KR20190009859A - Security inspection respondence system - Google Patents

Security inspection respondence system Download PDF

Info

Publication number
KR20190009859A
KR20190009859A KR1020170091293A KR20170091293A KR20190009859A KR 20190009859 A KR20190009859 A KR 20190009859A KR 1020170091293 A KR1020170091293 A KR 1020170091293A KR 20170091293 A KR20170091293 A KR 20170091293A KR 20190009859 A KR20190009859 A KR 20190009859A
Authority
KR
South Korea
Prior art keywords
item
security
security log
diagnostic
unit
Prior art date
Application number
KR1020170091293A
Other languages
Korean (ko)
Other versions
KR102055893B1 (en
Inventor
곽동선
Original Assignee
에스2정보 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스2정보 주식회사 filed Critical 에스2정보 주식회사
Priority to KR1020170091293A priority Critical patent/KR102055893B1/en
Publication of KR20190009859A publication Critical patent/KR20190009859A/en
Application granted granted Critical
Publication of KR102055893B1 publication Critical patent/KR102055893B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Medical Treatment And Welfare Office Work (AREA)
  • Storage Device Security (AREA)

Abstract

The present invention relates to a security inspection response system comprising a policy generating unit, a scenario storing unit, and a diagnosis performing unit. The policy generating unit connects a security log item DB, a diagnosis index item DB, a schedule DB, and a manager DB, displays an inputting window with which a user can generate a policy scenario for each inspection institution, on a screen in order to generate a policy scenario for each inspection institution depending on information inputted by the user through the inputting window, and sets a diagnosis schedule and a score element and managers of a security log item or a diagnosis index item corresponding to the generated policy scenario. The scenario storing unit stores at least one policy scenario for each inspection institution, which is generated by the policy generating unit, a diagnosis schedule, manager information, and a score element which are set corresponding to the generated policy scenario. The diagnosis performing unit collects a security log for the security log item from each collecting object of a complex security system, calculates an indexed score of each security log item depending on the diagnosis schedule for the security log item corresponding to the collected security log, and evaluates each diagnosis index and each diagnosis index item by using the calculated indexed score of the security log item. The present invention can conveniently and easily correspond to an inspection of a government institution.

Description

보안감사 대응 시스템{SECURITY INSPECTION RESPONDENCE SYSTEM }{SECURITY INSPECTION RESPONDENCE SYSTEM}

본 발명은 보안감사 대응 시스템에 관한 것으로, 서로 다른 기관의 보안 감사에 대응할 수 있게 하는 보안감사 대응 시스템에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a security audit response system, and relates to a security audit response system capable of responding to security audit of different organizations.

현재 국내에서는 개인정보의 수집, 이용, 제공, 파기 등 보호 기준과 안정성 조치를 강화한 개인정보보호법인 2012년 3월 30일자로 본격 시행되고 있다. 이에 따라 개인정보보호법은 그간 공공기관과 정보통신사업자, 신용정보 제공업자 등 일부 사업자에 적용되던 개인정보보호 의무가 공공기관은 물론 서비스업, 1인 사업자, 의료기관 등 350만에 이르는 개인 정보처리자로 확대되었다.Currently, in Korea, personal information protection, such as the collection, use, provision, and destruction of personal information protection law and strengthened measures to strengthen the law, March 30, 2012 is being implemented in earnest. Accordingly, the Personal Information Protection Act extends the personal information protection obligation that has been applied to some organizations such as public institutions, information communication providers, and credit information providers to more than 3.5 million personal information processors, including public institutions, service companies, .

이에 따라 개인정보보호법 준수를 위하여 공공기관 및 기업에서는 기술적 조치, 관리적 조치 등을 수행하여 개인정보보호 의무를 수행하고 있다. 그리고 이러한 공공기관 및 기업에서는 개인정보보호 의무에 대한 이행 여부를 자체적으로 파악(진단)하여 정부기관의 감사시에 자료로 제출하고 있다.Accordingly, in order to comply with the Personal Information Protection Act, public institutions and companies perform technical measures and administrative measures to protect personal information. In addition, these public organizations and enterprises are self-identifying (diagnosing) the implementation of the obligation to protect personal information and submitting it as data during the audit of government agencies.

그러나 개인정보보호 의무에 대한 정부기관의 감사는 부처별로 시행되고 부처별로 진단지표항목이 동일하지 않으며, 진단지표항목별 평가 기준 또한 다르다. 이런 이유로 공공기관이나 기업 등에서의 정보보호 이행 여부 관리가 불편하고 또한 감사시마다 자료를 작성해야 하는 번거로움이 많다. 또한, 정보보안 이행이 잘 되고 있는지의 여부 및 평가를 감사시마다 준비하고 체크해야 하며, 보안 이행이 잘 되지 않는 부분을 파악하고 보완해야 하는 등 많은 시간과 노력이 필요로 한 문제가 있다.However, audits by government agencies on the obligation to protect personal information are conducted for each department, and the diagnostic indicators are not the same for each department. For this reason, it is inconvenient to manage the implementation of information protection in public institutions and companies, and it is also troublesome to write data at every audit. In addition, there is a problem that it takes a lot of time and effort to prepare and check whether the information security is well implemented and evaluated at every audit, and to identify and supplement the parts where the security implementation is not good.

본 발명이 해결하고자 하는 과제는 정부 부처별 감사를 보다 쉽고 빠르게 대응할 수 있게 하는 보안감사 대응 시스템을 제공하는 것이다.A problem to be solved by the present invention is to provide a system for responding to a security audit, which makes it possible to more easily and quickly respond to audits by government ministries.

상기 과제 이외에도 구체적으로 언급되지 않은 다른 과제를 달성하는 데 본 발명에 따른 실시예가 사용될 수 있다.Embodiments according to the present invention can be used to accomplish other tasks not specifically mentioned other than the above-described tasks.

상기 과제를 해결하기 위한 본 발명의 실시 In order to solve the above-mentioned problems,

본 발명의 하나의 실시예에 따르면, 정부 기관 감사별 진단지표에 대응하는 보안로그항목이 설정되고 보안로그항목별 진단 스케줄이 설정되며, 진단 스케줄에 따라 보안로그항목별 및 전체항목에 대한 평가가 자동으로 수행됨으로써, 보다 편리하고 쉽게 정부 기관의 감사에 대응할 수 있게 한다.According to one embodiment of the present invention, a security log item corresponding to a government agency audit diagnosis index is set, a diagnosis schedule is set for each security log item, and an evaluation for each security log item and all items is performed according to a diagnosis schedule This is done automatically so that it can be more convenient and easy to respond to audit by government agencies.

도 1은 일반적인 정부 기관별 진단지표의 관련성을 보인 도면이다.
도 2는 본 발명의 실시 예에 따른 진단지표항목과 보안로그항목 간의 관계를 보인 도면이다.
도 3은 본 발명의 실시 예에 따른 보안로그항목의 일 예를 보인 도면이다.
도 4는 본 발명의 실시 예에 따른 보안감사 대응 시스템의 블록 구성도이다.
도 5는 본 발명의 실시 예에 따른 정책 생성부와 시나리오 저장부의 구성을 보인 도면이다.
도 6은 본 발명의 실시 예에 따른 보안감사 대응 시스템에서 정책 시나리오를 생성하는 과정을 보인 순서도이다.
도 7은 본 발명의 실시 예에 따른 진단실행부의 블록 구성도이다.
도 8은 본 발명의 실시 예에 따른 진단실행부의 동작 순서도이다.FIG. 1 is a diagram showing the relevance of diagnostic indicators according to general government agencies.
2 is a diagram showing a relationship between a diagnostic index item and a security log item according to an embodiment of the present invention.
3 is a diagram illustrating an example of a security log item according to an embodiment of the present invention.
4 is a block diagram of a security audit response system according to an embodiment of the present invention.
5 is a diagram illustrating a configuration of a policy generation unit and a scenario storage unit according to an embodiment of the present invention.
6 is a flowchart illustrating a process of creating a policy scenario in the security audit response system according to the embodiment of the present invention.
7 is a block diagram of a diagnostic execution unit according to an embodiment of the present invention.
8 is an operational flowchart of a diagnostic execution unit according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대해 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며 명세서 전체에서 동일 또는 유사한 구성요소에 대해서는 동일한 도면부호가 사용되었다. 또한, 널리 알려져 있는 공지기술의 경우 그 구체적인 설명은 생략한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings, which will be readily apparent to those skilled in the art to which the present invention pertains. The present invention may be embodied in many different forms and is not limited to the embodiments described herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and the same reference numerals are used for the same or similar components throughout the specification. In the case of publicly known technologies, a detailed description thereof will be omitted.

본 명세서에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In this specification, when a part is referred to as " including " an element, it is to be understood that it may include other elements as well, without departing from the other elements unless specifically stated otherwise. Also, the terms " part, " " module, " and the like, which are described in the specification, refer to a unit for processing at least one function or operation, and may be implemented by hardware or software or a combination of hardware and software.

이하에서는 첨부한 도면을 참조로 하여 본 발명의 실시 예에 따른 보안감사 대응 시스템을 설명한다.Hereinafter, a security audit response system according to an embodiment of the present invention will be described with reference to the accompanying drawings.

우선 도 1을 참조로 하여 본 발명의 안출 배경을 설명한다. 도 1은 일반적인 정부 기관별 진단지표의 관련성을 보인 도면이다. First, the background of the present invention will be described with reference to FIG. FIG. 1 is a diagram showing the relevance of diagnostic indicators according to general government agencies.

도 1을 참고하면, 다수의 정부기관은 개인정보보호법이나 기타 보안관련법에 대하여 기관이나 기업 등에서 제대로 준수하고 있는지를 감사(또는 진단)를 수행하고 있다. 예컨대, 행정자치부(A)에서는 정보통신기반 보호법에 따른 주요 정보통신 기반시설 취약점 진단 가이드라인을 제시하기 위하여, 국가정보원(B)에서는 정보보안 관리실태 평가를 위하여, 한국인터넷진흥원(C)에서는 ISMS 인증 가이드라인을 제시하기 위하여 감사를 진행하고 있다.Referring to FIG. 1, a number of government agencies are performing audits (or diagnoses) on whether the personal information protection law or other security-related laws are properly complied with by an institution or an enterprise. For example, in the Ministry of Government Administration and Home Affairs (A), the Korea Information Security Agency (C) has proposed ISMS (Information Security Management System) We are conducting audits to present the guidelines for certification.

이러한 감사를 위해 각 기관(A, B, C)에서는 각각 복수의 진단지표를 마련하고 있다. 포털사이트를 통해 확인되는 "2014년 공공기관 개인정보보호 관리수준 진단 메뉴얼"에 따르면, 진단지표는 복수개로 이루어지고, 각 진단지표는 적어도 하나 이상의 세부항목 즉, 진단지표항목으로 이루어져 있다.For these audits, each institution (A, B, C) has a plurality of diagnostic indicators. According to the "Personal Information Protection Management Level Diagnosis Manual for Public Organizations" in 2014, which is confirmed through a portal site, a plurality of diagnosis indexes are formed, and each diagnosis index is composed of at least one detailed item, that is, a diagnosis index item.

그리고 각 기관별 진단지표를 살펴보면, 각 기관은 도 1에 도시된 바와 같이 서로 중복된 진단지표를 가지고 있음이 파악되었다. 구체적인 예로, 행정자치부(A)와 국가정보원(B)은 진단지표 1, 진단지표 7 등이 중복되고, 행정자치부(A)와 한국인터넷진흥원(C)은 진단지표 5 및 진단지표 10등이 중복되며, 국가정보원(B)과 한국인터넷진흥원(C)은 진단지표 8 및 진단지표 13 등이 중복된다. 그리고 행정자치부(A)와 국가정보원(B) 및 한국인터넷진흥원(C) 모두는 진단지표 2, 진단지표 4, 진단지표 9, 진단지표 12 등이 중복된다.As shown in FIG. 1, each institution has a diagnosis index that is overlapped with each other. For example, the Ministry of Government Administration and Home Affairs (A) and the National Intelligence Service (B) have overlapping diagnostic indicators 1 and 7, and the Ministry of Government Administration and Home Affairs (A) and the Korea Internet Development Agency (C) And the National Intelligence Service (B) and the Korea Internet & Security Agency (C) duplicate the diagnostic indicator 8 and the diagnostic indicator 13. (2) Diagnostic index (4), Diagnostic index (9), and Diagnostic index (12) are duplicated in both the Ministry of Government Administration and Home Affairs (A), National Intelligence Service (B) and Korea Internet &

그리고, 하나의 기관 또는 기업을 기준으로 행정자치부(A)와 국가정보원(B) 및 한국인터넷진흥원(C)에서의 감사 일자를 보면, 예컨대 행정자치부(A)에서는 6월 1일이고, 국가정보원(B)에서는 같은 해 8월 10일이며, 한국인터넷진흥원(C)에서는 같은 해 11월 10일이다. 물론 이러한 날짜는 각 기관의 감사 일자가 서로 다름을 설명하기 위한 것으로, 임으로 가정한 날짜이다.(A), National Intelligence Service (B), and Korea Internet Development Agency (C) on the basis of one institution or enterprise, for example, the Ministry of Government Administration and Home Affairs (A) (B) on August 10 of the same year, and Korea Internet Promotion Agency (C) on November 10 of the same year. Of course, these dates are intended to illustrate the different audit dates for each institution and are assumed to be assumed.

또한, 동일한 진단지표에 대하여 각 감사기관마다 서로 다른 배점과 가중치가 부여되고, 점수를 산정하는 기준 즉, 배점 기준이 다르다. 예컨대, 행정자치부(A)에서의 배점 기준은 팩스 전송건수가 1 ~ 100건이면 100점으로 평가하고, 101~ 1000건이면 50점으로 평가하지만, 국가정보원(B)에서의 배점 기준은 1 ~ 50건이면 100점으로 평가하고, 51 ~ 100건이면 50점으로 평가한다.In addition, different scores and weights are assigned to the same diagnostic indicators for each auditing institution, and the criteria for calculating the scores, that is, the scoring standards, are different. For example, the rating standard in the Ministry of Government Administration and Home Affairs (A) is 100 points if the number of facsimile transmissions is 1 to 100, 50 points if the number of facsimile transmissions is 101 to 1000, If the number is 50, the score is 100. If the score is 51-100, the score is 50.

이와 같이 각 기관의 감사 일정이 다르고, 감사를 위한 진단지표가 각각 다르며 배점 기준이 다르기 때문에, 감사대상인 기업이나 기관에서는 한 기관의 감사를 준비하면 다시 다른 기관의 감사일정에 맞춰 다시 진단지표를 확인하고 진단지표 또는 진단지표항목의 담당자를 설정하고 자료를 준비하거나 보안평가를 하는 등의 대응을 준비해야 하기 때문에 많은 시간의 소비와 인력의 낭비가 있었다.As the audit schedule of each organization is different and the diagnostic indicators for auditing are different and the scoring criteria are different, the companies or organizations that are audited should prepare the audits of one organization and check the diagnostic indicators again according to the audit schedule of other organizations. There is a lot of waste of time and manpower because there is a need to prepare personnel for the diagnosis index or diagnosis index item, prepare the data, or make a security evaluation.

그러나, 도 1에 도시된 바와 같이 각 감사기관(A, B, C)에서의 진단지표는 서로 중복되는 부분이 많으며, 당해년도에 각 감사기관별 감사를 체계적으로 준비하게 되면, 이후년도 이후부터는 각 감사기관별 진단지표 또는 진단지표항목이 조금 바뀌게 되더라도 쉽게 감사를 준비할 수 있게 된다.However, as shown in FIG. 1, the diagnostic indicators in each of the auditors (A, B, and C) are overlapped with each other, and if audits are prepared systematically for each audit institution in the year, Even if the items of the diagnostic indicators or the diagnostic indicators are slightly changed, it becomes easy to prepare the audits.

본 발명은 이러한 각 감사기관별 중복되는 진단지표 및 중복되지 않는 진단지표를 파악하여 다음 감사할 기관의 진단지표 중 중복되지 않는 진단지표를 중점적으로 관리할 수 있게 하며, 나아가 이전년도의 감사 결과를 관리하여 당해년도의 각 감사기관별 감사에 보다 쉽게 대응할 수 있게 한다.The present invention grasps duplicate diagnostic indicators and non-redundant diagnostic indices according to each of these auditing organizations, thereby enabling to centrally manage diagnostic indices that are not duplicated among the diagnostic indices of the next auditing entity, and furthermore, To make it easier to respond to audits for each audit organization in the year concerned.

도 2는 본 발명의 실시 예에 따른 진단지표항목과 보안로그항목 간의 관계를 보인 도면이다. 도 2를 참고하면, 일반적으로 복합 보안시스템(또는 통합 보안시스템)(10)은 기업에서 내부 정보 유출 및 외부 침입을 방지하기 위하여 다양한 보안 솔루션을 도입하여 운영중인 서로 다른 종류 즉, 서로 다른 영역의 솔루션들이 결합해서 복합적으로 구성된 보안 체계의 시스템이다. 복합 보안시스템(10)으로는 대표적으로 ESM(Enterprise Security Management)과 SIEM(Security information and event management) 등이 있다.2 is a diagram showing a relationship between a diagnostic index item and a security log item according to an embodiment of the present invention. Referring to FIG. 2, in general, a complex security system (or an integrated security system) 10 introduces various security solutions to prevent internal information leakage and external intrusion in a company, It is a system of a security system composed of a combination of solutions. The composite security system 10 includes ESM (Enterprise Security Management) and SIEM (Security information and event management).

이러한 복합 보안시스템(10)은 다양한 보안 솔루션을 탑재하고 있는데, 예컨대 보안 솔루션으로는 인터넷의 라우터측(즉, 네트워크측)에 DDoS(분산 서비스 거부 공격), APT(Advanced Persistent Threats, 지능형 지속 위협) 등이 있고, 웹 서버측에 웹 방화벽이 있으며, DB(데이터베이스) 서버측에 DB 보안, 접근제어, 계정관리 등이 있고, 메일 서버측에 스팸 차단 솔루션이 있다. 또한 사용자 PC측에 백신, PC 취약성 파악, 정보유출방지(문서유출방지 포함) 등이 있고, 복합기나 파일서버 측에 문서보안 솔루션 등이 있다.The complex security system 10 includes various security solutions. For example, as a security solution, a DDoS (Distributed Denial of Service Attack), APT (Advanced Persistent Threats, Intelligent Sustainment Threats) There is a web firewall on the web server side, DB security, access control and account management on the DB (database) server side, and a spam blocking solution on the mail server side. In addition, there are vaccines, PC vulnerabilities, prevention of information leakage (including document leakage prevention), and document security solutions on the PC and file server side.

그리고 복합 보안시스템(10)의 각 보안 솔루션을 통해서 보안로그가 수집되고, 수집되는 보안로그를 이용하면 복수의 보안로그항목(20)이 파악된다. 이렇게 파악된 복수의 보안로그항목(20)은 각 감사기관(A, B, C)의 진단지표를 위한 진단지표항목 중 하나에 해당된다. 즉, 하나의 진단지표항목은 적어도 하나의 보안로그항목으로 파악된다.The security log is collected through each security solution of the composite security system 10, and a plurality of security log entries 20 are grasped by using the collected security log. The plurality of security log items 20 thus identified corresponds to one of the diagnostic index items for the diagnostic indicators of the respective auditing organizations (A, B, and C). That is, one diagnostic index item is identified as at least one security log item.

여기서, 보안로그는 보안로그항목(도 3 참조)에 관련된 각종 데이터로서, 예컨대, 보안장비나 보안 솔루션에서 발생되는 로그 정보뿐만 아니라, 보안로그항목에 관련된 사용자 행위에 따른 보안 데이터를 포함한다.Here, the security log is various data related to the security log item (refer to FIG. 3), for example, not only the log information generated in the security device or the security solution, but also security data according to the user action related to the security log item.

보안로그항목의 일 예는 도 3과 같다. 도 3은 본 발명의 실시 예에 따른 보안로그항목의 일 예를 보인 도면이다. 도 3을 참고하면, 보안로그항목은 크게 내부정보 유출보안에 관련된 제1정보 및 외부침입보안에 관련된 제2 정보로 구분되며, 제2 정보는 다시 PC 취약성관련 보안로그 지수화에 관련된 정보, 악성코드관련 보안로그 지수화에 관련된 정보로 분류된다.An example of a security log entry is shown in FIG. 3 is a diagram illustrating an example of a security log item according to an embodiment of the present invention. Referring to FIG. 3, the security log item is divided into first information related to internal information leakage security and second information related to external intrusion security, and the second information is again classified into information related to security log indexing related to PC vulnerability, It is classified as information related to related security log indexing.

제1 정보로는 예컨대 PC 미암호화 주민번호 보관, PC 암호화 주민번호 보관, PC 미암호화 개인정보 보관, USB 미암호화 개인정보 저장, USB 암호화 개인정보 저장, 사외전송 미암호화 개인정보 전송, 메일 개인 정보 사외 발송, 시스템 개인정보 과다 조회 등이 있다.The first information may include, for example, a PC non-encrypted resident number storage, a PC encrypted resident number storage, a PC non-encrypted personal information storage, a USB non-encrypted personal information storage, a USB encrypted personal information storage, Outsourcing, and over-viewing of system personal information.

그리고 제2 정보로, PC 취약성관련 보안로그 지수화정보에 관련한 정보로는 윈도우(windows) 자동 로그온, PC 로그온 패스워드 안정성, 화면 보호기 설정, (사용자) 공유 폴더 설정, (전체) 공유 폴더 사용 여부, 비인가 사용자 접근 제어, IE, ID/PW 자동 완성 설정, 미사용(3개월) ActiveX 프로그램 등이 있고, 악성코드관련 보안로그 지수화정보로는 악성 코드 감염 치료 파일, 백신 치료 불가 파일, 악성코드 메일 감염 건수, 피싱 메일 감염 건수 등이 있다.The information related to PC vulnerability related security log exposition information includes Windows automatic logon, PC logon password stability, screen saver setting, (user) shared folder setting, (all) shared folder use, There are various types of security log indexing information such as user access control, IE, ID / PW autocomplete setting, and unused (3 months) ActiveX program. Malicious code related infection log files, And the number of phishing mail infections.

도 4는 본 발명의 실시 예에 따른 보안감사 대응 시스템의 블록 구성도이다. 도 4를 참고하면, 본 발명의 실시 예에 따른 보안감사 대응 시스템(100)은 사용자 입력부(110), 정책 생성부(120), 보안로그항목 DB(131), 진단지표항목 DB(132), 스케줄 DB(133), 담당자 DB(134), 시나리오 저장부(140) 및 진단실행부(150)를 포함하며, 경우에 따라 제재조치부(160)를 더 포함할 수 있다.4 is a block diagram of a security audit response system according to an embodiment of the present invention. 4, the security audit response system 100 according to the embodiment of the present invention includes a user input unit 110, a policy generation unit 120, a security log item DB 131, a diagnostic indicator item DB 132, A schedule DB 133, a representative DB 134, a scenario storage unit 140, and a diagnosis execution unit 150, and may further include a sanction unit 160 as the case may be.

사용자 입력부(110)는 사용자에 의해 조작되어 사용자가 원하는 명령이나 정보를 입력할 수 있게 하고, 사용자가 입력한 명령이나 정보를 전기적 신호로 출력한다.The user input unit 110 is operated by a user to input a command or information desired by the user, and outputs a command or information inputted by the user as an electrical signal.

정책 생성부(120)는 사용자가 감사기관별 정책 시나리오를 생성할 수 있도록 하는 입력창을 화면상에 표시하여 사용자가 사용자 입력부(110)를 통해 자신이 원하는 정보를 입력 또는 선택할 수 있게 한다. 이때 사용자에게 제공되는 각종 입력창에 표시되는 정보는 보안로그항목 DB(131), 진단지표항목 DB(132), 스케줄 DB(133) 및 담당자 DB(134)에 저장된 정보를 기준으로 한다.The policy creating unit 120 displays an input window on the screen allowing the user to create a policy scenario for each audit institution so that the user can input or select information desired by the user through the user input unit 110. [ The information displayed in the various input windows provided to the user is based on the information stored in the security log entry DB 131, the diagnostic index entry DB 132, the schedule DB 133, and the contact person DB 134.

여기서 정책 시나리오는 감사기관별 진단지표의 진단지표항목에 대응하는 보안로그항목을 매칭시키고, 매칭된 보안로그항목에 대한 정보(또는 자료)를 설정된 스케쥴에 따라 수집하도록 하는 것을 의미한다. 이때 정책 시나리오에는 수집되는 정보(또는 자료)를 관리하는 담당자가 설정되며, 담당자는 진단지표항목 또는 보안로그항목의 성격에 따라 한명 또는 여러명일 수 있다.Here, the policy scenario means that the security log item corresponding to the diagnostic index item of the diagnostic index for each audit institution is matched and the information (or data) about the matched security log item is collected according to the set schedule. At this time, the policy scenario is set up with a person who manages the information (or data) to be collected, and the person in charge may be one or more persons depending on the characteristics of the diagnosis index item or the security log item.

보안로그항목 DB(131)는 도 3에 도시된 모든 보안로그항목에 대한 정보 및 식별정보를 저장하고 있다. 보안로그항목 DB(131)에 저장되는 모든 보안로그항목에 대한 정보는 사용자에 의해 입력되어진 정보이며, 사용자에 의해 추가, 삭제, 변경되어 보안로그항목 DB(131)에 저장된 정보가 수정된다.The security log entry DB 131 stores information and identification information on all security log entries shown in FIG. Information about all the security log items stored in the security log entry DB 131 is information input by the user, and the information stored in the security log entry DB 131 is modified by adding, deleting, or changing the information.

진단지표항목 DB(132)는 각 감사기관에서 요구하는 모든 종류의 진단지표 및 진단지표항목이 저장되어 있다. 그리고 진단지표항목 DB(132)는 각 감사기관의 이전 감사정보를 저장하는 경우이면, 각 감사기관에서 요구하는 모든 종류의 진단지표 및 진단지표항목이 저장되어 있으며, 각각의 진단지표항목은 관련된 하나의 진단지표와 매칭되어 있고, 각각의 진단지표는 관련된 적어도 하나의 감사기관의 식별정보와 매칭되어 있다. 이러한 매칭관계는 도 1 및 도 2에 도시된 바에 따른다. 진단지표항목 DB(132)에 저장되는 모든 진단지표 및 진단지표항목에 대한 정보 및 매칭 관계는 사용자에 의해 입력되거나 설정되며, 사용자에 의해 추가, 삭제, 변경된다.The diagnostic index item DB 132 stores all types of diagnostic indicators and diagnostic index items required by each auditing institution. In the case of storing the previous audit information of each audit institution, the diagnostic index item DB 132 stores all kinds of diagnostic indicators and diagnostic index items required by the respective audit institutes. And each diagnostic indicator is matched with identification information of at least one associated auditing entity. This matching relationship is as shown in Figs. 1 and 2. Fig. All diagnostic indices stored in the diagnostic index item DB 132 and information on the diagnostic index items and the matching relationship are entered or set by the user and added, deleted, or changed by the user.

한편, 진단지표항목 DB(132)에 진단지표에 대한 정보 및 식별정보, 진단지표항목에 대한 정보 및 식별정보만을 저장하고, 보안로그항목 DB(131)의 보안로그항목에 대한 정보를 기준으로 도 1 및 도 2에 따른 진단지표항목 및 진단지표 그리고 각 감사기관과의 매칭 관계를 설정할 수 있다.On the other hand, in the diagnostic index item DB 132, only the information on the diagnostic index, the identification information, the information on the diagnostic index item, and the identification information are stored, and based on the information on the security log item in the security log item DB 131 1 and FIG. 2, and the diagnostic index and the matching relationship with each auditing institution.

스케줄 DB(133)는 보안로그항목별 스케쥴 정보를 저장하고 있다. 그리고 스케줄 DB(133)는 진단지표항목 중 보안로그항목으로 파악되지 않는 자료(증적자료나 증빙자료 등)나 개인 또는 단체의 보안활동 체크 등과 같이 특정 담당자의 수작업에 의해 만들어지는 자료나 보안확인정보 등에 대한 보안항목을 더 포함하고 있을 수 있으며, 이 경우에도 해당 보안항목에 대한 스케줄 정보를 저장하고 있다. 보안로그항목별 스케줄 정보는 보안로그를 수집하는 수집 스케줄 정보와 진단지표를 평가하는 진단용 스케줄 정보로 구분된다. 이상적으로는, 모든 보안로그의 수집은 매일 이루어지는 것이 양호하므로, 수집 스케줄 정보는 별도로 설정하지 않아도 무방하다. 그러나 진단용 스케줄 정보는 진단지표항목의 종류에 따라 달라진다. 진단지표항목의 종류에 따라 달라지는 이유는 진단지표항목이 일별로 파악되는 보안 정보에 대한 평가이거나, 기간별로 집계되는 보안정보에 대한 평가일 수 있기 때문이다.The schedule DB 133 stores schedule information for each security log item. The schedule DB 133 is a database that is created by manual operation of a specific person such as a check log of security log items (such as a markup or proof sheet) or a security activity check of an individual or an organization, , And in this case, the schedule information for the corresponding security item is also stored. The schedule information for each security log item is divided into collection schedule information for collecting the security log and diagnostic schedule information for evaluating the diagnosis index. Ideally, all security logs should be collected on a daily basis, so that collection schedule information does not have to be set separately. However, the diagnostic schedule information depends on the type of the diagnostic index item. This is because the diagnostic indicator item may be an evaluation of security information that is identified on a daily basis or an evaluation of security information that is collected by period.

예컨대, 진단용 스케줄 정보는 보안로그항목의 종류에 따라 매일, 일주일, 한달, 2달 등으로 구분된다. 보안항목에 대응된 스케줄 정보는 해당 감사의 감사일(감사날짜)을 기준으로 하는 설정되기도 한다. 예컨대 감사일로부터 일주일 전, 한달 전 등이다. For example, the diagnostic schedule information is classified into daily, weekly, monthly, or two-month depending on the type of the security log item. The schedule information corresponding to the security item is set based on the audit date of the relevant audit (audit date). For example, a week before the audit, a month ago.

담당자 DB(134)는 각 보안로그항목별 당담자의 정보를 저장하고 있다. 로그항목별 담당자는 한 명일 수 있고 2 이상일 수 있으며, 복수의 로그항목을 한 명의 담당자가 담당할 수 있다.The person in charge DB 134 stores the information of each party of each security log item. There can be one person in charge per log item, and it can be two or more, and one log person can take charge of plural log items.

시나리오 저장부(140)는 상기 정책 생성부에 의해 생성된 적어도 하나의 감사기관별 정책 시나리오, 생성된 정책 시나리오에 대응하여 설정한 스케줄, 담당자 및 점수요소를 저장한다. 물론 각 감사기관의 감사일이 서로 충분한 시간을 두고 있다면 시나리오 저장부(140)에 저장되는 정책 시나리오는 현재일로부터 가장 빠른 감사기관의 감사에 대응하는 정책 시나리오이다.The scenario storage unit 140 stores at least one audit agent-specific policy scenario generated by the policy generation unit, a schedule set in correspondence with the generated policy scenario, a person in charge, and a score element. Of course, the policy scenario stored in the scenario storage unit 140 is a policy scenario corresponding to the audit of the earliest audit institution from the present day if the audit days of the respective audit organizations have sufficient time.

진단실행부(150)는 시나리오 저장부(140)에 저장된 정책 시나리오에 따라 보안을 이행한다. 즉, 진단실행부(150)는 정책 시나리오에 따라 복합 보안시스템(10)으로부터 수집 스케줄 정보에 동기하여 보안로그항목에 대한 데이터(즉, 보안로그)을 수집하고, 진단용 스케줄 정보에 동기하여 각 진단지표 및 진단지표항목을 평가(진단)한다.The diagnosis execution unit 150 performs security according to the policy scenario stored in the scenario storage unit 140. [ That is, the diagnosis execution unit 150 collects data (i.e., a security log) about the security log items in synchronization with the collection schedule information from the composite security system 10 in accordance with the policy scenario, Evaluate (diagnose) indicators and diagnostic indicators.

제재조치부(160)는 진단실행부(150)에 의해 산정된 각 보안로그항목의 지수화 점수를 수신하고, 각 보안로그항목의 지수화 점수를 이용하여 진단지표 및 진단지표항목에 대한 진단결과 보고서를 생성하며, 지수화 점수가 설정 점수 이하로 낮은 보안로그항목을 파악하고 해당 보안로그항목을 담당하는 담당자에게 제재조치를 한다. 이때의 제재조치는 해당 담당자에게 담당하는 보안로그항목에 대한 보안 위험을 알리고 보안위험 해소를 하도록 지시하거나 불이익에 대한 정보를 담당자에게 제공한다.The sanction unit 160 receives the exponentation score of each security log item calculated by the diagnosis execution unit 150 and uses the exponentation score of each security log item to generate a diagnosis result report for the diagnosis index and the diagnosis index item And identify security log entries whose exponentiation score is lower than the set score, and sanction the person in charge of the corresponding security log item. The sanctions include notifying the security officer of the security risk of the security log item in charge, instructing the person in charge to resolve the security risk, or providing information on the disadvantage to the person in charge.

이하에서는 도 5를 참조로 하여 본 발명의 실시 예에 따른 정책 생성부(120)를 보다 상세히 설명한다. 도 5는 본 발명의 실시 예에 따른 정책 생성부와 시나리오 저장부의 구성을 보인 도면이다.Hereinafter, the policy generating unit 120 according to the embodiment of the present invention will be described in more detail with reference to FIG. 5 is a diagram illustrating a configuration of a policy generation unit and a scenario storage unit according to an embodiment of the present invention.

도 5를 참고하면, 정책 생성부(120)는 매칭부(121), 담당자 설정부(122), 스케줄 설정부(123) 및 점수요소 설정부(124)를 포함한다.5, the policy generation unit 120 includes a matching unit 121, a person setting unit 122, a schedule setting unit 123, and a score factor setting unit 124. [

매칭부(121)는 진단지표항목 DB(131)과 보안로그항목 DB(132)를 이용하여 사용자가 입력창을 통해 특정 감사기관의 진단지표에 대응하는 보안로그항목을 매칭시킬 수 있게 한다.The matching unit 121 allows the user to match the security log item corresponding to the diagnostic indicator of the specific auditing institution through the input window by using the diagnostic index item DB 131 and the security log item DB 132. [

기본적으로 매칭부(121)는 사용자가 입력한 감사기관에 대한 이전 감사시에 이용된 자료가 진단지표항목 DB(131)에 저장되어 있으면, 진단지표항목 DB(131)로부터 해당 감시기관에 대한 감사정보(진단지표, 진단지표항목, 진단지표항목에 매칭된 보안로그항목 등)을 파악하고 사용자 요구에 대응하여 입력창을 통해 표시한다.Basically, if the data used at the time of previous audit for the auditor inputted by the user is stored in the diagnostic index item DB 131, the matching unit 121 receives an audit for the relevant monitoring institution from the diagnostic index item DB 131 Information (diagnosis index, diagnostic index item, security log item matched to the diagnostic index item, and the like) and displays it through the input window in response to the user request.

예컨대, 사용자가 감사기관을 행정자치부(A)로 입력하면, 매칭부(121)는 진단지표항목 DB(131)에 기 저장된 행정자치부(A)에 대응된 진단지표, 진단지표항목 및 진단지표항목에 매칭된 보안로그항목을 입력창을 통해 표시한다. 다른 예로, 입력창은 행정장치부(A)에 관련되어 저장된 진단지표 리스트를 보여주고, 사용자가 진단지표 리스트 중 하나를 선택하면 해당 진단지표의 진단지표항목 리스트가 표시되며, 진단지표항목 리스트 중 사용자가 하나를 선택하면 사용자가 선택한 진단지표항목에 매칭된 적어도 하나의 보안로그항목이 표시된다.For example, when the user inputs an auditing organization to the administrative orgent department A, the matching unit 121 compares the diagnostic indicator, the diagnostic indicator item, and the diagnostic indicator item corresponding to the administrative autonomic unit A previously stored in the diagnostic indicator item DB 131 Is displayed on the input window. As another example, the input window shows a list of diagnostic indicators stored in association with the administrative unit A. When the user selects one of the diagnostic indicator lists, a diagnostic indicator item list of the diagnostic indicators is displayed. In the diagnostic indicator item list When the user selects one, at least one security log entry matched to the diagnostic metric item selected by the user is displayed.

이렇게 사용자는 입력창을 통해서 기 저장되어 있는 감사기관의 진단지표, 진단지표에 대응된 진단지표항목, 진단지표항목에 매칭된 보안로그항목을 확인하게 되고, 올해 해당 감사기관의 진단지표, 진단지표항목과 비교하게 되며, 비교시 작년과 변경 또는 삭제 또는 추가된 진단지표나 진단지표항목이 있는 경우에, 입력창을 통해 변경 또는 삭제 또는 추가된 진단지표나 진단지표항목에 대응하는 편집을 한다. 이때의 편집은 새로운 진단지표에 대한 내용을 입력하거나 새로운 진단지표항목을 등록 및 등록한 새로운 진단지표항목에 매칭할 보안로그항목을 찾아 설정하는 것이거나, 진단지표 및 진단지표항목을 삭제 및 삭제한 진단지표항목과 매칭되었던 보안로그항목을 삭제하거나, 진단지표 또는 진단지표항목의 내용을 변경하고 그에 따라 매칭되는 보안로그항목을 변경하는 등의 작업이다.In this way, the user can confirm the security log items matched with the diagnostic indicators of the auditing institution, the diagnostic indicators corresponding to the diagnostic indicators, and the diagnostic indicators stored in the input window, and the diagnostic indicators, diagnostic indicators If there is a diagnosis index or diagnosis index item added or changed or deleted or added in the last year of comparison, the comparison is made to the diagnostic index or diagnosis index item added or deleted or added through the input window. At this time, editing can be performed by inputting a new diagnostic indicator or by finding and setting a security log item to be matched with a new diagnostic indicator item in which a new diagnostic indicator item is registered and registered, or by deleting and deleting diagnostic indicators and diagnostic indicator items Deletes security log entries that have been matched with the indicator item, changes the contents of the diagnostic indicator or diagnostic indicator item, and changes the matching security log item accordingly.

한편, 매칭부(121)는 해당 감사기관에 대한 이전년도 또는 그 이전년도 등 이전에 받은 감사정보가 진단지표항목 DB(131)에 저장되어 있지 않으면, 사용자가 입력창을 통해 해당 감사기관의 각 진단지표 및 진단지표항목을 입력하고, 입력창을 통해 입력한 진단지표항목에 대응하는 보안로그항목을 보안로그항목 DB(101)에 저장된 보안로그항목 리스트 중 하나 이상과 매칭하여 설정할 수 있게 한다.On the other hand, if the previously received audit information such as the previous year or the previous year for the auditing institution is not stored in the diagnostic index item DB 131, A diagnostic index and a diagnostic index item are entered and a security log item corresponding to the diagnostic indicator item input through the input window is set to match one or more of the security log item list stored in the security log item DB 101. [

매칭부(121)는 사용자에 의해 해당 감사기관에 대한 진단지표에 대응한 보안로그항목에 대한 매칭을 완료하면 감사기관의 식별정보에 대응하여 각 진단지표를 매칭시키고, 각 진단지표별로 대응된 진단지표항목을 매칭시키며, 각 진단지표항목별로 대응된 보안로그항목을 매칭하며, 이렇게 매칭한 정보를 "진단정책"으로 하여 진단정책 저장부(141)에 저장한다.When the matching unit 121 completes the matching of the security log item corresponding to the diagnostic index to the relevant auditing institution by the user, the matching unit 121 matches each diagnostic index corresponding to the identification information of the auditing institution, Matches the security log items corresponding to each diagnosis index item, and stores the matched information as the " diagnosis policy " in the diagnosis policy storage unit 141. [

담당자 설정부(122)는 매칭부(121)에 의해 해당 감시기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 담당자를 담당자 DB(134)로부터 파악하고 해당 감사기관에 대응된 보안로그항목의 담당자로 설정하여 담당자 저장부(142)에 저장한다. 물론 담당자 설정부(122)는 담당자 저장부(142)에 기 저장된 해당 감사기관에 대응된 보안로그항목의 담당자 정보가 있으면, 기 저장된 담당자 정보에서 매칭부(121)를 통해 변경, 삭제, 추가되는 보안로그항목에 대해서만 담당자 편집을 할 수 있다. 그리고, 담당자 설정부(122)는 스케줄 설정부(123)와 연동하여 각 담당자의 이메일이나 전화 등으로 해당 담당자가 담당하는 보안로그항목이나 자료(증빙자료, 증적자료 등)을 알리고, 아울러 담당하는 보안로그항목에 대한 점검기일에 대한 정보를 알린다.When the security log entry is matched and registered in correspondence with the diagnostic indicator item of the monitoring organization by the matching unit 121, the agent setting unit 122 grasps the person in charge of the registered security log item from the person in charge DB 134, And sets it as the person in charge of the security log item corresponding to the auditing institution and stores it in the person in charge storage unit 142. [ Of course, the contact person setting unit 122 may change, delete, or add the contact person information stored in the contact person storage unit 142 through the matching unit 121 in the previously stored contact person information if the contact person information of the security log item corresponding to the pre- Only the security log entries can be edited. The contact person setting unit 122 notifies the security log item or data (proof, data, and the like) that the person in charge is in charge of by the person in charge of the contact with the schedule setting unit 123, Provide information about check dates for security log entries.

스케줄 설정부(123)는 매칭부(121)에 의해 해당 감시기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 진단용 스케줄을 스케줄 DB(133)로부터 파악하여 해당 감사기관의 진단지표항목에 대응된 보안로그항목의 진단용 스케줄로 설정하여 스케줄 저장부(143)에 저장한다. 물론 스케줄 설정부(123)는 스케줄 저장부(143)에 기 저장된 해당 감사기관에 대응된 보안로그항목의 진단용 스케줄 정보가 있으면, 기 저장된 스케줄 정보에서 매칭부(121)를 통해 변경, 삭제, 추가되는 보안로그항목에 대해서만 스케줄 편집을 할 수 있다.When the matching unit 121 matches the security log entries corresponding to the diagnosis index items of the monitoring organization and registers them, the schedule setting unit 123 grasps the diagnostic schedules for the registered security log items from the schedule DB 133 As the diagnostic schedule of the security log item corresponding to the diagnostic indicator item of the relevant auditing institution, and stores it in the schedule storage unit 143. [ Of course, if there is the schedule information for the diagnosis of the security log item corresponding to the audit institution previously stored in the schedule storage unit 143, the schedule setting unit 123 may change, delete, and add the previously stored schedule information through the matching unit 121 You can only edit the schedule for security log entries.

점수요소 설정부(124)는 해당 감시기관의 각 진단지표별 배점기준이나 배점 및 가중치와 각 진단지표항목별 정책 점수를 입력창을 통해 설정할 수 있게 하며, 이렇게 설정된 배점 및 가중치는 해당 감시기관에 매칭된 진단지표와 진단지표항목에 매칭되어 점수요소 저장부(144)에 저장된다. 점수요소 설정부(124) 또한 점수요소 저장부(144)에 해당 감사기관에 대한 기 저장된 정보가 있는 경우이면 매칭부(121)를 통해 변경, 삭제, 추가되는 진단지표나 진단지표항목에 대해서만 점수 요소를 편집할 수 있다.The score factor setting unit 124 can set a rating criterion, a score, a weight, and a policy score for each diagnostic indicator item for each diagnostic indicator of the relevant monitoring organization through an input window. And is stored in the score element storage unit 144 by matching with the matched diagnosis index and the diagnosis index item. If the point element storage unit 144 has previously stored information for the auditing institution, the score element setting unit 124 sets the score element only for the diagnostic index or diagnostic index item to be changed, deleted, or added through the matching unit 121 You can edit the element.

다음으로, 시나리오 저장부(140)는 진단정책 저장부(141), 담당자 저장부(142), 스케줄 저장부(143), 점수요소 저장부(144)를 포함한다. 시나리오 저장부(140)의 각 저장부(141 내지 144)에 저장된 정보는 적어도 해당 감사기관의 감사일까지 저장된 유지되고, 감사일이 지나면 삭제된다. 그리고 진단정책 저장부(141)에 저장된 정보는 진단지표항목 DB(131)에 옮겨져 저장되고, 담당자 저장부(142)에 저장된 정보는 담당자 DB(134)에 옮겨져 저장되며, 스케줄 저장부(143)에 저장된 정보는 스케줄 DB(133)에 저장되고, 점수요소 저장부(144)에 저장된 정보는 진단지표항목 DB(131)에 옮겨져 저장된다.Next, the scenario storage unit 140 includes a diagnosis policy storage unit 141, a contact person storage unit 142, a schedule storage unit 143, and a score element storage unit 144. The information stored in each of the storage units 141 to 144 of the scenario storage unit 140 is stored at least until the audit date of the relevant audit organization and is deleted after the audit date. The information stored in the diagnostic policy storage unit 141 is transferred to and stored in the diagnostic index item DB 131. The information stored in the contact person storage unit 142 is transferred to and stored in the contact person DB 134. In the schedule storage unit 143, Is stored in the schedule DB 133, and information stored in the score element storage unit 144 is transferred to the diagnostic index item DB 131 and stored.

이하에서는 도 6을 참조로 하여 본 발명의 실시 예에 따른 보안감사 대응 시스템에서 정책 시나리오를 생성하는 과정을 설명한다. 도 6은 본 발명의 실시 예에 따른 보안감사 대응 시스템에서 정책 시나리오를 생성하는 과정을 보인 순서도로서, 시나리오 저장부(140)에 해당 감사기관의 감사정보가 저장되어 있지 않는 경우에 대한 것이다.Hereinafter, a process of generating a policy scenario in the security audit response system according to an embodiment of the present invention will be described with reference to FIG. FIG. 6 is a flowchart illustrating a process of creating a policy scenario in the security audit response system according to the embodiment of the present invention, when the audit information of the relevant audit institution is not stored in the scenario storage unit 140.

도 6을 참고하면, 사용자는 사용자 입력부(110)를 통해 정책 시나리오 작성을 요청하면, 정책 생성부(120)의 매칭부(121)가 화면상에 입력창을 표시한다(S601). 사용자는 입력창을 통해 작성할 정책 시나리오의 감사기관을 입력 또는 선택한다(S602).Referring to FIG. 6, when a user requests to create a policy scenario through the user input unit 110, the matching unit 121 of the policy generating unit 120 displays an input window on the screen (S601). The user inputs or selects an audit institution of the policy scenario to be created through the input window (S602).

사용자는 입력창을 통해 해당 감사기관에서 수행하는 진단지표 및 진단지표항목을 해당 감사기관과 매칭시키기 위해 진단지표항목(131)에 저장되어 있는 진단지표를 요청하고, 정책 생성부(120)는 진단지표 리스트를 화면상에 표시한다. 이에 사용자가 하나의 진단지표를 선택하거나 입력하여 등록을 요청하면(S603), 정책 생성부(120)는 진단지표를 등록함과 더불어 진단지표항목 DB(131)에 저장된 진단지표항목들을 리스트로 하여 화면상에 표시한다.The user requests a diagnostic indicator stored in the diagnostic indicator item 131 to match the diagnostic indicator and the diagnostic indicator item performed by the relevant auditing institution with the corresponding auditing entity through the input window, The list of indicators is displayed on the screen. If the user selects or inputs one diagnostic index (S603), the policy creating unit 120 registers the diagnostic index and lists the diagnostic index items stored in the diagnostic index item DB 131 And displays it on the screen.

사용자가 표시된 진단지표항목 리스트 중 적어도 하나를 선택하거나 또는 사용자가 직접 진단지표항목을 입력하면, 정책 생성부(120)는 선택 또는 입력한 진단지표항목을 해당 진단지표의 항목으로 매칭시킨다(S604).When the user selects at least one of the diagnostic index item list displayed or the user directly inputs the diagnostic index item, the policy creating unit 120 matches the selected or input diagnostic index item with the corresponding item of the diagnostic index (S604) .

그리고 정책 생성부(120)는 사용자가 선택 또는 입력한 진단지표항목에 대응하는 보안로그항목을 매칭시키기 위하여 보안로그항목 DB(132)에 저장된 보안로그항목을 리스트로 하여 화면상에 표시하고, 이에 사용자는 보안로그항목 리스트 중 해당 진단지표항목에 대응하는 적어도 하나의 보안로그항목을 선택한다(S6605).The policy creating unit 120 displays a list of security log items stored in the security log entry DB 132 as a list in order to match the security log entries corresponding to the diagnostic index items selected or input by the user, The user selects at least one security log item corresponding to the diagnosis index item in the security log entry list (S6605).

그러면 정책 생성부(120)는 사용자가 선택한 적어도 하나의 보안로그항목을 해당 진단지표항목과 매칭하여 등록한다(S6607). 이러한 하나의 진단지표항목과 적어도 하나의 보안로그항목이 매칭되면, 정책 생성부(120)는 해당 보안로그항목에 대한 담당자를 해당 진단지표항목에 대응하여 설정하고(S608), 해당 보안로그항목에 대한 스케줄을 해당 진단지표항목에 대응하여 설정하며(S6609), 해당 진단지표 및 진단지표항목에 대한 배점이나 정책 점수를 사용자가 입력 또는 선택하게 하고 등록한다(S610).Then, the policy creating unit 120 matches at least one security log item selected by the user with the corresponding diagnostic index item (S6607). If one of the diagnostic index items matches at least one security log item, the policy creating unit 120 sets a contact person for the corresponding security log item in correspondence with the corresponding diagnostic indicator item (S608) (S6609). The user schedules and registers scoring and policy scores for the diagnostic index and diagnostic index items (S610).

한편, 하나의 진단지표에 대응된 모든 진단지표항목에 대한 보안로그항목과의 매칭이 완료되지 않으면(S611), S604 과정 내지 S610 과정이 반복된다. 그리고 모든 진단지표에 대한 보안로그항목과의 매칭이 완료되지 않으면(S6612), 다음 진단지표가 사용자에 의해 선택 또는 입력되어 S604 과정 내지 S611 과정이 반복 수행된다. On the other hand, if the matching with the security log item for all the diagnostic index items corresponding to one diagnostic indicator is not completed (S611), the processes of S604 to S610 are repeated. If the matching with the security log item for all the diagnostic indicators is not completed (S6612), the next diagnostic indicator is selected or inputted by the user, and steps S604 to S611 are repeated.

다른 실시 예로서, 시나리오 저장부(140)에 해당 감사기관의 감사정보가 저장되어 있는 경우가 있다. 이 경우에 정책 생성부(120)는 사용자가 해당 감사기관을 입력 또는 선택하면 해당 감사기관의 이전 감사정보를 파악한 후 파악한 진단지표, 진단지표항목 및 진단지표항목과 배점, 정책 점수, 가중치 등을 사용자에게 제공하고, 사용자가 현재 해당 감사기관의 진단지표, 진단지표항목, 배점, 정책 점수, 가중치를 파악하여 이전 감사때와 다른 정보만을 수정하여 등록할 수 있게 한다. 이러한 과정은 전술한 실시 예를 통해 통상의 기술자라면 용이하게 이해가 될 것이므로, 자세한 설명은 생략한다.In another embodiment, the scenario storage unit 140 may store audit information of the corresponding auditing entity. In this case, when the user inputs or selects the relevant auditing institution, the policy generating unit 120 grasps the previous audit information of the relevant auditing institution and collects the diagnosis index, the diagnosis index item and the diagnosis index item, the score, the policy score, and the weight And the user is able to grasp the diagnostic indicators, diagnosis index items, rating points, policy scores, and weights of the current auditing institution so that the user can modify and register only information different from the previous audit. This process will be easily understood by a person skilled in the art through the above-mentioned embodiments, and a detailed description will be omitted.

도 7은 본 발명의 실시 예에 따른 진단실행부의 블록 구성도이다. 도 7을 참고하면, 본 발명의 실시 예에 따른 진단 실행부(150)는 메타정보 생성부(151), 수집로직 생성부(152), 로그 수집부(153), 인터페이스부(154), 분석및파싱부(155) 및 지수화부(156)를 포함한다.7 is a block diagram of a diagnostic execution unit according to an embodiment of the present invention. 7, the diagnostic execution unit 150 according to the embodiment of the present invention includes a meta information generation unit 151, a collection logic generation unit 152, a log collection unit 153, an interface unit 154, And a parsing unit 155 and an exponentizing unit 156.

메타정보 생성부(151)는 대상장치인 복합 보안시스템(10)의 각 수집대상에 대한 메타정보를 생성한다. 이를 위해, 메타정보 생성부(151)는 사용자가 복수의 수집대상 중 하나의 수집대상에 대한 메타정보 설정을 요청하면, 이에 대응하여 해당 수집대상에 대한 로그포맷(log format)을 제공하고, 사용자가 로그포맷의 각 속성값 표시란에 속성값을 입력하면 입력된 속성값으로 메타정보를 생성한다.The meta information generation unit 151 generates meta information about each collection target of the compound security system 10 as a target device. To this end, the meta information generation unit 151 provides a log format for the corresponding collection object when the user requests meta information setting for one of the plurality of collection targets, When an attribute value is input in each attribute value display field of the log format, meta information is generated by the input attribute value.

여기서 수집대상은 각종 보안장비 및 방화벽, 웹방화벽, TMS(Threat Management), ESM 등의 보안장비 및 DDoS, APT, 접근제어, 스팸메일, 서버취약점, 백신, PC 취약점 등의 보안솔루션을 포함한다.The collected objects include security equipment such as various security equipment, firewall, web firewall, TMS (Threat Management), ESM, and security solutions such as DDoS, APT, access control, spam mail, server vulnerability, vaccine and PC vulnerability.

로그포맷은 로그 수집부(153)가 해당 수집대상에 접속하여 필요로 하는 로그정보나 보안데이터 등의 보안로그를 수집할 수 있도록 하는 기초정보이며, 수집대상의 종류에 따라 입력하는 속성값이 다를 수 있다. 이러한 로그포맷에 포함된 속성값은 해당 수집대상의 종류 및 사양에 대한 제1 속성값, 해당 수집대상에 접속하기 위한 제2 속성값, 해당 수집대상으로부터 수집할 정보(또는 데이터)를 지정하는 제3 속성값을 포함한다.The log format is basic information that allows the log collection unit 153 to access a collection target and collect security logs such as log information and security data that are required. . The attribute values included in the log format include a first attribute value for the kind and specification of the collection object, a second attribute value for accessing the collection object, and a second attribute value for specifying information (or data) to be collected from the collection object 3 attribute value.

예를 들면, 수집할 정보가 “문서 암호화 정보”인 경우에 로그포맷에 포함된 각 속성값은 다음과 같다.For example, when the information to be collected is " document encryption information ", each attribute value included in the log format is as follows.

대상장비: DLP(Data Leakage Prevention) 또는 DB(DataBase)Target equipment: DLP (Data Leakage Prevention) or DB (DataBase)

장비 IP(Internet Protocol): 10.0.0.1Equipment IP (Internet Protocol): 10.0.0.1

DB 유형(종류): ORACLEDB type (type): ORACLE

접속 ID(Identification): userConnection ID (identification): user

패스워드: 1234567Password: 1234567

수집항목(수집할 정보): 로그번호, 매체제어코드, 사원번호, 프로세스명, 파일이름, 파일크기, 실행파일, 실행날짜, 아이피주소, 맥어드레스, 정규식패턴, 키워드 등Collected items (information to collect): log number, media control code, employee number, process name, file name, file size, executable file, execution date, IP address, MAC address, regular expression pattern, keyword, etc.

키 필드(Key field): 정규식 패턴Key field: Regular expression pattern

키 필드 분리자: 카테고리 “, “, 수치값 “:”Key field separator: Category "," Numeric value ":"

상기 각 속성값에서 제1 속성값은 대상장비, DB 유형이 해당되고, 제2 속성값은 장비 IP, 접속 ID, 패스워드가 해당되며, 제3 속성값은 나머지 속성값들이 해당된다.In the respective attribute values, the first attribute value corresponds to the target equipment and DB type, the second attribute value corresponds to the equipment IP, the connection ID, and the password, and the third attribute value corresponds to the remaining attribute values.

상기 대상장비는 보안정보(이하 “보안로그”라 한다)를 수집할 장비 또는 솔루션을 의미하며, 그에 따라 DLP는 데이터베이스 서버에 설치되어 있는 솔루션이므로 “DLP” 또는 “DB”로 표시된다. 상기에서 키 필드는 추출할 보안 정보를 포함하고 있는 데이터 필드 영역이고, 키 필드 분리자는 추출할 보안 정보(보안 데이터)를 키 필드 내에 기록된 데이터 중에서 식별할 수 있게 하는 식별자 즉, 분리자를 지정한다. 상기 속성값에 따르면, 카테고리 데이터는 “,”라는 분리자에 의해 구분되어 표시되어 있고, 수치값은 “:”라는 분리자에 의해 구분되어 표시되어 있다.The target device means equipment or solution for collecting security information (hereinafter referred to as "security log"), and DLP is displayed as "DLP" or "DB" since it is a solution installed in the database server. The key field is a data field area containing security information to be extracted, and a key field separator designates an identifier (i.e., a separator) for identifying security information (security data) to be extracted from the data recorded in the key field . According to the attribute value, the category data is divided and indicated by a separator of ", ", and the numerical value is displayed separately by a separator ": ".

다른 예로, 방화벽으로부터 보안로그를 수집하는 경우에는 다음과 같은 속성값을 가질 수 있다.As another example, when collecting a security log from a firewall, it can have the following attribute values.

대상장비 : 방화벽Target Equipment: Firewall

전송방식: SYSLOGTransmission method: SYSLOG

장비버전: 1.1.1Device version: 1.1.1

장비IP: 10.0.0.1Equipment IP: 10.0.0.1

아이디 : userUsername: user

패스워드: 1234Password: 1234

수집항목(수집할 정보): 로그번호, Soruce IP, Destination IP, Source Port, Destination Port, InBound Traffic, OutBound Traffic, Packet Size, Attack Type, Action 등Collection Items (Information to Collect): Log number, Soruce IP, Destination IP, Source Port, Destination Port, InBound Traffic, Outbound Traffic, Packet Size, Attack Type, Action

필드 분리자 : 카테고리 “=”, 수치값 “,”Field separator: category "=", numeric value ","

키 필드: Attack Type 필드 Key field: Attack Type field

상기 속성값에서 전송방식은 다른 보안장비나 솔루션인 경우에 FTP, UDP, SYSLOG, SNMP 등으로 표기될 수 있다.The transmission method in the attribute value may be expressed as FTP, UDP, SYSLOG, SNMP, or the like in case of other security equipment or solution.

이러한 메타정보 생성부(120)는 사용자가 입력한 속성값으로 메타정보를 생성하면 이를 수집로직 생성부(130)에 제공한다. The meta information generation unit 120 generates meta information using the attribute value input by the user, and provides the meta information to the collection logic generation unit 130.

수집로직 생성부(152)는 메타정보 생성부(151)로부터 수신된 메타정보로부터 각 속성값을 파악하고 파악한 속성값들을 이용하여 해당 수집대상에 자동 접속하여 목표하는 보안로그를 취득할 수 있는 프로그램 즉, 수집로직 프로그램을 생성한다. 수집로직 생성부(152)는 생성한 수집로직 프로그램을 로그 수집부(153)에 제공한다.The collection logic generation unit 152 obtains a target security log by automatically accessing the corresponding collection object by using the attribute values obtained by grasping each attribute value from the meta information received from the meta information generation unit 151, That is, a collection logic program is generated. The collection logic generation unit 152 provides the collected collection logic program to the log collection unit 153. [

로그 수집부(153)는 시나리오 저장부(140)에 포함된 스케줄 저장부(143)에 따라 수집로직 생성부(152)로부터 수신된 해당 수집대상에 대한 수집로직 프로그램을 실행시키고, 수집로직 프로그램을 통해 해당 수집대상으로부터 목표하는 각 보안로그를 수집한다. 한편, 수집하는 보안로그가 SYSLOG인 경우에는 해당 장비로부터 실시간으로 수신하게 되므로 별도의 스케줄 정보를 필요로 하지 않는다.The log collection unit 153 executes the collection logic program for the corresponding collection object received from the collection logic generation unit 152 according to the schedule storage unit 143 included in the scenario storage unit 140, Collects each target security log from the collection target. On the other hand, when the security log to be collected is a SYSLOG, it is received in real time from the corresponding device, so that no separate schedule information is required.

인터페이스부(154)는 TCP, UDP, SYSLOG, FTP, OCI, ODBC, SNMP 등의 통신 인터페이스를 가지고 있으며, 로그 수집부(153)에 의해 하나의 수집로직 프로그램에 대응하여 하나의 통신 인터페이스를 통해 해당 수집대상에 접속하고 통신하게 한다. 인터페이스부(154)는 수집대상이 DB 서버, 웹 서버나 메일 서버 등과 같은 서버인 경우에 에이전트에 접속하고 에이전트로부터 보안로그를 수집한다. 여기서 에이전트는 각 서버로부터 보안로그를 수집하기 위한 장치이다.The interface unit 154 has a communication interface such as TCP, UDP, SYSLOG, FTP, OCI, ODBC, and SNMP. The log collection unit 153 collects, To connect to and communicate with the object to be collected. The interface unit 154 accesses the agent and collects the security log from the agent when the collection target is a server such as a DB server, a web server, or a mail server. Here, the agent is a device for collecting the security log from each server.

로그 수집부(153)에 의해 수집되는 보안로그의 종류 즉, 보안로그항목의 일 예가 도 3에 도시되어 있다.An example of the type of security log collected by the log collecting unit 153, that is, a security log item, is shown in FIG.

분석및파싱부(155)는 로그 수집부(153)로부터 보안로그를 수신하고 수신한 보안로그의 종류 즉, 보안로그항목을 파악하며 파악한 보안로그항목을 데이터 유형별 및 보안위험종류별로 파싱하고 분석한다. 여기서, 로그 수집부(153)로부터 수집되는 보안로그는 메타정보에서 “키 필드”로 지정한 정보이며, 이와 더불어, 수집항목으로 지정한 정보인 로그번호, 매체제어코드, 사원번호, 프로세스명, 파일이름, 파일크기, 실행파일, 실행날짜, 아이피주소, 맥어드레스, 정규식패턴, 키워드 등이다. 수집항목으로 지정한 정보는 전술한 설명에 한정되지 않으며, 제작자에 의해 임의로 변경이 가능하다. 그리고 수신된 보안로그가 “SYSLOG”인 경우에는 날짜정보, ID 정보, 소스(source) 정보, 목적지(destination) 정보, 패킷정보 등을 포함한다. The analyzing and parsing unit 155 receives the security log from the log collecting unit 153 and analyzes the type of the received security log, that is, the security log item, and parses and analyzes the obtained security log item according to the data type and the security risk type . Here, the security log collected from the log collecting unit 153 is the information designated as the " key field " in the meta information, and the log number, the media control code, the employee number, the process name, , File size, executable file, execution date, IP address, MAC address, regular expression pattern, and keyword. The information designated as the collection item is not limited to the above description, and can be arbitrarily changed by the manufacturer. When the received security log is " SYSLOG ", it includes date information, ID information, source information, destination information, and packet information.

상기에서 데이터 유형은 크게 카운트형, 날짜형 및 OX형으로 분류된다. 카운트형은 사용자 행위를 카운트할 수 있는 데이터이고, 날짜형은 날짜를 기준으로 사용자의 행위가 보안에 위배되는지를 파악할 수 있는 데이터이며, OX는 사용자의 행위가 보안행위를 했는지 안했는지를 파악할 수 있는 데이터이다.The data types are classified into count type, date type, and OX type. The count type is data that can count user actions, and the date type is data that can detect whether the user's behavior is against security based on the date. OX can determine whether or not the user's action has performed a security action .

예를 들면, 카운트형 데이터는 사용자가 PC 내에서 미암호화한 개인정보 보유 파일을 몇 건 가지고 있는지 또는 개인정보를 몇 건 다운로드했는지 또는 복합기의 문서 출력을 몇 건 했는지 등을 파악할 수 있게 하는 데이터이다. 날짜형 데이터는 사용자가 백신 치료를 몇 일 동안 하지 않았는지(또는 몇일만에 했는지) 또는 오피스 보안 패치 점검을 몇 일 동안 하지 않았는지를 파악할 수 있게 하는 데이터이다. 그리고, OX형 데이터는 화면 보호기 설정 점검을 했는지, 윈도우 자동 로그온 점검을 했는지 등을 파악할 수 있게 하는 데이터이다.For example, the counted data is data that allows the user to know how many personal information files that the user has unencrypted in the PC, how many pieces of personal information have been downloaded, and how many documents are printed by the multifunction peripheral . The date data is data that allows the user to determine whether the user has not been vaccinating for several days (or within a few days), or for a few days of office security patch checks. And, the OX type data is data that enables to know whether or not the screen saver setting check is performed, the Windows automatic log-on check is performed, and the like.

상기에서 보안위험종류는 도 3에서 “중분류”에 해당하는 내용으로, 정보유출, 취약성, 악성코드감염가 있다.In the above, the type of security risk corresponds to "middle class" in FIG. 3, and information leakage, vulnerability, and malicious code infection exist.

분석및파싱부(155)의 동작을 SYSLOG를 예로 하여 설명하면, 분석및파싱부(155)는 SYSLOG 보안로그를 분석하여 데이터 유형 및 보안위험종류를 파악하고, 날짜정보, ID 정보, 소스(source) 정보, 목적지(destination) 정보, 패킷정보 등을 각각 추출한 후 추출한 정보를 파싱한 후 저장부(미도시)에 저장시킨다.The analysis and parsing unit 155 analyzes the SYSLOG security log to identify the data type and the type of security risk, and obtains the date information, the ID information, the source information Information, destination information, packet information, and the like, parses the extracted information, and stores the parsed information in a storage unit (not shown).

지수화부(156)는 분석및파싱부(155)에 의해 파싱되어 저장된 각 보안로그항목들에 대하여 해당 보안로그항목의 진단용 스케줄에 따라 점수요소 저장부(144)에 저장된 진단지표항목별 가중치와 정책 점수 및 배점 기준를 이용하여 진단지표항목과 매칭된 각 보안로그항목에 대한 지수화를 수행한다.For each security log item stored and parsed by the analyzing and parsing unit 155, the exponentiation unit 156 calculates a weight for each diagnostic item stored in the score storage unit 144 and a policy The score and rating criteria are used to index each security log entry matched with the diagnostic indicator item.

지수화부(156)는 보안로그에 포함된 사용자 식별정보(IP, MAC 어드레스, 사번 등)를 통해 사용자를 파악하고, 보안로그의 발생 날짜를 파악하며, 각 보안위험종류별로 도 3에 도시된 보안로그항목에 대응하는 팩트(fact) 데이터를 보안로그로부터 파악하여 데이터 유형에 맞는 결과값을 산출한다. 예컨대, 결과값은 카운터형인 경우에 카운트값(건수 또는 횟수)에 해당하고, OX형인 경우에 “예(yes)” 또는 “아니오(no)”에 해당하며, 날짜형인 경우에 날짜의 기간(길이)에 해당한다.The exponentiation unit 156 grasps the user through the user identification information (IP, MAC address, employee number, etc.) included in the security log, grasps the occurrence date of the security log, The fact data corresponding to the log entry is grasped from the security log and a result value corresponding to the data type is calculated. For example, the result value corresponds to the count value (the number of cases or the number of times) in the case of the counter type, corresponds to "yes" or "no" in the case of the OX type, ).

지수화부(156)는 각 보안로그항목에 대한 결과값을 산출하면, 결과값과 시나리오 저장부(140)에 저장된 각 보안로그항목별 배점 기준과 가중치 및 정책 점수를 이용하여 각 보안로그항목에 대한 점수를 산출한다. 예컨대, "PC 미암호화 주민번호 보관"이라는 보안로그항목에 매칭된 진단지표항목의 가중치가 "50"이고, 배점 기준 및 정책 점수가 "0"건일때 100점, 1 ~ 100건일때 70점, 101건 이상일 때 0점이라고 하며, 해당 보안로그항목의 결과값 즉, 주민번호 보관 건수가 90건인 경우에, 지수화부(156)는 해당 보안로그항목의 정책 점수가 70점이라고 파악하고, 그에 따라 지수화 점수 계산식인 (가중치 점수 * 정책 점수)/100에 대입하여 (50*70)/100=35점이라는 지수화 점수를 산정한다.The exponentiation unit 156 calculates a result value for each security log item, and uses the resultant value, the score criterion, the weight score, and the policy score for each security log item stored in the scenario storage unit 140, The score is calculated. For example, if the weight of the diagnostic index item matched with the security log item "Keep the PC unencrypted resident registration number" is "50", the score is 100 when the score criterion and policy score is "0" If the result of the security log entry, that is, the number of retained resident numbers is 90, the exponentiation unit 156 determines that the policy score of the corresponding security log item is 70 points, and accordingly, (50 * 70) / 100 = 35 points by substituting the weighted score * policy score) / 100, which is an exponential score calculation formula.

이러한 지수화 점수 산정은 모든 보안로그항목에 대해 이루어지며, 지수화부(156)는 모든 보안로그항목의 지수화 점수를 제재조치부(160)에 제공한다.The exponentiation score calculation is performed for all the security log items, and the exponentifier 156 provides exposition scores of all the security log items to the sanction unit 160.

이하에서는 도 8을 참조로 하여 본 발명의 실시 예에 따른 진단실행부의 동작을 설명한다. 도 8은 본 발명의 실시 예에 따른 진단실행부의 동작 순서도이다.Hereinafter, the operation of the diagnostic execution unit according to the embodiment of the present invention will be described with reference to FIG. 8 is an operational flowchart of a diagnostic execution unit according to an embodiment of the present invention.

도 8을 참고하면, 사용자는 사용자 입력부(110)를 통해 복합 보안시스템의 각 수집대상(즉, 보안장비 및 각 솔루션) 중 하나에 대한 메타정보 설정을 요청하면, 메타정보 생성부(120)에서 로그포맷 입력화면을 제공한다. 그러면 사용자는 로그포맷 입력화면을 통해 로그포맷을 입력할 하나의 수집대상을 선택하고 선택한 수집대상에 대한 로그포맷의 각 속성값 표시란에 속성값을 입력한다.Referring to FIG. 8, when a user requests meta information setting for one of the collection targets (i.e., security equipment and solutions) of the complex security system through the user input unit 110, the meta information generation unit 120 Log format input screen is provided. Then, the user selects one collection target through which to input the log format through the log format input screen, and inputs an attribute value into each attribute value display field of the log format for the selected collection target.

이에 메타정보 생성부(120)는 사용자가 입력한 로그포맷의 속성값을 저장(설정)하고(S801), 로그포맷의 각 속성값으로 해당 수집대상에 대한 메타정보를 생성한다(S802). 사용자는 복합 보안시스템으로부터 보안로그를 수집하기 전에 상기 S801 과정 및 S802 과정을 통해 모든 보안장비 및 보안 솔루션에 대한 로그포맷의 속성값 입력 및 이에 대응하는 메타정보를 생성한다.The meta information generation unit 120 stores (sets) an attribute value of the log format input by the user (S801), and generates meta information about the object to be collected with each attribute value of the log format (S802). The user inputs attribute values of the log format for all security devices and security solutions and generates corresponding meta information through the steps S801 and S802 before collecting the security log from the complex security system.

메타정보 생성부(151)는 하나의 수집대상에 대한 메타정보를 생성하면 생성한 메타정보를 수집로직 생성부(130)에 제공하고, 수집로직 생성부(152)는 수신된 메타정보로부터 각 속성값을 파악하고 파악한 속성값들을 이용하여 해당 수집대상에 자동 접속하여 목표하는 보안로그를 취득할 수 있는 수집로직 프로그램을 생성하고, 생성한 수집로직 프로그램을 로그 수집부(153)에 제공한다(S803).The meta information generation unit 151 provides the generated meta information to the collection logic generation unit 130 when the meta information for one collection target is generated and the collection logic generation unit 152 generates the meta information for each attribute And acquires a target security log by automatically accessing the corresponding collection object using the acquired attribute values, and provides the collected collection logic program to the log collection unit 153 (S803 ).

로그 수집부(153)는 수신된 수집로직 프로그램을 해당 수집대상에 대응하여 설정하며, 이러한 설정 동작으로 모든 수집대상에 대응하여 수집로직 프로그램을 설정한다(S804).The log collecting unit 153 sets the received collecting logic program corresponding to the corresponding collecting object, and sets the collecting logic program corresponding to all the collecting objects by the setting operation (S804).

로그 수집부(153)는 스케줄 저장부(143)에 저장된 각 보안로그항목별 제1 스케줄 정보에 따라 각 수집로직 프로그램을 실행시켜 인터페이스부(154)를 통해 각각의 수집대상에 접속하고 각 수집대상으로부터 보안로그를 수집한다(S805). The log collection unit 153 executes each collection logic program according to the first schedule information for each security log item stored in the schedule storage unit 143 and accesses each collection object through the interface unit 154, (S805).

로그 수집부(153)에서 수집된 각 보안로그는 분석및파싱부(155)에 제공되고, 분석및파싱부(160)는 수신한 보안로그를 분석하여 보안로그항목을 식별하고 보안로그항목을 데이터 유형별 및 보안위험종류별로 파싱한다(S806).Each security log collected by the log collecting unit 153 is provided to the analyzing and parsing unit 155. The analyzing and parsing unit 160 analyzes the received security log to identify the security log item, And parses them according to types and security risk types (S806).

지수화부(156)는 분석및파싱부(155)에 의해 파싱된 데이터에서 팩트 데이터를 파악하며(S807), 팩트 데이터를 이용하여 결과값을 산출하고 저장한다(S808). The exponentiation unit 156 obtains the fact data from the data parsed by the analysis and parsing unit 155 (S807), and calculates and stores the resultant value using the fact data (S808).

보안로그 지수화부(156)는 각 보안로그항목의 결과값 각각에 대응하는 정책 점수를 파악하고(S809), 정책 점수와 보안로그항목에 대응된 가중치 점수를 이용하여 지수화 점수를 산정한다(S810).The security log exponent 156 obtains a policy score corresponding to each of the result values of each security log item (S809), and calculates an index score using the score of the policy and the weight score corresponding to the security log item (S810) .

상기에서 S809 과정 내지 S810 과정은 보안로그항목별 제2 스케줄에 따라 수행된다.In the above, steps S809 to S810 are performed according to the second schedule for each security log item.

이상에서 본 발명의 실시에에 대하여 상세하게 설명하였으나, 본 발명의 권리범위가 이에 한정되는 것은 아니며 본 발명이 속하는 분야에서 통상의 지식을 가진 자가 여러 가지로 변형 및 개량한 형태 또한 본 발명의 권리범위에 속한다.While the present invention has been particularly shown and described with reference to exemplary embodiments, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It belongs to the scope.

100 : 보안감사 대응 시스템 110 : 사용자 입력부
120 : 정책 생성부 131 : 보안로그항목 DB
132 : 진단지표항목 DB 133 : 스케줄 DB
134 : 담당자 DB
140 : 시나리오 저장부 150 : 진단실행부
160 : 제재조치부 121 : 매칭부
122 : 담당자 설정부 123 : 스케줄 설정부
124 : 점수요소 설정부100: Security audit response system 110: User input
120: Policy generation unit 131: Security log entry DB
132: diagnosis index item DB 133: schedule DB
134: Person in charge DB
140: scenario storage unit 150: diagnosis execution unit
160: sanction unit 121: matching unit
122: Person in charge setting unit 123: Schedule setting unit
124: score element setting section

Claims (5)

모든 보안로그항목에 대한 정보 및 식별정보를 저장하고 있는 보안로그항목 DB,
각 감사기관에서 요구하는 모든 종류의 진단지표 및 진단지표항목이 저장되어 있는 진단지표항목 DB,
보안로그항목별 진단지표항목을 진단하기 위한 진단용 스케줄 정보를 저장하고 있는 스케줄 DB,
각 보안로그항목별 또는 진단지표항목별 당담자의 정보를 저장하고 있는 담당자 DB,
상기 보안로그항목 DB, 진단지표항목 DB, 상기 스케줄 DB 및 상기 담당자 DB와 연계하며, 사용자가 감사기관별 정책 시나리오를 생성할 수 있도록 하는 입력창을 화면상에 표시하여 사용자가 상기 입력창을 통해 입력한 정보에 따라 감사기관별 정책 시나리오를 생성하고, 생성된 정책 시나리오에 대응하여 보안로그항목 또는 진단지표항목의 담당자와 상기 진단용 스케줄 및 점수요소를 설정하는 정책 생성부,
상기 정책 생성부에 의해 생성된 적어도 하나의 감사기관별 정책 시나리오, 생성된 정책 시나리오에 대응하여 설정한 진단용 스케줄, 담당자 정보 및 점수요소를 저장하는 시나리오 저장부, 그리고
복합 보안시스템의 각 수집대상으로부터 보안로그항목에 대한 보안로그을 수집하고, 상기 수집한 보안로그에 대응한 보안로그항목에 대하여 상기 진단용 스케줄에 따라 각 보안로그항목의 지수화 점수를 산출하고, 산출한 보안로그항목의 지수화 점수를 이용하여 각 진단지표 및 진단지표항목을 평가하는 진단실행부
를 포함하는 보안감사 대응 시스템.A security log entry DB storing information and identification information of all security log entries,
Diagnostic index items DB, which stores all types of diagnostic indicators and diagnostic index items required by each audit organization,
A schedule DB that stores diagnostic schedule information for diagnosing a diagnosis index item for each security log item,
The DB of the person who stores the information of the individual by each security log item or the diagnosis index item,
An input window for allowing the user to create a policy scenario for each audit institution in association with the security log entry DB, the diagnostic index entry DB, the schedule DB, and the agent DB, A policy generating unit for generating a policy scenario for each audit institution in accordance with the information, setting a person in charge of the security log item or the diagnostic indicator item and the diagnostic schedule and score elements corresponding to the generated policy scenario,
A scenario storage unit for storing at least one policy-specific audit scenario generated by the policy generation unit, a diagnostic schedule set in correspondence with the generated policy scenario, personnel information and score elements, and
Collecting a security log for a security log item from each collection target of the multiple security system, calculating an exponential score of each security log item according to the diagnostic schedule for a security log item corresponding to the collected security log, A diagnostic execution unit for evaluating each diagnostic index and the diagnostic index item using the exponential score of the log item
The security audit response system. 제1항에서,
상기 진단실행부에 의해 산정된 각 보안로그항목의 지수화 점수를 이용하여 진단지표 및 진단지표항목에 대한 진단결과 보고서를 생성하며, 지수화 점수가 설정 점수 이하로 낮은 보안로그항목을 파악하고 해당 보안로그항목을 담당하는 담당자에게 제재조치하는 제재조치부를 더 포함하는 보안감사 대응 시스템.The method of claim 1,
Generates a diagnosis result report for the diagnosis index and the diagnosis index item by using the exponential score of each security log item calculated by the diagnosis execution unit, identifies the security log item whose exponential score is lower than the set score, A security audit response system further including a sanctioning section for sanctioning the person in charge of the item. 제1항 또는 제2항에서,
상기 정책 생성부는,
상기 진단지표항목 DB와 상기 보안로그항목 DB를 이용하여 사용자가 지시에 따라 특정 감사기관의 각 진단지표항목에 대응하는 보안로그항목을 매칭시켜 등록하는 매칭부,
상기 매칭부에 의해 해당 감시기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 담당자를 상기 담당자 DB로부터 파악하고 해당 감사기관에 대응된 보안로그항목의 담당자로 설정하여 상기 시나리오 저장부에 저장하는 담당자 설정부,
상기 매칭부에 의해 해당 감시기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대한 진단용 스케줄을 파악하고 파악한 진단용 스케줄을 상기 시나리오 저장부에 저장하는 스케줄 설정부, 그리고
상기 매칭부에 의해 해당 감시기관의 진단지표항목에 대응하여 보안로그항목이 매칭되어 등록되면 등록된 보안로그항목에 대응된 진단지표항목에 대한 배점기준이나 배점 및 가중치를 사용자의 지시에 따라 매칭하고 등록하는 점수요소 설정부를 포함하는 보안감사 대응 시스템.3. The method according to claim 1 or 2,
Wherein the policy generation unit includes:
A matching unit for matching and registering a security log item corresponding to each diagnostic indicator item of a specific audit institution according to an instruction by the user using the diagnostic indicator item DB and the security log item DB,
When the security log entry is registered in correspondence with the diagnosis index item of the monitoring organization by the matching unit, the contact person is identified from the contact person DB for the registered security log item, and the security log item corresponding to the security log item And stores it in the scenario storage unit,
A schedule setting unit for, when the security log entry is matched with the diagnostic indicator item of the monitoring organization by the matching unit, registering the diagnostic schedule for the registered security log item and storing the diagnosed schedule in the scenario storage unit, And
When the security log entry is registered in a matching manner with the diagnostic indicator item of the monitoring organization by the matching unit, the rating standard, the score, and the weight of the diagnostic indicator item corresponding to the registered security log item are matched according to the user's instruction A security audit response system including a score factor setting unit to be registered. 제1항 또는 제2항에서,
상기 진단실행부는,
사용자에 의해 입력된 복합 보안시스템의 각 수집대상에 대한 로그포맷의 속성값으로 해당 수집대상에 대한 메타정보를 생성하는 메타정보 생성부,
상기 메타정보로부터 각 속성값을 파악하고 파악한 속성값들을 이용하여 해당 수집대상으로부터 목표하는 보안로그를 취득할 수 있는 수집로직 프로그램을 생성하는 수집로직 생성부,
각 수집대상별 수집로직 프로그램을 이용하여 각 수집대상으로부터 보안로그를 수집하는 로그 수집부,
상기 로그 수집부에서 수집한 보안로그에 대해 보안로그항목을 파악하고 데이터 유형별 및 보안위험종류별로 파싱하는 분석및파싱부, 그리고
상기 분석및파싱부에 의해 파싱되어 저장된 각 보안로그항목들에 대하여 해당 보안로그항목에 대응된 진단지표항목의 가중치와 정책 점수 및 배점 기준를 이용하여 해당 진단지표항목과 매칭된 각 보안로그항목에 대한 지수화 점수를 산출하는 지수화부를 포함하는 보안감사 대응 시스템.3. The method according to claim 1 or 2,
Wherein the diagnosis execution unit comprises:
A meta information generation unit for generating meta information about a collection object as an attribute value of a log format for each collection target of the composite security system input by the user,
A collection logic generating unit for acquiring a plurality of attribute values from the meta information and generating a collection logic program capable of acquiring a target security log from a collection target using the acquired attribute values,
A log collector for collecting a security log from each collection object using a collection logic program for each collection object,
An analysis and parsing unit for grasping security log items for the security log collected by the log collecting unit and parsing the security log data for each data type and security risk type,
For each security log item parsed and stored by the analyzing and parsing unit, for each security log item matched with the corresponding diagnostic indicator item, using the weight of the diagnostic indicator item corresponding to the corresponding security log item, the policy score, And an indexing unit for calculating an exponentiation score. 제4항에서,
상기 로그 수집부는 매일마다 각 수집대상별 수집로직 프로그램을 실행하여 각 수집대상으로부터 보안로그를 수집하고,
상기 지수화부는 각 보안로그항목에 대응하여 설정된 상기 진단용 스케줄에 따라 동작하여 해당 보안로그항목에 대한 지수화 점수를 산출하는 보안감사 대응 시스템.

5. The method of claim 4,
The log collecting unit collects the security log from each collection target by executing the collecting logic program for each collection object every day,
Wherein the exponentiation unit operates according to the diagnostic schedule set corresponding to each security log item to calculate an exponentiation score for the corresponding security log item.

KR1020170091293A 2017-07-19 2017-07-19 Security inspection respondence system KR102055893B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170091293A KR102055893B1 (en) 2017-07-19 2017-07-19 Security inspection respondence system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170091293A KR102055893B1 (en) 2017-07-19 2017-07-19 Security inspection respondence system

Publications (2)

Publication Number Publication Date
KR20190009859A true KR20190009859A (en) 2019-01-30
KR102055893B1 KR102055893B1 (en) 2019-12-16

Family

ID=65277190

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170091293A KR102055893B1 (en) 2017-07-19 2017-07-19 Security inspection respondence system

Country Status (1)

Country Link
KR (1) KR102055893B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210083607A (en) * 2019-12-27 2021-07-07 우정우 System and method for exponentiation of security element to analyze danger
KR102298033B1 (en) * 2021-02-15 2021-09-06 광주광역시 Audit Data Analysis System Based on Text Mining
KR20230099380A (en) * 2021-12-27 2023-07-04 주식회사 엘로이큐브 Firewall policy application automation server, system having the same, and method using the same

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100752677B1 (en) * 2006-04-19 2007-08-29 ㈜ 메타리스크 Information technology risk management system and method the same

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210083607A (en) * 2019-12-27 2021-07-07 우정우 System and method for exponentiation of security element to analyze danger
KR102298033B1 (en) * 2021-02-15 2021-09-06 광주광역시 Audit Data Analysis System Based on Text Mining
KR20230099380A (en) * 2021-12-27 2023-07-04 주식회사 엘로이큐브 Firewall policy application automation server, system having the same, and method using the same

Also Published As

Publication number Publication date
KR102055893B1 (en) 2019-12-16

Similar Documents

Publication Publication Date Title
Cichonski et al. Computer security incident handling guide
US20110202969A1 (en) Anomalous activity detection
Horák et al. GDPR compliance in cybersecurity software: A case study of DPIA in information sharing platform
JP2003216576A (en) Method and system for monitoring weak points
KR101292640B1 (en) Method for Risk Management using Web based RMS linked with SSO
Mutemwa et al. Integrating a security operations centre with an organization’s existing procedures, policies and information technology systems
KR20140035146A (en) Apparatus and method for information security
Cichonski et al. Computer security incident handling guide
KR102055893B1 (en) Security inspection respondence system
KR102295488B1 (en) System and method for exponentiation of security element to analyze danger
Bates et al. Can data provenance put an end to the data breach?
Bobbert et al. Zero trust validation: from practical approaches to theory
Makura et al. Digital forensic readiness in operational cloud leveraging ISO/IEC 27043 guidelines on security monitoring
Casey et al. Forensic analysis as iterative learning
Candra et al. ISMS planning based on ISO/IEC 27001: 2013 using analytical hierarchy process at gap analysis phase (Case study: XYZ institute)
Yuliana et al. Best practice framework for information technology security governance in Indonesian government
Dorofee et al. Incident Management Capability Assessment
Flynn et al. Cloud service provider methods for managing insider threats: Analysis phase ii, expanded analysis and recommendations
Brancik Insider computer fraud: an in-depth framework for detecting and defending against insider IT attacks
Kahraman Evaluating IT security performance with quantifiable metrics
Mogull Understanding and selecting a database activity monitoring solution
Azkia et al. Reconciling IHE-ATNA profile with a posteriori contextual access and usage control policy in healthcare environment
US20060107313A1 (en) Method, system, and medium for the analysis of information system security
Dulaney CompTIA Security+ Deluxe Study Guide Recommended Courseware: Exam SY0-301
Agrawal et al. Missing Values Prediction for Cyber Vulnerability Analysis in Academic Institutions

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant