Download presentation
Presentation is loading. Please wait.
1
정보보안, 어떻게 할 것인가? Contents Security of Network 안철수연구소 백건우
2
차 례 왜 정보보안이 필요한가? 기업 정보보안의 현실 정보보안에 관한 오해 정보보안에 관한 진실 정보보안의 정의
정보보안의 기본 목표 정보보안의 범위 정보보안의 유형 컴퓨터 윤리 10계명 기업 정보보안의 현실 기업 환경의 변화 정보보안의 위험 정보보안 사고의 영향 정보보안 관리 유형
3
차 례 3. 정보보안의 이해 4. 정보보안의 개선 정보보안의 Lifecycle 정보보안의 어려움 정보보안의 권고사항
3. 정보보안의 이해 정보보안의 Lifecycle 정보보안의 어려움 정보보안의 권고사항 정보보안의 대상 정보보안의 위험 관리 정보보안의 BS7799 지침 정보보안의 일반적인 유형 4. 정보보안의 개선 정보보안 시스템의 개요 정보보안을 개선하기 위한 방법 정보보안에 대한 OECD의 지침 물리적 보안 정보보안의 성공 정책
4
차 례 5. 클라이언트 보안의 중요성 무선 인터넷 보안 보안 통합 관리 클라이언트 보안의 중요성
5. 클라이언트 보안의 중요성 클라이언트 보안의 중요성 클라이언트 정보보안의 침해 유형 클라이언트 보안의 취약점 내부자에 의한 클라이언트 정보 유출 클라이언트 보안제품 검토 및 고려 사항 클라이언트 보안 솔루션 종류 무선 인터넷 보안 무선 인터넷 개요 무선 인터넷 서비스 보안 통합 관리 보안 통합 관리체제 구축 전문 업체를 활용한 보안 위탁 관리
5
왜 정보보안이 필요한가? 정보보안에 관한 오해 정보보안에 관한 진실 정보보안의 정의 정보보안의 기본 목표 정보보안의 범위
정보보안의 유형 컴퓨터 윤리 10계명
7
Win32/Nimda 바이러스의 충격 감염 시스템 : Windows95,98,ME,NT,2000
감염 경로 : , 공유 네트워크, IIS 서버 특징 : 자기 복제를 통한 매우 빠른 전파 속도 나비다드, 코드레드보다 40%이상 빠른 속도 피해 상황 : 220만대의 서버와 컴퓨터 감염, 30억 달러 손해 바이러스 백신 기술만으로는 해결할 수 없는 문제 서버, 네트워크, 시스템, 클라이언트를 통합하는 보안 솔루션 위험에 대비하는 보안 정책
8
정보보안에 관한 오해 기술 문제이므로 IT담당부서에서 알아서 진행하면 된다. 담당자가 알아서 하면 충분하다.
전문가 한 두 명을 고용하면 된다. 많은 보안 솔루션 가운데서 적당한 것을 선택하면 된다. 통제 요소가 늘어나 짜증난다. 예기치 못한 일이 많아 골치 아프다. 시스템 및 네트워크 성능이 저하되어 업무 효율이 떨어진다. 관리할 암호 및 보안 요소가 늘어 머리가 아프다. 별다른 권한은 없고 보안 사고가 나면 책임만 무겁다. 열심히 일해도 별로 티가 나지 않는다.
9
정보보안에 관한 진실 사람 및 정책에 관한 관리적 요소가 더 중요하다. 전사적 협조 및 참여가 없으면 무용지물이다.
경영진의 보안 의식이 필요하다.(경영진의 암호는 비서가 다 알고 있다?) 보안 관련 조직에는 권한을, 담당자에게는 사명감과 책임감을 부여해야 한다. 정보보안 의식 고취에 앞장서서 지속적으로 독려한다. 정보보안에 대한 의식 및 행동이 뒤따라야 한다. 데이터 보안에 대한 중요성을 공감해야 한다. 중요한 정보는 반드시 지켜야 한다. 정기적인 보안 교육과 제도가 필요하다.
10
정보보안의 정의 일반적 정의 법적 정의 학술적 정의
정보보안이란 시스템이나 전자적 형태의 정보를 처리, 저장, 전송하는 모든 단계에 걸쳐, 고의적이거나 실수에 의한 불법적 노출, 변조 및 파괴로부터 정보를 보호하고, 정당한 사용자가 쉽고 빠르게 원하는 정보에 접근할 수 있도록 하는 것을 말합니다. 법적 정의 정보화촉진기본법 제2조에 정보보안을 “정보의 수집, 가공, 저장, 검색, 송수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단을 강구하는 것” 이라고 정의하고 있습니다. 학술적 정의 정보 시스템 내부에 보관되거나 통신망을 통하여 전송되는 정보를 시스템 내,외부의 각종 위협으로부터 안전하게 보호하여 정보 시스템의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 보장하는 것이라고 정의합니다.
11
정보보안의 정의 넓은 의미 네트워크의 변형된 정의 사회의 질서와 안녕을 보호하는 행위
보안해야 할 가치가 있는 정보(Good Information)가 기밀성/통제성/무결성/확실성/가용성을 갖도록 유지하는 행위.
12
기밀성(Confidentiality)
정보보안의 기본 목표 기밀성(Confidentiality) 정보에 대해서 소유자의 인가를 받은 사람만이 접근할 수 있어야 한다. 인가되지 않은 사람은 정보가 있는 곳에 물리적·논리적으로 접근할 수 없도록 해야 하며 접근할 수 있었다고 하더라도 정보를 해독할 수 없어야 한다. 무결성(Integrity) 정보의 변경 권한을 가진 사람이 정해진 절차에 따라서만 이를 진행할 수 있어야 한다. 고의적인 접근에 대처하는 것뿐 아니라 비의도적인 정보손실이나 자연재해 등도 고려해야 한다. 가용성(Availability) 적절한 권한과 방법을 사용해서 접근한 사람은 언제나 정보를 사용할 수 있어야 한다. 정보를 관리하고 제공하는 방법에 있어 안정성과 안전성을 유지해야 한다.
13
1 2 3 4 5 6 기밀성(Confidentiality) 무결성(Integrity) 가용성(Availability)
정보보안의 기본 목표 1 기밀성(Confidentiality) 2 무결성(Integrity) 3 가용성(Availability) 4 확실성/인증(Authenticity) 5 통제성(Control) 6 부인봉쇄(Non repudiation)
14
정보보안의 범위 클라이언트 보안 서버 시스템 네트워크 어플리케이션 보안 물리적 보안 기술적 보안 보안 운영 관리/ 평가
15
정보 보안 정보보안의 유형 네트워크 보안 방화벽 침입탐지 Bandwidth VPN 관리적 보안 통합 보안 관리 인적 자원 관리
물리적 장비 관리 물리적 보안 네트워크 전산 장비 재해 예방 데이터 보안 암호 백신 백업/복구 정보 보안 전자상거래 보안 암호화 PKI SET, SSL 시스템 보안 서버, PC보안 SSL OTP
16
컴퓨터 윤리 십계명 컴퓨터를 사용하여 다른 사람들에게 피해를 주지 말 것. 다른 사람들의 컴퓨터 작업을 방해하지 말 것.
다른 사람들의 컴퓨터 파일에 기웃거리지 말 것. 컴퓨터를 사용하여 도둑질하지 말 것. 컴퓨터를 사용하여 거짓된 증언을 하지 말 것. 소유권 있는(proprietary) 소프트웨어를 대가를 지불하지 않고 복사하거나 사 용하지 말 것. 인가나 타당한 보상 없이 다른 사람들의 컴퓨터 자원을 사용하지 말 것. 다른 사람들의 지적 산출물을 도용하지 말 것. 자신이 작성하는 프로그램이나 설계하는 시스템의 사회적 중요성에 대해 생각 할 것. 같은 인간들에 대한 고려와 존중을 보장하는 방향으로 컴퓨터를 사용할 것.
17
2. 기업 정보보안의 현실 기업 환경의 변화 정보보안의 위험 정보보안 사고의 영향 정보보안 관리 유형
18
2001.6 현재 전 세계 인터넷 사용자는 4억2천900 만 명. 기업 환경의 변화 인터넷 인구의 폭발적인 증가
(출처:닐슨-넷레이팅스) 2005년에는 10억(15%) 인구가 인터넷을 이용할 것으로 예상함. (출처:IDC, ) 한국의 인터넷 사용 현황 - 인터넷 사용자 수 : 2,100만명(출처:KRNIC ) - 초고속 인터넷 가입자 수 : 590만 가구(41%) (출처:정보통신부, 작성:inews24.com, )
19
기업 환경의 변화 인터넷을 통한 상거래 증가 2000년 3,354억 달러 규모인 인터넷 커머스 비용이 2005년까지 연 평균 70%씩 성장하여 2005년에 이르면 무려 5조 억 달러로 전망. (출처:IDC, ) 웹상에서 인터넷 사용자의 약 5명중 3명은 구입단계까지 함.-한국 (출처:닐슨-넷레이팅스) 인터넷 뱅킹 사용자 수 : 530만 명 (2001년 3월 기준)
20
정보보안의 위험 국내 해킹 동향 해킹 피해 현황-2001년 5월 현재 자료 : 코코넛
21
정보보안의 위험 국내 해킹 동향 해킹 피해 기관 현황-2001년 5월 현재 구 분 사고기관 기관 수 비율(%) 대학(ac)
95 14.4 기업(co) 348 52.9 비영리(or) 13 2 연구소(re) 3 0.5 지역 16 2.4 기타 183 27.8 합계 658 100
22
정보보안의 위험 국내 해킹 동향 해킹 피해 기관 현황-2001년 5월 현재 운영체제 피해건수 Linux 140 Solaris
51 Windows 9x 74 Windows NT/2000 85 HP-UX DEC/IRIX 1 CISCO AIX N/A 306 Total 664
23
정보보안의 위험 최근 해킹 기법 추세
24
정보보안의 위험 국내 해킹 동향 최근 해킹 기법의 성향 분산화 에이전트화 대규모화 자동화 해킹 기법 임의화
25
정보보안 사고의 영향 직접적인 손실 도난 생산성 저하 금품(Money)
거래 정보와 기업 정보(Trade secrets and company information) 컨텐츠(Digital asset) 고객 정보(Consumer information) 프로그램 리소스(Computer resources) 생산성 저하 데이터 오염(Corruption of data) 재원의 전용(Diversion of funds) 작업 지속성 복구(Recovery and continuity expenses)
26
정보보안 사고의 영향 간접적인 손실 2차적인 손실 법적인 문제
잠재 고객(판매)의 손실(Loss of potential sales) 유리한 경쟁의 손실(Loss of competitive advantage) 기업(브랜드)의 부정적 이미지(Negative brand impact) 단골 고객 손실(Loss of goodwill) 법적인 문제 계약자와의 문제(Failure to meet contracts) 개인정보 보호 문제(Failure to meet privacy regulations) 불법적인 사용자 활동(Illegal user activity)
27
정보보안 사고의 영향 STOP 보안 사고 발생 대외 경쟁력 약화 기업 전산망 장애 기업 대외 신인도 추락 잠재 고객 확보 곤란
기업 비밀 유출/파괴 투자비용 손실 기업의 이윤 감소 주가 하락 STOP
28
정보보안 사고의 영향 STOP 보안 사고 발생 법적 분쟁 발생 경쟁사의 반사 이익 매출 감소및 원가 증가 사업 확장의 걸림돌
기존 고객의 이탈 기업의 부정적 이미지 확산 기업의 경쟁력 약화 STOP
29
관리적 보안 정보보안 관리 유형 보안 정책 보안 지침 보안 절차 보안 조직
보안 관리를 위한 관리 방향을 제시하고 정보에 대한 보호를 지원하기 위해서 절대적으로 필요한 요소 보안 지침 보안 정책에 근거하여 각 부서별, 담당자별로 지켜야 할 준수사항 보안정책 보안지침 보안절차 보안조직 보안 절차 보안 지침에 의거한 보안의 적용에 대한 표준화된 순서 보안 조직 보안 정책에 의해서 보안을 관리할 조직 구성하고 보안 사고가 발생할 경우, 신속하게 대응
30
물리적 보안 정보보안 관리 유형 출입 통제 작업 감시 전원 대책 선로 대책
정보처리시설이 위치하는 건물 자체와 건물의 출입구, 출입구 이외의 접근 경로 등을 모두 고려 작업 감시 내부자나 출입통제를 통과한 외부인으로부터 시스템 및 정보를 보호 전원 대책 예기치 못한 정전이나 화재 등으로 전원이 끊겨 일어날 수 있는 네트웍의 마비나 정보의 소실등에 대비 선로 대책 정보의 이동 통로인 네트웍선의 안정성 유지
31
기술적 보안 정보보안 관리 유형 네트웍 보안 서버 보안 PC 보안 통합 관리
비밀성과 무결성이 보장되고 유지되는 가운데 가용성이 극대화되도록 고려 서버 보안 정보시스템의 기본이 되는 시스템 소프트웨어의 손상이나 침해 사고 방지 PC 보안 내부자의 의도적 또는 실수로 인한 정보의 유출 및 시스템 손상 방지 통합 관리 네트웍 시스템의 증가 및 사용자의 증가로 인한 취약점을 고려하여 적절한 보안 대책 수립
32
3. 정보보안의 이해 정보보안의 Lifecycle 정보보안의 어려움 정보보안의 권고사항 정보보안의 대상 정보보안의 위험 관리
3. 정보보안의 이해 정보보안의 Lifecycle 정보보안의 어려움 정보보안의 권고사항 정보보안의 대상 정보보안의 위험 관리 정보보안의 BS7799 지침 정보보안의 일반적인 유형
33
정보보안의 Life Cycle 기밀성 무결성 가용성 정보 보안
보안 사고를 예방하고, 사고로 인한 피해를 최소화하기 위해서는 위험을 분석, 대책 마련 및 적용, 지속적인 유지관리, 감사의 과정을 통하여 보완되어야 합니다. 기밀성 정보 보안 중요 정보 자산의 안전한 관리 저장된 정보 자산에 대한 신뢰성 확보 무결성 가용성 정보자원에 대한 내/외부 인가자 원활한 접근
34
정보보안의 어려움 보안 솔루션의 복잡성 기본적인 보안 지식 및 시스템별 상세 지식이 필요함.
지속적인 보안 관련 취약점이 나타남. 지속적인 소프트웨어 버그가 발생함. 다양하고 지능적인 해킹에 대응하기 위해 솔루션이 복잡해짐. 솔루션간 상호 연관 관계 이해가 필요함. 솔루션의 표준화 수준이 미비함.
35
정보보안의 어려움 최고 경영자 의지 부족 보안 전담 인력/조직 체계 미흡 정보 보안은 최고 경영자의 강력한 의지로부터 시작됨.
(Top-Down) 최고 경영자의 보안 마인드 부족 사고 발생 후, 대응 방안에 대한 지시 보안 전담 인력/조직 체계 미흡 보안 책임을 맡는 담당 임원이 없음. 담당자는 지속적이고 집중적인 보안 업무 수행이 어려움. 보안 관련 의사 결정, 정책 결정 및 감사를 전담하는 조직이 없음.
36
정보보안 권고사항(ITSEC) 보증 (Assurance) 확인/인증 (Identification/Authentication)
책임 추적성 (Accountability/Audit Trail) 접근통제 (Access Control) 객체 재사용 (Object Reuse) 정확성 (Accuracy) 서비스 신뢰성 (Reliability of Service)
37
정보보안의 대상 보 어플리케이션 보안 위 안 험 운 분 영 석 자산 네 기 관 물 트 술 및 리 리 워 적 / 적 크 보 관
보안이란 재해, 불법행위 등 각종 위험요소로부터 보안 대상을 안전하게 보호하기 위하여 물리적, 관리적 보안 뿐만 아니라 시스템보안, 어플리케이션 보안, 네트워크 보안 등 기술적 보안 요소를 포함합니다. 보 안 운 영 관 리 / 평 가 위 험 분 석 및 관 리 취약성 위협 자산 어플리케이션 보안 기 술 적 보 안 물 리 적 보 안 정보 자산 기밀성 가용성 무결성 네 트 워 크 보 안 시스템/PC 보안
38
상호보완적 관계 정보보안의 위험관리 자산 분석 보안대책 수립 물리적 위험 도출 관리적 기술적 위협 요소 취약성 식별 위험 분석
위험 분석은 정보 자산의 분류, 위협요소의 도출, 취약성 식별의 조합을 통해 위험을 도출하는 과정이며, 도출된 위험에 따라 보안 대책을 수집하고 감수할 수 있는 수준으로 위험을 유지하는 것이 위험 관리 입니다. 자산 분석 위험 도출 보안대책 수립 물리적 관리적 기술적 위협 요소 취약성 식별 상호보완적 관계 위험 분석 보안 대책의 수립하기 위한 기초적인 정보 제공 위험 관리 보안 대책을 수립 및 유지 관리
39
Potential Impact on Business
정보보안의 위험관리 위협 취약성 위험 보안요구사항 자산가치 자산 통제 exploit increase expose Protect against reduce met by indicate have Potential Impact on Business
40
조직 간에 교환되는 정보의 손실/변형/오용 방지
정보보안의 통신 및 운영 관리(BS7799) 운영 절차와 책임 시스템 계획 수립 및 수용 유해 소프트웨어 대응 백업 및 복구 네트워크 관리 미디어 취급 및 보안 정보 및 소프트웨어의 교환 통신 및 운영 관리 대책 정보처리 시설의 정확하고 안전한 작동 시스템 장애 최소화 소프트웨어와 정보의 안전 보장 정보처리와 통신 서비스의 무결성과 유용성 네트워크의 정보 및 지원 인프라 보존 자산 피해 및 비즈니스 활동 방해 방지 조직 간에 교환되는 정보의 손실/변형/오용 방지 통신 및 운영 관리 대책
41
정보보안의 접근 관리(BS7799) 접근 통제 접근 통제 접근 제어 정책 및 규칙 사용자 접근 관리 사용자 책임 범위
네트워크 접근 통제 운영 시스템 접근 통제 응용 프로그램 접근 통제 접근 및 사용 모니터링 이동 컴퓨터 및 텔레워킹 접근 통제 비즈니스 필요 요건에 의한 접근 관리 비인가 접근 방지 패스워드 사용과 사용자 장치 보안에 대한 숙지로 비인가 사용자 접근 제어 네트워크 서비스 보호 운영시스템의 접근자 식별을 통한 접근 제한 비 인가된 접근으로부터 응용시스템 보호 비 인가된 행위에 대한 탐지 특수한 작업 환경에서 발생 가능한 위험 최소화 접근 통제
42
정보보안의 시스템 개발 및 유지(BS7799) 시스템 개발 및 유지 보수대책 시스템 개발 및 유지 보수대책
보안 요건 분석 및 정의 응용 시스템 내의 보안 암호 기법 통제 시스템 파일 보안 개발 및 지원 절차 상의 보안 시스템 개발 및 유지 보수대책 통제의 필요성 규정 응용 시스템의 손실/변경/오용 방지 기밀성, 인증, 무결성 보장 IT 프로젝트와 자원 활동에 대한 보증 응용 소프트웨어 보안 유지 및 개발 지원 환경 보안 시스템 개발 및 유지 보수대책
43
정보보안의 Wooden Tub Model 전사 보안 수준 Wooden Tub Model
조직의 보안은 각 분야의 유기적인 협조와 노력에 의해 지켜질 수 있으며, 한 분야의 취약점은 조직 전체의 보안 수준을 저하시킬 수 있습니다. 컴퓨터 및 네트워크 관리 시스템 접근 제어 개발 및 유지보수 업무 복구 계획 1 2 3 4 5 6 7 8 9 10 전사 보안 수준 보안준수 보안정책 보안조직 인사보안 정보자산 분류 및 통제 물리 환경보안 Level 4: 좋은 것이 있다/잘 되고 있다 Level3: 일단은 있다/되고있는 편이다 Level 2: 불충분하다/조금은 되고있다 2 3 4 5 6 7 8 9 10 1 Level 1: 거의 없는 것과 마찬가지다/ 거의 안되고 있다 Level 0: 없다/전혀 안되고 있다 Wooden Tub Model
44
정보보안의 일반적인 유형 악의를 가진 사용자 DMZ 보안 관리자 필요 기업 내부 네트웍 인터넷 침입탐지 시스템 서버보안제품
Mail DNS DB DMZ 기업 내부 네트웍 MIS PC 악의를 가진 사용자 방화벽 침입탐지 시스템 바이러스 백신제품 라우터 ACLs 서버보안제품 인터넷 보안 관리자 필요 보안 관리자 필요 Web
45
정보보안의 일반적인 유형 보안 관리 업무가 제대로 수행되지 않는 경우
방화벽, IDS, Application Server 관리자, Virus 등 솔루션이 복잡함 보안 솔루션별로 보안 관리 담당자가 필요하며, 담당자의 기술 수준 낮음. 방화벽의 통제 정책 관리 미비 주기적인 룰 감사가 미비 방화벽 로그의 주기적 점검 미비 적절한 보안 패치 미비 침입탐지시스템의 실시간 모니터링 정책 미비 24*365 실시간 모니터링 미비 새로운 해킹 유형 업 데이트 미비 IDS 알람/로그의 전문성 부족 사내 바이러스 현황 파악 불가 보안 사고 시 전문적인 대응 방안 미비 주기적인 보안 감`사(최소한의 취약점 점검) 부족
46
4. 정보보안의 개선 정보보안 시스템의 개요 정보보안을 개선하기 위한 방법 정보보안-아래에서 위로 접근
4. 정보보안의 개선 정보보안 시스템의 개요 정보보안을 개선하기 위한 방법 정보보안-아래에서 위로 접근 정보보안-위에서 아래로 접근 정보보안에 대한 OECD의 지침 물리적 보안 정보보안의 성공 정책
47
침입차단시스템(Firewall) Firewall System 안전하지 않은 인터넷으로부터 내부 네트워크 보호
내/외부 서비스를 중계하는 게이트웨이 트래픽을 차단하는 필터링 게이트웨이가 있는 중간지역(DMZ) 정보보안의 기본 솔루션 해킹 툴에 비교적 허약한 방어 시스템 침입차단 시스템 웹 서버 Internet 내부 네트워크 불법접근 침입시도
48
침입탐지시스템(IDS) 침입탐지시스템(IDS) 침입차단시스템(Firewall System)보다 향상된 성능
정보보안의 기본 솔루션 해킹 툴에 노출될 수 있는 가능성 침입차단 시스템 웹 서버 Internet 내부 네트워크 침입탐지 시스템 네트워크 모니터링
49
TCP/IP망 가상사설망(VPN) Virtual Private Network
Secure Channel through the Unsecure Internet/Intranet 비교적 안전한 데이터 전송 방법 TCP/IP망 내부 네트워크 내부서버 VPN Client 통신구간 128Bit 블록 암호 알고리즘 사용 사용자 및 장비 인증
50
정보보안을 개선하기 위한 방법 단순하게 한다. 보안이 너무 복잡하면 효과적이지도 않고 비용만 많이 든다. 일관성을 유지한다.
어떤 시스템은 아주 많이 보호되고 나머지는 모두 열려있는 것보다는 최소한의 일관된 보안수준을 유지하는 것이 더 낫다. 가능한 한 표준을 지킨다. (e.g. BSI, ITSEC, TCSEC), 그것이 시스템을 쉽게 선택하고 평가할 수 있게 해주며 기업간 표준을 제정하는 일도 더 쉬워진다. 보안 내용을 판단한다. 어떤 데이터와 프로세스를 보호해야 하는지 식별한다. 피해 수준을 판단한다. 위협을 인식하고 위협이 미칠 수 있는 영향을 판단한다. 위험을 산정하고 어떤 위험은 받아들일 수 있는 지 결정한다. 위험을 수용 가능한 수준으로 끌어내리기 위한 전략을 세우고, 구현하고, 테스트 한 후 조정한다.
51
정보보안-아래에서 위로 접근 현재 상황을 확인한다.
현재 어떤 정책, 네트웍 토폴로지, 운영절차 및 사용자 업무가 사용되고 있는지 파악한다. 취약점을 발견한다. 시스템을 직접 공격해서 서버, 네트워크, 클라이언트의 헛점을 발견한다. 보안 목록을 작성한다. 위의 두 단계에서 나온 약점들을 요약하고, 어떤 약점과 미래의 위협에 대해 방어할 것인지 짧은 목록을 만든다. 정보 정책을 정의한다 정보 정책이 없다면 정보를 분류한다. 어떤 정보가 가장 중요한지를 판단한다. 정책을 배포하고 사용자들을 교육한다. 사용자 정책을 만들어 배포하고 교육한다. 기술적 지침을 만든다. 서버, 네트워크, 클라이언트의 취약지점 확인과 안전한 설치, 유지보수를 위한 기술적 지침을 만든다. 민감한 시스템들에 대해 정기적으로 감사를 실시한다.
52
정보보안-위에서 아래로 접근 자산을 분석한다. 무엇이 보호되어야 하는가? 중요한 자산은 무엇인가?
현재의 보안 정책을 분석한다. 보안 규칙, 보안 정책, 보안 관례 등을 분석한다. 보안 목표를 설정한다. 가용성, 기밀성, 무결성 등 보안 정책에 따른 목표 설정. 위협 분석 어떤 시스템을 어떤 위협으로부터 보호할 것인지 분석한다. 영향 분석 하나의 위협, 또는 여러 복합적인 위협들이 실현되었을 때 그 영향 또는 결과 (사업에 미치는 손해)는 무엇인가?
53
정보보안-위에서 아래로 접근 위험 수준을 수치로 산정한다. 위험 = 영향 * 가능성
위험은 최소값 0(위험 없음)부터 최대값 25(극히 위험) 제약 조건 분석 기업의 통제 밖에 있는 요구 사항들을 조사한다(국가 및 국제법, 기업의 요구사항, 기업문화, 계약조건, 예산 등). 대응 전략을 결정한다. 보안의 목적을 정의한다. 대응 수단을 정의한다.(정책, 역할, 프로세스, 책임, 공정) 이 전략으로 위험을 수용 가능한 수준까지 끌어내릴 수 있는가? 비용이 너무 많이 드는가? 나머지 위험들에 대해서는 적은 비용으로 지킬 수 있는가? 그렇지 않다면 전략을 다시 짠다.
54
정보보안-위에서 아래로 접근 정보 보안 구현 정보 분류 시스템과 함께 정책과 지침을 개발한다.
보안 조직을 정의하거나 현재 조직을 수정한다. 사용자, 시스템 관리자 및 관리자들의 역할과 책임이 명확하게 정의되고 당사자들에게 인지되어야 한다. 파일럿 테스트를 진행한다. 정책과 프로세스, 조직을 결과에 따라 조정한다. 그 후 광범위하게 시스템들에 대해 보안을 적용한다. 보증 위험과 보안전략을 정기적으로 재평가한다(예 : 6개월에 한 번씩).
55
정보시스템 보호에 대한 OECD의 지침서 의무(Accountability)
정보 시스템의 소유자, 공급자, 사용자 및 기타 관련자들의 책임과 책임추적성은 명확해야 한다. 인식(Awareness) 시스템 소유자, 공급자, 사용자 및 기타 관련자들은 정보 시스템에 일괄된 보호 수준을 유지할 수 있도록 정보 시스템에 대한 지식을 쌓고 위협의 존재와 이에 대한 대책을 파악할 수 있어야만 한다. 윤리(Ethics) 정보 시스템과 정보 시스템의 보호는 모든 사람들의 권리를 기본적으로 존중하여야 한다. 다양한 규율(Multidisciplinary) 정보 시스템 보호에 대한 대책, 관행 및 절차는 모든 상반되는 고려사항, 관점 등을 제기하고 고려해야 한다. 비례(Proportionality) 보호 수준, 비용, 대책, 관행과 절차는 정보 시스템에 대한 의존도 및 가치와 잠재적인 위협의 심각성 및 발생가능성 등에 비례하여 균형 있게 제공되어야 한다.
56
정보시스템 보호에 대한 OECD의 지침서 통합(Integration)
정보 시스템의 보호를 위한 대책, 관행 절차는 완벽한 정보시스템 보호를 위하여 상호 통합되어야 되며 조직의 다른 대책, 관행, 절차와도 통합되어야 한다. 시기 적절성(Timeliness) 국가적, 국제적 차원에서 공공 부분과 민간 부분은 정보시스템 침해 사고를 사전에 방지하며 침해 사고 발생시 체계적으로 대응하기 위하여 상호 협조하에 시기 적절하게 대처하여야 한다. 재평가(Reassessment) 정보 시스템의 보호수준은 시간이 지남에 따라 정보 시스템과 요구사항이 변하므로 정기적으로 재평가되어야 한다. 정보 시스템과 그것의 보안에 대한 요구사항이 시간이 흐름에 따라 변하는 것에 따라 주기적으로 재평가 되어야 한다. 민주주의(Democracy) 정보시스템의 보호는 민주주의 사회에서 데이터 및 정보의 흐름과 합법적인 사용에 있어 그리고 양립할 수 있어야 한다.
57
물리적 보안 건물 구역을 정의한다, 예를 들어: 구역 1: 일반인에게 개방된 지역
구역 2: 일반인에게는 개방되지 않고, 직원들에게 개방된 지역 구역 3: 보호되는 지역. 신원확인을 통해서만 접근 가능하고, 접근은 엄격히 통제된다. 외부인들은 동행이 없이 접근할 수 없도록 한다. 건물은, 업무시간 중 접수 구역을 통한 접근을 위한 것 이외에는 항상 잠겨 있어야 한다. 공개된 지역에는, 방화벽을 통하지 않고는, 내부 네트웍에 접속되는 컴퓨터가 없어야 한다. 서버실은 반드시 잠겨져 있어야 하며, 가능하다면 전자 카드에 의한 접근을 이용한다.(감사목록). 민감한 컴퓨터들에 대해 Van Eck 방사선으로부터의 보호를 고려한다. 전자기적 파동으로부터의 시스템 보호를 고려한다. 서버실은 반드시 잠겨져 있어야 하며, 가능하다면 전자 카드에 의한 접근을 이용한다.(감사목록). 아주 소수의 사람들만 접근할 수 있도록 한다. 건물은 보안 인력에 의해 24 시간 x 7일 감시되어야 한다. 서버실에의 접근은 비디오로 녹화되도록 한다. 전원차단, 절도, 홍수, 폭발,지진(필요한 경우) 등의 사건에 대비하기 위한 비상계획이 있어야 한다.
58
물리적 보안 데이터의 운반 정보의(서류, 디스켓, 테이프, 컴퓨터..) 운반과 관련 대중,개인,회사 운송수단 사용에 대한 회사의 정책은 무엇인가? 디스크 플로피 및 이동 착탈식 디스크들은 종종 바이러스와 불법 소프트웨어의 원천이 된다. 이들은 또한 기밀데이터를 불법적으로 복사하는 데 사용될 수도 있다. 사용자들이 신뢰할 수 있는 네트웍 프린터, 파일서버 및 이메일을 사용할 수 있는 경우 플로피 드라이브는 거의 쓰이지 않는다. 플로피 디스크로의 데이터 복사는 피하도록 한다. 기밀 데이터는 암호화되어야 한다.
59
물리적 보안 랩탑/휴대형 컴퓨터 랩탑 하드 디스크나 개별 파일/디렉토리들을 보호(암호화)한다(표준 소프트웨어가 정의되어야 한다). 프린터 기밀 정보의 인쇄는 중역 사무실이나 접근이 제한된 방에 있는 프린터에서만 해야 한다. 컴퓨터 PC 및 워크스테이션에서는 EPROM 패스워드를 사용해야 한다. 15분 동안 사용되지 않은 화면은 자동적으로 화면잠금으로 전환되게 하고 패스워드로 보호한다. 컴퓨터 케이스는 가능하면 잠가 놓아야 한다. 매일 저녁 직원이 작업공간을 떠날 때 "책상 정리" 원칙은 많은 기업에서 시행하고 있다. 이것은 기밀 데이터를 (예를 들어) 청소용역원 등이 손에 넣을 수 없게 하고 개인 작업공간의 꼼꼼하게 관리되도록 한다. 기밀 정보는 항상 시건장치로 보호 되어야 한다. 이것은 그러나 개발부서에서는 때때로, 창조적인 사람들의 마음가짐으로 인해, 구현하기 힘든 정책이다.
60
정보보안의 성공 정책 보안 목표와 활동은 사업의 목표 및 요구사항에 기반을 두어 야 하고, 경영진에 의해 이끌어져야 한다.
최고 경영자로부터 가시적인 지원과 약속이 있어야 한다. 회사의 자산에 대한 보안 위험(위협과 취약성) 및 조직내의 보안 수준에 대해 올바른 이해가 있어야 한다. 보안은 모든 관리자와 직원들에게 효과적으로 알려야 한다. 모든 직원과 계약직원에게 보안 정책 및 표준에 대한 포괄적 인 지침이 배포되어야 한다.
61
정보보안의 성공 정책 개념 모든 주요 정보 자산에는 소유주가 있어야 한다.
소유주는 법적 규제, 비용, 회사 정책 및 사업적 요구에 따라 민감성 등급 중의 하나로 정보를 분류해야 한다. 소유주는 이 정보를 보호할 책임이 있다. 소유주는 이 데이터에 누가 접근할 수 있는지 선언해야 한다. 소유주는 이 데이터에 대해 책임이 있고 민감성에 따라 이를 직접 보호하거나 보호되도록 해야 한다. 정보의 분류 공개/미분류 정보 공개할 수 있는 데이터, 무결성과 관계 없는 데이터, 악의적인 공격에 대한 서비스 손실을 감수 할 수 있는 데이터. 내부 정보 외부 접근은 금지, 내부에서는 비교적 자유롭게 열람할 수 있는 데이터. 기밀 정보 외부는 물론, 내부에서도 인가된 사람만 접근할 수 있는 데이터. 극비 정보 극소수만 접근하는 중요 데이터. 회사에 치명적인 영향을 끼칠 수 있는 데이터.
62
정보보안의 성공 정책 직원 보안 정책 윤리 직원들이 해서는 안 되는 일에 대해 명확하게 규정하고 문서화하는 작업이 필요하다.
패스워드 정책 허용되는 패스워드 내용을 규정하고 기간, 강제 변경 등을 시행한다. 일반적인 소프트웨어 정책 소프트웨어 사용에 관한 소유와 책임을 분명히 하고 라이센스를 받지 않은 소프트웨어를 사용해서는 안 된다. 네트워크 보안기준에 따라 네트워크에 접근하는 사용자 레벨을 규정하고 업무 이외의 모뎀, 이메일 사용에 제한을 둔다. 인터넷 인터넷으로 나가는 모든 접근은, 회사 보안 정책을 준수하는 것으로 인증되고 승인된 회사 게이트웨이를 통해 나가야 한다. 랩탑 및 휴대용 컴퓨터 랩탑의 소유 및 관리 책임을 분명히 하고, 강력한 부트 패스워드와 암호화 제품을 사용한다.
63
정보보안의 성공 정책 컴퓨터 및 네트워크 정책 시스템 관리 정책
시스템 관리자는 물리적 보안, 접근 통제, 로그온 정책, 보증, 책임추적성과 감사, 서비스 신뢰도 등을 규정하고 규칙과 방법을 확인해야 한다. 네트워크 정책 식별,인증, 책임과 감사, 접근통제, 정확성, 데이터 교환, 서비스의 신뢰성, 가용성을 고려한 세부 규칙과 실행 내용을 명시해야 한다. 인터넷 방화벽 신원확인 및 인증, 책임추적성과 감사, 접근 통제, 정확성, 데이터 교환, 서비스의 신뢰성 등을 규정하고 세부 규칙과 실행 내용을 명시해야 한다. 사고 대응 절차 응급 대응팀 결성, 사고 탐지, 즉각적인 조치, 홍보/언론, 자세한 상황 분석, 데이터 및 시스템 복구, 확인 사업 연속성 계획 재난 계획과 정보 분류를 통해 중요한 업무 프로세스의 연속성 보장 전산화된 정보의 가용성 보안 위기, 재난에 대비 예방과 복구 조치에 대한 점검 및 확인
64
5. 클라이언트 보안의 중요성 클라이언트 보안의 중요성 클라이언트 정보보안의 침해 유형 클라이언트 보안의 취약점
5. 클라이언트 보안의 중요성 클라이언트 보안의 중요성 클라이언트 정보보안의 침해 유형 클라이언트 보안의 취약점 내부자에 의한 클라이언트 정보 유출 클라이언트 보안제품 검토 및 고려 사항 클라이언트 보안 솔루션 종류
65
클라이언트 취약성 증가 클라이언트 보안의 중요성 인터넷 사용 인구 급증 각종 사이버 거래의 활성화 클라이언트 작업 규모 확장
중요 데이터의 클라이언트 보관 증가 바이러스 피해 증가 클라이언트 취약성 증가
66
클라이언트 보안의 정보 침해 유형 바이러스 감염 데이터 파괴 트로이목마 서버 암호 획득 권한도용으로 비밀 열람 내부전산망 침입
PC원격제어를 통한 자료 위변조 프린터, 디스켓 등 주변 장치에 의한 자료 유출 물리적 침입 하드디스크 유출 서버 암호 획득 비밀 열람 온라인 거래 악용
67
공격의 유형 단위 : % 정보의 도난 출처 : CSI/FBI 2000 Computer Crime and Security Survey ( 책자 21 page 참조 )
68
가능한 공격자들 단위 : % 출처 : CSI/FBI 2000 Computer Crime and Security Survey ( 책자 23 page 참조 )
69
재정적인 손해 단위 : 백만 달러 서비스 거부 정보자산의 도난
출처 : CSI/FBI 2000 Computer Crime and Security Survey ( 책자 23 page 참조 )
70
사용하는 보안 기술 단위 : % 출처 : CSI/FBI 2000 Computer Crime and Security Survey ( 책자 20,21 page 참조 )
71
정보보호 상품별 시장 점유율 전망 출처 : 한국전자통신연구원(ETRI/99.8) 단위 : %
( 책자 21,22 page 참조 )
72
플로피디스크 드라이브, 프린터 이용 자료 유출 가능
클라이언트 보안의 취약점 구 분 PC 보안 현 상태 현행 PC 보안의 취약점 접근 제어 윈도 제공 아이디/패스워드 인증 플로피/Dos 부팅으로 자료 유출 가능 화면 보호기 아이디/패스워드 인증 플로피/Dos 부팅 /Reset 접근 가능 하드디스크 보호 하드 디스크 잠금 장치 하드 디스크 도난시 자료 유출 사용자 계정 관리 사용자 계정 분류 없는 상태 사용자 구분없이 중요 자료 접근 가능 파일 보호 읽기/쓰기/숨김 파일 기능 이용 복사 / 재저장 등으로 자료 접근 가능 디렉터리 보호 보호 정책 없음 전체 디렉터리의 파괴 / 유출이 가능 주변 장치 제어 플로피디스크 드라이브, 프린터 사용 제한 없음 플로피디스크 드라이브, 프린터 이용 자료 유출 가능 사용자 감시 사용자 감시 정책 없음 비인가자 불법행위 추적 불가능 파괴 문서 관리 파일 삭제 때 휴지통에 파일 있음 파괴 자료의 복구 및 유출 가능
73
내부자에 의한 클라이언트 정보 유출 물리적 침입 데스크탑(하드 디스크) 하드디스크 유출 노트북 수리시 자료 유출 노트북 도난
디스켓 등 주변 장치에 의한 자료 유출 데스크탑(하드 디스크) 노트북 수리시 자료 유출 노트북 도난 비인가 지역에서 사용 물리적 침입 하드디스크 유출
74
클라이언트 보안 제품 검토 및 고려 사항 설치가 쉬운가? 다수 사용자들이 쉽게 사용할 수 있어야 한다.
설치가 쉬운가? 다수 사용자들이 쉽게 사용할 수 있어야 한다. 사용이 편리한가? 사용이 용이하면서 보안성을 갖추어야 한다. 주변 기기 호환성 주변기기 변경 때 확장 적용될 수 있어야 한다. 도입 비용 설치비, 용역비 등의 추가 비용을 고려하여야 한다. 업그레이드 하드웨어, 소프트웨어의 업그레이드가 쉬워야 한다. 자료 유출 가능성 유출 가능성이 낮고 유출 시 데이터를 보호할 수 있어야 한다. 노트북 적용성 데스크탑 뿐만 아니라 노트북에도 적용할 수 있어야 한다. 알고리즘 확장성 암호화 알고리즘 변경 때 즉시 적용할 수 있어야 한다. PKI 지원 공개키 기반구조를 지원하지 않으면 매우 불편하다.
75
클라이언트 보안 솔루션 종류 안티 바이러스 프로그램 파일 암/복호화 프로그램 PC 접근 차단 솔루션
PC용 방화벽(Firewall)(침입탐지, 해킹 차단) 백업, 복구 프로그램 유해 정보 차단 프로그램 암호화 프로그램
76
6. 무선 인터넷보안 무선 인터넷 개요 무선 인터넷 서비스 무선 인터넷 보안
77
무선 인터넷 개요 개념 휴대 단말기를 이용하여 인터넷에 접속하여 인터넷 서비스를 이용하는 환경 특성
네트워크 : 유무선 통합 네트워크 환경 무선 구간 접속 방법: Low Bandwidth, High Error Rate 프로토콜 스택 단말 : 휴대 이동 단말을 이용 사용자 특성 : 웹 네비게이션 보다는 단문 메시지 사용 디스플레이 크기 : 컨텐트 표현 방법의 수정이 필요 처리 능력, 전지 수명을 고려한 서비스 기획
78
무선 인터넷 개요 Wireless Network Wired Network 무선 인터넷 환경 금융망 Internet
HLR/AC VLR MC VMS 전자화폐서비스 WAP g/w 은행 기업 Web server 금융망 WML server BTS IWF MSC BSC IS-95B TCP/IP Traffic Weather Server Internet Cyber society 무선 인터넷 사업자 영역
79
WAP ME(Mobile Explorer) I-Mode 무선 인터넷 개요 무선 인터넷 솔루션 개발주도업체 주요 기술 시장 현황
Nokia Ericsson Phone.com Microsoft Qualcomm NTT Docomo 주요 기술 WML/WSP/WTP/WDP Gateway Model HTML/HTTP/TCP/IP E2E communication C-HTML/HTTP/TCP/IP 시장 현황 600여 회원사 90% 이상의 단말 시장 확보 1억 이상의 가입자 Stinger로 upgrade될 전망 WAP 규격 수용 1월 현재 1800만 가입자 특징 사실상의 산업체 표준 SKT, STI, LGIC 규격 재정립 시도(WAP2) KTF, KT M.com 미국 시장 진입 시도
80
무선 인터넷 개요 WAP 모델
81
무선 인터넷 개요 Mobile Explorer 모델
82
구분 상품 서비스 정보 B2C B2B 쇼핑 밴딩 거래 조달 게임 도박 유료 정보 광고 예매 전자화폐 뱅킹 무선 인터넷 서비스
무선 인터넷 서비스의 형태 구분 상품 서비스 정보 B2C B2B 쇼핑 밴딩 거래 조달 게임 도박 유료 정보 광고 예매 전자화폐 뱅킹
83
Electronic Bill Payment
무선 인터넷 서비스 무선 포털 서비스 (Personalized Portal) Portal Services Contents E-commerce Electronic Bill Payment Advertising Location Based Services Mobile Banking Personal Communications PDA • Handset PC Voice dialling Personal directory Personal schedule Wireless Portal Unified Messaging
84
무선 인터넷 서비스 무선 전자 인증 암호화 무선 증권 서비스 가상증권 서비스 종합주가지수 종목현재가 결재현황 매도/매수
주문 처리 모듈 주문 취소 종목 현재가 출금가능 금액 사용자 정보 조회 모듈 수익률 평가 계좌잔고 조회 투자 정보 및 시황정보 제공 모듈 종합 주가지수 현재가 조회 정보 메시지 처리 매도/매수정보 메시지 처리 기업 세부 정보 무선 보안 / 인증 종합주가지수 종목현재가 결재현황 무선 전자 인증 암호화 잔액조회
85
무선 인터넷 서비스 무선 뱅킹 서비스 무선뱅킹 서비스 계좌 조회 모듈 계좌 이체 모듈 계좌 정보 무선 보안 / 인증 계좌 이체
예금 계좌별 잔액 계좌별/ 무통장 내역 일정기간 거래 내역 계좌 이체 모듈 당/타행 계좌이체 이체 결과 조회 계좌 정보 보유 계좌 무선 보안 / 인증 계좌 이체 계좌 조회 이체 확인 무선 전자 인증 암호화
86
무선 인터넷 서비스 무선 예약/발권 서비스 영화/연극 공연 비행기 기차 무선 전자 인증 암호화 예약/발권 서비스
무선 보안 / 인증 예약/발권 리스트 조회 모듈 예약/발권 조회 모듈 가격 조회 사용자 정보 제공 모듈 시간표 조회 예약 가능한 전체 리스트 View 예약, 취소 모듈 예약 확인 조회 모듈 예약 취소 FreeSeat 정보 버스
87
무선 인터넷 보안 무선사업자 은행 증권회사 등 사용자 공인인증기관 WAP G/W RA Directory 인증서버 컨텐츠 사업자
(ME용 X509 CA) (WAP용 X509 CA) (WAP용 WTLS CA) 컨텐츠 사업자 WAP단말기 ME단말기 Web Server 무선 PKI 구성
88
무선 인터넷 보안 RA WAP/ME 사용자 인증서 발급 무선사업자, 은행, 증권회사 등 사용자 CA Directory
공인인증기관 4. 인증서 요청(ID/PW) 1. 가입시 신원확인 및 등록 6. 사용자 등록 9. 인증서 요청응답(URL) 10. 인증서 요청응답(URL) 7. 인증서 요청 단말기 대리점 2. Onetime passwd, ID 부여 무선 사업자 가입자정보 DB 5. ID/PW 확인 3. 정보전달 8. 인증서 발급 & 게시
89
무선 인터넷 보안 클라이언트 부인봉쇄 웹서버 WIM 전자서명 기술 : 부인봉쇄 서비스 WMLScript Function
WMLScript Crypto library Signedstring = Crypto.signText(stringTosign,option,keyIDtype,keyID) 클라이언트 WMLScript Function (Crypto.signText) 구매신청서 서명용 비밀키 전자서명된 문서 (WAP signedcontent) WAP 게이트웨이 웹서버 부인봉쇄 서명검증 WIM -비밀키 보관 - 서명 계산 Signed data (PKCS#7 포맷)
90
7. 보안 통합 관리 보안 통합 관리체제 구축 전문 업체를 활용한 보안 위탁 관리
91
보안 통합 관리체계 구축 판단 분석 통보 통합 통합관제 Server 보안 통합 관리 개념도 Security Analysts
Intelligence Service Agreement 운영/관리자 Knowledge Management 분석 통보 Security Analysts Diary Pager Phone Customer Site Info 통합 통합관제 Server Engineering IDS Router Firewall Server Log Server
92
보안 통합 관리체계 구축 보안 통합 관리 시스템 구성 요소 구성 요소별 기능 설명 통합 보안 관제 센터 고객 사이트 메인 및
통합 로그 서버 (Log 분석 엔진) 통합 관제 메인 서버 Console Web Browser Other Viewers DBMS 고객 사이트 통합 관제 사이트 서버 Agent Router Firewall IDS Servers Scanner 메인 및 사이트 서버 Agent가 보낸 정보를 수집, 분석 및 처리함. Agent를 모니터링, 분석 및 통제함. 다양한 콘솔 제공 및 분석 리포트를 제공함. 통합 로그 서버 Event 통합 관리 메인 및 사이트 서버의 Control 정보 반영 보안장비의 Log file 백업 및 분석 보안 로그 분석 결과에 대한 저장 각종 보안장비, 서버, 네트웍 장비에 설치 설정된 로그 정보를 실시간 전송 메인 및 사이트 서버는 동일한 서버이며, 시스템 구성상의 위치에 따른 구분임.
93
보안 통합 운영 동일 형태의 정기적인 레포트 제공 보안 관리 비용 절감 보안 사고 대응 능력 향상 운영 인력 감소
보안 통합 관리체계 구축 보안 통합 운영의 장점 동일 형태의 정기적인 레포트 제공 보안 관리 비용 절감 보안 통합 운영 보안 사고 대응 능력 향상 운영 인력 감소
94
Process 보안 운영 Infra 보안 전문 인력/조직 보안 운영 노하우 보안 전문 지식/기술
전문 업체를 활용한 보안 위탁 관리 보안 관리 범위 필요 핵심 역량 기술적 보안 물리적 보안 관리적 보안 데이타 소프트웨어 네트워크 하드웨어(Platform & OS) 설비 인원 및 조직 정책, 가이드, 절차 통합관리 환경 보안 전문 인력/조직 보안 운영 Infra 보안 운영 노하우 보안 전문 지식/기술 Process
95
전문 업체를 활용한 보안 위탁 관리 보안 운영 인력 부족 보안 전문 지식 부족 체계화된 운영 절차 미비
보안 위탁 관리의 필요성과 기대 효과 보안 운영 인력 부족 보안 전문 지식 부족 체계화된 운영 절차 미비 보안 관리 통합 Infra 미비 지속적인 보안 관리 부족 보안 사고의 증대 보안 침해 기술의 발전 기업 인프라의 안정성 확보 E-Biz 경쟁력 확보 핵심 역량에 경영 자원의 집중 고정 비용의 변동비화 보안관련 비용의 예측 및 통제가 용이 보안 관리 비용의 절감 보안 침해사고 감소로 보안 비용 절감 기술 전문인력의 선발 및 육성 부담 해소 보안 기술 인력의 탄력적 활용 고급 기술 인력의 유인 및 관리 용이 보안 기술 발전에 대한 빠른 대응과 적용 전문업체의 폭 넓은 인적자원과 노하우 확보 기술적 위험의 통제와 관리 합의된 조건에 의한 서비스 품질 보증 서비스 품질의 지속적 개선 관리에 투입되는 시간/인력의 절약 전략적 효과 경제적 조직적 기술적 품질, 시간적
96
전문 업체를 활용한 보안 위탁 관리 일괄 아웃소싱 선택적 아웃소싱 보안 위탁 관리의 유형 하나의 아웃소싱 사업자 자체운영
보안 시스템 운영 보안 관리 보안 감사 구축 유지보수 기술지원 보안전략계획 교육/훈련 보안 진단 보안 지원 보안 서비스 장 점 책임소재의 명확성 친밀감 형성 낮은 관리비용 단 선택범위의 감소 자기만족에 의한 안일 가격 경쟁 부재 일괄 아웃소싱 자체운영 보안 시스템 운영 보안 관리 보안 감사 구축 유지보수 기술지원 보안전략계획 교육/훈련 보안 진단 보안 지원 보안 서비스 아웃소싱 사업자A 아웃소싱 사업자B 장 점 양질의 서비스 선택 경쟁에 의한 나태함 방지 경쟁에 의한 낮은 비용 단 책임 소재의 불명확성 Vendor들의 고객요구 파악 미비 많은 Vendor에 따른 높은 관리 비용 선택적 아웃소싱
97
Managed Firewall Service Managed Intrusion Detection Service
전문 업체를 활용한 보안 위탁 관리 선택적 위탁 관리의 예 24x7x265 감시 실시간 해킹대응 정기적인 점검 주기적인 레포트 제공 전담 인력 운영 통합 관제 활용 정기 세미나 실시 Managed Firewall Service Managed Intrusion Detection Service Managed VPN Service Managed Vulnerability Scanning Service Managed Anti-virus Service
98
전문 업체를 활용한 보안 위탁 관리 보안 위탁관리 추진 단계
99
Q & A 감사합니다.
Similar presentations