보안침해유형에따른 db 보안솔루션적용방안 보안침해유형에따른db...
Post on 05-Feb-2020
3 Views
Preview:
TRANSCRIPT
<Insert Picture Here>
보안 침해 유형에 따른 DB 보안 솔루션 적용 방안이진호DB 기술팀 TSC 본부jinho.lee@oracle.com
Internal Use Only
<Insert Picture Here>
발표 순서
• 최근 보안 침해 사례
• 보안 침해 유형에 따른 강화 방안• 개발 환경에서의 정보 유출
• 물리적인 접근에 의한 정보 유출
• 내부자에 의한 정보 유출
• 복잡한 비즈니스 연계 환경
• 오라클 보안 강화 전략
• 보안 침해 유형 별 오라클 대응 방안
• 결론
Internal Use Only
정보 보호 관점의 변화
1996
• 아마추어 해커
• 웹사이트 손상
• 단순 웜•바이러스 유포
• 지엽적인 공격
2008
• 조직화된 해킹 범죄
• 개인정보 탈취
• 시스템 운영 방해
• 지속적인 위협
• 인터넷 비즈니스 활성화
• 인터넷 기술의 향상
• 해킹 기술 발전 및 도덕적 해이
Internal Use Only
최근 보안 침해 사례
사건 유형 개 요 사후 조치
해킹에 의한개인정보 유출
• 국외 해커를 통해 발송된 악성 코드에 감염된 PC를통해 내부 관리자 권한 획득
• 이를 통해 서버에 침투하여 회원 정보를 빼내감
• 보안 제품 업그레이드 및 교체
• 대대적인 사후 조사
기능 오류로 인한
개인정보 노출
• 신규 시스템 기능의 오류로 인해 다른 사용자의메일함 정보가 노출됨
• 서비스 중지 후 수정 조치
프로그램의허점으로 인한개인정보 노출
• 웹 URL을 수정하면 다른 사용자의 개인 정보도조회할 수 있도록 프로그램이 보안 상의 허점을가지고 있었음
• Google 검색을 통해, 포털, 카페 및 공공 사이트등 에존재하는 개인정보, 계좌번호 및 기밀 문서 등이노출됨
• 프로그램 긴급 수정
내부직원에 의한
개인정보 유출
• 고객관리센터 직원이 회원의 개인 정보 조회 결과를별도의 파일로 만들어 빼내감
• 보안 제품 업그레이드 및 교체
• 대대적인 사후 조사
테스트 과정에서
개인정보 노출
• 신규 시스템 테스트 과정에서 사용자들의개인정보가 직원의 실수로 인해 노출됨
• 문제의 데이터 삭제 조치
Internal Use Only
어떤 보안 솔루션을 적용해야 하나?
• 출입문 통제
• 개인 PC 반출 통제
• 미디어 반출 통제
• 휴대폰/MP3/USB 통제
• 프린트 물 반출 통제
반입/반출 통제
• 파일 보안(DRM)
• 미디어/USB 보안
• 화면 캡처 보호
• 키보드 보안
• 바이러스 보안
PC 보안
• 보안 교육 강화
• 전산 보안 담당자 운영
• 계정 분리 관리
• 메신저, 메일 차단
• 웹 접근 통제
보안 관리체계 강화
• DB 암호화
• 접근 제어
• 감사
• 계정 관리
• 백업 관리
데이터베이스 보안
• 사설망 구축
• 접근 탐지 시스템 구축
• 방화벽 구축
• DDOS 공격 방어
• 네트워크 암호화(SSL)
네트워크 보안
• 시스템 계정 분리 관리
• 작업 명령어 감시
• 외부 연결 감시(FTP)
• 개발/테스트 환경 분리
• 어플리케이션 보안
시스템 보안
Internal Use Only
Oracle Database SecurityProducts
Strong
Authentication
Virtual Private
Database
Label Security
Database Vault
Network
Encryption
Transparent
Data Encryption
Secure Backup
EM Data
Masking Pack
오라클 데이터베이스 보안 솔루션
Audit Vault
(Server/Collecti
on Agent)
EM
Configuration
Management
Pack
사용자 인증
(Authentication)
데이터 보호
(Data Protection)
접근 통제
(Access Control)
모니터링
(Monitoring)
Advanced Security
Internal Use Only
Case : 테스트 과정에서 개인정보 유출
• 실제 운영환경과 동일한 데이터 구조의 필요성
• 여타 응용프로그램과의 데이터 연동 확인
• 테이블간의 무결성, SQL 실행 계획 검증 등
사용자
개발자
가입자 정보 가입자 정보
운영서버
외주업체
타인의실제 정보접근 가능
테스트 서버
가입자 정보에 대한 위변조 필요복호화가 불가능한 자동화된 변조 방식 필요
운영 환경과의 데이터 정합성 유지 필요
Internal Use Only
데이터 마스킹에 의한 노출 방지EM Masking Pack
• 운영 중인 실제 데이터가 개발 및 테스트 과정에서 노출되지 않도록 변조
마스킹서버
1. 복제3. 복제
2. 마스킹(변조)
운영 DB
…
CCC
BBB
AAA
개발 DB
…
ccc
bbb
aaa
테스트 DB
…
γγγ
βββ
ααα
• 데이터를 자동으로 변조
• 다양한 변조 방식 제공
• 실제 데이터 보호
• 운영 DB와 동일한 데이터 형식 유지
• 데이터 무결성 유지
운영 DB 환경과의 정합성 유지
Internal Use Only
EM Masking Pack 적용 예제
개인 정보 변조 방안 비고
이 름 • 섞기 또는 대표 샘플 테이블 사용
주민번호 • 시작 7자리 유지
• 후반 6자리 무작위 숫자 대체
• Check Sum 함수 사용 여부
우편번호 • 후반 3자리 무작위 숫자 • 주소와 일치 여부
주소 1 • 시작 10 문자만 유지
주소 2 • 시작 6자리만 유지
집 전화번호 • 후반 4자리 무작위 숫자
휴대폰 번호 • 시작 3자리 이통사 번호 변경
• 후반 4자리 무작위 숫자
계좌 번호 • 12~16 자리 무작위 숫자 • Check Sum 함수 사용 여부
카드 번호 • 시작 6자리 유지
• 나머지 무작위 숫자
• Check Sum 함수 사용 여부
전자우편주소 • 2 번째 문자에서 ‘@’전까지 ‘x’로 변환
Internal Use Only
Case : 물리적인 접근에 의한 정보 유출
• 고객 카드 정보가 흘러 다니는 곳은?
• 데이터베이스 파일 및 백업 미디어 / 네트워크 패킷 등
리두 로그 아카이브 로그
UNDO 파일
임시 파일데이터파일
백업 테이프
백업 스토리지
데이터베이스 서버 백업시스템
DB 관리자 DB 업체 서버장비 업체OS 관리자 유지보수업체 백업솔루션업체 디스크업체
데이터베이스 파일 복사 백업 파일 복사
N/W 패킷 스니핑-데이터 노출-인증 정보 노출
Internal Use Only
물리적인 암호화를 통한 유출 방지Oracle Advanced Security
• 강력한 사용자 인증과 데이터 보호를 위해 다양한 보안 기능을어플리케이션의 변경 없이 제공
Transparent Data Encryption(TDE)
자동암호화
자동복호화
보안에 민감한 테이터(칼럼, 테이블스페이 레벨)
Strong Authentication
SQL*Net
x#!s%U3/??????
Network Encryption
네트워크 패킷 암호화
별도의 전용 인증 서버
Internal Use Only
10g와 11g TDE의 차이점
• 11g Tablespace Level Encryption
• 테이블스페이스 전채가 암호화
• SGA에서는 Clear Text로 존재
• Server Process 입장에서는암호화와 상관 없이 동작
• 10g Column Level Encryption
• 테이블의 특정 칼럼만 암호화
• 블록의 특정 부분만 암호화
• SGA에도 암호화된 채로 존재
SGA
3
3
4
4
2
2
1
1
DBWR
2
3
4
3 4
4
3
SQL
ResultServer Process
1
SGA
2
2
1
1
DBWR
3
4 1
3
3
4
4
Server Process
2
4
13
43
3
4
42
3
12
암호화복호화
암호화
복호화
일반 테이블스페이스 일반 테이블스페이스 암호화된 테이블스페이스
일반 블록
암화화 대상 블록
특정 칼럼만 암호화된 블록
전체 암호화된 블록
Internal Use Only
칼럼 암호화와 인덱스 검색
• No SALT
• 같은 값에 대한 암호화 결과가 매번같은 경우(일반적인 Block Cipher
Algorithm의 결과)
A
A
A
£¢
£¢
£¢
e(x)
e(x)
e(x)
1
2
3
• SALT
• 같은 값에 암호화하더라도 매번결과가 달라지게 함
• 원본에 Hash 값을 붙여서 암호화
• 암호화 결과를 통해 원본을 유출할가능성이 있음
• 인덱스 값으로 사용 가능
• 암호화 결과를 통해 원본을 유출할가능성이 매우 희박함
• 인덱스 값으로 사용 불가 (비교가불가능함)
A
A
A
§©
à µ
© Ħ
e(x)
e(x)
e(x)
1
2
3
?A
?A
?A
Internal Use Only
칼럼 암호화와 인덱스 검색
• Block Cipher Algorithm으로 암호화된 결과 값은 등가비교는 가능하나, 대소 비교는 불가능하다.
A < B < C £¢ < §© < µĦ
등가비교 가능대소비교 가능
등가비교 가능대소비교 불가능
1
2
3
A
B
C
£¢
§©
µĦ
e(x)
e(x)
e(x)
? ?
Internal Use Only
물리적인 암호화 방법Transparent Data Encryption
• 자동 칼럼 암호화
CREATE TABLE employee (
first_name VARCHAR2(128),
last_name VARCHAR2(128),
emp_id NUMBER,
salary NUMBER(6) ENCRYPT using 'AES256'
);
create unique index idx_card_id on secure_info(card_id);
ALTER TABLE employee MODIFY (salary DECRYPT);
• 자동 암호화 테이블스페이스
CREATE TABLESPACE securespace
DATAFILE ‘/home/user/oradata/secure01.dbf’
SIZE 150M
ENCRYPTION USING ‘AES128’
DEFAULT STORAGE(ENCRYPT);
Internal Use Only
암호화 칼럼 수
0 1 2 3 4 5 6
성능저하추이
블록레벨암호화
칼럼레벨암호화
선택적인 암호화 방식 운용
Internal Use Only
물리적인 정보 노출 방지Oracle Advanced Security
리두 로그 아카이브 로그
UNDO 파일
임시 파일데이터파일
백업 테이프
백업 스토리지
데이터베이스 서버 백업시스템
DB 관리자 DB 업체 서버장비 업체OS 관리자 유지보수업체 백업솔루션업체 디스크업체
O 데이터베이스 파일 암호화 O 백업 파일 암호화
O 네트워크 암호화
Internal Use Only
Case : 내부 관리자에 의한 정보 오용
• 인사 계획 및 회사 기밀이 자꾸 노출 되는 것 같다?
HR 직원
HR, 재무 시스템
데이터 센터
• 내년 예산 설정• 분기 실적 통계 작업• 상장 관련 재무 정보 작업• 합병 관련 작업
재무 직원
• 신규 성과 시스템 작업• 신규 인사 시스템 작업• 인사/고가 정보 산정• 합병 관련 재반 작업
내부 시스템관리자
상급자
동료
투자자
인사이동정보
고가정보
• 인수• 합병• 실적
주요 기밀 정보의 접근 제한관리자 계정의 개인정보 접근 원천 차단
감사 활동 강화
Internal Use Only
Case : 외부 해킹에 의한 정보 유출
내부 직원서버 제 3의 서버 (경유지)
데이터 센터
국외유출
• 제 3의 외부 서버에 자료 전송• 추적 회피
• 해킹 프로그램 설치• 백도어 확보• 시스템 환경 조사
• 악성 이메일에 감염• 관리자 계정 유출• 사내 인증 정보 유출
악성 이메일
해킹 프로그램개인정보파일
데이터베이스 파일 자체의 유출
해킹 의한 관리자 정보 추출
관리자 계정의 개인정보 접근 원천 차단
DB 서버로의 접근 경로 및 유형을 통제
감사 활동 강화
데이터베이스 파일 자체의 암호화 필요
Internal Use Only
데이터베이스 외부의 접근 제어 솔루션
• 사용자와 데이터베이스 간의 전송 내용을 분석
• 정책에 맞지 않는 SQL의 접근 불허 및 로그 추적
• Network Sniffing, Gateway, Agent 방식
DB
Network
Sniffing
게이트웨이방식
에이전트방식
DB
DB일반 사용자
DBA
Internal Use Only
외부 보안 솔루션의 한계구조적인 한계점
• 보안 검색 방식에 따른 성능 저하
• 자체 오류 시, DB 서비스 중단 위험
• 내부 관리자의 직접 접근에 대해 여전히 취약함
일반 사용자
DB
Network
Sniffing
게이트웨이방식
에이전트방식DBA
DBADB
DB
Internal Use Only
외부 보안 솔루션의 한계기술적인 한계점
• 단순 사용자 SQL 검색 방식
• 검출 불가능한 취약성 여전히 존재
일반 사용자
PROMOTION
TABLE
V_PROMOTION
VIEW
DBA
NORMAL_JOB
...
DELETE FROM
PROMOTION
WHERE ...
PL/SQK
검색 SQL 문장
SELECT * FROMV_PROMOTIOM
보안 체크 결과 정상
{CALL NORMAL_JOB}or
Dynamic SQL
검색 SQL 문장
보안 체크 결과 정상
최종 결과 진급심사 데이터 삭제
최종 결과 진급 대상자 정보 누출
Internal Use Only
Oracle Database SecurityDatabase Vault
• 높은 권한의 사용자 접근을 통제
• SYSDBA도 접근이 불가능한 보안 영역(Realm) 제공
• Select Any Table 권한을 부여 받은 사용자도 접근 불가
• 의심스러운 IP를 통한 CONNECT 불가
• 업무 시간대에 DDL 문장 수행 금지 설정 가능
• 특정 SQL 문장 실행을 다양한 조건에 따라 제어
Internal Use Only
내부자 정보 유출 방지데이터 보호 영역(DV Realm) 생성
• 데이터베이스내의 방화벽 구축• 외부 침입자 및 내부 관리자로부터 민감한 업무 데이터 보호
• 의심스러운 데이터 접근 불허
• 의심스러운 명령어 실행 불허
인가된 사용자
• 업무 별로보호되어야 할데이터의 집합
데이터 베이스
데이터 보호 영역
D
B
내의방화벽
시스템 관리자
해커
• 내부 관리자도 민감한업무 데이터에 대한 접근불허
• 의심스러운 데이터접근이나 명령어 실행을원천적으로 차단
• 인가된 사용자만 민감한정보에 접근 허가
Internal Use Only
내부자 정보 유출 방지DV Command Rule
• DB 내의 모든 SQL 명령에 대한 실행 제어
• 불필요한 데이터 접근의 원천 봉쇄• 관리자라도 불필요한 데이터 조회 불허
• 인위적인 데이터 조작 및 은폐 위험성 제거
데이터 보호 영역시스템 관리자
영역 관리자
• 테이블 참조 불허
• 민감한 정보 변경 불허
• 사용자 계정 관리 불허
• 특정 시스템 관리 명령어의 사용 제제
Internal Use Only
Case : 다국적 아웃 소싱C 은행
• DB 업무 포함 IT 업무를 다국적 외부SP에 수행 중
• 보안 구조상의 문제점 발견
• 주요 정보 노출 위험
• 각종 국제 규약 준수
• 최단 시간내의 확실한 솔루션 고민 글로벌 24 시 서비스 지원 체계 요구
자국 또는 국제 보안 규약 준수 요구
AMERICAS
• HIPAA
• SEC and DoD Records Retention
• USA PATRIOT Act
• Gramm-Leach-Bliley Act
• Foreign Corrupt Practices Act
• Market Instruments 52 (Canada)
EMEA
• EU Privacy Directives
• UK Companies Law
APAC
• J-SOX (Japan)
• CLERP 9: Audit Reform and
Corporate Disclosure Act
(Australia)
GLOBAL
• International Accounting
Standards
• Basel II (Global Banking)
• OECD Guidelines on Corporate
Governance
데이터베이스 관리, 지원 비용 절감 요구
다국적 아웃소싱 비용
동일 지역에서 24시간관리 $1
$5
$
Internal Use Only
Case : 다국적 아웃 소싱Database Vault의 활용
• 다른 지역의 데이터에 접근할 수 없도록 함
- EU Privacy Directive 준수
- 경로(IP)와 시간(Time)에 따라 명령어 규칙(Command Rule)으로 통제
• 개발자들에게 중요한 정보가 노출되지 않도록 설정
- 보안영역(Realm) 설정
• 시간대별로 다국적의 외주 DBA를 고용을 통한 비용 절감 효과
Global ERP 시스템
업무 데이터
보안영역(Realm)
DBA (일본)
DBA (영국)
DBA (인도)
DBA (미국)
10:00–16:00
(기준)
16:00–22:0022:00–04:0004:00–10:00
Internal Use Only
Case : 복잡한 정보 교환 구조
• 고객 정보 교환을 요구하는 복잡한 비즈니스
• 정말 필요한 정보만 교환 되는가?
카드 제휴사
고객 정보
데이터 센터
• 고객의 마일리지 정보
마일리지 제휴사
• 고객 신원 정보
제휴 항공사
• 고객 예약, 개인 정보• 항공 정보
제휴 여행사
• 고객 예약, 개인 정보• 항공 정보
개별 권한 관리의 강화레코드별 접근 제어 방식 필요
감사 활동 강화
Internal Use Only
Oracle Label Security
• 라벨 칼럼의 내용을 기반으로 다중 보안 레벨 지정
• 해당 라벨의 조건이 부합하는 세션만이 해당 ROW에 접근 가능
• VPD를 기반으로 제품화 : Out-of-box로 쉽게 접근 제어 기능 구현
Sensitivity Label
Sensitive
Highly Sensitive
Confidential
Public
Store ID
AX703
B789C
JFS845
SF78SD
Revenue
10200.34
18020.34
15045.23
21004.45
Department
Finance
Engineering
Legal
HR
User Sensitivity Level = Sensitive
OK
X
OK
OK
Internal Use Only
JCB (Japan Credit Bureau)Oracle Label Security
• 통합된 Data의 행 수준 접근 제어
제휴사 C
고객정보 Table
결제정보 Table
부채정보 Table
제휴사 A
제휴사 B
제휴사 C
제휴사 A
제휴사 A
제휴사 B
제휴사 C
제휴사 C
제휴사 B
제휴사 A
제휴사 B
제휴사 C
OLS 기반
행 수준 접근제어
Out-Of-Box VPD
Internal Use Only
Artear ( 아르헨티나 민영 방송사)Oracle Label Security
필름 /비디오 테이프라이브러리
방송/케이블 영업 관리
SAP 기반 Billing
저작권 , DW
Public
Highly Sensitive
Sensitive
방송 Contents
독립제작사
멀티미디어사
광고주
방송국 직원
계열사
• OLS 기반 보안 Infrastructure
Highly Sensitive
Sensitive
Public
방송국 지원
계열사
독립제작사
멀티미디어사
광고주
Internal Use Only
Database Vault의 필요성안전한 보안 관리 구조
• DB 레벨의 보호 영역 생성
• Mandatory Access Control : 예외 상황 불허
• 설정된 보안 정책은 관리자라도 피할 수 없음
• 강력한 업무 분리 기능
• 계정, 보안 정책, 감사, 시스템 관리 등을 위한 정보 보호 영역 설정
계정 관리자 보안 관리자 보안 감사자 시스템 관리자 응용프로그램 관리자
시스템 정보 사용자 데이터감사 정보권한 및 롤보안정책
영역 구분에 의한 내부 정책/권한/감시 정보 보호
Internal Use Only
Database Vault의 필요성SaaS환경의 Multi-tenancy에 대한 보안
Purchase
Schema
Logistics
Schema
Inventory
Schema
PURCHASE
Realm
INVENTORY
Realm
Logistics Realm
DB 1
DB 2
DB 3 Orders App
Invent. App
Tenant
Tenant
Select * from INVENTORY
where tenant_id=10
where tenant_id=15
Schema Schema Schema
Internal Use Only
Database Vault의 필요성입주형 전자 상거래
ID Name Stock … Label
1 … … … A
2 … … … B
3 … … … A
4 … … … C
… … … … …
Product 테이블
ID Name Phone … Label
1 … … … A
2 … … … B
3 … … … A
4 … … … C
… … … … …
Customer 테이블
ID Name Qnt … Label
1 … … … A
2 … … … B
3 … … … A
4 … … … C
… … … … …
Order 테이블
tenant A
tenant B
tenant C
DBA
보안관리자
Audit Vault 감사 기록
DB Vault DBA 접근제어
OLS Label 데이터 접근제어
Internal Use Only
Oracle Audit Vault
• 기업의 규제 준수 적용 및 감사 수행을 위해 필요한 통합 감사 수집 및 관리 솔루션
• 감사 정보의 수집 및 통합
• 규제준수(Compliance) 보고서 작성
• 내부 침입의 검출 및 방지
• 저 비용으로 감사 정책 관리
• 대용량 감사 정보의 안전한 보관
Dashboard 제공
Internal Use Only
데이터베이스 접근 통제의 문제점
APP 사용자 A
APP 사용자 B
DB 관리자
실무자
Apps/ERP
DB Session에 설정된 정보에
따라 접근 제어가 가능함
[SYS 계정으로의 직접 접근]
[SQLPLUS, EM, TOAD 등 다양한 접근 툴]
[Application 계정으로의 직접 접근]
[Ad Hoc Tools, 사용자 프로그램]
통제
어려움
공유 세션
전용 세션
연동시스템
통제
용이
[데이터 이관 작업 등]
[DB Link 또는 ETL 툴]
• 같은 IP에서 접근
• 같은 툴에서 접속
• 같은 사용자에 접속
• 같은 권한을 가짐
• SQL 패턴 확인 불가
• IP 별 접근 제어
• 사용자별 접근 제어
• 접속 툴별 접근 제어
• 관리자의 접근 제어
• 접근 제어, 감사 증적이용이함
접근 제어, 감사 증적이 무의미
접근 제어, 감사 증적이 용이
?
!
Internal Use Only
오라클 보안 강화 전략접근 제어 기반 구조
Custom
Application
Context
USERENV
Application
Context
기본 세션 정보• 접속 IP
• DB 사용자• 접속 툴
사용자 지정 정보• 특정 권한• APP 사용자 정보
데이터베이스 접근 통제사용자 세션 분석
• 세션별 사설 데이터베이스 구축• 조건에 맞는 레코드들만 접근 가능• Null Column Masking : 조건에 많지않은 세션에게 NULL 반환
Virtual
Private
Database
• 레코드별 접근 제어• 다중 보안 레벨 설정• 레이블 권한을 가진 레코드만 접근가능
Label
Security
• 조건에 맞는 것만 감사• 지정된 SQL 조건 또는 세션 정보에대해서만 감사
Fine-
Grained
Auditing
• 내부자 접근 통제(SYS 포함)
• 보호영역에 대한 접근 통제• SQL 명령어에 대한 접근 통제
Database
Vault
Label Policy
VPD Policy
Audit Policy
DV Rulesets
사용자 세션 정보
Internal Use Only
오라클 보안 강화 전략Application과 DB 사용자의 일치
• APP 사용자 별 DB 세션 정보 설정• DB 접근을 APP 사용자 별로 제어
• DB 접속 풀 획득 및 해제 시 DB 세션 변수 설정 및 해제
JSP
Servlet
APP
사용자계정 정보
DB 공통작업 모듈
• SELECT
• UPDATE
• DELETE
• BATCH
• 2PC
오라클데이터베이스
DB
Connection
Pool
s
세션 획득• APP 사용자정보 설정
세션 반환• APP 사용자정보 해제
ss
ss s
DB 세션• APP 사용자정보 확인가능
APPICATION 시스템
Internal Use Only
오라클 보안 강화 전략Application과 DB 사용자의 일치
Custom
Application
Context
USERENV
Application
Context
기본 세션 정보• 접속 IP
• DB 사용자• 접속 툴
사용자 지정 정보• 특정 권한• APP 사용자 정보
사용자 세션 분석
Label Policy
VPD Policy
Audit Policy
DV Rulesets
사용자 세션 정보
!
이제 실제 SQL을수행하는 사용자가
누구인지 알 수 있구나!
이에 맞는 접근 통제방법을 쓰고, 실제
수행된 SQL 및 사용자를감사하면 되겠군!
Internal Use Only
Oracle Database 11g
• 테이블스페이스 레벨 암호화
• 하드웨어 암호 모듈(PKCS #11)을 통한 마스터키의 보호
• HSM(Hardware Security Module)
• Enterprise Manager를 통한 관리
• 고 가용성 기능의 암호화
• Streams/Logminer
• Logical Standby
• LOB 암호화 - Secure Files의 기능에 접목
• Data Pump를 통한 암호화 기능
• 모든 업무 데이터의 암호화
• 참조 키 및 범위 인덱스 검색 지원
• Data Masking 기능
Internal Use Only
오라클 보안 솔루션의 다양한 기능
분류 기능 설명
Enterprise
Edition
계정 관리 및 인증 • DB 계정 관리 및 암호 기반 인증
권한 및 롤 • 전통적인 DAC & RBAC
Auditing • 감사 기능. 효율적인 감사를 위한 Fine Grained Auditing 기능 포함
Virtual Private Database • 사용자 정의 행 단위의 접근 제어
Encryption API • 데이터 암호화 PL/SQL API
Enterprise User Security • DB 계정을 확장한 실제 사용자 계정 관리 기능
Advanced
Security
Option
Strong Authentication • 3rd Party 표준 인증 서비스와의 연동
암호화솔루션
Network
Encryption• 클라이언트와 DB 서버간의 모든 네트워크 통신 패킷을 암호화
Transparent Data
Encryption• 사용자 SQL에 투명한 데이터 자동 암호화/복호화
Database Vault
• 단일 DB안에서 업무별로 독립적인 보호 영역을 구축. DB의 모든명령에 대해서도 조건에 따라 실행 권한을 제어할 수 있게 해주는 내부통제 기능
Audit Vault • 여러 이기종 DB에 분산되어 있는 감사 정보를 통합 관리
Oracle Label Security • 행 단위 접근 제어 및 보안 등급 관리
Oracle Data Masking • 개발 환경을 위한 자동 데이터 변조 기능
Oracle Secure Backup • 오라클 RMAN 전용 보안 백업 툴(네트워크를 통한 테이프 백업 솔루션)
Internal Use Only
보안 침해 유형 별 오라클 대응 방안
DatabaseVault
AdvancedSecurity
AuditVault
DataMasking
LabelSecurity
대 응 방 안
데이터의 암호화
네트워크 Packet의 암호화
강력한 인증 및 접근제어와 감사활동을 통한 침입의사전 감시
사용자의 업무 데이터를 SYS와 같은 강력한계정으로부터 보호
효율적인 감사 실시
접근 경로/유형/시간대에 적절하지 않은 Command의사전 차단
개인정보 변조 후 데이터 공급
효과적인 행 수준 접근제어 제공
개발 시스템을 통한 정보 유출 미디어를 통한 정보 유출네트워크 정보 도용 및 위 변조
내부자에 의한 정보 유출 아웃 소싱에 의한 정보 유출
Internal Use Only
결 론
• 정보 보호를 위한 보안 강화 방안• 가능한 모든 보안 솔루션의 도입이 필요
• 네트워크, PC, 시스템 보안
• Application, 데이터베이스 보안
• 반입/반출 통제
• 보안 관리 체계 강화
• 효과적인 내부 통제를 위한 방법• 업무 별로 완벽한 접근 제어
• 관리자에게 꼭 필요한 권한만 허용
• 관리자에 의한 데이터 유출 최소화
• 강력한 내부 감사 및 모니터링
• 각 티어에 가장 적합한 보안 체계 구축
<Insert Picture Here>
Internal Use Only
Internal Use Only
top related