s p ac enterprise
DESCRIPTION
표준제안 서. 전산장비 반출입통제 시스템. S P AC enterprise. PC & Notebook Access Control System. 목차. I. 시장배경 3. II. 제품개요 8. III. 특장점 13. IV. 주요기능 19. V. 기대효 과 23. I. 시장배경. 관리실태 피해사례 법규강화 시장요구. 배경. 전산장비 반출입 환경 RISK 내부직원의 출장 , 외부용역직원 활용을 위해 발생하는 전산장비 반출입 환경 . - PowerPoint PPT PresentationTRANSCRIPT
SPAC enterprise
전산장비 반출입통제 시스템
PC & Notebook Access Control System
표준제안서
목차
시장배경 3I
제품개요 8II
특장점 13III
주요기능 19IV
기대효과 23V
1. 관리실태2. 피해사례3. 법규강화4. 시장요구
I 시장배경
3
4배경
1. 전산장비의 개별 등록 및 관리를 위한 식별인증이 되나요 ?
2. 전산장비의 실제 사용자에 대한 식별인증과 적절한 보안정책이 적용되고 있나요 ?
3. 외부사용 시 정보유출 방지를 위한 보안정책과 매체사용 통제 정책이 적용되고 있나요 ?
4. 외부사용 시의 사용내역에 대한 로그가 적절하게 기록 및 관리되고 있나요 ?
5. 전산장비의 분실 시 분실장비에 대한 통제정책이 수립되고 적용되고 있나요 ?
6. 정보유출 사고발생 시 이를 추적할 수 있는 정확한 로그가 관리되고 있나요 ?
전산장비 반출입 환경 RISK
내부직원의 출장 , 외부용역직원 활용을 위해 발생하는 전산장비 반출입 환경 .보안위협은 해소되었나요 ?
5배경
단순정보유출 차원에서 사회 / 국가적 피해사고로 확대
삼성카드 직원 고객정보유출
업무용 노트북에 고객정보를 저장하여 총 20 회에 걸쳐 1 만 8 천여명의 개인정보 유출
90 조 가치 아몰레드 기술 유출
해외 협력업체 직원이 범인 . 실물회로도 등을 직접 촬영하여 USB 이동 저장장치를 통해 유출와이브로 해외유출
휴대인터넷 와이브로 핵심기술을 해외로 유출하려도 일당검거 .내부자료를 저장매체에 저장하여 해외기업의 국내사무소에 전달
게임소스 유출
리니지 2 의 핵심기술 유출 . 하드디스크 저장자료를 타 회사로 유출하여 게임서버 엔진개발에 사용토록 지원
고객정보 대규모 유출
대형 온라인 구매사이트 , 고객 1,000 만명 정보 유출 . 외부해킹이 아닌 내부자 정보관리소흘 .관련 정보는 불법거래를 통하여 다양한 사이트와 기업에 재판매된 것으로 추정되며 이로인한 2 차 , 3 차피해가 지속적으로 발생할 것으로 우려
조선소 설계정보 유출
중국 경쟁사와의 거래를 위해 국내 유명조선소의 선박설계도 도면 유출 시도 .핵심 도면의 유출 시 가격경쟁력을 확보한 중국의 조선사에 수주경쟁에서 밀려 국가적 피해가 발생할 것으로 우려
6배경
행정기관의 장은 PC, 단말기 ( 업무용 ), 노트북 등 ( 이하 “개인용 장비”라 한다 ) 을 사용할 경우 취급자 또는 관리책임자 ( 이하 “관리책임자”라 한다 ) 를 지정하여야 한다 .
관리책임자는 비인가자가 무단으로 개인용 장비 등을 조작하여 전산자료를 유출하거나 위 , 변조 및 훼손하지 못하도록 다음 각 호에 정한 보안대책을 강구하여야 한다 .
• 장비별 , 자료별 및 사용자별 비밀번호• PC 하드웨어 CMOS, 운영체제 로그인 및 화면보호기에 각각
비밀번호 설정
관리책임자는 개인용 방 등을 교체 , 반납 또는 폐기하거나 고장으로 외부에 수리를 의뢰하고자 할 경우에는 하드디스크에 수록된 자료가 유출 또는 훼손되지 않도록 보안조치를 강구하여야 한다 .
개인장비를 반출 , 반입할 경우 , 별지 제 23 호 서식의 보조기억매체 (전산장비포함 ) 반출입 대장에 등재한 후 관리책임자의 승을 얻어 제 29조의 보안조치를 한 후 반입 또는 반출할 수 있다 .
법규강화 !!!!!!!
• 안전행정부의 정보통신보안업무에 필요한 사항을 규정• 금융감독원의 금융기관 내부전산장비에 대한 보안규정• 국가정보원의 정보유출방지를 위한 지침
7배경
전산장비 반출입 관리를 위한 시장요구
장비 및 사용자에 대한 식별 / 인증 , 반출 시 저장자료 유출 방지 , 분실 시 저장자료 삭제 , 사고발생 시 신속하고 정확한 추적을 위한 로그관리
사용환경 감시 / 통제
장비와 사용자에 대하여 고유정보를
통한 식별 및 인증을 수행하고 장비 /
사용자별 보안정책적용 필요
저장자료 유출방지
장비 반출 사용 시 저장자료에 대한
무분별한 유출을 방지하고 외부에 자료
복사 승인 시 로그기록 필요
로그관리
인증로그 및 매체사용로그에 대한
기록과 프로그램 사용로그 등
사후관리를 위한 모든 로그 기록 필요
분실 시 자료삭제
외부에서 도난 또는 분실한 경
우 , 이에 대한 신고 / 등록을 통하여
분실장비에 대한 저장자료 삭제 필요
시장요구
8
1. 제품정의2. 제품목적3. 시스템구성도4. 구성요소
II 제품개요
9II.1. 제품정의
SPAC enterprise( 에스팍 엔터프라이즈 )SPAC enterprise 는 PC 및 노트북 등 전산장비에 대한 반출입관리를 통한 내부사용 및 외부사용에 대한 보안통제 정책을 수립하고 이를 개별 단말기에 적용하여 단말기의 외부사용 시 사용통제 , 매체통제 , 자료유출 통제 및 로그기록을 통해 사전통제 , 사후관리 등의 통합기능 제공
• 사용자인증 / 장비인증 수행을 통한 사용환경별 보안정책 적용
• 매체제어 정책을 통한 지정된 포트 및 매체 / 미디어만 사용가능
• 파일전송 및 메일첨부기능 제어를 통한 자료유출 방지
• 인증 / 프로그램 실행 로그 및 전체 사용내역에 대한 동영상 로그 기록
내부사용 중입니다…내부사용 시 별도의 보안통제없이 사용할 수 있습니다 .
외부사용 시에는 관리자의 승인이 필요합니다 .반출 전 SPAC 관리시스템을 통하여 반출승인을 받기바랍니다 .
10II.2. 제품목적
전산장비 반출 시 정보유출방지내부 전산장비의 외부반출 시 발생할 수 있는 정보유출 위협을 차단하기 위한 통합적인 인증 /자료유출방지 / 로그관리와 분실 시 저장자료 삭제
Data LeakagePrevention
Lost Control
LogManagement
LoginControl
• 포트사용 허가 / 차단
• 매체사용 허가 / 차단
• 미디어 차단 / 읽기 / 쓰기
• 이메일 첨부파일 차단
• 웹하드 전송차단
• 보안파티션 생성 / 관리
자료유출방지
• 분실장비 사용차단
• 관리자 회수메시지 출력
• 저장자료 삭제
• 하드디스크 사용차단
분실 시 자료삭제
• 단말기 식별 / 인증
• 사용자 식별 / 인증
• 내부사용 인증
• 외부사용 인증
• 긴급 /예외사용 인증
• 보안 USB 연동 인증
식별 / 인증
• 사용자인증 로그
• 장비접속 로그
• 파일입출력 로그
• 외부저장장치사용로그
• 사용내용 동영상 로그
로그관리
11II.3. 시스템구성도
중앙관리서버와 에이전트 통신을 통한 내부 / 외부 보안정책 차별적용내부 / 외부사용과 온라인 /오프라인사용 및 분실장비 /긴급사용에 대한 보안정책 구분적용
• 관리서버에 지정된 인증 / 화면잠금 /매체제어 / 로그추출 적용
• 보안디스크 인증을 위한 네트워크 /암호 / 장치연결 등 정책 적용
• 보안디스크 사용로그 자동추출 및 전송
• 분실장비 , 무단반출 시 별도의 관리자 보안정책 적용 및 자료삭제 정책 적용
• 내부 오프라인 및 서버장애로 접속 불가 시 관리자 지정 정책 적용
• 긴급정책 또는 OTP 발행을 통한 로그인 허용
• 최근 정책 자동적용 및 생성로그 자체저장 후 네트워크 활성화 시 로그전송
• 별도 보안통제없이 일반적 사용가능
• 관리자 지정 시 인증 / 매체사용 /자료유출방지 등 적용
• 관리자 지정 시 인증 / 매체사용 /동영상로그추출 등 적용
• 보안디스크 기능을 통한 중요파일 및 내부정보 보안파티션에 저장
온라인
윈도우 2012 서버 orLinux 서버
관리서버
SPAC 관리서버
MS-SQL 서버 2012 orMySQL 서버
DBMS
WEB Server
내부
오프라인내부
• 오프라인 시 자체로그 저장 후 네트워크 활성화 시 로그전송
• 반출 승인 시 오프라인 정책 지정
• 보안 USB 지정 시 지정된 보안 USB 를 연결한 후 사용가능
• 보안 USB 내 반출사용 정책 저장 및 적용
온라인 외부
오프라인 외부
12II.4. 핵심기능
내부사용 / 외부사용 SPAC enterprise 는 전산장비의 사용환경에 따라서 내부사용 및 외부사용의 보안정책을 구분적용하며 내부사용 및 외부사용 정책에 대한 상세 보안통제 정책 지정가능
SPAC Server
자료유출방지
포트 / 장치사용통제
단말기식별 / 인증
보안영역탑재
사용자식별 / 인증
외부사용무단반출 시 로그인 차단 및 매체차단
내부사용관리자
보안기능해제및 보안기능지정사용
동영상로그추출
13
1. 보안디스크2. 보안 USB3. DLP(Data Leakage Preven-
tion)
4. 매체제어5. 동영상녹화6. 디스크무력화
III 특장점
14III.1. 보안디스크
로컬하드디스크 파티션 분할을 통한 보안파티션 생성 및 관리로컬하드디스크의 여유공간을 보안파티션으로 분할하여 사용자 인증 및 실시간 암호화 적용로컬하드디스크를 적출하여 데이터 접근을 시도하는 경우에도 저장자료 판독불가보안파티션내 자료에 대한 DLP 기능 및 Save As 차단 기능 적용
로컬하드디스크의 일부를 보안파티션으로 할당인증암호에 의한 실시간 암호화 키 연동
1
암호인증 후 보안파티션을 디스크로 마운트별도의 디스크드라이브 문자 할당
2
연결 시 실시간 암호화 및자료유출방지 기능 적용
3
SPAC 관리서버보안정책 적용
4
사용자 및 연결시간 통제
실시간암호화
자료전송차단
첨부파일차단
Save As차단
로그추출 및 전송
15III.2. 보안 USB
보안 USB 통합관리보안 USB 배포 / 관리 / 통제 / 로그에 대한 통합관리일반 USB 및 외장형 하드디스크에 대한 보안화 기능 탑재로 기존 저장매체 활용
16III.3. DLP(Data Leakage Prevention)
반출 사용 시 DLP 기능을 통한 자료유출 방지이메일 , 웹메일 등 SMTP 및 HTTP 메일 전송을 통한 자료유출 방지P2P, 메신저 , 웹하드 등에 대한 자료 전송 방지PDA, 스마트폰 , 네비게이션 등 기타 저장기능을 포함한 복합장치에 대한 자료유출 방지
반출 시 외부사용 보안정책 내장무단반출 시 화면 및 매체차단
1
온라인 시 서버정책 우선적용오프라인 시 내장된 반출정책 적용
2
SPAC 에이전트에 의해 지정된 외부사용 보안정책 적용네트워크 /응용프로그램 / 매체 사용 통제
3
17III.4. 매체제어
포트 , 장치 , 미디어 등에 대한 사용통제Serial port, Parallel port, USB port, IEEE1394 port 등 전산정비 탑재 포트에 대한 사용통제WiFi Dongle, Bluetooth device, Wibro device 등 사용 장치에 대한 통제CDROM, DVD, FDD, USB 저장장치 , eSATA 저장장치 등 미디어에 대한 사용 통제
18III.5. 동영상 녹화
반출사용 시 사용화면에 대한 동영상 녹화 (옵션 )반출사용 시 사용내역 동영상 녹화 후 보안파티션내 로그전용영역에 보관하여 위조작 방지
로그인 시 녹화모듈 기동사용자 작업화면 시간 기준 녹화생성
1
녹화파일은 별도 로그영역에 저장사용자 접근불가 / 위변조 방지
2
관리자모드 및 서버로그 수집 후관리자 로그검색 기
4
반입처리 후 저장로그 추출해당 전산장비 직접보기 지원
3
19
1. 관리자 기능2. 사용자 기능3. 로그 및 통계
IV 주요기능
20IV.1. 관리자 기능
인사정보연동 및 기기등록 / 관리조직도 기반의 부서정보 및 사용자 정보 등록 및 관리
전산장비 현황PC, NoteBook, USB 메모리 등 전산장비 배포 , 반출 , 사용현황 분석 등
반출내역 관리 및 사용현황반출된 전산장비 현황 및 수집중인 로그 현황반출된 전산장비에 할당된 보안정책 현황
통계자료각 부서 / 사용자별 / 장비별 로그관리파일입력 , 매체통제 , 자료유출방지 관련 로그관리 및 위협행위 경고
21IV.2. 사용자기능
화면잠금 및 로그인반출 사용 시 ( 또는 관리정책에 의해 내부사용 시에도 ) 전산장비 사용을 위한 로그인 과정 수행지정횟수 로그인 연속실패 (암호인증 실패 ) 시 전산장비 사용차단
보안디스크 관리기능중요자료는 보안디스크에 적용하여 2 차인증을 통한 디스크 연결 및 사용보안디스크 또는 보안영역내의 자료에 대한 자료 유출 방지 기능 적용파일암호화 및 복호화 기능 별도 제공
매체제어지정된 포트 , 장치 , 미디어만이 사용 가능파일입출력 이력 및 장치사용이력 로그 기록보안 USB 연동 가능
22IV.3. 로그 및 통계
사용자 / 장비 / 장치 / 보안정책 등에 대한 로그 관리전산장비 배포 및 반출 상태로 로그 기록 / 관리 및 통계부서 / 사용자별 배포 및 반출 상태 로그 기록 / 관리 및 통계매체제어 / 자료유출방지 / 파일입출력 로그 기록 / 관리 및 통계
23
1. 기대효과2. 구축사례
V 기대효과
24V.1. 기대효과
전산장비관리시스템 도입을 통한 기대효과
관리자
사용자
업무환경
보안환경
• 부서 / 사용자 / 전산장비 / 장치 등에 대한 조직도 기반의 효율적인 등록 / 관리• 전산장비 무단반출에 대한 사전방지 및 통제• 정보통신보안업무규정 준수
• 개별 사용자의 보안의식 강화 및 자료분실 및 유출에 대한 불안감 해소• 사내 전산장비 및 저장자료에 대한 주인의식 강화로 관리의식 강화• 투명하고 직관적인 전산장비 보안정책으로 사용장비의 신뢰의식 강화
• 보안파티션 및 보안영역 관리에 의해 가장 안전하고 강력한 데이터 보호• 자료유출방지 및 매체제어 기능에 의해 임의적 또는 악의적인 내부정보유출 방지• USB 메모리 및 휴대형 저장장치에 대한 편리한 보안기능 주입으로 보안영역 확대
• 내부사용의 편리성과 외부사용의 보안성 겸비• 전산장비 및 저장장치의 반출입통제를 통한 내부정보유출 방지• 최신의 운영체제 및 단말기 지원의 다양한 PC 환경에서 보안성 유지
25V.2. 구축사례
정부기관 전산센터 ( 대전센터 , 광주센터 )원격관리서버와 구분하여 직접접근제어 시스템 별도 구축업무관리시스템은 기존의 nTOPS 와 연계하여 구축
