04.a sis to be_정보보호체계 제언1
Post on 14-Apr-2017
144 views
TRANSCRIPT
![Page 1: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/1.jpg)
상담(구축) 문의
솔루션사업부 이유신 이사
Tel : 070-4685-2648 (대)
H/P : 010-2700-2648
E-mail : [email protected]
www.zionsecurity.co.kr
![Page 2: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/2.jpg)
1
I. 기업보안 및 개인정보보호 1.1 배경 및 목적
“최근 경쟁국가 또는 경쟁기업에 내부 중요정보 및 기술이 유출되는 사례가 급증 하면서 국가경쟁력 저하는 물론 해당 기업의 금전
적 피해가 발생하고 있어 이에 대한 적극적인 내부정보보안 체계 수립과 임직원 마인드제고, 하드웨어 및 소프트웨어적 보안시스템
구축 등을 통해 안정적인 기업환경을 유지해 나가야 할 것입니다.”
기술유출피해사례증가
경쟁국가 또는 타 경쟁기업으로의 기술유출증가 추세(국정원 발표)
`03~`07년도 12월까지 기술유출 관련 124건 적발로 피해 예상금액 130조원 추정
핵심기술로 발전을 하고 있는 기업의 중요정보 유출 시기업 및 국가 경쟁력 저하
중소. 벤처기업은 인력, 자금부족 등 기술보호 조치 미흡
기업 임직원의 기술유출방지 마인드 제고 및 관련 기관과의 유기적인 협조체제 구축 미흡
중소기업 기술유출 방지 홍보강화 및 방지체계 구축의필요성
기술유출방지시스템구축의필요성
기업의 내부정보 유출방지를
통한 안정적인 기업환경 유지
내부정보 유출현황 파악 내부정보 유출방지 시스템 구축
1
기업보안 배경 및 목적
개인정보보호법 시행
상담(구축) 문의
솔루션사업부 이유신 이사
Tel : 070-4685-2648 (대)
H/P : 010-2700-2648
E-mail : [email protected]
www.zionsecurity.co.kr
![Page 3: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/3.jpg)
2
개인정보보호법은 2011년 4월 본격적인 감사와 감독이 실시되었으며, 2012년 12월 31일 올해 말까지 고유식별정보에 관련한 개인정보보호 암호화 적용이 완료되어야 합니다.
개인정보보호법 개요
개인정보보호법 기준 안
개인정보보호법 시행
일시 내용
2011년
3월 • 개인정보보호법 제정
9월 • 개인정보보호법 발효
12월 • 정보통신망법 개정
2012년
3월 • 개인정보보호법 계도 기간 종료
7월• 개인정보보호법 시행령
세부 기준 확정 (개인정보유출통지 제도 등)
12월• 개인정보보호 암호화, 영향평가 등
유예기한 도래
개인정보보호법
개인정보보호법 시행령, 시행 규칙
표준 개인정보보호 지침 (행안부 예규)
개인정보의 안전성 확보조치 기준 고시 및 해설서하위법
상위법
2012년 4월부터 본격적인 감사 및 감독 실시
2011년 12월까지 개인정보보호 암호화 계획 수립
2012년 12월 31일까지 개인정보보호 암호화 적용고유식별정보, 비밀번호 암호화(주민등록번호, 운전면허번호, 여권번호, 외국인등록번호)
I. 기업보안 및 개인정보보호 1.2 개인정보보호법 개요
![Page 4: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/4.jpg)
3
I. 기업보안 및 개인정보보호 1.3 위반사례
위반사례
위반 사례
소셜커머스 13개 사업자 과징금 부과 및 시정 명령 (2012. 04)
개인정보보호법에 대한 처벌이 업종에 상관없이 강화되고 있으며, 개인정보침해 사례 발생의 경우 유형적 손실이외의 기업 이미지 실추와 관련된 무형적 손실의 위험도 크게 발생하고 있습니다.
손해액의 추정 : A 기업사례 (직원수 100명, 서비스업)
총 손해액 4억 6천만원
- 티켓몬스터 : 과징금 8,710만원, 과태료 450만원- 그루폰: 과징금 2,800만원, 과태료 800만원- 쿠팡 : 과태료 300만원
※ 현대해상 개인정보 책임보험 내 사례 참조
내역 금액
사고 경위 조사 조사 위임비용 2백만원
변호사 자문 변호사 보수비용 5백만원
사죄 광고 계제 광고비 3천만원
피해자 사죄 우편/쿠폰 발송우편비 3백만원
위로비 1억원
손해배상금/과태료
피해가 큰 200명 : 각 100만원
피해가 적은 300명 : 각 30만원
과태료 : 3천만원
국민일보 / 2012.04.10
![Page 5: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/5.jpg)
4
보안범위
물리적보안
• 출입문 통제• CCTV 설치 및 운영• 매체 취급 및 반출입 통제• 내부자 모니터링 및 외부자 접근통제 등
관리적보안
• 보안체계 수립• 보안 정책/지침/절차 제정• 주요 자산 식별 및 주요 자산에대한 접근통제 정책 수립
• 임직원 보안 교육• 지속적인 관리활동 유지 등
기술적 보안
• 보안 취약점 점검 및 보호대책 적용• 보안 솔루션 구축 및 운영• 관리 및 물리적 자산과 연계된통합관리 방안 수립• 보안로그 수집 및 주기적 분석 등
I. 기업보안 및 개인정보보호 1.4 보안 범위
![Page 6: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/6.jpg)
5
보호대책 수립현황분석유출경로
파악유출통제
분석
비지니스분석
핵심자산 식별
관련 법률 및
내부 지침 검토
관리적
유출경로 파악
논리적
유출경로 파악
물리적
유출경로 파악
관리적/물리적
기술적
유출통제 파악
통합적
유출통제 분석
유출통제 체계
수립
유출통제 대책
강화방안 수립
유출사고
대응체계 수립
I. 기업보안 및 개인정보보호 1.5 보안 체계 수립 절차
![Page 7: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/7.jpg)
분 류
컨설팅
1단계
정보보호컨설팅
2단계 3단계
보안 정보전략계획(ISP)
4단계
데이터 보안• DB 암호화 솔루션• DB 접근제어 솔루션
• 내부정보유출방지솔루션(DLP):개인정보보호솔루션포함• 문서암호화 솔루션(DRM) • PC백업 및 파일 중앙화 솔루션• 모바일보안(MDM,Mobile DLP)
네트워크 보안• 방화벽(FireWall)
• 웹구간 암호화(SSL)-침입탐지시스템(IDS)통
합보안시스템(UTM)-침입차단시스넴(IPS)좀
비PC탐지솔루션네트워크접근통제(NAC)
시스템 보안 바이러스백신(서버) 패치관리시스템(PMS)보안운영체제(SecureOS)
취약점분석솔루션서버접근제어솔루션서버가상화솔루션
어플리케이션 보안• 웹방화벽/웹서비스개인정보 노출방지솔루션
• 업무시스템 개인정보 접속/조회 로그관리솔루션• 출력물보안시스템
웹스캐너(취약점분석) 소스코드분석도구
통합보안 관리 통합로그관리전사적보안관리(ESM)보안구성관리(SCM)
위험관리시스템(TMS)위험관리시스템(RMS)
인증 및 접근통제싱글사인온(SSO)
통합접근관리(EAM)통합계정관리(EIM)패스워드통합관리
바이오시스템
PC보안• Virus/스파이웨어백신• PC내 개인정보 검색
키보드보안/E2E 솔루션-통합PC보안
PC가상화솔루션
: 본사 사업 분야
I. 기업보안 및 개인정보보호 1.6 보안 체계 수립 방안
![Page 8: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/8.jpg)
7
Ⅱ. 기술적 보안수준 현황 (As-Is)
개인정보 보호수준 개선진단 (기술적 보호조치) 및 관련 솔루션
정보보안 및 법규 준수를 위한 기술적 대책이 필요한 부분은 네트워크 보안, DB보안 강화로 본사 연구실은 내부사용자 (Endpoint) 관리의 큰 3가지 분야로 기술적 대책을 재고하였습니다
No 진단항목 현재 세부 내용
16 침입차단시스템 또는 침입탐지시스템의 설치 및 운영여부 O UTM 적용 사용함.
17 웹 방화벽의 설치 및 운영여부 X
24개인정보처리시스템의 웹 환경을 통한 관리자 접근에 대한 접근통제(PKI, IP)여부
X
27 개인정보 DB에 대한 고유식별정보, 바이오 정보의 암호화 여부 X 검토하여 개선, 모색 중임
28 비밀번호의 일 방향 암호화 적용 여부 X 일부 적용
29 개인정보 암호화 시 안전한 알고리즘 사용 여부 X
32 개인정보처리시스템 접근기록의 보관 관리 여부 X
33개인정보처리시스템 접근기록의 위변조 방지를 위한 안전한관리조치여부
X
34개인정보처리시스템 로그파일의 오남용 예방을 위한 정기적 분석 및보고의 수행 여부
X
23 비인가된 P2P, 웹하드, 공유설정에 대한 차단 여부 O 일부 적용
26개인정보가 포함된 서류 및 저장장치 (USB, CD) 등에 대한물리적 보안 조치
O 일부 적용
1. 네트워크 보안
3.내부사용자 관리
2. DB보안
1.1 웹 방화벽
1.2 WIPS
2.1 DB 암호화
2.2 DB 접근제어
2.3 서버보안
본사
3.3 DLP 적용
3.4 물리적 보안
(보안스티커, 커버, PC삭제)
![Page 9: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/9.jpg)
8
Ⅱ. 기술적 보안수준 현황 (As-Is)
![Page 10: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/10.jpg)
9
Ⅳ. 상세 솔루션 방안(案) – 2.1 서버 보안 (1/2)
서버보안은 서버자산에 대한 침해 시도를 방지하기 위해 커널 레벨에서 접근통제 정책을 제공하여 불법적인 접근을 차단 및 통제합니다.
서버보안 : SecureOS, 운영체제 보안시스템
서버보안(Secure OS)는 보호하는 서버 자산에 대해 침해 시도를방지하기 위해 커널 레벨에서 접근통제 정책(MAC, DAC, RBAC 등)을제공함과 동시에 서버 보안관리 등을 제공하는 시스템
서버보안 핵심기능
Root/Administrator 권한 분리 및 통제, 보안역할에 따른 불법 권한 이동 차단
시스템 계정과의 OS 연동 기능 제공, 사용자 로그인 통제
파일 및 디렉토리 보호 기능 제공
보안속성에 의한 프로세스 접근 통제, 중요 프로세스 KILL방지목록 제공,프로세스별 이상 징후 감시, Active 프로세스 감시 및 경고, 실행중인 프로세스에 대한 추적 기능
보안 정책에 의한 명령어 실행 통제, 시스템종료 등 중요 명령어 통제
시스템 침입 방지 기능
서버 Firewall 기능 제공
보안 감사 기능 (시스템 로그 수집 및 통합관리)
보안 정책에 대한 백업/복구 및 배포 기능
구성 방안- 서버보안 대상 Server : 서버보안 솔루션(Secure OS) 설치- 관리서버(ATC) : 관리서버 솔루션 설치
대상 서버에 Secure OS가 설치되면 관리서버에 의해 통제되며, 관리서버는 보안로그의 통합관리 및 보고서 기능 제공함.
관리서버범
례
서버보안 기술 개요 기술 내용
ATC
ATC(관리서버)
Agent Agent Agent Agent Agent Agent
SecureOS
SecureOS
SecureOS
SecureOS
SecureOS
SecureOS
AIX Compaq Linux Windows HP-UX Solaris
Manager(관리자)(Windows 환경)
SecureOS
![Page 11: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/11.jpg)
10
Ⅳ. 상세 솔루션 방안(案) – 2.1 서버 보안 (2/2)
서버보안 솔루션을 아래와 같이 제안합니다.
제품 소개 Reference (국내)
제 조 사 : 레드게이트
제 품 명 : RedCastle 용 도 : 서버 보안
제품 특징
- 행정정보보호용 시스템 선정
- 국내 최초 운영체제보안시스템 CC 인증
- 가장 폭넓은 접근통제 정책 제공
- 강력한 해킹방지 및 시스템보호 기능 제공- 고차원적 감사추적 및 실시간 경고 기능 제공
ReaCastle
제품 지원 사양 (설치 환경)
구 분 상세 사양
OS
• Solaris 2.x이상/ HP-UX 11.x , 11i 이상 /
AIX 4.X, 이상 / Windows / Linux (RedHat,
Suse, 한컴 등) / Digital UNIX (Tru64)
Hardware• SPARC계열 서버 / HP PA-RISC, Itanium
서버 / IBM 서버 / Intel 계열 서버
Manager • Windows 환경의 PC급 이상 (관리자 PC)
ATC
(관리 서버)
• Windows 2000 이상• CPU : Dual Xeon3.4Hz 이상• Memory : 1Gbyte / HDD : 160GB 이상• MSSQL 2003 이상
![Page 12: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/12.jpg)
11
물리적 보안 ( 보안스티커, 보안 봉인커버, HDD제거)
보안스티커 보안 봉인커버
귀사의 환경에 내부 사용자 보안 통제 1단계 물리적 보안에 대한 사항을
다음과 같이 제안 드립니다
보안스티커
보안스티커
봉인, 보안봉투 샘플입니다.
특수봉인라벨이나 보안테이프로 적용이 어려운 경우 보안봉투로 적용할 수 있습니다.
봉인,보안스티커 샘플입니다.
라벨형식으로 되어 보안이 필요한 부분에 부착시켜 봉인하는 방식이며, 임의로 파괴되는 보안, 보인용 스티커입니다.
Ⅳ. 상세 솔루션 방안(案) – 7 물리적보안
![Page 13: 04.a sis to be_정보보호체계 제언1](https://reader031.vdocuments.pub/reader031/viewer/2022020410/58efcccf1a28ab131f8b462f/html5/thumbnails/13.jpg)
㈜시온시큐리티
감사합니다
상담(구축) 문의
솔루션사업부 이유신 이사
Tel : 070-4685-2648 (대)
H/P : 010-2700-2648
E-mail : [email protected]
www.zionsecurity.co.kr