02. it정보화전략-보안 아키텍처 도입

1. 02. IT정보화전략-보안 아키텍처 도입
2015.12.03
황인균

2. 2
황인균
목차
 보안 프레임워크(예시)
 보안정책(관리적 보안)
 보안 시스템(물리적 보안)
 보안 기술(기술적 보안)
 수립 및 구축 절차(예시)

3. 3
황인균
보안 프레임워크(예시)
외부 서비스 외부기관 연계
침입방지 시스템(IPS)
서버 보안
NPKI 인증
본인확인(I-PIN/G-PIN)
웹 화면 보안 보안 USB
증명서 위변조 방지
키보드 보안
네트워크 보안
DB 보안
응용 보안
PC 보안
통합 보안
스파이웨어 백신
이동저장 매체 통제
PC자산관리(SW,HW등)
통합 보안 관제
취약점 점검 도구(응용, 네트워크, 서버)
로그 무결성
문서 DRM
가상화 시스템(SBC)
웹 전송구간 암호화
바이러스 백신
PC 방화벽
VPN
서버 보안 시스템
DB 접근 제어
DB 암호화
통합 인증(SSO)
권한관리(EAM)
침입 차단 시스템
내부 서비스
침입 방지 시스템(IPS)
IP 관리
네트워크 접근 통제(NAC)
유해 사이트 차단

4. 4
황인균
보안 정책(관리적 보안 )
기업의 전사 보안 정책은 최상위 레벨에서 보안 목표, 보안 조직, 관계 법령등의 원칙이 정의되어
야 하고, 세부적으로 관리적, 물리적, 기술적인 보안 지침을 포함한다.
보안 목표 보안 조직 관계 법령
관리적 보안 물리적 보안 기술적 보안
정보 시스템 업무
처리 지침
개인 정보 영향 평
가 수행 지침
출입 통제 시스
템 운영 지침
정보 시스템 실
운영지침
OS 시스템 보안 운
영 지침
웹 개발 보안 지침
통합 인증 체계 운
영 지침
보안 업무 처리
규정
PC 반출입처리 지
침
개인정보보호 처
리 지침
저장 장치 완전소
거 지침
CCTV 설치.지침
인적보안 세부지
침
CCTV 운영 지
침
정보 운영 위기
관리 메뉴얼
업무 문서 보관
및 취급 지침
정보 시스템 보호
설비 운영 지침
개인 PC 보안
지침
DR센터 운영 지
침
네트워크 장비 보안
운영 지침
웹 어플리케이션 소
스 관리 지침
통합 사용자 인증
개발 지침 및 가이
드
침입 차단 시스템
운영 지침
웹 어플리케이션 취
약점 진단 지침
통합 인증 게이트웨
이 개발 지침
침입 탐지 시스템
운영 시스템
웹 어플리케이션 소
스 진단 지침
GPKI 연동 개발 지
침
침입 사고 분석 대
응 지침
NAC 운영 지침 계정 관리 정책
가상 사설망 운영
지침
서버 보안 운영 지
침
통합계정관리시스템
운영 지침
국가정보화기
본법
정보 통신망
법
전자정부법
CEO
CIO
정보 보호팀
웹 방화벽 운영 지
침
유해 사이트 차단시
스템 운영 지침
등 총 36개
시스템 담당
개인정보 보호
담당
네트워크 담당
개인정보보호 분양별
책임관
개인정보보호 총괄 책
임관
...
기밀성
무결성
가용성

5. 5
황인균
보안 시스템( 물리적 보안)
시스템 관점에서 보안 영역은 22종의 65개의 관리적 보안, 15개의 물리적 보안 및 36개의 기술
적 보안 시스템으로 구성된다.
보안 구성도
출입통제구역
네트워크 장비
서버 시스템 데이터베이스
사무실 전산실
건물
침입차단시스템
VPN
웹 방화벽
IPS
유해사이트 차단
네트워크 접근 통제
Anti-DDos
서버 가상화 시스템
서버 보안
서버취약점점검도구
통합 감사 로그
관계 법령 규정 기업 내부 규정 및 지침 물리적 보안 기술적 보안
보안 정책
TMS
이동저장매체통제
PC자산관리
패치 관리
PC보안 정책 적용
문서 보안
Anti-Virus
불법SW차단 시스템
저장자료완전삭제
PC
CCTV
카드출입통제시스템
CCTV
안전요원
물리관제
화제경보기
소화설비(스프링쿨러)
자가 발전기
CCTV
소스통합관리시스템
공공 I-PIN
웹 구간 암호화
PKI
스팸메일차단시스템
개인정보노출점검
통합계정관리
단일인증(권한관리)
개인정보노출차단
웹로그분석시스템
웹 취약점 점검
웹 소스 진단
지문인식출입통제시스템
무정전 전원공급장치
화재경보기
소화설비(NAF-3,소화기)
온/습도계
항온항습기
공기청정기
전산실출입관리대장
DB접근통제(감사)
DB암호화
응용 시스템

6. 6
황인균
보안 기술(기술적 보안)
보안 기술 요소를 식별하여 관리, 물리, 기술로 분류하고 각 기술요소의 향후 보안 목표를 정의하
고 해당 기술을 도입한다.
기밀성(Confidentiality) 무결성(Integrity) 가용성(Availability)
보
안
목
표
ID/Password 단일 인증(권한관리)
공공 I-PIN 통합계정관리
공인인증서
유해사이트 찬단
웹 방화벽
웹 로그 분석
개인정보 노출 차단
개인정보 노출 점검
스팸메일차단시스템
웹 취약점 점검
웹 소스 진단
소스 통합 관리
웹 구간 암호화
서버 가상화
서버 보안
서버취약점점검
DB접근통제(감사)
웹 사용자
2개 사업체
10 개 출장소
7개지역본부
Anti-Virus
이동저장매체통제
문서보안
불법SW차단시스템통합감사로그
DB암호화 PC자산관리
패치관리
저장장치완전삭제
PC보안정책적용
TMS 침입차단시스템
IPS 네트워크접근통제
VPN Anti-DDoS
사용자 인증 응용보안 시스템 보안 PC 보안보
안
인
프
라
체
계
네트워크 보안
Client
Front-End
Back-End
평문
암호화
HTTP
HTTPS
SSL
X.25
MPLS
정보보호 관련 법령 시스템 보안 정기 보안점검 공개/대외비 CCTV 카드출입통제 지문인식출입통제
네트워크 보안
응용(개인정보보
호) 보안
보안 세미나(외부
강사)
안전요원 등
출입통제
소화설비
재해방지대책
출입관리대장
개인정보보호 담당
자
보
안
정
책
및
제
도
보안정책 보안조직 보안제도 자산분류 건물보안 사무실보안 전산실보안 출입통제구역설정
기술적 보안
관리적 보안(보안정책) 물리적 보안

7. 7
황인균
수립 및 구축 절차(예시)
현재 보안 체계를 파악하여 보안 아키텍처를 정의, 분석 및 개선사항을 도출하고, 보안 아키텍처 목표 달
성을 위한 과제를 수행합니다.
보안 현황 파악 현행 보안 아키텍처 정의 보안 아키텍처 현황 분석 목표 수립 및 과제 정의
현행 보안 아키텍처 분
석
● 관리적 보안 현황 분석
● 기술적 보안 현황 분석
● 물리적 보안 현황 분석
현황 파악 대상
보안 요소 선정
보안 관련
자료 수집
담당자 면
담 실시
인터뷰 결과 및 자료 분석
● 범정부 메타 모델 Ver2.0
● 기업내 보안 요구사항 정의
보안 요소별 분석 방
안 정의
현행 보안 아키텍처
정의
● 보안 정책 체계도/정의서
● 보안구성도/정의서
● 보안관계도/기술서
현행 보안 관점별 이슈
및 분석 결과 정리
현행 보안 아키텍처 개
선사항 도출
보안 아키텍처 목표 수
립
보안 아키텍처 과제 정
의 및 수행
보안 아키텍처 구성
요소 정의