SDAC enterprise 서버 및 네트워크장비 직접접근제어시스템 표준제안서 Document Version 1.6.1

Presentation on theme: "SDAC enterprise 서버 및 네트워크장비 직접접근제어시스템 표준제안서 Document Version 1.6.1"— Presentation transcript:

1 SDAC enterprise 서버 및 네트워크장비 직접접근제어시스템 표준제안서 Document Version 1.6.1
CONFIDENTIAL This material is proprietary of BIZET. It contains trade secrets confidential information which is the property of BIZET. This material shall not be used, reproduced, copied, disclosed, transmitted, in whole or in part, without the express consent of BIZET. Copyright © 2013 BIZET Inc., All rights reserved. Document Version 1.6.1 Direct Access Control for Server & Network Equipment maintenance

2 직접접근제어 개요 AS-IS TO-BE 정의
요약 직접접근제어 개요 정의 직접접근제어 DAMS(Direct Access Management System)은 전산실 또는 IDC에 위치한 서버, 네트워크 장비, 보안장비 등 정보시스템에 LAN 케이블, Serial 케이블 등으로 직접 연결∙접근하는 행위를 통제∙ 감사하는 것을 목적으로 하는 시스템 정보시스템의 운영, 점검, 유지보수를 위해 필연적으로 발생하는 직접연결 작업 시 대상장비 접근통제, 명령어 및 프로세스 통제 등의 통제기능과 텍스트 로그 및 동영상 녹화 등의 감사기능을 제공하는 기술 AS-IS TO-BE

3 직접접근제어 구축목적 정보시스템 접근프로세스 보안성 강화 직접접속 위협요소 제거 및 접근 프로세스 강화
요약 직접접근제어 구축목적 직접접속 위협요소 제거 및 접근 프로세스 강화 전산실 방문작업, LAN/Serial 케이블 연결작업에 대한 접근통제, 작업통제, 감사로그 생성의 보안기능을 제공하여 직접접속에 대한 보안위협요소를 제거하고 정보시스템에 대한 접근 프로세스 강화 정보시스템 접근프로세스 보안성 강화 주요 위협요소 제거 및 보안강화 작업편의성 유지 현실적∙효과적 관리 대상 장비 접속정보(IP, 계정, 암호 등) 노출방지 작업자 인증 후 할당/승인된 작업수행 가능 작업목적에 따른 작업환경 통제 및 승인 관리자에 의한 현실적인 작업 감시/통제 작업신청/승인 시 복수의 대상 장비지정 가능 작업자, 작업장비, 작업통제, 작업결과 로그관리 허가된 장비 이외 임의의 장비에 대한 접속차단 콘솔실 PC를 활용한 네트워크연결 작업 가능 부정행위 발생 및 사고발생에 대한 로그관리 위험, 불필요한 명령어 사용 차단 Putty, Filezillar 등 범용접속도구 사용 가능 명령어 및 프로세스 실행 분석에 따른 작업관리 악의적, 임의의 프로그램 설치/실행 차단 작업통제 정보 제공으로 작업자 사전고지 활용 작업단말기에 신뢰할 수 있는 보관 및 관리 오류 또는 사고발생 시 신속한 원인 및 시점추적 사전 신청 및 승인작업의 업무관리시스템 연동 텍스트, 동영상로그 관리로 작업자 부인방지 DB서버 무단접근 차단 및 개인정보유출 차단 별도의 접속정보 기록, 기억없이 자동접속 가능 작업내역 텍스트로그 및 동영상 로그 추출 기존 원격접근제어 연동으로 일원화된 접근제어

4 SDAC Enterprise 시스템 구성 SDAC MGMT 관리서버 S-TOKEN 사용자 인증토큰 S-AGENT
요약 SDAC Enterprise 시스템 구성 SDAC MGMT 관리서버 직접접근제어시스템의 관리 및 정책서버로써 작업을 등록하고 작업에 대한 보안통제정책 수립 인적자원, 접속대상 정보시스템, 작업용 PC/노트북의 고유식별번호등록 및 관리 작업별 명령어 사용통제, 프로그램 사용통제, 포트, 매체, 저장장치 사용통제 등의 정책 생성/등록 S-AGENT로부터 수집된 로그를 저장하고 분석 및 보고서 생성 S-TOKEN 사용자 인증토큰 관리자 및 작업자 인증용 장치로 고객요구에 따라 지문인식 또는 스마트카드 방식으로 제공 각각의 토큰 불출 시 작업자 정보 및 작업통제 정책을 내장하여 불출하고 지정된 PC에서만 사용가능 S-AGENT의 최초 로그인 시 S-TOKEN을 연결하고 지정된 PC와 작업자임을 확인한 후 로그인 인증 후 S-TOKEN에 기록된 작업통제 보안정책을 PC의 보안파티션에 기록 S-AGENT PC 설치용 에이전트 콘솔실에 비치된 PC에 설치되는 에이전트 프로그램 에이전트 설치 시 윈도우 및 사용자 접근이 차단되는 암호화 파티션인 보안파티션을 생성 S-TOKEN에 의해서 전달되는 접속정보 및 보안통제 정보를 보안파티션에 입력 후 지정기능 수행 대상 정보시스템 접속 시 접속 IP, 계정, 암호의 노출없이 접속토록 기능 및 도구 제공 S-BOOK 전산실 방문작업 전용노트북 전산실에 방문하여 대상장비에 대한 케이블 직접연결 작업을 위한 전용노트북 S-AGENT 설치 및 Tuning이 완료된 제품으로 관리자 정책에 따른 보안파티션 생성 및 적용 관리서버에 고유식별정보 사전 등록

5 SDAC Enterprise 주요기능 1 2 4 3 접속통제
요약 SDAC Enterprise 주요기능 접속통제 작업자에게 대상장비에 대한 어떠한 접속정보(IP, 계정, 암호 등)도 제공하지 않아 임의적으로 서버, 네트워크 장비 등에 접속할 수 없으며, 각 작업단말기는 작업 승인 시 접속정보와 보안정책 정책가 적용되어 인증 후 지정 접속 및 작업만 가능 SDAC MGMT 지정로그 전송 지정로그 전송 작업PC 기동 시 비정상행위 시 S-AGENT 1 정보입력 및 불출 작업자 식별정보(지문 등) 작업PC 식별정보 대상장비 IP, 계정, 암호 차단 포트/매체/프로그램 차단 명령어/프로그램 작업시간 S-AGENT 2 장치연결 S-TOKEN S-BOOK 4 장치제거 지정시간 경과 등 S-BOOK 3 작업인증 및 정책전송 작업자 식별/인증 수행 작업PC 식별 수행 관리자입력정보를 작업PC 보안파티션에 전송 로그인 수행 및 S-AGENT 보안정책 적용 S-AGENT 설치 PC 또는 S-BOOK의 경우, 부팅 후 작업자 인증창 기동 작업자는 지정된 S-TOKEN 연결 및 인증 후 PC 로그인 가능 인증완료 후 작업 중 S-TOKEN 제거 시 작업자 인증창으로 전환 관리자 지정 비정상행위 시 자동으로 인증창 전환

6 SDAC Enterprise 주요기능 작업환경통제
요약 SDAC Enterprise 주요기능 작업환경통제 관리자에 의해 승인된 환경 내에서만 작업이 가능하도록 통제하고 이를 통하여 임의의 장비에 대한 접속, 작업자 임의적인 명령어 전송, 서버 내 자료 무단복제 등의 행위를 차단하기 위한 통제정책과 기능 제공. 명령어 통제: 차단 명령어 등록으로 대상 작업에 불필요한 위험명령어 사용 차단 프로그램 실행 통제: 작업에 필요한 프로그램 이외의 프로그램 차단으로 악성코드 예방 포트 및 매체 사용 통제: LAN, WiFi, 직/병렬 포트, 블루투스/무선랜 동글, Wibro 및 저장매체 사용통제 작업환경 통제 물리적 통제 논리적 통제 금지명령어 설정으로 악의적 행위 및 휴먼에러 방지 명령어 통제 접속 IP 통제로 임의의 장비에 대한 무분별한 접속 방지 IP 통제 지정 프로토콜의 사용으로 서버 별 작업방식 통제 및 감사 프로토콜 통제 작업시간 지정으로 무분별한 작업 또는 방치된 작업상황 예방 작업시간 통제

7 SDAC Enterprise 주요기능 기존 작업환경 유지 및 보안성강화
요약 SDAC Enterprise 주요기능 기존 작업환경 유지 및 보안성강화 운영, 점검, 유지보수 시 사용하는 주요 접속도구를 지원하여 작업자의 작업환경 변화를 최소화하고 별도 학습과정없이 즉각적인 업무활용 가능 관리자에 의해 지정된 작업대상 장비만 접속이 가능하고 다른장비에 대한 접속차단 보안파티션을 통하여 Unix, Linux, Window 서버 및 Security, Network 장비별 접속정보 관리 작업자는 대상장비에 대한 접속정보 인지불가 (보안정보 노출차단) S-AGENT 통제대상 작업 COMMAND 대상장비 접근정보 노출없음 작업자 인증 지정장비(IP)만 접근가능 접근가능 목록 표시 도구선택 후 접근 PUTTY 콘솔실 작업 FileZillar 대상장비 접근 후 작업통제 Console 작업통제 도구사용 작업 통제 명령어 통제 텍스트 및 동영상 로그 Remote Desktop 전산실 방문작업 KVM

8 SDAC Enterprise 주요기능 로그추출 및 위변조방지
요약 SDAC Enterprise 주요기능 로그추출 및 위변조방지 작업내역에 대하여 인증, 접속, 명령, 실행 등에 대한 텍스트를 기록하고 최초 로그인부터 PC종료 시점까지의 작업화면을 동영상파일로 추출하여 각각의 로그를 작업자가 접근할 수 없는 보안파티션 영역에 보관하여 위변조 방지 S-AGENT 설치 시 하드디스크에 윈도우 운영체제에 의해 미할당영역으로 인식되는 보안파티션 설치 추출된 텍스트 및 동영상로그는 보안파티션 보관 후 서버전송 작업로그는 지정된 작업번호를 기반으로 관리되며 관리자 모드 접근 시 PC에서 직접확인 가능 S-AGENT 디스크파티션분할 보안파티션 생성 보안파티션 S-AGENT에 의해서 관리되는 암호화 파티션 드라이브로 지정될 수 없으며 OS는 미할당파티션 인식 보안정책/접속정보/로그 등 정보저장 디스크 용량 및 로그추출 정책에 따라 지정

9 SDAC Enterprise 운영사례 1 2 5 3 4 G통합전산센터 – 원격접근제어병행 운영사례
요약 SDAC Enterprise 운영사례 G통합전산센터 – 원격접근제어병행 운영사례 원격접근제어 솔루션의 한계점을 인지하여 접근프로세스를 세분화하고 외부 및 협력사 직원의 방문작업에 대한 통제 및 감사를 목적으로 시스템 구축 구축효과 1. 직접방문작업에 대한 작업 신청/승인/감사로그 관리 가능 구축효과 2. 전산실 직접 방문작업 및 KVM 연결작업 시 작업통제 및 작업로그 추출 가능 1 작업별 통제정책 지정 사용포트/미디어통제 사용장비지정 직접접근제어 관리자 작업승인내역전송 2 작업장비 불출 작업자 전산실 방문작업 요청 S-TOKENS-BOOK 상호식별정보 지정 작업자 식별정보 저장 작업대상 및 관련접속정보 지정 명령어통제/로그 등 정책 지정 작업인증서버 SDAC MGMT 정보시스템 5 작업내역 로그저장 3 장비수령 및 작업개시 전산실 방문 후 직접접속 작업 제어/저장서버 4 작업장비 반납/회수 작업내역 기록 텍스트 및 동영상 로그 추출 전산실 방문작업자

10 2 1 4 3 SDAC Enterprise 운영사례 K공공기관 – 단말기인증 및 원격접근제어 대체운영사례
요약 SDAC Enterprise 운영사례 K공공기관 – 단말기인증 및 원격접근제어 대체운영사례 사원 신분증 기반의 단말기 및 정보시스템 사용자 인증 강화 및 운영자의 정보시스템 접근통제 및 감사를 위한 운영자인증, 대상장비 인증, 명령어 통제, 접속 및 작업로그 기능 제공 구축효과 1. 단말기 인증 및 정보시스템 인증 일원화를 통한 통합관리 구축효과 2. 별도의 원격접근제어 솔루션 도입없이 에이전트에 의한 정보시스템 접근 프로세스 통합 통제 및 관리 SDAC MGMT 업무망 일반사용자… … 운영자 PC로그인 2 전산실 정보시스템 접근권한 인증 정보시스템 로그인 시도 운영자 인증 작업승인여부 확인 접속정보전달 작업환경 통제전달 로그수집정책 전달 단말PC 로그인 시 사원 신분증 스마트카드 인증 및 사용자/운영자 권한 부여 1 사원 신분증 인증 관제망 일반사용자… … 운영자 PC로그인 3 4 정보시스템 작업통제 명령어/작업통제 및 로그 접속정보전달 작업통제 정책전달 로그수집정책 전달 지정장비 접속 및 작업 명령어/매체통제 로그수집 S-AGENT

11 SDAC Enterprise 운영사례 P사법기관 – 원격지원실 운영사례
요약 SDAC Enterprise 운영사례 P사법기관 – 원격지원실 운영사례 원격지 PC에서 본청 관리PC를 통한 정보시스템 접근 시 단말기 접속통제 및 단말기에 대한 작업내역 통제 기능 제공 및 정보시스템과 관리PC와의 연결 및 작업에 대한 통제기능 제공 구축효과 1. 원격PC에 대한 로그인 통제, 작업통제, 로그추출 및 부정사용 긴급차단 구축효과 2. 관리PC에 정보시스템간의 접속통제, 명령어전송통제, 프로토콜 별 작업로그 기록 지청 원격작업실 본청 통합전산센터 원격제어 정보시스템접속 관리PC통제 대상 장비접속 로그 전송명령어 차단/스크립트 차단 프로토콜별 작업내역 로그 감시·통제 SDAC MGMT 감시·통제 로그전송 원격PC통제 단말기 접속 IP 통제 명령어 통제 / 프로그램 실행 통제 부정행위 감시 / 강제접속 종료 원격단말기 텍스트/동영상로그 업무관리 및 스토리지

12 SDAC Enterprise 운영사례 … … … … … … A공사 – 다중네트워크망 운영사례
요약 SDAC Enterprise 운영사례 A공사 – 다중네트워크망 운영사례 독립적인 네트워크망을 통하여 업무망, 협력사망, 외주개발자망으로 구성된 환경에서 각 네트워크망에 소속된 작업자의 정보시스템 접근에 대한 통제 및 감사 기능을 제공 구축효과 1. 각 작업자/작업목적/작업영역 별 접근대상 서버 및 네트워크 장비 분할 관리 구축효과 2. 각 대상장비별 접근프로토콜, 접근도구 프로그램, 명령어 분할 관리 SDAC MGMT SERVERFARM 외주개발자 … … 영역별 PC 및 사용자 등록 영역별 접근가능 서버정보 등록 서버접근 시 사용자 인증수행 사용자/그룹별 작업권한 등록 명령어 및 프로그램 실행 통제정책 등록 협력사직원 … … S-AGENT를 통한 정보시스템 접근 내부직원 외부개발자/협력사직원/내부직원 별 접근가능 대상서버구분 서버접근 인증프로그램을 통하여 인증 후 접근가능 인증 시 명령어/프로그램 등의 통제 정책 적용 작업내역에 대한 텍스트 및 동영상로그 기록 … …

13 SDAC Enterprise 운영사례 M연구원 – 간소화된 운영사례
요약 SDAC Enterprise 운영사례 M연구원 – 간소화된 운영사례 소규모의 전산실 환경에서 정보시스템에 대한 접근 빈도가 낮은 운영환경을 고려하여 전산실 담당운영자가 개별 작업자에 대한 접근통제 및 관리를 직접 수행토록 간소화된 관리절차 제공 구축효과 1. 무분별한 정보시스템 접근을 차단하고 사전신청에 의해 승인된 작업자만이 접근가능토록 통제 구축효과 2. 전산실 방문작업에 대한 통제 및 감사로그 기록 관리자 지정사용자 S-AGENT 설치 사무실 업무환경 관리자 사전승인 S-TOKEN 불출/보관 필요 시 콘솔접속 접속/명령어 통제 로그추출 전산실 통제정책적용·로그수집 SDAC MGMT 통제정책적용·로그수집 관리자 자체관리 보안노트북 직접관리 접속 시 로그관리 관리자 S-AGENT 설치 S-BOOK 자체관리

14 목차 I II III IV V VI VII 시장환경 및 제품등장배경 15 시장요구 및 제품목적 22 제품개요 27
시장환경 및 제품등장배경 15 II 시장요구 및 제품목적 22 III 제품개요 IV 제품기능 V 운용방안 VI 기대효과 VII 구축사례

15 I 시장환경 및 제품배경 기존 원격접근제어와의 차이 전산실 출입관리 실태 직접접근제어 정책 실태 콘솔실 작업관리 실태 사고실태
관련법규

16 직접접근제어시스템(DAMS, Direct Access Management System)
배경 서버접근제어시스템은 원격접근과 직접접근제어로 구분되는 걸 알고 있나요? 케이블연결 등 직접접근에 대한 고민…해보셨죠?!! 서버와 네트워크, 보안장비 등의 정보시스템에 대한 접근제어는 필수보안시스템인데…도입을 검토하면서 전산실에 방문하거나 케이블을 직접 연결하는 작업에 대해서 고민하시지 않았나요? 마땅한 대안이 없어 묵인하셨다면 다시 고민하셔야 합니다. 원격접근제어시스템(RAMS, Remote Access Management System) 게이트웨이 장비를 통하여 정보시스템에 대한 접근을 통제하고 이에 대한 감사로그를 수집하는 시스템 기존에 도입된 서버접근제어 시스템은 모두 원격접근제어시스템으로써 케이블 직접연결 및 콘솔연결 등의 우회경로에 대한 보안대책 없음. 직접접근제어시스템(DAMS, Direct Access Management System) 서버 또는 네트워크 장비에 직접 케이블(LAN케이블, Serial 케이블 또는 KVM)을 연결하여 수행하는 작업을 통제하고 이에 대한 감사로그를 수집하는 시스템 기존의 접근제어시스템은 게이트웨이 장비를 통하여 모든 통제와 감시를 수행하는 시스템으로 해당 장비를 우회하거나 경유하지 않는 경우, 통제 불가능의 한계점 보유 게이트웨이 장비를 통하지 않는 경우에도 접근제어시스템에서 요구되는 모든 보안통제 기능 및 감사자료를 수집하는 시스템의 필요에 의해 등장한 접근제어시스템 직접 케이블을 연결하여 작업하는 전산실 방문작업 및 콘솔실 작업에 대하여 접근통제, 명령어통제, 프로세스통제, 로그수집, 동영상 녹화 등의 보안기능 제공

17 서버/전산실 출입관리 이렇게 하고 있지 않나요?
배경 대안은 없고 관리는 해야만 하고… 서버/전산실 출입관리 이렇게 하고 있지 않나요?

18 기존 접근제어시스템의 한계점 ?! 서버와 네트워크 장비에 대한 접근제어…솔루션을 사용중이라고요? 배경
기존 서버접근제어 솔루션으로는 전산실에 방문하여 노트북을 LAN 케이블이나 Serial 케이블로 서버 또는 네트워크 장비에 직접 연결하는 작업에 대해서는 통제할 방법이 없습니다. 때문에 기존의 서버접근제어 솔루션과는 별도로 직접 연결 또는 콘솔연결에 대한 보안대책이 필요합니다. 케이블 직접연결 통제•관리 패치관리서버 작업통제 KVM연결•콘솔실 작업통제

19 KVM장비/Serial케이블을 통한 접속관리 ?!
배경 콘솔실 또는 OP실로 불려지는 작업공간… 안전하게 관리하고 계신가요? KVM장비/Serial케이블을 통한 접속관리 ?! 서버실에 위치한 정보시스템에 대한 유지보수, 점검, 운영 등의 작업을 위해 마련된 콘솔실에서의 작업이 통제되지 않는 경우, 치명적인 사고가 발생할 수 있으나 콘솔실에서 사용하는 KVM장비 또는 Serial 장비를 통한 접속은 케이블직접접속으로 기존 원격접속관리로는 해결할 수 없습니다. 서버실 콘솔실 유지보수작업자 원격접속장비 KVM/Serial 장비 협력사직원 외주직원 콘솔작업은 직접접속 방식의 작업으로 상시적으로 수행되고 있으나 보안통제 정책은 매우 미비한 실정

20 전산/서버실 방문 및 케이블 접속작업에 대한 보안통제에 소홀한 결과 !
배경 전산/서버실 방문 및 케이블 접속작업에 대한 보안통제에 소홀한 결과 ! 2011년 N은행 전산망 장애 H캐피탈 고객정보 유출 S카드 고객정보 유출 등 2012년 K통신사 870만명 고객정보 유출 SNS 사용고객 개인정보 유출 등 2013년 정부기관 방화벽 중단으로 네트워크 차단사고 등 금융 연간 100여건 기업 연간 200여건 공공 연간 100여건 통신사 연간 100여건

21 정보보호 규제강화 및 개인정보보호 조치 관련법 및 시행령
배경 직접 케이블을 연결하는 경우, 자료유출은 이미 시작된 것입니다. 정보보호 규제강화 및 개인정보보호 조치 관련법 및 시행령 작업자의 노트북을 서버에 케이블로 연결하면 서버에 보관중인 내부자료, 개인정보 등은 작업자의 노트북 HDD, USB 메모리 심지어는 Wibro 등을 통한 이메일로 유출될 수 있습니다. [처벌조항] 법 제 28조 제 1항 제 2호부터 제 5호까지의 조치를 하지 아니하여 이용자의 개인정보를 분실․도난․누출․변조․훼손한 경우 2년 이하의 징역 또는 1천만 원 이하의 벌금과 1억 원 이하의 과징금 부과(법 제 28조 제 1항, 제 73조 제 1호, 제 64조 3제 6호) 법 제 28조 제 1항에 따른 기술적․관리적 조치를 하지 않은 경우 3천만 원 이하의 과태료 부과 (법 제 28조 제 1항, 제 76조 제 1항 제 3호)

22 II 시장요구 및 제품목적 직접방문작업의 치명적 위험성 직접방문작업 보안요구 직접접근제어 핵심 요구기능
직접접근제어시스템 도입확대

23 작업자의 노트북을 직접 연결하거나 KVM을 통해 연결하여 작업 시 주요위협요소
시장요구 전산실 직접 방문 작업 시 사람에 대한 믿음이 보안대책인가요? 직접 방문 작업의 치명적인 위험성…! 대책이 필요합니다. 정보시스템에 케이블을 직접 연결하여 작업하는 경우, 작업자의 착오 또는 악의적인 목적으로 잘못된 조작으로 발생하는 피해는 기업차원이 아닌 범사회적인 장애를 초래할 수 있습니다. 때문에 이를 통제 및 감시할 수 있는 시스템적인 대책을 반드시 마련해야 합니다. 작업자의 노트북을 직접 연결하거나 KVM을 통해 연결하여 작업 시 주요위협요소 담당자가 동행하여 암호를 입력해줘도 접속암호는 노출되는 것이 현실입니다. 관리자가 지정한 정책하에 작업수행하도록 감시/통제하는 것이 현실적으로 어렵습니다. Telnet을 통하여 망간 네트워크 장비를 넘나들면서 아무런 통제없이 작업합니다. 작업 시 위험하거나 불필요한 명령어 사용을 사전에 차단할 수 없습니다. 작업 시 위험하거나 악의적인 프로그램의 설치/실행을 사전에 차단할 수 없습니다. 악성코드 또는 스크립트로 예약시간에 공격토록 악의적 작업을 수행할 수 있습니다. Configuration 재설정 후 사고발생 시 정확한 복원시점을 찾아낼 수 없습니다. 작업자 임의적으로 서버에 저장된 개인정보 등을 유출할 수 있습니다. 직접 연결하는 경우, 작업내역에 대한 텍스트로그와 동영상 로그를 추출할 수 없습니다. 작업자가 작업내역을 부인하는 경우 검증할 방법이 없습니다.

24 직접접속 작업자와 작업내역에 대한 보안정책이 있어야 합니다.
시장요구 전산실에 직접 방문하여 작업을 해야만 하는 경우는 반드시 존재합니다. 직접접속 작업자와 작업내역에 대한 보안정책이 있어야 합니다. 정보시스템에 직접 케이블을 연결하여 작업을 수행하거나 내부에 비치된 KVP을 통해 작업을 수행하는 경우에도 작업환경통제, 명령어통제, 로그수집, 동영상녹화 등의 기본적인 보안통제정책이 있어야 사고예방과 사후감사를 수행할 수 있습니다. 연결된 KVM 사용 작업자 노트북 직접연결 작업목적에 맞도록 작업환경이 통제되고 접속장비 암호가 노출되지 않아야 합니다. 작업자 식별인증 후 허가된 접속대상 장비에만 접속하도록 통제되어야 합니다. 지정된 명령어와 프로세스의 전송 및 실행을 차단할 수 있어야 합니다. 모든 작업내역을 텍스트 및 동영상형태로 기록해야 합니다. 작업노트북의 포트/매체통제로 정보유출 및 복제를 차단해야 합니다.

25 1 2 4 3 직접접근제어시스템의 핵심 요구기능 작업 승인관리 접근통제 관리 작업로그 관리 작업환경 통제
시장요구 직접접근제어시스템의 핵심 요구기능 기존 원격접근제어시스템에서 제공하는 보안기능과 통제 및 감사로그 기능을 직접접근제어시스템에서도 동일하게 구현하여 동일한 수준의 보안기능 제공함은 물론 직접접근 고유 환경에 대응할 수 있는 차별화된 보안기능제공 1 작업 승인관리 2 작업내역 사전신청/승인 작업 대상장비 지정(복수가능) 사용할 매체, 포트, 프로그램 지정 작업목적/예상시간 지정 작업자 등록 및 인증방식 지정 접속장비 계정/암호 정보 노출차단 지정된 장비 이외 접근차단 작업승인 시 작업자에게 지정된 노트북 또는 PC로만 접근가능 접근통제 관리 작업로그 관리 작업환경 통제 4 3 로그인 정보 로그 기록 명령어 및 텍스트로그 기록 모든 접속에 대한 접속로그 기록 작업화면에 대한 동영상 녹화기록 정책위반/이벤트 결과 보고 및 분석 작업자 인증 시 지정된 2-factor인증 후 작업가능(지문인증, 스마트카드 등) 허가된 포트만 사용가능 허가된 매체만 사용가능 명령어, 프로그램 실행 통제

26 전산/서버실 방문 및 콘솔 작업자용 직접접근제어시스템 도입확대
시장요구 전산/서버실 방문 및 콘솔 작업자용 직접접근제어시스템 도입확대 기존의 서버접근제어시스템(원격접근)으로는 네트워크를 통한 접속을 관리통제할 수 있으나, 전산/서버실방문 후 케이블을 직접 연결하여 작업하는 경우, 별도 콘솔실 등에서 KVM, Serial 케이블 연결을 통한 콘솔작업에 대한 관리통제 불가능으로 이에 대한 솔루션 필요. 정부통합전산센터 역시 동일한 문제에 대한 솔루션 확보를 위해 직접접근제어시스템 구축을 결정하여 2012년 5월 e-안시성사업 착수. 2013년 05월 01일까지 시범운영 완료 후 모든 입주 정부기관에 직접접근제어시스템 사용 공지. 직접접근제어시스템은 정보시스템 접근관리를 위한 필수요소로써 규모에 무관하게 모든 전산/서버실에 구축되어야 하는 기본 보안시스템으로 정착 중. KVM Connection 직접접속 통제영역 콘솔실 작업자 Cable Direct Connection 방문작업자

27 III 제품개요 SDAC Enterprise 제품정의 구성요소 시스템구성

28 1. 제품정의 SDAC enterprise 국내 최초의 직접접근제어시스템(DAMS, Direct Access Management System)으로써 관리자가 지정한 보안정책에 따라서 작업자 인증, 대상 장비 접근권한 확인, 포트 및 매체제어, 명령어통제, 로그추출, 동영상기록 등의 통제 및 감사로그를 수집하는 시스템 특화된 환경을 위한 접속관리 및 보안감사 시스템 전산실에 방문하여 작업자 노트북을 서버 또는 네트워크 장비에 직접 케이블을 연결하여 작업하는 경우, 정보시스템 유지보수, 운영을 위해 설치된 콘솔실에서 KVM 등의 콘솔장비를 통하여 접속하는 경우, SDAC MGMT 작업인증/정책지정 작업인증/정책지정 콘솔실 KVM연결 전산실 직접방문 S-AGENT S-BOOK 콘솔실 PC전용 에이전트 작업자 인증 대상장비 접속 인증 명령어/프로그램 통제 텍스트/동영상 로그 작업자가 휴대하는 전산실 방문작업 전용 노트북 S-AGENT 탑재 노트북 콘솔실 PC와 동일한 보안기능 수행 KVM

29 2. 구성요소 SDAC MGMT 관리서버 S-TOKEN 사용자 인증토큰 S-AGENT PC 설치용 에이전트 S-BOOK
직접접근제어시스템의 관리 및 정책서버로써 작업을 등록하고 작업에 대한 보안통제정책 수립 인적자원, 접속대상 정보시스템, 작업용 PC/노트북의 고유식별번호등록 및 관리 작업별 명령어 사용통제, 프로그램 사용통제, 포트, 매체, 저장장치 사용통제 등의 정책 생성/등록 S-AGENT로부터 수집된 로그를 저장하고 분석 및 보고서 생성 S-TOKEN 사용자 인증토큰 관리자 및 작업자 인증용 장치로 고객요구에 따라 지문인식 또는 스마트카드 방식으로 제공 각각의 토큰 불출 시 작업자 정보 및 작업통제 정책을 내장하여 불출하고 지정된 PC에서만 사용가능 S-AGENT의 최초 로그인 시 S-TOKEN을 연결하고 지정된 PC와 작업자임을 확인한 후 로그인 인증 후 S-TOKEN에 기록된 작업통제 보안정책을 PC의 보안파티션에 기록 S-AGENT PC 설치용 에이전트 콘솔실에 비치된 PC에 설치되는 에이전트 프로그램 에이전트 설치 시 윈도우 및 사용자 접근이 차단되는 암호화 파티션인 보안파티션을 생성 S-TOKEN에 의해서 전달되는 접속정보 및 보안통제 정보를 보안파티션에 입력 후 지정기능 수행 대상 정보시스템 접속 시 접속 IP, 계정, 암호의 노출없이 접속토록 기능 및 도구 제공 S-BOOK 전산실 방문작업 전용노트북 전산실에 방문하여 대상장비에 대한 케이블 직접연결 작업을 위한 전용노트북 S-AGENT 설치 및 Tuning이 완료된 제품으로 관리자 정책에 따른 보안파티션 생성 및 적용 관리서버에 고유식별정보 사전 등록

30 3. 시스템구성 전산실 방문작업 콘솔실 작업 SDAC MGMT S-TOKEN S-TOKEN 전산실 콘솔실 S-BOOK
전산실 방문작업 전용 노트북을 비치 작업자는 사전 작업승인 후 S-TOKEN과 S-BOOK을 수령하여 작업인증 S-TOKEN 미인증 시 케이블 직접 연결작업 불가 지정된 보안정책에 따라서 작업통제 텍스트 및 동영상으로 로그기록 콘솔실의 PC에 접근제어 에이전트인 S-AGENT를 설치 작업자는 사전 작업승인 후 S-TOKEN을 수령하여 작업인증 S-TOKEN은 작업자계정/암호 대체가능 지정된 보안정책에 따라서 작업통제 텍스트 및 동영상으로 로그기록 SDAC MGMT S-TOKEN 작업자 ID/PWD S-TOKEN or 전산실 콘솔실 S-BOOK S-AGENT KVM

31 IV 제품기능 SDAC MGMT S-TOKEN S-AGENT S-BOOK

32 1. SDAC MGMT 하드웨어 사양 SDAC MGMT가 탑재되어 공급되는 관리 및 정책서버
내부 업무관리시스템 및 인사정보시스템과의 연동을 지원하며, 로그보관정책에 따라서 내부 스토리지 서버와의 연동 지원 HW사양 SDAC MGMT SERVER 기준사양서 R720, G,8GB(4x2),H310,2x300GB 인텔® 제온® 프로세서 E (2.40GHz,10M 캐시, 6.4GT/s QPI, No Turbo, 4C, 80W)" 4GB 메모리 X 21333MHz, 싱글 랭크 LV RDIMMs 300GB 2.5" 10K RPM SATA HDD X 2 PERC H310 내장형 RAID 컨트롤러, Mini Type Broadcom 5720 QP 1Gb 네트워크 부속 카드 Management Card iDRAC7 Express(12G) 라이저, 최대 x8 PCIe 슬롯 6개 + x16 PCIe 슬롯 1개 DVD+/-RW ROM, SATA, 내장(MS 2008 R2용) 싱글, 핫플러그 전원 공급 장치 (1+0), 750W ReadyRails 2U 슬라이딩 레일 3년 (연중무휴 24시간) 4시간 온사이트 서비스 S-TOKEN S-TOKEN 고유식별번호 등록 S-BOOK 고유식별번호 등록 SDAC MGMT S-BOOK

33 1. SDAC MGMT 작업등록 및 승인관리 부서별/작업별 관리자를 등록하여 각 작업에 대한 승인 및 작업자 관리
작업 및 작업자 등록을 통하여 지정된 작업 및 작업자에 대한 승인 관리 전산실 직접 접속용 보안노트북(S-BOOK) 고유식별 정보 등록 및 관리 콘솔실 보안에이전트(S-AGENT) 설치 및 설치 PC에 대한 고유식별 정보 등록 및 관리

34 1. SDAC MGMT 작업통제 정책관리 보안정책 생성/등록 및 각 작업별 세부 보안정책 생성/등록
작업자는 지정된 장비(작업PC 또는 S-BOOK)만을 사용가능토록 통제 작업장비에 대한 물리적 통제와 작업자의 입력 및 실행에 대한 논리적 통제 기능 제공(작업 시 접속대상 장비, 사용가능 포트/매체/저장장치/명령어/프로그램 지정 및 통제) 작업환경 통제 물리적 통제 논리적 통제 명령어 통제 금지명령어 설정으로 악의적 행위 및 휴먼에러 방지 IP 통제 접속 IP 통제로 임의의 장비에 대한 무분별한 접속 방지 프로토콜 통제 지정 프로토콜의 사용으로 서버 별 작업방식 통제 및 감사 작업시간 통제 작업시간 지정으로 무분별한 작업 또는 방치된 작업상황 예방

35 1. SDAC MGMT 로그저장 및 분석 작업식별번호에 따른 작업 개시/종료 및 접속로그 기록
작업내역에 대한 텍스트로그 저장 및 작업내역 동영상 로그 저장 정책위반 명령어 입력/프로그램 실행 등 이벤트에 대한 보고서 생성 로그분석 및 감사보고서 생성

36 2. S-TOKEN 작업인증 및 정책전송 절차 1 2 4 3 SDAC MGMT S-AGENT S-AGENT S-TOKEN
지정로그 전송 지정로그 전송 작업PC 기동 시 비정상행위 시 1 정보입력 및 불출 작업자 식별정보(지문 등) 작업PC 식별정보 대상장비 IP, 계정, 암호 차단 포트/매체/프로그램 차단 명령어/프로그램 작업시간 S-AGENT S-AGENT 2 장치연결 S-TOKEN S-BOOK 4 장치제거 지정시간 경과 등 S-BOOK 3 작업인증 및 정책전송 작업자 식별/인증 수행 작업PC 식별 수행 관리자입력정보를 작업PC 보안파티션에 전송 로그인 수행 및 S-AGENT 보안정책 적용 S-AGENT 설치 PC 또는 S-BOOK의 경우, 부팅 후 작업자 인증창 기동 작업자는 지정된 S-TOKEN 연결 및 인증 후 PC 로그인 가능 인증완료 후 작업 중 S-TOKEN 제거 시 작업자 인증창으로 전환 관리자 지정 비정상행위 시 자동으로 인증창 전환

37 2. S-TOKEN S-TOKEN 주요사양 도입처의 환경 및 요구사항에 따라서 지문인증방식과 스마트카드 방식 중 선택 도입
지문인증경우, 관리자 및 작업자의 등록된 지문을 통한 인증 스마트카드의 경우, 관리자 및 작업자의 등록된 PIN을 통한 인증 지문인식방식 ELFI-72M 32bit ARM Core CPU Swipe type sensor 500 ppi FIPS 호환 및 CC EAL4/5 인증 RSA, ECC, 3DES, AES, SEED 암호알고리즘 SHA1, SHA256, MD5 해쉬알고리즘 RSA 1024, 2048 bit 키사이즈 적용 조달청 BIO 보안토큰 제품지정 SDAC MGMT S-TOKEN 고유식별번호 등록 S-TOKEN 인터페이스 정의 S-TOKEN 스마트카드방식 HID OMNIKEY 접촉식/비접촉식 스마트카드 리더 848Kbps의 신속한 인증처리 카드/PIN인증 선택/병행 윈도우 암호인증 선택 ISO/IEC (type A, B) 표준준수 USB 통신 방식 및 전원사용 기타 부가정보저장관리 S-AGENT

38 3. S-AGENT 보안파티션 생성 및 관리 S-AGENT 설치 시 작업PC 또는 노트북의 하드디스크내 보안파티션 설치
보안파티션내 보안정책, 접속정보, 수집로그 등의 위변조로부터 보호되어야 하는 보안 및 감사자료를 저장하고 관리자 전용 프로그램에 의해서 추출 및 관리 S-AGENT 디스크파티션분할 보안파티션 생성 보안파티션 S-AGENT에 의해서 관리되는 암호화 파티션 드라이브로 지정될 수 없으며 OS는 미할당파티션 인식 보안정책/접속정보/로그 등 정보저장 디스크 용량 및 로그추출 정책에 따라 지정

39 3. S-AGENT 로그인 및 화면잠금 S-AGENT가 설치된 PC 및 노트북은 최초 작업자 또는 관리자에 대한 인증 및 권한 확인 수행 작업자 또는 관리자의 인증은 S-TOKEN에서 자체적으로 수행 후 결과 확인 로그인 및 화면잠금은 관리자 모드와 사용자 모드로 구분 S-AGENT 로그인창 사용자 지문인증 (또는 카드 인증) S-TOKEN을 연결하고 관리자 불출 시 등록된 지문인증수행 S-TOKEN에 등록된 작업 PC 정보와 연결 PC정보 일치 여부 확인 스마트카드 경우, 카드&PIN인증 수행 사용자 정보저장 관리자에 의해 입력된 접속대상장비 정보 및 작업환경통제 정보를 추출하여 작업PC의 보안파티션에 저장 관리자인증 관리자에 의해 지정된 관리자 인증방식(지문, 카드, 비밀번호 등) 수행 후 로그인 관리자 로그인 시 통제없이 사용 가능

40 3. S-AGENT 작업환경 통제 - 관리자 지정 물리적/논리적 작업환경 통제 정책 수행
명령어 통제: 차단 명령어 등록으로 대상 작업에 불필요한 위험명령어 사용 차단 프로그램 실행 통제: 작업에 필요한 프로그램 이외의 프로그램 차단으로 악성코드 예방 포트사용 통제: LAN, WiFi, 직/병렬 등의 사용포트 허가/차단 매체사용 통제: 블루투스/무선랜 동글, Wibro 및 저장매체 사용통제로 무단 자료유출 방지 작업환경 통제 물리적 통제 논리적 통제 명령어 통제 금지명령어 설정으로 악의적 행위 및 휴먼에러 방지 접속 IP 통제로 임의의 장비에 대한 무분별한 접속 방지 IP 통제 프로토콜 통제 지정 프로토콜의 사용으로 서버 별 작업방식 통제 및 감사 작업시간 지정으로 무분별한 작업 또는 방치된 작업상황 예방 작업시간 통제

41 3. S-AGENT 장비접속 통제 및 접속정보 보호 관리자에 의해 지정된 작업대상 장비 이외 접속차단
보안파티션을 통하여 Unix, Linux, Window 서버 및 Security, Network 장비별 접속정보 관리 작업자는 대상장비에 대한 접속정보 인지 불가(보안정보 노출 차단) S-AGENT 통제대상 작업 COMMAND 대상장비 접근정보 노출없음 작업자 인증 지정장비(IP)만 접근가능 접근가능 목록 표시 도구선택 후 접근 PUTTY 콘솔실 작업 FileZillar 대상장비 접근 후 작업통제 Console 작업통제 도구사용 작업 통제 명령어 통제 텍스트 및 동영상 로그 Remote Desktop 전산실 방문작업 KVM

42 3. S-AGENT 작업로그 추출 및 전송 작업PC 및 S-BOOK에서 발생하는 지정된 텍스트로그 및 동영상 로그 추출
추출된 텍스트 및 동영상 로그는 보안파티션 보관 후 서버전송 작업로그는 관리자 지정 작업번호를 기반으로 추출 및 저장 추출로그에 대하여 관리자모드 접근 시 관리자 수동 확인 기능 제공 텍스트 및 동영상 로그 시간 기준의 동영상과 텍스트로그의 조합으로 강력한 로그분석 접속 이외의 작업자의 행위에 대해서도 분석하여 추가적인 감사자료 확보

43 4. S-BOOK S-BOOK 주요사양 S-AGENT가 기본 탑재되어 공급되는 전산실 방문작업 전용노트북으로 S-AGENT의 안정적인 동작을 위하여 사전에 설치 및 Tuning 완료제품 전산실에 비치되어 작업자의 방문 시 관리자의 작업승인에 의하여 S-TOKEN과 함께 불출되고 작업완료 후 회수처리 HW사양 및 적용 SW S-BOOK 기준사양서 CPU: Intel® Core™ i5 Processor Memory: 4GB DDR3 HDD: 1TB S-ATAⅡ Hard Drive ODD: Super Multi Dual Layer Display: 14” / Intel® HD Graphics 4000 Bluetooth V4.0 / Gigabit Ethernet [10/100/1000] / WiFi Port: 1 VGA / 1 HDMI / 3 USB2.0 / 1 DC-in Accessary: 키보드 / 터치패드 Windows® 7 Professional (32-bit) S-AGENT 및 보안파티션 탑재 하드웨어 1년 무상보증 소프트웨어 별도 계약 보증 SDAC MGMT S-BOOK 고유식별번호 등록 보안파티션 생성 및 적용 S-BOOK S-TOKEN

44 V 운용방안 콘솔실 운용 전산실 직접방문 운용 원격접근제어 병행운용

45 1. 콘솔실 운영 1 2 3 4 콘솔실 PC단말기를 통한 직접접근제어시스템 운용
콘솔실 내 PC에 S-AGENT 설치 및 설치 시 PC식별정보 SDAC MGMT 등록 S-AGENT는 연결 S-TOKEN 저장 정책에 따른 장비접속 및 보안통제 S-AGENT 기동에서 종료까지 텍스트 및 동영상 로그기록 관리정책에 따라서 S-TOKEN을 작업자 계정으로 대체 가능 1 작업신청 대상장비/작업목적/작업시간/작업환경 등 콘솔실 작업자 … 정보시스템 2 작업승인 대상장비 접속정보 등록(IP/ID/Password 등) 작업통제정책등록(명령어통제 등) 콘솔실 관리자 3 S-TOKEN 불출 작업자 및 승인작업정보 등록 SDAC MGMT 4 작업수행 S-TOKEN연결 후 S-AGENT를 통한 대상장비 접속 지정된 보안환경에서의 작업수행 KVM

46 2. 직접방문 운용 1 2 3 4 전산실 내부 직접방문 시 직접접근제어시스템 운용
작업승인 시 수립된 보안정책에 의한 직접 방문작업 통제 직접방문 작업 전용 노트북을 통한 작업환경 통제 및 로그추출 1 작업신청 대상장비/작업목적/작업시간/작업환경 등 필요 시 적용 업무관리/전자결제 방문작업사전 신청 작업번호지정 관리자 승인 보안정책 지정 전산실 방문작업자 유지보수 담당자 외주협력사직원 운영자 SDAC MGMT 정보시스템 2 관리자승인 작업신청 승인 작업번호 지정 보안정책 지정 3 전산실 출입요청 관리자 확인 S-TOKEN불출 S-BOOK 불출 4 전산실 방문작업 S-BOOK 케이블 연결 S-TOKEN을 통한 작업자인증 관리자 지정정책 적용 명령어 입력 등 작업통제 작업내역 텍스트 및 동영상 기록

47 3. 원격접근제어 병행운용 기존 원격접근제어 정책서버와의 병행운용 . 1 2 . 3 원격작업그룹 정보시스템 직접작업그룹
GATEWAY 원격접근제어 정책서버 대상장비 식별정보(닉네임, IP등) 대상장비 접근정보(ID/암호 등) 사용자/그룹 인사정보/권한 정보 작업승인 / 작업통제 정보 / 로그 등 . 1 원격직접 서버간 정책 연동 원격접근제어 수립정책 적용 작업자/그룹 정보적용 대상장비 접근제어 정책적용 직접작업그룹 SDAC MGMT 2 직접접근제어 정책 적용 콘솔실 작업정책 전산실 직접방문 작업정책 업무관리 및 로그관리 정책 등 . 3 전산실 방문작업 S-BOOK 케이블 연결 S-TOKEN을 통한 작업자인증

48 VI 기대효과 기대효과 효과사례

49 1. 기대효과 직접접근통제 시스템 도입을 통한 기대효과
기존 접근제어 시스템이 해결하지 못하는 전산/서버실 직접 방문 작업에 대한 보안대책 구비 통합적인 전산/서버실 출입관리 분석 및 작업내역 분석 관리자가 지정한 서버/네트워크 장비에만 유지보수 작업가능(임의적 타장비 접속불가) 서버/네트워크 장비의 암호노출 없이 유지보수 작업진행 가능 시스템 장애로 인한 손실제거로 시스템 가용성 증대로 인한 시스템 유지비용의 절감 작업시간 통제로 작업시간 지연 시 발생하는 기회손실 최소화 보안사고 발생 시 강력한 증거자료를 제시할 수 있는 보안감사 및 상세한 통제제공 개발소스, 개인정보, 산업정보 등의 자료 유출에 대한 경각심 강화 Human Error 인한 피해방지 및 장애발생 신속한 원인추적 및 복구가능 명령어 분석 및 동영상 분석을 통한 직관이고 신속한 추적기능

50 2. 효과사례 실제도입을 통해 실현된 효과분석 휴먼에러 방지에 따른 서버/네트워크 장비의 장애 발생 최소화
접속대상 장비통제 및 명령어 분석을 통한 장비의 가용성 향상 장애발생 시 복구방안 효과적 제시로 복구소요시간 최소화 작업별 작업시간로그, 프로그램 실행로그, 명령어 로그 등을 통하여 원인추적시간 최소화 개발소스 및 자료유출 차단 및 경각심 강화 지정된 포트 및 매체만 사용토록 통제하여 임의적인 자료복사 차단 및 사용화면 실시간 동영상 작업시간 준수 및 작업품질 향상 작업시간 지정 및 통제하고 모든 작업을 기록하여 작업자의 경각심 고취로 작업손실 미연방지 관리자의 전산/서버실 출입관리 및 작업관리 업무 전산화 정확한 출입관리 및 강력한 보안기능으로 실제적이고 효율적인 접속관리시스템 운용

51 VII 구축사례 G통합센터 K공공기관 M연구원 I공사

52 G통합센터 원격접근제어시스템과 병행 사용토록 구축한 접근제어 1 2 5 3 4
정부 부처, 기관 및 단체의 정보시스템을 통합 관리하는 전산센터 nTOPS연동 및 센터 내 1,500여대 서버 및 장비에 대한 직접접근제어시스템 구축/적용 2013년 5월 1일자 직접접근제어 정책 표준으로 각급 기관에 공문전달 작업승인내역전송 작업인증서버 1 직접접근제어 관리자 작업별 통제정책 지정 사용포트/미디어통제 사용장비지정 SDAC MGMT 2 작업장비 불출 작업자 전산실 방문작업 요청 S-TOKENS-BOOK 작업장비 상호식별정보 지정 작업자 식별정보 저장 작업대상 및 관련접속정보 지정 명령어통제/로그 등 정책 지정 제어/저장서버 5 작업내역 로그저장 정보시스템 3 장비수령 및 작업개시 전산실 방문 후 직접접속 작업 4 작업장비 반납/회수 작업내역 기록 텍스트 및 동영상 로그 추출 전산실 방문작업자

53 K공공기관 2 1 3 4 사원 신분증을 이용한 PC단말기 및 정보시스템 접근제어
사용자 단말기 인증 시 운영자권한 할당 후 정보시스템 접근 권한 확인 및 부여 스마트카드 인증방식으로 사원 신분증을 통하여 PC단말기 인증 과 정보시스템 접근인증 수행 콘솔실 작업 운영과 직접방문 운영 통합관리 업무망 SDAC MGMT 일반사용자… … 운영자 PC로그인 2 전산실 정보시스템 로그인 시도 운영자 인증 작업승인여부 확인 접속정보전달 작업환경 통제전달 로그수집정책 전달 단말PC 로그인 시 사원 신분증 스마트카드 인증 및 사용자/운영자 권한 부여 1 관제망 일반사용자… … 운영자 PC로그인 접속정보전달 작업통제 정책전달 로그수집정책 전달 3 S-AGENT 4 지정장비 접속 및 작업 명령어/매체통제 로그수집

54 M연구원 소규모 전산실 환경을 위한 간소화된 접근제어 기관의 특성상 보유 정보시스템이 소수이고 작업빈도 낮은 운영환경
별도 콘솔실이 없는 환경으로 관리자 PC에 직접 S-AGENT를 설치하여 접속환경 구축 전산실 직접방문에 대비한 간소화된 관리절차 제공 관리자 지정사용자 S-AGENT 설치 사무실 업무환경 관리자 사전승인 S-TOKEN 불출/보관 필요 시 콘솔접속 접속/명령어 통제 로그추출 전산실 통제정책적용·로그수집 SDAC MGMT 통제정책적용·로그수집 관리자 자체관리 보안노트북 직접관리 접속 시 로그관리 관리자 S-AGENT 설치 S-BOOK 자체관리

55 I공사 다수의 네트워크망과 외주/협력사 상주 환경을 위한 접근제어 … … … … … …
PC, 노트북, 서버 등 전산장비 관리시스템과 연계한 직접접근제어시스템 구축 내부 PC, 노트북 등의 전산장비의 사용권한과 반출관리 시스템 구축 내부 전산장비 중 직접접근제어에 사용할 수 있는 전산장비 별도 등록 외주개발자, 협력사 직원 장비의 경우, S-AGENT 설치 후 서버작업 가능토록 통제 SDAC MGMT 외주개발자 SERVERFARM … … 영역별 PC 및 사용자 등록 영역별 접근가능 서버정보 등록 서버접근 시 사용자 인증수행 사용자/그룹별 작업권한 등록 명령어 및 프로그램 실행 통제정책 등록 협력사직원 … … 내부직원 … … S-AGENT를 통한 정보시스템 접근 외부개발자/협력사직원/내부직원 등의 영역구분에 따라 접근 가능한 대상서버 구분 서버접근 인증프로그램을 통하여 인증 후 접근가능 인증 시 명령어/프로그램 등의 통제 정책 적용 작업내역에 대한 텍스트 및 동영상로그 기록

56 THANK YOU! ㈜비젯 본사 지사 서울시 강서구 가양동 한화비즈메트로 2차 912호 전화: 02-6957-1930
메일: 지사 대전시 유성구 북유성대로 303 뉴타운프라자 7층 전화: 메일: