KR20120079972A - 지능형 통합 보안 관리 시스템 및 방법 - Google Patents

지능형 통합 보안 관리 시스템 및 방법 Download PDF

Info

Publication number
KR20120079972A
KR20120079972A KR1020110001354A KR20110001354A KR20120079972A KR 20120079972 A KR20120079972 A KR 20120079972A KR 1020110001354 A KR1020110001354 A KR 1020110001354A KR 20110001354 A KR20110001354 A KR 20110001354A KR 20120079972 A KR20120079972 A KR 20120079972A
Authority
KR
South Korea
Prior art keywords
security
devices
security management
vulnerability
management server
Prior art date
Application number
KR1020110001354A
Other languages
English (en)
Other versions
KR101233934B1 (ko
Inventor
이석호
이창두
전창섭
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020110001354A priority Critical patent/KR101233934B1/ko
Publication of KR20120079972A publication Critical patent/KR20120079972A/ko
Application granted granted Critical
Publication of KR101233934B1 publication Critical patent/KR101233934B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

지능형 통합 보안 관리 시스템 및 방법이 제공된다. 통신 인프라를 이루는 복수의 디바이스들에 대한 지능형 통합 보안 관리 방법은, 복수의 디바이스들 각각에 대한 보안 정책을 사용하여 각각의 디바이스의 보안 상태를 점검하고, 점검 결과를 분석하여 보안 취약점을 도출하며, 복수의 디바이스들 중 보안 취약점이 도출된 디바이스에 대하여, 보안 취약점에 대한 조치를 마련하며, 마련된 조치에 따라 도출된 보안 취약점을 보완할 수 있다.

Description

지능형 통합 보안 관리 시스템 및 방법{Integrated Intelligent Security Management System and Method}
본 발명은 지능형 통합 보안 관리 시스템 및 방법에 관한 것으로, 보다 상세하게는 통신 인프라에 설치되는 디바이스들의 보안 취약점을 자동으로 발견하여 보완할 수 있는 지능형 통합 보안 관리 시스템 및 방법에 관한 것이다.
전자상거래의 발전과 더불어 IT(Information Technology) 기술이 복잡하고 다양하게 복합화됨에 따라 IT 정보를 보안하기 위한 환경도 많은 관심을 받고 있다. 정보 보안 환경의 변화는 정보통신 네트워크의 비약적인 발전 및 IT에 대한 업무 의존도를 증가시킴과 더불어 ICT(Information and Communication Technology) 인프라스트럭쳐의 보안의 취약점도 같이 증가시키게 된다. 그러나 IT 인프라스트럭쳐에 대한 위협은 지속적으로 증가하고 있는 반면, 이에 대한 사용자의 보안 의식 및 지식은 같이 성장하지 못하고 있다. 따라서, 보안의 취약점을 자동으로 점검 및 보완하고, IDC(Internet Data Center)와 같은 대규모의 통신 인프라스트럭쳐에 대해서도 보안 관리 서비스를 제공함으로써, 통신 인프라스트럭쳐에 대한 보안을 강화하기 위한 보안관리 솔루션이 필요하다.
본 발명은 보안 상태의 점검 결과 발견된 보안 취약점을 단순히 통보하는데 그치지 않고, 보안 취약점을 보완하기 위한 조치를 자동 또는 수동으로 제공함으로써 보안 상의 위험도를 미연에 차단할 수 있는, 지능형 통합 보안 관리 시스템 및 방법을 제공함을 목적으로 한다.
본 발명의 일 실시예에 따르면, 통신 인프라를 이루는 복수의 디바이스들에 대한 지능형 통합 보안 관리 방법은, 상기 복수의 디바이스들 각각에 대한 보안 정책을 사용하여 상기 각각의 디바이스의 보안 상태를 점검하는 단계; 상기 점검 결과를 분석하여 보안 취약점을 도출하는 단계; 상기 복수의 디바이스들 중 상기 보안 취약점이 도출된 디바이스에 대하여, 상기 보안 취약점에 대한 조치를 마련하는 단계; 및 상기 마련된 조치에 따라 상기 도출된 보안 취약점을 보완하는 단계;를 포함한다.
상기 복수의 디바이스들 중 적어도 하나의 디바이스가 상기 통신 인프라에 설치될 때, 상기 적어도 하나의 디바이스를 상기 적어도 하나의 디바이스에 대한 보안 정책을 기초로 클린 상태로 구성하는 단계;를 더 포함하며, 상기 보안 상태를 점검하는 단계는, 상기 클린 상태의 적어도 하나의 디바이스의 보안 상태를 점검한다.
상기 클린 상태의 적어도 하나의 디바이스가 동작 환경을 설정받는 단계;를 더 포함한다.
상기 클린 상태의 적어도 하나의 디바이스의 동작 환경에 맞도록, 상기 적어도 하나의 디바이스에 대한 보안 정책을 변경하는 단계;를 더 포함한다.
상기 클린 상태로 구성하는 단계, 상기 설정받는 단계 및 상기 보안 정책을 변경하는 단계는, 상기 복수의 디바이스들이 상기 통신 인프라에 도입되어 설치되는 동안 수행된다.
상기 복수의 디바이스들 중 적어도 하나의 디바이스가 운영되어 서비스를 제공하는 동안, 상기 적어도 하나의 디바이스의 동작 환경이 변경되면, 상기 변경된 동작 환경에 따른 보안 취약점을 도출하는 단계;를 더 포함한다.
상기 도출된 보안 취약점을 관리자에게 통지하는 단계; 및 상기 관리자가 상기 보안 취약점을 허용하는 경우, 상기 동작 환경이 변경된 적어도 하나의 디바이스에 대한 보안 정책을 변경하는 단계;를 더 포함한다.
상기 보안 취약점이 도출되면, 상기 보안 관리 서버는 자동으로 상기 보안 취약점에 대한 조치를 마련한다.
상기 복수의 디바이스들 중 적어도 하나의 디바이스가 상기 통신 인프라에서 폐기되는 경우, 상기 적어도 하나의 디바이스의 폐기 사실이 데이터베이스에 기록되는 단계; 및 상기 적어도 하나의 디바이스에 대한 보안 상태가 지속적으로 점검되면, 상기 적어도 하나의 디바이스의 폐기가 미수행되었음을 관리자에게 통지하는 단계;를 더 포함한다.
상기 보안 관리 서버는 상기 보안 관리 에이전트에게 상기 복수의 디바이스들 각각에 대한 보안 정책을 제공한다.
한편, 본 발명의 일 실시예에 따르면, 상기 방법들을 컴퓨터에서 실행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체가 제공된다.
한편, 본 발명의 일 실시예에 따르면, 통신 인프라를 이루는 복수의 디바이스들에 대한 지능형 통합 보안 관리 시스템은, 상기 복수의 디바이스들 각각에 대한 보안 정책을 사용하여 상기 각각의 디바이스의 보안 상태를 점검하고, 상기 점검 결과를 분석하여 보안 취약점을 도출하는 보안 관리 에이전트; 및 상기 복수의 디바이스들 중 상기 보안 취약점이 도출된 디바이스에 대하여, 상기 보안 취약점에 대한 조치를 마련하는 보안 관리 서버;를 포함하며, 상기 보안 관리 에이전트는 상기 보안 관리 서버에 의해 마련된 조치에 따라 상기 도출된 보안 취약점을 보완한다.
상기 보안 관리 에이전트는, 상기 복수의 디바이스들 중 적어도 하나의 디바이스가 상기 통신 인프라에 구비될 때, 상기 적어도 하나의 디바이스를 상기 적어도 하나의 디바이스에 대한 보안 정책을 기초로 클린 상태로 구성하고, 상기 클린 상태의 적어도 하나의 디바이스의 보안 상태를 점검한다.
상기 클린 상태의 적어도 하나의 디바이스의 동작 환경이 설정되면, 상기 보안 관리 서버는, 상기 설정된 동작 환경에 맞도록 상기 적어도 하나의 디바이스에 대한 보안 정책을 변경한다.
상기 보안 관리 에이전트에 의해 상기 적어도 하나의 디바이스를 클린 상태로 구성하고, 상기 보안 상태를 점검하며, 상기 보안 정책을 변경하는 동작은, 상기 복수의 디바이스들이 상기 통신 인프라에 도입되어 설치되는 동안 수행된다.
상기 복수의 디바이스들 중 적어도 하나의 디바이스가 운영되어 서비스를 제공하는 동안, 상기 적어도 하나의 디바이스의 동작 환경이 변경되면, 상기 보안 관리 에이전트는, 상기 변경된 동작 환경에 따른 보안 취약점을 도출한다.
상기 보안 관리 서버는 상기 도출된 보안 취약점을 관리자에게 통지하고, 상기 관리자가 상기 보안 취약점을 허용하는 경우, 상기 동작 환경이 변경된 적어도 하나의 디바이스에 대한 보안 정책을 변경한다.
상기 보안 취약점이 도출되면, 상기 보안 관리 서버는 자동으로 상기 보안 취약점에 대한 조치를 마련한다.
상기 복수의 디바이스들 중 하나의 디바이스가 상기 통신 인프라에서 폐기되는 경우, 상기 하나의 디바이스의 폐기 사실을 기록하는 데이터베이스;를 더 포함하며, 상기 보안 관리 서버는, 상기 하나의 디바이스에 대한 보안 상태가 지속적으로 점검되면, 상기 하나의 디바이스의 폐기가 미수행되었음을 관리자에게 통지한다.
상기 보안 관리 서버는 상기 보안 관리 에이전트에게 상기 복수의 디바이스들 각각에 대한 보안 정책을 제공한다.
본 발명의 실시예에 따르면, 보안 상태를 보안 정책을 기준으로 점검하고, 보안 취약점을 보완하기 위한 조치를 자동 또는 수동으로 제공함으로써, 관리자는 보안 점검을 위한 시간을 절약하고, 보안 상의 위험도를 미연에 차단할 수 있다.
또한, 본 발명의 실시예에 따르면, ITSM()과 같은 ICT 인프라 관리 운영 프로세서와 연계된 보안 관리 프로세스를 제공할 수 있으며, 이로써 IDC와 같은 대규모의 통신 인프라를 관리하는 서버에 적용할 수 있다.
또한, 본 발명의 실시예에 따르면, 일반적인 개인 컴퓨터나 서버뿐만 아니라, DBMS(Database Management System) 장비, 네트워크 장치 및 보안 장치의 보안 취약점을 자동으로 점검하고, 자동 또는 수동으로 조치를 취할 수 있다.
도 1은 본 발명의 실시예에 따른 지능형 통합 보안 관리 시스템을 도시한 도면,
도 2는 제4디바이스의 라이프 사이클에 따라 수행되는 제4디바이스의 관리 프로세스 및 보안 관리 프로세스를 보여주는 도면,
도 3은 본 발명의 실시예에 따른 보안 관리 서버를 도시한 블록도,
도 4는 신규 디바이스가 통신 인프라에 도입되어 설치되는 동안 수행되는 본 발명의 실시예에 따른 지능형 통합 보안 관리 방법을 설명하기 위한 흐름도,
도 5는 신규 디바이스가 통신 인프라에서 운영되는 동안 수행되는 본 발명의 실시예에 따른 지능형 통합 보안 관리 방법을 설명하기 위한 흐름도, 그리고,
도 6은 신규 디바이스가 통신 인프라에서 폐기되는 동안 수행되는 본 발명의 실시예에 따른 지능형 통합 보안 관리 방법을 설명하기 위한 흐름도이다.
이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다.
도 1은 본 발명의 실시예에 따른 지능형 통합 보안 관리 시스템을 도시한 도면이다.
도 1의 지능형 통합 보안 관리 시스템은 ICT(Information and Communication Technology) 인프라에 구축된 디바이스들의 보안 취약점을 I2SM(Integrated Intelligent Security Management) 솔루션을 이용하여 관리할 수 있다. I2SM 솔루션은 통신 인프라에 디바이스들이 구축되어 운영된 후 폐기될 때까지의 라이프 사이클을 기반으로 효율적으로 보안 취약점을 관리하며, 이를 위하여, 디바이스의 도입 및 설치 단계에서 디바이스의 보안 취약점을 보완 및 제거하고, 디바이스의 운영 단계에서 신뢰도가 확보된 보안 클린 상태를 유지하기 위하여 보안 취약점을 주기적으로 자동 점검하고, 보안 취약점을 해결하기 위한 조치를 자동 또는 수동으로 제공할 수 있다.
도 1을 참조하면, 지능형 통합 보안 관리 시스템은 디바이스 관리 서버(100), 제1데이터베이스(DB: Database)(200), 보안 관리 서버(300), 제2DB(400), 제1 내지 제3단말기들(11, 12, 13) 및 제1 내지 제4디바이스들(21, 22, 23, 24)을 포함한다.
제1 내지 제3단말기들(11, 12, 13)은 제1통신망(10)을 통해 디바이스 관리 서버(100)와 유선 통신 또는 무선 통신이 가능하도록 연결된다. 제1단말기(11)는 지능형 통합 보안 관리 솔루션을 이용하는 고객사의 단말기일 수 있다. 제2단말기(12)는 디바이스 관리 서버(100)를 운영하는 운영자의 단말기일 수 있다. 제3단말기(13)는 제1 내지 제4디바이스들(21, 22, 23, 24)의 보안을 관리하는 보안 관리자의 단말기일 수 있다. 이하에서는 운영자와 보안 관리자를 통칭하여 '관리자'라 한다.
디바이스 관리 서버(100)는 통신 인프라에 새로 추가 설치되는 디바이스를 등록 및 폐기하기 위한 웹페이지를 제공할 수 있다. 이를 위하여, 디바이스 관리 서버(100)에는 웹서버가 추가로 설치될 수 있다. 디바이스 관리 서버(100)는 예를 들어, IMAS일 수 있다.
관리자가 통신 인프라에 새로운 디바이스(예를 들어, 제4디바이스(24))를 추가로 설치하려는 경우, 관리자는 제3단말기(13)를 통해 디바이스 관리 서버(100)의 웹페이지에 접속하고, 새로운 디바이스를 추가하는 등록 절차를 수행할 수 있다. 허가권자가 새로운 디바이스의 등록을 허가하면, 새로운 디바이스는 통신 인프라에서 운영되어 서비스를 제공할 수 있다. 허가권자는 운영자일 수 있다.
또한, 관리자가 통신 인프라에 설치된 디바이스를 폐기하려는 경우, 관리자는 디바이스 관리 서버(100)에서 제공하는 웹페이지를 통해 디바이스의 폐기를 등록할 수 있다. 통신 인프라에 추가된 새로운 디바이스의 등록 및 디바이스의 폐기에 대한 정보는 디바이스 관리 서버(100)를 통해 제1DB(200)에 저장될 수 있으며, 이를 위하여 디바이스 관리 서버(100)에는 DB 서버가 추가로 설치될 수 있다.
제1DB(200)에는 통신 인프라에 설치되어 있는 디바이스들의 목록, 추가 등록된 디바이스의 목록, 폐기처리된 디바이스의 목록, 디바이스의 등록 및 폐기 히스토리 등이 저장될 수 있다.
보안 관리 서버(300)는 통신 인프라에 설치된 제1 내지 제4디바이스들(21, 22, 23, 24)과 제2통신망(20)을 통해 통신하며, 관리자에게 관리 화면을 제공할 수 있다. 보안 관리 서버(300)는 후술할 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)에게 보안 상태의 점검을 요청하거나, 점검 스케쥴을 작성하여 제공하거나, 점검 결과를 수정할 수 있다.
보안 관리 서버(300)는 제1 내지 제4디바이스들(21, 22, 23, 24) 각각에 대한 보안 정책을 작성하여 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)에게 제공할 수 있다. 보안 관리 서버(300)는 다양한 보안 툴과 연계하는 인터페이스를 제공하여 제1 내지 제4디바이스들(21, 22, 23, 24)을 점검할 수 있는 다양한 점검 방식을 구현하며, 보안 취약점의 관리 현황을 제2DB(400)에 저장할 수 있다 제1 내지 제4디바이스들(21, 22, 23, 24)의 보안 취약점에 대한 조치를 취할 수 있다.
ICD 인프라 라이프 사이클을 기초로 동작하는 보안 관리 서버(300)에 대해서는 후술할 도 2를 참조하여 자세히 설명한다.
제2DB(400)에는 통신 인프라에 설치되어 있는 제1 내지 제4디바이스들(21, 22, 23, 24) 각각에 대한 보안 정책이 저장될 수 있다. 따라서, 제1 내지 제4디바이스들(21, 22, 23, 24)이 동일한 운영체제에서 동작되어도 제1 내지 제4디바이스들(21, 22, 23, 24)의 하드웨어 사양, 소프트웨어 사양 등에 따라 또는 목표에 따라 다른 보안 정책이 제2DB(400)에 저장될 수 있다. 보안 정책은 보안 관리 서버(300)에서 제공하는 관리 화면을 통해 관리자가 변경할 수 있다.
또는, 제2DB(400)에는 제1 내지 제4디바이스들(21, 22, 23, 24)의 타입 별로 보안 정책이 저장될 수 있다. 제1 내지 제4디바이스들(21, 22, 23, 24)의 타입은 운영체제의 종류에 따라 구분되거나, 기능에 따라 구분될 수 있다. 제1 내지 제4디바이스들(21, 22, 23, 24)의 타입의 예로는 리눅스를 기반으로 하는 서버, 유닉스를 기반으로 하는 서버, 윈도우즈를 기반으로 하는 서버, DBMS가 설치된 서버, 네트워크 및 보안을 담당하는 서버 등 다양하다.
통신 인프라는 예를 들면, 조직을 구성하는 ICT 장비들로 구축되는 인프라로서, 도 1의 경우, 제1 내지 제4디바이스들(21, 22, 23, 24)이 통신 인프라에 속한다. 제1 내지 제4디바이스들(21, 22, 23, 24)은 통신 인프라에 도입 및 설치되는 단계, 서비스를 제공하는 운영 단계 및 폐기 단계로 이루어지는 라이프 사이클을 가질 수 있다.
이하에서는, 제1 내지 제4디바이스들(21, 22, 23, 24) 중 제1 내지 제3디바이스들(21, 22, 23)이 통신 인프라에 기설치되어 있으며, 제4디바이스(24)가 추가로 설치되는 경우를 예로 들어 설명한다.
도 2는 제4디바이스(24)의 라이프 사이클에 따라 수행되는 제4디바이스(24)의 관리 프로세스 및 보안 관리 프로세스를 보여주는 도면이다.
도 1 및 도 2를 참조하면, 제4디바이스(24)가 통신 인프라에 설치되기 이전 또는 설치된 이후, 관리자는 디바이스 보안 관리 서버(300)에 접속하여 제4디바이스(24)의 등록 절차를 수행할 수 있다. 제4디바이스(24)의 등록이 허가된 후, 제4디바이스(24)가 통신 인프라에 도입되어 설치되는 동안, 보안 관리 에이전트가 제4디바이스(24)에 설치될 수 있다.
보안 관리 에이전트는 통신 인프라의 보안 취약점을 자동으로 발견하여 조치하는 '취약점 Deny All 정책'으로서, 제4디바이스(24)가 통신 인프라에 도입되면, 제4디바이스(24)의 보안성을 초기 검토하고, 불필요한 예외를 제거함으로써 인프라의 보안 수준을 향상시킬 수 있다. 즉, 보안 관리 에이전트는 제4디바이스(24)에 사전에 수립된 보안 기준을 적용하여 보안 기준에 위배되는 취약점을 제거하여 제4디바이스(24)를 클린 상태로 만들 수 있다.
자세히 설명하면, 보안 관리 에이전트는 통신 인프라를 구성하는 모든 제1 내지 제4디바이스들(21, 22, 23, 24)에 설치되어, 제1 내지 제4디바이스들(21, 22, 23, 24)의 보안 상태를 점검하여 보안 취약점을 도출하는 보안 프로그램일 수 있다. 이하에서는, 제4디바이스(24)에 설치된 보안 관리 에이전트를 '제4에이전트(24a)'라 하며, 제1 내지 제3디바이스들(21, 22, 23)에 기설치된 보안 관리 에이전트를 '제1 내지 제3에이전트(21a, 22a, 23a)'라 한다.
관리자는 제4에이전트(24a)를 제4디바이스(24)에 직접 설치할 수 있다. 또는, 보안성 검토가 완료된 후, 디바이스 관리 서버(100)의 운영자가 제4디바이스(24)의 등록을 허가하였음이 확인되면, 보안 관리 서버(300)가 제4디바이스(24)에 제4에이전트(24a)를 다운로드 함으로써, 제4디바이스(24)에 자동으로 설치될 수 있다.
제4에이전트(24a)는 제4디바이스(24)에 대한 보안 정책을 보안 관리 서버(300)로부터 제공받으면, 보안 정책을 기초로 제4디바이스(24)를 클린 상태로 구성하고, 클린 상태로 초기화된 제4디바이스(24)의 보안 상태를 점검할 수 있다. 클린 상태는 제공받은 보안 정책에 맞도록 보안 정책을 제4디바이스(24)에 자동으로 적용한 결과이다. 클린 상태에서, 제4디바이스(24)의 보안 취약점은 무결점 상태일 수 있다.
제4디바이스(24)가 클린 상태로 구성된 후, 제4디바이스(24)의 동작 환경이 설정되면, 보안 관리 서버(300)는, 설정된 동작 환경에 맞도록 제4디바이스(24)에 대한 보안 정책을 변경할 수 있다. 동작 환경은 제4디바이스(24)를 운영하는데 필요한 환경으로서, 예를 들어, 보안 레벨을 포함할 수 있다. 동작 환경은 서버 운영자, 관리자 및 고객사 중 적어도 하나에 의해 설정될 수 있으며, 보안 관리 서버(300)에 접속하여 보안 관리 서버(300)에서 제공하는 관리 화면을 통해 설정될 수 있다.
동작 환경 설정 시 기술적 제약사항이 발생하면, 보안 관리 서버(300)는 발생한 기술적 제약 사항을 보안 감시 예외로 분류하고, 분류된 기술적 제약 사항을 제2DB(400)에 저장하며, 제4에이전트(24a)에게 통지할 수 있다. 기술적 제약사항은 제4디바이스(24)에 OS 또는 DBMS의 초기 설치 시 자동으로 구성되는 디폴트 설정값 중 보안 정책을 자동으로 적용하는 경우, 취약점으로 분류되어 자동으로 삭제되거나 변경되는 항목 중 업무 수행에 필요한 항목을 의미한다. 따라서, 제4에이전트(24a)는 보안 감시 예외로 분류된 사항, 즉, 기술적 제약사항에 대해서는 보안 취약점으로 간주하지 않는다.
예를 들어 원격 레지스트리(Remote Registry) 서비스의 경우, 윈도우 OS 설치시 자동으로 구동되는 서비스로서, 보안 관리 에이전트가 보안 정책을 자동으로 적용하면, 서버 해킹에 사용되는 보안 취약점으로 분류되어 서비스 Disable된다. 그러나, 업무적으로, 제4디바이스(24)가 윈도우 Active Directory 환경을 사용해야 하는 경우, Remote Registry 서비스는 필수 서비스로서 구동되어야 한다. 따라서, 이러한 경우, 보안 정책에 따라 Remote Registry 서비스를 사용하지 못하는 사항을 기술적 제약사항이라 할 수 있다. 이러한 기술적 제약사항은 보안 관리 서버(300)의 담당자 또는 제4디바이스(24)의 담당자가 시스템상의 보안 정책 템플릿을 확인하여 제4디바이스(24)에서 구동되는 업무환경에 필요한 설정 요소들을 확인한 후 보안 담당자에게 요청하면 보안 담당자는 시스템상에 요청 사항을 등록하여 Remote Registry 서비스를 감시 예외로 분류할 수 있다.
또한, 보안 관리 서버(300) 또는 제4에이전트(24a)는 분류된 보안 감시 예외 사항에 대해 유효기간을 선택적으로 적용할 수 있다. 유효기간이 적용되지 않은 보안 감시 예외 사항에 대해, 보안 관리 서버(300)는 관리 화면에 별도로 표시하며, 이로써 관리자는 보안 감시 예외 사항을 수시로 확인 및 관리할 수 있다. 또한, 보안 관리 서버(300)는 보안 감시 예외 사항에 대한 근거 문서들에 대해 검색기능을 제공하며, 관리자는 검색기능을 통해 보안 감시 예외 사항을 검색 및 추적할 수 있다.
상술한 바와 같이 제4디바이스(24)에 제4에이전트(24a)가 설치되고, 보안 정책에 기초하여 보안 기준이 자동으로 적용되며, 보안 감시 예외 사항을 관리하는 동작은 제4디바이스(24)가 통신 인프라에 도입되어 설치되는 동안 수행될 수 있다.
한편, 제4디바이스(24)의 동작 환경이 설정되고, 보안 감시 예외 사항들이 제2DB(400)에 저장되면, 제4디바이스(24)의 도입 및 설치 단계가 완료되고, 제4디바이스(24)의 운영 단계로 진입할 수 있다.
운영 단계에서, 제4디바이스(24)는 제4디바이스(24)에 해당하는 서비스를 제공한다. 제4디바이스(24)에 DMBS 프로그램이 설치된 경우, 제4디바이스(24)는 DB 관리를 위한 서비스를 제공할 수 있다.
서비스가 제공되는 동안, 제4에이전트(24a)는 제공받은 보안 정책을 사용하여 제4디바이스(24)의 보안 상태를 주기적으로 점검할 수 있다. 제4에이전트(24a)는 보안 상태의 점검 결과를 분석하여 보안 취약점이 도출되면, 보안 관리 서버(300)에게 보안 취약점에 대해 자동으로 보고할 수 있다. 보안 취약점은 보안을 해킹 당하거나 보안 상의 문제가 발생할 수 있는 확률이 높은 상태로서, 예를 들어, 보안 정책에는 제4디바이스(24)의 관리자 계정이 1개이나, 점검 결과 관리자 계정이 추가되어 있으면, 보안 취약점으로서 도출할 수 있다.
보안 취약점은 바이러스의 감염에 의해 발생하거나, 또는 제4디바이스(24)의 시스템이 변경됨으로써 발생할 수 있다. 즉, 제4디바이스(24)가 운영되어 서비스를 제공하는 동안, 제4디바이스(24)의 동작 환경이 변경되면, 제4에이전트(24a)은 동작 환경에 따라 발생한 보안 취약점을 도출할 수 있다. 예를 들어, 제4디바이스(24)의 관리자 계정이 관리자에 의해 추가되면, 제4디바이스(24)의 동작 환경이 변경되며, 제4에이전트(24a)는 보안 상태의 점검 결과로부터 추가된 관리자 계정을 보안 취약점으로서 도출할 수 있다.
보안 관리 서버(300)는 제4에이전트(24a)로부터 제4디바이스(24)의 보안 취약점이 보고되면, 제1DB(200)의 폐기 목록에 제4디바이스(24)의 ID가 있는지 확인할 수 있다. 폐기 목록에 제4디바이스(24)의 ID가 있는지 확인하는 과정은 선택적으로 수행될 수 있으며, 이는 후술할 폐기 단계에서 자세히 설명한다. 폐기 목록에 제4디바이스(24)의 ID가 없고, 보안 관리 서버(300)가 자동 모드로 설정되어 있으면, 보안 관리 서버(300)는 보안 취약점이 도출된 제4디바이스(24)에 대하여, 도출된 보안 취약점에 대한 조치를 자동으로 마련하고, 마련된 조치를 제4에이전트(24a)에게 제공할 수 있다.
제4에이전트(24a)는 보안 관리 서버(300)로부터 제공된 조치에 따라 도출된 보안 취약점을 보완할 수 있다. 예를 들어, 마련된 조치가 추가된 계정을 삭제하라는 지시를 포함하면, 제4에이전트(24a)는 추가된 계정을 삭제할 수 있다. 또한, 마련된 조치가 추가된 계정의 허용이면, 제4에이전트(24a)는 추가된 계정을 정상적인 계정으로 인지할 수 있다.
또는, 보안 관리 서버(300)는 제4에이전트(24a)로부터 보안 취약점이 보고된 경우, 보안 관리 서버(300)가 수동 모드로 설정되어 있으면, 보안 취약점을 관리자에게 통지할 수 있다. 관리자가 보안 취약점을 허용하는 경우, 보안 관리 서버(300)는 제4디바이스(24)에 대해 설정된 보안 정책을 변경된 동작 환경이 반영되도록 변경할 수 있다. 그리고, 보안 관리 서버(300)는 변경된 보안 정책을 제4에이전트(24a)에게 다운로딩하며, 제4에이전트(24a)는 변경된 보안 정책을 기초로 제4디바이스(24)의 보안 상태를 점검할 수 있다.
보안 관리 서버(300)에 SMTP(Simple Mail Transfer Protocol) 서버와 같은 메일 송신 서버가 마련된 경우, 보안 관리 서버(300)는 관리자의 이메일 계정을 이용하여 관리자에게 보안 취약점을 통지할 수 있다. 또는, 보안 관리 서버(300)에 SMS 발송을 위한 프로세서가 마련된 경우, 보안 관리 서버(300)는 관리자에게 '제4디바이스(24)로부터 보안 취약점이 발견되었으므로 확인 바랍니다'와 같은 SMS를 전송할 수 있다. 여기서, '관리자'는 보안 관리자, 인프라 운영 담당자 등 통신 인프라 및 I2SM과 관련된 관리자일 수 있다.
보안 취약점이 관리자가 시스템을 변경하여 발생한 경우, 관리자는 보안 관리 서버(300)에서 제공하는 관리 화면을 통해 보안 취약점을 허용할 수 있다. 또한, 보안 취약점이 바이러스와 같은 외부 침입에 의해 자동으로 발생한 경우, 관리자는 보안 취약점을 허용하지 않고, 보안 취약점에 대한 조치를 제4에이전트(24a)에게 수동으로 제공할 수 있다. 관리자가 수동으로 보안 취약점을 확인하고, 조치를 마련하는 경우, 관리자는 보안 취약점과 관련된 상태를 수동으로 재점검하며, 이로써 보안 취약점에 조치를 취한 보완 결과 및 조치의 정확성을 확인할 수 있다.
상술한 바와 같이 제4에이전트(24a)가 보안 정책을 기초로 제4디바이스(24)의 보안 상태를 점검하고, 보안 취약점이 도출되면 조치를 취하는 동작들은 제4디바이스(24)가 서비스를 제공하는 운영 단계에서 수행될 수 있다.
한편, 제4디바이스(24)의 서비스가 종료되면, 제4디바이스(24)가 통신 인프라에서 폐기되는 단계로 진입할 수 있다.
폐기 단계에서, 관리자는 제3단말기(13)를 통해 디바이스 관리 서버(100)에 접속하여 제4디바이스(24)의 폐기 절차를 수행할 수 있다. 폐기 절차가 완료되면, 디바이스 관리 서버(100)는 제4디바이스(24)의 ID를 제1DB(200)의 디바이스 폐기 목록에 추가 저장할 수 있다.
한편, 보안 관리 서버(300)는, 제4디바이스(24)에 대한 보안 상태가 지속적으로 점검되면, 제4디바이스(24)의 폐기가 미수행되었음을 관리자에게 통지할 수 있다. 자세히 설명하면, 보안 관리 서버(300)는 제4에이전트(24a)로부터 제4디바이스(24)의 보안 상태 점검 결과가 수신되면, 제1DB(200)의 디바이스 폐기 목록을 확인할 수 있다.
디바이스 폐기 목록에 제4디바이스(24)의 ID가 있으면, 보안 관리 서버(300)는 통신 인프라 상에 제4디바이스(24)가 실제로 폐기되지 않고 구동되고 있는 것으로 판단하고, 관리자에게 제4디바이스(24)가 구동되고 있음을 통지할 수 있다. 이로써, 관리자는 제4디바이스(24)를 폐기하며, 통신 인프라에서 폐기처리된 제4디바이스가 임의로 구동됨으로써 발생할 수 있는 보안상의 위험을 예방할 수 있다.
또한, 보안 관리 서버(300)는 제4에이전트(24a)의 라이센스 현황을 파악하여, 라이센스 기간이 남아 있는 경우, 제4에이전트(24a)를 통신 인프라에 새로 설치되는 제5디바이스(미도시)에 사용함으로써, 보안 관리 에이전트를 구매하는데 소요되는 비용을 절감할 수 있다.
도 3은 본 발명의 실시예에 따른 보안 관리 서버를 도시한 블록도이다.
도 3을 참조하면, 보안 관리 서버(300)는 통신부(310), 저장부(320), 경고 발생부(330) 및 제어부(340)를 포함할 수 있다. 통신부(310), 저장부(320), 경고 발생부(330) 및 제어부(340)는 도 1 및 도 2를 참조하여 설명한 동작을 수행하므로, 구체적인 설명은 생략한다.
통신부(310)는 제2통신망(20)을 통해 제1 내지 제4디바이스들(21, 22, 23, 24)과 통신하여, 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)을 다운로딩하며, 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)에게 해당 보안 정책을 다운로딩할 수 있다. 또한, 통신부(310)는 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)로부터 주기적으로 보안 상태의 점검 결과 또는 발견된 보안 취약점에 대한 보고를 수신하여 제어부(340)에게 제공하고, 보안 취약점에 대한 조치 방안을 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)에게 제공되도록 전송할 수 있다.
저장부(320)에는 보안 관리 서버(300)의 동작에 필요한 프로그램들, 제1 내지 제4디바이스들(21, 22, 23, 24)에게 다운로딩할 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)이 저장될 수 있다. 또한, 저장부(320)에는 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)의 보고, 즉, 보안 상태의 점검 결과가 저장되며, 보안 취약점에 대한 조치도 저장될 수 있다.
경고 발생부(330)는 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)로부터 보안 취약점이 보고되면, 관리자에게 보안 취약점이 발견되었음을 통지하는 경고를 발생할 수 있다. 예를 들어, 경고 발생부(330)가 SMTP 서버인 경우, 경고 발생부(330)는 이메일을 작성하여 관리자에게 전송할 수 있다.
제어부(340)는 보안 관리 서버(300)의 전반적인 동작을 제어 및 관리할 수 있다. 제어부(340)는 제1 내지 제4디바이스들(21, 22, 23, 24)의 도입 및 설치 단계, 운영 단계 및 폐기 단계에 따라, 도 2를 참조하여 설명한 동작들을 수행할 수 있다. 예를 들어, 제어부(340)는 제1 내지 제4디바이스들(21, 22, 23, 24)이 통신 인프라에 등록된 것을 제1DB(200)를 통해 확인하면, 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)을 제1 내지 제4디바이스들(21, 22, 23, 24)에게 다운로드할 수 있다. 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)이 제1 내지 제4디바이스들(21, 22, 23, 24)에 설치되면, 제어부(340)는 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)에게 해당 보안 정책을 다운로드할 수 있다.
또한, 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)로부터 보안 취약점이 발견되었음이 보고되면, 제어부(340)는 보안 취약점을 보완할 수 있는 조치를 자동으로 마련하여 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)에게 제공할 수 있다. 또는, 제1 내지 제4에이전트들(21a, 22a, 23a, 24a)로부터 보안 취약점이 발견되었음이 보고되면, 제어부(340)는 보안 취약점이 발견되었음을 관리자에게 통지할 수 있다.
이하에서는 도 4 내지 도 6을 참조하여, 본 발명의 실시예에 따른 지능형 통합 보안 관리 시스템에 의한 지능형 통합 보안 관리 방법을 설명한다. 도 4 내지 도 6의 지능형 통합 보안 관리 시스템은 도 1을 참조하여 설명한 지능형 통합 보안 관리 시스템일 수 있다. 따라서, 도 4 내지 도 6에 도시된 디바이스 관리 서버, 보안 관리 서버 및 제4디바이스는 도 1에 도시된 디바이스 관리 서버(100), 보안 관리 서버(300) 및 제4디바이스(24)일 수 있다.
도 4는 신규 디바이스가 통신 인프라에 도입되어 설치되는 동안 수행되는 본 발명의 실시예에 따른 지능형 통합 보안 관리 방법을 설명하기 위한 흐름도이다.
S410단계에서, 관리자가 디바이스 관리 서버에 접속하여 제4디바이스를 통신 인프라에 새로 설치되는 신규 디바이스를 등록한 후, 보안 관리 서버는 제1DB를 확인하여 제4디바이스가 통신 인프라에 도입되었는지를 확인한다.
S415단계에서, 제4디바이스가 통신 인프라에 도입되면, 보안 관리 서버는 제4디바이스에게 보안 관리 에이전트를 다운로딩할 수 있다.
S420단계에서, 보안 관리 에이전트는 제4디바이스에 자동으로 설치되어 실행될 수 있다. 보안 관리 에이전트는 제4디바이스의 초기 보안성을 검토하여 제4디바이스의 보안 취약점을 자동으로 발견하고 조치를 취함으로써 제4디바이스를 클린화할 수 있다.
S425단계에서, 보안 관리 에이전트는 설치가 완료되었음을 보안 관리 서버에게 보고할 수 있다.
S430단계에서, 보안 관리 서버는 제4디바이스의 특성(예를 들어, 서비스 타입 또는 운영체제의 종류)을 고려하여 마련된 보안 정책을 제4디바이스에 설치된 보안 관리 에이전트에게 제공할 수 있다.
S435단계에서, 보안 관리 에이전트는 제공받은 보안 정책을 기초로 제4디바이스를 클린 상태로 구성할 수 있다. 클린 상태는 제공받은 보안 정책에 맞도록 보안 정책을 제4디바이스에 자동으로 적용한 결과이다.
S440단계에서, 보안 관리 에이전트는 보안 관리 서버에게 클린 상태로 구성되었음을 보고한다.
S445단계에서, 보안 관리 서버는 제4디바이스의 동작 환경을 설정하고, S450단계에서, 설정 결과를 보안 관리 에이전트에게 통보할 수 있다.
S455단계에서, 보안 관리 에이전트는 설정된 동작 환경과 제4디바이스의 클린 상태를 비교하여 기술적 제약 사항이 발견되면, 기술적 제약 사항을 보안 관리 서버에게 보고할 수 있다.
S460단계에서, 보안 관리 서버는 발생한 기술적 제약 사항을 보안 감시 예외로 분류하고, S465단계에서, 분류된 기술적 제약 사항을 보안 정책에 반영하여 보안 정책을 변경할 수 있다.
S470단계에서, 보안 관리 서버는 S465단계에서 변경된 보안 정책을 보안 관리 에이전트에게 제공할 수 있다. 따라서, 보안 관리 에이전트는 변경된 보안 정책을 기초로 제4디바이스의 보안 상태를 점검한다.
도 5는 신규 디바이스가 통신 인프라에서 운영되는 동안 수행되는 본 발명의 실시예에 따른 지능형 통합 보안 관리 방법을 설명하기 위한 흐름도이다.
S500단계에서, 동작 환경이 설정된 제4디바이스는 서비스를 제공한다.
S510단계에서, 제4디바이스에 설치된 보안 관리 에이전트는 보안 정책을 기초로 제4디바이스의 보안 상태를 주기적으로 점검할 수 있다.
S520단계에서, 보안 관리 에이전트는 보안 상태의 점검 결과를 분석하여 보안 취약점이 도출되면, S30단계에서, 보안 관리 서버에게 도출된 보안 취약점을 포함하는 점검 결과를 자동으로 보고할 수 있다. 보안 취약점은 바이러스의 감염에 의해 발생하거나, 또는 제4디바이스의 시스템(즉, 동작 환경)이 관리자에 의해 변경됨으로써 발생할 수 있다.
S540단계에서, 보안 관리 서버에 자동모드가 설정되어 있으면, S550단계에서, 보안 관리 서버는 도출된 보안 취약점에 대한 조치를 자동으로 마련할 수 있다. 마련된 조치는 보안 취약점이 발생하도록 한 시스템의 변경 사항을 수용하거나 제거하는 방안 중 하나일 수 있다.
S560단계에서, 보안 관리 서버는 마련된 조치를 보안 관리 에이전트에게 제공할 수 있다.
S570단계에서, 보안 관리 에이전트는 보안 관리 서버로부터 제공된 조치에 따라 보안 취약점을 보완할 수 있다. 예를 들어, 조치가 보안 취약점의 발생 근원지인 시스템의 변경 사항을 제거하라는 지시를 포함하면, 보안 관리 에이전트는 시스템의 변경 사항을 원상태로 복귀할 수 있다. 또한, 조치가 보안 취약점의 발생 근원지인 시스템의 변경 사항을 수용하라는 지시를 포함하면, 보안 관리 에이전트는 시스템의 변경 사항을 수용하여 이후에는 보안 취약점으로 도출하지 않는다.
한편, S540단계에서, 자동 모드가 아닌 수동모드가 보안 관리 서버에 설정되어 있으면, S580단계에서, 보안 관리 서버는 관리자에게 보안 취약점이 도출되었음을 통지할 수 있다.
S590단계에서, 보안 취약점이 도출되었음을 통지받은 관리자는 제4디바이스에 직접 접속하여 수동으로 보안 취약점에 대해 조치를 취할 수 있다. 또한, 도시되지는 않았으나, 수동 모드에서 관리자는 보안 관리 서버를 통해 조치를 제공하고, 보안 관리 서버는 제공받은 조치를 보안 관리 에이전트에게 제공할 수 있다.
도 6은 신규 디바이스가 통신 인프라에서 폐기되는 동안 수행되는 본 발명의 실시예에 따른 지능형 통합 보안 관리 방법을 설명하기 위한 흐름도이다.
제4디바이스의 서비스가 종료되면, 관리자는 디바이스 관리 서버에 접속하여 제4디바이스의 폐기 절차를 수행하고, S610단계에서, 디바이스 관리 서버는 폐기 절차를 접수할 수 있다.
S620단계에서, 디바이스 관리 서버는 DB의 디바이스 폐기 목록에 제4디바이스의 ID를 추가하도록 지시하며, S630단계에서, DB는 디바이스 폐기 목록에 제4디바이스의 ID를 추가 저장할 수 있다.
S640단계에서, 제4디바이스에 설치된 보안 관리 에이전트로부터 제4디바이스의 보안 상태를 점검한 점검 결과가 보고되면, S650단계에서 보안 관리 서버는 제DB의 디바이스 폐기 목록을 확인한다.
S660단계에서, 제4디바이스의 ID가 디바이스 폐기 목록에 존재하면, S670단계에서, 보안 관리 서버는 제4디바이스가 통신 인프라에서 폐기되지 않고 서비스를 제공하는 있는 것으로 판단하고, 관리자에게 통지할 수 있다.
S680단계에서, 관리자는 제4디바이스를 실제로 폐기처리할 수 있다.
한편, S660단계의 확인 결과 제4디바이스의 ID가 디바이스 폐기 목록에 존재하지 않으면, 보안 관리 서버는 S540단계로 진입할 수 있다.
한편, 상술한 보안 관리 서버(300) 또는 보안 관리 에이전트(이하, 제4에이전트(24a)를 예로 들어 설명함)가 제공하는 기능을 정리하면 다음과 같다.
1. 보안 관리 서버(300)와 제4에이전트(24a)는 도 2를 참조하여 설명한 제1 내지 제4디바이스들(21, 22, 23, 24)의 관리 프로세스 및 보안 관리 프로세스를 자동으로 수행할 수 있다.
2. 보안 관리 서버(300)는 제1DB(200)와의 자동 연계 기능에 의해, 제1DB(200)에 저장된 통신 인프라에 신규로 도입된 디바이스의 정보를 수시로 확인하고, 제1DB(200)에서 확인된 정보를 기반으로 보안 관리 서버(300)에서 작성된 보안 정책을 신규로 도입된 디바이스에 자동으로 적용할 수 있다.
3. 보안 관리 서버(300)는 통신 인프라에 신규로 도입되는 디바이스에 자동으로 적용하기 위한 보안 정책을 디바이스의 특성에 맞춰 자동으로 작성할 수 있다.
4. 보안 관리 서버(300)는 제1 내지 제4디바이스들(21, 22, 23, 24)의 보안 등급, 보안 관리 예외사항, 통계, 제1 내지 제4디바이스들(21, 22, 23, 24)에 접속한 유저 등을 확인할 수 있는 대시보드(DashBoard)를 작성하여 관리 화면을 통해 관리자에게 제공할 수 있다.
5. 보안 관리 서버(300)는 통신 인프라에 도입되는 제1 내지 제4디바이스들(21, 22, 23, 24)의 보안 상태를 점검하고 조치를 마련하기 위해, 제1 내지 제4디바이스들(21, 22, 23, 24)의 호스트네임, 운영체제, IP 주소, 커멘트 등을 제2DB(400) 또는 저장부(330)에 기입하고 관리할 수 있다.
6. 보안 관리 서버(300) 또는 제4에이전트(24a)는 각종 서버, DBMS, 네트워크/보안 장비 등의 기능을 제공하는 제1 내지 제4디바이스들(21, 22, 23, 24)의 자동 점검을 일단위로 수행하거나, 또는 점검이 필요한 디바이스만을 선택하여 수동으로 점검하는 기능을 제공할 수 있다.
7. 보안 관리 서버(300)는 제1 내지 제4디바이스들(21, 22, 23, 24)의 보안 상태 점검 결과를 기작성된 그룹 보안 체크리스트와 비교하여 분석할 수 있는 HTML(HyperText Markup Language) 기반의 웹 리포팅 기능을 제공할 수 있다. 그룹 보안 체크리스트는 삼성과 같은 회사의 보안센터에서 수립한 보안 정책을 시스템에 등록하여 템플릿화한 것을 의미한다.
8. 보안 관리 서버(300)는 윈도우를 기반으로 동작하는 서버(예를 들어, 제1디바이스(21))를 대상으로 IPSec(Internet Protocol Security Protocol)을 이용하여 접속 통제 연계 관리 기능을 제공할 수 있다. 접속 통제 연계 관리 기능은 터미널서비스, PC Anywhere, VNC(Virtual Network Computing) 등의 원격 접속/제어프로그램을 이용하여 IP 및 Port기반으로 제1디바이스(21)의 접속, 동작 등을 제한할 수 있는 기능이다.
9. 보안 관리 서버(300) 또는 제4에이전트(24a)는 제1 내지 제4디바이스들(21, 22, 23, 24)의 보안 상태 점검 결과를 OS별, 장비명별, 날짜별 등으로 정리하여 제2DB(400)에 저장할 수 있으며, 이는 추후 제1 내지 제4디바이스들(21, 22, 23, 24)의 검색시 용이하게 사용될 수 있다.
10. 제4에이전트(24a)는 비승인된 변경작업을 확인할 수 있는 일단위 보안 등급 하락된 장비 현황을 확인할 수 있는 리포팅 기능을 제공할 수 있다. 위에서 설명한 바와 같이, 보안 취약점은 장치(예를 들어, 제4디바이스(24))의 속성 중 외부 보안 위협에 의해 보안 위험으로 발전할 수 있는 내용을 의미한다. 새로운 보안 취약점이 발견되었음은, 장비 내의 세팅 추가, 서비스 설치 등 변경 작업이 수행되었으며, 변경 작업 결과 중 외부 보안 위협에 의해 보안 위험으로 발전할 수 있는 속성이 있음을 의미한다. 따라서, 변경 작업 후 보안 취약점을 확인/조치하는 작업이 필요하여, 관련 내용을 변경 작업 프로세스를 통해 관리할 수 있다. 만약 변경 작업 프로세스의 준수 없이 수행된 비 승인된 변경작업이 있다면 보안 취약점 또한 관리되지 않고 장비 내 존재함을 의미한다. 이러한 부분을 관리하기 위해 신규로 발생되는 보안 취약점이 존재하는 장비를 일단위로 리포팅하여 프로세스 준수 여부를 확인할 수 있다.
11. 보안 관리 서버(300) 또는 제4에이전트(24a)는 제4디바이스의 운영 환경을 설정할 때 발생하는 기술적 제약사항을 보안 감시 예외로 분류하여 제2DB(400)에 저장 및 관리할 수 있다.
12. 보안 관리 서버(300)는 분류된 보안 감시 예외 사항에 대하여 유효기간을 적용하고, 기간이 만료된 보안 감시 예외 사항은 관리 화면에 별도로 표시함으로써 관리자가 수시로 확인할 수 있도록 한다.
13. 보안 관리 서버(300)는 보안 감시 예외 사항에 대한 근거 문서들을 제2DB(400)에 저장하고, 검색기능을 제공하며, 관리자는 검색기능을 통해 보안 감시 예외 사항을 검색 및 추적할 수 있다.
상기와 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100: 디바이스 관리 서버 200: 제1데이터베이스
300: 보안 관리 서버 400: 제2데이터베이스
11, 12, 13: 제1 내지 제3단말기들
21, 22, 23, 24: 제1 내지 제4디바이스들

Claims (20)

  1. 통신 인프라를 이루는 복수의 디바이스들에 대한 지능형 통합 보안 관리 방법에 있어서,
    상기 복수의 디바이스들 각각에 대한 보안 정책을 사용하여 상기 각각의 디바이스의 보안 상태를 점검하는 단계;
    상기 점검 결과를 분석하여 보안 취약점을 도출하는 단계;
    상기 복수의 디바이스들 중 상기 보안 취약점이 도출된 디바이스에 대하여, 상기 보안 취약점에 대한 조치를 마련하는 단계; 및
    상기 마련된 조치에 따라 상기 도출된 보안 취약점을 보완하는 단계;를 포함하는 지능형 통합 보안 관리 방법.
  2. 제1항에 있어서,
    상기 복수의 디바이스들 중 적어도 하나의 디바이스가 상기 통신 인프라에 설치될 때, 상기 적어도 하나의 디바이스를 상기 적어도 하나의 디바이스에 대한 보안 정책을 기초로 클린 상태로 구성하는 단계;를 더 포함하며,
    상기 보안 상태를 점검하는 단계는, 상기 클린 상태의 적어도 하나의 디바이스의 보안 상태를 점검하는 것을 특징으로 하는 지능형 통합 보안 관리 방법.
  3. 제2항에 있어서,
    상기 클린 상태의 적어도 하나의 디바이스가 동작 환경을 설정받는 단계;를 더 포함하는 것을 특징으로 하는 지능형 통합 보안 관리 방법.
  4. 제3항에 있어서,
    상기 클린 상태의 적어도 하나의 디바이스의 동작 환경에 맞도록, 상기 적어도 하나의 디바이스에 대한 보안 정책을 변경하는 단계;를 더 포함하는 것을 특징으로 하는 지능형 통합 보안 관리 방법.
  5. 제4항에 있어서,
    상기 클린 상태로 구성하는 단계, 상기 설정받는 단계 및 상기 보안 정책을 변경하는 단계는, 상기 복수의 디바이스들이 상기 통신 인프라에 도입되어 설치되는 동안 수행되는 것을 특징으로 하는 지능형 통합 보안 관리 방법.
  6. 제1항에 있어서,
    상기 복수의 디바이스들 중 적어도 하나의 디바이스가 운영되어 서비스를 제공하는 동안, 상기 적어도 하나의 디바이스의 동작 환경이 변경되면, 상기 변경된 동작 환경에 따른 보안 취약점을 도출하는 단계;를 더 포함하는 것을 특징으로 하는 지능형 통합 보안 관리 방법.
  7. 제6항에 있어서,
    상기 도출된 보안 취약점을 관리자에게 통지하는 단계; 및
    상기 관리자가 상기 보안 취약점을 허용하는 경우, 상기 동작 환경이 변경된 적어도 하나의 디바이스에 대한 보안 정책을 변경하는 단계;를 더 포함하는 것을 특징으로 하는 지능형 통합 보안 관리 방법.
  8. 제1항에 있어서,
    상기 보안 취약점이 도출되면, 상기 보안 관리 서버는 자동으로 상기 보안 취약점에 대한 조치를 마련하는 것을 특징으로 하는 지능형 통합 보안 관리 방법.
  9. 제1항에 있어서,
    상기 복수의 디바이스들 중 적어도 하나의 디바이스가 상기 통신 인프라에서 폐기되는 경우, 상기 적어도 하나의 디바이스의 폐기 사실이 데이터베이스에 기록되는 단계; 및
    상기 적어도 하나의 디바이스에 대한 보안 상태가 지속적으로 점검되면, 상기 적어도 하나의 디바이스의 폐기가 미수행되었음을 관리자에게 통지하는 단계;를 더 포함하는 것을 특징으로 하는 지능형 통합 보안 관리 방법.
  10. 제1항에 있어서,
    상기 보안 관리 서버는 상기 보안 관리 에이전트에게 상기 복수의 디바이스들 각각에 대한 보안 정책을 제공하는 것을 특징으로 하는 지능형 통합 보안 관리 방법.
  11. 통신 인프라를 이루는 복수의 디바이스들에 대한 지능형 통합 보안 관리 시스템에 있어서,
    상기 복수의 디바이스들 각각에 대한 보안 정책을 사용하여 상기 각각의 디바이스의 보안 상태를 점검하고, 상기 점검 결과를 분석하여 보안 취약점을 도출하는 보안 관리 에이전트; 및
    상기 복수의 디바이스들 중 상기 보안 취약점이 도출된 디바이스에 대하여, 상기 보안 취약점에 대한 조치를 마련하는 보안 관리 서버;를 포함하며,
    상기 보안 관리 에이전트는 상기 보안 관리 서버에 의해 마련된 조치에 따라 상기 도출된 보안 취약점을 보완하는 지능형 통합 보안 관리 시스템.
  12. 제11항에 있어서,
    상기 보안 관리 에이전트는, 상기 복수의 디바이스들 중 적어도 하나의 디바이스가 상기 통신 인프라에 구비될 때, 상기 적어도 하나의 디바이스를 상기 적어도 하나의 디바이스에 대한 보안 정책을 기초로 클린 상태로 구성하고, 상기 클린 상태의 적어도 하나의 디바이스의 보안 상태를 점검하는 것을 특징으로 하는 지능형 통합 보안 관리 시스템.
  13. 제12항에 있어서,
    상기 클린 상태의 적어도 하나의 디바이스의 동작 환경이 설정되면, 상기 보안 관리 서버는, 상기 설정된 동작 환경에 맞도록 상기 적어도 하나의 디바이스에 대한 보안 정책을 변경하는 것을 특징으로 하는 지능형 통합 보안 관리 시스템.
  14. 제13항에 있어서,
    상기 보안 관리 에이전트에 의해 상기 적어도 하나의 디바이스를 클린 상태로 구성하고, 상기 보안 상태를 점검하며, 상기 보안 정책을 변경하는 동작은, 상기 복수의 디바이스들이 상기 통신 인프라에 도입되어 설치되는 동안 수행되는 것을 특징으로 하는 지능형 통합 보안 관리 시스템.
  15. 제11항에 있어서,
    상기 복수의 디바이스들 중 적어도 하나의 디바이스가 운영되어 서비스를 제공하는 동안, 상기 적어도 하나의 디바이스의 동작 환경이 변경되면, 상기 보안 관리 에이전트는, 상기 변경된 동작 환경에 따른 보안 취약점을 도출하는 것을 특징으로 하는 지능형 통합 보안 관리 시스템.
  16. 제15항에 있어서,
    상기 보안 관리 서버는 상기 도출된 보안 취약점을 관리자에게 통지하고, 상기 관리자가 상기 보안 취약점을 허용하는 경우, 상기 동작 환경이 변경된 적어도 하나의 디바이스에 대한 보안 정책을 변경하는 것을 특징으로 하는 지능형 통합 보안 관리 시스템.
  17. 제11항에 있어서,
    상기 보안 취약점이 도출되면, 상기 보안 관리 서버는 자동으로 상기 보안 취약점에 대한 조치를 마련하는 것을 특징으로 하는 지능형 통합 보안 관리 시스템.
  18. 제11항에 있어서,
    상기 복수의 디바이스들 중 하나의 디바이스가 상기 통신 인프라에서 폐기되는 경우, 상기 하나의 디바이스의 폐기 사실을 기록하는 데이터베이스;를 더 포함하며,
    상기 보안 관리 서버는, 상기 하나의 디바이스에 대한 보안 상태가 지속적으로 점검되면, 상기 하나의 디바이스의 폐기가 미수행되었음을 관리자에게 통지하는 것을 특징으로 하는 지능형 통합 보안 관리 시스템.
  19. 제11항에 있어서,
    상기 보안 관리 서버는 상기 보안 관리 에이전트에게 상기 복수의 디바이스들 각각에 대한 보안 정책을 제공하는 것을 특징으로 하는 지능형 통합 보안 관리 시스템.
  20. 제1항 내지 제10항 중 적어도 어느 한 항의 방법을 컴퓨터에서 실행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020110001354A 2011-01-06 2011-01-06 지능형 통합 보안 관리 시스템 및 방법 KR101233934B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110001354A KR101233934B1 (ko) 2011-01-06 2011-01-06 지능형 통합 보안 관리 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110001354A KR101233934B1 (ko) 2011-01-06 2011-01-06 지능형 통합 보안 관리 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20120079972A true KR20120079972A (ko) 2012-07-16
KR101233934B1 KR101233934B1 (ko) 2013-02-15

Family

ID=46712753

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110001354A KR101233934B1 (ko) 2011-01-06 2011-01-06 지능형 통합 보안 관리 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101233934B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9130983B2 (en) 2013-03-29 2015-09-08 Electronics And Telecommunications Research Institute Apparatus and method for detecting abnormality sign in control system
KR101651586B1 (ko) * 2015-08-12 2016-08-26 김병익 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템
WO2018016798A1 (ko) * 2016-07-19 2018-01-25 주식회사 안랩 클라이언트 단말의 보안성을 관리하는 보안 관리 장치 및 보안 관리 방법
KR102471731B1 (ko) * 2022-03-03 2022-11-28 주식회사 아이티런 사용자를 위한 네트워크 보안 관리 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10181038B2 (en) * 2015-11-17 2019-01-15 Honeywell International Inc. Deployment assurance checks for monitoring industrial control systems

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007287132A (ja) 2006-04-19 2007-11-01 Metarisk Inc 情報技術危険管理システム及びその方法
KR100961180B1 (ko) * 2008-05-22 2010-06-09 한국전자통신연구원 Pc 보안 점검 장치 및 방법
KR20110110431A (ko) * 2010-04-01 2011-10-07 에스케이 텔레콤주식회사 정보보안 장치 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9130983B2 (en) 2013-03-29 2015-09-08 Electronics And Telecommunications Research Institute Apparatus and method for detecting abnormality sign in control system
KR101651586B1 (ko) * 2015-08-12 2016-08-26 김병익 시스템 개발단계와 시스템 운영단계에서 발견된 보안 취약점 관리시스템
WO2018016798A1 (ko) * 2016-07-19 2018-01-25 주식회사 안랩 클라이언트 단말의 보안성을 관리하는 보안 관리 장치 및 보안 관리 방법
KR102471731B1 (ko) * 2022-03-03 2022-11-28 주식회사 아이티런 사용자를 위한 네트워크 보안 관리 방법

Also Published As

Publication number Publication date
KR101233934B1 (ko) 2013-02-15

Similar Documents

Publication Publication Date Title
US11496461B2 (en) Gateway management for a zero trust environment
US9094434B2 (en) System and method for automated policy audit and remediation management
US7627891B2 (en) Network audit and policy assurance system
US8548916B2 (en) Managing passwords used when detecting information on configuration items disposed on a network
CN112765245A (zh) 一种电子政务大数据处理平台
US10044765B2 (en) Method and apparatus for centralized policy programming and distributive policy enforcement
EP2866411A1 (en) Method and system for detecting unauthorized access to and use of network resources with targeted analytics
US20070198525A1 (en) Computer system with update-based quarantine
US20160164913A9 (en) Access control to files based on source information
JP2006520975A (ja) 非侵入な自動オフサイト・パッチ・フィンガプリンティングおよびアップデーティングシステム、および方法
US20080183603A1 (en) Policy enforcement over heterogeneous assets
US20190342324A1 (en) Computer vulnerability assessment and remediation
KR101233934B1 (ko) 지능형 통합 보안 관리 시스템 및 방법
US9231827B2 (en) Formalizing, diffusing and enforcing policy advisories and monitoring policy compliance in the management of networks
KR101775517B1 (ko) 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법
JP6933320B2 (ja) サイバーセキュリティフレームワークボックス
US11683350B2 (en) System and method for providing and managing security rules and policies
US20230336573A1 (en) Security threat remediation for network-accessible devices
US20220311805A1 (en) System and Method for Providing and Managing Security Rules and Policies
US20240111513A1 (en) Pausing automatic software updates of virtual machines
CN117354051A (zh) 一种Opensearch Dashboards统一登录实现方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151228

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170102

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171213

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190102

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200121

Year of fee payment: 8