KR20110110431A - 정보보안 장치 및 방법 - Google Patents
정보보안 장치 및 방법 Download PDFInfo
- Publication number
- KR20110110431A KR20110110431A KR1020100029739A KR20100029739A KR20110110431A KR 20110110431 A KR20110110431 A KR 20110110431A KR 1020100029739 A KR1020100029739 A KR 1020100029739A KR 20100029739 A KR20100029739 A KR 20100029739A KR 20110110431 A KR20110110431 A KR 20110110431A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- user
- security policy
- detection
- security
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
정보보안 장치 및 방법이 개시된다.
정보보안 장치는 관리대상 사용자를 탐지하기 위한 탐지 룰들을 정의하고, 탐지 룰들을 그룹화하여 심각도 등급을 분류 설정하며, 정보수집원들로부터 분석대상정보를 수집한 후, 수집된 분석대상정보를 기반으로 정보수집원들을 모니터링하여 탐지 룰들에 매칭되는 관리대상 사용자를 인식하고, 인식된 관리대상 사용자의 심각도 등급을 식별하여 등급에 맞는 정보유출 대응 프로세스를 수행할 수 있도록 한다.
이에 따르면, 이기종 간의 다양한 통합로그를 취합하여 유형별로 분류해 활용함으로써 보안정책 위반, 정보유출 징후 및 유출의심 행위 등을 보다 효과적이고 정확하게 탐지할 수 있다.
정보보안 장치는 관리대상 사용자를 탐지하기 위한 탐지 룰들을 정의하고, 탐지 룰들을 그룹화하여 심각도 등급을 분류 설정하며, 정보수집원들로부터 분석대상정보를 수집한 후, 수집된 분석대상정보를 기반으로 정보수집원들을 모니터링하여 탐지 룰들에 매칭되는 관리대상 사용자를 인식하고, 인식된 관리대상 사용자의 심각도 등급을 식별하여 등급에 맞는 정보유출 대응 프로세스를 수행할 수 있도록 한다.
이에 따르면, 이기종 간의 다양한 통합로그를 취합하여 유형별로 분류해 활용함으로써 보안정책 위반, 정보유출 징후 및 유출의심 행위 등을 보다 효과적이고 정확하게 탐지할 수 있다.
Description
본 발명은 정보보안 장치 및 방법에 관한 것으로, 더욱 상세하게는, 로그정보를 이용해 인가된 사용자들의 비정상적인 활동을 모니터링함으로써 내부망으로부터의 정보유출을 탐지하고, 방지대책을 도출할 수 있는 정보보안 장치 및 방법에 관한 것이다.
정보유출 탐지는 내부자에 의한 기업의 내부 핵심정보유출을 사전에 방지하기 위한 것으로, 정보유출 탐지를 목적으로 e-DRM(enterprise digital rights management), 매체제어 솔루션, 메일 모니터링 등의 다양한 기술이 제안되어 왔다. 여기서, 기업의 내부 핵심정보는 상당히 광범위한 개념으로 광의적으로 해석한다면 '기업 내에서 사용자에 의해 생성된 모든 정보'로 볼 수 있으며, 보다 소극적으로 해석한다면 '기업 내에서 사용자에 의해 생성된 정보 중 대외비급 이상의 성격을 포함하는 문서'라고 볼 수 있다.
그런데, 이러한 의미의 내부 핵심정보에 대하여, 단순히 PC(personal computer) 등의 사용자 단말 단에서의 정보 흐름을 통제하고 분석하는 매체제어 솔루션이나 e-DRM, 혹은 메일로 전송되는 데이터에 대해서만 정보유출을 방지하는 메일 모니터링과 같은 제품군을 통해서만 정보유출 탐지를 수행하기에는 어느 정도 한계가 있었다.
한편, 매체제어 솔루션 제품군, e-DRM 제품군, 메일 모니터링 제품군, 데이터베이스 모니터링 제품군 등 다양한 단위 보안제품의 로그를 통합하여, 통합로그를 정보유출 탐지에 이용하는 종래 기술이 존재한다. 그러나 해당 종래 기술은 통합로그에서 단순히 조건에 위반된 사항을 분석하여 제시함으로써 정보유출을 알리고, 재발 방지 조치를 이행하도록 한다. 이러한 기술은 정보유출 여부를 탐지하는 분석 방법이 얼마나 효과적이냐에 따라 성능이 매우 달라질 수 있으며, 원하는 수준의 성능을 달성하기에는 역부족인 실정이다.
또한, 종래의 통합로그 분석 방법은 대부분 시스템 로그를 수집하거나 또는 외부로부터 침입을 탐지하는 보안제품의 로그정보를 통합하여 분석하는 체계(ex. 방화벽, IDS, IPS, Secure OS 등)를 이루고 있다. 그러나, 이런 종류의 통합로그 분석 시스템은 내부 핵심정보에 대한 로그정보를 수집하여 분석하는 체계가 구축되어 있지 않다는 한계가 있다.
본 발명은 상술한 바와 같은 종래 기술의 문제점을 해결하기 위하여 제안된 것으로, 그 목적은 이기종 간의 다양한 통합로그를 취합하여 유형별로 분류해 활용함으로써 보안정책 위반, 정보유출 징후 및 유출의심 행위 등을 보다 효과적이고 정확하게 탐지할 수 있는 정보보안 장치 및 방법을 제공하는데 있다.
본 발명의 다른 목적은 사용자들의 비정상적인 활동을 통합 모니터링하고, 모니터링 결과 이상징후가 포착되거나 정보유출이 식별되면 관련된 증적자료를 수집하여 정확한 근거를 제시할 수 있는 정보보안 장치 및 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 모니터링 결과를 세분화하여 탐지 과정의 신뢰성을 높이고, 필요한 경우 컨텐츠 필터링 기술을 접목하여 등급별로 대응책을 차별화하고, 그로 인해 정보유출의 방지와 정상적인 보안정책의 준수를 효과적으로 유도할 수 있는 정보보안 장치 및 방법을 제공하는데 있다.
본 발명이 이루고자 하는 기술적 과제는 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 측면에 따른 정보보안 장치는 관리대상 사용자를 탐지하기 위한 탐지 룰들을 정의하고, 탐지 룰들을 그룹화하여 심각도 등급을 분류 설정하는 탐지기준 관리부; 정보수집원들로부터 분석대상정보를 수집하는 정보 수집부; 및 상기 정보 수집부에서 수집된 분석대상정보를 기반으로 상기 정보수집원들을 모니터링하여 상기 탐지 룰들에 매칭되는 관리대상 사용자를 인식하고, 상기 인식된 관리대상 사용자의 심각도 등급을 식별하는 정보보안 탐지 수행부를 포함한다.
본 발명의 다른 측면에 따른 정보보안 장치는 정보수집원들로부터 분석대상정보를 수집하는 정보 수집부; 보안정책에 따라 관리대상 사용자 및 관리유형을 탐지하기 위한 기준규칙들을 등록하는 보안정책 관리부; 모니터링 룰들을 정의하고, 상기 보안정책 관리부에 등록된 각 기준규칙별로 모니터링 룰을 상호 매핑하며, 정의된 모니터링 룰과 모니터링 룰에 매핑된 기준규칙에 의해 보안정책에 기반한 관리대상 사용자 및 관리유형을 탐지하는 보안정책 기반 모니터링 수행부; 및 상기 보안정책 기반 모니터링 수행부로부터 탐지결과를 제공받으며, 관리대상 사용자의 관리유형에 따라 사전 정의된 보안정책 대응 프로세스를 실행하고, 보안정책 대응 프로세스의 근거가 되는 증적자료를 확보하는 대응계획 수립부를 포함한다.
본 발명의 일 측면에 따른 정보보안 방법은 관리대상 사용자를 탐지하기 위한 탐지 룰들을 정의하고, 탐지 룰들을 그룹화하여 심각도 등급을 분류 설정하는 기준 설정 단계; 정보수집원들로부터 분석대상정보를 수집하는 정보 수집 단계; 및 상기 수집된 분석대상정보를 기반으로 상기 정보수집원들을 모니터링하여 상기 탐지 룰들에 매칭되는 관리대상 사용자를 인식하고, 상기 인식된 관리대상 사용자의 심각도 등급을 식별하는 탐지 단계를 포함한다.
본 발명의 다른 측면에 따른 정보보안 방법은 보안정책에 따라 관리대상 사용자 및 관리유형을 탐지하기 위한 기준규칙들을 등록하는 단계; 모니터링 룰들을 정의하고, 상기 기준규칙들에 대하여 각 기준규칙별로 모니터링 룰을 상호 매핑하는 단계; 정보수집원들로부터 분석대상정보를 수집하는 단계; 기 정의된 모니터링 룰을 기반으로 상기 수집된 분석대상정보를 이용한 정보수집원들의 모니터링을 수행하되, 모니터링 룰에 매핑된 기준규칙에 의해 보안정책을 위반한 관리대상 사용자 및 관리유형을 탐지하는 단계; 및 관리대상 사용자의 관리유형에 따라 사전 정의된 보안정책 대응 프로세스를 실행하고, 보안정책 대응 프로세스의 근거가 되는 증적자료를 확보하는 단계를 포함한다.
본 발명에 따르면, 이기종 간의 다양한 통합로그를 취합하여 유형별로 분류해 활용함으로써 보안정책 위반, 정보유출 징후 및 유출의심 행위 등을 보다 효과적이고 정확하게 탐지할 수 있다.
또한, 본 발명에 따르면, 사용자들의 비정상적인 활동을 통합 모니터링하고, 모니터링 결과 이상징후가 포착되거나 정보유출이 식별되면 관련된 증적자료를 수집하여 정확한 근거를 제시할 수 있다.
또한, 본 발명에 따르면, 모니터링 결과를 세분화하여 탐지 과정의 신뢰성을 높이고, 필요한 경우 컨텐츠 필터링 기술을 접목하여 등급별로 대응책을 차별화할 수 있으며, 그에 따라 정보유출의 방지 및 정상적인 보안정책의 준수를 효과적으로 유도할 수 있다.
도 1은 본 발명의 일 실시예에 따른 정보보안 장치를 포함한 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 따른 정보보안 방법의 흐름도이다.
도 3은 본 발명의 다른 실시예에 따른 정보보안 장치를 포함한 시스템의 구성도이다.
도 4는 본 발명의 다른 실시예에 따른 정보보안 방법의 흐름도이다.
도 2는 본 발명의 일 실시예에 따른 정보보안 방법의 흐름도이다.
도 3은 본 발명의 다른 실시예에 따른 정보보안 장치를 포함한 시스템의 구성도이다.
도 4는 본 발명의 다른 실시예에 따른 정보보안 방법의 흐름도이다.
이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 따른 정보보안 장치 및 방법에 대해서 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 정보보안 장치를 포함한 시스템의 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 정보보안 장치(200)는 정보 수집부(210), 정보 수집부(210), 탐지기준 관리부(220), 정보보안 탐지 수행부(230)를 포함하며, 실시형태에 따라 컨텐츠 분석 실행부(240) 및 탐지결과 연동부(250)를 추가적으로 포함할 수 있다.
정보수집원(100)은 단위 보안장비로서, 로그 수집대상(101)과 로그/컨텐츠 수집대상(102)이 모두 정보수집원(100)으로 활용될 수 있다.
로그 수집대상(101)을 예시하면, e-DRM 솔루션, 정책변경관리 시스템, 인사정보 시스템(내부사용자 인사정보관리 시스템), 유출감사 시스템, 고객정보 전송관리 시스템, 매체제어 솔루션, 이메일 모니터링 시스템, 네트워크 접근제어 시스템, VPN(virtual private network), 안티 바이러스 솔루션 등이 있다. 각각의 솔루션이나 시스템은 운용사나 제작사, 보안회사 등이 자체 개발한 제품군일 수도 있고, 공용화/표준화가 이루어진 제품군일 수도 있다.
예컨대, e-DRM 솔루션의 경우, e-DRM 솔루션 로그(사용자 e-DRM 솔루션 활용 로그), 관리자 e-DRM 솔루션 로그(관리자 권한수행 로그), 보안폴더 사용로그, e-DRM 솔루션 매체사용로그, 로그인정보 등을 제공한다. VPN 시스템의 경우에는, VPN 로그 등의 정보를, 안티 바이러스 솔루션은 바이러스 로그 등의 정보를 각각 제공한다.
암호화된 컨텐츠를 복호화시켜 유통시키는 관문의 경우 로그/컨텐츠 수집대상(102)이 될 수 있으며, 사외메일 발송 시스템, 보안문서관리 시스템, 보안운영관리 시스템 등이 여기에 해당한다.
예컨대, 사외메일 발송 시스템의 경우, 시스템구분, 파일아이디, 업로드사용자, 원본파일명, 원본파일크기, 원본파일경로, 업로드일자(로그일자), 발신자 메일아이디, 수신자 메일아이디, 발신자아이피 등 사외메일의 업로드이력과 관련한 로그정보, 업로드된 컨텐츠(컨텐츠 파일)를 데이터베이스 서버(300)로 등록하여 정보 수집부(210)로 제공할 수 있다.
정보 수집부(210)는 데이터베이스 서버(300)를 통해 연동 가능한 다양한 정보수집원(100)들로부터 분석대상정보를 수집한다. 전술한 정보 수집부(210)는 분석대상정보로서 기본적으로 로그정보를 수집하며, 필요에 따라 컨텐츠를 함께 수집하여 컨텐츠 분석 실행부(240)로 제공할 수 있다. 도 1의 정보보안 장치(200)는 외부로부터의 침입이 아닌 내부로부터의 정부유출 분석을 위한 것이다. 그러므로, 이러한 정보 수집부(210)는 인터넷을 통해 내부망으로 침입해 들어오는 인바운드 패킷(inbound packet)에 대한 감사로그가 아닌, 내부망에서 유출되는 이기종 간의 아웃바운드 패킷(outbound packet)에 관한 로그정보 및 컨텐츠를 수집대상으로 한다.
탐지기준 관리부(220)는 관리대상 사용자를 탐지하기 위한 탐지 룰들을 정의하고, 탐지 룰들을 그룹화하여 심각도 등급을 분류 설정한다. 전술한 탐지기준 관리부(220)는 정보 수집부(210)에서 수집된 이기종 간의 다양한 로그정보를 케이스별로 조합하여 정보유출 여부나 그 징후를 분석하기 위한 기준이 되는 탐지 룰들을 도출하고, 유형에 따라 각 탐지 룰이나 탐지 룰 집합의 심각도 등급을 정의할 수 있다.
탐지 룰들은 정보수집원(100)들 각각의 취약점을 우회할 수 있는 케이스와 비정상적인 활용을 탐지하는 케이스를 기반으로 정의될 수 있다. 심각도 등급은 탐지 룰의 유형에 따라 결정되는 것으로, 로그정보를 기반으로 정보유출 징후자, 정보유출 의심자, 보안정책 우회사용자, 보안정책 위반자, 보안정책 예외사용자를 탐지하기 위한 5개의 등급으로 나뉠 수 있다.
정보보안 탐지 수행부(230)는 정보 수집부(210)에서 수집된 분석대상정보를 기반으로 정보수집원(100)들을 모니터링하여 탐지 룰들에 매칭되는 관리대상 사용자를 인식하고, 인식된 관리대상 사용자의 심각도 등급을 식별한다.
다음의 표 1은 심각도 등급에 따른 탐지유형을 예시적으로 정의한 것이다.
| 탐지유형 | 정의 |
| 심각도 1 (정보유출 징후자) |
유출행위를 시도한 사용자 |
| 심각도 2 (정보유출 의심자) |
언제라도 유출행위가 가능한 상태에 있는 사용자 |
| 심각도 3 (보안정책 우회사용자) |
보안정책 우회를 시도한 사용자 |
| 심각도 4 (보안정책 위반자) |
사규를 위반한 사용자 |
| 심각도 5 (보안정책 예외사용자) |
사내 보안정책이 적용되지 않는 사용자 |
심각도 1(정보유출 징후자)는 정보유출이 가능한 범위에 있는 사용자를 정의하는 것으로서, '고객정보 및 내부 핵심정보를 포함한 정보자산을 외부로 전송'하는 것과 같이 유출행위를 시도한 사용자의 심각도 등급이다. 해당 사용자의 경우, 후속적으로 관련 컨텐츠 분석을 진행하여 집중적인 모니터링을 수행할 수 있으며, 심각도 등급 분류 과정은 집중 모니터링에 대한 타당성을 확보하여 유관증적 확보 및 상세분석의 진행을 위한 근거를 제공한다.
심각도 2(정보유출 의심자)는 '정보자산을 복호화한 상태로 보유'하는 것과 같이 언제라도 유출행위를 할 수 있는 상태에 있는 사용자의 심각도 등급으로서, 보안정책의 우회시도를 탐지하며, 유출의심 행위를 모니터링하고, 관련 우회경로에 대한 추가적인 보안 대책을 수립하기 위한 근거를 제공한다.
심각도 3(보안정책 우회사용자)는 '우회 가능한 소프트웨어를 설치'하는 것과 같이 사내 보안정책 우회시도 행위를 하는 사용자의 심각도 등급으로서, 보안정책을 우회하는 사용자를 탐지하며, 의도적으로 보안정책 무력화를 시도하는 사용자를 탐지함으로써 재발방지 활동(사규강화 등)을 진행할 수 있는 근거를 제공한다.
심각도 4(보안정책 위반자)는 탐지 룰과 사규(회사정책)의 매핑에 기반하여 탐지된 보안정책 위배 사용자의 심각도 등급으로서, 정보유출 징후나 정보유출자를 탐지하기보다는 단순 보안정책 위반자로 분류되는 사용자를 탐지하기 위한 것이며, 보안정책을 준수할 수 있도록 준수유도 활동을 위한 근거를 제공한다.
심각도 5(보안정책 예외사용자)는 문서보안 미설치 예외자, 인증수행 예외자 등 현실적으로 존재하는 보안 시스템에 대한 예외사용자를 고려한 것으로, 예외사용자(예컨대, 경영진, 운영자 등)를 정상사용자로 전환하기 위한 작업을 진행하기 위한 근거를 제공한다. 예외사용자의 존재는 탐지결과의 신뢰성을 저해할 수 있으므로, 심각도 5를 설정함으로써 보안 시스템의 신뢰성을 높일 수 있다. 보안정책 예외자를 탐지함으로써 보안의 사각지대에 놓여 있던 사용자들이 정상적인 보안정책을 따를 수 있도록 유도할 수 있는 기반을 마련하는 것이다.
컨텐츠 분석 실행부(240)는 관리대상 사용자가 심각도 1의 정보유출 징후자로 분류된 경우 관리대상 사용자와 관련된 컨텐츠 분석을 수행하여 유출 여부를 정확히 판단하고, 증적자료를 확보하여 데이터베이스 서버(300)로 저장한다. 컨텐츠 분석이 이루어지지 않는 경우, 해당 사용자가 유통한 컨텐츠가 실제 고객정보 및 내부 핵심정보를 포함하고 있는지에 대한 판단이 불가능하다. 일 실시예는 정보유출 징후자로 분류되는 사용자들을 대상으로 컨텐츠 분석을 수행함으로써, 정보유출로 판단될 수 있는 사용자군을 탐지하여 적극적인 대응에 필요한 증적확보를 진행할 수 있도록 하기 위한 근거를 제공한다.
컨텐츠 분석 과정에서는, 여러 탐지항목들과 각 항목의 탐지패턴을 정의한 후 수집된 컨텐츠 내에서 해당 항목을 필터링하여 결과를 제공하는 패턴기반 필터링 기능, 혹은 탐지그룹 및 그룹별 검색키워드를 이용한 키워드기반 필터링 기능이 적용될 수 있다. 예컨대, 패턴기반 필터링 기능은 주민번호, 신용카드번호, 계좌번호 등의 탐지패턴을 미리 정의하여 대상 컨텐츠 내에 해당 항목들의 보유 여부와 보유 정도를 인식하는 것이다. 키워드기반 필터링 기능을 예시하면, 마케팅 분류의 컨텐츠 내에서 해당 분류와 매칭되어 등록된 키워드들(예컨대, 영업, 실적, 리베이트 등)의 보유 여부와 보유 정보를 인식하는 것이다.
탐지결과 연동부(250)는 정보보안 탐지 수행부(230)로부터 탐지결과를 제공받으며, 관리대상 사용자의 심각도 등급에 따라 사용자유형에 맞는 정보유출 대응 프로세스(예컨대, 대응레벨을 차별화)를 실행하고, 심각도 등급 결정의 근거가 되는 증적자료를 확보하여 데이터베이스 서버(300)로 저장한다. 전술한 탐지결과 연동부(250)는 설정된 기간(예컨대, 1개월, 6개월, 1년 등)에 대하여 관리대상 사용자의 추이분석을 실행하여 분석결과를 제공할 수 있다.
데이터베이스 서버(300)는 정보수집원(100)들로부터 제공되는 각종 로그정보(원본 로그파일)들과 내부망에서 유통되는 컨텐츠(컨텐츠 파일)들을 저장하며, 정보보안 장치(200)로부터 로그정보 및 컨텐츠를 기반으로 한 탐지/분석결과와 그와 관련된 증적자료를 제공받아서 저장 및 관리한다.
도 2는 본 발명의 일 실시예에 따른 정보보안 방법의 흐름도이다.
먼저, 정보보안 장치(200)의 탐지기준 관리부(220)는 관리대상 사용자를 탐지하기 위한 탐지 룰들을 정의하고, 탐지 룰들을 그룹화하여 심각도 등급을 분류 설정한다(S110). 임계값을 이용해 정보유출 여부를 탐지하는 방식과는 달리, 일 실시예는 각 정보수집원(100)의 특성과 취약점에 근거한 케이스 기반의 탐지 룰 및 보안정책을 수립할 수 있도록 한다. 즉, 정보수집원(100)에서 발생되는 이벤트의 건수에 대해 임계값을 부여하여 임계값을 초과할 경우 이상 징후로 탐지하는 대신, 일 실시예는 정보수집원(100)의 취약점을 분석하고, 취약점을 우회할 수 있는 케이스와 비정상적인 활용을 탐지하는 케이스에 대한 탐지 룰을 수립한다.
이를 위하여, 탐지기준 관리부(220)는 정보수집원(100)에서 제공하는 로그정보의 특성을 기준으로 탐지정책을 수립하는데 그치지 않고, 정보수집원(100)에서 생성되는 로그정보의 상관분석에 근거하여 탐지 룰을 생성한다. 즉, 정보수집원(100)들 간의 정보 흐름을 기준으로 하여 관련이 있는 정보수집원(100)들의 로그정보들을 상호 비교/분석한 이후 보안정책 예외 사용 여부, 우회 여부, 정보유출 여부 등을 탐지하는 탐지 룰을 생성하는 것이다.
정보 수집부(210)는 데이터베이스 서버(300)에 등록된 정보수집원(100)들의 분석대상정보를 실시간으로 수집하여 정보보안 탐지 수행부(230)로 제공한다(S120). 수집되는 분석대상정보는 기본적으로 로그정보이며, 필요한 경우 각 정보수집원(100)을 통해 유통되는 컨텐츠를 함께 수집하여 분석할 수 있다.
정보보안 탐지 수행부(230)는 정보 수집부(210)를 통해 수집된 분석대상정보를 기반으로 정보수집원(100)들을 모니터링하여 탐지기준 관리부(220)에 등록되어 있는 탐지 룰들과 매칭되는 관리대상 사용자를 인식하고(S130), 인식된 관리대상 사용자의 심각도 등급을 식별한다(S140).
이때, 정보보안 탐지 수행부(230)는 탐지결과와 상응하는 탐지 룰의 유형에 따라 관리대상 사용자군과 사용자별 심각도 등급을 결정하고, 심각도 등급 결정의 근거가 되는 증적자료를 데이터베이스 서버(300)로 저장할 수 있다. 보다 구체적으로, 각 관리대상 사용자의 심각도 등급은 로그정보를 기반으로 정보유출 징후자, 정보유출 의심자, 보안정책 우회사용자, 보안정책 위반자, 보안정책 예외사용자를 탐지하기 위한 5개의 등급 중 하나로 결정될 수 있다.
다음의 표 2는 탐지 과정(S130, S140)에 적용 가능한 탐지 룰들과 이를 그룹화한 심각도 등급을 예시한 것이다.
| 탐지 룰 명 | 등급 |
| 중요 키워드가 포함된 첨부파일 외부 전송자 | 심각도 1 (정보유출 징후자) |
| 고객정보전송 시스템 파기 체크된 파일이 재사용되어 송수신 첨부된 경우 | |
| 송수신자 메일계정이 동일한 메일 발송자 | |
| 고객정보전송 시스템 파기 체크된 파일이 보안문서관리 시스템을 통해 암호 해제된 경우 | |
| 암호화되지 않은 내부/고객정보 포함 메일 파일을 업로드한 사용자 | |
| 내부/고객정보 포함된 복호화 파일 보유자 | |
| 내부/고객정보 포함된 복호화 파일을 매체에 저장한 사용자 | |
| 내부/고객정보 포함된 파일 전송자 | |
| VPN 접근 문서보안 문서 프린트 내역 | |
| 과용량 첨부파일을 외부로 전송한 경우 | 심각도 2 (정보유출 의심자) |
| 발송된 첨부파일이 과다 다운로드된 메일 | |
| 업무 내외 시간 과대용량 첨부파일 다운로드 | |
| 과도 첨부파일 다운로드 사용자 | |
| 업무 내외시간 과대용량 첨부파일 다운로드 | |
| 업무외 시간 문서 과다 출력자 | |
| 집중관리 대상자이면서 과다출력 사용자 | |
| 집중관리 대상자가 매체저장 권한을 가진 경우 | |
| 반복적으로 로그인정보만 나타나는 사용자 | |
| 분서보안 해제 후 복호화 파일을 보안문서관리 시스템에서 다운로드 받은 사용자 | |
| 보안문서관리 시스템에서 복호화된 파일 중 내부/고객정보 포함 파일 메일 전송자 | |
| 불필요한 공유폴더 사용자 | |
| VPN 접속 과다 데이터 송수신자 | |
| 특정 IP대역 이외에서의 대리점 사용자 접속 | 심각도 3 (보안정책 우회사용자) |
| 공용PC 비정상 사용자 | |
| VPN과 사내에서 문서보안 다중 인증이 발생한 사용자 | |
| 사내시스템 사용자 중 문서보안 미 설치자 | |
| 암호화되지 않은 파일 보관내역 | |
| 위험 소프트웨어 설치자 | |
| 네트워크 접근통제 시스템 우회 사용자 | |
| 고객정보센터 출입이력이 없는데 네트워크 관리 시스템 접속이력이 존재하는 사용자 | |
| PC 상시 온(ON) 사용자 | 심각도 4 (보안정책 위반자) |
| 휴직기간 중 휴직자 본인계정 사용이력 | |
| 문서보안 설치 후 삭제자 | |
| VPN 사용자 로그인 에러 | |
| 문서보안해제 권한자 중 매체통제 예외권한 모두 갖는 예외사용자 | 심각도 5 (보안정책 예외사용자) |
| 공용PC 사용자 | |
| 문서보안 삭제 후 미 설치자 | |
| 네트워크 접근통제 시스템 MAC 인증 사용자 |
관리대상 사용자가 심각도 1의 정보유출 징후자로 분류된 경우(S150), 해당 사용자는 집중관리 대상자로 선정되어 지속적으로 모니터링 되어야 할 필요성이 있다. 따라서, 컨텐츠 분석 실행부(240)는 해당 사용자와 관련된 컨텐츠 분석을 수행하여 유출 여부를 정확히 판단하고, 관련된 증적자료를 확보하여 데이터베이스 서버(300)로 등록할 수 있다(S160).
이와 같이, 정보보안 장치(200)는 정보수집원(100)에서 탐지된 분석대상정보를 그룹화하여 활용함으로써, 탐지된 정보 보안정책 예외자 탐지, 보안정책 위반자 탐지, 보안정책 우회자 탐지, 정보유출 의심자 탐지, 정보유출 징후자 모니터링, 정보유출자 탐지 등을 수행하고, 정보유출 사고가 발생되지 않도록 일련의 가이드 라인을 제공한다.
이후, 탐지결과 연동부(250)는 관리대상 사용자의 심각도 등급에 따라 사용자유형에 맞는 정보유출 대응 프로세스를 실행할 수 있다(S170). 예컨대, 특정 사용자가 심각도 1의 정보유출 징후자인 경우 컨텐츠 접근 권한을 차단한 후 컨텐츠 분석을 진행하여 실제 유출 여부를 탐지하거나, 정보유출 사전 예방조치를 적용할 수 있다. 혹은, 심각도 4의 보안정책 위반자인 경우 해당 사용자가 대응할 수 있도록 분석결과를 사용자 인터페이스에 반영함으로써 정상적인 보안정책의 준수를 유도할 수 있다. 또는, 심각도 등급에 따라 감사 등 실제의 구체적이고 정확한 증적자료를 획득해야 할 근거를 제공할 수 있을 것이다.
도 3은 본 발명의 다른 실시예에 따른 정보보안 장치를 포함한 시스템의 구성도이다. 다른 실시예는 정보유출 탐지와 통합로그 분석의 측면을 부각시킨 일 실시예와 비교하여, 보안정책 관리와 통합로그 분석의 접목을 활용한 것이다.
IT 서비스 관리는 서비스 전략, 서비스 설계, 서비스 이행, 서비스 운영, 지속적인 서비스 개선의 다섯 단계의 서비스 수명주기에 따라 기업의 IT 구현을 돕기 위한 개념이며, 불필요한 IT 인프라 비용을 절감하고 내외부 고객이 필요로 하는 가치 전달을 위한 것을 목적으로 진행된다. 이러한 IT 서비스 관리는 서비스 연속성을 확보하고, 서비스의 효율성을 확보하는데 집중한다. 또한, IT 서비스 관리를 기반으로 하는 IT 거버넌스의 경우에서도 전체 조직의 목적 및 목표 달성을 위해 IT 자원과 관련한 계획 수립, 개발, 사용, 통제하기 위한 이해 관계자들간의 관계, 조직구조, 업무프로세스 개선을 하나의 프로세스로 연결하여, IT 자원관리, 위험관리, 성과 모니터링 활동을 지원하는 것을 목적으로 구축된다.
보안정책 관리는 이러한 개념을 보안과 접목하여 보안 시스템에서의 성과 관리, 서비스 관리와 관련된 직접적인 데이터 분석을 통한 근거 자료를 제공하는 것을 목적으로 한다. 여기서, 보안정책은 기업이나 조직의 정보보안과 관련한 사규 등을 의미한다. 전술한 일 실시예의 탐지 룰과 대응하는 모니터링 룰을 정의한다고 할 때, 복수의 모니터링 룰들을 보안정책(예컨대, 사규)에 기반한 기준규칙에 매핑할 수 있다.
이와 같이, 당해 실시예는 사규 등의 보안정책에 준하여 정보보호 활동의 정량적인 측정값을 산출하여 이를 정보보호 수준을 인식하기 위한 측정지표로 활용하며, 보안정책에 따른 기준규칙들을 정의하여 각 기준규칙을 모니터링 룰들과 매칭한다. 단위보안 장비로부터 기준규칙별 위반 건수 등 필요한 데이터가 수집되고, 정보보안 장치를 통해 해당 데이터의 분석 및 보안정책에 준한 정보보호 활동의 측정값 산출이 이루어진다.
또한, 정보보안 장치는 각 조직별, 개인별 보안정책 위반사항 및 위반추이를 로그분석을 위한 모니터링 룰과 대비하여 분석할 수 있고, 이에 대한 과거기록 및 증적을 유지하여 향후 조직에 필요한 보안정책의 신규 제정 및 개정에 활용할 수 있다.
도 3을 참조하면, 정보보안 장치(400)는 정보 수집부(410), 보안정책 관리부(420), 보안정책 기반 모니터링 수행부(430), 대응계획 수립부(440)를 포함한다.
정보 수집부(410)는 연동 가능한 단위 보안장비들을 정보수집원(100)으로 정의하고, 데이터베이스 서버(300)를 통해 정보수집원(100)들로부터 발생하는 분석대상정보를 수집하여 보안정책 기반 모니터링 수행부(430)로 제공한다. 분석대상정보는 로그정보 및 컨텐츠이다.
보안정책 관리부(420)는 기업의 보안정책에 따라 관리대상 사용자 및 관리유형을 탐지하기 위한 기준규칙들을 생성하여 등록한다. 보안정책 관리를 위한 기준규칙(예컨대, 사규) 입력, 변경 등 업무 프로세스에 따른 인터페이스 및 데이터 처리 기준을 생성하는 것이다.
보안정책 기반 모니터링 수행부(430)는 모니터링 룰들을 정의하고, 보안정책 관리부(420)에 등록된 각 기준규칙별로 모니터링 룰을 상호 매핑하며, 정의된 모니터링 룰과 모니터링 룰에 매핑된 기준규칙에 의해 보안정책에 기반한 관리대상 사용자 및 관리유형을 탐지하는 기능을 한다. 전술한 보안정책 기반 모니터링 수행부(430)는 별도 문서에 각 기준규칙별로 매핑되는 모니터링 룰들을 정의하고, 정의된 모니터링 룰에 의해 관리대상 사용자 및 관리유형(사내 보안정책 위반자 및 우회자, 예외자 등)를 탐지한다.
대응계획 수립부(440)는 보안정책 기반 모니터링 수행부(430)로부터 탐지결과를 제공받으며, 탐지된 관리유형에 맞는 보안정책 대응 프로세스를 미리 정의하고, 관리대상 사용자의 관리유형에 따라 기 정의된 보안정책 대응 프로세스를 실행하며, 보안정책 대응 프로세스의 근거가 되는 증적자료를 확보한다.
즉, 대응계획 수립부(440)는 보안정책의 기준규칙과 매핑된 각 모니터링 룰별로 대응계획을 별도 문서로 수립한 후, 해당 모니터링 룰에 의해 탐지되는 사용자에 대해 별도 문서 상의 대응계획에 따라 운영자의 조치가 이루어질 수 있도록 한다. 대응계획 수립 시 별도의 증적 확보가 필요한 경우, 포렌직 등 증적확보 프로세스를 추가로 정의하여, 탐지된 사용자의 우회 및 위반내역 등에 대한 증적자료를 확보할 수도 있다.
도 4는 본 발명의 다른 실시예에 따른 정보보안 방법의 흐름도이다.
정보보안 장치(400)의 보안정책 관리부(420)는 기업의 보안정책에 따라 관리대상 사용자 및 관리유형을 탐지하기 위한 기준규칙들을 등록한다(S210). 보안정책의 변경(제정, 개정 등)이 있는 경우 보안 담당자는 변경된 보안정책에 기반하여 기 등록된 기준규칙들을 갱신할 수 있다.
보안정책 기반 모니터링 수행부(430)는 모니터링 룰들을 정의하고, 보안정책의 기준규칙들에 대하여 각 기준규칙별로 모니터링 룰을 상호 매핑한다(S230).
정보 수집부(410)는 데이터베이스 서버(300)를 통해 연동 가능한 다양한 정보수집원(100)들로부터 분석대상정보로서 로그정보 및 컨텐츠를 수집한다(S240).
이후, 보안정책 기반 모니터링 수행부(430)는 기 정의된 모니터링 룰을 기반으로 정보 수집부(410)를 통해 수집된 분석대상정보를 이용한 정보수집원들의 모니터링을 수행하여 그 결과를 대응계획 수립부(440)로 제공한다(S250). 이때, 모니터링 룰에 매핑된 기준규칙에 의해 보안정책을 위반한 관리대상 사용자 및 관리유형(보안정책 위반자, 우회자, 예외자 등)이 탐지될 수 있다.
대응계획 수립부(440)는 탐지된 관리대상 사용자의 관리유형에 따라 사전 정의된 보안정책 대응 프로세스를 실행하고, 보안정책 대응 프로세스의 근거가 되는 증적자료를 확보한다(S260).
전술한 도 3 및 도 4의 실시예에 따르면, 다음과 같은 효과를 기대할 수 있다.
첫째, 조직의 보안정책과 로그분석, 모니터링 룰 간 상호 대사가 가능한 증적추적 관리 체계를 구현하여 각 조직(부서)별/개인별 보안정책 위반사항 및 특정 기간(예컨대, 6개월, 1년 등) 동안의 위반추이를 분석, 추적할 수 있다.
둘째, 보안정책 변경(제정 및 개정) 시에도 로그분석, 모니터링 룰과의 연속적인 매핑 및 상호 대사를 통해 변경된 보안정책 위반 및 우회내역에 대해 분석과 모니터링이 가능하며, 과거 보안정책에 따른 관련 증적내역이 관리되어 보안정책 위반 및 우회에 대한 근거자료의 제공 및 추적관리가 가능하다.
셋째, 보안시스템 로그분석 내역과 보안정책 위배내역을 종합적으로 판단하여 관련 증적을 확보하고 사전 정의된 대응 계획(Action Plan)에 따라 보안 담당자가 관리대상 사용자(보안위배, 우회자, 예외자 등)에 대한 조치를 취할 수 있는 체계를 제공하며, 분석내용을 기준으로 보안정책 제정, 개정 및 로그 모니터링 룰의 추가, 변경이 가능하다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다.
따라서, 이상에서 기술한 실시예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이므로, 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 하며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명은 정보보안 기술에 적용될 수 있다.
본 발명의 정보보안 장치 및 방법에 따르면, 다양한 통합로그를 활용하여 보안정책 위반 및 정보유출 징후를 효과적으로 탐지하고, 정확한 관련 증적자료를 제공할 수 있으며, 모니터링 결과에 따른 심각도 등급에 맞추어 대응책을 차별적으로 적용할 수 있다.
100: 정보수집원 200: 정보보안 장치
210: 정보 수집부 220: 탐지기준 관리부
230: 정보보안 탐지 수행부 240: 컨텐츠 분석 실행부
250: 탐지결과 연동부 300: 데이터베이스 서버
210: 정보 수집부 220: 탐지기준 관리부
230: 정보보안 탐지 수행부 240: 컨텐츠 분석 실행부
250: 탐지결과 연동부 300: 데이터베이스 서버
Claims (16)
- 관리대상 사용자를 탐지하기 위한 탐지 룰들을 정의하고, 탐지 룰들을 그룹화하여 심각도 등급을 분류 설정하는 탐지기준 관리부;
정보수집원들로부터 분석대상정보를 수집하는 정보 수집부; 및
상기 정보 수집부에서 수집된 분석대상정보를 기반으로 상기 정보수집원들을 모니터링하여 상기 탐지 룰들에 매칭되는 관리대상 사용자를 인식하고, 상기 인식된 관리대상 사용자의 심각도 등급을 식별하는 정보보안 탐지 수행부를 포함하는 정보보안 장치. - 제1항에 있어서,
상기 분석대상정보는 로그정보 및 컨텐츠인 것을 특징으로 하는 정보보안 장치. - 제1항에 있어서,
상기 탐지기준 관리부는 상기 정보수집원들을 대상으로 각 정보수집원의 취약점을 우회할 수 있는 케이스와 비정상적인 활용을 탐지하는 케이스를 기반으로 탐지 룰들을 정의하는 것을 특징으로 하는 정보보안 장치. - 제1항에 있어서,
상기 심각도 등급은 탐지 룰의 유형에 따라 결정되는 것으로, 로그정보를 기반으로 정보유출 징후자, 정보유출 의심자, 보안정책 우회사용자, 보안정책 위반자, 보안정책 예외사용자를 탐지하기 위한 5개의 등급으로 나뉘는 것을 특징으로 하는 정보보안 장치. - 제1항에 있어서,
관리대상 사용자가 정보유출 징후자로 분류된 경우 상기 관리대상 사용자와 관련된 컨텐츠 분석을 수행하여 유출 여부를 정확히 판단하고, 증적자료를 확보하는 컨텐츠 분석 실행부를 더 포함하는 정보보안 장치. - 제1항에 있어서,
상기 정보보안 탐지 수행부로부터 탐지결과를 제공받으며, 관리대상 사용자의 심각도 등급에 따라 사용자유형에 맞는 정보유출 대응 프로세스를 실행하고, 심각도 등급 결정의 근거가 되는 증적자료를 확보하는 탐지결과 연동부를 더 포함하는 정보보안 장치. - 제6항에 있어서,
상기 탐지결과 연동부는 설정된 기간에 대하여 관리대상 사용자의 추이분석을 실행하여 분석결과를 제공하는 것을 특징으로 하는 정보보안 장치. - 정보수집원들로부터 분석대상정보를 수집하는 정보 수집부;
보안정책에 따라 관리대상 사용자 및 관리유형을 탐지하기 위한 기준규칙들을 등록하는 보안정책 관리부;
모니터링 룰들을 정의하고, 상기 보안정책 관리부에 등록된 각 기준규칙별로 모니터링 룰을 상호 매핑하며, 정의된 모니터링 룰과 모니터링 룰에 매핑된 기준규칙에 의해 보안정책에 기반한 관리대상 사용자 및 관리유형을 탐지하는 보안정책 기반 모니터링 수행부; 및
상기 보안정책 기반 모니터링 수행부로부터 탐지결과를 제공받으며, 관리대상 사용자의 관리유형에 따라 사전 정의된 보안정책 대응 프로세스를 실행하고, 보안정책 대응 프로세스의 근거가 되는 증적자료를 확보하는 대응계획 수립부를 포함하는 정보보안 장치. - 제8항에 있어서, 상기 모니터링 수행부는,
탐지된 관리대상 사용자 및 관리유형을 통합하여 조직별/개인별 보안정책 위반사항과 소정 기간 동안의 위반추이에 대한 분석 및 추적을 실행하고, 그 결과를 제공하는 것을 특징으로 하는 정보보안 장치. - 제9항에 있어서, 상기 보안정책 관리부는,
상기 모니터링 수행부에서 제공하는 탐지결과, 분석 및 추적결과를 반영하여 보안정책의 변경 시점마다, 혹은 주기적으로 기준규칙들을 재정의하는 것을 특징으로 하는 정보보안 장치. - 관리대상 사용자를 탐지하기 위한 탐지 룰들을 정의하고, 탐지 룰들을 그룹화하여 심각도 등급을 분류 설정하는 기준 설정 단계;
정보수집원들로부터 분석대상정보를 수집하는 정보 수집 단계; 및
상기 수집된 분석대상정보를 기반으로 상기 정보수집원들을 모니터링하여 상기 탐지 룰들에 매칭되는 관리대상 사용자를 인식하고, 상기 인식된 관리대상 사용자의 심각도 등급을 식별하는 탐지 단계를 포함하는 정보보안 방법. - 제11항에 있어서,
상기 정보 수집 단계에서 로그정보 및 컨텐츠를 상기 분석대상정보로서 수집하는 것을 특징으로 하는 정보보안 방법. - 제11항에 있어서,
상기 탐지 단계에서 탐지 룰의 유형에 따라 사용자별 심각도 등급을 결정하되, 각 관리대상 사용자의 심각도 등급은 로그정보를 기반으로 정보유출 징후자, 정보유출 의심자, 보안정책 우회사용자, 보안정책 위반자, 보안정책 예외사용자를 탐지하기 위한 5개의 등급 중 하나로 결정하는 것을 특징으로 하는 정보보안 방법. - 제11항에 있어서,
관리대상 사용자가 정보유출 징후자로 분류된 경우 상기 관리대상 사용자와 관련된 컨텐츠 분석을 수행하여 유출 여부를 정확히 판단하고, 증적자료를 확보하는 컨텐츠 분석 단계를 더 포함하는 정보보안 방법. - 제11항에 있어서,
관리대상 사용자의 심각도 등급에 따라 사용자유형에 맞는 정보유출 대응 프로세스를 실행하는 결과 연동 단계를 더 포함하는 정보보안 방법. - 보안정책에 따라 관리대상 사용자 및 관리유형을 탐지하기 위한 기준규칙들을 등록하는 단계;
모니터링 룰들을 정의하고, 상기 기준규칙들에 대하여 각 기준규칙별로 모니터링 룰을 상호 매핑하는 단계;
정보수집원들로부터 분석대상정보를 수집하는 단계;
기 정의된 모니터링 룰을 기반으로 상기 수집된 분석대상정보를 이용한 정보수집원들의 모니터링을 수행하되, 모니터링 룰에 매핑된 기준규칙에 의해 보안정책을 위반한 관리대상 사용자 및 관리유형을 탐지하는 단계; 및
관리대상 사용자의 관리유형에 따라 사전 정의된 보안정책 대응 프로세스를 실행하고, 보안정책 대응 프로세스의 근거가 되는 증적자료를 확보하는 단계를 포함하는 정보보안 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100029739A KR20110110431A (ko) | 2010-04-01 | 2010-04-01 | 정보보안 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100029739A KR20110110431A (ko) | 2010-04-01 | 2010-04-01 | 정보보안 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20110110431A true KR20110110431A (ko) | 2011-10-07 |
Family
ID=45026969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100029739A KR20110110431A (ko) | 2010-04-01 | 2010-04-01 | 정보보안 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20110110431A (ko) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101233934B1 (ko) * | 2011-01-06 | 2013-02-15 | 삼성에스디에스 주식회사 | 지능형 통합 보안 관리 시스템 및 방법 |
| KR101259579B1 (ko) * | 2012-11-08 | 2013-04-30 | (주)유와이즈원 | 정보보호업무 운영시스템 및 방법 |
| KR101651586B1 (ko) | 2015-08-12 | 2016-08-26 | 김병익 | 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템 |
| KR20180069971A (ko) | 2016-12-15 | 2018-06-26 | 주식회사 진앤현시큐리티서비스 | 통합보안업무 관리시스템 |
| CN109815853A (zh) * | 2019-01-04 | 2019-05-28 | 深圳壹账通智能科技有限公司 | 活体检测方法、装置、计算机设备和存储介质 |
| KR20190102937A (ko) * | 2018-02-27 | 2019-09-04 | 한국디지털포렌식센터 주식회사 | 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치 |
| CN116578994A (zh) * | 2023-06-29 | 2023-08-11 | 北京亿赛通科技发展有限责任公司 | 数据安全的操作方法、计算机设备及计算机存储介质 |
-
2010
- 2010-04-01 KR KR1020100029739A patent/KR20110110431A/ko not_active Application Discontinuation
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101233934B1 (ko) * | 2011-01-06 | 2013-02-15 | 삼성에스디에스 주식회사 | 지능형 통합 보안 관리 시스템 및 방법 |
| KR101259579B1 (ko) * | 2012-11-08 | 2013-04-30 | (주)유와이즈원 | 정보보호업무 운영시스템 및 방법 |
| KR101651586B1 (ko) | 2015-08-12 | 2016-08-26 | 김병익 | 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템 |
| KR20180069971A (ko) | 2016-12-15 | 2018-06-26 | 주식회사 진앤현시큐리티서비스 | 통합보안업무 관리시스템 |
| KR20190102937A (ko) * | 2018-02-27 | 2019-09-04 | 한국디지털포렌식센터 주식회사 | 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치 |
| CN109815853A (zh) * | 2019-01-04 | 2019-05-28 | 深圳壹账通智能科技有限公司 | 活体检测方法、装置、计算机设备和存储介质 |
| CN116578994A (zh) * | 2023-06-29 | 2023-08-11 | 北京亿赛通科技发展有限责任公司 | 数据安全的操作方法、计算机设备及计算机存储介质 |
| CN116578994B (zh) * | 2023-06-29 | 2023-10-03 | 北京亿赛通科技发展有限责任公司 | 数据安全的操作方法、计算机设备及计算机存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lee et al. | An effective security measures for nuclear power plant using big data analysis approach | |
| CN107577939B (zh) | 一种基于关键字技术的数据防泄漏方法 | |
| KR100838799B1 (ko) | 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법 | |
| US10057285B2 (en) | System and method for auditing governance, risk, and compliance using a pluggable correlation architecture | |
| CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
| EP4139801A1 (en) | Detection and prevention of external fraud | |
| KR101548138B1 (ko) | 정보보안 증적 추적 시스템 및 방법 | |
| KR20110110431A (ko) | 정보보안 장치 및 방법 | |
| US20140172495A1 (en) | System and method for automated brand protection | |
| CN104798079A (zh) | 自动资产关键度评估 | |
| KR20040035572A (ko) | 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법 | |
| CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
| KR20020062070A (ko) | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 | |
| KR101292640B1 (ko) | 통합인증시스템과 연계된 웹 기반 위험관리시스템을 이용한 위험관리방법 | |
| CN113516337A (zh) | 数据安全运营的监控方法及装置 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| JP2022037896A (ja) | 脅威対応自動化方法 | |
| CN112688971B (zh) | 功能损害型网络安全威胁识别装置及信息系统 | |
| KR101399326B1 (ko) | 정보보안을 위한 증적추적 장치 및 방법 | |
| JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
| US20230396640A1 (en) | Security event management system and associated method | |
| CN116881979A (zh) | 数据安全合规的检测方法、装置及设备 | |
| CN116720194A (zh) | 一种数据安全风险评估的方法和系统 | |
| Mascetti et al. | EPIC: a methodology for evaluating privacy violation risk in cybersecurity systems | |
| KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |