IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ESTsecurity Corp.

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ イーストセキュリティー コーポレーションの特許一覧

特許6999044LANブーティング環境基盤ファイルセキュリティおよび中央化のための装置、このための方法およびこの方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体
<>
  • 特許-LANブーティング環境基盤ファイルセキュリティおよび中央化のための装置、このための方法およびこの方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体 図1
  • 特許-LANブーティング環境基盤ファイルセキュリティおよび中央化のための装置、このための方法およびこの方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体 図2
  • 特許-LANブーティング環境基盤ファイルセキュリティおよび中央化のための装置、このための方法およびこの方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体 図3
  • 特許-LANブーティング環境基盤ファイルセキュリティおよび中央化のための装置、このための方法およびこの方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体 図4
  • 特許-LANブーティング環境基盤ファイルセキュリティおよび中央化のための装置、このための方法およびこの方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体 図5
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2021-12-23
(45)【発行日】2022-01-18
(54)【発明の名称】LANブーティング環境基盤ファイルセキュリティおよび中央化のための装置、このための方法およびこの方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体
(51)【国際特許分類】
   G06F 21/62 20130101AFI20220111BHJP
【FI】
G06F21/62 318
【請求項の数】 16
(21)【出願番号】P 2020542610
(86)(22)【出願日】2018-03-06
(65)【公表番号】
(43)【公表日】2021-05-20
(86)【国際出願番号】 KR2018002606
(87)【国際公開番号】W WO2019156279
(87)【国際公開日】2019-08-15
【審査請求日】2020-08-27
(31)【優先権主張番号】10-2018-0014402
(32)【優先日】2018-02-06
(33)【優先権主張国・地域又は機関】KR
(73)【特許権者】
【識別番号】518279554
【氏名又は名称】イーストセキュリティー コーポレーション
【氏名又は名称原語表記】ESTsecurity Corp.
【住所又は居所原語表記】EST Building,Seocho-dong, 3 Banpo-daero,Seocho-gu,Seoul 06711 Republic of Korea
(74)【代理人】
【識別番号】100114498
【弁理士】
【氏名又は名称】井出 哲郎
(72)【発明者】
【氏名】ユン クォンヨン
(72)【発明者】
【氏名】イム ジョンビン
【審査官】小林 秀和
(56)【参考文献】
【文献】特開2018-014020(JP,A)
【文献】特開2006-277277(JP,A)
【文献】特開2004-192601(JP,A)
【文献】特開2010-113705(JP,A)
【文献】特開2010-044656(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
LANブーティング環境基盤ファイルセキュリティおよび中央化のための中央サーバーであって、
複数のオペレーティングシステムのイメージを保存する保存モジュールと、
ユーザ装置と通信するための通信モジュールと、
前記通信モジュールを介して前記ユーザ装置からLANブーティング開始要請メッセージを受信すると、ユーザ装置の情報によって前記複数のオペレーティングシステムのうち前記ユーザ装置で使用可能なオペレーティングシステムのイメージを選択して、前記通信モジュールを介して選択されたオペレーティングシステムのイメージを伝送するLANブーティング管理モジュールと、を含み、
前記保存モジュールは、前記ユーザ装置がプログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するようにする前記プログラムリスト、および前記ユーザ装置が拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断するようにする前記拡張子リストのうち少なくとも一つを含み、
前記中央サーバーは、
前記ユーザ装置からセキュリティリスト要請メッセージを前記通信モジュールを介して受信すると、前記ユーザ装置に対応する前記プログラムリストおよび前記拡張子リストのうち少なくとも一つを前記通信モジュールを介して前記ユーザ装置に伝送するファイル中央化管理モジュールをさらに含むことを特徴とする中央サーバー。
【請求項2】
前記保存モジュールは、複数のネットワークディスクを含み、
前記中央サーバーは、
前記通信モジュールを介して前記ユーザ装置から保存領域要請メッセージを受信すると、前記複数のネットワークディスクのうち利用可能なネットワークディスクを割り当て、前記割り当てられたネットワークディスクのリンクを前記通信モジュールを介して前記ユーザ装置に伝送し、前記割り当てられたネットワークディスクのリンクを介してユーザ装置と連結して前記割り当てられたネットワークディスクに前記ユーザ装置で生成されたファイルが保存されるようにするファイル中央化管理モジュールをさらに含むことを特徴とする請求項1記載の中央サーバー。
【請求項3】
前記ファイル中央化管理モジュールは
前記ネットワークディスクに保存されたファイルに対してバージョンを異ならせて所定の周期でバックアップし、前記ネットワークディスクに保存されたファイルが削除または変更される場合、削除または変更されたファイルを以前のバージョンのファイルに復旧あるいは復元することを特徴とする請求項2記載の中央サーバー。
【請求項4】
LANブーティング環境基盤ファイルセキュリティおよび中央化のためのユーザ装置であって、
中央サーバーと通信するための通信部と、
前記中央サーバーから前記通信部を介してオペレーティングシステムのイメージを受信すると、受信されたオペレーティングシステムのイメージでブーティングを行うLANブーティング支援モジュールと、
前記ブーティングが完了した後、前記通信部を介してプログラムリストおよび拡張子リストのうち少なくとも一つを受信すると、前記プログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断するローカル保存防止モジュールと、を含み、
前記ローカル保存防止モジュールは、
前記プログラムリストに含まれたアプリケーションのファイルあるいは前記拡張子リストに含まれた拡張子を有するファイルがネットワーク保存領域以外の領域に保存されることを遮断するか、
前記プログラムリストに含まれたアプリケーションあるいは前記拡張子リストに含まれた拡張子を有するファイルに対するクリップボードコピーおよびスクリーンキャプチャーを遮断するか、
前記プログラムリストに含まれたアプリケーションがファイルあるいはファイルのリンクを添付又は伝送する機能を遮断するか、
前記拡張子リストに含まれた拡張子を有するファイルあるいはファイルのリンクが添付又は伝送されることを遮断することを特徴とするユーザ装置。
【請求項5】
前記ローカル保存防止モジュールは、
カーネルモードでファイルI/Oフィルタリングを行って、前記プログラムリストに含まれたアプリケーションの機能を通した情報流出を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルの情報流出を遮断することを特徴とする請求項4記載のユーザ装置。
【請求項6】
前記ブーティングが完了した後、前記通信部を介して前記中央サーバーからネットワークディスクのリンクを受信すると、前記受信されたネットワークディスクのリンクを介してネットワークディスクに連結して、前記ユーザ装置で生成されたファイルが連結されたネットワークディスクに保存されるようにするネットワークドライバー連結モジュールをさらに含むことを特徴とする請求項4記載のユーザ装置。
【請求項7】
前記ネットワークドライバー連結モジュールは、
前記ネットワークドライバー連結モジュール専用の分散ファイルシステムが適用されたネットワークディスクと連結することを特徴とする請求項6記載のユーザ装置。
【請求項8】
中央サーバーのLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法であって、
ユーザ装置からLANブーティング開始要請メッセージを受信する段階と、
ユーザ装置の情報によって複数のオペレーティングシステムのうち前記ユーザ装置で使用可能なオペレーティングシステムのイメージを選択する段階と、
前記選択されたオペレーティングシステムのイメージを前記ユーザ装置に伝送する段階と、
前記伝送する段階の後に、
前記ユーザ装置からセキュリティリスト要請メッセージを受信すると、前記ユーザ装置がプログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するか、前記ユーザ装置が拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断するように、前記プログラムリストおよび前記拡張子リストのうち少なくとも一つを前記ユーザ装置に伝送する段階と、をさらに含むことを特徴とする方法。
【請求項9】
前記伝送する段階の後に、
前記ユーザ装置から保存領域要請メッセージを受信すると、
前記複数のネットワークディスクのうち利用可能なネットワークディスクを割り当て、前記割り当てられたネットワークディスクのリンクを前記ユーザ装置に伝送する段階と、
前記割り当てられたネットワークディスクに前記ユーザ装置で生成されたファイルが保存されるように前記割り当てられたネットワークディスクのリンクを介してユーザ装置と連結する段階と、をさらに含むことを特徴とする請求項8記載の方法。
【請求項10】
前記連結する段階の後に、
前記ネットワークディスクに保存されたファイルに対してバージョンを異ならせて所定の周期でバックアップする段階と、
前記ネットワークディスクに保存されたファイルが削除または変更される場合、削除または変更されたファイルを以前のバージョンのファイルに復旧あるいは復元する段階と、をさらに含むことを特徴とする請求項9記載の方法。
【請求項11】
ユーザ装置のLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法であって、
中央サーバーからオペレーティングシステムのイメージを受信する段階と、
前記受信されたオペレーティングシステムのイメージでブーティングを行う段階と、
前記ブーティングが完了した後、プログラムリストおよび拡張子リストのうち少なくとも一つを受信する段階と、
前記プログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断する段階と、を含み、
前記遮断する段階は、
前記プログラムリストに含まれたアプリケーションのファイルあるいは前記拡張子リストに含まれた拡張子を有するファイルがネットワーク保存領域以外の領域に保存されることを遮断するか、
前記プログラムリストに含まれたアプリケーションあるいは前記拡張子リストに含まれた拡張子を有するファイルに対するクリップボードコピーおよびスクリーンキャプチャーを遮断するか、
前記プログラムリストに含まれたアプリケーションがファイルあるいはファイルのリンクを添付又は伝送する機能を遮断するか、
前記拡張子リストに含まれた拡張子を有するファイルあるいはファイルのリンクが添付又は伝送されることを遮断することを特徴とする方法。
【請求項12】
前記遮断する段階は、
カーネルモードでファイルI/Oフィルタリングを行って、前記プログラムリストに含まれたアプリケーションの機能を通した情報流出を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルの情報流出を遮断することを特徴とする請求項11記載の方法。
【請求項13】
前記ブーティングを行う段階の後に、
前記中央サーバーからネットワークディスクのリンクを受信する段階と、
前記受信されたネットワークディスクのリンクを介してネットワークディスクに連結する段階と、
前記ユーザ装置でファイルが生成されると、前記生成されたファイルを前記連結されたネットワークディスクに保存する段階と、をさらに含むことを特徴とする請求項11記載の方法。
【請求項14】
前記連結する段階は、
ネットワークファイルシステムドライバーであるネットワークドライバー連結モジュールを設置して、前記ネットワークドライバー連結モジュール専用の分散ファイルシステムが適用されたネットワークディスクと連結することを特徴とする請求項13記載の方法。
【請求項15】
請求項8乃至10のいずれかに記載の中央サーバーのLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体。
【請求項16】
請求項11乃至14のいずれかに記載のユーザ装置のLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ファイルセキュリティおよび中央化技術に関し、より詳細には、LANブーティング環境基盤ファイルセキュリティおよび中央化のための装置、このための方法およびこの方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体に関する。
【背景技術】
【0002】
企業で生産流通するすべてのファイルを体系的に管理してセキュリティを強化し、協業を容易に行う企業コンテンツ管理(ECM,Enterprise Contents Management)概念が強化されている。ランサムウェア(ransom ware)は、パソコンに保存した文書と写真などファイルを無断で暗号化して、これを開くことができないようにする悪性プログラムであって、これを解除する代価として金銭を要求し、最近収益性の最大化のために企業を狙った標的型ランサムウェア攻撃が登場するなど手法が進化している。
【先行技術文献】
【特許文献】
【0003】
【文献】韓国特許公開第2011-0112002号、2011年10月12日公開(名称:文書管理システムでの文書中央化方法)
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明の目的は、LANブーティングを行った後、実行されるアプリケーションおよびファイルを中央化してファイルあるいは当該ファイルに対する情報が外部に流出を防止し、あるいはローカル化したファイルに対する攻撃を未然に防止できる装置、このための方法およびこの方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体を提供することにある。
【課題を解決するための手段】
【0005】
上述したような目的を達成するための本発明の好ましい実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のための中央サーバーは、複数のオペレーティングシステムのイメージを保存する保存モジュールと、ユーザ装置と通信するための通信モジュールと、前記通信モジュールを介して前記ユーザ装置からLANブーティング開始要請メッセージを受信すると、ユーザ装置の情報によって前記複数のオペレーティングシステムのうち前記ユーザ装置で使用可能なオペレーティングシステムのイメージを選択して、前記通信モジュールを介して選択されたオペレーティングシステムのイメージを伝送するLANブーティング管理モジュールと、を含む。
【0006】
前記保存モジュールは、前記ユーザ装置がプログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するようにする前記プログラムリストと、前記ユーザ装置が拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断するようにする前記拡張子リストのうち少なくとも一つを含む。これに伴い、前記中央サーバーは、前記通信モジュールを介して前記ユーザ装置からセキュリティリスト要請メッセージを受信すると、前記ユーザ装置に対応する前記プログラムリストおよび前記拡張子リストのうち少なくとも一つを前記通信モジュールを介して前記ユーザ装置に伝送するファイル中央化管理モジュールをさらに含む。
【0007】
前記保存モジュールは、複数のネットワークディスクを含むことを特徴とする。これに伴い、前記中央サーバーは、前記通信モジュールを介して前記ユーザ装置から保存領域要請メッセージを受信すると、前記複数のネットワークディスクのうち利用可能なネットワークディスクを割り当て、前記割り当てられたネットワークディスクのリンクを前記通信モジュールを介して前記ユーザ装置に伝送し、前記割り当てられたネットワークディスクのリンクを介してユーザ装置と連結して前記割り当てられたネットワークディスクに前記ユーザ装置で生成されたファイルが保存されるようにするファイル中央化管理モジュールをさらに含む。
【0008】
前記ファイル中央化管理モジュールは、前記ネットワークディスクに保存されたファイルに対してバージョンを異ならせて所定の周期でバックアップし、前記ネットワークディスクに保存されたファイルが削除または変更される場合、削除または変更されたファイルを以前のバージョンのファイルに復旧あるいは復元することを特徴とする。
【0009】
上述したような目的を達成するための本発明の好ましい実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のためのユーザ装置は、中央サーバーと通信するための通信部と、前記中央サーバーから前記通信部を介してオペレーティングシステムのイメージを受信すると、受信されたオペレーティングシステムのイメージでブーティングを行うLANブーティング支援モジュールと、前記ブーティングが完了した後、前記通信部を介してプログラムリストおよび拡張子リストのうち少なくとも一つを受信すると、前記プログラムリストに属するアプリケーションの機能中情報が流出する機能を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断するローカル保存防止モジュールと、を含む。
【0010】
前記ローカル保存防止モジュールは、前記プログラムリストに含まれたアプリケーションのファイルあるいは前記拡張子リストに含まれた拡張子を有するファイルがネットワーク保存領域以外の領域に保存されることを遮断するか、前記プログラムリストに含まれたアプリケーションあるいは前記拡張子リストに含まれた拡張子を有するファイルに対するクリップボードコピーおよびスクリーンキャプチャーを遮断するか、前記プログラムリストに含まれたアプリケーションがファイルあるいはファイルのリンクを添付または伝送する機能を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルあるいはファイルのリンクが添付または伝送されることを遮断することを特徴とする。
【0011】
前記ローカル保存防止モジュールは、カーネルモードでファイルI/Oフィルタリングを行って、前記プログラムリストに含まれたアプリケーションの機能を通した情報流出および前記拡張子リストに含まれた拡張子を有するファイルの情報流出を遮断することを特徴とする。
【0012】
前記ユーザ装置は、前記ブーティングが完了した後、前記通信部を介して前記中央サーバーからネットワークディスクのリンクを受信すると、前記受信されたネットワークディスクのリンクを介してネットワークディスクに連結して、前記ユーザ装置で生成されたファイルが連結されたネットワークディスクに保存されるようにするネットワークドライバー連結モジュールをさらに含む。
【0013】
前記ネットワークドライバー連結モジュールは、前記ネットワークドライバー連結モジュール専用の分散ファイルシステムが適用されたネットワークディスクと連結することを特徴とする。
【0014】
上述した目的を達成するための本発明の好ましい実施形態に係る中央サーバーのLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法は、ユーザ装置からLANブーティング開始要請メッセージを受信する段階と、ユーザ装置の情報によって複数のオペレーティングシステムのうち前記ユーザ装置で使用可能なオペレーティングシステムのイメージを選択する段階と、前記選択されたオペレーティングシステムのイメージを前記ユーザ装置に伝送する段階と、を含む。
【0015】
前記方法は、前記伝送する段階の後に、前記ユーザ装置からセキュリティリスト要請メッセージを受信すると、前記ユーザ装置がプログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するか、前記ユーザ装置が拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断するように、前記プログラムリストおよび前記拡張子リストのうち少なくとも一つを前記ユーザ装置に伝送する段階をさらに含む。
【0016】
前記方法は、前記伝送する段階の後に、前記ユーザ装置から保存領域要請メッセージを受信すると、前記複数のネットワークディスクのうち利用可能なネットワークディスクを割り当て、前記割り当てられたネットワークディスクのリンクを前記ユーザ装置に伝送する段階と、前記割り当てられたネットワークディスクに前記ユーザ装置で生成されたファイルが保存されるように、前記割り当てられたネットワークディスクのリンクを介してユーザ装置と連結する段階と、をさらに含む。
【0017】
前記方法は、前記連結する段階の後に、前記ネットワークディスクに保存されたファイルに対してバージョンを異ならせて所定の周期でバックアップする段階と、前記ネットワークディスクに保存されたファイルが削除または変更される場合、削除または変更されたファイルを以前のバージョンのファイルに復旧あるいは復元する段階と、をさらに含む。
【0018】
上述したような目的を達成するための本発明の好ましい実施形態に係るユーザ装置のLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法は、中央サーバーからオペレーティングシステムのイメージを受信する段階と、前記受信されたオペレーティングシステムのイメージでブーティングを行う段階と、前記ブーティングが完了した後、プログラムリストおよび拡張子リストのうち少なくとも一つを受信する段階と、前記プログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断する段階と、を含む。
【0019】
前記遮断する段階は、前記プログラムリストに含まれたアプリケーションのファイルあるいは前記拡張子リストに含まれた拡張子を有するファイルがネットワーク保存領域以外の領域に保存されることを遮断するか、前記プログラムリストに含まれたアプリケーションあるいは前記拡張子リストに含まれた拡張子を有するファイルに対するクリップボードコピーおよびスクリーンキャプチャーを遮断するか、前記プログラムリストに含まれたアプリケーションがファイルあるいはファイルのリンクを添付、伝送する機能を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルあるいはファイルのリンクが添付、伝送されることを遮断することを特徴とする。
【0020】
前記遮断する段階は、カーネルモードでファイルI/Oフィルタリングを行って、前記プログラムリストに含まれたアプリケーションの機能を通した情報流出および前記拡張子リストに含まれた拡張子を有するファイルの情報流出を遮断することを特徴とする。
【0021】
前記ブーティングを行う段階の後に、前記中央サーバーからネットワークディスクのリンクを受信する段階と、前記受信されたネットワークディスクのリンクを介してネットワークディスクに連結する段階と、前記ユーザ装置でファイルが生成されると、前記生成されたファイルを前記連結されたネットワークディスクに保存する段階と、をさらに含む。
【0022】
前記連結する段階は、ネットワークファイルシステムドライバーであるネットワークドライバー連結モジュールを設置して、前記ネットワークドライバー連結モジュール専用の分散ファイルシステムが適用されたネットワークディスクと連結することを特徴とする。
【0023】
また、上述したような目的を達成するための本発明の実施形態に係る中央サーバーのLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体を提供する。
【0024】
また、上述したような目的を達成するための本発明の実施形態に係るユーザ装置のLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体を提供する。
【発明の効果】
【0025】
本発明によれば、ユーザ装置で生成されるファイルをローカルに保存せず、セキュリティが維持される中央サーバーのネットワーク保存領域、すなわち、ネットワークディスクに保存されるようにして、会社の機密事項が流出することを基本的に遮断することができる。
【図面の簡単な説明】
【0026】
図1】本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のためのシステムの構成を説明するための図である。
図2】本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のための中央サーバーの構成を説明するためのブロック図である。
図3】本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のためのユーザ装置の構成を説明するためのブロック図である。
図4】本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を説明するための流れ図である。
図5】本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を説明するための画面例である。
【発明を実施するための形態】
【0027】
上述したような目的を達成するための本発明の好ましい実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のための中央サーバーは、複数のオペレーティングシステムのイメージを保存する保存モジュールと、ユーザ装置と通信するための通信モジュールと、前記通信モジュールを介して前記ユーザ装置からLANブーティング開始要請メッセージを受信すると、ユーザ装置の情報によって前記複数のオペレーティングシステムのうち前記ユーザ装置で使用可能なオペレーティングシステムのイメージを選択して、前記通信モジュールを介して選択されたオペレーティングシステムのイメージを伝送するLANブーティング管理モジュールと、を含む。
【0028】
前記保存モジュールは、前記ユーザ装置がプログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するようにする前記プログラムリストと、前記ユーザ装置が拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断するようにする前記拡張子リストのうち少なくとも一つを含む。これに伴い、前記中央サーバーは、前記通信モジュールを介して前記ユーザ装置からセキュリティリスト要請メッセージを受信すると、前記ユーザ装置に対応する前記プログラムリストおよび前記拡張子リストのうち少なくとも一つを前記通信モジュールを介して前記ユーザ装置に伝送するファイル中央化管理モジュールをさらに含む。
【0029】
前記保存モジュールは、複数のネットワークディスクを含むことを特徴とする。これに伴い、前記中央サーバーは、前記通信モジュールを介して前記ユーザ装置から保存領域要請メッセージを受信すると、前記複数のネットワークディスクのうち利用可能なネットワークディスクを割り当て、前記割り当てられたネットワークディスクのリンクを前記通信モジュールを介して前記ユーザ装置に伝送し、前記割り当てられたネットワークディスクのリンクを介してユーザ装置と連結して、前記割り当てられたネットワークディスクに前記ユーザ装置で生成されたファイルが保存されるようにするファイル中央化管理モジュールをさらに含む。
【0030】
前記ファイル中央化管理モジュールは、前記ネットワークディスクに保存されたファイルに対してバージョンを異ならせて所定の周期でバックアップし、前記ネットワークディスクに保存されたファイルが削除または変更される場合、削除または変更されたファイルを以前のバージョンのファイルに復旧あるいは復元することを特徴とする。
【0031】
上述したような目的を達成するための本発明の好ましい実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のためのユーザ装置は、中央サーバーと通信するための通信部と、前記中央サーバーから前記通信部を介してオペレーティングシステムのイメージを受信すると、受信されたオペレーティングシステムのイメージでブーティングを行うLANブーティング支援モジュールと、前記ブーティングが完了した後、前記通信部を介してプログラムリストおよび拡張子リストのうち少なくとも一つを受信すると、前記プログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断するローカル保存防止モジュールと、を含む。
【0032】
前記ローカル保存防止モジュールは、前記プログラムリストに含まれたアプリケーションのファイルあるいは前記拡張子リストに含まれた拡張子を有するファイルがネットワーク保存領域以外の領域に保存されることを遮断するか、前記プログラムリストに含まれたアプリケーションあるいは前記拡張子リストに含まれた拡張子を有するファイルに対するクリップボードコピーおよびスクリーンキャプチャーを遮断するか、前記プログラムリストに含まれたアプリケーションがファイルあるいはファイルのリンクを添付または伝送する機能を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルあるいはファイルのリンクが添付または伝送されることを遮断することを特徴とする。
【0033】
前記ローカル保存防止モジュールは、カーネルモードでファイルI/Oフィルタリングを行って、前記プログラムリストに含まれたアプリケーションの機能を通した情報流出および前記拡張子リストに含まれた拡張子を有するファイルの情報流出を遮断することを特徴とする。
【0034】
前記ユーザ装置は、前記ブーティングが完了した後、前記通信部を介して前記中央サーバーからネットワークディスクのリンクを受信すると、前記受信されたネットワークディスクのリンクを介してネットワークディスクに連結して、前記ユーザ装置で生成されたファイルが連結されたネットワークディスクに保存されるようにするネットワークドライバー連結モジュールをさらに含む。
【0035】
前記ネットワークドライバー連結モジュールは、前記ネットワークドライバー連結モジュール専用の分散ファイルシステムが適用されたネットワークディスクと連結することを特徴とする。
【0036】
上述したような目的を達成するための本発明の好ましい実施形態に係る中央サーバーのLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法は、ユーザ装置からLANブーティング開始要請メッセージを受信する段階と、ユーザ装置の情報によって複数のオペレーティングシステムのうち前記ユーザ装置で使用可能なオペレーティングシステムのイメージを選択する段階と、前記選択されたオペレーティングシステムのイメージを前記ユーザ装置に伝送する段階と、を含む。
【0037】
前記方法は、前記伝送する段階の後に、前記ユーザ装置からセキュリティリスト要請メッセージを受信すると、前記ユーザ装置がプログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するか、前記ユーザ装置が拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断するように、前記プログラムリストおよび前記拡張子リストのうち少なくとも一つを前記ユーザ装置に伝送する段階をさらに含む。
【0038】
前記方法は、前記伝送する段階の後に、前記ユーザ装置から保存領域要請メッセージを受信すると、前記複数のネットワークディスクのうち利用可能なネットワークディスクを割り当て、前記割り当てられたネットワークディスクのリンクを前記ユーザ装置に伝送する段階と、前記割り当てられたネットワークディスクに前記ユーザ装置で生成されたファイルが保存されるように前記割り当てられたネットワークディスクのリンクを介してユーザ装置と連結する段階とをさらに含む。
【0039】
前記方法は、前記連結する段階の後に、前記ネットワークディスクに保存されたファイルに対してバージョンを異ならせて所定の周期でバックアップする段階と、前記ネットワークディスクに保存されたファイルが削除または変更される場合、削除または変更されたファイルを以前のバージョンのファイルに復旧あるいは復元する段階とをさらに含む。
【0040】
上述したような目的を達成するための本発明の好ましい実施形態に係るユーザ装置のLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法は、中央サーバーからオペレーティングシステムのイメージを受信する段階と、前記受信されたオペレーティングシステムのイメージでブーティングを行う段階と、前記ブーティングが完了した後、プログラムリストおよび拡張子リストのうち少なくとも一つを受信する段階と、前記プログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断する段階と、を含む。
【0041】
前記遮断する段階は、前記プログラムリストに含まれたアプリケーションのファイルあるいは前記拡張子リストに含まれた拡張子を有するファイルがネットワーク保存領域以外の領域に保存されることを遮断するか、前記プログラムリストに含まれたアプリケーションあるいは前記拡張子リストに含まれた拡張子を有するファイルに対するクリップボードコピーおよびスクリーンキャプチャーを遮断するか、前記プログラムリストに含まれたアプリケーションがファイルあるいはファイルのリンクを添付、伝送する機能を遮断するか、前記拡張子リストに含まれた拡張子を有するファイルあるいはファイルのリンクが添付、伝送されることを遮断することを特徴とする。
【0042】
前記遮断する段階は、カーネルモードでファイルI/Oフィルタリングを行って、前記プログラムリストに含まれたアプリケーションの機能を通した情報流出および前記拡張子リストに含まれた拡張子を有するファイルの情報流出を遮断することを特徴とする。
【0043】
前記ブーティングを行う段階の後に、前記中央サーバーからネットワークディスクのリンクを受信する段階と、前記受信されたネットワークディスクのリンクを介してネットワークディスクに連結する段階と、前記ユーザ装置でファイルが生成されると、前記生成されたファイルを前記連結されたネットワークディスクに保存する段階とをさらに含む。
【0044】
前記連結する段階は、ネットワークファイルシステムドライバーであるネットワークドライバー連結モジュールを設置して、前記ネットワークドライバー連結モジュール専用の分散ファイルシステムが適用されたネットワークディスクと連結することを特徴とする。
【0045】
また、上述したような目的を達成するための本発明の実施形態に係る中央サーバーのLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体を提供する。
【0046】
また、上述したような目的を達成するための本発明の実施形態に係るユーザ装置のLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を行うためのプログラムが記録されたコンピュータ読み取り可能な記録媒体を提供する。
【0047】
単語は、通常的や辞書的な意味に限定して解析されるべきものではなく、発明者は、自分の発明を最善の方法で説明するために用語の概念で適切に定義することができるという原則に基づいて本発明の技術的思想に符合する意味や概念と解析されるべきである。したがって、本明細書に記載された実施形態と図面に図示された構成は、本発明の最も好ましい実施形態に過ぎず、本発明の技術的思想を全部代弁するものではないので、本出願時点においてこれらを代替できる多様な均等物と変形例があり得ることを理解しなければならない。
【0048】
以下、添付の図面を参照して本発明の好ましい実施形態を詳細に説明する。この際、添付の図面において同じ構成要素は、できるだけ同じ符号で示していることを留意しなければならない。また、本発明の要旨を不明にすることができる公知の機能および構成に関する詳細な説明は省略する。同様の理由で、添付の図面において一部の構成要素は誇張されたり省略されたりまたは概略的に図示され、各構成要素のサイズは、実際サイズを全面的に反映するものではない。
【0049】
まず、本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のためのシステムについて説明することとする。図1は、本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のためのシステムの構成を説明するための図である。図1を参照すると、本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のためのシステムは、中央サーバー100および複数のユーザ装置200を含む。
【0050】
中央サーバー100および複数のユーザ装置200は、オペレーティングシステム(Operating System)によりブーティングされ、コンピューティング演算を行う装置である。中央サーバー100は、アプリケーションサーバーおよびデータベースサーバーの役割を行う少なくとも一つの装置で具現され得る。代表的に、サーバー用コンピュータを例示することができる。ユーザ装置200は、パーソナルコンピュータを代表的に例示することができる。
【0051】
中央サーバー100は、複数のユーザ装置200それぞれに適合したオペレーティングシステムのイメージ(例えば、OS isoファイル)を提供し、ユーザ装置200がLANブーティングを行うようにする。LANブーティングは、ユーザ装置200の保存装置に保存されて駆動されるオペレーティングシステムでなく、オペレーティングシステムのイメージをユーザ装置200のプロセス上で駆動させてブーティングすることを意味する。また、中央サーバー100は、複数のアプリケーションのリストであるプログラムリスト、および/または複数の拡張子のリストである拡張子リストをユーザ装置200に提供して、ユーザ装置200で実行されるアプリケーションあるいはファイルの情報が流出しないように遮断する。そして、中央サーバー100は、セキュリティが維持されるネットワーク保存領域を具備して、ユーザ装置200それぞれに割り当て、ユーザ装置200が割り当てられた領域にファイルを保存するようにし、これを管理することによって、情報流出を遮断する。
【0052】
次に、中央サーバー100およびユーザ装置200それぞれの構成について記述することとする。まず、本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のための中央サーバー100の構成について説明することとする。図2は、本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のための中央サーバーの構成を説明するためのブロック図である。図2を参照すると、本発明の実施形態に係る中央サーバー100は、通信モジュール110、保存モジュール120および制御モジュール130を含む。
【0053】
通信モジュール110は、ネットワークを介してユーザ装置200と通信するためのものである。通信モジュール110は、制御モジュール130の制御によってユーザ装置200からデータを受信し、あるいはユーザ装置200にデータを伝送することができる。このような通信モジュール110は、ネットワークインターフェースカードになり得る。通信モジュール110は、ネットワークを介してデータを送受信するために送信される信号を変調し、受信される信号を復調するモデム(modem)を含むことができる。このような通信モジュール110は、制御モジュール130から伝達されたデータ、例えば、フィルタードライバー、ネットワークドライバー、各種リストなどをネットワークを介してユーザ装置200に伝送することができる。また、通信モジュール110は、受信されるデータ、例えば、各種メッセージを制御モジュール130に伝達することができる。
【0054】
保存モジュール120は、データベースサーバーの役割を行うものであって、図示されたことによれば、中央サーバー100に含まれた装置のように図示されたが、独立して分離して具現されることもできる。特に、保存モジュール120は、ストレージ仮想化を提供するために、複数の物理的なストレージを含み、複数の物理的なストレージは、各ユーザ装置200に対応して論理的に区分されて割り当てられうる。
【0055】
保存モジュール120は、中央サーバー100の動作に必要なデータを保存する役割を行う。保存モジュール120は、データベース領域とネットワーク保存領域を含む。データベース領域は、データベースが保存される領域であって、プログラムリスト、および/または拡張子リストを含むデータベースなどが保存される。プログラムリストは、複数のアプリケーションを含む。例えば、MS社のWord、Excel、PowerPoint、ハングルとコンピュータ社のハングル、MS社のエクスプローラー、グーグル社のクローム、カカオ社のカカオトークなどプログラムリストに含まれ得る。プログラムリストは、ユーザ装置200がプログラムリストに属するアプリケーションの機能のうち情報が流出する機能を遮断するようにするためのものである。拡張子リストは、複数の拡張子を含む。例えば、doc、hwp、xml、jpg、png等が拡張子リストに含まれ得る。拡張子リストは、ユーザ装置200が拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断するようにするためのものである。
【0056】
ネットワーク保存領域は、複数のネットワークディスクを含む。制御モジュール130のファイル中央化管理モジュール133の選択によってユーザ装置200に複数のネットワークディスクのうち少なくとも一つのディスクが割り当てられうる。複数のネットワークディスクは、物理的に区分される複数の保存媒体、論理的に区分される少なくとも一つの保存媒体および物理的あるいは論理的に区分される少なくとも一つの保存媒体のうちいずれか一つで具現され得る。
【0057】
また、保存モジュール120は、ユーザ装置200に対応するユーザ装置の情報および複数のオペレーティングシステムのイメージを保存することができる。そして、保存モジュール120は、LANブーティング支援モジュール251、ローカル保存防止モジュール253およびネットワークドライバー連結モジュール255を保存する。このようなLANブーティング支援モジュール251、ローカル保存防止モジュール253およびネットワークドライバー連結モジュール255は、ユーザ装置200に伝送されてユーザ装置200に設置される。
【0058】
制御モジュール130は、アプリケーションサーバーの役割を行うものであって、図示されたことによれば、中央サーバー100に含まれた装置のように図示されたが、独立して分離して具現されることもできる。制御モジュール130は、中央サーバー100の全般的な動作および中央サーバー100の内部ブロック間の信号フローを制御し、データを処理するデータ処理機能を行うことができる。制御モジュール130は、中央処理装置(central processing unit)、デジタル信号処理器(digital signal processor)等になり得る。このような制御モジュール130は、LANブーティング管理モジュール131およびファイル中央化管理モジュール133を含む。
【0059】
LANブーティング管理モジュール131は、複数のユーザ装置200それぞれに適合したオペレーティングシステム(OS:Operating System)を選択し、これをLANブーティングするためである。このために、LANブーティング管理モジュール131は、複数の種類の専用または汎用のオペレーティングシステムのイメージ(例えば、OS isoファイル)を管理する。オペレーティングシステムのイメージは、ユーザ装置200の保存装置に保存されて駆動されるオペレーティングシステム(Operating System)をユーザ装置200に保存せず、ユーザ装置200のプロセス上でオペレーティングシステムを駆動させて使用できるようにする圧縮形態のファイルである。代表的に、拡張子が「iso」である形態のファイルを例示することができる。また、LANブーティング管理モジュール131は、複数のユーザ装置200に対して、例えば、ハードウェア規格、使用可能なオペレーティングシステム、IPなどのようなユーザ装置の情報を管理する。例えば、ユーザ装置の情報は、ユーザ装置200のIP、MAC Addressなどのアドレス情報およびオペレーティングシステムバージョン、プログラムバージョンなどのバージョン情報を含む。具体的に、LANブーティング管理モジュール131は、ユーザ装置200の要請によってユーザ装置200で駆動可能なオペレーティングシステムのイメージを選択し、選択されたオペレーティングシステムのイメージを通信モジュール110を介してユーザ装置200に提供する。
【0060】
ファイル中央化管理モジュール133は、情報流出に対するセキュリティのためにユーザ装置200で実行される特定のアプリケーションあるいは特定の拡張子を有するファイルに対する機能を制限するためのものである。例えば、ファイル中央化管理モジュール133は、ユーザ装置200がネットワーク保存領域以外の空間、例えば、ユーザ装置200のローカル保存領域にファイルを保存できないように制御することができる。また、ファイル中央化管理モジュール133は、保存だけでなく、スクリーンキャプチャー、クリップボードコピー、そしてインターネット接続アプリケーション(エクスプローラー、クローム、ファイアフォックス等)およびメッセンジャープログラム等を通したファイルアップロード、ファイル添付などの機能を行うことができないように制御する。このために、ファイル中央化管理モジュール133は、プログラムリストおよび/または拡張子リストをユーザ装置200に提供する。これに伴い、ファイル中央化管理モジュール133は、ユーザ装置200がプログラムリストに含まれたプログラム(アプリケーション)、および/または拡張子リストに含まれたファイル拡張子を有するファイルを実行するとき、ネットワーク保存領域以外の空間、例えば、ユーザ装置200のローカル保存領域に保存できないようにし、スクリーンキャプチャー、クリップボードコピー、ファイルアップロード、ファイル添付などの機能を行うことができないように制御する。ネットワーク保存領域は、ファイル中央化管理モジュール133が割り当てて提供するセキュリティが適用される中央サーバー100の保存領域を意味する。ファイル中央化管理モジュール133は、ネットワーク保存モジュール150にネットワーク保存領域を割り当て、これに対するリンクをユーザ装置200に提供する。ユーザ装置200は、ネットワークを介して中央サーバー100に接続してユーザ装置200の保存装置の領域、すなわちローカル保存領域でなく、ネットワーク保存領域にファイルを保存する。また、ファイル中央化管理モジュール133は、ネットワーク保存領域のみにファイルを保存できるようにユーザ装置200を制御することができる。このために、ファイル中央化管理モジュール133は、ネットワーク保存領域のネットワークディスクのリンクあるいはアドレスをユーザ装置200に提供する。より詳しくは、ファイル中央化管理モジュール133は、ユーザ装置200がオペレーティングシステムの検索ツールあるいは専用接続アプリケーションを介して中央サーバー100のネットワーク保存領域に接続してファイルを管理するようにリンクを提供することができる。ここで、専用接続アプリケーションは、オペレーティングシステムが基本的に提供する検索ツールを介してアクセスするフォルダおよびディスク形態でなく、直接ネットワーク保存領域にアクセスできる専用アプリケーションを意味する。また、ファイル中央化管理モジュール133は、ネットワーク保存領域内保存されたファイルのバージョンを管理してファイルの削除または変更に対する復旧または復元機能を提供する。ファイル中央化管理モジュール133は、ネットワークディスクに保存されたファイルに対してバージョンを異ならせて所定の周期あるいは所定のイベントが発生するたびにバックアップすることができる。したがって、ネットワークディスクに保存されたファイルが削除または変更される場合、ファイル中央化管理モジュール133は、削除または変更されたファイルを以前の所望のバージョンのファイルに復旧あるいは復元することができる。
【0061】
次に、本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のためのユーザ装置について説明することとする。図3は、本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のためのユーザ装置の構成を説明するためのブロック図である。図3を参照すると、本発明の実施形態に係るユーザ装置200は、通信部210、入力部220、表示部230、保存部240および制御部250を含む。
【0062】
通信部210は、中央サーバー100と通信するためのものである。このような通信部210は、通信のためのネットワークインターフェースカードを含む。通信部210は、ネットワークを介してデータを送受信するために送信される信号を変調し、受信される信号を復調するモデム(modem)を含むことができる。通信部210は、制御部250からデータを受信して、これを中央サーバー100に伝送することができる。また、通信部210は、中央サーバー100からデータを受信すると、これを制御部250に伝達することができる。
【0063】
入力部220は、ユーザ装置200の各種機能、動作などを制御するためのユーザのキー操作を入力され、入力信号を生成して、制御部250に伝達するためのものである。代表的に、入力部220は、マウス、キーボードなどを例示することができる。入力部220は、電源on/offのための電源キー、文字キー、数字キー、方向キー等の各種キーを含むことができる。入力部220の機能は、表示部230がタッチスクリーンで具現された場合、表示部230で行われ得、表示部230のみですべての機能を行うことができる場合、入力部220は省略されることもできる。
【0064】
表示部230は、制御部250から画面表示のためのデータを受信して、受信されたデータを画面で表示することができる。また、表示部230は、ユーザ装置200のメニュー、データ、機能設定情報およびその他多様な情報をユーザに視覚的に提供することができる。表示部230がタッチスクリーンで形成される場合、入力部220の機能の一部または全部を代行することができる。表示部230は、液晶表示装置(LCD,Liquid Crystal Display)、有機発光ダイオード(OLED,Organic Light Emitting Diodes)、能動型有機発光ダイオード(AMOLED,Active Matrix Organic Light Emitting Diodes)等で形成され得る。
【0065】
保存部240は、ユーザ装置200の動作に必要な各種データ、アプリケーション、ユーザ装置200の動作によって発生した各種データを保存する役割を行う。このような保存部240は、ハードディスク、SSDなどの装置になり得る。また、保存部240は、ユーザ装置200のブーティング(booting)および運営(operation)のためのオペレーティングシステム(OS、Operating System)を保存することができる。しかしながら、本発明の実施形態に係るLANブーティングが行われると、保存部240に保存されたオペレーティングシステムは使用されない。保存部240に保存される各種データは、ユーザの操作によって、削除、変更、追加され得る。しかしながら、本発明の実施形態に係るLANブーティングが行われると、保存部240にデータが保存されず、削除、変更、追加のような動作も行われない。
【0066】
制御部250は、ユーザ装置200の全般的な動作およびユーザ装置200の内部ブロック間の信号フローを制御し、データを処理するデータ処理機能を行うことができる。このような制御部250は、中央処理装置(Central Processing Unit:CPU)、アプリケーションプロセッサ(Application Processor)、GPU(Graphic Processing Unit)のうち少なくとも一つのプロセッサを含む。
【0067】
制御部250は、LANブーティング支援モジュール251、ローカル保存防止モジュール253およびネットワークドライバー連結モジュール255を含む。以下の実施形態において、LANブーティング支援モジュール251、ローカル保存防止モジュール253およびネットワークドライバー連結モジュール255は、ドライバー形式のソフトウェアであり、中央サーバー100からダウンロードされてユーザ装置200に設置され、制御部250にロードされて動作するものと説明される。しかしながら、代案的な実施形態によれば、LANブーティング支援モジュール251、ローカル保存防止モジュール253およびネットワークドライバー連結モジュール255は、ハードウェア、例えば、専用プロセッサで具現されることもできる。
【0068】
LANブーティング支援モジュール251は、LANブーティングのためのものである。一般的なブーティングが行われると、制御部250にオペレーティングシステムがロードされ、制御部250は、オペレーティングシステムを実行する。しかしながら、本発明の実施形態に係るLANブーティングが行われると、保存部240のオペレーティングシステムでなく、中央サーバー100から受信されたオペレーティングシステムのイメージを介してブーティングが行われる。すなわち、制御部250のLANブーティング支援モジュール251は、オペレーティングシステムのイメージを実行させる。
【0069】
ローカル保存防止モジュール253は、通信部210を介して中央サーバー100からプログラムリストおよび/または拡張子リストのうち少なくとも一つを受信し、プログラムリストおよび/または拡張子リストを基にセキュリティ機能を行う。すなわち、ローカル保存防止モジュール253は、プログラムリストに含まれたアプリケーションの機能のうち情報を流出できる機能を遮断する。また、ローカル保存防止モジュール253は、拡張子リストに含まれた拡張子を有するファイルまたはファイルの情報が流出することを遮断する。このようなローカル保存防止モジュール253は、フィルタードライバーの形態で具現されて、カーネルモードでファイル(File)I/O(入力/出力または読み取り/書き込み)フィルタリングを行う。すなわち、ローカル保存防止モジュール253は、カーネルモードでファイルI/Oフィルタリングを行って、プログラムリストに含まれたアプリケーションの機能を通した情報流出および/または拡張子リストに含まれた拡張子を有するファイルの情報流出を遮断する。
【0070】
ユーザモードフィルタリングの場合、特定のプロセスをフィルタリングするために、コードをプログラムに挿入するインジェクション(injection)が要求される。すなわち、特定のAPIをフィルタリングするためには、APIフッキング(hooking)コードをインジェクションする。このようなインジェクション技術は、具現方式によって制限的なプロセスのみにインジェクションされる可能性がある。APIフッキング技術も、具現方式によって特定のAPIのみでフッキングコードが実行され得る。しかしながら、本発明の実施形態に係るローカル保存防止モジュール253は、フィルタードライバーの形態で具現されて、カーネルモードでフィルタリングを行う。すなわち、ローカル保存防止モジュール253は、すべてのプロセスでメモリを共有する。したがって、フッキングコードをインジェクションする過程が不要であり、ユーザモードでインジェクション失敗によってFile I/Oをフィルタリングしないような問題が発生しない。したがって、セキュリティホールを最小化できる利点がある。さらに、MS社のウィンドウのようなオペレーティングシステムは、安定性のためにユーザモードとカーネルモードを区分して管理し、ユーザモードでは、カーネルレベルメモリにアクセスできない。ローカル保存防止モジュール253は、カーネルモードで動作するので、オペレーティングシステムの安全性を高めることができる。これは、ユーザモードフィルター方式に比べて他のセキュリティ製品、例えば、ワクチンプログラム等との衝突問題を最小化することができる。さらに、ユーザモードでインジェクションを通したフィルタリング技術は、相対的にメモリアクセスが自由であるので、悪性行為に対して脆弱であるが、ローカル保存防止モジュール253は、カーネルモードで動作するので、悪性コードに対して強靭な特性を有する。
【0071】
ネットワークドライバー連結モジュール255は、ファイルをネットワーク保存領域に保存するようにする役割を行う。ネットワークドライバー連結モジュール255は、通信部210を介してネットワーク保存領域の複数のネットワークディスクのうち当該ユーザ装置200に割り当てられたネットワークディスクのリンクあるいはアドレスを受信することができる。その後、ネットワークドライバー連結モジュール255は、ネットワークディスクのリンクあるいはアドレスを介して当該ネットワークディスクとのリンクを連結する。これに伴い、ローカル保存防止モジュール253は、ネットワークドライバー連結モジュール255を参照して、プログラムリストに含まれたアプリケーションのファイルおよび/または拡張子リストに含まれた拡張子を有するファイルを連結されたネットワークディスクに保存することができる。ネットワークドライバー連結モジュール255は、ネットワークファイルシステムドライバーの形態で具現され得る。ウィンドウオペレーティングシステムのLAN Manager Redirector基盤ウィンドウネットワークファイルシステムは、LAN Manager Server、Samba Server基盤システムとの通信のみが可能である。しかしながら、ネットワークドライバー連結モジュール255は、ネットワークファイルシステムドライバー形態で具現されて、ネットワークドライバー連結モジュール255専用の分散ファイルシステムが適用された中央サーバー100のネットワークディスクと連結して通信することができる。これを通じて、ローカル領域、保存部240に臨時ファイルが生成されず、セキュリティの観点からさらに安全である。
【0072】
また、図示してはいないが、本発明の実施形態に係るユーザ装置200は、メモリカードのような外部保存媒体を挿入してデータ保存を可能になる保存媒体挿入部、外部デジタル機器とのデータ交換のための連結端子、充電用端子を具備することができる。また、ユーザ装置200は、マイクおよびスピーカーを介してオーディオ信号、音声信号などを入力あるいは出力するオーディオ処理部などの付加機能を有する機能付属を選択的にさらに含んで構成され得る。デジタル機器のコンバージェンス(convergence)傾向によって携帯機器の変形が非常に多様であるので、全部列挙することはできないが、上記に言及されたユニットと同等な水準のユニットが本発明によるユーザ装置200に追加にさらに含まれて構成され得ることは、この技術分野における通常の知識を有する者なら容易に理解することができる。
【0073】
次に、本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を説明することとする。図4は、本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を説明するためのフローチャートである。また、図5は、本発明の実施形態に係るLANブーティング環境基盤ファイルセキュリティおよび中央化のための方法を説明するための画面例である。
【0074】
図4を参照すると、中央サーバー100およびユーザ装置200は、段階S100で、ユーザ装置200に対してLANブーティングを行う。このような段階S100は、段階S110~段階S140で行われ、より詳しく説明すると、次のとおりである。ユーザの操作によりユーザ装置200の制御部250は、入力部220を介してユーザの入力を感知すると、制御部250のLANブーティング支援モジュール151は、段階S110で、LANブーティング開始要請メッセージを通信部210を介して中央サーバー100に伝送してLANブーティングを要請する。この際、LANブーティング開始要請メッセージは、ユーザ装置の情報を含むことができる。ユーザ装置の情報は、ユーザ装置200のIP、MAC Address等のアドレス情報およびオペレーティングシステムバージョン、プログラムバージョン等のバージョン情報を含む。このようなユーザ装置の情報は、あらかじめ伝送されて、中央サーバー100の保存モジュール120にあらかじめ保存されることもできる。
【0075】
中央サーバー100制御モジュール130のLANブーティング管理モジュール131は、通信モジュール110を介してLANブーティング開始要請メッセージを受信すると、段階S120で、ユーザ装置の情報によって保存モジュール120に保存された複数のOSイメージのうちユーザ装置200に使用可能なOSイメージを選択する。次に、LANブーティング管理モジュール131は、段階S130で、通信モジュール110を介して当該OSイメージ、ローカル保存防止モジュール253およびネットワークドライバー連結モジュール255をユーザ装置200に伝送する。
【0076】
ユーザ装置200の制御部250は、通信部210を介してOSイメージ、ローカル保存防止モジュール253およびネットワークドライバー連結モジュール255を受信すると、ローカル保存防止モジュール253およびネットワークドライバー連結モジュール255を設置した後、制御部250のLANブーティング支援モジュール151は、段階S140で、受信されたOSイメージを用いてブーティングを行う。すなわち、LANブーティング支援モジュール251は、LANブーティングを行う。
【0077】
前述したLANブーティングが完了すると、中央サーバー100およびユーザ装置200は、段階S200で、ユーザ装置200に対してセキュリティ機能を行う。このような段階S200は、段階S210~段階S230で行われ、より詳しく説明すれば、次のとおりである。
【0078】
制御部250のローカル保存防止モジュール253は、段階S210で、通信部210を介してプログラムリストおよび拡張子リストのうち少なくとも一つを要請するセキュリティリスト要請メッセージを中央サーバー100に伝送する。ここで、ローカル保存防止モジュール253は、フィルタードライバーの機能を行う。
【0079】
中央サーバー100制御モジュール130のファイル中央化管理モジュール133は、ユーザ装置200から通信モジュール110を介してセキュリティリスト要請メッセージを受信すると、ユーザ装置200に対応するプログラムリストおよび拡張子リストのうち少なくとも一つを保存モジュール120に保存されたデータベースから引き出す。その後、ファイル中央化管理モジュール133は、段階S220で、引き出されたプログラムリストおよび拡張子リストのうち少なくとも一つを通信モジュール110を介してユーザ装置200に伝送する。
【0080】
ユーザ装置200制御部250のローカル保存防止モジュール253は、プログラムリストおよび拡張子リストのうち少なくとも一つを通信部210を介して受信すると、段階S230で、プログラムリストおよび/または拡張子リストによりセキュリティ機能を行う。すなわち、ローカル保存防止モジュール253は、プログラムリストに含まれたアプリケーションの機能のうち情報が流出する機能を遮断する。また、ローカル保存防止モジュール253は、拡張子リストに含まれた拡張子を有するファイルの情報が流出することを遮断する。次に、このようなセキュリティ機能の具体的な例について説明することとする。
【0081】
ローカル保存防止モジュール253は、プログラムリストに含まれたアプリケーションが実行されて当該アプリケーションのファイルがネットワーク保存領域以外の領域に保存されることを遮断する機能を行う。ここで、ネットワーク保存領域以外の領域は、ユーザ装置200の保存部240をはじめとしてユーザ装置200に連結されたメモリカードのような外部保存媒体を含む。例えば、MS社の「PowerPoint」がプログラムリストに属すると仮定する。その後、ローカル保存防止モジュール253は、PowerPointが実行により生成されるファイル(例えば、拡張子が「ppt」、「pptx」等であるファイルニド)がネットワーク保存領域以外の領域に保存されることを遮断する機能を行う。また、ローカル保存防止モジュール253は、プログラムリストに含まれたアプリケーションが実行されて表示部230を介して表示されるとき、表示された領域に対するクリップボードコピー(例えば、ctrl+c)およびスクリーンキャプチャー(例えば、Prt sc)等を遮断する。そして、ローカル保存防止モジュール253は、プログラムリストに含まれたアプリケーションが実行されて、アプリケーションの付加機能を介してファイルを添付して伝送する動作を遮断する。例えば、図5を参照すると、ブラウザプログラム、メールアプリケーションあるいはメッセンジャーアプリケーションがプログラムリストに属すると仮定する。当該アプリケーションは、付加機能としてファイルあるいはリンクを添付して伝送する機能を有すると仮定する。したがって、ローカル保存防止モジュール253は、当該アプリケーションのファイルあるいはリンクを添付して伝送する機能を遮断する。
【0082】
ローカル保存防止モジュール253は、拡張子リストに含まれた拡張子を有するファイルがネットワーク保存領域以外の領域に保存されることを遮断する機能を行う。前述したように、ネットワーク保存領域以外の領域は、ユーザ装置200の保存部240をはじめとしてユーザ装置200に連結されたメモリカードのような外部保存媒体を含む。例えば、拡張子が「ppt」であるファイルが拡張子リストに属すると仮定する。その後、ローカル保存防止モジュール253は、拡張子が「ppt」であるファイルがネットワーク保存領域以外の領域に保存されることを遮断する機能を行う。また、ローカル保存防止モジュール253は、拡張子リストに含まれた拡張子を有するファイル(例えば、拡張子が「ppt」であるファイル)が表示部230を介して表示されるとき、表示された領域に対するクリップボードコピー(例えば、ctrl+c)およびスクリーンキャプチャー(例えば、Prt sc)等を遮断する。そして、ローカル保存防止モジュール253は、拡張子リストに含まれた拡張子を有するファイルが伝送されることを遮断する。例えば、図5を参照すると、拡張子が「pptx」であるファイルが拡張子リストに属すると仮定する。その後、ローカル保存防止モジュール253は、特定のアプリケーションが拡張子「pptx」であるファイルあるいは拡張子「pptx」であるファイルに対するリンクを添付したり、拡張子「pptx」であるファイルあるいは拡張子「pptx」であるファイルに対するリンクを伝送することを遮断する。
【0083】
一方、段階S200の後に、段階S300が行われるものと図示されたが、段階S200のプロセスとは別途のプロセスで時間上並列的に段階S300が行われ得る。中央サーバー100およびユーザ装置200は、段階S300で、ユーザ装置200がファイルを保存するネットワーク保存領域を提供する。このような段階S300は、段階S310~段階S330で行われ、より詳しく説明すれば、次のとおりである。
【0084】
ユーザ装置200制御部250のネットワークドライバー連結モジュール255は、段階S310で、通信部210を介してネットワーク保存領域を要請する保存領域要請メッセージを中央サーバー100に伝送する。ここで、ネットワークドライバー連結モジュール255は、ネットワークファイルシステムドライバーの機能を行う。
【0085】
中央サーバー100制御モジュール130のファイル中央化管理モジュール133は、ユーザ装置200から通信モジュール110を介して保存領域要請メッセージを受信すると、保存モジュール120の複数のネットワークディスクのうち利用可能なネットワークディスクを割り当てる。その後、ファイル中央化管理モジュール133は、段階S320で、割り当てられたネットワークディスクのリンク(あるいはアドレス)を通信モジュール110を介してユーザ装置200に伝送する。
【0086】
これに伴い、ユーザ装置200制御部250のネットワークドライバー連結モジュール255は、通信部210を介して割り当てられたネットワークディスクのリンク(あるいはアドレス)を通信部210を介して受信することができる。その後、ネットワークドライバー連結モジュール255は、段階S330で、ネットワークディスクのリンク(あるいはアドレス)を介して該当ネットワークディスクを連結する。これに伴い、制御部250のローカル保存防止モジュール253は、ネットワークドライバー連結モジュール255を参照して、プログラムリストに含まれたアプリケーションのファイルおよび拡張子リストに含まれた拡張子を有するファイルを連結されたネットワークディスクに保存することができる。
【0087】
一方、ファイル中央化管理モジュール133は、ユーザ装置200がネットワークディスクにファイルを保存すると、保存されたファイルに対してバージョンを異ならせて所定の周期でバックアップして保存する。そして、ネットワークディスクに保存されたファイルが削除または変更される場合、ファイル中央化管理モジュール133は、削除または変更されたファイルを以前のバージョンのファイルに復旧あるいは復元する。
【0088】
このように、本発明の実施形態によれば、ユーザ装置200で生成されるすべてのファイルが、セキュリティが維持されるネットワーク保存領域、すなわち、ネットワークディスクに保存されるようにすることによって、会社の機密事項が流出することを基本的に遮断することができる。
【0089】
なお、上記で説明された本発明の実施形態で説明された方法は、様々なコンピュータ手段を介して読み取り可能なプログラムの形態で実現され、コンピュータで読み取り可能な記録媒体に記録することが可能である。ここで、記録媒体は、プログラム命令、データファイル、データ構造などを単独でまたは組み合わせて含むことができる。記録媒体に格納されるプログラム命令は、本発明のために特別に設計および構成されたものまたはコンピュータソフトウェアの当業者に公知されて使用可能なもので良い。例えば、記録媒体は、ハードディスク、フロッピーディスクおよび磁気テープのような磁気媒体(magnetic media)、CD-ROM、DVDのような光記録媒体(optical media)、フロプティカルディスク(floptical disk)のような磁気・光媒体(magneto-optical media)、およびロム(ROM)、ラム(RAM)、フラッシュメモリ等のように、プログラム命令を格納して実行するように構成されたハードウェア装置を含む。プログラム命令の例には、コンパイラによって作成される機械語ワイヤーのみならず、インタープリターなどを用いてコンピュータによって実行可能な高級言語ワイヤーを含むことができる。このようなハードウェア装置は、本発明の動作を行うために一つ以上のソフトウェアモジュールとして作動するように構成することができ、その逆も同様である。
【0090】
以上、本発明をいくつかの好ましい実施形態を使用して説明したが、これらの実施形態は、例示的なものであり、限定的なものではない。このように、本発明の属する技術分野における通常の知識を有する者なら、本発明の思想と添付の特許請求範囲に提示された権利範囲を逸脱することなく、均等論によって多様な変化と修正を加えることができることを理解することができる。
【符号の説明】
【0091】
100…中央サーバー、110…通信モジュール、120…保存モジュール、130…制御モジュール、131…LANブーティング管理モジュール、133…ファイル中央化管理モジュール、200…ユーザ装置、210…通信部、220…入力部、230…表示部、240…保存部、250…制御部、251…LANブーティング支援モジュール、253…ローカル保存防止モジュール、255…ネットワークドライバー連結モジュール
図1
図2
図3
図4
図5
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.