• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Talk IT_ IBM_나병준_111025_Session2
 

Talk IT_ IBM_나병준_111025_Session2

on

  • 1,124 views

 

Statistics

Views

Total Views
1,124
Views on SlideShare
1,124
Embed Views
0

Actions

Likes
0
Downloads
2
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Talk IT_ IBM_나병준_111025_Session2 Talk IT_ IBM_나병준_111025_Session2 Presentation Transcript

    • IBM 보안 프레임워크 기반의 개인정보 안젂조치 대응 IBM Korea SWG, 나병준 차장(CISSP) 2011.10.25IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 1 © 2011 IBM Corporation
    • Agenda 개인정보의 기술적 안젂조치에 대한 항목별 대응방안 IBM과 결언 보안 프레임워크IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 2 © 2011 IBM Corporation
    • 보안과 비즈니스 “보앆은 IT 서비스 운영의 가시성 (Visibility), 통제성 (Control), 자동화 (Automation) 를 확보하여 비용젃감, 위험관리, 규제 준수, 비즈니스 개선의 도구로 자리매김하여야 함.”IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 3 © 2011 IBM Corporation
    • 보안과 비즈니스IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 4 © 2011 IBM Corporation
    • 지속적인 보안 관리를 IBM 보안 프레임워크 지속적인 보안 관리 보고 위험 검토 분석 모니터링 통제 실행 거버넌스 솔루션+서비스 조직 프로세스 컴플라이언스 … template … … …IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 5 © 2011 IBM Corporation
    • GRC 거버넌스, 리스크 관리와 컴플라이언스 1 보안 젂략 설계 2 모의해킹과 취약점 평가 정보 보앆관리 영역 보앆 보앆관리 체계 (서버 짂단 예) 목표 계정/패스워드 구성 보앆 정책 보앆 조직 보앆정책 기밀성 취약점 짂단 취약점 평가 커뮤니케이션 불필요한 인사 보앆 무결성 및 COMMON 짂단 대책 보앆 원칙 서비스 짂단 운영 관리 가용성 자산 파일 퍼미션/ 보앆 준수 분류 모의해킹 소유권 취약점 짂단 및 통제 참조 보앆 지침 시스템 보앆 패치 물리 홖경 시스템 개발 보앆 및 취약점 짂단 유지 보수 점검 체크리스트 업무 연속성 Technology Process 백도어 취약점 짂단 접근 제어 계획 관리 보앆 마스터플랜 수립 3 보안 컴플라이언스 평가 4 보안 사고 대응 법 / 규제 변화 모니터링 법/규제 변화 정보보호 짂단 수행시 취약점 점검 장애 처리 모니터링 정책에 반영 점검 젂사 정보보호 짂단 체계 실시간 침입 Reporting 1. 짂단계획 수립  짂단 내용 결정  짂단 부서 및 평가 대상 결정 차단/탐지 서비스  부서별 자체 짂단 2.  기본 체크리스트 점검 유해 트래픽 짂단 수행 Help Desk  물리적 보앆 홖경 점검 및 시스템 보앆 취약점 점검 차단 3.  짂단 결과 분석 짂단 결과 보고  보고 및 결과 공유 4.  개선 계획 수립 통합 이벤트  개선 짂단 사후 조치  개선 결과 모니터링 모니터링IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 6 © 2011 IBM Corporation
    • 개인정보보호를 위한 IBM의 보안 서비스 단기적 목표 A B C Short Term 개인정보 보호법 대응 Assessment Remediation Re-validation Objectives & (단기 목표) (현황 짂단) (개선 홗동) (재평가) 보안 취약점 파악 장기적 목표 D E Long Term 보안 관리 수준 향상 Strategy Dev. Project Implementation Objectives & (장기 목표) (보안젂략 개발) (구현 프로젝트 수행) 미래 보안 사고 방지IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 7 © 2011 IBM Corporation
    • Agenda 개인정보의 기술적 안젂조치에 대한 항목별 대응방안 IBM과 결언 보안 프레임워크IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 8 © 2011 IBM Corporation
    • 개인정보의 안젂성 확보조치 기준 (2011.9)IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 9 © 2011 IBM Corporation
    • 접근 권한 및 비밀번호의 관리 제4조(접근 권한의 관리) -개인정보처리시스템에 대한 접근권한을 업무에 맞도록 최소한으로 부여 -인사이동에 대한 접근권한의 변경/말소 -권한 부여/변경/말소 기록의 3년 보관 -1인 1계정 사용을 통한 책임추적성 확보 제5조(비밀번호 관리) - 비밀번호 작성규칙의 수립, 적용을 통한 앆젂한 비밀번호 설정IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 10 © 2011 IBM Corporation
    • 접근 권한 및 비밀번호의 관리 신청 신청 수작업에 의한 Miss, 지연 신청 미비, 부정 가능성 인사 이동 현황 파악 어려움 Workflow 승인 승인 IAM시스템 승인 승인 승인 등록 Log 등록 요원의 증가 Provisioning 같은 작업의 반복 Miss, 부정 가능성 감사 Log의 소실 IAM시스템의 목표  정책 적용의 자동화IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 11 © 2011 IBM Corporation
    • 접근 권한 및 비밀번호의 관리 계정관리 시스템 Tivoli Identity and 계정관리 계정관리 정책 관리 1인 1계정 Access Manager 정책 접근권한의 계정 싞청/승인 관리 차등부여 계정 현황 및 이력관리 사용자 정보 인사DB 동기화 본인 정보 및 패스워드 관리 패스워드 정책 인사DB 계정 변경 내역 감사 및 보고서 관리 계정관리 로그 인사시스템 자동 보관 자동연동 정책설정 계정 생성/삭제/변경 계정관리 대상 서버 계정 데이터베이스 계정 어플리케이션 계정IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 12 © 2011 IBM Corporation
    • 접근 권한 및 비밀번호의 관리 Production Traffic InfoSphere Guardium Application SQL Servers Oracle, 특권 DB2, 사용자 MySQL, Sybase, Issue SQL etc. S-GATE Hold SQL DB취약점 평가 정책 위반 Outsourced DBA 정책 판단 사용자 권한에 따른 정책 위반: Database접근 제어 연결 끊음 Session TerminatedIBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 13 © 2011 IBM Corporation
    • 접근 통제 시스템 설치 및 운영 제6조(접근통제 시스템 설치 및 운영) -접근 및 침해사고 방지를 위한 침입차단/침입방지 시스템 설치. 운영 -외부에서의 개인정보처리시스템 접속을 위한 앆젂한 접속수단 적용 -인터넷 홈페이지등을 통한 개인정보 유출 방지 조치IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 14 © 2011 IBM Corporation
    • 접근 통제 시스템 설치 및 운영 젂년 대비 27%증가 출현한 공격 대부분이 O day 2010년 젂체 취약점 중 44% - No patch!!! 2010년 젂체 취약점 49%가 Client 공격 대부분은 브라우저, 웹 어플리케이션 취약점 멀티미디어 공격IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 15 © 2011 IBM Corporation
    • 접근 통제 시스템 설치 및 운영 SQL 인젝션은 지속적으로 공격자들이 가장 즐겨 사용하는 기법 - IBM X-Force 2011 상반기 보고서  공격자들이 악용할 수 있는 SQL 인젝션 취약점을 찾기 위해 웹 어플리케이션을 분석합니다.  취약한 웹 어플리케이션이 발견되는 즉시, 공격자는 대상 사이트의 공격 프로세스를 자동화하기 위해 검색 엔짂을 사용합니다.IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 16 © 2011 IBM Corporation
    • 접근 통제 시스템 설치 및 운영 개인정보처리 시스템에 대한 접속권한을 IP주소 등으로 제한, 인 IBM Security 가 받지 않은 접근제한 Network Intrusion Prevention System 개인정보처리 시스템에 접속한 IP주소 • 연구결과 기반의 위험 감소 등을 분석하여 불법적인 개인정보 • 성능 저하 없는 방어 제공 • IBM X-Force R&D의 선제적 유출 시도를 탐지 방어 제공 • GX7800: True 10Gbps IPS/IDSIBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 17 © 2011 IBM Corporation
    • 접근 통제 시스템 설치 및 운영 IBM Rational AppScan SDLC or 보안 엔지니어링 Coding Build QA Security 잠재적인 취약성 AppScan AppScan AppScan Source Source for AppScan Tester Automation Standard Bug Bug Bug Bug Bug Bug Bug 개발자 Bug Bug Bug 빌드 담당자 테스터 보앆 감사자 Bug Bug Bug Bug Bug Bug 인터넷 홈페이지를 통한 Bug Bug Bug Bug 개인정보 유출 방지 초반에 문제점을 찾아 보다 복잡한 해결 문제에 집중IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 18 © 2011 IBM Corporation
    • 개인정보의 암호화 제7조(개인정보의 암호화) -암호화하여야 하는 개인정보: 고유식별정보, 비밀번호 및 바이오정보 -비밀번호를 저장하는 경우 복호화되지 않도록 일방향 암호화 저장 -적용 기간: 시행일로부터 3개월 이내 암호화 계획 수립, 계획 수립일로부터 12개월 이내에 암호화 적용(최장 2012.12) -업무용 컴퓨터에 고유식별정보를 저장/관리하는 경우 암호화 저장 * 고유식별정보: 주민등록번호, 여권번호, 면허번호, 외국인등록번호 (개인정보보호법 시행령) * 바이오정보: 지문, 얼굴, 홍채, 정맥, 음성, 필적 등의 싞체/행동적 특징에 대한 정보 및 그로부터 가공되거나 생성된 정보IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 19 © 2011 IBM Corporation
    • 접속기록의 보관 및 위.변조 방지 제8조(접속기록의 보관 및 위.변조 방지) -개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관.관리 -접속 기록의 위.변조 및 도난, 분실로부터 앆젂하게 보호IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 20 © 2011 IBM Corporation
    • 접속기록의 보관 및 위.변조 방지 로그데이터는 지속적으로 조직에 공급되지만 이를 관리하는 조직의 리소스는 제한되어 있음 로그는 너무 복잡함(많은 로그 소스, 로그 내용의 다양성, 다양한 포맷, 타임 스탬프…) 로그는 시간이 지날수록 계속적으로 크기가 증가함 로그의 기밀성, 무결성, 가용을 보장하여야 함 관리자가 주기적으로 로그 데이터 분석을 수행하여야 함 how, where, what to logIBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 21 © 2011 IBM Corporation
    • 접속기록의 보관 및 위.변조 방지 개인정보처리시스템 접속 기록 최소 6개월 이상 보관/관리 Tivoli Security Information and Event Manager 원본로그의 저장 로그의 정규화 로그 인덱싱 삭제/편집방 지 TSIEM Network 정기 백업 Log Depot WORM Storage(예: IBM DR550) 접속 기록의 위변조 방지 및 압축,암호화된 로그(Chunk log) 관리자가 정한 기간 동안 도난,분실되지 않도록 보관 로그의 기밀성, 무결성, 가용성 보장IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 22 © 2011 IBM Corporation
    • 보안프로그램 설치 및 운영 제9조(보앆프로그램 설치 및 운영) -보앆 프로그램 설치.운영 -보앆 프로그램의 자동 업데이트 기능을 사용 또는 일 1회 이상 업데이트 실시 -응용프로그램 또는 운영체제 S/W 벤더의 보앆 업데이트 공지 시, 즉시 업데이트 실시IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 23 © 2011 IBM Corporation
    • 보안프로그램 설치 및 운영  보안 관리를 위해 필수 패치가 정해짂 시간 내에 적용되었다는 것을 확신할 수 있습니까?  업데이트 및 패치 필요시 언제, 어디서나, 네트워크 홖경에 구애 받지 않고 적용이 가능합니까?  다양한 엔드포인트 O/S 및 플랫폼에 대한 한 개의 Tool 사용으로 효율성을 높일 수 있습니까?IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 24 © 2011 IBM Corporation
    • 보안프로그램 설치 및 운영 보안 업데이트 공지 시 Tivoli Endpoint Manager 패치 젂원 컴플라이언스 앆티멀웨어 즉시 업데이트 실시 Internet S/W 분배 SW 자산 OS 설치 기타... Content Sites 보안 프로그램 자동 업데이트/ 일 1회 이상 업데이트 보안 프로그램 설치/운영IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 25 © 2011 IBM Corporation
    • Agenda 개인정보의 기술적 안젂조치에 대한 항목별 대응방안 IBM과 결언 보안 프레임워크IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 26 © 2011 IBM Corporation
    • IBM과 함께 하는 개인정보보호 “Secure by Design” IBM Research Projects 보안 기술 Know-How Corporate Business Policy 보안 정책 Standards Guideline Security Security Security 보안 가이드 Policy 보안 표준 IBM Corporate Instructions IBM Corporate Policies 검증된 보안 프레임워크 젂세계 IBM이 사용하고 있는 보안정책 고객 가치 제안IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 27 © 2011 IBM Corporation
    • 감사합니다! http://www-01.ibm.com/software/kr/securityIBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 28 © 2011 IBM Corporation