2016 보안솔루션 제언
Post on 15-Apr-2017
172 views
TRANSCRIPT
상담(구축) 문의
솔루션사업부 이유신 이사
Tel : 070-4685-2648 (대)
H/P : 010-2700-2648
E-mail : [email protected]
www.zionsecurity.co.kr
2
1. 보안의 범위
보안범위
물리적보안
• 출입문 통제• CCTV 설치 및 운영• 매체 취급 및 반출입 통제• 내부자 모니터링 및 외부자 접근통제 등
관리적 보안
• 보안체계 수립• 보안 정책/지침/절차 제정• 주요 자산 식별 및 주요 자산에대한 접근통제 정책 수립
• 임직원 보안 교육• 지속적인 관리활동 유지 등
기술적 보안
• 보안 취약점 점검 및 보호대책 적용• 보안 솔루션 구축 및 운영• 관리 및 물리적 자산과 연계된통합관리 방안 수립• 보안로그 수집 및 주기적 분석 등
3
보호대책 수립현황분석 유출경로파악
유출통제분석
비지니스분석
2. 보안 체계 수립 절차
핵심자산 식별
관련 법률 및
내부 지침 검토
관리적
유출경로 파악
논리적
유출경로 파악
물리적
유출경로 파악
관리적/물리적
기술적
유출통제 파악
통합적
유출통제 분석
유출통제 체계
수립
유출통제 대책
강화방안 수립
유출사고
대응체계 수립
3. 사업수행실적
다양한 구축사업의 성공적인 수행능력 보유
주요사업실적
4
3. 사업실적
고객사 프로젝트명 프로젝트내용 공급수량 수행기간
교보생명보험 PC 저장매체통제 오프라인 매체제어 시스템 30,000명 2006.04
금융감독원 통합 유출방지 시스템 구축 통합 유출방지 시스템 2,000명 2008.12
주택금융공사 통합 유출방지 시스템 통합유출방지 시스템 700명 2009.12
대한생명보험 통합정보유출방지시스템 보안영역시스템 구축 15,000명 2010.03
한국공항공사 통합 유출방지 시스템 구축 통합 유출방지 시스템 2,000명 2006.11
LG CNS 통합 유출방지 시스템 구축 통합 유출방지 시스템 10,000명 2010.03
한국투자증권 통합 유출방지 시스템 모니터링 위주 1,000명 2009.02
제일상호저축은행 통합 유출방지 시스템 통합 유출방지 시스템 1,000명 2006.08
알리안츠생명보험 내부정보유출방지 시스템 구축오프라인 매체제어 시스템(문서보안 제품 연동)
4,800명 2007.12
KT콜센터 콜 센터 통제보안 오프라인 매체제어 시스템 2,000명 2006.11
한국통신(본사) 메일 모니터링 시스템 구축 메일 모니터링 시스템 44,000명 2003.03
기무사령부 메일 모니터링 시스템 메일 모니터링 시스템 1,000명 2006.06
롯데손해보험 통합 유출방지 시스템 구축 통합 유출방지 시스템 5,000명 2009.03
롯데칠성 통합 유출방지 시스템 구축 통합 유출방지 시스템 2,000명 2009.12
아워홈 통합 유출방지 시스템 구축 통합 유출방지 시스템 3,000명 2010.03
※ 기타 다수 구축경험
4. 보안시스템 구성도
5
통합보안 Server
APP, DB, 인증
보안관리자
GZ-Zone
L2 Switch
사용자망 : L2 Switch
포트 미러닝 구성
1. 통합보안
사용자 망 구성
패킷 로그수집
외부 : On-Line유출경로
외부 :
이동파일
원본추출
Agent
인터넷
본문,대화내용
첨부파일 추출
정보유출
감시
신규구축
통합보안서버
솔루션
G설치유도
통합보안
JRE
DBMS
Tomcat
백신
OS
TCP/IP
장비명 ML350
주요SPEC
CPU : Quad 2.00GHz 1P
RAM : 8GB
HDD : SATA 1TB X 3ea
RAID 5 Array 구성
5. 시스템 구축방안
6
1 정보유출 솔루션
조달 구매 자료관S/W의 설제품명 : Guard-Zone
구분 제품의 특장점
강력한 감사기능• 단순 로그외 유출내용에 대한 원본파일에 대한 모니터링 기능• 원본 요약정보(마이닝)를 통한 감사효율성 극대화• 허가된 매체에 대해서는 모두 원본정보를 제공
내부정보유출방지에 대한통합기능 제공
• 온라인 및 오프라인을 통합적으로 통제 및 감시할 수 있는 웹 기반의 최초 제품• 기존 통합PC보안 제품과의 차별적인 전문화된 제품• 유출방지 부문의 선두적 솔루션
편리한 관리환경
• 기존 업무프로세스 환경 유지를 통한 보안정책 수립 통제• Web GUI 기반의 관리자 화면 제공• 중간관리자(3Tier) 및 본-지사 통합관리 가능• 노트북 외부 반 출입 프로세스 제공• Agent 미 설치 PC설치유도 기능 제공
맞춤식 선택 기능• 모듈의 컴퍼넌트화를 통해 고객이 원한 구성방식을 즉시 충족가능(통합/분리/모듈 별)• 사용자규모, 네트웍 구성에 따라 최적의 방식 제공(네트웍 기반과 Agent 기반의 수집방식 혼용가능)
Guard-Zone v4.0은 내부인가자가 악의적으로 PC를 통해 유출할
수 있는 On/Off라인 경로에 대한 원본수준의 완벽한 감시 및 통제가
가능한 최초의 웹 기반 통합 내부정보유출방지 솔루션입니다.
제품특장점
7
주관사와 동일한 업종의 프로젝트를 다수 수행하면서 다양한 PC환경과 열악한 PC자원의 경험을수행한바 있으며 제안 모듈의 PC사용 리소스가 크지 않아 안정적이라 할 수 있습니다.
5. 시스템 구축방안1 정보유출 솔루션
S/W ▶ Windows NT 4.0 sp2 이상
▶ Windows 2K, XP, Vista 32bit
H/W ▶ CPU : Pentium IV 2.0 이상
▶ Memory : 512MB이상
▶ HDD : 40GB 이상
PC
자원
활용율
[ Resource 점유율 ]
▶CPU : 최대3%미만
▶Memory : 24MB
[ 파일 사이즈 ]
▶설치 전 : 1.23MB
▶설치 후 : 7.02MB
[ Resource 점유율 ]
[ 설치전 파일 사이즈 ] [ 설치후 파일 사이즈 ]
PC자원(CPU, Mem, HDD) 100% 활용 가능
8
Windows Driver 및 Port 레벨에서 통제를 통해 수행하나 최근 자체 Driver 방식에 의한 일부 이동식매체의 경우 프로세스 DB관리를 통해 통제합니다.
5. 시스템 구축방안1 정보유출 솔루션
Off-Line 저장매체 통제범위
드라이버 통제
- USB, 외장하드, 프린터, FDD
CD-RW(ROM), 공유폴더 등
포트통제
- USB포트, PCMCIA, Serial,
Parallel, Bluetooth, Wibro 등
통제
USB저장장치, 프린터 등을 통한 내부정보 유출방지 시도 원천통제
정책설정 대상
- 전체/부서별/개인별 정책전송
가능
정책형태
- 드라이버 통제
: 허용/차단
: 읽기전용/로그
: 원본파일저장
: 암호화
- 포트 통제
: 허용/차단
9
메일(SMTP, HTTP, POP3 등), 메신저, P2P 등 인터넷을 통해 내부정보가 유출될 수 있는 매개체를 말하며이에 대한 정책은 크게 본문로그/첨부파일차단의 기능으로 구성합니다.
5. 시스템 구축방안1 정보유출 솔루션
On-Line 메일ㆍ메신져 등 통제범위
메일 통제
- SMTP, HTTP, POP3, 게시판 등
메신저 통제
- MSN, NateOn,. Daum, Paran, 등
기타 통제
- P2P, Web Hard, FTP, Telnet등
통제
메일, 메신저, 웹하드, FTP 등을 통한 내부정보유출 원천통제
사용자 PC
정책설정 대상
- 전체/부서별/개인별 정책전송
가능
정책형태(협의필요)
- 로그정책
: 본문로그
: 첨부파일 로그
- 차단정책
: 전체차단
: 첨부파일 차단
10
드라이브 제어 외 각종 포트 및 복합장치 제어로 정보유출의 경로를 원천 차단함으로써 안전한 매체제어사용 기능을 제공합니다
5. 시스템 구축방안1 정보유출 솔루션
저장매체 (포트, 복합장치 제어)
보안관리자
①
보안정책
전송
사용자
USB, Blue Tooth, Fixed HardDisk,
스마트폰테더링등제어
② 포트 및 복합장치 제어
구분 내용
대상
포트(USB, PCMCIA, Serial, IEEE1394, IRDA, Parallel, Modem, Blue Tooth)
복합장치(Wibro, TROGIN, PDA, Fixed HardDisk, 무선랜)
스마트폰
기능
포트 및 복합장치 차단
스마트폰 테더링
전체/부서별/개인별
비고
스마트폰 : 모든 종류의 스마트폰(아이폰, 갤럭시S, 옴니아등) 대상
고려사항 : 새로운 스마트폰은 분석 후 협의필요
11
사용자는 반출신청서를 온라인으로 보안관리자(중간관리자 포함)에게 요청하며 이에 대해 보안관리자
또는 중간관리자가 반출 허용 정책을 전송합니다.
5. 시스템 구축방안1 정보유출 솔루션
외부반출 프로세스에 의해 서비스 통제
보안관리자② 반출 요청
및 정책확인
①
매체사용
및
반출신청
④
정책적용
③ 정책수립
중간관리자
Server
사용자
[ 사용자 반출신청 ]
[ 반출신청 내역 관리]
12
개인 USB 등록관리란 개인이 사용하고 있는 USB Memory 등 이동디스크에 대해 보안관리자에게 사전
사용 등록하여 사용하는 최소한의 보안적 기능입니다.
5. 시스템 구축방안1 정보유출 솔루션
사설 USB 등록관리
② 개인 USB사용등록요청
보안관리자
① 보안정책 수립
개인 이동식저장장치
[ 사설 이동식 저장매체 등록관리 ]
③ USB 고유 S.N, 회사명 등 식별 코드인식
GZ-Client Module
사용자
13
사내PC에서 USB로 파일이동 저장 시 자동암호화를 수행하고 복호화 할 경우 GZ-Client Module이
실행되고 있는 PC에서만 복호화 할 수 있어 USB를 분실하더라도 암호화된 파일을 비 인가자가 복호화
할 수 없습니다.
5. 시스템 구축방안1 정보유출 솔루션
USB 이동파일 암호화
보안관리자
① 보안정책 수립
②
암호화
정책
전송
이동식저장장치
[ USB 암호화 정책 ]
GZ-Encryption Module
③ PC에서 USB 저장장치로파일 자동 암호화 수행
④ USB에 저장된 암호화 파일GZ-Client Module 실행 PC에서
복호화 수행
GZ-Client Module
사용자
14
악의적으로 보안모듈을 강제로 제거하는 행위를 방어하기 위해 프로그램 자체에 대한 보안기능을
제공합니다.
5. 시스템 구축방안1 정보유출 솔루션
자체 프로그램 보안기능
[ 프로세스 Kill 방지 및 파일보호 기능 ] [안전모드/레지스트리 보안정책 유지 ]
Regidit, 관리자 메뉴를 통해 프로세스 차단/삭제가 불가능
OS의 종료/재시작 등을 악용한 사례에 대한 방어 가능
안전모드 및 DOS모드에서도 정상적인 통제 적용이 가능
6. 추진일정계획
체계적이고 실현 가능한 일정수립
충분한 테스트 및운영 일정 확보
H/W, S/W업체간유기적 협력체계 구축
부문별구축일정 수립
구축 일정
통합관리 확보
15
단계 세부 추진내용
일정(0.5개월) (단위 W:Week)
안정화및
유지보수W1
착수단계 사업수행계획 수립
설계단계
제품 납품 요청 (H/W, S/W 동시 요청시)
정보보안시스템 요구사항 분석 및 설계
요구사항 대비 기술검토, 고객환경조사 및 위험 분석 (상용S/W사업자와 협의)
구축단계
정보보안시스템 연계 개발 기 구축 시스템과 연계 개발
H/W설치 및 시험
H/W 설치작업(타 백본 포트미러 확인)H/W 설치 및 정상설치 여부 확인
시험 실시 (데이터는 샘플데이터 활용)
검수및
교육
검수요청
납품/설치 후 검수
사용자교육
안정화 안정화 및 무상유지보수
※ 납품기간 1주일 기준임.※ 상기 일정은 이미지넥스트 일정에 영향이 있으며, 정보보안 시스템 대상으로 한 구축 일정임.
납품 및설치완료
요청 H/W
납품완료(가정)
9. 유지보수 계획
장애 분석/정리장애 DB 등록기술 문제 협의
1차 지원
전산 운영자
담당 EngineerHelp Desk
(원격 장애 처리 SVC)
고객Happy-Call
종 료
장애 처리
장애 분석 및시스템 상태 확인
2차 지원
(휴일, 근무 외 시간)(Engineer 비상 연락망)
담당 Engineer 연락
NO
YES
NO
※ 엑츠솔루션 및주요제품공급업체를의미
지원체계
신속한 유지보수 체계로 장애예방 및 신속대응 보장
구분 상세내역
지원범위 • 납품 제품 전반
지원기간• 최종검수일로부터
상용S/W : 1년, H/W : 3년
지원방법
• 이상 장애 시 최초 원격 지원 후미 처리 시 방문 점검 실시 및점검결과 보고서 제출
• 장애 발생 시 즉시 조치하고,장애발생 사유의 문서화
• 장애 로그 보유하여 동일 장애발생 방지
• 비상체계유지
무상유지보수
장애이력의문서화 및 보관
전담인원 배치정기적 사전예방활동 실시
신속한 유지보수체계 구축
16
감사합니다.
17
귀 사의 안정적인 정보유출방지솔루션 구축을 위해
최선을 다하는 (주)시온시큐리티가 되도록 하겠습니다..
상담(구축) 문의
솔루션사업부 이유신 이사
Tel : 070-4685-2648 (대)
H/P : 010-2700-2648
E-mail : [email protected]
www.zionsecurity.co.kr