KR20190098477A - 항만물류정보시스템의 정보보안 취약점 진단시스템 - Google Patents
항만물류정보시스템의 정보보안 취약점 진단시스템 Download PDFInfo
- Publication number
- KR20190098477A KR20190098477A KR1020180018484A KR20180018484A KR20190098477A KR 20190098477 A KR20190098477 A KR 20190098477A KR 1020180018484 A KR1020180018484 A KR 1020180018484A KR 20180018484 A KR20180018484 A KR 20180018484A KR 20190098477 A KR20190098477 A KR 20190098477A
- Authority
- KR
- South Korea
- Prior art keywords
- network
- logistics information
- port logistics
- internal
- port
- Prior art date
Links
- 238000004891 communication Methods 0.000 claims abstract description 24
- 238000000926 separation method Methods 0.000 claims abstract description 6
- 238000003745 diagnosis Methods 0.000 claims description 87
- 238000000034 method Methods 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000004321 preservation Methods 0.000 claims 1
- 230000000903 blocking effect Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 14
- 230000008569 process Effects 0.000 description 8
- 238000013515 script Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000012038 vulnerability analysis Methods 0.000 description 4
- 230000006872 improvement Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/08—Logistics, e.g. warehousing, loading or distribution; Inventory or stock management
-
- G06Q50/28—
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Development Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Quality & Reliability (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
상기의 목적을 이루기 위한 본 발명의 항만물류정보시스템의 정보보안 취약점 진단시스템은 서버를 두고 내부망(10)과 외부망(20)이 분리된 통신환경에서 항만컨테이너터미널에서 사용되는 물리적 운영장비와 컨테이너터미널 운영시스템과 연계된 항만물류정보시스템의 취약점 진단시스템으로서, 내부망(10) 또는 항만물류정보시스템 운영네트워크로 구성되어 진단시스템을 운영하는 내부장치부(100); 상기 서버의 내부망(10)에 설치되어 미리 설정된 계획에 따라 주기적으로 상기 항만물류정보시스템의 DBMS 및 상기 항만물류정보시스템의 취약점을 진단하는 에이전트부(300); 상기 내부망(10)과 상기 외부망(20)을 암호화된 단독 통신을 지원하여 연결하는 통신부(400); 및 상기 에이전트부(300)에서 진단한 진단 결과를 분석하는 결과분석부(500)를 포함하고, 상기 내부장치부(100)는 상기 에이전트부(300)에서 진단한 진단 결과를 취합하는 취합부(110); 및 진단 증적 보존을 위해 상기 외부망(20)을 통해 접근하는 비인가 접속 시도를 차단하는 망분리 장치(120)를 포함하여, 내부망 내에서 진단결과를 취합하고 분석할 수 있도록 하는 것을 특징으로 한다.
Description
항만물류정보시스템에 존재하는 정보자산에 대해 자산 관리, 취약점 진단, 취약점 분석, 조치방안 등 일련의 정보보안 활동을 자동으로 수행하는 취약점 진단시스템에 관한 것이다.
일반적으로, 항만물류에 사용되는 컨테이너 터미널은 화물의 집적, 양적하 등을 수행하는 물류기지로서의 역할을 수행할 뿐만 아니라 집화 및 재고 상황을 파악하는 항만물류 관련 정보를 관리하는 곳이다.
즉, 컨테이너 터미널은 컨테이너가 다양한 운송수단을 이용하여 세계 각지에 집산 이동하는 거점, 컨테이너의이동을 파악하고 관리하는 기점, 해상 및 육상운송 수단의 생산성을 향상시키는 기능을 담당한다.
이러한 컨테이너 터미널의 컨테이너 하역을 위해 컨테이너 하역 장비와 운반 장비의 작업 실행 계획을 수립하고 개별 하역 장비에 작업 지시를 내리는 운영 통제 시스템은 항만물류 관리 시스템은 중앙집중식 구조로 구성되어 있다.
해양수산부는 동북아 물류중심 전략을 수립하기 위해서 신속·정확한 정보가 필요하다고 인식하고, 정책담당자와 물류주체들의 의사결정을 효율적으로 지원하고자 해운항만물류정보관련 사이트를 구축하였다. 도 1에서 볼 수 있듯, 해운항만물류정보센터(SP-IDC)는 항만이용자들이 신고하는 정보를 기반으로 작성되는 해운항만통계 (화물수송실적, 컨테이너 처리실적, 선박입출항실적)와 등록선박, 국제물류통계 등을 제공한다. 국내외 해운항만 관련 전문기관에서 제공하는 최신 정보를 수집하여, 국내외의 해운선사정보, 물류기업정보, 항만정보 등의 국제물류정보를 제공하고 있는 것으로 알려져 있다.
한편, 항만물류에 사용되는 컨테이터 터미널 운영 통제 시스템은 컨테이너 처리 물량 증가, 운용장비수 증가 등으로 인한 연산처리 요구가 증가할 경우, 이에 따른 연산처리 부하를 운영 통제 시스템에서 모두 관리하기 때문에, 현장 업무의 개선에 따른 프로세스 변경 및 항만물류 정보 운영 관리에 대한 정보를 수정/변경시 별도의 장비 및 소스코드 변경 수준의 운영 프로그램을 추가로 개발해야 할 뿐만 아니라 시스템 유지에 많은 비용이 소요되는 문제점이 있다.
따라서, 항만물류정보시스템에 존재하는 정보자산에 대해 자산 관리, 취약점 진단, 취약점 분석, 조치방안 등 일련의 정보보안 활동을 자동으로 수행하는 취약점 진단시스템 개발이 필요한 시점이다.
따라서, 본 발명은 상술한 문제점을 해결하기 위한 것으로, 항만물류정보시스템에 존재하는 정보자산에 대해 자산 관리, 취약점 진단, 취약점 분석, 조치방안 등 일련의 정보보안 활동을 자동으로 수행하는 항만물류정보시스템의 정보보안 취약점 진단시스템을 제공함에 있다.
상기의 목적을 이루기 위한 본 발명의 항만물류정보시스템의 정보보안 취약점 진단시스템은 서버를 두고 내부망(10)과 외부망(20)이 분리된 통신환경에서 항만컨테이너터미널에서 사용되는 물리적 운영장비와 컨테이너터미널 운영시스템과 연계된 항만물류정보시스템의 취약점 진단시스템으로서, 내부망(10) 또는 항만물류정보시스템 운영네트워크로 구성되어 진단시스템을 운영하는 내부장치부(100); 상기 서버의 내부망(10)에 설치되어 미리 설정된 계획에 따라 주기적으로 상기 항만물류정보시스템의 DBMS 및 상기 항만물류정보시스템의 취약점을 진단하는 에이전트부(300); 상기 내부망(10)과 상기 외부망(20)을 암호화된 단독 통신을 지원하여 연결하는 통신부(400); 및 상기 에이전트부(300)에서 진단한 진단 결과를 분석하는 결과분석부(500)를 포함하고, 상기 내부장치부(100)는 상기 에이전트부(300)에서 진단한 진단 결과를 취합하는 취합부(110); 및 진단 증적 보존을 위해 상기 외부망(20)을 통해 접근하는 비인가 접속 시도를 차단하는 망분리 장치(120)를 포함하여, 내부망 내에서 진단결과를 취합하고 분석할 수 있도록 하는 것을 특징으로 한다.
본 발명은 항만물류분야에서 발생되는 해킹 등의 외부 침해에 대한 보호로 항만컨테이너터미널의 지속적인 운영 가능토록하는 효과를 보유하고 있다. 또한, 취약점 진단을 통한 취약점 개선으로 해킹 등에 의한 원인 제거로 기업내 사후 복구비 및 유지비용 절감이 가능하고, 지속적인 항만물류서비스 제공을 통한 대한민국의 항만물류서비스 경쟁력 강화 기여로 이어지는 효과를 얻을 수 있다.
도 1은 해운항만물류정보센터(SP-IDC)의 항만물류정보시스템이다.
도 2는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 주요 수행도이다.
도 3은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 진단 수행 절차 실시 예를 나타내는 블록도이다.
도 4는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 취약점 진단시스템 구성 현황의 실시 예이다.
도 5는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 라즈베리파이 기반 웹서버 구축한 화면의 예시이다.
도 6은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 라즈베리파이 기반 FTP를 구축한 화면의 예시이다.
도 7은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 My-SQL을 라즈베리파이에 구현한 화면의 예시이다.
도 8은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 내부장치부 및 외부장치부에 제공된 분석콘솔의 예시이다.
도 9는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 자동 진단 스크립트를 통한 자동화 보고서 생성의 예시이다.
도 10은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 진단프로그램의 실시 예 중 하나인 유스케이스 다이어그램이다.
도 11은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 진단프로그램의 실시 예 중 하나인 클래스 다이어그램이다.
도 2는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 주요 수행도이다.
도 3은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 진단 수행 절차 실시 예를 나타내는 블록도이다.
도 4는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 취약점 진단시스템 구성 현황의 실시 예이다.
도 5는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 라즈베리파이 기반 웹서버 구축한 화면의 예시이다.
도 6은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 라즈베리파이 기반 FTP를 구축한 화면의 예시이다.
도 7은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 My-SQL을 라즈베리파이에 구현한 화면의 예시이다.
도 8은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 내부장치부 및 외부장치부에 제공된 분석콘솔의 예시이다.
도 9는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 자동 진단 스크립트를 통한 자동화 보고서 생성의 예시이다.
도 10은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 진단프로그램의 실시 예 중 하나인 유스케이스 다이어그램이다.
도 11은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 진단프로그램의 실시 예 중 하나인 클래스 다이어그램이다.
이하에서는, 본 발명의 실시 예에 따른 도면을 참조하여 설명하지만, 이는 본 발명의 더욱 용이한 이해를 위한 것으로, 본 발명의 범주가 그것에 의해 한정되는 것은 아니다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 "... 부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터 또는 신호를 '전송'하는 경우에는 구성요소는 다른 구성요소로 직접 상기 데이터 또는 신호를 전송할 수 있고, 적어도 하나의 또 다른 구성요소를 통하여 데이터 또는 신호를 다른 구성요소로 전송할 수 있음을 의미한다.
설명에 앞서 본 명세서에는 다수의 양태 및 실시양태가 기술되며, 이들은 단순히 예시적인 것으로서 한정하는 것이 아니다.
본 명세서를 읽은 후에, 숙련자는 다른 양태 및 실시예가 본 발명의 범주로부터 벗어남이 없이 가능함을 이해할 것이다.
이하에서 설명되는 실시양태의 상세 사항을 다루기 전에, 몇몇 용어를 정의하거나 또는 명확히 하기로 한다.
라즈베리파이란 영국의 라즈베리 파이 재단(Raspberry Pi Foundation)이 교육 목적으로 개발한 초소형 싱글 보드 컴퓨터로서, 기존의 데스크탑 PC와 유사하게 키보드, 모니터등의 주변기기와 연결해 사용이 가능하며, 700MHz ARM CPU와 그래픽 처리 장치(Graphic Process Unit, GPU), 디지털 신호 처리 장치(Digital Signal Processor, DSP), SD램(RAM) 등이 탑재된 미국 브로드컴(BroadComm)社의 BCM2835 SoC를 기반으로 하고 있다.
아두이노란 오픈 소스를 기반으로 한 단일 보드 마이크로컨트롤러로 완성된 보드와 관련 개발 도구 및 환경을 말한다.
콘솔이란 시스템을 물리적으로 조작할 수 있는 체계를 의미한다.
DBMS란 데이터베이스 관리 시스템(database management system, DBMS)을 의미하며 다수의 사용자들이 데이터베이스 내의 데이터를 접근할 수 있도록 해주는 소프트웨어 도구의 집합이다. DBMS은 사용자 또는 다른 프로그램의 요구를 처리하고 적절히 응답하여 데이터를 사용할 수 있도록 해준다.
이하에서는 도 1내지 도 11을 참조하여 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템에 대하여 상세히 설명하도록 한다.
도 1은 해운항만물류정보센터(SP-IDC)의 항만물류정보시스템이고, 도 2는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 주요 수행도이고, 도 3은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 진단 수행 절차 실시 예를 나타내는 블록도이고, 도 4는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 취약점 진단시스템 구성 현황의 실시 예이고, 도 5는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 라즈베리파이 기반 웹서버 구축한 화면의 예시이고, 도 6은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 라즈베리파이 기반 FTP를 구축한 화면의 예시이고, 도 7은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 My-SQL을 라즈베리파이에 구현한 화면의 예시이고, 도 8은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 내부장치부 및 외부장치부에 제공된 분석콘솔의 예시이고, 도 9는 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 자동 진단 스크립트를 통한 자동화 보고서 생성의 예시이고, 도 10은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 진단프로그램의 실시 예 중 하나인 유스케이스 다이어그램이고, 도 11은 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 진단프로그램의 실시 예 중 하나인 클래스 다이어그램이다.
본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템은 항만물류정보시스템에 존재하는 정보자산에 대해 자산 관리, 취약점 진단, 취약점 분석, 조치방안 등 일련의 정보보안 활동을 자동으로 수행하기 위함이다.
상기의 목적을 이루기 위한 본 발명의 항만물류정보시스템의 정보보안 취약점 진단시스템은 서버를 두고 내부망(10)과 외부망(20)이 분리된 통신환경에서 항만컨테이너터미널에서 사용되는 물리적 운영장비와 컨테이너터미널 운영시스템과 연계된 항만물류정보시스템의 취약점 진단시스템으로서, 내부망(10) 또는 항만물류정보시스템 운영네트워크로 구성되어 진단시스템을 운영하는 내부장치부(100); 상기 서버의 내부망(10)에 설치되어 미리 설정된 계획에 따라 주기적으로 상기 항만물류정보시스템의 DBMS 및 상기 항만물류정보시스템의 취약점을 진단하는 에이전트부(300); 상기 내부망(10)과 상기 외부망(20)을 암호화된 단독 통신을 지원하여 연결하는 통신부(400); 및 상기 에이전트부(300)에서 진단한 진단 결과를 분석하는 결과분석부(500)를 포함하고, 상기 내부장치부(100)는 상기 에이전트부(300)에서 진단한 진단 결과를 취합하는 취합부(110); 및 진단 증적 보존을 위해 상기 외부망(20)을 통해 접근하는 비인가 접속 시도를 차단하는 망분리 장치(120)를 포함하여, 내부망 내에서 진단결과를 취합하고 분석할 수 있도록 하는 것을 특징으로 한다.
또한, 상기 항만물류정보의 취약점을 외부망(20)에서 분석업무를 수행하는 외부장치부(200)를 더 포함할 수 있다.
또한, 상기 내부장치부(100)는 상기 외부장치부(200)와 단방향 Outgoing암호송신 통신이 가능하도록 내부콘솔(130)을 더 포함하고, 상기 외부장치부(200)는 상기 내부장치부(100)와 단방향 Incoming 암호 수신 통신이 가능하도록 외부콘솔(210)을 더 포함할 수 있다.
또한, 상기 내부장치부(100)와 상기 외부장치부(200)는 라즈베리파이를 기반으로 할 수 있다.
또한, 상기 에이전트부(300)는 사용자가 직관적으로 진단시스템을 사용할 수 있도록 취약점진단, 전송, 예약진단, 트레이 및 정보보기의 기능을 갖는 진단프로그램이 설치되어 동작하도록 할 수 있다.
그리고 상기 진단시스템은 서버 운영체제 별 자동 진단 스크립트를 사용할 수 있다.
다음으로, 도 2를 참고하여 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템은 하드웨어부분에서는 내부망(10, 폐쇄망) 내에서 진단결과를 취합하고 분석하는 내부장치부(100, Inside device)와 내부망(10) 밖에서 관리가 필요한 경우 내부장치부(100)와 암호화 통신(Communication)을 진행하고 제어를 지원하는 외부장치부(200)가 있다. 또한, 취약진단시스템의 에이전트부(300, Agent)는 진단 대상이 되는 정보시스템의 운영체제와 특성에 맞게 버전별과 DBMS용 Agent도 운영체제와 진단 대상이 되는 DBMS의 버전에 맞게 사용할 수 있다.
다음으로, 도 3을 참고하여 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 취약점 진단 수행 절차에 대해 설명하도록 한다. 정보시스템의 특성에 맞게 해당 정보시스템에 설치되어 상시진단하며, 내부장치부(100)로 진단 로그를 전송하고, 에이전트부(300)는 상태 점검, 진단 결과를 수집 후 전송을 위한 가공처리를 수행한다. 이후 내부장치부(100)의 정보를 외부망의 외부장치부(200)로 암호화하여 전송하고, 내부장치부(100)로부터 자료를 송수신한다. 이후 진단결과를 바탕으로 위험분석 결과와 개선사항을 도출한다.
즉, 내부장치부(100)는 각 에이전트부(300)와 해당 항만운영정보에서 필요한 데이터를 구별하고 에이전트부(300)가 진단한 기초 데이터를 취합하는 역할 수행한다. Communication 영역에서는 내부망(10)과 외부망(20)간의 연결을 지속적으로 수행하며 외부망(20)을 통해 접근하는 비인가 접속 시도를 차단하는 역할을 수행한다. 에이전트부(300)에서는 항만물류정보시스템의 특성에 맞게 운영 환경 및 운영시스템을 고려하여 해당 정보시스템에 설치되어 상시진단이 수행되며 각각의 정보는 내부장치부(100)로 진단 로그 전송하도록 구현할 수 있다.
다음으로 도 4를 참고하여 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템의 구성 현황에 대해 설명하도록 한다. 본 발명은 정보시스템이 운영되는 네트워크와는 구별된 독립 네트워크 구간으로 구성되어 있으며 외부 네트워크 연결로 확장 가능도록 할 수 있다. 하드웨어의 구성은 도 4와 같이 정보시스템과의 통신은 라즈베리파이에서 담당하고 물리적 환경측정 센서 및 기타 디바이스와의 통신은 아두이노에서 실행하도록 구현할 수 있다.
소프트웨어부분에서는 에이전트부(300) 기반으로 취약점 진단을 수행하고 각각의 정보를 내부장치부(100)를 통해서 전달받아 진단 결과를 분석한다.
하드웨어부분에서는 내부장치부(100)와 외부장치부(200)를 설치하여 항만물류정보시스템에서 발생되는 다양한 진단 결과 취합 및 논리적 망분리를 수행하도록 설치되어 운영되도록 한다.
항만물류정보시스템의 내부망과 외부망의 통신은 개발된 소프트웨어와 하드웨어 시스템을 기반으로 내부장치부(100)의 정보를 외부망(20)의 외부장치부(200)로 암호화하여 전송되게 된다.
따라서, 외부망(20)에서는 해당 정보를 기반으로 분석을 통한 해당 항만물류정보시스템의 진단결과 기반 위험분석 및 개선사항 도출을 하도록 구현할 수 있다.
또한, 내부장치부(100)와 외부장치부(200)는 모두 위와 같은 라즈베리파이를 이용하도록 권장하며, 만약, 내부망(10) 내에서 독립 운영되는 경우 내부장치부(100)가 된다.
만약, 정보를 내부망(10) 외부에서 받을 경우 외부장치부(200)로 지칭하여 기능상의 차이는 다음과 같다. 내부장치부(100)는 내부망(10) 내에서 독립적으로 작동 및 독립 콘솔을 제공하게되고, 기능으로는 분석 콘솔 탑재 및 지정된 외부장치부(200)로 단방향 Outgoing 암호 송신 통신 기능을 갖는다. 외부장치부(200)는 내부망(10) 밖에서 내부장치부(100)와 통신하고 콘솔 기능을 제공하게되고, 기능으로는 분석 콘솔 탑재로 지정된 내부장치부(100)로 단방향 incoming 암호 수신 통신 기능을 갖게된다.
또한, 내부장치부(100) 및 외부장치부(200)에는 콘솔이 설치되어 있으며 콘솔 운영을 위해 Apache, PHP, MySQL이 함께 설치될 수 있다. 그리고 항만물류 정보시스템의 각 호스트들로부터 전송받은 진단 결과를 집계하여 현재의 위험도를 집계하여 제시하게 할 수 있다.
또한, 내부장치부(100) 및 외부장치부(200)의 구현방식으로는 OSHW(Open Source Hardware) 기반으로 구현할 수 있다. OSHW란 각종 HW 제작에 필요한 회로도 및 관련 설명서, 인쇄회로 기판 도면 등을 공개함으로써 누구나 이와 동일하거나 혹은 이를 활용한 제품을 개발할 수 있도록 지원하는 HW를 의미한다.
다음으로, 도 5 내지 도 11을 참고하여 본 발명에 따른 항만물류정보시스템의 정보보안 취약점 진단시스템을 라즈베리파이로 구현한 실시 예에 대해 설명하도록 한다. 본 발명에서 제시하는 실시 예는 라즈베리파이에 Web server 및 FTP를 구축하여 목표한 콘솔 기능을 구현하도록 한다. 도 7에서 볼 수 있듯 수집된 데이터를 저장하기 위해 My-SQL을 라즈베리파이에 구현한 것을 볼 수 있다.
또한, 도 8을 참고하면 본 발명에서는 내부장치부(100) 및 외부장치부(200)에서 구동하는 분석콘솔을 제공한다. 에이전트부(300)에서 측정한 값을 수신하여 분석결과를 제공하는 기능을 하는데 내부장치부(100) 및 외부장치부(200)에서 도 8과 같이 분석콘솔을 제공한다.
분석콘솔에 대해 좀 더 상세히 설명하자면,“정보시스템 현황”에서는 등록된 정보시스템의 수량, 안전지수를 평균 등을 제공하여 운영자가 정보시스템 전반의 현황을 파악할 수 있는 정보 제공하고,
“자산목록”에서는 정보시스템의 종류별로 자산의 현황을 제공하고 있으며, 각 정보시스템의 별로 자산의 등급, 안전지수를 제공하며,
“진단결과 보고서”에서는 각 정보시스템의 통제항목별로 취약여부 및 취약점 조치계획에 대한 현황을 제공한다.
좀 더 나아가서 취약점 진단을 통해서 도출된 결과는 도 9과 같이 서버의 운영체제 별 자동 진단 스크립트를 통해서 보고서를 자동으로 생성하도록 구현하여 사용자로 하여금 쉽게 진단 결과를 볼 수 있도록 시스템도 추가할 수 있다.
다음으로 소프트웨어 분야에서 시스템 개발에 대해 좀 더 상세히 설명하자면, 도 10 내지 도 11과 같이 제안 시스템을 보다 효율적으로 설계하기 위해 UML(Unified Modeling Language)을 사용하였으며, 정확한 세부구현을 위하여 유스케이스 다이어그램(Use Case Diagram), 클래스 다이어그램(Clas Diagram)을 사용할 수 있다.
유스케이스 다이어그램에서 기능별 설명을 하면,
취약점진단(Vulnerability Scan)은 Agent가 설치된 PC 혹은 서버의 취약점진단을 수행하고, Agent는 OS를 식별하며 식별된 OS 종류 및 버전에 따라 다른 스크립트를 동작시키는데 취약점진단 결과는 txt파일에 저장하도록한다.
전송(Trnsfer)은 상기 취약점진단 수행 뒤 생성되는 txt파일의 내용 중 진단결과만을 추출하고 추출된 진달결과는 POST전송 가능하고 내부장치부(100) 혹은 외부장치부(200)에 전송토록하고, txt파일은 FTP를 통해 내부장치부(100) 혹은 외부장치부(200)에 전송한다.
예약진단(Reserved Scan)은 취약점 진단 및 진단결과 전송 등 Agent의 기능동작을 스케줄링할 수 있으며 예약된 시간에 취약점 진단을 수행하고 그 결과를 내부장치부(100) 혹은 외부장치부(200)로 전송한다. 예를 들면 매월 10일 오후2시에 취약점진단을 수행하도록 하거나 매일 오후5시마다 취약점진단 수행이 가능하다.
트레이(Tray)는 트레이 모드를 제공하고, 종료, 열기 등의 기능을 제공한다.
정보보기(Information)는 진단 시작시간, 종료시간, 소요시간 등 시간과 운영체제 이름, IP 주소등 호스트 정보를 UI에 출력하고 파일로 저장한다.
다음으로 Agent의 클래스 다이어그램에 대해 도 11을 참조하여 설명하도록 한다.
MainWindow 클래스는 사용자 인터페이스를 생성하는 멤버변수와 메소드로 구성되어있으며 Vulnerability Scan, Transfer, Reserved Scan 등 유스케이스에 나타낸 모든 기능을 사용자가 직접 활용할 수 있도록 사용자 인터페이스를 생성 및 관리할 수 있다.
ScanButtonHandler 클래스는 취약점진단과 관련된 일련의 과정을 수행하는 클래스로 이러한 실행을 위해 VulnerabilityScanner와 Timer 클래스를 생성한 후 관련 메소드들을 호출할 수 있다.
TransferButtonHandler 클래스는 사용자가 전송버튼을 클릭했을 때 전송과 관련한 기능을 수행하며 이를 위해 Extractor 클래스와 Transfer 클래스를 생성하고 관련 메소드들을 호출하도록 구현할 수 있다.
VunerabilityScanner 클래스는 스크립트 실행, 진단 진행률 계산 등 취약점 진단을 위해 필요한 기능을 포함할 수 있다.
Timer 클래스는 취약점 진단 진행 시 소요시간 계산을 계산하고, 프로그램 동작 시간 및 종료시간을 측정하는 클래스로 구현할 수 있다.
Extractor 클래스는 진단 스크립트 실행 후 생성되는 취약점진단 결과 파일을 메모리로 읽은 후 주요정보만을 선택적으로 추출하는 기능 수행할 수 있다.
Transfer 클래스는 스크립트 실행 후 생성된 취약점 진단 결과 파일과 Extractor에 의해 추출된 주요정보를 POST와 FTP 방식으로 내부장치부(100) 혹은 외부장치부(200)로 전송할 수 있다.
ReservedScanner 클래스는 ScheduleButtonHandler에서 호출하는 스케줄러에 의해 실행 될 작업을 구현하는 클래스로서 Agent가 제공하는 취약점진단 및 데이터전송을 포함할 수 있다.
또한, 항만컨테이너터미널 내 차량운송시스템이 수행되는 프로세스, 본선작업 수행 시 운영 프로세스, 항만컨테이너 자동화터미널 운영 프로세스 등의 처리과정에서도 다양한 정보시스템들이 연계되어 항만 물류 관리를 위한 정보 처리를 수행할 수 있다.
다음으로 본 발명의 시스템 구현 및 실행에 대해 설명하도록 한다. 에이전트의 실행은 사용자가 육안으로 확인할 수 있도록 하여 직관성을 높인 화면으로 제공하도록 한다. 진단 대상이 되는 항만물류 정보시스템에 Agent가 설치되어 동작 설치된 Agent는 수립된 일정에 따라 주기적으로 시스템 진단을 수행하고 그 결과를 내부장치부(100) 혹은 외부장치부(200)로 전송되도록 한다. 실행과정은 cmd 화면에서 확인할 수도 있으나 Background 실행 모드로 되어 있어 실제 사용자는 육안으로 확인 할 수 없도록 하며, 디버깅 이슈 발생 시 설정 변경으로 확인할 수 있도록 기능을 구성하는 것을 권장한다. 실행결과는 txt 혹은 XML형태로 제공하도록 되어 있으며 내부장치부(100) 혹은 외부장치부(200)에 전송될 때는 데이터의 크기를 최소화하는 다른 형식으로 발송하는 것이 좋다.
이상 본 발명의 실시 예에 따른 도면을 참조하여 설명하였지만, 본 발명이 속한 분야에서 통상의 지식을 가진 자라면 상기 내용을 바탕으로 본 발명의 범주 내에서 다양한 응용 및 변형을 행하는 것이 가능할 것이다.
10 : 내부망
20 : 외부망
100 : 내부장치부
110 : 취합부
120 : 망분리장치
200 : 외부장치부
300 : 에이전트부
400 : 통신부
500 : 결과분석부
20 : 외부망
100 : 내부장치부
110 : 취합부
120 : 망분리장치
200 : 외부장치부
300 : 에이전트부
400 : 통신부
500 : 결과분석부
Claims (5)
- 서버를 두고 내부망(10)과 외부망(20)이 분리된 통신환경에서 항만컨테이너터미널에서 사용되는 물리적 운영장비와 컨테이너터미널 운영시스템과 연계된 항만물류정보시스템의 취약점 진단시스템으로서,
내부망(10) 또는 항만물류정보시스템 운영네트워크로 구성되어 진단시스템을 운영하는 내부장치부(100);
상기 서버의 내부망(10)에 설치되어 미리 설정된 계획에 따라 주기적으로 상기 항만물류정보시스템의 DBMS 및 상기 항만물류정보시스템의 취약점을 진단하는 에이전트부(300);
상기 내부망(10)과 상기 외부망(20)을 암호화된 단독 통신을 지원하여 연결하는 통신부(400); 및
상기 에이전트부(300)에서 진단한 진단 결과를 분석하는 결과분석부(500)를 포함하고,
상기 내부장치부(100)는
상기 에이전트부(300)에서 진단한 진단 결과를 취합하는 취합부(110); 및
진단 증적 보존을 위해 상기 외부망(20)을 통해 접근하는 비인가 접속 시도를 차단하는 망분리 장치(120)를 포함하여, 내부망 내에서 진단결과를 취합하고 분석할 수 있도록 하는 것을 특징으로 하는 항만물류정보시스템의 정보보안 취약점 진단시스템.
- 청구항 1에 있어서,
상기 항만물류정보의 취약점을 외부망(20)에서 분석업무를 수행하는 외부장치부(200)를 더 포함하는 것을 특징으로 하는 항만물류정보시스템의 정보보안 취약점 진단시스템.
- 청구항 2에 있어서,
상기 내부장치부(100)는 상기 외부장치부(200)와 단방향 Outgoing암호 송신 통신이 가능하도록 내부콘솔(130)을 더 포함하고,
상기 외부장치부(200)는 상기 내부장치부(100)와 단방향 Incoming 암호 수신 통신이 가능하도록 외부콘솔(210)을 더 포함하는 것을 특징으로 하는 항만물류정보시스템의 정보보안 취약점 진단시스템.
- 청구항 2에 있어서,
상기 내부장치부(100)와 상기 외부장치부(200)는 라즈베리파이를 기반으로 하는 것을 특징으로 하는 항만물류정보시스템의 정보보안 취약점 진단시스템.
- 청구항 1에 있어서,
상기 에이전트부(300)는 사용자가 직관적으로 진단시스템을 사용할 수 있도록 취약점진단, 전송, 예약진단, 트레이 및 정보보기의 기능을 갖는 진단프로그램이 설치되어 동작하는 것을 특징으로 하는 항만물류정보시스템의 정보보안 취약점 진단시스템.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180018484A KR102078345B1 (ko) | 2018-02-14 | 2018-02-14 | 항만물류정보시스템의 정보보안 취약점 진단시스템 |
| PCT/KR2018/002165 WO2019160183A1 (ko) | 2018-02-14 | 2018-02-22 | 항만물류정보시스템의 정보보안 취약점 진단시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180018484A KR102078345B1 (ko) | 2018-02-14 | 2018-02-14 | 항만물류정보시스템의 정보보안 취약점 진단시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20190098477A true KR20190098477A (ko) | 2019-08-22 |
| KR102078345B1 KR102078345B1 (ko) | 2020-02-17 |
Family
ID=67619485
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020180018484A KR102078345B1 (ko) | 2018-02-14 | 2018-02-14 | 항만물류정보시스템의 정보보안 취약점 진단시스템 |
Country Status (2)
| Country | Link |
|---|---|
| KR (1) | KR102078345B1 (ko) |
| WO (1) | WO2019160183A1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220170689A (ko) * | 2021-06-23 | 2022-12-30 | 한전케이디엔주식회사 | 보안 유지를 위한 단방향 전송 시스템 및 그의 정보 관리 방법 |
| KR20230101236A (ko) | 2021-12-29 | 2023-07-06 | 세메스 주식회사 | 물류설비 관리장치 및 관리방법 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100984639B1 (ko) * | 2010-04-29 | 2010-10-01 | 김경훈 | 보안검수 자동화 시스템 및 방법 |
| KR101060330B1 (ko) | 2009-09-25 | 2011-08-29 | 한국해양연구원 | 온톨로지 기반 물류 정보처리 시스템 |
| KR101357242B1 (ko) | 2011-12-14 | 2014-01-29 | (주)토탈소프트뱅크 | Bpms를 적용한 항만물류 정보 관리 시스템 및 방법 |
| KR101359378B1 (ko) * | 2013-07-23 | 2014-02-07 | (주)넷맨 | 보안 무결성 검사 장치와 방법 |
| KR20160081822A (ko) | 2014-12-30 | 2016-07-08 | 주식회사 유엔진클라우드 | 클라우드 컴퓨팅 기반의 해운 항만 물류 서비스 플랫폼 구축 장치 및 방법 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3888113B2 (ja) * | 2001-09-28 | 2007-02-28 | 株式会社ダイフク | 物流設備および物流設備における検出手段の判断方法 |
| KR20060094154A (ko) * | 2005-02-23 | 2006-08-29 | 윤수철 | 모바일가상망을 이용한 물류 및 자산 관리 시스템 및 방법 |
| US10410174B2 (en) * | 2014-08-07 | 2019-09-10 | Ale Corporation | Logistics solution and intranet system |
| KR101659941B1 (ko) * | 2015-02-26 | 2016-09-26 | (주)유신씨앤씨 | 원격진료시스템 |
| KR20170049204A (ko) * | 2015-10-28 | 2017-05-10 | 삼성에스디에스 주식회사 | 물류 시스템에서의 위험도 산출 방법 |
-
2018
- 2018-02-14 KR KR1020180018484A patent/KR102078345B1/ko active IP Right Grant
- 2018-02-22 WO PCT/KR2018/002165 patent/WO2019160183A1/ko active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101060330B1 (ko) | 2009-09-25 | 2011-08-29 | 한국해양연구원 | 온톨로지 기반 물류 정보처리 시스템 |
| KR100984639B1 (ko) * | 2010-04-29 | 2010-10-01 | 김경훈 | 보안검수 자동화 시스템 및 방법 |
| KR101357242B1 (ko) | 2011-12-14 | 2014-01-29 | (주)토탈소프트뱅크 | Bpms를 적용한 항만물류 정보 관리 시스템 및 방법 |
| KR101359378B1 (ko) * | 2013-07-23 | 2014-02-07 | (주)넷맨 | 보안 무결성 검사 장치와 방법 |
| KR20160081822A (ko) | 2014-12-30 | 2016-07-08 | 주식회사 유엔진클라우드 | 클라우드 컴퓨팅 기반의 해운 항만 물류 서비스 플랫폼 구축 장치 및 방법 |
Non-Patent Citations (1)
| Title |
|---|
| 조규성 외 2인, "항만물류정보보호 관리체계 구축에 관한 연구", 한국경영과학회 학술대회논문집, 2016.04, pp.2602-2613* * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220170689A (ko) * | 2021-06-23 | 2022-12-30 | 한전케이디엔주식회사 | 보안 유지를 위한 단방향 전송 시스템 및 그의 정보 관리 방법 |
| KR20230101236A (ko) | 2021-12-29 | 2023-07-06 | 세메스 주식회사 | 물류설비 관리장치 및 관리방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102078345B1 (ko) | 2020-02-17 |
| WO2019160183A1 (ko) | 2019-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3149583B1 (en) | Method and apparatus for automating the building of threat models for the public cloud | |
| CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
| US20170331709A1 (en) | Remote system data collection and analysis framework | |
| CA3116955A1 (en) | Automation of task identification in a software lifecycle | |
| US11022949B2 (en) | PLC virtual patching and automated distribution of security context | |
| CN104221024B (zh) | 统一扫描引擎 | |
| US10360408B1 (en) | Method and system for computer self-determination of security protocol compliance | |
| US20150301515A1 (en) | Method, Device and Computer Program for Monitoring an Industrial Control System | |
| Barateiro et al. | Manage risks through the enterprise architecture | |
| US10063429B2 (en) | Systems and methods for optimizing computer network operations | |
| Cheng et al. | Checking is believing: Event-aware program anomaly detection in cyber-physical systems | |
| CN104901874A (zh) | 互连不同域的高保障安全网关 | |
| CN110705726A (zh) | 工业设备的运维审计方法、系统和装置 | |
| KR102078345B1 (ko) | 항만물류정보시스템의 정보보안 취약점 진단시스템 | |
| Zanutto et al. | The Shadow Warriors: In the no man’s land between industrial control systems and enterprise IT systems | |
| CN111107108B (zh) | 一种工业控制系统网络安全分析的方法 | |
| Kriaa et al. | A new safety and security risk analysis framework for industrial control systems | |
| CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
| Bodeau | System-of-systems security engineering | |
| US20220155747A1 (en) | Control system and setting method | |
| KR101732682B1 (ko) | 사이버 보안 장치의 보고서 작성 방법 | |
| Reilly et al. | Classification considerations for cyber safety and security in the smart ship era | |
| US8931087B1 (en) | Reconfigurable virtualized remote computer security system | |
| CN110520806A (zh) | 对可编程逻辑控制器的偏差工程修改的识别 | |
| Hollerer et al. | Challenges in ot security and their impacts on safety-related cyber-physical production systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |