12장 기술 아키텍쳐 2005.11 신수정.

Slides:



Advertisements
Similar presentations
클라우드 컴퓨팅 보안 1. Index 1. 클라우드 컴퓨팅 보안 이슈 1-1. 클라우드 컴퓨팅의 고려대상 2-2. 보안문제에 관한 우려 2. 클라우드 컴퓨팅 보안 기술 2-1. 플랫폼 2-2. 스토리지 2-3. 네트워크 2-4. 단말.
Advertisements

ScanMail for Lotus Notes ( 주 ) 한국트렌드마이크로. RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line ScanMail Notes 의 주요 기능 Domino 환경의 Antivirus, Content Filter.
1 08 시스템 구성도 고려사항 * 웹 서버 클러스터 구성  클러스터 구축은 ㈜ 클루닉스의 Encluster 로 구축 (KT 인증,IT 인증 획득, 실제 클러스터 구축 사이트 200 여곳 )  웹 서버 클러스터는 Dynamic, Static, Image.
영화 예매 시스템 - 많이 봤다이가 ? CSE Corp. PM 송진희 김성욱 김보람 천창영.
1)RACK 2)UPS 3)P D U 장치 4)Server Group 5)KVM Switch 7)UPS 를 위한 HUB 6) RACK Monitor.
불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
I. 프로젝트 동기 II. 프로젝트 목표 III. 파일시스템 IV. 암호화 및 복호화 V. 인터페이스 VI. FBR READ/WRITE VII. 프로그램 흐름도 VIII. 미 구현 사항 IX. 프로젝트 기대효과 X. 프로그램 요구사항 및 팀원 역할분담 XI. 시연 XII.
Secure Coding 이학성.
Security Solutions (S/W) - Fortify
일반 요구 사항 비즈니스 요구사항 고객/정보/위치/상태 탐색방법 제품/서비스 홍보 및 광고 방법
새주소 안내시스템 구축방안 지오윈(주) 박 인 철
DICOM Security 디지털정보융합학과 심영복.
Oozie Web API 기능 테스트 이승엽.
1. 개발 시스템 개요.
Data Interface, Data mart Technology
뇌를 자극하는 Windows Server 2012 R2
온라인국민참여포탈 클러스터 시스템 구성 제안
APPEON SOLUTION INTRODUCTION.
1. Windows Server 2003의 역사 개인용 Windows의 발전 과정
할 수 있다! 네트워크 구축 + 활용 네트워크 구성도.
NSH-2026 스위치 Metro Ethernet & Enterprise Network 초고속 네트워크 구축을 위한
IPCC Full Solutions Billit All IP Contact Center llllBillit -IP_PBX
5. 위험평가 신수정.
1. 정보보호 관리체계(ISMS) 이해.
NTAS 소개 (Network Transaction Application Server)
SysmanagerOne 네트웍 구성도 ㈜시스원 IDC사업부.
웹 애플리케이션 아키텍쳐 웹 클라이언트 서버 요청 응답 전송 애플리케이션 데이터베이스 커넥터 N-계층.
4장. 웹로직 서버상에서의 JDBC와 JTA의 운용
무선인터넷 보안기술 컴퓨터공학부 조한별.
양천구청 웹서비스 안정화 제안 LB 솔루션 작성일 : 2010/01/13 담당 : 신 상 윤 TEL :
우수한 네트워크 품질(Bandwidth & Quality) 네트워크 및 보안 관리의 분산으로 업무효율 증대
뇌를 자극하는 SQL Server 장. SQL Server 2008 소개.
Chapter 7. RAS(전화접속,VPN) & IAS
FTP 프로그램 채계화 박재은 박수민.
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
HDFS와 대용량 데이터 처리 콘텐츠서비스연구팀 최완.
KHS JDBC Programming 4 KHS
Wireless Java Programming
1장. 데이터베이스 자료의 조직적 집합체_데이터베이스 시스템의 이해
전자상거래 구축을 위한 EC/EDI Solution 제안서.
DSU Nanumi FTP - Network Programming 염대영
2장. 데이터베이스 관리 시스템 데이터베이스 관리 시스템의 등장 배경 데이터베이스 관리 시스템의 정의
Spring 프레임워크의 이해 1.Architecture.
Smart Workplace 개발자 가이드
NTAS 소개 (Network Transaction Application Server)
9장 아웃소싱 보안구조 신수정.
Chapter 03. 관계 데이터베이스 설계.
04. DBMS 개요 명지대학교 ICT 융합대학 김정호.
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
VTalk Solution 소개자료
-네트워크 관리 개요 및 SNMP 프로토콜 동작과정
07. 소프트웨어 아키텍처 설계 전략 명지대학교 융합소프트웨어학부 김정호 교수.
Self Introduction Template PowerPoint
Home Network.
2. 고객(시장)의 요구변화 및 이슈-(3) 정보유출위협에 대한 대응
Level 0 Level 1 Level 2 Level 3 공모전 후기 모음 웹 서비스 1. 웹 페이지 설계 2. 웹 서버 구현
뇌를 자극하는 Solaris bible.
고객정보 및 내부정보 유출 대응 체계 인포섹㈜ 신수정 상무
오라클 11g 보안.
웹 애플리케이션 보안 Trend 인포섹㈜ 신수정 상무
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
멀티미디어시스템 제 4 장. 멀티미디어 데이터베이스 정보환경 IT응용시스템공학과 김 형 진 교수.
멀티미디어시스템 제 5 장. 멀티미디어 데이터베이스 개념 IT응용시스템공학과 김 형 진 교수.
Map Designer Solution 소개자료
08. 소프트웨어 아키텍처 설계 전략 명지대학교 융합소프트웨어학부 김정호 교수.
6장 정보분류 신수정.
CHAP 15. 데이터 스토리지.
프로젝트 결과 발표 네트워크정보통신과 강동성 이현미.
유승석 FILE I/O File Input/Output 유승석 SD50 – C# & .NET Platform.
M.B.TEAM 중간 발표 (5.18) 이 제걸 백 인호.
Presentation transcript:

12장 기술 아키텍쳐 2005.11 신수정

Reference Enterprise Security Architecture using IBM Tivoli – Redbooks 내부 컨설팅 자료 보안 아키텍쳐 자료 – shinsoojung.pe.kr의 보안 아키텍쳐 항 참조

0. 전반적 기술 아키텍쳐 위험평가 People 보안전략/조직 정책/정보분류 보안기술 아키텍쳐 Process Data Application User System Network Physical Data Application User System Network Physical Process Technology 기밀성 무결성 가용성 Identification Authentication Authorization Administration Audit 보안관리 아키텍쳐 모니터링 사고대응 사업연속 인력보안 보안교육 외주보안 Validation/Audit/Measure/Certification Enterprise Architecture & IT Planning

0. 전반적 기술 아키텍쳐

0. 전반적 기술 아키텍쳐 Requirement Analysis Category Object Security Requirement Implementation유형 1. Physical Security 전산센터/통신실 물리적 1차 보안요건의 완비 보안장비도입 Application 서버 지침 수립 및 운영 데이타베이스 서버 Configuration 조정 웹서버 Client PC 공통 2. Network Network Configuration L4 Switch Router 3. System UNIX, WIN2000, NT… 4. Application IIS, WAS, Tuxido, Web Application, Server Application, Client Application, PACKGE 5. Data Security Oracle DB, Data, Media 6. User Security 7. Security Admin 인력보안, 취약성점검, 침입대응, 보안도구, 사고대응, 보안교육, 보안조직, 감사

0. 전반적 기술 아키텍쳐

0. 전반적 기술 아키텍쳐

0. 전반적 기술 아키텍쳐 Standard Consideration (technology) Services 세부대상 구분 Low Standard High Confidentiality 매체, 네트웍.. Integrity Availability I & A Authorization & Access Control Non- Repudiation Auditing & Monitoring Compliance -Standard, High -Description

0. 전반적 기술 아키텍쳐 Technology Technology Investigation & Selection Category confidentiality Integrity Identification Authentication Authorization Access Control Non Repudiation 1. Physical Security 2. Network 3. System(OS) 4. Application 5. Data Security 6. User Security 7. Security Admin Technology * 분류 반영 가능

0. 전반적 기술 아키텍쳐 Technology Flow상의 보안 적용기술 Category confidentiality Integrity Identification Authentication Authorization Access Control Non Repudiation 1. Client PC 2. Client PC ->L4 Switch 3. L4 Switch 4. NT System 5. Web Server 6. WAS Middleware 7. Client -> Web Application Java Component 8. WAS-> Tuxedo 9. Server App-> Oracle DB Technology

0. 전반적 기술 아키텍쳐 시스템 구성요소별 세부 보안 적용기술 Category 보안대상 목적 방법 상세 적용기술 중요도 수용여부

1. 개요(안전한 솔루션의 아키텍쳐링) Security Subsystem -Audit: 데이터의 수집, 분석, 보고, 아카이빙, retrieving 감사데이타의 수집, 보호, 분석 및 알람 -Solution integrity: 법적, 기술적 표준을 준수하며 솔루션의 신뢰성있고 정확한 운영보장, 자원의 무결성 및 신뢰성, 데이터 오브젝트의 암호화등을 통한 보호, 폴트 토러런스, 백업 및 복구 등 Access Control: 접근에 대한 identification, authentication, authorization을 통해 보안 정책 enforce, credential과 attribute사용 Information flow control: 정보의 흐름을 gating, flow의 허가 및 금지, flow 모니터링, 서비스의 Transfer.. -Identity or credential: 네트워크를 통해, 플랫폼, 프로세스, 보안서브시스템 사이의 identity와 Permission을 전달하는 데이터 오브젝트의 분배 및 관리

1. 개요(안전한 솔루션의 아키텍쳐링) 1. IT 비즈니스 프로세스 흐름이 정확하고 신뢰있는 결과를 가져오도록 확증

1. 개요(안전한 솔루션의 아키텍쳐링)

2. Domain Uncontrolled : 조직의 통제 영역 외의 것들을 의미함 Controlled: Uncontrolled와 Restricted사의의 접근을 제한함 Restricted: 접근이 제한되고 통제됨. 오직 허가된 개인만이 출입권한을 얻으며 외부 소스와 직접적인 통신이 불가함 Trusted: 접근은 오직 허가된 스탭에게만 가능하고, 한 신뢰영역의 접근은 다른 신뢰영역의 접근을 보장하지 않음. External controlled: 데이터가 데이터의 보호의 제한된 신뢰가 있는 시스템 외부의 비즈니스 파트너에 의해 저장.

3. 보안요구사항 E-BIZ security Requirement Authorization: 오직 허가된 사용자가 시스템, 데이터, 어플리케이션, 네트워크에 접근하도록 함. Asset protection: 프라이버시 법칙이 지켜짐을 확신함으로써 데이터의 무결성을 유지함. Accountability: 누가 무엇을 언제 했는지 정의함. Availability: 시스템, 데이터, 네트워크 와 어플리케이션을 reachable하게 함 Administration: 정책 정보를 일관성있게 정의하고, 유지하고, 모니터링하고 수정함.

4. 기초 설계 Non-critical Web server 와 Web server에 있는 어플리케이션 로직과 분리 Web seal: common access portal, SSO to Web application

4. 기초 설계 Intranet Client 와 production환경과의 분리 조금 더 안전해야 할 부분: 예) 인사데이타, 개발프로젝트, 재무 데이터 등 Solid line:완전한 접근, dotted line:부분적 접근, 나머지 서버: 접근 불가

4. 기초 설계 보호를 위한 추가적인 zone을 만듬. Load balancing, HA 보안관리기능을 물리적/가상적 안전 공간에 위치시킴. 보안관리가 수행될 공간의 확보. 모든 필요한 데이터가 이 공간에 포함되도록 함.

5. Access Control 일반적인 웹서버 아키텍쳐 직접적인 접근의 보안위험, 백엔드 접근간의 방화벽 ( 주요보안정보가 웹서버의 정적 내용으로 존재, Authentication/authorization이 platform-specific, Authentication/authorization/Administration이 중앙화 안됨. 보안정책이 서버에 따라 변하여 일관성 부족) -> Access Manager

5. Access Control Uncontrolled Internet zone, controlled internet DMZ zone, A restricted Production Network zone 389/636 LDAP port, 80/443 standard HTTP/HTTPS ports, 81/1443: non-standard ports

6. HA

7. Global MASS - Business View 고객과 내부직원은 주문 시스템에 대해서 일을 함 고객은 uncontrolled영역에 위치함. 내부직원은 기업의 intranet에서 일을 함. 주문시스템은 네트워크의 가장 안전한 곳에 위치함. 접근 제어 레벨은 다르지라도 세 요소간의 flow가 수립되고 통제되어야 할 필요가 있고, 모든 것은 e-biz transaction을 수행하는 community에 소속됨

7. Global MASS - Logical View 여러 레벨의 네트워크 보안, 포탈, SSO + Auditing, Integrity 같은 레벨의 trust가 아님. E-biz community는 여러 서브 community로 나뉨 External:최소 신뢰 및 통제, 전체 E-biz community의 부분이 되려면 authentication mechanism을 통해 자신의 identity를 확인 필요, 사용자 authentication with an Web application - 고객소속 Managed: 이 영역의 접근을 모니터 하기 위해 필요한 기본적인 통제 메커니즘이 존재. 이 community에 속한 시스테은 인트라넷에 위치한 허가된 시스템임. Closed: 높은 수준의 통제가 필요한 핵심 시스템 포함.

7. Global MASS - Detailed View Access & flow control: 여러 영역간의 인터페이스 취급 – 경계 요소가 추가됨.(FW, SSL,..) Security audit: event logging(device/application), component logging(log files, scanner) Solution integrity

7. Global MASS - Detailed View