KR102652835B1

Movatterモバイル変換

Info

Publication number: KR102652835B1
Application number: KR1020190134013A
Authority: KR
Inventors: 배경원
Original assignee: 삼성중공업(주)
Priority date: 2019-10-25
Filing date: 2019-10-25
Publication date: 2024-04-01
Anticipated expiration: 2039-10-25
Also published as: KR20210049562A

Abstract

Translated fromKorean

선박 내에 포함되는 복수의 구성요소들의 통신 처리를 복수 개의 통신 영역으로 분류하여 처리하는 선박 네트워크 시스템이 개시된다. 이 때, 상기 선박 네트워크 시스템은, 상기 복수 개의 통신 영역들; 및 상기 복수 개의 통신 영역 상호 간의 통신을 연결하는 DMZ;를 포함하고, 상기 복수 개의 통신 영역이 각각 포함하는 선박 내의 구성요소들은 각각의 통신 영역이 가지는 네트워크를 통해 통신 처리를 수행하며, 상기 DMZ는, 상기 복수 개의 통신 영역 간의 네트워크 연결 및 통신 처리를 수행하는 통신 처리 모듈; 및 상기 선박 네트워크 시스템의 통신 처리 시의 보안 관리를 수행하는 보안 관리 모듈;을 포함할 수 있다.A ship network system is disclosed that classifies and processes communication processing of a plurality of components included in a ship into a plurality of communication areas. At this time, the ship network system includes the plurality of communication areas; and a DMZ that connects communication between the plurality of communication areas, wherein components within the ship included in each of the plurality of communication areas perform communication processing through the network of each communication area, and the DMZ , a communication processing module that performs network connection and communication processing between the plurality of communication areas; and a security management module that performs security management during communication processing of the ship network system.

Description

Translated fromKorean

선박 네트워크 시스템{VESSEL NETWORK SYSTEM}Ship network system {VESSEL NETWORK SYSTEM}

본 발명은 선박 네트워크 시스템에 관한 것으로, 보다 상세하게는 선박에 포함되는 구성요소들의 통신 처리 및 보안 관리에 관한 발명이다.The present invention relates to a ship network system, and more specifically, to communication processing and security management of components included in a ship.

기존 영역의 선박에서의 사이버 보안과 관련하여, 현재의 선박의 사이버 보안에 대한 대책은 단순 방화벽을 갖추고 있는 오토메이션 장비, 네비게이션 장비, 엔진과 같은 주요 장비에만 설치되어 있음에 불과하다. 설치된 단순 방화벽은 그 설치 목적이 방화벽이 설치된 해당 장비를 방어하기 위한 목적으로 제공되어, 방화벽이 설치되지 아니한 장비들은 보안과 관련된 아무런 조치가 되어 있지 않다.Regarding cyber security on ships in the existing area, current cyber security measures on ships are only installed on major equipment such as automation equipment, navigation equipment, and engines, which are equipped with simple firewalls. The simple firewall installed is provided for the purpose of protecting the equipment on which the firewall is installed, so equipment without a firewall installed has no security-related measures.

선박의 고유의 특성에 따르면, 선박은 위성을 통하지 않고는 외부에 노출되지 않고 있어 사이버 보안과 관련된 중요성을 인지하지 않는 경향이 있었다. 그러나 근래 들어 육상에서 선박을 관제하고 선박의 데이터들을 육상 관제센터로 전송하거나, 선박 내의 CCTV 확인 또는 선박 내 장비들을 모니터링 및 제어하기 위한 솔루션과 장비들의 등장으로 선박은 보안에 노출되고 있다. 또한, 선박에서는 장비들의 위치에 따라 전장 라인을 편리하게 구축하고 설치하기 위하여 네트워크를 구성하고 있어, 보안에 쉽게 노출되는 단점이 있다. 선박에서의 이와 같은 보안 이슈를 해결해야 할 필요성이 대두된다.According to the inherent characteristics of ships, ships are not exposed to the outside world except through satellites, so there was a tendency to not recognize the importance of cyber security. However, in recent years, ships are being exposed to security due to the emergence of solutions and equipment for controlling ships on land and transmitting ship data to a land control center, checking CCTV on ships, or monitoring and controlling equipment on ships. In addition, ships configure networks to conveniently build and install battlefield lines according to the location of equipment, which has the disadvantage of being easily exposed to security. The need to address such security issues on ships is emerging.

본 발명에 따르면 선박 네트워크를 구성하여 효율적인 보안 관리를 수행하고자 한다.According to the present invention, it is intended to perform efficient security management by configuring a ship network.

본 발명이 해결하고자 하는 과제는 이상에서 언급된 과제로 제한되지 않는다. 언급되지 않은 다른 기술적 과제들은 이하의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The problem to be solved by the present invention is not limited to the problems mentioned above. Other technical problems not mentioned will be clearly understood by those skilled in the art from the following description.

상술한 목적을 달성하기 위한 본 발명의 일 실시 예에 따른 선박 네트워크 시스템은, 선박 내에 포함되는 복수의 구성요소들의 통신 처리를 복수 개의 통신 영역으로 분류하여 처리하는 선박 네트워크 시스템이 개시된다.In order to achieve the above-described object, a ship network system according to an embodiment of the present invention is disclosed, which classifies and processes communication processing of a plurality of components included in a ship into a plurality of communication areas.

이 때, 상기 선박 네트워크 시스템은, 상기 복수 개의 통신 영역들; 및 상기 복수 개의 통신 영역 상호 간의 통신을 연결하는 DMZ;를 포함할 수 있다.At this time, the ship network system includes the plurality of communication areas; and a DMZ connecting communication between the plurality of communication zones.

이 때, 상기 복수 개의 통신 영역이 각각 포함하는 선박 내의 구성요소들은 각각의 통신 영역이 가지는 네트워크를 통해 통신 처리를 수행할 수 있다.At this time, components within the ship included in each of the plurality of communication areas can perform communication processing through the network of each communication area.

이 때, 상기 DMZ는, 상기 복수 개의 통신 영역 간의 네트워크 연결 및 통신 처리를 수행하는 통신 처리 모듈; 및 상기 선박 네트워크 시스템의 통신 처리 시의 보안 관리를 수행하는 보안 관리 모듈;을 포함할 수 있다.At this time, the DMZ includes a communication processing module that performs network connection and communication processing between the plurality of communication zones; and a security management module that performs security management during communication processing of the ship network system.

이 때, 상기 통신 처리 모듈은, 상기 복수 개의 통신 영역 각각이 가지는 네트워크들을 연결할 수 있는 서버를 포함할 수 있다.At this time, the communication processing module may include a server that can connect the networks of each of the plurality of communication areas.

이 때, 상기 DMZ는 상기 선박 네트워크 시스템에서 통신 처리되는 데이터들을 수집하고, 상기 보안 관리 모듈은 상기 수집된 통신 처리되는 데이터들의 로그 분석을 수행할 수 있다.At this time, the DMZ collects data communicated and processed in the ship network system, and the security management module may perform log analysis of the collected data communicated and processed.

이 때, 상기 보안 관리 모듈은 상기 로그 분석을 통해 나타나는 정보가 상기 복수 개의 통신 영역 각각이 가지는 네트워크가 아닌 다른 네트워크에 의해 수신된 데이터인 경우, 상기 다른 네트워크를 차단 처리할 수 있다.At this time, if the information revealed through the log analysis is data received by a network other than the network owned by each of the plurality of communication areas, the security management module may block the other network.

이 때, 상기 보안 관리 모듈은, 상기 로그 분석을 통해 나타나는 정보가 통신 포트를 통해 수신된 데이터의 경우, 기설정된 통신 포트를 통해 수신된 데이터인지 확인하여, 기설정된 통신 포트를 통해 수신되지 않은 데이터의 경우 상기 통신 포트를 차단할 수 있다.At this time, if the information shown through the log analysis is data received through a communication port, the security management module checks whether the data was received through a preset communication port, and determines whether data was not received through the preset communication port. In this case, the communication port can be blocked.

이 때, 상기 보안 관리 모듈은 상기 선박 네트워크 시스템에서의 OS 업데이트 처리를 수행할 수 있다.At this time, the security management module may perform OS update processing in the ship network system.

이 때, 상기 보안 관리 모듈은 상기 선박 네트워크 시스템에서의 보안 관리를 위한 보안 솔루션을 업데이트 할 수 있다.At this time, the security management module can update the security solution for security management in the ship network system.

이 때, 상기 복수 개의 통신 영역 각각은, 각각의 통신 영역이 처리되는 네트워크를 보호할 수 있는 방화벽을 포함할 수 있다.At this time, each of the plurality of communication areas may include a firewall that can protect the network in which each communication area is processed.

본 발명에 따르면 선박 내의 복수의 구성요소들의 통신 처리를 복수 개의 통신 영역으로 나누어 통신 처리를 수행함으로써 효율적인 통신 처리가 가능하다.According to the present invention, efficient communication processing is possible by dividing communication processing of a plurality of components within a ship into a plurality of communication areas.

본 발명에 따르면 선박 내에서 DMZ를 통한 통신 처리 및 보안 관리가 수행될 수 있도록 함으로써 선박에서의 데이터 처리의 보안을 강화할 수 있다.According to the present invention, the security of data processing on ships can be strengthened by allowing communication processing and security management to be performed through the DMZ within the ship.

본 발명의 효과는 상술한 효과들로 제한되지 않는다. 언급되지 않은 효과들은 본 명세서 및 첨부된 도면으로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확히 이해될 수 있을 것이다.The effects of the present invention are not limited to the effects described above. Effects not mentioned can be clearly understood by those skilled in the art from this specification and the attached drawings.

도 1은 본 발명에 따른 선박 네트워크 시스템을 나타내는 블록도이다.
도 2는 본 발명에 따른 DMZ의 내부 구성을 나타내는 블록도이다.
도 3은 실제 선박 네트워크에 포함된 구성요소들을 본 발명에 따른 선박 네트워크 시스템을 기준으로 분류한 것을 나타내는 도면이다.
도 4는 본 발명에서의 복수의 통신 영역 별 통신 처리를 수행하는 방법을 나타내는 순서도이다.1 is a block diagram showing a ship network system according to the present invention.
Figure 2 is a block diagram showing the internal configuration of a DMZ according to the present invention.
Figure 3 is a diagram showing components included in an actual ship network classified based on the ship network system according to the present invention.
Figure 4 is a flowchart showing a method of performing communication processing for a plurality of communication areas in the present invention.

본 발명의 다른 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술 되는 실시 예를 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예는 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Other advantages and features of the present invention and methods for achieving them will become clear by referring to the embodiments described in detail below along with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below and may be implemented in various different forms. The present embodiments are only provided to ensure that the disclosure of the present invention is complete and to provide common knowledge in the technical field to which the present invention pertains. It is provided to fully inform those who have the scope of the invention, and the present invention is only defined by the scope of the claims.

만일 정의되지 않더라도, 여기서 사용되는 모든 용어들(기술 혹은 과학 용어들을 포함)은 이 발명이 속한 종래 기술에서 보편적 기술에 의해 일반적으로 수용되는 것과 동일한 의미를 가진다. 일반적인 사전들에 의해 정의된 용어들은 관련된 기술 그리고/혹은 본 출원의 본문에 의미하는 것과 동일한 의미를 갖는 것으로 해석될 수 있고, 그리고 여기서 명확하게 정의된 표현이 아니더라도 개념화되거나 혹은 과도하게 형식적으로 해석되지 않을 것이다.Even if not defined, all terms (including technical or scientific terms) used herein have the same meaning as generally accepted by the general art in the prior art to which this invention belongs. Terms defined by general dictionaries may be interpreted as having the same meaning as they have in the related art and/or text of the present application, and should not be conceptualized or interpreted in an overly formal manner even if expressions are not clearly defined herein. won't

본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다' 및/또는 이 동사의 다양한 활용형들 예를 들어, '포함', '포함하는', '포함하고', '포함하며' 등은 언급된 조성, 성분, 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 조성, 성분, 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다. 본 명세서에서 '및/또는' 이라는 용어는 나열된 구성들 각각 또는 이들의 다양한 조합을 가리킨다.The terms used in this specification are for describing embodiments and are not intended to limit the invention. As used herein, singular forms also include plural forms, unless specifically stated otherwise in the context. As used in the specification, 'comprises' and/or various conjugations of this verb, such as 'comprises', 'comprising', 'includes', 'comprises', etc., refer to the composition, ingredient, or component mentioned. A step, operation and/or element does not exclude the presence or addition of one or more other compositions, ingredients, components, steps, operations and/or elements. As used herein, the term 'and/or' refers to each of the listed components or various combinations thereof.

본 명세서 전체에서 사용되는 '~부' 및 '~모듈' 은 적어도 하나의 기능이나 동작을 처리하는 단위로서, 예를 들어 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미할 수 있다. 그렇지만 '~부' 및 '~모듈'이 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부' 및 '~모듈'은 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다.'~unit' and '~module' used throughout this specification are units that process at least one function or operation, and may refer to, for example, hardware components such as software, FPGA, or ASIC. However, '~part' and '~module' are not limited to software or hardware. The '~unit' and '~module' may be configured to reside in an addressable storage medium and may be configured to reproduce one or more processors.

일 예로서 '~부' 및 '~모듈'은 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함할 수 있다. 구성요소와 '~부' 및 '~모듈'에서 제공하는 기능은 복수의 구성요소 및 '~부' 및 '~모듈'들에 의해 분리되어 수행될 수도 있고, 다른 추가적인 구성요소와 통합될 수도 있다.As an example, '~part' and '~module' refer to components such as software components, object-oriented software components, class components, and task components, processes, functions, properties, May include procedures, subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays and variables. The functions provided by components, '~parts', and '~modules' may be performed separately by multiple components, '~parts', and '~modules', or may be integrated with other additional components. .

본 발명은 선박에 포함되는 복수의 구성요소의 효율적인 보안 및 통신 관리를 위하여 이를 복수 개의 통신 영역으로 분류하여 처리할 수 있다. 본 발명에서는 선박에 포함되는 복수 개의 구성요소의 통신 처리를 복수 개의 통신 영역으로 분류하여 선박 네트워크 시스템(1)을 구성하고, 각각의 통신 영역이 가지는 네트워크를 통해 통신 처리를 수행하도록 할 수 있다. 이 때 서로 다른 통신 영역 간 통신 처리가 필요한 경우에는 반드시 DMZ(60)(De-militarized zone)를 통하여 통신하도록 하여 보안을 강화할 수 있다. 또한 DMZ(60)는 통신 처리 모듈(61)과 보안 관리 모듈(62)을 포함하여, 복수의 서로 다른 영역 간의 통신 처리와, 통신 처리 과정에서의 보안 관리를 동시에 수행할 수 있어 효율적인 선박 네트워크 시스템이 개시된다.The present invention can classify and process multiple components included in a ship into multiple communication areas for efficient security and communication management. In the present invention, theship network system 1 can be configured by classifying communication processing of a plurality of components included in a ship into a plurality of communication areas, and communication processing can be performed through the network of each communication area. At this time, if communication processing between different communication areas is necessary, security can be strengthened by ensuring communication through the DMZ (60) (De-militarized zone). In addition, theDMZ 60 includes acommunication processing module 61 and asecurity management module 62, and can simultaneously perform communication processing between multiple different areas and security management during the communication processing process, making it an efficient ship network system. This begins.

이하에서는 본 발명에서의 선박 네트워크 시스템(1)의 일 실시예에 대해 상세히 설명한다.Hereinafter, an embodiment of theship network system 1 in the present invention will be described in detail.

도 1은 본 발명에 따른 선박 네트워크 시스템(1)을 나타내는 블록도이다.Figure 1 is a block diagram showing aship network system 1 according to the present invention.

도 1에 따르면 본 발명에 따른 선박 네트워크 시스템(1)은 복수 개의 통신 영역을 포함하도록 구성될 수 있다. 복수 개의 통신 영역 각각에는 복수 개의 통신 영역의 특성에 부합하는 선박 내의 구성요소들이 포함될 수 있다. 복수 개의 통신 영역은 각각의 통신 영역 내에서 통합적인 통신 처리를 수행할 수 있으며, 통신 영역 간에 통신이 필요한 경우 DMZ(60)를 통해 통신 처리가 수행될 수 있도록 한다.According to Figure 1, theship network system 1 according to the present invention may be configured to include a plurality of communication areas. Each of the plurality of communication areas may include components within the ship that match the characteristics of the plurality of communication areas. A plurality of communication areas can perform integrated communication processing within each communication area, and when communication between communication areas is necessary, communication processing can be performed through the DMZ (60).

도 1의 일 예시에 따르면, 복수 개의 통신 영역은 엔터프라이즈 영역(10), 리모트 영역(20), 컨트롤 영역(30), 네비게이션 영역(40) 및 서포트 영역(50)을 포함할 수 있다.According to an example in FIG. 1, the plurality of communication areas may include anenterprise area 10, aremote area 20, acontrol area 30, anavigation area 40, and asupport area 50.

DMZ(60)는 선박 네트워크 시스템(1)에서의 통신망 사이의 완충 지대의 역할을 수행할 수 있다. DMZ(60)는 외부 통신망에서 접속이 잦은 서버들의 백업을 수행할 수 있다. DMZ(60)는 외부 통신망에서 접속이 잦은 서버들을 처리하여 이러한 서버들에 생긴 보안상의 취약성으로 인해 각각의 통신 영역이 가지는 네트워크 망에 직접적인 피해가 되지 않도록 처리할 수 있다.The DMZ 60 may serve as a buffer zone between communication networks in theship network system 1. The DMZ (60) can perform backups of servers that are frequently connected to external communication networks. TheDMZ 60 can process servers that are frequently accessed from external communication networks to prevent direct damage to the network of each communication area due to security vulnerabilities in these servers.

DMZ(60)는 복수 개의 통신 영역들의 인터페이스로 작동할 수 있다. DMZ(60)는 보안과 관련된 장비 및 서버를 포함할 수 있다. DMZ(60)는 선박 내 장비 데이터와 같이 중요한 데이터를 백업하는 장비 및 서버를 포함할 수 있다. TheDMZ 60 may operate as an interface for multiple communication areas. The DMZ 60 may include security-related equipment and servers. The DMZ 60 may include equipment and servers that back up important data, such as equipment data onboard ships.

DMZ(60)에 관한 자세한 구성은 도 2에서 후술한다.The detailed configuration of theDMZ 60 is described later in FIG. 2.

엔터프라이즈 영역(10)은 선박 내에서의 무선 통신망을 이용하는 구성요소들의 통신 처리를 수행할 수 있다. 일 예시에 따르면 엔터프라이즈 영역(10)은 메일 서버나, 선박 내의 선원을 위한 PC 관리 등을 처리할 수 있다. 일 예시에 따르면 엔터프라이즈 영역(10)은 선박 내의 선원들이 사용하는 휴대폰, 와이파이 등의 네트워크를 통합적으로 처리하는 역할을 수행할 수 있다.Theenterprise area 10 can perform communication processing of components using a wireless communication network within the ship. According to one example, theenterprise area 10 may handle a mail server or PC management for sailors on a ship. According to one example, theenterprise area 10 may play the role of integratedly processing networks such as mobile phones and Wi-Fi used by sailors on the ship.

엔터프라이즈 영역(10)은 선박 내의 무선 통신망을 이용하는 구성요소들의 유지 및 데이터 분석이 가능한 장비가 포함될 수 있다.Theenterprise area 10 may include equipment capable of maintaining components and analyzing data using a wireless communication network within the ship.

리모트 영역(20)은 선박의 위성통신을 관제할 수 있다. 선박은 특성상 해양에서 이동하므로 외부와 통신 시 위성통신을 이용한다. 리모트 영역(20)에서는 선박 외부와 통신 시 사용되는 위성통신과 관련된 통신 처리를 수행할 수 있다.Theremote area 20 can control the ship's satellite communication. Due to the nature of ships, they move in the ocean, so they use satellite communication when communicating with the outside world. In theremote area 20, communication processing related to satellite communication used when communicating with the outside of the ship can be performed.

리모트 영역(20)은 방화벽을 더 포함할 수 있다. 리모트 영역(20)은 선박의 운행과 관련된 위성통신의 전반적인 통신 관리를 수행할 수 있다.Theremote area 20 may further include a firewall. Theremote area 20 can perform overall communication management of satellite communications related to the operation of the ship.

리모트 영역(20)에 포함되는 구성요소들은 위성통신과 관련된 장비일 수 있다.Components included in theremote area 20 may be equipment related to satellite communication.

컨트롤 영역(30)은 선박 내에서의 유선 통신망을 이용하는 공정 장비들의 통신 처리를 수행할 수 있다.Thecontrol area 30 can perform communication processing of process equipment using a wired communication network within the ship.

컨트롤 영역(30)의 일 예시에 따르면, 엔진, 발전기, 오토메이션, 배전반 등의 컨트롤 기반 장비를 포함할 수 있다. 컨트롤 영역(30)은 이와 같은 컨트롤 기반 장비들의 전체적인 통신 관리를 수행할 수 있다.According to one example, thecontrol area 30 may include control-based equipment such as engines, generators, automation, and switchboards. Thecontrol area 30 can perform overall communication management of such control-based devices.

네비게이션 영역(40)은 선박의 항해와 관련된 통신 처리를 수행할 수 있다. 네비게이션 영역(40)은 선박의 항해와 관련된 장비들을 포함할 수 있다. 네비게이션 영역(40)은 네비게이션 장비 및 선내 방송/통신용 장비를 포함할 수 있다.Thenavigation area 40 can perform communication processing related to ship navigation. Thenavigation area 40 may include equipment related to ship navigation. Thenavigation area 40 may include navigation equipment and onboard broadcasting/communication equipment.

서포트 영역(50)은 선박 네트워크 시스템(1)의 지원 서버와 통신을 수행할 수 있다. 서포트 영역(50)은 선박 네트워크 시스템(1)에서의 전체적인 통신 모니터링을 수행할 수 있다. 서포트 영역(50)은 생략될 수도 있다. 서포트 영역(50)은 시스템 지원 장비 및 서버들을 포함할 수 있다.Thesupport area 50 can communicate with the support server of theship network system 1. Thesupport area 50 can perform overall communication monitoring in theship network system 1. Thesupport area 50 may be omitted.Support area 50 may include system support equipment and servers.

도 1을 참조하면, DMZ(60)를 제외한 5개의 서로 다른 통신 영역이 제시된다. 5개의 서로 다른 통신 영역은 DMZ(60)와 각각 통신을 수행할 수 있도록 함으로써 보안을 보다 강화하고, 보다 신속한 처리를 수행할 수 있도록 할 수 있다.Referring to Figure 1, five different communication areas are presented excluding the DMZ (60). Five different communication areas can each communicate with theDMZ 60, thereby further strengthening security and enabling faster processing.

또한, 각각의 통신 영역은 해당 통신 영역이 가지는 네트워크를 통해 통신 처리를 수행하여, 하나의 통신 영역에 포함된 구성요소끼리는 해당 통신 영역에서의 네트워크를 통해 처리하고, 서로 다른 통신 영역에 포함된 구성요소와의 통신 처리가 필요한 경우, DMZ(60)를 통해 통신 처리를 수행하도록 할 수 있다.In addition, each communication area performs communication processing through the network of that communication area, so that components included in one communication area are processed through the network in that communication area, and components included in different communication areas are processed through the network in that communication area. If communication processing with an element is necessary, communication processing can be performed through the DMZ (60).

본 발명의 일 예시에 따르면 유사한 특징을 가지는 구성요소들을 하나의 통신 영역으로 묶어서 관리를 수행함으로써 일전에 구성요소 각각을 통해 통신을 직접 수행하여야 했던 점에 비해 효율적인 통신 처리가 가능하다.According to an example of the present invention, components with similar characteristics are grouped into one communication area and managed, thereby enabling efficient communication processing compared to the previous case where communication had to be performed directly through each component.

선박 네트워크 시스템(1)의 복수 개의 통신 영역으로 분류하는 것에 있어서, 도 1에 개시된 바와 같은 복수 개의 통신 영역의 기준에 포함되지 않는 구성요소가 있거나, 어떠한 통신 영역에 포함되는지 애매한 구성요소가 있을 수 있다. 이러한 경우 복수 개의 통신 영역에 속하지 않는 별도의 구성요소로써 관리를 수행할 수도 있다. 이 때도 역시 DMZ(60)를 통해서만 통신이 가능할 수 있도록 함으로써 보안을 효율적으로 처리할 수 있다.In classifying theship network system 1 into a plurality of communication areas, there may be components that are not included in the criteria of a plurality of communication areas as shown in FIG. 1, or there may be components that are ambiguous as to which communication area they are included in. there is. In this case, management may be performed as a separate component that does not belong to multiple communication areas. In this case as well, security can be handled efficiently by allowing communication only through the DMZ (60).

도 1에 도시되지는 아니하였으나, 복수 개의 통신 영역은, 리모트 영역(20), 엔터프라이즈 영역(10), 네비게이션 영역(40), 컨트롤 영역(30) 및 서포트 영역(50)에 포함되지 않는 선박 내의 구성요소에서의 통신 처리를 수행하는 추가 통신 영역을 더 포함할 수 있다. 추가 통신 영역은 도 1에 도시된 바와 같은 통신 영역의 기준에 포함되지 않는 구성요소가 있을 때 해당 구성요소들의 통신 처리를 통합하여 수행할 수 있다. 추가 통신 영역은 하나로 제공될 수도 있고, 두 개 이상으로 제공될 수도 있다.Although not shown in FIG. 1, a plurality of communication areas are located within the ship that are not included in theremote area 20,enterprise area 10,navigation area 40,control area 30, andsupport area 50. It may further include an additional communication area that performs communication processing in the component. When there are components that are not included in the standards of the communication area as shown in FIG. 1, the additional communication area can be performed by integrating the communication processing of the corresponding components. Additional communication areas may be provided as one, or as two or more.

또는 복수 개의 통신 영역에 포함되지 않는 구성요소의 경우 스위치 등을 이용하여 각각의 통신 영역과 연결하여 처리할 수도 있다.Alternatively, components that are not included in multiple communication areas can be processed by connecting them to each communication area using switches, etc.

본 발명에서 일 실시 예로 구분한 5개의 통신 영역은 일 예시일 수 있으며 선박의 구조 및 타입에 따라 일부의 통신 영역은 변경되거나 제거될 수도 있다.The five communication areas classified as an example in the present invention may be an example, and some communication areas may be changed or removed depending on the structure and type of the ship.

즉 본 발명의 일 예시에 따라 제시된 통신 영역 이외에도 필요에 따라 추가 통신 영역을 부가하여 선박 네트워크 시스템(1)으로 구성할 수 있다.That is, in addition to the communication area presented according to an example of the present invention, theship network system 1 can be configured by adding additional communication areas as needed.

도 2는 본 발명에 따른 DMZ(60)의 구성을 나타내는 블록도이다.Figure 2 is a block diagram showing the configuration of theDMZ 60 according to the present invention.

도 2를 참조하면, DMZ(60)는 통신 처리 모듈(61)과 보안 관리 모듈(62)을 포함할 수 있다.Referring to FIG. 2, theDMZ 60 may include acommunication processing module 61 and asecurity management module 62.

본 발명에 따르면 DMZ(60)에서는 복수 개의 통신 영역 간의 네트워크 연결을 수행할 수 있다. DMZ(60)에서는 복수 개의 통신 영역 간의 통신 처리를 수행할 수 있으며, 서로 다른 통신 영역 간에 통신이 이루어질 시에 처리되는 데이터 및 네트워크에 대한 보안 관리를 함께 수행할 수 있다.According to the present invention, theDMZ 60 can perform network connections between a plurality of communication areas. TheDMZ 60 can perform communication processing between a plurality of communication areas, and can also perform security management for the data and network processed when communication occurs between different communication areas.

본 발명에 따른 선박 네트워크 시스템(1)은 복수 개의 통신 영역 별로 네트워크를 가지며, 해당 통신 영역이 가지는 네트워크를 통해 통신 영역 내에서의 통신 처리를 관장한다. 복수 개의 서로 다른 통신 영역끼리 통신 처리가 필요한 경우, DMZ(60)를 통해 서로 다른 네트워크 간 연결을 통해 통신 처리를 할 수 있다.Theship network system 1 according to the present invention has a network for each of a plurality of communication areas, and manages communication processing within the communication area through the network of the corresponding communication area. When communication processing is required between a plurality of different communication areas, communication processing can be performed through connections between different networks through the DMZ (60).

DMZ(60)에 포함된 통신 처리 모듈(61)은 서로 다른 통신 영역에서의 통신 네트워크를 처리하는 서버를 포함할 수 있다. 통신 처리 모듈(61)은 해당 서버를 통해 각각의 네트워크의 연결 처리를 수행할 수 있다.Thecommunication processing module 61 included in theDMZ 60 may include a server that processes communication networks in different communication areas. Thecommunication processing module 61 can perform connection processing for each network through the corresponding server.

통신 처리 모듈(61)에서는 서로 다른 영역 간 통신 또는 외부와의 통신 시 인터페이스 역할을 수행할 수 있다. 이 때 외부는 육상 지역을 의미한다.Thecommunication processing module 61 may serve as an interface when communicating between different areas or communicating with the outside. In this case, outside refers to the land area.

DMZ에 포함된 통신 처리 모듈(61)에서는 별도의 위성을 통해 통신하지 않도록 할 수 있다. 만일 별도의 위성을 통해 연결되어 처리되는 통신 데이터에 대해서는, 차단 처리를 수행할 수 있다. 별도로 위성으로 통신을 시도하는 경우 해당 장비 또는 데이터가 어떠한 것인지 식별하는 과정을 거칠 수 있다. 일 예시에 따르면, 네비게이션 영역에서 ECDIS(전자해도정보시스템)의 차트를 육상에서 업데이트 할 필요성이 있을 수 있다. 네비게이션 영역은 차트를 육상에서 업데이트 하는 경우 별도의 위성을 통해 통신을 수행할 수 있다. 이 때 통신 처리 모듈(61)은 별도의 위성에 대한 식별 처리를 수행할 수 있다.Thecommunication processing module 61 included in the DMZ can prevent communication through a separate satellite. If communication data is connected and processed through a separate satellite, blocking processing can be performed. If you attempt to communicate separately via satellite, you may go through a process to identify the equipment or data in question. According to one example, in the navigation area, there may be a need to update charts on land in an ECDIS (Electronic Navigational Navigation Information System). The navigation area can communicate via a separate satellite when updating charts on land. At this time, thecommunication processing module 61 may perform identification processing for a separate satellite.

DMZ(60)는 복수 개의 통신 영역에서 처리되는 통신 데이터들을 모두 수집할 수 있다. DMZ(60)는 복수 개의 통신 영역 간 통신 처리가 수행될 때 처리되는 통신 데이터들을 수집할 수 있다. 보안 관리 모듈(62)은 수집된 통신 데이터들에 대한 로그 분석을 수행할 수 있다.TheDMZ 60 can collect all communication data processed in a plurality of communication areas. TheDMZ 60 can collect communication data that is processed when communication processing between a plurality of communication areas is performed. Thesecurity management module 62 may perform log analysis on the collected communication data.

보안 관리 모듈(62)은 통신 처리 모듈(61)에서 통신 처리가 수행될 시 이용되는 각 통신 영역의 네트워크에 대한 보안 검사를 수행할 수 있다. 보안 관리 모듈(62)은 통신 처리 모듈(61)에서 통신 처리가 수행될 시 처리되는 통신 데이터의 보안 검사를 수행할 수 있다.Thesecurity management module 62 may perform a security check on the network of each communication area used when communication processing is performed in thecommunication processing module 61. Thesecurity management module 62 may perform a security check on communication data processed when communication processing is performed in thecommunication processing module 61.

DMZ(60)에 포함되는 통신 처리 모듈(61)에서의 통신 처리와, 보안 관리 모듈(62)에서의 보안 검사는 동시에 수행될 수도 있다.Communication processing in thecommunication processing module 61 included in theDMZ 60 and security inspection in thesecurity management module 62 may be performed simultaneously.

DMZ(60)에서 수집되는 통신 데이터들 중 DMZ를 통하지 않고 다른 통신 영역 간에 처리되는 데이터가 있는 경우, 보안 관리 모듈(62)은 이를 통신 처리 대상으로 삼지 않고 해당 데이터 및 해당 데이터가 수신된 네트워크에 대한 차단 처리를 할 수 있다.If, among the communication data collected in theDMZ 60, there is data that is processed between other communication areas without going through the DMZ, thesecurity management module 62 does not subject this data to communication processing and stores the data and the network from which it was received. You can block it.

보안 관리 모듈(62)에서는 DMZ(60)에서 수집되는 통신 데이터들 중 통신 포트를 통해 수신된 데이터의 경우, 해당 데이터가 기설정된 통신 포트를 통해 접근된 데이터에 해당하는 경우, 통신 처리가 진행될 수 있도록 할 수 있다.In thesecurity management module 62, in the case of data received through a communication port among the communication data collected in theDMZ 60, if the data corresponds to data accessed through a preset communication port, communication processing may proceed. It can be done.

보안 관리 모듈(62)에서는 DMZ(60)에서 수집되는 통신 데이터들 중 통신 포트를 통해 수신된 데이터의 경우, 해당 데이터가 기설정된 통신 포트를 통해 접근된 데이터에 해당되지 않는 경우, 해당 데이터 및 해당 데이터가 수신된 통신 포트에 대한 차단 처리를 수행하여 통신 처리 대상으로 삼지 않을 수 있다.In thesecurity management module 62, in the case of data received through a communication port among the communication data collected in theDMZ 60, if the data does not correspond to data accessed through a preset communication port, the data and You can perform blocking processing on the communication port through which data was received so that it is not subject to communication processing.

DMZ(60)에서는 정해진 루트를 통해 입력 받은 데이터나, 서로 다른 통신 영역 간 통신 처리가 수행될 때 DMZ를 통해 통신 처리가 되는 데이터에 대해서만 통신 처리가 가능할 수 있도록 할 수 있고, 정해진 루트를 통해 입력되지 않은 데이터의 경우 기설정된 통신 포트를 통해 접근된 데이터인지 여부를 확인하여 차단 여부를 결정함으로써, 보안 이슈에 대응할 수 있다.In theDMZ 60, communication processing is possible only for data input through a designated route or data that is communicated through the DMZ when communication processing between different communication areas is performed, and data input through a designated route is possible. In the case of data that has not been accessed, security issues can be responded to by checking whether the data was accessed through a preset communication port and deciding whether to block it.

정해진 루트롤 통해 입력되지 않은 데이터란, 외부 네트워크를 이용하거나, 다른 통신 포트를 통해 접근한 데이터를 의미한다.Data not entered through a designated root role refers to data accessed using an external network or through another communication port.

기설정된 통신 포트는 사용자가 설정할 수 있다. 일 예시에 따르면 통신 포트는 USB, 이더넷 포트(Ethernet Port) 등일 수 있다. USB 등 외부에서 인가되는 데이터 포트로 데이터가 인가되는 경우, 이를 기설정된 통신 포트의 범위에 포함시키지 않을 수 있다. 이를 통해 외부에서 인가되는 데이터들의 보안 관리를 보다 철저히 수행함으로써 혹시나 발생할 수 있는 보안 이슈에 대응할 수 있는 효과가 존재한다.The preset communication port can be set by the user. According to one example, the communication port may be USB, Ethernet port, etc. When data is applied through an external data port such as USB, it may not be included in the range of the preset communication port. This has the effect of being able to respond to security issues that may arise by more thoroughly managing the security of externally authorized data.

보안 관리 모듈(62)은 선박 네트워크 시스템에서의 OS 업데이트 처리를 수행할 수도 있다. 보안 관리 모듈(62)은 OS, 바이러스 등의 업데이트를 수행하여 보안을 최적화하여 유지할 수 있다.Thesecurity management module 62 may also perform OS update processing in the ship network system. Thesecurity management module 62 can optimize and maintain security by updating the OS, viruses, etc.

DMZ(60)에서는, 모든 선박 내에서의 통신 데이터에 대한 로그를 저장하며, 통신 이상이 발생할 경우 해당 데이터 및 해당 데이터가 수신된 원천이 되는 네트워크 혹은 통신 포트를 즉시 차단 처리할 수 있다. 또한 DMZ에서는 컴퓨터를 베이스로 한 OS, 바이러스 등을 일괄적으로 업데이트할 수 있다.In the DMZ (60), logs of communication data within all ships are stored, and if a communication abnormality occurs, the data and the network or communication port from which the data was received can be immediately blocked. Additionally, in the DMZ, computer-based OS, viruses, etc. can be updated in batches.

또한, 복수 개의 통신 영역 각각은 각각의 통신 영역이 처리되는 네트워크를 보호할 수 있는 방화벽을 포함할 수 있다. 방화벽은 각각의 통신 영역의 네트워크의 보호 역할 외에도, 서로 다른 통신 영역 간 통신 처리의 건널목 역할을 수행할 수 있다.Additionally, each of the plurality of communication areas may include a firewall that can protect the network through which each communication area is processed. In addition to protecting the network of each communication area, a firewall can also serve as a crossing for communication processing between different communication areas.

본 발명은 선박 내의 통신이 필요한 다양한 구성요소에 대한 네트워크 설계에 있어서, 복수 개의 통신 영역으로 분류하여 통신 처리를 수행할 수 있도록 하고, 해당 통신 영역 간의 보안을 위한 방화벽이 통신 영역 별로 설치될 수 있다.The present invention, in designing a network for various components that require communication within a ship, allows communication processing to be performed by classifying them into a plurality of communication areas, and a firewall for security between the communication areas can be installed for each communication area. .

복수 개의 통신 영역 각각이 포함하는 보안 장비는 선박 고유의 장비의 특성 및 시스템 구조에 맞게 변형될 수 있다. 또한 복수 개의 통신 영역 각각이 포함하는 보안 장비들은 선박의 고유 장비의 특성 및 시스템 구조에 따라 매칭될 수 있다.Security equipment included in each of the plurality of communication areas can be modified to suit the characteristics and system structure of the ship's unique equipment. Additionally, the security equipment included in each of the plurality of communication areas can be matched according to the characteristics and system structure of the ship's unique equipment.

본 발명에서의 DMZ는 선박 내에 위치하는 네트워크들을 통제하고, 외부로 나가는 즉, 위성을 통하여 선외, 육상으로 가는 모든 데이터를 DMZ를 통해서 전송될 수 있도록 함으로써 보안 관리를 수행할 수 있다. 또한 선박 내의 데이터를 모니터링 하도록 하여 일괄 통제할 수 있다.The DMZ in the present invention controls the networks located within the ship and can perform security management by allowing all data going outside, that is, to the outside of the ship or to land via satellite, to be transmitted through the DMZ. Additionally, data within the ship can be monitored and collectively controlled.

보안 관리 모듈(62)에서는 다음과 같은 일 예시에 따라 보안 관리를 수행할 수 있다.Thesecurity management module 62 may perform security management according to the following example.

보안 관리 모듈(62)은 처리 대상 데이터의 연결 포트를 체크할 수 있다. 연결 포트가 기설정된 연결 포트에 해당하는 경우, 소스 및 목적 주소를 체크할 수 있다.Thesecurity management module 62 can check the connection port of the data to be processed. If the connection port corresponds to a preset connection port, you can check the source and destination addresses.

소스 및 목적 주소가 체크되면, 명령어를 체크할 수 있다. 명령어가 서버 내에 존재하는 명령어와 일치하는 경우, 허용된 통신 명령어를 사용하도록 할 수 있다. 그 후, 멀웨어 보호(Malware Protection)의 기준에 적합한지 여부를 판단할 수 있다. 그 후, 통신 데이터 및 파일에서의 악성 코드 존재 여부 등을 체크할 수 있다. 이와 같은 과정에서, 악성 코드가 감지되거나, 기설정된 연결 포트에 해당하지 않거나, 명령어가 일치하지 않는 등의 사정이 있는 경우 해당 데이터의 침입을 차단 처리하고, 이를 DMZ에 보고 처리할 수 있다.Once the source and destination addresses are checked, the instruction can be checked. If the command matches a command existing in the server, allowed communication commands can be used. Afterwards, it can be determined whether it meets the standards for malware protection. Afterwards, the presence of malicious code in communication data and files can be checked. In this process, if malicious code is detected, it does not correspond to a preset connection port, or there are circumstances such as commands that do not match, the intrusion of the relevant data can be blocked and reported to the DMZ for processing.

그러나 상기와 같은 일 예시는 예시에 불과하며 보안 관리 모듈(62)은 다양한 방법을 이용하여 보안 관리를 수행할 수 있다.However, the above example is only an example, and thesecurity management module 62 may perform security management using various methods.

도 3은 실제 선박 네트워크에 포함된 구성요소들을 본 발명에 따른 선박 네트워크 시스템(1)을 기준으로 분류한 것을 나타내는 도면이다.Figure 3 is a diagram showing components included in an actual ship network classified based on theship network system 1 according to the present invention.

도 3에 따르면 실제 선박 네트워크에 포함된 구성요소들을 본 발명의 일 실시예에 따라 분류한 통신 영역에 따라 배치한 것을 나타낸다.Figure 3 shows the arrangement of components included in an actual ship network according to communication areas classified according to an embodiment of the present invention.

DMZ(60)는 백업 서버를 포함할 수 있다. DMZ(60)는 나머지의 모든 복수의 통신 영역(10, 20, 30, 40, 50)과 연결될 수 있다.DMZ 60 may include a backup server.DMZ 60 can be connected to all of the remainingcommunication zones 10, 20, 30, 40, and 50.

DMZ(60)는 엔터프라이즈 영역(10), 리모트 영역(20), 컨트롤 영역(30), 네비게이션 영역(40) 및 서포트 영역(50)과 각각 연결될 수 있다.TheDMZ 60 may be connected to theenterprise area 10,remote area 20,control area 30,navigation area 40, andsupport area 50, respectively.

DMZ(60)는 각각의 통신 영역과 연결하는 역할을 수행하여, 서로 다른 통신 영역 간의 연결을 수행할 수도 있다. 일 예시에 따르면, 네비게이션 영역(40)에서 위성 통신과 관련된 처리를 수행하여야 하거나, 위성 통신과 관련된 정보를 처리하고 싶은 경우 리모트 영역(20)과의 통신 연결이 필요하다. 그 때 DMZ(60)를 거쳐서 통신 연결이 될 수 있도록 함으로써 기존의 구성요소끼리 직접 연결을 수행하는 경우보다, 보안의 측면에서 보다 강화되어 처리될 수 있다.TheDMZ 60 serves to connect each communication area and can also perform connections between different communication areas. According to one example, if processing related to satellite communication needs to be performed in thenavigation area 40 or information related to satellite communication needs to be processed, a communication connection with theremote area 20 is required. At that time, by enabling a communication connection through the DMZ (60), security can be more strengthened than in the case of direct connection between existing components.

DMZ(60)는 통신 처리 모듈(61)과 보안 관리 모듈(62)을 더 포함할 수 있다. DMZ(60)는 다양한 보안 솔루션을 포함할 수 있다.TheDMZ 60 may further include acommunication processing module 61 and asecurity management module 62.DMZ 60 may include various security solutions.

통신 처리 모듈(61)의 일 실시 예에 따르면, RAS(Remote Access Server)를 포함할 수 있다. RAS는 복수 개로 제공되어, 통신 처리가 필요한 복수 개의 구성요소들의 방화벽과 연결될 수 있다. RAS는 원격 접속에 대한 인증, 세션 모니터링, 접속 가능 시스템 및 접속 허용시간 통제 등을 수행할 수 있다. DMZ(60)에는 선박 서버가 존재하여 다양한 네트워크를 관리할 수도 있다.According to one embodiment, thecommunication processing module 61 may include a Remote Access Server (RAS). RAS is provided in multiple pieces and can be connected to the firewall of multiple components that require communication processing. RAS can perform authentication for remote access, session monitoring, and control of accessible systems and access time. A ship server may exist in the DMZ (60) to manage various networks.

보안 관리 모듈(62)의 일 예시에 따르면, PMS(Patch Management System)를 포함할 수 있다. PMS는 선내 PC, 워크스테이션에 대한 보안패치를 수행할 수 있다.According to one example, thesecurity management module 62 may include a Patch Management System (PMS). PMS can perform security patches for PCs and workstations on board.

보안 관리 모듈(62)의 일 예시에 따르면, FW/IPS를 포함할 수 있다. FW/IPS는 IP/Port 기반 데이터 통신 허용 및 차단을 수행할 수 있다. FW/IPS는 해커로부터의 공격 탐지 및 차단을 수행할 수 있다.According to one example, thesecurity management module 62 may include FW/IPS. FW/IPS can allow and block data communication based on IP/Port. FW/IPS can detect and block attacks from hackers.

보안 관리 모듈(62)의 일 예시에 따르면, MPS(Malware Protection System)를 포함할 수 있다. MPS는 악성코드 탐지 및 차단을 수행할 수 있다.According to one example, thesecurity management module 62 may include a Malware Protection System (MPS). MPS can perform malware detection and blocking.

보안 관리 모듈(62)의 일 예시에 따르면, NAC(Network Access Control)을 포함할 수 있다. NAC는 PC 등 단말의 네트워크 접속 인증, 접속 가능한 장비 통제, 단말의 안전성 검증 등을 수행할 수 있다.According to one example, thesecurity management module 62 may include Network Access Control (NAC). NAC can perform network connection authentication of terminals such as PCs, control of accessible devices, and verification of terminal safety.

보안 관리 모듈(62)의 일 예시에 따르면, SIEM(Security Information and Event Management)을 포함할 수 있다. SIEM은 보안장비, 시스템 등으로부터 각종 보안 데이터를 통합 수집하여 연관 분석 및 선내 보안현황 모니터링을 수행할 수 있다.According to one example, thesecurity management module 62 may include Security Information and Event Management (SIEM). SIEM can collect various security data from security equipment, systems, etc. to perform related analysis and monitor the security status on board.

보안 관리 모듈(62)의 일 예시에 따르면, 중앙 집중 서버(Central Management System)을 포함할 수 있다. 중앙 집중 서버는 보안 관리에 대한 모든 처리를 관제할 수 있다. 중앙 집중 서버는 선박 네트워크 시스템에서의 보안 관리를 위한 보안 솔루션을 업데이트할 수도 있다. 중앙 집중 서버는 DMZ에 포함되는 다양한 보안 관련 구성요소 및 통신 관련 구성요소들의 집중적 제어를 수행할 수 있다.According to one example, thesecurity management module 62 may include a centralized server (Central Management System). A centralized server can control all processing for security management. A centralized server can also update security solutions for security management in ship network systems. The centralized server can perform centralized control of various security-related components and communication-related components included in the DMZ.

DMZ(60)는 백업이 가능한 서버를 더 포함하여, 정전 또는 해킹 등의 사안에 대비할 수 있다.TheDMZ 60 further includes servers capable of backing up and can prepare for events such as power outages or hacking.

DMZ(60)는 전술한 바와 같은 구성요소를 포함함으로써, 선박 네트워크 시스템에서의 통신 처리 및 보안 관리를 수행할 수 있다.TheDMZ 60 can perform communication processing and security management in a ship network system by including the components described above.

일 예시에 따르면 엔터프라이즈 영역(10)은 선원들의 와이파이 통신 영역을 포함할 수 있다. 엔터프라이즈 영역(10)은 선원 간 주고받는 메일 서버를 포함할 수 있다. 엔터프라이즈 영역(10)은 선박 유지를 위한 서버 및 데이터 분석 서버를 더 포함할 수 있다. 엔터프라이즈 영역(10)은 선원들이 사용하는 노트북이나 핸드폰, 모바일 기기 등을 포함할 수도 있다. 엔터프라이즈 영역(10)은 선박 내의 무선 통신망으로 연결되는 장비들 및 해당 장비들이 통신되는 서버를 포함할 수 있다.According to one example, theenterprise area 10 may include a crew member's Wi-Fi communication area. Theenterprise area 10 may include a mail server for sending and receiving mail between crew members. Theenterprise area 10 may further include servers for ship maintenance and data analysis servers. Theenterprise area 10 may include laptops, cell phones, mobile devices, etc. used by crew members. Theenterprise area 10 may include equipment connected to a wireless communication network within the ship and a server through which the equipment communicates.

엔터프라이즈 영역(10)은 WIPS(Wireless Intrusion Prevention System)를 포함할 수 있다. WIPS는 비인가 무선 접속 통제 및 무선 접속을 통한 침입을 탐지하고 차단을 수행할 수 있다. 리모트 영역(20)은 위성 통신기를 포함할 수 있다. 리모트 영역(20)은 VSAT 링크 라우터를 포함할 수 있다. 리모트 영역(20)은 방화벽을 포함할 수도 있다.Theenterprise area 10 may include a Wireless Intrusion Prevention System (WIPS). WIPS can control unauthorized wireless access and detect and block intrusions through wireless access. Theremote area 20 may include a satellite communicator. Theremote area 20 may include a VSAT link router. Theremote area 20 may include a firewall.

네비게이션 영역(40)은 네비게이션 관련 장비와, 그 장비를 이용한 통신 관련 장비들을 포함할 수 있다. 일 예시에 따르면 네비게이션 영역(40)은 GPS와 레이더, 자이로스코프 등을 포함할 수 있다. 또는 네비게이션 영역(40)은 ECDIS(전자해도정보시스템; Electronic Chart Display and Information System)을 포함할 수도 있다. 네비게이션 영역(40)은 선박자동식별시스템(AIS)과 음향 측심기(Echo Sounder) 등을 더 포함할 수도 있다.Thenavigation area 40 may include navigation-related equipment and communication-related equipment using the equipment. According to one example, thenavigation area 40 may include GPS, radar, and gyroscope. Alternatively, thenavigation area 40 may include ECDIS (Electronic Chart Display and Information System). Thenavigation area 40 may further include an automatic identification system (AIS) and an echo sounder.

컨트롤 영역(30)은 선박 내의 공정 장비들을 포함할 수 있다. 컨트롤 영역(30)은 선박 내의 유선 통신망으로 연결되는 장비들 및 해당 장비들이 통신되는 서버를 포함할 수 있다. 컨트롤 영역(30)은 엔진, 밸러스트, 추진 시스템(Propulsion), 조타 장치, 수밀(watertight), IAS, 프로펠러 등의 장비들을 포함할 수 있으며, 컨트롤 영역(30)이 포함하는 장비들에 대한 전반적인 통신 제반 관리를 수행할 수 있다.Thecontrol area 30 may include process equipment within the ship. Thecontrol area 30 may include equipment connected to a wired communication network within the ship and a server through which the equipment communicates. Thecontrol area 30 may include equipment such as engines, ballast, propulsion, steering gear, watertight, IAS, and propellers, and provides overall communication for the equipment included in thecontrol area 30. All management can be performed.

컨트롤 영역(30)에 포함된 구성요소들 중 다른 통신 영역과 통신이 필요한 장비에는 방화벽이 포함될 수 있다.Among the components included in thecontrol area 30, equipment that requires communication with other communication areas may include a firewall.

도 3을 참조하면, 본 발명의 선박 네트워크 시스템(1)의 복수 개의 통신 영역들에는 데이터 다이오드(Data Diode)가 포함될 수 있다. 데이터 다이오드란, 오로지 한 방향으로 데이터가 흐르며, 정보의 보안을 보증하기 위해 사용되는 네트워크 장비를 의미한다. 이를 포함하도록 설치함으로써 보안을 보다 강화할 수 있는 효과가 있다. 그러나 데이터 다이오드(Data Diode)는 선박 네트워크 및 장비의 특성에 따라 별도로 구성할 수도 있다. 서포트 영역(50)은 시스템 지원과 관련된 서버 및 서버 전체의 모니터링과 관련한 구성요소를 포함할 수 있다.Referring to FIG. 3, a plurality of communication areas of theship network system 1 of the present invention may include data diodes. A data diode is a network device that allows data to flow in only one direction and is used to ensure the security of information. Installing it to include this has the effect of further strengthening security. However, the data diode can be configured separately depending on the characteristics of the ship network and equipment. Thesupport area 50 may include servers related to system support and components related to monitoring of the entire server.

본 발명에서 설정한 복수개의 서로 다른 통신 영역들은 해당 통신 영역의 특성에 부합하는 구성 요소들과, 해당 구성 요소들이 통신되는 서버를 포함할 수 있으며, 복수개의 서로 다른 통신 영역들은 해당 통신 영역의 특성에 부합하는 구성 요소들의 통신 관리 및 보안 처리를 수행할 수 있다. 이와 같이 특성 별로 나눠진 통신 영역들을 기준으로 통신 처리를 수행함으로써, 선박 네트워크 시스템(1)에서 통신 관리를 보다 효율적으로 수행할 수 있다.The plurality of different communication areas set in the present invention may include components that match the characteristics of the corresponding communication area and a server through which the components are communicated, and the plurality of different communication areas may include the characteristics of the corresponding communication area. Communication management and security processing of components that comply with can be performed. By performing communication processing based on communication areas divided by characteristics in this way, communication management can be performed more efficiently in theship network system 1.

도 3에 따르면 이 때 복수의 통신 영역은 DMZ(60)을 포함할 수 있다. 복수의 통신 영역은 엔터프라이즈 영역(10)과 리모트 영역(20)을 포함하도록 구성될 수 있다. 복수의 통신 영역은 컨트롤 영역(30)과 네비게이션 영역(40), 서포트 영역(50)을 포함하도록 구성될 수 있다.According to FIG. 3, at this time, a plurality of communication areas may include a DMZ (60). A plurality of communication areas may be configured to include anenterprise area 10 and aremote area 20. A plurality of communication areas may be configured to include acontrol area 30, anavigation area 40, and asupport area 50.

본 발명의 선박 네트워크 시스템(1)을 구성하는 방법은 선박 네트워크 내의 복수의 구성요소들의 통신을 분류하는 기준이 되는 복수의 통신 영역을 설정할 수 있다. 복수의 통신 영역들이 설정되면, 선박 내에 포함되는 다양한 구성요소들을 복수의 통신 영역 각각에 포함되도록 분류할 수 있다. 다양한 구성요소들은 복수의 통신 영역에 분류하여 배치를 수행할 수 있다. 다양한 구성요소들은 통신 처리가 필요한 구성요소들일 수 있다.The method of configuring theship network system 1 of the present invention can set a plurality of communication areas that serve as a standard for classifying communications of a plurality of components within the ship network. Once a plurality of communication areas are set, various components included within the ship can be classified to be included in each of the plurality of communication areas. Various components can be classified and deployed into multiple communication areas. Various components may be components that require communication processing.

이와 같이 본 발명에서는 복수의 통신 영역을 설정하고, 선박 내에 포함되는 구성요소들을 복수의 통신 영역 각각에 매치하여 분류하여 구성함으로써 기능이 유사한 구성요소끼리 묶어서 한번에 효율적인 통신 처리가 가능한 효과가 존재한다.In this way, in the present invention, by setting a plurality of communication areas and classifying the components included in the ship by matching each of the plurality of communication areas, there is an effect of enabling efficient communication processing at once by grouping components with similar functions.

복수의 구성요소들을 각각의 복수의 통신 영역에 배치하는 기준은 다양하게 제시될 수 있다.Standards for arranging a plurality of components in each of the plurality of communication areas may be presented in various ways.

일 예시에 따르면 복수의 통신 영역 별로 구분하는 기준은 시스템 또는 장비의 위치가 어디인지에 따라 결정할 수 있다. 시스템 또는 장비의 배치 위치에 따라 해당 배치 위치로부터 해당 장비의 특성이 나타나는 경우 이를 통해 복수의 통신 영역 중 어느 하나로 분류를 수행할 수 있다.According to one example, the criteria for classifying multiple communication areas can be determined depending on where the system or equipment is located. Depending on the placement of the system or equipment, if the characteristics of the equipment appear from that placement, classification can be performed into one of a plurality of communication areas.

일 예시에 따르면 복수의 통신 영역 별로 구분하는 기준은 리모트 컨트롤(Remote Control) 기능이 있는지 여부에 따라 결정할 수 있다. 이러한 기능이 있는 경우 해당 구성요소를 리모트 영역(20)에 배치할 수 있다. 일 예시에 따르면 복수의 통신 영역 별로 구분하는 기준은 컴퓨터 기반으로 되어 있는지 여부에 따라 결정할 수 있다. 이는 소프트웨어의 업데이트가 필요한지 여부를 함께 고려하여 판단할 수 있다.According to one example, the criteria for classifying multiple communication areas can be determined based on whether a remote control function is available. If such a function exists, the corresponding component can be placed in the remote area (20). According to one example, the standard for classifying multiple communication areas can be determined depending on whether or not it is computer-based. This can be determined by considering whether a software update is necessary.

또한 통신 방식이 어떠한지 여부를 함께 고려하여 판단할 수 있다. 통신 방식이 이더넷(Ethernet) 기반으로 사용되는지 여부를 함께 고려할 수 있다. 이더넷 기반으로 사용되는 경우 컨트롤 영역(30)으로 배치될 수 있다.Additionally, the decision can be made by considering the communication method. You can also consider whether the communication method is based on Ethernet. When used based on Ethernet, it can be placed in the control area (30).

또한 장비의 기능 자체를 고려하여 판단할 수 있다. 일 예시에 따르면 장비의 기능이 컨트롤 시스템 관련인지, 네비게이션 기능인지. 통신 관련 기능인지, 엔터프라이즈 시스템 기능인지, 오퍼레이팅 시스템(Operating System)을 서포트 하는 기능인지, DMZ(60)에 있어야 하는 기능인지를 고려하여 복수의 통신 영역 중 어느 하나로 분류를 수행할 수 있다.In addition, the decision can be made by considering the function of the equipment itself. According to one example, whether the function of the equipment is related to a control system or a navigation function. Classification can be performed into one of a plurality of communication areas, considering whether it is a communication-related function, an enterprise system function, a function supporting the operating system, or a function that must be present in the DMZ (60).

또한 시스템 또는 장비가 통합형 구성 장비인지, 또는 어떠한 다른 장비와 물리적으로 연결되는 장비인지, 시스템상 연동되는 장비인지 또는 연결되지 않는 장비인지를 함께 고려하여 다양한 구성요소 간의 연결구조를 고려하여 복수의 통신 영역 중 어느 하나로 분류를 수행할 수도 있다.In addition, considering whether the system or equipment is an integrated component equipment, equipment that is physically connected to any other equipment, equipment that is interlocked in the system, or equipment that is not connected, and the connection structure between various components are considered, multiple communication Classification can also be performed into any of the areas.

도 4는 본 발명에서의 복수의 통신 영역 별 통신 처리를 수행하는 방법을 나타내는 순서도이다. 복수의 서로 다른 통신 영역 중 A 영역과 B 영역이 있다고 할 때, 두 영역 간 통신 처리를 수행하는 경우를 가정한다.Figure 4 is a flowchart showing a method of performing communication processing for a plurality of communication areas in the present invention. Assuming that there are area A and area B among a plurality of different communication areas, it is assumed that communication processing is performed between the two areas.

두 영역 간에 통신 처리를 수행하는 경우, 각각의 통신 영역에는 방화벽이 포함되어 있을 수 있다. 각각의 통신 영역 간 처리를 수행할 경우 전달되는 데이터들은 모두 해당 통신 영역이 포함하는 방화벽을 거쳐 처리되도록 할 수 있다.When performing communication processing between two areas, each communication area may include a firewall. When processing between each communication area, all transmitted data can be processed through the firewall included in the corresponding communication area.

도 4의 순서도를 참조하면, A 영역의 방화벽을 거친 통신 데이터는 DMZ로 데이터가 전달될 수 있다. DMZ에서는 전달되는 데이터와, 처리되는 네트워크 상의 보안 처리를 수행할 수 있다. DMZ에서는 전달되는 데이터 및 처리되는 네트워크의 로그 분석을 통해 데이터의 보안 상 문제가 존재하는지 여부를 판단할 수 있다. 만일 데이터에 보안 관련 문제가 없다고 판단되는 경우에는 이를 통신 대상이 되는 B 영역으로 전달을 수행할 수 있다. 이 때도 B 영역에 포함되는 방화벽을 거치도록 할 수 있다. B 영역에 포함되는 방화벽을 거치는 경우 A 영역과 B 영역 간 통신이 처리된다.Referring to the flow chart of FIG. 4, communication data that passes through the firewall in area A can be transmitted to the DMZ. In the DMZ, security processing can be performed on the data being transmitted and the network being processed. In the DMZ, it is possible to determine whether there are data security problems through analysis of logs of the transmitted data and the network being processed. If it is determined that there is no security-related problem with the data, it can be delivered to area B, which is the communication target. In this case, it can also be done through a firewall included in area B. When passing through a firewall included in area B, communication between areas A and B is processed.

즉 도 4에 따르면 각각의 영역에 포함된 방화벽에서도 간단하게 데이터를 구분하여 침입 여부를 확인할 수 있고, DMZ에서도 보안 검사를 수행하여 이중으로 보안 관리를 수행할 수 있음을 확인할 수 있다.In other words, according to FIG. 4, it can be confirmed that the firewall included in each area can easily classify data to check for intrusion, and the DMZ can also perform a security check to perform double security management.

본 발명에 따른 선박 네트워크 시스템(1)은 컴퓨터에 연결될 수 있다. Theship network system 1 according to the present invention can be connected to a computer.

본 발명의 일 실시예에 따른 선박 네트워크 시스템(1)은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Theship network system 1 according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination. Program instructions recorded on the medium may be specially designed and constructed for the present invention or may be known and usable by those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. -Includes optical media (magneto-optical media) and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상의 실시 예들은 본 발명의 이해를 돕기 위하여 제시된 것으로, 본 발명의 범위를 제한하지 않으며, 이로부터 다양한 변형 가능한 실시 예들도 본 발명의 범위에 속하는 것임을 이해하여야 한다. 본 발명의 기술적 보호범위는 특허청구범위의 기술적 사상에 의해 정해져야 할 것이며, 본 발명의 기술적 보호범위는 특허청구범위의 문언적 기재 그 자체로 한정되는 것이 아니라 실질적으로는 기술적 가치가 균등한 범주의 발명에 대하여까지 미치는 것임을 이해하여야 한다.It should be understood that the above embodiments are provided to aid understanding of the present invention, and do not limit the scope of the present invention, and that various modifications possible therefrom also fall within the scope of the present invention. The scope of technical protection of the present invention should be determined by the technical spirit of the patent claims, and the scope of technical protection of the present invention is not limited to the literal description of the claims themselves, but is substantially a scope of equal technical value. It should be understood that this extends to the invention of .

1 : 선박 네트워크 시스템
10 : 엔터프라이즈 영역
20 : 리모트 영역
30 : 컨트롤 영역
40 : 네비게이션 영역
50 : 서포트 영역
60 : DMZ
61 : 통신 처리 모듈
62 : 보안 관리 모듈1: Ship network system
10: Enterprise area
20: remote area
30: control area
40: Navigation area
50: support area
60 : DMZ
61: Communication processing module
62: Security management module

Claims

Translated fromKorean

선박 내에 포함되는 복수의 구성요소들의 통신 처리를 복수 개의 통신 영역으로 분류하여 처리하는 선박 네트워크 시스템에 있어서,
상기 선박 네트워크 시스템은,
상기 복수 개의 통신 영역들; 및
상기 복수 개의 통신 영역 상호 간의 통신을 연결하는 DMZ;를 포함하고,
상기 복수 개의 통신 영역이 각각 포함하는 선박 내의 구성요소들은 각각의 통신 영역이 가지는 네트워크를 통해 통신 처리를 수행하며,
상기 DMZ는,
상기 복수 개의 통신 영역 간의 네트워크 연결 및 통신 처리를 수행하는 통신 처리 모듈; 및
상기 선박 네트워크 시스템의 통신 처리 시의 보안 관리를 수행하는 보안 관리 모듈;을 포함하되,
상기 복수 개의 통신 영역들은,
상기 선박의 위성통신에 관한 통신 처리를 수행하는 리모트 영역;
상기 선박 내에서의 무선 통신망을 이용하는 구성요소들의 통신 처리를 수행하는 엔터프라이즈 영역;
상기 선박의 항해와 관련된 통신 처리를 수행하는 네비게이션 영역;
상기 선박 내에서의 유선 통신망을 이용하는 공정 장비들의 통신 처리를 수행하는 컨트롤 영역;
상기 선박 네트워크 시스템의 지원 서버와 통신하는 서포트 영역;
을 포함하고,
상기 선박 내의 구성요소들을 장비의 위치, 장비의 기능 및 구성요소 간의 연결구조를 고려하여 상기 복수 개의 통신 영역 각각에 포함되도록 분류하고 배치하는 선박 네트워크 시스템.
In a ship network system that classifies and processes communication processing of a plurality of components included in a ship into a plurality of communication areas,
The ship network system is,
the plurality of communication areas; and
A DMZ connecting communication between the plurality of communication zones,
Components within the ship included in each of the plurality of communication areas perform communication processing through the network of each communication area,
The DMZ is,
a communication processing module that performs network connection and communication processing between the plurality of communication areas; and
Includes a security management module that performs security management during communication processing of the ship network system,
The plurality of communication areas are,
A remote area that performs communication processing related to the ship's satellite communication;
an enterprise area that performs communication processing of components using a wireless communication network within the ship;
a navigation area that performs communication processing related to navigation of the vessel;
a control area that performs communication processing of process equipment using a wired communication network within the ship;
a support area that communicates with a support server of the ship network system;
Including,
A ship network system that classifies and arranges components within the ship to be included in each of the plurality of communication areas, considering the location of the equipment, the function of the equipment, and the connection structure between the components.

제1항에 있어서,
상기 통신 처리 모듈은,
상기 복수 개의 통신 영역 각각이 가지는 네트워크들을 연결할 수 있는 서버를 포함하는 선박 네트워크 시스템.
According to paragraph 1,
The communication processing module,
A ship network system including a server capable of connecting networks of each of the plurality of communication areas.

제2항에 있어서,
상기 DMZ는 상기 선박 네트워크 시스템에서 통신 처리되는 데이터들을 수집하고,
상기 보안 관리 모듈은 상기 수집된 통신 처리되는 데이터들의 로그 분석을 수행하는 선박 네트워크 시스템.
According to paragraph 2,
The DMZ collects data communicated and processed in the ship network system,
The security management module is a ship network system that performs log analysis of the collected and processed data.

제3항에 있어서,
상기 보안 관리 모듈은 상기 로그 분석을 통해 나타나는 정보가 상기 복수 개의 통신 영역 각각이 가지는 네트워크가 아닌 다른 네트워크에 의해 수신된 데이터인 경우, 상기 다른 네트워크를 차단 처리하는 선박 네트워크 시스템.
According to paragraph 3,
The security management module is a ship network system that blocks the other network when the information shown through the log analysis is data received by a network other than the network owned by each of the plurality of communication areas.

제3항에 있어서,
상기 보안 관리 모듈은, 상기 로그 분석을 통해 나타나는 정보가 통신 포트를 통해 수신된 데이터의 경우, 기설정된 통신 포트를 통해 수신된 데이터인지 확인하여, 기설정된 통신 포트를 통해 수신되지 않은 데이터의 경우 상기 통신 포트를 차단하는 선박 네트워크 시스템.
According to paragraph 3,
The security management module checks whether the information shown through the log analysis is data received through a preset communication port if the information appears through the log analysis, and if data is not received through the preset communication port, the security management module checks whether the information appears through the log analysis. Ship network system blocking communication ports.

제3항에 있어서,
상기 보안 관리 모듈은
상기 선박 네트워크 시스템에서의 OS 업데이트 처리를 수행하는 선박 네트워크 시스템.
According to paragraph 3,
The security management module is
A ship network system that performs OS update processing in the ship network system.

제3항에 있어서,
상기 보안 관리 모듈은 상기 선박 네트워크 시스템에서의 보안 관리를 위한 보안 솔루션을 생성 및 업데이트할 수 있는 것을 특징으로 하는 선박 네트워크 시스템.According to paragraph 3,
The security management module is a ship network system, characterized in that it can create and update a security solution for security management in the ship network system.

제1항 내지 제7항 중 어느 한 항에 있어서,
상기 복수 개의 통신 영역 각각은,
각각의 통신 영역이 처리되는 네트워크를 보호할 수 있는 방화벽을 포함하는 것을 특징으로 하는 선박 네트워크 시스템.

According to any one of claims 1 to 7,
Each of the plurality of communication areas is,
A ship network system comprising a firewall capable of protecting the network in which each communication area is processed.