[go: up one dir, main page]

KR20180009908A - Method for indirect connectivity using local network server in network-seperated environment, recording medium and system for performing the method - Google Patents

Method for indirect connectivity using local network server in network-seperated environment, recording medium and system for performing the method Download PDF

Info

Publication number
KR20180009908A
KR20180009908A KR1020160091803A KR20160091803A KR20180009908A KR 20180009908 A KR20180009908 A KR 20180009908A KR 1020160091803 A KR1020160091803 A KR 1020160091803A KR 20160091803 A KR20160091803 A KR 20160091803A KR 20180009908 A KR20180009908 A KR 20180009908A
Authority
KR
South Korea
Prior art keywords
transmission control
control server
data
network
external network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020160091803A
Other languages
Korean (ko)
Inventor
이태형
Original Assignee
에스큐아이소프트(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스큐아이소프트(주) filed Critical 에스큐아이소프트(주)
Priority to KR1020160091803A priority Critical patent/KR20180009908A/en
Publication of KR20180009908A publication Critical patent/KR20180009908A/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법은, 클라이언트로부터 자료조회 요청이 있는 경우, NoSQL(Non-Structured Query Language) 방식의 전문을 외부망 전송통제 서버로부터 파일단위로 수신하는 단계; 상기 수신된 NoSQL 방식의 전문을 SQL(Structured Query Language) 방식으로 변환하는 단계; 내부망의 정책에 따라 DB 조회를 처리하고 결과 데이터를 파일로 생성하여 상기 외부망 전송통제 서버로 전송하는 단계; 및 상기 외부망 전송통제 서버로부터 수신된 파일을 지정된 디렉토리에 저장하고 프로세스를 종료하는 단계를 포함한다. 이에 따라, 인터넷망에 DB 정보, 접속정보, SQL 정보를 남기지 않게 되어 내부망의 보안성을 향상시킬 수 있다.An indirect interworking method through an internal network transmission control server in a network separation environment includes a step of receiving, from the external network transmission control server, a full text of a NoSQL (Non-Structured Query Language) ; Converting the received NoSQL method specification into a SQL (Structured Query Language) method; Processing DB inquiry according to a policy of the internal network, generating result data as a file, and transmitting the file to the external network transmission control server; And storing the file received from the external network transmission control server in a designated directory and terminating the process. Accordingly, the DB information, the connection information, and the SQL information are not left in the Internet network, and the security of the internal network can be improved.

Description

망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법, 이를 수행하기 위한 기록매체 및 시스템{METHOD FOR INDIRECT CONNECTIVITY USING LOCAL NETWORK SERVER IN NETWORK-SEPERATED ENVIRONMENT, RECORDING MEDIUM AND SYSTEM FOR PERFORMING THE METHOD}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an indirect interworking method using an internal network transmission control server in a network separation environment, a recording medium and a system for performing the indirect interworking method,

본 발명은 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법, 이를 수행하기 위한 기록매체 및 시스템에 관한 것으로서, 더욱 상세하게는 망분리 환경에서 업무망에서의 자료 유출을 막아 보안성을 높이기 위한 간접연동 방식에 관한 것이다.The present invention relates to an indirect interworking method using an internal network transmission control server in a network separation environment, a recording medium and a system for performing the indirect interworking method, and more particularly, To an indirect interlocking method for increasing the interlocking speed.

망분리는 내부 네트워크(망)와 외부 네트워크를 분리하여 외부로부터의 침입을 막고 내부 정보의 유출을 막는 것을 말한다. 이러한 망분리 방법으로 직접연동 방식과 간접연동 방식이 있다.Network separation refers to separating the internal network (network) and the external network to prevent intrusion from outside and to prevent leakage of internal information. These network separation methods include direct linking and indirect linking.

직접연동은 서비스 또는 데이터 요청에 대해 서버가 응답하는 양방향으로 데이터를 통신하는 연동 방식이다. 인터넷망에서 불특정 SQL을 국방망 서버에 직접 요청하여 목적하는 결과를 얻는 경우와 인터넷망에서 80번 포트를 이용하여 직접 웹서비스를 호출(URL 입력)하고 결과를 얻는 경우가 직접연동 방식에 해당한다.Direct interworking is an interworking way in which data is communicated in both directions in which the server responds to a service or data request. Directly requesting unspecified SQL from the Internet network to obtain a desired result, or directly calling a Web service (URL input) using the port 80 in the Internet network and obtaining the result, corresponds to a direct linking method .

간접연동은 파일송신 형태로 일방향 통신하고 종료하는 연동 방식이다. 인터넷 서버에서 생성된 로그를 국방망 서버로 전송하고 응답은 없는 형태이며, 요청과 응답이 API 형태로 프로그램화 되어 쌍방간 약속된 데이터만 송수신하는 연동 방식이다. 또한, 양방향 통신 체계 중 응답 내용이 헬스체크 등과 같이 Yes/No 신호는 간접연동 방식에 해당한다.Indirect interworking is a one-way communication in the form of file transmission and an interworking method of terminating. It transmits the log generated by the Internet server to the defense network server and does not have a response. It is an interworking method in which the request and response are programmed in the form of an API and only the promised data is transmitted and received between the two parties. In addition, the Yes / No signal corresponds to the indirect interworking method such as the health check in the response contents of the two-way communication system.

직접연동 방식과 간접연동 방식의 장단점을 비교해보면, 자료 전송 방법에 있어 직접연동 방식은 기존 프로토콜로 자료를 전송하는 반면, 간접연동 방식은 파일단위로 자료를 생성하여 전달한다. 보안성 측면에서 직접연동 방식은 프로토콜 취약성이 존재하나, 간접연동 방식은 프로토콜이 변경되므로 알려진 취약성이 없다.Comparing the advantages and disadvantages of direct interworking method and indirect interworking method, direct interworking method transmits data to existing protocol, whereas indirect interworking method generates and transmits data by file unit. In terms of security, there is a protocol vulnerability in the direct link method, but there is no known vulnerability in the indirect link method because the protocol is changed.

세션 측면에서, 직접연동 방식은 내/외부 별도 TCP/IP세션으로 구성되나 전체 구간이 하나의 L7 세션으로 연동되는 반면, 간접연동 방식은 내/외부 별도 TCP/IP세션으로 구성되고 L7 세션이 존재 하지 않는다. 전송 성능 측면에서 직접연동 방식은 실시간으로 자료 전송이 가능(CCTV 등 실시간 자료)한 반면, 간접연동 방식은 실시간으로 전송이 가능하지 않다(일부 연계 제외). 악성코드 검사 측면에서, 직접연동 방식은 실시간 감시가 어려운 반면, 간접연동 방식은 파일단위로 검사 및 악성코드 감염 시 처리 가능하다.In the session side, the direct interworking method is composed of separate TCP / IP sessions inside and outside, but the entire section is linked to one L7 session, while the indirect interworking method consists of separate TCP / IP sessions inside and outside, and there is an L7 session I never do that. In terms of transmission performance, the direct interworking method can transmit data in real time (real time data such as CCTV), while the indirect interworking method can not transmit in real time (except some interconnection). In the aspect of malicious code inspection, direct interlocking method is difficult to real-time monitoring, while indirect interlocking method can be processed in case of file inspection and malicious code infection.

적용방법 측면에서, 직접연동 방식은 IP 설정 등의 변경을 통해 적용가능(기존 어플리케이션의 변경 없이 적용 가능)한 반면, 간접연동 방식은 어플리케이션을 수정해야만 적용 가능하다(신규 구축 시부터 망분리 환경을 고려하여 시스템 개발). 따라서, 비용 측면에서, 직접연동 방식은 자료교환체계 구축 비용이 소요되나, 간접연동 방식은 자료교환체계 구축비용에 더해 어플리케이션 커스터마이징 비용이 소요된다.In terms of application method, direct interworking method can be applied by changing IP setting (applicable without changing existing application), whereas indirect interworking method is applicable only when application is modified System development considering). Therefore, in terms of cost, the direct interworking method requires the cost of constructing the data exchange system, but the indirect interworking method requires application customization cost in addition to the data exchange system construction cost.

이에 따라, 망연계 체계를 이용하는 업무는 간접연동으로만 운용할 수 있다. 최근, 망분리 사업이 많이 진행되어 있으나, 직접연동 방식을 이용할 경우, 데이터 요청에 대해 서버가 양방향으로 데이터를 통신하는 연동이 이루어지므로, 망분리를 하더라도 실제 어플리케이션은 기존에 사용하는 프로토콜 등 통신방식에 변화가 없다. 이에, 현존하는 프로토콜이 가진 취약점이 망분리 환경에서도 동일하게 취약점으로 존재한다. 또한, 프로토콜 분석 만으로는 자료유출 내역을 정확하게 파악하기가 어렵다.Accordingly, the task using the network linkage system can be operated only indirectly. In recent years, although the network separation business has progressed much, when the direct interworking method is used, the server interlocks data communication in two directions for the data request. Therefore, even if the network is separated, There is no change. Therefore, the vulnerabilities of existing protocols are equally vulnerable in network separation environments. Also, it is difficult to grasp the data flow history accurately only by protocol analysis.

게다가, 기존 프로토콜의 자료전송 요청을 차단한 경우 프로그램에 장애를 일으킬 수 있고, 악성코드 검사 등 외부유입 자료의 필터링 기능 구현이 어렵다는 문제점이 발생한다. In addition, if the data transmission request of the existing protocol is blocked, the program may fail, and it is difficult to implement the filtering function of the external influent data such as the malicious code inspection.

KR 10-1425726 B1KR 10-1425726 B1 KR 10-1472685 B1KR 10-1472685 B1

이에, 본 발명의 기술적 과제는 이러한 점에서 착안된 것으로 본 발명의 목적은 보안성을 향상시키기 위한 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법을 제공하는 것이다.SUMMARY OF THE INVENTION Accordingly, the present invention has been made in view of the above problems, and it is an object of the present invention to provide an indirect interworking method through an internal network transmission control server in a network separation environment for improving security.

본 발명의 다른 목적은 상기 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법을 수행하기 위한 컴퓨터 프로그램이 기록된 기록 매체를 제공하는 것이다.It is another object of the present invention to provide a recording medium on which a computer program for performing an indirect interworking method through an internal network transmission control server in the network separation environment is recorded.

본 발명의 또 다른 목적은 상기 망분리 환경에서의 간접연동 방법을 수행하기 위한 시스템을 제공하는 것이다.It is still another object of the present invention to provide a system for performing an indirect interworking method in the network separation environment.

상기한 본 발명의 목적을 실현하기 위한 일 실시예에 따른 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법은, 클라이언트로부터 자료조회 요청이 있는 경우, NoSQL(Non-Structured Query Language) 방식의 전문을 외부망 전송통제 서버로부터 파일단위로 수신하는 단계; 상기 수신된 NoSQL 방식의 전문을 SQL(Structured Query Language) 방식으로 변환하는 단계; 내부망의 정책에 따라 DB 조회를 처리하고 결과 데이터를 파일로 생성하여 상기 외부망 전송통제 서버로 전송하는 단계; 및 상기 외부망 전송통제 서버로부터 수신된 파일을 지정된 디렉토리에 저장하고 프로세스를 종료하는 단계를 포함한다.The indirect interworking method through the internal network transmission control server in the network separation environment according to an embodiment for realizing the above-described present invention is characterized in that when there is a data inquiry request from a client, a non-structured query language (NoSQL) Receiving, on a file-by-file basis, a message from the external network transmission control server; Converting the received NoSQL method specification into a SQL (Structured Query Language) method; Processing DB inquiry according to a policy of the internal network, generating result data as a file, and transmitting the file to the external network transmission control server; And storing the file received from the external network transmission control server in a designated directory and terminating the process.

본 발명의 실시예에서, 상기 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법은, 내부망에서 외부망으로 전송요청이 있는 경우, 해당 자료가 미리 정해진 형태의 자료인지 확인하는 단계; 및 상기 해당 자료가 미리 정해진 형태의 자료인 경우에만, 외부망으로 전송하는 단계를 더 포함할 수 있다.In an embodiment of the present invention, an indirect interworking method using an internal network transmission control server in the network separation environment includes: checking if the data is a predetermined type of data when a transmission request is made from the internal network to the external network; And transmitting the data to the external network only when the corresponding data is a predetermined type of data.

본 발명의 실시예에서, 상기 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법은, 외부망으로 전송된 자료에 대해 로그를 생성하여 감사기능을 수행하는 단계를 더 포함할 수 있다.In an embodiment of the present invention, the indirect interworking method through the internal network transmission control server in the network separation environment may further include generating a log for data transmitted to the external network to perform an audit function.

본 발명의 실시예에서, 상기 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법은, 외부망으로 전송된 자료에 대해 마스킹(Masking)하여 특정된 자료의 노출 차단 기능을 제공하는 단계를 더 포함할 수 있다.In the embodiment of the present invention, the indirect interworking method through the internal network transmission control server in the network separation environment includes masking the data transmitted to the external network and providing an exposure blocking function of the specified data .

본 발명의 실시예에서, 상기 클라이언트로부터 자료조회 요청이 있는 경우, NoSQL(Non-Structured Query Language) 방식의 전문을 외부망 전송통제 서버로부터 파일단위로 수신하는 단계는, WAS 서버(Server)로부터 전용 프로토콜을 통한 자료조회 요청을 수신할 수 있다.In the embodiment of the present invention, when receiving a data inquiry request from the client, the step of receiving a message of a non-structured query language (NoSQL) method from the external network transmission control server in units of files is performed by the WAS server Protocol can be received.

본 발명의 실시예에서, 상기 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법은, 상기 수신된 NoSQL 방식의 전문의 권한을 확인하는 단계를 더 포함할 수 있다.In an embodiment of the present invention, the indirect interworking method through the internal network transfer control server in the network separation environment may further include checking the authority of the received NoSQL method specialization.

본 발명의 실시예에서, 상기 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법은, 외부망으로부터 전달된 자료에 대해 악성코드 검사를 수행하는 단계를 더 포함할 수 있다.In an embodiment of the present invention, the indirect interworking method through the internal network transmission control server in the network separation environment may further include performing malicious code checking on data transmitted from the external network.

상기한 본 발명의 다른 목적을 실현하기 위한 일 실시예에 따른 컴퓨터로 판독 가능한 저장 매체에는, 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법을 수행하기 위한 컴퓨터 프로그램이 기록되어 있다. According to another aspect of the present invention, there is provided a computer readable storage medium storing a computer program for performing an indirect interworking method using an internal network transmission control server in a network separation environment.

상기한 본 발명의 또 다른 목적을 실현하기 위한 일 실시예에 따른 망분리 환경에서의 간접연동 시스템은, 클라이언트로부터 자료조회 요청이 있는 경우, 전용 프로토콜을 통해 NoSQL(Non-Structured Query Language) 방식의 전문을 생성하는 전용 드라이버; 상기 전용 드라이버로부터 수신된 NoSQL 방식의 전문을 전달하는 외부망 전송통제 서버; 및 상기 외부망 전송통제 서버로부터 전달되는 NoSQL 방식의 전문을 파일단위로 수신하고, 상기 수신된 NoSQL 방식의 전문의 권한이 확인되면, 상기 수신된 NoSQL 방식의 전문을 SQL(Structured Query Language) 방식으로 변환하고, 내부망의 정책에 따라 DB 조회를 처리하고 결과 데이터를 파일로 생성하여 상기 외부망 전송통제 서버로 전송하고, 상기 외부망 전송통제 서버로부터 수신된 파일을 지정된 디렉토리에 저장하는 내부망 전송통제 서버를 포함한다.According to another aspect of the present invention, there is provided an indirect interworking system in a network separation environment, wherein when a client requests a data query, a non-structured query language (NoSQL) Dedicated drivers to generate specialists; An external network transmission control server for transmitting the NoSQL type message received from the dedicated driver; And a NoSQL method specification transmitted from the external network transmission control server on a file unit basis. If the received NoSQL method special authority is confirmed, the received NoSQL method specification is converted into a Structured Query Language And transmits the generated data to the external network transmission control server. The internal network transmission control server stores the file received from the external network transmission control server in the designated directory. And a control server.

상기한 본 발명의 또 다른 목적을 실현하기 위한 일 실시예에 따른 망분리 환경에서의 간접연동 시스템은, 외부망의 단말기로부터 수신한 메일을 업로드하고, 특정 프로토콜을 통해 전송하는 수집 서버; 상기 수집 서버로부터 특정 프로토콜을 통해 메일을 수신하고, 전송 결과를 상기 수집 서버로 전송하는 외부망 전송통제 서버; 및 상기 외부망 전송통제 서버로부터 전달된 메일 원문을 파일로 형성하고, 내부망의 정책에 따라 결재가 완료되면, 내부 전송 프로토콜을 통해 내부망의 목적지 서버로 전달하는 내부망 전송통제 서버를 포함한다.According to another aspect of the present invention, there is provided an indirect interworking system in a network separation environment, comprising: a collection server for uploading a mail received from a terminal of an external network and transmitting the received mail through a specific protocol; An external network transmission control server for receiving a mail from the collection server through a specific protocol and transmitting the transmission result to the collection server; And an internal network transmission control server for forming the original text of the mail delivered from the external network transmission control server into a file and delivering it to the destination server of the internal network through the internal transmission protocol when the settlement is completed according to the policy of the internal network .

본 발명의 실시예에서, 상기 특정 프로토콜은 HTTP(Hypertext Transfer Protocol) put이고, 상기 외부망 전송통제 서버는 200 OK의 전송결과를 상기 수집 서버로 전송할 수 있다.In the embodiment of the present invention, the specific protocol is HTTP (Hypertext Transfer Protocol) put, and the external network transmission control server can transmit the 200 OK transmission result to the collection server.

본 발명의 실시예에서, 상기 특정 프로토콜은 SMTP(Simple Mail Transfer Protocol)이고, 상기 외부망 전송통제 서버는 상기 내부 전송통제 서버의 응답 실행이 완료된 경우 응답 전문을 상기 수집 서버로 전송할 수 있다.In the embodiment of the present invention, the specific protocol is SMTP (Simple Mail Transfer Protocol), and the external network transmission control server can transmit a response message to the collection server when the response of the internal transmission control server is completed.

상기한 본 발명의 또 다른 목적을 실현하기 위한 일 실시예에 따른 망분리 환경에서의 간접연동 시스템은, 표준시간을 제공하는 표준시간 서버; 상기 표준시간 서버의 시간을 기초로 시간을 동기화하고, 일정 간격으로 NTP(Network Time Protocol)를 통해 시간을 동기화하는 외부망 전송통제 서버; 및 상기 외부망 전송통제 서버에 의해 시간이 동기화되고, 내부 전송 프로토콜을 통해 내부망의 서버들의 시간을 동기화하는 내부망 전송통제 서버를 포함한다.According to another aspect of the present invention, there is provided an indirect interworking system in a network separation environment, including: a standard time server for providing standard time; An external network transmission control server for synchronizing time based on the time of the standard time server and synchronizing time through NTP (Network Time Protocol) at regular intervals; And an internal network transmission control server for synchronizing time by the external network transmission control server and synchronizing time of servers of the internal network through an internal transmission protocol.

본 발명의 실시예에서, 상기 망분리 환경에서의 간접연동 시스템은, 상기 외부망 전송통제 서버로부터 전달된 파일을 자료교환 체계를 통해 내부망으로 전달하는 스토리지를 더 포함할 수 있다.In an embodiment of the present invention, the indirectly interworking system in the network separation environment may further include storage for transferring a file transferred from the external network transmission control server to an internal network through a data exchange system.

본 발명의 실시예에서, 상기 내부망 전송통제 서버는, 내부망에서 외부망으로 전송요청이 있는 경우, 해당 자료가 미리 정해진 형태의 자료인지 확인하여, 상기 해당 자료가 미리 정해진 형태의 자료인 경우에만, 외부망으로 전송할 수 있다.In the embodiment of the present invention, when there is a transmission request from the internal network to the external network, the internal network transmission control server checks whether the corresponding data is a predetermined type of data, and if the corresponding data is a predetermined type of data Only to the external network.

본 발명의 실시예에서, 상기 내부망 전송통제 서버는, 외부망으로 전송된 자료에 대해 로그를 생성하는 기능, 외부망으로 전송된 자료에 대해 마스킹(Masking)하여 특정된 자료의 노출을 차단하는 기능 및 외부망으로부터 전달된 자료에 대해 악성코드 검사를 수행하는 기능 중 적어도 하나의 보안 기능을 수행할 수 있다.In the exemplary embodiment of the present invention, the internal network transmission control server may include a function of generating a log of data transmitted to the external network, a function of masking data transmitted to the external network, And a function of performing malicious code checking on data transmitted from the external network.

이와 같은 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법에 따르면, 외부 인터넷망으로부터 내부의 DB 자료를 조회 하는 경우 인터넷망에서는 SQL을 사용하지 않고 DB 접속 정보나 종류 등 일반적인 정보를 사용하지 않으므로, 내부 DB에 대해서 임의의 SQL 등의 실행을 원천 차단하고 제공 대상 정보만 사용할 수 있다. 이에 따라, 망분리 환경에서 외부 인터넷망에서 내부망의 자료를 참조하려고 할 경우, 인터넷망에 DB 정보, 접속정보, SQL 정보를 남기지 않게 되어 내부망의 보안성을 향상시킬 수 있다.According to the indirect linking method through the internal network transmission control server in such a network separation environment, when the internal DB data is retrieved from the external internet network, general information such as DB connection information or kind is used without using SQL in the Internet network Therefore, it is possible to block the execution of arbitrary SQL or the like against the internal DB and use only the target information. Accordingly, when referring to the data of the internal network in the external internet network in the network separation environment, the security of the internal network can be improved by not leaving DB information, connection information and SQL information in the Internet network.

도 1은 본 발명의 일 실시예에 따른 망분리 환경에서의 간접연동 시스템에 대한 도면이다.
도 2는 도 1의 시스템에서 수행되는 망분리 환경에서의 간접연동 프로세스를 보여주는 도면이다.
도 3은 도 1의 전용 드라이버 사용시 코딩예를 보여주는 도면이다.
도 4는 본 발명의 다른 실시예에 따른 망분리 환경에서의 간접연동 시스템에 대한 도면이다.
도 5는 본 발명의 또 다른 실시예에 따른 망분리 환경에서의 간접연동 시스템에 대한 도면이다.
도 6은 도 5의 시스템에서 수행되는 망분리 환경에서의 간접연동 프로세스를 보여주는 도면이다.
도 7은 본 발명의 또 다른 실시예에 따른 망분리 간접연동 프로세스를 보여주는 도면이다.
도 8은 본 발명의 또 다른 실시예에 따른 망분리 환경에서의 간접연동 프로세스를 보여주는 도면이다.1 is a diagram of an indirectly coupled system in a network separation environment according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating an indirect interworking process in a network separation environment performed in the system of FIG. 1; FIG.
3 is a diagram showing an example of coding when using the dedicated driver of FIG.
4 is a diagram of an indirectly coupled system in a network separation environment according to another embodiment of the present invention.
5 is a diagram of an indirectly coupled system in a network separation environment according to another embodiment of the present invention.
FIG. 6 is a diagram illustrating an indirect interworking process in a network separation environment performed in the system of FIG. 5; FIG.
FIG. 7 is a diagram illustrating a network separation indirect interworking process according to another embodiment of the present invention.
8 is a diagram illustrating an indirect interworking process in a network separation environment according to another embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.The following detailed description of the invention refers to the accompanying drawings, which illustrate, by way of illustration, specific embodiments in which the invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the present invention are different, but need not be mutually exclusive. For example, certain features, structures, and characteristics described herein may be implemented in other embodiments without departing from the spirit and scope of the invention in connection with an embodiment. It is also to be understood that the position or arrangement of the individual components within each disclosed embodiment may be varied without departing from the spirit and scope of the invention. The following detailed description is, therefore, not to be taken in a limiting sense, and the scope of the present invention is to be limited only by the appended claims, along with the full scope of equivalents to which such claims are entitled, if properly explained. In the drawings, like reference numerals refer to the same or similar functions throughout the several views.

이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다. Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the drawings.

본 발명에 따른 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법 및 시스템은, 외부망 서버에 데이터베이스 접속 정보를 설정하지 않고, 외부망 서버에 SQL을 저장하지 않는다. 또한, 외부망 서버로부터 내부로 보내는 요청에는 표준 SQL을 사용하지 않고, 내부망에서 외부망으로 보내는 자료는 정해진 형태의 자료만 허용한다(Static SQL). 또한, 유출된 자료에 대한 로그 생성으로 감사 기능 제공하여 내부망의 보안성을 높일 수 있다.The indirect interworking method and system using the internal network transmission control server in the network separation environment according to the present invention does not store the SQL in the external network server without setting the database connection information in the external network server. In addition, standard SQL is not used for requests sent from the external network server, and data sent from the internal network to the external network only allows data of a predetermined type (Static SQL). In addition, it is possible to increase the security of the internal network by providing the audit function by generating the log of the leaked data.

이하에서는, 본 발명의 구체적인 실시예들에 따른 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법 및 시스템을 설명한다.Hereinafter, an indirect interworking method and system using an internal network transmission control server in a network separation environment according to specific embodiments of the present invention will be described.

도 1은 본 발명의 일 실시예에 따른 망분리 환경에서의 간접연동 시스템에 대한 도면이다. 도 2는 도 1의 시스템에서 수행되는 망분리 환경에서의 간접연동 프로세스를 보여주는 도면이다.1 is a diagram of an indirectly coupled system in a network separation environment according to an embodiment of the present invention. FIG. 2 is a diagram illustrating an indirect interworking process in a network separation environment performed in the system of FIG. 1; FIG.

본 발명에 따른 망분리 환경에서의 간접연동 시스템(1, 이하 시스템)은 내부망(업무망)과 외부망(인터넷망)이 분리된 망분리 환경에서 간접연동 방식을 이용하여 내부망의 침입 및 자료 유출을 방지하는 등 보안성을 향상시킨다.INDUSTRIAL APPLICABILITY According to the present invention, an indirectly interworking system (hereinafter, referred to as "system 1") is an interworking system in which an intrusion It improves security by preventing data leakage.

도 1 및 도 2를 참조하면, 본 실시예에 따른 발명에 따른 시스템(1)은 전용 서버(20, WasServer), 외부망 전송통제 서버(30), 내부망 전송통제 서버(50)를 포함한다. 상기 시스템(1)은 상기 외부망 전송통제 서버(30) 및 상기 내부망 전송통제 서버(50) 사이에서 자료교환을 제공하는 스토리지(40)를 더 포함할 수 있다.1 and 2, a system 1 according to the present invention includes a dedicated server 20, an external network transmission control server 30, and an internal network transmission control server 50 . The system 1 may further include a storage 40 for providing data exchange between the external network transmission control server 30 and the internal network transmission control server 50.

본 실시예에 따른 간접연동은 DB(Database) 데이터 연동 방식으로, 인터넷망에서 내부의 DB자료를 조회 하는 경우, 인터넷망에서는 SQL을 사용하지 않고, DB접속 정보나 종류 등 일반적인 정보를 사용하지 않는다. 이에 따라, 내부 DB에 대해서 임의의 SQL등의 실행을 원천 차단하고 제공 대상 정보만 사용할 수 있도록 기능을 구현한다.The indirect interworking according to the present embodiment is a database (DB) data interlocking method. In the case of searching internal DB data in the Internet network, general information such as DB connection information or kind is not used without using SQL in the Internet network . Accordingly, the execution of arbitrary SQL and the like is intercepted from the internal DB, and the function is implemented so that only the provided information can be used.

구체적으로, 상기 시스템(1)의 전용 서버(20)는 사용자가 인터넷을 통해 자료 요청을 하는 경우, 웹 서버(10)를 통해 요청을 수신한다. 이때, 상기 전용 서버(20)는 표준 SQL등의 DML, DDL과 표준 드라이버 등을 사용하지 않고, 전용 드라이버를 통해 NoSQL(Non-Structured Query Language) 방식의 전문을 생성한다.Specifically, the dedicated server 20 of the system 1 receives a request through the web server 10 when a user makes a data request through the Internet. At this time, the dedicated server 20 does not use DML, DDL, and standard driver such as standard SQL, and generates a specialist of NoSQL (Non-Structured Query Language) through a dedicated driver.

따라서, 상기 시스템(1)의 외부망 영역의 서버에서는 표준 SQL를 사용하지 않고, DB유형이나 DB연결 정보 등이 인터넷망 서버 영역에 존재하지 않게 된다. 이에 따라, 외부에서는 내부망의 DB종류를 알 수 없으며, 내부망의 DB를 연결하기 위한 사용자 계정이나 DB관련 설정 정보 등을 외부에서는 알 수 없다.Therefore, the server in the external network area of the system 1 does not use the standard SQL, and DB type, DB connection information, and the like are not present in the Internet network server area. Accordingly, the DB type of the internal network can not be known from the outside, and the user account or DB-related setting information for connecting the DB of the internal network can not be known from the outside.

상기 전용 서버(20)는 생성된 NoSQL 방식의 전문을 상기 외부망 전송통제 서버(30)로 전달한다. 상기 NoSQL 방식의 전문은 상기 스토리지(40)의 자료교환 시스템을 통해 상기 내부망 전송통제 서버(50)로 전달된다.The dedicated server 20 transfers the created NoSQL method message to the external network transmission control server 30. The specialization of the NoSQL method is transmitted to the internal network transmission control server 50 through the data exchange system of the storage 40.

상기 내부망 전송통제 서버(50)는 상기 NoSQL 방식의 전문을 파일단위로 수신하고, 수신된 NoSQL 방식의 전문은 권한을 확인하여, 권한이 확인되면, 상기 수신된 NoSQL 방식의 전문을 SQL(Structured Query Language) 방식으로 변환한다. The internal network transmission control server 50 receives the special character of the NoSQL method on a file unit basis and confirms the received special character of the NoSQL method and verifies the received special character of the NoSQL method to SQL Query Language).

또한, 상기 내부망 전송통제 서버(50)는 내부망의 정책에 따라 DB 조회를 처리하고, 결과 데이터를 파일로 생성(예를 들어, 응답 전문)하여 전송한다. 상기 응답 전문은 상기 스토리지(40)의 자료교환 시스템을 통해 상기 외부망 전송통제 서버(30)로 전달되고, 상기 외부망 전송통제 서버(30)는 응답 전문을 다시 상기 전용 서버(20)로 전달한다.Also, the internal network transmission control server 50 processes the DB inquiry according to the policy of the internal network, and transmits the result data to a file (for example, a response message). The response message is transmitted to the external network transmission control server 30 through the data exchange system of the storage 40 and the external network transmission control server 30 transmits the response message back to the dedicated server 20 do.

한편, 상기 내부망 전송통제 서버(50)는 내부 전송 프로토콜을 통해 상기 외부망 전송통제 서버(30)로부터 수신된 파일을 내부 DB서버(60)의 지정된 디렉토리에 저장하고 프로세스를 종료한다. 더불어, 외부에서 요청된 자료셋에 대한 권한 관리 기능 제공하고, 외부로부터 전달된 자료에 대한 악성코드 검사 기능을 제공하여 보안을 한층 더 강화할 수 있다.Meanwhile, the internal network transmission control server 50 stores the file received from the external network transmission control server 30 through the internal transmission protocol in a designated directory of the internal DB server 60, and ends the process. In addition, security can be strengthened by providing privilege management function for externally requested data sets and malicious code checking function for externally transmitted data.

내부망에서 외부망으로 전송요청이 있는 경우, 상기 내부망 전송통제 서버(50)는 해당 자료가 미리 정해진 형태의 자료인지 확인하고, 상기 해당 자료가 미리 정해진 형태(Static SQL)의 자료인 경우에만, 외부망으로 전송한다.If there is a transmission request from the internal network to the external network, the internal network transmission control server 50 checks whether the corresponding data is a predetermined type of data, and if the corresponding data is a predetermined type (Static SQL) , And transmits it to the external network.

또한, 제공유형의 데이터셋 이외의 자료를 인터넷망에서 참조할 수 없도록 차단 기능 제공하여, DB 접근 제어보다 한차원 높은 보안 기능을 제공할 수 있다. 외부로 유출된 자료에 대한 감사기능을 상세하게 제공하거나, 유출되는 자료에 대해 로그를 생성하거나 마스킹(Masking) 하여 개인정보 등 민감한 자료의 노출 차단기능 제공할 수 있다.Also, by providing a function to block data other than the data set of the providing type from the Internet, it is possible to provide one level higher security function than DB access control. It can provide detailed audit function for outgoing data or generate a log or masking the outgoing data to provide a function of blocking exposure of sensitive data such as personal information.

도 3a는 기존 드라이버 사용시 코딩예이고, 도 3b는 본 발명에 따라 전용 드라이버 사용시 코딩예를 보여주는 도면이다.FIG. 3A shows a coding example when using an existing driver, and FIG. 3B shows an example of coding when a dedicated driver is used according to the present invention.

도 3a를 참조하면, 표준 오라클 드라이버를 사용하는 경우, 내부망의 DB접속 정보가 프로그램이나 설정정보에 존재하고, 내부망의 DB 연결용 아이디와 패스워드가 설정된다. 이에 따라, 망분리 환경에서도 외부망에 내부망의 DB유형이나 DB연결 정보 등이 남게 되어 보안에 취약하다.Referring to FIG. 3A, when using the standard Oracle driver, the DB connection information of the internal network is present in the program or configuration information, and the DB connection ID and password of the internal network are set. Accordingly, DB type and DB connection information of the internal network are left in the external network even in the network separation environment, which is vulnerable to security.

반면, 도 3b를 참조하면, 본 발명에서는 망연계 전용 드라이버를 사용하므로, 외부망 전송통제 서버의 정보 및 자료교환 시스템 접속용 아이디와 비밀번호만 등록된다. 이에 따라, 내부망의 DB종류를 외부에서는 알 수 없으며, 내부망의 DB를 연결하기 위한 사용자 계정이나 DB관련 설정 정보 등을 외부에서는 알 수 없게 되어 보안성을 향상시킨다.Referring to FIG. 3B, in the present invention, only the ID and password for accessing the information and data exchange system of the external network transmission control server are registered because the network connection dedicated driver is used. Accordingly, the DB type of the internal network can not be known from the outside, and the user account for connecting the DB of the internal network and the DB-related setting information can not be known from the outside, thereby improving the security.

도 4는 본 발명의 다른 실시예에 따른 망분리 환경에서의 간접연동 시스템에 대한 도면이다.4 is a diagram of an indirectly coupled system in a network separation environment according to another embodiment of the present invention.

도 4를 참조하면, 본 실시예에 따른 발명에 따른 시스템(2)은 외부망 전송통제 서버(32), 내부망 전송통제 서버(52)를 포함한다. 상기 시스템(2)은 상기 외부망 전송통제 서버(32) 및 상기 내부망 전송통제 서버(52) 사이에서 자료교환을 제공하는 스토리지(42)를 더 포함할 수 있다.Referring to FIG. 4, the system 2 according to the present invention includes an external network transmission control server 32 and an internal network transmission control server 52. The system 2 may further include a storage 42 for providing data exchange between the external network transmission control server 32 and the internal network transmission control server 52.

본 실시예에 따른 간접연동은 파일 기반 연동 방식으로, 자료교환 체계에서 내부망과 인터넷망간 자료교환 기능 구현 시 파일단위 또는 전문단위에 파일명이나 전문명을 지정해서 전송하며, 상기 내부망 전송통제 서버(52)는 전문 번호 또는 파일명 종류에 따라 악성코드 검사와 결재 등 절차를 거쳐서 망간 자료전송 기능을 구현한다.The indirect interworking according to the present embodiment is a file-based interworking method. In the data interchange system, when a data interchange function between an internal network and an Internet network is implemented, a file name or a special name is designated and transmitted to a file unit or a specialized unit. (52) implements the function of transmitting manganese data through malicious code inspection and approval according to the type of the special number or file name.

구체적으로, 상기 시스템(2)에서, 내부망의 사용자(Client, 62)가 외부 영역의 서버(12)로 전송할 자료를 파일로 생성하여 전송하는 경우, 생성된 파일은 TCP(Transmission Control Protocol)를 통해 상기 내부망 전송통제 서버(52)로 전송된다.Specifically, in the system 2, when a user (client) 62 of the internal network generates and transmits data to be transmitted to the server 12 in the external area as a file, the generated file is transmitted through TCP (Transmission Control Protocol) To the internal network transmission control server (52).

상기 내부망 전송통제 서버(52)는 수신된 파일의 악성코드 검사와 정책에 따른 결재 프로세스 진행하고, 내부 프로세스 완료 후 외부 전송용 서비스에 의해 파일을 외부로 반출할 수 있다.The internal network transmission control server 52 proceeds to the malicious code inspection of the received file and the approval process according to the policy, and after the internal process is completed, the internal network transmission control server 52 can export the file to the outside by the external transfer service.

상기 외부망 전송통제 서버(32)는 내부망으로부터 수신된 파일을 정책 정보를 이용하여 수신 서버(12)를 취득하고, 상기 수신 서버(12)로 파일을 전송한다. 상기 수신 서버(12)는 상기 외부망 전송통제 서버(32)로부터 수신된 파일을 지정된 디렉토리에 저장하고 프로세스 종료한다.The external network transmission control server 32 acquires the file received from the internal network using the policy information and transmits the file to the reception server 12. The receiving server 12 stores the file received from the external network transmission control server 32 in a designated directory and terminates the process.

본 실시예에서는 파일단위로 내부망과 외부망 프로그램이 자료를 전송하기 위한 API 또는 FTP등 파일 전송 프로토콜을 이용하여 파일을 전송할 수 있다.In this embodiment, the internal network and the external network program can transmit a file by using a file transfer protocol such as API or FTP for transmitting data.

도 5는 본 발명의 또 다른 실시예에 따른 망분리 환경에서의 간접연동 시스템에 대한 도면이다. 도 6은 도 5의 시스템에서 수행되는 망분리 환경에서의 간접연동 프로세스를 보여주는 도면이다.5 is a diagram of an indirectly coupled system in a network separation environment according to another embodiment of the present invention. FIG. 6 is a diagram illustrating an indirect interworking process in a network separation environment performed in the system of FIG. 5; FIG.

도 5및 도 6을 참조하면, 시스템(3)은 수집 서버(23), 외부망 전송통제 서버(33), 내부망 전송통제 서버(53)를 포함한다. 상기 시스템(3)은 상기 외부망 전송통제 서버(33) 및 상기 내부망 전송통제 서버(53) 사이에서 자료교환을 제공하는 스토리지(43)를 더 포함할 수 있다. Referring to FIGS. 5 and 6, the system 3 includes a collection server 23, an external network transmission control server 33, and an internal network transmission control server 53. The system 3 may further comprise a storage 43 for providing data exchange between the external network transmission control server 33 and the internal network transmission control server 53.

본 실시예에 따른 간접연동은 HTTP(Hyper Text Transfer Protocol) 단방향 연계 방식으로, 인터넷망으로부터 내부망으로 자료 전달 시 HTTP 프로토콜을 이용하여 파일을 전송하고, 수신된 파일을 저장하고 악성코드 검사 및 결재처리 후 정책에 따라서 대상 서버로 파일을 전송한다. 또한, 인터넷망 서버로의 응답전문은 200 OK 등 결과만 통보한다.The indirect interworking according to this embodiment is a unidirectional linking method of HTTP (Hyper Text Transfer Protocol). When data is transferred from the Internet network to the internal network, the file is transmitted using the HTTP protocol, the received file is stored, After the processing, the file is transferred to the target server according to the policy. In addition, the response message to the Internet network server only reports the result such as 200 OK.

구체적으로, 상기 시스템(3)에서 외부망의 스마트폰이나 PC 등의 단말기에서 상기 수집 서버(23)에 자료를 업로드한다. 예를 들어, 사용자는 메일을 작성하여 발송할 수 있다.Specifically, the system 3 uploads data to the collection server 23 from a terminal such as a smart phone or a PC in the external network. For example, a user can compose and send a mail.

상기 수집 서버(23)는 컨텐츠를 HTTP put을 통해 상기 외부망 전송통제 서버(33)로 전송한다. 상기 외부망 전송통제 서버(33)는 200 OK 등 전송 결과만 상기 수집 서버(23)로 전송한다.The collection server 23 transmits the content to the external network transmission control server 33 via HTTP put. The external network transmission control server 33 transmits only the transmission result such as 200 OK to the collection server 23.

상기 외부망 전송통제 서버(33)에 전달된 데이터는 자료교환 체계를 통해 상기 내부망 전송통제 서버(53)까지 전달된다. 상기 내부망 전송통제 서버(53)는 수신된 메일 원문을 파일로 생성하고, 수신된 메일을 백신을 통해 악성코드 검사를 실행하고 정책에 따라서 결재 프로세스를 진행한다.The data transmitted to the external network transmission control server 33 is transmitted to the internal network transmission control server 53 through a data exchange system. The internal network transmission control server 53 generates a received mail text as a file, executes a malicious code check through a vaccine on the received mail, and proceeds with the settlement process according to the policy.

이후, 상기 내부망 전송통제 서버(53)는 반입절차가 완료된 파일에 대해서 목적지 서버(63)로 HTTP put 을 통해 자료를 전달한다.Thereafter, the internal network transmission control server 53 transmits the data to the destination server 63 through the HTTP put to the file in which the import procedure is completed.

도 7은 본 발명의 또 다른 실시예에 따른 망분리 간접연동 프로세스를 보여주는 도면이다.FIG. 7 is a diagram illustrating a network separation indirect interworking process according to another embodiment of the present invention.

도 7을 참조하면, 시스템(4)은 수집 서버(24), 외부망 전송통제 서버(34), 내부망 전송통제 서버(54)를 포함한다. 상기 시스템(4)은 상기 외부망 전송통제 서버(34) 및 상기 내부망 전송통제 서버(54) 사이에서 자료교환을 제공하는 스토리지(44)를 더 포함할 수 있다. Referring to FIG. 7, the system 4 includes a collection server 24, an external network transmission control server 34, and an internal network transmission control server 54. The system 4 may further include a storage 44 for providing data exchange between the external network transmission control server 34 and the internal network transmission control server 54.

본 실시예에 따른 간접연동은 SMTP(Simple Mail Transfor Protocol) 기반 연동 방식으로, 인터넷망으로부터 내부망으로 자료 전달 시 SMTP프로토콜을 통해 파일이나 Noti등의 기능을 구현한다.The indirect interworking according to the present embodiment is an SMTP (Simple Mail Transfer Protocol) -based interworking method, and implements functions such as file and notify via the SMTP protocol when transferring data from the Internet network to the internal network.

본 실시예는 SMTP 프로토콜을 통해 수집된 자료를 eml로 변환하고, 악성코드 검사를 실시한다. 또한, 내부 정책에 따라서 수신자에게 전송 또는 차단을 실시하고 전송이력을 남긴다.The present embodiment converts data collected through the SMTP protocol into eml and performs malicious code checking. In addition, according to the internal policy, transmission or blocking is performed to the receiver and the transmission history is left.

구체적으로, 상기 시스템(4)에서 메일 클라이언트(Client, 24)는 상기 외부망 전송통제 서버(34)로 메일을 발송한다(SMTP Request). 상기 외부망 전송통제 서버(34)는 수신된 파일을 상기 스토리지(44)를 통해 상기 내부망 전송통제 서버(54)로 전달한다.Specifically, in the system 4, a mail client (Client) 24 sends a mail to the external network transmission control server 34 (SMTP Request). The external network transmission control server 34 transfers the received file to the internal network transmission control server 54 via the storage 44.

상기 내부망 전송통제 서버(54)는 수신된 메일 원문을 파일로 생성하고, SMTP로 전송된 메일을 수신하고 응답을 실행한다. 또한, 상기 내부망 전송통제 서버(54)는 상기 외부망 전송통제 서버(34)로 응답 전문을 전송하고, 상기 외부망 전송통제 서버(34)는 SMTP요청 서버인 상기 메일 클라이언트(24)로 전송 결과를 송신한다.The internal network transmission control server 54 generates the received mail text as a file, receives the mail sent via SMTP, and executes a response. The internal network transmission control server 54 transmits a response message to the external network transmission control server 34 and the external network transmission control server 34 transmits the message to the mail client 24 And transmits the result.

상기 내부망 전송통제 서버(54)는 수신된 메일은 백신을 통해 악성코드 검사를 실행하고, 내부 정책에 따라서 결재 시스템을 통해 결재 처리한다. 또한, 내부처리 프로세스가 완료된 후 대상 서버(64)로 자료를 전송한다.The internal network transmission control server 54 executes a malicious code check through a vaccine on the received mail and performs a settlement process through the payment system according to the internal policy. In addition, after the internal processing process is completed, the data is transmitted to the target server 64.

도 8은 본 발명의 또 다른 실시예에 따른 망분리 환경에서의 간접연동 프로세스를 보여주는 도면이다.8 is a diagram illustrating an indirect interworking process in a network separation environment according to another embodiment of the present invention.

도 8을 참조하면, 시스템(5)은 표준시간을 제공하는 표준시간 서버(25), 외부망 전송통제 서버(35), 내부망 전송통제 서버(55)를 포함한다. 상기 시스템(5)은 상기 외부망 전송통제 서버(35) 및 상기 내부망 전송통제 서버(55) 사이에서 자료교환을 제공하는 스토리지(45)를 더 포함할 수 있다. Referring to FIG. 8, the system 5 includes a standard time server 25 that provides standard time, an external network transmission control server 35, and an internal network transmission control server 55. The system 5 may further include a storage 45 for providing data exchange between the external network transmission control server 35 and the internal network transmission control server 55.

본 실시예에 따른 간접연동은 NTP(Network Time Protocol) 프로토콜 연동 방식으로, 인터넷망 서버는 외부의 시간(Time) 서버로 시각 동기화를 주기적으로 실행한다. 인터넷망 서버와 업무망 서버는 주기적으로 시각 동기화 실행하고, 업무망에서 운영되는 서버는 업무망 전송통제 서버와의 시각 동기화를 통해서 시간을 일치시킨다.The indirect interworking according to this embodiment is an NTP (Network Time Protocol) protocol interworking method, and the Internet network server periodically performs time synchronization with an external time server. The Internet network server and the business network server periodically synchronize with each other, and the server operating in the business network synchronizes the time through the time synchronization with the business network transmission control server.

구체적으로, 상기 시스템(5)에서 상기 외부망 전송통제 서버(35)는 상기 표준시간 서버(25)이 제공하는 표준시간을 통해 시간을 동기화하고, 일정 간격으로 상기 외부망 전송통제 서버(35)와 상기 내부망 전송통제 서버(55) 간 시간을 동기화 처리한다.In the system 5, the external network transmission control server 35 synchronizes the time with the standard time provided by the standard time server 25 and transmits the external network transmission control server 35, And the internal network transmission control server (55).

상기 내부망 전송통제 서버(55)는 NTP 서비스로 외부망 시간으로 내부망의 서버들의 시간을 동기화시킨다. 이로서, 내부망의 자료 수신 시간 및 전송 시간을 명확히 하여 보안을 강화할 수 있다.The internal network transmission control server 55 synchronizes the time of the internal network servers with the external network time with the NTP service. As a result, security can be enhanced by clarifying data receiving time and transmission time of the internal network.

이와 같은, 본 발명에 따른 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법 방법은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. The indirect interworking method using the internal network transmission control server in the network separation environment according to the present invention may be implemented in the form of an application program or a program instruction that can be executed through various computer components, Lt; / RTI > The computer-readable recording medium may include program commands, data files, data structures, and the like, alone or in combination.

상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. The program instructions recorded on the computer-readable recording medium may be ones that are specially designed and configured for the present invention and are known and available to those skilled in the art of computer software.

컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like.

프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules for performing the processing according to the present invention, and vice versa.

이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims. You will understand.

본 발명은 내부 업무망과 외부 인터넷망의 분리 환경에서, 표준 드라이버가 아닌 자체 개발 드라이버를 사용하므로, 외부망 서버에 데이터베이스 접속 정보를 설정하지 않고, SQL을 저장하지 않는다. 따라서, 최근 널리 사용되는 망분리 환경에서의 간접연동 방식에 적용하여 내부망의 DB 접근에 대한 보안성을 높일 수 있다.Since the present invention uses a self-developed driver instead of a standard driver in a separate environment between an internal business network and an external Internet network, SQL is not stored without setting database connection information in an external network server. Therefore, it can be applied to the indirect interworking method in the widely used network separation environment, thereby enhancing the security of DB access of the internal network.

1, 2, 3, 4, 5: 간접연동 시스템
10, 12: 웹 서버
20: 전용 서버
23, 24: 수집 서버
25: 표준시간 서버
30, 32, 33, 34, 35: 외부망 전송통제 서버
40, 42, 43, 44, 45: 스토리지
50, 52, 53, 54, 55: 내부망 전송통제 서버
60, 62, 63, 64, 65: 내부 서버1, 2, 3, 4, 5: Indirect interlocking system
10, 12: Web server
20: dedicated server
23, 24: collection server
25: Standard Time Server
30, 32, 33, 34, 35: external network transmission control server
40, 42, 43, 44, 45: storage
50, 52, 53, 54, 55: internal network transmission control server
60, 62, 63, 64, 65: internal server

Claims (16)

망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법에 있어서,
클라이언트로부터 자료조회 요청이 있는 경우, NoSQL(Non-Structured Query Language) 방식의 전문을 외부망 전송통제 서버로부터 파일단위로 수신하는 단계;
상기 수신된 NoSQL 방식의 전문을 SQL(Structured Query Language) 방식으로 변환하는 단계;
내부망의 정책에 따라 DB 조회를 처리하고 결과 데이터를 파일로 생성하여 상기 외부망 전송통제 서버로 전송하는 단계; 및
상기 외부망 전송통제 서버로부터 수신된 파일을 지정된 디렉토리에 저장하고 프로세스를 종료하는 단계를 포함하는, 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법.
In an indirect interworking method through an internal network transmission control server in a network separation environment,
Receiving, in a file unit, a message of a non-structured query language (NoSQL) method from an external network transmission control server when a client requests a data inquiry;
Converting the received NoSQL method specification into a SQL (Structured Query Language) method;
Processing DB inquiry according to a policy of the internal network, generating result data as a file, and transmitting the file to the external network transmission control server; And
Storing the file received from the external network transmission control server in a designated directory and terminating the process; and indirectly interworking through the internal network transmission control server in the network separation environment.
제1항에 있어서,
내부망에서 외부망으로 전송요청이 있는 경우, 해당 자료가 미리 정해진 형태의 자료인지 확인하는 단계; 및
상기 해당 자료가 미리 정해진 형태의 자료인 경우에만, 외부망으로 전송하는 단계를 더 포함하는, 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법.
The method according to claim 1,
Confirming whether the data is a predetermined type of data when there is a transmission request from the internal network to the external network; And
And transmitting the data to the external network only when the corresponding data is a predetermined type of data. The indirect interworking method using an internal network transmission control server in a network separation environment.
제2항에 있어서,
외부망으로 전송된 자료에 대해 로그를 생성하여 감사기능을 수행하는 단계를 더 포함하는, 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법.
3. The method of claim 2,
The method of claim 1, further comprising: generating a log for data transmitted to the external network to perform an auditing function, wherein the indirect interworking method through the internal network transmission control server in the network separation environment.
제2항에 있어서,
외부망으로 전송된 자료에 대해 마스킹(Masking)하여 특정된 자료의 노출 차단 기능을 제공하는 단계를 더 포함하는, 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법.
3. The method of claim 2,
The method of claim 1, further comprising masking data transmitted to an external network to provide a function of blocking exposure of the specified data.
제1항에 있어서, 상기 클라이언트로부터 자료조회 요청이 있는 경우, NoSQL(Non-Structured Query Language) 방식의 전문을 외부망 전송통제 서버로부터 파일단위로 수신하는 단계는,
WAS 서버(Server)로부터 전용 프로토콜을 통한 자료조회 요청을 수신하는, 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법.
The method as claimed in claim 1, wherein, in the case where there is a data inquiry request from the client, the step of receiving, from the external network transmission control server,
An indirect interworking method through an internal network transmission control server in a network separation environment, receiving a data inquiry request from a WAS server through a dedicated protocol.
제1항에 있어서,
상기 수신된 NoSQL 방식의 전문의 권한을 확인하는 단계를 더 포함하는, 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법.
The method according to claim 1,
Further comprising the step of verifying the authority of the received NoSQL method special clause, in the network separation environment.
제1항에 있어서,
외부망으로부터 전달된 자료에 대해 악성코드 검사를 수행하는 단계를 더 포함하는, 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법.
The method according to claim 1,
And performing malicious code checking on data transmitted from an external network, wherein the indirect interworking method via the internal network transmission control server in the network separation environment.
제1항 내지 제7항 중 어느 하나의 항에 따른 망분리 환경에서의 내부망 전송통제 서버를 통한 간접연동 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체.
A computer-readable recording medium on which a computer program is recorded for performing a method of indirectly connecting via an internal network transmission control server in a network separation environment according to any one of claims 1 to 7.
클라이언트로부터 자료조회 요청이 있는 경우, 전용 프로토콜을 통해 NoSQL(Non-Structured Query Language) 방식의 전문을 생성하는 전용 드라이버;
상기 전용 드라이버로부터 수신된 NoSQL 방식의 전문을 전달하는 외부망 전송통제 서버; 및
상기 외부망 전송통제 서버로부터 전달되는 NoSQL 방식의 전문을 파일단위로 수신하고, 상기 수신된 NoSQL 방식의 전문의 권한이 확인되면, 상기 수신된 NoSQL 방식의 전문을 SQL(Structured Query Language) 방식으로 변환하고, 내부망의 정책에 따라 DB 조회를 처리하고 결과 데이터를 파일로 생성하여 상기 외부망 전송통제 서버로 전송하고, 상기 외부망 전송통제 서버로부터 수신된 파일을 지정된 디렉토리에 저장하는 내부망 전송통제 서버를 포함하는, 망분리 환경에서의 간접연동 시스템.
A dedicated driver for generating a special case of a non-structured query language (NoSQL) method through a dedicated protocol when there is a data inquiry request from a client;
An external network transmission control server for transmitting the NoSQL type message received from the dedicated driver; And
The method comprising the steps of: receiving, in a unit of a file, a special character of the NoSQL method transmitted from the external network transmission control server; and converting the received special character of the NoSQL method into a Structured Query Language And transmits the data to the external network transmission control server. In addition, the internal network transmission control server stores the file received from the external network transmission control server in a designated directory, An indirectly coupled system in a networked environment, including a server.
외부망의 단말기로부터 수신한 메일을 업로드하고, 특정 프로토콜을 통해 전송하는 수집 서버;
상기 수집 서버로부터 특정 프로토콜을 통해 메일을 수신하고, 전송 결과를 상기 수집 서버로 전송하는 외부망 전송통제 서버; 및
상기 외부망 전송통제 서버로부터 전달된 메일 원문을 파일로 형성하고, 내부망의 정책에 따라 결재가 완료되면, 내부 전송 프로토콜을 통해 내부망의 목적지 서버로 전달하는 내부망 전송통제 서버를 포함하는, 망분리 환경에서의 간접연동 시스템.
A collection server for uploading a mail received from a terminal of an external network and transmitting the received mail through a specific protocol;
An external network transmission control server for receiving a mail from the collection server through a specific protocol and transmitting the transmission result to the collection server; And
And an internal network transmission control server for forming the original text of the mail delivered from the external network transmission control server into a file and delivering it to the destination server of the internal network through an internal transmission protocol when the settlement is completed according to the policy of the internal network. Indirect Interworking System in Network Separation Environment.
제10항에 있어서,
상기 특정 프로토콜은 HTTP(Hypertext Transfer Protocol) put이고, 상기 외부망 전송통제 서버는 200 OK의 전송결과를 상기 수집 서버로 전송하는, 망분리 환경에서의 간접연동 시스템.
11. The method of claim 10,
Wherein the specific protocol is an HTTP (Hypertext Transfer Protocol) put, and the external network transmission control server transmits a 200 OK transmission result to the collection server.
제10항에 있어서,
상기 특정 프로토콜은 SMTP(Simple Mail Transfer Protocol)이고, 상기 외부망 전송통제 서버는 상기 내부 전송통제 서버의 응답 실행이 완료된 경우 응답 전문을 상기 수집 서버로 전송하는, 망분리 환경에서의 간접연동 시스템.
11. The method of claim 10,
Wherein the specific protocol is a Simple Mail Transfer Protocol (SMTP), and the external network transmission control server transmits a response message to the collection server when the response of the internal transmission control server is completed.
표준시간을 제공하는 표준시간 서버;
상기 표준시간 서버의 시간을 기초로 시간을 동기화하고, 일정 간격으로 NTP(Network Time Protocol)를 통해 시간을 동기화하는 외부망 전송통제 서버; 및
상기 외부망 전송통제 서버에 의해 시간이 동기화되고, 내부 전송 프로토콜을 통해 내부망의 서버들의 시간을 동기화하는 내부망 전송통제 서버를 포함하는, 망분리 환경에서의 간접연동 시스템.
A standard time server providing standard time;
An external network transmission control server for synchronizing time based on the time of the standard time server and synchronizing time through NTP (Network Time Protocol) at regular intervals; And
An internal network transmission control server synchronizing time by the external network transmission control server and synchronizing time of servers of the internal network through an internal transmission protocol.
제9항 내지 제13항 중 어느 하나의 항에 있어서,
상기 외부망 전송통제 서버로부터 전달된 파일을 자료교환 체계를 통해 내부망으로 전달하는 스토리지를 더 포함하는, 망분리 환경에서의 간접연동 시스템.
14. The method according to any one of claims 9 to 13,
And a storage for transferring the file transferred from the external network transmission control server to the internal network through a data exchange system.
제9항 내지 제13항 중 어느 하나의 항에 있어서, 상기 내부망 전송통제 서버는,
내부망에서 외부망으로 전송요청이 있는 경우, 해당 자료가 미리 정해진 형태의 자료인지 확인하여, 상기 해당 자료가 미리 정해진 형태의 자료인 경우에만, 외부망으로 전송하는, 망분리 환경에서의 간접연동 시스템.
14. The internal network transmission control server according to any one of claims 9 to 13,
If there is a transmission request from the internal network to the external network, it is checked whether the data is a predetermined type of data, and if the data is a predetermined type of data, the data is transmitted to the external network. system.
제9항 내지 제13항 중 어느 하나의 항에 있어서, 상기 내부망 전송통제 서버는,
외부망으로 전송된 자료에 대해 로그를 생성하는 기능, 외부망으로 전송된 자료에 대해 마스킹(Masking)하여 특정된 자료의 노출을 차단하는 기능 및 외부망으로부터 전달된 자료에 대해 악성코드 검사를 수행하는 기능 중 적어도 하나의 보안 기능을 수행하는, 망분리 환경에서의 간접연동 시스템.14. The internal network transmission control server according to any one of claims 9 to 13,
A function to generate logs for data transmitted to the external network, a function to mask exposure of specified data by masking the data transmitted to the external network, and a malicious code inspection to the data transmitted from the external network A function of at least one of security functions of the network.
KR1020160091803A 2016-07-20 2016-07-20 Method for indirect connectivity using local network server in network-seperated environment, recording medium and system for performing the method Withdrawn KR20180009908A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160091803A KR20180009908A (en) 2016-07-20 2016-07-20 Method for indirect connectivity using local network server in network-seperated environment, recording medium and system for performing the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160091803A KR20180009908A (en) 2016-07-20 2016-07-20 Method for indirect connectivity using local network server in network-seperated environment, recording medium and system for performing the method

Publications (1)

Publication Number Publication Date
KR20180009908A true KR20180009908A (en) 2018-01-30

Family

ID=61070557

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160091803A Withdrawn KR20180009908A (en) 2016-07-20 2016-07-20 Method for indirect connectivity using local network server in network-seperated environment, recording medium and system for performing the method

Country Status (1)

Country Link
KR (1) KR20180009908A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200001429A (en) * 2018-06-27 2020-01-06 미우라고교 가부시키카이샤 Server system
KR102064283B1 (en) * 2019-05-21 2020-02-11 주식회사 포지큐브 A method for operating of network separation device for using public artificial intelligence services by an institution system
KR102510300B1 (en) 2022-12-06 2023-03-15 (주)씨크랩 System and method for indirect connectivity in network-seperated environment
WO2024242485A1 (en) * 2023-05-23 2024-11-28 주식회사 스토리지안 Method and apparatus for physical network separation based on single pc
KR102761678B1 (en) * 2024-10-16 2025-02-05 주식회사 피앤피시큐어 The secure communications method and the secure communications system which is based on the concealment of the security system in the net separation environment safe
KR102777462B1 (en) * 2024-06-07 2025-03-07 주식회사 씨씨미디어서비스 Data security system in a network separation environment and method performing thereof
KR102777463B1 (en) * 2024-07-05 2025-03-07 주식회사 씨씨미디어서비스 Authorization based command execution system in a network isolation environment and method performing the same
KR20250038033A (en) 2023-09-11 2025-03-19 한국국토정보공사 Device and method for linking external map api in internal communication network

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200001429A (en) * 2018-06-27 2020-01-06 미우라고교 가부시키카이샤 Server system
KR102064283B1 (en) * 2019-05-21 2020-02-11 주식회사 포지큐브 A method for operating of network separation device for using public artificial intelligence services by an institution system
KR102510300B1 (en) 2022-12-06 2023-03-15 (주)씨크랩 System and method for indirect connectivity in network-seperated environment
WO2024242485A1 (en) * 2023-05-23 2024-11-28 주식회사 스토리지안 Method and apparatus for physical network separation based on single pc
KR20250038033A (en) 2023-09-11 2025-03-19 한국국토정보공사 Device and method for linking external map api in internal communication network
KR102777462B1 (en) * 2024-06-07 2025-03-07 주식회사 씨씨미디어서비스 Data security system in a network separation environment and method performing thereof
KR102777463B1 (en) * 2024-07-05 2025-03-07 주식회사 씨씨미디어서비스 Authorization based command execution system in a network isolation environment and method performing the same
KR102761678B1 (en) * 2024-10-16 2025-02-05 주식회사 피앤피시큐어 The secure communications method and the secure communications system which is based on the concealment of the security system in the net separation environment safe

Similar Documents

Publication Publication Date Title
KR20180009908A (en) Method for indirect connectivity using local network server in network-seperated environment, recording medium and system for performing the method
US11757945B2 (en) Collaborative database and reputation management in adversarial information environments
Nguyen et al. Blockchain for secure ehrs sharing of mobile cloud based e-health systems
US11888902B2 (en) Object metadata-based cloud policy enforcement using synthetic request injection
US11831683B2 (en) Cloud object security posture management
CN109314704B (en) Single sign-on and single sign-out capabilities for multi-tenant identity and data security management cloud services
US11271972B1 (en) Data flow logic for synthetic request injection for cloud security enforcement
CN111434084B (en) Permission to access information from an entity
US10511589B2 (en) Single logout functionality for a multi-tenant identity and data security management cloud service
US12395534B2 (en) Cloud policy enforcement with synthetic request injection logic
CN106716404B (en) Proxy server within the computer subnet
US11647052B2 (en) Synthetic request injection to retrieve expired metadata for cloud policy enforcement
US20240171614A1 (en) System and method for internet activity and health forecasting and internet noise analysis
CN109643358A (en) Cross-tenant data leakage isolation
US20150067772A1 (en) Apparatus, method and computer-readable storage medium for providing notification of login from new device
CN112818014A (en) Block chain data analysis method and device and electronic equipment
CN112702419B (en) Data processing method, device, equipment and storage medium based on block chain
Truong et al. Blockchain-based personal data management: from fiction to solution
KR20210056744A (en) External information recognizing and information providing method using blockchain
Wang et al. A framework for formal analysis of privacy on SSO protocols
Ahmed et al. A Method for Eliciting Security Requirements from the Business Process Models.
CN109450990A (en) A kind of cloud storage implementation method and electronic equipment based on educational system
US20190289014A1 (en) Methods and Apparatus for Controlling Application-Specific Access to a Secure Network
WO2024263997A1 (en) System and method for internet activity and health forecasting and internet noise analysis
CN117768544A (en) Block chain-based data processing method, device and computer readable storage medium

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20160720

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination