WO2018016798A1 - Security management device and security management method for managing security of client terminal - Google Patents

Security management device and security management method for managing security of client terminal Download PDF

Info

Publication number
WO2018016798A1
WO2018016798A1 PCT/KR2017/007526 KR2017007526W WO2018016798A1 WO 2018016798 A1 WO2018016798 A1 WO 2018016798A1 KR 2017007526 W KR2017007526 W KR 2017007526W WO 2018016798 A1 WO2018016798 A1 WO 2018016798A1
Authority
WO
WIPO (PCT)
Prior art keywords
client terminal
security
attribute
security management
management device
Prior art date
Application number
PCT/KR2017/007526
Other languages
French (fr)
Korean (ko)
Inventor
박영민
정일철
이용헌
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to JP2019502599A priority Critical patent/JP6728468B2/en
Publication of WO2018016798A1 publication Critical patent/WO2018016798A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Definitions

  • the present invention relates to a security management apparatus and a security management method for managing security of a client terminal.
  • an attribute value used to determine the security of the client terminal is received from the client terminal, and an administrator who manages the security of the client terminal generates an attribute criterion, and the attribute criterion thus generated is received.
  • the present invention relates to a security management apparatus and a security management method for determining and managing security of a client terminal based on the comparison with a value and a result of the comparison.
  • a group having a plurality of members such as an enterprise, may be provided with a plurality of computers (hereinafter referred to as client terminals) according to the number of members.
  • This group of network managers manages security of a plurality of client terminals. For example, the administrator should be able to determine whether the security setting of the client terminal is vulnerable to a virus, and should be able to change the security setting of the client terminal vulnerable to a virus so as not to be vulnerable to a virus.
  • the security management server managing the plurality of client terminals generates a security policy, which is a criterion for determining the security of the client terminal, and delivers the security policy to the client terminal where the agent is installed.
  • the agent determines the security of the client terminal based on the security policy received from the security management server. The result of the security of the client terminal determined by the agent is transmitted to the security management server.
  • the security management server receives only the result of the security determined by the agent from the client terminal.
  • the security management server may know which client terminal is a poor security terminal based on the received result and which security policy is a security policy determined to be poor security.
  • the security management server Based on the security policy determined to be inferior in security, the security management server transmits a measure to complement the security of the client terminal to the client terminal.
  • the security management server may not know whether or not it is determined that the security is not good because the client terminal has any attribute value with respect to the security policy.
  • the security management server when the security policy has been changed in the above-described technology and it is necessary to determine the security of the client terminal based on the changed security policy, the security management server must deliver the changed security policy back to the client terminal. Thereafter, when the agent installed in the client terminal determines the security based on the changed security policy, the client terminal transmits the result to the security management apparatus. Only in this case, the security management device can check the security of the client terminal according to the changed security policy.
  • An object to be solved according to an embodiment is to provide a technique for acquiring an attribute value of a client terminal in an apparatus for managing security of the client terminal, and determining the security of the client terminal in the security management apparatus based on this.
  • a security management apparatus includes a communication unit configured to receive an attribute value used to determine security of the client terminal from a client terminal, and a storage unit configured to store attribute criteria as a reference for determining security of the client terminal. And a determination unit comparing the attribute criterion with the attribute value and determining the security of the client terminal based on the result of the comparison.
  • the storage unit may store a list of at least two attribute items that the security management apparatus transmits to the client terminal, and the communication unit may be configured to display the attribute items in response to the list of the attribute items being transmitted to the client terminal. An attribute value corresponding to each attribute item included in the list may be received from the client terminal.
  • the security management apparatus may further include an interface unit for receiving a list of the property items from an administrator of the security management apparatus.
  • the attribute criterion may be a criterion for determining the security of the client terminal and may represent a method of combining a plurality of attribute values.
  • the apparatus may further include an interface unit configured to receive a method of combining a plurality of attribute values from an administrator of the security management apparatus.
  • the storage unit may store a list of reference identification information for identifying a client terminal on which an agent for identifying an attribute value of the client terminal and transmitting the same to the security management apparatus when the plurality of client terminals exist.
  • a list of acquisition identification information for identifying a client terminal that has sent a packet to the client terminal is received from the client terminal of any of the plurality of client terminals via the communication unit, the list of the acquisition identification information and the reference identification information
  • the list may be compared, and it may be determined whether the agent is installed in each of the plurality of client terminals based on a result of comparing the list of the acquisition identification information with the list of the reference identification information.
  • the packet may be an Address Resolution Protocol (ARP) broadcast packet.
  • ARP Address Resolution Protocol
  • the storage unit may store a list of reference identification information for identifying a client terminal on which an agent for identifying an attribute value of the client terminal and transmitting the same to the security management apparatus when the plurality of client terminals exist.
  • a list of acquisition identification information for identifying the plurality of client terminals is received through the communication unit from a mirroring server that receives TCP / IP packets from a plurality of client terminals
  • the list of the acquisition identification information and the list of the reference identification information are determined.
  • the comparison may determine whether the agent is installed in each of the plurality of client terminals based on a result of comparing the list of the acquisition identification information with the list of the reference identification information.
  • the apparatus may further include a controller configured to control an action applied to the client terminal to be transmitted to the client terminal through the communication unit according to the determined security of the client terminal.
  • the action may include a command for limiting the connection of the client terminal to the network or a command for the display unit included in the client terminal to display a message for improving security.
  • the determining unit may determine the security of the client terminal for each of the plurality of attribute criteria when the attribute criteria are plural, and the security management apparatus may determine the security of the client terminal determined for each of the plurality of attribute criteria.
  • the control unit may further include a control unit calculating a security index of the client terminal by converting to the sum of the numbers.
  • the apparatus may further include a display unit displaying a security index of the client terminal.
  • the method may further include a controller configured to control the process of receiving the attribute value through the communication unit and determining the security of the client terminal by the determination unit according to a predetermined schedule.
  • the display apparatus may further include a display unit indicating that modification of the attribute criterion is necessary when the attribute criterion is not determined by the determination unit as a result of comparing the attribute value with the attribute value.
  • the communication unit is further configured to modify the attribute criteria to the management server managing the security management apparatus.
  • the controller may further include a controller configured to modify the attribute criteria stored in the storage unit to the received attribute criteria when the request is made through the communication unit and the modified attribute criteria are received through the communication unit.
  • the security management method performed by the security management apparatus may include receiving an attribute value used to determine the security of the client terminal from a client terminal, and a criterion for determining the security of the client terminal.
  • the method may include comparing the pre-stored attribute criteria with the attribute value, and determining the security of the client terminal based on the result of the comparison.
  • the generation or change of the attribute criterion when it is necessary to newly create or change an attribute criterion that is a criterion in determining the security of a client terminal, the generation or change of the attribute criterion to a developer who has developed a security management apparatus, that is, a management server. Administrators can create or change attribute criteria on their own without requesting a request.
  • the security management device receives and stores the attribute value used to determine the security of the client terminal from the client terminal. Therefore, when an attribute criterion is newly generated or changed, the security management apparatus may determine the security of the client terminal by comparing the stored attribute value with the generated or changed attribute criterion. That is, the security management apparatus does not need to deliver the generated or changed attribute criteria to be applied to the client terminal.
  • FIG. 1 is a diagram illustrating a system in which security of a client terminal is managed by a security management apparatus according to an exemplary embodiment.
  • FIG. 2 is a diagram illustrating a configuration of the security management apparatus shown in FIG. 1.
  • FIG. 3 is a diagram illustrating a procedure of determining security of a client terminal by a security management apparatus according to an exemplary embodiment.
  • FIG. 4 is a diagram illustrating each step of the security management method according to an embodiment.
  • FIG. 1 is a diagram illustrating a system in which security of a client terminal is managed by a security management apparatus according to an exemplary embodiment.
  • the system 10 is configured to include a plurality of client terminals 200, a security management apparatus 100, and a management server 300, and may be configured to include a mirroring server 400 according to an embodiment.
  • the security management apparatus 100 may not be interpreted to operate only in the system shown in FIG. 1.
  • the aforementioned components of the system 10 are connected to each other by the network 500.
  • the network 500 may be implemented with, for example, the Internet, a local area network (LAN), a wireless local area network (WLAN), a wide area network (WAN), a personal area network (PAN), but is not limited thereto. Do not.
  • the client terminal 200 may include a desktop such as a personal computer (PC), a notebook, a laptop, a server, a mobile terminal or a smart device, but is not limited thereto.
  • the client terminal 200 may be configured in plurality.
  • the client terminal 200 has an attribute value corresponding to the attribute item.
  • the attribute item represents a hardware or software configuration of the client terminal 200.
  • the OS type or version, information on the registry, access authority to the registry, file attributes or rights, information or authority on folders, hardware This may mean information about, authority, or account information. At least two of these attribute items form a list.
  • the attribute value may mean a specific value of the attribute item, and may mean, for example, that the OS is Windows or Linux, or that the file version is 1.1 or 1.3.
  • the attribute value may be set or changed by the user of the client terminal 200 or the security management apparatus 100.
  • An agent may be installed in the client terminal 200.
  • the agent may perform a process related to security of the client terminal 200. For example, when the client terminal 200 receives an action for enhancing security from the security management apparatus 100, the agent may execute such an action.
  • the agent may obtain an attribute value of the client terminal 200. For example, when the client terminal 200 receives a list of attribute items from the security management apparatus 100, the agent may obtain attribute values corresponding to the attribute items included in the list of attribute items from the client terminal 200. have.
  • the management server 300 is a configuration for managing the security management device 100.
  • the management server 300 may generate a manner in which the security management apparatus 100 operates, and change the manner in which the security management apparatus 100 operates according to a situation.
  • Such management server 300 may be, for example, a computer.
  • the mirroring server 400 will be described later.
  • the security management apparatus 100 determines and manages security of the client terminal 200.
  • the security management apparatus 100 may be implemented as a desktop, a notebook, a laptop, a server, a mobile terminal, or a smart device such as a personal computer, but is not limited thereto. no.
  • the security management apparatus 100 will be described in more detail.
  • FIG. 2 is a diagram illustrating a configuration of a security management apparatus according to an embodiment.
  • the security management apparatus 100 includes a communication unit 110, a storage unit 120, and a determination unit 150, and according to an embodiment, the display unit 130, the interface unit 140, and the controller 160 may further include.
  • the communication unit 110 allows the security management apparatus 100 to transmit and receive data with the client terminal 200 or the management server 300.
  • the communication unit 110 may be implemented as a wired or wireless communication module.
  • the storage unit 120 stores data.
  • the storage 120 may store at least one list of attribute items, attribute values of the client terminal 200, or attribute criteria, respectively, but the data to be stored is not limited thereto.
  • the attribute criterion refers to a method of determining the security of the client terminal 200 by combining attribute values.
  • the storage unit 120 may be implemented as a memory that stores data.
  • the display unit 130 outputs text or an image.
  • the display unit 130 may display the security state of the client terminal 200 as a security index using numbers or colors.
  • the display unit 130 may display a message related to security of the client terminal 200 to an administrator of the security management apparatus 100.
  • the interface unit 140 may be displayed.
  • the display unit 130 may be implemented as an output device such as a monitor.
  • the interface unit 140 provides an interface that allows an administrator to select an attribute item. In this case, the manager may select an attribute item corresponding to his intention from all the attribute items related to the client terminal 200 using the interface unit 140. In addition, the interface unit 140 may provide an interface for adding a new selection item to an existing attribute item and an interface for changing or deleting the existing selection item.
  • the interface unit 140 is displayed on the display unit 130 using text or an image, and can be implemented by a memory for storing instructions programmed to perform the above-described functions, and a microprocessor for performing the instructions.
  • the interface unit 140 provides an interface for the administrator to create or change attribute criteria.
  • the attribute criterion represents a method of determining the security of the client terminal 200 by combining attribute values as described above. For example, the administrator uses the interface unit 140, and the security is good when the OS type is Windows, the version of Registry A is 1.0, and the process is B. If any one of the attribute values is different, the security is good. Attribute criteria may be created that are not good.
  • the administrator when there is a need to create or change the attribute criteria, the administrator has developed the security management apparatus 100, that is, the administrator without the request to modify the management server 300 in FIG. You can create or change attribute criteria yourself.
  • the determination unit 150 may be implemented by a memory that stores instructions programmed to perform a function to be described below, and a microprocessor that executes the instructions.
  • the determination unit 150 compares the attribute value stored in the storage unit 120 with the attribute value of the client terminal 200 received through the communication unit 110, the comparison result Based on the determination of the security of the client terminal 200.
  • the determination unit 150 determines whether the attribute value meets the attribute criteria, and accordingly determines the security of the client terminal 200.
  • the security of the client terminal 200 is determined by the comparison by the determination unit 150 of the security management apparatus 100, that is, the comparison of the attribute value stored in the storage unit 120 and the attribute criteria. Therefore, when the attribute criteria need to be generated or changed, simply changing the attribute criteria stored in the storage 120 of the security management apparatus 100 may determine the security by using the attribute values stored in the storage 120. Can be enabled. That is, in order for the newly generated or changed attribute criteria to be applied to the client terminal 200, there is no need to transmit such attribute criteria to the client terminal 200 as in the related art.
  • the agent may be installed in only some of the client terminal 200 of the plurality of client terminals 200.
  • the client terminal 200 without the agent installed is connected to the network 500 shown in FIG. 1.
  • the security management apparatus 100 may not obtain an attribute value from the client terminal 200, and thus may not manage the security of the client terminal 200.
  • the determination unit 150 may determine whether an agent is installed in the client terminal 200 in the following manner. First, the storage unit 120 stores, in the form of a list, reference identification information identifying a client terminal in which an agent is installed among the plurality of client terminals 200.
  • the reference identification information may be for example IP.
  • any one of the plurality of client terminals 200 is designated as the specific client terminal 200.
  • the subject to designate may be the determiner 150 or the controller 160 included in the security management apparatus 100, which will be described later.
  • the controller 160 transmits a command to the specific client terminal 200 to cause the designated specific client terminal 200 to receive a packet from the remaining client terminal 200 except for the specific client terminal 200.
  • the packet at this time may be an Address Resolution Protocol (ARP) broadcast packet.
  • ARP Address Resolution Protocol
  • the specific client terminal 200 and the remaining client terminals 200 may be client terminals connected to the same subnet.
  • the specific client terminal 200 obtains acquisition identification information, for example, IP, that identifies the remaining client terminal 200 from a packet received from the remaining client terminal 200, and the security management apparatus in the form of a list To 100.
  • the determination unit 150 compares the list of acquisition identification information with the list of reference identification information stored in the storage unit 120. As a result of the comparison, when there is acquisition identification information included in the list of acquisition identification information but not included in the list of reference identification information, the determination unit 150 does not have an agent installed in the client terminal corresponding to the acquisition identification information. I do not think.
  • the determination unit 150 may determine a client terminal where an agent is not installed by using a TCP / IP packet rather than an Address Resolution Protocol (ARP) broadcast packet.
  • the system 10 may be configured to include a mirroring server 400.
  • the mirroring server 400 is connected to the network 500 and collects TCP / IP packets transmitted and received by the plurality of client terminals 200 through the network 500.
  • the mirroring server 400 obtains acquisition identification information, for example, IP, that identifies the plurality of client terminals 200 from the collected TCP / IP packets, and transmits the acquisition identification information to the security management apparatus 100 in the form of a list. do.
  • the determination unit 150 compares the list of acquisition identification information with the list of reference identification information stored in the storage unit 120. As a result of the comparison, when there is acquisition identification information in the list of acquisition identification information but not in the list of reference identification information, the determination unit 150 determines that no agent is installed in the client terminal corresponding to the acquisition identification information.
  • the controller 160 performs overall control of the above-described components included in the security management apparatus 100, and may be implemented by a memory for storing instructions programmed for the control and a microprocessor that executes the instructions. .
  • the controller 160 may calculate the security of the client terminal 200 as a security index that is a number. To this end, the controller 160 converts the result of the determination of the security of the client terminal 200 into numbers for each of the plurality of attribute criteria, and adds the converted numbers for each of the plurality of attribute criteria. It can be calculated as a security index. However, this method of calculating the security index is merely illustrative.
  • the security index calculated by the controller 160 may be displayed on the display unit 130 described above. At this time, the change of the security index over a certain time interval may be displayed in the form of a graph or exponentially through the display unit 130.
  • the controller 160 may control the client terminal 200 to take an action that complements the security of the client terminal 200.
  • the storage unit 120 stores an action for the client terminal 200 having low security.
  • Such measures include, for example, a command for restricting the connection of the client terminal 200 to the network 500, a command for displaying a message for improving security on the display unit of the client terminal 200, and a low security client terminal. It may include a command for changing the attribute value of 200 to a high security attribute value, but is not limited thereto.
  • the control unit 160 controls to transmit the action stored in the storage unit 120 to the client terminal 200 through the communication unit 110. do. In this case, the controller 160 may control the action to be applied only to the client terminal 200 having a low security index by using the security index of the client terminal 200.
  • the controller 160 is a process of receiving the attribute value of the client terminal 200 through the communication unit 110 and a process of determining the security of the client terminal 200 by the determination unit 150 based on the received attribute value. This can be controlled to be performed according to a predetermined schedule.
  • the predetermined schedule may be set or changed by the interface unit 140.
  • the controller 160 processes the case where the determination unit 150 fails to determine the security of the client terminal 200.
  • the determination unit 150 may fail to determine the security of the client terminal 200. For example, when the attribute criterion indicates that the security level is good when the version of the registry A is 0.0 or more and 5.0 or less, and the security level is low when the version is more than 5.0, the determination unit when the version of the registry A in the property value is -0.1 150 cannot determine the security. Alternatively, if only the property reference is defined for the version of the registry A, but the attribute value includes only the version of the registry B, not the registry A, the determination unit 150 cannot determine the security.
  • the controller 160 may control the display 130 to display a message indicating that the attribute criteria need to be corrected.
  • the controller 160 may control the display unit 130 to display a message of generating a property criterion for the registry B using the interface unit 140.
  • controller 160 may control the management server 300 that manages the security management apparatus 100 to request modification of the attribute criteria through the communication unit 110.
  • the controller 160 may modify the attribute criteria stored in the storage 120 as the received attribute criteria.
  • the administrator can be notified whether the attribute criteria need to be changed or whether new attribute criteria need to be created. That is, by using the security management apparatus according to an embodiment, the administrator may be provided with guidelines for generating attribute criteria.
  • FIG. 3 is a diagram illustrating a procedure of determining security of a client terminal by a security management apparatus according to an exemplary embodiment.
  • the communication unit 110 of the security management apparatus 100 transmits a list of attribute items to the client terminal 200 (S100).
  • the agent included in the client terminal 200 obtains an attribute value corresponding to at least one attribute item included in the list of attribute items from the client terminal 200 (S110).
  • the client terminal 200 transmits the attribute value to the security management apparatus 100 (S120).
  • the determination unit 150 of the security management apparatus 100 compares attribute values received from the client terminal 200 with attribute criteria input from an administrator of the security management apparatus 100 to determine the security of the client terminal 200. (S130).
  • the control unit 160 calculates a security index based on security, and the display unit 130 displays the calculated security index (S140).
  • the controller 160 controls the client terminal 200 to transmit the action to the client terminal 200 through the communication unit 110 based on the security of the client terminal 200 or the calculated security index (S150).
  • the action is an action defined as supplementing and improving the security or the security index of the client terminal 200, and the action may be stored in the storage 120 in advance as described above.
  • the client terminal 200 performs the action received from the security management device 100 (S160). Thereafter, the above-described steps (S110 to S160) of acquiring an attribute value of the client terminal 200 to determine security, calculating, displaying, and taking measures of a security index may be repeatedly performed.
  • FIG. 4 is a diagram illustrating each step of the security management method according to an embodiment.
  • the security management method illustrated in FIG. 4 may be performed by the security management apparatus 100 illustrated in FIG. 2.
  • at least one or more of the steps shown in FIG. 4 may not be performed, or steps not shown in FIG. 4 may be performed according to an embodiment.
  • an attribute criterion which is a criterion
  • the developer who developed a security management apparatus that is, in FIG. Administrators can create or change attribute criteria on their own without asking the management server.
  • the security management device may receive and store an attribute value used to determine the security of the client terminal from the client terminal. Therefore, when the attribute criteria are newly generated or changed, the security management apparatus may determine the security of the client terminal by comparing the stored attribute values with the generated or changed attribute criteria. That is, the security management device does not need to deliver the generated or changed attribute criteria to the client terminal.
  • the above-described security management method can be implemented in a readable recording medium of a computer program programmed to perform each step included therein.
  • the aforementioned security management method may also be embodied in a computer program stored in a computer readable recording medium programmed to perform each step included therein.
  • the computer-readable recording medium includes all kinds of recording devices that store data that can be read by a computer system.
  • Examples of computer-readable recording media may include ROM, RAM, CD-ROM, CD-RW, magnetic tape, floppy disk, HDD, optical disk, magneto-optical storage, and the like. It also includes the implementation in the form of (transmission through).
  • the computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A security management device according to one embodiment comprises: a communication unit for receiving an attribute value used for determining the security of a client terminal from the client terminal; a storage unit for storing an attribute standard, which is the standard for determining the security of the client terminal; and a determination unit for comparing the attribute standard with the attribute value and determining the security of the client terminal on the basis of the compared result.

Description

클라이언트 단말의 보안성을 관리하는 보안 관리 장치 및 보안 관리 방법Security management device and security management method for managing the security of the client terminal
본 발명은 클라이언트 단말의 보안성을 관리하는 보안 관리 장치 및 보안 관리 방법에 관한 것이다. 보다 자세하게는 클라이언트 단말의 보안성을 판단하는데 사용되는 속성값을 클라이언트 단말로부터 수신하고, 클라이언트 단말의 보안성을 관리하는 관리자로 하여금 속성 기준을 생성하도록 하며, 이와 같이 생성된 속성 기준을 수신된 속성값과 비교하고, 비교한 결과를 기초로 클라이언트 단말의 보안성을 판단하고 관리하는 보안 관리 장치 및 보안 관리 방법에 관한 것이다.The present invention relates to a security management apparatus and a security management method for managing security of a client terminal. In more detail, an attribute value used to determine the security of the client terminal is received from the client terminal, and an administrator who manages the security of the client terminal generates an attribute criterion, and the attribute criterion thus generated is received. The present invention relates to a security management apparatus and a security management method for determining and managing security of a client terminal based on the comparison with a value and a result of the comparison.
기업체와 같이 다수의 구성원을 갖는 집단에는 그 구성원의 수에 따라 복수의 컴퓨터(이하 클라이언트 단말이라고 지칭하기로 함)가 구비되어 있을 수 있다. 이러한 집단의 전산망 관리자는 복수의 클라이언트 단말의 보안성을 관리한다. 예컨대, 관리자는 클라이언트 단말의 보안 설정이 바이러스에 취약한지 여부를 파악할 수 있어야 하며, 바이러스에 취약한 클라이언트 단말의 보안 설정을 바이러스에 취약하지 않도록 변경할 수 있어야 한다.A group having a plurality of members, such as an enterprise, may be provided with a plurality of computers (hereinafter referred to as client terminals) according to the number of members. This group of network managers manages security of a plurality of client terminals. For example, the administrator should be able to determine whether the security setting of the client terminal is vulnerable to a virus, and should be able to change the security setting of the client terminal vulnerable to a virus so as not to be vulnerable to a virus.
클라이언트 단말의 보안성을 관리하는 방법으로서 다음과 같은 기술을 예로 들 수 있다. 복수의 클라이언트 단말을 관리하는 보안 관리 서버는 클라이언트 단말의 보안성을 판단하기 위한 기준인 보안 정책을 생성한 뒤 이를 에이전트가 설치된 클라이언트 단말에 전달한다. 에이전트는 보안 관리 서버로부터 전달받은 보안 정책을 기초로 클라이언트 단말의 보안성을 판단한다. 에이전트가 판단한 클라이언트 단말의 보안성에 대한 결과는 보안 관리 서버로 전달된다.As a method of managing the security of the client terminal, the following technique may be exemplified. The security management server managing the plurality of client terminals generates a security policy, which is a criterion for determining the security of the client terminal, and delivers the security policy to the client terminal where the agent is installed. The agent determines the security of the client terminal based on the security policy received from the security management server. The result of the security of the client terminal determined by the agent is transmitted to the security management server.
전술한 기술에 따르면 보안 관리 서버는 에이전트가 판단한 보안성에 대한 결과만을 클라이언트 단말로부터 전달받는다. 이 때, 보안 관리 서버는 전달받은 결과를 기초로 어떤 클라이언트 단말이 보안성이 좋지 않은 클라이언트 단말인지, 그리고 어떠한 보안 정책이 보안성이 좋지 않은 것으로 판단된 보안 정책인지 알 수 있다. 보안성이 좋지 않은 것으로 판단된 보안 정책을 기초로, 보안 관리 서버는 클라이언트 단말의 보안성을 보완할 수 있는 조치를 클라이언트 단말로 전달한다. 그러나, 보안 관리 서버는 해당 보안 정책과 관련하여 클라이언트 단말이 어떠한 속성값을 갖기 때문에 보안성이 좋지 않은 것으로 판단되었는지 여부를 알 수는 없다.According to the above-described technology, the security management server receives only the result of the security determined by the agent from the client terminal. In this case, the security management server may know which client terminal is a poor security terminal based on the received result and which security policy is a security policy determined to be poor security. Based on the security policy determined to be inferior in security, the security management server transmits a measure to complement the security of the client terminal to the client terminal. However, the security management server may not know whether or not it is determined that the security is not good because the client terminal has any attribute value with respect to the security policy.
또한, 전술한 기술에서 보안 정책이 변경되었고 이와 같이 변경된 보안 정책을 기초로 클라이언트 단말의 보안성을 판단할 필요가 있을 경우, 보안 관리 서버는 클라이언트 단말에게 변경된 보안 정책을 다시 전달해야 한다. 이 후 클라이언트 단말에 설치된 에이전트가 변경된 보안 정책을 기초로 보안성을 판단하면, 클라이언트 단말이 그 결과를 보안 관리 장치로 전달하게 된다. 이 경우에야 비로소 보안 관리 장치는 변경된 보안 정책에 따른 클라이언트 단말의 보안성을 확인해볼 수 있다.In addition, when the security policy has been changed in the above-described technology and it is necessary to determine the security of the client terminal based on the changed security policy, the security management server must deliver the changed security policy back to the client terminal. Thereafter, when the agent installed in the client terminal determines the security based on the changed security policy, the client terminal transmits the result to the security management apparatus. Only in this case, the security management device can check the security of the client terminal according to the changed security policy.
일 실시예에 따른 해결하고자 하는 과제는 클라이언트 단말의 보안성을 관리하는 장치에서 클라이언트 단말의 속성값을 취득하고, 이를 기초로 클라이언트 단말의 보안성을 보안 관리 장치에서 판단하는 기술을 제공하는 것이다.An object to be solved according to an embodiment is to provide a technique for acquiring an attribute value of a client terminal in an apparatus for managing security of the client terminal, and determining the security of the client terminal in the security management apparatus based on this.
또한, 클라이언트 단말의 보안성을 판단함에 있어서 그 기준이 되는 속성 기준을 복수의 클라이언트 단말의 보안성을 관리하는 관리자가 보안 관리 장치에서 생성 또는 수정할 수 있도록 하는 기술을 제공하는 것이다.In addition, to determine the security of the client terminal to provide a technology that allows the administrator to manage the security criteria of the plurality of client terminals to create or modify the attribute criterion that is the criterion.
다만, 해결하고자 하는 과제는 이상에서 언급한 목적으로 제한되지 않는다.However, the problem to be solved is not limited to the above-mentioned purpose.
일 실시예에 따른 보안 관리 장치는 클라이언트 단말로부터 상기 클라이언트 단말의 보안성을 판단하는데 사용되는 속성값을 수신하는 통신부와, 상기 클라이언트 단말의 보안성을 판단하는 기준이 되는 속성 기준을 저장하는 저장부와, 상기 속성 기준을 상기 속성값과 비교하고, 상기 비교한 결과를 기초로 상기 클라이언트 단말의 보안성을 판단하는 판단부를 포함한다.According to an embodiment, a security management apparatus includes a communication unit configured to receive an attribute value used to determine security of the client terminal from a client terminal, and a storage unit configured to store attribute criteria as a reference for determining security of the client terminal. And a determination unit comparing the attribute criterion with the attribute value and determining the security of the client terminal based on the result of the comparison.
또한, 상기 저장부는 상기 보안 관리 장치가 상기 클라이언트 단말에 송신하는 적어도 두 개의 속성 항목의 리스트를 저장하며, 상기 통신부는 상기 속성 항목의 리스트가 상기 클라이언트 단말로 송신된 것에 대한 응답으로 상기 속성 항목의 리스트에 포함된 각각의 속성 항목에 상응하는 속성값을 상기 클라이언트 단말로부터 수신할 수 있다.The storage unit may store a list of at least two attribute items that the security management apparatus transmits to the client terminal, and the communication unit may be configured to display the attribute items in response to the list of the attribute items being transmitted to the client terminal. An attribute value corresponding to each attribute item included in the list may be received from the client terminal.
또한, 상기 보안 관리 장치는 상기 보안 관리 장치의 관리자로부터 상기 속성 항목의 리스트를 입력받는 인터페이스부를 더 포함할 수 있다.The security management apparatus may further include an interface unit for receiving a list of the property items from an administrator of the security management apparatus.
또한, 상기 속성 기준은 상기 클라이언트 단말의 보안성을 판단하는 기준으로서, 상기 속성값을 복수 개 조합하는 방식을 나타낼 수 있다.In addition, the attribute criterion may be a criterion for determining the security of the client terminal and may represent a method of combining a plurality of attribute values.
또한, 상기 보안 관리 장치의 관리자로부터 상기 속성값을 복수 개 조합하는 방식을 입력받는 인터페이스부를 더 포함할 수 있다.The apparatus may further include an interface unit configured to receive a method of combining a plurality of attribute values from an administrator of the security management apparatus.
또한, 상기 저장부는 상기 클라이언트 단말이 복수 개 존재할 때, 클라이언트 단말의 속성값을 파악하여 상기 보안 관리 장치로 전달하는 에이전트가 설치된 클라이언트 단말을 식별하는 기준 식별 정보의 리스트를 저장하며, 상기 판단부는 상기 복수 개의 클라이언트 단말 중 어느 하나의 클라이언트 단말로부터, 당해 클라이언트 단말에게 패킷을 송신한 클라이언트 단말을 식별하는 획득 식별 정보의 리스트가 상기 통신부를 통하여 수신되면, 상기 획득 식별 정보의 리스트와 상기 기준 식별 정보의 리스트를 비교하고, 상기 획득 식별 정보의 리스트와 상기 기준 식별 정보의 리스트를 비교한 결과를 기초로 상기 복수 개의 클라이언트 단말 각각에 상기 에이전트가 설치되어 있는지 여부를 판단할 수 있다.The storage unit may store a list of reference identification information for identifying a client terminal on which an agent for identifying an attribute value of the client terminal and transmitting the same to the security management apparatus when the plurality of client terminals exist. When a list of acquisition identification information for identifying a client terminal that has sent a packet to the client terminal is received from the client terminal of any of the plurality of client terminals via the communication unit, the list of the acquisition identification information and the reference identification information The list may be compared, and it may be determined whether the agent is installed in each of the plurality of client terminals based on a result of comparing the list of the acquisition identification information with the list of the reference identification information.
또한, 상기 패킷은 주소 결정 프로토콜(Address Resolution Protocol, ARP) 브로드캐스트 패킷일 수 있다.In addition, the packet may be an Address Resolution Protocol (ARP) broadcast packet.
또한, 상기 저장부는 상기 클라이언트 단말이 복수 개 존재할 때, 클라이언트 단말의 속성값을 파악하여 상기 보안 관리 장치로 전달하는 에이전트가 설치된 클라이언트 단말을 식별하는 기준 식별 정보의 리스트를 저장하며, 상기 판단부는 상기 복수 개의 클라이언트 단말로부터 TCP/IP 패킷을 수신하는 미러링 서버로부터 상기 복수 개의 클라이언트 단말을 식별하는 획득 식별 정보의 리스트가 상기 통신부를 통하여 수신되면, 상기 획득 식별 정보의 리스트와 상기 기준 식별 정보의 리스트를 비교하고, 상기 획득 식별 정보의 리스트와 상기 기준 식별 정보의 리스트를 비교한 결과를 기초로 상기 복수 개의 클라이언트 단말 각각에 상기 에이전트가 설치되어 있는지 여부를 판단할 수 있다.The storage unit may store a list of reference identification information for identifying a client terminal on which an agent for identifying an attribute value of the client terminal and transmitting the same to the security management apparatus when the plurality of client terminals exist. When a list of acquisition identification information for identifying the plurality of client terminals is received through the communication unit from a mirroring server that receives TCP / IP packets from a plurality of client terminals, the list of the acquisition identification information and the list of the reference identification information are determined. The comparison may determine whether the agent is installed in each of the plurality of client terminals based on a result of comparing the list of the acquisition identification information with the list of the reference identification information.
또한, 상기 판단된 클라이언트 단말의 보안성에 따라 상기 클라이언트 단말에 가해지는 조치가 상기 통신부를 통해 상기 클라이언트 단말에 전달되도록 제어하는 제어부를 더 포함할 수 있다.The apparatus may further include a controller configured to control an action applied to the client terminal to be transmitted to the client terminal through the communication unit according to the determined security of the client terminal.
또한, 상기 조치는 상기 클라이언트 단말의 네트워크에 대한 연결을 제한하는 명령 또는 상기 클라이언트 단말에 포함된 디스플레이부가 보안성을 개선하는 메시지를 표시하도록 하는 명령을 포함할 수 있다.In addition, the action may include a command for limiting the connection of the client terminal to the network or a command for the display unit included in the client terminal to display a message for improving security.
또한, 상기 판단부는 상기 속성 기준이 복수 개인 경우, 상기 복수 개의 속성 기준마다 상기 클라이언트 단말의 보안성을 판단하고, 상기 보안 관리 장치는 상기 복수 개의 속성 기준마다 판단된 상기 클라이언트 단말의 보안성을 숫자로 환산하고, 상기 숫자를 합산하여 상기 클라이언트 단말의 보안 지수를 산출하는 제어부를 더 포함할 수 있다.The determining unit may determine the security of the client terminal for each of the plurality of attribute criteria when the attribute criteria are plural, and the security management apparatus may determine the security of the client terminal determined for each of the plurality of attribute criteria. The control unit may further include a control unit calculating a security index of the client terminal by converting to the sum of the numbers.
또한, 상기 클라이언트 단말의 보안 지수를 표시하는 표시부를 더 포함할 수 있다.The apparatus may further include a display unit displaying a security index of the client terminal.
또한, 상기 통신부를 통해 상기 속성값이 수신되는 과정과, 상기 판단부에 의하여 상기 클라이언트 단말의 보안성을 판단하는 과정이 기 지정된 일정에 따라 수행되도록 제어하는 제어부를 더 포함할 수 있다.The method may further include a controller configured to control the process of receiving the attribute value through the communication unit and determining the security of the client terminal by the determination unit according to a predetermined schedule.
또한, 상기 판단부에 의하여 상기 속성 기준이 상기 속성값과 비교된 결과 상기 클라이언트 단말의 보안성이 판단되지 않는 경우, 상기 속성 기준에 대한 수정이 필요함을 표시하는 표시부를 더 포함할 수 있다.The display apparatus may further include a display unit indicating that modification of the attribute criterion is necessary when the attribute criterion is not determined by the determination unit as a result of comparing the attribute value with the attribute value.
또한, 상기 판단부에 의하여 상기 속성 기준이 상기 속성값과 비교된 결과 상기 클라이언트 단말의 보안성이 판단되지 않는 경우, 상기 보안 관리 장치를 관리하는 관리 서버에게 상기 속성 기준에 대한 수정을 상기 통신부를 통하여 요청하고, 수정된 속성 기준이 상기 통신부를 통하여 수신되면 상기 저장부에 저장된 속성 기준을 상기 수신된 속성 기준으로 수정하는 제어부를 더 포함할 수 있다.In addition, if the security criteria of the client terminal is not determined as a result of comparing the attribute criteria with the attribute value by the determination unit, the communication unit is further configured to modify the attribute criteria to the management server managing the security management apparatus. The controller may further include a controller configured to modify the attribute criteria stored in the storage unit to the received attribute criteria when the request is made through the communication unit and the modified attribute criteria are received through the communication unit.
일 실시예에 따른 보안 관리 장치에 의하여 수행되는 보안 관리 방법은 클라이언트 단말로부터 상기 클라이언트 단말의 보안성을 판단하는데 사용되는 속성값을 수신하는 단계와, 상기 클라이언트 단말의 보안성을 판단하는 기준이 되는 기 저장된 속성 기준을 상기 속성값과 비교하는 단계와, 상기 비교한 결과를 기초로 상기 클라이언트 단말의 보안성을 판단하는 단계를 포함할 수 있다.The security management method performed by the security management apparatus according to an embodiment may include receiving an attribute value used to determine the security of the client terminal from a client terminal, and a criterion for determining the security of the client terminal. The method may include comparing the pre-stored attribute criteria with the attribute value, and determining the security of the client terminal based on the result of the comparison.
일 실시예에 따르면, 클라이언트 단말의 보안성을 판단함에 있어서 그 기준이 되는 속성 기준을 새롭게 생성하거나 변경해야할 필요가 있는 경우, 보안 관리 장치를 개발한 개발사, 즉 관리 서버에게 속성 기준의 생성이나 변경을 의뢰하지 않고도 관리자는 스스로 속성 기준을 생성하거나 변경할 수 있다.According to an embodiment of the present disclosure, when it is necessary to newly create or change an attribute criterion that is a criterion in determining the security of a client terminal, the generation or change of the attribute criterion to a developer who has developed a security management apparatus, that is, a management server. Administrators can create or change attribute criteria on their own without requesting a request.
또한, 보안 관리 장치는 클라이언트 단말의 보안성을 판단하는데 사용되는 속성값을 클라이언트 단말로부터 수신하여 저장한다. 따라서, 속성 기준이 새롭게 생성되거나 변경되는 경우, 보안 관리 장치는 이와 같이 저장된 속성값을 생성되거나 변경된 속성 기준과 비교하여 클라이언트 단말의 보안성을 판단할 수 있다. 즉, 보안 관리 장치는 생성되거나 변경된 속성 기준이 클라이언트 단말로 적용될 수 있도록 전달할 필요가 없게 된다.In addition, the security management device receives and stores the attribute value used to determine the security of the client terminal from the client terminal. Therefore, when an attribute criterion is newly generated or changed, the security management apparatus may determine the security of the client terminal by comparing the stored attribute value with the generated or changed attribute criterion. That is, the security management apparatus does not need to deliver the generated or changed attribute criteria to be applied to the client terminal.
도 1은 일 실시예에 따른 보안 관리 장치에 의하여 클라이언트 단말의 보안성이 관리되는 시스템을 도시한 도면이다.1 is a diagram illustrating a system in which security of a client terminal is managed by a security management apparatus according to an exemplary embodiment.
도 2는 도 1에 도시된 보안 관리 장치의 구성을 도시한 도면이다.FIG. 2 is a diagram illustrating a configuration of the security management apparatus shown in FIG. 1.
도 3은 일 실시예에 따른 보안 관리 장치에 의하여 클라이언트 단말의 보안성을 판단하는 절차를 도시한 도면이다.3 is a diagram illustrating a procedure of determining security of a client terminal by a security management apparatus according to an exemplary embodiment.
도 4는 일 실시예에 따른 보안 관리 방법의 각 단계를 도시한 도면이다.4 is a diagram illustrating each step of the security management method according to an embodiment.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various different forms, and only the embodiments make the disclosure of the present invention complete, and the general knowledge in the art to which the present invention belongs. It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing the embodiments of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, terms to be described below are terms defined in consideration of functions in the embodiments of the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be made based on the contents throughout the specification.
이하, 첨부된 도면들을 참조하여 본 발명의 실시예에 대해 살펴보기로 한다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings.
도 1은 일 실시예에 따른 보안 관리 장치에 의하여 클라이언트 단말의 보안성이 관리되는 시스템을 도시한 도면이다.1 is a diagram illustrating a system in which security of a client terminal is managed by a security management apparatus according to an exemplary embodiment.
도 1을 참조하면, 시스템(10)은 복수의 클라이언트 단말(200), 보안 관리 장치(100) 및 관리 서버(300)를 포함하도록 구성되며 실시예에 따라서 미러링 서버(400)를 포함하도록 구성될 수도 있으나, 다만 보안 관리 장치(100)가 도 1에 도시된 시스템에만 한정하여 동작하는 것으로 해석되는 것은 아니다. 시스템(10)을 구성하는 전술한 구성요소들은 네트워크(500)에 의하여 서로 연결된다. 네트워크(500)는 예컨대 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network) 등으로 구현될 수 있으나 이에 한정되지는 않는다. Referring to FIG. 1, the system 10 is configured to include a plurality of client terminals 200, a security management apparatus 100, and a management server 300, and may be configured to include a mirroring server 400 according to an embodiment. Although, the security management apparatus 100 may not be interpreted to operate only in the system shown in FIG. 1. The aforementioned components of the system 10 are connected to each other by the network 500. The network 500 may be implemented with, for example, the Internet, a local area network (LAN), a wireless local area network (WLAN), a wide area network (WAN), a personal area network (PAN), but is not limited thereto. Do not.
클라이언트 단말(200)은 PC(Personal Computer)와 같은 데스크톱(Desktop), 노트북(Notebook), 랩톱(Laptop), 서버(Server), 모바일 단말 또는 스마트 기기 등을 포함할 수 있으나 이에 한정되는 것은 아니다. 클라이언트 단말(200)은 복수 개로 구성될 수 있다. The client terminal 200 may include a desktop such as a personal computer (PC), a notebook, a laptop, a server, a mobile terminal or a smart device, but is not limited thereto. The client terminal 200 may be configured in plurality.
클라이언트 단말(200)에 대하여 보다 자세하게 살펴보면, 클라이언트 단말(200)은 속성 항목에 대응하는 속성값을 갖는다. 속성 항목이란 클라이언트 단말(200)의 하드웨어적 또는 소프트웨어적인 구성을 나타내는 것으로서, 예컨대 OS 종류나 버전, 레지스트리에 대한 정보, 레지스트리에 대한 접근 권한, 파일의 속성이나 권한, 폴더에 관한 정보나 권한, 하드웨어에 대한 정보나 권한, 계정에 대한 정보 등을 의미할 수 있다. 이러한 속성 항목은 적어도 두 개 이상이 모여서 리스트의 형태를 갖는다. 속성값은 속성 항목이 갖는 구체적인 값을 의미하며, 예컨대 OS가 윈도우즈이거나 리눅스인 것, 파일의 버전이 1.1이거나 1.3인 것 등을 의미할 수 있다. 속성값은 클라이언트 단말(200)의 사용자나 보안 관리 장치(100)에 의하여 설정 또는 변경 가능하다.Looking at the client terminal 200 in more detail, the client terminal 200 has an attribute value corresponding to the attribute item. The attribute item represents a hardware or software configuration of the client terminal 200. For example, the OS type or version, information on the registry, access authority to the registry, file attributes or rights, information or authority on folders, hardware This may mean information about, authority, or account information. At least two of these attribute items form a list. The attribute value may mean a specific value of the attribute item, and may mean, for example, that the OS is Windows or Linux, or that the file version is 1.1 or 1.3. The attribute value may be set or changed by the user of the client terminal 200 or the security management apparatus 100.
클라이언트 단말(200)에는 에이전트(agent)가 설치될 수 있다. 에이전트는 클라이언트 단말(200)의 보안성과 관련된 프로세스를 수행할 수 있다. 예컨대, 클라이언트 단말(200)이 보안 관리 장치(100)로부터 보안성을 강화시키는 조치를 수신한 경우, 에이전트는 이러한 조치를 실행할 수 있다. 또한, 에이전트는 클라이언트 단말(200)의 속성값을 획득할 수 있다. 예컨대, 클라이언트 단말(200)이 보안 관리 장치(100)로부터 속성 항목의 리스트를 수신한 경우, 에이전트는 속성 항목의 리스트에 포함된 속성 항목에 상응하는 속성값을 클라이언트 단말(200)로부터 획득할 수 있다.An agent may be installed in the client terminal 200. The agent may perform a process related to security of the client terminal 200. For example, when the client terminal 200 receives an action for enhancing security from the security management apparatus 100, the agent may execute such an action. In addition, the agent may obtain an attribute value of the client terminal 200. For example, when the client terminal 200 receives a list of attribute items from the security management apparatus 100, the agent may obtain attribute values corresponding to the attribute items included in the list of attribute items from the client terminal 200. have.
관리 서버(300)는 보안 관리 장치(100)를 관리하는 구성이다. 예컨대, 관리 서버(300)는 보안 관리 장치(100)가 동작하는 방식 등을 생성하고, 상황에 따라서 보안 관리 장치(100)가 동작하는 방식 등을 변경할 수 있다. 이러한 관리 서버(300)는 예컨대 컴퓨터일 수 있다.The management server 300 is a configuration for managing the security management device 100. For example, the management server 300 may generate a manner in which the security management apparatus 100 operates, and change the manner in which the security management apparatus 100 operates according to a situation. Such management server 300 may be, for example, a computer.
미러링 서버(400)에 대해서는 후술하기로 한다.The mirroring server 400 will be described later.
보안 관리 장치(100)는 클라이언트 단말(200)의 보안성을 판단하고 관리한다. 보안 관리 장치(100)는 PC(Personal Computer)와 같은 데스크톱(Desktop), 노트북(Notebook), 랩톱(Laptop), 서버(Server), 모바일 단말 또는 스마트 기기 등으로 구현 가능하며, 다만 이에 한정되는 것은 아니다. 이하에서는 보안 관리 장치(100)에 대하여 보다 자세하게 살펴보기로 한다.The security management apparatus 100 determines and manages security of the client terminal 200. The security management apparatus 100 may be implemented as a desktop, a notebook, a laptop, a server, a mobile terminal, or a smart device such as a personal computer, but is not limited thereto. no. Hereinafter, the security management apparatus 100 will be described in more detail.
도 2는 일 실시예에 따른 보안 관리 장치의 구성을 도시한 도면이다.2 is a diagram illustrating a configuration of a security management apparatus according to an embodiment.
도 2를 참조하면, 보안 관리 장치(100)는 통신부(110), 저장부(120) 및 판단부(150)를 포함하며, 실시예에 따라서, 표시부(130), 인터페이스부(140) 및 제어부(160)를 더 포함할 수 있다.Referring to FIG. 2, the security management apparatus 100 includes a communication unit 110, a storage unit 120, and a determination unit 150, and according to an embodiment, the display unit 130, the interface unit 140, and the controller 160 may further include.
통신부(110)는 보안 관리 장치(100)가 클라이언트 단말(200) 또는 관리 서버(300)와 데이터를 송수신할 수 있도록 한다. 이러한 통신부(110)는 유선 또는 무선 통신 모듈로 구현 가능하다.The communication unit 110 allows the security management apparatus 100 to transmit and receive data with the client terminal 200 or the management server 300. The communication unit 110 may be implemented as a wired or wireless communication module.
저장부(120)는 데이터를 저장한다. 예컨대, 저장부(120)는 속성 항목의 리스트, 클라이언트 단말(200)의 속성값 또는 속성 기준을 각각 적어도 하나씩 저장할 수 있으나, 저장하는 데이터가 이에 한정되는 것은 아니다. 여기서, 속성 기준이란 속성값을 조합하여 클라이언트 단말(200)의 보안성을 판단하는 방식을 나타낸다. 저장부(120)는 데이터를 저장하는 메모리로 구현 가능하다.The storage unit 120 stores data. For example, the storage 120 may store at least one list of attribute items, attribute values of the client terminal 200, or attribute criteria, respectively, but the data to be stored is not limited thereto. Here, the attribute criterion refers to a method of determining the security of the client terminal 200 by combining attribute values. The storage unit 120 may be implemented as a memory that stores data.
표시부(130)는 텍스트나 이미지 등을 출력한다. 예컨대, 표시부(130)는 클라이언트 단말(200)의 보안 상태를 숫자나 색상 등을 이용하여 보안 지수로써 표시할 수 있다. 또한, 표시부(130)는 보안 관리 장치(100)의 관리자에게 클라이언트 단말(200)의 보안성과 관련된 메시지를 표시할 수 있다. 또한, 표시부(130)는 후술하겠지만 인터페이스부(140)를 표시할 수 있다. 이러한 표시부(130)는 모니터와 같은 출력 장치로 구현 가능하다.The display unit 130 outputs text or an image. For example, the display unit 130 may display the security state of the client terminal 200 as a security index using numbers or colors. In addition, the display unit 130 may display a message related to security of the client terminal 200 to an administrator of the security management apparatus 100. In addition, although the display unit 130 will be described later, the interface unit 140 may be displayed. The display unit 130 may be implemented as an output device such as a monitor.
인터페이스부(140)는 관리자로 하여금 속성 항목을 선택할 수 있도록 하는 인터페이스를 제공한다. 이 때, 관리자는 인터페이스부(140)를 이용하여 클라이언트 단말(200)과 관련된 모든 속성 항목 중에서 자신의 의도에 부합되는 속성 항목을 선택할 수 있다. 또한, 인터페이스부(140)는 기존의 속성 항목에 새로운 선택 항목을 추가하는 인터페이스, 기존의 선택 항목을 변경하거나 삭제하는 인터페이스를 제공할 수도 있다. 이러한 인터페이스부(140)는 표시부(130)에 텍스트 또는 이미지 등을 이용하여 표시되며, 전술한 기능을 수행하도록 프로그램된 명령어를 저장하는 메모리 및 이러한 명령어를 수행하는 마이크로프로세서에 의하여 구현 가능하다.The interface unit 140 provides an interface that allows an administrator to select an attribute item. In this case, the manager may select an attribute item corresponding to his intention from all the attribute items related to the client terminal 200 using the interface unit 140. In addition, the interface unit 140 may provide an interface for adding a new selection item to an existing attribute item and an interface for changing or deleting the existing selection item. The interface unit 140 is displayed on the display unit 130 using text or an image, and can be implemented by a memory for storing instructions programmed to perform the above-described functions, and a microprocessor for performing the instructions.
또한, 인터페이스부(140)는 관리자로 하여금 속성 기준을 생성하거나 변경하도록 하는 인터페이스를 제공한다. 속성 기준은 전술한 바와 같이 속성값을 조합하여 클라이언트 단말(200)의 보안성을 판단하는 방식을 나타낸다. 예컨대, 관리자는 인터페이스부(140)를 이용하여, OS의 종류가 윈도우이면서 레지스트리 A의 버전이 1.0이고 프로세스는 B인 경우 보안성이 양호하고, 이 중에서 어느 하나의 속성값이라도 상이하면 보안성이 양호하지 않다는 속성 기준을 생성할 수 있다.In addition, the interface unit 140 provides an interface for the administrator to create or change attribute criteria. The attribute criterion represents a method of determining the security of the client terminal 200 by combining attribute values as described above. For example, the administrator uses the interface unit 140, and the security is good when the OS type is Windows, the version of Registry A is 1.0, and the process is B. If any one of the attribute values is different, the security is good. Attribute criteria may be created that are not good.
이에 따르면, 속성 기준을 생성하거나 변경 해야 할 필요가 있는 경우, 보안 관리 장치(100)를 개발한 개발사, 즉 도 1에서의 관리 서버(300)에게 수정을 의뢰하지 않고도 관리자는 인터페이스부(140)를 이용하여 스스로 속성 기준을 생성하거나 변경할 수 있다.According to this, when there is a need to create or change the attribute criteria, the administrator has developed the security management apparatus 100, that is, the administrator without the request to modify the management server 300 in FIG. You can create or change attribute criteria yourself.
판단부(150)는 이하에서 설명할 기능을 수행하도록 프로그램된 명령어를 저장하는 메모리 및 이러한 명령어를 실행하는 마이크로프로세서에 의하여 구현 가능하다.The determination unit 150 may be implemented by a memory that stores instructions programmed to perform a function to be described below, and a microprocessor that executes the instructions.
판단부(150)에 대하여 구체적으로 살펴보면, 판단부(150)는 저장부(120)에 저장된 속성 기준과 통신부(110)를 통해 수신된 클라이언트 단말(200)의 속성값을 비교하고, 비교한 결과를 기초로 클라이언트 단말(200)의 보안성을 판단한다. 판단부(150)는 속성값이 속성 기준에 부합되는지를 판단하고, 그에 따라 클라이언트 단말(200)의 보안성을 판단한다.Looking at the determination unit 150 in detail, the determination unit 150 compares the attribute value stored in the storage unit 120 with the attribute value of the client terminal 200 received through the communication unit 110, the comparison result Based on the determination of the security of the client terminal 200. The determination unit 150 determines whether the attribute value meets the attribute criteria, and accordingly determines the security of the client terminal 200.
이에 따르면, 클라이언트 단말(200)의 보안성은 보안 관리 장치(100)의 판단부(150)에 의한 비교, 즉 저장부(120)에 저장된 속성값과 속성 기준의 비교에 의하여 판단된다. 따라서, 속성 기준이 생성되거나 변경될 필요가 있을 경우 보안 관리 장치(100)의 저장부(120)에 저장된 속성 기준을 변경하기만 하면, 저장부(120)에 저장된 속성값을 이용하여 보안성의 판단을 가능하도록 할 수 있다. 즉, 새롭게 생성되거나 변경된 속성 기준이 클라이언트 단말(200)에 적용되도록 하기 위하여, 종래와 같이 이러한 속성 기준을 클라이언트 단말(200)에 송신할 필요가 없어지게 된다.Accordingly, the security of the client terminal 200 is determined by the comparison by the determination unit 150 of the security management apparatus 100, that is, the comparison of the attribute value stored in the storage unit 120 and the attribute criteria. Therefore, when the attribute criteria need to be generated or changed, simply changing the attribute criteria stored in the storage 120 of the security management apparatus 100 may determine the security by using the attribute values stored in the storage 120. Can be enabled. That is, in order for the newly generated or changed attribute criteria to be applied to the client terminal 200, there is no need to transmit such attribute criteria to the client terminal 200 as in the related art.
한편, 시스템(10)에 도시된 것과 같이 클라이언트 단말(200)이 복수 개로 구성된 경우, 복수 개의 클라이언트 단말(200) 중 일부의 클라이언트 단말(200)에만 에이전트가 설치될 수 있다. 에이전트가 설치되지 않은 클라이언트 단말(200)은 도 1에 도시된 네트워크(500)에는 연결되어 있다. 그러나, 에이전트의 미설치로 인하여 보안 관리 장치(100)는 클라이언트 단말(200)로부터 속성값을 획득할 수 없으며, 따라서 클라이언트 단말(200)의 보안성을 관리할 수 없다. On the other hand, when the plurality of client terminals 200 as shown in the system 10, the agent may be installed in only some of the client terminal 200 of the plurality of client terminals 200. The client terminal 200 without the agent installed is connected to the network 500 shown in FIG. 1. However, due to the non-installation of the agent, the security management apparatus 100 may not obtain an attribute value from the client terminal 200, and thus may not manage the security of the client terminal 200.
따라서, 관리자는 클라이언트 단말(200) 중에서 에이전트가 설치되지 않은 클라이언트 단말(200)을 파악할 수 있어야 한다. 판단부(150)는 클라이언트 단말(200)에 에이전트가 설치되어 있는지 여부를 다음과 같은 방법으로 판단할 수 있다. 먼저, 저장부(120)는 복수 개의 클라이언트 단말(200) 중에서 에이전트가 설치된 클라이언트 단말을 식별하는 기준 식별 정보를 리스트의 형태로 저장한다. 기준 식별 정보는 예컨대 IP일 수 있다. Therefore, the manager should be able to identify the client terminal 200 in which the agent is not installed among the client terminals 200. The determination unit 150 may determine whether an agent is installed in the client terminal 200 in the following manner. First, the storage unit 120 stores, in the form of a list, reference identification information identifying a client terminal in which an agent is installed among the plurality of client terminals 200. The reference identification information may be for example IP.
아울러, 복수 개의 클라이언트 단말(200) 중에서 어느 하나가 특정 클라이언트 단말(200)로 지정된다. 지정하는 주체는 판단부(150) 또는 후술하겠지만 보안 관리 장치(100)에 포함되는 제어부(160)일 수 있다. 제어부(160)는 지정된 특정 클라이언트 단말(200)로 하여금 당해 특정 클라이언트 단말(200)을 제외한 나머지 클라이언트 단말(200)로부터 패킷을 수신하라는 명령을 당해 특정 클라이언트 단말(200)에 송신한다. 이 때의 패킷은 주소 결정 프로토콜(Address Resolution Protocol, ARP) 브로드캐스트 패킷일 수 있다. 아울러, 특정 클라이언트 단말(200) 및 나머지 클라이언트 단말(200)은 동일한 서브넷(sub-net)에 연결된 클라이언트 단말일 수 있다. In addition, any one of the plurality of client terminals 200 is designated as the specific client terminal 200. The subject to designate may be the determiner 150 or the controller 160 included in the security management apparatus 100, which will be described later. The controller 160 transmits a command to the specific client terminal 200 to cause the designated specific client terminal 200 to receive a packet from the remaining client terminal 200 except for the specific client terminal 200. The packet at this time may be an Address Resolution Protocol (ARP) broadcast packet. In addition, the specific client terminal 200 and the remaining client terminals 200 may be client terminals connected to the same subnet.
특정 클라이언트 단말(200)은 나머지 클라이언트 단말(200)로부터 수신된 패킷으로부터 해당 나머지 클라이언트 단말(200)을 식별하는 획득 식별 정보, 예컨대 IP를 획득하며, 이러한 획득 식별 정보를 리스트의 형태로 보안 관리 장치(100)에게 송신한다. 판단부(150)는 획득 식별 정보의 리스트와 저장부(120)에 저장된 기준 식별 정보의 리스트를 비교한다. 비교 결과, 획득 식별 정보의 리스트에는 포함되어 있으나 기준 식별 정보의 리스트에는 포함되어 있지 않은 획득 식별 정보가 있을 경우, 판단부(150)는 이러한 획득 식별 정보에 상응하는 클라이언트 단말에는 에이전트가 설치되지 있지 않은 것으로 판단한다.The specific client terminal 200 obtains acquisition identification information, for example, IP, that identifies the remaining client terminal 200 from a packet received from the remaining client terminal 200, and the security management apparatus in the form of a list To 100. The determination unit 150 compares the list of acquisition identification information with the list of reference identification information stored in the storage unit 120. As a result of the comparison, when there is acquisition identification information included in the list of acquisition identification information but not included in the list of reference identification information, the determination unit 150 does not have an agent installed in the client terminal corresponding to the acquisition identification information. I do not think.
즉, 일 실시예에 따르면, 에이전트가 설치되어 있지 않아서 보안성의 관리가 되지 않는 클라이언트 단말의 파악이 가능하다.That is, according to one embodiment, it is possible to identify a client terminal that does not manage security because no agent is installed.
한편, 판단부(150)는 주소 결정 프로토콜(Address Resolution Protocol, ARP) 브로드캐스트 패킷이 아닌 TCP/IP 패킷을 이용하여서 에이전트가 설치되지 않은 클라이언트 단말을 판단할 수 있다. 이를 위하여, 도 1에 도시된 것과 같이 시스템(10)에는 미러링 서버(400)가 포함되도록 구성될 수 있다. 미러링 서버(400)는 네트워크(500)와 연결되며, 복수의 클라이언트 단말(200)이 네트워크(500)를 통하여 송수신하는 TCP/IP 패킷을 수집한다. 미러링 서버(400)는 수집된 TCP/IP 패킷으로부터 복수 개의 클라이언트 단말(200)을 식별하는 획득 식별 정보, 예컨대 IP를 획득하며, 이러한 획득 식별 정보를 리스트의 형태로 보안 관리 장치(100)에게 송신한다. Meanwhile, the determination unit 150 may determine a client terminal where an agent is not installed by using a TCP / IP packet rather than an Address Resolution Protocol (ARP) broadcast packet. To this end, as shown in FIG. 1, the system 10 may be configured to include a mirroring server 400. The mirroring server 400 is connected to the network 500 and collects TCP / IP packets transmitted and received by the plurality of client terminals 200 through the network 500. The mirroring server 400 obtains acquisition identification information, for example, IP, that identifies the plurality of client terminals 200 from the collected TCP / IP packets, and transmits the acquisition identification information to the security management apparatus 100 in the form of a list. do.
판단부(150)는 획득 식별 정보의 리스트와 저장부(120)에 저장된 기준 식별 정보의 리스트를 비교한다. 비교 결과, 획득 식별 정보의 리스트에는 있으나 기준 식별 정보의 리스트에는 없는 획득 식별 정보가 있을 경우, 판단부(150)는 이러한 획득 식별 정보에 상응하는 클라이언트 단말에는 에이전트가 설치되지 있지 않은 것으로 판단한다.The determination unit 150 compares the list of acquisition identification information with the list of reference identification information stored in the storage unit 120. As a result of the comparison, when there is acquisition identification information in the list of acquisition identification information but not in the list of reference identification information, the determination unit 150 determines that no agent is installed in the client terminal corresponding to the acquisition identification information.
즉, 일 실시예에 따르면, 에이전트가 설치되어 있지 않아서 보안성의 관리가 되지 않는 클라이언트 단말의 파악이 가능하다.That is, according to one embodiment, it is possible to identify a client terminal that does not manage security because no agent is installed.
제어부(160)는 보안 관리 장치(100)에 포함된 전술한 구성들에 대한 전반적인 제어를 수행하며, 이러한 제어를 위하여 프로그램된 명령어를 저장하는 메모리 및 이러한 명령어를 수행하는 마이크로프로세서에 의하여 구현 가능하다. The controller 160 performs overall control of the above-described components included in the security management apparatus 100, and may be implemented by a memory for storing instructions programmed for the control and a microprocessor that executes the instructions. .
보다 구체적으로 살펴보면, 제어부(160)는 클라이언트 단말(200)의 보안성을 숫자인 보안 지수로 산출할 수 있다. 이를 위하여, 제어부(160)는 판단부(150)가 클라이언트 단말(200)의 보안성을 판단한 결과를 복수의 속성 기준마다 각각 숫자로 환산하며, 복수의 속성 기준 각각에 대하여 환산된 숫자를 합산하여 보안 지수로서 산출할 수 있다. 다만 보안 지수를 산출하는 이러한 방법은 예시적인 것에 불과하다. 제어부(160)가 산출한 이러한 보안 지수는 전술한 표시부(130)에서 표시될 수 있다. 이 때, 일정한 시간 간격 동안의 보안 지수의 변화 추이가 표시부(130)를 통해서 그래프의 형태로 또는 지수화되어 표시될 수도 있다.In more detail, the controller 160 may calculate the security of the client terminal 200 as a security index that is a number. To this end, the controller 160 converts the result of the determination of the security of the client terminal 200 into numbers for each of the plurality of attribute criteria, and adds the converted numbers for each of the plurality of attribute criteria. It can be calculated as a security index. However, this method of calculating the security index is merely illustrative. The security index calculated by the controller 160 may be displayed on the display unit 130 described above. At this time, the change of the security index over a certain time interval may be displayed in the form of a graph or exponentially through the display unit 130.
제어부(160)는 클라이언트 단말(200)의 보안성을 보완하는 조치가 클라이언트 단말(200)에 가해지도록 제어할 수 있다. 이에 대하여 살펴보면, 저장부(120)는 보안성이 낮은 클라이언트 단말(200)에 대한 조치를 저장한다. 이러한 조치는 예컨대 클라이언트 단말(200)의 네트워크(500)에 대한 연결을 제한하는 명령, 클라이언트 단말(200)의 디스플레이부에서 보안성을 향상시키라는 메시지가 표시되도록 하는 명령, 보안성이 낮은 클라이언트 단말(200)의 속성값을 보안성이 높은 속성값으로 변경시키는 명령 등을 포함할 수 있으나 이에 한정되는 것은 아니다. 클라이언트 단말(200)의 보안성이 판단부(150)에 의하여 낮다고 판단된 경우, 제어부(160)는 저장부(120)에 저장된 조치가 통신부(110)를 통해 클라이언트 단말(200)에 전달되도록 제어한다. 이 때, 제어부(160)는 클라이언트 단말(200)의 보안 지수를 이용하여, 보안 지수가 낮은 클라이언트 단말(200)에 대해서만 조치가 가해지도록 제어할 수 있다.The controller 160 may control the client terminal 200 to take an action that complements the security of the client terminal 200. In this regard, the storage unit 120 stores an action for the client terminal 200 having low security. Such measures include, for example, a command for restricting the connection of the client terminal 200 to the network 500, a command for displaying a message for improving security on the display unit of the client terminal 200, and a low security client terminal. It may include a command for changing the attribute value of 200 to a high security attribute value, but is not limited thereto. If it is determined that the security of the client terminal 200 is low by the determination unit 150, the control unit 160 controls to transmit the action stored in the storage unit 120 to the client terminal 200 through the communication unit 110. do. In this case, the controller 160 may control the action to be applied only to the client terminal 200 having a low security index by using the security index of the client terminal 200.
제어부(160)는 통신부(110)를 통해 클라이언트 단말(200)의 속성값이 수신되는 과정 및 수신된 속성값을 기초로 판단부(150)에 의하여 클라이언트 단말(200)의 보안성이 판단되는 과정이 기 지정된 일정에 따라서 수행되도록 제어할 수 있다. 여기서, 기 지정된 일정은 인터페이스부(140)에 의하여 설정 또는 변경 가능하다.The controller 160 is a process of receiving the attribute value of the client terminal 200 through the communication unit 110 and a process of determining the security of the client terminal 200 by the determination unit 150 based on the received attribute value. This can be controlled to be performed according to a predetermined schedule. Here, the predetermined schedule may be set or changed by the interface unit 140.
제어부(160)는 판단부(150)가 클라이언트 단말(200)의 보안성을 판단하지 못하는 경우를 처리한다. 구체적으로 살펴보면, 판단부(150)가 클라이언트 단말(200)의 보안성을 판단하지 못하는 경우가 발생할 수 있다. 예컨대, 속성 기준이 레지스트리 A의 버전이 0.0 이상이면서 5.0 이하이면 보안성이 양호하고 버전이 5.0를 초과하면 보안성이 낮은 것으로 나타낼 때, 속성값에서의 레지스트리 A의 버전이 -0.1인 경우 판단부(150)는 보안성을 판단할 수 없다. 또는 속성 기준에는 레지스트리 A의 버전에 관한 것만이 정의되어 있는데 속성값에는 레지스트리 A가 아닌 B의 버전만이 포함되어 있는 경우, 판단부(150)는 보안성을 판단할 수 없다. The controller 160 processes the case where the determination unit 150 fails to determine the security of the client terminal 200. In detail, the determination unit 150 may fail to determine the security of the client terminal 200. For example, when the attribute criterion indicates that the security level is good when the version of the registry A is 0.0 or more and 5.0 or less, and the security level is low when the version is more than 5.0, the determination unit when the version of the registry A in the property value is -0.1 150 cannot determine the security. Alternatively, if only the property reference is defined for the version of the registry A, but the attribute value includes only the version of the registry B, not the registry A, the determination unit 150 cannot determine the security.
이 경우, 제어부(160)는 표시부(130)를 통하여 속성 기준에 대한 수정이 필요함을 나타내는 메시지가 표시되도록 제어할 수 있다. 예컨대, 제어부(160)는 표시부(130)로 하여금 '인터페이스부(140)를 이용하여 레지스트리 B에 대한 속성 기준을 생성하라'는 메시지가 표시되도록 제어할 수 있다.In this case, the controller 160 may control the display 130 to display a message indicating that the attribute criteria need to be corrected. For example, the controller 160 may control the display unit 130 to display a message of generating a property criterion for the registry B using the interface unit 140.
이와 달리, 제어부(160)는 보안 관리 장치(100)를 관리하는 관리 서버(300)에게 속성 기준에 대한 수정이 통신부(110)를 통하여 요청되도록 제어할 수 있다. 통신부(110)를 통하여 수정된 속성 기준이 수신되면, 제어부(160)는 저장부(120)에 저장된 속성 기준을 수신된 속성 기준으로 수정할 수 있다.In contrast, the controller 160 may control the management server 300 that manages the security management apparatus 100 to request modification of the attribute criteria through the communication unit 110. When the modified attribute criteria are received through the communication unit 110, the controller 160 may modify the attribute criteria stored in the storage 120 as the received attribute criteria.
이를 통해 살펴보면, 관리자는 속성 기준에 변경이 필요한지 여부 또는 새로운 속성 기준을 생성해야할 필요가 있는지 여부를 통보받을 수 있다. 즉, 일 실시예에 따른 보안 관리 장치를 이용하면 관리자는 속성 기준을 생성하는데에 따른 가이드 라인을 제공받을 수 있다.Through this, the administrator can be notified whether the attribute criteria need to be changed or whether new attribute criteria need to be created. That is, by using the security management apparatus according to an embodiment, the administrator may be provided with guidelines for generating attribute criteria.
도 3은 일 실시예에 따른 보안 관리 장치에 의하여 클라이언트 단말의 보안성을 판단하는 절차를 도시한 도면이다.3 is a diagram illustrating a procedure of determining security of a client terminal by a security management apparatus according to an exemplary embodiment.
도 3을 참조하면, 보안 관리 장치(100)의 통신부(110)는 속성 항목의 리스트를 클라이언트 단말(200)로 송신한다(S100). 클라이언트 단말(200)에 포함된 에이전트는 속성 항목의 리스트에 포함된 적어도 하나의 속성 항목에 대응하는 속성값을 클라이언트 단말(200)로부터 획득한다(S110). 클라이언트 단말(200)은 속성값을 보안 관리 장치(100)로 송신한다(S120).Referring to FIG. 3, the communication unit 110 of the security management apparatus 100 transmits a list of attribute items to the client terminal 200 (S100). The agent included in the client terminal 200 obtains an attribute value corresponding to at least one attribute item included in the list of attribute items from the client terminal 200 (S110). The client terminal 200 transmits the attribute value to the security management apparatus 100 (S120).
보안 관리 장치(100)의 판단부(150)는 클라이언트 단말(200)로부터 수신된 속성값과 보안 관리 장치(100)의 관리자로부터 입력받은 속성 기준을 비교하여 클라이언트 단말(200)의 보안성을 판단한다(S130). 그리고 제어부(160)는 보안성을 기초로 보안 지수를 산출하며, 표시부(130)는 산출된 보안 지수를 표시한다(S140).The determination unit 150 of the security management apparatus 100 compares attribute values received from the client terminal 200 with attribute criteria input from an administrator of the security management apparatus 100 to determine the security of the client terminal 200. (S130). The control unit 160 calculates a security index based on security, and the display unit 130 displays the calculated security index (S140).
제어부(160)는 클라이언트 단말(200)의 보안성 또는 산출된 보안 지수를 기초로, 클라이언트 단말(200)에 대한 조치가 통신부(110)를 통해 클라이언트 단말(200)로 전달되도록 제어한다(S150). 여기서, 조치란 클라이언트 단말(200)의 보안성이나 보안 지수를 보완, 향상시키는 것으로 정의된 조치이며, 이러한 조치는 사전에 저장부(120)에 저장되어 있을 수 있음은 전술한 바와 같다. 클라이언트 단말(200)은 보안 관리 장치(100)로부터 전달받은 조치를 수행한다(S160). 그 후, 실시예에 따라서 클라이언트 단말(200)의 속성값을 획득하여 보안성을 판단하고 보안 지수를 산출 및 표시하며 조치하는 전술한 단계(S110 내지 S160)가 반복 수행될 수 있다.The controller 160 controls the client terminal 200 to transmit the action to the client terminal 200 through the communication unit 110 based on the security of the client terminal 200 or the calculated security index (S150). . Here, the action is an action defined as supplementing and improving the security or the security index of the client terminal 200, and the action may be stored in the storage 120 in advance as described above. The client terminal 200 performs the action received from the security management device 100 (S160). Thereafter, the above-described steps (S110 to S160) of acquiring an attribute value of the client terminal 200 to determine security, calculating, displaying, and taking measures of a security index may be repeatedly performed.
도 4는 일 실시예에 따른 보안 관리 방법의 각 단계를 도시한 도면이다. 도 4에 도시된 보안 관리 방법은 도 2에 도시된 보안 관리 장치(100)에 의하여 수행 가능하다. 아울러, 보안 관리 방법은 실시예에 따라서 도 4에 도시된 단계 중 적어도 하나 이상의 단계가 수행되지 않거나, 도 4에 도시되지 않은 단계가 수행될 수도 있다.4 is a diagram illustrating each step of the security management method according to an embodiment. The security management method illustrated in FIG. 4 may be performed by the security management apparatus 100 illustrated in FIG. 2. In addition, in the security management method, at least one or more of the steps shown in FIG. 4 may not be performed, or steps not shown in FIG. 4 may be performed according to an embodiment.
도 4를 참조하면, 클라이언트 단말로부터 상기 클라이언트 단말의 보안성을 판단하는데 사용되는 속성값을 수신하는 단계(S200)와, 상기 클라이언트 단말의 보안성을 판단하는 기준이 되는 기 저장된 속성 기준을 상기 속성값과 비교하는 단계(S210)와, 상기 비교한 결과를 기초로 상기 클라이언트 단말의 보안성을 판단하는 단계(S220)가 수행될 수 있다.Referring to FIG. 4, receiving an attribute value used to determine the security of the client terminal from the client terminal (S200), and the previously stored attribute criterion as a criterion for determining the security of the client terminal. Comparing with the value (S210), and determining the security of the client terminal based on the result of the comparison (S220) may be performed.
이상에서 살펴본 바와 같이, 일 실시예에 따르면 클라이언트 단말의 보안성을 판단함에 있어서 그 기준이 되는 속성 기준을 새롭게 생성하거나 변경해야할 필요가 있는 경우, 보안 관리 장치를 개발한 개발사, 즉 도 1에서의 관리 서버에게 의뢰하지 않고도 관리자는 스스로 속성 기준을 생성하거나 변경할 수 있다.As described above, according to an embodiment of the present invention, when it is necessary to newly generate or change an attribute criterion, which is a criterion, in determining the security of a client terminal, the developer who developed a security management apparatus, that is, in FIG. Administrators can create or change attribute criteria on their own without asking the management server.
또한, 보안 관리 장치는 클라이언트 단말의 보안성을 판단하는데 사용되는 속성값을 클라이언트 단말로부터 수신하여 저장할 수 있다. 따라서, 속성 기준이 새롭게 생성되거나 변경되는 경우, 이와 같이 저장된 속성값을 생성되거나 변경된 속성 기준과 비교하여 보안 관리 장치에서 클라이언트 단말의 보안성을 판단할 수 있다. 즉, 보안 관리 장치는 생성되거나 변경된 속성 기준을 클라이언트 단말로 전달할 필요가 없다.In addition, the security management device may receive and store an attribute value used to determine the security of the client terminal from the client terminal. Therefore, when the attribute criteria are newly generated or changed, the security management apparatus may determine the security of the client terminal by comparing the stored attribute values with the generated or changed attribute criteria. That is, the security management device does not need to deliver the generated or changed attribute criteria to the client terminal.
한편, 전술한 보안 관리 방법은 이에 포함된 각 단계를 수행하도록 프로그램된 컴퓨터 프로그램을 판독가능한 기록 매체에서 구현 가능하다. 또한 전술한 보안 관리 방법은 이에 포함된 각 단계를 수행하도록 프로그램된 컴퓨터 판독가능한 기록매체에 저장된 컴퓨터 프로그램에서 구현 가능하다.On the other hand, the above-described security management method can be implemented in a readable recording medium of a computer program programmed to perform each step included therein. The aforementioned security management method may also be embodied in a computer program stored in a computer readable recording medium programmed to perform each step included therein.
여기서, 컴퓨터가 판독가능한 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터 판독가능한 기록매체의 예로는 ROM, RAM, CD-ROM, CD-RW, 자기테이프, 플로피디스크, HDD, 광 디스크, 광자기 저장장치 등이 있을 수 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터 판독가능한 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.Here, the computer-readable recording medium includes all kinds of recording devices that store data that can be read by a computer system. Examples of computer-readable recording media may include ROM, RAM, CD-ROM, CD-RW, magnetic tape, floppy disk, HDD, optical disk, magneto-optical storage, and the like. It also includes the implementation in the form of (transmission through). The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of the present invention, and those skilled in the art to which the present invention pertains may make various modifications and changes without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention but to describe the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be interpreted by the following claims, and all technical ideas falling within the scope of the present invention should be construed as being included in the scope of the present invention.

Claims (18)

  1. 클라이언트 단말로부터 상기 클라이언트 단말의 보안성을 판단하는데 사용되는 상기 클라이언트 단말의 속성값을 수신하는 통신부와,A communication unit for receiving an attribute value of the client terminal used to determine the security of the client terminal from the client terminal;
    상기 클라이언트 단말의 보안성을 판단하는 기준이 되는 속성 기준을 저장하는 저장부와,A storage unit for storing attribute criteria, which are criteria for determining security of the client terminal;
    상기 속성 기준을 상기 속성값과 비교하고, 상기 비교한 결과를 기초로 상기 클라이언트 단말의 보안성을 판단하는 판단부를 포함하는And a determination unit comparing the attribute criterion with the attribute value and determining the security of the client terminal based on the result of the comparison.
    보안 관리 장치.Security management device.
  2. 제 1 항에 있어서,The method of claim 1,
    상기 저장부는, The storage unit,
    상기 보안 관리 장치가 상기 클라이언트 단말에 송신하는 적어도 두 개의 속성 항목의 리스트를 저장하며,Stores a list of at least two attribute items that the security management device sends to the client terminal,
    상기 통신부는,The communication unit,
    상기 속성 항목의 리스트가 상기 클라이언트 단말로 송신된 것에 대한 응답으로 상기 속성 항목의 리스트에 포함된 각각의 속성 항목에 대응되는 속성값을 상기 클라이언트 단말로부터 수신하는Receiving an attribute value corresponding to each attribute item included in the list of attribute items from the client terminal in response to the list of attribute items being sent to the client terminal;
    보안 관리 장치.Security management device.
  3. 제 2 항에 있어서,The method of claim 2,
    상기 보안 관리 장치는, The security management device,
    상기 보안 관리 장치의 관리자로부터 상기 속성 항목의 리스트를 입력받는 인터페이스부를 더 포함하는The apparatus may further include an interface unit configured to receive a list of the property items from an administrator of the security management device.
    보안 관리 장치.Security management device.
  4. 제 1 항에 있어서,The method of claim 1,
    상기 속성 기준은,The attribute criteria,
    상기 속성값을 복수 개 조합하여 상기 클라이언트 단말의 보안성을 판단하는 방식을 나타내는A method of determining the security of the client terminal by combining a plurality of the attribute values.
    보안 관리 장치.Security management device.
  5. 제 4 항에 있어서,The method of claim 4, wherein
    상기 보안 관리 장치의 관리자로부터 상기 속성 기준을 입력받는 인터페이스부를 더 포함하는Further comprising an interface unit for receiving the attribute criteria from the administrator of the security management device
    보안 관리 장치.Security management device.
  6. 제 1 항에 있어서,The method of claim 1,
    상기 저장부는,The storage unit,
    상기 클라이언트 단말이 복수 개 존재하고 이 중 적어도 하나 이상의 클라이언트 단말에 클라이언트 단말의 속성값을 파악하여 상기 보안 관리 장치로 전달하는 에이전트가 설치되어 있을 때, 상기 에이전트가 설치된 클라이언트 단말을 식별하는 기준 식별 정보의 리스트를 저장하며,Reference identification information for identifying the client terminal in which the agent is installed when there are a plurality of client terminals and an agent is installed in at least one of the client terminals, the attribute value of the client terminal being detected and transmitted to the security management apparatus. Stores a list of
    상기 판단부는,The determination unit,
    상기 복수 개의 클라이언트 단말 중 어느 하나의 클라이언트 단말로부터 당해 클라이언트 단말에게 패킷을 송신한 클라이언트 단말을 식별하는 획득 식별 정보의 리스트가 수신되면, 상기 획득 식별 정보의 리스트와 상기 기준 식별 정보의 리스트를 비교하고, 상기 획득 식별 정보의 리스트와 상기 기준 식별 정보의 리스트를 비교한 결과를 기초로 상기 복수 개의 클라이언트 단말 각각에 상기 에이전트가 설치되어 있는지 여부를 판단하는When a list of acquisition identification information for identifying a client terminal that has sent a packet to the client terminal is received from any one of the plurality of client terminals, the list of the acquisition identification information is compared with the list of the reference identification information. Determining whether the agent is installed in each of the plurality of client terminals based on a result of comparing the list of the acquired identification information with the list of the reference identification information.
    보안 관리 장치.Security management device.
  7. 제 6 항에 있어서,The method of claim 6,
    상기 패킷은,The packet,
    주소 결정 프로토콜(Address Resolution Protocol, ARP) 브로드캐스트 패킷인Address Resolution Protocol (ARP) broadcast packets
    보안 관리 장치.Security management device.
  8. 제 1 항에 있어서,The method of claim 1,
    상기 저장부는,The storage unit,
    상기 클라이언트 단말이 복수 개 존재하고 이 중 적어도 하나 이상의 클라이언트 단말에 클라이언트 단말의 속성값을 파악하여 상기 보안 관리 장치로 전달하는 에이전트가 설치되어 있을 때, 상기 에이전트가 설치된 클라이언트 단말을 식별하는 기준 식별 정보의 리스트를 저장하며,Reference identification information for identifying the client terminal in which the agent is installed when there are a plurality of client terminals and an agent is installed in at least one of the client terminals, the attribute value of the client terminal being detected and transmitted to the security management apparatus. Stores a list of
    상기 판단부는,The determination unit,
    상기 복수 개의 클라이언트 단말로부터 TCP/IP 패킷을 수신하는 미러링 서버로부터 상기 복수 개의 클라이언트 단말을 식별하는 획득 식별 정보의 리스트가 수신되면, 상기 획득 식별 정보의 리스트와 상기 기준 식별 정보의 리스트를 비교하고, 상기 획득 식별 정보의 리스트와 상기 기준 식별 정보의 리스트를 비교한 결과를 기초로 상기 복수 개의 클라이언트 단말 각각에 상기 에이전트가 설치되어 있는지 여부를 판단하는When a list of acquisition identification information for identifying the plurality of client terminals is received from a mirroring server that receives TCP / IP packets from the plurality of client terminals, the list of the acquisition identification information is compared with the list of the reference identification information, It is determined whether the agent is installed in each of the plurality of client terminals based on a result of comparing the list of the acquisition identification information with the list of the reference identification information.
    보안 관리 장치.Security management device.
  9. 제 1 항에 있어서,The method of claim 1,
    상기 판단된 클라이언트 단말의 보안성에 따라 상기 클라이언트 단말에 가해지는 조치가 상기 클라이언트 단말에 전달되도록 제어하는 제어부를 더 포함하는The controller may further include a control unit configured to control an action applied to the client terminal to be transmitted to the client terminal according to the determined security of the client terminal.
    보안 관리 장치.Security management device.
  10. 제 9 항에 있어서,The method of claim 9,
    상기 조치는,The above measures,
    상기 클라이언트 단말의 네트워크에 대한 연결을 제한하는 명령 또는 상기 클라이언트 단말에 포함된 디스플레이부가 보안성을 개선하는 메시지를 표시하도록 하는 명령을 포함하는And a command for limiting the connection of the client terminal to the network or a display unit included in the client terminal to display a message for improving security.
    보안 관리 장치.Security management device.
  11. 제 1 항에 있어서,The method of claim 1,
    상기 판단부는,The determination unit,
    상기 속성 기준이 복수 개인 경우, 상기 복수 개의 속성 기준마다 상기 클라이언트 단말의 보안성을 판단하고,When there are a plurality of attribute criteria, the security of the client terminal is determined for each of the plurality of attribute criteria,
    상기 보안 관리 장치는,The security management device,
    상기 복수 개의 속성 기준마다 판단된 상기 클라이언트 단말의 보안성을 숫자로 환산하고, 상기 숫자를 합산하여 상기 클라이언트 단말의 보안 지수를 산출하는 제어부를 더 포함하는And a control unit for converting the security of the client terminal determined for each of the plurality of attribute criteria into a number, and calculating the security index of the client terminal by adding the numbers.
    보안 관리 장치.Security management device.
  12. 제 11 항에 있어서,The method of claim 11,
    상기 클라이언트 단말의 보안 지수를 표시하는 표시부를 더 포함하는Further comprising a display unit for displaying the security index of the client terminal
    보안 관리 장치.Security management device.
  13. 제 1 항에 있어서,The method of claim 1,
    상기 통신부를 통해 상기 속성값이 수신되는 과정과, 상기 판단부에 의하여 상기 클라이언트 단말의 보안성을 판단하는 과정이 기 지정된 일정에 따라 수행되도록 제어하는 제어부를 더 포함하는And a control unit for controlling the process of receiving the attribute value through the communication unit and determining the security of the client terminal by the determination unit according to a predetermined schedule.
    보안 관리 장치.Security management device.
  14. 제 1 항에 있어서,The method of claim 1,
    상기 판단부에 의하여 상기 속성 기준이 상기 속성값과 비교된 결과 상기 클라이언트 단말의 보안성이 판단되지 않는 경우, 상기 속성 기준에 대한 수정이 필요함을 표시하는 표시부를 더 포함하는The display unit may further include a display unit indicating that modification of the attribute criterion is necessary when the attribute criterion is not determined as the result of the comparison of the attribute criterion with the attribute value.
    보안 관리 장치.Security management device.
  15. 제 1 항에 있어서,The method of claim 1,
    상기 판단부에 의하여 상기 속성 기준이 상기 속성값과 비교된 결과 상기 클라이언트 단말의 보안성이 판단되지 않는 경우, 상기 보안 관리 장치를 관리하는 관리 서버에게 상기 속성 기준에 대한 수정을 요청하고, 수정된 속성 기준이 수신되면 상기 저장부에 저장된 속성 기준을 상기 수신된 속성 기준으로 수정하는 제어부를 더 포함하는If the security criterion of the client terminal is not determined as a result of comparing the attribute criterion with the attribute value by the determination unit, request a modification of the attribute criterion to the management server managing the security management apparatus. The controller may further include a controller configured to modify the attribute criteria stored in the storage unit to the received attribute criteria when the attribute criteria are received.
    보안 관리 장치.Security management device.
  16. 보안 관리 장치에 의하여 수행되는 보안 관리 방법으로서,A security management method performed by a security management device,
    클라이언트 단말로부터 상기 클라이언트 단말의 보안성을 판단하는데 사용되는 속성값을 수신하는 단계와,Receiving an attribute value used to determine the security of the client terminal from the client terminal;
    상기 클라이언트 단말의 보안성을 판단하는 기준이 되는 기 저장된 속성 기준을 상기 속성값과 비교하는 단계와,Comparing the stored attribute criterion, which is a criterion for determining the security of the client terminal, with the attribute value;
    상기 비교한 결과를 기초로 상기 클라이언트 단말의 보안성을 판단하는 단계를 포함하는Determining the security of the client terminal based on the comparison result;
    보안 관리 방법.How to manage security.
  17. 클라이언트 단말로부터 상기 클라이언트 단말의 보안성을 판단하는데 사용되는 속성값을 수신하는 단계와,Receiving an attribute value used to determine the security of the client terminal from the client terminal;
    상기 클라이언트 단말의 보안성을 판단하는 기준이 되는 기 저장된 속성 기준을 상기 속성값과 비교하는 단계와,Comparing the stored attribute criterion, which is a criterion for determining the security of the client terminal, with the attribute value;
    상기 비교한 결과를 기초로 상기 클라이언트 단말의 보안성을 판단하는 단계를 수행하도록 프로그램된 And determining the security of the client terminal based on the comparison result.
    컴퓨터 프로그램을 기록하는 컴퓨터 판독가능한 기록매체.A computer readable recording medium for recording a computer program.
  18. 클라이언트 단말로부터 상기 클라이언트 단말의 보안성을 판단하는데 사용되는 속성값을 수신하는 단계와,Receiving an attribute value used to determine the security of the client terminal from the client terminal;
    상기 클라이언트 단말의 보안성을 판단하는 기준이 되는 기 저장된 속성 기준을 상기 속성값과 비교하는 단계와,Comparing the stored attribute criterion, which is a criterion for determining the security of the client terminal, with the attribute value;
    상기 비교한 결과를 기초로 상기 클라이언트 단말의 보안성을 판단하는 단계를 수행하도록 프로그램된 And determining the security of the client terminal based on the comparison result.
    컴퓨터 판독가능한 기록매체에 저장된 컴퓨터 프로그램. A computer program stored on a computer readable recording medium.
PCT/KR2017/007526 2016-07-19 2017-07-13 Security management device and security management method for managing security of client terminal WO2018016798A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019502599A JP6728468B2 (en) 2016-07-19 2017-07-13 Security management device and security management method for managing security of client terminal

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020160091269A KR101930941B1 (en) 2016-07-19 2016-07-19 Apparatus and method for managing security of client terminal
KR10-2016-0091269 2016-07-19

Publications (1)

Publication Number Publication Date
WO2018016798A1 true WO2018016798A1 (en) 2018-01-25

Family

ID=60992316

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2017/007526 WO2018016798A1 (en) 2016-07-19 2017-07-13 Security management device and security management method for managing security of client terminal

Country Status (3)

Country Link
JP (1) JP6728468B2 (en)
KR (1) KR101930941B1 (en)
WO (1) WO2018016798A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220170770A (en) * 2021-06-23 2022-12-30 주식회사맥데이타 Apparatus, system and method for monitoring network security based on security packet of user equipment

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011221704A (en) * 2010-04-07 2011-11-04 Hitachi Cable Ltd Automatic management system for network
KR20120079972A (en) * 2011-01-06 2012-07-16 삼성에스디에스 주식회사 Integrated intelligent security management system and method
KR20140113276A (en) * 2013-03-14 2014-09-24 맥아피 인코퍼레이티드 Self-configuring local area network security
KR20150021210A (en) * 2013-08-20 2015-03-02 주식회사 쿨엔터 Methods for inducing instalation of agent without inducing program of installation of agent
KR20160004792A (en) * 2014-07-04 2016-01-13 (주)비트러스트 System and method for managing security incident

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3499621B2 (en) * 1994-12-27 2004-02-23 株式会社東芝 Address management device and address management method
US8112623B2 (en) 2005-11-09 2012-02-07 Nec Corporation Communication terminal apparatus, server terminal apparatus, and communication system using the same
JP5112751B2 (en) * 2007-06-05 2013-01-09 株式会社日立ソリューションズ Self-inspection system for security measures
JP5064912B2 (en) * 2007-07-04 2012-10-31 三菱電機株式会社 Management apparatus, network system, program, and management method
WO2010050030A1 (en) * 2008-10-30 2010-05-06 Necディスプレイソリューションズ株式会社 Projector and security control method
KR101203774B1 (en) * 2010-08-25 2012-11-23 닉스테크 주식회사 Communication Method of Agent Using ARP, Network Access Control Method Using ARP and Network System
JP5708131B2 (en) * 2011-03-29 2015-04-30 日本電気株式会社 ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, AUTHENTICATION DEVICE AND ITS PROGRAM, AND SERVICE PROVIDING DEVICE
JP6099384B2 (en) * 2012-12-17 2017-03-22 三菱電機株式会社 Information communication system, authentication apparatus, information communication system access control method, and access control program
KR101590486B1 (en) 2015-07-06 2016-02-01 (주)다우기술 Inspection system and method of attached file for detecting Advanced Persistent Threat
KR101642104B1 (en) * 2015-11-19 2016-07-27 (주)지인소프트 Sequrity service providing method and system performing the same

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011221704A (en) * 2010-04-07 2011-11-04 Hitachi Cable Ltd Automatic management system for network
KR20120079972A (en) * 2011-01-06 2012-07-16 삼성에스디에스 주식회사 Integrated intelligent security management system and method
KR20140113276A (en) * 2013-03-14 2014-09-24 맥아피 인코퍼레이티드 Self-configuring local area network security
KR20150021210A (en) * 2013-08-20 2015-03-02 주식회사 쿨엔터 Methods for inducing instalation of agent without inducing program of installation of agent
KR20160004792A (en) * 2014-07-04 2016-01-13 (주)비트러스트 System and method for managing security incident

Also Published As

Publication number Publication date
KR101930941B1 (en) 2018-12-20
KR20180009520A (en) 2018-01-29
JP6728468B2 (en) 2020-07-22
JP2019523491A (en) 2019-08-22

Similar Documents

Publication Publication Date Title
WO2014185594A1 (en) Single sign-on system and method in vdi environment
WO2011099690A2 (en) Method and apparatus for using service of home network device based on remote access
WO2012108613A1 (en) Method and apparatus for controlling connection between devices
WO2015030511A1 (en) Terminal device for terminal protection, terminal protecting method for same, and terminal managing server device
US20080256231A1 (en) Method for maintaining state consistency among multiple state-driven file system entities when entities become disconnected
US20220103415A1 (en) Remote network and cloud infrastructure management
WO2018016798A1 (en) Security management device and security management method for managing security of client terminal
AU2020364879B2 (en) Blockchain data search method
WO2013027922A1 (en) Compressed image file management device and method, for cloud computing system
WO2015182873A1 (en) Dns server selective block and dns address modification method using proxy
WO2018182065A1 (en) Multi-resource subscription association method in m2m system
US8214826B2 (en) Optimized targeting in a large scale system
CN116032691B (en) Shooting range interconnection method, electronic equipment and readable storage medium
WO2018079925A1 (en) Method for controlling quick pairing with internet-of-things devices by using service subscriber information
WO2020189871A1 (en) Apparatus for internet access control of iot device, and method therefor
WO2021080110A1 (en) System and method for managing and identifying affiliation of terminal in cloud environment
WO2021215756A1 (en) Method for allocating and visualizing network slice resource
US20130104215A1 (en) System and method for managing network devices
WO2013085089A1 (en) Method for using communication network resource in m2m cloud environment and system therefor
JP2023512731A (en) Method and Apparatus and Storage Medium for Controlling Network Services of Internet of Things Terminal
WO2023120841A1 (en) Edge cloud operating system for provisioning massive multi-cluster
WO2019107596A1 (en) Method for configuring onem2m-based data control api
WO2019117404A1 (en) Server and method for controlling packet transmission
WO2013100549A1 (en) Method and device for providing service to plurality of terminals in network- based environment
WO2013151369A1 (en) Method and system for providing game service using virtual ip in pc gaming center

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17831271

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2019502599

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17831271

Country of ref document: EP

Kind code of ref document: A1