security architecture
TRANSCRIPT
보안 아키텍트의 역할 및 보안기술 / 표준
김도형
2015. 6. 23
2 /8
Agenda
1. Introduction
2. Case Study (IBM, Changi airport, ebay)
3. Architect Requirement ( 준수해야 할 법규 , 보안표준 , 기술 )
4. Proposal (Insight & experience)
5. Q & A
3 /8
Security Architect 는 people, process, system 의 포괄적인 체계를 관리하는 방법
1. Introduction
Enterprise information security architecture (EISA) is the practice of applying a comprehensive and rigorous method for describing a current and/or future structure and behavior for an organization's secu-rity processes, information security systems, personnel and organizational sub-units, so that they align with the organization's core goals and strategic direction. Although often associated strictly with information security technology, it relates more broadly to the security practice of business optimization in that it addresses business security architecture, performance management and security process architecture as well.
Gartner (2006. 1. 24, Incorporating Security into the Enterprise Architecture Process, https://en.wikipedia.org/wiki/Enterprise_information_security_architecture)
EA (illustrative)
Data Architecture
IT 를 C-level Agenda & 그룹 IT 수준 재고 Biz 목표를 지원하기 위한 정보시스템의 TO-BE 방향
구체화
IT 예산 및 인력구조의 효과성 입증 필요
AS-IS 시스템의 현황의 구체적 파악 수단
IT 거버넌스를 완성하기 위한 주요 Component
P 사 Enterprise Architect
Tech. Architecture
Appl. Architecture
Biz Architecture
S
S
A
Drive forces and Direction
4 /8
Security Architect(framework, roadmap) 은 strategy 가 반영되어야 함 - 배경 : 클라우드 & 모바일 컴퓨팅 환경 ( 개인정보 유출 : $3.5M/ 건 , Mobile malware : 614%/2013 년 ) - 보안시장 성장예측에 따른 주요기업 인수합병 및 Resource 재배치 - 연속 6 분기 동안 2 자리 성장율 기록
2. Case Study > The strategy of IBM
5 /8
혁신적인 기술이 전략을 가능하게 함
창이공항을 싱가포르의 관광명소로– 독립 48 주년 기념연설에서 프로젝트 발표
– 기존 3 개 터미널을 연결하고 3.5ha 규모의
복합시설 건설 (2018 년 완공 목표 )– 디자인 : 모세 샤프디 팀
방문객 수용 : 5000 만명 → 8500 만명– 기존 터미널 재개발 및 4/5 터미널 신규 증축
– 신형 항공기 수용 및 활주로 고려
Technology & Challenges – 친환경 공법
– 열대 몬순기후 ( 천둥 , 우기 강수량 )– 공항보안
Reference : Changi Airport Group
2. Case Study > The technology in Changi International Airport
6 /8
Security operation 효율화 및 해커에 대응하기 위한 Portfolio 구축 및 기술 내재화
2. Case Study > e-bay (Threat Response 에 최적화 )
7 /8
3. Architect Requirement > 준수해야 할 법규 , 보안표준 , 기술
Enterprise IT Archi-tect
(Security Architect)
Compliance Domain
보험업법 신용정보이용보호법
전자거래금융법 전자거래감독규정 개인정보보호법 정보통신망법
기타 법률
ISMSISO 27001특수 목적 PCI-DSS 기타 요건
사사점 Ⅰ
Biz Strat-egy
Security Operation
보안진단( 시스템 , 웹 , 모바
일 )
모의해킹
보안관제 및 CERT
Fraud Detec-tion
Threat Landscape
IT & Security Technology
EUC
Win / MAC / Mobile
IT Trend
Mobile
Cloud
IoT
기타
IT Domain
MNG * Ops
외부접속 / 단말관리
시스템 /NW
OS / NOS / DBMS
NW 보안 / 권한관리
사용자 인증
AD / LDAP / RADIUS / 802.1X
OTP, SMS, Captcha, code
패스워드 / 로그
패스워드 규칙 준수 , 부정사항
로그저장 및 분석
응용시스템
Win / MAC / Mobile
외부접속 / 단말관리
침해사고 대응
취약점 관리활동
사고대응 체계정비
장애 / 가용성
백업 , 장애 훈련
침해사고 분석
내부감사 / 컴플라이언스
SLA
암호화
및
데이터보안
사사점 Ⅱ사사점 Ⅲ
8 /8
4. Proposal
사용자 인증
AD / LDAP / RADIUS / 802.1X
OTP, SMS, Captcha, code
계정 권한 패스워드 관리∙ ∙ ( 예시 → FDS)
패스워드 규칙 준수 로그저장 및 분석
다양한 규제조항의 MECE 한 결과를 바탕으로 IT Domain 의 Process 및 Technology 에 Con-trol 구현
Ⅰ
차별적인 기술을 이해하고 Hand-on level 에서 기술을 적용Ⅱ
EUC(PC)
Server(IDC)
NW /DB (IDC)
Application
부정로그인
③
② ①
외부공격의 변화를 이해하고 지속적인 시스템 취약점 점검체계 필요 ( 예 : 특허출원 )Ⅲ
Security Architect 는 Cascading 되도록 구성하고 실무 IT 인력이 활용수준이 반영되어야 함Ⅴ
보안솔루션 제공자와 전략적인 협력관계 구축 검토 ( 예 : 국산 , 외산 , 보안관제 아웃소싱 사례 ) Ⅳ
9 /8
5. Q&A
End of Document