KR20050026624A - Integration security system and method of pc using secure policy network - Google Patents

Abstract

An integrated security system and a method for PC(Personal Computer) using secure policy network are provided to improve security reliability by employing a PC security system and a document security system. A user client(100) is able to have access to network and use information in a PC according to a usage authority given based on the network policy. A secure policy network(200) strengthens a security function for the PC by empowering differentiated access/usage authorities of a network resource according to users and the type of work. A PC security system(300) performs all sorts of PC security functions on the user client(100) according to the security and property management policy. A central management system(400) manages and controls an access control of network by granting different authority to users of the secure policy network(200), and intensively controls PC security policy management, network management, and property management of the PC. A document security system(500) performs a real-time coding/decoding function, a usage authority management function, and all kinds of document security functions for a security document of the user client(100) according to the document security policy management and control of the central management system(400). A user profile DB(DataBase) server(600) stores certificate information, a certificate abolition list, and user information. A certification server(700) stores usage authority information for the user to confirm user certification.

Description

정책기반 네트워크를 이용한 피씨의 통합 보안시스템 및 방법{INTEGRATION SECURITY SYSTEM AND METHOD OF PC USING SECURE POLICY NETWORK}INTEGRATION SECURITY SYSTEM AND METHOD OF PC USING SECURE POLICY NETWORK}

본 발명은 정책기반 네트워크를 이용한 개인 컴퓨터(Personal Computer ; 이하, PC라 칭함)의 통합 보안시스템 및 방법에 관한 것으로, 특히 정책기반 네트워크(Secure Policy Network)의 인증 및 사용자별 권한부여를 통해 네트워크의 자원 접근/사용을 통제 및 제어하고, 침입차단시스템(Firewall)과 침입탐지 시스템(Intrusion Detection System : IDS) 및 바이러스월(Viruswall) 등의 각종 PC 보안기능을 수행하는 PC보안시스템과 PC 사용자의 중요 문서에 대한 문서보안기능을 수행하는 문서보안시스템을 구비함으로써 온/오프라인상의 각종 불법 침입으로부터 PC에 대한 완벽하고 강력한 정보 자산의 보안을 구현할 수 있도록 하며, 또한 상기 정책기반 네트워크 및 PC보안시스템에 의한 PC 보안 정책 관리와 자산 및 네트워크 관리를 집중 제어함으로써 PC에 대한 일관되고 유연한 보안 및 자산 관리 통제성으로 업무 집중의 효율성 및 정보 자산의 보안 신뢰성을 보다 향상시킬 수 있도록 한 정책기반 네트워크를 이용한 PC의 통합 보안시스템 및 방법에 관한 것이다.The present invention relates to an integrated security system and method for a personal computer (hereinafter, referred to as a PC) using a policy-based network. In particular, the present invention relates to a network based on authentication and user-specific authorization of a policy-based network. It is important for PC security system and PC users to control and control resource access / use and to perform various PC security functions such as firewall, intrusion detection system (IDS) and virus wall. Equipped with a document security system that performs document security functions for documents, it is possible to implement the security of complete and powerful information assets for the PC from various intrusions on and offline, and also by the policy-based network and PC security system Consistent and flexible security for PCs by centralizing control of PC security policy management and asset and network management And to the integrated security system and method of the PC using a policy-based network that allows asset management controllability can be further improved reliability, security and efficiency of the work focused on information assets.

일반적으로, 인터넷 및 네트워크 관련 기술의 발달로 인하여 각 개인은 필요로 하는 정보를 인터넷 환경 내에서 자유롭게 취득하거나 전달할 수 있게 되었고, 각 기업체에서도 원거리상에 위치되어 있다 하더라도 인터넷을 통해 각종 정보 자료의 공유가 가능하게 되었다.In general, due to the development of Internet and network related technologies, each individual can freely acquire or transmit the necessary information within the Internet environment, and share various information materials through the Internet even if each company is located at a long distance. Has become possible.

그러나, 상기와 같이 인터넷 환경 내에서 각종 정보의 취득 및 전달이 자유롭게 이루어짐에 따라 각 개인 정보의 오용 및 남용이 급증하게 되었을 뿐만 아니라 특히, 각 기업체에서는 중요한 정보 데이터의 유출이 증가됨에 따라 보안의 중요성이 점차 대두되게 되었다.However, as the above information is freely obtained and transmitted in the Internet environment, misuse and abuse of each personal information has not only increased rapidly, but in particular, the importance of security is increased as the leakage of important information data is increased in each enterprise. This gradually emerged.

즉, 종래에는 트로이 목마, 웜 바이러스(Worm Virus)와 같은 악성 프로그램의 침투로 PC내 정보 데이터가 파괴되거나, 해킹과 같은 불법 침입에 의한 네트워크의 원격제어를 통해 PC내 정보 데이터 및 자료가 위변조되거나 삭제되는 등의 피해가 있었다.That is, in the related art, information data in PC is destroyed due to infiltration of malicious program such as Trojan horse, Worm Virus, or information data and data in PC are forged or modified through remote control of network by illegal intrusion such as hacking. There was damage such as being deleted.

그리고, 물리적 침입으로 인하여 PC내 하드 디스크(Hard Disk)가 유출될 뿐만 아니라 온라인(OnLine) 매체에 의한 자료 유출도 빈번하게 발생하며, 프린터, 디스켓 등 PC 주변장치를 이용한 자료 유출도 발생하고 있다.In addition, due to physical intrusion, not only the hard disk in the PC is leaked, but also data leakage by online media occurs frequently, and data leakage using a PC peripheral device such as a printer or a diskette occurs.

또한, 권한없는 사용자의 허가되지 않은 네트워크 접근을 통해 내부 전산자원에 침입하거나 암호 획득 및 비밀 열람을 통해 자료를 유출하여 온라인 거래에 악용하고 있다.In addition, unauthorized network access by unauthorized users infiltrate internal computing resources or obtain data through secrets and secrets to exploit online transactions.

특히, 최근에는 기업내 임직원 또는 퇴임자 등, 외부자 이외에도 내부자가 전자 메일(E-Mail), 인스턴트 메시지 서비스(Instant Message Service) 등의 방법, 또는 디스켓, HDD, 씨디-롬(CD-ROM) 등 보조저장장치를 이용하여 전자파일로 보관 및 운용되는 중요 자산을 유출하는 사고가 잦아 이에 따른 기업체의 경제적 손실이 커지고 있다. In particular, in recent years, in addition to outsiders such as employees or retirees in the company, insiders can use e-mail or instant message services, or diskettes, HDDs, CD-ROMs (CD-ROMs). In other words, accidents that leak important assets that are stored and operated as electronic files by using auxiliary storage devices are frequently incurred, thereby increasing economic losses.

한편, 종래에는 상기와 같은 PC 보안 위협에 대응하기 위한 각종 보안 시스템, 예컨대 침입차단시스템, 침입탐지시스템 등이 제안되고 있으나, 각기 다양한 보안 기술들은 별도의 소프트웨어 환경으로 구성됨에 따라 제조 회사별로 그 보안 기능 및 인터페이스가 서로 혼용되거나 상이하기 때문에 소프트웨어 및 하드웨어가 통합된 광역 네트워크 차원에서의 보안 기능 통합 및 운용 관리의 일원화를 구현하기에는 여러 가지 제약이 따를 수 밖에 없는 실정이다.In the meantime, various security systems, such as an intrusion blocking system and an intrusion detection system, have been proposed to cope with the PC security threats as described above. Since functions and interfaces are mixed or different from each other, various limitations are inherent in implementing the unification of security function integration and operation management in a wide area network where software and hardware are integrated.

그러므로, 각종 PC 보안 위협에 대응할 수 있고, 효율적으로 자산을 관리 및 보호할 수 있는 등, 광역 네트워크 차원에서의 보안 기능 통합 및 운용 관리의 일원화가 구현된 보다 유연하고 능동적인 PC 통합 보안시스템이 무엇보다 필요하다.Therefore, what is more flexible and active PC integrated security system that can cope with various PC security threats and efficiently manages and protects assets such as unifying security function integration and operation management at the wide area network level? I need more.

본 발명은 상기와 같은 문제점을 해결하고, 그 필요성을 충족시키기 위해 안출한 것으로서, 그 목적은 정책기반 네트워크의 인증 및 사용자별 권한부여를 통해 네트워크의 자원 접근/사용을 통제 및 제어하고, 침입차단시스템과 침입탐지시스템 및 바이러스월 등의 각종 PC 보안기능을 수행하는 PC보안시스템과 중요 보안문서에 대한 실시간 암/복호화 기능 및 사용권한 설정기능 등의 각종 문서보안 기능을 수행하는 문서보안시스템을 구비함으로써 온/오프라인상의 각종 불법 침입으로부터 PC에 대한 완벽하고 강력한 정보 자산의 보안을 구현할 수 있도록 한 정책기반 네트워크를 이용한 PC의 통합 보안시스템 및 방법을 제공하는 데에 있다.The present invention has been made to solve the above problems and to meet the need, the purpose is to control and control the resource access / use of the network through the authentication and policy-based authorization of the policy-based network, block the intrusion PC security system that performs various PC security functions such as system, intrusion detection system and virus wall, and document security system that performs various document security functions such as real time encryption / decryption function and authority setting function for important security documents. Therefore, it is to provide an integrated security system and method of a PC using a policy-based network that can realize the security of complete and powerful information assets on a PC from various intrusions online and offline.

그리고, 본 발명의 다른 목적은 상기 정책기반 네트워크 및 PC보안시스템에 의한 PC 보안 정책 관리와 자산 및 네트워크 관리를 집중 제어함으로써 PC에 대한 일관되고 유연한 보안 및 자산 관리 통제성으로 업무 집중의 효율성 및 정보 자산의 보안 신뢰성을 보다 향상시킬 수 있도록 한 정책기반 네트워크를 이용한 PC의 통합 보안시스템 및 방법을 제공하는 데에 있다.In addition, another object of the present invention is the centralized control of PC security policy management and asset and network management by the policy-based network and PC security system to ensure consistent and flexible security and asset management control of the PC efficiency and information It is to provide a PC integrated security system and method using a policy-based network to further improve the security reliability of assets.

이러한 목적을 달성하기 위한 본 발명의 정책기반 네트워크를 이용한 PC의 통합 보안시스템은, 네트워크 정책을 기반으로 부여되는 사용권한에 따라 네트워크의 접근이 가능하고 PC내 해당 정보 자산을 사용 및 취급할 수 있는 사용자 클라이언트와, 사용자 및 업무 성격에 따라 차별화된 네트워크 자원의 접근/사용권한을 부여하는 정책을 수행함으로써 PC에 대한 보안기능을 강화하는 정책기반 네트워크와, 보안 및 자산 관리 정책에 따라 상기 사용자 클라이언트에 대해 침입차단시스템과 침입탐지시스템 및 바이러스월 등의 각종 PC 보안기능을 수행하는 PC보안시스템과, 상기 정책기반 네트워크의 사용자별 권한부여를 통한 네트워크의 접근 통제를 관리 및 제어하고, 상기 PC보안시스템에 의한 PC 보안 정책 관리 및 네트워크 관리와 PC의 자산 관리를 집중 제어하는 중앙관리시스템과, 상기 중앙관리시스템의 문서 보안 정책 관리 및 제어에 따라 상기 사용자 클라이언트의 보안문서에 대해 실시간 암/복호화 기능 및 사용권한 관리기능, 워터 마킹 등의 각종 문서보안기능을 수행하는 문서보안시스템과, 인증서 정보, 인증서 폐지 목록, 사용자 정보를 저장하고 있는 사용자 프로필 DB서버와, 사용자에 대한 영역별, 소속 및 업무별 사용권한정보를 저장하고 있어, 상기 사용자 클라이언트의 네트워크 자원의 접근제어와 PC 보안 및 문서보안을 위한 사용자 인증 여부를 확인하는 인증서버와, 상기 사용자 클라이언트, 정책기반 네트워크, PC보안시스템, 중앙관리시스템, 문서보안시스템, 사용자 프로필 DB서버, 인증서버 상호간에 소정의 데이터 통신이 가능하도록 한 인터넷으로 구성된 것을 특징으로 한다.The integrated security system of the PC using the policy-based network of the present invention for achieving this purpose, the network can be accessed according to the usage rights granted based on the network policy, and the information assets in the PC can be used and handled. A policy-based network that enforces security functions for a PC by executing a policy that grants access / permission to differentiated network resources according to user and business characteristics, and a policy-based network for security and asset management policies. PC security system that performs various PC security functions such as intrusion prevention system, intrusion detection system and virus wall, and manages and controls the network access control through authorization by user of the policy-based network, and the PC security system PC security policy management and network management and PC asset management by Perform various document security functions such as real-time encryption / decryption function, permission management function, watermarking, etc. for the security document of the user client according to the central management system to control and the document security policy management and control of the central management system A document security system, a user profile DB server storing certificate information, a certificate revocation list, and user information, and permission information by area, affiliation, and task for a user. Authentication server for checking user authentication for access control, PC security and document security, and the user client, policy based network, PC security system, central management system, document security system, user profile DB server, authentication server Characterized in that the Internet is configured to enable data communication .

그리고, 본 발명의 정책기반 네트워크를 이용한 PC의 통합 보안방법은, 사용자 로그 온시 입력되는 사용자 ID와 비밀번호를 사용자 클라이언트에서 사용자 프로필 DB서버로 전송하여, 이 사용자 ID와 비밀번호가 맞는 경우에 중앙관리시스템의 보안 및 네트워크, 자산 등 해당 정책관리를 위한 동작을 수행하는 제1과정과, 상기 제1과정 수행 후, 상기 사용자 프로필 DB서버가 사용자 클라이언트로 SID값을 전송하여, 사용자 클라이언트가 이 SID 값을 통해 인증서버로 도메인 공유를 요청하는 제2과정과, 상기 제2과정의 요청에 따라 상기 인증서버가 SAMBA 데몬을 이용하여 상기 사용자 프로필 DB서버와 다시한번 사용자 ID와 비밀번호가 맞는지 확인하는 제3과정과, 상기 제3과정의 확인 결과, 사용자 ID와 비밀번호가 맞다면, 상기 사용자 프로필 DB서버를 통해 사용자 스크립트를 실행한 후, 상기 중앙관리시스템의 정책 관리 및 제어에 따라 상기 정책기반 네트워크(200)를 동작하는 제4과정과, 상기 제3과정의 확인 결과, 사용자 ID와 비밀번호가 맞다면, 상기 중앙관리시스템의 정책 관리 및 제어에 따라 상기 PC보안시스템에 의한 PC보안서비스를 동작하는 제5과정과, 상기 제3과정의 확인 결과, 사용자 ID와 비밀번호가 맞다면, 상기 중앙관리시스템의 정책 관리 및 제어에 따라 상기 문서보안시스템에 의한 문서보안서비스를 동작하는 제6과정으로 이루어지는 것을 특징으로 한다.In addition, the integrated security method of the PC using the policy-based network of the present invention, the user ID and password that is input at the user log-on is transmitted from the user client to the user profile DB server, the central management system when the user ID and password is correct The first step of performing the operation for the policy management, such as security, network, asset, and the like, and after performing the first step, the user profile DB server transmits the SID value to the user client, the user client to the SID value A second process of requesting a domain sharing to the authentication server through the second process, and a third process of verifying that the authentication server is once again correct with the user profile DB server using the SAMBA daemon according to the request of the second process And, as a result of the check of the third step, if the user ID and password are correct, the user profile through the DB server After executing the user script, if the fourth process of operating the policy-based network 200 in accordance with the policy management and control of the central management system, and the check result of the third process, if the user ID and password are correct, the The fifth step of operating the PC security service by the PC security system according to the policy management and control of the central management system, and if the user ID and the password are correct as a result of checking the third step, the policy management of the central management system And a sixth process of operating a document security service by the document security system under control.

이하, 첨부된 도면을 참고하여 본 발명의 정책기반 네트워크를 이용한 PC의 통합 보안시스템 및 방법을 상세히 설명한다.Hereinafter, an integrated security system and method of a PC using a policy-based network of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 정책기반 네트워크를 이용한 PC 통합 보안시스템의 전체적인 블록 구성도로서, 네트워크 정책을 기반으로 부여되는 사용권한에 따라 네트워크의 접근이 가능하고 PC내 해당 정보 자산을 사용 및 취급할 수 있는 PC 등의 사용자 클라이언트(User Client)(100)와, 사용자 및 업무 성격에 따라 차별화된 네트워크 자원의 접근/사용권한을 부여하는 정책을 수행함으로써 PC에 대한 보안기능을 강화하는 정책기반 네트워크(200)와, 보안 및 자산 관리 정책에 따라 상기 사용자 클라이언트(100)에 대해 침입차단시스템과 침입탐지시스템 및 바이러스월 등의 각종 PC 보안기능을 수행하는 PC보안시스템(300)과, 상기 정책기반 네트워크(200)의 사용자별 권한부여를 통한 네트워크의 접근 통제를 관리 및 제어하고, 상기 PC보안시스템(300)에 의한 PC 보안 정책 관리 및 네트워크 관리와 PC의 자산 관리를 집중 제어하는 중앙관리시스템(Central Management System : CSM)(400)과, 상기 중앙관리시스템(400)의 문서 보안 정책 관리 및 제어에 따라 상기 사용자 클라이언트(100)의 중요 보안문서에 대해 실시간 암/복호화 기능 및 사용권한 관리기능, 워터 마킹(Water Marking) 등의 각종 문서보안기능을 수행하는 문서보안시스템(Security Document Management System : SDMS)(500)과, 인증서 정보, 인증서 폐지 목록, 사용자 정보를 저장하고 있는 사용자 프로필(User Profile) DB서버(600)와, 사용자에 대한 영역(Zone)별, 소속 및 업무별 사용권한정보를 저장하고 있어, 상기 사용자 클라이언트(100)의 네트워크 자원의 접근제어와 PC 보안 및 문서보안을 위한 사용자 인증 여부를 확인하는 인증서버(700)와, 상기 사용자 클라이언트(100), 정책기반 네트워크(200), PC보안시스템(300), 중앙관리시스템(400), 문서보안시스템(500), 사용자 프로필 DB서버(600), 인증서버(700) 상호간에 소정의 데이터 통신이 가능하도록 한 인터넷(800)으로 구성된다.1 is an overall block diagram of a PC integrated security system using a policy-based network according to the present invention, the network can be accessed according to the usage rights granted based on the network policy, and the information assets in the PC can be used and handled. Policy-based network that enforces security functions for PCs by performing policy that grants access / use rights of differentiated network resources according to user and work characteristics. 200), a PC security system 300 that performs various PC security functions such as an intrusion blocking system, an intrusion detection system, and a virus wall to the user client 100 according to a security and asset management policy, and the policy-based network. Manage and control the access control of the network through authorization by user of 200, PC security security by the PC security system 300 A central management system (CSM) 400 that centrally controls book management, network management, and asset management of a PC, and the user client 100 according to document security policy management and control of the central management system 400. Security Document Management System (SDMS) 500 that performs various document security functions such as real time encryption / decryption function, permission management function, water marking, etc. User profile DB server 600 that stores information, certificate revocation list, and user information, and authority information for each zone, affiliation, and task for the user. An authentication server 700 for checking the access control of the network resources and the user authentication for PC security and document security of the 100, the user client 100, the policy-based network 200 ), The PC security system 300, the central management system 400, document security system 500, the user profile DB server 600, the authentication server 700, the Internet 800 to enable a predetermined data communication between each other It consists of.

도 2는 본 발명에 따른 정책기반 네트워크(200)의 영역, 즉 존(Zone)간 이동을 설명하기 위한 도면으로서, 정책기반 네트워크(200)는 사용자의 위치에 관계없이 차별화된 권한부여를 통해 강력한 정보 보안을 구현한다. 특히, 기존의 소프트웨어 방식의 약점인 성능저하문제를 해결하기 위해 SEC(Secure Edge Controller)(211)라고 하는 하드웨어를 기반으로 권한부여를 수행한다.2 is a view for explaining the movement of the zone, that is, zones of the policy-based network 200 according to the present invention, the policy-based network 200 is a powerful through differentiated authorization regardless of the user's location Implement information security. In particular, authorization is performed based on a hardware called SEC (Secure Edge Controller) 211 to solve the performance degradation problem, which is a weak point of the existing software method.

그리고, 사용자 및 업무성격에 따라 네트워크의 사용권한을 차별화하는 동시에 보안과 이동성의 문제를 해결하고, 네트워크 접근 정책을 하드웨어에 적용시켜 편리성 및 성능을 높이며, 특히 개별 사용자와 그 사용자가 필요로 하는 자원의 연결시 강력한 접근제어를 실행하여 보안효과를 극대화하도록 한다.In addition, it differentiates network usage rights according to users and personality, solves security and mobility problems, and applies network access policies to hardware to increase convenience and performance, especially for individual users and their users. When accessing resources, strong access control is executed to maximize security effect.

우선, 상기와 같은 정책기반 네트워크(200)에서 수행되는 기능을 보다 상세하게 설명하면 다음과 같다.First, the functions performed in the policy-based network 200 as described above will be described in more detail.

1. 다양한 사용자 프로필 DB서버(600)와 호환 및 통합 기능---기존에 널리 사용되는 사용자 프로필 DB서버, 즉 RADIUS/LDAP(Lightweighter Directory Access Protocol)/NTLM/MSAD 등의 DB서버와 호환 및 통합 가능,1.Compatibility and integration with various user profile DB server 600 --- Compatibility and integration with existing widely used user profile DB server, namely DB server such as RADIUS / LDAP (Lightweighter Directory Access Protocol) / NTLM / MSAD possible,

2. 유연한 존기반의 접근제어 기능---다양한 사용자와 자원을 위한 보다 유연하고 강력한 네트워크 접근제어 제공, 즉 GUI(Graphic User Interface)를 통한 쉬운 제어 가능, ASIC에 의한 딥 패킷 인스펙션(Deep Packet Inspection) 기술제공으로 별도의 작업 불필요, 강하고 유연한 제어를 위한 네트워크 디자인(VLAN, Firewall, VPN 등) 불필요,2. Flexible Zone-based Access Control Function --- Provides more flexible and powerful network access control for various users and resources, ie easy control through GUI (Graphic User Interface), Deep Packet Inspection by ASIC ) No need for additional work by providing technology, no network design (VLAN, Firewall, VPN, etc.) for strong and flexible control,

3. 10/100/1000M 등의 풀(Full) 기가비트(Gigabit) 성능 지원기능---네트워크 확장 및 지그 업링크(Gig Uplink) 요구 수용, 높은 성능으로 별도의 장비 없이 확장 가능, 투자보호, 유/무선 동시 제공으로 관리비용 절감,3. Full Gigabit performance support function such as 10/100 / 1000M --- Accommodate network expansion and jig uplink demands, and high performance to expand without additional equipment, investment protection, Reduced management costs by providing both wireless and wireless

4. QoS(Quality of Service)기능---QoS 기능에 의한 사용자 접근제어를 통해 다양한 사용자의 요구에 대한 최대 대역폭 사용량 관리 용이, 어플리케이션 또는 포트별 제어 가능, Graduated Priority, Weighted Priority, Guaranteed Bandwidth 기반 제어 가능, 사용자 그룹별 제어 가능,4.Quality of Service (QoS) --- Easy access to maximum bandwidth usage for various user needs through user access control by QoS function, control by application or port, Graduated Priority, Weighted Priority, Guaranteed Bandwidth based control , Control by user group,

5. VLAN 지원기능---VLAN을 사용하는 네트워크 환경에서 재배치없이 통합 가능, 5. VLAN support --- Integrate without relocation in network environment using VLAN,

6. 윈도우즈(Windows) 지원 기능---윈도우즈 환경과 손쉬운 통합 가능, 윈도우즈 사용자의 싱글 사인 온(Single Sign On) 가능, 별도의 사용자 소프트웨어 불필요, 6. Windows Support --- Integrates easily with Windows environment, enables single sign-on for Windows users, no user software required,

7. 아이들 세션 타이머(Idle Session Timer)/세션 타이머 기능---네트워크 접근 권한의 기한을 위한 기능으로서, 보안성 향상, 자원 사용량에 대한 효과적인 제어 가능, 네트워크상의 사용자 제어능력 향상, 자원사용에 대한 제어능력 향상,7.Idle Session Timer / Session Timer Function --- It is a function for the deadline of network access rights, which improves security, enables effective control over resource usage, improves user control over the network, and uses resources. Improved control,

8. 탑 플로우(Top Flow^TM)와 시스로그(Syslog)를 사용한 자세한 트래픽 정보 확인기능---네트워크상의 이벤트 확인, Forensics, 네트워크 모니터링, 캐패시티 플래닝(Capacity Planning)을 위해 사용 가능, 빠른 네트워크 문제 분석 가능, 효과적인 네트워크 운용 보장,8. Detailed traffic information checking using Top Flow ^TM and Syslog --- available for event checking, forensics, network monitoring, capacity planning on network, fast network problems Analysis, ensuring effective network operations,

9. 안티-스프핑 정책(Anti-Spoofing Policy) 기능---ㅡMAC(Media Access Control) 어드레스, IP(Internet Protocol) 어드레스, 하드웨어 포트를 매칭하여 인증된 사용자의 공격방지, IP Spoofing, Dos, 해킹으로부터 보호,9. Anti-Spoofing Policy Function --- ㅡ Prevention of attack of authenticated user by matching MAC (Media Access Control) address, IP (Internet Protocol) address, hardware port, IP Spoofing, Dos, Protect against hacking,

10. 멀티플(Multiple) 사용자 DB 기능---백업 데이터 베이스 지정 가능, RADIUS/LDAP/NTLM/MSAD를 사용하기 위한 리던던시(Redundancy) 구성, 등의 기능이 있다.10. Multiple user DB features --- Ability to specify a backup database, configure redundancy to use RADIUS / LDAP / NTLM / MSAD, and more.

본 발명에서는 상기와 같은 정책기반 네트워크(200)를 통해, 내부 사용자에 의한 불법적인 네트워크 자원 접근제어기능, 사용자 인증을 통한 하드웨어 기반의 권한부여기능, 영역(Zone)을 기반으로 한 네트워크 접근 통제기능, 소속 및 업무별 세부적인 권한부여기능 등, 사용자별 권한부여를 통해 네트워크의 접근 제어를 수행하고 있다.In the present invention, through the policy-based network 200 as described above, illegal network resource access control function by the internal user, hardware-based authorization function through user authentication, network access control function based on zone Access control of the network is performed through authorization by user, such as detailed authorization functions by organization, organization, and task.

한편, 상기 영역, 즉 존(Zone)은 동일한 접근 권한/제어를 가지는 사용자 및 서버들의 논리적인 그룹으로 정의되는데, 이러한 존은 최대 64개까지 구성 가능하며, 이때 4개의 프리_디파인드 존(Pre_Defined Zone)과 60개의 컨피규레블 존(Configurable Zone)으로 이루어진다.Meanwhile, the zone, or zone, is defined as a logical group of users and servers having the same access authority / control, and up to 64 such zones can be configured, with four pre_defined zones. Zone) and 60 configurable zones.

상기 프리_디파인드 존(Pre_Defined Zone)에는 다시 아래와 같이 4개의 존이 있다.The Pre_Defined Zone has four zones again as follows.

. 비인증(Unauthorized) 존 : 보안 인증을 받지 않은 모든 사용자들이 초기에 할당받는 존. Unauthorized zone: Zone that is initially assigned to all non-security authenticated users.

. 인증(Authorized) 존 : 보안 인증을 받은 사용자들이 할당되는 존. Authorized zone: Zone to which users with secure authentication are assigned.

. 디폴트(Default) 존 : 내부 공인 존으로 주요 자원들이 존재(인증서버, 사용자 프로필 DB서버 등). Default zone: There are major resources in the internal authorized zone (authentication server, user profile DB server, etc.)

. 월드(World) 존 : 인터넷의 모든 호스트 및 사용자들이 존재하는 존. World Zone: Zone where all hosts and users of the Internet exist

그리고, 상기 컨피규레블 존(Configurable Zone)에는 사용자가 접근권한을 받기 위해 이동하는 존으로, 존별로 각기 다른 보안정책 및 접근권한을 갖는 사용자 정의 존(예를 들면, 커스텀(Custom) 존)과, 디폴트 존상의 자원 중 별도의 보안정책을 적용하기 위해 구분한 서버들의 논리적인 그룹인 서버 존이 있다.The configurable zone is a zone in which a user moves to receive access rights, and includes a user-defined zone (eg, a custom zone) having different security policies and access rights for each zone. For example, there is a server zone, which is a logical group of servers that are separated to apply a separate security policy among resources on the default zone.

상기와 같은 존의 할당에 있어서, 먼저 모든 사용자는 초기에 비인증(Unauthorized) 존에 할당된다. 보안 인증을 받은 후에는 사용자별로 사전에 정의된 존으로 이동하여 해당하는 접근권한을 갖는다.In allocating such zones, all users are initially assigned to an Unauthorized zone. After security authentication, each user moves to a predefined zone and has the corresponding access rights.

그리고, 특정 사용자는 인증을 받지 않고, 초기에 특정 존에 할당되어 접근권한을 가질 수 있고, 별도의 보안 정책이 필요한 특정 자원의 그룹을 서버 존으로 할당하여 관리할 수도 있다.In addition, a specific user may be initially assigned to a specific zone without being authenticated to have access authority, and a group of specific resources requiring a separate security policy may be assigned to a server zone and managed.

도 2를 참고하여 존간 이동에 대해서 설명하면, 존간 이동은 프리_디파인드 존(Pre_Defined Zone)인 비인증(Unauthorized) 존에서 시작되어, 인증(Authorized) 존 또는 사용자 정의 존인 커스텀 존(Custom Zone)으로 이동된다.Referring to FIG. 2, the inter-zone movement starts from an unauthorized zone, which is a pre_defined zone, and goes to an authorized zone or a custom zone, which is a user-defined zone. Is moved.

. Unauthorized 존--->Authorized 존. Unauthorized zone ---> Authorized zone

. Unauthorized 존--->Custom 존. Unauthorized zone ---> Custom zone

이때, 각 존에 할당된 사용자들은 타이머에 의한 세션 관리를 통해 보안을 강화할 수 있게 되는데, 즉 네트워크에서 로그아웃하거나, 타이머에 의해 세션이 종료되면 사용자는 자동으로 비인증(Unauthorized) 존에 할당되게 된다.At this time, users assigned to each zone can enhance security through session management by a timer. When a user logs out of the network or the session is terminated by a timer, the user is automatically assigned to an unauthorized zone. .

. 타임 아웃시 : Authorized 존--->Unauthorized 존. At timeout: Authorized zone ---> Unauthorized zone

Custom 존--->Unauthorized 존Custom Zone ---> Unauthorized Zone

<세션 타이머 : 타이머에 의한 세션 유지 시간은 최대 4시간이며, 아이들 타이머(Idle Timer) : 입력이 없을 경우 타이머에 의한 세션 유지 시간은 40분이다.><Session timer: The session holding time by timer is up to 4 hours. Idle Timer: The session holding time by timer is 40 minutes when there is no input.>

사용자 기준으로 존간 이동을 살펴보면, 도 2의 '1번'에서와 같이 사용자 정의 존간의 이동은 Custom 존1<-->Unauthorized 존<-->Custom 존2로 이루어지며, 이때 중간에 Unauthorized 존으로 이동함에 따라 재인증 과정이 필요하다.Looking at the movement between zones on a user basis, the movement between user-defined zones is composed of Custom zone 1 <-> Unauthorized zone <-> Custom zone 2, as shown in '1' of FIG. The move requires a recertification process.

이어, '2번'에서와 같이 사용자 존으로의 이동은 Unauthorized 존<-->Custom 존N으로 이루어지며, '3번'에서와 같이 Authorized 존으로의 이동은 Unauthorized 존<-->Authorized 존으로 이루어진다.Then, as in '2', the move to the user zone consists of an Unauthorized zone <-> Custom zone N, and as in '3', the move to the authorized zone moves to an Unauthorized zone <-> Authorized zone. Is done.

상기와 같은 정책기반 네트워크(200)에 있어서, 인증받지 않은 모든 사용자는 네트워크로부터 분리된 상태로 있게 되며, 모든 사용자는 인증서버(700)로부터 고유의 권한을 부여받아 접근이 허가된 자원에만 접근할 수 있다. 접근이 허가된 사용자는 동일한 서비스 레벨을 갖는 논리적인 그룹인 해당 존에 할당되고, 이미 정해진 존 정책에 따라 사용자의 서비스가 한정된다. 이때 사용자의 모든 네트워크 활동은 모두 기록되어 추적이 가능하다.In the policy-based network 200 as described above, all unauthenticated users remain separated from the network, and all users are granted unique rights from the authentication server 700 to access only resources that are granted access. Can be. A user who is granted access is assigned to a corresponding zone, which is a logical group having the same service level, and the user's service is limited according to a predetermined zone policy. At this time, all network activity of the user is recorded and can be traced.

그리고, 사용자 그룹은 소속 및 업무 성격에 따라 분류하고, 이 분류된 사용자 그룹에 대한 어플리케이션을 할당하고 서비스 레벨을 정의한다. 정책기반 네트워크(200)의 네트워크 구성은 효율적인 투자비용 및 관리를 위해 투르 엣지(True Edge) 및 게이트 키퍼(Gate Keeper) 기능을 조합한 하이브리드(Hybrid) 방식을 적용한다. 상기 투르 엣지는 각 사용자의 보안 적용을 위해 사용자 PC를 SEC(211)에 직접 연결하는 방식이고, 상기 게이트 키퍼는 동일한 업무 성격의 사용자들의 보안 적용을 위해 중간단에 스위치를 이용하여 SEC(211)에 연결하는 방식이다.The user group is classified according to the belonging and work characteristics, assigns applications to the classified user group, and defines the service level. The network configuration of the policy-based network 200 employs a hybrid method that combines True Edge and Gate Keeper functions for efficient investment cost and management. The tour edge is a method of directly connecting the user PC to the SEC (211) for the security application of each user, the gatekeeper using the switch in the middle stage for security applications of users of the same work type SEC (211) To connect to.

또한, 정책기반 네트워크(200)는 네트워크 인텔리젼스(Network Intelligence)를 이용한 통합 관리가 가능하다. 즉 사용자의 네트워크 활동에 대한 모든 기록을 통한 트래픽 분석 및 레포팅을 강화하고, 통합 보안 관리를 통해 관리 효율성을 증대시키며, 마스터-슬레이브(Master/Slave) 방식의 간편한 컨피그레이션 (Configuration)기능을 수행하여, 다수의 SEC를 일괄 컨피그레이션이 가능하고, 동일 컨피그레이션을 가지는 SEC들의 컨피그레이션의 일관성 유지 기능을 수행한다.In addition, the policy-based network 200 may be integrated management using network intelligence (Network Intelligence). In other words, it enhances traffic analysis and reporting through all records of user's network activity, increases management efficiency through integrated security management, and performs simple configuration function of master / slave type. It is possible to batch configure multiple SECs, and to maintain the consistency of configuration of SECs having the same configuration.

도 3은 본 발명에 따른 PC보안시스템(300)의 블록 구성도로서, 커넬(Kernel) 기반의 다단계 침입차단 보안기술을 적용한 데이터 링크 계층(L2)에서 PC내 불법 접근을 차단하는 PC용 침입차단부(311)와, 호스트 기반의 불법 침입자를 탐지 및 차단하는 PC용 침입탐지부(312)와, 신종 해킹/웜 바이러스를 탐지 및 차단하는 PC 바이러스 월(313)과, 프로그램 단위로 인터넷 접근을 제어 및 감시하는 어플리케이션 방화벽(Application Firewall)(314)과, 유해/비업무 사이트를 차단하는 웹 콘텐츠 필터링(Web Contents Filtering)부(315)와, 파일/폴더내 정보를 실시간 암복호화는 파일/폴더 암복호화부(316)와, 인증 미디어를 통한 부팅 제어 및 화면 잠금을 수행하는 부팅 제어 및 화면 잠금부(317)와, 온/오프라인상의 정보 유출을 방지하는 매체 제어부(318)와, PKI 기반의 인증서를 통한 윈도우 로그인 기능을 통해 통합 사용자 인증을 수행하는 사용자 인증부(319)와, 상기 중앙관리시스템(400)의 제어 및 관리상황에 따라 상기 각 구성 블록(311∼319)들의 동작을 제어 및 관리하는 제어관리부(320)를 포함하여 구성된다.3 is a block diagram of a PC security system 300 according to the present invention, intrusion blocking for PC to block illegal access in the PC at the data link layer (L2) applying the kernel-based multi-level intrusion prevention technology. Section 311, intrusion detection unit 312 for detecting and blocking host-based illegal intruders, PC virus wall 313 for detecting and blocking new hacking / worm viruses, and accessing the Internet on a program-by-program basis. Application Firewall 314 for controlling and monitoring, Web Contents Filtering unit 315 for blocking harmful / non-business sites, and File / Folder Encryption for real-time encryption of file / folder information. Decryption unit 316, boot control and screen lock unit 317 to perform boot control and screen lock through the authentication media, the media control unit 318 to prevent information leakage on / offline, PKI-based certificate Through windows A user authentication unit 319 for performing integrated user authentication through a login function, and a control management unit for controlling and managing operations of the respective configuration blocks 311 to 319 according to the control and management of the central management system 400. And 320.

상기 각 구성의 기능 및 동작을 도면을 참고하여 보다 상세히 설명하면 다음과 같다.The function and operation of the above components will be described in more detail with reference to the drawings.

먼저, 상기 PC용 침입차단부(311)에서는, 핑(Ping) 접근제어 기능(도 4 참고)을 수행한다. 즉, ICMP 프로토콜의 접근제어를 통해 발생할 수 있는 악의적인 공격으로 인한 시스템들의 치명적인 오류를 사전에 방어하기 위해 신뢰 IP구간 이외에는 핑(ICMP)을 차단한다. 따라서 비인가된 사용자에게 ICMP ECHO Reply(Type 0)하지 않기 때문에 네트워크 트래픽을 감소시키는 효과를 얻을 수 있다. First, the intrusion blocking unit 311 for a PC performs a ping access control function (see FIG. 4). That is, in order to proactively defend against the fatal errors of systems due to malicious attacks that can occur through access control of the ICMP protocol, pings (ICMP) are blocked except the trusted IP section. Therefore, since ICMP ECHO Reply (Type 0) is not performed for unauthorized users, network traffic can be reduced.

그리고, 파일공유(File Share) 접근제어 기능(도 5 참고)을 수행한다. 즉, NetBIOS 프로토콜을 사용해서 인증된 사용자 외 비인가되어진 사용자가 연결을 시도할 때 접근제어를 하며, 신뢰 사용자 이외의 모든 접근을 제어하여 아이디(ID)/비밀번호(Password) 도용과 리모트 크랙(Remote Crack) 및 아웃어브밴드(Out Of Band : OOB) 공격을 할 수 있는 원인을 제거한다.The file share access control function (see FIG. 5) is performed. In other words, access control is performed when an unauthorized user attempts to connect using the NetBIOS protocol, and all accesses other than the trusted user are controlled by ID / password theft and remote crack. ) And removes the cause of the out of band (OOB) attack.

그리고, 비인가된 TCP/UDP/ICMP의 차단 기능(도 6 참고)을 수행한다. 즉, 인가된 사내 네트워크로 분류된 IP 혹은 IP 범위 외에 비인가된 네트워크로 분류된 사용자로부터 접근 시도되는 NetBIOS, ICMP 등을 차단하여 중요정보를 보호한다. 신뢰된 IP주소 혹은 IP 범위 이외는 기본적으로 접근을 차단하고, 로컬호스트에 TCP 커넥트(SYN)가 도착하였을 때 상대방에 TCP 커넥트(Connect) 엑크날러지먼트(Acknowledgement) 응답을 보내지 않음으로써 TCP, UDP 프로토콜을 사용하여 외부에서 내부로 들어오는 모든 불법적인 연결시도(Inbound traffic)를 차단한다. Then, the blocking function (see FIG. 6) of unauthorized TCP / UDP / ICMP is performed. That is, it protects important information by blocking NetBIOS, ICMP, etc., which are accessed from users classified as unauthorized networks other than IP or IP range classified as authorized internal networks. It blocks the access by default except the trusted IP address or IP range, and does not send TCP Connect Acknowledgment response to the other host when TCP connect (SYN) arrives at local host. Use protocols to block all illegal inbound traffic from the outside.

그리고, 양방향 PC 방화벽(Bi-direction Packet Filter Firewall) 기능(도 7를 참고)을 수행한다. 즉, 양방향 네트워크 트래픽 필터링을 통한 외부의 불법적인 접근이나 트로이목마 혹은 악의적인 코드공격으로부터 최적의 보안정책을 구현한다. 양방향 보안은 공격 양상을 파악하기 위해 모든 트래픽을 검사하고 트래픽 경로에 보안정책을 설정하고 인커밍/아웃고잉(incoming/outgoing)의 새로운 공격에 대한 방어를 도와준다.In addition, a Bi-direction Packet Filter Firewall function (see FIG. 7) is performed. In other words, it implements the optimal security policy from outside illegal access, Trojan horse or malicious code attack through two-way network traffic filtering. Two-way security examines all traffic to determine attack patterns, establishes security policies in the traffic path, and helps defend against new attacks from incoming / outgoing.

그리고, 실시간 네트워크 트래픽 모니터링 기능(도 8 참고)을 수행한다. 즉, 실시간으로 호스트의 모든 어플리케이션 및 네트워크 트래픽 등을 모니터링한다. 내외부의 실시간 네트워크 트래픽 현황을 모니터링함에 따라 시스템 안정성 및 내외부간 비인가된 연결세션에 대한 접근제어방법을 제공한다. 따라서 비인가된 악의적인 스크립트(Script) 및 실행 파일이 임의로 실행되어 정보 누출 및 시스템이 파괴되는 것을 방지하고, 내외부간 비인가된 연결세션에 대한 접근제어를 제공한다. 사용자에게 친숙한 네트워크 트래픽 모니터링 GUI를 제공한다.Then, a real time network traffic monitoring function (see FIG. 8) is performed. In other words, all applications and network traffic of the host are monitored in real time. By monitoring the real-time network traffic status inside and outside, it provides system stability and access control method for unauthorized connection session between inside and outside. Therefore, unauthorized malicious scripts and executable files are executed arbitrarily to prevent information leakage and system destruction, and to provide access control for unauthorized connection sessions internally and externally. It provides a user-friendly network traffic monitoring GUI.

그리고, 실시간 어플리케이션 모니터링 기능(도 9 참고)을 수행한다. 즉, 클라이언트 시스템에서 실행되고 있는 모든 인터넷 어플리케이션에 대해 모니터링함으로써 비인가된 IP 혹은 포트로 접속하는 악의적인 프로그램을 시간별/IP별/포트별로 모니터링하여 사용자 시스템을 보호한다. 인터넷을 통해 기업 사용자 정보를 유출하는 악의적인 어플리케이션을 추출하고, 개인정보 이외에 기업정보 유출을 방지한다.Then, a real time application monitoring function (see FIG. 9) is performed. In other words, by monitoring all Internet applications running on the client system, malicious programs connected to unauthorized IPs or ports are monitored by time / IP / port to protect user systems. It extracts malicious applications that leak corporate user information through the Internet, and prevents leakage of corporate information in addition to personal information.

상기 PC용 침입탐지부(312)에서는, 포트 스캔 공격 탐지 및 차단, 경고 기능(도 10 참고)을 수행한다. 즉 호스트 기반의 PC-IDS로 네트워크 스캔툴(Scan Tools)을 사용한 스캔에 대해 탐지 및 차단한다.The PC intrusion detection unit 312 performs a port scan attack detection and blocking, and a warning function (see FIG. 10). Host-based PC-IDS detects and blocks scans using network scan tools.

그리고, DoS(Denial of Service : 서비스 거부) 방어 기능(도 11 참고)을 수행한다. 즉 외부 공격자가 비연결 지향형의 TCP/UDP/ICMP 프로토콜을 이용한 다량의 패킷을 보냄으로 인해 시스템을 다운시키거나, 시스템 자체 운영을 마비시키는 공격을 차단한다. 고의적인 내부자의 해킹(서비스거부)공격으로부터 업무처리중 리부트(Reboot)나 시스템 정지를 방지한다. Then, a DoS (Denial of Service) defense function (see FIG. 11) is performed. That is, an external attacker sends a large amount of packets using a connectionless-oriented TCP / UDP / ICMP protocol to block an attack that shuts down the system or paralyzes its own operation. It prevents reboot or system stop during processing from intentional insider's hacking (service denial) attack.

그리고, 웹서비스 취약성 공격 탐지 기능(도 12 참고)을 수행한다. 즉, 웹서비스 익스플로이트(Exploit)나 취약성(Vulnerability) 공격 탐지, 버퍼 오버플로우(Buffer Overflow) 공격 탐지, Fragmented/Abnormal 공격 탐지 및 차단 기능을 수행한다.Then, the web service vulnerability attack detection function (see FIG. 12) is performed. In other words, it detects web service exploits or vulnerability attacks, detects buffer overflow attacks, and detects and blocks fragmented / abnormal attacks.

그리고, 침입로그 및 IDS 정책 기능(도 13 참고)을 수행한다. 즉, 해킹 탐지시 해당 건에 대한 로그를 즉시 조회가 가능하여 행위자의 추적을 좀 더 수월히 행할 수 있다. 침입탐지시스템의 전체 로그에 대한 저장 유무를 선택할 수 있으며, 침입 패턴별로도 로그 저장 유무를 설정할 수 있다. 위험도가 낮은 침입에 대한 로그로 인한 리소스(Resource)의 과다 사용 등을 피할 수 있다.Then, the intrusion log and IDS policy function (see FIG. 13) are performed. That is, when hacking detection is detected, it is possible to immediately search the log of the case, so that the tracking of actors can be performed more easily. You can select whether to save the entire log of the intrusion detection system, and you can set whether to save the log for each intrusion pattern. Avoid over-use of resources due to logging of low-risk intrusions.

그리고, 해킹 탐지시 중앙관리자 통보 기능(도 14 참고)을 수행한다. 즉, 해킹탐지시 실시간으로 관리자에게 통보하며, 차단 및 통과 설정도 가능하다. 차단시에는 해당 패킷에 대해 ICMP 언리치에이블(unreachable) 또는 리셋(Reset) 패킷을 보낸다. 공격자 IP에 대해 사용자 정의(시간별 자동 허용/거부)가 가능하다.When the hack is detected, the central administrator notification function (see FIG. 14) is performed. In other words, it notifies the administrator in real time when hacking is detected and can block and pass. When blocking, ICMP unreachable or reset packets are sent for the packet. Customization (automatically allow / deny hourly) for attacker IP is possible.

그리고, 해킹 패턴 제공 기능(도 15 참고)을 수행한다. 즉 호스트 기반의 PC-IDS로 100개 이상의 해킹패턴을 제공하며, 각각의 패턴마다 관리자에 대한 통보, 차단 및 통과설정이 가능하다.Then, the hacking pattern providing function (see FIG. 15) is performed. In other words, the host-based PC-IDS provides more than 100 hacking patterns, and each pattern can be notified, blocked, and set for administrators.

상기 PC용 바이러스월(133)에서는, 신종 해킹/웜 바이러스 차단 기능(도 16 참고)을 수행하는데, 즉 최근 시스템 및 네트워크에 많은 피해를 입히는 님다(Nimda)나 코드레드(CodeRed)(Ⅰ,Ⅱ) 등 업무에 악영향을 미치는 신종 해킹/웜 바이러스에 대해 실시간으로 네트워크 접근 레이어 단계에서 차단한다.In the PC virus wall 133, a new hacking / worm virus blocking function (see FIG. 16) is performed, that is, Nimda or CodeRed (Ⅰ, Ⅱ) that cause a lot of damage to a recent system and network. Blocks new hacking / worm viruses that adversely affect business at the network access layer level in real time.

상기 어플리케이션 방화벽(314)에서는, 프로그램 단위의 인터넷 접근제어 기능(도 17 참고)을 수행하는데, 즉 PC에 설치된 프로그램들이 인터넷으로 접근 시도시 본 발명에 따른 PC보안시스템이 장착된 PC에 허용/차단/물음에 대한 승인을 받아야 하며, 이때 불법적인 백도어/트로이목마의 접근은 자동으로 차단한다. 프로그램 단위 접근제어 기능은 사용자 모르게 PC에 설치된 백도어 프로그램이나 스파이웨어 등 해킹 프로그램을 통해 정보유출이나 해커 침입 경로를 원천적으로 차단한다.The application firewall 314 performs an Internet access control function (see FIG. 17) for each program unit, that is, when programs installed in a PC attempt to access the Internet, allow / block a PC equipped with a PC security system according to the present invention. You must be authorized to answer questions and automatically block access to illegal backdoors / Trojan horses. Program-level access control blocks information leakage or hacker intrusion paths through hacking programs such as backdoor programs or spyware installed on a PC without the user's knowledge.

그리고, 어플리케이션 필터 기능(도 18 참고)을 수행하는데, 즉 PC용 침입차단부(311)의 양방향 방화벽 기능중 단방향 정책(내부에서 외부로 나가는 정책)으로서, 시스템에서 실행되는 모든 네트워크 접근 프로그램에 대해 사용자 정의와 다른 비인가된 어플리케이션들(unauthorized applications)을 차단하기 위한 어플리케이션 필터가 가능하다. 시스템에서 실행되어지는 모든 어플리케이션 프로그램에 대해 모니터링하며, 사용자에 의한 필터링 정책에 의해 허용/물음/차단된다.Then, the application filter function (refer to FIG. 18) is performed, that is, one-way policy (policy from the inside to the outside) of the two-way firewall function of the intrusion prevention unit 311 for the PC, for all network access programs executed in the system. Application filters are available to block user definitions and other unauthorized applications. All application programs running on the system are monitored and allowed / quested / blocked by the filtering policy by the user.

상기 웹 콘텐츠 필터링부(315)에서는 유해/비업무 사이트 차단 기능(도 19 참고)을 수행하는데, 즉 비업무/유해한 사이트에 대한 URL/웹 콘텐츠 필터링 기능을 제공하여 PC 사용자 혹은 중앙 관리자에 의해 유해/불건전 사이트 접속을 차단하여 업무 효율을 극대화한다. 기업 사용자가 비인증된 특정 사이트 접속으로 인해 악의적인 코드나 신종 해킹 웜바이러스에 감염되어 기업 전체 내부망 피해확산으로부터 사전에 예방할 수 있다.The web content filtering unit 315 performs a harmful / non-business site blocking function (refer to FIG. 19), that is, provides a URL / web content filtering function for a non-business / harmful site to be harmful / unhealthy by a PC user or a central administrator. Maximize work efficiency by blocking site access. Corporate users can be prevented from spreading the entire company's internal network by being infected with malicious code or new hacking worms due to unauthorized site access.

그리고, 특정 업무시간대 차단 기능(도 20 참고)을 수행하는데, 즉 특정 업무시간대에 비업무(도박/채팅), 유해/불건전 사이트에 접속할 수 없도록 중앙관리시스템(400)에서 차단정책을 그룹별/개인별 클라이언트로 내려보내 특정시간대(예를 들면, 오전 9-12시, 오후 1-6시) 혹은 모든 시간대에 접속을 차단하며, 각각의 클라이언트는 중앙에서 받은 정책을 NTP를 이용하여 인공 지능적으로 적용한다.In addition, a specific time zone blocking function (see FIG. 20) is performed, that is, a non-business (gambling / chatting) and a harmful / unhealthy site cannot be accessed at a specific time zone, so that the central management system 400 blocks the blocking policy for each group / person. Send down to clients and block access at specific times (for example, 9-12 am, 1-6 pm) or all time zones, and each client artificially applies centrally received policies using NTP .

상기 파일/폴더 암복호화부(File Crypto)(316)에서는, 도 21을 참고하면, 일반문서나 중요 파일을 실시간으로 암복호화하여 보관함에 따라 바이러스에 의한 피해로부터 안전할 수 있다. 자동 실시간으로 암호화되어 별도의 작업 없이도 파일 암호화의 생성이 가능하며, 윈도우 탐색기와 직접 연동하여 사용 편리성이 있고, 파일 및 폴더 압축 저장 기능이 있다.The file / folder encryption / decryption unit (File Crypto) 316, referring to FIG. 21, may be safe from damage by a virus by encrypting and storing a general document or an important file in real time. Automatic real-time encryption allows file encryption to be created without any additional work. It works directly with Windows Explorer. It also has file and folder compression and storage.

상기 부팅 제어 및 화면 잠금부(317)에서는, 도 22를 참고하면, USB키, 스마트 카드(인증 미디어)와 연동하여 시스템에 로그인하고, USB키, 스마트 카드 이탈시 자동으로 화면 잠금 기능(스크린 세이버)이 수행되며, 사용자 부재중, 일정시간 경과 후 자동으로 다양한 스크린 세이버(Screen Saver) 동작으로 부당한 컴퓨터의 접근을 차단한다. 스크린 세이버는 중앙관리시스템(400)에서 배포 및 주기적으로 변경 가능하다. In the boot control and screen lock unit 317, referring to FIG. 22, the system logs in with the USB key and the smart card (authentication media) and automatically locks the screen when the USB key and the smart card are separated. ), And prevents unauthorized computer access with various screen saver operations automatically after a certain period of time when the user is absent. The screen saver may be distributed and periodically changed in the central management system 400.

상기 매체 제어부(318)에서는, 도 23을 참고하면, 온/오프라인 등 가능한 범위의 정보유출 루트를 원천적으로 차단 및 방지한다. FDD, USB 저장장치, CD-RW, JAZ, ZIP,..허용/차단기능(윈도우의 주변 디바이스 접근 시도시 이벤트를 포착하여, 기업 보안담당자에 의해 설정된 매체제어 사용 허가 유무에 따라 자동 차단)을 수행한다.Referring to FIG. 23, the media control unit 318 blocks and prevents information leakage routes in a possible range such as on / offline. FDD, USB storage device, CD-RW, JAZ, ZIP, .. allow / block function (captures event when Windows tries to access peripheral device, and automatically blocks depending on whether to use media control permission set by company security officer) To perform.

또한, PC보안시스템(300)은 상기와 같은 기능 이외에도 PC 보안의 강화를 위해 상기 제어관리부(320)의 제어 및 관리하에 아래와 같은 기능을 수행한다.In addition, the PC security system 300 performs the following functions under the control and management of the control manager 320 in order to enhance the PC security in addition to the above functions.

즉, 공유폴더 관리기능으로서, 도 24를 참고하면, 공유폴더 생성시 암호를 설정(단, 단순 비밀번호를 사용할 수 없다.)하지 않으면 공유가 되지 않는 기능을 수행한다.That is, as a shared folder management function, referring to FIG. 24, a function that is not shared is performed unless a password is set (but a simple password cannot be used) when creating a shared folder.

그리고, 비밀번호 관리기능으로서, 도 25를 참고하면, 윈도우 로그 온, 화면 잠금, 파일공유 및 개인키 암호화 비밀번호 등을 동일하게 하여 중앙관리시스템(400)에서 통합 관리한다. 중앙관리시스템(400) 관리자에게 문의하여 비밀번호 확인 혹은 재발급 받을 수 있는 기능을 수행한다.As a password management function, referring to FIG. 25, the central management system 400 performs integrated management of the same window log-on, screen lock, file sharing, and private key encryption password. Contact the central management system 400 administrator to perform a function that can be confirmed or reissued password.

도 26은 본 발명에 따른 중앙관리시스템(400)의 블록 구성도로서, 침입차단 정책, 침입탐지 정책 등의 PC 보안 관련의 정책을 수립하여 상기 PC보안시스템(300)의 보안 정책을 관리하는 보안정책관리부(411)와, 하드웨어 및 소프트웨어 설치 정보를 통해 모든 사용 시스템에 대한 소프트웨어, 프로그램 설치 및 라이센스 관리 등의 자산관리기능을 수행하고, 모든 자료 및 소프트웨어를 그룹 또는 사용자 단위로 배포하는 자산관리 및 파일 배포부(412)와, IP 관리 및 IP와 컴퓨터를 통한 사용자 관리 기능을 수행하고, 네트워크 사용 여부를 모니터링하는 네트워크 관리부(413)와, 각종 침입탐지에 대한 실시간 모니터링 및 침입탐지 해당 로그를 저장하는 침입탐지 관리부(414)와, 유해/비업무/비보안/불건전 사이트를 차단하는 유해/비업무 사이트 차단부(415)와, FDD, JAZ, ZIP, USB 디바이스, CD-RW 등의 매체에 대한 사용권한을 관리하는 매체 제어부(416)와, 상기 각 구성 블록(411∼416)들의 동작을 제어 및 관리하며, 모듈별 실시간 업데이트 관리 기능, 다중 인증 미디어 관리 기능, 화면 보호 기능, 다단계 중앙 분산 통합 관리 기능 등, 각 사용자 PC의 보안을 위한 중앙 집중적 제어 및 관리를 수행하는 중앙관리서버(417)를 포함하여 구성된다.26 is a block diagram of the central management system 400 according to the present invention. The security policy of the PC security system 300 is established by establishing a policy related to PC security such as an intrusion blocking policy and an intrusion detection policy. The policy management unit 411 performs asset management functions such as software, program installation, and license management for all used systems through hardware and software installation information, and asset management for distributing all materials and software in groups or users. File distribution unit 412, IP management and network management unit 413 that performs user management functions through IP and computers, and monitors network use, and real-time monitoring and intrusion detection corresponding logs for various intrusion detection Intrusion detection management unit 414, harmful / non-business / non-security / unhealthy site blocking harmful / non-business site blocking unit 415, FDD, A media control unit 416 that manages usage rights for media such as JAZ, ZIP, USB devices, CD-RW, and the like, controls and manages operations of the configuration blocks 411 to 416, and manages real-time update for each module. It includes a central management server 417 that performs centralized control and management for the security of each user PC, such as a multi-authentication media management function, screen protection function, multi-level central distributed integrated management function.

상기와 같이 구성된 중앙관리시스템(400)은 상기 PC보안시스템(300)에 대한 모든 기능들을 원격관리하게 되는데, 보안 관리자에 의한 일괄 룰(Rule)을 설정/관리함으로써 해킹 탐지/분석/복구 등 대응시간의 최소화를 통해 효율적인 중앙보안시스템을 구축한다. 특히 자체 방화벽과 침입탐지가 2중으로 탑재되어 더욱 안전한 중앙관리기능을 제공한다.The central management system 400 configured as described above remotely manages all the functions of the PC security system 300, and responds to hacking detection / analysis / recovery by setting / managing a collective rule by the security manager. Build an efficient central security system by minimizing time. In particular, its own firewall and intrusion detection are doubled to provide safer central management.

상기 각 구성의 기능 및 동작을 도면을 참고하여 보다 상세히 설명하면 다음과 같다.The function and operation of the above components will be described in more detail with reference to the drawings.

상기 보안정책 관리부(411)는 침입차단(Firewall) 정책, 침입탐지(IDS) 정책을 관리하고, 이러한 정책은 사용자가 변경할 수 없으며, 만약 개인이 임의로 변경시에는 통보되어야 하며, 이때 실시간으로 보안정책이 적용 및 수정되어야 한다.The security policy management unit 411 manages a firewall policy and an intrusion detection policy, and these policies cannot be changed by the user, and should be notified when an individual arbitrarily changes, the security policy in real time. This must be applied and modified.

상기 자산관리 및 파일 배포부(412)는 하드웨어(HDD, MEM, CPU, NIC, 비디오 카드) 정보를 수집하여 자원 변동시 변동 사항 통보 기능, 소프트웨어 정보 목록을 파악하고 라이센스 수량 관리 기능, 사용자 및 그룹별 파일 배포 기능, 불법 소프트웨어 사용시 라이센스 수량 초과분에 대한 경고 메시지 송출 기능, 소프트웨어 권한관리를 통한 정확한 소프트웨어 종합관리 기능, 소프트웨어, 각종 패치, 백신 등의 직간접 배포 기능 등을 수행한다.The asset management and file distribution unit 412 collects hardware (HDD, MEM, CPU, NIC, video card) information to identify changes in resource changes, software information list, license quantity management function, users and groups File distribution function for each file, warning message transmission for exceeding license quantity when illegal software is used, accurate software comprehensive management function through software authority management, and direct or indirect distribution function of software, various patches, vaccines, etc. are performed.

즉, 모든 자료 및 소프트웨어는 상기 자산관리 및 파일 배포부(412)에서 정의된 그룹단위(본사, 지역, 부서별) 또는 사용자 단위로 구분되어 배포됨으로써 관리자의 업무 부담을 감소시키고 업무의 효율성을 원활히 할 수 있도록 한다.That is, all materials and software are divided and distributed in group units (headquarters, regions, departments) or user units defined in the asset management and file distribution unit 412 to reduce the workload of the administrator and facilitate the work efficiency. To be able.

다시 말해, 도 27을 참고하면, 중앙관리시스템(400)에서 소프트웨어 또는 파일을 지역별/그룹별/사용자별 단위로 배포할 수 있고, 간편하고 신속한 소프트웨어 및 업그레이드(보안패치)로 시간/비용 절감의 효과가 있으며, 이렇게 배포된 소프트웨어는 클라이언트에 의해 자동/수동으로 실행하여 설치할 수 있다.In other words, referring to FIG. 27, the central management system 400 may distribute software or files by region, group, and user, and save time / cost by simple and rapid software and upgrade (security patch). In effect, this distributed software can be installed automatically and manually by the client.

상기와 같이, 자산관리 및 파일 배포부(412)는 하드웨어 및 소프트웨어 설치 정보를 통해 모든 사용 시스템에 대한 자산관리를 제공하며, 이를 토대로 보안상 발생할 수 있는 모든 취약점에 대해 분석/평가를 통해 대응 및 보완할 수 있도록 한다. As described above, the asset management and file distribution unit 412 provides asset management for all using systems through hardware and software installation information, and responds to and analyzes and analyzes all vulnerabilities that may occur in security. Make up for it.

즉, 하드웨어(HDD,MEM,CPU,NIC,VIDEO,VGA,제조사 등) 및 운영체제 설치 정보를 획득하여 기업 전체 시스템을 효율적으로 관리하여 비용절감의 효과를 얻을 수 있도록 한다. 자산 도입부터 운영, 폐기까지 자산 라이프 사이클의 토탈 관리가 실시간으로 통계 및 보고서로 출력되어 관리가 가능하도록 하는 것이다.In other words, by obtaining hardware (HDD, MEM, CPU, NIC, VIDEO, VGA, manufacturer, etc.) and operating system installation information, it is possible to efficiently manage the entire system to achieve cost reduction effects. Total management of the asset life cycle, from asset introduction to operations and disposal, is output in real time as statistics and reports, enabling management.

또한, 소프트웨어 자산관리로 불법복제의 위험으로부터 벗어날 수 있으며, 프로그램 설치 및 라이센스관리를 통해 불법 소프트웨어 관리 및 실행 제한 기능을 통해 기업체의 투명성을 제공해 주고, 불법 소프트웨어나 라이센스 초과시 경고 메시지 송출 또는 사용통제가 가능하도록 하고, 하드웨어별, 운영체제별, 프로그램별 전체 및 단위 통계 기능 소프트웨어, 하드웨어를 올바르게 관리함으로써 기업은 비용절감과 효율적인 구매 및 배포가 가능하도록 한다.In addition, software asset management can be free from the risk of illegal copying, program installation and license management can provide the transparency of the enterprise through illegal software management and execution restriction function, and send warning message or control when illegal software or license is exceeded. And by properly managing hardware, operating system, program-specific and per-unit statistical software, and hardware, companies can reduce costs and efficiently purchase and deploy.

상기 네트워크 관리부(413)는 IP와 컴퓨터 이름을 통한 사용자 관리 기능, MAC 어드레스를 통한 각 사용자의 IP 사용 내역 관리 기능, IP주소-컴퓨터명-사용자명-로그인ID(사번, 실명관리)관리기능, IP변경 및 충돌시 통보 및 모니터링 기능, 관리목록에 있는 모든 클라이언트의 네트워크 사용 여부 모니터링 기능, 사용자 PC의 IP 변경 불가 기능 등을 수행한다. The network manager 413 is a user management function through the IP and computer name, IP usage history management function of each user through the MAC address, IP address-computer name-user name-login ID (company number, real name management) management function, It performs notification and monitoring function in case of IP change and collision, network usage monitoring of all clients in the management list, and IP change of user PC.

상기 침입탐지 관리부(414)는 실시간 침입탐지 모니터링 및 제어기능, 침입탐지시 침입 유형과 공격자 통보기능, 침입시간, 유형, 공격자 등의 로그 저장기능, 비사용자의 인터넷 사용 방지기능, 포트 스캔 및 백도어 탐지기능, 서비스거부공격 탐지기능, 해킹/웜 바이러스 탐지기능, 버퍼 오버플로우 및 익스플로이트(Exploit) 공격 탐지기능 등을 수행한다.The intrusion detection management unit 414 is a real-time intrusion detection monitoring and control function, intrusion detection type and attacker notification function during intrusion detection, intrusion time, type, attacker log storage function, non-user Internet use prevention function, port scan and backdoor It performs detection, detection of denial of service attack, detection of hack / worm virus, buffer overflow and exploit attack.

상기 유해/비업무 사이트 차단부(415)는 관리자에 의해 배포된 비업무/비보안/유해/불건전 사이트 차단 및 접근 불가기능, 시간 스케쥴링에 의한 특정 시간대 차단/허용기능, 관리자 지정 추가 사이트 차단 기능 등을 수행한다. The harmful / non-business site blocking unit 415 performs a non-business / non-security / harmful / unhealthy site blocking and accessibility function distributed by an administrator, a specific time zone blocking / allowing function by time scheduling, an additional site blocking function designated by an administrator, and the like. do.

또한, 중앙관리시스템(400)은 상기와 같은 기능 이외에도 PC 보안의 강화를 위해 상기 중앙관리서버(417)의 제어 및 관리하에 아래와 같은 기능을 수행한다.In addition, the central management system 400 performs the following functions under the control and management of the central management server 417 in order to enhance the PC security in addition to the above functions.

1. 버젼별로 실시간 모듈 업데이트 및 버젼 관리 기능, 1. Real-time module update and version management by version,

2. 사용자 정의에 의한 다양한 통계 및 리포트 기능---보안위배사항(IP변경, 보안정책수정), 침입통계, 자산관리 및 파일배포 내역, SMS(Software Management System), 소프트웨어 목록에 대한 통계 및 리포트,2. Various statistics and reports by user definition --- Security violations (IP change, security policy modification), intrusion statistics, asset management and file distribution history, SMS (Software Management System), statistics and reports on software list ,

3. 메시지 송수신 기능(도 28 참고)---관리자/사용자 레벨에 의한 메시지 알림/전송 기능으로서, 전체/그룹별/개인별 메시지 송수신, 3. Message transmission / reception function (refer to FIG. 28) --- Message notification / transmission function by administrator / user level, message transmission / reception by whole / group / individual,

4. 화면보호기 중앙관리 및 제어기능---다양한 해당 기업의 화면보호기를 제공하여 스케쥴링에 의한 원격 중앙관리,4. Central screening and control function of screen saver --- Remote central management by scheduling by providing screen savers of various companies,

5. 사내/사외 보안정책 이중관리기능---사내(Online)/사외(Offline) 구분하여 이중 보안정책을 관리 및 제어,5. In-house / outside security policy dual management function --- Manage and control dual security policies by dividing in-house / offline

6. 실시간 로그 저장기능(도 29 참고)---기업의 클라이언트 사용자가 사내 및 사외에서 침입/해킹이 발생하였을 때 법적 근거 자료인 로그를 남기므로, 이 해당 로그를 볼 수 있도록 한다. 즉, 클라이언트 각각에 남긴 해당 로그, 즉 침입로그 및 보안위배사항, 자산관리 로그를 실시간 통보하여 모니터링 및 저장한다.6. Real-time log save function (refer to Fig. 29) --- The company's client users leave the log, which is the legal basis when the intrusion / hacking occurs inside and outside the company, so that the log can be viewed. That is, the logs left in each client, that is, intrusion logs, security violations, and asset management logs are notified in real time to be monitored and stored.

7. 그룹별/개인별 통합 관리 기능(도 30 참고)---사용자 환경 범위가 다양하기 때문에 일원화 및 효율화를 위해 그룹단위 혹은 개별 호스트 단위로 관리한다. 중앙 관리자에게 편리한 그룹단위 혹은 개별 PC별 편리한 인터페이스 관리화면을 제공하여 업무효율을 극대화한다.7. Integrated management function for each group / individual (refer to Fig. 30) --- Because the range of user environment is diverse, it is managed by group or individual host unit for unification and efficiency. Maximize work efficiency by providing convenient interface management screen for each group or individual PC to the central manager.

8. 다단계 중앙관리기능(도 31 참고)---메인(Main) 보안관리서버는 로컬(Local) 보안관리서버에서 보내온 데이터를 취합하여, 통계를 분석하며 로컬 보안관리서버 장애 발생시 메인 보안관리서버가 로드 발란싱(Load Balancing)하여 안정성, 신뢰성, 확장성을 갖도록 한다. 특히 전사적 파일 배포시 발생할 수 있는 네트워크 트래픽을 최소화하여 안정성을 확보한다.8. Multi-level central management function (see Fig. 31) --- Main security management server collects data from local security management server, analyzes statistics and analyzes main security management server when local security management server failure occurs. Load balancing to ensure stability, reliability and scalability. In particular, it secures stability by minimizing network traffic that can occur during enterprise-wide file distribution.

9. 다양한 인증매체 지원 및 인증매체 변경 관리기능---다중 인증매체인 USB 키, 스마트 카드, 지문인식 마우스, HDD 등으로 로그인 인증 및 중앙원격관리, 인증매체 분실시 다른 인증매체로 변경 제어,9. Support for various authentication media and management of change of authentication media --- Login authentication and centralized remote management with multiple authentication media such as USB key, smart card, fingerprint mouse, HDD, etc.

10. 오프라인에서 발생한 로그 전송기능(사외에서 발생한 보안위배/해킹 로그 등을 사내(Online)접속시 일괄적으로 로그 전송),10. Offline log transmission function (in case of online security breach / hacking log, etc.)

11. 다양한 이기종 DB지원기능,11. Various heterogeneous DB support function,

12. 기업/기관의 통합보안관리시스템과의 실시간 연동기능,12. Real-time interworking function with integrated security management system of company / institution

13. 부서 정보 및 사용자 정보를 LDAP 서버와 연동기능,13. Function of linking department information and user information with LDAP server,

등의 다양한 기능을 수행한다.Perform various functions such as

상기와 같이, 중앙관리서버(417)는 기업 내부자 및 외부자에 의한 해킹 발생 및 불법 정보유출 사고 발생시 중앙 관리자에게 실시간으로 경고 및 통보가 되어 즉시 대응할 수 있도록 한다. 즉, 기업 전체 클라이언트를 관리하는 서버로, 보안위배사항이나 해킹 발생시 모든 이벤트를 중앙 관리자에게 통보하고, 이는 중앙 관리자가 모든 해킹 및 보안 이벤트 발생을 인식함으로써 기업 네트워크 보안을 점검하고 취약성을 보안할 수 있도록 하는 것이다.As described above, the central management server 417 is alerted and notified to the central manager in real time in the event of hacking and illegal information leakage incident by the inside and outside of the enterprise to be able to respond immediately. In other words, it is a server that manages clients of the entire enterprise. It informs the central administrator of all events in case of security violations or hacking. This enables the central administrator to recognize all hacking and security events and to check corporate network security and secure vulnerabilities. To ensure that

도 32는 본 발명에 따른 문서보안시스템(500)의 블록 구성도로서, 크게 파일/폴더에 대한 실시간 암/복호화 기능, 파일/폴더의 이동 및 복사시 암호화 기능을 수행하는 암/복호화부(511)와, 보안문서의 생성을 관리하고, 사용자별/문서별 다이나믹한 사용권한 설정 및 변경 기능, 보안문서의 생성, 사용에 대한 로깅 및 조회기능, 보안문서에 대한 원격통제 기능 등 각종 기능을 수행함으로써 중요 문서에 대한 보안 정책을 관리하고 제어하는 정책 관리 및 제어부(512)와, 사용자의 문서 사용 내역은 물론 문서 보안 사고 발생시 해당 문서의 사용 내역도 모니터링 및 추적하는 유씨지 추적(Usage Tracing)부(513)를 포함하여 구성된다.32 is a block diagram of a document security system 500 according to the present invention. The encryption / decryption unit 511 performs a real time encryption / decryption function for a file / folder, and an encryption function for moving and copying a file / folder. And manages the creation of security documents, and performs various functions such as setting and changing dynamic permissions for each user / document, creating and logging security documents, logging and inquiring about usage, and remote control of security documents. Policy management and control unit 512 to manage and control the security policy for important documents, and Usage Tracing to monitor and track the user's document usage history and the usage history of the document in the event of a document security incident. 513 is configured.

상기 각 구성의 기능 및 동작을 도면을 참고하여 보다 상세히 설명하면 다음과 같다.The function and operation of the above components will be described in more detail with reference to the drawings.

상기 암/복호화부(511)에서는, 실시간 암/복호화 기능(도 33 참고)을 수행한다. 즉, 보안 폴더로 지정된 특정 디렉토리에 문서 저장시 실시간으로 암/복호화를 지원하며, 중앙관리시스템(400) 및 사용자 PC에서의 암호화도 지원하며 사용자의 편리성을 부여하는 방향으로 기능을 지원한다. 단 한번의 암호화 처리로 인해 사용자는 별도의 작업없이도 문서의 보안을 유지할 수 있다.The encryption / decoding unit 511 performs a real time encryption / decoding function (see FIG. 33). That is, it supports encryption / decryption in real time when storing documents in a specific directory designated as a secure folder, and also supports encryption in the central management system 400 and the user PC and supports functions in a direction to give convenience to the user. A single encryption process allows users to secure documents without any extra work.

그리고, 파일/폴더의 이동 및 복사시 암호화 기능(도 34 참고)을 수행하는데, 즉 일반문서(워드프로세서 파일형태)를 기존 암호화된 폴더에 복사/이동하면 자동 실시간으로 암호화되어 별도의 작업 없이도 암호화 문서의 생성이 가능하다.And, when moving and copying files / folders, the encryption function (see Fig. 34) is performed. That is, when a general document (word processor file type) is copied / moved to an existing encrypted folder, it is automatically encrypted in real time and encrypted without additional work. It is possible to create a document.

상기 정책 관리 및 제어부(512)에서는, 보안문서의 생성, 사용에 대한 로깅 및 조회기능(도 35 참고)을 수행하는데, 문서의 생성 후, 사용자별, 부서별, 기간별, 등 사용내역 조회 및 검색으로 보안문서의 사용여부를 확인하는 부분은 기업의 문서관리를 위해 필요한 부분이다. 즉, 상기 유씨지 추적부(513)을 통해 사용자의 문서 이용 내역 모니터링 및 문서 보안 사고 발생시 해당 문서의 이동 경로 추적이 가능하며, 문서개봉 확인이 가능하여 문서관리가 수월하다.The policy management and control unit 512 performs a logging and inquiry function (refer to FIG. 35) for the generation and use of a security document. After the document is generated, the user history, department, period, etc. can be used to search and search for usage history. Part of checking whether the security document is used is necessary part of the company's document management. That is, through the US tracking unit 513, it is possible to monitor the user's document usage history and to track the movement path of the document when a document security incident occurs, and it is possible to check the document opening to facilitate document management.

그리고, 보안문서에 대한 권한 설정 및 추가기능(도 36 참고)을 수행하는데, 즉 암호화 문서생성/등록/배포 후 조직내의 인사이동 및 조직개편시, 그의 권한에 관한 변경이 수월해야 기업체의 문서보안정책을 효율적으로 운영할 수 있다. 사용시점에 그의 사용권한을 받아 문서를 사용하므로 그의 권한설정 및 변경/수정/추가가 용이하다.Then, the authority setting and additional function (see Fig. 36) for the security document are performed, that is, when the personnel movement and organizational reorganization in the organization after creation / registration / distribution of the encrypted document are easy, the change of his authority must be easy. Policy can be operated efficiently. It is easy to set his rights and change / modify / add his rights because he uses the document with his permission at the point of use.

그리고, 보기/인쇄/저장/복사& 편집(Copy & Paste) 등의 세부제한 기능(도 37)을 수행하는데, 즉 인증받은 사용자는 그에 맞는 문서사용의 권한을 부여받게 되며, 사용자별로 문서의 보기/인쇄/저장/복사 & 편집/기간별 등 세부권한이 부여되어 그에 따른 사용상의 제약이 부여되며, 사용권한을 부여받은 사용자만이 문서 제어 및 사용이 가능하게 된다.And, it performs a detailed restriction function (Fig. 37) such as view / print / save / copy & edit (Copy & Paste), that is, the authenticated user is granted the right to use the document, the view of the document by user Detailed rights such as / print / save / copy & edit / period are granted to restrict usage, and only users who have been given permission to use the document can control and use the document.

그리고, 외부사용자에 대한 보안문서 전달 및 제어기능(도 38 참고)을 수행하는데, 즉 기업의 보안이 요구되는 중요문서를 각종 매체를 통해 안전하게 전송하고, 문서작성자가 지정한 사용자만 정해진 권한 내에서 문서를 이용할 수 있도록 제어함으로써 신뢰성있는 문서교환을 가능하게 한다. 문서의 내부 사용자만의 사용제어뿐만이 아니라 외부 사용자에 대해서도 문서의 교환시의 보안을 보장한다.In addition, it performs security document delivery and control function (see Fig. 38) for external users, that is, securely transmits important documents required for corporate security through various media, and only users designated by the document creator are allowed within the designated authority. By enabling the use of the document to enable reliable document exchange. It ensures the security of exchanging documents for external users as well as the use control of only internal users of documents.

그리고, 온라인 매체를 통한 보안문서 유출방지/사용내역 로깅기능을 수행하는데, 즉 모든 콘텐츠들이 디지털화되어 메일 및 메신저 등 온라인 매체를 통한 문서의 유출 및 그의 배포가 손쉬워졌고, 이에 따라 기업체는 중요문서의 유출에 대한 대안으로, 문서를 암호화/복호화하는 기능을 지원하고, 유즈-라이츠(Use-Rights)로써 권한을 부여받은 사용자만이 문서를 사용하는 기능을 지원하도록 한다.In addition, security document leakage prevention / usage logging function is performed through online media, that is, all contents are digitized to facilitate the leakage and distribution of documents through online media such as mail and messenger. As an alternative to leaks, it supports the ability to encrypt / decrypt documents, and only allows users who are authorized as Use-Rights to use documents.

그리고, 암호화 파일 유출시 접근 통제기능을 수행하는데, 즉 실시간 암호화는 사용자 시점에서 그의 사용권한이 확인되는 유즈-라이츠 체계이므로 파일의 유출에는 상관이 없으며, 그의 권한제어로서 문서의 통제가 가능하다. 암호화 파일을 다운로드한 후 여러 매체로 유출되어도 그의 사용이 불가능하므로 완벽한 문서보안 체계를 구축할 수 있다.In addition, since the access control function is performed when the encrypted file is leaked, that is, the real-time encryption is a use-rights system whose permissions are checked at the user's point of view. Even if the encrypted file is downloaded and leaked to various media, its use is impossible, so a complete document security system can be established.

그리고, 보안문서에 대한 원격통제 기능(도 39 참고)을 수행하는데, 즉 문서의 배포 후에도 문서의 폐기 및 사용자의 권한이 실시간 변경 적용, 문서별 차등권한적용 등 문서의 유연한 정책설정 및 관리가 필요하다. In addition, the remote control function (see FIG. 39) for the security document is performed. That is, even after the document is distributed, the flexible policy setting and management of the document are required, such as the disposal of the document and the application of the user's authority in real time, and the application of the differential authority for each document. Do.

그리고, 보안문서 관리자에 의한 강제 권한 변경 및 통제 기능을 수행하는데, 즉 실시간으로 암호화된 보안문서의 관리가 중앙관리시스템(400)의 중앙관리서버(417)에서 가능하다. 이미 사용자 PC에 보관하고 있는 문서의 모든 권한을 서버(417)에서 통제하므로 강제적인 권한 변경 및 폐기 등 문서의 모든 사용을 관리 운영한다.In addition, the security authority manager performs a forced authority change and control function, that is, the management of the encrypted security document in real time is possible in the central management server 417 of the central management system 400. Since all rights of the documents already stored in the user's PC are controlled by the server 417, all the use of the documents, such as forced authority change and disposal, are managed and operated.

그리고, 워터마킹 기능을 수행하는데, 즉 보안문서 출력시 워터마킹의 삽입으로 출력자의 정보를 확인하여, 온라인 외에 오프라인으로 유출되는 정보의 출처를 확인하여 출력문서의 보안을 강화한다.In addition, the watermarking function is performed, that is, when the security document is output, the information of the outputter is confirmed by inserting the watermarking, and the source of the information leaked off-line besides online is strengthened to enhance the security of the output document.

그리고, LDAP 시스템을 통한 사용자 관리 연동기능을 수행하는데, 즉 문서보안시스템(500)의 사용자 인증을 사용자 프로필 DB서버(600), 즉 LDAP 시스템과 연동에 따른 통합 인증으로 구현하고, 내부직원 및 특정 조직의 임시 사용시에도 그의 연동을 보장 확실한 인증체계로 구현한다.In addition, the user management interworking function is performed through the LDAP system, that is, the user authentication of the document security system 500 is implemented by the integrated authentication according to the user profile DB server 600, that is, interworking with the LDAP system, and the internal staff and specific It guarantees the interworking even in the temporary use of the organization and implements it with a reliable authentication system.

이후, 흐름도를 참고하여 본 발명에 따른 정책기반 네트워크를 이용한 PC의 통합 보안시스템의 전체적인 동작 및 각 시스템의 동작을 설명하도록 한다.After that, the overall operation of the integrated security system of the PC using the policy-based network according to the present invention and the operation of each system will be described with reference to the flowchart.

도 40은 본 발명에 따른 정책기반 네트워크를 이용한 PC 통합 보안시스템의 전체적인 동작을 보인 흐름도로서, 먼저 기업체를 예로 들어, 사용자 클라이언트(100), 즉 PC를 통해 사용자 ID와 비밀번호(Password)를 입력하여 해당 기업체 사이트에 로그 온을 하게 되면(S11), 사용자 클라이언트(100)에서는 이 입력된 사용자 ID와 비밀번호를 인터넷(800)을 통해 사용자 프로필 DB 서버(600), 즉 LDAP 서버로 전송한다(S12).40 is a flowchart illustrating the overall operation of a PC integrated security system using a policy-based network according to the present invention. First, an enterprise is taken as an example, and a user ID and a password are input through a user client 100, that is, a PC. When the user logs on to the corporate site (S11), the user client 100 transmits the input user ID and password to the user profile DB server 600, that is, the LDAP server through the Internet 800 (S12). .

이어, 상기 LDAP 서버는 전송된 사용자 ID와 비밀번호를 자신의 DB에 저장되어 있는지 확인하여(S13), 사용자 ID와 비밀번호가 맞는 경우라면, 중앙관리시스템(400)의 중앙관리서버(417)가 보안 및 네트워크, 자산 등 해당 정책관리를 위한 동작을 시작한다(S14).Subsequently, the LDAP server checks whether the transmitted user ID and password are stored in its DB (S13), and if the user ID and password are correct, the central management server 417 of the central management system 400 is secured. And an operation for managing a corresponding policy such as a network and an asset (S14).

그리고, 상기 LDAP 서버는 다시 사용자 클라이언트(100)로 SID(System IDentifier)값을 전송하고(S15), 이 SID 값을 전송받은 사용자 클라이언트(100) PC는 SID 값을 통해 인증서버(700)로 도메인 공유를 요청한다(S16).In addition, the LDAP server transmits a SID (System IDentifier) value to the user client 100 again (S15), and the user client PC having received the SID value transmits the domain to the authentication server 700 through the SID value. Request to share (S16).

이에 따라, 상기 인증서버(700)는 SAMBA 데몬을 이용하여 상기 LDAP 서버와 다시한번 사용자 ID 및 비밀번호가 맞는지 확인하여(S17), 맞지 않다면 현재 네트워크의 사용 여부를 확인하여(S18), 네트워크를 사용하고 있지 않다면 싱글 네트워크 PC로서 네트워크 미사용 상태로 간주하고(S20), 네트워크를 사용하고 있다면 강제로 로그 아웃시키도록 한다(S19).Accordingly, the authentication server 700 checks whether the user ID and password are correct again with the LDAP server using the SAMBA daemon (S17), and if not, checks whether the current network is used (S18), and uses the network. If not, it is assumed that the network is not in use as a single network PC (S20), and if a network is used, it is forced to log out (S19).

상기 단계(S17)의 확인 결과, 사용자 ID와 비밀번호가 맞다면 상기 LDAP 서버를 통해 사용자 스크립트를 실행한 후(S21), 중앙관리시스템(400)내 중앙관리서버(417)의 정책 관리 및 제어에 따라 정책기반 네트워크(200)를 동작하도록 한다(S22).As a result of checking in step S17, if the user ID and password are correct, after executing the user script through the LDAP server (S21), the policy management and control of the central management server 417 in the central management system 400 According to the policy-based network 200 to operate (S22).

그리고, 중앙관리서버(417)의 정책 관리 및 제어에 따라 상기 PC보안시스템(300)에 의한 PC보안서비스를 동작하고(S23), 또한 문서보안시스템 (500)에 의한 문서보안서비스도 동작하도록 한다(S24).Then, according to the policy management and control of the central management server 417 to operate the PC security service by the PC security system 300 (S23), and also to operate the document security service by the document security system 500. (S24).

도 41은 상기 정책기반 네트워크(200)의 동작을 보인 흐름도로서, 우선 정책기반 네트워크(200)에서 사용자는 비인증(Unauthorized) 존에 할당되어 인증 여부에 따라 존의 이동이 나타나게 된다.FIG. 41 is a flowchart illustrating the operation of the policy-based network 200. First, in the policy-based network 200, a user is assigned to an unauthorized zone, and the movement of the zone appears according to whether or not authentication is performed.

즉, 사용자가 비인증 존에 할당된 상태에서 정책기반 네트워크(200)가 시작되면(S31), 먼저 인증서버(700)와 정책기반 네트워크(200)의 SEC(211)간에 LWZAPI 과정을 실행하게 되는데(S32), 즉 인증서버(700)로부터 사용자에 대한 영역(존) 정보를 다운로드하여(S33), 사용자 클라이언트(100)의 MAC 어드레스 및 IP 어드레스를 미리 매핑된 MAC 어드레스 및 IP 어드레스와 비교하여 맞는지를 확인한다(S34,S35).That is, when the policy-based network 200 is started in the state where the user is assigned to the non-authenticated zone (S31), first, the LWZAPI process is executed between the authentication server 700 and the SEC 211 of the policy-based network 200 ( S32), i.e., the zone (zone) information for the user is downloaded from the authentication server 700 (S33), and the MAC address and IP address of the user client 100 are compared with the pre-mapped MAC address and IP address to see if they are correct. Check (S34, S35).

상기 단계(S34,S35)의 확인 결과, MAC 어드레스 및 IP 어드레스가 맞지 않다면, 네트워크 미사용 상태로 간주하고(S36), 맞다면 사용자, 즉 사용자 클라이언트(100)의 IP를 인증서버(700)의 사용자 존에 포함시킨 후 미리 정의된 존 정책에 대응하여 PC 사용 및 액세스 권한을 부여받는다(S37).If the MAC address and the IP address are not correct as a result of the checking in the steps S34 and S35, the network is considered to be in an unused state (S36), and if it is correct, the user, that is, the IP of the user client 100 is the user of the authentication server 700. After being included in the zone, the user is given access to the PC in accordance with the predefined zone policy (S37).

이후, 상기 정책을 통해 모든 트래픽에 대한 통과 허용 및 액세스 여부를 확인하여(S38), 통과 허용 및 액세스가 가능하다면 트래픽의 정상 유무를 다시 확인하여(S39) 정상 트래픽으로서 비유해 트래픽인 경우에는 정상적인 통신을 진행하도록 하고(S40), 통과 허용 및 액세스가 불가능하거나 정상적인 트래픽이 아니라면 트래픽을 드롭시키도록 한다(S41).Thereafter, through the above policy, it is checked whether the traffic is allowed to pass and whether it is accessible (S38), and if the pass is allowed and accessible, the traffic is normally checked again (S39). If the communication proceeds (S40), allowing the pass and access is impossible or normal traffic to drop the traffic (S41).

도 42는 상기 PC보안시스템(300)의 동작을 보인 흐름도로서, 제어관리부(320)에서는 상기 중앙관리시스템(400)내 중앙관리서버(417)의 PC보안정책에 따라 PC의 보안을 제어 및 관리하게 되는데, 먼저 사용자 프로필 DB서버(600)에 저장되어 있는 해당 사용자 PC의 사용자 정보를 토대로 디바이스에 대한 사용권한, 예를 들면, CD-ROM 등 저장매체 권한, 부팅 제어 및 화면잠금 권한, 모뎀 등 통신매체 권한, 소프트웨어 사용권한을 설정하여 PC에 대한 보안 제어를 수행한다(S51).42 is a flowchart showing the operation of the PC security system 300, the control management unit 320 controls and manages the security of the PC according to the PC security policy of the central management server 417 in the central management system 400 First, based on the user information of the corresponding user PC stored in the user profile DB server 600, the authority for the device, for example, the authority of the storage medium such as CD-ROM, boot control and screen lock authority, modem, etc. The control of the PC is performed by setting a communication medium right and a software use right (S51).

이어, 사용자별 또는 사용자 PC별로 설정되어 있는 PC 및 서버 접근 정책, 그리고 PC 및 서버 보안정책을 수행한다(S52).Subsequently, a PC and server access policy and a PC and server security policy set for each user or for each user PC are performed (S52).

즉, 정책기반 네트워크(200)의 접근 허용 존(Zone)에 따라 접근 가능한 PC 및 서버에 접근하는 경우(S53), PC 및 서버에 대한 접근권한 여부를 확인하여(S54), PC 및 서버에 대한 접근권한이 있다면 어플리케이션 방화벽과 같이 PC 보안을 위한 네트워크 관련의 보안 기능을 동작시키도록 하고(S55), 접근권한이 없다면 PC 및 서버 접근을 불가하도록 한다(S56).That is, when accessing the accessible PC and server according to the access permission zone of the policy-based network 200 (S53), by checking whether the access authority for the PC and server (S54), for the PC and server If there is an access right to operate the network-related security functions for PC security, such as application firewall (S55), and if there is no access right to access the PC and server (S56).

도 43은 상기 문서보안시스템(500)의 동작을 보인 흐름도로서, 정책 관리 및 제어부(512)에서는 상기 중앙관리시스템(400)내 중앙관리서버(417)의 통제에 따라 보안문서의 생성을 관리하고, 사용자별 또는 문서별로 사용권한을 설정하게 되는데, 즉 사용자가 인증을 받은 경우 이 사용자에게 사용자별 또는 문서별로 설정된 사용권한을 토대로 암/복호화부(511)에서 보안문서에 대한 암호화를 수행할 수 있도록 한다(S71).43 is a flowchart showing the operation of the document security system 500. The policy management and control unit 512 manages the generation of security documents under the control of the central management server 417 in the central management system 400. If the user is authenticated, the encryption / decryption unit 511 can encrypt the security document based on the permission set for the user or for each document. (S71).

이후, 암호화된 보안문서를 다운로드하기 위해서는 다운로드 권한 여부를 확인해야 하며(S72), 이때 다운로드 권한이 없다면 사용자 다운로드 불가로 간주하고(S74), 다운로드 권한이 있다면 해당 보안문서를 다운로드한 후 문서열기를 실행하고(S73), 다시한번 보안문서 접근에 대한 사용권한 여부를 확인한다(S75).Thereafter, in order to download the encrypted secured document, it is necessary to check whether or not the download permission (S72). If there is no download permission, the user is considered to be impossible to download (S74). Execution (S73), once again check whether the permission for accessing the secure document (S75).

상기 단계(S75)의 확인 결과, 보안문서 접근에 대한 사용권한이 있다면, 해당 사용권한, 예를 들면, 저장 및 사본 저장, 화면 복사, 복사 및 편집 여부, 출력제어, 시간 변경 등의 사용권한에 따라 문서를 접근하도록 하고(S76), 보안문서 접근에 대한 사용권한이 없다면 상기 다운로드 권한이 없을 때와 마찬가지로 경고화면을 디스플레이하도록 한다(S77).As a result of checking in step S75, if there is a right to access the secured document, the right to use the right, for example, storage and copy storage, screen copying, copying and editing, output control, time change, etc. The document is accessed (S76), and if there is no permission to access the secure document, a warning screen is displayed as in the case where there is no download permission (S77).

이후, 모든 문서에 대한 암호화 및 로그, 사용현황 및 변조, 출력, 복사 등의 사용정보를 유씨지 추적부(513)를 통해 기록하도록 한다(S78).Afterwards, the usage information such as encryption and logs, usage status and modulation, output, and copy of all documents are recorded through the US tracking unit 513 (S78).

이상, 상기에서 설명한 바와 같이 본 발명은 정책기반 네트워크의 인증 및 사용자별 권한부여를 통해 네트워크의 자원 접근/사용을 통제 및 제어하고, 침입차단시스템과 침입탐지시스템 및 바이러스월 등의 각종 PC 보안기능을 수행하는 PC보안시스템과 중요 보안 문서에 대한 실시간 암/복호화 기능 및 사용권한 설정기능 등의 각종 문서보안 기능을 수행하는 문서보안시스템을 구비함으로써 온/오프라인상의 각종 불법 침입으로부터 PC에 대한 완벽하고 강력한 정보 보안을 구현할 수 있게 되는 효과가 있다.As described above, the present invention controls and controls resource access / use of the network through authorization of a policy-based network and authorization by user, and various PC security functions such as an intrusion prevention system, an intrusion detection system, and a virus wall. It is equipped with a PC security system that executes a document security system that performs various document security functions such as a real-time encryption / decryption function and an authority setting function for important security documents, and is fully equipped with This has the effect of enabling strong information security.

그리고, 상기 정책기반 네트워크 및 PC보안시스템에 의한 PC 보안 정책 관리와 자산 및 네트워크 관리를 집중 제어함으로써 PC에 대한 일관되고 유연한 보안 및 자산 관리 통제성으로 업무 집중의 효율성 및 정보 자산의 보안 신뢰성을 향상시킬 수 있게 되는 효과가 있다.In addition, the centralized control of PC security policy management and asset and network management by the policy-based network and PC security system improves efficiency of work concentration and security reliability of information assets with consistent and flexible security and asset management control of the PC. It has the effect of being able to.

즉, 내/외부자에 의한 불법 행위 차단, 웜 바이러스의 탐지 및 차단, 유해/불건전/특정 사이트 접속 차단, 효율적인 소프트웨어 사용 상태 관리, 불법 소프트웨어 사용 차단, 오남용으로부터의 회복시간 단축, 해킹 탐지/분석/조치/복구 등 대응 시간의 최소화, 중요 정보의 암호화를 통한 불법 유출 봉쇄, 매체제어를 통한 중요 정보의 불법 반출 봉쇄, 메신저, 전자메일 등 온라인을 통한 불법 유출 봉쇄, 등, 완벽한 PC 보안과 관리 체계를 구축할 수 있다.In other words, prevention of illegal activities by internal / external parties, detection and blocking of worm virus, prevention of harmful / unhealthy / specific site access, efficient management of software use status, prevention of illegal software use, reduction of recovery time from misuse, hack detection / analysis Perfect PC security and management, such as minimizing response time / action / recovery, blocking illegal leakage through encryption of sensitive information, blocking illegal export of important information through media control, and blocking illegal leakage via online such as messenger and e-mail You can build a system.

도 1은 본 발명에 따른 정책기반 네트워크를 이용한 PC 통합 보안시스템의 전체적인 블록 구성도.1 is an overall block diagram of a PC integrated security system using a policy-based network according to the present invention.

도 2는 본 발명에 따른 정책기반 네트워크의 영역간 이동을 설명하기 위한 도면.2 is a diagram for explaining inter-region movement of a policy-based network according to the present invention;

도 3은 본 발명에 따른 PC보안시스템의 블록 구성도.Figure 3 is a block diagram of a PC security system according to the present invention.

도 4 내지 도 25는 PC보안시스템의 상세 기능을 설명하기 위한 도면.4 to 25 are diagrams for explaining the detailed functions of the PC security system.

도 26은 본 발명에 따른 중앙관리시스템의 블록 구성도.26 is a block diagram of a central management system according to the present invention.

도 27 내지 도 31은 중앙관리시스템의 상세 기능을 설명하기 위한 도면.27 to 31 are views for explaining the detailed function of the central management system.

도 32는 본 발명에 따른 문서보안시스템의 블록 구성도.32 is a block diagram of a document security system according to the present invention.

도 33 내지 도 39는 문서보안시스템의 상세 기능을 설명하기 위한 도면.33 to 39 are diagrams for explaining detailed functions of the document security system.

도 40은 본 발명에 따른 정책기반 네트워크를 이용한 PC 통합 보안시스템의 전체적인 동작을 보인 흐름도.40 is a flowchart illustrating the overall operation of a PC integrated security system using a policy-based network according to the present invention.

도 41은 본 발명에 따른 정책기반 네트워크의 동작을 보인 흐름도.41 is a flowchart illustrating operation of a policy based network according to the present invention.

도 42는 본 발명에 따른 PC보안시스템의 동작을 보인 흐름도.42 is a flowchart showing the operation of the PC security system according to the present invention.

도 43은 본 발명에 따른 문서보안시스템의 동작을 보인 흐름도.43 is a flowchart showing the operation of the document security system according to the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

100 : 사용자 클라이언트 200 : 정책기반 네트워크100: user client 200: policy based network

300 : PC보안시스템 400 : 중앙관리시스템300: PC security system 400: Central management system

500 : 문서보안시스템 600 : 사용자 프로필 DB서버500: document security system 600: user profile DB server

700 : 인증서버 800 : 인터넷700: authentication server 800: Internet

Claims (47)

네트워크 정책을 기반으로 부여되는 사용권한에 따라 네트워크의 접근이 가능하고 PC내 해당 정보 자산을 사용 및 취급할 수 있는 사용자 클라이언트와, User clients who can access the network and use and handle the information assets in the PC according to the permission granted based on the network policy, 사용자 및 업무 성격에 따라 차별화된 네트워크 자원의 접근/사용권한을 부여하는 정책을 수행함으로써 PC에 대한 보안기능을 강화하는 정책기반 네트워크와,Policy-based network that strengthens PC security function by executing policy that grants access / use authority of differentiated network resources according to user and work characteristics. 보안 및 자산 관리 정책에 따라 상기 사용자 클라이언트에 대해 침입차단시스템과 침입탐지시스템 및 바이러스월 등의 각종 PC 보안기능을 수행하는 PC보안시스템과, A PC security system that performs various PC security functions such as an intrusion prevention system, an intrusion detection system, and a virus wall to the user client according to a security and asset management policy; 상기 정책기반 네트워크의 사용자별 권한부여를 통한 네트워크의 접근 통제를 관리 및 제어하고, 상기 PC보안시스템에 의한 PC 보안 정책 관리 및 네트워크 관리와 PC의 자산 관리를 집중 제어하는 중앙관리시스템과, A central management system that manages and controls access control of the network through authorization of each user of the policy-based network, and centrally controls PC security policy management and network management and PC asset management by the PC security system; 상기 중앙관리시스템의 문서 보안 정책 관리 및 제어에 따라 상기 사용자 클라이언트의 보안 문서에 대해 실시간 암/복호화 기능 및 사용권한 관리기능, 워터 마킹 등의 각종 문서보안기능을 수행하는 문서보안시스템과, A document security system for performing various document security functions such as real-time encryption / decryption function, usage rights management function, watermarking, etc., for the security document of the user client according to document security policy management and control of the central management system; 인증서 정보, 인증서 폐지 목록, 사용자 정보를 저장하고 있는 사용자 프로필 DB서버와, A user profile DB server that stores certificate information, certificate revocation list, and user information; 사용자에 대한 영역별, 소속 및 업무별 사용권한정보를 저장하고 있어, 상기 사용자 클라이언트의 네트워크 자원의 접근제어와 PC 보안 및 문서보안을 위한 사용자 인증 여부를 확인하는 인증서버와, Authentication server for storing the user's permission information by area, affiliation and work for the user, to check the access control of the network resources of the user client and the user authentication for PC security and document security, 상기 사용자 클라이언트, 정책기반 네트워크, PC보안시스템, 중앙관리시스템, 문서보안시스템, 사용자 프로필 DB서버, 인증서버 상호간에 소정의 데이터 통신이 가능하도록 한 인터넷으로 구성된 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.PC using a policy-based network, characterized in that the user client, policy-based network, PC security system, central management system, document security system, user profile DB server, the Internet to enable a predetermined data communication between the authentication server Integrated security system. 제1항에 있어서,The method of claim 1, 상기 정책기반 네트워크를 통해, 내부 사용자에 의한 불법적인 네트워크 자원 접근제어기능, 사용자 인증을 통한 하드웨어 기반의 권한부여 기능, 영역을 기반으로 한 네트워크 접근 통제기능, 소속 및 업무별 세부적인 권한부여 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.Through the policy-based network, illegal network resource access control function by internal users, hardware-based authorization function through user authentication, network access control function based on area, and detailed authorization function per organization and task Integrated security system of a PC using a policy-based network, characterized in that performing. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서, 다양한 사용자 프로필 DB서버와의 호환 및 통합 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy-based network, the integrated security system of the PC using the policy-based network, characterized in that to perform the compatibility and integration functions with various user profile DB server. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서, 유연한 존기반의 접근제어 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy-based network, the integrated security system of the PC using a policy-based network, characterized in that to perform a flexible zone-based access control function. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서, 10/100/1000M 등의 풀 기가비트 성능 지원기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy-based network, the integrated security system of the PC using a policy-based network, characterized in that to perform a full gigabit performance support function, such as 10/100 / 1000M. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서, QoS 기능을 통해 사용자의 요구에 대한 최대 대역폭 사용량 관리기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy-based network, the integrated security system of the PC using the policy-based network, characterized in that to perform the maximum bandwidth usage management function for the user's request through the QoS function. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서, VLAN 지원 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy-based network, the integrated security system of the PC using a policy-based network, characterized in that to perform a VLAN support function. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서, 윈도우즈 지원 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy-based network, the integrated security system of the PC using a policy-based network, characterized in that for performing a Windows support function. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서, 네트워크 접근 권한의 기한을 위해 아이들 세션 타이머/세션 타이머 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy-based network, the integrated security system of the PC using the policy-based network, characterized in that to perform the idle session timer / session timer function for the time limit of the network access authority. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서, 탑 플로우와 시스로그를 사용한 트래픽 정보 확인기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy-based network, the integrated security system of the PC using the policy-based network, characterized in that to perform the traffic information confirmation function using the top flow and the Syslog. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서, 안티-스프핑 정책 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy-based network, the integrated security system of the PC using a policy-based network, characterized in that to perform an anti-spoofing policy function. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서, 멀티플 사용자 DB 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy-based network, the integrated security system of the PC using a policy-based network, characterized in that to perform a multiple user DB function. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크에서의 영역이, 동일한 접근 권한/제어를 가지는 사용자 및 서버들의 논리적인 그룹인 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.The integrated security system of the PC using the policy-based network, characterized in that the domain in the policy-based network is a logical group of users and servers having the same access rights / control. 제2항 또는 제13항에 있어서,The method according to claim 2 or 13, 상기 영역이, The area, 보안 인증을 받지 않은 모든 사용자들이 초기에 할당받는 비인증 존, 보인 인증을 받은 사용자들이 할당되는 인증 존, 내부 공인 존으로서 주요 자원들이 존재하는 디폴트 존, 인터넷의 모든 호스트 및 사용자들이 존재하는 월드 존으로 이루어진 프리_디파인드 존과, Unauthenticated zone to which all unauthenticated users are initially assigned, authenticated zone to which authenticated users are assigned, default zone with key resources as internal authorized zone, world zone with all hosts and users on the Internet. Pre-defined zone, 사용자가 접근권한을 받기 위해 이동하는 사용자 정의 존, 상기 디폴트 존상의 자원중 별도의 보안 정책을 적용하기 위해 구분한 서버들의 논리적인 그룹인 서버 존으로 이루어진 컨피규레블 존으로 구성되는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.A user-defined zone that a user moves to receive access rights, and a configuration zone consisting of a server zone that is a logical group of servers divided to apply a separate security policy among the resources on the default zone. Integrated security system of PC using policy based network. 제14항에 있어서, The method of claim 14, 상기 사용자 정의 존의 경우, 존별로 각기 다른 정책 및 접근권한을 갖는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the case of the user-defined zone, the integrated security system of the PC using a policy-based network, characterized in that each zone has different policies and access rights. 제2항 또는 제13항에 있어서,The method according to claim 2 or 13, 상기 영역 할당의 경우, 사용자가 초기에 비인증 존에 할당된 후, 보안 인증을 받은 후에 사전에 정의된 존으로 이동하여 해당하는 접근권한을 갖는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the case of the realm allocation, after the user is initially assigned to the non-authenticated zone, after the security authentication, the user moves to a predefined zone and has a corresponding access right. . 제2항 또는 제13항에 있어서,The method according to claim 2 or 13, 상기 영역에 할당된 사용자가 네트워크에서 로그아웃하거나 세션이 종료되는 경우 자동으로 비인증 존에 할당되는 타이머에 의한 세션 관리 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.Integrated security system of a PC using a policy-based network, characterized in that for performing a session management function by a timer that is automatically assigned to an unauthorized zone when a user assigned to the area logs out of the network or the session is terminated. 제2항에 있어서,The method of claim 2, 상기 정책기반 네트워크의 네트워크 구성이, 투르 엣지 및 게이트 키퍼 기능을 조합한 하이브리드 방식을 적용하여 이루어지는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.Network configuration of the policy-based network, the integrated security system of the PC using a policy-based network, characterized in that by applying a hybrid method that combines the Tour Edge and the gatekeeper function. 제1항에 있어서,The method of claim 1, 상기 PC보안시스템이, 커넬 기반의 다단계 침입차단 보안기술을 적용한 데이터 링크 계층에서 PC내 불법 접근을 차단하는 PC용 침입차단부와, The PC security system, the PC intrusion blocking unit for blocking illegal access in the PC at the data link layer applying the multi-level intrusion prevention security technology, 호스트 기반의 불법 침입자를 탐지 및 차단하는 PC용 침입탐지부와, Intrusion detection unit for PC that detects and blocks host-based intruders, 신종 해킹/웜 바이러스를 탐지 및 차단하는 PC 바이러스 월과,PC virus walls that detect and block new hacking / worm viruses, 프로그램 단위로 인터넷 접근을 제어 및 감시하는 어플리케이션 방화벽과,An application firewall that controls and monitors Internet access on a program-by-program basis, 유해/비업무 사이트를 차단하는 웹 콘텐츠 필터링부와, A web content filtering unit that blocks harmful / non-business sites, 파일/폴더내 정보를 실시간 암복호화는 파일/폴더 암복호화부와, The file / folder encryption / decoding unit for real-time encryption / decryption of file / folder information, 인증 미디어를 통한 부팅 제어 및 화면 잠금을 수행하는 부팅 제어 및 화면 잠금부와, A boot control and screen lock that performs boot control and screen lock via authentication media, 온/오프라인상의 정보 유출을 방지하는 매체 제어부와, A media control unit for preventing information leakage on / offline; PKI 기반의 인증서를 통한 윈도우 로그인 기능을 통해 통합 사용자 인증을 수행하는 사용자 인증부와, User authentication unit that performs integrated user authentication through the Windows login function through a PKI-based certificate, 상기 중앙관리시스템의 제어 및 관리상황에 따라 상기 각 구성 블록들의 동작을 제어 및 관리하는 제어관리부를 포함하여 구성되는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.Integrated security system of a PC using a policy-based network, characterized in that it comprises a control management unit for controlling and managing the operation of each of the building blocks in accordance with the control and management of the central management system. 제19항에 있어서,The method of claim 19, 상기 PC용 침입차단부에서, 핑 접근제어 기능, 파일공유 접근제어 기능, 비인가된 TCP/UDP/ICMP의 차단 기능, 양방향 PC 방화벽 기능, 실시간 네트워크 트래픽 모니터링 기능, 실시간 어플리케이션 모니터링 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the PC intrusion blocker, the ping access control function, file sharing access control function, the unauthorized TCP / UDP / ICMP blocking function, bidirectional PC firewall function, real-time network traffic monitoring function, real-time application monitoring function Integrated security system of PC using policy based network. 제19항에 있어서, The method of claim 19, 상기 PC용 침입탐지부에서, 포트 스캔 공격 탐지 및 차단, 경고 기능, DoS 방어 기능, 웹서비스 취약성 공격 탐지 기능, 침입로그 및 IDS 정책 기능, 해킹 탐지시 중앙관리자 통보 기능, 해킹 패턴 제공 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the PC intrusion detection unit, port scan attack detection and blocking, warning function, DoS defense function, web service vulnerability attack detection function, intrusion log and IDS policy function, central administrator notification function when hacking detection, hacking pattern providing function Integrated security system of a PC using a policy-based network, characterized in that. 제19항에 있어서,The method of claim 19, 상기 PC용 바이러스월에서, 신종 해킹/웜 바이러스 차단 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.The integrated security system of the PC using a policy-based network, characterized in that performing a new hack / worm virus blocking function in the PC virus wall. 제19항에 있어서,,The method of claim 19, 상기 어플리케이션 방화벽에서, 프로그램 단위의 인터넷 접근제어 기능, 어플리케이션 필터 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the application firewall, the integrated security system of the PC using a policy-based network, characterized in that for performing the program access Internet access control function, application filter function. 제19항에 있어서,The method of claim 19, 상기 웹 콘텐츠 필터링부에서, 유해/비업무 사이트 차단 기능, 특정 업무시간대 차단 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.The web content filtering unit, the integrated security system of the PC using a policy-based network, characterized in that to perform a harmful / non-business site blocking function, a specific business time blocking function. 제19항에 있어서,The method of claim 19, 상기 제어관리부의 제어에 따라, 공유폴더 관리기능 및 비밀번호 관리기능을 더 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.Under the control of the control management unit, the integrated security system of the PC using a policy-based network, characterized in that for further performing a shared folder management function and password management function. 제1항에 있어서,The method of claim 1, 상기 중앙관리시스템이, 침입차단 정책, 침입탐지 정책 등의 PC 보안 관련의 정책을 수립하여 상기 PC보안시스템의 보안 정책을 관리하는 보안정책관리부와, A security policy management unit configured to manage the security policy of the PC security system by establishing a PC security related policy such as an intrusion blocking policy and an intrusion detection policy by the central management system; 하드웨어 및 소프트웨어 설치 정보를 통해 모든 사용 시스템에 대한 소프트웨어, 프로그램 설치 및 라이센스 관리 등의 자산관리기능을 수행하고, 모든 자료 및 소프트웨어를 그룹 또는 사용자 단위로 배포하는 자산관리 및 파일 배포부와,Asset management and file distribution unit that performs asset management functions such as software, program installation and license management for all used systems through hardware and software installation information, and distributes all materials and software by group or user unit, IP 관리 및 IP와 컴퓨터를 통한 사용자 관리 기능을 수행하고, 네트워크 사용 여부를 모니터링하는 네트워크 관리부와, A network management unit that performs IP management and user management through IP and computers, and monitors network usage; 각종 침입탐지에 대한 실시간 모니터링 및 침입탐지 해당 로그를 저장하는 침입탐지 관리부와, Intrusion detection management unit for real-time monitoring and intrusion detection corresponding log for various intrusion detection, 유해/비업무/비보안/불건전 사이트를 차단하는 유해/비업무 사이트 차단부와, A harmful / non-business site blocking unit that blocks harmful / non-business / non-secure / unhealthy sites, 매체에 대한 사용권한을 관리하는 매체 제어부와, A media control unit that manages the use rights of the media, 상기 각 구성 블록들의 동작을 제어 및 관리하며, 모듈별 실시간 업데이트 관리 기능, 다중 인증 미디어 관리 기능, 화면 보호 기능, 다단계 중앙 분산 통합 관리 기능 등, 각 사용자 PC의 보안을 위한 중앙 집중적 제어 및 관리를 수행하는 중앙관리서버로 구성되는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.It controls and manages the operation of each of the configuration blocks, and provides centralized control and management for the security of each user PC, such as real-time update management function for each module, multi-authentication media management function, screen protection function, and multi-level centralized distributed management function. Integrated security system of a PC using a policy-based network, characterized in that consisting of a central management server to perform. 제26항에 있어서,The method of claim 26, 상기 자산관리 및 파일 배포부에서, 하드웨어 정보를 수집하여 자원 변동시 변동 사항 통보 기능, 소프트웨어 정보 목록을 파악하고 라이센스 수량 관리 기능, 사용자 및 그룹별 파일 배포 기능, 불법 소프트웨어 사용시 라이센스 수량 초과분에 대한 경고 메시지 송출 기능, 소프트웨어 권한관리를 통한 정확한 소프트웨어 종합관리 기능, 소프트웨어, 각종 패치, 백신 등의 직간접 배포 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.The asset management and file distribution unit collects hardware information to notify changes in resource changes, identify software information lists, manage license quantity, distribute files by user and group, and warn of excess license quantity when using illegal software. Integrated security system of PC using policy-based network, which performs message sending function, accurate software comprehensive management function through software authority management, direct and indirect distribution function of software, various patches, vaccines, etc. 제26항에 있어서,The method of claim 26, 상기 네트워크 관리부에서, IP와 컴퓨터 이름을 통한 사용자 관리 기능, MAC 어드레스를 통한 각 사용자의 IP 사용 내역 관리 기능, IP주소-컴퓨터명-사용자명-로그인ID 관리 기능, IP변경 및 충돌시 통보 및 모니터링 기능, 관리목록에 있는 모든 클라이언트의 네트워크 사용 여부 모니터링 기능, 사용자 PC의 IP 변경 불가 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the network management unit, user management function through IP and computer name, IP usage history management function of each user through MAC address, IP address-computer name-user name-login ID management function, IP change and collision notification and monitoring The integrated security system of the PC using a policy-based network, characterized in that the function, the network usage monitoring of all clients in the management list, and the ability to change the IP of the user PC. 제26항에 있어서, The method of claim 26, 상기 침입탐지 관리부에서, 실시간 침입탐지 모니터링 및 제어 기능, 침입탐지시 침입 유형과 공격자 통보 기능, 침입시간, 유형, 공격자 등의 로그 저장 기능, 비사용자의 인터넷 사용 방지 기능, 포트 스캔 및 백도어 탐지 기능, 서비스거부공격 탐지 기능, 해킹/웜 바이러스 탐지 기능, 버퍼 오버플로우 및 익스플로이트 공격 탐지 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the intrusion detection management unit, real-time intrusion detection monitoring and control function, intrusion detection type and attacker notification function when intrusion detection, intrusion time, type, attacker log storage function, non-user Internet use prevention function, port scan and backdoor detection function Integrated security system of a PC using a policy-based network, characterized in that the service denial detection detection, hack / worm virus detection, buffer overflow and exploit attack detection. 제26항에 있어서,The method of claim 26, 상기 유해/비업무 사이트 차단부에서, 관리자에 의해 배포된 비업무/비보안/유해/불건전 사이트 차단 및 접근 불가 기능, 시간 스케쥴링에 의한 특정 시간대 차단/허용 기능, 관리자 지정 추가 사이트 차단 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the harmful / non-business site blocking unit, the non-business, non-security / harmful / unhealthy site blocking and accessibility function distributed by the administrator, the specific time zone blocking / allowing function by time scheduling, additional site blocking function specified by the administrator performs Integrated security system of PC using policy based network. 제26항에 있어서, The method of claim 26, 상기 중앙관리서버의 제어에 따라, 버젼별로 실시간 모듈 업데이트 및 버젼 관리 기능, 사용자 정의에 의한 다양한 통계 및 리포트 기능, 메시지 송수신 기능, 화면보호기 중앙관리 및 제어 기능, 사내/사외 보안정책 이중관리기능, 실시간 로그 저장기능, 그룹별/개인별 통합 관리 기능, 다단계 중앙관리기능, 다양한 인증매체 지원 및 인증매체 변경 관리 기능, 오프라인에서 발생한 로그 전송 기능, 다양한 이기종 DB지원 기능, 기업/기관의 통합보안관리시스템과의 실시간 연동 기능, 부서 정보 및 사용자 정보를 인증서버와 연동 기능을 더 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.Under the control of the central management server, real-time module update and version management function by version, various statistics and reports by user definition, message transmission and reception function, screen saver central management and control function, internal / external security policy dual management function, Real-time log storage function, integrated management function for each group / individual, multi-level central management function, various authentication medium support and authentication medium change management function, offline log transmission function, various heterogeneous DB support function, corporate / institution integrated security management system The integrated security system of the PC using a policy-based network, characterized in that the real-time interworking function, department information and user information with the authentication server. 제1항에 있어서,The method of claim 1, 상기 문서보안시스템이, 파일/폴더에 대한 실시간 암/복호화 기능, 파일/폴더의 이동 및 복사시 암호화 기능을 수행하는 암/복호화부와, An encryption / decryption unit configured to perform a real-time encryption / decryption function for a file / folder, an encryption function when the file / folder is moved and copied; 중요 문서에 대한 보안 정책을 관리하고 제어하는 정책 관리 및 제어부와, Policy management and control to manage and control security policies for sensitive documents, 사용자의 문서 사용 내역은 물론 문서 보안 사고 발생시 해당 문서의 사용 내역도 모니터링 및 추적하는 유씨지 추적부를 포함하여 구성되는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.The integrated security system of the PC using a policy-based network, characterized in that it is configured to include a user's document usage history as well as a history tracking unit for monitoring and tracking the usage history of the document in the event of a document security incident. 제32항에 있어서,33. The method of claim 32, 상기 정책 관리 및 제어부에서, 보안문서의 생성, 사용에 대한 로깅 및 조회기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy management and control unit, the integrated security system of the PC using a policy-based network, characterized in that for performing the logging and inquiry function for the generation, use of security documents. 제32항에 있어서,33. The method of claim 32, 상기 정책 관리 및 제어부에서, 보안문서에 대한 사용자별/문서별 다이나믹한 사용권한 설정 및 변경 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.The policy management and control unit, the integrated security system of the PC using a policy-based network, characterized in that for performing the dynamic user permission setting and change function for each user / document for the security document. 제32항에 있어서,33. The method of claim 32, 상기 정책 관리 및 제어부에서, 보안문서에 대한 보기/인쇄/저장/카피 & 페이스트 등의 세부제한 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.The policy management and control unit, the integrated security system of the PC using a policy-based network, characterized in that to perform a detailed restriction function such as viewing / printing / storage / copy & paste for the security document. 제32항에 있어서,33. The method of claim 32, 상기 정책 관리 및 제어부에서, 외부사용자에 대한 보안문서 전달 및 제어기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.The policy management and control unit, the integrated security system of the PC using a policy-based network, characterized in that for performing the security document transmission and control function for the external user. 제32항에 있어서,33. The method of claim 32, 상기 정책 관리 및 제어부에서, 온라인 매체를 통한 보안문서 유출방지/사용내역 로깅 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy management and control unit, the integrated security system of the PC using a policy-based network, characterized in that to perform the security document leakage prevention / history logging function through the online medium. 제32항에 있어서,33. The method of claim 32, 상기 정책 관리 및 제어부에서, 암호화 파일 유출시 접근 통제기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy management and control unit, the integrated security system of the PC using a policy-based network, characterized in that to perform an access control function when the encrypted file is leaked. 제32항에 있어서,33. The method of claim 32, 상기 정책 관리 및 제어부에서, 보안문서에 대한 원격통제 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy management and control unit, the integrated security system of the PC using a policy-based network, characterized in that for performing a remote control function for the security document. 제32항에 있어서,33. The method of claim 32, 상기 정책 관리 및 제어부에서, 보안문서 관리자에 의한 강제 권한 변경 및 통제 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy management and control unit, the integrated security system of the PC using a policy-based network, characterized in that for performing a forced authority change and control function by the security document manager. 제32항에 있어서,33. The method of claim 32, 상기 정책 관리 및 제어부에서, 워터마킹 기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy management and control unit, the integrated security system of the PC using a policy-based network, characterized in that to perform a watermarking function. 제32항에 있어서,33. The method of claim 32, 상기 정책 관리 및 제어부에서, 인증서버를 통한 사용자 관리 연동기능을 수행하는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안시스템.In the policy management and control unit, the integrated security system of the PC using a policy-based network, characterized in that to perform the user management interworking function through the authentication server. 사용자별 권한부여를 통한 네트워크 접근제어를 수행하여 PC에 대한 보안기능을 강화하는 정책기반 네트워크와, 보안 및 자산 관리 정책에 따라 각종 PC 보안기능을 수행하는 PC보안시스템과, 상기 정책기반 네트워크, PC보안시스템의 PC 보안 정책 및 자산 및 네트워크 관리를 중앙 집중 관리 제어하는 중앙관리시스템과, 중요 문서에 대한 문서보안기능을 수행하는 문서보안시스템과, 사용자 정보를 저장하고 있는 사용자 프로필 DB서버와, 사용자에 대한 영역별, 소속 및 업무별 사용권한정보를 저장하고 있어, 사용자 인증 여부를 확인하는 인증서버를 포함하여 이루어지는 PC 통합 보안시스템에 있어서,Policy-based network that strengthens the security function for PC by performing network access control through authorization by user, PC security system that performs various PC security functions according to security and asset management policy, and the policy-based network, PC Central management system that centrally manages and controls PC security policy and asset and network management of security system, document security system that performs document security function for important documents, user profile DB server that stores user information, user In the PC integrated security system that includes the authentication server for storing the authorization information for each area, affiliation and work for each user, and confirms the user authentication, 사용자 로그 온시 입력되는 사용자 ID와 비밀번호를 사용자 클라이언트에서사용자 프로필 DB서버로 전송하여, 이 사용자 ID와 비밀번호가 맞는 경우에 중앙관리시스템의 보안 및 네트워크, 자산 등 해당 정책관리를 위한 동작을 수행하는 제1과정과,Sends user ID and password input at user log-on from user client to user profile DB server, and if the user ID and password are correct, perform the operation for policy management such as security of central management system, network, asset, etc. 1 course, 상기 제1과정 수행 후, 상기 사용자 프로필 DB서버가 사용자 클라이언트로 SID값을 전송하여, 사용자 클라이언트가 이 SID 값을 통해 인증서버로 도메인 공유를 요청하는 제2과정과,After the first process, the user profile DB server transmits the SID value to the user client, the user client requests the domain sharing to the authentication server through the SID value, and 상기 제2과정의 요청에 따라 상기 인증서버가 SAMBA 데몬을 이용하여 상기 사용자 프로필 DB서버와 다시한번 사용자 ID와 비밀번호가 맞는지 확인하는 제3과정과,A third step of verifying whether the authentication server matches the user profile DB server once again with the user profile DB server by using the SAMBA daemon according to the request of the second step; 상기 제3과정의 확인 결과, 사용자 ID와 비밀번호가 맞다면, 상기 사용자 프로필 DB서버를 통해 사용자 스크립트를 실행한 후, 상기 중앙관리시스템의 정책 관리 및 제어에 따라 상기 정책기반 네트워크(200)를 동작하는 제4과정과,As a result of checking in the third process, if the user ID and password are correct, the user script is executed through the user profile DB server, and then the policy-based network 200 is operated according to the policy management and control of the central management system. The fourth process, 상기 제3과정의 확인 결과, 사용자 ID와 비밀번호가 맞다면, 상기 중앙관리시스템의 정책 관리 및 제어에 따라 상기 PC보안시스템에 의한 PC보안서비스를 동작하는 제5과정과,A fifth step of operating the PC security service by the PC security system according to the policy management and control of the central management system if the user ID and the password are correct as a result of the checking of the third step; 상기 제3과정의 확인 결과, 사용자 ID와 비밀번호가 맞다면, 상기 중앙관리시스템의 정책 관리 및 제어에 따라 상기 문서보안시스템에 의한 문서보안서비스를 동작하는 제6과정으로 이루어지는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안방법.As a result of confirming the third process, if the user ID and password are correct, the policy-based comprising a sixth process of operating a document security service by the document security system according to the policy management and control of the central management system Integrated security method of PC using network. 제43항에 있어서,The method of claim 43, 상기 제3과정의 확인 결과, 사용자 ID와 비밀번호가 맞지 않다면, 네트워크의 사용 여부를 확인하여 네트워크를 사용하고 있는 경우에 강제로 로그 아웃시키도록 하는 과정을 더 포함하여 이루어지는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안방법.If the user ID and password are not correct as a result of the third step, the policy-based network further comprises the step of checking whether the network is used and forcibly logging out when the network is being used. PC integrated security method using. 제43항에 있어서,The method of claim 43, 상기 제4과정이, 사용자가 비인증 존에 할당된 상태에서 정책기반 네트워크의 SEC에서 인증서버로부터 사용자에 대한 영역 정보를 다운로드하는 제1단계와,The fourth step is a first step of downloading the zone information for the user from the authentication server in the SEC of the policy-based network in the state that the user is assigned to the non-authentication zone, 상기 제1단계에서 다운로드한 영역 정보를 토대로, 사용자 클라이언트의 MAC 어드레스 및 IP 어드레스를 미리 매핑된 MAC 어드레스 및 IP 어드레스와 비교하여 맞는지를 확인하는 제2단계와,A second step of comparing the MAC address and the IP address of the user client with the pre-mapped MAC address and the IP address based on the area information downloaded in the first step, and confirming whether the address is correct; 상기 제2단계의 확인 결과, MAC 어드레스 및 IP 어드레스가 맞다면 사용자 클라이언트의 IP를 인증서버의 사용자 존에 포함시킨 후 미리 정의된 존 정책에 대응하여 PC 사용 및 액세스 권한을 부여받는 제3단계와,A third step of including the IP of the user client in the user zone of the authentication server if the MAC address and the IP address are correct as a result of the checking in the second step, and then granting the use and access of the PC in response to a predefined zone policy; , 상기 제3단계에서 부여받은 사용권한 정책을 통해 모든 트래픽에 대한 통과 허용 및 액세스 여부를 확인하여, 통과 허용 및 액세스가 가능하다면 트래픽의 정상 유무를 다시 확인하는 제4단계와,A fourth step of checking whether the traffic is allowed and passed through the permission policy granted in the third step, and if the traffic is allowed and accessed, checking whether the traffic is normal; 상기 제4단계의 확인 결과, 정상 트래픽인 경우에는 정상적인 통신을 진행하도록 하고, 통과 허용 및 액세스가 불가능하거나 정상적인 트래픽이 아니라면 트래픽을 드롭시키도록 하는 제5단계로 이루어지는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안방법.As a result of the check of the fourth step, a policy-based network comprising a fifth step to proceed with normal communication in the case of normal traffic, and to drop the traffic if the pass and allow or access is impossible or normal traffic Integrated security method of PC used. 제43항에 있어서,The method of claim 43, 상기 제5과정이, 사용자 프로필 DB서버에 저장되어 있는 사용자 PC의 사용자 정보를 토대로 디바이스에 대한 사용권한을 설정하여 PC에 대한 보안 제어를 수행하는 제1단계와,In the fifth step, the first step of performing the security control for the PC by setting the usage rights for the device based on the user information of the user PC stored in the user profile DB server, 상기 제1단계 수행 후, 사용자별 또는 사용자 PC별로 설정되어 있는 PC 및 서버 접근 정책, 그리고 PC 및 서버 보안정책을 수행하는 제2단계와,A second step of performing a PC and server access policy and a PC and server security policy set for each user or for each user PC after performing the first step; 상기 제2단계의 PC 및 서버 접근 및 보안 정책 수행시, 정책기반 네트워크의 접근 허용 존에 따라 접근 가능한 PC 및 서버에 접근하는 경우, PC 및 서버에 대한 접근권한 여부를 확인하는 제3단계와,A third step of checking whether access rights to the PC and the server are accessed when the PC and the server access and the security policy of the second step are accessed according to the access permission zone of the policy-based network; 상기 제3단계의 확인 결과, PC 및 서버에 대한 접근권한이 있다면 PC 보안을 위한 네트워크 관련의 보안 기능을 동작시키도록 하고, 접근권한이 없다면 PC 및 서버 접근을 불가하도록 하는 제4단계로 이루어지는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안방법.As a result of the checking of the third step, if the access rights to the PC and the server has access authority, the network-related security function for PC security is operated, and if there is no access authority, the fourth step of disabling access to the PC and server is performed. Integrated security method of a PC using a policy-based network. 제43항에 있어서,The method of claim 43, 상기 제6과정이, PC 사용자가 인증을 받은 경우 이 사용자에게 사용자별 또는 문서별로 설정된 사용권한을 토대로 보안문서에 대한 암호화를 수행하는 제1단계와,In the sixth step, if the PC user is authenticated, the first step of performing encryption on the secured document based on the authority set for each user or document, 상기 제1단계에서 암호화된 보안문서에 대한 다운로드 권한 여부를 확인하는 제2단계와,A second step of confirming whether or not to download the security document encrypted in the first step; 상기 제2단계의 확인 결과, 다운로드 권한이 있다면 해당 보안문서를 다운로드한 후 문서열기를 실행하고, 다시한번 보안문서 접근에 대한 사용권한 여부를 확인하는 제3단계와,A third step of confirming whether or not the user has permission to access the secured document by executing the document opening after downloading the corresponding secured document if there is a download authority as a result of the confirming of the second step; 상기 제3단계의 확인 결과, 보안문서 접근에 대한 사용권한이 있다면, 해당 사용권한에 따라 문서를 접근하도록 하고, 상기 제2단계 확인 결과 다운로드 권한이 없거나 상기 보안문서 접근에 대한 사용권한이 없다면 경고화면을 디스플레이하는 제4단계와,If the verification result of the third step, the user has permission to access the secured document, access the document according to the applicable permission, and if the second verification result does not have the download authority or the permission to access the secured document, the warning is issued. A fourth step of displaying a screen; 상기 제1단계 내지 제4단계에서 이루어지는 모든 문서에 대한 암호화 및 사용현황정보를 추적하여 기록하는 제5단계로 이루어지는 것을 특징으로 하는 정책기반 네트워크를 이용한 PC의 통합 보안방법.Comprising a fifth step of tracking and recording the encryption and usage status information for all the documents made in the first step to the fourth step of the integrated security method of the PC using a policy-based network.