KR20190009859A - Security inspection respondence system - Google Patents
Security inspection respondence system Download PDFInfo
- Publication number
- KR20190009859A KR20190009859A KR1020170091293A KR20170091293A KR20190009859A KR 20190009859 A KR20190009859 A KR 20190009859A KR 1020170091293 A KR1020170091293 A KR 1020170091293A KR 20170091293 A KR20170091293 A KR 20170091293A KR 20190009859 A KR20190009859 A KR 20190009859A
- Authority
- KR
- South Korea
- Prior art keywords
- item
- security
- security log
- diagnostic
- unit
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Medical Treatment And Welfare Office Work (AREA)
- Storage Device Security (AREA)
Abstract
Description
본 발명은 보안감사 대응 시스템에 관한 것으로, 서로 다른 기관의 보안 감사에 대응할 수 있게 하는 보안감사 대응 시스템에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a security audit response system, and relates to a security audit response system capable of responding to security audit of different organizations.
현재 국내에서는 개인정보의 수집, 이용, 제공, 파기 등 보호 기준과 안정성 조치를 강화한 개인정보보호법인 2012년 3월 30일자로 본격 시행되고 있다. 이에 따라 개인정보보호법은 그간 공공기관과 정보통신사업자, 신용정보 제공업자 등 일부 사업자에 적용되던 개인정보보호 의무가 공공기관은 물론 서비스업, 1인 사업자, 의료기관 등 350만에 이르는 개인 정보처리자로 확대되었다.Currently, in Korea, personal information protection, such as the collection, use, provision, and destruction of personal information protection law and strengthened measures to strengthen the law, March 30, 2012 is being implemented in earnest. Accordingly, the Personal Information Protection Act extends the personal information protection obligation that has been applied to some organizations such as public institutions, information communication providers, and credit information providers to more than 3.5 million personal information processors, including public institutions, service companies, .
이에 따라 개인정보보호법 준수를 위하여 공공기관 및 기업에서는 기술적 조치, 관리적 조치 등을 수행하여 개인정보보호 의무를 수행하고 있다. 그리고 이러한 공공기관 및 기업에서는 개인정보보호 의무에 대한 이행 여부를 자체적으로 파악(진단)하여 정부기관의 감사시에 자료로 제출하고 있다.Accordingly, in order to comply with the Personal Information Protection Act, public institutions and companies perform technical measures and administrative measures to protect personal information. In addition, these public organizations and enterprises are self-identifying (diagnosing) the implementation of the obligation to protect personal information and submitting it as data during the audit of government agencies.
그러나 개인정보보호 의무에 대한 정부기관의 감사는 부처별로 시행되고 부처별로 진단지표항목이 동일하지 않으며, 진단지표항목별 평가 기준 또한 다르다. 이런 이유로 공공기관이나 기업 등에서의 정보보호 이행 여부 관리가 불편하고 또한 감사시마다 자료를 작성해야 하는 번거로움이 많다. 또한, 정보보안 이행이 잘 되고 있는지의 여부 및 평가를 감사시마다 준비하고 체크해야 하며, 보안 이행이 잘 되지 않는 부분을 파악하고 보완해야 하는 등 많은 시간과 노력이 필요로 한 문제가 있다.However, audits by government agencies on the obligation to protect personal information are conducted for each department, and the diagnostic indicators are not the same for each department. For this reason, it is inconvenient to manage the implementation of information protection in public institutions and companies, and it is also troublesome to write data at every audit. In addition, there is a problem that it takes a lot of time and effort to prepare and check whether the information security is well implemented and evaluated at every audit, and to identify and supplement the parts where the security implementation is not good.
본 발명이 해결하고자 하는 과제는 정부 부처별 감사를 보다 쉽고 빠르게 대응할 수 있게 하는 보안감사 대응 시스템을 제공하는 것이다.A problem to be solved by the present invention is to provide a system for responding to a security audit, which makes it possible to more easily and quickly respond to audits by government ministries.
상기 과제 이외에도 구체적으로 언급되지 않은 다른 과제를 달성하는 데 본 발명에 따른 실시예가 사용될 수 있다.Embodiments according to the present invention can be used to accomplish other tasks not specifically mentioned other than the above-described tasks.
상기 과제를 해결하기 위한 본 발명의 실시 In order to solve the above-mentioned problems,
본 발명의 하나의 실시예에 따르면, 정부 기관 감사별 진단지표에 대응하는 보안로그항목이 설정되고 보안로그항목별 진단 스케줄이 설정되며, 진단 스케줄에 따라 보안로그항목별 및 전체항목에 대한 평가가 자동으로 수행됨으로써, 보다 편리하고 쉽게 정부 기관의 감사에 대응할 수 있게 한다.According to one embodiment of the present invention, a security log item corresponding to a government agency audit diagnosis index is set, a diagnosis schedule is set for each security log item, and an evaluation for each security log item and all items is performed according to a diagnosis schedule This is done automatically so that it can be more convenient and easy to respond to audit by government agencies.
도 1은 일반적인 정부 기관별 진단지표의 관련성을 보인 도면이다.
도 2는 본 발명의 실시 예에 따른 진단지표항목과 보안로그항목 간의 관계를 보인 도면이다.
도 3은 본 발명의 실시 예에 따른 보안로그항목의 일 예를 보인 도면이다.
도 4는 본 발명의 실시 예에 따른 보안감사 대응 시스템의 블록 구성도이다.
도 5는 본 발명의 실시 예에 따른 정책 생성부와 시나리오 저장부의 구성을 보인 도면이다.
도 6은 본 발명의 실시 예에 따른 보안감사 대응 시스템에서 정책 시나리오를 생성하는 과정을 보인 순서도이다.
도 7은 본 발명의 실시 예에 따른 진단실행부의 블록 구성도이다.
도 8은 본 발명의 실시 예에 따른 진단실행부의 동작 순서도이다.FIG. 1 is a diagram showing the relevance of diagnostic indicators according to general government agencies.
2 is a diagram showing a relationship between a diagnostic index item and a security log item according to an embodiment of the present invention.
3 is a diagram illustrating an example of a security log item according to an embodiment of the present invention.
4 is a block diagram of a security audit response system according to an embodiment of the present invention.
5 is a diagram illustrating a configuration of a policy generation unit and a scenario storage unit according to an embodiment of the present invention.
6 is a flowchart illustrating a process of creating a policy scenario in the security audit response system according to the embodiment of the present invention.
7 is a block diagram of a diagnostic execution unit according to an embodiment of the present invention.
8 is an operational flowchart of a diagnostic execution unit according to an embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대해 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며 명세서 전체에서 동일 또는 유사한 구성요소에 대해서는 동일한 도면부호가 사용되었다. 또한, 널리 알려져 있는 공지기술의 경우 그 구체적인 설명은 생략한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings, which will be readily apparent to those skilled in the art to which the present invention pertains. The present invention may be embodied in many different forms and is not limited to the embodiments described herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and the same reference numerals are used for the same or similar components throughout the specification. In the case of publicly known technologies, a detailed description thereof will be omitted.
본 명세서에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In this specification, when a part is referred to as " including " an element, it is to be understood that it may include other elements as well, without departing from the other elements unless specifically stated otherwise. Also, the terms " part, " " module, " and the like, which are described in the specification, refer to a unit for processing at least one function or operation, and may be implemented by hardware or software or a combination of hardware and software.
이하에서는 첨부한 도면을 참조로 하여 본 발명의 실시 예에 따른 보안감사 대응 시스템을 설명한다.Hereinafter, a security audit response system according to an embodiment of the present invention will be described with reference to the accompanying drawings.
우선 도 1을 참조로 하여 본 발명의 안출 배경을 설명한다. 도 1은 일반적인 정부 기관별 진단지표의 관련성을 보인 도면이다. First, the background of the present invention will be described with reference to FIG. FIG. 1 is a diagram showing the relevance of diagnostic indicators according to general government agencies.
도 1을 참고하면, 다수의 정부기관은 개인정보보호법이나 기타 보안관련법에 대하여 기관이나 기업 등에서 제대로 준수하고 있는지를 감사(또는 진단)를 수행하고 있다. 예컨대, 행정자치부(A)에서는 정보통신기반 보호법에 따른 주요 정보통신 기반시설 취약점 진단 가이드라인을 제시하기 위하여, 국가정보원(B)에서는 정보보안 관리실태 평가를 위하여, 한국인터넷진흥원(C)에서는 ISMS 인증 가이드라인을 제시하기 위하여 감사를 진행하고 있다.Referring to FIG. 1, a number of government agencies are performing audits (or diagnoses) on whether the personal information protection law or other security-related laws are properly complied with by an institution or an enterprise. For example, in the Ministry of Government Administration and Home Affairs (A), the Korea Information Security Agency (C) has proposed ISMS (Information Security Management System) We are conducting audits to present the guidelines for certification.
이러한 감사를 위해 각 기관(A, B, C)에서는 각각 복수의 진단지표를 마련하고 있다. 포털사이트를 통해 확인되는 "2014년 공공기관 개인정보보호 관리수준 진단 메뉴얼"에 따르면, 진단지표는 복수개로 이루어지고, 각 진단지표는 적어도 하나 이상의 세부항목 즉, 진단지표항목으로 이루어져 있다.For these audits, each institution (A, B, C) has a plurality of diagnostic indicators. According to the "Personal Information Protection Management Level Diagnosis Manual for Public Organizations" in 2014, which is confirmed through a portal site, a plurality of diagnosis indexes are formed, and each diagnosis index is composed of at least one detailed item, that is, a diagnosis index item.
그리고 각 기관별 진단지표를 살펴보면, 각 기관은 도 1에 도시된 바와 같이 서로 중복된 진단지표를 가지고 있음이 파악되었다. 구체적인 예로, 행정자치부(A)와 국가정보원(B)은 진단지표 1, 진단지표 7 등이 중복되고, 행정자치부(A)와 한국인터넷진흥원(C)은 진단지표 5 및 진단지표 10등이 중복되며, 국가정보원(B)과 한국인터넷진흥원(C)은 진단지표 8 및 진단지표 13 등이 중복된다. 그리고 행정자치부(A)와 국가정보원(B) 및 한국인터넷진흥원(C) 모두는 진단지표 2, 진단지표 4, 진단지표 9, 진단지표 12 등이 중복된다.As shown in FIG. 1, each institution has a diagnosis index that is overlapped with each other. For example, the Ministry of Government Administration and Home Affairs (A) and the National Intelligence Service (B) have overlapping diagnostic indicators 1 and 7, and the Ministry of Government Administration and Home Affairs (A) and the Korea Internet Development Agency (C) And the National Intelligence Service (B) and the Korea Internet & Security Agency (C) duplicate the diagnostic indicator 8 and the diagnostic indicator 13. (2) Diagnostic index (4), Diagnostic index (9), and Diagnostic index (12) are duplicated in both the Ministry of Government Administration and Home Affairs (A), National Intelligence Service (B) and Korea Internet &
그리고, 하나의 기관 또는 기업을 기준으로 행정자치부(A)와 국가정보원(B) 및 한국인터넷진흥원(C)에서의 감사 일자를 보면, 예컨대 행정자치부(A)에서는 6월 1일이고, 국가정보원(B)에서는 같은 해 8월 10일이며, 한국인터넷진흥원(C)에서는 같은 해 11월 10일이다. 물론 이러한 날짜는 각 기관의 감사 일자가 서로 다름을 설명하기 위한 것으로, 임으로 가정한 날짜이다.(A), National Intelligence Service (B), and Korea Internet Development Agency (C) on the basis of one institution or enterprise, for example, the Ministry of Government Administration and Home Affairs (A) (B) on August 10 of the same year, and Korea Internet Promotion Agency (C) on November 10 of the same year. Of course, these dates are intended to illustrate the different audit dates for each institution and are assumed to be assumed.
또한, 동일한 진단지표에 대하여 각 감사기관마다 서로 다른 배점과 가중치가 부여되고, 점수를 산정하는 기준 즉, 배점 기준이 다르다. 예컨대, 행정자치부(A)에서의 배점 기준은 팩스 전송건수가 1 ~ 100건이면 100점으로 평가하고, 101~ 1000건이면 50점으로 평가하지만, 국가정보원(B)에서의 배점 기준은 1 ~ 50건이면 100점으로 평가하고, 51 ~ 100건이면 50점으로 평가한다.In addition, different scores and weights are assigned to the same diagnostic indicators for each auditing institution, and the criteria for calculating the scores, that is, the scoring standards, are different. For example, the rating standard in the Ministry of Government Administration and Home Affairs (A) is 100 points if the number of facsimile transmissions is 1 to 100, 50 points if the number of facsimile transmissions is 101 to 1000, If the number is 50, the score is 100. If the score is 51-100, the score is 50.
이와 같이 각 기관의 감사 일정이 다르고, 감사를 위한 진단지표가 각각 다르며 배점 기준이 다르기 때문에, 감사대상인 기업이나 기관에서는 한 기관의 감사를 준비하면 다시 다른 기관의 감사일정에 맞춰 다시 진단지표를 확인하고 진단지표 또는 진단지표항목의 담당자를 설정하고 자료를 준비하거나 보안평가를 하는 등의 대응을 준비해야 하기 때문에 많은 시간의 소비와 인력의 낭비가 있었다.As the audit schedule of each organization is different and the diagnostic indicators for auditing are different and the scoring criteria are different, the companies or organizations that are audited should prepare the audits of one organization and check the diagnostic indicators again according to the audit schedule of other organizations. There is a lot of waste of time and manpower because there is a need to prepare personnel for the diagnosis index or diagnosis index item, prepare the data, or make a security evaluation.
그러나, 도 1에 도시된 바와 같이 각 감사기관(A, B, C)에서의 진단지표는 서로 중복되는 부분이 많으며, 당해년도에 각 감사기관별 감사를 체계적으로 준비하게 되면, 이후년도 이후부터는 각 감사기관별 진단지표 또는 진단지표항목이 조금 바뀌게 되더라도 쉽게 감사를 준비할 수 있게 된다.However, as shown in FIG. 1, the diagnostic indicators in each of the auditors (A, B, and C) are overlapped with each other, and if audits are prepared systematically for each audit institution in the year, Even if the items of the diagnostic indicators or the diagnostic indicators are slightly changed, it becomes easy to prepare the audits.
본 발명은 이러한 각 감사기관별 중복되는 진단지표 및 중복되지 않는 진단지표를 파악하여 다음 감사할 기관의 진단지표 중 중복되지 않는 진단지표를 중점적으로 관리할 수 있게 하며, 나아가 이전년도의 감사 결과를 관리하여 당해년도의 각 감사기관별 감사에 보다 쉽게 대응할 수 있게 한다.The present invention grasps duplicate diagnostic indicators and non-redundant diagnostic indices according to each of these auditing organizations, thereby enabling to centrally manage diagnostic indices that are not duplicated among the diagnostic indices of the next auditing entity, and furthermore, To make it easier to respond to audits for each audit organization in the year concerned.
도 2는 본 발명의 실시 예에 따른 진단지표항목과 보안로그항목 간의 관계를 보인 도면이다. 도 2를 참고하면, 일반적으로 복합 보안시스템(또는 통합 보안시스템)(10)은 기업에서 내부 정보 유출 및 외부 침입을 방지하기 위하여 다양한 보안 솔루션을 도입하여 운영중인 서로 다른 종류 즉, 서로 다른 영역의 솔루션들이 결합해서 복합적으로 구성된 보안 체계의 시스템이다. 복합 보안시스템(10)으로는 대표적으로 ESM(Enterprise Security Management)과 SIEM(Security information and event management) 등이 있다.2 is a diagram showing a relationship between a diagnostic index item and a security log item according to an embodiment of the present invention. Referring to FIG. 2, in general, a complex security system (or an integrated security system) 10 introduces various security solutions to prevent internal information leakage and external intrusion in a company, It is a system of a security system composed of a combination of solutions. The
이러한 복합 보안시스템(10)은 다양한 보안 솔루션을 탑재하고 있는데, 예컨대 보안 솔루션으로는 인터넷의 라우터측(즉, 네트워크측)에 DDoS(분산 서비스 거부 공격), APT(Advanced Persistent Threats, 지능형 지속 위협) 등이 있고, 웹 서버측에 웹 방화벽이 있으며, DB(데이터베이스) 서버측에 DB 보안, 접근제어, 계정관리 등이 있고, 메일 서버측에 스팸 차단 솔루션이 있다. 또한 사용자 PC측에 백신, PC 취약성 파악, 정보유출방지(문서유출방지 포함) 등이 있고, 복합기나 파일서버 측에 문서보안 솔루션 등이 있다.The
그리고 복합 보안시스템(10)의 각 보안 솔루션을 통해서 보안로그가 수집되고, 수집되는 보안로그를 이용하면 복수의 보안로그항목(20)이 파악된다. 이렇게 파악된 복수의 보안로그항목(20)은 각 감사기관(A, B, C)의 진단지표를 위한 진단지표항목 중 하나에 해당된다. 즉, 하나의 진단지표항목은 적어도 하나의 보안로그항목으로 파악된다.The security log is collected through each security solution of the
여기서, 보안로그는 보안로그항목(도 3 참조)에 관련된 각종 데이터로서, 예컨대, 보안장비나 보안 솔루션에서 발생되는 로그 정보뿐만 아니라, 보안로그항목에 관련된 사용자 행위에 따른 보안 데이터를 포함한다.Here, the security log is various data related to the security log item (refer to FIG. 3), for example, not only the log information generated in the security device or the security solution, but also security data according to the user action related to the security log item.
보안로그항목의 일 예는 도 3과 같다. 도 3은 본 발명의 실시 예에 따른 보안로그항목의 일 예를 보인 도면이다. 도 3을 참고하면, 보안로그항목은 크게 내부정보 유출보안에 관련된 제1정보 및 외부침입보안에 관련된 제2 정보로 구분되며, 제2 정보는 다시 PC 취약성관련 보안로그 지수화에 관련된 정보, 악성코드관련 보안로그 지수화에 관련된 정보로 분류된다.An example of a security log entry is shown in FIG. 3 is a diagram illustrating an example of a security log item according to an embodiment of the present invention. Referring to FIG. 3, the security log item is divided into first information related to internal information leakage security and second information related to external intrusion security, and the second information is again classified into information related to security log indexing related to PC vulnerability, It is classified as information related to related security log indexing.
제1 정보로는 예컨대 PC 미암호화 주민번호 보관, PC 암호화 주민번호 보관, PC 미암호화 개인정보 보관, USB 미암호화 개인정보 저장, USB 암호화 개인정보 저장, 사외전송 미암호화 개인정보 전송, 메일 개인 정보 사외 발송, 시스템 개인정보 과다 조회 등이 있다.The first information may include, for example, a PC non-encrypted resident number storage, a PC encrypted resident number storage, a PC non-encrypted personal information storage, a USB non-encrypted personal information storage, a USB encrypted personal information storage, Outsourcing, and over-viewing of system personal information.
그리고 제2 정보로, PC 취약성관련 보안로그 지수화정보에 관련한 정보로는 윈도우(windows) 자동 로그온, PC 로그온 패스워드 안정성, 화면 보호기 설정, (사용자) 공유 폴더 설정, (전체) 공유 폴더 사용 여부, 비인가 사용자 접근 제어, IE, ID/PW 자동 완성 설정, 미사용(3개월) ActiveX 프로그램 등이 있고, 악성코드관련 보안로그 지수화정보로는 악성 코드 감염 치료 파일, 백신 치료 불가 파일, 악성코드 메일 감염 건수, 피싱 메일 감염 건수 등이 있다.The information related to PC vulnerability related security log exposition information includes Windows automatic logon, PC logon password stability, screen saver setting, (user) shared folder setting, (all) shared folder use, There are various types of security log indexing information such as user access control, IE, ID / PW autocomplete setting, and unused (3 months) ActiveX program. Malicious code related infection log files, And the number of phishing mail infections.
도 4는 본 발명의 실시 예에 따른 보안감사 대응 시스템의 블록 구성도이다. 도 4를 참고하면, 본 발명의 실시 예에 따른 보안감사 대응 시스템(100)은 사용자 입력부(110), 정책 생성부(120), 보안로그항목 DB(131), 진단지표항목 DB(132), 스케줄 DB(133), 담당자 DB(134), 시나리오 저장부(140) 및 진단실행부(150)를 포함하며, 경우에 따라 제재조치부(160)를 더 포함할 수 있다.4 is a block diagram of a security audit response system according to an embodiment of the present invention. 4, the security
사용자 입력부(110)는 사용자에 의해 조작되어 사용자가 원하는 명령이나 정보를 입력할 수 있게 하고, 사용자가 입력한 명령이나 정보를 전기적 신호로 출력한다.The
정책 생성부(120)는 사용자가 감사기관별 정책 시나리오를 생성할 수 있도록 하는 입력창을 화면상에 표시하여 사용자가 사용자 입력부(110)를 통해 자신이 원하는 정보를 입력 또는 선택할 수 있게 한다. 이때 사용자에게 제공되는 각종 입력창에 표시되는 정보는 보안로그항목 DB(131), 진단지표항목 DB(132), 스케줄 DB(133) 및 담당자 DB(134)에 저장된 정보를 기준으로 한다.The
여기서 정책 시나리오는 감사기관별 진단지표의 진단지표항목에 대응하는 보안로그항목을 매칭시키고, 매칭된 보안로그항목에 대한 정보(또는 자료)를 설정된 스케쥴에 따라 수집하도록 하는 것을 의미한다. 이때 정책 시나리오에는 수집되는 정보(또는 자료)를 관리하는 담당자가 설정되며, 담당자는 진단지표항목 또는 보안로그항목의 성격에 따라 한명 또는 여러명일 수 있다.Here, the policy scenario means that the security log item corresponding to the diagnostic index item of the diagnostic index for each audit institution is matched and the information (or data) about the matched security log item is collected according to the set schedule. At this time, the policy scenario is set up with a person who manages the information (or data) to be collected, and the person in charge may be one or more persons depending on the characteristics of the diagnosis index item or the security log item.
보안로그항목 DB(131)는 도 3에 도시된 모든 보안로그항목에 대한 정보 및 식별정보를 저장하고 있다. 보안로그항목 DB(131)에 저장되는 모든 보안로그항목에 대한 정보는 사용자에 의해 입력되어진 정보이며, 사용자에 의해 추가, 삭제, 변경되어 보안로그항목 DB(131)에 저장된 정보가 수정된다.The security
진단지표항목 DB(132)는 각 감사기관에서 요구하는 모든 종류의 진단지표 및 진단지표항목이 저장되어 있다. 그리고 진단지표항목 DB(132)는 각 감사기관의 이전 감사정보를 저장하는 경우이면, 각 감사기관에서 요구하는 모든 종류의 진단지표 및 진단지표항목이 저장되어 있으며, 각각의 진단지표항목은 관련된 하나의 진단지표와 매칭되어 있고, 각각의 진단지표는 관련된 적어도 하나의 감사기관의 식별정보와 매칭되어 있다. 이러한 매칭관계는 도 1 및 도 2에 도시된 바에 따른다. 진단지표항목 DB(132)에 저장되는 모든 진단지표 및 진단지표항목에 대한 정보 및 매칭 관계는 사용자에 의해 입력되거나 설정되며, 사용자에 의해 추가, 삭제, 변경된다.The diagnostic
한편, 진단지표항목 DB(132)에 진단지표에 대한 정보 및 식별정보, 진단지표항목에 대한 정보 및 식별정보만을 저장하고, 보안로그항목 DB(131)의 보안로그항목에 대한 정보를 기준으로 도 1 및 도 2에 따른 진단지표항목 및 진단지표 그리고 각 감사기관과의 매칭 관계를 설정할 수 있다.On the other hand, in the diagnostic
스케줄 DB(133)는 보안로그항목별 스케쥴 정보를 저장하고 있다. 그리고 스케줄 DB(133)는 진단지표항목 중 보안로그항목으로 파악되지 않는 자료(증적자료나 증빙자료 등)나 개인 또는 단체의 보안활동 체크 등과 같이 특정 담당자의 수작업에 의해 만들어지는 자료나 보안확인정보 등에 대한 보안항목을 더 포함하고 있을 수 있으며, 이 경우에도 해당 보안항목에 대한 스케줄 정보를 저장하고 있다. 보안로그항목별 스케줄 정보는 보안로그를 수집하는 수집 스케줄 정보와 진단지표를 평가하는 진단용 스케줄 정보로 구분된다. 이상적으로는, 모든 보안로그의 수집은 매일 이루어지는 것이 양호하므로, 수집 스케줄 정보는 별도로 설정하지 않아도 무방하다. 그러나 진단용 스케줄 정보는 진단지표항목의 종류에 따라 달라진다. 진단지표항목의 종류에 따라 달라지는 이유는 진단지표항목이 일별로 파악되는 보안 정보에 대한 평가이거나, 기간별로 집계되는 보안정보에 대한 평가일 수 있기 때문이다.The
예컨대, 진단용 스케줄 정보는 보안로그항목의 종류에 따라 매일, 일주일, 한달, 2달 등으로 구분된다. 보안항목에 대응된 스케줄 정보는 해당 감사의 감사일(감사날짜)을 기준으로 하는 설정되기도 한다. 예컨대 감사일로부터 일주일 전, 한달 전 등이다. For example, the diagnostic schedule information is classified into daily, weekly, monthly, or two-month depending on the type of the security log item. The schedule information corresponding to the security item is set based on the audit date of the relevant audit (audit date). For example, a week before the audit, a month ago.
담당자 DB(134)는 각 보안로그항목별 당담자의 정보를 저장하고 있다. 로그항목별 담당자는 한 명일 수 있고 2 이상일 수 있으며, 복수의 로그항목을 한 명의 담당자가 담당할 수 있다.The person in
시나리오 저장부(140)는 상기 정책 생성부에 의해 생성된 적어도 하나의 감사기관별 정책 시나리오, 생성된 정책 시나리오에 대응하여 설정한 스케줄, 담당자 및 점수요소를 저장한다. 물론 각 감사기관의 감사일이 서로 충분한 시간을 두고 있다면 시나리오 저장부(140)에 저장되는 정책 시나리오는 현재일로부터 가장 빠른 감사기관의 감사에 대응하는 정책 시나리오이다.The
진단실행부(150)는 시나리오 저장부(140)에 저장된 정책 시나리오에 따라 보안을 이행한다. 즉, 진단실행부(150)는 정책 시나리오에 따라 복합 보안시스템(10)으로부터 수집 스케줄 정보에 동기하여 보안로그항목에 대한 데이터(즉, 보안로그)을 수집하고, 진단용 스케줄 정보에 동기하여 각 진단지표 및 진단지표항목을 평가(진단)한다.The
제재조치부(160)는 진단실행부(150)에 의해 산정된 각 보안로그항목의 지수화 점수를 수신하고, 각 보안로그항목의 지수화 점수를 이용하여 진단지표 및 진단지표항목에 대한 진단결과 보고서를 생성하며, 지수화 점수가 설정 점수 이하로 낮은 보안로그항목을 파악하고 해당 보안로그항목을 담당하는 담당자에게 제재조치를 한다. 이때의 제재조치는 해당 담당자에게 담당하는 보안로그항목에 대한 보안 위험을 알리고 보안위험 해소를 하도록 지시하거나 불이익에 대한 정보를 담당자에게 제공한다.The
이하에서는 도 5를 참조로 하여 본 발명의 실시 예에 따른 정책 생성부(120)를 보다 상세히 설명한다. 도 5는 본 발명의 실시 예에 따른 정책 생성부와 시나리오 저장부의 구성을 보인 도면이다.Hereinafter, the
도 5를 참고하면, 정책 생성부(120)는 매칭부(121), 담당자 설정부(122), 스케줄 설정부(123) 및 점수요소 설정부(124)를 포함한다.5, the
매칭부(121)는 진단지표항목 DB(131)과 보안로그항목 DB(132)를 이용하여 사용자가 입력창을 통해 특정 감사기관의 진단지표에 대응하는 보안로그항목을 매칭시킬 수 있게 한다.The
기본적으로 매칭부(121)는 사용자가 입력한 감사기관에 대한 이전 감사시에 이용된 자료가 진단지표항목 DB(131)에 저장되어 있으면, 진단지표항목 DB(131)로부터 해당 감시기관에 대한 감사정보(진단지표, 진단지표항목, 진단지표항목에 매칭된 보안로그항목 등)을 파악하고 사용자 요구에 대응하여 입력창을 통해 표시한다.Basically, if the data used at the time of previous audit for the auditor inputted by the user is stored in the diagnostic
예컨대, 사용자가 감사기관을 행정자치부(A)로 입력하면, 매칭부(121)는 진단지표항목 DB(131)에 기 저장된 행정자치부(A)에 대응된 진단지표, 진단지표항목 및 진단지표항목에 매칭된 보안로그항목을 입력창을 통해 표시한다. 다른 예로, 입력창은 행정장치부(A)에 관련되어 저장된 진단지표 리스트를 보여주고, 사용자가 진단지표 리스트 중 하나를 선택하면 해당 진단지표의 진단지표항목 리스트가 표시되며, 진단지표항목 리스트 중 사용자가 하나를 선택하면 사용자가 선택한 진단지표항목에 매칭된 적어도 하나의 보안로그항목이 표시된다.For example, when the user inputs an auditing organization to the administrative orgent department A, the
이렇게 사용자는 입력창을 통해서 기 저장되어 있는 감사기관의 진단지표, 진단지표에 대응된 진단지표항목, 진단지표항목에 매칭된 보안로그항목을 확인하게 되고, 올해 해당 감사기관의 진단지표, 진단지표항목과 비교하게 되며, 비교시 작년과 변경 또는 삭제 또는 추가된 진단지표나 진단지표항목이 있는 경우에, 입력창을 통해 변경 또는 삭제 또는 추가된 진단지표나 진단지표항목에 대응하는 편집을 한다. 이때의 편집은 새로운 진단지표에 대한 내용을 입력하거나 새로운 진단지표항목을 등록 및 등록한 새로운 진단지표항목에 매칭할 보안로그항목을 찾아 설정하는 것이거나, 진단지표 및 진단지표항목을 삭제 및 삭제한 진단지표항목과 매칭되었던 보안로그항목을 삭제하거나, 진단지표 또는 진단지표항목의 내용을 변경하고 그에 따라 매칭되는 보안로그항목을 변경하는 등의 작업이다.In this way, the user can confirm the security log items matched with the diagnostic indicators of the auditing institution, the diagnostic indicators corresponding to the diagnostic indicators, and the diagnostic indicators stored in the input window, and the diagnostic indicators, diagnostic indicators If there is a diagnosis index or diagnosis index item added or changed or deleted or added in the last year of comparison, the comparison is made to the diagnostic index or diagnosis index item added or deleted or added through the input window. At this time, editing can be performed by inputting a new diagnostic indicator or by finding and setting a security log item to be matched with a new diagnostic indicator item in which a new diagnostic indicator item is registered and registered, or by deleting and deleting diagnostic indicators and diagnostic indicator items Deletes security log entries that have been matched with the indicator item, changes the contents of the diagnostic indicator or diagnostic indicator item, and changes the matching security log item accordingly.
한편, 매칭부(121)는 해당 감사기관에 대한 이전년도 또는 그 이전년도 등 이전에 받은 감사정보가 진단지표항목 DB(131)에 저장되어 있지 않으면, 사용자가 입력창을 통해 해당 감사기관의 각 진단지표 및 진단지표항목을 입력하고, 입력창을 통해 입력한 진단지표항목에 대응하는 보안로그항목을 보안로그항목 DB(101)에 저장된 보안로그항목 리스트 중 하나 이상과 매칭하여 설정할 수 있게 한다.On the other hand, if the previously received audit information such as the previous year or the previous year for the auditing institution is not stored in the diagnostic
매칭부(121)는 사용자에 의해 해당 감사기관에 대한 진단지표에 대응한 보안로그항목에 대한 매칭을 완료하면 감사기관의 식별정보에 대응하여 각 진단지표를 매칭시키고, 각 진단지표별로 대응된 진단지표항목을 매칭시키며, 각 진단지표항목별로 대응된 보안로그항목을 매칭하며, 이렇게 매칭한 정보를 "진단정책"으로 하여 진단정책 저장부(141)에 저장한다.When the
담당자 설정부(122)는 매칭부(121)에 의해 해당 감시기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 담당자를 담당자 DB(134)로부터 파악하고 해당 감사기관에 대응된 보안로그항목의 담당자로 설정하여 담당자 저장부(142)에 저장한다. 물론 담당자 설정부(122)는 담당자 저장부(142)에 기 저장된 해당 감사기관에 대응된 보안로그항목의 담당자 정보가 있으면, 기 저장된 담당자 정보에서 매칭부(121)를 통해 변경, 삭제, 추가되는 보안로그항목에 대해서만 담당자 편집을 할 수 있다. 그리고, 담당자 설정부(122)는 스케줄 설정부(123)와 연동하여 각 담당자의 이메일이나 전화 등으로 해당 담당자가 담당하는 보안로그항목이나 자료(증빙자료, 증적자료 등)을 알리고, 아울러 담당하는 보안로그항목에 대한 점검기일에 대한 정보를 알린다.When the security log entry is matched and registered in correspondence with the diagnostic indicator item of the monitoring organization by the
스케줄 설정부(123)는 매칭부(121)에 의해 해당 감시기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 진단용 스케줄을 스케줄 DB(133)로부터 파악하여 해당 감사기관의 진단지표항목에 대응된 보안로그항목의 진단용 스케줄로 설정하여 스케줄 저장부(143)에 저장한다. 물론 스케줄 설정부(123)는 스케줄 저장부(143)에 기 저장된 해당 감사기관에 대응된 보안로그항목의 진단용 스케줄 정보가 있으면, 기 저장된 스케줄 정보에서 매칭부(121)를 통해 변경, 삭제, 추가되는 보안로그항목에 대해서만 스케줄 편집을 할 수 있다.When the
점수요소 설정부(124)는 해당 감시기관의 각 진단지표별 배점기준이나 배점 및 가중치와 각 진단지표항목별 정책 점수를 입력창을 통해 설정할 수 있게 하며, 이렇게 설정된 배점 및 가중치는 해당 감시기관에 매칭된 진단지표와 진단지표항목에 매칭되어 점수요소 저장부(144)에 저장된다. 점수요소 설정부(124) 또한 점수요소 저장부(144)에 해당 감사기관에 대한 기 저장된 정보가 있는 경우이면 매칭부(121)를 통해 변경, 삭제, 추가되는 진단지표나 진단지표항목에 대해서만 점수 요소를 편집할 수 있다.The score
다음으로, 시나리오 저장부(140)는 진단정책 저장부(141), 담당자 저장부(142), 스케줄 저장부(143), 점수요소 저장부(144)를 포함한다. 시나리오 저장부(140)의 각 저장부(141 내지 144)에 저장된 정보는 적어도 해당 감사기관의 감사일까지 저장된 유지되고, 감사일이 지나면 삭제된다. 그리고 진단정책 저장부(141)에 저장된 정보는 진단지표항목 DB(131)에 옮겨져 저장되고, 담당자 저장부(142)에 저장된 정보는 담당자 DB(134)에 옮겨져 저장되며, 스케줄 저장부(143)에 저장된 정보는 스케줄 DB(133)에 저장되고, 점수요소 저장부(144)에 저장된 정보는 진단지표항목 DB(131)에 옮겨져 저장된다.Next, the
이하에서는 도 6을 참조로 하여 본 발명의 실시 예에 따른 보안감사 대응 시스템에서 정책 시나리오를 생성하는 과정을 설명한다. 도 6은 본 발명의 실시 예에 따른 보안감사 대응 시스템에서 정책 시나리오를 생성하는 과정을 보인 순서도로서, 시나리오 저장부(140)에 해당 감사기관의 감사정보가 저장되어 있지 않는 경우에 대한 것이다.Hereinafter, a process of generating a policy scenario in the security audit response system according to an embodiment of the present invention will be described with reference to FIG. FIG. 6 is a flowchart illustrating a process of creating a policy scenario in the security audit response system according to the embodiment of the present invention, when the audit information of the relevant audit institution is not stored in the
도 6을 참고하면, 사용자는 사용자 입력부(110)를 통해 정책 시나리오 작성을 요청하면, 정책 생성부(120)의 매칭부(121)가 화면상에 입력창을 표시한다(S601). 사용자는 입력창을 통해 작성할 정책 시나리오의 감사기관을 입력 또는 선택한다(S602).Referring to FIG. 6, when a user requests to create a policy scenario through the
사용자는 입력창을 통해 해당 감사기관에서 수행하는 진단지표 및 진단지표항목을 해당 감사기관과 매칭시키기 위해 진단지표항목(131)에 저장되어 있는 진단지표를 요청하고, 정책 생성부(120)는 진단지표 리스트를 화면상에 표시한다. 이에 사용자가 하나의 진단지표를 선택하거나 입력하여 등록을 요청하면(S603), 정책 생성부(120)는 진단지표를 등록함과 더불어 진단지표항목 DB(131)에 저장된 진단지표항목들을 리스트로 하여 화면상에 표시한다.The user requests a diagnostic indicator stored in the
사용자가 표시된 진단지표항목 리스트 중 적어도 하나를 선택하거나 또는 사용자가 직접 진단지표항목을 입력하면, 정책 생성부(120)는 선택 또는 입력한 진단지표항목을 해당 진단지표의 항목으로 매칭시킨다(S604).When the user selects at least one of the diagnostic index item list displayed or the user directly inputs the diagnostic index item, the
그리고 정책 생성부(120)는 사용자가 선택 또는 입력한 진단지표항목에 대응하는 보안로그항목을 매칭시키기 위하여 보안로그항목 DB(132)에 저장된 보안로그항목을 리스트로 하여 화면상에 표시하고, 이에 사용자는 보안로그항목 리스트 중 해당 진단지표항목에 대응하는 적어도 하나의 보안로그항목을 선택한다(S6605).The
그러면 정책 생성부(120)는 사용자가 선택한 적어도 하나의 보안로그항목을 해당 진단지표항목과 매칭하여 등록한다(S6607). 이러한 하나의 진단지표항목과 적어도 하나의 보안로그항목이 매칭되면, 정책 생성부(120)는 해당 보안로그항목에 대한 담당자를 해당 진단지표항목에 대응하여 설정하고(S608), 해당 보안로그항목에 대한 스케줄을 해당 진단지표항목에 대응하여 설정하며(S6609), 해당 진단지표 및 진단지표항목에 대한 배점이나 정책 점수를 사용자가 입력 또는 선택하게 하고 등록한다(S610).Then, the
한편, 하나의 진단지표에 대응된 모든 진단지표항목에 대한 보안로그항목과의 매칭이 완료되지 않으면(S611), S604 과정 내지 S610 과정이 반복된다. 그리고 모든 진단지표에 대한 보안로그항목과의 매칭이 완료되지 않으면(S6612), 다음 진단지표가 사용자에 의해 선택 또는 입력되어 S604 과정 내지 S611 과정이 반복 수행된다. On the other hand, if the matching with the security log item for all the diagnostic index items corresponding to one diagnostic indicator is not completed (S611), the processes of S604 to S610 are repeated. If the matching with the security log item for all the diagnostic indicators is not completed (S6612), the next diagnostic indicator is selected or inputted by the user, and steps S604 to S611 are repeated.
다른 실시 예로서, 시나리오 저장부(140)에 해당 감사기관의 감사정보가 저장되어 있는 경우가 있다. 이 경우에 정책 생성부(120)는 사용자가 해당 감사기관을 입력 또는 선택하면 해당 감사기관의 이전 감사정보를 파악한 후 파악한 진단지표, 진단지표항목 및 진단지표항목과 배점, 정책 점수, 가중치 등을 사용자에게 제공하고, 사용자가 현재 해당 감사기관의 진단지표, 진단지표항목, 배점, 정책 점수, 가중치를 파악하여 이전 감사때와 다른 정보만을 수정하여 등록할 수 있게 한다. 이러한 과정은 전술한 실시 예를 통해 통상의 기술자라면 용이하게 이해가 될 것이므로, 자세한 설명은 생략한다.In another embodiment, the
도 7은 본 발명의 실시 예에 따른 진단실행부의 블록 구성도이다. 도 7을 참고하면, 본 발명의 실시 예에 따른 진단 실행부(150)는 메타정보 생성부(151), 수집로직 생성부(152), 로그 수집부(153), 인터페이스부(154), 분석및파싱부(155) 및 지수화부(156)를 포함한다.7 is a block diagram of a diagnostic execution unit according to an embodiment of the present invention. 7, the
메타정보 생성부(151)는 대상장치인 복합 보안시스템(10)의 각 수집대상에 대한 메타정보를 생성한다. 이를 위해, 메타정보 생성부(151)는 사용자가 복수의 수집대상 중 하나의 수집대상에 대한 메타정보 설정을 요청하면, 이에 대응하여 해당 수집대상에 대한 로그포맷(log format)을 제공하고, 사용자가 로그포맷의 각 속성값 표시란에 속성값을 입력하면 입력된 속성값으로 메타정보를 생성한다.The meta
여기서 수집대상은 각종 보안장비 및 방화벽, 웹방화벽, TMS(Threat Management), ESM 등의 보안장비 및 DDoS, APT, 접근제어, 스팸메일, 서버취약점, 백신, PC 취약점 등의 보안솔루션을 포함한다.The collected objects include security equipment such as various security equipment, firewall, web firewall, TMS (Threat Management), ESM, and security solutions such as DDoS, APT, access control, spam mail, server vulnerability, vaccine and PC vulnerability.
로그포맷은 로그 수집부(153)가 해당 수집대상에 접속하여 필요로 하는 로그정보나 보안데이터 등의 보안로그를 수집할 수 있도록 하는 기초정보이며, 수집대상의 종류에 따라 입력하는 속성값이 다를 수 있다. 이러한 로그포맷에 포함된 속성값은 해당 수집대상의 종류 및 사양에 대한 제1 속성값, 해당 수집대상에 접속하기 위한 제2 속성값, 해당 수집대상으로부터 수집할 정보(또는 데이터)를 지정하는 제3 속성값을 포함한다.The log format is basic information that allows the
예를 들면, 수집할 정보가 “문서 암호화 정보”인 경우에 로그포맷에 포함된 각 속성값은 다음과 같다.For example, when the information to be collected is " document encryption information ", each attribute value included in the log format is as follows.
대상장비: DLP(Data Leakage Prevention) 또는 DB(DataBase)Target equipment: DLP (Data Leakage Prevention) or DB (DataBase)
장비 IP(Internet Protocol): 10.0.0.1Equipment IP (Internet Protocol): 10.0.0.1
DB 유형(종류): ORACLEDB type (type): ORACLE
접속 ID(Identification): userConnection ID (identification): user
패스워드: 1234567Password: 1234567
수집항목(수집할 정보): 로그번호, 매체제어코드, 사원번호, 프로세스명, 파일이름, 파일크기, 실행파일, 실행날짜, 아이피주소, 맥어드레스, 정규식패턴, 키워드 등Collected items (information to collect): log number, media control code, employee number, process name, file name, file size, executable file, execution date, IP address, MAC address, regular expression pattern, keyword, etc.
키 필드(Key field): 정규식 패턴Key field: Regular expression pattern
키 필드 분리자: 카테고리 “, “, 수치값 “:”Key field separator: Category "," Numeric value ":"
상기 각 속성값에서 제1 속성값은 대상장비, DB 유형이 해당되고, 제2 속성값은 장비 IP, 접속 ID, 패스워드가 해당되며, 제3 속성값은 나머지 속성값들이 해당된다.In the respective attribute values, the first attribute value corresponds to the target equipment and DB type, the second attribute value corresponds to the equipment IP, the connection ID, and the password, and the third attribute value corresponds to the remaining attribute values.
상기 대상장비는 보안정보(이하 “보안로그”라 한다)를 수집할 장비 또는 솔루션을 의미하며, 그에 따라 DLP는 데이터베이스 서버에 설치되어 있는 솔루션이므로 “DLP” 또는 “DB”로 표시된다. 상기에서 키 필드는 추출할 보안 정보를 포함하고 있는 데이터 필드 영역이고, 키 필드 분리자는 추출할 보안 정보(보안 데이터)를 키 필드 내에 기록된 데이터 중에서 식별할 수 있게 하는 식별자 즉, 분리자를 지정한다. 상기 속성값에 따르면, 카테고리 데이터는 “,”라는 분리자에 의해 구분되어 표시되어 있고, 수치값은 “:”라는 분리자에 의해 구분되어 표시되어 있다.The target device means equipment or solution for collecting security information (hereinafter referred to as "security log"), and DLP is displayed as "DLP" or "DB" since it is a solution installed in the database server. The key field is a data field area containing security information to be extracted, and a key field separator designates an identifier (i.e., a separator) for identifying security information (security data) to be extracted from the data recorded in the key field . According to the attribute value, the category data is divided and indicated by a separator of ", ", and the numerical value is displayed separately by a separator ": ".
다른 예로, 방화벽으로부터 보안로그를 수집하는 경우에는 다음과 같은 속성값을 가질 수 있다.As another example, when collecting a security log from a firewall, it can have the following attribute values.
대상장비 : 방화벽Target Equipment: Firewall
전송방식: SYSLOGTransmission method: SYSLOG
장비버전: 1.1.1Device version: 1.1.1
장비IP: 10.0.0.1Equipment IP: 10.0.0.1
아이디 : userUsername: user
패스워드: 1234Password: 1234
수집항목(수집할 정보): 로그번호, Soruce IP, Destination IP, Source Port, Destination Port, InBound Traffic, OutBound Traffic, Packet Size, Attack Type, Action 등Collection Items (Information to Collect): Log number, Soruce IP, Destination IP, Source Port, Destination Port, InBound Traffic, Outbound Traffic, Packet Size, Attack Type, Action
필드 분리자 : 카테고리 “=”, 수치값 “,”Field separator: category "=", numeric value ","
키 필드: Attack Type 필드 Key field: Attack Type field
상기 속성값에서 전송방식은 다른 보안장비나 솔루션인 경우에 FTP, UDP, SYSLOG, SNMP 등으로 표기될 수 있다.The transmission method in the attribute value may be expressed as FTP, UDP, SYSLOG, SNMP, or the like in case of other security equipment or solution.
이러한 메타정보 생성부(120)는 사용자가 입력한 속성값으로 메타정보를 생성하면 이를 수집로직 생성부(130)에 제공한다. The meta
수집로직 생성부(152)는 메타정보 생성부(151)로부터 수신된 메타정보로부터 각 속성값을 파악하고 파악한 속성값들을 이용하여 해당 수집대상에 자동 접속하여 목표하는 보안로그를 취득할 수 있는 프로그램 즉, 수집로직 프로그램을 생성한다. 수집로직 생성부(152)는 생성한 수집로직 프로그램을 로그 수집부(153)에 제공한다.The collection
로그 수집부(153)는 시나리오 저장부(140)에 포함된 스케줄 저장부(143)에 따라 수집로직 생성부(152)로부터 수신된 해당 수집대상에 대한 수집로직 프로그램을 실행시키고, 수집로직 프로그램을 통해 해당 수집대상으로부터 목표하는 각 보안로그를 수집한다. 한편, 수집하는 보안로그가 SYSLOG인 경우에는 해당 장비로부터 실시간으로 수신하게 되므로 별도의 스케줄 정보를 필요로 하지 않는다.The
인터페이스부(154)는 TCP, UDP, SYSLOG, FTP, OCI, ODBC, SNMP 등의 통신 인터페이스를 가지고 있으며, 로그 수집부(153)에 의해 하나의 수집로직 프로그램에 대응하여 하나의 통신 인터페이스를 통해 해당 수집대상에 접속하고 통신하게 한다. 인터페이스부(154)는 수집대상이 DB 서버, 웹 서버나 메일 서버 등과 같은 서버인 경우에 에이전트에 접속하고 에이전트로부터 보안로그를 수집한다. 여기서 에이전트는 각 서버로부터 보안로그를 수집하기 위한 장치이다.The
로그 수집부(153)에 의해 수집되는 보안로그의 종류 즉, 보안로그항목의 일 예가 도 3에 도시되어 있다.An example of the type of security log collected by the
분석및파싱부(155)는 로그 수집부(153)로부터 보안로그를 수신하고 수신한 보안로그의 종류 즉, 보안로그항목을 파악하며 파악한 보안로그항목을 데이터 유형별 및 보안위험종류별로 파싱하고 분석한다. 여기서, 로그 수집부(153)로부터 수집되는 보안로그는 메타정보에서 “키 필드”로 지정한 정보이며, 이와 더불어, 수집항목으로 지정한 정보인 로그번호, 매체제어코드, 사원번호, 프로세스명, 파일이름, 파일크기, 실행파일, 실행날짜, 아이피주소, 맥어드레스, 정규식패턴, 키워드 등이다. 수집항목으로 지정한 정보는 전술한 설명에 한정되지 않으며, 제작자에 의해 임의로 변경이 가능하다. 그리고 수신된 보안로그가 “SYSLOG”인 경우에는 날짜정보, ID 정보, 소스(source) 정보, 목적지(destination) 정보, 패킷정보 등을 포함한다. The analyzing and parsing
상기에서 데이터 유형은 크게 카운트형, 날짜형 및 OX형으로 분류된다. 카운트형은 사용자 행위를 카운트할 수 있는 데이터이고, 날짜형은 날짜를 기준으로 사용자의 행위가 보안에 위배되는지를 파악할 수 있는 데이터이며, OX는 사용자의 행위가 보안행위를 했는지 안했는지를 파악할 수 있는 데이터이다.The data types are classified into count type, date type, and OX type. The count type is data that can count user actions, and the date type is data that can detect whether the user's behavior is against security based on the date. OX can determine whether or not the user's action has performed a security action .
예를 들면, 카운트형 데이터는 사용자가 PC 내에서 미암호화한 개인정보 보유 파일을 몇 건 가지고 있는지 또는 개인정보를 몇 건 다운로드했는지 또는 복합기의 문서 출력을 몇 건 했는지 등을 파악할 수 있게 하는 데이터이다. 날짜형 데이터는 사용자가 백신 치료를 몇 일 동안 하지 않았는지(또는 몇일만에 했는지) 또는 오피스 보안 패치 점검을 몇 일 동안 하지 않았는지를 파악할 수 있게 하는 데이터이다. 그리고, OX형 데이터는 화면 보호기 설정 점검을 했는지, 윈도우 자동 로그온 점검을 했는지 등을 파악할 수 있게 하는 데이터이다.For example, the counted data is data that allows the user to know how many personal information files that the user has unencrypted in the PC, how many pieces of personal information have been downloaded, and how many documents are printed by the multifunction peripheral . The date data is data that allows the user to determine whether the user has not been vaccinating for several days (or within a few days), or for a few days of office security patch checks. And, the OX type data is data that enables to know whether or not the screen saver setting check is performed, the Windows automatic log-on check is performed, and the like.
상기에서 보안위험종류는 도 3에서 “중분류”에 해당하는 내용으로, 정보유출, 취약성, 악성코드감염가 있다.In the above, the type of security risk corresponds to "middle class" in FIG. 3, and information leakage, vulnerability, and malicious code infection exist.
분석및파싱부(155)의 동작을 SYSLOG를 예로 하여 설명하면, 분석및파싱부(155)는 SYSLOG 보안로그를 분석하여 데이터 유형 및 보안위험종류를 파악하고, 날짜정보, ID 정보, 소스(source) 정보, 목적지(destination) 정보, 패킷정보 등을 각각 추출한 후 추출한 정보를 파싱한 후 저장부(미도시)에 저장시킨다.The analysis and parsing
지수화부(156)는 분석및파싱부(155)에 의해 파싱되어 저장된 각 보안로그항목들에 대하여 해당 보안로그항목의 진단용 스케줄에 따라 점수요소 저장부(144)에 저장된 진단지표항목별 가중치와 정책 점수 및 배점 기준를 이용하여 진단지표항목과 매칭된 각 보안로그항목에 대한 지수화를 수행한다.For each security log item stored and parsed by the analyzing and parsing
지수화부(156)는 보안로그에 포함된 사용자 식별정보(IP, MAC 어드레스, 사번 등)를 통해 사용자를 파악하고, 보안로그의 발생 날짜를 파악하며, 각 보안위험종류별로 도 3에 도시된 보안로그항목에 대응하는 팩트(fact) 데이터를 보안로그로부터 파악하여 데이터 유형에 맞는 결과값을 산출한다. 예컨대, 결과값은 카운터형인 경우에 카운트값(건수 또는 횟수)에 해당하고, OX형인 경우에 “예(yes)” 또는 “아니오(no)”에 해당하며, 날짜형인 경우에 날짜의 기간(길이)에 해당한다.The
지수화부(156)는 각 보안로그항목에 대한 결과값을 산출하면, 결과값과 시나리오 저장부(140)에 저장된 각 보안로그항목별 배점 기준과 가중치 및 정책 점수를 이용하여 각 보안로그항목에 대한 점수를 산출한다. 예컨대, "PC 미암호화 주민번호 보관"이라는 보안로그항목에 매칭된 진단지표항목의 가중치가 "50"이고, 배점 기준 및 정책 점수가 "0"건일때 100점, 1 ~ 100건일때 70점, 101건 이상일 때 0점이라고 하며, 해당 보안로그항목의 결과값 즉, 주민번호 보관 건수가 90건인 경우에, 지수화부(156)는 해당 보안로그항목의 정책 점수가 70점이라고 파악하고, 그에 따라 지수화 점수 계산식인 (가중치 점수 * 정책 점수)/100에 대입하여 (50*70)/100=35점이라는 지수화 점수를 산정한다.The
이러한 지수화 점수 산정은 모든 보안로그항목에 대해 이루어지며, 지수화부(156)는 모든 보안로그항목의 지수화 점수를 제재조치부(160)에 제공한다.The exponentiation score calculation is performed for all the security log items, and the
이하에서는 도 8을 참조로 하여 본 발명의 실시 예에 따른 진단실행부의 동작을 설명한다. 도 8은 본 발명의 실시 예에 따른 진단실행부의 동작 순서도이다.Hereinafter, the operation of the diagnostic execution unit according to the embodiment of the present invention will be described with reference to FIG. 8 is an operational flowchart of a diagnostic execution unit according to an embodiment of the present invention.
도 8을 참고하면, 사용자는 사용자 입력부(110)를 통해 복합 보안시스템의 각 수집대상(즉, 보안장비 및 각 솔루션) 중 하나에 대한 메타정보 설정을 요청하면, 메타정보 생성부(120)에서 로그포맷 입력화면을 제공한다. 그러면 사용자는 로그포맷 입력화면을 통해 로그포맷을 입력할 하나의 수집대상을 선택하고 선택한 수집대상에 대한 로그포맷의 각 속성값 표시란에 속성값을 입력한다.Referring to FIG. 8, when a user requests meta information setting for one of the collection targets (i.e., security equipment and solutions) of the complex security system through the
이에 메타정보 생성부(120)는 사용자가 입력한 로그포맷의 속성값을 저장(설정)하고(S801), 로그포맷의 각 속성값으로 해당 수집대상에 대한 메타정보를 생성한다(S802). 사용자는 복합 보안시스템으로부터 보안로그를 수집하기 전에 상기 S801 과정 및 S802 과정을 통해 모든 보안장비 및 보안 솔루션에 대한 로그포맷의 속성값 입력 및 이에 대응하는 메타정보를 생성한다.The meta
메타정보 생성부(151)는 하나의 수집대상에 대한 메타정보를 생성하면 생성한 메타정보를 수집로직 생성부(130)에 제공하고, 수집로직 생성부(152)는 수신된 메타정보로부터 각 속성값을 파악하고 파악한 속성값들을 이용하여 해당 수집대상에 자동 접속하여 목표하는 보안로그를 취득할 수 있는 수집로직 프로그램을 생성하고, 생성한 수집로직 프로그램을 로그 수집부(153)에 제공한다(S803).The meta
로그 수집부(153)는 수신된 수집로직 프로그램을 해당 수집대상에 대응하여 설정하며, 이러한 설정 동작으로 모든 수집대상에 대응하여 수집로직 프로그램을 설정한다(S804).The
로그 수집부(153)는 스케줄 저장부(143)에 저장된 각 보안로그항목별 제1 스케줄 정보에 따라 각 수집로직 프로그램을 실행시켜 인터페이스부(154)를 통해 각각의 수집대상에 접속하고 각 수집대상으로부터 보안로그를 수집한다(S805). The
로그 수집부(153)에서 수집된 각 보안로그는 분석및파싱부(155)에 제공되고, 분석및파싱부(160)는 수신한 보안로그를 분석하여 보안로그항목을 식별하고 보안로그항목을 데이터 유형별 및 보안위험종류별로 파싱한다(S806).Each security log collected by the
지수화부(156)는 분석및파싱부(155)에 의해 파싱된 데이터에서 팩트 데이터를 파악하며(S807), 팩트 데이터를 이용하여 결과값을 산출하고 저장한다(S808). The
보안로그 지수화부(156)는 각 보안로그항목의 결과값 각각에 대응하는 정책 점수를 파악하고(S809), 정책 점수와 보안로그항목에 대응된 가중치 점수를 이용하여 지수화 점수를 산정한다(S810).The
상기에서 S809 과정 내지 S810 과정은 보안로그항목별 제2 스케줄에 따라 수행된다.In the above, steps S809 to S810 are performed according to the second schedule for each security log item.
이상에서 본 발명의 실시에에 대하여 상세하게 설명하였으나, 본 발명의 권리범위가 이에 한정되는 것은 아니며 본 발명이 속하는 분야에서 통상의 지식을 가진 자가 여러 가지로 변형 및 개량한 형태 또한 본 발명의 권리범위에 속한다.While the present invention has been particularly shown and described with reference to exemplary embodiments, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It belongs to the scope.
100 : 보안감사 대응 시스템
110 : 사용자 입력부
120 : 정책 생성부
131 : 보안로그항목 DB
132 : 진단지표항목 DB
133 : 스케줄 DB
134 : 담당자 DB
140 : 시나리오 저장부
150 : 진단실행부
160 : 제재조치부
121 : 매칭부
122 : 담당자 설정부
123 : 스케줄 설정부
124 : 점수요소 설정부100: Security audit response system 110: User input
120: Policy generation unit 131: Security log entry DB
132: diagnosis index item DB 133: schedule DB
134: Person in charge DB
140: scenario storage unit 150: diagnosis execution unit
160: sanction unit 121: matching unit
122: Person in charge setting unit 123: Schedule setting unit
124: score element setting section
Claims (5)
각 감사기관에서 요구하는 모든 종류의 진단지표 및 진단지표항목이 저장되어 있는 진단지표항목 DB,
보안로그항목별 진단지표항목을 진단하기 위한 진단용 스케줄 정보를 저장하고 있는 스케줄 DB,
각 보안로그항목별 또는 진단지표항목별 당담자의 정보를 저장하고 있는 담당자 DB,
상기 보안로그항목 DB, 진단지표항목 DB, 상기 스케줄 DB 및 상기 담당자 DB와 연계하며, 사용자가 감사기관별 정책 시나리오를 생성할 수 있도록 하는 입력창을 화면상에 표시하여 사용자가 상기 입력창을 통해 입력한 정보에 따라 감사기관별 정책 시나리오를 생성하고, 생성된 정책 시나리오에 대응하여 보안로그항목 또는 진단지표항목의 담당자와 상기 진단용 스케줄 및 점수요소를 설정하는 정책 생성부,
상기 정책 생성부에 의해 생성된 적어도 하나의 감사기관별 정책 시나리오, 생성된 정책 시나리오에 대응하여 설정한 진단용 스케줄, 담당자 정보 및 점수요소를 저장하는 시나리오 저장부, 그리고
복합 보안시스템의 각 수집대상으로부터 보안로그항목에 대한 보안로그을 수집하고, 상기 수집한 보안로그에 대응한 보안로그항목에 대하여 상기 진단용 스케줄에 따라 각 보안로그항목의 지수화 점수를 산출하고, 산출한 보안로그항목의 지수화 점수를 이용하여 각 진단지표 및 진단지표항목을 평가하는 진단실행부
를 포함하는 보안감사 대응 시스템.A security log entry DB storing information and identification information of all security log entries,
Diagnostic index items DB, which stores all types of diagnostic indicators and diagnostic index items required by each audit organization,
A schedule DB that stores diagnostic schedule information for diagnosing a diagnosis index item for each security log item,
The DB of the person who stores the information of the individual by each security log item or the diagnosis index item,
An input window for allowing the user to create a policy scenario for each audit institution in association with the security log entry DB, the diagnostic index entry DB, the schedule DB, and the agent DB, A policy generating unit for generating a policy scenario for each audit institution in accordance with the information, setting a person in charge of the security log item or the diagnostic indicator item and the diagnostic schedule and score elements corresponding to the generated policy scenario,
A scenario storage unit for storing at least one policy-specific audit scenario generated by the policy generation unit, a diagnostic schedule set in correspondence with the generated policy scenario, personnel information and score elements, and
Collecting a security log for a security log item from each collection target of the multiple security system, calculating an exponential score of each security log item according to the diagnostic schedule for a security log item corresponding to the collected security log, A diagnostic execution unit for evaluating each diagnostic index and the diagnostic index item using the exponential score of the log item
The security audit response system.
상기 진단실행부에 의해 산정된 각 보안로그항목의 지수화 점수를 이용하여 진단지표 및 진단지표항목에 대한 진단결과 보고서를 생성하며, 지수화 점수가 설정 점수 이하로 낮은 보안로그항목을 파악하고 해당 보안로그항목을 담당하는 담당자에게 제재조치하는 제재조치부를 더 포함하는 보안감사 대응 시스템.The method of claim 1,
Generates a diagnosis result report for the diagnosis index and the diagnosis index item by using the exponential score of each security log item calculated by the diagnosis execution unit, identifies the security log item whose exponential score is lower than the set score, A security audit response system further including a sanctioning section for sanctioning the person in charge of the item.
상기 정책 생성부는,
상기 진단지표항목 DB와 상기 보안로그항목 DB를 이용하여 사용자가 지시에 따라 특정 감사기관의 각 진단지표항목에 대응하는 보안로그항목을 매칭시켜 등록하는 매칭부,
상기 매칭부에 의해 해당 감시기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 담당자를 상기 담당자 DB로부터 파악하고 해당 감사기관에 대응된 보안로그항목의 담당자로 설정하여 상기 시나리오 저장부에 저장하는 담당자 설정부,
상기 매칭부에 의해 해당 감시기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 진단용 스케줄을 파악하고 파악한 진단용 스케줄을 상기 시나리오 저장부에 저장하는 스케줄 설정부, 그리고
상기 매칭부에 의해 해당 감시기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대응된 진단지표항목에 대한 배점기준이나 배점 및 가중치를 사용자의 지시에 따라 매칭하고 등록하는 점수요소 설정부를 포함하는 보안감사 대응 시스템.3. The method according to claim 1 or 2,
Wherein the policy generation unit includes:
A matching unit for matching and registering a security log item corresponding to each diagnostic indicator item of a specific audit institution according to an instruction by the user using the diagnostic indicator item DB and the security log item DB,
When the security log entry is registered in correspondence with the diagnosis index item of the monitoring organization by the matching unit, the contact person is identified from the contact person DB for the registered security log item, and the security log item corresponding to the security log item And stores it in the scenario storage unit,
A schedule setting unit for, when the security log entry is matched with the diagnostic indicator item of the monitoring organization by the matching unit, registering the diagnostic schedule for the registered security log item and storing the diagnosed schedule in the scenario storage unit, And
When the security log entry is registered in a matching manner with the diagnostic indicator item of the monitoring organization by the matching unit, the rating standard, the score, and the weight of the diagnostic indicator item corresponding to the registered security log item are matched according to the user's instruction A security audit response system including a score factor setting unit to be registered.
상기 진단실행부는,
사용자에 의해 입력된 복합 보안시스템의 각 수집대상에 대한 로그포맷의 속성값으로 해당 수집대상에 대한 메타정보를 생성하는 메타정보 생성부,
상기 메타정보로부터 각 속성값을 파악하고 파악한 속성값들을 이용하여 해당 수집대상으로부터 목표하는 보안로그를 취득할 수 있는 수집로직 프로그램을 생성하는 수집로직 생성부,
각 수집대상별 수집로직 프로그램을 이용하여 각 수집대상으로부터 보안로그를 수집하는 로그 수집부,
상기 로그 수집부에서 수집한 보안로그에 대해 보안로그항목을 파악하고 데이터 유형별 및 보안위험종류별로 파싱하는 분석및파싱부, 그리고
상기 분석및파싱부에 의해 파싱되어 저장된 각 보안로그항목들에 대하여 해당 보안로그항목에 대응된 진단지표항목의 가중치와 정책 점수 및 배점 기준를 이용하여 해당 진단지표항목과 매칭된 각 보안로그항목에 대한 지수화 점수를 산출하는 지수화부를 포함하는 보안감사 대응 시스템.3. The method according to claim 1 or 2,
Wherein the diagnosis execution unit comprises:
A meta information generation unit for generating meta information about a collection object as an attribute value of a log format for each collection target of the composite security system input by the user,
A collection logic generating unit for acquiring a plurality of attribute values from the meta information and generating a collection logic program capable of acquiring a target security log from a collection target using the acquired attribute values,
A log collector for collecting a security log from each collection object using a collection logic program for each collection object,
An analysis and parsing unit for grasping security log items for the security log collected by the log collecting unit and parsing the security log data for each data type and security risk type,
For each security log item parsed and stored by the analyzing and parsing unit, for each security log item matched with the corresponding diagnostic indicator item, using the weight of the diagnostic indicator item corresponding to the corresponding security log item, the policy score, And an indexing unit for calculating an exponentiation score.
상기 로그 수집부는 매일마다 각 수집대상별 수집로직 프로그램을 실행하여 각 수집대상으로부터 보안로그를 수집하고,
상기 지수화부는 각 보안로그항목에 대응하여 설정된 상기 진단용 스케줄에 따라 동작하여 해당 보안로그항목에 대한 지수화 점수를 산출하는 보안감사 대응 시스템.
5. The method of claim 4,
The log collecting unit collects the security log from each collection target by executing the collecting logic program for each collection object every day,
Wherein the exponentiation unit operates according to the diagnostic schedule set corresponding to each security log item to calculate an exponentiation score for the corresponding security log item.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170091293A KR102055893B1 (en) | 2017-07-19 | 2017-07-19 | Security inspection respondence system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170091293A KR102055893B1 (en) | 2017-07-19 | 2017-07-19 | Security inspection respondence system |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190009859A true KR20190009859A (en) | 2019-01-30 |
KR102055893B1 KR102055893B1 (en) | 2019-12-16 |
Family
ID=65277190
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170091293A KR102055893B1 (en) | 2017-07-19 | 2017-07-19 | Security inspection respondence system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102055893B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210083607A (en) * | 2019-12-27 | 2021-07-07 | 우정우 | System and method for exponentiation of security element to analyze danger |
KR102298033B1 (en) * | 2021-02-15 | 2021-09-06 | 광주광역시 | Audit Data Analysis System Based on Text Mining |
KR20230099380A (en) * | 2021-12-27 | 2023-07-04 | 주식회사 엘로이큐브 | Firewall policy application automation server, system having the same, and method using the same |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100752677B1 (en) * | 2006-04-19 | 2007-08-29 | ㈜ 메타리스크 | Information technology risk management system and method the same |
-
2017
- 2017-07-19 KR KR1020170091293A patent/KR102055893B1/en active IP Right Grant
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210083607A (en) * | 2019-12-27 | 2021-07-07 | 우정우 | System and method for exponentiation of security element to analyze danger |
KR102298033B1 (en) * | 2021-02-15 | 2021-09-06 | 광주광역시 | Audit Data Analysis System Based on Text Mining |
KR20230099380A (en) * | 2021-12-27 | 2023-07-04 | 주식회사 엘로이큐브 | Firewall policy application automation server, system having the same, and method using the same |
Also Published As
Publication number | Publication date |
---|---|
KR102055893B1 (en) | 2019-12-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cichonski et al. | Computer security incident handling guide | |
US20110202969A1 (en) | Anomalous activity detection | |
Horák et al. | GDPR compliance in cybersecurity software: A case study of DPIA in information sharing platform | |
JP2003216576A (en) | Method and system for monitoring weak points | |
KR101292640B1 (en) | Method for Risk Management using Web based RMS linked with SSO | |
Mutemwa et al. | Integrating a security operations centre with an organization’s existing procedures, policies and information technology systems | |
KR20140035146A (en) | Apparatus and method for information security | |
Cichonski et al. | Computer security incident handling guide | |
KR102055893B1 (en) | Security inspection respondence system | |
KR102295488B1 (en) | System and method for exponentiation of security element to analyze danger | |
Bates et al. | Can data provenance put an end to the data breach? | |
Bobbert et al. | Zero trust validation: from practical approaches to theory | |
Makura et al. | Digital forensic readiness in operational cloud leveraging ISO/IEC 27043 guidelines on security monitoring | |
Casey et al. | Forensic analysis as iterative learning | |
Candra et al. | ISMS planning based on ISO/IEC 27001: 2013 using analytical hierarchy process at gap analysis phase (Case study: XYZ institute) | |
Yuliana et al. | Best practice framework for information technology security governance in Indonesian government | |
Dorofee et al. | Incident Management Capability Assessment | |
Flynn et al. | Cloud service provider methods for managing insider threats: Analysis phase ii, expanded analysis and recommendations | |
Brancik | Insider computer fraud: an in-depth framework for detecting and defending against insider IT attacks | |
Kahraman | Evaluating IT security performance with quantifiable metrics | |
Mogull | Understanding and selecting a database activity monitoring solution | |
Azkia et al. | Reconciling IHE-ATNA profile with a posteriori contextual access and usage control policy in healthcare environment | |
US20060107313A1 (en) | Method, system, and medium for the analysis of information system security | |
Dulaney | CompTIA Security+ Deluxe Study Guide Recommended Courseware: Exam SY0-301 | |
Agrawal et al. | Missing Values Prediction for Cyber Vulnerability Analysis in Academic Institutions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |