KR20190065862A - 네트워크 보안 정책 관리 시스템 및 그 방법 - Google Patents
네트워크 보안 정책 관리 시스템 및 그 방법 Download PDFInfo
- Publication number
- KR20190065862A KR20190065862A KR1020170165427A KR20170165427A KR20190065862A KR 20190065862 A KR20190065862 A KR 20190065862A KR 1020170165427 A KR1020170165427 A KR 1020170165427A KR 20170165427 A KR20170165427 A KR 20170165427A KR 20190065862 A KR20190065862 A KR 20190065862A
- Authority
- KR
- South Korea
- Prior art keywords
- policy
- security policy
- security
- policy management
- management server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 보안 정책 관리 시스템 및 그 방법에 관한 것으로, 특히 네트워크 보안 정책의 일괄 전송과 효율적인 관리, 보존 및 무결성을 유지할 수 있도록 하는 네트워크 보안 정책 관리 시스템 및 그 방법에 관한 것이다.
또한, 본 발명은 하기 정책 관리 서버에 보안 정책의 생성을 요청하고, 정책 관리 서버로부터 생성된 보안 정책을 전송받아 관리하며, 정책 관리 서버로 생성된 보안 정책의 배포를 요청하는 정책 관리 클라이언트; 상기 정책 관리 클라이언트가 보안 정책의 생성을 요청하면, 보안 정책과 보안 정책 이력을 생성하여 저장하고, 생성된 보안 정책을 정책 관리 클라이언트에 제공하고, 정책 관리 클라이언트가 생성된 보안 정책의 배포를 요청하면, 네트워크 보안 장비로 보안 정책을 배포하는 정책 관리 서버; 및 상기 정책 관리 서버로부터 보안 정책을 배포받아 적용하는 네트워크 보안 장비를 포함하는 네트워크 보안 정책 관리 시스템 및 방법이 제공된다.
또한, 본 발명은 하기 정책 관리 서버에 보안 정책의 생성을 요청하고, 정책 관리 서버로부터 생성된 보안 정책을 전송받아 관리하며, 정책 관리 서버로 생성된 보안 정책의 배포를 요청하는 정책 관리 클라이언트; 상기 정책 관리 클라이언트가 보안 정책의 생성을 요청하면, 보안 정책과 보안 정책 이력을 생성하여 저장하고, 생성된 보안 정책을 정책 관리 클라이언트에 제공하고, 정책 관리 클라이언트가 생성된 보안 정책의 배포를 요청하면, 네트워크 보안 장비로 보안 정책을 배포하는 정책 관리 서버; 및 상기 정책 관리 서버로부터 보안 정책을 배포받아 적용하는 네트워크 보안 장비를 포함하는 네트워크 보안 정책 관리 시스템 및 방법이 제공된다.
Description
본 발명은 네트워크 보안 정책 관리 시스템 및 그 방법에 관한 것으로, 특히 네트워크 보안 정책의 일괄 전송과 효율적인 관리, 보존 및 무결성을 유지할 수 있도록 하는 네트워크 보안 정책 관리 시스템 및 그 방법에 관한 것이다.
네트워크 보호를 위한 네트워크 보안 장비로 침입 방지 시스템(Intrusion Prevention System : IPS), 침입 탐지 시스템(Intrusion Detecting System : IDS) 등이 활용되고 있다.
상기 IPS 및 IDS는 네트워크 트래픽을 감시하여 잠재적 위협을 인지한 후 이에 즉각적인 대응을 하기 위한 네트워크 보안 기술 중 예방적 차원의 접근방식에 해당한다.
통상 공격자가 일단 내부의 권한을 획득하고 나면 시스템의 악의적인 이용이 매우 빠르게 진행될 수 있다. 따라서 대다수의 네트워크 보안 장비는 네트워크 보안 관리자가 설정해 놓은 일련의 규칙에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지도록 설계된다.
이를 위하여 상기 네트워크 보안 장비는 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달한다.
이와 같은 네트워크 보안 장비에 의하여 부당한 공격 패킷에 대처하고 있지만, 현재 네트워크 보안 장비는 긴급한 보안 정책 적용이 필요한 경우에는 이를 바로 적용할 수 없는 문제가 있다.
또한, 이와 같은 네트워크 보안 장비는 네트워크 보안 정책의 특성상 하나의 설정만으로 네트워크 단절 등의 수많은 상황이 발생할 수 있으며 이에 따라 문제가 된 수정 사항의 추적이 어려워 단절 이전 시점의 정책으로 복구하기 어려운 특징이 있다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로, 복수개의 네트워크 보안 장비로 복수개의 보안 정책을 일괄배포하여 단일 보안 정책의 배포시보다 우수한 보안 정책 적용 속도를 보장하고 적용된 보안 정책의 사후 관리를 제공할 수 있는 네트워크 보안 정책 관리 시스템 및 그 방법을 제공하는 데 있다.
또한, 본 발명은 보안 정책의 감사, 수정 이력을 누적 제공함으로 보안 정책의 복구 및 백업 등을 지원하여 보안 사고에 안정적으로 대응 가능하게 하여 보안정책의 무결성이 가능한 네트워크 보안 정책 관리 시스템 및 그 방법을 제공하는 데 있다.
본 발명의 네트워크 보안 정책 관리 시스템은 하기 정책 관리 서버에 보안 정책의 생성을 요청하고, 정책 관리 서버로부터 생성된 보안 정책을 전송받아 관리하며, 정책 관리 서버로 생성된 보안 정책의 배포를 요청하는 정책 관리 클라이언트; 상기 정책 관리 클라이언트가 보안 정책의 생성을 요청하면, 보안 정책과 보안 정책 이력을 생성하여 저장하고, 생성된 보안 정책을 정책 관리 클라이언트에 제공하고, 정책 관리 클라이언트가 생성된 보안 정책의 배포를 요청하면, 네트워크 보안 장비로 보안 정책을 배포하는 정책 관리 서버; 및 상기 정책 관리 서버로부터 보안 정책을 배포받아 적용하는 네트워크 보안 장비를 포함한다.
또한, 본 발명의 네트워크 보안 정책 관리 시스템의 상기 정책 관리 클라이언트는 상기 정책 관리 서버로 보안 정책 수정을 요청하여, 수정될 보안 정책을 전송받아 보안 정책을 수정하여 제공하며, 상기 정책 관리 서버는 상기 정책 관리 클라이언트가 보안 정책 수정을 요청하면 수정될 보안 정책을 전송하고, 수정된 보안 정책을 전송받아 보안 정책 수정 이력과 함께 저장하여 관리한다.
또한, 본 발명의 네트워크 보안 정책 관리 시스템의 상기 정책 관리 서버는 상기 정책 관리 클라이언트가 보안 정책의 배포를 요청하면, 시리얼 라이선스를 이용하여 배포 명령의 무결성을 확인한 후에, 보안 정책을 네트워크 보안 장비로 전달한다.
또한, 본 발명의 네트워크 보안 정책 관리 시스템의 상기 정책 관리 클라이언트는 상기 정책 관리 서버로 보안 정책 복구를 요청하여 복구된 보안 정책을 전송받아 관리하며, 상기 정책 관리 서버는 상기 정책 관리 클라이언트로부터 보안 정책 복구를 요청받으면, 보안 정책 데이터베이스에서 복구될 보안 정책을 획득하여 보안 정책을 복구하여 보안 정책 복구 이력과 함께 저장하여 관리하며, 상기 정책 관리 클라이언트에 복구된 보안 정책을 전송한다.
한편, 본 발명의 네트워크 보안 정책 관리 방법은 (A) 정책 관리 서버는 정책 관리 클라이언트가 보안 정책의 생성을 요청하면, 보안 정책과 보안 정책 이력을 생성하여 저장하는 단계; (B) 상기 정책 관리 서버가 생성된 보안 정책을 상기 정책 관리 클라이언트에 제공하는 단계; (C) 상기 정책 관리 서버는 상기 정책 관리 클라이언트가 생성된 보안 정책의 배포를 요청하면, 네트워크 보안 장비로 보안 정책을 배포하는 단계; 및 (D) 상기 네트워크 보안 장비는 상기 정책 관리 서버로부터 보안 정책을 배포받아 적용하는 단계를 포함한다.
또한, 본 발명의 네트워크 보안 정책 관리 방법은 (E) 상기 정책 관리 서버는 상기 정책 관리 클라이언트가 보안 정책 수정을 요청하면, 수정될 보안 정책을 상기 정책 관리 클라이언트에 제공하는 단계; (F) 상기 정책 관리 클라이언트는 수정될 보안 정책을 전송받아 보안 정책을 수정하여 제공하는 단계; 및 (G) 상기 정책 관리 서버는 수정된 보안 정책을 전송받아 보안 정책 수정 이력과 함께 저장하여 관리하는 단계를 더 포함한다.
또한, 본 발명의 네트워크 보안 정책 관리 방법의 상기 (C) 단계에서 상기 정책 관리 서버는 상기 정책 관리 클라이언트가 보안 정책의 배포를 요청하면, 시리얼 라이선스를 이용하여 배포 명령의 무결성을 확인한 후에, 보안 정책을 상기 네트워크 보안 장비로 전달한다.
또한, 본 발명의 네트워크 보안 정책 관리 방법은 (H) 상기 정책 관리 서버는 상기 정책 관리 클라이언트에서 보안 정책의 복구 요청을 수신하면, 보안 정책 데이터베이스에서 복구될 보안 정책을 획득하여 보안 정책을 복구하여 보안 정책 복구 이력과 함께 저장하여 관리하는 단계; (I) 상기 정책 관리 서버는 상기 정책 관리 클라이언트에 복구된 보안 정책을 전송하는 단계; 및 (J) 상기 정책 관리 클라이언트는 상기 정책 관리 서버로부터 복구된 보안 정책을 전송받아 관리하는 단계를 더 포함한다.
본 발명은 복수개의 네트워크 보안 장비로 복수개의 보안 정책을 일괄 배포하여 단일 보안 정책 배포 비교시 우월한 보안 정책 적용 속도를 보장하고 적용된 보안 정책의 사후 관리를 제공한다.
또한 본 발명은 보안 정책의 감사, 수정 이력을 누적 제공함으로 보안 정책의 복구 및 백업 등을 지원하여 보안 사고에 안정적으로 대응 가능하게 하여 보안 정책의 무결성이 가능한 관리 프로세스를 제공한다.
이처럼 본 발명은 다수의 네트워크 보안 장비의 보안 정책을 동기화하여 보안 정책의 무결함을 제공하며, 네트워크 보안 정책의 수정 이력을 보관함으로 정책의 재사용 및 보안 사고 사후 처리에 가용할 수 있는 방법을 제공한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 네트워크 보안 정책 관리 방법의 흐름도이다.
도 2는 도 1의 보안 정책 생성 단계의 신호 흐름도이다.
도 3은 도 1의 보안 정책 수정 관리 단계의 신호 흐름도이다.
도 4는 도 1의 보안 정책 배포 단계의 신호 흐름도이다.
도 5는 도 1의 보안 정책 복구 단계의 신호 흐름도이다.
도 6은 본 발명의 바람직한 일 실시예에 따른 네트워크 보안 정책 관리 시스템의 구성도이다.
도 2는 도 1의 보안 정책 생성 단계의 신호 흐름도이다.
도 3은 도 1의 보안 정책 수정 관리 단계의 신호 흐름도이다.
도 4는 도 1의 보안 정책 배포 단계의 신호 흐름도이다.
도 5는 도 1의 보안 정책 복구 단계의 신호 흐름도이다.
도 6은 본 발명의 바람직한 일 실시예에 따른 네트워크 보안 정책 관리 시스템의 구성도이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 이하에서는 특정 실시예들을 첨부된 도면을 기초로 상세히 설명하고자 한다.
이하의 실시예는 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시 예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
또한, 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되는 것은 아니며, 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
도 1은 본 발명의 바람직한 일 실시예에 따른 네트워크 보안 정책 관리 방법의 흐름도이다.
도 1을 참조하면, 본 발명의 바람직한 일 실시예에 다른 네트워크 보안 정책 관리 방법은 보안 정책 생성 단계(S100), 보안 정책 수정 관리 단계(S200), 보안 정책 배포 단계(S300), 보안 정책 저장 단계(S400) 및 보안 정책 복구 단계(S500)를 포함하고 있다.
먼저 보안 정책 생성 단계(S100)는 도 2의 신호 흐름도를 참조하면, 정책 관리 클라이언트(100)가 정책 관리 서버(200)에 보안 정책의 생성을 요청하면(S110), 정책 관리 서버(200)는 마스터 보안 정책을 생성하여 마스터 데이터베이스(300)에 저장하며(S112), 생성된 마스터 보안 정책을 복사하여 보안 정책 사본을 생성하여 보안 정책 데이터베이스(400)에 보안 정책으로 저장하며(S114), 보안 정책 생성과 관련된 보안 정책 이력을 동시에 작성하여 보안 정책 이력 데이터베이스(500)에 저장한다(S116). 상기 마스터 보안 정책은 수정이 불가하며 읽기만 가능하다.
그리고, 정책 관리 서버(200)는 정책 관리 클라이언트(100)에 생성된 보안 정책을 전송하여 보안 정책 생성 요청에 대한 보안 정책 생성 응답을 수행한다(S118).
이에 따라 정책 관리 클라이언트(100)는 생성된 보안 정책을 수신하여 관리한다.
다음으로, 보안 정책 수정 관리 단계(S200)는 도 3의 신호 흐름도를 참조하면, 정책 관리 클라이언트(100)가 정책 관리 서버(200)로 보안 정책 수정을 요청한다(S210).
그러면, 정책 관리 서버(200)는 정책 관리 클라이언트(100)가 요청한 보안 정책을 보안 정책 데이터베이스(300)에서 읽어와 획득하여(S212), 획득된 보안 정책을 정책 관리 클라이언트(100)에게 전송한다(S214).
상기 정책 관리 클라이언트(100)는 수정될 보안 정책을 수신하여 보안 정책을 수정하여 수정된 보안 정책을 정책 관리 서버(200)로 전송하면서 수정된 보안 정책 적용을 요청한다(S216).
이에 따라 정책 관리 서버(200)는 수정된 보안 정책을 보안 정책 데이터베이스(300)에 저장하고(S218), 보안 정책 수정 이력을 생성하여 보안 정책 이력 데이터베이스(400)에 저장한다(S220).
다음으로, 보안 정책 배포 단계(S300)는 도 4의 신호 흐름도를 참조하면, 정책 관리 클라이언트(100)가 정책 관리 서버(200)로 전 단계에서 생성되거나 수정된 보안 정책의 배포를 요청한다(S310).
그러면, 정책 관리 서버(200)의 배포 데몬은 배포 명령의 무결성을 네트워크 보안 장비의 고유 시리얼 라이선스로 확인한다(S312).
정책 관리 서버(200)의 배포 데몬은 무결성을 확인한 후에, 네트워크 보안 장비(600)의 보안 정책 에이전트(sn_rmsa)로 보안 정책 적용 명령을 전달한다(S314).
이에 따라 네트워크 보안 장비(600)의 보안 정책 에이전트는 다운로드 요청 구분자, 요청 시간, 시리얼, 라이선스, 통신 신뢰 해쉬값, 라이선스 플래그, 적용된 업데이트 버전 정보를 전송하면서 정책 관리 서버(200)에 다운로드 요청을 한다(S316).
그러면, 정책 관리 서버(200)의 배포 데몬은 시리얼 라이선스를 이용하여 네트워크 보안 장비(600)를 확인하고, 로그를 생성하며, 객체 업데이트 날짜를 확인하고, 전송할 보안 정책 파일을 복사하며, 전송할 도움말 파일을 생성한다.
이어서, 정책 관리 서버(200)는 신규 보안 정책과 도움말 유무 그리고 경로 정보를 네트워크 보안 장비(600)의 보안 정책 에이전트에 전달한다(S318).
그러면, 네트워크 보안 장비(600)의 보안 정책 에이전트는 경로 정보를 이용하여 정책 관리 서버(200)로부터 보안 정책을 다운로드하고(S320), 도움말을 다운로드하며(S322), 다운로드 파일을 복호화하고 유효성을 체크하며, 데이터 검증을 실시하고, 적용하며 이를 위해 컴파일한다.
이와 같은 동작이 완료되면 보안 정책 에이전트는 보안 정책 적용 완료 보고를 정책 관리 서버(200)로 전송한다.
이에 따라, 정책 관리 서버(200)는 해당하는 네트워크 보안 장비(600)에 대하여 상태 정보를 갱신한다(S326).
이처럼 네트워크 보안 장치(600)의 상태 정보가 갱신되면, 정책 관리 클라이언트(100)는 GUI 폴링 방식으로 네트워크 보안 장비(600)의 보안 정책 적용 여부를 확인한다(S328).
다음으로, 보안 정책 저장 단계(S400)에서 보안 정책 생성, 적용 요청 시 정책 관리 서버(200)는 보안 정책을 누적 생성한다.
다음으로, 보안 정책 복구 단계(S500)는 도 5의 흐름도를 참조하면 정책 관리 클라이언트(100)가 정책 관리 서버(200)로 복구될 보안 정책의 정보를 요청한다(S510).
그러면, 정책 관리 서버(200)는 보안 정책 데이터베이스(300)에서 복구될 보안 정책을 읽어와서 획득하여(S512), 보안 정책을 복구한 후에, 복구된 보안 정책을 보안 정책 데이터베이스(300)에 저장한다.
또한, 정책 관리 서버(200)는 동시에 복구된 보안 정책의 이력을 생성하여 보안 정책 이력 데이터베이스(400)에 저장한다.
그리고,정책 관리 서버(200)는 복구된 보안 정책을 정책 관리 클라이언트(100)에게 전송하여 보안 정책 복구 요청에 응답한다(S518).
도 6은 본 발명의 바람직한 일 실시예에 따른 네트워크 보안 정책 관리 시스템의 구성도이다.
도 6을 참조하면, 본 발명의 바람직한 일 실시예에 따른 네트워크 보안 정책 관리 시스템은 정책 관리 클라이언트(100), 정책 관리 서버(200), 마스터 데이터베이스(3000, 보안 정책 데이터베이스(400), 보안 정책 이력 데이터베이스(500) 및 네트워크 보안 장비(600)를 포함한다.
여기에서, 정책 관리 서버(200)는 배포 데몬(210)을 구비하고 있으며, 네트워크 보안 장비(600)는 보안 정책 에이전트(610)를 구비하고 있다.
이와 같은 구성에서 상기 정책 관리 클라이언트(100)는 정책 관리 서버(200)에 보안 정책의 생성을 요청하고, 정책 관리 서버(200)로부터 생성된 보안 정책을 전송받아 관리한다.
또한, 상기 정책 관리 클라이언트(100)는 정책 관리 서버(200)로 보안 정책 수정을 요청하고, 수정할 보안 정책을 정책 관리 서버(200)로부터 전송받아 수정하여 수정된 보안 정책을 정책 관리 서버(200)로 전송하면서 수정된 보안 정책 적용을 요청한다.
그리고, 정책 관리 클라이언트(100)는 정책 관리 서버(200)로 전 단계에서 생성되거나 수정된 보안 정책의 배포를 요청하며, GUI 폴링 방식으로 정책 관리 서버(200)에서 네트워크 보안 장비(600)의 보안 정책 적용 여부를 확인한다.
또한, 정책 관리 클라이언트(100)는 정책 관리 서버(200)로 복구될 보안 정책의 정보를 요청하며, 정책 관리 서버(200)로부터 복구된 보안 정책을 전송받아 관리한다.
한편, 상기 정책 관리 서버(200)는 정책 관리 클라이언트(100)가 보안 정책의 생성을 요청하면, 마스터 보안 정책을 생성하여 마스터 데이터베이스(300)에 저장하며, 생성된 마스터 보안 정책을 복사하여 보안 정책 사본을 생성하여 보안 정책 데이터베이스(400)에 보안 정책으로 저장하고, 보안 정책 생성과 관련된 보안 정책 이력을 동시에 작성하여 보안 정책 이력 데이터베이스(500)에 저장한다. 상기 마스터 보안 정책은 수정이 불가하며 읽기만 가능하다.
그리고, 정책 관리 서버(200)는 정책 관리 클라이언트(100)에 생성된 보안 정책을 전송하여 보안 정책 생성 요청에 대한 보안 정책 생성 응답을 수행한다.
또한, 정책 관리 서버(200)는 정책 관리 클라이언트(100)가 보안 정책 수정을 요청하면, 요청한 보안 정책을 보안 정책 데이터베이스(300)에서 읽어와 획득하여, 획득된 보안 정책을 정책 관리 클라이언트(100)에게 전송한다.
상기 정책 관리 서버(200)는 정책 관리 클라이언트(100)가 수정될 보안 정책을 수신하여 보안 정책을 수정하여 수정된 보안 정책을 전송하면서 수정된 보안 정책 적용을 요청하면, 수정된 보안 정책을 보안 정책 데이터베이스(300)에 저장하고, 보안 정책 수정 이력을 생성하여 보안 정책 이력 데이터베이스(400)에 저장한다.
또한, 정책 관리 서버(200)는 정책 관리 클라이언트(100)가 전 단계에서 생성되거나 수정된 보안 정책의 배포를 요청하면, 정책 관리 서버(200)의 배포 데몬(210)은 배포 명령의 무결성을 네트워크 보안 장치의 고유 시리얼 라이선스로 확인한다.
그리고, 정책 관리 서버(200)의 배포 데몬(210)은 무결성을 확인한 후에, 네트워크 보안 장비(600)의 보안 정책 에이전트(sn_rmsa)(610)로 보안 정책 적용 명령을 전달한다.
상기 정책 관리 서버(200)의 배포 데몬(210)은 네트워크 보안 장비(600)의 보안 정책 에이전트가 다운로드 요청 구분자, 요청 시간, 시리얼, 라이선스, 통신 신뢰 해쉬값, 라이선스 플래그, 적용된 업데이트 버전 정보를 전송하면서 다운로드를 요청하면 시리얼 라이선스를 이용하여 네트워크 보안 장비(600)를 확인하고, 로그를 생성하며, 객체 업데이트 날짜를 확인하고, 전송할 보안 정책 파일을 복사하며, 전송할 도움말 파일을 생성한다.
이어서, 정책 관리 서버(200)는 신규 보안 정책과 도움말 유무 그리고 경로 정보를 네트워크 보안 장비(600)의 보안 정책 에이전트에 전달한다.
이후에, 정책 관리 서버(200)는 보안 정책 적용 완료 보고를 네트워크 보안 장비에서 수신하면 해당하는 네트워크 보안 장비(600)에 대하여 상태 정보를 갱신한다.
다음으로, 정책 관리 서버(200)는 보안 정책 생성, 적용 요청 시 보안 정책을 누적 생성한다.
상기 정책 관리 서버(200)는 정책 관리 클라이언트(100)가 복구될 보안 정책의 정보를 요청하면, 보안 정책 데이터베이스(300)에서 복구될 보안 정책을 읽어와서 획득하여, 보안 정책을 복구한 후에, 복구된 보안 정책을 보안 정책 데이터베이스(300)에 저장한다.
또한, 정책 관리 서버(200)는 동시에 복구된 보안 정책의 이력을 생성하여 보안 정책 이력 데이터베이스(400)에 저장한다.
그리고,정책 관리 서버(200)는 복구된 보안 정책을 정책 관리 클라이언트(100)에게 전송하여 보안 정책 복구 요청에 응답한다.
다음으로, 네트워크 보안 장비(600)는 정책 관리 서버(200)의 배포 데몬이 보안 정책 적용 명령을 전송하면, 보안 정책 에이전트(610)가 다운로드 요청 구분자, 요청 시간, 시리얼, 라이선스, 통신 신뢰 해쉬값, 라이선스 플래그, 적용된 업데이트 버전 정보를 전송하면서 다운로드 요청을 한다.
그리고, 네트워크 보안 장비(600)는 정책 관리 서버(200)가 신규 보안 정책과 도움말 유무 그리고 경로 정보를 네트워크 보안 장비(600)의 보안 정책 에이전트(610)에 전달하며, 네트워크 보안 장비(600)의 보안 정책 에이전트(610)는 경로 정보를 이용하여 정책 관리 서버(200)로부터 보안 정책을 다운로드하고, 도움말을 다운로드하며, 다운로드 파일을 복호화하고 유효성을 체크하며, 데이터 검증을 실시하고, 적용하며 이를 위해 컴파일한다.
이와 같은 동작이 완료되면 보안 정책 에이전트(610)는 보안 정책 적용 완료 보고를 정책 관리 서버(200)로 전송한다.
상기와 같은 본 발명은 복수개의 네트워크 보안 장비로 복수개의 보안 정책을 일괄 배포하여 단일 보안 정책 배포 비교시 우월한 보안 정책 적용 속도를 보장하고 적용된 보안 정책의 사후 관리를 제공한다.
또한 본 발명은 보안 정책의 감사, 수정 이력을 누적 제공함으로 보안 정책의 복구 및 백업 등을 지원하여 보안 사고에 안정적으로 대응 가능하게 하여 보안 정책의 무결성이 가능한 관리 프로세스를 제공한다.
이처럼 본 발명은 다수의 네트워크 보안 장비의 보안 정책을 동기화하여 보안 정책의 무결함을 제공하며, 네트워크 보안 정책의 수정 이력을 보관함으로 정책의 재사용 및 보안 사고 사후 처리에 가용할 수 있는 방법을 제공한다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 정책 관리 클라이언트 200 : 정책 관리 서버
210 : 배포 데몬 300 : 마스터 데이터베이스
400 : 보안 정책 데이터베이스 500 : 보안 정책 이력 데이터베이스
600 : 네트워크 보안 장비 610 : 보안 정책 에이전트
210 : 배포 데몬 300 : 마스터 데이터베이스
400 : 보안 정책 데이터베이스 500 : 보안 정책 이력 데이터베이스
600 : 네트워크 보안 장비 610 : 보안 정책 에이전트
Claims (8)
- 하기 정책 관리 서버에 보안 정책의 생성을 요청하고, 정책 관리 서버로부터 생성된 보안 정책을 전송받아 관리하며, 정책 관리 서버로 생성된 보안 정책의 배포를 요청하는 정책 관리 클라이언트;
상기 정책 관리 클라이언트가 보안 정책의 생성을 요청하면, 보안 정책과 보안 정책 이력을 생성하여 저장하고, 생성된 보안 정책을 정책 관리 클라이언트에 제공하고, 정책 관리 클라이언트가 생성된 보안 정책의 배포를 요청하면, 네트워크 보안 장비로 보안 정책을 배포하는 정책 관리 서버; 및
상기 정책 관리 서버로부터 보안 정책을 배포받아 적용하는 네트워크 보안 장비를 포함하는 네트워크 보안 정책 관리 시스템. - 청구항 1항에 있어서,
상기 정책 관리 클라이언트는 상기 정책 관리 서버로 보안 정책 수정을 요청하여, 수정될 보안 정책을 전송받아 보안 정책을 수정하여 제공하며,
상기 정책 관리 서버는 상기 정책 관리 클라이언트가 보안 정책 수정을 요청하면 수정될 보안 정책을 전송하고, 수정된 보안 정책을 전송받아 보안 정책 수정 이력과 함께 저장하여 관리하는 네트워크 보안 정책 관리 시스템. - 청구항 1항에 있어서,
상기 정책 관리 서버는 상기 정책 관리 클라이언트가 보안 정책의 배포를 요청하면, 시리얼 라이선스를 이용하여 배포 명령의 무결성을 확인한 후에, 보안 정책을 네트워크 보안 장비로 전달하는 네트워크 보안 정책 관리 시스템. - 청구항 1항에 있어서,
상기 정책 관리 클라이언트는 상기 정책 관리 서버로 보안 정책 복구를 요청하여 복구된 보안 정책을 전송받아 관리하며,
상기 정책 관리 서버는 상기 정책 관리 클라이언트로부터 보안 정책 복구를 요청받으면, 보안 정책 데이터베이스에서 복구될 보안 정책을 획득하여 보안 정책을 복구하여 보안 정책 복구 이력과 함께 저장하여 관리하며, 상기 정책 관리 클라이언트에 복구된 보안 정책을 전송하는 네트워크 보안 정책 관리 시스템. - (A) 정책 관리 서버는 정책 관리 클라이언트가 보안 정책의 생성을 요청하면, 보안 정책과 보안 정책 이력을 생성하여 저장하는 단계;
(B) 상기 정책 관리 서버가 생성된 보안 정책을 상기 정책 관리 클라이언트에 제공하는 단계;
(C) 상기 정책 관리 서버는 상기 정책 관리 클라이언트가 생성된 보안 정책의 배포를 요청하면, 네트워크 보안 장비로 보안 정책을 배포하는 단계; 및
(D) 상기 네트워크 보안 장비는 상기 정책 관리 서버로부터 보안 정책을 배포받아 적용하는 단계를 포함하는 네트워크 보안 정책 관리 방법. - 청구항 5항에 있어서,
(E) 상기 정책 관리 서버는 상기 정책 관리 클라이언트가 보안 정책 수정을 요청하면, 수정될 보안 정책을 상기 정책 관리 클라이언트에 제공하는 단계;
(F) 상기 정책 관리 클라이언트는 수정될 보안 정책을 전송받아 보안 정책을 수정하여 제공하는 단계; 및
(G) 상기 정책 관리 서버는 수정된 보안 정책을 전송받아 보안 정책 수정 이력과 함께 저장하여 관리하는 단계를 더 포함하는 네트워크 보안 정책 관리 방법. - 청구항 5항에 있어서,
상기 (C) 단계에서 상기 정책 관리 서버는 상기 정책 관리 클라이언트가 보안 정책의 배포를 요청하면, 시리얼 라이선스를 이용하여 배포 명령의 무결성을 확인한 후에, 보안 정책을 상기 네트워크 보안 장비로 전달하는 네트워크 보안 정책 관리 방법. - 청구항 5항에 있어서,
(H) 상기 정책 관리 서버는 상기 정책 관리 클라이언트에서 보안 정책의 복구 요청을 수신하면, 보안 정책 데이터베이스에서 복구될 보안 정책을 획득하여 보안 정책을 복구하여 보안 정책 복구 이력과 함께 저장하여 관리하는 단계;
(I) 상기 정책 관리 서버는 상기 정책 관리 클라이언트에 복구된 보안 정책을 전송하는 단계; 및
(J) 상기 정책 관리 클라이언트는 상기 정책 관리 서버로부터 복구된 보안 정책을 전송받아 관리하는 단계를 포함하는 네트워크 보안 정책 관리 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170165427A KR20190065862A (ko) | 2017-12-04 | 2017-12-04 | 네트워크 보안 정책 관리 시스템 및 그 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170165427A KR20190065862A (ko) | 2017-12-04 | 2017-12-04 | 네트워크 보안 정책 관리 시스템 및 그 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20190065862A true KR20190065862A (ko) | 2019-06-12 |
Family
ID=66846110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170165427A KR20190065862A (ko) | 2017-12-04 | 2017-12-04 | 네트워크 보안 정책 관리 시스템 및 그 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20190065862A (ko) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080073112A (ko) | 2007-02-05 | 2008-08-08 | 주식회사 엘지씨엔에스 | 네트워크 보안시스템 및 그 처리방법 |
| KR20120072266A (ko) | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | 전역 네트워크 보안상황 제어 장치 및 방법 |
| KR20170077549A (ko) | 2015-12-28 | 2017-07-06 | 주식회사 시큐아이 | 네트워크 보안 시스템 및 그의 보안 정책 배포 방법 |
-
2017
- 2017-12-04 KR KR1020170165427A patent/KR20190065862A/ko unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080073112A (ko) | 2007-02-05 | 2008-08-08 | 주식회사 엘지씨엔에스 | 네트워크 보안시스템 및 그 처리방법 |
| KR20120072266A (ko) | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | 전역 네트워크 보안상황 제어 장치 및 방법 |
| KR20170077549A (ko) | 2015-12-28 | 2017-07-06 | 주식회사 시큐아이 | 네트워크 보안 시스템 및 그의 보안 정책 배포 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10698675B2 (en) | Decentralized automated software updates via blockchain | |
| US9898588B2 (en) | Method and apparatus for providing cloud-based digital rights management service and system thereof | |
| JP4907718B2 (ja) | デジタル著作権管理のための多重証明書失効リストのサポート方法および装置 | |
| RU2756304C2 (ru) | Идентификация сетевого узла, на который будут реплицироваться данные | |
| US8527978B1 (en) | System, method, and computer program product for populating a list of known wanted data | |
| US9135409B2 (en) | Distributing update information based on validated license information | |
| US9298923B2 (en) | Software revocation infrastructure | |
| KR20120068901A (ko) | 도메인 관리를 복원하기 위한 방법 및 시스템 | |
| CN111680308B (zh) | 文件共享方法、对共享文件的控制方法及其装置和终端 | |
| KR20060015552A (ko) | 취소 리스트 갱신 방법 | |
| CN112307116A (zh) | 基于区块链的数据访问控制方法、装置及设备 | |
| KR100988374B1 (ko) | 사용권리 이동 방법, 사용권리의 발급권한 관리 방법 및시스템 | |
| KR101522139B1 (ko) | DNS 서버 선별 차단 및 Proxy를 이용한 DNS 주소 변경 방법 | |
| Cappos et al. | Package management security | |
| KR101451323B1 (ko) | 애플리케이션 보안 시스템, 보안 서버, 보안 클라이언트 장치 및 기록매체 | |
| JP2019008738A (ja) | 検証装置 | |
| US11228491B1 (en) | System and method for distributed cluster configuration monitoring and management | |
| KR20190065862A (ko) | 네트워크 보안 정책 관리 시스템 및 그 방법 | |
| JP4291831B2 (ja) | コンテンツ配信システム、携帯端末、コンテンツ配信サーバ、及びコンテンツ配信方法 | |
| US20090228960A1 (en) | Method and device for managing authorization of right object in digital rights managment | |
| CN111416800A (zh) | 数据传输方法及系统 | |
| KR100907416B1 (ko) | 웹 어플리케이션 패치 자동 분배 시스템 및 그 방법 | |
| KR20160137032A (ko) | 네트워크 기기 간 원격 인증 장치 및 그 방법 | |
| CN101939752B (zh) | 用于在数字权限管理中管理权限对象的授权的方法和装置 | |
| US20170063792A1 (en) | DNS Server Selective Block And DNS Address Modification Method Using Proxy |