Nothing Special   »   [go: up one dir, main page]

KR101871406B1 - Method for securiting control system using whitelist and system for the same - Google Patents

Method for securiting control system using whitelist and system for the same Download PDF

Info

Publication number
KR101871406B1
KR101871406B1 KR1020160058581A KR20160058581A KR101871406B1 KR 101871406 B1 KR101871406 B1 KR 101871406B1 KR 1020160058581 A KR1020160058581 A KR 1020160058581A KR 20160058581 A KR20160058581 A KR 20160058581A KR 101871406 B1 KR101871406 B1 KR 101871406B1
Authority
KR
South Korea
Prior art keywords
security
control system
control
information
unit
Prior art date
Application number
KR1020160058581A
Other languages
Korean (ko)
Other versions
KR20170127849A (en
Inventor
김희민
장엽
윤정한
최승오
김우년
박상우
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160058581A priority Critical patent/KR101871406B1/en
Publication of KR20170127849A publication Critical patent/KR20170127849A/en
Application granted granted Critical
Publication of KR101871406B1 publication Critical patent/KR101871406B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템이 개시된다. 본 발명에 따른 보안관제 방법은 제1 보안정보 수집장치가, 제1 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집하는 단계; 상기 제1 보안정보 수집장치가, 상기 보안정보를 상기 제1 제어시스템에 대응하는 제1 단위보안관제장치로 전송하는 단계; 상기 제1 단위보안관제장치가, 상기 보안정보를 분석하여 상기 제1 제어시스템의 보안관제를 수행하는 단계; 및 부문보안관제장치가, 제2 제어시스템에 대응하는 제2 단위보안관제장치와 상기 제1 단위보안관제장치로부터 각각 상기 보안정보를 획득하고, 보안정보들을 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계를 포함한다.A security management method of a control system using a white list and a system therefor are disclosed. The security control method according to the present invention is characterized in that the first security information collection device collects security information based on at least one security device included in the first control system; The first security information collecting device transmitting the security information to a first unit security control device corresponding to the first control system; The first unit security control apparatus analyzing the security information to perform a security control of the first control system; And the division security control device obtains the security information from the second unit security control device corresponding to the second control system and the first unit security control device respectively and transmits the security information to the first control system and the second control system based on the security information, 2 < / RTI > control system.

Description

화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 {METHOD FOR SECURITING CONTROL SYSTEM USING WHITELIST AND SYSTEM FOR THE SAME}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a security management method for a control system using a white list,

본 발명은 제어시스템에 대한 보안관제 기술에 관한 것으로 특히, 제어시스템의 폐쇄망 정책을 유지하면서 내부망 및 외부로 데이터를 전달하는 외부접점에 대한 사이버 보안관제가 가능한 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템에 관한 것이다.The present invention relates to a security control technology for a control system, and more particularly, to a security control system for a control system using a white list capable of cyber security for external contacts that transmit data to the internal network and external while maintaining a closed- And a system therefor.

제어시스템은 산업설비에 대한 계측과 제어, 플랜트 상태의 감시와 관리, 전력의 생산 및 분배 관리, 열차나 항공 등의 교통 인프라 제어, 댐, 석유나 가스 시설의 감시와 제어에 이르기까지 중요 생산 및 기반 설비에 사용되고 있다. The control system is used to control and monitor the industrial facilities, to monitor and control plant conditions, to produce and distribute electric power, to control traffic infrastructure such as trains and airplanes, to monitor and control dams, oil and gas facilities, Based equipment.

이와 같은 제어시스템에는 과거 정보 이력 관리, 보고서 기능, 과거 실시간 계측 경향 등의 과거 데이터도 저장되어 있기 때문에 사이버침해가 발생하면 해당 제어시스템의 운영 정보 및 상태 정보가 유출되어 제어시스템에 심각한 위협이 될 수 있다.In such a control system, past data such as past information history management, report function, and past real-time measurement tendency are stored. Therefore, if cyber infringement occurs, operational information and status information of the corresponding control system are leaked and become a serious threat to the control system .

대부분의 제어시스템은 폐쇄망으로 네트워크를 구성함으로써 외부로부터의 침입이 원천적으로 봉쇄되어 있어 안전하다고 인식되어 있었다. 하지만, 2010년 발전소, 공항, 철도 등의 기간시설을 파괴할 목적으로 제작된 컴퓨터바이러스의 일종인 스턱스넷을 시작으로, 제어시스템에 대한 공격 방법은 점점 진화하여 2012년에는 제어시스템을 타겟으로한 듀크, 플레임, 가우스, 마흐디, 샤문, 스카이와이퍼 등의 새로운 악성코드가 발견되었다. 또한, APT(Advanced Persistent Threat) 공격 및 제어시스템 취약점 공개 등으로 인해 제어시스템은 더 이상 안전하지 않다는 의견이 지배적이다. 미국의 ICS-CERT에 따르면, 2013년 제어시스템에 대한 침해사고는 257건으로 전년도 대비 25% 정도가 증가하였고, 그 수는 점점 늘어날 것으로 예상하고 있다. Most of the control systems have been recognized as being safe because the intrusion from the outside is fundamentally blocked by constituting the network with the closed network. However, starting with Stuxnet, a kind of computer virus designed to destroy infrastructure facilities such as power plants, airports and railways in 2010, the attack methods for control systems are gradually evolving, New malicious codes such as Duke, Flame, Gauss, Mahdi, Shaman and Skywiper have been found. In addition, it is dominant that control systems are no longer safe due to APT (Advanced Persistent Threat) attacks and disclosure of control system vulnerabilities. According to the ICS-CERT in the United States, 253 infringements of the control system in 2013 have increased by 25% over the previous year, and the number is expected to increase.

이러한 문제를 해결하기 위하여 제어시스템 운영사들은 망 분리 기술을 적용하여 제어시스템 내부를 보호하고 있다. 또한, IT 보안기술과 관제기술을 제어시스템으로 적용하기 위하여 많은 연구가 진행되고 있다. 하지만, 제어시스템에 IT 보안기술과 관제기술을 적용하기에는 몇 가지 문제점이 있다.To solve this problem, control system operators are protecting the inside of the control system by applying network separation technology. In addition, much research is being done to apply IT security technology and control technology as control system. However, there are some problems to apply IT security technology and control technology to the control system.

첫 번째로, IT 보안관제 기술은 외부 네트워크(인터넷)에서 들어오는 트래픽에 대한 보안관제를 실시하고 있다. 하지만 제어시스템 네트워크는 폐쇄망으로 운영되어 있어, 외부망 보안관제 기술의 적용이 적합하지 않다. 두 번째로 IT 보안관제에 사용되었던 IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 및 백신 프로그램은 인터넷을 기반으로 신규 공격 탐지 패턴이 업데이트 된다. 하지만, 제어시스템은 운영되는 시스템의 가용성의 문제로 보안업데이트 및 패치의 적용이 어렵다. 세 번째로 제어시스템은 가용성을 가장 큰 목적으로 하고 있기 때문에, 트래픽 센서와 같이 네트워크 장치 성능에 영향을 주는 시스템의 도입을 꺼려하고 있다.First, IT security control technology implements security controls on incoming traffic from external networks (the Internet). However, since the control system network is operated as a closed network, the application of the external network security control technology is not suitable. Second, IDS (Intrusion Detection System), IPS (Intrusion Prevention System), and anti-virus programs used for IT security control update new attack detection patterns based on the Internet. However, the control system is difficult to apply security updates and patches because of the availability of the operating system. Third, because the control system has the highest purpose of availability, it is reluctant to introduce a system that affects network device performance such as traffic sensors.

따라서, 제어시스템의 가용성 및 폐쇄망 원칙을 유지하면서 사이버 보안관제가 가능한 새로운 제어시스템 보안관제 기술의 필요성이 절실하게 대두된다.Therefore, there is an urgent need for a new control system security control technology capable of protecting cybersecurity while maintaining the availability and closed-network principles of the control system.

한국 등록 특허 제10-1455167호, 2014년 10월 21일 등록(명칭: 화이트리스트 기반의 네트워크 스위치)Korean Registered Patent No. 10-1455167, registered on October 21, 2014 (name: white list-based network switch)

본 발명의 목적은 제어시스템의 제어 트래픽과 보안관제 트래픽을 분리함으로써 제어시스템의 가용성에 영향을 주지 않으면서 제어시스템의 보안관제를 수행하는 것이다.An object of the present invention is to perform security control of the control system without affecting the availability of the control system by separating the control traffic of the control system from the security control traffic.

또한, 본 발명의 목적은 연계구간뿐만 아니라 제어시스템 내부에 대한 관제를 고려하여 불법 USB 사용, 유지보수에 의한 제어망 공격 및 사고에 대한 대응이 가능하도록 하는 것이다. In addition, the object of the present invention is to enable illegal USB usage, control network attack by attack, and response to accidents in consideration of control within the control system as well as the linking period.

또한, 본 발명의 목적은 제어시스템의 특성을 반영하여 제어망 내부의 상황을 화이트리스트 기반으로 감시함으로써 제어시스템의 이상징후 및 사이버공격 탐지가 가능하도록 하는 것이다.It is another object of the present invention to provide a white list-based monitoring of a situation inside a control network by reflecting a characteristic of a control system, thereby enabling an abnormal symptom of the control system and cyber attack detection.

또한, 본 발명의 목적은 보안정보의 상관관계 분석을 통해 내부망 보안시스템들 간의 로그, 이벤트 연관관계, 상호 일치성 분석, 제어망 간 통신이력 및 보안정보 들의 상호 검증을 가능하게 하는 것이다.It is also an object of the present invention to enable mutual verification of log, event correlation, mutual correspondence analysis, communication history between control networks and security information among internal network security systems through correlation analysis of security information.

또한, 본 발명의 목적은 제어시스템의 폐쇄망 정책을 유지하면서 보안관제를 위한 정보교환을 가능하게 하는 것이다.It is also an object of the present invention to enable information exchange for security control while maintaining the closed network policy of the control system.

또한, 본 발명의 목적은 보안관제 수행 시 물리적 단방향 자료전달 시스템을 활용함으로써 제어시스템의 제어망으로 공격자가 침투하는 것을 원천적으로 차단하는 것이다.It is another object of the present invention to provide a physical unidirectional data delivery system for blocking intrusion of an attacker into a control network of a control system.

또한, 본 발명의 목적은 정해진 체계를 통해 사이버사고 및 시스템 이상 정보를 상위 기관으로 전파하여 다른 제어시스템의 피해를 최소화하는 것이다.It is also an object of the present invention to propagate cyber accident and system abnormality information to an upper authority through a predetermined system to minimize the damage of other control systems.

또한, 본 발명의 목적은 상위관리기관의 정보전달을 용이하게 하는 것이다.It is also an object of the present invention to facilitate information transfer of a higher management agency.

상기한 목적을 달성하기 위한 본 발명에 따른 제어시스템의 보안관제 방법은, 제1 보안정보 수집장치가, 제1 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집하는 단계; 상기 제1 보안정보 수집장치가, 상기 보안정보를 상기 제1 제어시스템에 대응하는 제1 단위보안관제장치로 전송하는 단계; 상기 제1 단위보안관제장치가, 상기 보안정보를 분석하여 상기 제1 제어시스템의 보안관제를 수행하는 단계; 및 부문보안관제장치가, 제2 제어시스템에 대응하는 제2 단위보안관제장치와 상기 제1 단위보안관제장치로부터 각각 상기 보안정보를 획득하고, 보안정보들을 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계를 포함한다.According to another aspect of the present invention, there is provided a security management method for a control system, comprising: collecting security information based on at least one security device included in a first control system; The first security information collecting device transmitting the security information to a first unit security control device corresponding to the first control system; The first unit security control apparatus analyzing the security information to perform a security control of the first control system; And the division security control device obtains the security information from the second unit security control device corresponding to the second control system and the first unit security control device respectively and transmits the security information to the first control system and the second control system based on the security information, 2 < / RTI > control system.

이 때, 수집하는 단계는 상기 제1 보안정보 수집장치가, 상기 제1 제어시스템의 제어망과 분리된 보안관제망을 통해 상기 적어도 하나의 보안장치로부터 상기 보안정보를 수집할 수 있다.At this time, the collecting step may collect the security information from the at least one security device through the sheriff's network separated from the control network of the first control system.

이 때, 전송하는 단계는 상기 제1 제어시스템의 내부에 위치하는 상기 제1 보안정보 수집장치가, 물리적 단방향 전송을 기반으로 상기 제1 제어시스템의 외부에 위치하는 상기 제1 단위보안관제장치로 상기 보안정보를 전송할 수 있다.At this time, the transmitting step may be performed by the first security information collecting device located inside the first control system, to the first unit security controlling device located outside the first control system based on the physical unidirectional transmission And may transmit the security information.

이 때, 제1 제어시스템의 보안관제를 수행하는 단계는 상기 보안정보를 기반으로 상기 제1 제어시스템에 상응하는 제1 화이트리스트를 생성하는 단계; 상기 제1 화이트리스트를 기반으로 상기 제1 제어시스템을 모니터링하는 단계; 및 상기 제1 제어시스템에서 상기 제1 화이트리스트에 위배되는 비인가 정보가 발생한 경우, 상기 제1 단위보안관제장치가 상기 비인가 정보에 대응하는 처리를 수행하는 단계를 포함할 수 있다.At this time, performing the security control of the first control system may include generating a first white list corresponding to the first control system based on the security information; Monitoring the first control system based on the first whitelist; And performing, when the first control unit has generated unauthorized information in violation of the first whitelist, processing by the first unit security control device in response to the unauthorized information.

이 때, 제1 화이트리스트를 생성하는 단계는 상기 보안정보를 기반으로 상기 제1 제어시스템의 동작 패턴을 분석하고, 상기 동작 패턴에 상응하게 상기 제1 화이트리스트를 생성할 수 있다.At this time, the step of generating the first white list may analyze the operation pattern of the first control system based on the security information, and may generate the first white list according to the operation pattern.

이 때, 보안정보는 상기 적어도 하나의 보안장치의 로그(log)에 상응하고, 네트워크 트래픽 로그, 방화벽 로그, 임베디드 제어기기 트래픽 로그, NAC(Network Access Control) 로그, USB 접속로그, 백신 탐지 로그, 시스템 로그, 네트워크 시스템 로그 및 물리적 방호 시스템 로그 중 적어도 하나를 포함할 수 있다.Wherein the security information corresponds to a log of the at least one security device and includes at least one of a network traffic log, a firewall log, an embedded control device traffic log, a NAC (Network Access Control) log, a USB access log, A system log, a network system log, and a physical protection system log.

이 때, 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계는 상기 보안정보들을 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신패턴 상관관계를 분석하고, 상기 통신패턴 상관관계에 상응하는 제어시스템 간 화이트리스트를 생성하는 단계; 상기 제어시스템 간 화이트리스트를 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템을 모니터링하는 단계; 및 상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신 중 상기 제어시스템 간 화이트리스트에 위배되는 비인가 통신정보가 발생한 경우, 상기 부문보안관제장치가 상기 제1 단위보안관제장치와 상기 제2 단위보안관제장치를 제어하여 상기 비인가 통신정보에 대응하는 처리를 수행하는 단계를 포함할 수 있다.In this case, performing the security control of the first control system and the second control system may include analyzing a communication pattern correlation between the first control system and the second control system based on the security information, Generating a control-system whitelist corresponding to the correlation; Monitoring the first control system and the second control system based on the inter-control white list; And when unauthorized communication information that violates the inter-control whitelist during communication between the first control system and the second control system occurs, the departmental security control device transmits, to the first unit security control device, And controlling the control device to perform processing corresponding to the unlicensed communication information.

이 때, 제어시스템 간 화이트리스트를 생성하는 단계는 상기 보안정보들을 기반으로 방화벽 로그, L3 장비 로그, IDS 로그 및 IPS 로그 중 적어도 하나의 로그를 추출하고, 상기 적어도 하나의 로그를 기반으로 상기 통신패턴 상관관계를 분석할 수 있다.In this case, the step of generating a white list between control systems may include extracting at least one log of a firewall log, an L3 device log, an IDS log, and an IPS log based on the security information, Pattern correlation can be analyzed.

이 때, 보안관제 방법은 통합보안관제장치가 상기 부문보안관제장치로 보안관제정보를 공유하는 단계; 및 상기 부문보안관제장치가 상기 제1 단위보안관제장치와 상기 제2 단위보안관제장치로 상기 보안관제정보를 공유하는 단계를 더 포함할 수 있다.At this time, the security control method includes: the integrated security control device sharing the security control information with the sector security control device; And the department security control device sharing the security control information with the first unit security control device and the second unit security control device.

이 때, 보안관제정보는 보안위협 정보, 사이버사고 처리 정보, 탐지 규칙, 행사 정보 및 문서 정보 중 적어도 하나에 상응할 수 있다.At this time, the security management information may correspond to at least one of security threat information, cyber accident processing information, detection rules, event information, and document information.

이 때, 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계는 상기 제1 제어시스템에서 상기 제2 제어시스템으로의 제1 통신정보와 상기 제2 제어시스템에서 상기 제1 제어시스템으로의 제2 통신정보를 획득하는 단계; 상기 제1 통신정보와 상기 제2 통신정보의 일관성을 분석하는 단계; 및 상기 제1 통신정보와 상기 제2 통신정보의 일관성이 결여된 경우, 상기 부문보안관제장치가 상기 제1 단위보안관제장치와 상기 제2 단위보안관제장치를 제어하여 상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신을 차단하는 단계를 더 포함할 수 있다.At this time, the step of performing the security control of the first control system and the second control system may include the step of performing the security control of the first control system and the second control system by using the first communication information from the first control system to the second control system, Obtaining second communication information to the second communication information; Analyzing the consistency of the first communication information and the second communication information; And when the inconsistency between the first communication information and the second communication information is lacking, the departmental security control device controls the first unit security control device and the second unit security control device, And blocking communication between the first and second control systems.

또한, 본 발명의 일실시예에 따른 보안관제 시스템은, 제어시스템의 내부에 설치되고, 상기 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집하는 보안정보 수집장치; 상기 보안정보를 분석하여 상기 제어시스템의 보안관제를 수행하는 단위보안관제장치; 및 상기 제어시스템과 다른 제어시스템으로부터 각각 상기 보안정보를 획득하고, 보안정보들을 기반으로 상기 제어시스템과 상기 다른 제어시스템의 보안관제를 수행하는 부문보안관제장치를 포함한다.According to another aspect of the present invention, there is provided a security control system including: a security information collection device installed in a control system and collecting security information based on at least one security device included in the control system; A unit security control unit for analyzing the security information and performing a security control of the control system; And a divisional security control device for obtaining the security information from the control system and another control system, respectively, and for performing security control of the control system and the other control system based on security information.

이 때, 보안정보 수집장치는 상기 제어시스템의 제어망과 분리된 보안관제망을 통해 상기 적어도 하나의 보안장치로부터 상기 보안정보를 수집할 수 있다.At this time, the security information collection device may collect the security information from the at least one security device through a sheriff's network separated from the control network of the control system.

이 때, 보안정보 수집장치는 물리적 단방향 전송을 기반으로 상기 제어시스템의 외부에 위치하는 상기 단위보안관제장치로 상기 보안정보를 전송할 수 있다.At this time, the security information collecting apparatus can transmit the security information to the unit security control apparatus located outside the control system based on the physical one-way transmission.

이 때, 단위보안관제장치는 상기 보안정보를 기반으로 상기 제어시스템에 상응하게 생성된 화이트리스트를 기반으로 상기 제어시스템을 모니터링하고, 상기 제어시스템에서 상기 화이트리스트에 위배되는 비인가 정보가 발생한 경우에 상기 비인가 정보에 대응하는 처리를 수행할 수 있다.At this time, the unit security control apparatus monitors the control system based on the whitelist corresponding to the control system based on the security information, and when the unauthorized information violating the whitelist is generated in the control system It is possible to perform processing corresponding to the unauthorized information.

이 때, 단위보안관제장치는 상기 보안정보를 기반으로 상기 제어시스템의 동작 패턴을 분석하고, 상기 동작 패턴에 상응하게 상기 화이트리스트를 생성할 수 있다.At this time, the unit security control apparatus analyzes the operation pattern of the control system based on the security information, and generates the white list according to the operation pattern.

이 때, 보안정보는 상기 적어도 하나의 보안장치의 로그(log)에 상응하고, 네트워크 트래픽 로그, 방화벽 로그, 임베디드 제어기기 트래픽 로그, NAC(Network Access Control) 로그, USB 접속로그, 백신 탐지 로그, 시스템 로그, 네트워크 시스템 로그 및 물리적 방호 시스템 로그 중 적어도 하나를 포함할 수 있다.Wherein the security information corresponds to a log of the at least one security device and includes at least one of a network traffic log, a firewall log, an embedded control device traffic log, a NAC (Network Access Control) log, a USB access log, A system log, a network system log, and a physical protection system log.

이 때, 보안관제 시스템은 상기 부문보안관제장치로 보안관제정보를 공유하는 통합보안관제장치를 더 포함할 수 있다.At this time, the security control system may further include an integrated security control device that shares security control information with the sector security control device.

이 때, 부문보안관제장치는 상기 단위보안관제장치로 상기 보안관제정보를 공유할 수 있다.At this time, the division security control device may share the security control information with the unit security control device.

이 때, 보안관제정보는 보안위협 정보, 사이버사고 처리 정보, 탐지 규칙, 행사 정보 및 문서 정보 중 적어도 하나에 상응할 수 있다.At this time, the security management information may correspond to at least one of security threat information, cyber accident processing information, detection rules, event information, and document information.

본 발명에 따르면, 제어시스템의 제어 트래픽과 보안관제 트래픽을 분리함으로써 제어시스템의 가용성에 영향을 주지 않으면서 제어시스템의 보안관제를 수행할 수 있다.According to the present invention, the security control of the control system can be performed without affecting the availability of the control system by separating the control traffic of the control system and the security control traffic.

또한, 본 발명은 연계구간뿐만 아니라 제어시스템 내부에 대한 관제를 고려하여 불법 USB 사용, 유지보수에 의한 제어망 공격 및 사고에 대한 대응이 가능할 수 있다.In addition, the present invention may be able to respond to control network attacks and accidents caused by illegal USB use, maintenance, and the like in consideration of control within the control system as well as the connection interval.

또한, 본 발명은 제어시스템의 특성을 반영하여 제어망 내부의 상황을 화이트리스트 기반으로 감시함으로써 제어시스템의 이상징후 및 사이버공격 탐지가 가능할 수 있다.In addition, the present invention can detect abnormalities of the control system and cyber attack by monitoring the inside of the control network based on the white list based on the characteristics of the control system.

또한, 본 발명은 보안정보의 상관관계 분석을 통해 내부망 보안시스템들 간의 로그, 이벤트 연관관계, 상호 일치성 분석, 제어망 간 통신이력 및 보안정보 들의 상호 검증을 가능하게 할 수 있다.Also, the present invention can enable mutual verification of log, event correlation, mutual correspondence analysis, communication history between control networks, and security information among internal network security systems through correlation analysis of security information.

또한, 본 발명은 제어시스템의 폐쇄망 정책을 유지하면서 보안관제를 위한 정보교환을 가능하게 할 수 있다.Further, the present invention can enable information exchange for security control while maintaining the closed network policy of the control system.

또한, 본 발명은 보안관제 수행 시 물리적 단방향 자료전달 시스템을 활용함으로써 제어시스템의 제어망으로 공격자가 침투하는 것을 원천적으로 차단할 수 있다.In addition, the present invention can prevent an attacker from intruding into a control network of a control system by using a physical unidirectional data delivery system when performing a security control.

또한, 본 발명은 정해진 체계를 통해 사이버사고 및 시스템 이상 정보를 상위 기관으로 전파하여 다른 제어시스템의 피해를 최소화할 수 있다.In addition, the present invention can propagate the cyber accident and system abnormality information to an upper authority through a predetermined system, thereby minimizing the damage to other control systems.

또한, 본 발명은 상위관리기관의 정보전달을 용이하게 할 수 있다.Further, the present invention can facilitate information transfer by a higher management agency.

도 1은 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 시스템을 나타낸 도면이다.
도 2는 본 발명에 따른 보안관제 시스템이 적용된 제어시스템의 일 예를 나타낸 도면이다.
도 3은 본 발명에 따른 제어시스템의 보안정보 전달 방법의 일 예를 나타낸 도면이다.
도 4는 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법을 나타낸 동작 흐름도이다.
도 5는 본 발명의 일실시예에 따른 보안관제 시스템으로 비인가 서비스의 접속을 탐지하는 과정을 나타낸 도면이다.
도 6은 본 발명의 일실시예에 따른 보안관제 시스템으로 비인가 장치의 접속을 탐지하는 과정을 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 보안관제 시스템으로 제어시스템 내부 장치의 고장을 탐지하는 과정을 나타낸 도면이다.
도 8 내지 도 9는 본 발명의 일실시예에 따른 보안관제 시스템에서 제어시스템의 라우팅 정책을 적용하는 과정을 나타낸 도면이다.
도 10 내지 도 11은 본 발명의 일실시예에 따른 보안관제 시스템에서 제어시스템의 방화벽 정책을 적용하는 과정을 나타낸 도면이다.
도 12는 본 발명의 일실시예에 따른 보안관제 시스템에서 수집정보 및 보안위협 정보를 공유하는 과정을 나타낸 도면이다.
도 13은 본 발명의 일실시예에 따른 보안관제 시스템으로 제어시스템 내부망 사이의 이상징후를 탐지하는 과정을 나타낸 도면이다.
도 14는 본 발명의 일실시예에 따른 보안관제 시스템에서 인가 서비스를 기반으로 제어시스템의 방화벽 정책을 적용하는 과정을 나타낸 도면이다.
1 is a block diagram illustrating a security management system of a control system using a white list according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating an example of a control system to which the security control system according to the present invention is applied.
3 is a diagram illustrating an example of a method for transmitting security information in a control system according to the present invention.
4 is a flowchart illustrating a security management method for a control system using a white list according to an embodiment of the present invention.
5 is a diagram illustrating a process of detecting an unauthorized service connection to a security control system according to an exemplary embodiment of the present invention.
6 is a diagram illustrating a process of detecting connection of an unauthorized device to a security control system according to an embodiment of the present invention.
7 is a flowchart illustrating a process of detecting a failure of an internal control system using a security control system according to an embodiment of the present invention.
8 to 9 illustrate a process of applying a routing policy of a control system in a security control system according to an embodiment of the present invention.
10 to 11 are views illustrating a process of applying a firewall policy of a control system in a security control system according to an embodiment of the present invention.
12 is a diagram illustrating a process of sharing collected information and security threat information in a security control system according to an embodiment of the present invention.
13 is a diagram illustrating a process of detecting an abnormal symptom between internal networks of a control system using a security control system according to an embodiment of the present invention.
14 is a diagram illustrating a process of applying a firewall policy of a control system based on an authorization service in a security control system according to an embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.The embodiments according to the concept of the present invention can make various changes and can take various forms, so that the embodiments are illustrated in the drawings and described in detail herein. It should be understood, however, that it is not intended to limit the embodiments according to the concepts of the present invention to the particular forms disclosed, but includes all modifications, equivalents, or alternatives falling within the spirit and scope of the invention.

제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1구성 요소는 제2구성 요소로 명명될 수 있고 유사하게 제2구성 요소는 제1구성 요소로도 명명될 수 있다.The terms first, second, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms may be named for the purpose of distinguishing one element from another, for example, without departing from the scope of the right according to the concept of the present invention, the first element may be referred to as a second element, The component may also be referred to as a first component.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 시스템을 나타낸 도면이다.1 is a block diagram illustrating a security management system of a control system using a white list according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 시스템은 제어시스템(110-1~ 110-N), 보안정보 수집장치(111-1~ 111-N), 단위보안관제장치(120-1~ 120-N), 부문보안관제장치(130-1~ 130-M) 및 통합보안관제장치(140)를 포함한다.1, the security control system of the control system using the white list according to the embodiment of the present invention includes control systems 110-1 to 110-N, security information collection devices 111-1 to 111-N, The unit security control units 120-1 to 120-N, the divisional security control units 130-1 to 130-M, and the integrated security control unit 140. [

제어시스템(110-1~ 110-N)은 전력 생산 및 분배, 댐 운영, 가스 생산 및 유통, 수자원 등의 운영을 제어 및 관리하는 시스템에 상응할 수 있다. The control systems 110-1 through 110-N may correspond to systems for controlling and managing the operation of power generation and distribution, dam operation, gas production and distribution, water resources, and the like.

대부분의 제어시스템은 폐쇄망으로 네트워크를 구성하기 때문에 외부로부터의 침입이 원천적으로 봉쇄되어 안전하다고 인식된다. 하지만, 스턱스넷의 등장, 제어시스템 대상 악성코드, APT(Advanced Persistent Threat) 공격 및 제어시스템 취약점 공개 등으로 인해 제어시스템은 더 이상 안전하지 않다는 의견이 지배적이다. Since most of the control systems constitute the network with the closed network, it is recognized that the intrusion from outside is fundamentally blocked and safe. However, it is widely believed that the control system is no longer safe due to the appearance of Stuxnet, control system malware, APT (Advanced Persistent Threat) attacks and disclosure of control system vulnerabilities.

이러한 문제를 해결하기 위해 제어시스템에 대한 사이버 보안관제에 대해 많은 연구가 진행되고 있다. 그러나, IT 시스템과 제어시스템은 구조나 서비스가 다름에도 불구하고 대부분의 제어시스템 사이버 보안관제는 IT 보안기술을 적용하고 있다. In order to solve this problem, much research has been conducted on the cyber security control on the control system. However, despite the difference in structure and service between IT system and control system, most control system cyber security control adopts IT security technology.

이 때, [표 1]은 일반 IT 시스템과 제어시스템을 비교한 자료이다.Table 1 compares general IT system and control system.

항목Item IT 시스템IT system 제어시스템Control system 실시간성Real-time cast 일부 서비스에 따라 실시간성 요구Real-time requirement depending on some services 실시간real time 신뢰성responsibility 일부 서비스에 따라 신뢰성 있는 응답요구Require reliable response based on some services 서비스 응답 중요Service response critical QoSQoS 지연이나 Jitter 허용Allow delay or jitter 비허용Unacceptable 서비스 연속성Service Continuity 비연속적 서비스Non-continuous service 연속적인 서비스Continuous service 고장 및 장애Failure and failure 고장 및 장애 허용Fault and fault tolerance 운전정지 허용되지 않음Operation not allowed 서비스service 베타테스트 후 적용가능Applicable after beta testing 적용이전 철저한 테스트 필요Requires thorough testing before applying 중요도importance 데이터 무결성 중요Data Integrity Critical 인간의 안정 중요Human stability important 손실Loss 데이터 손실이나 작업의 손실Loss of data or loss of work 환경, 인명, 장비, 제품의 손실Loss of environment, person, equipment, product 정책Policy 기밀성>무결성>가용성Confidentiality> Integrity> Availability 가용성>무결성>기밀성Availability> Integrity> Confidentiality 하드웨어hardware 컴퓨터와 네트워크 장비Computer and network equipment 컴퓨터, 네트워크, PLC, IED, RTU등Computer, network, PLC, IED, RTU, etc. 네트워크network 인터넷과 연결Connect with the Internet 폐쇄망 운영Closed network operation 운영operation 비교적 단기Relatively short term 장기 운영Long-term operation 어플리케이션application 다양한 어플리케이션Various applications 전용 어플리케이션Dedicated applications 프로토콜protocol 공개 프로토콜Open protocol 비공개된 전용 프로토콜Private private protocol 패치patch 패치 용이함Patch easy 패치의 어려움Patch difficulty 유지보수Maintenance 원격 유지보수 및 현장방문 유지보수Remote maintenance and on-site maintenance 현장방문 유지보수Site visit maintenance 사이버 사고영향Cyber accident effect 데이터 탈취, 파괴Data takeover, destruction 데이터 및 시스템의 파괴 및 탈취, 인명손실, 물리적 장치 파괴Destruction and deodorization of data and systems, loss of life, destruction of physical devices 복구restore 용이함ease 어려움difficulty 복구 시간Recovery time 단기간Short-term 추가시험 등으로 인해 장기간 소요It takes a long time

이 때, [표 1]을 참조하면 제어시스템은 높은 실시간성, 신뢰성 있는 응답 및 안전을 요구하고 있다. 그리고 IT 시스템은 데이터의 기밀성이 중요하지만, 제어시스템은 시스템의 가용성을 더 중요시하고 있다. At this time, referring to [Table 1], the control system requires high real-time performance, reliable response and safety. And while IT systems are important to the confidentiality of data, control systems place greater emphasis on system availability.

또한, IT 시스템은 외부접점에 대한 보안관제를 실시하고 있지만, 제어시스템은 서버와 네트워크 장비 이외에도 PLC(Programmable Logic Controller), IED(Intelligent Electronic Device), RTU(Remote Terminal Unit), DCU(Digital Communication Unit), DCS(Distributed Control System)와 같은 임베디드 장비들로 구성되어 있다. 또한, 제어시스템은 어플리케이션 및 통신 프로토콜도 독자적인 제어 프로토콜을 사용하고, 높은 통신의 신뢰성을 요구한다.In addition to the server and network equipment, the IT system also manages security for external contacts. However, in addition to servers and network equipment, PLCs (Programmable Logic Controllers), Intelligent Electronic Devices (IEDs), Remote Terminal Units (RTUs) ), And Distributed Control System (DCS). In addition, the control system uses a proprietary control protocol for applications and communication protocols, and requires high reliability of communication.

이 때, [표 2]는 IT 보안관제와 제어시스템 보안관제를 비교한 자료이다.In this case, [Table 2] compares IT security control with control system security control.

비교compare IT IT 보안관제Security control 제어시스템 Control system 보안관제Security control 구간section 인터넷과 기관망 연계구간Internet and institution network connection section 제어망과 업무망 연계구간
제어망 내부
Control network and business network connection section
Inside the control network
대상object IT 장비IT equipment 제어기기 및 현장기기Control devices and field devices 주요 정보수집 센서Main information collection sensor 연계구간 트래픽 통계 정보
보안로그(방화벽 로그, IDS 로그)
USB 접속 이벤트
Linked traffic statistics information
Security log (firewall log, IDS log)
USB connection event
IT 보안관제
USB 접속 이벤트
제어망 트래픽 통계 정보
제어망 보안로그(IDS 로그, 화이트리스트 로그)
물리적 방호 시스템 로그
IT security control
USB connection event
Control network traffic statistics information
Control network security log (IDS log, whitelist log)
Physical Protection System Log
프로토콜protocol 공개 프로토콜Open protocol 비공개 전용 프로토콜 사용Use a private, proprietary protocol 백신 프로그램Vaccine program 운영 가능Operable 임베디드 장비에는 설치 불가Can not install on embedded devices 업데이트 서버 운영 가능Update server available 일부 제어시스템에서 업데이트 서버 운영
- 제어기기(RTOS 제품)은 불가
Operating the update server on some control systems
- Control devices (RTOS products) not available

또한, [표 2]를 참조하면, IT 보안관제 시스템은 인터넷과 연결된 시스템에 대한 보안관제를 실시하고 있다. 따라서, IT 보안관제 기술은 외부로부터 유입되는 데이터에 대한 보안관제가 핵심이다. 이 때, 인터넷을 통해 접근하는 불특정 다수 및 불특정 트래픽을 방어하기 위해 블랙리스트 기반의 보안관제를 실시하고 있다. 하지만, 제어시스템은 폐쇄망으로 운영되고, 가용성을 중요시하기 때문에 시스템 운영에 필요한 데이터만 허용할 수 있다. 그런 이유로 외부에서 유입되는 트래픽은 시스템 운영에 필요한 데이터만 사용되고, 제어시스템 내부의 트래픽도 시스템 운영에 필요한 데이터만 사용한다. Also, referring to [Table 2], the IT security control system implements security control for the system connected to the Internet. Therefore, IT security control technology is the key to the sharer of the data coming from the outside. At this time, blacklist-based security control is being implemented to protect unspecified and unspecified traffic that is accessed via the Internet. However, since the control system operates as a closed network and emphasizes availability, it can only accept data necessary for system operation. For this reason, only the data necessary for operating the system is used for the traffic from the outside, and the traffic inside the control system is used only for the data for the system operation.

또한, 제어시스템은 폐쇄망으로 운영되어 보안 패치 업그레이드(IDS 시그니처, IPS 시그니처, 방화벽 규칙 업데이트, 시스템 보안패치, 백신 업데이트 등)는 IT 보안관제 시스템처럼 실시간으로 적용이 불가능하다. 따라서, 제어시스템의 보안관제는 허용된 패턴 기반, 즉 화이트리스트를 기반으로 실시해야 한다.In addition, the control system operates as a closed network, and security patch upgrades (IDS signature, IPS signature, firewall rule update, system security patch, vaccine update, etc.) can not be applied in real time like IT security control system. Therefore, the security control of the control system should be based on the allowed pattern-based, whitelist.

또한, 폐쇄망 정책 유지를 위하여 데이터를 단방향 혹은 일방향으로 전송이 가능한 망 분리 시스템으로 공격을 원천적으로 차단하여야 한다.In addition, to maintain the closed network policy, the attack should be blocked as a network separation system capable of transmitting data in one direction or one direction.

따라서, 본 발명에서는 이러한 문제점들을 해결하기 위하여 제어시스템 내부의 보안성과 가용성을 보장하면서 제어시스템에 대한 사이버 보안관제가 가능한 보안관제 시스템을 제시하고자 한다. Accordingly, in order to solve these problems, the present invention proposes a security control system capable of providing cyber security for the control system while ensuring security and availability within the control system.

이 때, 보안관제 시스템에서 실제 보안관제를 담당하는 부분은 도 1에 도시된 단위보안관제장치(120-1~ 120-N), 부문보안관제장치(130-1~ 130-M) 및 통합보안관제장치(140)에 상응할 수 있다.At this time, the portion of the security control system that is responsible for the actual security control is the unit security control units 120-1 to 120-N, the divisional security control units 130-1 to 130-M, And may correspond to the control device 140.

이 때, 단위보안관제장치(120-1~ 120-N), 부문보안관제장치(130-1~ 130-M) 및 통합보안관제장치(140)는 규모나 운영방식에 따라 분류될 수 있다. 예를 들어, 단위보안관제는 관제 대상 기관이나 제어시스템에 상응하게 수행될 수 있고, 부문보안관제는 관제 대상 기관의 본사에 상응하게 수행될 수 있고, 통합보안관제는 산업부, 국토부, 안행부와 같은 정부부처에 상응하게 수행될 수도 있다.At this time, the unit security control units 120-1 to 120-N, the divisional security control units 130-1 to 130-M, and the integrated security control unit 140 can be classified according to their sizes and operating methods. For example, the unit security control can be performed in accordance with the control target system or the control system, the sector security control can be performed in accordance with the head office of the target organization, and the integrated security control can be performed by the Ministry of Industry, Such as government agencies.

이 때, 상황에 따라 단위보안관제장치(120-1~ 120-N)와 부문보안관제장치(130-1~ 130-M)만으로도 보안관제 시스템의 운영이 가능할 수 있다. 또는 현장 상황에 맞게 조절하여 단위보안관제장치(120-1~ 120-N)와 통합보안관제장치(140)로도 운영이 가능할 수 있다.At this time, it is possible to operate the security control system only with the unit security control devices 120-1 to 120-N and the sector security control devices 130-1 to 130-M depending on the situation. Or may be operated as the unit security control devices 120-1 to 120-N and the integrated security control device 140 according to the situation of the site.

도 2는 본 발명에 따른 보안관제 시스템이 적용된 제어시스템의 일 예를 나타낸 도면이다.FIG. 2 is a diagram illustrating an example of a control system to which the security control system according to the present invention is applied.

도 2를 참조하면, 본 발명에 따른 보안관제 시스템이 적용된 제어시스템(210)은 보안정보를 생성하기 위한 적어도 하나의 보안장비를 포함할 수 있다. 즉, 제어시스템(210)의 동작에 따라 기록되는 보안장비의 로그(syslog)를 보안정보 수집장치(211)에서 수집하여 단위보안관제장치 또는 단위보안관제시스템(230)으로 전송할 수 있다.Referring to FIG. 2, the control system 210 to which the security control system according to the present invention is applied may include at least one security device for generating security information. That is, the security information collecting device 211 may collect a log of the security devices recorded in accordance with the operation of the control system 210 and transmit the collected information to the unit security control device or the unit security control system 230.

이 때, 제어시스템(210) 내부 제어망의 가용성을 보장하기 위해서 보안관제망을 통해 로그를 보안정보 수집장치(211)로 전달할 수 있다. At this time, in order to guarantee the availability of the internal control network of the control system 210, the log may be transmitted to the security information collection apparatus 211 through the sheriff's network.

또한, 제어시스템(210)의 내부에 위치하는 보안정보 수집장치(211)는 일방향 전송장치(212)를 이용하여 단위보안관제시스템(230)에게 보안정보를 전송할 수 있다. 이 때, 일방향 전송장치(212)를 통해 보안정보를 전송함으로써 외부에서 제어시스템으로 접근할 수 있는 가능성을 원천적으로 차단시킬 수 있는 효과가 있다.The security information collection device 211 located inside the control system 210 may transmit the security information to the unit security control system 230 using the one-way transmission device 212. At this time, there is an effect that the possibility of accessing from the outside to the control system can be fundamentally blocked by transmitting security information through the one-way transmission device 212.

도 3은 본 발명에 따른 제어시스템의 보안정보 전달 방법의 일 예를 나타낸 도면이다.3 is a diagram illustrating an example of a method for transmitting security information in a control system according to the present invention.

도 3을 참조하면, 본 발명에 따른 제어시스템의 보안정보 전달 방법은 제어시스템(300)의 내부에 위치하는 보안정보 수집장치(330)가 제어시스템(300)의 제어망(310)과 분리된 보안관제망(320)을 이용하여 보안정보를 수집하고, 보안정보 수집장치(330)가 수집된 보안정보를 일방향 또는 단방향 자료전달을 통해 단위보안관제장치(340)에게 전송할 수 있다.3, a method for transmitting security information of a control system according to the present invention is a method for transmitting security information of a control system 300 in which a security information collection device 330 located inside a control system 300 is separated from a control network 310 of a control system 300 The security information collection unit 330 collects security information using the sheriff's request 320 and transmits the collected security information to the unit security control unit 340 through one-way or unidirectional data transfer.

이 때, 보안정보는 제어시스템(300)에 구비된 적어도 하나의 보안장비의 로그에 상응할 수 있다. 예를 들어, 도 3에 도시된 것과 같이 USB 감시시스템 로그, 패치관리시스템 로그, NMS 로그, 제어기기 트래픽 정보 및 NAC 로그 등이 보안정보에 상응할 수 있다.At this time, the security information may correspond to a log of at least one security device provided in the control system 300. For example, as shown in FIG. 3, the USB monitoring system log, the patch management system log, the NMS log, the control device traffic information, and the NAC log may correspond to the security information.

이 때, 적어도 하나의 보안장비는 보안관제망을 사용하기 위해서 별도의 랜카드를 구비할 수 있다.At this time, at least one security device may have a separate LAN card for using the sheriff's network.

또한, 도 3에는 도시하지 아니하였으나, 스위치 또는 라우터와 같은 네트워크 장비를 이용하여 제어망과 보안관제망을 분리할 수도 있다. Also, although not shown in FIG. 3, a control network and a sheriff's network may be separated using a network device such as a switch or a router.

도 4는 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법을 나타낸 동작 흐름도이다.4 is a flowchart illustrating a security management method for a control system using a white list according to an embodiment of the present invention.

도 4를 참조하면, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 제1 보안정보 수집장치가, 제1 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집한다(S410)Referring to FIG. 4, a method for security management of a control system using a white list according to an embodiment of the present invention is characterized in that the first security information collecting apparatus includes security information (S410)

이 때, 제1 제어시스템은 보안정보를 생성하기 위한 적어도 하나의 보안장치를 포함할 수 있다. 예를 들어, USB 감시 시스템, 패치관리 시스템, NMS(Network Management System), NAC(Network Access Control), IDS(Intrusion Detection System), IPS(Intrusion Prevention System), 화이트리스트(Whitelist) 보안스위치 등이 이러한 보안장치에 상응할 수 있다.At this time, the first control system may include at least one security device for generating security information. For example, USB surveillance system, patch management system, Network Management System (NMS), Network Access Control (NAC), Intrusion Detection System (IDS), Intrusion Prevention System (IPS) It may correspond to a security device.

이 때, 보안정보는 적어도 하나의 보안장치의 로그(log)에 상응할 수 있다. 즉, 제1 제어시스템의 동작에 따라 기록되는 적어도 하나의 보안장치의 로그를 제1 보안정보 수집장치가 수집할 수 있다.At this time, the security information may correspond to a log of at least one security device. That is, a log of at least one security device recorded according to the operation of the first control system may be collected by the first security information collection device.

이 때, 제1 보안정보 수집장치는 적어도 하나의 보안장치로부터 화이트리스트 기반 감시 로그, 네트워크 트래픽 로그, 방화벽 로그, 임베디드 제어기기 트래픽 로그, NAC(Network Access Control) 로그, USB 접속로그, 백신 탐지 로그, 시스템 로그, 네트워크 시스템 로그 및 물리적 방호 시스템 로그 등을 수집할 수 있다.At this time, the first security information collecting device receives the white list-based monitoring log, the network traffic log, the firewall log, the embedded control device traffic log, the NAC (Network Access Control) log, the USB connection log, , System logs, network system logs, and physical protection system logs.

이 때, 화이트리스트 기반 감시 로그 및 네트워크 트래픽 로그는 화이트리스트를 기반으로 제1 제어시스템에서 발생하는 이상징후를 탐지하기 위해 수집될 수 있다.At this time, the whitelist based surveillance log and the network traffic log may be collected to detect anomalous indications occurring in the first control system based on the whitelist.

또한, 방화벽 로그는 제어시스템 간의 통신에 대해 이상유무를 분석하기 위해 수집될 수 있다. In addition, the firewall log can be collected to analyze the abnormality of communication between the control systems.

또한, 임베디드 제어기기 트래픽 로그는 제1 제어시스템이 포함하는 임베디드 제어기기의 이상행위를 탐지하기 위해 수집될 수 있다. The embedded control device traffic log may also be collected to detect anomalous behavior of embedded control devices included in the first control system.

또한, NAC 로그는 허가되지 않은 불법 장비가 네트워크에 연결되어 사용되고 있는지 여부를 탐지하거나, 제1 제어시스템에 상응하는 자산관리를 수행하기 위해 수집될 수 있다. In addition, the NAC log may be collected to detect whether unauthorized illegal equipment is being used in connection with the network, or to perform asset management corresponding to the first control system.

또한, USB 접속로그는 불법 USB가 사용되고 있는지 여부를 탐지하기 위해 수집될 수 있다. The USB connection log may also be collected to detect whether illegal USB is being used.

또한, 백신 탐지 로그는 호스트 기반의 악성코드를 탐지하기 위해 수집될 수 있다. In addition, the vaccine detection log can be collected to detect host-based malware.

또한, 시스템 로그는 제1 제어시스템에 상응하는 컴퓨터 시스템, 제어기기 및 현장기기의 시스템의 이상여부를 확인하기 위해 수집될 수 있다. In addition, the system log can be collected to check whether the system of the computer system, the control device, and the field device corresponding to the first control system is abnormal.

또한, 네트워크 시스템 로그는 네트워크 장비의 시스템 및 QoS 값을 통한 이상여부를 확인하기 위해 수집될 수 있다.In addition, the network system log can be collected to check whether there is an abnormality through the system and the QoS value of the network equipment.

또한, 물리적 방호 시스템 로그는 도어록 관리 시스템, 지문인식 시스템 및 CCTV와 같은 물리적 방호 시스템의 이상유무를 확인하기 위해 수집될 수 있다.In addition, the physical protection system log can be collected to check whether there is any abnormality in the physical protection system such as door lock management system, fingerprint recognition system and CCTV.

이 때, 제1 보안정보 수집장치가, 제1 제어시스템의 제어망과 분리된 보안관제망을 통해 적어도 하나의 보안장치로부터 보안정보를 수집할 수 있다.At this time, the first security information collection device may collect security information from at least one security device through the sheriff's network separated from the control network of the first control system.

이 때, 본 발명의 일실시예에 따른 제어시스템에 대한 사이버보안 관제의 가장 큰 목적은 제어시스템의 가용성을 유지하면서, 제어시스템에 대한 사이버 공격을 탐지하고 예방하는 것일 수 있다. 즉, 제어시스템에 대한 사이버보안 관제를 수행함에 따라 발생할 수 있는 보안관제 트래픽이 제어시스템이 제어 트래픽에 영향을 주지 않도록 하는 것이다. At this time, the main object of the cyber security control for the control system according to the embodiment of the present invention may be to detect and prevent a cyber attack on the control system while maintaining the availability of the control system. That is, the security control traffic that may occur as a result of performing the cyber security control on the control system is such that the control system does not affect the control traffic.

따라서, 제어시스템의 운영에 문제가 발생하지 않도록, 제어시스템의 제어망과 분리된 별도의 보안관제망을 이용하여 보안관제를 수행하기 위한 보안정보를 수집할 수 있다.Therefore, in order to prevent a problem in the operation of the control system, it is possible to collect security information for performing a security control using a separate shrine shunt separate from the control network of the control system.

이 때, 적어도 하나의 보안장치는 보안관제망을 이용하기 위해서 별도의 랜카드를 추가로 구비할 수도 있다.At this time, at least one security device may further include a separate LAN card to use the sheriff's network.

또한, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 제1 보안정보 수집장치가, 보안정보를 제1 제어시스템에 대응하는 제1 단위보안관제장치로 전송한다(S420).Also, in the security management method using the white list according to an embodiment of the present invention, the first security information collection device transmits the security information to the first unit security control device corresponding to the first control system (S420 ).

이 때, 제1 단위보안관제장치는 실제로 운영되고 있는 제1 제어시스템의 단위에 상응할 수 있다. 예를 들면, 원자력 발전소 내부의 원자로 1기에 해당하는 규모에서부터 전력회사의 급전분소에 해당하는 규모, 또는 그보다 작은 단위의 제어시스템에 대한 보안관제를 실시하는 영역에 상응할 수 있다.At this time, the first unit security control apparatus may correspond to a unit of the first control system actually operated. For example, it may correspond to the area where the security control is applied to the control system of the scale corresponding to the power supply branch of the power company from the scale corresponding to the first reactor in the nuclear power plant, or a unit smaller than that.

따라서, 단위보안관제장치는 제어시스템의 수의 상응하게 존재한다고 판단될 수 있으며, 하나의 제어시스템과 하나의 단위보안관제장치가 일대일 대응에 상응하게 존재할 수 있다.Accordingly, the unit security control device may be determined to correspond to the number of control systems, and one control system and one unit security control device may exist corresponding to the one-to-one correspondence.

이 때, 제1 단위보안관제장치는 제1 제어시스템의 내부에 설치된 제1 보안정보 수집장치와, 제1 단위보안관제장치의 내부에서 제1 제어시스템의 보안관제를 수행하는 단위보안관제정보 분석장치로 구성될 수 있다. In this case, the first unit security control apparatus includes a first security information collection apparatus installed in the first control system, a unit security management information analysis unit for performing a security control of the first control system in the first unit security management apparatus, Device.

이 때, 본 발명에서는 단위보안관제장치라는 표현을 사용하였으나, 단위보안관제부, 단위보안관제시스템 등으로도 표현할 수 있다. 또한, 제어시스템에 포함된 보안정보 수집장치와 단위보안관제정보 분석장치도 단위보안관제부나 단위보안관제시스템의 구성요소에 상응할 수 있다.In this case, although the term 'unit security control device' is used in the present invention, it can also be expressed as a unit sheriff's department, a unit security control system, or the like. In addition, the security information collection device and the unit security control information analysis device included in the control system may correspond to the components of the unit security control unit or the unit security control system.

이 때, 제1 제어시스템의 내부에 위치하는 제1 보안정보 수집장치가, 물리적 단방향 전송을 기반으로 제1 제어시스템의 외부에 위치하는 제1 단위보안관제장치로 보안정보를 전송할 수 있다. At this time, the first security information collecting apparatus located in the first control system can transmit the security information to the first unit security controlling apparatus located outside the first control system on the basis of the physical unidirectional transmission.

이 때, 단방향 자료전송 또는 일방향 자료전송은 망간 자료전송 기술의 하나로 RX 통신을 물리적으로 제거하여 외부로부터의 침투경로를 원천적으로 차단하는 시스템에 상응할 수 있다. 따라서, 물리적 단방향 전송으로 보안정보를 전송함으로써 외부로부터 제어시스템의 제어망으로의 침투를 원천적으로 차단할 수 있다. 또한, 이를 통해 제어시스템의 폐쇄망 원칙을 유지할 수도 있다.In this case, unidirectional data transmission or unidirectional data transmission is one of the manganese data transmission techniques, which can correspond to a system that physically removes the RX communication and thereby originally blocks the penetration path from the outside. Therefore, by transmitting the security information through the physical uni-directional transmission, it is possible to intrude the penetration of the control system from the outside into the control network. It may also maintain the closed-network principle of the control system.

이 때, 물리적 단방향 전송을 수행하기 위해서 제1 제어시스템이 별도의 단방향 전송장치를 구비할 수도 있다. At this time, the first control system may include a separate unidirectional transmission device in order to perform physical unidirectional transmission.

또한, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 제1 단위보안관제장치가, 보안정보를 분석하여 제1 제어시스템의 보안관제를 수행한다(S430).In addition, in the security management method of the control system using the whitelist according to an embodiment of the present invention, the first unit security control device performs security control of the first control system by analyzing the security information (S430).

이 때, 제1 단위보안관제장치가 보안정보를 기반으로 제1 제어시스템에 상응하는 제1 화이트리스트를 생성할 수 있다. At this time, the first unit security control apparatus can generate the first white list corresponding to the first control system based on the security information.

이 때, 보안정보를 기반으로 제1 제어시스템의 동작 패턴을 분석하고, 동작 패턴에 상응하게 제1 화이트리스트를 생성할 수 있다. 이 때, 일반적으로 제어시스템이 정해진 패턴으로 동작하는 특성을 이용하여 보안정보에서 동작 패턴을 분석할 수 있다. At this time, the operation pattern of the first control system may be analyzed based on the security information, and the first white list may be generated according to the operation pattern. At this time, the operation pattern can be analyzed in the security information by using the characteristic that the control system generally operates in a predetermined pattern.

따라서, 보안정보를 통해 추출된 동작 패턴이 제1 제어시스템의 평소 동작 패턴이라고 판단하고, 동작 패턴에 상응하도록 제1 화이트리스트를 생성할 수 있다.Therefore, it is possible to determine that the operation pattern extracted through the security information is the normal operation pattern of the first control system, and generate the first white list so as to correspond to the operation pattern.

예를 들어, 제1 화이트리스트에는 제1 제어시스템으로의 접근이 허용되는 허용기기의 스위치 인터페이스 번호, MAC 주소 및 IP 주소 등이 포함될 수 있다. For example, the first whitelist may include a switch interface number, a MAC address, and an IP address of a permitted device that is allowed to access the first control system.

다른 예를 들면, 제1 화이트리스트에는 제1 제어시스템으로의 통신이 허용되는 허용 통신 구간에 대한 출발지 MAC 주소, 출발지 IP 주소, 출발지 포트 번호, 프로토콜 종류, 목적지 MAC 주소, 목적지 IP 주소 및 목적지 포트 번호 등이 포함될 수도 있다. In another example, the first whitelist includes a source MAC address, a source IP address, a source port number, a protocol type, a destination MAC address, a destination IP address, and a destination port for a permitted communication interval in which communication with the first control system is permitted Number, and so on.

또 다른 예를 들면, 제1 제어시스템의 트래픽 로그를 분석하여 자주 발생하는 패턴의 트래픽을 검출하고, 검출된 트래픽에 상응하는 통신 허용 구간을 제1 화이트리스트에 포함시킬 수 있다.As another example, the traffic log of the first control system may be analyzed to detect frequently occurring patterns of traffic, and the communication permission period corresponding to the detected traffic may be included in the first white list.

이 때, 제1 화이트리스트를 기반으로 제1 제어시스템을 모니터링 할 수 있다.At this time, the first control system can be monitored based on the first white list.

이 때, 제1 제어시스템에서 제1 화이트리스트에 위배되는 비인가 정보가 발생한 경우, 제1 단위보안관제장치가 비인가 정보에 대응하는 처리를 수행할 수 있다.At this time, when unauthorized information that violates the first white list is generated in the first control system, the first unit security control apparatus can perform processing corresponding to the unauthorized information.

예를 들어, 제1 제어시스템에서 발생하는 네트워크 트래픽을 모니터링하여 제1 화이트리스트나 별도의 보안정책에 위배되는 트래픽이 발생하였을 경우, 제1 제어시스템의 관리자가 이를 처리할 수 있도록 해당 트래픽의 발생을 제1 제어시스템의 관리자에게 알릴 수 있다. 또는, 제1 단위보안관제장치가 직접 제1 제어시스템으로 제어 명령을 전달하여 해당 트래픽의 접근을 차단시킬 수도 있다.For example, if the first whitelist or the traffic that violates a separate security policy occurs by monitoring the network traffic generated in the first control system, the traffic of the corresponding traffic is generated so that the manager of the first control system can process the traffic To the manager of the first control system. Alternatively, the first unit security control apparatus may directly transmit a control command to the first control system to block access of the corresponding traffic.

다른 예를 들면, 제1 제어시스템에 포함되는 임베디드 제어기기로 들어오고 나가는 네트워크 데이터 및 제어 신호를 모니터링하고, 이상행위가 발생하면 제1 제어시스템의 관리자에게 알람으로 알려줄 수 있다.Another example is to monitor network data and control signals coming and going to and from an embedded control device included in the first control system and notify an administrator of the first control system as an alarm when an abnormal behavior occurs.

또 다른 예를 들면, 정상 상황의 NAC 로그나 정상 상황의 시스템 로그(Management Information Base, MIB 정보)를 제1 화이트리스트로 생성하고, 제1 화이트리스트에 위배되는 비정상 로그가 발생한 경우, 제1 제어시스템의 관리자에게 알람으로 알려줄 수 있다.For example, the NAC log in the normal state or the system log (Management Information Base, MIB information) in the normal state may be generated as a first whitelist, and when an abnormal log that violates the first whitelist is generated, The system administrator can be notified by an alarm.

또 다른 예를 들면, 불법적인 USB, 즉 제1 화이트리스트에 등록되지 않은 USB의 사용이 감지되는 경우에 제1 제어시스템의 관리자에게 알람으로 알려줄 수 있다.As another example, an administrator of the first control system can be notified of an illegal USB, that is, when the use of USB not registered in the first whitelist is detected.

또 다른 예를 들면, 제1 제어시스템에 포함된 도어록 관리 시스템, 지문인식 시스템 및 CCTV와 같은 물리적 방호 시스템들에서 이상 행위가 발생하는 경우에 제1 제어시스템의 관리자에게 알람으로 알려줄 수 있다.As another example, when an abnormal behavior occurs in a door lock management system included in the first control system, a fingerprint recognition system, and a physical protection system such as a CCTV, the manager of the first control system can be informed by an alarm.

또한, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 부문보안관제장치가, 제2 제어시스템에 대응하는 제2 단위보안관제장치와 제1 단위보안관제장치로부터 각각 보안정보를 획득하고, 보안정보들을 기반으로 제1 제어시스템과 제2 제어시스템의 보안관제를 수행한다(S440).In addition, the security management method for a control system using a whitelist according to an embodiment of the present invention is a security management method of a control system using a white list, And performs security control of the first control system and the second control system based on the security information (S440).

이 때, 제1 제어시스템과 제2 제어시스템은 특별한 순서에 관계없이 단순하게 제어시스템들을 구별하기 위해 명명된 것일 수 있다. 따라서, 제1 단위보안관제장치와 제2 단위보안관제장치도 제1 제어시스템에 상응하는 단위보안관제장치와 제2 제어시스템에 상응하는 단위보안관제장치를 구분하기 위한 것일 뿐, 그 구성이나 동작의 차이는 없을 수 있다.At this time, the first control system and the second control system may be simply named to distinguish the control systems, regardless of the particular order. Therefore, the first unit security control device and the second unit security control device are also for distinguishing the unit security control device corresponding to the first control system and the unit security control device corresponding to the second control system, There is no difference between the two.

이 때, 부문보안관제장치는 여러 단위보안관제장치들을 통제할 수 있는 장치에 상응할 수 있다. 따라서, 부문보안관제장치는 여러 단위보안관제장치들로부터 여러 제어시스템들의 보안정보를 획득할 수 있고, 이와 같이 획득한 보안정보를 통합하여 여러 제어시스템들 사이의 상관관계를 분석할 수 있다.At this time, the divisional security control device may correspond to a device capable of controlling several unit security control devices. Accordingly, the sector security control device can acquire security information of various control systems from various unit security control devices, and can analyze the correlation between the various control systems by integrating the obtained security information.

이 때, 부문보안관제장치는 단위보안관제장치와 유사하게 보안관제를 수행하는 부문보안 관제정보분석부를 포함할 수 있다. 또한, 부문보안관제장치는 여러 제어시스템들과 여러 단위보안관제장치들에게 보안관제에 필요한 정보를 제공할 수 있는 정보공유부를 포함할 수 있다.At this time, the division security control unit may include a divisional security control information analysis unit that performs security control similar to the unit security control unit. In addition, a departmental security control device may include an information sharing section capable of providing information necessary for security control to various control systems and various unit security control devices.

이 때, 본 발명에서는 부문보안관제장치라는 표현을 사용하였으나, 부문보안관제부, 부문보안관제시스템 등으로도 표현할 수 있다. In this case, the present invention uses the expression "department security control device", but it can also be expressed as a department sheriff's department, a divisional security control system, or the like.

또한, 보안관제 시스템의 환경에 따라서 부문보안관제장치는 단위보안관제장치로 대체할 수도 있다.Also, depending on the environment of the security control system, the unit security control unit may be replaced with the unit security control unit.

이 때, 보안정보들을 기반으로 제1 제어시스템과 제2 제어시스템 간의 통신패턴 상관관계를 분석하고, 통신패턴 상관관계에 상응하는 제어시스템 간 화이트리스트를 생성할 수 있다.At this time, the communication pattern correlation between the first control system and the second control system can be analyzed based on the security information, and the inter-control white list corresponding to the communication pattern correlation can be generated.

이 때, 보안정보들을 기반으로 방화벽 로그, L3 장비 로그, IDS 로그 및 IPS 로그 중 적어도 하나의 로그를 추출하고, 적어도 하나의 로그를 기반으로 통신패턴 상관관계를 분석할 수 있다.At this time, at least one log of the firewall log, the L3 device log, the IDS log, and the IPS log may be extracted based on the security information, and the communication pattern correlation may be analyzed based on at least one log.

이 때, 제어시스템 간 화이트리스트를 기반으로 제1 제어시스템과 제2 제어시스템을 모니터링 할 수 있다.At this time, the first control system and the second control system can be monitored based on the inter-control white list.

이 때, 제1 제어시스템과 제2 제어시스템 간의 통신 중 제어시스템 간 화이트리스트에 위배되는 비인가 통신정보가 발생한 경우, 부문보안관제장치가 제1 단위보안관제장치와 제2 단위보안관제장치를 제어하여 비인가 통신정보에 대응하는 처리를 수행할 수 있다.At this time, when unauthorized communication information that violates the whitelist among control systems occurs during communication between the first control system and the second control system, the division security control device controls the first unit security control device and the second unit security control device Thereby performing processing corresponding to unauthorized communication information.

예를 들어, 보안정보들을 기반으로 각 제어시스템에서 외부와 통신을 하는 기기의 방화벽 로그를 검출하여 제어시스템 간 화이트리스트로 생성하고, 이를 위배하는 기기가 발생하면 해당 제어시스템의 관리자에게 알람으로 알려줄 수 있다. 이 때, 제어시스템 간의 통신 패턴 로그는 통신 구간 = {출발지 MAC 주소, 출발지 IP 주소, 출발지 포트 번호, 프로토콜 종류, 목적지 MAC 주소, 목적지 IP 주소, 목적지 포트번호}와 같이 나타낼 수 있다.For example, a firewall log of a device communicating with the outside is detected in each control system based on security information, and is generated as a whitelist between control systems. When a device violating the firewall log is detected, an alarm is notified to the manager of the control system . In this case, the communication pattern log between the control systems can be expressed as: communication interval = {source MAC address, source IP address, source port number, protocol type, destination MAC address, destination IP address, destination port number}.

다른 예를 들어, 장애 관리 로그, 구성 관리 로그, 보안 관리 로그, 성능 관리 로그 및 계정 관리 로그 등을 제어시스템 간 화이트리스트로 생성하고, 이를 기반으로 모니터링을 수행할 수 있다. 이 때, 제어시스템 간 화이트리스트에 위배되는 로그가 발생한 경우에 이를 해당 제어시스템의 관리자에게 알람으로 알릴 수 있다.As another example, the fault management log, the configuration management log, the security management log, the performance management log, and the account management log can be generated as a white list between the control systems, and monitoring can be performed based on this. At this time, when a log that is in violation of the whitelist among the control systems occurs, it can be notified to the manager of the control system by an alarm.

또한, 부문보안관제장치는 여러 단위보안관제장치 사이의 이상징후를 판별할 수 있고, 상위 시스템으로부터 수신된 보안위협 정보(국내외 언론보도 자료, 보안 취약점 정보, 긴급 보안위협 정보 및 긴급 보안패치 정보 등)를 각각의 단위보안관제장치로 전달할 수 있다. 만약, 부문보안관제장치를 통제하는 통합보안관제장치가 존재하는 경우에 통합보안관제장치로도 보안위협 정보를 전달할 수 있다.In addition, the divisional security control device can identify anomalous signs among various unit security control devices, and can detect security threat information (domestic and foreign press releases, security vulnerability information, emergency security threat information, emergency security patch information, and the like) ) To each unit security control device. If there is an integrated security control device that controls the sector security control device, the security threat information can also be transmitted to the integrated security control device.

이 때, 제1 제어시스템에서 제2 제어시스템으로의 제1 통신정보와 제2 제어시스템에서 제1 제어시스템으로의 제2 통신정보를 획득할 수 있다.At this time, the first communication information from the first control system to the second control system and the second communication information from the second control system to the first control system can be obtained.

이 때, 제1 통신정보와 제2 통신정보의 일관성을 분석하고, 일관성이 결여된 경우에 부문보안관제장치가 제1 단위보안관제장치와 제2 단위보안관제장치를 제어하여 제1 제어시스템과 제2 제어시스템 간의 통신을 차단할 수 있다.In this case, the consistency of the first communication information and the second communication information is analyzed, and if the inconsistency is lacked, the division security control device controls the first unit security control device and the second unit security control device, Communication between the first and second control systems can be blocked.

또한, 도 4에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 통합보안관제장치가 부문보안관제장치로 보안관제정보를 공유할 수 있다.In addition, although not shown in FIG. 4, in the security control method of the control system using the whitelist according to the embodiment of the present invention, the integrated security control device may share the security control information with the sector security control device.

이 때, 통합보안관제장치는 부문보안관제장치를 통제하고 정보를 전달하는 역할을 수행할 수 있다. 즉, 통합보안관제장치가 부문보안관제장치를 통제하고, 부문보안관제장치가 단위보안관제장치를 통제하는 시스템일 수 있다. 따라서, 통합보안관제장치는 부문보안관제장치의 보안관제 정보를 수집하여 제어시스템들의 보안관제를 위해 사용할 수 있다.At this time, the integrated security control device can control the sector security control device and carry out the role of transmitting information. That is, the integrated security control unit controls the sector security control unit, and the sector security control unit controls the unit security control unit. Accordingly, the integrated security control device can collect security control information of the sector security control device and use it for security control of the control systems.

이 때, 통합보안관제장치는 환경에 따라서 통합보안관제장치가 부문보안관제장치를 대체할 수도 있다.  At this time, the integrated security control device may be replaced with the integrated security control device depending on the environment.

이 때, 통합보안관제장치는 부문보안관제장치의 보안관련 데이터를 수집하는 통합보안관제 정보분석부와 각 제어시스템을 담당하는 기관에게 정보를 공유해줄 수 있는 정보공유부로 구성될 수 있다. 따라서, 통합보안관제장치는 정보공유부를 기반으로 보안관제정보를 공유해줄 수 있다.In this case, the integrated security control device may be composed of an integrated security control information analysis part for collecting security related data of the sector security control device and an information sharing part for sharing information to the organization responsible for each control system. Therefore, the integrated security control device can share the security control information based on the information sharing part.

또한, 도 4에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법은 부문보안관제장치가 제1 단위보안관제장치와 제2 단위보안관제장치로 보안관제정보를 공유할 수 있다.Although not shown in FIG. 4, in the security management method of the control system using the whitelist according to an embodiment of the present invention, the divisional security control device may include a first unit security control device and a second unit security control device, Information can be shared.

이 때, 보안관제정보는 보안위협 정보, 사이버사고 처리 정보, 탐지 규칙, 행사 정보 및 문서 정보 중 적어도 하나에 상응할 수 있다.At this time, the security management information may correspond to at least one of security threat information, cyber accident processing information, detection rules, event information, and document information.

예를 들어, 보안위협 정보는 국내외 언론보도 자료, 보안 취약점 정보, 긴급 보안위협 정보 및 긴급 보안패치 정보 중 적어도 하나에 상응할 수 있다. 또한, 사이버사고 처리 정보는 제어시스템 사고 탐지 정보, 운영기관에서의 사고 탐지 정보, 사고 관련 로그 정보 및 사고 사례 정보 중 적어도 하나에 상응할 수 있다. 또한, 탐지 규칙은 신규 악성코드 탐지 규칙에 상응할 수 있다. 또한, 행사 정보는 보안관련 국내외 행사 정보 및 보안관련 교육 정보 중 적어도 하나에 상응할 수 있다. 또한, 문서 정보는 가이드 라인, 공유 정책 정보 및 주요 보안정책 중 적어도 하나에 상응할 수 있다.For example, the security threat information may correspond to at least one of domestic and foreign press releases, security vulnerability information, emergency threat information, and emergency security patch information. In addition, the cyber incident processing information may correspond to at least one of control system incident detection information, accident detection information at the operating agency, accident related log information, and accident case information. In addition, the detection rule may correspond to a new malicious code detection rule. In addition, the event information may correspond to at least one of security related event information and security related education information. The document information may also correspond to at least one of a guideline, shared policy information, and a key security policy.

이 때, 단위보안관제장치, 부문보안관제장치, 통합보안관제장치의 연결을 통해 제어시스템의 가용성을 보장하고, 제어시스템의 폐쇄망 정책의 유지가 가능하도록 보안관제가 가능할 수 있다. At this time, it is possible to ensure the availability of the control system through the connection of the unit security control unit, the sector security control unit, and the integrated security control unit, and to enable the maintenance of the closed network policy of the control system.

도 5는 본 발명의 일실시예에 따른 보안관제 시스템으로 비인가 서비스의 접속을 탐지하는 과정을 나타낸 도면이다.5 is a diagram illustrating a process of detecting an unauthorized service connection to a security control system according to an exemplary embodiment of the present invention.

도 5를 참조하면, 제어시스템으로 비인가 서비스가 접속하면(S502), 제어시스템에 설치된 보안정보 수집장치가 이에 대한 로그를 수집하여 단위보안관제장치에게 전송할 수 있다(S504).Referring to FIG. 5, when the unauthorized service is accessed by the control system (S502), the security information collection device installed in the control system may collect the log and transmit the collected log to the unit security control device (S504).

이 후, 단위보안관제장치가 수신된 로그를 기반으로 제어시스템에서 발생한 비인가 서비스에 대한 이벤트를 감지하고 분석할 수 있다(S506).Thereafter, the unit security control device can detect and analyze an event of the unauthorized service generated in the control system based on the received log (S506).

이 때, 부문보안관제장치도 로그를 획득하고, 단위보안관제장치의 이벤트 분석 결과를 수신하여 비인가 서비스에 상응하는 장치를 분석할 수 있다(S508).At this time, the divisional security control device also acquires the log, receives the event analysis result of the unit security control device, and analyzes the device corresponding to the unauthorized service (S508).

이 후, 단위보안관제장치가 이상 통신임을 감지하고(S510) 제어시스템으로 비인가 서비스에 대한 차단 명령을 전달할 수 있다(S512).Thereafter, the unit security control device detects abnormal communication (S510) and transmits a blocking command for the unauthorized service to the control system (S512).

이 후, 제어시스템에서는 차단 명령에 따라 비인가 서비스를 차단하고(S514), 단위보안관제장치는 차단 명령에 대한 결과를 수신하여 비인가 서비스의 접속이 차단되었음을 확인할 수 있다(S516). 이 때, 단위보안관제장치는 차단 결과를 부문보안관제장치에게도 전달하여 부문보안관제장치에서도 비인가 서비스의 접속이 차단된 것을 확인할 수 있다(S518).Thereafter, the control system blocks the unauthorized service according to the blocking command (S514), and the unit security control device receives the result of the blocking command to confirm that the unauthorized service is blocked (S516). In this case, the unit security control device also transmits the blocking result to the sector security control device, thereby confirming that the unauthorized service access is blocked in the sector security control device (S518).

도 6은 본 발명의 일실시예에 따른 보안관제 시스템으로 비인가 장치의 접속을 탐지하는 과정을 나타낸 도면이다.6 is a diagram illustrating a process of detecting connection of an unauthorized device to a security control system according to an embodiment of the present invention.

도 6을 참조하면, 제어시스템으로 비인가 장치가 접속하면(S602), 제어시스템에 접속된 비인가 장치가 차단되어 해당 결과가 전송되기까지의 단계(S606~ S614)가 도 5에 도시된 비인가 서비스의 경우와 유사할 수 있다. Referring to FIG. 6, when an unauthorized device is connected to the control system (S602), steps S606 to S614 until the unauthorized device connected to the control system is blocked and the corresponding result is transmitted is the same as that of the unauthorized service Can be similar to the case.

그러나, 비인가 서비스 접속의 경우와 달리, 비인가 장치의 접속은 제어시스템 운영 시 엄격히 금지되고 있기 때문에 단계(S616)과 같이 사고상황으로 간주하여 해당 정보를 부문보안관제장치로 전파할 수 있다.However, unlike the case of unauthorized service connection, since the connection of the unauthorized apparatus is strictly prohibited during operation of the control system, the information can be regarded as an accident situation as in step S616 and the corresponding information can be propagated to the sector security control apparatus.

이 때, 부문보안관제장치는 상황을 접수한 후(S618), 현장으로 조사단을 급파하여(S620) 해당 장치의 분석을 수행하고(S622), 사고사례를 전파할 수 있다(S624).At this time, the department security control device receives the situation (S618), dispatches the investigation team to the field (S620), analyzes the corresponding device (S622), and propagates the accident case (S624).

도 7은 본 발명의 일실시예에 따른 보안관제 시스템으로 제어시스템 내부 장치의 고장을 탐지하는 과정을 나타낸 도면이다.7 is a flowchart illustrating a process of detecting a failure of an internal control system using a security control system according to an embodiment of the present invention.

도 7을 참조하면, 제어시스템에서 내부 장치의 고장이 발생하면(S702), 보안정보 수집장치가 이와 관련된 로그를 수집하여 단위보안관제장치로 전송할 수 있다(S704).Referring to FIG. 7, when failure occurs in the internal device in the control system (S702), the security information collection device may collect the log and transmit it to the unit security control device (S704).

이 후, 단위보안관제장치는 이벤트 감지 및 분석을 기반으로(S706) 제어시스템의 내부 장치가 고장난 것을 탐지하고(S708), 고장난 내부 장치를 복구하도록 제어할 수 있다(S710).Thereafter, the unit security control device detects that the internal device of the control system has failed (S708) based on the event detection and analysis (S706), and controls to recover the failed internal device (S710).

이 후, 제어시스템이 복구 결과를 단위보안관제장치로 전달하여 복구가 확인되면(S712), 단위보안관제장치가 부문보안관제장치로 복구 결과를 전달하여 부문보안관제장치에서도 복구 결과를 확인할 수 있다(S714).Thereafter, when the control system transmits the restoration result to the unit security control unit and the restoration is confirmed (S712), the unit security control unit transmits the restoration result to the unit security control unit, and the restoration result is also confirmed in the unit security control unit (S714).

이 때, 도 6에 도시된 비인가 장치의 접속 사례와 마찬가지로 제어시스템 내부 장치의 고장은 사고 상황으로 간주하고, 단계(S716)과 같이 부문보안관제장치로 사고상황 및 정보를 전파할 수 있다. At this time, as in the connection example of the unauthorized apparatus shown in Fig. 6, the failure of the control system internal apparatus is regarded as an accident situation, and the accident situation and information can be propagated to the sector security control apparatus as in step S716.

이 후, 부문보안관제장치는 상황을 접수한 뒤(S718) 현장으로 조사단을 파견하고(S720), 해당 장치의 고장으로 인한 타 장치의 영향성과 파급효과 등을 분석하여(S722) 사고 사례를 전파할 수 있다(S724).After receiving the situation (S718), the SFCU sends an inspection team to the site (S720), analyzes the influence and ripple effect of the other device due to the failure of the relevant device (S722) (S724).

도 8 내지 도 9는 본 발명의 일실시예에 따른 보안관제 시스템에서 제어시스템의 라우팅 정책을 적용하는 과정을 나타낸 도면이다.8 to 9 illustrate a process of applying a routing policy of a control system in a security control system according to an embodiment of the present invention.

대부분의 제어시스템은 운영상의 이유로 정적 라우팅을 사용할 수 있다. 따라서, 제어시스템에서는 정해진 라우팅 정책을 운영할 수 있고, 라우팅 정책에 따라 정해진 라우팅 경로를 기반으로 동작할 수 있다.Most control systems can use static routing for operational reasons. Therefore, the control system can operate the defined routing policy and operate based on the determined routing path according to the routing policy.

이 때, 라우팅 정책도 일종의 보안정책에 해당하기 때문에 제어시스템 운영사의 라우팅 정책도 보안관제에 포함될 수 있다.In this case, since the routing policy also corresponds to a kind of security policy, the routing policy of the control system operator may be included in the security control.

도 8 내지 도 9를 참조하면, 단위보안관제장치에서의 라우팅 정책 변경과 부문보안관제장치에서의 라우팅 정책 변경에 따른 라우팅 정책 변경 시나리오를 확인할 수 있다.Referring to FIGS. 8 to 9, the routing policy change scenario in the unit security control apparatus and the routing policy change scenario in the sector security control apparatus can be confirmed.

먼저 도 8은 단위보안관제장치에 라우터 혹은 L3 네트워크 장치가 설치된 경우, 라우팅 정책을 변경하기 위한 과정에 상응할 수 있다.First, FIG. 8 may correspond to a process for changing a routing policy when a router or an L3 network device is installed in the unit security control apparatus.

도 8을 참조하면, 단위보안관제장치에 설치된 라우터에서 라우팅 정책이 변경되면(S802), 단위보안관제장치가 변경된 라우팅 테이블의 검증을 수행할 수 있다(S804).Referring to FIG. 8, when the routing policy is changed in the router installed in the unit security control device (S802), the unit security control device can perform verification of the changed routing table (S804).

이 후, 단위보안관제장치가 라우팅 테이블의 업데이트 정보를 제어시스템으로 전달하면(S806), 제어시스템에서 라우팅 테이블의 업데이트를 수행할 수 있다(S808).Thereafter, when the unit security control apparatus transfers the update information of the routing table to the control system (S806), the control system may update the routing table (S808).

이 후, 제어시스템은 라우팅 테이블의 업데이트가 완료되면 업데이트 결과를 단위보안관제장치로 전달하여 업데이트가 완료되었음을 알리고(S810), 단위보안관제장치는 업데이트 결과를 부문보안관제장치로 전달하여 알릴 수 있다(S812).Thereafter, when the update of the routing table is completed, the control system transmits the update result to the unit security control unit to inform the completion of the update (S810), and the unit security control unit can notify the unit security control unit of the update result to the unit security control unit (S812).

또한, 도 9는 부문보안관제장치에 라우터 혹은 L3 네트워크 장치가 설치된 경우, 라우팅 정책을 변경하기 위한 과정에 상응할 수 있다.Further, FIG. 9 may correspond to a procedure for changing a routing policy when a router or an L3 network device is installed in the sector security control apparatus.

도 9를 참조하면, 먼저 부문보안관제장치에 설치된 라우터에서 라우팅 정책이 변경되면(S902), 부문보안관제장치가 변경된 라우팅 테이블의 검증을 수행할 수 있다(S904).Referring to FIG. 9, if the routing policy is changed in the router installed in the segment security control device (S902), the segment security control device may perform the verification of the changed routing table (S904).

이 후, 단위보안관제장치가 부문보안관제장치로부터 라우팅 테이블 업데이트 정보를 수신하여 제어시스템으로 전달하면(S906), 제어시스템에서 라우팅 테이블의 업데이트를 수행할 수 있다(S908).Thereafter, the unit security control device receives the routing table update information from the department security control device and transmits the routing table update information to the control system (S906), and may update the routing table in the control system (S908).

이 후, 제어시스템은 라우팅 테이블의 업데이트가 완료되면 업데이트 결과를 단위보안관제장치로 전달하여 업데이트가 완료되었음을 알리고(S910), 단위보안관제장치는 업데이트 결과를 부문보안관제장치로 전달하여 알릴 수 있다(S912).Thereafter, when the update of the routing table is completed, the control system transmits the update result to the unit security control unit to inform the completion of the update (S910), and the unit security control unit can notify the unit security control unit of the update result to the unit security control unit (S912).

도 10 내지 도 11은 본 발명의 일실시예에 따른 보안관제 시스템에서 제어시스템의 방화벽 정책을 적용하는 과정을 나타낸 도면이다.10 to 11 are views illustrating a process of applying a firewall policy of a control system in a security control system according to an embodiment of the present invention.

도 10 내지 도 11을 참조하면, 제어시스템 운영사가 방화벽 정책의 변경을 요구할 경우, 단위보안관제장치에서의 방화벽 정책 변경과 부문보안관제장치에서의 방화벽 정책 변경에 따른 방화벽 정책 변경 시나리오를 확인할 수 있다.10 to 11, when a control system operator requests a change of a firewall policy, a firewall policy change in the unit security control unit and a firewall policy change scenario in accordance with a firewall policy change in the division security control unit can be confirmed .

먼저 도 10은 단위보안관제장치에 방화벽 정책이 적용된 경우에 방화벽 정책 변경을 수행하는 과정에 상응할 수 있다.10 may correspond to a process of changing a firewall policy when a firewall policy is applied to the unit security control apparatus.

도 10을 참조하면, 단위보안관제장치에 적용된 방화벽 정책이 변경 결정되면(S1002), 단위보안관제장치가 변경된 방화벽 정책을 검증할 수 있다(S1004).Referring to FIG. 10, when a change in the firewall policy applied to the unit security control apparatus is determined (S1002), the unit security control apparatus can verify the changed firewall policy (S1004).

이 후, 방화벽 정책의 검증이 완료되면, 단위보안관제장치가 방화벽 정책 업데이트 정보를 제어시스템으로 전달하여(S1006), 제어시스템의 방화벽 정책을 업데이트할 수 있다(S1008).Thereafter, when the verification of the firewall policy is completed, the unit security control apparatus transfers the firewall policy update information to the control system (S1006), and updates the firewall policy of the control system (S1008).

이 후, 제어시스템은 방화벽 정책의 업데이트가 완료되면 업데이트 결과를 단위보안관제장치로 전달하여 업데이트가 완료되었음을 알리고(S1010), 단위보안관제장치는 업데이트 결과를 부문보안관제장치로 전달하여 알릴 수 있다(S1012).Thereafter, when the update of the firewall policy is completed, the control system transmits the update result to the unit security control unit to notify that the update is completed (S1010), and the unit security control unit can notify the unit security control unit of the update result to the unit security control unit (S1012).

또한, 도 11은 부문보안관제장치에 방화벽 정책이 적용된 경우에 방화벽 정책 변경을 수행하는 과정에 상응할 수 있다.In addition, FIG. 11 may correspond to a process of performing a firewall policy change when a firewall policy is applied to the department security control apparatus.

도 11을 참조하면, 부문보안관제장치에 적용된 방화벽 정책의 변경이 결정되면(S1102), 부문보안관제장치가 변경된 방화벽 정책을 검증할 수 있다(S1104).Referring to FIG. 11, when the change of the firewall policy applied to the sector security control apparatus is determined (S1102), the sector security control apparatus can verify the changed firewall policy (S1104).

이 후, 방화벽 정책의 검증이 완료되고, 단위보안관제장치가 부문보안관제장치로부터 방화벽 정책 업데이트 정보를 수신하여 제어시스템으로 전달하면(S1106), 제어시스템에서 방화벽 정책의 업데이트를 수행할 수 있다(S1108).Thereafter, the verification of the firewall policy is completed, and the unit security control device receives the firewall policy update information from the department security control device and transfers the updated information to the control system (S1106), and the control system can update the firewall policy S1108).

이 후, 제어시스템은 방화벽 정책의 업데이트가 완료되면 업데이트 결과를 단위보안관제장치로 전달하여 업데이트가 완료되었음을 알리고(S1110), 단위보안관제장치는 업데이트 결과를 부문보안관제장치로 전달하여 알릴 수 있다(S1112).Thereafter, when the update of the firewall policy is completed, the control system transmits the update result to the unit security control unit to inform the completion of the update (S1110), and the unit security control unit can notify the unit security control unit of the update result to the unit security control unit (S1112).

도 12는 본 발명의 일실시예에 따른 보안관제 시스템에서 수집정보 및 보안위협 정보를 공유하는 과정을 나타낸 도면이다.12 is a diagram illustrating a process of sharing collected information and security threat information in a security control system according to an embodiment of the present invention.

도 12을 참조하면, 본 발명의 일실시예에 따른 보안관제 시스템에 포함되는 통합보안관제장치는 부문보안관제장치와 단위보안관제장치로 보안 위협정보를 공유하기 위해 전파하는 것을 확인할 수 있다. Referring to FIG. 12, the integrated security control device included in the security control system according to an embodiment of the present invention can confirm that the integrated security control device propagates to share the security threat information with the unit security control device and the unit security control device.

보안 위협정보를 전파하는 과정은, 먼저 통합보안관제장치가 부문보안관제장치로 보안위협 정보를 공유할 수 있다(S1202).In the process of propagating the security threat information, the integrated security control device may first share the security threat information with the sector security control device (S1202).

이 후, 부문보안관제장치는 공유된 보안위협 정보를 정보공유부에 저장하고(S1204), 해당 정보를 단위보안관제장치에게 전달할 수 있다(S1206).Thereafter, the division security control apparatus stores the shared security threat information in the information sharing unit (S1204), and may transmit the corresponding information to the unit security control apparatus (S1206).

이 때, 부문보안관제장치는 단위보안관제장치에게 보안위협 정보를 전달하는 동시에 부문보안관제장치에 상응하는 시스템으로 보안위협 정보를 전파할 수 있다(S1212).At this time, the sector security control device can transmit the security threat information to the unit security control device while propagating the security threat information to the system corresponding to the sector security control device (S 1212).

이 후, 단위보안관제장치도 수신된 보안위협 정보를 정보공유부에 저장한 뒤(S1208), 관련 시스템으로 보안위협 정보를 전파할 수 있다(S12010).Thereafter, the unit security control apparatus also stores the received security threat information in the information sharing unit (S1208), and can transmit the security threat information to the related system (S12010).

이 때, 통합보안관제장치는 정보공유부를 통해 부문보안관제부로부터 수집된 정보를 분석하여 보안 위협정보와 함께 전파할 수도 있다.At this time, the integrated security control device may analyze the information collected from the divisional sheriff's department through the information sharing department and propagate it together with the security threat information.

이와 같은 정보 공유를 통해 각각의 관제장치에서는 수집정보 분석결과와 보안위협 정보를 신속히 제어시스템 관제에 반영할 수 있다.Through such information sharing, each control device can quickly incorporate the collected information analysis result and security threat information into the control system control.

도 13은 본 발명의 일실시예에 따른 보안관제 시스템으로 제어시스템 내부망 사이의 이상징후를 탐지하는 과정을 나타낸 도면이다.13 is a diagram illustrating a process of detecting an abnormal symptom between internal networks of a control system using a security control system according to an embodiment of the present invention.

도 13을 참조하면, 본 발명의 일실시예에 따른 보안관제 시스템은 단일 제어시스템 내부망뿐만 아니라, 여러 제어시스템 내부망 사이에서 발생 가능한 보안관제 상황도 통제할 수 있다.Referring to FIG. 13, the security control system according to an embodiment of the present invention can control not only a single control system internal network but also security control situations that can occur among various control system internal networks.

예를 들어, 도 13에 도시된 것과 같이 제어시스템 내부망 사이에서 발생 가능할 수 있는 규칙을 벗어난 이상징후를 탐지할 수 있다.For example, as shown in FIG. 13, it is possible to detect anomalies that are outside the rules that may occur between control system internal networks.

도 13은 A 제어시스템과 B 제어시스템의 내부망 사이에서 발생한 이상징후를 탐지하고 대응하는 일련의 과정을 나타낼 수 있다.13 illustrates a series of processes for detecting and responding to anomalous indications between the A control system and the B control system internal network.

도 13을 참조하면, A 제어시스템과 B 제어시스템은 서로를 대상으로 통신을 수행할 수 있다(S1302, S1306). Referring to FIG. 13, the A control system and the B control system can perform communication with each other (S1302, S1306).

이 때, 통신 정보는 각각의 단위보안관제장치에서 탐지되어 부문보안관제장치로 전달될 수 있다(S1304, S1308).At this time, the communication information may be detected by each unit security control device and transmitted to the sector security control device (S1304, S1308).

이 때, 부문보안관제장치는 A와 B의 통신정보를 수집하여(S1310), 일관성 분석을 수행할 수 있다(S1312). At this time, the division security control apparatus collects the communication information of A and B (S1310), and can perform the consistency analysis (S1312).

이 후, 부문보안관제장치는 일관성 결여 여부를 통해 이상징후를 탐지할 수 있고, 이 사실을 각 단위보안관제장치에게 전파할 수 있다(S1314).Thereafter, the SFP can detect anomalies through the lack of consistency and can propagate this to each unit (S1314).

이 후, 각 단위보안관제장치는 해당 통신 정보 분석을 통해(S1316, S1322) 현장을 확인하여 이상징후의 원인이 된 장치를 제거 또는 차단할 수 있다(S1318, 1324).Thereafter, each unit security control device checks the site through analysis of the corresponding communication information (S1316, S1322), and may remove or block the device causing the abnormal symptom (S1318, 1324).

이 후, 각 제어시스템에서 장치를 제거 또는 차단한 결과를 각 단위보안관제장치로 전달하면(S1320, S1326), 각 단위보안관제장치가 해당 결과를 부문보안관제장치로 전달할 수 있다(S1328).Thereafter, when the result of removing or blocking the device from each control system is transmitted to each unit security control device (S1320, S1326), each unit security control device can forward the result to the sector security control device (S1328).

도 14는 본 발명의 일실시예에 따른 보안관제 시스템에서 인가 서비스를 기반으로 제어시스템의 방화벽 정책을 적용하는 과정을 나타낸 도면이다.14 is a diagram illustrating a process of applying a firewall policy of a control system based on an authorization service in a security control system according to an embodiment of the present invention.

도 14를 참조하면, 본 발명의 일실시예에 따른 보안관제 시스템은 허가된 서비스의 시작 또는 종료를 탐지하고, 각 제어시스템의 방화벽 정책에 적용할 수 있다.Referring to FIG. 14, the security control system according to an embodiment of the present invention can detect the start or the end of an authorized service and apply the firewall policy to each control system.

도 14는 A 제어시스템의 내부망에서 S 서비스의 시작 또는 종료에 따라 A 제어시스템과 B 제어시스템의 방화벽 정책 적용과정을 나타낼 수 있다.FIG. 14 illustrates a process of applying the firewall policy of the A control system and the B control system according to the start or end of the S service in the internal network of the A control system.

도 14를 참조하면, A 제어시스템에서 S 서비스가 시작 또는 종료되는 경우(S1402), 이를 A 단위보안관제장치에서 탐지하여(S1404), 방화벽 정책 변경을 수행할 수 있다(S1406~ S1416).Referring to FIG. 14, when the S service is started or terminated in the A control system (S1402), it can be detected in the A unit security control device (S1404) and the firewall policy change can be performed (S1406 to S1416).

이 때, 단계(S1406~ S1416)에 해당하는 과정은 도 10 내지 도 11에 도시된 방화벽 정책 변경과정과 동일하므로 설명을 생략하도록 한다.At this time, the process corresponding to steps S1406 to S1416 is the same as the process of changing the firewall policy shown in Figs. 10 to 11, so that a description thereof will be omitted.

이 때, 부문보안관제장치는 A 단위보안관제장치로부터 탐지된 정보를 획득하여 S 서비스와 관련된 사용기기를 분석할 수 있다(S1418).At this time, the departmental security control device can acquire the detected information from the A unit security control device and analyze the used device related to the S service (S1418).

이 후, 부문보안관제장치는 S 서비스의 시작 또는 종료 정보를 B 단위보안관제장치로 알리면(S1420), B 단위보안관제장치에게도 이를 탐지하여(S1422) 방화벽 정책 변경을 수행할 수 있다(S1424~ S1432).Thereafter, the division security control device notifies the start / end information of the S service to the B unit security control device (S1420), detects the B unit security control device (S1422), and can perform the firewall policy change (S1424 ~ S1432).

이상에서와 같이 본 발명에 따른 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the security management method and system for the control system using the white list according to the present invention are not limited to the configuration and method of the embodiments described above, All or some of the embodiments may be selectively combined.

110-1~ 110-N, 210, 220, 300: 제어시스템
111-1~ 111-N, 211, 330: 보안정보 수집장치
120-1~ 120-N: 단위보안관제장치 130-1~ 130-M: 부문보안관제장치
140: 통합보안관제장치 212: 일방향 전송장치
230: 단위보안관제시스템 310: 제어망
320: 보안관제망
110-1 to 110-N, 210, 220 and 300: a control system
111-1 to 111-N, 211, and 330: security information collecting device
120-1 to 120-N: Unit security control devices 130-1 to 130-M: Sector security control devices
140: Integrated security control device 212: One-way transmission device
230: unit security control system 310: control network
320: Sheriff's plea

Claims (20)

제1 보안정보 수집장치가, 제1 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집하는 단계;
상기 제1 보안정보 수집장치가, 상기 보안정보를 상기 제1 제어시스템에 대응하는 제1 단위보안관제장치로 전송하는 단계;
상기 제1 단위보안관제장치가, 상기 보안정보를 분석하여 상기 제1 제어시스템의 보안관제를 수행하는 단계; 및
부문보안관제장치가, 제2 제어시스템에 대응하는 제2 단위보안관제장치와 상기 제1 단위보안관제장치로부터 각각 상기 보안정보를 획득하고, 보안정보들을 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계
를 포함하고,
상기 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계는
상기 보안정보들을 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신패턴 상관관계를 분석하여 제어시스템간 화이트리스트를 생성하고, 상기 제어시스템간 화이트리스트를 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템 간의 보안관제를 수행하는 단계; 및
상기 제1 제어시스템에서 상기 제2 제어시스템으로의 제1 통신정보와 상기 제2 제어시스템에서 상기 제1 제어시스템으로의 제2 통신정보의 일관성을 분석하여, 일관성이 결여된 경우에 상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신을 차단하는 단계를 포함하고,
상기 전송하는 단계는
폐쇄망 정책 유지를 위해 물리적 단방향 전송을 기반으로 상기 보안정보를 전송하되, 상기 제1 보안정보 수집장치는 상기 제1 제어 시스템의 내부에 위치하고, 상기 제1 단위보안관제장치는 상기 제1 제어시스템의 외부에 위치하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
The first security information collection device collecting security information based on at least one security device included in the first control system;
The first security information collecting device transmitting the security information to a first unit security control device corresponding to the first control system;
The first unit security control apparatus analyzing the security information to perform a security control of the first control system; And
The divisional security control device acquires the security information from the second unit security control device corresponding to the second control system and the first unit security control device respectively and transmits the security information to the first control system and the second Performing security control of the control system
Lt; / RTI >
Wherein performing the security controls of the first control system and the second control system comprises:
Generating a white list between control systems by analyzing a communication pattern correlation between the first control system and the second control system based on the security information, Performing a security control between the second control systems; And
Analyzing the consistency of the first communication information from the first control system to the second control system and the second communication information from the second control system to the first control system, Blocking communication between the control system and the second control system,
The transmitting step
Wherein the first security information collection device is located in the first control system and the first unit security control device is located in the first control system, Is located outside of the control system.
청구항 1에 있어서,
상기 수집하는 단계는
상기 제1 보안정보 수집장치가, 상기 제1 제어시스템의 제어망과 분리된 보안관제망을 통해 상기 적어도 하나의 보안장치로부터 상기 보안정보를 수집하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
The method according to claim 1,
The collecting step
Wherein the first security information collecting device collects the security information from the at least one security device through a sheriff's network separate from the control network of the first control system.
삭제delete 청구항 1에 있어서,
상기 제1 제어시스템의 보안관제를 수행하는 단계는
상기 보안정보를 기반으로 상기 제1 제어시스템에 상응하는 제1 화이트리스트를 생성하는 단계;
상기 제1 화이트리스트를 기반으로 상기 제1 제어시스템을 모니터링하는 단계; 및
상기 제1 제어시스템에서 상기 제1 화이트리스트에 위배되는 비인가 정보가 발생한 경우, 상기 제1 단위보안관제장치가 상기 비인가 정보에 대응하는 처리를 수행하는 단계를 포함하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
The method according to claim 1,
The step of performing the security control of the first control system
Generating a first whitelist corresponding to the first control system based on the security information;
Monitoring the first control system based on the first whitelist; And
And if the unauthorized information violating the first white list occurs in the first control system, performing the processing corresponding to the unauthorized information by the first unit security control device Control method.
청구항 4에 있어서,
상기 제1 화이트리스트를 생성하는 단계는
상기 보안정보를 기반으로 상기 제1 제어시스템의 동작 패턴을 분석하고, 상기 동작 패턴에 상응하게 상기 제1 화이트리스트를 생성하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
The method of claim 4,
The step of generating the first whitelist
Analyzing an operation pattern of the first control system based on the security information, and generating the first white list according to the operation pattern.
청구항 1에 있어서,
상기 보안정보는
상기 적어도 하나의 보안장치의 로그(log)에 상응하고, 네트워크 트래픽 로그, 방화벽 로그, 임베디드 제어기기 트래픽 로그, NAC(Network Access Control) 로그, USB 접속로그, 백신 탐지 로그, 시스템 로그, 네트워크 시스템 로그 및 물리적 방호 시스템 로그 중 적어도 하나를 포함하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
The method according to claim 1,
The security information
Wherein the at least one security device is configured to monitor at least one of a network traffic log, a firewall log, an embedded control device traffic log, a NAC (Network Access Control) log, a USB access log, And a physical protection system log. ≪ RTI ID = 0.0 > 31. < / RTI >
청구항 1에 있어서,
상기 제1 제어시스템과 상기 제2 제어시스템의 보안관제를 수행하는 단계는
상기 제어시스템 간 화이트리스트를 기반으로 상기 제1 제어시스템과 상기 제2 제어시스템을 모니터링하는 단계; 및
상기 제1 제어시스템과 상기 제2 제어시스템 간의 통신 중 상기 제어시스템 간 화이트리스트에 위배되는 비인가 통신정보가 발생한 경우, 상기 부문보안관제장치가 상기 제1 단위보안관제장치와 상기 제2 단위보안관제장치를 제어하여 상기 비인가 통신정보에 대응하는 처리를 수행하는 단계를 더 포함하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
The method according to claim 1,
Wherein performing the security controls of the first control system and the second control system comprises:
Monitoring the first control system and the second control system based on the inter-control white list; And
Wherein, when unauthorized communication information that violates the control system whitelist during communication between the first control system and the second control system occurs, the sectoral security control device transmits, to the first unit security control device and the second unit security control device Further comprising the step of controlling the device to perform a process corresponding to the unlicensed communication information.
청구항 7에 있어서,
상기 제어시스템 간 화이트리스트를 생성하는 단계는
상기 보안정보들을 기반으로 방화벽 로그, L3 장비 로그, IDS 로그 및 IPS 로그 중 적어도 하나의 로그를 추출하고, 상기 적어도 하나의 로그를 기반으로 상기 통신패턴 상관관계를 분석하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
The method of claim 7,
The step of generating the inter-control-system white list
Extracting at least one log of a firewall log, an L3 device log, an IDS log, and an IPS log based on the security information, and analyzing the communication pattern correlation based on the at least one log; Security control method.
청구항 1에 있어서,
상기 보안관제 방법은
통합보안관제장치가 상기 부문보안관제장치로 보안관제정보를 공유하는 단계; 및
상기 부문보안관제장치가 상기 제1 단위보안관제장치와 상기 제2 단위보안관제장치로 상기 보안관제정보를 공유하는 단계를 더 포함하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
The method according to claim 1,
The security management method
The integrated security control device sharing security control information with the sector security control device; And
Further comprising the step of sharing the security management information with the first unit security control device and the second unit security control device.
청구항 9에 있어서,
상기 보안관제정보는
보안위협 정보, 사이버사고 처리 정보, 탐지 규칙, 행사 정보 및 문서 정보 중 적어도 하나에 상응하는 것을 특징으로 하는 제어시스템의 보안관제 방법.
The method of claim 9,
The security management information
The security threat information, the cyber incident handling information, the detection rule, the event information, and the document information.
삭제delete 제어시스템의 내부에 설치되고, 상기 제어시스템에 포함된 적어도 하나의 보안장치를 기반으로 보안정보를 수집하는 보안정보 수집장치;
상기 보안정보를 분석하여 상기 제어시스템의 보안관제를 수행하는 단위보안관제장치; 및
상기 제어시스템과 다른 제어시스템으로부터 각각 상기 보안정보를 획득하고, 보안정보들을 기반으로 상기 제어시스템과 상기 다른 제어시스템의 보안관제를 수행하는 부문보안관제장치
를 포함하고,
상기 부문보안관제장치는
상기 보안정보들을 기반으로 상기 제어시스템과 상기 다른 제어시스템 간의 통신패턴 상관관계를 분석하여 제어시스템간 화이트리스트를 생성하고, 상기 제어시스템간 화이트리스트를 기반으로 상기 제어시스템과 상기 다른 제어시스템 간의 보안관제를 수행하고, 상기 제어시스템에서 상기 다른 제어시스템으로의 제1 통신정보와 상기 다른 제어시스템에서 상기 제어시스템으로의 제2 통신정보의 일관성을 분석하고, 상기 일관성이 결여된 경우에 상기 제어시스템과 상기 다른 제어시스템 간의 통신을 차단하고,
상기 보안정보 수집장치는
폐쇄망 정책 유지를 위해 물리적 단방향 전송을 기반으로 상기 보안정보를 전송하되, 상기 보안정보 수집장치는 상기 제어 시스템의 내부에 위치하고, 상기 단위보안관제장치는 상기 제어시스템의 외부에 위치하는 것을 특징으로 하는 보안관제 시스템.
A security information collection device installed inside the control system and collecting security information based on at least one security device included in the control system;
A unit security control unit for analyzing the security information and performing a security control of the control system; And
A security management system for managing security of the control system and the other control systems based on security information,
Lt; / RTI >
The departmental security control device
Generating a white list between control systems by analyzing a communication pattern correlation between the control system and the other control system on the basis of the security information, Analyzing the consistency of the first communication information from the control system to the other control system and the second communication information from the other control system to the control system, and when the inconsistency is absent, And the other control system,
The security information collection device
Wherein the security information collection device is located inside the control system and the unit security control device is located outside the control system in order to maintain the closed network policy. Security control system.
청구항 12에 있어서,
상기 보안정보 수집장치는
상기 제어시스템의 제어망과 분리된 보안관제망을 통해 상기 적어도 하나의 보안장치로부터 상기 보안정보를 수집하는 것을 특징으로 하는 보안관제 시스템.
The method of claim 12,
The security information collection device
And collects the security information from the at least one security device through a sheriff's network separate from the control network of the control system.
삭제delete 청구항 12에 있어서,
상기 단위보안관제장치는
상기 보안정보를 기반으로 상기 제어시스템에 상응하게 생성된 화이트리스트를 기반으로 상기 제어시스템을 모니터링하고, 상기 제어시스템에서 상기 화이트리스트에 위배되는 비인가 정보가 발생한 경우에 상기 비인가 정보에 대응하는 처리를 수행하는 것을 특징으로 하는 보안관제 시스템.
The method of claim 12,
The unit security control device
Monitoring the control system based on the white list generated according to the control system based on the security information, and when the unauthorized information violating the white list occurs in the control system, processing corresponding to the unauthorized information is performed The security management system comprising:
청구항 15에 있어서,
상기 단위보안관제장치는
상기 보안정보를 기반으로 상기 제어시스템의 동작 패턴을 분석하고, 상기 동작 패턴에 상응하게 상기 화이트리스트를 생성하는 것을 특징으로 하는 보안관제 시스템.
16. The method of claim 15,
The unit security control device
Analyzes the operation pattern of the control system based on the security information, and generates the white list according to the operation pattern.
청구항 12에 있어서,
상기 보안정보는
상기 적어도 하나의 보안장치의 로그(log)에 상응하고, 네트워크 트래픽 로그, 방화벽 로그, 임베디드 제어기기 트래픽 로그, NAC(Network Access Control) 로그, USB 접속로그, 백신 탐지 로그, 시스템 로그, 네트워크 시스템 로그 및 물리적 방호 시스템 로그 중 적어도 하나를 포함하는 것을 특징으로 하는 보안관제 시스템.
The method of claim 12,
The security information
Wherein the at least one security device is configured to monitor at least one of a network traffic log, a firewall log, an embedded control device traffic log, a NAC (Network Access Control) log, a USB access log, And at least one of a physical protection system log and a physical protection system log.
청구항 12에 있어서,
상기 보안관제 시스템은
상기 부문보안관제장치로 보안관제정보를 공유하는 통합보안관제장치를 더 포함하는 것을 특징으로 하는 보안관제 시스템.
The method of claim 12,
The security control system
Further comprising an integrated security control device sharing security management information with the departmental security control device.
청구항 18에 있어서,
상기 부문보안관제장치는
상기 단위보안관제장치로 상기 보안관제정보를 공유하는 것을 특징으로 하는 보안관제 시스템.
19. The method of claim 18,
The departmental security control device
And the security management information is shared with the unit security control device.
청구항 18에 있어서,
상기 보안관제정보는
보안위협 정보, 사이버사고 처리 정보, 탐지 규칙, 행사 정보 및 문서 정보 중 적어도 하나에 상응하는 것을 특징으로 하는 보안관제 시스템.
19. The method of claim 18,
The security management information
Security threat information, cyber incident handling information, detection rules, event information, and document information.
KR1020160058581A 2016-05-13 2016-05-13 Method for securiting control system using whitelist and system for the same KR101871406B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160058581A KR101871406B1 (en) 2016-05-13 2016-05-13 Method for securiting control system using whitelist and system for the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160058581A KR101871406B1 (en) 2016-05-13 2016-05-13 Method for securiting control system using whitelist and system for the same

Publications (2)

Publication Number Publication Date
KR20170127849A KR20170127849A (en) 2017-11-22
KR101871406B1 true KR101871406B1 (en) 2018-06-26

Family

ID=60810144

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160058581A KR101871406B1 (en) 2016-05-13 2016-05-13 Method for securiting control system using whitelist and system for the same

Country Status (1)

Country Link
KR (1) KR101871406B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230154339A (en) 2022-04-29 2023-11-08 주식회사 이글루코퍼레이션 Device, method and program for preventing false positives based on artificial intelligence using rule filtering

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102234402B1 (en) * 2019-05-13 2021-03-31 씨엔비스(주) A system and method for detecting network anomalies of connected car
WO2021237739A1 (en) * 2020-05-29 2021-12-02 西门子(中国)有限公司 Industrial control system safety analysis method and apparatus, and computer-readable medium
KR102332727B1 (en) * 2020-12-04 2021-12-01 한국서부발전 주식회사 Anomaly detection system using distrubuted storage of traffic of power plant contrl netwrok assets

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101538709B1 (en) * 2014-06-25 2015-07-29 아주대학교산학협력단 Anomaly detection system and method for industrial control network

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101455167B1 (en) 2013-09-03 2014-10-27 한국전자통신연구원 Network switch based on whitelist

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101538709B1 (en) * 2014-06-25 2015-07-29 아주대학교산학협력단 Anomaly detection system and method for industrial control network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230154339A (en) 2022-04-29 2023-11-08 주식회사 이글루코퍼레이션 Device, method and program for preventing false positives based on artificial intelligence using rule filtering
KR20240000427A (en) 2022-04-29 2024-01-02 주식회사 이글루코퍼레이션 Apparatus, method, and program to prevent false positives using a security risk prediction model

Also Published As

Publication number Publication date
KR20170127849A (en) 2017-11-22

Similar Documents

Publication Publication Date Title
Whitehead et al. Ukraine cyber-induced power outage: Analysis and practical mitigation strategies
CN106411562B (en) Electric power information network safety linkage defense method and system
Nicholson et al. SCADA security in the light of Cyber-Warfare
KR101977731B1 (en) Apparatus and method for detecting anomaly in a controller system
Robinson The SCADA threat landscape
KR101871406B1 (en) Method for securiting control system using whitelist and system for the same
CN214306527U (en) Gas pipe network scheduling monitoring network safety system
Januário et al. Security challenges in SCADA systems over Wireless Sensor and Actuator Networks
CN113411295A (en) Role-based access control situation awareness defense method and system
KR101889503B1 (en) Method and apparatus for providing flight data protection
Tanaka et al. IoT system security issues and solution approaches
Kolosok et al. Cyber resilience of SCADA at the level of energy facilities
Ye et al. Research on network security protection strategy
Papa et al. A transfer function based intrusion detection system for SCADA systems
Saadat et al. Smart grid and cybersecurity challenges
KR102145421B1 (en) Digital substation with smart gateway
Pack Situational awareness for SCADA systems
Romano et al. Protecting the WSN zones of a critical infrastructure via enhanced SIEM technology
JP7150425B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM
Matusek et al. Nivss: a nearly indestructible video surveillance system
Bartman et al. An introduction to applying network intrusion detection for industrial control systems
KR20200116773A (en) Cyber inspection system
KR102160537B1 (en) Digital substation with smart gateway
KR102160539B1 (en) Digital substation with smart gateway
Kim Cyber-Defensive Architecture for Networked Industrial Control Systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant