관리적보안, 물리적보안, 기술적보안
태그 :
- 개념
- 정보 보안 프레임워크의 정의 - 기업 업무의 연속성을 위한 네트워크, 시스템 등의 주요 인프라에 대한 위협 요인을 사전에 분석하여 예방하고 위협 요인 발생시 적절히 대응하기 위한 정책, 프로세스, 기술적 요인 관계 청사진
- 관리적 보안, 물리적 보안, 기술적 보안의 정보보안 프레임워크
가. 정보 보안 프레임워크의 정의
기업 업무의 연속성을 위한 네트워크, 시스템 등의 주요 인프라에 대한 위협 요인을 사전에 분석하여 예방하고 위협 요인 발생시 적절히 대응하기 위한 정책, 프로세스, 기술적 요인 관계 청사진
나. 정보보안 프레임워크의 필요성
|
필요성 |
설명 |
|
관리적 측면 |
- 보안 솔루션을 필요에 따라 도입함으로 인해, 각각의 시스템에 대한 별도의 관리 전문가가 필요 - 시스템이 각각 운영됨에 있어 전사적인 일관된 보안 정책의 수립이 어려움 - 침입 사고의 급증과 공격 패턴의 다양화로 인한 단위 보안 제품 위주의 보안 솔루션 한계에 대응하기 위하여 단위 보안 시스템 이벤트 연관관계 파악의 필요성 증대 |
|
재무적 측면 |
- 각각의 보안 솔루션 도입 비용과 관리 비용 중복 투입 방지 - 보안 장비의 도입, 개별 보안 솔루션의 지속적인 모니터링과 관리의 필요에 의한 운영 요원의 투입 비용에 대하여 통합 보안 관리 시스템을 통한 운영 비용 절감 효과 |
|
성능적 측면 |
- 개별 솔루션에 의한 시스템을 방화벽, VPN, IDS등의 딜레이 타임, 로드 밸런싱, 로그 연산기의 통과로 성능에 대한 한계 극복 필요 |
II. 정보보안 프레임워크의 구성도 및 구성요소
가. 정보 보안 프레임워크의 구성도
나. 정보 보안 프레임워크의 구성요소
|
구성요소 |
설명 |
대표사례 |
|
관리적 보안 |
- 인적 자산에 대한 보안 - 관리적 보안대책은 각종관리 절차 및 규정을 의미 -조직 내부의 정보 보호 체계를 정립하고, 인원을 관리하고, 정보 시스템의 이용 및 관리에 대한 절차를 수립하고, 비상 사태 발생을 대비하여 계획을 수립하는 등의 대책을 포함 |
보안정책/절차관리, 보안조직구성 및 운영, 인력 보안 관리, 보안 감사, 보안 사고 조사 |
|
물리적 보안 |
- 설비 / 시설 자산에 대한 보안 - 물리적 보안대책은 각종 물리적 위협으로부터 보호하는 것을 의미 -일반적으로 정보 시스템을 구성하는 정보 자산에 가해질 수 있는 피해를 최소화하기 위한 물리적 대책으로 구성 -비인가자 접근 통제, 주요 시설물 설계 등 정보 시스템에 관련된 전반적인 대책을 포함 |
사업장 출입 관리, 주요시설(서버실)관리, 자료 백업, 자산 반출입 관리 |
|
기술적 보안 |
- 정보자산에 대한 보안 -기술적 보안대책은 실제 정보 시스템에 적용된 기술에 특화하여 기술적으로 마련할 수 있는 정보 보호 대책을 의미 - 물리적 보안을 수행 할 수 있도록 하는 모든 기반 기술(ex : 지문인식 시스템, 카드출입 시스템, 데이터 암호화 기술 등) 및 정보화 역기능(해킹, 스팸메일, Phishing, Pharming 등)에 대한 탐지 기술, 예방 기술, 조치 기술 등의 보안 기술 |
네트워크 보안, 시스템 보안, 어플리케이션 보안, 데이터베이스 보안, PC 보안, |
다. 정책 관리 프레임 워크
라. 정책 수립 및 관리적 보안의 원칙
마. 정보시스템 운용에서의 보안관리와 위험관리의 차이
II. 정보 보안 프레임워크의 의 주요 기술 요소
가. 관리적 보안 기술요소
|
기술요소 |
설명 |
|
ISO 17799 |
- 영국 표준협회(BSI)주관으로 1993년부터 산업계의 보안관련 표준을 수렴하여 1998년까지 제정한 정보보호관리체계 인증규격 - 정보보안관리시스템을 시작, 이행 또는 유지하는 책임자에게 정보보안관리에 있어서 Best Practice 제공 |
|
ISO 27001 |
- 정보보안경영 시스템에 대한 규격 제시를 통해 기업의 정보보안경영 시스템 평가 인증 |
|
보안 정책 설정/매뉴얼 작성 |
-보안을 위한 자원 사용, 통신 등에 대한 사용자의 로그 정보를 수집 및 감시 정책 설정 및 문서화 |
|
CC (Common Criteria) |
-국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보호시스템 공통평가 국제 기준 |
|
PMI |
-사용자 권한, 지위, 임무 등에 관한 사용자의 속성을 정의하고 관리하기 위한 권한 인증 체계 - 권한 관련 자원과 이의 소유자간의 관계를 신뢰기관이 보증하고 유지하는 구조 |
|
SRM (Security Risk Management) |
-조직의 자산을 보호하기 위하여 자산에 대한 보안상의 위험분석을 통하여 비용 효과적인 측면에서 적절한 보호 대책을 수립하여 이를 수행하는 보안 위험 관리 프로세스 및 총칭 |
나. 물리적 보안 기술요소
|
기술요소 |
설명 |
|
생체인식 |
-지문인식(FingerPrint) : 지문을 기반으로 사람을 식별하거나 인지하는 기술 |
|
-얼굴인식(Face) : 카메라로 입력되는 영상을 분석하여 얼굴의 위치와 얼굴여부를 판별하여, 데이터베이스와 비교하여 본인의 얼굴인지 여부를 판단하는 기술 |
|
|
-홍채인식(Iris) : 사람바다 고유의 눈동자의 망막혈관과 홍채패턴을 구분해 본인 여부를 판정하는 기술 |
|
|
-홍채인식 : 육안으로 보이지 않으나 사람마다 차이가 있는 손등의 정맥 패턴으로 개인 식별에 사용하는 기술 |
|
|
- DNA 인식 : 혈액이나 타액을 이용한 DNA 측정 기술은 위조, 변조 및 중복이 원천적으로 불가능함을 이용 |
|
|
-음석인식 : 사람마다 고유의 음성의 특징을 나타내는 것을 이용한 기술 |
|
|
출입통제 |
-필요시 지문인식, Security Card등을 이용한 출입 관리 |
|
시설보호 |
-공장, 사무실등 보안이 극히 필요한 시설을 보호하기 위해 출입 및 접근을 적절히 통제하는 것 |
|
자료 백업 |
-데이터,시스템 등의 정기적인 백업 및 물리적으로 떨어진 곳을 소산 백업하여 안전성을 확보 -백업 매체는 물리적으로 차단된 곳에 보관하여 보호 |
다. 기술적 보안 기술요소
|
기술요소 |
내용 |
|
보안 표준 |
- AAA : 인증(Authentication), 권한검증(Authorization), 과금(Accounting)을 제공하는 서비스, 서버, 프레임워크의 기술 총칭 |
|
- 접근제어 (Conditional Access) : 권한이 있는 사용자들에게만 특정 데이터 또는 자원들이 제공되는 것을 보장하기 위한 기술 - 접근제어의 유형은 강제적 접근제어(MAC)와 임의적 접근제어(DAC), 역할 기반 접근 제어(RBAC)의 3가지로 구분 되어짐 |
|
|
- XML 보안 :웹 서비스 요청자와 제공자 간의 안전한 데이터 송수신을 위한 인증 보안 기술 |
|
|
SSO |
-Single Signe on : 한번의 시스템 인증을 통하여 여러 정보시스템에 재 인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션 |
|
EAM |
-Enterprise Access management : 통합인증과 권한부여, 조직 내 자원관리, 보안정책 수립을 단일한 메커니즘으로 제공하는 솔루션 - EAM = 통합인증(Authentication) + 권한관리(Authorization) + 자원관리 및 보안정책 수립 |
|
IAM |
-Identity Access Management : Provisioning 기능을 포함한 포괄적인 의미의 IM(Identity Management)로서 조직이 필요로 하는 보안 정책을 수립하고 정책에 따라 자동으로 사용자의 계정과 권한을 관리하는 솔루션 |
|
ESM |
-Enterprise Security Management : 방화벽, 침입탐지시스템, 가설 사설망 등의 여러 보안 시스템으로부터, 발생한 각종 이벤트를 관리, 분석, 통보, 대응 및 보안 정책을 관리하는 시스템 |
|
UTMS |
- Unified Threat Management System : 한가지 이상의 보안 기능 수행을 목적으로 개발된 하드웨어, 소프트웨어, 네트워킹 기술들의 집합체 |
|
암호화 |
- 메시지의 내용이 불명확하도록 평문(Plain text)를 재구성하여 암호화된 문장(Cipher text)로만드는 과정 - 암호화 키와 복호화 키가 동일한 대칭키 방식과 암호화 키와 복호화 키가 다른 비대칭키 방식으로 분류 |
|
PKI (Public Key Infrastructure) -비대칭키(공개키,비밀키)기반의 인증 및 암호화 - 인증기관에서 공개키와 개인키로 포함하는 인증서를 발급받아 네트워크상에서 안전하게 비밀통신을 가능케 하는 기반구조 |
|
|
암호화 통신 |
-SSL(Secure Socket Layer : C/S간의 보안기능을 수행하는 TCP/IP 상위에서 수행되는 보안 프로토콜 |
|
-IPSec : IP계층을기반으로 보안 프로토콜을 제공하는 개방형프레임워크 |
|
|
- TLS (Transport Layer Security) : End-to-End 보안 제공 |
|
|
네트워크 보안 |
- Tunneling : 송신자가 보내는 데이터를 캡슐화해서 수신자 이외에는 알아볼 수 없도록 데이터를 전송하는 기반 기술 |
|
- FireWall : 외부로부터 불법침입과 내부의 불법정보 유출을 방지하고, 내/외부 네트워크의 상호간 영향을 차단하기 위한 보안 시스템 |
|
|
-IDS(Intrusion detection system) : 비인가된 사용자가 자원의 무결성(integrity), 기밀성(confidentiality), 가용성(availability)을 저해하는 일련의 행동들과 보안 정책을 위반하는 행위, 즉 침입(intrusion)을 실시간으로 탐지하는 시스템 |
|
|
- IPS(Intrusion Prevention system) : 침임탐지시스템의 오판(false Detection) 의 문제 해결을 위해 등장한 정보시스템 네트워크에서의 침입탐지와 실시간 방어가 가능한 보안 솔루션 |
|
|
-VPN(Virtual Private Network) : 터널링(Tunneling)기법을 사용해 공중망에 접속해 있는 두 네트워크 사이의 연결을 마치 전용회선을 이용해 연결한 것과 같은 효과를 내는 가상 네트워크 |
|
|
컨텐츠 보안 |
Water Marking : 흐린 바탕무늬 또는 로고를 디지털 컨텐츠 원본에 삽입하여 사용자가 이미지를 보거나 소프트웨어를 사용하는데 지장을 주지 않으면서도 복제를 방지하는 저작권 보호 기술 |
|
Finger Printing : 텍스트, 이미지, 오디오, 비디오 및 멀티미디어 컨텐츠에 저작권 정보와 구매한 사용자의 정보를 삽입하여 컨텐츠 불법 배포자 추적을 위한 기술 |
|
|
DOI (Digital Obeject Identifier): 디지털 저작물에 특정한 번호를 부여하는 일종의 바코드 시스템으로 디지털 저작물의 저작권 보호 및 정확한 위치 추적이 가능한 시스템 |
|
|
-INDECS(Interoperability of data in e-commerce system) : 디지털 환경하에서 컨텐츠 저작권 보호를 ㅜ이한 목적으로 통일된 형태의 전자상거래의 정보 교환을 위한 지적 재산권 관련 메타데이터 모델 |
|
|
- DRM(Digital Rights Managenent) : 디지털 컨텐츠의 지적 재산권을 보호하고 관리하는 기능을 제공하며 안전한 유통과 배포를 보장하는 솔루션 |
|
|
개인정보 보안 |
-I-PIN(Internet Personal Identification Number) : 인터넷 상에서 주민등록번호 사용에 따른 부작용을 해결하기 위한 서비스로 정보 통신부와 한국정보보호진흥원이 개발한 사이버 신원 확인 번호 |
|
-P3P(Platform for Privacy Preference project) : 특정한 웹사이트의 개인정보 보호 정책을 접속 사용자에게 알려줌으로써 자신에 관한 정보를 제공할지 여부를 서비스하는 개인 정보 보호 기술 |
|
|
-프라이버시 정책 생성 : 프라이버시 정책 문구를 자동적으로 생성하는 기능 |
|
|
-쿠키 관리 : 개인에게 자신의 컴퓨터에 저장된 쿠키에 대해 통제권을 주는 방법 |
|
|
-암호화 SW : 암호화를 통해 자신의 전자메일메시지, 저장된 파일, 온라인에서의 커뮤니케이션을 보호할 수 있게 하는 기능을 제공 |
|
|
-익명화 기술 : 이용자가 익명으로 웹을 서핑 하도록 하는 서비스를 제공 |
|
|
침해사고 대응방안 |
-컴퓨터 포렌식 : 컴퓨터를 매개로 이루어지는 범죄행위에 대하여 컴퓨터 시스템과 네트워크로부터 자료를 수집, 분석, 보존하여 법적 증거물로써 제출할 수 있도록 하는 일련의 절차 및 방법 |
|
무선랜보안 |
-WEP(Wired Equivalent Privacy) : 무선 LAN 표준을 정의하는 IEEE 802.11 규약의 일부분으로 무선 LAN 운용 간의 보안을 위해 사용되는 기술 - WEP는 데이터 암호화를 위해 RC4 암호를 사용하고, 메시지 인코딩과 디코딩을 위해 40비트 키를 사용하기 때문에, WEP를 적절히 사 용하지 않으면 위험에 노출쉬움 |
|
-WPA(Wi-Fi Protected Access) : Wi-Fi Alliance 및 IEEE(Institute of Electrical and Electronics Engineers)에 의해 제정된 보안 표준, Wi-Fi Alliance의 감독 하에 수행하는 인증 프로그램 |
|
|
- TKIP(Temporal Key Integrity Protocol) 및 MIC(Message Integrity Check) 암호화 방식을 사용, TKIP는 WEP에서 암호화를 위해 사용했던 RC4 알고리즘을 동일하게 채택하고 향상된 키 관리 방식과 효과적인 메시지 무결성 체크 방식이 추가됨 |
|
|
- WPA의 향상된 암호화 방식은 공공 핫스팟과 같이 서로 다른 형태의 다양한 802.11 메시지 무결성 체크(MICs)를 처리해야 하는 무선 네트워크에 이상적이라는 평가로, 대부분의 무선 액세스포인트 장비 및 칩셋 제조사들은 WPA를 지원하고 있음 |
|
|
- 모든 새로운 솔루션은 기존의 문제점들에 대해서는 해결할 수 있지만 완벽한 해결책이 되지는 못하며, WPA 또한 특정 공격에 의해 네트워크 전체가 마비될 수 있다는 등의 새로운 문제점 들이 계속 발견됨 |
|
|
- WPA2(Wi-Fi Protected Access 2) : WPA의 후속 버전, 미 정부 보안 요건 FIPS140-2 충족(기존 TKIP 암호화 방식 à 128비트의 AES(Advanced Encryption Standard) 암호화 방식으로 대체) - AES 암호화 방식을 채택으로 보안 기능 강화 - WPA2를 사용하기 위해서는 데이터의 암/복호화 처리 위한 전용 칩 필요 |
|
|
- SSID(Service Set Identifier) : 무선랜을 유일하게 인식, 32자의 알파벳 키로, 다른 무선장비가 일시적 혹은 의도적 접속차단 - 라우터나 AP에 SSID가 자동 전파 설정을 해제시 해당 기기의 SSID는 다른 기기에서 볼 수 없고 수동으로 이를 입력해야함. 하지만 SSID는 강력한 보안책은 아니므로 WEP나 WPA와 같은 다른 보안기술과 함께 사용되어야 함 |
IV. 관리적, 물리적, 기술적 보안의 구축절치 및 고려사항, 기대효과
가. 구축절차
나. 구축시 고려사항
|
보안 측면 구분 |
고려사항 |
|
관리적 보안 |
|
|
물리적 보안 |
|
|
기술적 보안 |
|
- 관리적, 물리적, 기술적 부문의 유기적 관계확보가 바탕이 되어야 함.
다. 기대효과
|
구분 |
분류 |
설명 |
|
종합적인 보안개념 수립 |
관리적 보안 |
보안지침 정의 |
|
물리적 보안 |
건물, 전산실 등의 보호대상을 정의 |
|
|
기술적 보안 |
서버, 네트워크 장비, 응용 시스템, 데이터베이스 등 보호대상을 정의 |
|
|
보안이행 |
보안지침에 따라 보호대상을 보호하기 위해 필요한 시스템/활동을 정의 |
|
|
보안관리 능력 향상 |
- 종합적인 측면의 관리 능력이 향상되어 보안 정책 적용이나 보안 사고시 단편적인 접근을 하지 않고 종합적인 대응이 가능함 |
|
|
일관된 보안 수준 유지 |
- 구성요소 변경시 전체적인 측면에서 수정, 변경되어 일관된 보안수준을 유지하는데 유리 - 전체적인 보안구성요소에 대한 이해가 쉽고 구성요소간 관계를 쉽게 찾을 수 있어, 담당자가 바뀌어도 지속적인 유지/보수가 용이함 |
|