보안 아키텍처 황인균 요약 “IT ” 전략계획실무과정 교육자료

한국 IT 비즈니스진흥협회

최기영 베스트 인포텍

보안아키텍처 - 기술프레임워크 (예시 )

네트워크보안

외부 서비스 내부 서비스 외부기관 연계 침입차단시스템

침입방지시스템 (IPS) 침입방지시스템 (IPS) 웹방화벽 IP관리

네트워크접근통제 (NAC) 유해사이트차단

VPN 서버보안시스템

DB 접근제어DB 암호화

NPKI인증본인확인 (I-PIN/G-PIN) 웹화면보안

증명서위변조방지

통합인증 (SSO)권한관리 (EAM) 문서 DRM

가상화시스템 (SBC) 웹전송구간암호화

키보드보안 바이러스백신PC 방화벽

스파이웨어백신 이동저장매체통제

PC자산관리 (SW,HW 등 ) 통합보안관제

취약점점검도구 (응용 , 네트워크 , 서버 ) 로그무결성

보안 USB

서버보안DB 보안

응용 보안

PC 보안

통합 보안

보안아키텍처 - 보안정책 ( 관리적보안 ) 기업의 전사 보안 정책은 최상위 레벨에서 보안 목표 , 보안 조직 , 관계 법령 등의 원칙이 정의되어야 하고 , 세부적으로 관리적 , 물리적 ,

기술적인 보안 지침 을 포함한다 .

보안 목표 보안 정책

보안 목표 보안 목표

관리적 보안 물리적 보안 기술적 보안 정보 시스템 업무 처리 지침 정보 시스템 업무 처리 지침 개인 정보 영향 평가

수행 지침 정보 시스템 업무 처리 지침 출입 통제 시스템 운영 지침 정보 시스템 실운영지침 정보 시스템 업무 처리 지침OS 시스템 보안 운영지침 웹 개발 보안 지침 통합 인증 체계 운영 지침

정보 시스템 업무 처리 지침 보안 업무 처리 규정 PC 반출입처리 지침 정보 시스템 업무 처리 지침 개인정보보호 처리지침 저장 장치 완전소거지침

CCTV 설치 .지침 인적보안 세부지침

정보 시스템 업무 처리 지침CCTV 운영 지침 정보 운영 위기 관리메뉴얼 정보 시스템 업무 처리 지침 업무 문서 보관 및 취급 지침 정보 시스템 보호

설비 운영 지침 개인 PC 보안 지침 DR 센터 운영 지침

네트워크 장비 보안 운영지침 웹 어플리케이션 소스 관리 지침 통합 사용자 인증 개발

지침 및 가이드 침입 차단 시스템 운영지침 웹 어플리케이션 취약점

진단 지침 통합 인증 게이트웨이 개발 지침

침입 탐지 시스템 운영시스템 웹 어플리케이션 소스 진단 지침 GPKI 연동 개발 지침

침입 사고 분석 대응 지침 NAC 운영 지침 계정 관리 정책 가상 사설망 운영 지침 서버 보안 운영 지침 통합계정관리시스템 운영지침

국가정보화기본법 정보 통신망법 전자정부법CEO

CIO

정보 보호팀

웹 방화벽 운영 지침 유해 사이트 차단시스템 운영 지침 등 총 36개

시스템 담당 개인정보 보호 담당 네트워크 담당

개인정보보호 분양별 책임관

개인정보보호 총괄책임관...

기밀성무결성가용성

보안아키텍처 - 보안시스템 ( 물리적보안 ) 시스템 관점에서 보안 영역은 22 종의 65 개의 관리적 보안 , 15 개의 물리적 보안 및 36 개의 기술적 보안 시스템으로 구성된다 .

보안 구성도

출입통제구역

네트워크장비

서버시스템 데이터베이스

사무실 전산실건물

침입차단시스템VPN

웹 방화벽IPS

유해사이트 차단 네트워크 접근 통제

Anti-DDos 서버 가상화 시스템

서버 보안서버취약점점검도구

통합 감사 로그

관계 법령 규정 기업 내부 규정 및 지침 물리적 보안 기술적 보안 보안 정책

TMS

이동저장매체통제PC자산관리

패치 관리PC 보안 정책 적용

문서 보안Anti-Virus불법 SW 차단 시스템저장자료완전삭제

PC

CCTV카드출입통제시스템

CCTV안전요원물리관제화제경보기소화설비 (스프링쿨러 ) 자가 발전기

CCTV

소스통합관리시스템 공공 I-PIN

웹 구간 암호화PKI스팸메일차단시스템개인정보노출점검

통합계정관리단일인증 (권한관리 )개인정보노출차단웹로그분석시스템

웹 취약점 점검 웹 소스 진단

지문인식출입통제시스템 무정전 전원공급장치

화재경보기소화설비 (NAF-3,소화기 )온 /습도계항온항습기공기청정기전산실출입관리대장DB접근통제 (감사 )DB암호화

응용시스템

보안아키텍처 - 보안기술 ( 기술적보안 ) 보안 기술 요소를 식별하여 관리 , 물리 , 기술로 분류하고 각 기술요소의 향후 보안 목표를 정의하고 해당 기술을 도입한다 .

기밀성 (Confidentiality) 무결성 (Integrity) 가용성 (Availability)

보 안목표

ID/Password 단일 인증 (권한관리 ) 공공 I-PIN 통합계정관리공인인증서

유해사이트 찬단 웹 방화벽 웹 로그 분석

개인정보 노출 차단 개인정보 노출 점검스팸메일차단시스템

웹 취약점 점검 웹 소스 진단

소스 통합 관리 웹 구간 암호화

서버 가상화 서버 보안서버취약점점검

DB접근통제 (감사 )

웹 사용자2 개 사업체10 개 출장소7개지역본부

Anti-Virus이동저장매체통제문서보안불법 SW차단시스템통합감사로그DB암호화 PC자산관리패치관리저장장치완전삭제

PC보안정책적용TMS 침입차단시스템IPS 네트워크접근통제VPN Anti-DDoS

사용자 인증 응용보안 시스템 보안 PC 보안보안인프라체계 네트워크 보안

Client

Front-End

Back-E

nd

평문

암호화

HTTPHTTPS

SSL

X.25

MPLS

정보보호 관련 법령 시스템 보안 정기 보안점검 공개 /대외비 CCTV 카드출입통제 지문인식출입통제 네트워크 보안

응용 (개인정보보호 ) 보안

보안 세미나 (외부강사 ) 안전요원 등출입통제

소화설비재해방지대책출입관리대장

개인정보보호 담당자보안정책및제도

보안정책 보안조직 보안제도 자산분류 건물보안 사무실보안 전산실보안 출입통제구역설정

기술적 보안

관리적 보안 (보안정책 ) 물리적 보안

보안아키텍처 - 수립및구축절차 (예시 ) 현재 보안 체계를 파악하여 보안 아키텍처를 정의 , 분석 및 개선사항을 도출하고 , 보안 아키텍처 목표 달성을 위한 과제를 수행

보안 현황 파악 현행 보안 아키텍처 정의 보안 아키텍처 현황 분석 목표 수립 및 과제 정의

현행 보안 아키텍처 분석● 관리적보안현황분석● 기술적보안현황분석● 물리적보안현황분석

현황 파악 대상 보안 요소 선정

보안 관련 자료 수집 담당자

면담 실시

인터뷰 결과 및 자료 분석

● 범정부메타모델 Ver2.0● 기업내보안요구사항정의

보안 요소별 분석 방안정의

현행 보안 아키텍처 정의● 보안정책체계도 /정의서● 보안구성도 /정의서● 보안관계도 /기술서

현행 보안 관점별 이슈 및 분석 결과 정리 현행 보안 아키텍처

개선사항 도출

보안 아키텍처 목표 수립

보안 아키텍처 과제 정의 및 수행

보안 아키텍처 구성 요소정의