KR20100030875A - Secure infrastructure by the virtual separation of personal device(personal computer) network and hard drive - Google Patents
Secure infrastructure by the virtual separation of personal device(personal computer) network and hard drive Download PDFInfo
- Publication number
- KR20100030875A KR20100030875A KR1020080089833A KR20080089833A KR20100030875A KR 20100030875 A KR20100030875 A KR 20100030875A KR 1020080089833 A KR1020080089833 A KR 1020080089833A KR 20080089833 A KR20080089833 A KR 20080089833A KR 20100030875 A KR20100030875 A KR 20100030875A
- Authority
- KR
- South Korea
- Prior art keywords
- policy
- network
- user
- access
- area
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
- G06F12/0806—Multiuser, multiprocessor or multiprocessing cache systems
- G06F12/0813—Multiuser, multiprocessor or multiprocessing cache systems with a network or matrix configuration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/10—Program control for peripheral devices
- G06F13/12—Program control for peripheral devices using hardware independent of the central processor, e.g. channel or peripheral processor
- G06F13/124—Program control for peripheral devices using hardware independent of the central processor, e.g. channel or peripheral processor where hardware is a sequential transfer control unit, e.g. microprocessor, peripheral processor or state-machine
- G06F13/128—Program control for peripheral devices using hardware independent of the central processor, e.g. channel or peripheral processor where hardware is a sequential transfer control unit, e.g. microprocessor, peripheral processor or state-machine for dedicated transfers to a network
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 기업 내부의 보안업무영역 체계를 구축하기 위한 보안 시스템에 관한 것으로, 보다 상세하게는 사내 인트라넷을 안전하게 보안된 업무영역과 개인영역으로 구분하여 사용 영역에 따라 보안정책을 달리 적용함으로써 주요 시스템에 대한 접근을 막을 수 있도록 하고, 외부인의 업무영역의 인트라넷 시스템 및 통신망 접근을 제어함으로써 불법적인 자료유출을 차단할 수 있도록 하며, 기업 내부에서 사용하는 컴퓨터의 보안을 강화함과 동시에 개인영역에서의 자유로운 인터넷 접속 및 개인 프로그램 사용으로 인하여 업무의 편의성을 증대시키고, 보안이 완벽한 상태에서 개인의 IT 활용을 극대화함으로써 업무의 효율을 높일 수 있도록 하는 개인 전산기 네트워크 및 하드디스크 가상 분리를 통한 보안 시스템에 관한 것이다. The present invention relates to a security system for establishing a security work area system within an enterprise. More specifically, the intranet can be classified into a secured work area and a private area to apply a security policy differently according to a use area. Prevents unauthorized data leakage by controlling access to intranet system and communication network of outsider's work area, strengthens security of computer used inside the enterprise and free internet in personal area The present invention relates to a security system through virtualization of personal computer network and hard disk that can increase work convenience due to access and use of personal programs, and maximize work efficiency by maximizing individual IT utilization in a state of perfect security.
일반적으로 사내에서 업무를 보기 위해 사용하는 컴퓨터는 업무용 프로그램을 사용한 사내 보안 데이터와 업무용으로 사용되지 않는 개인용 프로그램에 의한 개인용 데이터를 혼용하여 사용하고 있으며, 사내 업무의 효율성을 위하여 인트라넷 시스템 및 외부로 접속할 수 있는 인터넷 시스템을 동시에 사용하고 있다. In general, the computer used for work in the company uses the company's internal security data using the work program and the personal data by the personal program not used for the work, and the intranet system and external access are used for the efficiency of the work. You can use the Internet system at the same time.
따라서, 업무를 보기 위하여 개인적으로 지급되어 사용되는 컴퓨터 시스템을 사용하는 경우 인터넷 접속을 통하여 업무용 데이터를 전송시킬 수도 있고, 개인 저장장치를 사용하여 업무용 데이터를 외부로 유출시키는데 큰 어려움이 없기 때문에 이를 방지하는데 어려움이 있었으며, 이를 방지하기 위하여 다양한 보안기능과 보안정책등이 적용되고 있으나 완벽한 정보유출의 차단이 불가능하였다. Therefore, when using a computer system that has been personally paid and used for work, it is possible to transmit work data through an Internet connection, and to prevent this since there is no great difficulty in leaking work data to the outside using a personal storage device. In order to prevent this, various security functions and security policies were applied, but it was impossible to completely prevent information leakage.
또한, 인터넷을 통한 정보의 유출 뿐만 아니라, 내부 직원이 컴퓨터를 통하여 외부 저장매체에 저장한 후, 외부로 쉽게 유출시킬 수 있는 문제점과, 기업내 중요문서를 인쇄하여 쉽게 외부로 유출할 수 있는 문제점이 있었다. In addition, not only the leakage of information through the Internet, but also the internal staff can be stored on an external storage medium via a computer, and then easily leaked to the outside, and the issue that can be easily leaked by printing important documents in the company There was this.
한편, 개인적인 데이터 유출을 방지하기 위하여 개인 IT의 사용(인터넷, 개인 저장매체, 사설 프로그램)을 완전히 배제할 경우 업무의 효율이 떨어질 수 있는 문제점이 있다. On the other hand, if you completely exclude the use of personal IT (Internet, personal storage media, private programs) in order to prevent personal data leakage, there is a problem that the efficiency of work can be reduced.
종래에 이러한 문제점을 해결하기 위하여 실행되는 프로그램에 대하여 데이터의 저장 및 전송 그리고 출력에 대하여 일괄적으로 동일한 보안 시스템이 적용되도록 하였으나, 상기와 같은 보안정책은 모든 사용자에 대해서 일괄적용 됨으로써, 기업내 중요문서에 대한 보안은 완벽하게 적용할 수 없고, 개인의 업무효율을 떨어뜨리는 문제점이 있었다. Conventionally, the same security system is applied to the storage, transmission, and output of data to programs executed to solve such problems. However, the security policy as described above is applied to all users. The security of documents is not fully applicable, and there is a problem that reduces the efficiency of the work of the individual.
본 발명은 이와 같은 종래의 제반 문제점을 해소하기 위하여 안출한 것으로, PC 환경을 가상화하여 개인의 PC 사용목적에 따라 업무영역과 개인영역으로 구분하여 사용하되, 이에 대한 전환을 쉽게 할 수 있도록 하고, 업무영역 내에서는 엄격한 보안 시스템의 적용을 받도록 하여 정보 유출 및 해킹에 대한 문제점을 막고, 개인영역에서는 자유롭게 인터넷에 접속할 수 있고 개인적인 프로그램을 사용할 수 있도록 함으로써 보안의 강화와 업무효율의 증대를 동시에 얻을 수 있도록 하는 개인 전산기 네트워크 및 하드디스크 가상 분리를 통한 보안 시스템을 제공하는 것을 그 목적으로 한다. The present invention has been made in order to solve such a conventional problem, virtualized PC environment to be divided into a work area and a personal area according to the purpose of personal PC use, so that it can be easily switched to this, In the work area, the strict security system is applied to prevent the problem of information leakage and hacking, and in the personal area, it is possible to freely access the Internet and use personal programs to enhance security and increase work efficiency. The purpose of the present invention is to provide a security system through the virtual separation of the personal computer network and hard disk.
상기한 목적을 달성하기 위한 본 발명 장치는, 접속자의 네트워크 접속을 허용 및 차단을 관리하는 네트워크 제어기(NAC:Network Access Control, NAP:Network Access Protection, IP관리기 등으로 구성될 수 있음); 사용자, 사용자 그룹, 네트워크 데이터 및 사용자 컴퓨터의 사용 정합성을 체크하고, 상기 네트워크 제어기와 연계하여 사용자 컴퓨터의 네트워크 사용에 대한 가부를 결정하는 메인서버; 사용자 그룹 혹은 사용자에 대한 정책 및 기타 사용자 컴퓨터에 적용될 PC 네트워크 방화벽 정책, 파일시스템 접근제어 정책, 이동식 저장장치 접근제어 정책, 메모리 접근제어 정책, 프린터 및 플로터를 통한 문서 인쇄시 인쇄 정책등을 관리하는 정책 서버; 상기 서버의 데이터를 저장하는 데이터베이스와; 시스템에서 발생한 로그를 실시간 관리하는 로깅서버; 사용자 컴퓨터의 상태를 실시간 관리하는 모니터링서버; 로 구성된 메인 시스템과; In order to achieve the above object, the present invention provides a network controller (NAC: Network Access Control, NAP: Network Access Protection, IP Manager, etc.) that manages the network access control of the accessor; A main server for checking usage consistency of users, user groups, network data and user computers, and determining whether to use the network of the user computers in association with the network controller; Manages policies for user groups or users, PC network firewall policies, file system access control policies, removable storage device access control policies, memory access control policies, and printing policies for printing documents through printers and plotters. Policy server; A database for storing data of the server; Logging server for managing the log generated in the system in real time; A monitoring server for managing the state of the user computer in real time; A main system consisting of;
사용자 컴퓨터에 설치되어 사용 정합성을 체크하는 보안 클라이언트 에이젼트; 사용자 컴퓨터에 설치되어 인트라넷 혹은 인터넷 접근제어를 하는 PC 네트워크 방화벽 정책을 적용하는 PC 방화벽 제어기, 사용자 컴퓨터에 설치되어 파일 시스템내 폴더 접근권한 정책을 적용하는 파일시스템 제어기, 사용자 컴퓨터에 설치되어 메모리(클립보드)의 접근권한 정책을 적용하는 메모리 접근 제어기, 프린터 출력물에 인쇄정책을 적용하는 인쇄 제어기; 메인 시스템을 관리하는 관리도구와; 메인시스템을 실시간 모니터링 할 수 있도록 하는 실시간 상황판;으로 구성된 관리 시스템으로 구성된 것을 특징으로 한다.A security client agent installed on the user's computer to check usage consistency; PC firewall controller installed in user computer to apply PC network firewall policy for intranet or internet access control, file system controller installed in user computer to apply folder access policy in file system, and memory installed in user computer A memory access controller for applying an access right policy of a board), a printing controller for applying a printing policy to a printer output; A management tool for managing the main system; It is characterized by consisting of a management system consisting of; a real-time situation board to enable real-time monitoring of the main system.
또한, 상기 네트워크 제어기와의 연계를 위한 네트워크 제어기 인터페이스 모듈, 데이터베이스와의 연계를 위한 데이터베이스 에이젼트 모듈을 더 포함하는 것을 특징으로 한다. The apparatus may further include a network controller interface module for linkage with the network controller and a database agent module for linkage with a database.
한편, 본 발명 방법은 사용자가 컴퓨터 로그온을 통하여 인트라넷에 접속하는 단계, 메인 시스템의 메인서버에서 네트워크 제어기를 통하여 네트워크 접속 허용 여부를 확인한 후 허가된 컴퓨터의 경우 접속을 허용하고 허가되지 않은 컴퓨터일 경우 네트워크 사용을 제약하는 단계, 인트라넷에 접속 후 컴퓨터의 사용 목적에 따라 업무영역과 개인영역 중에서 선택을 하여 접속하는 단계로 이루어져 있는 것을 특징으로 한다. Meanwhile, in the method of the present invention, the user accesses the intranet through a computer logon, the main server of the main system checks whether the network is allowed through the network controller, and then, in the case of an unauthorized computer, the computer is allowed to access the computer. Restricting the use of the network, after connecting to the intranet characterized in that it consists of the step of selecting from the work area and personal area according to the purpose of use of the computer.
개인영역에서 프로그램을 구동할 경우, 인트라넷 접속은 불가하고 인터넷만 접속되도록 하는 PC 방화벽 정책, 개인영역으로 지정된 폴더(파일 저장소) 이외 업무영역 폴더에 읽기/쓰기 불가하도록 하며, 개인영역으로 지정된 저장소에만 읽고/쓰기가 가능하도록 하는 파일시스템내 폴더 접근제어 정책, 개인영역에서 구동된 프로세스의 메모리에서 업무영역에서 구동한 프로세스의 메모리로의 이동만을 허락하는 메모리 접근제어 정책, 외부저장매체로 부터 읽기만 가능하게 하는 저장매체 접근제어 정책, 개인영역에서 구동한 프로세스에 대해서 인쇄기를 통한 인쇄 가능여부 및 개인영역에 대한 워터마크 템플릿 적용에 대한 정책을 사용하는 단계로 이루어져 있는 것을 특징으로 한다. When running a program in the personal area, PC firewall policy that prevents access to the intranet but only the Internet, prevents reading / writing to the work area folder other than the folder designated as the personal area (file storage). Folder access control policy in the file system to enable read / write, memory access control policy to allow only the movement of process driven in the work area from the memory of a process driven in the private area, read only from external storage media It is characterized in that it comprises a step of using a storage medium access control policy, whether to print through a printer for the process driven in the personal area and to apply the watermark template to the personal area.
업무영역에서 프로그램을 구동할 경우, 인터넷 접속은 불가하고 인트라넷만 접속되도록 하는 PC 방화벽 정책, 개인영역으로 지정된 폴더(파일 저장소)는 읽기만 가능하고, 개인영역으로 지정된 폴더 이외 업무영역 폴더에 읽기/쓰기가 가능하도록 하는 파일시스템내 폴더 접근제어 정책, 업무영역에서 구동된 프로세스의 메모리에서 개인영역에서 구동한 프로세스의 메모리로의 이동은 불가, 동일 업무영역내 프로세스의 메모리로의 이동을 가능하게 하는 메모리 접근제어 정책, 외부저장매체로부터 읽기만 가능하게 하는 저장매체 접근제어 정책, 업무영역에서 구동한 프로세스에 대해서 인쇄기를 통한 문서 인쇄 가능여부 및 업무영역에 대한 워터마크 템플릿 적용에 대한 정책을 사용하는 단계로 이루어져 있는 것을 특징으로 한다.When running the program in the work area, the PC firewall policy that does not allow internet access but only intranet access, the folder designated as the personal area (file storage) can only be read, and it can be read / written in the work area folder other than the folder designated as the personal area. The folder access control policy in the file system to enable the operation, the memory of the process driven in the work area cannot be moved from the memory of the process driven in the personal area, and the memory enables the process of the process in the same work area to the memory. Access control policy, storage medium access control policy to read only from external storage media, whether to print documents through printer for process driven in business area, and policy for watermark template application to business area. It is characterized by consisting of.
이 때, 각 영역에서 프로그램을 구동할 경우 구동되는 프로그램의 동작 목 적(업무용 또는 개인용)에 따른 네트워크 PC 방화벽 정책, 파일시스템 내 폴더 접근권한 정책, 메모리 접근권한 정책, 외부저장매체에 대한 접근제어 정책, 출력물에 대한 인쇄 정책을 정책 서버로부터 검색하여 적용시키는 단계, 실행되는 프로그램에 따라 프로세스를 제어하여 그 사용 목적(업무용 또는 개인용)에 따라 인터넷과 인트라넷 접근을 제어하는 단계, 실행되는 프로그램에 따라 프로세스를 제어하여 그 사용 목적(업무용 또는 개인용)에 따라 폴더(저장소) 접근을 제어하는 단계, 실행되는 프로그램에 따라 프로세스를 제어하여 그 사용 목적(업무용 또는 개인용)에 따라 서로 다른 프로세스의 메모리에 대한 접근을 제어하는 단계, 실행되는 프로그램에 따라 외부저장매체에 대한 접근을 제어하는 단계, 실행되는 프로그램에 따라 프로세스를 제어하여 그 사용 목적(업무용 또는 개인용)에 따라 출력물에 대한 인쇄를 제어하는 단계로 이루어져 있는 것을 특징으로 한다. At this time, if the program is run in each area, the network PC firewall policy, the folder access right policy in the file system, the memory access right policy, and the access control to the external storage medium according to the operation purpose (for work or personal use) of the driven program Retrieval of policies and printouts from the policy server for policy output and application; control of processes according to the program being executed to control access to the Internet and intranets according to their purpose of use (business or personal); Controlling processes to control folder (storage) access according to their purpose of use (business or personal); controlling processes according to the program being executed to determine the memory of different processes according to their purpose of use (business or personal). Control access, save externally according to program to be executed It characterized in that the step of controlling access to the body, to control a process in accordance with the executed program consists of a step of controlling the printing of the output in accordance with the purpose of use (business or personal).
이상에서 설명한 바와 같이 본 발명에 의하면, 종래 보안을 위하여 컴퓨터에서 실행되는 모든 응용프로그램이 동일한 방화벽 정책을 적용 받는 것과는 달리, 업무영역과 개인영역으로 구분하여 사용자가 쉽게 전환할 수 있도록 하고, 개인영역에서는 인터넷의 접속 및 개인 프로그램의 실행을 자유롭게 할 수 있도록 하되 업무영역으로의 접근은 차단하도록 하고, 업무영역에서는 철저한 네트워크 방화벽 시스템, 파일시스템내 폴더 접근제어, 메모리 접근제어, 이동식 저장장치 접근제어, 출력물에 대한 인쇄제어를 사용하여 보안을 강화하여 업무효율 증대를 가져올 수 있는 효과가 있다. As described above, according to the present invention, unlike all application programs running on the computer for the conventional security, the same firewall policy is applied, the user can be easily switched to the work area and the personal area, and the personal area can be easily changed. In order to free access to the Internet and to execute personal programs, access to the work area should be blocked. In the work area, a thorough network firewall system, folder access control in the file system, memory access control, removable storage device access control, There is an effect that can increase the work efficiency by enhancing the security by using the print control on the output.
또한, 업무영역에서의 보안 시스템에서는 실행되는 프로그램에 따른 저장장소에 대한 제어 및 이동식 저장장치로의 저장에 대한 제어를 함으로써 중요 데이터의 유출을 방지할 수 있도록 하며, 중요 데이터의 관리를 확실하게 할 수 있도록 하는 효과가 있다. In addition, in the security system in the work area, it is possible to prevent the leakage of important data and to ensure the management of important data by controlling the storage location according to the executed program and controlling the storage in the portable storage device. It has the effect of making it possible.
또한, 업무영역에서는 인트라넷으로의 접근이 가능하여 사내 네트워크를 이용할 수 있지만 인터넷으로의 접근은 개인영역에서 프로그램을 구동해야만 가능하기 때문에 중요 자료를 인터넷을 통하여 외부로 유출시키는 것을 방지할 수 있으며, 인터넷으로부터 생겨나는 해킹, 바이러스 등으로부터 인트라넷을 보호할 수 있다. In addition, in the work area, it is possible to access the intranet to access the intranet, but access to the Internet is possible only by running the program in the personal area, thereby preventing the leakage of important data through the Internet. You can protect your intranet from hacking, viruses, and the like.
또한, 업무영역에서는 사용자의 권한에 따라 컴퓨터의 저장소에 대한 접근제어 및 현재 실행중인 프로그램에 따라 특정 폴더에 대한 접근 권한을 부여함으로써 프로그램의 동작 목적에 따른 차별화된 폴더 접근정책을 사용함으로써 데이터의 유출을 막을 수 있다. In addition, in the work area, the data is leaked by using the differentiated folder access policy according to the operation purpose of the program by giving access control to the storage of the computer according to the user's authority and granting access to a specific folder according to the currently running program. Can be prevented.
또한, 업무영역에서는 출력물에 대하여 워터마크를 적용하여 출력물에 대한 보안을 강화하고 출력물에 대한 근원지를 알 수 있도록 한다.In addition, in the work area, watermarks are applied to prints to enhance security of prints and to know the source of prints.
또한, 업무영역에서는 기업내 업무 활동 결과로 발생된 데이터를 업무영역 내에서만 운용될 수 있도록 함으로써 다른 이동식 저장매체로의 저장 후 이동을 위하여 검역소를 거쳐 승인을 받도록 함으로써 중요한 정보의 불법적인 유출을 차단할 수 있도록 하는 매우 유용한 발명인 것이다. In addition, in the business area, data generated as a result of business activities within the company can be operated only within the business area to prevent illegal leakage of important information by requiring approval through a quarantine station for storage and movement to other portable storage media. It is a very useful invention.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예를 상세히 설명하면 다음과 같다. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1 은 본 발명인 개인 전산기 네트워크 및 하드디스크 가상 분리를 통한 보안 시스템의 구성도를 나타낸 것이다. Figure 1 shows the configuration of the security system through the inventors personal computer network and hard disk virtual separation.
이에 따르면 본 발명 장치는, 접속자의 네트워크 접속을 허용 및 차단을 관리하는 네트워크 제어기(NAC:Network Access Control, NAP:Network Access Protection, IP관리기), 사용자, 사용자 그룹, 네트워크 데이터 및 사용자 컴퓨터의 사용 정합성을 체크하고, 상기 네트워크 제어기와 연계하여 사용자 컴퓨터의 네트워크 사용에 대한 가부를 결정하는 메인서버; 사용자 그룹 혹은 사용자에 대한 정책 및 기타 사용자 컴퓨터에 적용될 네트워크 방화벽 정책, 폴더 정책, 외부저장장치에 대한 접근제어 정책, 메모리 접근제어 정책, 프린터 및 플로터를 통한 문서 출력시 인쇄 정책을 관리하는 정책서버; 상기 서버의 데이터를 저장하는 데이터베이스와; 시스템에서 발생한 로그를 실시간 관리하는 로깅서버; 사용자 컴퓨터의 상태를 실시간 관리하는 모니터링서버; 로 구성된 메인 시스템과; Accordingly, the apparatus of the present invention is a network controller (NAC: Network Access Control, NAP: IP Manager) that manages the access and network access of the accessor, user, user group, network data and the use consistency of the user computer A main server for checking whether to use the network of the user computer in association with the network controller; A policy server that manages policies for user groups or users, network firewall policies to be applied to other user computers, folder policies, access control policies for external storage devices, memory access control policies, and print policies for document output through printers and plotters; A database for storing data of the server; Logging server for managing the log generated in the system in real time; A monitoring server for managing the state of the user computer in real time; A main system consisting of;
사용자 컴퓨터에 설치되어 사용 정합성을 체크하는 보안 클라이언트 에이젼트; 사용자 컴퓨터에 설치되어 인트라넷 혹은 인터넷 접근제어를 하는 PC 네트워크 방화벽 정책을 적용하는 PC 방화벽 제어기, 사용자 컴퓨터에 설치되어 파일 시스템내 폴더 접근권한 정책을 적용하는 파일시스템 제어기, 사용자 컴퓨터에 설치되어 메모리(클립보드)의 접근권한 정책을 적용하는 메모리 접근 제어기, 프린터 및 플 로터를 통한 출력물에 인쇄정책을 적용하는 인쇄 제어기,; 메인 시스템을 관리하는 관리도구와; 메인시스템을 실시간 모니터링 할 수 있도록 하는 실시간 상황판; 으로 구성된 관리 시스템으로 구성되어 있다.A security client agent installed on the user's computer to check usage consistency; PC firewall controller installed in user computer to apply PC network firewall policy for intranet or internet access control, file system controller installed in user computer to apply folder access policy in file system, and memory installed in user computer A memory access controller applying the access right policy of the board), a printing controller applying a printing policy to the output through the printer and the plotter; A management tool for managing the main system; Real-time status board for real-time monitoring of the main system; It consists of a management system consisting of.
또한, 상기 네트워크 제어기와의 연계를 위한 네트워크 제어기 인터페이스 모듈, 데이터베이스와의 연계를 위한 데이터베이스 에이젼트 모듈을 더 포함하고 있다.The apparatus may further include a network controller interface module for linking with the network controller and a database agent module for linking with a database.
상기 네트워크 제어기는 개인 PC의 사용 정합성을 체크하여 허용된 사용자만이 네트워크에 접속하여 인트라넷 혹은 인터넷 사용을 할 수 있도록 하며, 허용되지 않은 사용자는 네트워크 접속을 불허하여 사내에서의 컴퓨터 사용을 원천 차단할 수 있도록 한다.The network controller checks the use consistency of the personal PC so that only authorized users can access the network and use the intranet or the Internet, and unauthorized users can block the use of computers in the company by disallowing network access. Make sure
상기 메인서버는 정책서버, 네트워크제어기 및 데이터베이스와 연계하여 사용자, 사용자 그룹을 관리하는 것으로, 접속하는 사용자의 데이터 검색을 통하여 등록되어 있는 사용자만이 사용자 컴퓨터를 사용할 수 있도록 하며, 사용자 컴퓨터의 사용 정합성을 체크하고, 네트워크 제어기 인터페이스 모듈을 통하여 네트워크 제어기와 연계하여 사용자 컴퓨터의 네트워크 사용에 대한 가부를 결정한다.The main server manages users and user groups in connection with a policy server, a network controller, and a database. The user server can be used only by a registered user through data retrieval of a connecting user. Check the network controller interface and determine whether to use the network of the user computer in conjunction with the network controller through the network controller interface module.
상기 정책서버는 사용자 개별 정책, 그룹정책 및 기타 사용자 컴퓨터에 적용될 정책(네트워크 방화벽 정책, 파일시스템 접근제어 정책, 메모리 접근제어 정책, 이동식 저장장치 접근제어 정책, 출력물에 대한 인쇄제어 정책)을 관리하는 것으로, 업무용으로 사용되는 프로그램과 개인용으로 사용되는 프로그램을 각 프로그램이 실행될 때의 프로세스를 제어하여 각각의 프로그램의 사용 목적에 따른 접근권 한 정책을 수립하고 이를 메인서버 및 사용자 PC에 설치된 보안에이젼트와 연계하여 실행하게 된다. The policy server manages individual policies, group policies, and other policies applied to user computers (network firewall policy, file system access control policy, memory access control policy, removable storage device access control policy, and print control policy for printouts). The program used for business and the program used for personal use control the process when each program is executed to establish the access right policy according to the purpose of using each program and link it with the security agent installed on the main server and user PC. To run it.
상기 네트워크 제어기 인터페이스 모듈은 메인서버가 사용자 컴퓨터의 네트워크 사용에 대한 가부에 따라 네트워크 제어기에 제어 명령을 하달 할 수 있도록 연계하는 역할을 수행한다.The network controller interface module performs a role of linking the main server to issue a control command to the network controller according to whether a user computer can use the network.
상기 데이터베이스 에이젼트는 사용자 정보, 컴퓨터 정보 및 사용자 컴퓨터의 네트워크 정보(IP주소, 게이트웨이주소, MAC주소등), 정책정보 등의 데이터를 저장하는 데이터베이스와 메인서버가 연계할 수 있도록 한다. The database agent enables the main server to associate with a database that stores data such as user information, computer information, network information (IP address, gateway address, MAC address, etc.) of the user computer, policy information, and the like.
상기 로깅서버는 시스템에서 발생한 로그를 실시간 관리할 수 있도록 하는 것으로, 시스템에서 발생한 로그를 실시간으로 체크하고 로그 정보를 서버의 파일시스템에 저장한다. The logging server is to manage the log generated in the system in real time, check the log generated in the system in real time and stores the log information in the file system of the server.
상기 모니터링서버는 사용자 컴퓨터의 상태를 실시간 관리하는 것으로, 사용자 컴퓨터에서 사용되는 프로그램 및 네트워크 사용 현황을 실시간으로 관리할 수 있도록 하며, 상기 사용 정보를 저장관리한다. The monitoring server manages the state of the user's computer in real time. The monitoring server manages the program and network usage in real time and stores and manages the usage information.
상기 보안 클라이언트 에이젼트는 사용자 컴퓨터에 설치되며, 메인서버와 연결되어 사용자 컴퓨터의 사용 정합성을 체크하여 사용자 컴퓨터에 각 정책을 적용한다.The security client agent is installed on the user's computer, and connected to the main server to check the usage consistency of the user's computer and apply each policy to the user's computer.
상기 네트워크 방화벽 제어기는 사용자 컴퓨터에 설치되며, 프로그램 사용 목적에 따른 방화벽 정책을 적용하여 인트라넷과 인터넷 접근을 제어한다.The network firewall controller is installed in a user computer and controls intranet and internet access by applying a firewall policy according to a program use purpose.
상기 파일시스템 제어기는 사용자 컴퓨터에 설치되며, 프로그램 사용 목적에 따른 폴더 접근 정책을 적용하여 개인용 폴더와 업무용 폴더에 대한 접근을 제어한다.The file system controller is installed on a user computer and controls access to personal folders and work folders by applying a folder access policy according to a program use purpose.
상기 메모리 접근제어기는 사용자 컴퓨터에 설치되며, 프로그램 사용 목적에 따른 서로 다른 프로세스간 메모리에 대한 공유를 제어한다.The memory access controller is installed in a user computer and controls sharing of memory between different processes according to a program use purpose.
상기 출력물 인쇄 제어기는 사용자 컴퓨터에 설치되며, 프로그램 사용 목적에 따른 출력물에 대한 워터마크 삽입 및 출력 여부를 제어한다.The output print controller is installed in a user computer and controls whether to insert and output a watermark for the output according to a program use purpose.
상기 저장매체 제어기는 사용자 컴퓨터에 설치되며, 프로그램 사용 목적에 따라 이동식 저장장치에 대한 접근 권한을 제어한다.The storage medium controller is installed in a user computer and controls the access right to the removable storage device according to the purpose of using the program.
관리도구와 실시간 상황판은 메인 시스템을 실시간으로 모니터링 하면서 메인 시스템을 관리할 수 있도록 한다. Management tools and real-time status boards allow the main system to be managed while monitoring the main system in real time.
상기와 같이 구성된 본 발명의 보안 시스템이 적용된 실시 예를 살펴보면 다음과 같다. Looking at the embodiment to which the security system of the present invention configured as described above is applied as follows.
메인서버는 보안 에이젼트와 연계하여 사용자 컴퓨터의 사용 정합성을 체크하고, 네트워크 제어기 인터페이스 모듈을 통하여 네트워크 제어기로부터 사용자 컴퓨터의 네트워크 사용에 대한 가부를 결정한다. The main server checks the usage consistency of the user computer in conjunction with the security agent and determines whether to use the network of the user computer from the network controller through the network controller interface module.
한편, 정책서버에서는 사용자의 컴퓨터에서 실행되는 응용프로그램에 대하여 현재 실행중인 프로그램 단위로 네트워크 방화벽 정책, 파일 시스템내 폴더 접근제어 정책, 메모리 접근제어 정책, 외부 저장매체 접근제어 정책, 출력물에 대한 인쇄정책을 수립하며, 상기 수립된 정책은 응용프로그램의 사용 목적(개인용, 업무용)에 따라 구동된 프로세스에 서로 다른 정책을 실시간 적용한다.Meanwhile, in the policy server, the network firewall policy, the folder access control policy in the file system, the memory access control policy, the external storage medium access control policy, and the printing policy for the printouts in the unit of the currently running program for the application program running on the user's computer. The established policies apply different policies in real time to a process driven according to the purpose of use of the application (personal and business).
또한, 관리 시스템에서는 실시간 상황판으로 모니터링 되는 메인 시스템의 상태를 실시간으로 관리할 수 있으며, 관리도구를 사용하여 메인 시스템의 유지 및 보수를 보다 빠르게 할 수 있도록 한다. In addition, the management system can manage the status of the main system monitored by the real-time status board in real time, and the management tool allows for faster maintenance and repair of the main system.
이하, 본 발명의 동작단계를 설명하면 다음과 같다. Hereinafter, operation steps of the present invention will be described.
본 발명 방법은 사용자가 컴퓨터 로그온을 통하여 인트라넷에 접속하는 단계, 메인 시스템의 메인서버에서 네트워크 제어기를 통하여 네트워크 접속 허용 여부를 확인한 후 허가된 컴퓨터의 경우 접속을 허용하고 허가되지 않은 컴퓨터일 경우 네트워크 사용을 제약하는 단계, 인트라넷에 접속 후 컴퓨터의 사용 목적에 따라 업무영역과 개인영역 중에서 선택을 하여 접속하는 단계로 이루어진다.According to the method of the present invention, a user accesses an intranet through a computer logon. The main server of the main system checks whether a network connection is allowed through a network controller. The step of restricting the connection, and the step of connecting to the intranet by selecting from the work area and personal area according to the purpose of use of the computer.
이 때, 각 영역에서 프로그램을 구동할 경우 구동되는 프로그램의 동작 목적(업무용 또는 개인용)에 각 정책을 정책 서버로부터 검색하여 적용시키는 단계로 이루어진다.At this time, when the program is driven in each area, it is a step of retrieving and applying each policy from the policy server to the operation purpose (for work or personal use) of the driven program.
개인영역에서 프로그램을 구동할 경우, 인트라넷 접속은 불가하고 인터넷만 접속되도록 하는 PC 방화벽 정책, 개인영역으로 지정된 폴더(파일 저장소) 이외 업무영역 폴더에 읽기/쓰기 불가하도록 하며, 개인영역으로 지정된 저장소에만 읽기/쓰기가 가능하도록 하는 파일시스템내 폴더 접근제어 정책, 개인영역에서 구동된 프로세스의 메모리에서 업무영역에서 구동한 프로세스의 메모리로의 이동만을 허락하는 메모리 접근제어 정책, 외부저장매체로부터 읽기만 가능하게 하는 저장매체 접근제어 정책, 개인영역에서 구동한 프로세스에 대해서 프린터 혹은 플로터를 통한 인쇄 가능 여부 및 개인영역에 대한 워터마크 템플릿 적용에 대한 정책을 사용 하는 단계로 이루어진다.When running a program in the personal area, PC firewall policy that prevents access to the intranet but only the Internet, prevents reading / writing to the work area folder other than the folder designated as the personal area (file storage). Folder access control policy in the file system to enable read / write, memory access control policy to allow only the movement of process driven processes from the work area to the memory of the process driven in the private area, read only from external storage media The storage medium access control policy, the process of using the printer or plotter for the process run in the personal area, and the policy for applying the watermark template to the personal area.
업무영역에서 프로그램을 구동할 경우, 인터넷 접속은 불가하고 인트라넷만 접속되도록 하는 PC 방화벽 정책, 개인영역으로 지정된 폴더(파일 저장소)는 읽기만 가능하고, 개인영역으로 지정된 hf더 이외 업무영역 폴더에 읽기/쓰기가 가능하도록 하는 파일시스템내 폴더 접근제어 정책, 업무영역에서 구동된 프로세스의 메모리에서 개인영역에서 구동한 프로세스의 메모리로의 이동은 불가, 동일 업무영역내 프로세스의 메모리로의 이동을 가능하게 하는 메모리 접근제어 정책, 외부저장매체로부터 읽기만 가능하게 하는 저장매체 접근제어 정책, 업무영역에서 구동한 프로세스에 대해서 프린터 혹은 플로터를 통한 문서 인쇄 가능 여부 및 업무영역에 대한 워터마크 템플릿 적용에 대한 정책을 사용하는 단계로 이루어진다.When running the program in the work area, the PC firewall policy that does not allow internet access and only intranet access, the folder designated as the personal area (file storage) can only be read, and the work area folder other than the hf designated as the personal area can be read / The folder access control policy in the file system to enable writing, and from the memory of the process driven in the work area to the memory of the process driven in the private area is not possible, it is possible to move to the memory of the process in the same work area. Uses a memory access control policy, a storage medium access control policy that only allows reading from an external storage medium, the ability to print documents through a printer or plotter for processes driven in the work area, and the application of watermark templates to the work area. It consists of steps.
이는, 실행되는 모든 프로그램에 대하여 일률적인 보안정책이 적용되어 프로그램 사용시 보안문제 때문에 많은 제한이 있던 것을 각각의 프로그램의 동작 목적에 따라 프로세스를 제어하여 각각의 프로그램에 맞는 보안정책을 적용함으로써 프로그램의 활용 범위를 넓힐 수 있는 효과와 일률적인 보안정책 적용으로 완벽하지 않은 보안체계를 프로세스 제어를 통하여 완벽히 함으로써 보안을 강화하는 효과가 있다. This is because the uniform security policy is applied to all programs to be executed, and there are many limitations due to security problems when using the program. Therefore, the program is controlled by applying the security policy to each program by controlling the process according to the operation purpose of each program. It is effective in strengthening security by perfecting incomplete security system through process control by broadening the scope and applying uniform security policy.
상술한 실시 예는 본 발명의 가장 바람직한 예에 대하여 설명한 것이지만, 상기 실시 예에만 한정되는 것은 아니며, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양한 변형이 가능하다는 것은 당업자에게 있어서 명백한 것이다.Although the above-described embodiments have been described with respect to the most preferred embodiments of the present invention, it is not limited to the above embodiments, and it will be apparent to those skilled in the art that various modifications can be made without departing from the technical spirit of the present invention.
도 1은 본 발명인 개인 전산기 네트워크 및 하드디스크 가상 분리를 통한 보안 시스템에 대한 개략적 원리를 나타낸 구성도, 1 is a block diagram showing a schematic principle of a security system through the inventors personal computer network and hard disk virtual separation,
도 2은 본 발명인 개인 전산기 네트워크 및 하드디스크 가상 분리를 통한 보안 시스템 구성을 나타낸 구성도, Figure 2 is a block diagram showing the configuration of a security system through the present inventors personal computer network and hard disk virtual separation,
도 3는 본 발명인 개인 전산기 네트워크 및 하드디스크 가상 분리를 통한 보안 시스템의 동작을 나타낸 플로어차트,Figure 3 is a floor chart showing the operation of the security system through the inventors personal computer network and hard disk virtual separation,
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080089833A KR100990269B1 (en) | 2008-09-11 | 2008-09-11 | Secure infrastructure by the virtual separation of personal devicepersonal computer network and hard drive |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080089833A KR100990269B1 (en) | 2008-09-11 | 2008-09-11 | Secure infrastructure by the virtual separation of personal devicepersonal computer network and hard drive |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100030875A true KR20100030875A (en) | 2010-03-19 |
KR100990269B1 KR100990269B1 (en) | 2010-10-26 |
Family
ID=42180697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080089833A KR100990269B1 (en) | 2008-09-11 | 2008-09-11 | Secure infrastructure by the virtual separation of personal devicepersonal computer network and hard drive |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100990269B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012161526A1 (en) * | 2011-05-26 | 2012-11-29 | Ahnlab, Inc. | Computing apparatus and automatic connection switching method of the computing apparatus |
WO2013052377A2 (en) * | 2011-09-29 | 2013-04-11 | Unisys Corporation | Secure integrated cyberspace security and situational awareness system |
KR101373542B1 (en) * | 2012-08-06 | 2014-03-12 | (주)소만사 | System for Privacy Protection which uses Logical Network Division Method based on Virtualization |
KR101429131B1 (en) * | 2013-06-12 | 2014-08-11 | 소프트캠프(주) | Device and method for securing system |
KR102093767B1 (en) * | 2019-11-20 | 2020-03-26 | 양승우 | Operating method of nac security system |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101290203B1 (en) | 2012-05-07 | 2013-07-31 | 주식회사 파수닷컴 | Apparatus and method for securing a printing |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030085650A (en) * | 2002-04-29 | 2003-11-07 | 이준엽 | The way of providing internal information under the protected security system from external access |
KR20030090568A (en) * | 2003-11-07 | 2003-11-28 | 이동범 | System for protecting computer resource and method thereof |
-
2008
- 2008-09-11 KR KR1020080089833A patent/KR100990269B1/en not_active IP Right Cessation
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012161526A1 (en) * | 2011-05-26 | 2012-11-29 | Ahnlab, Inc. | Computing apparatus and automatic connection switching method of the computing apparatus |
KR101277620B1 (en) * | 2011-05-26 | 2013-07-30 | 주식회사 안랩 | Computing apparatus and automatic connection switching method of the computing apparatus |
WO2013052377A2 (en) * | 2011-09-29 | 2013-04-11 | Unisys Corporation | Secure integrated cyberspace security and situational awareness system |
WO2013052377A3 (en) * | 2011-09-29 | 2013-06-20 | Unisys Corporation | Secure integrated cyberspace security and situational awareness system |
KR101373542B1 (en) * | 2012-08-06 | 2014-03-12 | (주)소만사 | System for Privacy Protection which uses Logical Network Division Method based on Virtualization |
KR101429131B1 (en) * | 2013-06-12 | 2014-08-11 | 소프트캠프(주) | Device and method for securing system |
WO2014200201A1 (en) * | 2013-06-12 | 2014-12-18 | 소프트캠프(주) | File security management apparatus and management method for system protection |
CN105453104A (en) * | 2013-06-12 | 2016-03-30 | 软件营地株式会社 | File security management apparatus and management method for system protection |
US9967263B2 (en) | 2013-06-12 | 2018-05-08 | Softcamp Co., Ltd. | File security management apparatus and management method for system protection |
CN105453104B (en) * | 2013-06-12 | 2018-10-09 | 软件营地株式会社 | System protection file security control device and management method |
KR102093767B1 (en) * | 2019-11-20 | 2020-03-26 | 양승우 | Operating method of nac security system |
Also Published As
Publication number | Publication date |
---|---|
KR100990269B1 (en) | 2010-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100990269B1 (en) | Secure infrastructure by the virtual separation of personal devicepersonal computer network and hard drive | |
EP2569693B1 (en) | Methods and systems for forcing an application to store data in a secure storage location | |
JP4787263B2 (en) | Data management method for computer, program, and recording medium | |
US8924703B2 (en) | Secure virtualization environment bootable from an external media device | |
EP1946238B1 (en) | Operating system independent data management | |
JP3927376B2 (en) | Data export prohibition program | |
CA2623141A1 (en) | Content cryptographic firewall system | |
US20080172720A1 (en) | Administering Access Permissions for Computer Resources | |
CN103279720B (en) | The monitoring of a kind of USB printer secure print and auditing system | |
KR101552950B1 (en) | direct access management system for a server and network device | |
CN100419620C (en) | Method for command interaction and two-way data transmission on USB mass storage equipment by program and USB mass storage equipment | |
KR20140129712A (en) | System for secreting information security of printed documents in cloud computing environment and method thereof | |
CN109063499B (en) | Flexible configurable electronic file region authorization method and system | |
WO2008001823A1 (en) | Computer data management method, program, and recording medium | |
US7150041B2 (en) | Disk management interface | |
KR100948812B1 (en) | The management system and management method of a secure area | |
US20080077423A1 (en) | Systems, methods, and media for providing rights protected electronic records | |
JP4873422B2 (en) | Information processing system, information processing apparatus, control method thereof, and program | |
WO2009122623A1 (en) | Information processing device | |
KR101103313B1 (en) | medium control method in virtual machine environment | |
TWI423061B (en) | System and method for monitoring print jobs | |
JP2017084141A (en) | Electronic data management method, management program, and recording medium for program | |
JP4908367B2 (en) | Information processing device | |
KR100975989B1 (en) | Print out controller based on process control by the purpose of program operating | |
KR20140140876A (en) | Central electronic document management system based on cloud computing with capabilities of management and control of personal information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20131015 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150930 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160928 Year of fee payment: 7 |
|
LAPS | Lapse due to unpaid annual fee |