KR20200054495A - Method for security operation service and apparatus therefor - Google Patents

Method for security operation service and apparatus therefor Download PDF

Info

Publication number
KR20200054495A
KR20200054495A KR1020180137817A KR20180137817A KR20200054495A KR 20200054495 A KR20200054495 A KR 20200054495A KR 1020180137817 A KR1020180137817 A KR 1020180137817A KR 20180137817 A KR20180137817 A KR 20180137817A KR 20200054495 A KR20200054495 A KR 20200054495A
Authority
KR
South Korea
Prior art keywords
security
security risk
event
control service
risk
Prior art date
Application number
KR1020180137817A
Other languages
Korean (ko)
Inventor
공병철
Original Assignee
주식회사 에스링크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에스링크 filed Critical 주식회사 에스링크
Priority to KR1020180137817A priority Critical patent/KR20200054495A/en
Publication of KR20200054495A publication Critical patent/KR20200054495A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Tourism & Hospitality (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Marketing (AREA)
  • Theoretical Computer Science (AREA)
  • Primary Health Care (AREA)
  • General Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Provided is a security control service system, which comprises: a terminal generating a security event by attempting or accessing an information system; a management terminal; and a security control service device detecting a security event for real-time monitoring and security risks for each node of an information system of a public institution in accordance with the access attempt or access of the terminal, analyzing security events related to the security risks detected as a result of the real-time monitoring, separating the security risk event from the analyzed security events, determining the security risk level of the separated security risk event, blocking the security risk for the security event determined as a security risk factor based on a predefined threshold value, reporting to the management terminal, and updating the security data.

Description

보안관제 서비스 방법 및 그를 위한 장치{METHOD FOR SECURITY OPERATION SERVICE AND APPARATUS THEREFOR}METHOD FOR SECURITY OPERATION SERVICE AND APPARATUS THEREFOR

본 발명은 보안관제 서비스에 관한 것으로, 보다 상세하게는 상기 정보시스템의 보안위협요소의 실시간 정보를 모니터링하는 시스템, 상기 보안위협요소의 침입 탐지 및 침입 차단을 위한 보안관제 서비스 방법 및 그를 위한 장치에 관한 것이다.The present invention relates to a security control service, and more particularly, to a system for monitoring real-time information of a security threat element of the information system, a security control service method for intrusion detection and intrusion prevention of the security threat element, and an apparatus therefor It is about.

기술이 발전하고 그에 따라 많은 사회 기반 시스템이 디지털화되어 가고 있다. 이러한 디지털 시스템의 기술 발전은 편리함을 제공하는 반면 바이러스나 해킹으로 인한 보안 위협에 대한 우려가 점차 증가하고 있다.Technology is advancing and many social infrastructure systems are digitizing accordingly. Technological advances in these digital systems provide convenience, while concerns about security threats from viruses or hacking are increasing.

특히, 인터넷 등 통신망을 통해 몰래 들어와 정보시스템을 교란하거나 마비시키는 해킹은 날로 지능화되고 고도화되고 있다.In particular, hacking that sneaks through a communication network such as the Internet and disturbs or paralyzes information systems is becoming increasingly intelligent and advanced.

관련하여, 일반 기업체에 비하여 상대적으로 지방자치단체나 공공기관의 정보시스템은 이러한 해킹에 취약하고 빠르게 대응하지 못해 많은 피해를 입고 있다. In relation to this, the information systems of local governments and public institutions are relatively vulnerable to such hacking and fail to respond quickly compared to general enterprises, and suffer much damage.

이러한 지방자체단체나 공공기관의 정보시스템에 대한 해킹 피해는 공공의 이익이나 그와 관련된 정보로 인하여 다양하고 방대할 수 있어 더욱 문제가 될 수 있다.Hacking damage to the information system of local governments or public organizations can be more problematic because it can be varied and vast due to public interest or information related to it.

따라서, 지방자체단체나 공공기관의 정보시스템에 대한 보안 시스템 마련이 절실히 요구되고 있는 실정이다.Therefore, there is an urgent need to prepare a security system for information systems of local governments and public organizations.

본 발명의 일 과제는, 지방자치단체나 공공기관의 정보시스템에 대한 보안위협요소 실시간 정보 모니터링, 상기 보안위협요소의 침입 탐지 및 침입 차단을 위한 보안관제 서비스 방법을 제공하는 것이다.One object of the present invention is to provide a security control service method for real-time information monitoring of security threat elements for an information system of a local government or public institution, intrusion detection and intrusion prevention of the security threat elements.

본 발명의 다른 과제는, 상기 보안관제 서비스 방법 제공을 위한 장치 내지 시스템을 제공하는 것이다.Another object of the present invention is to provide an apparatus or system for providing the security control service method.

본 발명에서 이루고자 하는 기술적 과제들은 상기 기술적 과제로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical problems to be achieved in the present invention are not limited to the above technical problems, and other technical problems not mentioned will be clearly understood by a person having ordinary knowledge in the technical field to which the present invention belongs from the following description.

상술한 문제점을 해결하기 위한 본 발명의 일실시예에 따른 보안관제 서비스 방법은, 단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하는 단계; 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하는 단계; 상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하는 단계; 및 결과를 관리 단말에 보고하고, 보안 데이터를 업데이트하는 단계;를 포함하여 이루어지는 것을 특징으로 한다.The security control service method according to an embodiment of the present invention for solving the above-described problems, detects real-time monitoring of each node of a public institution's information system and security events related to security risks according to the access attempt or access of the terminal. To do; Analyzing security events related to security risks detected as a result of the real-time monitoring; Separating a security risk event from the analyzed security events, determining a security risk level of the separated security risk event, and blocking a security risk for a security event determined as a security risk factor based on a predefined threshold; And reporting the results to the management terminal, and updating the security data; characterized in that it comprises a.

본 발명의 일실시예에 따르면, 상기 보안 위험 차단 단계는, 관리 단말에 보안 위험 요소로 판단된 보안 이벤트에 대한 지시 요청을 전송하는 단계를 더 포함하여 이루어지는 것을 특징으로 한다.According to an embodiment of the present invention, the security risk blocking step is characterized in that it further comprises the step of transmitting an indication request for a security event determined to be a security risk factor to the management terminal.

본 발명의 일실시예에 따르면, 상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집하는 것을 특징으로 한다.According to an embodiment of the present invention, when the security risk level of the separated security risk event is less than a predefined threshold, it is characterized in that additional security events of the security risk event are collected for a predefined time.

본 발명의 일실시예에 따르면, 상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단하되, 상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제하는 것을 특징으로 한다.According to an embodiment of the present invention, the security risk level is judged by comparing with the threshold based on the additional security event of the collected security risk event, but if the security risk level as a result of the judgment continues to be below the threshold value It is characterized by releasing the security risk event attribute of the corresponding security risk event.

본 발명의 일실시예에 따르면, 보안 이벤트에 대한 블랙 리스트를 저장하는 단계;를 더 포함하되, 상기 블랙 리스트에 포함된 보안 이벤트에 대하여, 보안 위험 이벤트로 자동 분리하여 관리하고, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하여 보안 위험 차단을 수행하거나 보안 위험 레벨을 하지 않고 우선하여 보안 위험 차단을 수행하는 것을 특징으로 한다.According to an embodiment of the present invention, further comprising the step of storing a black list for the security event; the security event included in the black list is automatically separated and managed as a security risk event, and the black list The corresponding security risk event is characterized by performing security risk blocking by strictly applying a threshold for determining the security risk level, or performing security risk blocking with priority without performing a security risk level.

본 발명의 일실시예에 따른 보안관제 서비스 시스템은, 정보시스템에 접속 시도 또는 접속하여 보안 이벤트를 발생시키는 단말; 관리 단말; 및 상기 단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하고, 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하여, 상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하고, 그 결과를 상기 관리 단말에 보고하고, 보안 데이터를 업데이트하는 보안관제 서비스 장치;를 포함하는 것을 특징으로 한다.Security control service system according to an embodiment of the present invention, the terminal attempts to access or access the information system to generate a security event; Management terminal; And detecting security events related to real-time monitoring and security risks for each node of the public institution's information system according to the access attempt or access of the terminal, and analyzing security events related to the security risks detected as a result of the real-time monitoring. Separating the security risk event from the analyzed security events, determining the security risk level of the separated security risk event, blocking the security risk for the security event determined as a security risk factor based on a predefined threshold, and as a result It characterized in that it comprises a; security control service device for reporting to the management terminal, and updating the security data.

본 발명의 일실시예에 따르면, 상기 보안관제 서비스 장치는, 상기 관리 단말에 보안 위험 요소로 판단된 보안 이벤트에 대한 지시 요청을 전송하고 리턴되는 지시에 따라 보안관제 서비스를 수행하는 것을 특징으로 한다.According to an embodiment of the present invention, the security control service device is characterized in that it transmits an instruction request for a security event determined as a security risk factor to the management terminal and performs a security control service according to the returned instruction. .

본 발명의 일실시예에 따르면, 상기 보안관제 서비스 장치는, 상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집하는 것을 특징으로 한다.According to an embodiment of the present invention, when the security risk level of the separated security risk event is less than a predefined threshold, the security control service device collects additional security events of the security risk event for a predefined time. It is characterized by.

본 발명의 일실시예에 따르면, 상기 보안관제 서비스 장치는, 상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단하되, 상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제하는 것을 특징으로 한다.According to an embodiment of the present invention, the security control service device judges a security risk level by comparing with the threshold based on the additional security event of the collected corresponding security risk event, wherein the security risk level is the result of the judgment If it continues to be below the threshold, the security risk event attribute of the security risk event is released.

본 발명의 일실시예에 따르면, 상기 보안관제 서비스 장치는, 보안 이벤트에 대한 블랙 리스트를 저장하고, 상기 블랙 리스트에 포함된 보안 이벤트에 대하여, 보안 위험 이벤트로 자동 분리하여 관리하고, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하여 보안 위험 차단을 수행하거나 보안 위험 레벨을 하지 않고 우선하여 보안 위험 차단을 수행하는 것을 특징으로 한다.According to an embodiment of the present invention, the security control service device stores a black list of security events, automatically separates and manages security events included in the black list as security risk events, and the black list The security risk event corresponding to is characterized by performing security risk blocking by strictly applying a threshold for determining the security risk level, or performing security risk blocking with priority without performing a security risk level.

상기와 같은 본 발명에 따르면 아래에 기재된 효과를 얻을 수 있다. 다만, 본 발명을 통해 얻을 수 있는 효과는 이에 제한되지 않는다.According to the present invention as described above, the effects described below can be obtained. However, the effect obtainable through the present invention is not limited thereto.

첫째, 본 발명에 따르면, 지방자치단체나 공공기관의 정보시스템에 대한 보안위협요소 실시간 정보 모니터링, 상기 보안위협요소의 침입 탐지 및 침입 차단을 위한 보안관제 서비스 방법을 제공할 수 있는 효과가 있다.First, according to the present invention, there is an effect capable of providing a security control service method for real-time information monitoring of security threat elements for an information system of a local government or a public institution, intrusion detection and intrusion prevention of the security threat elements.

둘째, 본 발명에 따르면, 상기 보안관제 서비스 방법 제공을 위한 장치 내지 시스템을 제공할 수 있는 효과가 있다.Second, according to the present invention, there is an effect that can provide an apparatus or system for providing the security control service method.

도 1은 본 발명의 일실시예에 따른 실시간 보안 모니터링 및 보안관제시스템의 개략도이다.
도 2는 본 발명의 일실시예에 따른 모니터링/보안관제 서비스 서버단의 구성요소를 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 보안관제시스템의 영상 시스템 구성도이다.
도 4는 본 발명의 일실시예에 따른 보안관제 방법을 설명하기 위해 도시한 순서도이다.
도 5는 본 발명의 일실시예에 따른 보안관제장치의 구성을 설명하기 위해 도시한 도면이다.
도 6은 본 발명의 일실시예에 따른 보안관제 종합 상황실의 실제 구현 모습을 도시한 도면이다.
도 7은 본 발명의 일실시예에 따른 개인용 단말기의 실제 구현 모습을 도시한 도면이다.1 is a schematic diagram of a real-time security monitoring and security control system according to an embodiment of the present invention.
2 is a diagram showing components of a monitoring / security control service server stage according to an embodiment of the present invention.
3 is a configuration diagram of a video system of a security control system according to an embodiment of the present invention.
4 is a flowchart illustrating a security control method according to an embodiment of the present invention.
5 is a view for explaining the configuration of the security control device according to an embodiment of the present invention.
6 is a view showing an actual implementation of the security control comprehensive situation room according to an embodiment of the present invention.
7 is a view showing an actual implementation of the personal terminal according to an embodiment of the present invention.

이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. DETAILED DESCRIPTION The following detailed description, together with the accompanying drawings, is intended to describe exemplary embodiments of the present invention, and is not intended to represent the only embodiments in which the present invention may be practiced.

단지 본 실시예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전히 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Only the present embodiments are provided to make the publication of the present invention complete, and to fully disclose the scope of the invention to those skilled in the art to which the invention pertains, and the present invention will be defined by the scope of the claims. That's it.

몇몇의 경우, 본 발명의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심기능을 중심으로 한 블록도 형식으로 도시될 수 있다. 또한, 본 명세서 전체에서 동일한 구성요소에 대해서는 동일한 도면 부호를 사용하여 설명한다.In some cases, in order to avoid obscuring the concept of the present invention, well-known structures and devices may be omitted, or block diagrams centered on the core functions of each structure and device may be illustrated. In addition, the same components throughout the specification will be described using the same reference numerals.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함(comprising 또는 including)"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when a part "comprising or including" a certain component, this means that other components may be further included instead of excluding other components, unless otherwise specified. do.

또한, 명세서에 기재된 "?부"의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 나아가, "일(a 또는 an)", "하나(one)", 및 유사 관련어는 본 발명을 기술하는 문맥에 있어서 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.In addition, the term “?” Described in the specification means a unit that processes at least one function or operation, and may be implemented by hardware or software or a combination of hardware and software. Furthermore, "a (an or an)", "one (one)", and similar terms in the context of describing the present invention, unless otherwise indicated or clearly contradicted by the context, both singular and plural. It can be used in a sense that includes.

아울러, 본 발명의 실시예들에서 사용되는 특정(特定) 용어들은 본 발명의 이해를 돕기 위해서 제공된 것이며, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 이러한 특정 용어의 사용은 본 발명의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.In addition, specific terms used in the embodiments of the present invention are provided to help understanding of the present invention, and unless otherwise defined, all terms used herein, including technical or scientific terms, are used in the present invention. It has the same meaning as commonly understood by a person skilled in the art to which they belong. The use of these specific terms may be changed in other forms without departing from the technical spirit of the present invention.

본 명세서에서는 본 발명에 따른 정부, 지방자치단체나 공공기관(이하, '공공기관')의 정보시스템에 대한 보안위협요소 실시간 정보 모니터링, 상기 보안위협요소의 침입 탐지 및 침입 차단을 위한 보안관제 방법, 및 그를 위한 장치 내지 시스템에 대하여 기술한다.In this specification, the security threat element real-time information monitoring for the information system of the government, local government, or public institution (hereinafter referred to as 'public institution') according to the present invention, the security control method for intrusion detection and intrusion prevention of the security threat element And devices and systems therefor.

한편, 본 발명은 상향식(bottom up) 방식으로 보안 이벤트를 탐지하고, 탐지된 결과에 기초하여 보안관제 서비스를 제공할 수 있다. 이러한 상향식 보안관제 서비스에 따르면, 보안관제 서비스의 메인 서버에 대한 공격이 아닌 공공기관의 정보시스템을 구성하는 각 노드(node) 내지 링크(link) 단위에 대한 보안 이벤트 발생에 즉각적으로 대응할 수 있어, 보안 위험에 보다 효과적으로 대응할 수 있어 보안 위험에 따른 피해를 최소화할 수 있다.Meanwhile, the present invention can detect a security event in a bottom up manner and provide a security control service based on the detected result. According to this bottom-up security control service, it is possible to immediately respond to the occurrence of security events for each node or link unit constituting the information system of a public institution, not an attack on the main server of the security control service, You can respond more effectively to security risks, thus minimizing the damage caused by security risks.

도 1은 본 발명의 일실시예에 따른 실시간 보안 모니터링 및 보안관제시스템(100)의 개략도이다.1 is a schematic diagram of a real-time security monitoring and security control system 100 according to an embodiment of the present invention.

도 1을 참조하면, 실시간 보안 모니터링 및 보안관제시스템(100)은, 적어도 하나의 단말(110)과 모니터링/보안관제 서비스 서버단으로 구성된다. Referring to FIG. 1, the real-time security monitoring and security control system 100 is composed of at least one terminal 110 and a monitoring / security control service server end.

상기 단말(110)은, 공공기관 정보시스템에 접속 시도 또는 접속하는 장치를 통칭한다. 여기서, 상기 단말(110)은 비단 외부에서 상기 공공기관 정보시스템에 접속하는 장치뿐만 아니라 내부 인트라넷 등을 통하여 정보시스템을 이용하는 장치도 포함하는 의미일 수 있다.The terminal 110 refers to a device that attempts or connects to a public institution information system. Here, the terminal 110 may mean not only a device that accesses the public institution information system from outside, but also a device that uses the information system through an internal intranet or the like.

실시예에 따라, 상기 단말(110)로, 단말 장치, 터미널(Terminal), MS(Mobile Station), MSS(Mobile Subscriber Station), SS(Subscriber Station), AMS(Advanced Mobile Station), WT(Wireless terminal), MTC(Machine-Type Communication) 장치, M2M(Machine-to-Machine) 장치, D2D 장치(Device-to-Device) 장치 중 적어도 하나를 예시할 수 있다. 구체적인 예로, 상기 단말(110)은, 휴대폰, 스마트폰, 태블릿 PC, 개인용 PC, 노트북 등이 될 수 있다.According to the embodiment, to the terminal 110, a terminal device, a terminal (Terminal), MS (Mobile Station), MSS (Mobile Subscriber Station), SS (Subscriber Station), AMS (Advanced Mobile Station), WT (Wireless terminal) ), At least one of a Machine-Type Communication (MTC) device, a Machine-to-Machine (M2M) device, and a Device-to-Device (D2D) device. As a specific example, the terminal 110 may be a mobile phone, a smart phone, a tablet PC, a personal PC, a laptop, and the like.

또한, 전술한 단말은 어디까지나 이는 예시에 불과할 뿐이며, 본 발명에서의 단말은 상술한 예시들 이외에도 현재 개발되어 상용화되었거나 또는 향후 개발될 데이터 또는 신호 전송이 가능한 모든 장치를 포함하는 개념으로 해석되어야 한다.In addition, the above-mentioned terminal is only an example, and the terminal in the present invention should be interpreted as a concept including all devices that are currently developed and commercialized or are capable of transmitting data or signals to be developed in the future in addition to the above-described examples. .

상기 모니터링/보안관제 서비스 서버단은, 보안위험 탐지모듈(120), 보안위험 분석모듈(130), 보안위험 차단모듈(140), 모니터링 시스템(150) 및 보안지원모듈(160)을 포함하여 구성된다. The monitoring / security control service server unit comprises a security risk detection module 120, a security risk analysis module 130, a security risk blocking module 140, a monitoring system 150, and a security support module 160. do.

다만, 본 발명이 이에 한정되는 것은 아니며, 필요한 경우 모듈이 추가되거나 전술한 적어도 둘 이상이 모듈이 하나의 모듈로 구현되거나 일부 모듈이 생략될 수도 있다.However, the present invention is not limited to this, and if necessary, modules may be added, or at least two or more of the above-described modules may be implemented as one module, or some modules may be omitted.

상기에서, 보안위험 탐지모듈(120)은 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS) 등을 기반으로 공공기관 정보시스템에 대한 다양한 형태의 보안 이벤트를 탐지하고 수집한다. In the above, the security risk detection module 120 detects and collects various types of security events for public institution information systems based on firewalls, intrusion detection systems (IDS), and intrusion prevention systems (IPS).

여기서, 상기 보안 이벤트라 함은, 상기 단말(110)의 접속에 따른 다양한 접속 및 접속 시도 이벤트로부터 보안 위험과 관련된 이벤트만을 지칭할 수 있다. 한편, 상기 보안 위험과 관련된 이벤트는, 보안 시스템을 제공하는 서비스 제공업자(service provider)에 의해 제공되거나 업데이트(update)되는 데이터에 기초하여 판단될 수 있다.Here, the security event may refer to only events related to security risks from various access and access attempt events according to the access of the terminal 110. Meanwhile, the event related to the security risk may be determined based on data provided or updated by a service provider providing a security system.

또한, 보안위험 탐지모듈(120)은 상기 탐지 및 수집된 보안 이벤트로부터 공공기관 정보시스템에 실질적으로 위협이 되거나 위협 우려가 있는 즉, 상기 공공기관 정보시스템에 피해를 줄 수 있는 보안위험요소들을 탐지하여 분류한 뒤 이를 보안위험 분석모듈(130)로 전달한다.In addition, the security risk detection module 120 detects security risk factors that may be a real threat to or threat of a public institution information system, that is, damage to the public institution information system from the detected and collected security events. After classifying it, it is transferred to the security risk analysis module 130.

상기 보안위험 탐지모듈(220)은 공공기관 정보시스템에 접속하는 단말(110)의 액세스 즉, 접속, 로그인, 요청, 결과 수신 등 상기 단말(110)의 액션에 대하여 탐지하고 이의 보안 위험 여부를 판단하여 그에 관한 결과 데이터를 상기 보안위험 분석모듈(130)로 전달한다.The security risk detection module 220 detects the action of the terminal 110 such as access, login, request, and result reception of the terminal 110 accessing the public institution information system and determines whether it is a security risk. Therefore, the result data is transmitted to the security risk analysis module 130.

상기 보안위험 분석모듈(130)은 실시간 모니터링 시스템(160)을 지원하며, 상기 보안위험 탐지모듈(120)을 통해 수집된 각종 보안 이벤트에 대한 분석을 수행한다. The security risk analysis module 130 supports a real-time monitoring system 160 and analyzes various security events collected through the security risk detection module 120.

상기 보안위험 분석모듈(130)은 각종 보안 이벤트에 대한 분석 결과에 기초하여 해당 보안 이벤트의 보안 위험 레벨을 판단하고, 상기 판단된 보안 위험 레벨에 따라 보안 위험 차단 여부에 대한 데이터를 생성하여 보안위험 차단모듈(140)과 실시간 모니터링 시스템(150)에 보고할 수 있다.The security risk analysis module 130 determines the security risk level of the corresponding security event based on the analysis result of various security events, and generates security risk data according to the determined security risk level to generate security risk It can report to the blocking module 140 and the real-time monitoring system 150.

보안위험 차단모듈(140)은 보안위험 분석모듈(130)의 결과 데이터에 기초하여 보안 위험을 차단한다. 이를 위해 상기 보안위험 차단모듈(140)은 모니터링 시스템(150)의 제어에 따라 동작될 수 있다.The security risk blocking module 140 blocks the security risk based on the result data of the security risk analysis module 130. To this end, the security risk blocking module 140 may be operated under the control of the monitoring system 150.

상기 보안위험 차단모듈(140)은, 방화벽, 침입탐지시스템(IDS), 침입차단시스템(IPS), 취약점분석시스템, 안티바이러스시스템, 서버보안시스템, 가상사설망(VPN; Virtual Private Network) 등의 다수 보안 솔루션을 하나로 모은 통합보안관리서비스시스템(ESM: Enterprise Security Management)일 수 있다.The security risk blocking module 140 includes a number of firewalls, intrusion detection systems (IDS), intrusion prevention systems (IPS), vulnerability analysis systems, anti-virus systems, server security systems, virtual private networks (VPN), etc. It may be an integrated security management service system (ESM) that brings together a security solution.

상기 모니터링 시스템(150)은, 상기 판단된 보안 위험 레벨 및 보안 위험 여부에 따라 해당 보안 이벤트에 대해 계속 모니터링 여부를 판단한다.The monitoring system 150 determines whether to continuously monitor the security event according to the determined security risk level and security risk.

상기 계속 모니터링 여부 판단은 예를 들어, 보안 위험 여부 및 보안 위험 레벨이 미리 정의된 임계치 미만이어서 보안 위험 차단이나 보안관제를 수행하기 보다는 미리 정한 시간 동안 계속하여 모니터링을 수행하여 추가 보안 이벤트를 수집하여 보안 위험 여부 및 보안 위험 레벨 판단 또는 모니터링 여부를 재판단하기 위함이다.The determination of whether to continuously monitor, for example, the security risk and the security risk level is below a predefined threshold, so rather than performing security risk blocking or security control, monitoring is continuously performed for a predetermined time to collect additional security events. This is to judge whether there is a security risk and whether to judge or monitor the security risk level.

여기서, 상기 판단 또는 재판단 결과에 따라 상기 보안 위험 여부 및 보안 위험 레벨이 미리 정의된 임계치를 초과한 경우에는 보안 위험 차단 또는 보안관제를 수행한다. Here, if the security risk level and the security risk level exceed a predefined threshold according to the judgment or the result of the judgment, security risk blocking or security control is performed.

상기 보안 위험 차단 또는 보안관제 실시 경우에는, 미리 정의된 관리 단말(도 5의 관리 단말 1(520), 관리 단말2(530) 중 적어도 하나)에 관리 상황 발생 이벤트를 보고하고 상기 보안 위험 차단 또는 보안관제 수행 여부에 대한 지시(리턴)를 수신하여 그에 따라 동작한다.In the case of the security risk blocking or security control, a management situation occurrence event is reported to a predefined management terminal (at least one of the management terminal 1 520 and the management terminal 2 530 of FIG. 5) and the security risk is blocked or It receives an instruction (return) on whether to perform security control and operates accordingly.

보안지원모듈(160)은, 상기 모니터링/보안관제 서비스 서버단의 보안을 위한 다양한 소스 등을 지원한다. 여기서, 상기 보안지원모듈(160)은 편의상 도 1에서는 상기 모니터링/보안관제 서비스 서버단의 내부 구성요소로 도시하였으나, 반드시 이에 한정되는 것은 아니며, 외부의 보안지원 구성일 수도 있다. 상기 보안지원모듈(160)은 보안 이벤트 분석 결과를 반영하여 지속적인 보안 업데이트를 수행하고, 상기 공공기관의 정보시스템에 실제 보안 이벤트가 발생하지 않더라도 외부 기관 등의 보안 위협이나 보안 이벤트에 대한 정보를 수집하고 미리 예방 및 대응하기 위한 다양한 지원을 제공할 수 있다.The security support module 160 supports various sources for security of the monitoring / security control service server end. Here, although the security support module 160 is illustrated as an internal component of the monitoring / security control service server end in FIG. 1 for convenience, it is not limited thereto, and may be an external security support configuration. The security support module 160 reflects the results of security event analysis to perform continuous security updates, and collects information on security threats or security events from external agencies, etc. even if no actual security event occurs in the public agency's information system. And can provide various supports to prevent and respond in advance.

본 명세서에서 기술되는 보안관제 서비스는 노드 또는 링크 단위로 상기 모니터링/보안관제 서비스 서버단의 동작이 수행될 수 있다.The security control service described in this specification may be performed by the monitoring / security control service server end in a node or link unit.

도 2는 본 발명의 일실시예에 따른 모니터링/보안관제 서비스 서버단의 구성요소를 도시한 도면이다.2 is a view showing the components of a monitoring / security control service server according to an embodiment of the present invention.

도 2를 참조하면, 모니터링/보안관제 서비스 서버단은, 통신부(210), 정보 자산 데이터 처리부(220), 보안 데이터 처리부(230), 보안 분석부(240), 보안 관리부(250), 제어부(260) 및 데이터베이스(270)를 포함하여 구성될 수 있다.Referring to FIG. 2, the monitoring / security control service server unit includes a communication unit 210, an information asset data processing unit 220, a security data processing unit 230, a security analysis unit 240, a security management unit 250, and a control unit ( 260) and the database 270.

상기 통신부(210)는 외부 단말(110)과의 데이터 통신뿐만 아니라 내부 구성요소들 사이의 데이터 통신을 지원한다. 여기서, 내부 구성 요소들에는 후술하는 도 5의 터미널(510)과 관리 단말들(520,530)을 포함한다.The communication unit 210 supports data communication between internal components as well as data communication with the external terminal 110. Here, the internal components include the terminal 510 and management terminals 520 and 530 of FIG. 5 to be described later.

상기 정보 자산 데이터 처리부(220)는, 공공기관 정보시스템의 정보 자산 데이터에 대한 요청 등을 처리한다.The information asset data processing unit 220 processes requests for information asset data of the public institution information system.

실시예에 따라, 상기 정보 자산 데이터 처리부(220)는 다양한 IP 정보를 기록하고 갱신하여 관리하는 네트워크를 통해 접속 가능한 웹 사이트 즉, 웹 사이트를 통해 접속 가능한 정보 자산 데이터를 처리하고, 이러한 정보 자산에 대한 접근을 위하여 ID와 패스워드 등에 의해 접근 가능한 대상자의 정보 자산 요청, 정보 자산 액세스 등에 대한 처리를 한다. According to an embodiment, the information asset data processing unit 220 processes a web site accessible through a network that records and updates and manages various IP information, that is, information asset data accessible through a website, and the information asset For access, it handles requests for access to information assets, access to information assets, etc. of the targeted person by ID and password.

보안 데이터 처리부(230)는 상기 정보 자산 데이터 처리부(220)의 로그인 정보와 보안 이벤트 정보, 트래픽 정보 등 정보시스템의 데이터 서버에 대한 각종 로그 데이터를 포함하여 보안 이벤트를 수집한다. The security data processing unit 230 collects security events including log data of the information asset data processing unit 220, security event information, traffic information, and various log data of the data server of the information system.

실시예에 따라, 상기 보안 데이터 처리부(230)는 방화벽(VPN), 침입탐지시스템(IDS), 침입방지시스템(IPS), 바이러스 백신, 보안 패치 등과 같은 다양한 보안관제 서비스 솔루션에 근거하여 상기 정보 자산 데이터 처리부(220)에 대한 보안 이벤트를 수집하고 처리한다.According to an embodiment, the security data processing unit 230 is based on various security control service solutions such as a firewall (VPN), intrusion detection system (IDS), intrusion prevention system (IPS), antivirus, security patch, etc. Security events for the data processing unit 220 are collected and processed.

보안 분석부(240)는 상기 보안 데이터 처리부(230)가 수집하는 로그 데이터로부터 접근 통제, 위협 정보, 유해 정보, 패치 정보, 안티바이러스 통계 정보 등 보안 이벤트를 분석한다.The security analysis unit 240 analyzes security events such as access control, threat information, harmful information, patch information, and anti-virus statistical information from log data collected by the security data processing unit 230.

실시예에 따라, 상기 보안 분석부(240)는, 정보 자산에 위험을 주는 위협 정보와 유해정보를 수집 및 분석하고 침해의 영향을 확인하여 위험 수준을 주기적으로 업데이트하고, 보안 이벤트와 위험 정보와 유해 트래픽 정보를 수집하고 소정 시간 단위로 축약하여 활용 가능하게 변환하며, 인프라 관리, 위험 취약점 관리, 및 위험 관리를 담당할 수 있다.According to an embodiment, the security analysis unit 240 collects and analyzes threat information and harmful information that poses a risk to information assets, periodically checks the impact of infringement, periodically updates the risk level, and provides security events and risk information. It collects harmful traffic information, converts it to be usable by reducing it in a predetermined time unit, and can be in charge of infrastructure management, risk vulnerability management, and risk management.

실시예에 따라, 상기 보안 분석부(240)는 상기 보안 데이터 처리부(230)가 수집한 보안 이벤트와 유해 정보와 위협 정보 등으로부터, 접근이 통제된 부당 대상자의 접속 시도 정보와 보안 패치의 설치 정보와 안티바이러스가 설치된 통계 정보를 수집하고, 피해 발생 가능성이 있는 위험 정보와 해킹 시도 행위의 가능성이 있는 침해 정보를 분석하여 최적의 대응 방안을 제시한다. According to an embodiment, the security analysis unit 240, from the security event and the harmful information and threat information collected by the security data processing unit 230, the access attempt information and the installation information of the security patch of the illegally controlled subject are controlled. It collects statistical information on antivirus and antivirus, and analyzes risk information that may cause damage and infringement information that may be a hacking attempt, and proposes an optimal countermeasure.

실시예에 따라, 상기 보안 분석부(240)는, 하드웨어(H/W), 소프트웨어(S/W) 등으로 구성되어 정보 또는 보안 자산을 등록하며, 상기 정보 또는 보안 자산의 가치를 평가하는 정보 또는 보안 자산 관리하고, 보안 위험을 관리하는 보안 위험 유형 관리, 보안 위험 발생 빈도와 정보시스템에 대한 보안 위험 영향도를 분석하고, 정보 보안 시스템의 보안 취약성 분석 결과에 연계되는 위험 분석, 보안 취약성 분석하고 히스토리를 관리하는 보안 관리를 수행하고, 보안 평가 기준을 관리하고 보안 대책을 적용하며 정보시스템에 대한 보안 위험을 관리하는 위험 관리, 보안 위험 현황에 대한 통계 분석 등을 수행할 수 있다.According to an embodiment, the security analysis unit 240 is composed of hardware (H / W), software (S / W), and the like, to register information or security assets, and to evaluate the value of the information or security assets Or manage security assets, manage security risk types to manage security risks, analyze the frequency of security risks and the degree of security risk impact on information systems, analyze risks associated with security vulnerability analysis results of information security systems, analyze security vulnerabilities Security management to manage history, manage security evaluation criteria, apply security measures, manage risks for information systems, manage risks, and perform statistical analysis on the status of security risks.

상기 보안 관리부(250)는, 상기 보안 분석부(240)에서 분석된 정보로부터 위험 여부를 판단하고, 해킹이나 침해 사고 접수 및 그 이력을 관리한다.The security management unit 250 determines whether there is a risk from the information analyzed by the security analysis unit 240, and manages the history of hacking or infringement incidents and their history.

실시예에 따라, 상기 보안 관리부(250)는, 위험 정보의 빈도, 교차, 상관관계 등을 분석하여 외부 침해 시도와 위험 발생 현황, 보안 패치와 안티바이러스 설치 현황 정보를 검출하고, 외부로부터의 침해 사고 신고와 보안 현황 정보를 수집하고 침해 사고 탐지와 대응을 분석하고 이력을 관리하며, 실시간 예보, 실시간 경보 및 운영 관리를 담당할 수 있다. According to an embodiment, the security management unit 250 analyzes the frequency, crossover, correlation, etc. of risk information to detect external infringement attempts, risk occurrence status, security patch and antivirus installation status information, and infringement from outside It can collect accident reports and security status information, analyze and detect infringement incidents, manage history, and be in charge of real-time forecasting, real-time alerting, and operation management.

실시예에 따라, 상기 보안 관리부(250)는, 공공기관 정보시스템에 대한 보안 이벤트의 발생을 실시간 모니터링하며 보안 성능을 실시간 모니터링하는 실시간 관리, 보안 이벤트 정보를 분석하며 보안 데이터 정보를 검색하고 통계를 보고하는 정보 분석을 수행하고, 정보 자산에 대한 침해의 위험 수준을 탐지하고 보안 이슈를 탐지하고, 침해 공격을 탐지하여 분석하고, 전체 트래픽 대비 보안 위험 트래픽을 분석하고 정보 자산 서비스별 트래픽을 분석하며 기관별 트래픽을 분석하는 트래픽 분석을 수행하고 최적의 대응 방안을 제시한다. According to an embodiment, the security management unit 250 monitors the occurrence of security events for the public institution information system in real time, real-time management that monitors security performance in real time, analyzes security event information, retrieves security data information, and retrieves statistics. Perform reporting information analysis, detect the risk level of infringement on information assets, detect security issues, detect and analyze intrusion attacks, analyze security risk traffic against total traffic, analyze traffic by information asset service, Performs traffic analysis to analyze traffic for each institution and presents the optimal countermeasures.

상기 보안 관리부(250)는 또한, 정보 자산을 관리하고 정보 자산에 대한 접근 사용자를 관리하며 보안 환경 설정을 관리하고 보안 이벤트 이력을 관리하고, 정보 수집 대상 관리, 보안 이벤트 및 시스템 로그 정보를 포함하여 다양한 정보를 수집하고, 보안 이벤트를 관리하고 미리 정의된 보안 위험 레벨에 따라 보안 이벤트를 필터링하여 보안 이벤트를 분리할 수 있다.The security management unit 250 also manages information assets, manages access users to the information assets, manages security environment settings, manages security event history, includes information collection target management, security events, and system log information. Security events can be separated by collecting various information, managing security events, and filtering security events according to a predefined security risk level.

상기 제어부(260)는 상기 보안 관리부(250)가 분석한 보안 위험에 대하여 관리하고 모니터링/보안관제 서비스 서버단을 전체적으로 제어한다. The control unit 260 manages security risks analyzed by the security management unit 250 and controls the monitoring / security control service server unit as a whole.

실시예에 따라, 상기 제어부(260)는 상기 보안 관리부(250)가 분석한 위험과 보안 침해 발생 현황을 포함하여 전반적인 보안 상황을 파악할 수 있도록 데이터 제어를 하고 도 5의 관리 단말(520,530)에 관련 보안 정보를 제공한다.According to an embodiment, the control unit 260 controls the data to grasp the overall security situation, including the risks and security breaches analyzed by the security management unit 250, and is related to the management terminals 520 and 530 of FIG. 5. Provide security information.

상기 데이터베이스(270)는 공공기관 정보시스템의 다양한 정보 자산뿐만 아니라 상기 정보 자산의 보호를 위한 각종 보안 데이터를 저장한다.The database 270 stores various security data for protection of the information asset as well as various information assets of the public institution information system.

도 3은 본 발명의 일실시예에 따른 보안관제시스템의 영상 시스템 구성도이다.3 is a configuration diagram of a video system of a security control system according to an embodiment of the present invention.

도 3은 예컨대, 전술한 도 1과 2에 의해 처리된 보안관제시스템 데이터를 제공하는 단말 즉, 영상 시스템에 대한 구성도로 볼 수 있다.3 can be viewed, for example, as a configuration diagram for a terminal that provides the security control system data processed by FIGS. 1 and 2 described above, that is, a video system.

도 3을 참조하면, 네트워크(310)를 통해 복수의 소스들로부터 데이터가 단말의 디스플레이(320)로 전달될 수 있다.Referring to FIG. 3, data may be transmitted from a plurality of sources to the display 320 of the terminal through the network 310.

여기서, 상기 네트워크(310)는 전술한 유/무선 네트워크들 중 적어도 하나이며, 편의상 영상 소스의 데이터 통신을 위한 TCP/IP를 예로 하나 본 발명이 이에 한정되는 것은 아니다.Here, the network 310 is at least one of the wired / wireless networks described above, and for convenience, TCP / IP for data communication of an image source is taken as an example, but the present invention is not limited thereto.

한편, 복수의 소스들과 단말 사이의 각 네트워크(310)는 각각 상이할 수 있다.Meanwhile, each network 310 between a plurality of sources and a terminal may be different.

도 3에서는 예를 들어, Source 1 내지 Source 4까지 4개의 소스들이 4개의 채널 각각을 통하여 단말과 연결되었다.In FIG. 3, for example, four sources from Source 1 to Source 4 are connected to the terminal through each of four channels.

이때, 각 소스를 통해 제공되는 보안관제시스템 데이터는 단말의 성능을 고려하여 동시에 처리되어 디스플레이(320)를 통해 동시에 제공될 수도 있으나, 이시에 개별 처리되고 개별로 제공될 수도 있다. 후자의 경우, 도 3의 디지털 매트릭스 스위처(Digital Matrix Switcher)(330)를 통해 각 소스 데이터의 처리가 결정될 수 있다.At this time, the security control system data provided through each source may be simultaneously processed and provided through the display 320 in consideration of the performance of the terminal, but may be separately processed and provided separately. In the latter case, processing of each source data may be determined through the digital matrix switcher 330 of FIG. 3.

도 3에 도시된 단말의 디스플레이(320)는 화면을 분할하여, 분할된 각 화면을 통하여 각 소스로부터 수신된 보안관제시스템 데이터를 출력할 수 있다. 실시예에 따라, 분할된 모든 화면이 반드시 보안관제시스템 데이터를 출력할 필요는 없다.The display 320 of the terminal illustrated in FIG. 3 may divide a screen and output security control system data received from each source through each divided screen. According to an embodiment, all the divided screens do not necessarily output the security control system data.

한편, 도 3에 도시된 단말은, 반드시 디스플레이와 일체형일 필요는 없고 디스플레이 외의 실제 단말 처리 장치(편의상, 프로세서)(340)는 원격에 위치하여 리모컨이나 RS-232C를 통하여 데이지 체인(daisy chain)을 구성하여 상기 디스플레이를 제어할 수도 있다.Meanwhile, the terminal illustrated in FIG. 3 does not necessarily need to be integral with the display, and the actual terminal processing device (for convenience, processor) 340 other than the display is located remotely and is daisy-chained through a remote control or RS-232C. It is also possible to control the display by configuring.

따라서, 도 3에서는 편의상 각 소스에 처리된 보안관제시스템 데이터가 바로 디스플레이로 전송되는 것으로 도시하였으나, 반드시 이에 한정되지 않는다.Therefore, in FIG. 3, for convenience, the security control system data processed in each source is illustrated as being directly transmitted to the display, but is not limited thereto.

이러한 도 3의 보안관제시스템의 영상 시스템의 구현 예시로 도 6과 7을 예시할 수 있다.6 and 7 can be exemplified as an example of implementation of the video system of the security control system of FIG. 3.

도 6은 본 발명의 일실시예에 따른 보안관제 종합 상황실의 실제 구현 모습을 도시한 도면이고, 도 7은 본 발명의 일실시예에 따른 개인용 단말기의 실제 구현 모습을 도시한 도면이다.6 is a view showing the actual implementation of the security control comprehensive situation room according to an embodiment of the present invention, Figure 7 is a view showing the actual implementation of a personal terminal according to an embodiment of the present invention.

도 6과 7에서도 실시예에 따라 각 단말은 단지 개별 디스플레이 기능만을 수행하고 프로세서(340)는 원격에 위치할 수도 있고, 반대로 상기 각 단말에 각각 프로세서가 구비되어 다양한 데이터를 처리하고 그렇게 처리된 데이터가 통합 디스플레이를 통해 제공될 수도 있다.6 and 7, according to an embodiment, each terminal only performs a separate display function, and the processor 340 may be located remotely. On the contrary, each terminal is equipped with a processor to process various data and process the processed data. May be provided through an integrated display.

다만, 본 발명은 반드시 도 3, 도 6 및 도 7에 도시된 바에 의해 한정되는 것은 아니다.However, the present invention is not necessarily limited to that shown in FIGS. 3, 6 and 7.

도 4는 본 발명의 일실시예에 따른 보안관제 방법을 설명하기 위해 도시한 순서도이다.4 is a flowchart illustrating a security control method according to an embodiment of the present invention.

도 4를 참조하면, 모니터링/보안관제 서비스 서버단은 단말(110)의 접속 시도 또는 접속에 따라 공공기관의 정보시스템에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지한다(S401).Referring to FIG. 4, the monitoring / security control service server terminal detects a real-time monitoring of a public institution's information system and security events related to security risks according to an attempt to access or access the terminal 110 (S401).

실시예에 따라, 상기 S401 단계는 노드 또는 링크 단위로 수행될 수 있다.According to an embodiment, the step S401 may be performed on a node or link basis.

모니터링/보안관제 서비스 서버단은 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하고 보고한다(S402).The monitoring / security control service server stage analyzes and reports the security event related to the security risk detected as a result of the real-time monitoring (S402).

모니터링/보안관제 서비스 서버단은 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단한다(S403).The monitoring / security control service server class separates the security risk events from the analyzed security events, determines the security risk level of the separated security risk events, and determines the security risks based on predefined thresholds. Block the security risk (S403).

모니터링/보안관제 서비스 서버단은 상기 S403 단계의 결과를 보고하고, 보안 데이터를 업데이트한다(S404).The monitoring / security control service server end reports the result of step S403 and updates the security data (S404).

상기에서, 모니터링/보안관제 서비스 서버단은 보안 위험 차단을 위해 보안지원모듈(160)을 통하여 탐지된 보안 이벤트와 관련하여 그에 따른 보안 위험 해소를 위해 필요한 보안 데이터(예를 들어, 보안 패치 등)를 다운로드 또는 업데이트할 수 있다.In the above, the monitoring / security control service server end is related to security events detected through the security support module 160 to block security risks. You can download or update it.

또는, 상기 모니터링/보안관제 서비스 서버단은 보안 위험 차단을 위해 보안지원모듈(160)을 통하여 미리 다운로드 또는 업데이트된 보안 데이터가 저장된 보안 데이터베이스로부터 관련 보안 데이터를 추출하고, 그를 이용하여 상기 보안 위험 차단을 수행한다. 이 경우, 상기 보안 데이터 업데이트 후에 보안관제 서비스를 수행할 때, 우선순위를 최근 보안 업데이트된 데이터를 우선하여 체크함으로써 최신 보안 이슈에 빠르게 대응할 수 있도록 지원한다.Alternatively, the monitoring / security control service server end extracts relevant security data from a security database in which security data previously downloaded or updated is stored through the security support module 160 to block security risk, and uses the security risk blocking To perform. In this case, when performing the security control service after the security data update, priority is given to the latest security update data, thereby enabling quick response to the latest security issues.

상기 모니터링/보안관제 서비스 서버단은 상기 S403 단계 수행시에 미리 도 5의 관리 단말(520,530) 중 적어도 하나에 보고하고, 보고 후 상기 관리 단말(520,530)의 지시에 따라 이루어질 수 있다.The monitoring / security control service server terminal may report to at least one of the management terminals 520 and 530 of FIG. 5 in advance when the step S403 is performed, and follow the instructions of the management terminals 520 and 530 after reporting.

또한, 상기 S403 단계의 보안 위험 차단 수행 결과를 도 5의 관리 단말(520,530)에 보고하여 추후 보안 위험 시도나 위협에 대응하도록 도울 수 있다.In addition, the result of performing the security risk blocking in step S403 may be reported to the management terminals 520 and 530 of FIG. 5 to help counter future security risk attempts or threats.

상기 보안 위험 이벤트 탐지 및 보안 위험 차단 결과 보고 시에, 모니터링/보안관제 서비스 서버단은, 관리 단말(520,530)에서 보안 위험에 대하여 보다 직관적으로 보안 위험을 탐지하고 그에 대처하여 지시할 수 있도록 그래픽(graphic), 테이블(table), 표 등의 형태로 보고하고 그를 위한 인터페이스를 제공할 수 있다.When reporting the security risk event and reporting the security risk blocking result, the monitoring / security control service server end may graphically enable the management terminals 520 and 530 to detect the security risk more intuitively and respond to the security risk. graphic), a table, a table, and the like, and an interface therefor.

상기 모니터링/보안관제 서비스 서버단은, 상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집할 수 있다.When the security risk level of the separated security risk event is less than a predefined threshold, the monitoring / security control service server end may collect additional security events of the security risk event for a predefined time.

여기서, 상기 모니터링/보안관제 서비스 서버단은, 상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단할 수 있다.Here, the monitoring / security control service server end may judge the security risk level in comparison with the threshold based on the additional security event of the collected corresponding security risk event.

이때, 상기 모니터링/보안관제 서비스 서버단은, 상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제할 수 있다.At this time, the monitoring / security control service server end may release the security risk event attribute of the corresponding security risk event if the security risk level as a result of the judgement continues to be below the threshold.

다만, 상기 모니터링/보안관제 서비스 서버단은, 상기 재판단 결과 보안 위험 레벨이 상기 임계치 이상이면, 해당 보안 위험 이벤트에 대하여 상기 관리 단말(520,530)에 보고하고 보안 위험 차단을 한다.However, if the security risk level is higher than the threshold as a result of the trial, the monitoring / security control service server end reports the security risk event to the management terminals 520 and 530 and blocks the security risk.

상기에서, 설명의 편의를 위하여, 일단 보안 위험 이벤트로 분리된 보안 이벤트에 대하여 보안 위험 레벨의 재판단은 1번만 수행하고 계속하여 상기 임계치 미만이면 해당 보안 위험 이벤트의 속성을 보안 위험 레벨에서 해제하는 것으로 기술하였으나, 반드시 이에 한정되는 것은 아니다. 예컨대, 상기와 같은 보안 위험 이벤트는 비록 상기와 같이 보안 속성을 변경하더라도 이를 데이터베이스(270)에 기록하고, 추후 해당 보안 이벤트가 재차 탐지되면, 다른 보안 위험 이벤트에 비하여 재판단을 위한 기준을 더욱 엄격하게 판단할 수 있다.In the above, for the convenience of explanation, once the security risk level is judged by the security risk level, the judge of the security risk level performs only once and continuously releases the attribute of the security risk event from the security risk level if the security risk level is below the threshold. It is described, but is not necessarily limited to this. For example, the security risk event as described above is recorded in the database 270 even if the security property is changed as described above, and if the security event is detected again later, the criteria for the judges are more stringent than other security risk events. You can judge it.

실시예에 따라, 데이터베이스(270)는 미리 보안 위험 이벤트에 대한 데이터(블랙 리스트)를 저장 및 업데이트하고, 보안 이벤트 중 상기 블랙 리스트에 해당하는 보안 이벤트는 우선하여 보안 위험 이벤트로 분리하고, 이렇게 분리된 보안 위험 이벤트는 보안 위험 레벨 판단 기준인 임계치를 다른 보안 위험 이벤트에 비하여 낮출 수 있다.According to an embodiment, the database 270 stores and updates data (black list) for a security risk event in advance, and among security events, security events corresponding to the black list are preferentially separated into security risk events, and thus separated. The established security risk event may lower the threshold, which is a criterion for determining the security risk level, compared to other security risk events.

실시예에 따라, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨을 판단하지 않거나 보안 위험 이벤트에 대하여 관리 단말(520,530)에 보고하되, 상기 관리 단말(520,530)의 지시가 없더라도 자동으로 보안 위험 차단을 수행할 수 있다. According to an embodiment, the security risk event corresponding to the black list does not determine the security risk level or reports the security risk event to the management terminals 520 and 530, even if there is no instruction from the management terminals 520 and 530 automatically. Blocking can be performed.

실시예에 따라, 상기 블랙 리스트에 해당하지 않았던 보안 이벤트로부터 보안 위험이 제기되거나 미리 정의된 횟수 이상 보안 위험 이벤트로 관리되면, 해당 보안 이벤트는 상기 블랙 리스트에 추가할 수 있다.According to an embodiment, if a security risk is raised from a security event that does not correspond to the black list or is managed as a security risk event over a predefined number of times, the security event may be added to the black list.

실시예에 따라, 상기 블랙 리스트에 포함되지 않았으나, 관련 기관이나 전문 기관 등에서 경고나 보안 사고가 발생한 보안 이벤트에 대해서는 일시적으로 상기 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하거나 상기 블랙 리스트에 일시 추가할 수 있다.According to an embodiment, although not included in the black list, a threshold for judging the security risk level is temporarily applied to a security event in which a warning or security accident has occurred in a related organization or a professional organization, or temporarily added to the black list Can be.

실시예에 따라, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 선 보안 위험 차단 후 그 결과와 함께 보안 위험 이벤트에 대하여 관리 단말(520,530)에 보고할 수도 있다.According to an embodiment, the security risk event corresponding to the black list may be reported to the management terminals 520 and 530 about the security risk event with the result after blocking the pre-security risk.

실시예에 따라, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 상기 재판단 기준을 더욱 강화하여 횟수나 빈도를 최초 판단시보다 강화할 수 있다.According to an embodiment, the security risk event corresponding to the black list may further strengthen the jurisdiction criterion to strengthen the frequency or frequency than when initially determined.

실시예에 따라, 상기 보안 위험 이벤트 또는 상기 블랙 리스트에 해당하는 보안 위험 이벤트에 보안 위험 레벨 판단과 재판단 기준은 상이하게 설정할 수 있다. 예를 들어, 최초 보안 위험 레벨 판단을 위한 제1 임계치보다 보안 위험 레벨 재판단을 위한 제2 임계치를 더욱 낮추어 보안 위험 이벤트에 대응할 수 있다.According to an embodiment, the security risk level determination and the judgment criteria may be set differently for the security risk event or the security risk event corresponding to the black list. For example, it is possible to respond to a security risk event by lowering the second threshold for the security risk level judge more than the first threshold for determining the initial security risk level.

실시예에 따라, 공공기관 정보시스템에 대한 정기 또는 비정기로 보안 위험 레벨 판단을 위한 임계치를 상이하게 적용할 수 있다. 예를 들어, 정기적으로 정보시스템에 대한 보안 점검일의 경우에는 보안 위험 이벤트로 분리되지 않은 보안 이벤트에 대해서도 평소보다 높은 엄격성 즉, 낮은 임계치를 적용하거나 보안 위험 레벨 판단을 여러 번 수행하여 보안 점검을 수행할 수 있다. Depending on the embodiment, the threshold for determining the security risk level may be differently applied to the public institution information system periodically or irregularly. For example, in the case of a security check date for an information system on a regular basis, even for security events that are not separated into security risk events, security check is performed by applying a higher strictness than usual, that is, a low threshold or multiple security risk level judgments. You can do

실시예에 따라, 미리 정의된 일 내에 보안 위험 차단 횟수나 빈도가 일정 횟수 이상이면, 그로부터 일정 기간 동안 임의로 보안 위험 레벨 판단을 위한 임계치를 평소 임계치와 상이하게 적용할 수도 있다.According to an embodiment, if the number or frequency of security risk blocking within a predefined day is greater than or equal to a predetermined number of times, a threshold for determining the security risk level may be arbitrarily applied from the threshold for a certain period of time.

도 5를 참조하면, 각 터미널 1 내지 n(여기서, n은 양의 정수)(510)은 상기 모니터링/보안관제 서비스 서버단의 보안 이벤트 탐지 결과, 보안 위험 분석 결과, 보안 위험 차단 결과, 보안관제 서비스 결과 등에 대한 다양한 데이터를 출력할 수 있다. Referring to FIG. 5, each terminal 1 to n (where n is a positive integer) 510 is a security event detection result of the monitoring / security control service server end, a security risk analysis result, a security risk blocking result, and security control Various data on service results, etc. can be output.

또한, 상기 터미널(510)의 출력 결과는 주기/비주기로 상기 관리 단말(520,530)으로 보고되고, 그 지시를 수신하여 출력할 수 있다.In addition, the output result of the terminal 510 is reported to the management terminals 520 and 530 on a periodic / aperiodic basis, and may receive and output the instruction.

한편, 상기 각 터미널 1 내지 n은, 각 노드 예를 들어, 공공기관 정보시스템의 데이터베이스, 메일 서버, 로그 서버 등에 대응하여 해당 정보에 대한 보안 이벤트를 감지 결과를 출력할 수도 있다.Meanwhile, each of the terminals 1 to n may output a result of detecting a security event for the corresponding information in response to each node, for example, a database, a mail server, or a log server of a public institution information system.

본 발명의 다른 일실시예에 따른 보안관제 서비스 방법은, 단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하는 단계; 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하는 단계; 상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하는 단계; 및 결과를 관리 단말에 보고하고, 보안 데이터를 업데이트하는 단계;를 포함하여 이루어지되, 상기 보안 위험 차단 단계는, 관리 단말에 보안 위험 요소로 판단된 보안 이벤트에 대한 지시 요청을 전송하는 단계를 더 포함하여 이루어지고, 상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집하고, 상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단하되, 상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제하며, 보안 이벤트에 대한 블랙 리스트를 저장하는 단계;를 더 포함하되, 상기 블랙 리스트에 포함된 보안 이벤트에 대하여, 보안 위험 이벤트로 자동 분리하여 관리하고, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하여 보안 위험 차단을 수행하거나 보안 위험 레벨을 하지 않고 우선하여 보안 위험 차단을 수행하는 것을 특징으로 한다.According to another embodiment of the present invention, a security control service method includes: real-time monitoring of each node of a public institution's information system and detecting security events related to security risks according to a connection attempt or connection of a terminal; Analyzing security events related to security risks detected as a result of the real-time monitoring; Separating a security risk event from the analyzed security events, determining a security risk level of the separated security risk event, and blocking a security risk for a security event determined as a security risk factor based on a predefined threshold; And reporting the result to the management terminal, and updating the security data; wherein the security risk blocking step further comprises: transmitting an instruction request for a security event determined to be a security risk factor to the management terminal. When the security risk level of the separated security risk event is less than a predefined threshold, additional security events of the security risk event are collected for a predefined time, and the addition of the collected security risk event Based on the security event, judge the security risk level compared to the threshold, but if the result of the judgment is that the security risk level continues to be below the threshold, the security risk event attribute of the security risk event is released, and the security event Further comprising the step of storing a black list; Security events are automatically separated and managed as security risk events, and security risk events corresponding to the black list are applied without strict security risk level or by applying a threshold for strict security risk level determination. It is characterized by performing a security risk blocking.

한편, 상술한 방법은, 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터 판독 가능 매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 또한, 상술한 방법에서 사용된 데이터의 구조는 컴퓨터 판독 가능 매체에 여러 수단을 통하여 기록될 수 있다. 본 발명의 다양한 방법들을 수행하기 위한 실행 가능한 컴퓨터 코드를 저장하는 컴퓨터 판독 가능 매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드 디스크 등), 광학적 판독 매체(예를 들면, 시디롬, DVD 등)와 같은 저장 매체를 포함한다.Meanwhile, the above-described method can be implemented in a program that can be executed in a computer, and can be implemented in a general-purpose digital computer that operates the program using a computer-readable medium. Further, the structure of the data used in the above-described method can be recorded on a computer-readable medium through various means. Computer-readable media that store executable computer code for performing various methods of the present invention include magnetic storage media (eg, ROM, floppy disks, hard disks, etc.), optical reading media (eg, CD-ROMs, DVDs). Etc.).

본원 발명의 실시예들과 관련된 기술 분야에서 통상의 지식을 가진 자는 상기 기재의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로, 개시된 방법들은 한정적인 관점이 아닌 설명적 관점에서 고려되어야 한다. 본 발명의 범위는 발명의 상세한 설명이 아닌 특허청구 범위에 나타나며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명의 범위에 포함되는 것으로 해석되어야 한다.Those of ordinary skill in the art related to the embodiments of the present invention will understand that it may be implemented in a modified form without departing from the essential characteristics of the above description. Therefore, the disclosed methods should be considered from an explanatory point of view rather than a restrictive point of view. The scope of the present invention appears in the claims rather than the detailed description of the invention, and all differences within the equivalent range should be interpreted as being included in the scope of the invention.

본 발명인 보안관제 서비스에 관한 것으로, 그를 위한 장치 및 시스템에 용하는 것이 가능하다.The present invention relates to a security control service, and it is possible to use the apparatus and system therefor.

Claims (10)

단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하는 단계;
상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하는 단계;
상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하는 단계; 및
결과를 관리 단말에 보고하고, 보안 데이터를 업데이트하는 단계;
를 포함하여 이루어지는 보안관제 서비스 방법.
Real-time monitoring of each node of the public institution's information system and detecting security events related to security risks according to the access attempt or access of the terminal;
Analyzing security events related to security risks detected as a result of the real-time monitoring;
Separating a security risk event from the analyzed security events, determining a security risk level of the separated security risk event, and blocking a security risk for a security event determined as a security risk factor based on a predefined threshold; And
Reporting the result to the management terminal and updating the security data;
Security control service method comprising a.
제1항에 있어서,
상기 보안 위험 차단 단계는,
관리 단말에 보안 위험 요소로 판단된 보안 이벤트에 대한 지시 요청을 전송하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 보안관제 서비스 방법.
According to claim 1,
The security risk blocking step,
And transmitting an instruction request for a security event determined to be a security risk factor to the management terminal.
제1항에 있어서,
상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집하는 것을 특징으로 하는 보안관제 서비스 방법.
According to claim 1,
If the security risk level of the separated security risk event is less than a predefined threshold, the security control service method, characterized in that for collecting the additional security events of the security risk event for a predefined time.
제3항에 있어서,
상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단하되,
상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제하는 것을 특징으로 하는 보안관제 서비스 방법.
According to claim 3,
Judging the security risk level by comparing with the threshold based on the additional security event of the collected security risk event,
If the security risk level as a result of the jurisdiction continues to fall below the threshold, the security risk service method of the security risk event property of the corresponding security risk event.
제1항에 있어서,
보안 이벤트에 대한 블랙 리스트를 저장하는 단계;를 더 포함하되,
상기 블랙 리스트에 포함된 보안 이벤트에 대하여, 보안 위험 이벤트로 자동 분리하여 관리하고, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하여 보안 위험 차단을 수행하거나 보안 위험 레벨을 하지 않고 우선하여 보안 위험 차단을 수행하는 것을 특징으로 하는 보안관제 서비스 방법.
According to claim 1,
Further comprising the step of storing the black list for the security event;
For the security event included in the black list, it is automatically separated and managed as a security risk event, and the security risk event corresponding to the black list is performed by strictly applying a threshold for determining the security risk level to perform security risk blocking or security risk. Security control service method, characterized in that to perform a security risk blocking in priority without level.
정보시스템에 접속 시도 또는 접속하여 보안 이벤트를 발생시키는 단말;
관리 단말; 및
상기 단말의 접속 시도 또는 접속에 따라 공공기관의 정보시스템의 각 노드에 대한 실시간 모니터링 및 보안 위험에 관한 보안 이벤트를 탐지하고, 상기 실시간 모니터링 결과 탐지된 보안 위험에 관한 보안 이벤트를 분석하여, 상기 분석한 보안 이벤트 중 보안 위험 이벤트를 분리하고, 분리된 보안 위험 이벤트의 보안 위험 레벨을 판단하여, 미리 정의된 임계치에 기초하여 보안 위험 요소로 판단된 보안 이벤트에 대하여 보안 위험을 차단하고, 그 결과를 상기 관리 단말에 보고하고, 보안 데이터를 업데이트하는 보안관제 서비스 장치;를 포함하는 보안관제 서비스 시스템.
A terminal generating a security event by attempting or accessing an information system;
Management terminal; And
Detects security events related to real-time monitoring and security risks for each node of the public institution's information system according to the access attempt or connection of the terminal, analyzes security events related to security risks detected as a result of the real-time monitoring, and analyzes the Separating the security risk event from one security event, determining the security risk level of the separated security risk event, blocking the security risk for the security event determined as a security risk factor based on a predefined threshold, and And a security control service device reporting to the management terminal and updating security data.
제6항에 있어서,
상기 보안관제 서비스 장치는,
상기 관리 단말에 보안 위험 요소로 판단된 보안 이벤트에 대한 지시 요청을 전송하고 리턴되는 지시에 따라 보안관제 서비스를 수행하는 것을 특징으로 하는 보안관제 서비스 시스템.
The method of claim 6,
The security control service device,
Security control service system, characterized in that for transmitting a request for an indication of a security event determined as a security risk factor to the management terminal and performing a security control service according to the returned instruction.
제6항에 있어서,
상기 보안관제 서비스 장치는,
상기 분리된 보안 위험 이벤트의 보안 위험 레벨이 미리 정의된 임계치 미만인 경우에는, 미리 정의된 시간동안 해당 보안 위험 이벤트의 추가 보안 이벤트를 수집하는 것을 특징으로 하는 보안관제 서비스 시스템.
The method of claim 6,
The security control service device,
If the security risk level of the separated security risk event is less than a predefined threshold, the security control service system, characterized in that for collecting the additional security events of the security risk event for a predefined time.
제8항에 있어서,
상기 보안관제 서비스 장치는,
상기 수집된 해당 보안 위험 이벤트의 추가 보안 이벤트에 기초하여 상기 임계치와 비교하여 보안 위험 레벨을 재판단하되,
상기 재판단 결과 보안 위험 레벨이 계속하여 상기 임계치 미만이면, 해당 보안 위험 이벤트의 보안 위험 이벤트 속성을 해제하는 것을 특징으로 하는 보안관제 서비스 시스템.
The method of claim 8,
The security control service device,
Judging the security risk level by comparing with the threshold based on the additional security event of the collected security risk event,
If the security risk level as a result of the jurisdiction continues to fall below the threshold, the security control service system of the security risk event property of the corresponding security risk event.
제6항에 있어서,
상기 보안관제 서비스 장치는,
보안 이벤트에 대한 블랙 리스트를 저장하고,
상기 블랙 리스트에 포함된 보안 이벤트에 대하여, 보안 위험 이벤트로 자동 분리하여 관리하고, 상기 블랙 리스트에 해당하는 보안 위험 이벤트는 보안 위험 레벨 판단을 위한 임계치를 엄격 적용하여 보안 위험 차단을 수행하거나 보안 위험 레벨을 하지 않고 우선하여 보안 위험 차단을 수행하는 것을 특징으로 하는 보안관제 서비스 시스템.

The method of claim 6,
The security control service device,
Save the black list of security events,
For the security event included in the black list, it is automatically separated and managed as a security risk event, and the security risk event corresponding to the black list is performed by strictly applying a threshold for determining the security risk level to perform security risk blocking or security risk. Security control service system, characterized in that it performs a security risk blocking in priority without level.

KR1020180137817A 2018-11-12 2018-11-12 Method for security operation service and apparatus therefor KR20200054495A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180137817A KR20200054495A (en) 2018-11-12 2018-11-12 Method for security operation service and apparatus therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180137817A KR20200054495A (en) 2018-11-12 2018-11-12 Method for security operation service and apparatus therefor

Publications (1)

Publication Number Publication Date
KR20200054495A true KR20200054495A (en) 2020-05-20

Family

ID=70919593

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180137817A KR20200054495A (en) 2018-11-12 2018-11-12 Method for security operation service and apparatus therefor

Country Status (1)

Country Link
KR (1) KR20200054495A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112969184A (en) * 2021-02-07 2021-06-15 中国联合网络通信集团有限公司 Endogenous security control method for 6G network, electronic device and storage medium

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112969184A (en) * 2021-02-07 2021-06-15 中国联合网络通信集团有限公司 Endogenous security control method for 6G network, electronic device and storage medium

Similar Documents

Publication Publication Date Title
CN114584405B (en) Electric power terminal safety protection method and system
US10250624B2 (en) Method and device for robust detection, analytics, and filtering of data/information exchange with connected user devices in a gateway-connected user-space
US9401924B2 (en) Monitoring operational activities in networks and detecting potential network intrusions and misuses
KR100838799B1 (en) System and operating method of detecting hacking happening for complementary security management system
US20190173909A1 (en) Method and device for robust detection, analytics, and filtering of data/information exchange with connected user devices in a gateway-connected user-space
CN109462599B (en) Honeypot management system
CN114598525A (en) IP automatic blocking method and device for network attack
CN113839935B (en) Network situation awareness method, device and system
KR102414334B1 (en) Method and apparatus for detecting threats of cooperative-intelligent transport road infrastructure
CN117240526A (en) Network attack automatic defending system based on artificial intelligence
CN113382076A (en) Internet of things terminal security threat analysis method and protection method
CN112839031A (en) Industrial control network security protection system and method
KR101768079B1 (en) System and method for improvement invasion detection
CN115766235A (en) Network security early warning system and early warning method
KR102444922B1 (en) Apparatus of controlling intelligent access for security situation recognition in smart grid
KR101767591B1 (en) System and method for improvement invasion detection
CN116781380A (en) Campus network security risk terminal interception traceability system
KR20200054495A (en) Method for security operation service and apparatus therefor
KR101022167B1 (en) Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices
KR20130033161A (en) Intrusion detection system for cloud computing service
CN110378120A (en) Application programming interfaces attack detection method, device and readable storage medium storing program for executing
CN114301796B (en) Verification method, device and system for prediction situation awareness
KR101237376B1 (en) Integrated security control System and Method for Smartphones
KR20220083046A (en) Machine leaning system for extracting log of ERP system
CN118214607B (en) Security evaluation management method, system, equipment and storage medium based on big data

Legal Events

Date Code Title Description
E601 Decision to refuse application