[논문]보안 효율성 제고를 위한 인트라넷 네트워크 아키텍쳐 모델

노시춘

[국내논문] 보안 효율성 제고를 위한 인트라넷 네트워크 아키텍쳐 모델
A Designing Method of Intranet Security Architecture Model for Network Security Efficiency 원문보기

정보·보안논문지 = Journal of information and security, v.10 no.1, 2010년, pp.9 - 17

초록
AI-Helper

인트라넷의 네트워크는 악성트래픽의 확산과 분산을 차단하는 역할이 수행되는 영역이다. 네트워크 구조상에서는 트래픽 소통경로상에서 악성코드 침투와 보안차단기능이 수행된다. 네트워크보안 아키텍쳐란 침투와 보안차단기능이 수행되는 네트워크 구조상에서의 트래픽처리 영역과 그룹을 차별화하여 구분시키는 개념이다. 인트라넷 네트워크 아키텍쳐는 보안도메인은 영역과 가능을 기준으로 차별화가 가능하고 따라서 도메인별로 차별화된 보안 메커니즘이 개발되고 적용되어야한다. 본 논문는 네트워크 아키텍쳐의 보안 취약성을 진단하고 네트워크는 구조적으로 어떤 가준으로 보안 도메인이 설정되어야하는가에 대한 방법론 개발을 위해 네트워크 형상(Topology) 결정 요소, 보안 아키텍쳐 설정기준, 구조도 선택기준, 차단위치 결정, 경로 방역망 구성기준을 도출한다. 설계된 방법론을 적용할 경우 전통적인 네트워크 구조상에서보다 바이러스 차단 효율이 증대되고 있음이 실험을 통해 입증한다. 따라서 아키텍쳐 영역기준에 따라 차별화된 차단기능이 필요하며 보안 메커니즘 개발이 요구되고 있음을 본 연구를 통해 제시하고자한다.

Abstract ▼ AI-Helper

Internet network routing system is used to prevent spread and distribution of malicious data traffic. The penetration of malicious code and the function of security blocking are performed on the same course of traffic pathway. The security architecture is the concept to distinguish the architecture from the group handling with the traffic on the structure of network which is performed with the function of penetration and security. The security architecture could be different from the criterion of its realm and function, which requires the development and the application of security mechanism for every architecture. For the establishment of security architecture it is needed to show what criterion of net work should be set up. This study is based on analysis of diagnostic weakness structure in the network security architecture and research the criterion for topology factor, security architecture structure map selection, and blocking location and disinfection net. It is shown to increase the effective rate blocking the virus with the proposed method in this paper rather than the traditional network architecture.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

네트워크 진입로에서 악성코드를 차단하면 네트워크내부 구간에서 각종 오염원에 의한 바이러스가 발생, 잠복할 수 있다. 따라서 바이러스 박멸을 위한근본 처방은.차단 구간별로 적용하는 앤티바이러스 기술의 완전성이 아니고 네트워크 구간별 차단막 형성을 통한 유통 바이러스 박멸이 필수이다.
모든 보안도메인은 타도메인과 차별화가 가능하고 따라서 도메인별로 차별화된 보안 메커니즘이 적용되어야한다. 본 연구는 네트워크는 어떤 구조와 기준으로 보안 도메인이 설계되어야하는가에 대한 방법론 개발을 위해 네트워크 형상(Topology) 결정 요소선정, 보안도메인 설정기준 결정, 구조도 선택기준 결정, 차단위치 결정, 경로방역망 구성기준을 도출하고 이를 보안기능효율성 측면에서 검 증한다[2].

제안 방법

네트워크 아키텍쳐의 보안 취약성을 진단하고 네트워크는 구조적으로 어떤 기준으로 보안 도메인이 설정되어야하는가에 대한 방법론 개발을 위해네트워크 형상(Topology) 결정 요소, 보안 아키텍쳐 설정기준, 구조도 선택기준, 차단위치 결정, 경로방역망 구성기준을 도출한다. 설계된 방법론을적용할 경우 전통적인 네트워크 구조상에서보다바이러스 차단효율이 증대되고 있음이 실험을 통해 입증되었다.
이 종합 구조도의 체계를 토대로 세부적인 차단 단계별 구조도가설계되어야 한다. 본 연구에서는 차단 단계별 구조도를 5단계로 설계했다. 설계된 5단계는 스위칭단계, 침입차단시스템 필터링 단계, 내부 게이트웨이 필터링 단계, 서버 방역 단계, 클라이언트 방역단계이다.
차단 기능 구성이란 설정한 보안 도메인별로 그에 적합한 차단기능을 적용하는 것이다. 본 제안에서 설계한 다차단 구조를 적용하고 또한도메인별로 차단 기능은 보안 도메인, 네트워크 구간, 도메인별 차단 매커니즘, 도메인별 차단 기능, 도메인별 세부 차단 기능으로 구성하였다. 이 같이구성된 차단 기능은 기존의 차단 매커니즘을 설계개념으로 구성한 것으로서 기능 자체를 기술적으로 새롭게 개발하거나 설계한 것은 아니다.
본 연구에서는 차단 단계별 구조도를 5단계로 설계했다. 설계된 5단계는 스위칭단계, 침입차단시스템 필터링 단계, 내부 게이트웨이 필터링 단계, 서버 방역 단계, 클라이언트 방역단계이다. 이와 구분되는 또 하나의 설계 영역이있는데 효율성 구조 부분이다.
설계된 아키텍쳐 성능분석 환경은 S기업 인트라넷시스템 상에서 실제업무를 대상으로 검증을 실시했다. 실제업무 인프라구조가 설계사상으로 사전에 구비된 것이 아니므로 본 검증작업을 위해 측정목적의 보강과 환경 준비 단계를 거쳤다. 인용된 S기업 업무 환경과 인트라넷의 트래픽 처리 환경은 인트라넷 시스템내 접속 자원 규모로서 각종서버 1,000대, Workstation급 PC 35,000대, 내부 사용자 규모 35,000명 수준이다.
또한 강력한 각종 연동필터링 기능은 전체트래픽 중 8~10%의 불필요한 트래픽을 걸러줌으로 서버와 클라이언트에 주는 부하는 오히려 상당량 감소되었다. 유입패킷을 먼저 수신해 네트워킹기능의 패킷과 악성코드, 바이러스 검사를 수행하므로서 유해 트래픽 유입을 차단하고, 이렇게 1차적으로 걸러진 트래픽을 다시 첨부 파일명, 제목, 본문, 필터링 형태로 내부게이트웨이 상에서 검색함으로서 비정상적인 패킷을 네트워크 전송 과정에서차단한다. 이상의 차단 결과와 Latency 소요시간조사결과를 토대로 하여 차단 유형별로 종합적인방역 효율을 분석했다.
이를 위하여 기존 네트워크상의 트래픽 유통경로 진단작업이 필요하며 그 결과를 토대로 차단 단계를 도출한다. 이어서 차단 단계별 방역 메커니즘을, 설계한다. 차단위치별 장단점을 진단하고, 어떠한 구조가 효과적인지를 도출한다.
추가적인 검토기준을 작성했다. 차단 위치 결정기준을 경로구간 상에서 차단 위치로 채용될 수 있는지점을 추출하여 차단 지점의 타당성을 진단했다. 진단 대상이 된 지점은 기존인프라 구조에서 트래픽 컨트롤이 이루어지고 있는 장비 설치 구간이다.
이어서 차단 단계별 방역 메커니즘을, 설계한다. 차단위치별 장단점을 진단하고, 어떠한 구조가 효과적인지를 도출한다. 트래픽의 통과지점을기준으로 차단위치를 점검하면 다음과 같이 몇 개의 핵심 지점이 도출된다.
트래픽 관문과 거점방역성 기능의 취약성에 대처할 수 있는 기능으로 네트워크 내부 경로차단메커니즘을 적용하기 위해 네트워크 구조를 기반으로하는 다단계 차단기능을 적용한다. 다단계 차단 기능은 외부 네트워크와의 접점에서부터 인트라넷 구간을 통과하는 최종거점, 즉 서버나 PC 접속 단계인 클라이언트 구간까지 단계 차단기능을순차적으로 구성한다.
이와 구분되는 또 하나의 설계 영역이있는데 효율성 구조 부분이다. 효율성 구조도 부분은 고가용성 구조, 부하 분산 구조, 자동화 방역구조, 종합운영 관리 구조로 편성되었다. 효율성구조 부분은 그러나 독립된 구조와 기능이 아니고각 단계별로 차단 구조 내에 기능이 포함되어 있으므로 단계별 침입차단 구조도 상에서 .

대상 데이터

인용된 S기업 업무 환경과 인트라넷의 트래픽 처리 환경은 인트라넷 시스템내 접속 자원 규모로서 각종서버 1,000대, Workstation급 PC 35,000대, 내부 사용자 규모 35,000명 수준이다. 네트워크 구조로서인트라넷과 외부망과의 연결은 310Mbps 속도로복수 회선 네트워크로 구성되었고 인트라넷 입구에 침입차단시스템이 구성되고 침입차단시스템 이후에는 인트라넷이 구성되었다. 인트라넷 내부 구조는 서버와 PC가 연결되어 .
것이다. 설계된 아키텍쳐 성능분석 환경은 S기업 인트라넷시스템 상에서 실제업무를 대상으로 검증을 실시했다. 실제업무 인프라구조가 설계사상으로 사전에 구비된 것이 아니므로 본 검증작업을 위해 측정목적의 보강과 환경 준비 단계를 거쳤다.
차단 위치 결정기준을 경로구간 상에서 차단 위치로 채용될 수 있는지점을 추출하여 차단 지점의 타당성을 진단했다. 진단 대상이 된 지점은 기존인프라 구조에서 트래픽 컨트롤이 이루어지고 있는 장비 설치 구간이다. 표에나타난 바와 같이 전방위 바이러스 차단 지점은 웹스위치 구간과 침입차단시스템 구간으로 파악되었다.

데이터처리

유입패킷을 먼저 수신해 네트워킹기능의 패킷과 악성코드, 바이러스 검사를 수행하므로서 유해 트래픽 유입을 차단하고, 이렇게 1차적으로 걸러진 트래픽을 다시 첨부 파일명, 제목, 본문, 필터링 형태로 내부게이트웨이 상에서 검색함으로서 비정상적인 패킷을 네트워크 전송 과정에서차단한다. 이상의 차단 결과와 Latency 소요시간조사결과를 토대로 하여 차단 유형별로 종합적인방역 효율을 분석했다. 효율분석은 네트워킹기능, 효율성지 원기 능, 보안차단기능 수행구조상에서 1단계 차단, 3단계 차단, 5단계 차단 유형별로 차단효과와 Latency를 각각 분석하고 그 결과를 종합 효율로서 평가하는 방법이다.

성능/효과

구조성능 분석시 평균 Throughput Timee 증가했지만 프로세스상 Performance는 지 장을 초래하지 않았다. 또한 강력한 각종 연동필터링 기능은 전체트래픽 중 8~10%의 불필요한 트래픽을 걸러줌으로 서버와 클라이언트에 주는 부하는 오히려 상당량 감소되었다. 유입패킷을 먼저 수신해 네트워킹기능의 패킷과 악성코드, 바이러스 검사를 수행하므로서 유해 트래픽 유입을 차단하고, 이렇게 1차적으로 걸러진 트래픽을 다시 첨부 파일명, 제목, 본문, 필터링 형태로 내부게이트웨이 상에서 검색함으로서 비정상적인 패킷을 네트워크 전송 과정에서차단한다.
구성기준을 도출한다. 설계된 방법론을적용할 경우 전통적인 네트워크 구조상에서보다바이러스 차단효율이 증대되고 있음이 실험을 통해 입증되었다.
효율성 구조 반영 사항을 명확하게 도해하고 설명했다. 이상의 설계방법을 종합하면 보안도메인은 차단 구조도, 효율성 구조도로 구분되고 차단 구조도는 종합구조도와 차단단계 별구조도로 구분된다. 이 상을기반으로 세부적인 도메인 설계명칭은<표 2> 보안도메인 설계기준으로 표시되었다.
효율분석은 네트워킹기능, 효율성지 원기 능, 보안차단기능 수행구조상에서 1단계 차단, 3단계 차단, 5단계 차단 유형별로 차단효과와 Latency를 각각 분석하고 그 결과를 종합 효율로서 평가하는 방법이다. 이상적 차단구조 모델은 보안차단율은 높을수록 유리하고 Latency는 낮을수록 유리하다.1 단계 차단의 경우는 1개 도메인의 방역만 가능하고 나머지 4개 도메인의 방역은 불가하다.
이상에서구성한 일련의 설계 절차에 따라 보안도메인.종합구조도를 완성했다. 종합 구조도는 침입차단 구조도 내에서의 종합 구조도 편이다.

참고문헌 (15)

김귀남, 노시춘, "다단계 바이러스 차단 구조 설계", 2004 한국 사이 버테러 정보전 컨퍼런스, 2004.
한국후지쯔, "LA 스위치를 이용한 방화벽 부하 분산", 2002.
이종환, "Layer 7 스위칭을 통한 애플리케이션 인식 및 제어" 탑레이어, 2000.
최성열, "다계층 스위치를 이용한 효율적인 전자 정부 구현 사례" (주)파이오링크, 2003.
구자만, "고가용성으로 보안 장비 한계를 극복하라" 네트워크타임스, 2003.
장윤정, "L7 스위치로 네트워크 활용도를 높여라", 네트워크타임스, 2003.
Sichoon Noh, Dong Chun Lee, and Kuimarn J.Kim, "Improved Structure Management of Gateway Firewall Systems for Effective Networks Security", Springer, 2003.
월간 네트워크타임스, "Next Generation Network Security Vision 2004", 2004.
Sichoon Noh and Dong Chun Lee, "Multi-Level Protection Building for Virus Protection Infrastructure", SCIE Springer, LNCS 3036, 2004.
Sichoon Noh, "Assurance Method of High Availability in Information Security Infrastructure System", LNCS, 3794, 2005.
Sichoon Noh, "Building of an Integrated Multilevel Virus Protection Infrastructure", IEEE Computer Society, 2005.
Sichoon Noh, "A Securing Method of Multispectral Protection Infrastructure for Malicious Traffic in Intme System", DCS, 2006.
Sichoon Noh, "Protection Structure Building for Malicious Traffic Protecting in Intmwt Systems", SCIE LNCS3981, 2006.
Sichoon Noh, "Active-Active High Availability of Information Infrastructure System for Effective Network Security", IEEE Computer Society, 2008.
Timothy P.Appleby, "Building a Virus Protection Infrastructure", CHI Publishing Ltd, 2000.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증