2015
DBSAFER 제품 소개서DBSAFER 제품 소개서
I. DB 보안 개요
1. DB 보안 도입 필요성 및 기대효과
2. DB 접근제어시스템 개요
3. DB 보안방식별 특징 비교
II. 솔루션 소개
1. DBSAFER 솔루션 개요
2. 시스템 구성방식
3. 주요기능 및 특장점
III. DBSAFER 특장점
IV. 회사 소개 및 구축사례
1. 일반현황 및 연혁
2. 품질인증
3. 레퍼런스
4. 구축사례
Why PNPSECURE
목 차
Ⅰ. DB 보안 개요
1. DB 보안 도입 필요성 및 기대효과
2. DB 접근제어시스템 개요
3. DB 보안 방식별 특징 비교
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 3
§ 엄격한 보안등급에 의해
계정 관리가 현실적으로 어려움
§ 관리자(DBA)의 권한 집중화
§ 엄격한 보안등급에 의해
계정 관리가 현실적으로 어려움
§ 관리자(DBA)의 권한 집중화
§ 방화벽에서 콘텐츠까지
동일한 수준의 보안 요구
§ 단계별 구획화하고
핵심자산 중점 관리 필요
§ 방화벽에서 콘텐츠까지
동일한 수준의 보안 요구
§ 단계별 구획화하고
핵심자산 중점 관리 필요
§ 정보 유출 및 해킹 범죄 건수가
매년 2배씩 증가
§ 보안 침해 사고의 70~80%가
내부자의 정보유출에 의해 발생
§ 정보 유출 및 해킹 범죄 건수가
매년 2배씩 증가
§ 보안 침해 사고의 70~80%가
내부자의 정보유출에 의해 발생
§ 개인정보보호 의무 위반한 업체에
배상명령(개인정보분쟁위원회)
§ 방송통신위원회 규정 법안 준수
§ Basel II , SOX , ISO 17799 등의
정보에 대한 기밀성 유지 관련
Compliance 준수
§ 개인정보보호 의무 위반한 업체에
배상명령(개인정보분쟁위원회)
§ 방송통신위원회 규정 법안 준수
§ Basel II , SOX , ISO 17799 등의
정보에 대한 기밀성 유지 관련
Compliance 준수
1. DB 보안 도입의 필요성1. DB 보안 도입의 필요성 I. DB 보안 개요
중요 정보에
대한
위협 증가
전문적인DB 보안관리 체계
필요
데이터베이스
보안 취약성
개인정보보호
법률 강화
전사적
보안관리
체계
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 4
1. DB 보안 도입의 필요성 - 실제 사례1. DB 보안 도입의 필요성 - 실제 사례 I. DB 보안 개요
§ 국내 모정유사의 고객 개인정보 유출 과정
§ DB에 있는 고객정보를 읽기 위해 필요한 SQL Client Program을 사용하여 다운로드
§ 다운로드를 2만 건씩, 5~6백번에 걸쳐 작업 반복
§ 고객정보 엑셀프로그램에 복사해서 붙임(단, 2만 건씩, 5~6백번에 걸쳐 붙일 수도 있고 한
번에 천백만 건의 정보를 붙였을 수도 있음)
§ 엑셀 내 고객정보를 DVD 6장으로 옮김
※주민번호, 카드번호 등의 중요 개인정보가 허용량 이상 나갈 때는 결정권자에게 승인을 얻거
나, 보안담당자에게 실시간으로 문자나 이메일 등의 경고(Alert) 시스템 보안이 이루어졌다
면 2만 건씩이나 되는 고객정보를 5~6백번에 걸쳐 반복해 다운로드할 수는 없었다.
※ 국내 모정유사 사건처럼 정보유출사실조차 파악하지 못해서는 안 된다. 혹시라도 유출되었
다 할지라도 기업은 가능한 빨리 알아야 한다. 빨리 알게 되면 정보가 악용되거나 방치되는
것을 막을 수 있기 때문이다.
§ DB 접근제어 및 감사의 필요성
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 5
1. DB 보안 도입의 필요성 - Compliance1. DB 보안 도입의 필요성 - Compliance I. DB 보안 개요
법률규정 Basel Ⅱ개인정보보호지침
(정보통신망 이용촉진 및정보보호 등에 관한 법률)
주요 정보통신
기반시설 보호지침
(정보통신 기반 보호법)
적용대상 • G-10 국가의 은행• 개인정보를 보관하는 기
업, 정부, 비영리 재단, 개인
• 정보통신 기반 시설로지정된 시스템 운영단체
목적
(통제목표)
• 자본 타당성 보호
• 운영 위험 측정 관리• 개인정보 또는 기록을 보
호
• 기반시설의 안정적 운영 국가의 안전과 국민생활의 안정 보장
적용시기• 2005년
• 한국 2006년• 2006년 01월
• 2001.년 01월(최초적용)
영향시스템
• 정보보안 문제로 인해 재무적, 운영적, 업무적 영향이 발생하는 전 시스템
• 개인정보를 보관하는 데이터 시스템
• 정보통신기반시설지정 정보통신망
비고
• 준칙 7: 전자금융시스템(데이터 응용 프로그램에 대한 적절한 인증 절차 마련)
• 준칙 9: 전자금융 거래에 대한 명확한 감사기록 보존
• 준칙 10: 중요한 은행의 정보에 대한 기밀성 유지
• 기업, 정부, 비영리재단, 개인 소유의 데이터가 누출 되었을 때 (개인정보를 비 인가된 접근으로 획득한 경우) 공식 통지
• 개인정보 보호원칙을 명시하고 개인정보의 수집보유 할 경우 법률의 규정E는 정보주체의 동의를얻어야 함
• 기반 시설에서 취급하는 데이터 및 주요 정보의 외부 위협에 대한 보호대책 수립 요구
• 데이터 기밀성, 무 결성, 가용성을 유지하기 위한 다각적인 보안 대책을 요구
• 내부자 보안 수준 강화에 따른 신뢰도 향상
• 데이터베이스 보안 강화에 따른 대 고객 서비스 향상
• 업무 신뢰도 향상에 따른 고객 신뢰도 향상
• 감독 기관 요구 사항 대응 및 감사에 대처
• 시스템 적으로 자동화된 데이터 보호 및 통제
• 데이터 사용에 대한 자동 감시 체계 구축
• 시스템 전반에 걸친 보안 수준 향상
• 합리적 보안 정책 수립 및 보안 정책에 따른 보안 통제
• 데이터 사용 및 사용 내역에 대한 사전 사후관리체계 구축
• 내부자 관리 통제 체계 구축
• 보안사고 시 추적 및 복구
• 암호화를 통한 데이터베이스 외부 유출 시 대응 체제 구축
• 집중화된 데이터베이스 보안 통제 체계 구축
l대내 관리적 효과
관련 컴플라이언스 준수 대외적 효과
대내적 효과
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 6
1. DB 보안 도입의 필요성 – 사업자의 개인정보 보호조치 기준1. DB 보안 도입의 필요성 – 사업자의 개인정보 보호조치 기준 I. DB 보안 개요
법률규정
[제정 2010.12.30. 행정안전부 고시 제2010-86호)
제9조
접근권한, 인증
및 계정관리
1.사업자는 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에따라 차등 부여 하여야 한다.
2. 사업자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우에는 지체없이 접근권한을 변경 또는 말소하여야 하며, 주기적으로 접근권한을 관리하여야 한다.
3. 사업자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관하여야 한다.
4. 사업자는 사용자계정(이하 “아이디”라 한다.)발급시 개인정보취급자별로 한 개의 사용자 계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
제11조접근통제
1. 사업자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치.운영하여야 한다.
-개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
제12조접속기록의 위.변조방
지
1. 사업자는 개인정보취급자가 개인정보처리시스템 접속한 기록을 월1회이상 정기적으로 확인.감독하여야 하며, 최소 6개월 이상 접속기록을 보존.관리하여야 한다.
2. 개인정보취급자의 접속기록이 위.변조되지 않도록 해당 접속기록을 별도의 물리적인 저장 장치에 보관하고 정기적으로 백업을 수행하여야 한다.
10. 침해사고 예방 및대응
10.2 침해사고의 대응계획 및 체계 수립- 증거수집 및 추적, 감사체계 수립(로그에 대한 상시 모니터링 체계)
개인정보 보호조치 기준 위반시
위반할 경우 최고 3천만원의 과태료 부과기준 준수하지 않아 개인정보의 분실,도난,유출,변경 한 경우 2년 이하의 징역 또는 1천만원 이하의 벌금 부과
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 7
DBA/운영자
DB서버DB접근제어시스템(Gateway+Sniffing방식)
어플리케이션
일반 사용자
•접근제어•모니터링
DB를 통한 정보 유출 위험 최소화
구성도(예)q 구성 방식
• 어플리케이션을 통한 접근은 DB보안을 통하지 않게하여 응용의 성능에 영향을미치지 않도록 설정 가능함
Gateway 방식nGateway를 통하여 DB 접근
n보안성 및 확장성이 뛰어남
Server
Agent 방식
n서버마다 Agent 설치
n우회 접속을 차단하는데 유리함
Sniffing 방식
n단순 모니터링 구성
n물리적으로 구성이 복잡해질 수 있음
nDB에 영향 없음
q 주요 기능
※ DB 서버 및 어플리케이션 환경에 따라 다양한 혼합 구성 가능
접근제어 n가상계정,IP,APP등으로 접근통제
권한제어 n명령어, Table, Colum 단위로 가능
SQL 감사/로깅 n모든 SQL 내역 감사, 로깅, 검색
Telnet/SSH/
FTP 통제nDB서버 Telnet, SSH, FTP 명령 통제
분석 및 리포팅 n다양한 통계 분석 및 리포트 제공
2. DB접근제어시스템 개요2. DB접근제어시스템 개요 I. DB 보안 개요
DB 접근제어 및 감사 솔루션은 DB에 대한 접근/권한 제어, SQL 감시/로깅 등을 통하여 DB를 통한
대량의 내부정보유출의 위험을 최소화함.
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 8
I. DB 보안 개요2. DB접근제어시스템 개요2. DB접근제어시스템 개요
연도별 신기술개발 현황
국내 최초DB접근제어부문
국가정보원인증획득
세계 최초 SQL Tool 에 관계없이
제공되는 Data Masking
기능 개발
세계최초G/W 방식 개발
2004년 2005년 2006년 2007년 2008년
세계 최초Inline TTP 기능 개발
2009년
세계 최초Proxy TTP
기능 개발
2010년
• 보안통제 기능이 가능한 세계최초의 Gateway 방식의 DB접근제어 솔루션 개발
• 기존 제품의 단점인 물리적인(Sniffing) 제약과 감사만 가능했던 단점을 보완하여 업계표준이 된 방식
• PC NAT 기술을 이용하여 감시 대상인 DBMS, Telnet, FTP등의 트래픽에 대해서만자동으로 DB보안 G/W서버 경유토록 하여 감시하는 기술
(기존의 운영환경을 변경하지 않음)
• 전용 SQL Tool에 상관없이SQL결재기능 및 중요 정보Masking 기능 지원 (Toad, Golden, Orange, SQLGate등)
• 보안장비의 비 정상 재부팅 또는 시스템 전원 차단으로 인한장애 시 DBSAFER는 기존 연결된 모든 세션을 유지시켜주는 안정성 보장 기술(보안장비 장애 시 세션 유실에 의한DB의 Rollback 가능성이 없음)
• GW에서의 Data masking 까지 문제없이 지원
• Proxy 방식에서도 유사한 장애 회피 기능 지원
• MS-SQL서버의 경우Terminal Service로 접속하여 DB에 접근하면 사실상 어떻한 모니터링 및 통제도 불가능 하였지만, DBSAFER가 국내 최초로 Terminal Service에 대한 Keystroke 및 모든입력 이벤트를 감사할 수 있는기술을 개발
• T/S를 통한 SQL 명령도 감사및 통제가 가능함
세계 최초 Gateway 방식개발세계 최초 PC NAT 기술개발SQL Tool에 종속적이지 않은결재기능, Datamasking 기능
세계 최초In-line TTP, Proxy TTP신기술인증(NET)마크 획득
세계최초Terminal Service 접속
국내최초 Terminal Service를 통한
MS-SQL 접속 시에도 명령어 통제및 감사기능 개발
세계최초 PC NAT ,국내 최초 SQL
Tool 에 관련 없는SQL결재기능 개발
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 9
3. DB 보안 방식별 특징 비교3. DB 보안 방식별 특징 비교 I. DB 보안 개요
특징 비교
구 분
접근 제어 및 감사 제품
Sniffing 방식Server Agent 방식 Gateway 방식
(In-line, Proxy 구성 가능)
TTP Gateway 방식(Tursted Transparent Proxy로
In-Line, Proxy 구성가능)BEQ Agent Node-Safer
보안기능• 보 안 통 제 가 사 실 상
불가능• 강력한 보안 기능 제공 • 우회접속차단만 가능 • 강력한 보안 기능 제공 • 강력한 보안 기능 제공
안 정 성
• Agent 가 설 치 되 지않는 방식, DB서버에영향 없이 안정적 운영가능
• Agent 설치로 인한 DB 서버성능에 영향을 줄 수 있음
• Agent 장 애 로 인 한 대 책미비
• 서비스 재 시작 필요
• 서비스 재 시작 없음• 서버 재 시작 없음• Software TAP방식• 장애 없음
• Agent 가 설치되지 않는 방식, DB서버서버에 영향 없이 안정적 운영 가능
• Gateway 구성에 따른 장애 대응 방안필요 (이중화 or Bypass)
• SSH 통제 및 모니터링 가능• 암호화 대체 기능제공 (Data Masking)
• Agent 가 설치되지 않는 방식,DB서버 서버에 영향 없이 안정적운영 가능
• SSH 통제 및 모니터링 가능• 암호화 대체 기능제공 (Data
Masking)
확 장 성• 확장시 각각의 세그먼트
마다 H/W 연결 필요• 서버마다 Agent 설치 필요
• 별도의 H/W 나 Agent 추가 없이 확장가능
• 별도의 H/W 나 Agent 추가 없이확장 가능
제품특징• 모 니 터 링 만 할 경 우
권장• 소규모 적용시 가격 유리
• Gateway 방 식 에 서우회경로차단 및 서버접근제어 용으로 활용
• 보안성 및 확장성이 뛰어나며, 이중화구성 시 가장 좋은 구성 제안이 가능
• 안정성 : Sniffing방식과 동일• 보안성 : Gateway방식과 동일• 성능 : Gateway방식과 동일• 최적의 구성 방식
고려사항 적용 기술 비고
장애대비를
위한
설계원칙
• 후킹 기술 사용 절대 불가
• 네트워크 트래픽을 driver level에 처리하지 않고 application level에서 Raw socket을 sniffing 함 (프로그램이 오동작하
거나 강제 종료를 시켜도 네트워크에는 전혀 영향이 없음)
• DB보안 서버 장애시 Fail-open 모드로 자동 전환
• 기 접속된 세션 보호
• 사용자의 고의적인 프로세스 종료 및 각종 비정상 동작에 대한 자동 복구 기능 수행
성능 • 최소한의 자원 사용 (Memory 5M bytes 이하, 평상시 0.1% 미만 점유, 과부하시 3% 미만 점유)
설치 및 이식성• Ansi-C로 작성하여 다수의 OS 플랫폼에 바로 이식 가능
• 특정 라이브러리 설치 없이 서버에이전트 동작 (프로그램만 서버에 복사하여 동작)
Ⅱ. 솔루션 소개
1. DBSAFER 솔루션 개요
2. 시스템 구성방식
3. 주요기능 및 특장점
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 11
1. DBSAFER 솔루션 개요1. DBSAFER 솔루션 개요 II. 솔루션 소개
DBSAFER 제품 구성
DBSAFER Gateway V 3.0
DBSAFER Manager V 3.0
DBSAFER Agent V 3.0
DBSAFER Gateway & Sniff Server DBSAFER Gateway & Sniff Server
FOD (Fail Over Device) or TAPFOD (Fail Over Device) or TAP
DB 접근제어를 실행하고 데이터를 로깅, 분석하는 기능 수행
DB 접근제어 정책을 수립하고 실시간 모니터링 기능 수행
-DB 접속 Client PC에 설치되어 DB 접속 시 네트워크 경로 자동변경 및 사용자 인증 기능 수행 (1인 1계정 지원)- DMS설치시 SQL 결재기능 / 변경전후 데이터 보관 기능 제공
DBSAFER Gateway & Sniff Engine을 탑재하고 실행하는 하드웨어
DBSAFER Gateway(In-Line) 구성 또는 Sniffing 구성 시 필요
DBSAFER Sniff V 3.0네트워크 상에서 패킷을 도청하면서 DB 접근제어를 실행하고데이터를 로깅, 분석하는 기능 수행
DBSAFER Server Agent V 3.0DB 서버에 설치되어 우회 접속에 대하여 DB 접근제어를 실행하고 데이터를 로깅, 분석하는 기능 수행
S/W
H/W
H/W
보안서버
(Log/
차단)
관리PC
PC설치
DMS(Decide ) V 3.0 SQL 결재기능 및 변경 전후 데이터 보관 기능 수행
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 12
Gateway In-Line
Proxy + PC Agent
Server Agent
Sniffing
Hybrid
방화벽과 같이 사용자와 DBMS 접속 경로 사이에 위치 하는 방식이다. DB 접속자, DB 시스템 환경 변화가 없다.
물리적으로 다른 지역 또는 여러 Switch에 연결된 다수의 DB 시스템을 관리할 때 유용 한 방식이다. DB 접속 사용자 PC에Client 프로그램 설치가 필요하다.
DB 시스템에 Server Agent를 설치하여 콘솔 작업을 포함한 telnet 등 Local 접속 통제가 필요 할 경우 사용하는 방식이다.
위의 여러 방식중 2개 이상을 혼용 하여 구성 하는 방식이다.
<Gateway ln-line>
<Proxy + PC Agent> <Server Agent>
<Sniffing> <Hybrid>
Sniffing 방식은 통제 목적이 아닌 접속 정보만을 저장 할 경우 많이 사용 하는 방식이다. WAS 및 AP 서버등 미들웨어 로깅시 주로 사용 한다.
2. DBSAFER 구성 방안2. DBSAFER 구성 방안 II. 솔루션 소개
구성 방식
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 13
2. DBSAFER 구성 방안2. DBSAFER 구성 방안 II. 솔루션 소개
구성 방식 - Gateway
Gateway 구성 방식 설 명
In-Line§ 불특정 다수의 사용자가 DB 접속 시 사용하는 방식§ 별도의 Client PC에 Agent 설치나 변경 없이 구성§ 대부분의 대학교에서 구성하는 방식
Proxy + Agent§ 한정된 DB 접속 사용자(2-Tier)들이 DB 접속 시 사용하는 방식§ Client PC에 Agent 설치 또는 DB 접속 환경 파일 수정 필요§ 대부분의 금융, 공공 및 일반 기업들이 구성하는 방식
In-Line Proxy + Agent
FOD 백본스위치(이중화)
DBMS
DBSAFERClientClient
DBMS
DBSAFER
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 14
3. 주요기능 및 특장점3. 주요기능 및 특장점 II. 솔루션 소개
로깅 및 감사
• 실시간 접속 사용자 감시 기능• 접속 방법에 관계 없이 모든 SQL 문 감시 기능• 실행된 SQL문/실행시간/사용자/시간대별 검색 및 추적 기능• 접속 세션 및 실행 명령어 별 이력 관리 기능• 감사데이터 생성
리포팅
• 로그 데이터에 대해 실시간 보고서 제공• 사용자별 접속/거부 통계 보고 기능• 정책위반 건수 통계 보고 기능• 로그 데이터를 DB로 저장, 사용자가 편집 가능하도록 스키마 제공
기타 기능
• 다수의 이기종 DBMS (Oracle, SybaseIQ/ASE, UDB/DB2, MS-SQL, MySQL, etc)에 대해 통합관리• 특정 패턴 및 칼럼 Data Masking 기능• 결재 기능 - Decide & DMS(사전 데이터, 사후 데이터 자동 보관)• 백업 및 복원 기능• 유연한 보안 정책 및 중복 쿼리 축약 기능(Query count)• 우회 경로 추적 및 비정상 쿼리 탐지 기능 등 지속적인 추가 기능 제공(connection traceback)
접속 및 권한 제어
• 가상계정, DB계정, 사용자 IP, Application, 날짜 및 시간대별 접속 제어• 특정 명령어와 Table 및 Column 명까지 조합하여 명령어에 대한 사전 차단• DBMS, Telnet, FTP 뿐만 아니라 SSH에 대해서도 접근 제어 가능• 사용자별로 사용 가능 명령어(DDL/DML/DCL 구문)를 제한하는 권한 제어 기능• 사용자 세션 강제 종료
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 15
II. 솔루션 소개
접근제어
3. 주요기능 및 특장점3. 주요기능 및 특장점
사용자 IP 별 제어
- 차단하고자 하는 사용자의 IP를 Single 또는 Range로 지정하여 차
단/허용
DBMS 접속 계정 차단
- DBMS에 접속하는 계정에 따라 접속을 차단/허용
Application 별 차단
- DBMS에 접속하는 Application에 따라 접속을 차단 허용
특정 명령어와 Table 및 Column 명 까지 조합 하여 명령어에 대한
사전 차단
DBSAFER는 가상계정, 사용자 IP(IP 대역 포함), Application (TOAD/Orange/Golden/SQL-
PLUS/기타..), DB 계정, 날짜/시간, 등 object 별로 다양한 정보를 AND 조건으로 접근제어 정책을
설정한다. 또한, Telnet, FTP, SSH 접근제어 기능도 지원한다.
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 16
II. 솔루션 소개3. 주요기능 및 특장점3. 주요기능 및 특장점
권한제어
DBSAFER는 DCL 구문뿐 아니라 테이블단위 접근제어 설정, DML, DDL 등에 대한 명령을 차단할 경우에도 접속된 세션을 유지하며 SQL 명령어, DB Table 등의 모든 조건을 이용하여 권한을 제어한다.
특정 명령어와 Table 및 Column 명까지 조합하여 명령어에 대한 사전 차단을 하고 주석이나 힌트 절에 대한 차단도 지원한다.
지정된 시간이 지나도록 DB 서버에서 사용자에게 요청 값을 통보하지 못할시 해당 사용자의 세션을 강제로 kill 시킬 수 있다
DBSAFER는 DDL/DML/DCL 구문에 대한 통제가 가능하며, 테이블단위 접근제어 설정인 DML,
DDL등에 대한 명령을 차단 할 경우에도 접속된 세션을 유지한다. 명령어로 인한 DB의 부하를
증가시키는 행위에 대해서도제어한다. 또한, Return Data에 대한 제한 설정을 통해 특정 사이즈
이상의 결과값은 파일로 저장할 수 있으며 조회가 가능하다.
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 17
II. 솔루션 소개3. 주요기능 및 특장점3. 주요기능 및 특장점
감사 및 로깅
사용자별, 접속 세션별 접속 이력 및쿼리에 대한 실시간 모니터링단, 보안관리자의 접근 내역은 별도로 관리
통합 Dashboard 및 통합관리 화면을 통하여 감시 대상서버, DB에 대한세션, SQL 변화 추이 및 상태 정보를그래프로 제공 (단, DBSAFER v3.0)
로그에서 특정 로그를 검색하는 기능
모든 DB 접속 SQL 및 BIND 값 로깅및 결과값(OPTION)로깅
DBSAFER는 사용자별, 접속세션별 접속 이력을 실시간으로 모니터링할 수 있으며, DBMS, SSH,
Telnet, FTP 등을 통합으로 모니터링하고 로깅한다. 또한, 감시대상 DB로 요청되는 초당 SQL 요청
수, 초당 평균 응답시간, 데이터 조회 건수, 네트워크 사용량(패킷량의 변화), 경보 전달 건수를
실시간으로 볼 수 있는 기능 제공을 제공한다.
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 18
II. 솔루션 소개
리포팅 기능
DB 접근 추이를 그래프로 표현 및 출력기능을 제공하며, SQL 구문별 명령어 별로 검색 및 통계 레포팅 기능을 제공한다. 그리고, 생성된 리포트를 PDF, HTML, DOC, XML, XLS, TXT, HWP 등 다양한형태로 변환한다.
사용자 정보, 서비스 객체명세서, 접속제어 정책 명세서, 사용자 Query 제어정책 명세서, 접속 정책변경 이력 명세서, 사용자 Query 제어정책 변경 이력 명세서, 정책 별 접속 및 미 접속 IP 정보 명세서, 정책 별 접근 명세서 등 이외에 일,주간,월간 요약/상세 리포트, 총괄로그, 관리자 로그 등에 대한 리포트도 생성, 저장 기능 제공.
DBSAFER는 보안대상 DB에 대하여 접근 추이를 그래프 뿐만 아니라 그래프로 표현 및 출력 기능을
제공하며, SQL 구문별 명령어 별로 검색 및 통계 레포팅 기능을 제공한다. 생성된 리포트는 외부
데이터로 (PDF, HTML, DOC, XML, XLS, TXT, HWP 등..) Export 하는 기능을 제공한다.
3. 주요기능 및 특장점3. 주요기능 및 특장점
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 19
II. 솔루션 소개3. 주요기능 및 특장점3. 주요기능 및 특장점
이기종 DBMS 지원 및 통합 관리
DBSAFER는 다수의 이기종 DBMS를 하나의 사용자 인터페이스를 통해 통합관리할 수 있다. 현재
DBSAFER v3.0이 지원하는 DBMS는 총 13가지 유형으로 Oracle(모든 버전 지원), MS-SQL,
Sybase ASE/IQ, Informix, DB2/UDB, Altibase, Teradata, MySQL, Tibero에 대해서 지원한다.
모든 유형의 DBMS 통합 관리
DBSAFER v3.0Enterprise Manager
관리자
Service
서비스 설정
접속 및 권한 제어 정책 설정
통합 및 선택적 모니터링
감사 로깅
리포팅
사전/사후 결재 처리
Oracle Sybase Informix DB2/UDB MSSQL Altibase Teradata MySQL Tibero
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 20
II. 솔루션 소개
Data Masking
DBSAFER는 어떠한 애플리케이션에 관계없이 중요한 정보에 대해 Data Masking 처리하여 정보
유출을 사전에 방지한다. 특정 패턴(주민번호)의 경우 Masking의 오류를 최소화하기 위해 “13”번째
Checksum을 인식해서 Checksum이 맞는 경우에만 Masking 기능이 동작하고, 지정한 패턴이 모두
Maksing 되는 것이 아니라 패턴 중에서도 정책에서 지정한 일부분만 Masking (예: “701125-
*******") 처리된다.
3. 주요기능 및 특장점3. 주요기능 및 특장점
DB 사용자
: Checksum 확인을 통한 masking: 패턴 매칭을 통한 특정자리수만 masking
DB Server
④ 사용자 화면
NAME Jumin_NO--------------- ---------------Jane, Ponda ******-*******James,Hong 700815-*******
① Toad를 통해 DBMS 서버에 접속(DBMS 접속툴에 관계없음)
② SQL 실행 : select * from Jumin_NO;
⑤ 서버 응답값에 대해 체크 및응답값 변경(Masking)
③ Jumin_NO Table 조회 요청
④ DB서버 응답값NAME JUMIN_NO--------------- ----------------------Jane, Ponda 581021-2234567James,Hong 700815-1234567
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 21
II. 솔루션 소개
결재 기능 - Decide
DBSAFER의 결재시스템은 User ID/User IP 및 Table 단위의 조건을 조합하여 쿼리를 결재하는
기능을 제공하며, 사용자가 요구하는 내역에 대한 이력보고서를 생성할 수 있다.
<결재 상세 리포트>
결재자(처리자)
DB사용자(요청자)
DBSAFER DB서버
<결재 업무 흐름도>
3. 주요기능 및 특장점3. 주요기능 및 특장점
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 22
II. 솔루션 소개3. 주요기능 및 특장점3. 주요기능 및 특장점
¡ 개인정보 관련 Table/Column 정보를 추출하여 DBSAFER의 Data masking 정책에 자동으로 등록
¡ Stored procedure의 경우 Procedure 정보를 추출하고 DBSAFER 서비스와의 연계를 통해 사용자가 실행 하는 Stored procedure의 동작을 확인
보안 대상 DBMS
ScanningOracle
MSSQL
기타 DBMS
DBSAFER
Manager
관리자접속
WEB UI
검출 항목 지정
DB Scan을 이용 하여 SP에 포함된 명령까지 통제 및 로깅
DBSAFER는 DB 서버에 확인 되지 않은 개인정보나 중요정보를 가지고 테이블이 존재 하는지 정확한 검색
기능을 제공 한다. 또한 Stored procedure에서 중요 정보를 제어 하는 경우 데이터 유출의 위험성이 존재한다..
DBSAFER의 DB Scan기능은 DB서버 내부에 저장되어 있는 Procedure 가 어떤 검출항목을 제어하는가에
대해서도 확인 한다.
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 23
II. 솔루션 소개
분산 환경 및 이중화지원
3. 주요기능 및 특장점3. 주요기능 및 특장점
Active-Active 및 DR 센터의 DBSAFER에 대해서 보안정책 동기화를 지원하며 국내최초로
정책통합, 모니터링 통합, 로그통합기능을 동시에 제공한다. 통합기능이란 Active된 다수의
DBSAFER를 한대의 DBSAFER 처럼 인식하는 기능으로 한번의 정책수정으로 모든 DBSAFER가
동기화되며 통합된 실시간 모니터링과 로그검색을 제공한다.
주 센터 DR 센터
Active Switch Standby Switch
DBSAFER G/W1보안정책동기화
DBSAFER
DBSAFER G/W2 DBSAFER Log DBSAFER DR
• Active-Active 그룹구성지원과 DBSAFER를 그룹으로 지정한 경우 한번의 정책설정으로 모든 DBSAFER에
정책이 적용되며 모니터링 및 로그 검색도 한대의 DBSAFER처럼 동작한다. 특히 DR쪽의 DBSAFER가 이와 동
일하게 동작하여 주센터 장애시에도 DR DB-Safer에 의해서 모든 DB접속이 보안장비를 통해서 운영이 가능하
다.
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 24
II. 솔루션 소개
윈도우 터미널 서비스 로깅
3. 주요기능 및 특장점3. 주요기능 및 특장점
Windows Terminal 사용자
서버관리자
Switch
FireWall
DB보안시스템
접속 제어감사 로깅
보안 대상 서버
MS-SQL Server
Windows Terminal 접속
Terminal Service 통제 및 로깅 불가
Windows Terminal 사용자
서버관리자
FireWall
DB보안시스템
접속 제어감사 로깅(DBSAFER)
보안 대상 서버
MS-SQL Server
Terminal Service 통제 및 로깅
Switch
- 실시간 모니터링
- 접속/권한 제어 정책
- 로그 조회
모든 DB 접근 제어 제품 DBSAFER
Windows Terminal접속
서버관리자가 윈도우 터미널 서비스를 이용하여 MS-SQL서버에 접근한 경우 통제가 불가능하지만, DBSAFER는
서버관리자가 입력하는 모든 Key Stroke 및 입력 Event를 해석하여 입력한 모든 SQL문장을 DBSAFER의
Gateway가 감사 및 통제 하게된다. 이러한 모든 기능은 MS-SQL 서버 및 PC에 별도의 Agent 필요 없이
지원한다. (동영상이 저장되는 것이 아니라 입력한 모든 명령어가 저장(Telnet형식)되어 조회까지도 가능함)
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 25
II. 솔루션 소개
모든 DBSAFER 장애시에도 감사데이터 생성
3. 주요기능 및 특장점3. 주요기능 및 특장점
DB 접속자
DBSAFER
보안대상 DB 서버Trusted 서버
백본스위치
현업 사용자
장애 발생
장애 복구 시 로그 전송
¡ 장애가 발생되면 사용자는 데이터베이스 직접 접속하여 작업을 수행 합니다.
¡ DBSAFER Agent는 사용자가 데이터베이스에 접속한 내역, 사용한 SQL 정보를 사용자 PC 로컬에 저장합니다.
¡ 장애가 복구되면 사용자는 DBSAFER 서버를 통해서 데이터베이스에 접속되며, DBSAFER Agent는 저장된 감사로깅 내역을 DBSAFER 서버에 전송합니다.
¡ DBSAFER 서버는 DBSAFER Agent에서 전송한 감사로깅 내역을 DB에 저장합니다.
DBSAFER 장애 발생 시 DB 접속자(DBSAFER Agent 설치자)의 PC에는 쿼리에 대한 로그가 남게 되고
DBSAFER 서버가 정상 작동할 시에 PC에서 가지고 있던 로그를 모두 DBSAFER 서버로 옮기는 기능을
제공한다.
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 26
II. 솔루션 소개
중복 쿼리 축약
3. 주요기능 및 특장점3. 주요기능 및 특장점
WAS의 정형 및 비정형 쿼리의 중복으로 인한 로그데이터 유실 및 속도 저하는 중복 쿼리 축약
기능으로 중복 쿼리를 최소화시켜 Sniff 및 로그 장비의 부하를 감소 시키며, 로그 데이터의 경량화로
하드웨어에 투자되는 비용을 최소화 한다.
S(대형유통사)사의
WAS에서 발생된 로그로
인하여 30,000여 개의
버퍼 파일이
발생하였으며, db에
저장되는 로그는 계속
밀려서 1일전의 로그가
저장되고 있었음
S(대형유통사)사의
WAS에서 발생된 로그로
인하여 30,000여 개의
버퍼 파일이
발생하였으며, db에
저장되는 로그는 계속
밀려서 1일전의 로그가
저장되고 있었음 구성원리및특징
로그 발생시 최초 로그는
바로 DB에 저장
중복 로그는 10초에
1번씩 count값만 갱신
중복 로그라도 2분에
1번씩은 새로운 로그를
기록
초당 10,000쿼리
발생시에도 임시 버퍼
파일이 발생하지
않으면서 100% 모두
처리
CPU 부하를 줄여서
Sniff 서버의 로그
유실을 최소화 함
DBSAFER
Manager에서 중복
count를 기준으로
로그를 정렬할 경우
판독 가능
로그 데이터 유실CPU부하로 인한속도 저하 현상 발생
중복로그 데이터
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 27
II. 솔루션 소개
안정성 보장 (GW TTP 기술)
3. 주요기능 및 특장점3. 주요기능 및 특장점
DBSAFER Proxy TTP는 DBSAFER Agent 에 의한 NAT처리된 패킷 정보를 수집하여 다시 DBSAFER Agent
가 패킷을 변경하기 전의 패킷으로 복원 후 최종 목적지인 DB서버에 패킷을 전달 하므로써 DBSAFER(장비/프
로그램)에 장애가 발생하여 FOD Bypass 전환에 따른 세션이 끊어짐 현상이 발생하지 않는 고 가용성 보장 기술
을 제공한다.HW 장애시 세션유지(Trustful Transparent Proxy)
DBSAFER
<DBSAFER 정상 동작할 경우> <DBSAFER 장애 발생 한 경우>
DBUser
DB
장애발생
DBSAFERAGENT
DBSAFER 에 장애가 발생 할경우 OS Kernel 에서 DB 패킷을 DB 서버로 직접 전달함
DBUser
DBSAFER
DBSAFERAGENT
DBSAFER 가 정상일 경우DBSAFER에서 DB 패킷을처리 한 후 DB 서버로 전달함
DB
¡ TTP (Trustful Transparent Proxy) 기능은 Proxy 방식의 DB접근통제 시스템 구성을 하였을 경우 DB접근통제 서버 장애 시 사용자의 세션이 끊어지는 문제를 해결한 NET 신 기술 인증을 받은 고 가용성 보장기술 입니다. (고객사의 환경에 따라서 제약사항이 있을 수 있음)
Ⅳ. 회사 소개 및 구축 사례
1. 일반현황 및 연혁
2. 품질인증
3. 레퍼런스
4. 구축사례
Why PNPSECURE
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 29
㈜피앤피시큐어는 국내 Database 보안을 선도하는 No1. 기업으로써 금융, 제조, 통신 및 공공 분야에서750여 고객사이트 구축경험을 통해 최상의 솔루션을 제공하고 있습니다.
법인명 ㈜ 피앤피시큐어 대표자 박 천 오
주소• 서울시 영등포구 문래동3가 55-20
에이스하이테크시티 1동 818호
전화번호 (02)6309-6600
사업분야
• 데이터베이스 보안 솔루션 사업
• 통합보안 솔루션 사업
• 정보보호 교육 사업
설립연도 • 2003년 12월
해당부문
사업기간• 2003년 12월 ~ 2012년 11월 현재 ( 8년 11개월)
보유인력
현 황
기술• 개발인력 : 18명
• 기술지원인력 : 22명•총원 : 50명
관리• 영업/관리 : 10
명
회사
신용등급• A0
1. 일반현황 및 연혁1. 일반현황 및 연혁 IV. 회사소개 및 구축사례
일반 현황 기업신용도
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 30
1. 일반현황 및 연혁1. 일반현황 및 연혁 IV. 회사소개 및 구축사례
주요 연혁
2009
HISTORY
7月 CC 인증 획득(DBSAFER 3.0v)
5月 GS 인증 획득(DBSAFER 3.0v)
2月 장비 장애 시에도 세션 끊어지지 않는 신기술 특허
TTP기술) NET 인증 획득
2月 ISO9001:2008, ISO14001:2004 획득(소프트웨어 설계 및
개발,시스템 구축 및 관련 서비스,정보보호 컨설팅 및 교육
부문에 대한 품질경영시스템인증 및 환경경영 시스템 인증)
2008
HISTORY
5月 SSH Agent 없이 통제 및 모니터링 방법 특허 출원 중
4月 DBMS 출력결과 값 Data Masking 기능 특허 등록
3月 국내최초 Agent less 방식의 SSH(Secure Shell) 감사 및
접근제어 기술개발
2005
HISTORY
12月 조달청 [우수조달제품] DBSAFER 선정
2004
HISTORY
11月 한국소프트웨어진흥원 [우수창업기업] 창업보육센터 입주
5月 정보통신부 [정보통신 우수 신기술 선정] 연구개발자금 지원
2003
HISTORY
12月 세계최초 게이트웨이 방식의 DB보안 제품 “DBSAFER” 출시
12月 ㈜ 피앤피시큐어 법인 설립
2001
HISTORY
6月 DBSAFER 개발 착수
2007
HISTORY
12月 PC(단말)단에서의 NAT 기능 특허등록 [TCP/IP 기반의 주소 변경
방법 및 장치]
5月 세계최초 Agent less 방식의 DBMS 출력 결과값 Data Masking
기능 개발
3月 신기술제품 NEP 마크 획득 [게이트웨이 형식의 DB보안 프로그램
개발] 벤처기업인증 & INNO BIZ 기업 선정
2006
HISTORY
9月 국가정보원 [국가용 정보보호시스템 보안적합성 검증필]
DBSAFER v3.0
8月 GS 인증 획득 [DBSAFER v3.0]
게이트웨이 방식의 DB보안 특허등록 [게이트웨이 방식의
DB보안 방법 및 장치]
1月 세 계 최 초 PC 단 에 서 의 NAT (Network Address
Translation)기술개발
2010
HISTORY
11月 조달청 나라장터 종합쇼핑몰 3자 단가계약 연장 체결
10月 HWP 형식 레포트 출력 기술 적용(OZ로그뷰어)
9月 CC인증 획득 (WASSAFER 4.0v)
8月 GS 인증 획득 (WASSAFER 4.0v)
8月 세계 최초 AP 접근 제어 보안제품 ‘WASSAFER’ 출시
6月 피앤피시큐어 사업장 확장 (정보보안기술연구소 전용 사무실
확충)
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 31
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 32
• 주요 금융/공공 기관, 일반기업 및 교육기관 등• 2012년 현재 전체 구축 실적은 750여 사이트 운영 중
3. 레퍼런스3. 레퍼런스 IV. 회사소개 및 구축사례
금융/공공/교육기관 및 일반기업
Copyright ⓒ 2012 PNPSECURE Corp., All rights reserved. 33
§ Why DBSAFER§ Why DBSAFER IV. 회사소개 및 구축사례
다양한 산업에서 다년간 검증된 DBSAFER로 기업의 DB보안 시스템을 구축하여 빠른 ROI 실현과 변화에 대응할
수 있는 보안 시스템을 구축한다.
wDB 보안 분야의 국내 No1. 솔루션
wDB보안 단일제품으로 최대의 기술지원/개발조직 보유
wGateway , Client Agent, Data masking 등 핵심 DB보안 기술의 특허 보유
w국가정보원의 보안성 검토필, NET 등 인증, CC인증 보유
wDB 보안 분야의 국내 No1. 솔루션
wDB보안 단일제품으로 최대의 기술지원/개발조직 보유
wGateway , Client Agent, Data masking 등 핵심 DB보안 기술의 특허 보유
w국가정보원의 보안성 검토필, NET 등 인증, CC인증 보유
w풍부한 DB보안 프로젝트 수행 경험(50대 이상의 구축경험 최다)
w다양한통신/금융/공공DB보안프로젝트를통한고객사에 대한이해
w풍부한 DB보안 프로젝트 수행 경험(50대 이상의 구축경험 최다)
w다양한통신/금융/공공DB보안프로젝트를통한고객사에 대한이해
w사용하기 쉬운 시스템이며 다수 사이트에서 검증된 안정성
w다양한 인터페이스 통합 기능 및 용이한 확장성
w안정적인 Architecture
w사용하기 쉬운 시스템이며 다수 사이트에서 검증된 안정성
w다양한 인터페이스 통합 기능 및 용이한 확장성
w안정적인 Architecture
w현업에서 쉽게 이용할 수 있는 DBSAFER Manager
w다른 보안솔루션과 유사한 UI로 빠른 습득 및 관리 용이성
w현업에서 쉽게 이용할 수 있는 DBSAFER Manager
w다른 보안솔루션과 유사한 UI로 빠른 습득 및 관리 용이성
w안정적인 제품 지원 능력을 가진 국내 전문인력 지원w안정적인 제품 지원 능력을 가진 국내 전문인력 지원
국내 DB보안Market Leader
국내 DB보안Market Leader
풍부한 구축 경험풍부한 구축 경험
검증된 솔루션검증된 솔루션
사용자의 편의성사용자의 편의성
전문 인력 보유 및 지원
국내 DB 보안의 선구자DB 보안 시장을 선도하는 Leader