보안전략 (audit)까지 - dbguide.net최신정보통신망법일부개정및시행내용 법령/...
TRANSCRIPT
<Insert Picture Here>
기업의 End-to-End 보안 전략 :접근(Access)에서 감사(Audit)까지
양지혜, Enterprise Architecture
6/43
<Insert Picture Here>
발표 순서
• 정보 보호 산업의 패러다임 변화
• 국내 정보 보안 현황 분석
• End-to-End 보안 전략
• 맺음말
7
정보보호산업의 패러다임 전환
소스 : KISA(한국정보보호진흥원) 2008 국내 정보보호산업 시장 및 동향 조사
IT 시스템 보안 네트워크 보안 개인정보보호
IT 보안기술
및 제품간 융합
IT 융합산업보안
정보보호산업지식정보보안
산업
1990년대 2004년대 2007년대 2010년 이후
아마추어 해커 웜바이러스
웹사이트 손상 지엽적인 위협
산업 기밀 탈취 조직화된 해킹 범죄
대량 개인정보 유출 지속적인 위협
통합 보안
8
불과 수년 만에 보안에 대한 기존에 가졌던 인식에는
분명하고 명확한 변화가 있어왔습니다. 기업의 정보 자산에
대한 보호는 이제 보안 프로젝트의 가장 최우선 목표가
되었습니다. 데이터 보안 은 IT 보안을 위한 중요한 또는 가장
중요한 목표로써 선정되었으며, 그 다음을 차지한 것은
응용프로그램 보안입니다.
Market Overview: IT Security In 2009
9
기업 보안의 필수 감사 대상
소스 : Deloitte’s 6th Annual Global Security Survey 02-11-09
장애
대책
및
업무
연동
테스트에
운영 데이터이용
적정한
감사
주기
접근 규칙
사후 관리
개발자의
데이터 접근
적절한
통제 문서의
부족
감사
정보의
신뢰성
과도한
접근 권한
역할의
분리
접근
권한
관리
10
Things
Auditor
Saw
10
전세계 정보 보호 산업의 강화 요인
• 대량의 개인 정보 유출 사건으로 인한 본격적인 사회 문제화
• 개인정보(주민번호, 암호)에 대한 암호화의 의무화 움직임(정통망법)
• 개별 소송의 결과를 나머지 피해자에게 자동 적용하려는 움직임
• 해킹보다 더 심각한 피해-내부자에 의한 정보 유출 유형
• 임직원 및 퇴사자의 정보 유출 비율 증가
• 회사 재직 중 핵심 기술 확보, 퇴직 후 재취업 등으로 유출
• 내부자에 의한 기업 정보 유출, 산업 스파이 사건의 특징
• 정상적인 접근 권한을 통한 접근이므로, 범행증거 확보 등 추적 곤란
• 모바일 업무 홖경, E-Mail, 복사본 유출 등 피해사실 인지 곤란
• 내부자 부주의, 협력업체 연계, 인수합병 후속작업 중 유출 사고
• 의료정보보호법(HIPAA), 사베인옥슬리법(SOX), 신용카드협회 데이터보안국제표준(PCI DSS: Payment Card Industry Data Security Standard)과 같은관렦법들을 준수 의무화 추세
최신 정보통신망법 일부개정 및 시행내용
법령 / 고시 / 표준 조항 내용
정보통신망 이용촉진 및 정보보호등에 관한 법률(법률 제9119호일부개정 2008.
06. 13.)
제28조(개인정보의 보호조치)
①정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실ㆍ도난ㆍ누출ㆍ변조또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관리적조치를 하여야 한다.
1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립ㆍ시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한침입차단시스템 등 접근 통제장치의 설치ㆍ운영
3. 접속기록의 위조ㆍ변조 방지를 위한 조치4. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치ㆍ운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
②정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.
정보통신망 이용촉진 및 정보보호등에 관한 법률
(대통령령제21278호
일부개정 2009. 01. 28. )
제15조
(개인정보
의
보호조치)
④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수
있도록 다음 각 호의 보안조치를 하여야 한다.
1. 비밀번호 및 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적
특징에 관한 정보를 말한다)의 일방향 암호화 저장
2. 주민등록번호 및 계좌정보 등 금융정보의 암호화 저장3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축
등의 조치
4. 그 밖에 암호화 기술을 이용한 보안조치
• 법률 [시행 2008.12.14] [법률 제9119호, 2008. 6.13, 일부개정]
• 시행령 [시행 2009.1.28] [대통령령 제21278호, 2009.1.28, 일부개정]
11
12
정보통신 망 법
조항 내용
제6조 (정보통신서비스 제공자 외의
자의 범위)
제6조 (정보통신서비스 제공자 외의 자의 범위) 영 제71조제4호에서 "행정안전부령으로 정하는자“의 지정
휴양 콘도미니엄업을 경영하는 자
대규모점포 중 대형마트ㆍ백화점 또는 쇼핑센터를 운영하는 자
체인사업을 운영하는 자
주택건설사업을 시행하는 자, 주택관리업자
건설기계대여업ㆍ건설기계정비업ㆍ건설기계매매업 및 건설기계폐기업을 하는 자
중개업자
자동차매매업을 하는 자와 신조차의 매매 및 등록신청의 대행을 업으로 하는 자
자동차대여사업을 하는 자
결혼중개업자
의료기관을 개설하여 의료업을 하는 자
유료직업소개사업을 하는 자
석유정제업을 하는 자 중 같은 법 시행령 제9조제1항제1호 각 목의 석유정제시설을 모두 갖춘 자
체육시설업자
비디오물의 대여업을 하는 자
출판문화산업의 종사자 중 서점을 운영하는 자
영화상영관 설치ㆍ경영자
• 시행규칙 [시행 2009.7.1] [행정안전부령 제52호, 2008.12.31, 일부개정]
End-to-End 보안 전략
#1. Industry Frameworks
Security Domains
Data Integrity Confidentiality Security Assurance
Cost Effective Solutions
Safeguards Counter Measures
Legal LiabilitiesSecurity
AwarenessSystem
ReliabilityPolicy &
Procedures
Protection Requirements
Quantitative & Qualitative Risk
Assessment
Data Classification
Risk Analysis
Functionality Evaluation
Define Risks & Threats
Penetration TestingVulnerability Assessment
Enterprise Architecture Security Model
Assess Business Objectives
Access Control Systems & Methodology
Telecommunications & Network Security
Security Management Practices
App and Systems Development Security
Cryptography
Security Architecture & Models
Operations Security
Business Continuity & Disaster Recovery
Laws, Investigations, & Ethics
Physical Security
* CISSP, Shone Harris
15
TOGAF 9
16
TOGAF 9
17
GRC, Security Policy
Data Protection &
Privacy
Access ControlSecurity
Management
18
TOGAF to
Security Mapping
Burton Group Security Framework
19
Business Architecture
Applications Architecture
Information Architecture
Technology Architecture
Methodology GovernanceMotivation Function Organization
Drivers Goals Objectives
Models Strategy
Products Services Processes
Mission Roles People
Finance
Reference Architectures Functional Services
General Industry
General Industry
Components Cost
Products
Strategy Principles
Reference Architectures Entities Structures
Strategy Principles Standards
ComponentsModels Structures
Reference Architectures Platform Services Products
Strategy Principles Standards
Components Cost
Oracle Enterprise Architecture Framework
Reference Architectures
Strategy Principles Standards
Capabilities
StandardsRequirements Design Development Test Production
EA Governance
Performance
Risk Security Policy Integrity Business Continuity
Compliance
Portfolio Management
Data Quality
SLA’s
General Industry
SOA/ EDA
General Services
Data Management
Security
Infrastructure
Development
Management
20
#2. 귀하의 전사 AS-IS 는 ?
A Typical Environment…
Presentation
Tier
Data
Tier
Logic
(Business)
Tier
보안 위험 요소- Identity and Access빈번히 발생하는 위험 요소들 :
• No Ability to Establish User Roles
• Manual User Administration (Int + Ext)
• No knowledge of “Who has access to what?”
• Multiple Sign-Ons + Forgotten Passwords
빈번히 발생하는 위험 요소들 :
• No Self Service or Password Management
• Unstructured Content is not controlled
• Access to sensitive DB data is not controlled
• Difficult to Manage Environment
Solution: Centralize and Simplify Access
Solution: Simplify Access to Multiple Datastores…
Solution: Simplify Employee to Business Partner Login
Typical Environment in a SOA
FRONT OFFICE
Legacy
VMI D&BBranch Offices
CRM
INTEGRATION SERVICES BACK OFFICE
J2EE service
COREid AuthN
COREid AuthZ
SAML
XMLEncrypt
Protocol Xlation
.NET service
LDAP AuthN
LDAP AuthZ
Routing
CICS wrap
LDAP AuthZ
XSLT
TIBX process
NETE AuthN
Routing
Failover
SLA
Protocol Xlation
Biz service
DBMS AuthZ
WS-Security
portal
COREid AuthN
COREid AuthZ
SAML
B2Bi
AD AuthN
AD AuthZ
WS-Security
Customers
TradingPartners
B2B Exchanges
Architects Security Operations
FRONT OFFICE
Legacy
CRM
INTEGRATION SERVICES BACK OFFICE
J2EE logic
.NET logic CICS wrap
TIBX logic App logic
portal
B2Bi logic
Architects Security Operations
Customers
TradingPartners
B2B Exchanges
WSM PEP
WSM PEP
WSM PEP
WSM PEP
WSM PEP WSM PEP
WSM PEP
Oracle WSM Policy
ManagerOracle WSM
Monitor
OracleIdentity Services
Policy-Driven Security & Identity ManagementPolicy-Driven Security & Identity Management
28
Copyright © 2008, Oracle and/or its affiliates. All rights reserved. 29
Database andInfrastructure
FusionMiddleware
Applications
Mo
nito
ring
an
d C
on
figu
ratio
n
En
terp
rise
Vis
ibility
Automated Controls
Access to Business Services
Lower Cost of User Lifecycle
Data Protection and Privacy
Unbreakable Linux
Security for Apps, Middleware, Data and InfrastructureComprehensive ‘Defense in Depth’ Approach
29
Oracle 보안 솔루션
Access
Manager
Identity Manager
Directory Services
Advanced Security Option
Audit VaultDatabase Vault
ApplicationsE-Business Suite, PeopleSoft, Siebel, Hyperion, JDE
SAP, Custom, LegacyEnte
rprise
Manager (통
합보
안관
리)
Identity
및
접근 관리
데이터보안
Identity
Federation
Web Service
Manager
Label Security
Information Rights Management
30
Secure 한 접근 & 데이터 - 시나리오
Securely Backup Data To
Tape with Secure Backup
Network 으로전송시 데이터 보호Advanced Security
Option
uthen
공인 암호화 알고리즘을 통해DB 데이터 암호화 저장
Advanced Security Option
Select SALARY from USERS;
내부자 접근 제어,
DB관리자의어클리케이션 데이터
권한 제어Database Vault
Alter table ….
DBA
SMITH 345-67-8912SCOTT 987-65-4321KING 123-45-6789
$ 53,700$229,500$125,000
이름 신용카드 번호 급여
%5#ROB-!9(2
A0dubLc
A0d$Gb)c
D$KfXa
(_f@eM
Gf&@eP
Select SALARY
from users;
Alter system.
Alter table..
X
Operatio-
nal DBA
Database
Vault
X
Data
Manager
* Example roles and privs이기종 DB 접근감사 &이상 감지
보고&보관Audit Vault
Enterprise Applications
Business
AppsPortalsEmailCustom
Apps
Helpdesk
Security
Admin
Control Access /
Identities / Roles
31
Oracle Security Solution
디스크
백업
Exports
Oracle Advanced SecurityTransparent Data Encryption
• 가장 효과적인 암호화 기능
• 응용프로그램의 변경이 필요 없음, ERP에 최적
• 구현이 쉽고 안정적
응용프로그램
데이터베이스
33
Oracle Advanced SecurityNetwork Encryption & Strong Authentication
• 전송중인 데이터를 암호화
• 사용자 및 서버에 대한 강력한 인증 제공
• 인프라 구조의 변경이 필요 없음
34
Oracle Data Masking데이터 변조에 의한 보호
• 개발 및 테스트 데이터베이스의 민감한 정보를 변조
• 데이터 간의 정합을 유지하여 운영 환경과 같은 작업 환경을 제공
• 자동화를 위한 확장 템플릿 라이브러리와 정책 제공
• 빠른 성능
LAST_NAME SSN SALARY
ANSKEKSL 111—23-1111 60,000
BKJHHEIEDK 222-34-1345 40,000
LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
운영 시스템 개발 및 테스트 시스템
35
Oracle Database Vault역할의 분리 & 권한 있는 사용자의 통제
• 업무 분리를 통해 기밀 데이터를 내부자 또는 관리자로부터 보호
• 권한 있는 사용자의 접근 권한 제한
• 정해진 IP 및 특정 날짜/시간 기준으로 접근 허용 가능
• 응용 프로그램 변경 없이 정책에 의한 자동화
고객정보
인사정보
회계정보
Application
select * from finance.customers
DBA
36
• 업무 역할에 따라 사용자와 데이터를 등급에 의해 분리
• 행 단위의 접근 통제 제공
• 응용프로그램의 계정에 따라 데이터를 분리하여 접근 통제
Oracle Label Security데이터 등급 분리에 의한 접근 제어
Confidential Sensitive
Transactions
Report Data
Reports
Sensitive
Confidential
Public
37
Oracle Audit Vault자동화된 업무 모니터링 및 감사 보고
• 안전한 장소로 감사 정보를 수집하여 통합관리
• 의심스러운 작업의 검출 및 경고
• 자체 내장된 규제 준수 보고서를 제공
CRM Data
ERP Data
Databases
HR Data
감사정보
정책
내장된
보고서
경보
사용자
보고서
!
감사자
38
Oracle Total Recall안정한 데이터 변경 추적
select salary from emp AS OF TIMESTAMP
'02-MAY-09 12.00 AM‘ where emp.title = ‘admin’
• 데이터 변경에 대한 투명한 추적
• 효율적인 추적을 위한 위조 불가능한 저장 환경을 제공
• 과거 기록성 데이터에 대한 실시간 접근이 가능
39
Oracle Configuration Management보안 취약성 평가 및 안전한 환경 보장
• 데이터베이스 보안의 환경 정보를 자동으로 추출
• 확장 가능한 375 개이상의 best practice 및 산업 표준에 따른 감시를지속적으로 수행
• 비인가된 환경정보의 변경을 검출하고 예방
• 변경 관리 규제 보고서를 제공
Monitor
ConfigurationManagement
& Audit
Vulnerability
Management
Fix
Analysis &
Analytics
Prioritize
PolicyManagement
AssessClassify MonitorDiscover
AssetManagement
40
Oracle Enterprise Security
Identity And Access Management
Data Security
User Management
Application Security
Access Management
Directory Management
Platform Security Identity Audit
Multi-level Access Control Encryption
Monitoring & AlertDBA Security
Operating System Security
Authentication Service User Management
Governance Risk Compliance
Policy &
Process
Management
Enterprise
Control
Compliance
Analysis &
Reporting
Audit
Automation
Information Rights
41
42/43
<Insert Picture Here>
Summary
• End-to-End 보안 전략
강화되는 보안 법규 및 규제를 수용할 수있는 설계
Industry Framework 활용
보안 위협 취약점 분석 & 개선
내부자 접근 제어 와 감사(Audit) 시스템의필요성
42
감사합니다