KR20100058693A - 인증서 기반의 데이터베이스 통합 보안시스템 구축방법 - Google Patents

인증서 기반의 데이터베이스 통합 보안시스템 구축방법 Download PDF

Info

Publication number
KR20100058693A
KR20100058693A KR1020080117159A KR20080117159A KR20100058693A KR 20100058693 A KR20100058693 A KR 20100058693A KR 1020080117159 A KR1020080117159 A KR 1020080117159A KR 20080117159 A KR20080117159 A KR 20080117159A KR 20100058693 A KR20100058693 A KR 20100058693A
Authority
KR
South Korea
Prior art keywords
database
information
access
account
authentication
Prior art date
Application number
KR1020080117159A
Other languages
English (en)
Other versions
KR101025029B1 (ko
Inventor
이성경
이한나
Original Assignee
이성경
이한나
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이성경, 이한나 filed Critical 이성경
Priority to KR1020080117159A priority Critical patent/KR101025029B1/ko
Publication of KR20100058693A publication Critical patent/KR20100058693A/ko
Application granted granted Critical
Publication of KR101025029B1 publication Critical patent/KR101025029B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 데이터베이스에 저장된 정보의 임의적이고 불법적인 사용을 방지하기 위한 인증서 기반의 데이터베이스 통합 보안시스템 구축방법으로 권한관리, 접근제어, 시스템 계정관리, 단일사용자인증(Single Sign On, SSO), 사용이력기록, 감사, 권한관리 저장소 구성 및 운영 방법과 데이터베이스 관리시스템(DataBase Mangement System, DBMS) 관리도구 및 리포트 작성도구 등과 같이 직접적으로 정보의 접근이 가능한 도구의 접근제어 방법, 통합보안관리체계(Enterprise Security Management, ESM)와 연계한 해킹 징후 예고 및 분석 기능 구축 방법에 관한 것이다.
정보보호, 데이터베이스, 데이터베이스 관리시스템(DBMS), 인증, DB계정보호, 3rd Party Application, 정보감사로그, 통합보안관리체계(ESM), 단일사용자인증(SSO)

Description

인증서 기반의 데이터베이스 통합 보안시스템 구축방법{Implementation method for integration database security system using electronic authentication}
본 발명은 응용프로그램의 데이터 저장소로 이용되는 데이터베이스에 대해 인증키 기반 접근 제한, 응용 프로그램의 접근 및 실행 권한 관리체계 구축 및 데이터베이스 사용 이력을 통한 사후 정보 감사 로그관리 구축 방안에 관한 것이다.
일반적으로 데이터베이스는 여러 사람에 의해 공유되어 사용될 목적으로 통합 관리되는 정보의 집합을 말한다.
데이터베이스를 구축하기 위해서는 데이터베이스관리시스템(DataBase Management System, DBMS)에 정보를 저장할 볼륨을 생성하고, 생성한 볼륨에 대해 응용S/W들이 접근하여 정보를 활용할 수 있는 데이터베이스 계정정보를 생성한다. 데이터베이스 계정정보는 일반적으로 계정정보(Id)와 비밀번호(Password)로 구성되며, 유일한 데이터베이스의 접근 수단이 되어 응용S/W가 데이터베이스를 활용하기 위해서는 필수적이다. 데이터베이스 사용자는 직간접적으로 접근하여 데이터를 기록하고 조회를 한다. 이런 과정을 통해 기록된 정보의 인증 권한에 대한 현존하는 데이터베이스 보안 방법은 데이터베이스와 데이터베이스를 조작하는 내외적 자원들에 대한 인증 권한 체계가 각각 개별적으로 관리하는 방식으로 보안 관리 요소의 누락 등의 관리 허점이 발생되어 정보의 유출이 발생될 수 있으며, 데이터베이스로 접근하기 위한 유일한 인증수단인 계정정보와 비밀번호가 외부로 노출 될 수 있는 위험 요소가 있어 관리자를 통한 비밀번호의 주기적 변경을 통해 이러한 위험요소를 극복하려 하였으나, 다양한 시스템에 적용함에 있어 환경적 요소 등으로 현실적 반영의 어려움 및 계정 정보와 비밀번호의 노출로 인한 보안의 문제점을 가지고 있었다.
데이터베이스의 접근 계정은 특정 사용자의 계정이 아닌 데이터베이스 시스템을 이용하는 그룹의 사용자 계정으로서, 정보를 유출시킨 이력은 데이터베이스의 이력을 통해 확인은 되지만 감사 정보로는 부족함이 있다.
또한, 데이터베이스 보안관제에 있어서도 통합보안관리체계(Enterprise Security Management, ESM)와 연계하여 해킹 징후를 예고하거나 분석하는 시스템은 현재는 부재한 실정이다.
이에 본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로, 본 발명의 목적은 보안 대상 시스템의 데이터베이스 및 이를 사용하는 내외적 자원들을 식별하고 응용 프로그램의 접근 및 실행 등의 권한 관리를 체계적으로 구축하기 위한 방법을 제공하는데 있다.
식별된 보안 대상 데이터베이스 시스템 또는 이를 사용하는 자원 들을 역할 또는 그룹기반으로 사용자를 그룹화해서 인증 및 권한을 부여하여 인가된 그룹 또는 역할만이 데이터베이스 및 이를 사용하는 내외적 자원의 접근 및 이용을 인가하는 방식이다.
기존의 데이터베이스의 접근 보안 방법의 데이터베이스의 접근 제한과 데이터베이스를 조작하는 내외적 자원들의 계정 및 권한을 각각 관리함에 따라 관리 소홀 및 다양한 환경적 요소로 정보가 유출되었으나, 본 발명은 데이터베이스의 접근과 데이터베이스를 조작하는 내외적 자원정보의 인허가 정보를 통합 관리함으로 효과적인 인증, 권한 체계를 구축하여 정보가 유출되는 보안허점을 미연에 방지하여 보안을 강화하는 것이다.
데이터베이스의 계정 정보의 주기적 변경을 연관 시스템 및 사용자가 인지하여 변경하지 않아도 자동으로 변경된 정보를 통해 데이터베이스에 접근하여 계정 정보를 은폐하여 사용자들로부터 안전하게 데이터베이스를 보호하는 접근 보안 방법에 관한 것이다.
WEB Application Server를 통해 데이터베이스에 접근하는 방식, 3rd Party 제품 등을 통해 데이터베이스에 접근하는 방식은 인증서 기반으로 인증된 사용자 또는 시스템만이 데이터베이스에 접근하여 자원을 사용하며 입력/수정/삭제/조회 등의 질의에 대한 사후 감사 방법을 제공하는 것이다.
또한, 수집된 감사로그를 이용하여 통합보안관리체계(ESM)와 연계한 해킹 징후 예고 및 분석기능 제공 방법에 관한 것이다.
본 발명은 도 1에 도시한 바와 같이 Web Application Server를 이용한 데이터베이스 사용 시 접근 인증 및 권한 인증 구성, 3rd Party Application을 이용한 데이터베이스 사용 시 접근 인증 및 권한 인증 구성, 사후감사정보를 위한 데이터베이스를 사용 이력 관리, 역할/자원 기반의 권한 관리, 계정정보의 은닉을 위한 저장소 구성 및 수시 계정/비밀번호 변경, 수집된 데이터베이스 사용이력을 통합보안관제시스템(ESM)과의 연계 방안 그리고 단일 통합 인증 구축 방안에 대한 전체 구성 개념도이다.
도 2는 일반적 데이터베이스에 인증 절차를 도식화한 것으로 웹 어플리케이션 서버에서 데이터베이스 접근 인증에 관한 개념도이다. 웹 어플리케이션 서버란, 웹 서버로부터 사용자의 요청 중 동적 정보의 처리 및 정보 처리에 필요한 자원을 관리하며, 대량 요청에 대한 부하 분산 등의 역할을 하는 논리적 서버이다. 웹 어플리케이션 서버는 데이터베이스와 연결을 위해 계정 정보를 환경 설정 파일에 기록하고, 웹 어플리케이션 서버 기동 시(10) 운영자가 등록한 환경설정 파일(20)에 기록된 데이터베이스 계정 정보를 통해 데이터베이스에 접근 인증을 시도한다. 이때, 등록된 데이터베이스 계정정보는 웹 어플리케이션 서버의 환경 설정 파일로 확인 가능함으로 보안에 취약하다. 도 3의 프로세스 상태 흐름도를 통해 자세히 설명한다면, ST1∼ST2 구간은 웹 어플리케이션 서버에서 사전에 운영자에 의해 등록된 데이터베이스 계정정보와 비밀번호를 통한 데이터베이스 인증 처리 구간이다. 이 구간에서 데이터베이스는 요청한 계정의 비밀번호가 일치여부를 확인 후 일치 시에 만 연결을 허락한다. 이 때 데이터베이스 연결정보를 웹 어플리케이션 서버에게 반환하며 웹 어플리케이션 서버는 이를 관리한다. ST3∼ST6의 처리 구간은 일반적인 응용프로그램에서 웹 어플리케이션의 데이터베이스 연결 정보를 통해 데이터의 입력,조회,삭제,변경 처리한다. 이와 같이 중요한 데이터베이스의 계정/비밀번호 정보는 환경 설정 파일로 쉽게 확인 가능함으로 보안에 취약하며, 웹 어플리케이션의 데이터베이스 연결 정보를 이용 가능하다면 데이터베이스내의 모든 자원은 쉽게 수정, 변경이 가능한 문제점이 있다. 본 발명은 취약점을 해결하기 위해 데이터베이스 계정 정보가 노출되지 않도록 암호화하여 저장소에 보관하고, 데이터베이스의 비밀번호를 주기적으로 갱신하며 모든 자원에 대한 권한 인증을 통해 안전한 데이터베이스 접근제어 방법을 제공한다.
상기의 목적을 달성하기 위해, 도 4와 도 5를 참고하여 설명한다. 도 4는 데이터베이스의 계정/비밀번호를 은폐, 주기적 변경 및 웹 어플리케이션을 통한 데이터베이스 자원에 대한 권한 인증에 대한 개념도이다. 운영자는 데이터베이스와 연결을 위해 계정/비밀번호 정보를 환경 설정 파일에 기록 없이 암호화하여 저장소에 은닉한다(30). 웹 어플리케이션 서버 기동 시, 서버 인증서를 통해 저장소의 인증 처리를 하며, 인증된 시스템의 경우에만 데이터베이스의 계정/비밀번호를 반환한다. 또한, 인증서 기반의 보안 어댑터(40)를 이용 주기적으로 데이터베이스의 계정/비밀번호를 변경(50)하며, 웹 어플리케이션을 통한 데이터베이스 접근 자원(응용프로그램 등)에 대한 권한 인증을 관리(60)하여 데이터베이스 자원을 보호한다.
도 5는, 프로세스 흐름도로서 ST1∼ST4의 구간은 인증서를 통해 저장소의 인 증처리부터 웹 어플리케이션 서버가 데이터베이스 연결 정보를 획득하는 과정까지의 프로세스 흐름 이다. ST5∼ ST10은 웹 어플리케이션의 데이터베이스 연결 정보 자원을 이용한 응용프로그램에서 데이터 입력/조회/삭제/변경의 절차에 대한 프로세스 흐름도로서, ST6∼ST7과 같이 웹 어플리케이션 자원에 대한 권한인증을 통해 데이터베이스의 자원을 보호하는 것을 특징으로 한다.
본 발명은 보안 대상 데이터베이스 시스템 뿐 아닌 데이터베이스를 조작하는 응용프로그램의 권한 관리도 함께 포함한다. 데이터베이스는 독립적으로 데이터를 저장, 편집 및 조회 가능하지만 대부분의 시스템은 응용프로그램과 함께 운영됨에 따라 데이터베이스와 함께 운영되는 응용프로그램의 접근 및 실행 권한과 데이터베이스 내의 자원에 대한 접근 및 실행을 통합하여 관리한다. 데이터베이스의 외적 자원은 데이터베이스를 입력/수정/삭제/조회 등을 처리하는 데이터 조작언어(Data Manipulation Language, DML)를 호출하는 응용프로그램 등이며, 데이터베이스 내적 자원은 데이터를 논리적으로 저장 보관 할 수 있는 테이블과 저장된 데이터를 운영 할 수 있는 Function 및 Procedure 등의 자원을 말한다. 테이블이란, 정보를 논리적으로 저장하기 위한 집합체를 의미하며, Function과 Procedure는 정보를 가공하는 기능적 자원을 의미한다. 이러한 자원을 대상 데이터베이스 시스템 및 데이터베이스를 조작하는 내외적 자원으로 식별 분류 그룹화(110) 하고, 사용자들을 역할 목적별로 그룹화(120) 후 식별된 분류 자원을 그룹에 권한 승인(130) 후 사용자의 요청 시 권한이 부여된 자원만을 실행 처리한다. 또한, 기존의 권한 인증 보안 시스템에서 데이터베이스 시스템내의 사용 권한과 데이터베이스를 조작하는 내외적 자원들의 사용 권한을 각각 개별적으로 관리(140)하여 운영의 불편함과 관리 항목이 중복 또는 누락되는 현상을 본 발명을 통해 통합 관리(150)하여 기존의 문제점을 개선함을 특징으로 한다.
일반적으로 데이터베이스내의 데이터 유출 사고의 대부분이 운영자 관리 도구인 3rd Party Application을 통한 경우가 많음에 따라 본 발명은 3rd Party Application의 데이터베이스 접근 제한 방법을 도 7∼도 10을 통해 설명한다. 도 7은, 현재 3rd Party Application의 사용자 인증 및 권한 인증의 개념도이다. 사용자는 사전에 데이터베이스 계정 정보를 사용자 PC내에 저장 보관한다. 사용자가 3rd Party Application 실행 시, 사전에 등록된 데이터베이스 계정정보(200)와 비밀번호를 입력 후 데이터베이스에게 데이터베이스 연결 정보를 요청(210)한다. 데이터베이스는 요청한 계정/비밀번호 일치여부 확인 후 일치 시 데이터베이스 연결 정보를 반환(220)한다. 3rd Party Application을 통해 사용자는 별도의 권한 확인 없이 할당된 데이터베이스 시스템 내의 모든 자원에 대해 데이터의 입력/조회/삭제/변경 등의 작업이 처리가능하다. 도 8의 ST1∼ST4의 구간은 데이터베이스 인증 절차로 사전에 등록된 계정 정보와 입력한 비밀번호를 통한 인증 프로세스 흐름도이다. ST5∼ST6은 이후 3rd Party Application을 통한 데이터의 입력/조회/삭제/변경의 프로세스 흐름이다. 이처럼 데이터베이스의 인증은 사용자 개개인의 연결 계정 정보가 아닌 시스템 그룹단위의 계정 정보이므로 해당 계정에 대한 접근 제한 및 권한 제어에 보안에 문제점이 있다. 물론 데이터베이스 내의 접근 인증 및 권한 인증을 이용하여 제어가 가능하지만 사용자에게는 관리상의 어려움으로 인해 실제 운영에서는 단위 시스템의 계정정보에 대부분의 권한을 부여하는 문제점이 있다. 또한, 데이터베이스 연결 이 후 자원에 대한 권한 제어가 부재하여 모든 자원을 이용할 수 있는 문제점도 보안의 문제점이다. 상기의 문제점을 도 9를 통해 설명 해결 할 수 있다. 도 9에서는 사용자가 3rd Party Application 실행 시, 인증서를 통한 접근 인증 요청 처리가 발생(300)하며, 사용자가 개별 인증서와 비밀번호를 통해 데이터베이스의 접근 인증 처리를 한다. 본 발명의 인증서 기반 데이터베이스 통합 보안 시스템의 스니핑 어댑터(310)를 통해 패킷 스니핑하여 요청한 자원의 접근 허락된 사용자의 권한을 확인(320)하며, 데이터베이스내의 자원의 접근/실행 여부를 제어한다. 패킷 스니핑 이란 네트워크 트래픽을 수집/분석하는 과정을 패킷 스니핑 이라고 한다. 도 10의 ST1∼ST5 구간은 3rd Party Application에서 데이터베이스로 연결 과정에 대한 프로세스 흐름도이다. ST1에서 인증서를 통한 사용자 인증 실패 시 데이터베이스의 올바른 계정/비밀번호 정보로 인증 시에도 접근이 불가능하다. ST6∼ST9 구간은 3rd Party Application 을 통해 데이터의 입력/조회/삭제/변경 처리 흐름으로 개별 처리 시마다 ST7에서는 권한 확인을 하며, 권한이 없을 경우 차단하고, ST8에서 사용 이력을 남겨 데이터베이스내의 모든 자원에 대한 권한 인증함을 특징으로 한다.
사후감사정보에 대한 관리 및 데이터 유출, 해킹 징후 예고를 위한 통합보안관리체계(ESM)와의 연계 방법을 도 11을 통해 설명한다. 인가된 사용자 및 시스템에서 데이터베이스에 접근하여 처리한 이력을 저장소에 기록하고 사후 감사로그로 사용자 또는 시스템의 IP, MAC 등의 한 가지 이상의 정보 및 수행 이력정보, 수행 처리시간정보, 수행결과, 처리요청시각정보, 데이터베이스접근 방법 등에 관한 항목을 관리(400)하여 정보의 유출에 대한 사후 감사정보를 제공한다. 사후 감사 정보를 통합 보안 관제 할 수 있도록 통합보안관리체계(ESM)의 연동(410) 한다. 통합보안관리체계(ESM)는 방화벽, 침입탐지 시스템 등의 보안 솔루션의 통합 시스템으로 데이터베이스의 접근, 실행에 관한 데이터베이스 접근 사후 감사 정보를 통합보안관리체계(ESM)와 상호 연관 분석을 위한 연동 방법을 포함함을 특징으로 한다.
여러 유관기관 및 타 시스템과의 접근·권한 인증에 대한 통합 인증기능을 제공한다. 기존 단일 사용자 인증시스템(SSO)을 통한 인증 프로세스는 유관 기간 사이의 사용 계정을 매핑하기 위한 절차적 어려움과 인증 및 권한 통합을 위해 각 기관의 인증ㅇ권한 정보의 통합이 불가피하다. 이로 인한 인증 및 권한 정보의 중복 관리와 통합된 정보의 보안에 문제가 있다. 이런 문제점을 해결하고자 제시된 계정정보의 유일성, 권한 및 인증 통합 용이성, 사후감사 등의 특징을 이용하여 단일 인증 시스템의 구현이 용이함을 특징으로 한다.
본 발명에 따른 효과로 데이터베이스 접근 권한 및 데이터베이스를 이용하는 데이터베이스 내외적 자원들의 인증 및 권한을 통합 관리함에 따라 보안 관리 요소의 중복, 누락을 방지하며, 3rd party Application 을 통한 데이터베이스의 접근과 Web Application Server 등을 통하여 접근하는 위임 접근에 있어 인증서를 기반으로 하는 인증 방식으로 부인방지 및 데이터베이스의 비밀번호 정보를 은폐하고, 비밀번호 정보를 주기적으로 자동변경하고 사용자 및 시스템에서 변경된 비밀번호를 즉시 자동 갱신하여 계정정보에 대한 기밀성 및 관리자의 편리성이 강화되며, IP, MAC, DN, SQL, 처리결과 등의 다양한 로그를 통해 상세한 사후 감사정보를 확인할 수 있는 효과를 얻을 수 있다.
데이터베이스 사용자는 직간접적으로 접근하여 데이터를 기록하고 조회를 한다. 이런 과정을 통해 기록된 정보의 인증 권한에 대한 현존하는 데이터베이스 보안 방법은 데이터베이스와 데이터베이스를 조작하는 내외적 자원들에 대한 인증권한 체계가 각각 개별적으로 관리하는 방식으로 보안 관리 요소의 누락 등의 관리 허점이 발생 되어 정보의 유출이 발생 될 수 있으며, 데이터베이스로 접근하기 위한 유일한 인증수단인 계정정보와 비밀번호가 외부로 노출될 수 있는 위험 요소가 있어 관리자를 통한 비밀번호의 주기적 변경을 통해 이러한 위험요소를 극복하려 하였으나, 다양한 시스템의 적용함에 있어 환경적 요소 등으로 현실적 반영의 어려움 및 계정 정보와 비밀번호의 노출로 인한 보안의 문제점을 가지고 있었다.
데이터베이스의 접근 계정은 특정 사용자의 계정이 아닌 데이터베이스 시스템을 이용하는 그룹의 사용자 계정으로서, 정보를 유출 시킨 이력은 데이터베이스의 이력을 통해 확인은 되지만 감사 정보로는 부족함이 있다.
또한, 데이터베이스 보안 관제에 있어서도 통합보안관리체계(ESM)와 연계하여 해킹 징후를 예고하거나 분석하는 시스템은 현재는 부재한 실정이다.
도 1은 본 발명의 일 실시예에 의한 인증서 기반의 데이터베이스 통합 보안시스템 구축방법을 전체적으로 도식화한 개념도이다.
도 2는 일반적 응용S/W DB계정을 가지고 정보 데이터베이스에 인증 절차를 도식화한 개념도이다.
도 3는 도 2의 인증 절차를 도식화한 흐름도이다.
도 4는 본 발명의 일 실시 예에 의한 데이터베이스의 계정/비밀번호를 은폐, 주기적 변경 및 웹 어플리케이션을 통한 데이터베이스 자원에 대한 권한 인증에 대한 개념도이다.
도 5는 도 4의 권한 인증 절차를 도식화한 흐름도이다.
도 6은 일 실시예에 의한 종래의 권한 인증 보안 시스템에서 데이터베이스 시스템내의 사용 권한과 데이터베이스를 조작하는 내외적 자원들의 사용 권한을 각각 개별적으로 관리하여 운영의 불편함과 관리 항목이 중복 또는 누락되는 현상을 본 발명을 통해 통합 관리하여 기존의 문제점을 개선한 개념도이다.
도 7은 종래의 3rd Party Application의 사용자 인증 및 권한 인증 부분의 개념도이다.
도 8은 일 실시예에 의한 종래의 사전에 등록된 계정 정보와 입력한 비밀번호를 통한 데이터베이스 인증 절차 프로세스 흐름도이다.
도 9는 본 발명의 일 실시예에 의한 사용자가 3rd Party Application 운영 시 사용자가 개별 인증서와 비밀번호를 통해 데이터베이스의 접근을 허용하는 인증 처리하는 개념도이다.
도 10은 도 9에 의한 사용자가 3rd Party Application에서 데이터베이스로 연결 과정에 대한 프로세스 흐름도이다.
도 11은 사후감사정보에 대한 관리 및 데이터 유출, 해킹 징후 예고를 위한 통합보안관리체계(ESM)와의 연계 방법의 개념도이다.
<도면의 주요 부분에 대한 부호의 설명>
10 : 웹 어플리케이션 서버
20 : 데이터베이스 연결정보 요청 및 반환
30 : 계정/비밀번호 및 권한 저장소
40 : 인증서 기반의 보안 어댑터
50: 주기적 데이터베이스 비밀번호 변경
60 : 패킷 스니핑을 통한 권한 인증 처리
110 : 응용프로그램자원, 데이터베이스 자원들 과 자원그룹
120 : 사용자들과 역할 그룹
130 : 역할과 자원의 연결
140 : 개별 인증/권한 관리
150 : 통합 인증/권한 관리
200 : 사용자 PC의 3rd Party Application 환경설정 정보
210 : 3rd Party Application을 통한 데이터베이스 연결 정보 요청
220 : 3rd Party Application에 데이터베이스 연결 정보 반환
230 : 3rd Party Application을 이용한 데이터 입력ㅇ조회ㅇ삭제ㅇ변경
300 : 계정/비밀번호 및 권한정보 저장소
310 : 패킷 스니핑 어댑터
320 : 인증서 기반 통합 보안 시스템
400 : 감사로그(Audit Log)
410 : 통합 보안 관제 시스템(ESM)

Claims (7)

  1. 데이터베이스의 접근인증 권한과 데이터베이스를 이용하는 내외적 자원들의 접근제어 및 권한을 통합하여 관리하는 방법.
  2. 3rd Party Application을 통한 데이터베이스에 접근 시 인증서 기반으로 유효성을 확인하고, 접근 인가 여부를 확인 후 접근을 허용하는 방법.
  3. Web Application Server와 데이터베이스 시스템과의 접근 시 서버 인증서의 교환을 통해 인증서의 유효성 및 접근 인가 여부를 확인 후 접근을 허용하는 방법.
  4. 외부로부터 데이터베이스의 계정정보를 은폐하고, 주기적으로 암호를 자동 갱신하는 통합 계정 관리시스템 구축방법.
  5. 데이터베이스 시스템에 접근하여 처리한 수행 이력을 저장소에 기록하고 사후 정보감사로그 로서 사용자 또는 시스템의 IP, MAC, 수행 이력정보, 수행처리시간정보, 수행결과, 처리요청시각정보, 데이터베이스 접근 방법 등의 관리 항목의 모니터링 방법.
  6. 통합보안관리체계(Enterprise Security Management, ESM)와 연계한 해킹 징후 예고 및 분석 기능 제공방법.
  7. 계정정보의 유일성, 권한 및 인증 통합용이성, 사후감사 등의 특징을 이용한 단일 인증 시스템의 구현 방법.
KR1020080117159A 2008-11-25 2008-11-25 인증서 기반의 데이터베이스 통합 보안시스템 구축방법 KR101025029B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080117159A KR101025029B1 (ko) 2008-11-25 2008-11-25 인증서 기반의 데이터베이스 통합 보안시스템 구축방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080117159A KR101025029B1 (ko) 2008-11-25 2008-11-25 인증서 기반의 데이터베이스 통합 보안시스템 구축방법

Publications (2)

Publication Number Publication Date
KR20100058693A true KR20100058693A (ko) 2010-06-04
KR101025029B1 KR101025029B1 (ko) 2011-03-25

Family

ID=42360103

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080117159A KR101025029B1 (ko) 2008-11-25 2008-11-25 인증서 기반의 데이터베이스 통합 보안시스템 구축방법

Country Status (1)

Country Link
KR (1) KR101025029B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120000546A (ko) * 2011-08-31 2012-01-02 주식회사 위즈디엔에스코리아 데이터베이스 서버의 조작이력 생성 시스템 및 방법
CN112364336A (zh) * 2020-11-18 2021-02-12 深圳航天智慧城市系统技术研究院有限公司 数据库的统一权限管理方法、装置、设备和计算机可读存储介质

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101440751B1 (ko) 2014-02-13 2014-09-17 그루솔루션(주) Db 네트워크 프로토콜의 dml 암복호화 처리를 통한 db 암호화 장치 및 방법
KR102151746B1 (ko) * 2018-12-17 2020-09-03 (주)에스유지 블록체인 기반의 IoT플랫폼을 활용한 데이터 저장 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100657554B1 (ko) * 2003-07-15 2006-12-13 김용규 데이터베이스 접근 및 권한 관리 강화 방법
KR20050036528A (ko) * 2003-10-16 2005-04-20 (주)한인터네트웍스 통합기능을 갖는 차단 및 중계장치 및 이를 이용한보안정책 설정방법
KR20060044494A (ko) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120000546A (ko) * 2011-08-31 2012-01-02 주식회사 위즈디엔에스코리아 데이터베이스 서버의 조작이력 생성 시스템 및 방법
CN112364336A (zh) * 2020-11-18 2021-02-12 深圳航天智慧城市系统技术研究院有限公司 数据库的统一权限管理方法、装置、设备和计算机可读存储介质

Also Published As

Publication number Publication date
KR101025029B1 (ko) 2011-03-25

Similar Documents

Publication Publication Date Title
CN111600856B (zh) 数据中心运维的安全系统
US9049195B2 (en) Cross-domain security for data vault
US7831570B2 (en) Mandatory access control label security
CN103561034B (zh) 一种安全文件共享系统
US7814075B2 (en) Dynamic auditing
CN111064718B (zh) 一种基于用户上下文及策略的动态授权方法和系统
CN104166812A (zh) 一种基于独立授权的数据库安全访问控制方法
CN101588360A (zh) 内部网络安全管理的相关设备及方法
CN111107044A (zh) 数据安全管理方法和信息化管理平台
CN111510463B (zh) 异常行为识别系统
WO2002006948A1 (en) Method for protecting the privacy, security, and integrity of sensitive data
US11836243B2 (en) Centralized applications credentials management
CN110719298A (zh) 支持自定义更改特权账号密码的方法及装置
CN114157457A (zh) 一种网络数据信息安全用的权限申请及监控方法
KR101025029B1 (ko) 인증서 기반의 데이터베이스 통합 보안시스템 구축방법
CN109150853A (zh) 基于角色访问控制的入侵检测系统及方法
KR101158336B1 (ko) 개인정보 데이터베이스의 접근을 관리하는 가상공간 시스템 및 접근 관리 방법
US20050055556A1 (en) Policy enforcement
Ahmed et al. A Method for Eliciting Security Requirements from the Business Process Models.
US20230334140A1 (en) Management of applications’ access to data resources
CN105893376A (zh) 数据库访问监管方法
KR20120116270A (ko) 내부정보 부정 사용 차단 시스템 및 방법
Kadebu et al. A security requirements perspective towards a secured nosql database environment
Murthy et al. Database Forensics and Security Measures to Defend from Cyber Threats
US10997287B2 (en) Real-time monitoring and alerting for directory object update processing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140313

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160317

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170320

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee