Security architecture scheme should be designed in accordance with with Enterprise Security Operation and legal compliance. Enterprise Security program

1. 보안 아키텍트의 역할 및 보안기술/표준
김도형
2015. 6. 23

2. 1 /8
Agenda
1. Introduction
2. Case Study (IBM, Changi airport, ebay)
3. Architect Requirement (준수해야 할 법규, 보안표준, 기술)
4. Proposal (Insight & experience)
5. Q & A

3. 2 /8
Security Architect는 people, process, system의 포괄적인 체계를 관리하는 방법
1. Introduction
Enterprise information security architecture (EISA) is the practice of applying a comprehensive and rigorous method for
describing a current and/or future structure and behavior for an organization's security processes, information
security systems, personnel and organizational sub-units, so that they align with the organization's core goals and
strategic direction. Although often associated strictly with information security technology, it relates more broadly to the
security practice of business optimization in that it addresses business security architecture, performance management
and security process architecture as well.
Gartner (2006. 1. 24, Incorporating Security into the Enterprise Architecture Process, https://en.wikipedia.org/wiki/Enterprise_information_security_architecture)
EA (illustrative)
Data Architecture
 IT를 C-level Agenda & 그룹 IT수준 재고
 Biz 목표를 지원하기 위한 정보시스템의 TO-BE 방향 구체화
 IT 예산 및 인력구조의 효과성 입증 필요
 AS-IS 시스템의 현황의 구체적 파악 수단
 IT 거버넌스를 완성하기 위한 주요 Component
P사 Enterprise Architect
Tech. Architecture
Appl. Architecture
Biz Architecture
S
S
A
Drive forces and Direction

4. 3 /8
Security Architect(framework, roadmap)은 strategy가 반영되어야 함
- 배경 : 클라우드 & 모바일 컴퓨팅 환경(개인정보 유출 : $3.5M/건, Mobile malware : 614%/2013년)
- 보안시장 성장예측에 따른 주요기업 인수합병 및 Resource 재배치
- 연속 6분기 동안 2자리 성장율 기록
2. Case Study > The strategy of IBM

5. 4 /8
혁신적인 기술이 전략을 가능하게 함
 창이공항을 싱가포르의 관광명소로
– 독립 48주년 기념연설에서 프로젝트 발표
– 기존 3개 터미널을 연결하고 3.5ha 규모의
복합시설 건설 (2018년 완공 목표)
– 디자인 : 모세 샤프디 팀
 방문객 수용 : 5000만명 → 8500만명
– 기존 터미널 재개발 및 4/5 터미널 신규 증축
– 신형 항공기 수용 및 활주로 고려
 Technology & Challenges
– 친환경 공법
– 열대 몬순기후 (천둥, 우기 강수량)
– 공항보안
Reference : Changi Airport Group
2. Case Study > The technology in Changi International Airport

6. 5 /8
Security operation 효율화 및 해커에 대응하기 위한 Portfolio 구축 및 기술 내재화
2. Case Study > e-bay (Threat Response 에 최적화)

7. 6 /8
3. Architect Requirement > 준수해야 할 법규, 보안표준, 기술
Enterprise IT Architect
(Security Architect)
Compliance
Domain
보험업법 신용정보이용보호법
전자거래금융법 전자거래감독규정 개인정보보호법 정보통신망법
기타 법률
ISMSISO 27001특수 목적 PCI-DSS 기타 요건
사사점 Ⅰ
Biz Strategy
Security Operation
보안진단
(시스템, 웹, 모바일)
모의해킹
보안관제 및 CERT
Fraud Detection
Threat
Landscape
IT & Security Technology
EUC
Win / MAC / Mobile
IT Trend
Mobile
Cloud
IoT
기타
IT Domain
MNG * Ops
외부접속 / 단말관리
시스템/NW
OS / NOS / DBMS
NW 보안 / 권한관리
사용자 인증
AD / LDAP / RADIUS / 802.1X
OTP, SMS, Captcha, code
패스워드/로그
패스워드 규칙 준수, 부정사항
로그저장 및 분석
응용시스템
Win / MAC / Mobile
외부접속 / 단말관리
침해사고 대응
취약점 관리활동
사고대응 체계정비
장애 / 가용성
백업, 장애 훈련
침해사고 분석
내부감사/ 컴플라이언스
SLA
암호화
및
데이터
보안
사사점 Ⅱ
사사점 Ⅲ

8. 7 /8
4. Proposal
사용자 인증
AD / LDAP / RADIUS / 802.1X
OTP, SMS, Captcha, code
계정 ∙ 권한 ∙ 패스워드 관리(예시 → FDS)
패스워드 규칙 준수 로그저장 및 분석
다양한 규제조항의 MECE 한 결과를 바탕으로 IT Domain 의 Process 및 Technology에 Control 구현Ⅰ
차별적인 기술을 이해하고 Hand-on level에서 기술을 적용Ⅱ
EUC(PC)
Server(IDC)
NW /DB (IDC)
Application
부정로그인
③
②
①
외부공격의 변화를 이해하고 지속적인 시스템 취약점 점검체계 필요 (예 : 특허출원)Ⅲ
Security Architect는 Cascading 되도록 구성하고 실무 IT인력이 활용수준이 반영되어야 함Ⅴ
보안솔루션 제공자와 전략적인 협력관계 구축 검토 (예 : 국산, 외산, 보안관제 아웃소싱 사례)Ⅳ

9. 8 /8
5. Q&A
End of Document