Presentation is loading. Please wait.

Presentation is loading. Please wait.

통합DB보안솔루션 DB암호화 솔루션 D’Amo 제안서 제안사 : ㈜키미데이타ㅣ총판 개발사 : 펜타시큐리티시스템 ㈜

Similar presentations


Presentation on theme: "통합DB보안솔루션 DB암호화 솔루션 D’Amo 제안서 제안사 : ㈜키미데이타ㅣ총판 개발사 : 펜타시큐리티시스템 ㈜"— Presentation transcript:

1 통합DB보안솔루션 DB암호화 솔루션 D’Amo 제안서 제안사 : ㈜키미데이타ㅣ총판 개발사 : 펜타시큐리티시스템 ㈜

2  개인정보보호법 요약  제품 개발사 소개  D’Amo 소개  구축사례 목차

3 개인정보보호법 요약

4 DB 암호화 관련 법규_법안 강화 개인정보 유출 피해가 커짐에 따라 관련 법안도 강화  ‘정보통신망 이용촉진 및 정보보호에 관한 법률’(이하 정보통신망법) 법령 시행 (2010.01.27)  개정된 정보통신망법 위반으로 인터넷 중고차 거래 업체 & 네비게이션 판매 업체 첫 형사 처벌 (2010.03.17)  사이버범죄수사대 관계자는 "이번 건은 기술적 보호 조치 의무 불이행으로 고객정보를 유출한 업체를 최초로 입 건한 사례"라며 "개인정보의 기술적·관리적 보호조치의 기준은 권고가 아니라 법률에 의해 반드시 준수해야 하는 의무사항"이라고 강조 – 전자신문 2010.03.17  개인정보보호법 공표 (2011.03.29)  법안 발효시 개인정보 보호 조치 적용 대상으로 민간 및 공공기관 확대 증가  개인정보보호법 시행 (2011.09.30)  개인정보유출 시 처벌 기준 강화

5 개인정보보호 기본 원칙 OECD 8 원칙 1. 수집제한의 원칙 2. 정보정확성의 원칙 3. 목적명확성의 원칙 4. 이용제한의 원칙 5. 안전보호의 원칙 6. 공개의 원칙 7. 개인참가의 원칙 8. 책임의 원칙 목적에 필요한 최소한 범위 안에서 적법하고 정당하게 수집 처리 목적 범위 안에서 정확성,안정성,최신성 보장 처리 목적의 명확화 필요 목적 범위 안에서 적법하게 처리, 목적외 활용 금지 정보주체의 권리침해 위험성 등을 고려, 안정성 확보 개인정보 처리 사항 공개 열람청구권 등 정보주체의 권리 보장 개인정보처리자의 책임 준수, 실천,신뢰성 확보 노력 개인정보보호법

6 개인정보보호법 구성체계 제1장 총칙 – 목적,정의,개인정보보호원칙,다른 법과의 관계 등 제2장 개인정보보호정책의 수립 등 – 개인정보보호위원회,기본계획,시행계획수립,개인정보보호지침,자율규제촉진 등 제3장 개인정보의 처리 – 수집.이용,제공 등 처리기준,민감정보,고유식별정보 제한,영상정보처리기기 제한 등 제4장 개인정보의 안전한 관리 – 안전조치의무,개인정보파일 등록.공개, 개인정보영향평가,유출통지제도등 제5장 정보주체의 권리 보장 – 열람요구권,정정.삭제요구권,처리정지요구권,권리행사방법 및 절차,손해배상책임 등 제6장 개인정보분쟁조정위원회 – 분쟁조정위원회설치.구성,분쟁조정의 신청방법.절차,효력,집단분쟁조정제도 등 제7장 개인정보 단체소송 – 단체소송대상, 소송허가요건,확정판결의 효력등 제8장 보칙 – 적용제외,금지행위,침해사실신고,시정조치 등 제9장 벌칙 – 벌칙,과태료 및 양벌 규정 등 본문9장75개조문부칙본문9장75개조문부칙

7 법 적용 범위 확대 공공기관,법인,단체,개인을 포괄하는 350만 개인정보처리자로 확대 법 적용 확대 350만개 50만개 공공기관 정보통신서비스제공자 신용정보제공자.이용자 준용사업자 법원 등 헌법기관 (국회,중앙선거관리위원회 등) 비영리단체 (협회,동창회 등) 개인 기타 오프라인 사업자 개인정보보호법 적용 공공기관 공공기관 개인정보보호법 정보통신서비스제공자정보통신망법 신용정보제공자.이용자 신용정보법 준용사업자정보통신망법 의료부문 생명윤리 및 안전에 관한 법률 분야별 개별법 적용 공공. 민간의 모든 개인정보처리 자

8 개인정보 기술적 보호조치 개인정보 보호를 위해 암호화, 인증 및 접근통제 강화 등의 기술적 조치를 수행해야 함 암호화 등 기술적 보호조치 외부에서의 불법 접근 (해킹) 내부에서의 불법접근 (내부직원의 실수, 불법유출) 물리적 불법접근 저장된 개인정보 암호화 (고유식별 정보) 저장된 개인정보 암호화 (고유식별 정보) 암호화 송.수신 보안솔루션 설치 및 운영 PC백신 설치 운영체계등 소프트웨어 보안 취약점 수정 보안 암호화 송.수신 보안솔루션 설치 및 운영 PC백신 설치 운영체계등 소프트웨어 보안 취약점 수정 보안 개인정보 접근자에 대한 인증 강화 위.변조 방지 조치 접근기록 보존(로그관리) 개인정보 접근자에 대한 인증 강화 위.변조 방지 조치 접근기록 보존(로그관리) 출입통제 잠금장치 감시장치 출입통제 잠금장치 감시장치 주민번호, 여권번호, 운전면허번호, 외국인등록번호 등 법령에 따라 개인을 고유하게 구별하기 위해 부여된 정보 대상 암호화대상

9 ( 형사처벌 확대 ) 기술적인 보호조치가 미흡하여 개인정보가 유출될 경우에는 형사처벌 해당 구분주요 내용과거현행(개정 후) 수집 동의 없는 개인정보 수집(제22조) 과태료 (1천만 원 이하) 벌칙 (5년 이하 징역 또는 5천만 원 이하 벌금) 및 과징금 민감한 개인정보 수집(제23조) 법정대리인 동의 없는 아동 개인정보 수집(제31조) 이용 제공 동의 받은 목적과 다른 목적으로 개인정보 이용 (제24조) 벌칙 (5년 이하 징역 또는 5천만 원 이하 벌금) 벌칙(현행유지) 및 과징금 이용자 동의 없는 개인정보 제3자 제공(제24조의2) 취급 위탁 이용자 동의 없는 개인정보 취급 위탁(제25조)과태료 (1천만 원 이하) 벌칙(5년 이하 징역 또는 5천만 원 이하 벌금) 및 과징금 개인 정보 이전 영업양수자 등이 당초 목적과 다른 목적으로 개인정보이용, 제3자 제공 (제26조) 벌칙(5년 이하 징역 또는 5천만 원 이하 벌금) 벌칙(현행유지) 개인 정보 관리 기술적 ․ 관리적 조치 미이행 (제28조) 과태료(1천만 원 이하)과태료(3천만 원 이하) 기술적 ․ 관리적 조치 미이행으로 인한 누출 (제28조) - 벌칙(2년 이하 징역 또는 1천만 원 이하 벌금) 및 과징금(1억 이하) 개인정보 취급자의 개인정보 훼손 ․ 침해 ․ 누설 (제28조의2) 벌칙(5년 이하 징역 또는 5천만 원 이하 벌금) 벌칙 (현행유지) 개인정보 오류정정 요청에 대한 필요조치를 이행하기 전에 개인정보 제3자 제공 ․ 이용(제30조) 과태료 (1천만 원 이하) 벌칙 (5년 이하 징역 또는 5천만 원 이하 벌금) 기술적/관리적 미조치시 처벌 규정 ( 양벌제 도입 ) 양벌제가 적용되어, 직원의 잘못이라 할지라도 기업이 형사적 책임 ( 준용사업자 확대 ) 홈페이지에서 회원관리를 하는 모든 기업들이 해당

10 DB 암호화 필요성_정보유출사고 지속

11 제품 개발사 소개

12 Penta Security Systems is … 펜타시큐리티시스템㈜ 는 국내 최고를 넘어 세계를 향해 도약하는 어플리케이션 보안 (Application Security) 소프트웨어 회사입니다. 펜타시큐리티시스템㈜은 14년간 쌓아온 고객의 신뢰를 바탕으로 웹 어플리케이션 보안과 DB 보안 시장을 선도하고 있습니다. 1997년 창업 이래 ‘IT 인프라로서의 정보보안’을 주도해 왔으며, 대한민국 정부 인증기관 구축 및 국내 최대 은행 보안 인프라 구축 등을 통해 높은 기술력을 인정받았습니다. 이러한 우수한 기반기술력과 현장에서 축적한 전문성을 바탕으로 어플리케이션 보안분야에서 가장 많은 고객들이 믿고 선택하는 회사로 성장할 수 있었습니다. No. 1 Database Security Vendor- DB 암호화 시장 1위 No. 1 Web Application Firewall Vendor- 웹 방화벽 시장 1위

13  고객 사이트 수 기준  D’Amo는 DB 암호화 시장에서 60% 이상의 점유(800여개사 구축) DB 암호화 제품 시장 현황 제품명비율비고 D'Amo 60% 2011년 6월말까지 판매분 기준 K사K사 16% IT 매체 기자에게 공개한 사이트 수 (1월 10일 기준) 참고사항 : 2011년 5월 1일 ISEC2011 발표 - 11개 사이트 E사E사 13% 시장에서 SecureDB 보다 적극적인 영업이 되지 않고 있지만, 최대 사이트 수로 가정하여 SecureDB와 비슷하다고 가정 S사S사 7% IT 매체 기자에게 공개한 사이트 수 (1월 10일 기준) 외국사 4% 시장에서 경쟁은 매우 미미하며, 최대 사이트 수로 가정하여 XecureDB와 같다고 가정 총 합계100.0% 고객 사이트 수 산정 데이터 시장 점유율 분석에 사용된 데이터는 D’Amo의 경우는 계약 기준 데이터이며, 타사 제품의 경우, 매체 기자에게 공개한 데이터 또는 시장 경쟁에서의 상대적 비교를 통한 최대치 적용함. D’Amo 60% 기타 40% K사제품 16% E사제품 13% S사제품 9% 외산 2%

14  개인정보보호를 위한 삼중 보안대책! > 펜타시큐리티시스템이 자신 있게 제안하는

15 DB 암호화 기술분류

16  근원적이고 강력한 데이터베이스 보안인 암호화는 아래의 3가지 방식으로 구분 방식 Architecture 특징고려사항 API 방식 - DB 서버 0% 부하 - 기존 응용프로그램 수정 - DBMS 에서 제공하는 Built-In 함수 사용 불가 - Index 검색 불가 Plug-In 방식 - 응용프로그램 수정 최소 - DB 보안을 DBMS 에서 중앙 집중 관리 - DBMS 가 제공하는 Built-In 함수 사용 - DB 서버 부하를 고려하여 암호화 대상 선정 - 특정 Query 에서 Plan 이 변경 됨 Hybrid 방식 - 응용프로그램 수정 없음 - DB 서버 부하를 분산 - 특정 Query 의 Plan 유지 - 암 / 복호화 가속 기능 - Appliance 추가로 인한 네트워크 구성 Application 에서 암 / 복호화 Client Target DB DB 내부에서 암 / 복호화 Client Target DB DB 내부 + Appliance 암 / 복호화 Client Target DB DB 보안의 기술 분류 (암호화)

17 DB 암호화 기술 Trend 수요처 : 금융권 일부 업무 암호화 대상 - 비밀번호 / 주민번호 ( 일치 ) 특징 - 제한된 업무에 적용 - 인덱스 일치 검색만 지원 - DB 운영 관리에 제약 1 세대 (API 방식 ) 수요처 : 공공기관 암호화 대상 - 주민번호 ( 일치 / 범위 ) 특징 - Application 수정 없음 - DB 운영관리 제약 없음 - 성능문제로 암호화 대 상 조정 2 세대 (Plug-In 방식 ) 수요처 : 일반기업 암호화 대상 - 주민번호 외 주요정보 특징 - ‘ 정보통신망법 ’ 시행 - 쿼리 최적화로 성능문제 일부 해결 - 고객 업무 과중 3 세대 ( 쿼리 튜닝 ) 수요처 : 공공 + 민간 암호화 대상 - 고객식별번호 특징 - ‘ 개인정보보호법 ’ 시행 - 효율적인 구축프로세스 - 배치 성능 개선 4 세대 ( 서비스 고도화 ) DB 암호화 기술 Trend 변화 (1990 년 ~) (2004 년 ~) (2007 년 ~) (2011 ~)

18 DB 암호화 방식의 특장점 방식 분류구동위치 성능 Applicat ion 수정 장점단점 국정 원 요건 OLTP (Thoughput) 배치 ( 증감율 ) DB 레벨 (Plug-In) DB Server 95 % 이상 ( 암호화 전 대비 Throughput) 15% ~ 20% ( 암호화 전 대 비 증감율 ) 최소 색인검색 가능 서비스 중단을 최소화 DB 운영에 제약 없음 Legacy 업무 DB Server 부하 발생충족 Application 레벨 (API) WAS, WebServer 98% 이상 10 ~15% 있음 Plug-In 방식보다 성능 이 우수 (2~3 배 ) 네트워크 구간 암호화 신규 / 재 구축 업무 암호화 쿼리 전체수정 DB 운영에 제약 일부 충족 Hybrid 방식 (API + Plug- In ) WAS/ WEB + DB Server 98 % 이상 10% ~ 20% 있음 API + Plug-In 장점 ( 성능 및 보안성 최고 ) 구축이 상대적으로 복 잡함 충족 Kernel 레벨 (TDE) DB Server 98 % 이상 5% ~ 10% 없음 Application 수정 없음 DB 운영과 보안 역할분 리 불가 메모리에 복호화된 데 이터 존재 암호 키 관리 취약 불충 족  DB 암호화 구현 방식은 암 / 복호화 작동 위치에 따라 4 가지로 구분

19 애플리케이션 레벨 암호화 (API 방식)  개발자를 위한 API 형태의 SCP Agent가 암복호화 수행, H/W 타입의 키 관리 서버에서 암/복호화 키 통합 관리  DBMS 부하 최소화, 송수신 데이터 암호화

20 DB 레벨 암호화 (Plug-In 방식)  Security Agent 가 DB 에 설치되어 암복호화, 접근제어, 감사를 수행  최단기간 최소비용 설치 (2~3 주 소요 /1 개 업무 )

21 Hybrid 방식 암호화 (Plug-In + API 방식) DB with D’Amo Security Agent D’Amo Console  두 가지 방식 장점만을 극대화, 고객 환경에 최적화하여 유연한 적용  API 방식의 성능 저하 최소화, Plug-In 의 DB 운영성

22 Kernel 레벨 암호화  DBMS 벤더에서 제공하는 TDE(Transparent Data Encryption) 을 이용하여 암 / 복호화 수행  보안성의 문제로 도입이 어려움

23 DB 암호화 어떻게?

24 DB 암호화 도입 시 주요 검토사항  제품 우수성 시장 인지도 ( 시장점유율, 고객 평가 ) BMT/POC 가격  효율적 구축 구축 프로세스 기술 보유 암호화에 따른 영향 평가 제공  지속적인 지원 회사의 건전성 ( 재무제표 ) 기술지원 체계 원천기술 및 특허 보유

25  국정원 DB 암호화 제품의 핵심 보안요구사항 (http://www.kecs.go.kr)http://www.kecs.go.kr 구분보안요구사항요구 기능설명 암호 지원 안정성이 검증된 암호모듈, 알고리즘 사용 등 ARIA 128/192256,SEED SHA 256 이상, HAS-160 국정원 암호모듈 검 증필 암호 키 관리 암호 키 생성, 접근, 갱신, 파기 등의 안정성 확보 암호키 유도는 검증된 국제표준 알고리즘 공유메모리에 로드된 암호키는 평문 불가 국정원 “DB 암호제 품 보안요구사항 ” (2010.04) DB 데이터 암 / 복호화 암호문 ∙ 인덱스 등 중요 데이터의 안정성 확보 안전한 암호모듈을 통하여 암 ∙ 복호화 원본데이터는 암호화 후 삭제 암호모듈 검증제도 에 검증 받은 암호모 듈 접근통제 암호키 ∙ 암호문 등에 대한 비인가자의 접근 차단 DB 계정,IP, 어플리케이션, 접속기간 등위 조 건별 제한 국정원 “DB 암호제 품 보안요구사항 ” (2010.04) 암호통신 전송 데이터의 기밀성 ∙ 무결성 유지 제품 구성 요소간 안전한 전송 식별 및 인증 제품사용자의 신원 확인 및 검증 사용자의 연속된 인증 실패 후 초기화 인증 데이터 재사용 공격 방지 보안감사 제품 관련 중요 이벤트에 대한 감사 기록 감사 데이터는 인증된 사용자만 접근 DB 테이블명, DB 컬럼명, 쿼리 유형에 따라 검토 보안관리 보안정책 ∙ 감사기록 등의 효율적인 관리 암호키 및 보안정책 등 중요데이터에 대한 백업 및 복구 기능 제공 DB 암호화 도입 시 검토사항_제품평가 기준

26 DB 암호화 도입 시 검토사항_효율적 구축  고객의 불만 - 제품선정 후에 추가 비용이 높고, 구축이 어렵다 - 원인 분석 개인정보보유 현황 파악이 어려움 개인정보 관련 업무 ( 쿼리 ) 분석 시간이 길다 암호화 적용 후 서비스 안정성 ( 성능 ) 예측 불가

27 DB 암호화 도입 시 검토사항_효율적 구축 (계속)  구축 주체의 전이로 고객 업무 부담을 최소화 ( 고객 -> 솔루션 공급자 )  자동화 Utility 를 이용한 암호화 대상 검색, 튜닝대상 쿼리추출, 암호화 전 / 후 성능 측정

28 Time Schedule D-8D-7D-6D-5D-4 D-3D-2D-1D-DayD+1 D+2D+3 영향도 분석 (D’Amo Analyzer) 제품설치 및 초기 암호화 ( 개발서버 ) 사전업무 업무테스트 최종 점검 튜닝 쿼리반영 운영서버 적용 모니터링 제품교육 완료보고 운영자 교육 제품공급자 DB 운영 /Application 개발자 개발자 및 DB 운영자 대상 제품교육 DB 환경 분석 Application 환경 분석 D’Amo Analyzer 로 영향도 분석 제품 설치 및 초기 암호화 1 주차 수집 쿼리로 업무 테스트 성능 및 Plan 검증 튜닝 쿼리 반영 최종 테스트 운영서버 적용 모니터링 2 주차 운영자 교육 완료보고 3 주차

29 D’Amo 소개

30 D’Amo 란 ?  D ’ Amo는 응용프로그램 수정 없이 칼럼 단위로 DBMS 내 주요 데이터의 암호화, 접근제 어, 감사를 수행하는 통합 DBMS 보안 솔루션이다. 단, 성능 최적화를 위해서는 기존 쿼 리 튜닝이 필요함. D’Amo 데이터 암호화 접근 제어 데이터 베이스 통합관리 응용 프로그램 독립 감사 통합 DBMS 보안 솔루션

31  응용프로그램에 대한 완벽한 독립성  DB 내 중요 데이터를 컬럼 단위로 선택적 암호화  DB 계정/IP/MAC/응용프로그램/시간대별 DB전체 및 암호화컬럼 접근제어  (비)암호화 컬럼 단위의 작업 내역 감사 기능  편리한 설치를 통한 시스템 통합  다수의 DB를 통합 관리  검증 받은 제품  국내 최다 Reference 보유 (800여 사이트)  국가정보원 보안성 심의 통과  한국정보통신기술협회(TTA) GS 인증 특징

32 국가정보원 보안요건 충족  국가정보원 IT보안인증사무국은 [전자정부법] 제 27조 및 同 法 시행렬 제35조에 의거, 국가.공공기관이 도입.운용하는 정보보호제품의 보안기능 안전성을 검증하기 위해 보안 적합성 검증제도를 시행하고 있습니다.  도입요건  보안 적합성 검증필 또는 EAL2 이상 CC인증  국가정보원 검증필 암호모듈 탑재 http://www.kecs.go.kr/

33 D’Amo 구성도 - Standard Console 정책정보 저장 업무 서버 사용자 클라이언트 암호화 통신 암호화 칼럼이 포함된 테이블에 대해서는 Security Agent 를 통해서 조회, 추가, 수정 보안 관리자는 정책 설정, 접근 권한 등의 정보를 Secure DB 로 전달한다 D’Amo Standard 는 암복호화 엔진인 Security Agent 와 관리도구인 Console 로 구성됩니다.

34 제품 구성 요소-1  편리한 One-Click 암호화 설정 및 해제  접근 경로에 따른 세분화된 접근 권한 부여  암호화 컬럼에 접근이 부여된 DBMS 사용자 관리  보안 정책 자동 Backup 및 Recovery 기능  정책 변경 또는 데이터 접근에 대한 여러 DBMS의 통합 로그 및 통계 보기  지원 OS  Windows Vista / XP / 2000 / NT / 98 보안 관리자는 D’Amo 인증기관에서 발급한 Certificate 를 이용하여 로그인 보안 관리자는 D’Amo 인증기관에서 발급한 Certificate 를 이용하여 로그인 D’Amo Console

35  DBMS 내 저장되어 있는 데이터(at-rest)를 일괄 암호화  암호화가 설정된 컬럼으로 유/출입 되는 데이터의 실시간 암(복)호화  암호화 컬럼에 접근하는 사용자 접근 제어  (비)암호화 컬럼에 대한 감사 기록  암호화된 컬럼에 대한 보호 메커니즘 생성  지원 DB  Oracle Enterprise / Standard 8.1.7.1 이상  IBM DB2 ver 8.2.2이상  MS SQL Server 2000/2005/2008 제품 구성 요소-2 보안 관리자에 의해 설정된 보안 정책을 DB 내에서 수행 (Plug-In 방식 ) 보안 관리자에 의해 설정된 보안 정책을 DB 내에서 수행 (Plug-In 방식 ) Security Agent

36 D’Amo 지원 Platform ** 위 표에 명시되지 않은 환경에 대한 지원 여부는 본사에 문의해주세요 구분 D’Amo Standard DBMS 버전 OracleMS SQL ServerDB2 8.1.7 이상 모두 지원 (9i, 10g 포함 ) 2000, 20005, 2008 지원 8.2.2 이상 O/S 버전 AIX 4.3.3 이상 HP-UX PA-RISK, TRU64, Solaris 2.6 이상 Linux x86, x64, IA64 Windows x86, x64 AIX 4.3.3 이상, Linux x86, x64, IA64

37 주요기능 – DB 보안 정책 보안 정책 암호 알고리즘 운영모드 Initial Vector Auto Rollback 로그 설정 및 백업 Data Masking 설정 전체 데이터베이스에 대해 동일한 보안 정책을 수립하여 적용 가능 전체 데이터베이스에 대해 동일한 보안 정책을 수립하여 적용 가능 DBMS 보안 정책

38 주요기능 – 선택적 암호화  고객정보 테이블 내에 저장되어 있는 정보 중 주민번호 컬럼을 암호화 고객정보 테이블의 주민번호 컬럼을 암호화 설정 기업 DBMS 내 중요 데이터를 컬럼 단위로 선택적 암호화 필요한 데이터만을 암호화하여 성능 저하를 최소화하고 보안성 확보 기업 DBMS 내 중요 데이터를 컬럼 단위로 선택적 암호화 필요한 데이터만을 암호화하여 성능 저하를 최소화하고 보안성 확보 선택적 암호화

39 주요기능 – 서비스 무 중단 암호화 Web Browser ( 사용자 ) Request/Response DBMS 보안 관리자 (D’Amo Console) ② 데이터 암호화 ③변경된 데이터 암호화 및 테이블명 변경 대용량 데이터 처리를 위해 무중단 데이터 암호화 지원 (1초~ 3분) 데이터 암호화는 별도의 서버에서 수행 가능 대용량 데이터 처리를 위해 무중단 데이터 암호화 지원 (1초~ 3분) 데이터 암호화는 별도의 서버에서 수행 가능 서비스 무 중단 암호화

40 주요기능 – 인덱스 컬럼에 대한 고성능 암호화 인덱스 암호화 종류 - Extended Index : D’Amo 가 독립적으로 사용 시 : 결합 인덱스 오브젝트인 경우 일부 변경 가능 : 접근제어와 데이터 암호화를 동시에 지원 - Basic Index : 보안도는 낮으나 가용성이 높음 인덱스 컬럼 암호화 후에도 기존의 Index Search 유지 Full Scan이 발생하는 제품과 비교하여 수십 ~ 수백 배의 성능 차이 인덱스 컬럼 암호화 후에도 기존의 Index Search 유지 Full Scan이 발생하는 제품과 비교하여 수십 ~ 수백 배의 성능 차이 고성능 암호화 인덱스 지원

41 주요기능 – 강력한 키 관리 * 각 키는 USB 메모리에 백업하여 안전한 장소에 보관 가능 Master Key Column Key는 3중으로 암호화 되어 안전하게 보호됨 PKI 기반의 2Level/4Depth 방식 사용 Column Key는 3중으로 암호화 되어 안전하게 보호됨 PKI 기반의 2Level/4Depth 방식 사용 안전한 키 관리

42 주요기능 – DB 접근 경로에 의한 제어 DBA 외주 개발 업체 내부 사용자 시스템 DBMS 사용자 분류 DBMS에 접근하는 내외부 인가되지 않은 사용자에 대해 접근 제어 DB계정/IP/MAC/응용프로그램/시간 별로 대응 DBMS에 접근하는 내외부 인가되지 않은 사용자에 대해 접근 제어 DB계정/IP/MAC/응용프로그램/시간 별로 대응 접근 제어

43 주요기능 - DBMS 보안 권한 예 ) 주민번호 칼럼에 DBMS 계정 단위로 암 ( 복 ) 호화 권한을 분리하여 적용 암호화 컬럼에 대한 암(복)호화 권한을 DBMS 에서 설정하는 권한과 별도로 보안관리자에 의한 제어 수행 암호화 컬럼에 대한 암(복)호화 권한을 DBMS 에서 설정하는 권한과 별도로 보안관리자에 의한 제어 수행 별도 권한 부여

44 주요기능 – Telnet 접근제어 Terminal 원격 접속 프로그램 DBMS 접속 프로그램 ( 예 WAS,TOD…) O/S 계정 인증 1. O/S 계정 로그인 1. DBMS 로그인 Database Server SQL.Net 접속 Terminal 접속 2. 로컬 인증 DBMS 로컬 인증으로 DBMS에 접속하는 경우 실제 DBMS에 접속하는 사용자를 속이고, OS 계정을 이용하여 DBMS의 접근하는 우회 접속 문제 존재 D’Amo는 이러한 우회 경로에 대해서도, 접근제어 가능 로컬 인증으로 DBMS에 접속하는 경우 실제 DBMS에 접속하는 사용자를 속이고, OS 계정을 이용하여 DBMS의 접근하는 우회 접속 문제 존재 D’Amo는 이러한 우회 경로에 대해서도, 접근제어 가능 다양한 유형의 DBMS 접근방식 제어

45 주요기능 - 세분화된 로그  정책 로그 : 보안 정책 변경에 대한 내용을 기록  이벤트 로그 : 암호화 컬럼에 접근 내역을 기록 로그 종류 날짜 로그 구분 소유자 테이블 컬럼 작업내역 서비스명 IP 정책 변경과 암호화 컬럼에 대한 작업 내역을 모두 기록 정책 변경과 암호화 컬럼에 대한 작업 내역을 모두 기록 로그 분류

46 주요기능 - 감사 방식 컬럼 단위의 선택적인 Logging 및 최적의 감사 암호화 컬럼을 조회하거나 수정하는 SQL 작업 100% 기록/보관 비암호화 컬럼에 대해서 Audit Only 기능 지원 컬럼 단위의 선택적인 Logging 및 최적의 감사 암호화 컬럼을 조회하거나 수정하는 SQL 작업 100% 기록/보관 비암호화 컬럼에 대해서 Audit Only 기능 지원 완벽한 감사

47 주요기능 - 통합 Reporting 검색 조건 그래프 선택 기간별 소유자 테이블 컬럼명 접근 IP 서비스명 접근자명 여러 개의 DBMS 를 하나의 보고서로 작성 다양한 통계 및 Graph 기능 여러 개의 DBMS 를 하나의 보고서로 작성 다양한 통계 및 Graph 기능 통합 Reporting

48 D ’ Amo Analyzer (DB 암호화 영향도 분석기)  Appliance 장비 형태로 DB 암호화 영향도 자동 분석기  ES(Encryption Simulation) 기능을 이용한 암호화 전 사전 분석 서비스 제공  DB 내 암호화 테이블 관련 Object 자동 추출  애플리케이션 SQL 쿼리 추출 / 최적화 / 검증  실 운영서버 적용 전 암호화 전 / 후 성능 및 Plan 보고서 제공  DBMS 의 다중 인스턴스도 지원 가능  다양한 DBMS 네트워크환경 어디나 설치가능 Inline 또는 Mirroring Mode 지원

49 ES (Encryption Simulation) 기능 DB 내 개인정보 보유 현황 및 사용률 제공 암호화 예정 컬럼과 관련된 DB 및 업무 사전 진단 보고서 생성 DB 내 개인정보 보유 현황 및 사용률 제공 암호화 예정 컬럼과 관련된 DB 및 업무 사전 진단 보고서 생성 ES (Encryption Simulation) 보고서 항목 기본 현황 암호화 예정 컬럼 설정 암호화 후 테이블 예상 사이즈 암호화 예정 컬럼의 DB 상관관계 및 쿼리 현황 최적화 추천 쿼리

50 EPU (Encryption Performance Utility) 기능 암호화 관련 쿼리를 자동 Replay 로 암호화 전 / 후 성능 및 DB Plan 제공 암호화 테이블 관련 DB Object 이력 관리 (Trigger, MVIEW 등 ) 암호화 관련 쿼리를 자동 Replay 로 암호화 전 / 후 성능 및 DB Plan 제공 암호화 테이블 관련 DB Object 이력 관리 (Trigger, MVIEW 등 ) EPU (Encryption Performance Utility) 보고서 항목 암호화 관련 쿼리 현황 암호화 전/후 응답시간 암호화 후 변경 PLAN CPU/Memory 변화 최적화가 쿼리 응답시간

51 D ’ Amo Analyzer 네트워크 구성 별도의 네트워크 구성 변경 없음 DBMS 사용자는 SG 도입전과 동일한 DBMS 접속 정보 사용 별도의 네트워크 구성 변경 없음 DBMS 사용자는 SG 도입전과 동일한 DBMS 접속 정보 사용 IN-Line 모드 구성 L3/L2 SQL Packet 흐름 응용서버 (WAS)DataBase 서버 기존의 시스템에 영향을 미치지 않고, DB로 유입되는 양방향 쿼리 수집 암호화 적용 예정 설정 후 암호화 컬럼에 대한 쿼리 영향 분석 가능 기존의 시스템에 영향을 미치지 않고, DB로 유입되는 양방향 쿼리 수집 암호화 적용 예정 설정 후 암호화 컬럼에 대한 쿼리 영향 분석 가능 Monitoring 모드 구성 DataBase 서버 미러링 설정 응용서버 (WAS)

52 암호화 구축 절차 환경 분석 제품 설치 보안정책 (권한, 접근제어) 설정 보안정책 (권한, 접근제어) 설정 Data Migration (초기 암호화) 작업 Data Migration (초기 암호화) 작업 성능 최적화 작업 (Option) 성능 최적화 작업 (Option) DB 환경 분석 데이터 연동 분석 암호화 방식 선정 암호화 대상 선정 암호화 사전 진단 서비스 관리도구 설치 DB 환경 설정 서버모듈 설치 테이블스페이스 확보 암호화 적용 인덱스 설정 암/복호화 권한 접근제어 적용 쿼리 진단 / 분석 최적화 쿼리 작성 최적화 쿼리 적용 최적화 쿼리 테스트  Standard 방식은 환경분석, 제품 설치, 암호화 적용, 보안 정책 설정, 성능 최적화 순서로 진행되며 단시간 내에 최적의 DB암호화를 구축합니다.

53 구축사례

54 구축 사례 요약 사이트 명OSDBMS암호화 적용 컬럼 재경부(디지털예산회계)HP-UX 11.23Oracle 9i계좌번호, 카드번호, 비밀번호등 행정자치부(행정정보공유1차, 2차)Sun 5.10Oracle 10g주민등록번호 국방부(국방통합재정정보시스템)HP-UX 11.11Oracle 9i주민등록번호 공정거래위원회Sun 5.8Oracle 8i주민등록번호,비밀번호,지분률등 외교통상부(신전자여권)AIX 5.3Oracle 10g주민등록번호 청와대 비서실Sun 5.9Oracle 10g주민등록번호, 비밀번호 산업자원부Sun 5.8Oracle 9i주민등록번호, 비밀번호 등 생명보험협회AIX 5.3Oracle 10g비밀번호 국민은행 Sun / HP-UX Windows2003 Oracle 10g SQLSERVER2005 직원 개인정보, 인증정보, 지문정보 등 침해정보, BP/BM 로그인 정보 일본 Nikon SystemsWindowsMS-SQL 2005직원 개인정보, 인사정보 CJ그룹 AIX Windows Oracle 10G, SQLSERVER2005 고객 개인정보(주민번호, 주소, 이메일, 전화번호 등) 롯데 홈쇼핑AIXOracle 9i고객 주민번호/카드번호/비밀번호 SK 브로드밴드AIXOracle 10g주민번호, 주소, 전화번호 등

55 주요고객

56 감사합니다. KIMIDATA Inc. 서울시 구로구 구로동 170-5 우림1차e-Biz센터 1114호 Tel : 02-2108-2360 / FAX : 02-2108-2379 / www.kimi.co.kr DB암호화 관련 문의 : 유경영 / 02-2108-2371 / kyyou@kimi.co.krkyyou@kimi.co.kr 윤현식 / 02-2108-1696 / hsyoon@kimi.co.krhsyoon@kimi.co.kr 오태훈 / 02-2108-1683 / thoh@kimi.co.krthoh@kimi.co.kr


Download ppt "통합DB보안솔루션 DB암호화 솔루션 D’Amo 제안서 제안사 : ㈜키미데이타ㅣ총판 개발사 : 펜타시큐리티시스템 ㈜"

Similar presentations


Ads by Google