기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
4차 산업혁명시대에 인공지능 등 신기술을 기반으로 한 서비스가 주목받음에 따라 데이터 활용을 위한 사회적 요구가 높아지고 있으며, 이에 대한 사회적 논의 역시 활발히 이루어지고 있습니다.
법무법인 민후 김경환 변호사는 ‘개인정보보호 국제워크숍2021’에서 ‘원본데이터의 AI 학습목적 이용’을 주제로 한 발표를 통해 최근 있었던 관련 이슈와 주요 쟁점에 대해 자세히 설명하였습니다.
모바일 오피스 구축 확대
-전자문서 관리 및 유통 확대
-기업의 BYOD 환경과의 접목
업무용 APP 개발 확산
-기업/개인이 보유한 업무용 스마트 기기
-Android, i-OS, Windows RT등 모바일 OS
모바일 Data 보안의 필요성 확대
-모바일을 통한 데이터 유출통제 강화
-업무용단달기 분실(노브북포함) 대응
돈으로 막을 수 있는 것들을 걱정하지 마세요. 돈으로도 막을 수 없는 것들을 걱정하세요.
지능적 사이버 위협/랜섬웨어 대응 DAMBALLA
전세계에서 담발라만이 내부 네트워크로 침입된 악송코드를 모두 오진없이 탐지하여 대응합니다.
그것은 수년간 축적해온 빅데이터가 있기에 가능합니다.
Log-management based on bigdata platformDO HYUNG KIM
This document discusses security monitoring architecture considerations for big data platforms. It begins with an introduction and overview of MSS, a security company. It then discusses requirements such as dealing with changing IT environments and cloud/big data. The current security architecture is shown, along with a new approach involving multi-dimensional analysis and correlation of security logs and events from various systems and applications. Finally, user experiences with MSS's log management system are described, along with recommendations for security monitoring programs.
Linda Jacob has over 30 years of experience in customer service, retail, and office roles. She has worked in pharmacy, jewelry sales, administrative assistance, and management. Her skills include Microsoft Office, inventory management, customer service, quality assurance, and training. She aims to apply her reliable work ethic and customer focus to a new position.
기업보안 및 개인정보보호 동향
1. 기업보안 배경 및 목적
2. 개인정보보호법
3. 위반사례
4. 보안의 범위
5. 보안체계 수립 절차
Ⅱ. 기술적 보안수준 현황 (As-Is)
Ⅲ. 기업보안 및 개인정보보호를 위한 기술적 조치방안 (To-Be)
Ⅳ. 상세솔루션 방안(案) – ( ISMS PIMS )
1.1 UTM (NW 통합보안 시스템)
1.2 DLP(정보유출방지)
1.3 DRM(문서암호화)
1.4 DB암호화
1.5 WIPS (무선침입방지시스템)
1.6 EMM (모바일 보안)
1.7 물리적 보안 (보안스티커, 보안 봉인커버)
Ⅵ. 최종 제언
4차 산업혁명시대에 인공지능 등 신기술을 기반으로 한 서비스가 주목받음에 따라 데이터 활용을 위한 사회적 요구가 높아지고 있으며, 이에 대한 사회적 논의 역시 활발히 이루어지고 있습니다.
법무법인 민후 김경환 변호사는 ‘개인정보보호 국제워크숍2021’에서 ‘원본데이터의 AI 학습목적 이용’을 주제로 한 발표를 통해 최근 있었던 관련 이슈와 주요 쟁점에 대해 자세히 설명하였습니다.
모바일 오피스 구축 확대
-전자문서 관리 및 유통 확대
-기업의 BYOD 환경과의 접목
업무용 APP 개발 확산
-기업/개인이 보유한 업무용 스마트 기기
-Android, i-OS, Windows RT등 모바일 OS
모바일 Data 보안의 필요성 확대
-모바일을 통한 데이터 유출통제 강화
-업무용단달기 분실(노브북포함) 대응
돈으로 막을 수 있는 것들을 걱정하지 마세요. 돈으로도 막을 수 없는 것들을 걱정하세요.
지능적 사이버 위협/랜섬웨어 대응 DAMBALLA
전세계에서 담발라만이 내부 네트워크로 침입된 악송코드를 모두 오진없이 탐지하여 대응합니다.
그것은 수년간 축적해온 빅데이터가 있기에 가능합니다.
Log-management based on bigdata platformDO HYUNG KIM
This document discusses security monitoring architecture considerations for big data platforms. It begins with an introduction and overview of MSS, a security company. It then discusses requirements such as dealing with changing IT environments and cloud/big data. The current security architecture is shown, along with a new approach involving multi-dimensional analysis and correlation of security logs and events from various systems and applications. Finally, user experiences with MSS's log management system are described, along with recommendations for security monitoring programs.
Linda Jacob has over 30 years of experience in customer service, retail, and office roles. She has worked in pharmacy, jewelry sales, administrative assistance, and management. Her skills include Microsoft Office, inventory management, customer service, quality assurance, and training. She aims to apply her reliable work ethic and customer focus to a new position.
Ralph Smith has over 25 years of experience in program management for the Department of Defense (DoD), including over 5 years as a Program Manager or Deputy Program Manager. He has managed complex technical programs involving targets and countermeasures for the Missile Defense Agency. His experience spans multiple organizations within the DoD, including the Naval Sea Systems Command, Space and Naval Warfare Systems Command, and the United States Navy. He holds a Master's degree in Information Systems and has received numerous honors and awards over his career for his leadership and program management accomplishments.
O documento descreve a Escola da Exegese, uma corrente do pensamento jurídico positivista que emergiu na França na década de 1830 em resposta à desordem política e social. A Escola da Exegese defendia que a lei positivada era a única fonte do direito e que os juízes deveriam se limitar à interpretação literal da lei. O documento também discute as três fases históricas da Escola da Exegese e suas principais características.
Miriam Elisabeth Strohacker has completed the requirements of the Business Foundations Certificate Program at the University of Texas at Austin's McCombs School of Business. The certificate, issued on January 29, 2016, is signed by Regina Wilson Hughes, Director of the Business Foundations Program, and David Platt, Associate Dean of the Undergraduate Program Office.
스타벅스, 4분기 매출액 21%가 모바일에서 이루어졌다고 합니다.
5년 전만 해도 모바일 결제는 불편하고 관련 app도 많지 않았습니다. 하지만 지금은 온라인 결제보다 모바일 결제가 훨씬 간편하며 다양한 쇼핑 app도 기하급수적으로 증가하고 있습니다. 이렇듯 5년 사이에 국내에서만 4배 넘게 성장한 M-커머스(모바일 전자상거래)시장은 이젠 Retailer 라면 누구나 주의 깊게 봐야 할 영역입니다.
M-commerce와 관련된 알찬 정보를 리테일 큐레이션 vol. 9를 통해 확인하세요!
향후에도 저희가 준비한 유통 트렌드 소식지, 프리미엄 보고서 및 IBM의 제품, 서비스 및 오퍼링 관련 정보를 받아 보실 의향이 있으시다면 페북 메시지 또는 kimyu@kr.ibm.com에 성함과 메일을 알려주시면 감사하겠습니다.
정기적으로 유통산업의 주요 소식을 전달해 드리도록 하겠습니다.
Ignacio Almendras is seeking a position that allows him to utilize his skills in logistics, procurement, and documentation. He has over 15 years of experience in roles such as Logistics & Shipper Officer, Import and Export Supervisor, and Clearance Coordinator. His responsibilities have included arranging shipments, preparing necessary documents, communicating with suppliers and customers, and ensuring accurate record keeping. He is proficient in English and Tagalog and holds a Bachelor's degree in Customs Administration from Lyceum of Batangas.
El estudio explora los usos y hábitos de los internautas mexicanos desde diferentes dispositivos. Más de 1,100 entrevistas encontraron que los internautas pasan en promedio 6 horas al día conectados y usan internet principalmente desde su hogar y trabajo. Los smartphones, laptops y tabletas son los dispositivos más populares y se usan para redes sociales, correo, noticias y videos.
Proteins must be properly located within cells to carry out their functions. Protein targeting refers to how cells transport proteins to the correct locations after synthesis. There are several mechanisms for protein targeting. Some proteins diffuse through the cytosol and bind to receptors at their destination site, while others contain targeting sequences like nuclear localization signals that bind nuclear transport receptors to be actively transported into the nucleus. The import and export of proteins between the cytosol and nucleus is directed by gradients of Ran-GTP and Ran-GDP concentrations established by regulatory proteins localized to different cellular compartments. This compartmentalization of Ran states provides directionality to nuclear transport.
La logística inversa puede ayudar a detectar beneficios ocultos y ahorros potenciales para mejorar el resultado económico, incluso en sectores y áreas de negocio tan íntimamente ligados al concepto de logística directa como los operadores de transporte y servicios logísticos.
Social bookmarking allows users to save and share web links. It has evolved from individual bookmarking to social platforms that enable discussion and discovery of new links. Brands can leverage social bookmarking sites to generate interest in their content by making it entertaining, breaking new stories, attracting attention, enabling user narcissism, positioning themselves as authorities, and measuring the impact. When used alongside other social media strategies, social bookmarking can help brands tell their stories organically through viral sharing.
Презентация Виталия Никитина о возомжностях платформы HPE Idol для работы с BigData в современном кол-центре. Аналитика аудио и текстовой информации на базе платформы HPE IDOL
Презентации для будущего! Тенденции мира презентацийOleg Griban
Узнайте 10 тенденций создания современных презентаций.
В презентации показаны основные направления развития и использования современных презентаций: от использования веб-сервисов до упрощения самих слайдов.
IBM Security사업부의 보안서비스 및 솔루션이 소개되어있는 브로셔입니다. IBM은 엔드포인트 보안에서부터 네트워크, 데이터, 애플리케이션, 모바일 보안, 보안 컨설팅에 이르기까지, 기업에게 필요한 모든 영역의 보안 서비스 및 솔루션을 제공하고있습니다. 자세한 사항은 브로셔를 확인하세요.
Monitoring solution for all action in enterpriseslunchNtouch
Monitoring solution for all action in enterprises
You can also check it in Sales Sharing Site "www.lunchntouch.com"
If you want a brochure in your language,
send E-mail below E-mail address unquestioningly!
(English, Chinese, Japanese, french, Portuguese, Spanish, etc)
Import & Export discussion Welcome, too!
Thank you for your touch!
E-mail address : yun@lunchntouch.com
"We can Make happy place for small business! Let's do it!!"
= Lunch N Touch =
[2016 데이터 그랜드 컨퍼런스] 5 4(보안,품질). 바넷정보기술 컴플라이언스 대응을 위한 효율적인 데이터 관리 방안K data
개인정보보호법과 정통망법에 이어 상거래 종료 고객 데이터의 파기와 분리보관에 대한 신용정보법이 시행된 지 8개월이 지났습니다. 그러나, 실제 실무에 적용하기 위해서 많은 고려사항이 존재하고 추진하는데 어려움이 있는 것이 사실입니다. 또한 적용 범위와 구체적인 실행 방안에서도 많은 혼란이 있습니다. ㈜바넷정보기술이 개인정보 파기/분리보관 솔루션을 이용하여 금융권 고객사에 구축했던 경험을 기반으로 그 적용 과정에 발생했던 이슈들과 고려사항, 해결방안 등을 말씀 드리고자 합니다. 또한, 자체 개발로 진행할 때와 전문 솔루션을 구축할 때의 차이점과 필요한 기술들에 대해 소개함으로써 앞으로 사업 추진 방향을 결정하는데 도움을 드리고자 합니다. 그리고, 추가로 데이터 보안 관련 최신 트랜드와 관련 솔루션에 대해 간략히 소개합니다.
2017년 5,6월호 Harvard Business Review 에 기고된 ‘What is your data strategy?’ 의 내용을 요약 정리함. 누구나 머릿속으로는 막연하게 개념은 가지고 있었던 부분을 명료하게 정의해 놓은 훌륭한 자료라고 판단됨.
저자 : Leandro Dalle Mule (Chief Data Officer at AIG), Tom Davenport (Professor at Bobson College)
This short document does not contain any words or meaningful information to summarize in 3 sentences or less. It consists only of line numbers without any accompanying text.
리테일 큐레이션 8번째 이야기는 많은 분들이 관심을 가져 주셨던 IoT에 대한 이야기입니다.
유통 뿐만 아니라 전 산업에서 가장 관심이 많은 IoT는 현재 가장 큰 큰 IT 화두입니다. 이준희의 리테일 큐레이션 Vol.8에서는 유통업계에서 IoT를 접목하여 제공하는 대표적인 서비스를 다루어보았습니다, 아래의 이미지를 참조해주세요.
향후에도 저희가 준비한 유통 트렌드 소식지, 프리미엄 보고서 및 IBM의 제품, 서비스 및 오퍼링 관련 정보를 받아 보실 의향이 있으시다면 페북 메시지 또는 kimyu@kr.ibm.com에 성함과 메일을 알려주시면 감사하겠습니다.
정기적으로 유통산업의 주요 소식을 전달해 드리도록 하겠습니다.
감사합니다.
미국의 아마존, 한국의 쿠팡이 유수의 온라인 유통회사들을 제치고 업계 선두를 달릴 수 있었던 가장 큰 장점이자
차별점은 '물류' 에 있습니다. 아마존을 필두로 구글까지 물류 산업에 뛰어들고 있으며, 국내에서는 쿠팡을 필두로 한
이색 배송 전쟁이 가열화 되고 있는데요, 그래서 준비해 보았습니다! 이준희의 리테일 큐레이션 vol.7은 국내외 이색 배송을
한 눈에 볼 수 있는 '택배 특집' 입니다.
향후에도 저희가 준비한 유통 트렌드 소식지 및 IBM의 제품, 서비스 및 오퍼링 관련 정보를 받아 보실 의향이 있으시다면
페북 메시지 또는 kimyu@kr.ibm.com에 성함과 메일을 알려주시면 감사하겠습니다.
정기적으로 유통산업의 주요 소식을 전달해 드리도록 하겠습니다.
감사합니다.
유통산업의 주요 소식중에서 Hot한 소식을 뽑아 전달해드리고 있습니다.
이번 6호는 '글로벌 리테일 동향 (Retail선을 타고 만국유람기)' 입니다.
1. 중국온라인쇼핑몰, 시골공략에 나선다 2. IKEA가 숲을 사들이는 이유? 3. 물보다 싼 유럽의 우유값, 유럽 낙농업계 적신호
향후에도 저희가 준비한 유통 트렌드 소식지 및 IBM의 제품, 서비스 및 오퍼링 관련 정보를 받아 보실 의향이 있으시다면
페북 메시지 또는 kimyu@kr.ibm.com에 성함과 메일을 알려주시면 감사하겠습니다.
정기적으로 유통산업의 주요 소식을 전달해 드리도록 하겠습니다.
감사합니다.
'이준희 리테일 큐레이션' 이번 호의 주제는
1. 빵 매출 쌀 앞질러 2. T커머스 시장 3. 모바일 간편결제 시장 입니다.
향후에도 저희가 준비한 유통트렌드를 담은 소식지 및 IBM의 제품, 서비스 및 오퍼링 관련 정보를 정기적으로 받아보시고 싶은 분들은 kimyu@kr.ibm.com으로 연락주세요
감사합니다
* 6호 주제 *
1. 전통적인 결제방식에서 멀어지고 있는 밀레니엄 세대
https://www.pinterest.com/pin/14425661281917220/?fb_ref=488570396983976069%3Af0281b03b038358f798f522
2. 회사 조직 내 X,Y 그리고 Z세대의 공존 시대
https://www.pinterest.com/pin/130674826665191686/
3. 과도기 디지털 마케팅, 연착륙 노하우
https://www.pinterest.com/pin/391320655098721615/
유통산업의 주요 소식중에서 Hot한 소식을 뽑아 전달해드리고 있습니다.
이번 주제는
1. 스마트픽업 2. 중국 엄지족의 역직구 3. 결제수단의 다양화 입니다.
향후에도 저희가 준비한 소식지를 받아보실 의향이 있으시다면
페북 메시지 또는 kimyu@kr.ibm.com에 성함과 메일을 알려주시면 감사하겠습니다.
정기적으로 유통산업의 주요 소식을 전달해 드리도록 하겠습니다.
감사합니다.
This document provides a summary of Yu Kim's K Shop 10+! Project proposal for Trion PTE LTD. The proposal involves launching an online shop selling Korean kids and maternity clothing in Singapore. Yu conducted research on potential product items and selected kids clothing and maternity clothing as they have lower barriers to entry than other options. A SWOT analysis was presented, and objectives, strategies and plans were proposed. The goal is to target the niche market of pregnant office ladies and kids in Singapore by importing unique, high-quality clothing items from Korea at reasonable price points. Promotion plans and website design concepts were also outlined.
2. 데이터보안, IBM Guardium 솔루션 Guardium
0302
과거에도기업의주요정보유출사고는존재해왔고,이를막기위한지속적인대응방안을수립해온것이사실입니다.그러나인터넷
보급의기하급수적인확대로전세계가실시간으로연결되고일반인들의스마트폰및개인통신기기의활용이증가되면서개인
및기업에대한주요데이터에대한공격은날로증가되고있는현실입니다.
특히, 2012년에는 기업의 정보 유출과 관련된 사고가 그 전해 대비 40% 증가하였고, 2013년부터는 기존에 없던 다양한
방식의 공격이 등장하면서 약 8억개 이상의 정보가 유출되는 안타까운 일이 발생하고 있습니다. 2014년을 비롯하여 향후 더욱 더
지능적이고예측불가능한공격은증가될것으로예상되고있습니다.
이러한 추세에 따라, 우리나라는 2014년 8월을 시작으로 개인정보보호법 개정안을 시행하게 되었습니다. 아래 그림 1과 같이,
주민등록번호를포함한고유식별정보의수집및보관에대한법개정과과징금부과,책임자확대등에이르기까지개인정보보호를
대폭강화하는추세입니다.
전통적으로 전사 데이터 보호를 위해 많은 기업이 개별 솔루션을 도입하여 여러 계층의 보안 환경을 구축하고 있습니다. 그림 2와
같이,방화벽과망분리를통해전사네트워크를외부접속으로부터분리하고,침입탐지/침입차단시스템을통해외부
해커의 공격으로부터 자산을 보호하고, 권한/인증 관리를 통해 내부 사용자를 제한하고, 보호 통제 환경을 마련하고
있습니다. 그러나 이제 빅데이터, 클라우드, 모바일 등의 기술 발전과 더불어 기업의 IT 환경이 전통적인 구성에서 벗어나고 있으며,
위협의경로와방법도더욱복잡해지고있습니다.이러한환경변화속에서전사의자산인데이터를어떻게보호해야하는지는매우
중요한기업의경영전략이되고있습니다.
또한,금융감독을비롯한정부규제도관행적으로이루어지고있는종합검사를단계적폐지하고,자체상시감사수행
결과 점검 및 신상필벌을 엄중 적용하는 등의 운영 방향으로 인해 기업의 자체 보안 역량 강화가 더욱 주요한 과제가
되고있습니다.
또한 기업은 타 법령에서의 증빙을 위한 예외적용에 의해 일부 주민등록번호를 수집하고 안전성 확보조치를 해야 할
의무도 가지고 있습니다. 개인정보보호법 규제 준수를 위해서는, 개인정보에 대한 기술적 보호 조치(개인정보 – 고유식별정보에
대한 DB 암호화 조치 및 접근기록감사) 의무화에 대한 준수 및 기업의 주요 자산인 고객정보(DB)에 대한 유출 통제 및 차단 방안
마련이필요한실정입니다.
기업은다음과같이법률적인준수사항에대비하고자사의정보보안체계를구축해야합니다.
이렇듯 나날이 강화되고 있는 법적 규제를 충족하고 개인 정보 유출을 막기 위해서는 외부 위협뿐만 아니라 내부 위협에 대한
총체적인대응과관리가필요합니다.이것은내부사용자에대한적절한감사통제가필요함을의미합니다.IBM데이터보안
솔루션“Guardium”은 외부의 위협은 물론 내부 사용자의 부적절한 데이터 유출에 대한 모니터링, 탐지 경고 등
기업의핵심자산인데이터를보호하기위한전방위적인해결책을제시합니다.
저장데이터(Data at Rest)
민감정보
탐색/정의
마스킹
암호화
취약성평가 권한위임리포팅 감사모니터링 접근통제 동적마스킹
시스템구성(Configuration) 전송데이터(DatainMotion)
데이터 보안 침해 / 규제 현황 인프라 구성별 침해 경로
Source: IBM X-Force
Threat Intelligence Quarterly – 1Q 2015
2012
빈번한민감정보유출사고발생
40%증가
2013
다양한공격기법이등장하기시작
800,000,000+정보유출
2014
“비정상(Insane)”대규모의정보유출사고발생
CISO들의가장큰과제
[법률적인준수사항대비]
➊ 개인정보보호법발효(2011년9월30일)–개인정보에대한
기술적보호조치
➋ 개인정보보호법계도기간만료(2012년3월31일)에따른
실태조사에대한대비필요
➌ 개인정보보호법및개별법에따라개인정보및고유식별
정보에대한암호화
➍ 개인정보보호법에따라접속기록의보관및위조ㆍ변조방지
➎ 개인정보보호법에따라개인정보에대한접근통제및접근
권한의제한조치
[기업의정보보안체계구축]
➊ 기업의중요자산(고객정보,및기밀정보)에대한유출통제및
차단체계구축필요
➋ 외부의악의적인침입및공격으로부터고객정보보호방안
수립및이행
➌ 고객정보유출시발생할수있는소송대응및피해최소화
방안확보
구분 현행 개정안
주민등록번호
수집이용
정보주체의별도동의,
법령에구체적인근거가있는
경우수집이용
주민등록번호원칙적처리금지및법시행2년내에파기
단,예외적용:
•법령에구체적인근거있는경우
• 정보주체또는제3자의급박한생명,신체,재산의이익을위해명백히필요한경우
•안전행정부령으로정하는경우
과징금제도 없음
주민등록번호분실,도난,유출,변조,훼손시최대5억원과징금부과
단,안전성확보조치를모두이행한경우제외
CEO징계권고 책임있는자징계 책임있는자에해당기관대표자및책임있는임원포함
그림1.
개인정보보호법개정안
그림2.
보안침해경로
그림3.
전사데이터보호절차
Desktop Firewall IDS/IPS Applications Databases
방화벽
DoS
사용자
웹서버
애플리케이션
서버
Internet
Infranet
Discover Harden Monitor Protect
Anti
spoofing
Cross Site
Scripting
Parameter
Tampering
Cookie
Poisoning
SQL
Injection
Port
Scanning
해커
취약점이알려진
웹서버
패턴기반의공격
데이터
베이스
백엔드
서버
특권사용자
3. ➊ 전사환경내에산재된개인정보를비롯한민감정보를식별하고위치를파악합니다.
➋ 암호화,취약성검토를통해해당데이터저장소에대한보안을강화합니다.
➌ 모든개인정보접근기록을실시간으로감시하여비정상또는오남용행위등을실시간으로모니터링합니다.
➍ 비인가자및미권한자의활동에대한접근통제정책을통해개인정보유출을방지합니다.
IBM Guardium 솔루션은
전사데이터보호를위한보안절차별로다음과같은기능을제공함으로써
누수가없는전방위데이터보안환경을지원합니다
Guardium 솔루션소개
Guardium
0504
Schema BANKAPP
Table Name CREDITCARD
Column Name CARDNUMBER
Rule Description Send Alert
Comments
Date: Monday, July 21, 2008 6:30:07 PM EDT
Datasource: ORACLE 10.10.9.56:1521 xe
Object: TABLE BANKAPP.CREDITCARD VARCHAR2
(20) CARDNUMBER
Category:‘PCI’Classification:‘Cardholder Data’
Rule: Search For Data: Send Alert
TABLE_TYPE=‘TABLE, VIEW’, DATA_TYPE=‘TEXT’, SEARCH_
VALUE_PATTERN=‘[0-9]{4}-[0-9]{4}-[0-9]{4}-[0-9]{4}’
Action: Send Alert: Send Alert
Urgent Flag=‘false’, Receiver=‘SYSLOG’
Action: Log Policy Violation: Send Policy Violation
Severity=‘10’
Action: Add To Group Of Objects: add to group
Object Group=‘PCI Cardholder Sensitive objects’, Replace Group
Content=‘false’
Classification Name Cardholder Data
Category PCI
그림4.
개인정보식별
• 명명규칙, 데이터 패턴 등의 규칙을 통해 민감 전사
내민감데이터를식별하고저장위치파악
• 민감데이터그룹자동관리
• 정형/비정형데이터탐색
• 전사핵심자산관리역량강화
•암호화,모니터링을위한환경조사시간단축
•관리자생산성향상
Guardium 솔루션 소개
솔루션특징 솔루션기대효과
1.민감데이터탐색
Guardium은개인정보보호법 대응 및 보안 환경 마련의 기초적인 작업으로서 전사 내 데이터 레포지토리 리스트를
관리합니다. 정형 데이터베이스 뿐 아니라 비정형 로그, 백업 파일 등 다양한 전사 시스템 내에 존재하는 고유식별번호 등의
개인정보를 비롯한 민감 데이터에 대해 명명룰 기준, 데이터 패턴 기준 등 다양한 방법으로 위치를 파악하고, 민감 정보 그룹을
관리합니다 (비정형 검색 - V10 지원 예정). 이러한 민감 정보 식별 기능을 통해 데이터 센터 침해 요소를 제거하고 보호 대상
데이터를정의/관리할수있도록지원합니다.
4. 데이터보안, IBM Guardium 솔루션 Guardium
0706
2.데이터베이스취약성분석
Guardium 솔루션 소개Guardium 솔루션 소개
Guardium Vulnerability Assessment는 데이터베이스 취약성 분석을 통해 기업 내 다양한 데이터베이스에 대해 구성,
누락된 패치, 계정 및 권한 설정과 같은 데이터베이스 취약점을 주기적으로 식별하고, 관련 조치 보고서를 제공합니다. 또한, 각
데이터베이스별 사용자 권한 위임 내역을 보안담당자가 자체적으로 모니터링함으로써 내부 특권사용자의 권한
오남용을감사하고대내외의침해위험을제거하도록지원합니다.
그림5.
DB취약성분석
정형및비정형데이터암호화
• 다양한DBMS종류및버전지원
• DB백업,웹로그등암호화지원
애플리케이션변경없음
• 암호화적용시추가개발공수없음
• 암호화대상테이블추가비용없음
암호화후성능영향도최소
• DB실행계획변경없음
• 인덱스검색,부분검색등조회
변경없음
안전한알고리즘사용
• 국제표준AES128/256, 3DES
• 국정원권고ARIA 128/256
별도의분리된안전한Key서버
• FIPS140-2키관리인증기술
기반,국정원 KCMVP
• 인증암호화모듈사용
• OS사용자/프로세스기반
접근제어
• 전사내다양한유형의민감정보암호화를통한법적규제준수
•외부위협으로부터의데이터보호
그림6.
Guardium블록암호화
3.데이터베이스암호화
Guardium Data Encryption은 전사내다양한정형/비정형데이터를통합적으로암호화하고,별도의분리된키서버를
통해 안전하게 관리함으로써, 고유 식별번호 등의 개인정보와 민감 정보를 보호하고 규제를 준수하도록 지원합니다.
• 취약성분석을위한사전정의된테스트항목점검
• Scheduling 기반주기적자동검사
• 실시간및이력스코어보드제공
• 업계표준Built-in Asset 활용
(CVE, US DoD STIG)
• 최신보안DB/분석항목업데이트
• 성능에영향을주지않음
• 환경평가/위험요소검색/우선순위및개선권고안
제안
• 최신 보안 현황이 반영된 분석을 통해 DB 취약점
사전 예방
• 통합관제솔루션연동을통해관리편의성향상
솔루션특징 솔루션기대효과
솔루션특징
솔루션기대효과
Users Apps Databases
File
System
Volume
Manager
암호화
복호화
John Smith
401 Main Street Apt 2076
Austin, TX 78745-4548
*^$ !@#)(
~|” +_)? $%~:
%^$#%, ?_)-^%~~
*^$ !@#)(
~|” +_)? $%~:
%^$#%, ?_)-^%~~
John Smith
401 Main Street Apt 2076
Austin, TX 78745-4548
5. 데이터보안, IBM Guardium 솔루션 Guardium
0908
4.데이터베이스상시감사및실시간보호 5.데이터마스킹을통한주요데이터유출방지
Guardium 솔루션 소개Guardium 솔루션 소개
Guardium Database Activity Monitor는 대내외에서 발생하고 있는 모든 트랜잭션에 대해 실시간 모니터링 및 감사를
수행함으로써 점차강화되고있는자체감사에대한규제를대응하고,데이터베이스의활동에대한가시화를제공합니다.
또한 이상 트랜잭션 감지, 실시간 및 누적 패턴 경고, 위험 소지 접근 내역에 대한 단기 격리 및 비인가자 접근 제어 등의 다양한
방법의실시간DB보호를통해데이터유출을방지합니다.
Guardium Data Redaction은기업내데이터베이스에대해다양한사용자의접근중미권한자요청트랜잭션발생시,조회대상
데이터 중 개인정보를 마스킹함으로써 데이터 유출을 통한 침해 사고를 방지할 수 있도록 지원합니다. 또한 애플리케이션
마스킹 기능을 통해 웹 상에서의 다양한 민감 데이터 조회 요청에 대해 안전하게 대응하도록 제공합니다.
더불어 비정형 데이터 내에 존재하는 민감 정보를 마스킹함으로써, DB 뿐 아니라 비정형 데이터 내의 주민번호 노출 금지
등 개인정보 이용에 대한 내부 통제 규제에 대한 방안을 제시합니다.
솔루션특징
솔루션기대효과
그림7.
실시간모니터링을통한
이상트랜잭션감지
·실시간모니터링/감사및DB보호|기업내다양한데이터베이스에서발생하고있는외부트랜잭션및내부특권사용자의
활동에대해실시간모니터링및접근기록을로깅하고접근이력을관리하는등우회없는전방위DB보호를지원
·이상트랜잭션감지|기업내다양한데이터베이스에대해실시간모니터링중이상트랜잭션을감지하고,모니터링
된내역에대해침해 요소를파악및관리할수있는가시성을제공
·실시간 및 누적 패턴 경고 | 데이터베이스에서 발생하는 트랜잭션 중 실시간 특정 트랜잭션에 대한 경고를 통해
즉각적인 유출시도에 대한 보호 및 누적 패턴에 대한 감지 및 경고 기능을 통해 지속적인 데이터 유출을 통한 침해
사고를방지할수있도록지원
·위험 소지 접근 내역에 대한 단기 격리 | 데이터베이스에 접근하는 트랜잭션 중 보안 정책에 위배되는 트랜잭션 발생
시 반복적인 공격 및 데이터 접근을 실시간으로 방지할 수 있도록 일정 시간 동안 트랜잭션을 격리하여 데이터 유출
방지를지원
·비인가자 접근제어를 통한 데이터베이스 유출 방지 | 데이터베이스에 접근하는 트랜잭션 중 보안 정책에 위배되는
트랜잭션발생시해당트랜잭션을차단하여데이터유출을통한침해사고를방지할수있도록지원
·내부특권사용자모니터링등을통한자체감사환경마련
·DB,파일,빅데이터등유연한전사환경내데이터에대한전방위적인보안체계수립
그림8.
정형데이터/
애플리케이션마스킹
• 전사/이기종 DB 지원
• 데이터베이스 및 애플리케이션 변경 없음
• 빠르고, 정확하고, 효율적인 자동화 마스킹
프로세스 지원
• 데이터 조회에 대한 사용자 역할 정책 제어
• 전사 인프라 환경 변화 최소화를 통한 비용 절감 및
관리자생산성향상
•법적규제강화추세에대한유연한대응
솔루션특징 솔루션기대효과
[ 정형 데이터/애플리케이션 마스킹 ]
[ 비정형 데이터 마스킹 ]
DB상에서의 사용자 View
Unauthorized
Users
Outsourced DBA
Oracle,
DB2,
MySQL,
Sybase,
etc.
Application
Servers
➊
Issue SQL
➋
SQL
민감 데이터 마스킹
S-TAP
실데이터
외주콜센터
이름/주소 마스킹
의사 관점 회계 직원 관점
데이터센터
Guardium
Application
Dynamic
Data
Masking
6. 1110
데이터보안, IBM Guardium 솔루션 Guardium
6.데이터베이스취약성평가워크샵
데이터 보안 시장을 선도하는 IBMGuardium 솔루션 소개
워크샵 개요
• 개인정보를비롯한주요데이터가포함된DBMS를대상으로데이터보안현황을진단하는워크샵
• 전략적인파트너십고객을위해무료로제공
• 진행기간:2~5일소요
보고서샘플
[ DB 취약성분석]
Source: The Forrester Wave™: Database Auditing And Real-Time Protection, Q2 2011, May 6, 2011. Forrester Research, Inc., The Forrester
Wave™: Database Auditing And Real-Time Protection, Q2 2011, May 6, 2011. The Forrester Wave is copyrighted by Forrester Research, Inc.
Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester’s call on
a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor,
product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and
are subject to change.
[ Forrester Wave™: Database Auditing And Real-Time Protection, Q2’11 ]
Risky
Bets
Weak Strong
Weak
Strong
Contenders
Strong
Performers Leaders
IBM Guardium은 Forrester Research의 17개 평가 항목 중 총 15개 분야 최고점을 획득하여 데이터베이스 보안 분야 최고
제품임을 인정받았으며 보잉, AIG, Citi, Bank of America, Vodafone, Ford, Ericsson 등을 포함하여 전세계 약 700개
글로벌기업의개인정보보호를위해활용되고있습니다.
또한IBM Guardium은 Gartner에서도데이터보호와컴플라이언스대응을위한포괄적인솔루션으로서보고하고있습니다.
그림9.
Forrester Research
그림10.
Database Audit
and Protection
(DAP) to Enhance
Database Security
and Compliance -
Gartner
Source: Gartner (October 2014)
DAP Vendor Supported Silos
Files RDBMS Big Data Cloud
Dataguise Yes Yes Yes Yes
Fortinet No Yes No Yes
GreenSQL No Yes No Yes
IBM Guardium Yes Yes Yes Limited to IaaS
Imperva Yes Yes Yes Yes
McAfee Yes Yes No Limited to IaaS
Protegrity Yes Yes Yes Yes
Trustwave No Yes Yes Yes
Cloud
RDBMS
Files
Big Data
Data-Centric Audit and Protecion
Market presence
Fortinet
Oracle
Application Security
Imperva
IBM
Sentrigo
Current
offering
Strategy
[민감정보탐색]
BANKAPP CREDITCARD CARDNUMBER Send Alert
Date: Monday, July 21, 2008 6:30:07 PM EDT
Datasource: ORACLE 10.10.9.56:1521 xe
Object: TABLE BANKAPP.CREDITCARD VARCHAR2
(20) CARDNUMBER
Category:‘PCI’Classification:‘Cardholder Data’
Rule: Search For Data: Send Alert
TABLE_TYPE=‘TABLE, VIEW’, DATA_TYPE= ‘TEXT’,
SEARCH_VALUE_PATTERN=‘[0-9]{4}-[0-9]{4}-[0-9]{4}-[0-9]{4}’-[0-9]{4}’
Action: Send Alert: Send Alert
Urgent Flag=‘false’, Receiver=‘SYSLOG’
Action: Log Policy Violation: Send Policy Violation
Severity=‘10’
Action: Add To Group Of Objects: add to group
Object Group=‘PCI Cardholder Sensitive objects’, Replace Group Content=‘false’
CommentsSchema Table Name Column Name RuleDescription
진행 프로세스
• 민감 데이터 위치 파악
• 취약성 진단 영역: 인증, 권한, 구성, 버전, 패치, 기타
• 권고사항 도출
DB 보안 취약성 진단 워크샵의 주요 진행 단계
Step 1 주요관리자와기술적업무적이슈및관리현황파악
인터뷰 진행
Step 2 취약성 진단 대상 시스템 정보 확인
Step 3 민감 정보 탐색, 취약성 분석
Step 4 담당자와 분석 내용 검토
Step 5 최종 보고서 도출 및 보고