1. 보안 아키텍처
황인균 요약 “IT전략계획 실무 과정” 교육 자료
한국 IT 비즈니스 진흥 협회
최기영
베스트 인포텍
2. 보안 아키텍처 - 기술 프레임워크(예시)
네트워크
보안
외부 서비스 내부 서비스 외부기관 연계
침입 차단 시스템
침입 방지 시스템(IPS) 침입 방지 시스템(IPS)
웹 방화벽 IP관리
네트워크 접근 통제(NAC)
유해 사이트 차단
VPN
서버 보안 시스템
DB 접근 제어
DB 암호화
NPKI인증
본인확인(I-PIN/G-PIN)
웹화면 보안
증명서 위변조 방지
통합 인증(SSO)
권한관리(EAM)
문서 DRM
가상화 시스템(SBC)
웹 전송 구간 암호화
키보드 보안 바이러스 백신
PC 방화벽
스파이웨어 백신
이동 저장 매체 통제
PC자산관리(SW,HW 등)
통합 보안 관제
취약점 점검 도구(응용, 네트워크, 서버)
로그 무결성
보안 USB
서버보안
DB 보안
응용 보안
PC 보안
통합 보안
3. 보안 아키텍처 - 보안정책(관리적 보안)
기업의 전사 보안 정책은 최상위 레벨에서 보안 목표, 보안 조직, 관계 법령등의 원칙이 정의되어야 하고, 세부적으로 관리적, 물리
적, 기술적인 보안 지침을 포함한다.
보안 목표
보안 정책
보안 목표 보안 목표
관리적 보안 물리적 보안 기술적 보안
정보 시스템 업무 처리 지
침
정보 시스템 업무
처리 지침
개인 정보 영향 평
가 수행 지침
정보 시스템 업무 처리 지침출입 통제 시스템
운영 지침
정보 시스템 실 운
영지침
정보 시스템 업무 처리 지침OS 시스템 보안 운영 지
침
웹 개발 보안 지침
통합 인증 체계 운영 지
침
정보 시스템 업무 처리 지
침
보안 업무 처리 규
정
PC 반출입처리 지
침
정보 시스템 업무 처리 지
침
개인정보보호 처리
지침
저장 장치 완전소거
지침
CCTV 설치.지침 인적보안 세부지침
정보 시스템 업무 처리 지침CCTV 운영 지침
정보 운영 위기 관
리 메뉴얼
정보 시스템 업무 처리 지침업무 문서 보관 및
취급 지침
정보 시스템 보호
설비 운영 지침
개인 PC 보안 지침 DR센터 운영 지침
네트워크 장비 보안 운영
지침
웹 어플리케이션 소스 관
리 지침
통합 사용자 인증 개발
지침 및 가이드
침입 차단 시스템 운영
지침
웹 어플리케이션 취약점
진단 지침
통합 인증 게이트웨이 개
발 지침
침입 탐지 시스템 운영
시스템
웹 어플리케이션 소스 진
단 지침
GPKI 연동 개발 지침
침입 사고 분석 대응 지
침
NAC 운영 지침 계정 관리 정책
가상 사설망 운영 지침 서버 보안 운영 지침
통합계정관리시스템 운
영 지침
국가정보화기본
법
정보 통신망법 전자정부법
CEO
CIO
정보 보호팀
웹 방화벽 운영 지침
유해 사이트 차단시스템
운영 지침
등 총 36개
시스템 담당 개인정보 보호 담당 네트워크 담당
개인정보보호 분양
별 책임관
개인정보보호 총괄
책임관
...
기밀성
무결성
가용성
4. 보안 아키텍처 - 보안 시스템(물리적 보안)
시스템 관점에서 보안 영역은 22종의 65개의 관리적 보안, 15개의 물리적 보안 및 36개의 기술적 보안 시스템으로 구성된다.
보안 구성도
출입통제구역
네트워크 장비
서버 시스템 데이터베이스
사무실 전산실
건물
침입차단시스템
VPN
웹 방화벽
IPS
유해사이트 차단
네트워크 접근 통제
Anti-DDos
서버 가상화 시스템
서버 보안
서버취약점점검도구
통합 감사 로그
관계 법령 규정 기업 내부 규정 및 지침 물리적 보안 기술적 보안
보안 정책
TMS
이동저장매체통제
PC자산관리
패치 관리
PC보안 정책 적용
문서 보안
Anti-Virus
불법SW차단 시스템
저장자료완전삭제
PC
CCTV
카드출입통제시스템
CCTV
안전요원
물리관제
화제경보기
소화설비(스프링쿨러)
자가 발전기
CCTV
소스통합관리시스템
공공 I-PIN
웹 구간 암호화
PKI
스팸메일차단시스템
개인정보노출점검
통합계정관리
단일인증(권한관리)
개인정보노출차단
웹로그분석시스템
웹 취약점 점검
웹 소스 진단
지문인식출입통제시스템
무정전 전원공급장치
화재경보기
소화설비(NAF-3,소화기)
온/습도계
항온항습기
공기청정기
전산실출입관리대장
DB접근통제(감사)
DB암호화
응용 시스템
5. 보안 아키텍처 - 보안 기술(기술 적보안)
보안 기술 요소를 식별하여 관리, 물리, 기술로 분류하고 각 기술요소의 향후 보안 목표를 정의하고 해당 기술을 도입한다.
기밀성(Confidentiality) 무결성(Integrity) 가용성(Availability)
보
안
목
표
ID/Password 단일 인증(권한관리)
공공 I-PIN 통합계정관리
공인인증서
유해사이트 찬단
웹 방화벽
웹 로그 분석
개인정보 노출 차단
개인정보 노출 점검
스팸메일차단시스템
웹 취약점 점검
웹 소스 진단
소스 통합 관리
웹 구간 암호화
서버 가상화
서버 보안
서버취약점점검
DB접근통제(감사)
웹 사용자
2개 사업체
10 개 출장소
7개지역본부
Anti-Virus
이동저장매체통제
문서보안
불법SW차단시스템
통합감사로그
DB암호화
PC자산관리
패치관리
저장장치완전삭제
PC보안정책적용
TMS 침입차단시스템
IPS 네트워크접근통제
VPN Anti-DDoS
사용자 인증 응용보안 시스템 보안 PC 보안
보
안
인
프
라
체
계
네트워크 보안
Client
Front-End
Back-End
평문
암호화
HTTP
HTTPS
SSL
X.25
MPLS
정보보호 관련 법령 시스템 보안 정기 보안점검 공개/대외비 CCTV 카드출입통제 지문인식출입통제
네트워크 보안
응용(개인정보보
호) 보안
보안 세미나(외부
강사)
안전요원 등
출입통제
소화설비
재해방지대책
출입관리대장
개인정보보호 담당
자
보
안
정
책
및
제
도
보안정책 보안조직 보안제도 자산분류 건물보안 사무실보안 전산실보안 출입통제구역설정
기술적 보안
관리적 보안(보안정책) 물리적 보안
6. 보안 아키텍처 - 수립 및 구축 절차(예시)
현재 보안 체계를 파악하여 보안 아키텍처를 정의, 분석 및 개선사항을 도출하고, 보안 아키텍처 목표 달성을 위한 과제를 수행
보안 현황 파악 현행 보안 아키텍처 정의 보안 아키텍처 현황 분석 목표 수립 및 과제 정의
현행 보안 아키텍처 분석
● 관리적 보안 현황 분석
● 기술적 보안 현황 분석
● 물리적 보안 현황 분석
현황 파악 대상
보안 요소 선정
보안 관련
자료 수집
담당자 면
담 실시
인터뷰 결과 및 자료 분석
● 범정부 메타 모델 Ver2.0
● 기업내 보안 요구사항 정의
보안 요소별 분석 방안 정
의
현행 보안 아키텍처 정의
● 보안 정책 체계도/정의서
● 보안구성도/정의서
● 보안관계도/기술서
현행 보안 관점별 이슈 및
분석 결과 정리
현행 보안 아키텍처 개선
사항 도출
보안 아키텍처 목표 수립
보안 아키텍처 과제 정의
및 수행
보안 아키텍처 구성 요소
정의