것인지 또는 거부할 것인지를 나타내는 허용/거부정보를 나타내는 정보를 포함하는 정책구성정보를 로그에 포함시켜 감사로그를 기록하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 방법.
  17. 보안정책이 생성 및 변경될 때마다 고유의 정책식별정보를 부여하여 해당 보안정책을 통합보안정책 히스토리 DB에 기록 및 관리하고, 보안소프트웨어 에이전트에 보안정책 정보를 전송하는 보안정책 설정단계 - 상기 정책식별정보는 보안정책 ID 또는 보안정책 ID와 정책구성정보로 구성됨 -;
    보안소프트웨어 에이전트는 수신한 보안정책을 적용하여 상기 보안정책을 준수하는 로그 및 보안정책을 위반하는 로그 발생시 해당 로그 발생과 관련된 보안정책 고유의 보안정책 ID 또는 정책구성정보를 상기 로그 정보에 포함시켜 감사로그를 생성하는 보안정책 적용단계;
    생성한 감사로그를 수집하고, 해당 감사로그에서 보안정책 ID 또는 정책구성정보를 추출하며, 이를 정책식별정보로 하여 수집된 감사로그 내용과 매핑시킨 후 감사로그 DB에 기록하는 감사로그 수집단계; 및
    통합보안정책 히스토리 DB에 기록된 정책식별정보와 감사로그 DB에 기록된 정책식별정보를 비교하여 보안정책과 관련된 감사로그를 조회, 대조 및 추적하고, 감사로그와 관련된 보안정책을 조회, 대조 및 추적하는 양방향 조회추적단계;를 포함하되,
    상기 감사로그 수집단계는 수집된 감사로그에 보안정책 ID가 기록되어 있는 경우 보안정책 ID를 추출하여 정책식별정보로 사용하고, 수집된 감사로그에 보안정책 ID가 기록되어 있지 않은 경우 정책구성정보를 추출하고, 이를 이용하여 상기 통합보안정책 히스토리 DB를 조회하고 보안정책 ID를 획득하여 정책식별정보로 사용하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 방법.
  18. 청구항 10에 있어서,
    신청서 ID, 보안정책의 신청자 정보, 보안정책 신청 내용을 포함하는 정보를 신청정보 DB에 기록 및 관리하고, 상기 통합보안정책 히스토리 DB는 각 보안정책 별로 해당 보안정책을 신청한 상기 신청서 ID가 할당되며,
    상기 통합보안정책 히스토리 DB의 신청서 ID를 기초로 신청정보 DB를 조회하여 해당 보안정책에 대한 신청정보를 조회하거나, 상기 감사로그 DB의 각 감사로그에 할당된 보안정책 ID를 기초로 통합보안정책 히스토리 DB를 검색하여 해당 보안정책에 대한 신청서 ID를 확인한 후 신청서 ID를 기초로 신청정보 DB를 조회하여 해당 보안정책에 대한 신청정보를 조회하는 신청정보 확인단계를 더 구비하는 것을 특징으로 하는 보안정책 및 감사로그 양방향 조회, 대조, 추적 방법.
KR1020180063167A 2018-06-01 2018-06-01 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법 KR101920613B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020180063167A KR101920613B1 (ko) 2018-06-01 2018-06-01 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법
JP2020567063A JP7241360B2 (ja) 2018-06-01 2019-03-21 セキュリティポリシー及び監査ログ双方向照会、照合、追跡システム及びその方法{security policy and audit log bi-directional lookup,comparing and tracking system and method thereof}
US16/345,785 US20210279329A1 (en) 2018-06-01 2019-03-21 Security policy and audit log two way inquiry, collation, and tracking system and method
EP19717409.7A EP3809298A4 (en) 2018-06-01 2019-03-21 SYSTEM FOR PERFORMING TWO-WAY QUERY, COMPARISON AND FOLLOW-UP ON SECURITY POLICIES AND AUDIT LOGS, AND METHOD RELATED
PCT/KR2019/003325 WO2019231089A1 (ko) 2018-06-01 2019-03-21 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180063167A KR101920613B1 (ko) 2018-06-01 2018-06-01 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR101920613B1 true KR101920613B1 (ko) 2018-11-21

Family

ID=64602278

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180063167A KR101920613B1 (ko) 2018-06-01 2018-06-01 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법

Country Status (5)

Country Link
US (1) US20210279329A1 (ko)
EP (1) EP3809298A4 (ko)
JP (1) JP7241360B2 (ko)
KR (1) KR101920613B1 (ko)
WO (1) WO2019231089A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115914005B (zh) * 2022-12-23 2024-01-23 星环信息科技(上海)股份有限公司 一种数据审计系统及方法
CN116015840B (zh) * 2022-12-23 2024-01-30 星环信息科技(上海)股份有限公司 一种数据操作审计方法、系统、设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008250728A (ja) * 2007-03-30 2008-10-16 Yahoo Japan Corp 情報漏洩監視システムおよび情報漏洩監視方法
JP2012174051A (ja) * 2011-02-22 2012-09-10 Hitachi Cable Networks Ltd 検疫ネットワークシステム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3744361B2 (ja) * 2001-02-16 2006-02-08 株式会社日立製作所 セキュリティ管理システム
JP4838631B2 (ja) * 2006-05-17 2011-12-14 富士通株式会社 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法
KR20090044202A (ko) 2007-10-31 2009-05-07 주식회사 이븐스타 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를이용한 웹 보안 서비스 방법 및 그 시스템
US9559800B1 (en) * 2008-10-24 2017-01-31 Vmware, Inc. Dynamic packet filtering
KR101548138B1 (ko) * 2009-04-28 2015-08-31 에스케이텔레콤 주식회사 정보보안 증적 추적 시스템 및 방법
JP5644543B2 (ja) * 2011-01-26 2014-12-24 富士通株式会社 アクセス制御データ編集支援プログラム、アクセス制御データ編集支援装置、及びアクセス制御データ編集支援方法
US8850593B2 (en) * 2011-05-12 2014-09-30 Hewlett-Packard Development Company, L.P. Data management using a virtual machine-data image
US9378390B2 (en) * 2012-03-30 2016-06-28 Nokia Technologies Oy Method and apparatus for policy adaption based on application policy compliance analysis
JP6223099B2 (ja) * 2013-10-01 2017-11-01 キヤノン株式会社 画像処理装置、及びその制御方法、並びにプログラム
US9607163B2 (en) * 2013-12-17 2017-03-28 Canon Kabushiki Kaisha Information processing apparatus, control method, and storage medium storing program
KR101560534B1 (ko) * 2013-12-31 2015-10-16 주식회사 윈스 행위 기반 분석 기술을 이용한 지능적 지속 공격 탐지 및 대응 시스템 및 방법
KR20150136369A (ko) * 2014-05-27 2015-12-07 주식회사 커머스톤컨설팅 로그 보안 및 빅 데이터를 이용한 통합 관리 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008250728A (ja) * 2007-03-30 2008-10-16 Yahoo Japan Corp 情報漏洩監視システムおよび情報漏洩監視方法
JP2012174051A (ja) * 2011-02-22 2012-09-10 Hitachi Cable Networks Ltd 検疫ネットワークシステム

Also Published As

Publication number Publication date
JP2021532440A (ja) 2021-11-25
US20210279329A1 (en) 2021-09-09
EP3809298A4 (en) 2022-04-27
EP3809298A1 (en) 2021-04-21
WO2019231089A1 (ko) 2019-12-05
JP7241360B2 (ja) 2023-03-17

Similar Documents

Publication Publication Date Title
JP5108155B2 (ja) データ記憶アクセスの制御方法
CN112637220B (zh) 一种工控系统安全防护方法及装置
US8516586B1 (en) Classification of unknown computer network traffic
US9807125B2 (en) System and method for tracking and auditing data access in a network environment
Pasquale et al. Adaptive evidence collection in the cloud using attack scenarios
CN104240342A (zh) 一种门禁控制方法及门禁控制装置
CN104166812A (zh) 一种基于独立授权的数据库安全访问控制方法
US20100017374A1 (en) Approching control system to the file server
KR101920613B1 (ko) 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법
CN113132311A (zh) 异常访问检测方法、装置和设备
CN113407949A (zh) 一种信息安全监控系统、方法、设备及存储介质
KR100926735B1 (ko) 웹 소스 보안 관리 시스템 및 방법
KR20080057917A (ko) 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법
KR101794187B1 (ko) 침해 사고 정보를 관리하기 위한 방법과 침해 사고 관리 시스템, 및 컴퓨터 판독 가능한 매체
US10614225B2 (en) System and method for tracing data access and detecting abnormality in the same
KR101201629B1 (ko) 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
KR101040765B1 (ko) 확장된 보안 레이블을 이용하는 프로세스 및 파일 추적 시스템 및 프로세스 및 파일 추적 방법
US11651313B1 (en) Insider threat detection using access behavior analysis
KR101949196B1 (ko) 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법
CN114239034A (zh) 一种保护敏感资源的日志记录系统及事故取证方法
CN102546636A (zh) 监测受限资源的方法和装置
KR101453487B1 (ko) 온라인 서비스로 제공되는 저작 콘텐츠의 보호를 위한 콘텐츠 유통 로그 에이전트 및 운영방법
US20170237738A1 (en) Method and apparatus for tracking data access route
CN108418815A (zh) 用户虚拟机数据访问证据收集方法及系统
Lee et al. PCA in ERP environment using the misuse detection system design and implementation of RBAC permissions

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant