원격접속관리시스템 HI-Ware 솔루션

Contents

Ⅰ

Ⅱ

Ⅲ

시장동향

도입효과

Ⅳ

Ⅴ

구성 및 구축사례

제안제품 특장점

HI-Ware 솔루션

Ⅵ 주요사업실적

3/32

HI-Ware v4.0

Ⅰ. 시장동향

2010 년은 약 5 만 5 천여 건으로 2009 년 대비 36% 증가

개인정보 침해건수

지난 2004∼2010 년 국내 산업기술 사건으로 인한 피해는 244 건 , 피해액 약 435 조원 추정

( 출처 : 산업기밀보호센터 )

□ 정보보호에 대한 관심증가와 정보보호솔루션의 도입 확산에도 불구하고 정보보호 침해사례는 지속적으로 증가하고 있으며 특히 , 기업의 핵심정보 유출에 따른 피해사례가 급증하는 추세입니다 . 국내 대다수의 기업은 기술 · 정보유출에 무방비인 상태로 노출되어 심각한 피해를 입을 수 밖에 없는 실정입니다 .

국내 기술 유출에 따른 피해 규모

4/32

HI-Ware v4.0

Ⅰ. 시장동향

□ 개인정보보호법은 공공 , 기업 , 금융 , 의료 등 각 분야별 적용되던 규범을 일원화하여 , 개인정보를 취급하는 모든 기업 및 단체가 정보유출에 대한 보호조치를 하도록 의무화 하도록 개정된 법률이며 , 따라서 법률이 시행되는 9 월 30 일 이후에는 약 350 만개 이상의 모든 사업자들은 개인정보보안 관련 보호조치를 마련해야 합니다 .

법률공포(2011.3.29)

후속조치법률시행(2011.9.30)

공공기관 , 민간사업자 , 비영리 단체 등 개인정보를 수집 , 취급하는 모든 자는 적용대상에 포함

개인정보보호법 ( 제정 : 2011.03.29 → 시행 : 2011.09.30)

• 누구를 대상으로 하는가 ? 공공기관 , 민간기업 , 비영리단체를 망라 , 개인정보를 처리하는 모든 조직 대상 ( 기업 포함 약 350 만개 )• 언제부터 시행되는가 ? 공포일 (2011 년 3 월 29 일 ) 6 개월 후인 9 월 30 일부터 시행

• 기술적 안전조치를 하지 않을 경우 , 형사처벌이 있을 수 있는가 ? 안전성 확보에 필요한 조치 불이행 시 3 천 만원 이하 과태료 , 필요한 기술적 조치를 하지 않아 개인정보가 유출된 경우 , 2 년 이하 징역 또는 1 천 만원 이하 벌금 기술적 보호조치 의무화

• 단체소송 관련 어떤 제도가 도입되는가 ? 시민단체 , 민간단체 등 단체가 원고가 되어 개인정보침해 관련 소송을 제기할 수 있게 됨 ( 단체소송절차 단순화 )

개인정보보호법상 규정 요약

구분 현행 제정

규율대상분야별 개별 법 적용

( 공공기관 , 정보통신사업자 등 ) 350 만개 모든 공공기관 / 사업자를 통합 규율 대상으로 법 적용대상 확대 비영리단체 등으로 확대

5/32

HI-Ware v4.0

Ⅰ. 시장동향

□ 개인정보보호법상 개인정보 처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 , 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 하며 현행 법률상의 개인정보보호 위반행위에 대한 주요 과태료 및 벌칙은 아래와 같습니다 .

개인정보의 안전성 확보조치 [ 시행령 ( 안 ) 제 33 조 )

□ 관리적 보호조치

내부관리계획의 수립 및 시행

교육계획 수립 시행∙ 정기적인 자체 감사 실시

□ 기술적 보호조치

접근권한 제한 관리∙ , 접근권한 확인을 위한 식별 및 인증

권한 없는 접근을 차단하기 위한 시스템의 설치 등 조치

개인정보의 안전한 저장 전송을 위한 암호화 등 조치∙ 접속기록의 보관 및 위 변조 방지 조치∙ 보안프로그램 설치 및 주기적 갱신 점검 조치∙

과태료ㆍ벌칙

• 내부관리계획 수립 , 접속기록 보관 등 안전성 확보 미조치

☞ 3 천만원 이하의 과태료 (75 조 )

• 안전성 확보 미조치로 인한 개인정보 분실 ∙ 도난 유∙ 출 ∙ 변조 ∙ 훼손

☞ 2 년 이하 징역 또는 1 천만원 이하 벌금 (73 조 )

6/32

HI-Ware v4.0

Ⅱ. HI-Ware 솔루션1. 주요 공급 제품

구분 세부 사항 비고

HI-WareV4.0

HI-STGSecure Terminal

Guard서버 및 네트워크 장비 (CLI 접속 ) 의 접근 통제 및 보안감사 시스템 Unix, Linux, Network 장비

HI-SSGSecure Snapshot

GuardWindows Server 의 원격접속 터미널 (RDP) 통제 및 보안감사 시스템 NT 서버 (RDP 접속 ) 장비

HI-SWGSecure Web Guard Web Service 작업내역의 접근통제 및 보안감사 시스템 Web(http, https) 접속

HI-SCGSecure Console

GuardSerial Console (TCP/IP 기본 KVM 장비 ) 접근 통제 및 감사 , 전원제어시스템

Console KVM(TCP/IP 지원 ) 접속 ( 고객환경 확인 필요 )

HI-SGSSecure Gateway Sys-

temApplication 의 Gateway Proxy 형식의 접근통제 시스템

Application 의 port 를 접근 통제하고 사용자의 접속 in, out 내역 저장 ( 고객환경 확인 필요 )

HI-TIMTotal Identity Man-agement System

시스템 계정관리 및 패스워드 자동화 시스템 시스템 장비 계정 자동화 관리

HI-EVSEvent Viewer System Event 통합관제 및 프로세스 관리 시스템 통합관제 시스템 , 3D,2D Dash

Board

HI-Ware 솔루션 권장 H/W 사양

- CPU QC 2.0GHz 이상 , Memory 8GB 이상 , Disk 1TB * 2EA(Mirroring 구성 )- MS Windows Server 2003 이상

- Oracle 10g 이상

- H/W 사양과 Disk 는 고객 환경에 따라 협의 하여 산정을 하여야 합니다 .

7/32

HI-Ware v4.0

Ⅱ. HI-Ware 솔루션2. HI-Ware 제품 검증

HI-Ware 의 모든 시스템은 최대 사용량에 검증된 시스템 입니다 . HI-Ware 의 가장 큰 성능적 핵심은 사용자 계정의 관리 , 로그저장 , 로그조회 , 동시접속 세션 , 장비의 수 입니다 . HI-Ware 제품 군은 이 모든 사항을 고객사에서 이미 검증하여 최대 효율성을 제공하고 있는 안정적인 제품입니다 .

최대장비관리

40 만대관리

최대세션관리

시스템통합

프로세스관리

600 동시 세션 관리

통합 관제유지보수프로세스화

8/32

HI-Ware v4.0

Ⅱ. HI-Ware 솔루션 3. HI-Ware 제품 구성도

장비 접속

유지보수

작업자HI-Ware

차단

장비접속

장비 접속

Telnet, SSH, FTP, SFTPWindows Terminal Service

관리자

로그 전송 ( 실시간 모니터링 및 저장 )

불법사용자 원격접속 차단

Server Farm

Internet

Router

Router Firewall

Firewall Backbone

Backbone BackboneSwitch

Switch

Switch

9/32

HI-Ware v4.0

Ⅲ. 도입효과

□ 사용자가 서버 시스템에 접속하여 작업할 경우 접속 관리 대상의 권한 설정 및 사용 ID, 사용내역 등을 기록 저장 하여 감사 정보로 제공 합니다 . 이러한 접속자의 인증 및 계정 신청 , 승인 결제 등은 Web 상의 결제 프로세스에 의하여 일괄 관리 기능을 제공합니다 .

효율적인 IT 인프라 관리

기대효과

접속자의 인증 및 계정 신청 , 승인 , 결제 등의 프로세스의 개선

접속자의 인증 및 계정 신청 , 승인 결제 등은 Web 상의 결제 프로세스에 의하여 일괄 관리 기능을 제공

대상 서버 접속 사용자의 관리 개선

외부 접속자의 서버 계정 패스워드 관리 개선

사용자 접속 IP/MAC, 기간 , 금지 키워드 등의 정책 개선

접속 세션에 대한 실시간 감사 기능 제공

작업 내역의 조회 ( 로그조회 ) 기능 도입

접속 사용자의 체계적인 관리를 통한 중앙집중식 통제 정책 기능을 제공

서버 자체의 패스워드를 보호하여 서버 시스템 접근 보안성을 확보

사용자 별 그룹별 금지 정책을 통하여 작업 업무의 한정 기능을 제공

인프라에 접속하여 작업하는 작업자의 작업내역을 실시간 감사

작업 세션 및 작업 내역을 작업자와 동일한 환경에서 DBMS 에 저장하고 손쉬운 조회 기능을 제공할 수 있는 환경제공

10/32

HI-Ware v4.0

Ⅲ. 도입효과1. 접속자의 인증 및 계정 신청 , 승인 , 결제 등의 프로세스의 개선

□ 사용자가 서버 시스템에 접속하여 작업할 경우 접속 관리 대상의 권한 설정 및 사용 ID, 사용내역 등을 기록 저장 하여 감사 정보로 제공 합니다 . 이러한 접속자의 인증 및 계정 신청 , 승인 결제 등은 Web 상의 결제 프로세스에 의하여 일괄 관리 기능을 제공합니다 .

Server Farm

작업자

관리자 수작업 작업요청

구두에 의한 작업 승인

시스템 직접 접속 작업

Server Farm

작업자

Web 을 통한 접속 신청사용자 정보접속 할당 장비접속 기간 설정승인 요청

관리자

Web 을 통한 접속 결제사용자 정보 조회접속 권한 할당 장비접속 기간 설정결제 및 반려 기능

작업요청

승인 , 결제

인증 키 발급

권한을 할당 받은시스템에서 만 작업 가능

기존 운영방식 개선된 운영방식

11/32

HI-Ware v4.0

Ⅲ. 도입효과2. 대상 서버 접속 사용자의 관리 개선

□ 다수의 서버는 다양한 사용자에 의해 작업환경을 제공하고 있으며 해당 서비스 권한을 획득하지 못한 사용자가 타 그룹의 관리 장비에 접속하여 작업하는 비 업무적인 일을 방지 하기 위하여 해당 서버의 접속관리 및 세션 관리 기능이 제공 합니다 . 이러한 접속 사용자의 체계적인 관리는 중앙집중식 통제 정책에도 매우 유용한 기능을 제공됩니다 .

기존 운영방식 개선된 운영방식

Server Farm

작업자

관리자

관리 영역의 서버서버 접속 작업

비 관리 영역의 서버

부분 별한 접속

해당 사용자의 권한에 의하여 관리자는 업무 별 접속 리스트를 상이하게 적용합니다 .

이러한 대상 리스트는 그룹의 Role 로 적용되어 있으며 개별 사용자는 권한의 상속 및 일부 권한의 할당 등의 정책을 제공받을 수 있습니다 .

12/32

HI-Ware v4.0

Ⅲ. 도입효과3. 외부 접속자의 서버 계정 패스워드 관리 개선

□ 접속 계정을 획득한 사용자의 관리 및 휴면계정의 관리 , 제어 사용자의 관리 등은 필수 사항이며 서버 자체의 패스워드를 보호하여 서버 시스템 접근 보안성을 확보 할 수 있습니다 .

Server Farm

작업자

관리자 수작업 작업요청

해당 서버의 ID/Password 제공

시스템 직접 접속 작업

정보 유출 가

능성 제기

Server Farm

작업자

자동 로그인작업할 수 있는 환경까지 자동로그인 패스워드 암호화

관리자

작업요청

해당 서버 접근 권한 할당

권한을 할당 받은시스템에서 만 작업 가능

서버 접근제어 시스템

기존 운영방식 개선된 운영방식

13/32

HI-Ware v4.0

Ⅲ. 도입효과4. 사용자 접속 IP, 기간 , 금지 키워드 등의 정책 개선

□ 사용자 접속 인증에 대한 정책이 수립되어야 하며 이러한 접속 인증은 해당 사용자의 접속 IP 및 기간 ( 시간 , 기간 , 요일 ), 금지 명령어 등으로 세분화 되어 관리자에 의해 정책을 관리 할 수 있습니다 . 해당 사용영역의 IP 범위에서 벗어난 사용자는 인증을 받더라도 사용에 제약을 받으며 사용자 별 그룹별 금지 정책을 통하여 작업 업무의 한정 기능을 제공합니다 .

Server Farm

작업자

관리 영역의 서버

불법 명령어 전송

reboot 장애

접속 계정을 알고 있는 퇴사자 및 유 접속 경험자

순 / 역방향 금지 키워드 제공

명령어 수행 제어 화면

기존 운영방식 개선된 운영방식

14/32

HI-Ware v4.0

Ⅲ. 도입효과5. 접속 세션에 대한 실시간 감사 기능 제공

□ 주요 서버의 작업 시 책임관리자는 행위의 기록 및 실시간 감사를 수행하여야 하는 것이 원칙이지만 현실은 그렇지 못하기 때문에 작업자의 세션을 원격관리자가 공유하여 작업하는 내역을 실시간 관리할 수 있는 환경 및 협업할 수 있는 메신저 등의 통신 프로세스의 제공으로 관리자는 인프라에 접속하여 작업하는 작업자의 작업내역을 실시간 감사 할 수 있습니다 .

관리자

원격지 관리자 ?

원격지에서 작업하는 작업자의 작업내역을 실시간 모니터링 하기는 불가능 함

최고 관리자

사용자 서버접근 제어 시스템

기존 운영방식 개선된 운영방식

15/32

HI-Ware v4.0

Ⅲ. 도입효과6. 작업 내역의 조회 ( 로그조회 ) 기능 도입

□ 서비스 서버의 주요 작업 내역은 로그로 저장되어 일정기간 보관되어야 하지만 서버 자체의 이벤트로그로는 작업내역의 조합이 현실상 불가능 합니다 . 따라서 작업 세션 및 작업 내역을 작업자와 동일한 환경에서 DBMS 에 저장하고 손쉬운 조회 기능을 제공할 수 있는 환경을 제공합니다 .

Event Log 조회다양한 Event 로그 조회

Windows 의 경우 로그조회 ID 로 조회 해석 거의 불가능

기존 운영방식 개선된 운영방식

16/32

HI-Ware v4.0

HI-Ware #1Gateway

HP DL380G7

제 1 IDC

AIX,HP-UXSolarisWindowsLinux…

제 2 IDC

AIX,HP-UXSolarisWindowsLinux…

HI-Ware #2Gateway

HI-Ware #3Gateway

HI-Ware #4 Gateway & DBOracle 11g

HI-Ware DB #1Oracle 11g

HI-Ware DB #2Oracle 11g

FS NAS

Main System (Active–Active) 3중화

Sub System (S-tandby)

사용자

통합 관리자

접속 로그실시간 관리계정관리정책관리감사데이터

Telnet, SSHFTP, SFTPWindows TerminalApplication ToolDB Tool Port

불법 접근 자( 시스템 ID, Password

소유 )

우회접속

차단

Email 문자메시지

문자메시지 서버필터링 문자열 전송연동 API

OTP 인증 서버접근제어 OTP 인증 로그인

통합로그관리시스템

(MS SQL)연동 API

DB InterfaceODBC

Ⅳ. 구성 및 구축 사례 1. 자동차회사 구축 구성도 (2 중화 구성에 DR 구축 )

17/32

HI-Ware v4.0

Ⅳ. 구성 및 구축 사례 2. 금융권 구축 구성도 (2 중화 구성 )

장비 접속

유지보수

작업자

차단

허용

관리자

콜 센터

콜 센터 서버

데이터 센터

전자 금융망 본점 DMZ/홈페이지

불법 접속 자

접속관리 시스템

A-A 이중화

WEB 을 통한 장비 접속Telnet, SSH, (S)FTPWindows TerminalConsole

접근사용자 정책 관리접속이력 / 통계관리

운영장비 ID/PW

주기적 백업

로그서버

퇴사자

차단

장비 원격 접속

본점 전산센터

UNIX : TCP WrapperNT : 로컬보안정책

Windows : 00대콜 센터 상담원

차세대 서버

UNIX :00 대Windows : 00대OP 상주자

서버 그룹

Windows : 00대

서버 그룹

Windows :00 대

서버 그룹

UNIX :00 대Windows :000대직원

시스템 자동 로그인( 패스워드 보호 )

18/32

HI-Ware v4.0

Ⅳ. 구성 및 구축 사례 3. 방송 통신 업체 구축 구성도

HI-Ware

Server

무인 국사 Net-work

유지보수

작업자

차단

허용

관리자

(Web 접속을 통한 관리 )Telnet, SSH, rlogin, FTP, SFTPWindows Terminal ServiceConsole, KVM

주요 서버 계정 생성 GUI

정책 적용

로그 전송

모든 장비의 패스워드 자동 변경계정 점검 엔진 구동접속의 일원화사용내역 및 정책 관리퇴사자 관리 (휴면계정 )

Script 적용 결과값 반환

각 서버 별 결과값에 의한 Data Auto Parsing

Database 저장

불법 접속 자관리

퇴사자 관리

Network

Serial MUX Power Management 무인 국사 장비의 TCP 장애 발생 시 무선을 통한 Serial 접속기능으로 장애 극복

AP

Device 정보 서버

인사 정보 연동

내부의 모든 장비 정보자동 동기화 기능 제공

내부의 모든 사용자 정보자동 동기화 기능 제공

내부의 모든 사용 시스템이 Gateway 를 통하여 접속 계정을 허가 요청 하도록 구성됨

외부 인력을 위한 제공된 I-Pad 를 이용하여 Wi-Fi 로 접속이 가능하도록 구성함

Database

정책에 의한 망 접속 기능접속을 위한 DMZ 구축망 별 통합구축 환경 ( 중복 IP 처리 기능 )다중화 및 최대 부하 량 검증

19/32

HI-Ware v4.0

Ⅳ. 구성 및 구축 사례 4. 이중화 제안 구성도

장비 접속

유지보수

작업자

차단

허용

관리자

중앙 전산실

서버 시스템

기타

내부 망 외부 망

불법 접속 자

접속관리 시스템

A-A 이중화

WEB 을 통한 장비 접속Telnet, SSH, (S)FTPWindows Terminal

접근사용자 정책 관리접속이력 / 통계관리

운영장비 ID/PW

주기적 백업

로그서버

퇴사자

차단

장비 원격 접속

UNIX : TCP WrapperNT : 로컬보안정책

네트워크 그룹

운영요원

서버 시스템

네트워크 그룹

OP 상주자

서버 그룹

네트워크 그룹

서버 그룹

네트워크 그룹

시스템 자동 로그인( 패스워드 보호 )

내부 인프라의 서버 및 네트워크 장비에 원격접속이 가능한 모든 서비스 프로토콜의 접속을 HI-Ware 로 일원화 하고 일원화된 세션에 의해서 접속 정책 및 제어 , 감사 기능을 구현합니다 .

이러한 접속 Gateway 는 통신이 가능한 어느 위치에 설치 되어도 무방 하지만 제안사의 권고 사항으로는 방화벽 내부 및 VPN 내부에 위치하는 것을 권고 하고 있으며 내부 부하가 다량으로 발생할 경우 ( 동시 접속 세션 1,000 세션 이상 ) 일 경우에는 2 중화 하여 별도의 접속 팜을 구성하는 것을 권장 합니다 .

20/32

HI-Ware v4.0

Ⅳ. 구성 및 구축 사례 5. 구축 사례

Key point 대용량 고객사 구축 진행 내역

K 통신사 최대 세션 및 장비 관리적용시스템 구축 고객 사 적용 내역

HI-Ware

인사 DB 연동 및 개별 시스템 연동을통한 통합 인프라 접근제어 시스템

윈도우 서버 터미널 서비스관리 시스템 구축

네트워크 자동화 및 보안 감사 시스템 구축

서버 UNIX 운영장비 1,200 여대관리 및 감사 시스템 구축

서버 및 네트워크 장비의 보안감사시스템 구축

정보유출 방지 및 보안감사 시스템

접근제어 이슈사항

- 소수의 관리자에 의한 다수의 인프라 및 유지보수 관리 허점

- 장애 발생 시 즉시 복구할 수 있는 체제 구축 필요

- 패스워드 및 정보 유출 및 보안 사고 발생

21/32

HI-Ware v4.0

한국정보통신 기술협회 (TTA) GS 인증 시 부하 테스트 결과물

KT 연구소 원격접속관리 시스템 부하 테스트 산출물

GS 인증은 ISO/IEC 9126, 12119 에 근거하여 7 개의 국제표준 항목으로 평가한다 . HI-Ware 4.0 은 평가시 결함이

없음

동시 접속 자 100명이 접속하여 작업하였을 경우 성능에 영향 없음을 인증

V. 제안제품 특장점1. 신뢰성

22/32

HI-Ware v4.0

Web 2.0

Oracle

연동

Reference

Role

본 프로젝트에 제공되는 HI-Ware 는 국내 최초 Flex 기반의 감사 시스템 입니다 . 타 시스템과의 연계 및 실시간 데이터의

전송에 매우 용이한 구조로 제공되는 Web2.0 의 HI-Ware 는 C/S 버전의 신속함과 Web 의 편이성이 결합되어 최상의 사용자

및 관리자 Interface 를 구성할 수 있습니다 . 또한 실시간 세션 통계 및 보안성에도 매우 탁월한 기능을 제공합니다 .

유지 보수의 용이성 및 대용량 데이터의 처리에 있어 데이터 베이스의 역할은 매우 중요합니다 . 따라서 본 제안사는

원격접속관리시스템 도입 프로젝트에 대용량 데이터베이스인 Oracle Database 를 적용하여 성능 및 유지 보수의 방안에도

확실한 대안을 제공합니다 .

본 프로젝트의 성공 여부는 최단 시간내에 효율적인 연동을 통하여 업무에 효율적으로 적용할 수 있는 프로세스를 구성하는

것입니다 . 따라서 연동이 용이한 XML 로 구성되어 있는 본 제품이 선정 요소 중 최적 안 이며 기 고객사의 인사 DB연동 및 계정

프로세스 연동 경험을 통하여 효율적이며 신속 정확한 환경을 구축합니다 .

다수의 장비 및 다수의 사용자를 소수의 관리자가 관리할 경우 발생하는 업무의 과부하를 다양한 상속 기능 및 관리 기법을

통하여 중앙 집중 식으로 구성할 수 있는 RBAC 개념의 프로세스를 제공합니다 . 이는 관리의 편이성을 극대화 할 수 있는 매우

탁월한 방안 입니다 .

국내 서버 및 네트워크 접근 통제 시스템 시장에서 제안사인 넷앤드는 최대 장비 관리 및 최대 세션관리 , 최대 시스템 연동

프로세스 관리 등을 기 구축하였습니다 . 이러한 검증 및 축적된 기술을 바탕으로 성공적인 프로젝트를 수행하도록 하겠습니다 .

V. 제안제품 특장점2. 특징 및 장점

23/32

HI-Ware v4.0

현재 서버 원격접속은 각 서비스 서버에 개별 사용자가 직접 접속하는 방식을 사용하고 있습니다 . 이러한 접속방안은 사용자의 작업 내역에 대한 관리자의 중앙

통제가 어려우며 명령어에 대한 통제 부족 , 무분별한 접속 등의 많은 문제점을 나타낼 수 있습니다 . 따라서 원격 접속하는 프로토콜의 세션을 일원화하는 Gate-way 형식의 Proxy Server 를 구성하여 세션의 제어 권을 중앙에서 관리하여야 합니다 . 접속 세션의 중앙 확보는 정책기반의 접속방안과 접속 정책 , 적용명령어 정책 등의 다양한 통제 기법에 가장 확실한 방법이라 할 수 있습니다 . 따라서 관리자는 중앙에서 하위 관리자 및 작업자의 업무 영역별로 작업환경을

정책기반으로 구분하고 실제 서버에 적용되는 명령어를 정 방향과 역 방향 , 정규식 표현 식에 의한 적용 등을 통하여 보다 높은 수준의 통제권을 확보할 수 있습니

다 . 또한 사용자의 접속 및 사용시 문자메시지 서버와 메일 서버와 연동하여 관리자에 실시간 통보하는 기능을 제공하여 빈틈없는 원격접속관리 시스템을

구축하도록 하겠습니다 . 서버 접속 경로 단일화

AS-IS TO-BE

관리자

? Main Center

AIX,HP-UXSolarisWindowsLinux…

SUB Center

AIX,HP-UXSolarisWindowsLinux…

Main Center

AIX,HP-UXSolarisWindowsLinux…

SUB Center

AIX,HP-UXSolarisWindowsLinux…

작업자

작업자

불법 접근 자( 시스템 ID, Password

소유 )

원격접속

원격접속 우회접속

작업자

작업자

불법 접근 자( 시스템 ID, Password

소유 )

우회접속

차단

관리자

접속 Gate-way

실시간 로그전송

구간암호화

V. 제안제품 특장점3. 제안 제품 주요 기능 - 서버접속 경로의 단일화 (Gateway Proxy)

24/32

HI-Ware v4.0

최근 발생하는 금융권의 보안사고는 불필요한 명령어의 적용에 따른 보안사고로 밝혀지고 있다 . 무분별한 접속에 의한 승인되지 않은 명령어의 적용은 그 자체

만으로도 많은 보안상의 문제점을 발생하고 있다 . 따라서 제안 사는 이러한 서버 시스템에 적용되는 명령어를 다양한 방법으로 통제하고자 합니다 . 1 단계 통제

정책으로 작업자가 작업하는 명령어에 대하여 관리자가 원격지에서 실시간으로 감사하는 환경을 구축하고 2 단계로 불필요한 명령어를 금지키워드로 등록하여

White-list 방식과 Black-list 방식을 적용 합니다 . 정 방향과 역 방향의 금지 키워드는 인프라 운영환경에 따라 선택적으로 사용할 수 있습니다 . 또한 정규

표현 식에 의한 금지 키워드 설정은 정확한 금지 명령어의 설정에 유용한 환경을 제공합니다 . 마지막 3 단계 최고 단계로서 관리자가 금지 키워드의 정책을

수립하지 않았다면 최고레벨의 명령어를 적용 시 관리자에 OTP 기능을 이용하여 승인을 받아 작업할 수 있도록 구성합니다 .

적용 명령어에 대한 통제 방안

인증에 의한 자동로그인 기능 구현

지정된 금지 OTP 키워드

발급받은 OTP 문자열 입력 후 승인

승인 완료 후 명령어 적용

White-list 방식과 Black-list 방식 금지 키워드 적용

정규 표현식에 의한 금지 명령어 관리

V. 제안제품 특장점3. 제안 제품 주요 기능 - 적용 명령어에 대한 효율적인 통제 방안 제공

25/32

HI-Ware v4.0

사용자가 접속하여 사용한 모든 사용내역이 Database 와 되어 저장됩니다 . CLI 형식의 작업로그는 Text 형식으로 DB 화되며 Windows Terminal Service 및

보안장비 WEB 접속은 Snapshot 기법을 이용하여 동영상 저장됩니다 . 저장되는 로그는 6 하 원칙에 의거하여 일목요연하게 표현되며 순차적인 조회 기법을

바탕으로 관리자의 로그 조회 시 최선의 방안을 제공합니다 . 저장되는 로그는 초 단위의 실행 명령어 조회 및 재생 기능을 제공하며 서버 군의 특성상 세션 유지

기간이 지속 될 때를 대비하여 접속 중인 세션의 작업내역을 통계화 하는 기능을 제공합니다 . 따라서 실시간의 통합로그 조회와 사용 중 , 완료된 세션에 대하여

완벽한 로그 관리를 제공합니다 . 저장되는 데이터는 주요 문자열을 암호화하며 포트의 변경 및 제한을 통하여 서비스의 무 결성을 보장 할 수 있습니다 .

서버 접속 감사 로그 관리

저장된 로그데이터는 다양한 조회 기법을 통하여 최적의 조회 환경을 제공합니다 . 관리자

HI-Ware(Oracle DBMS)

HI-Ware Database Push Data 관리

Data 이관의 주기설정

연동 APIDB Interface

ODBC

V. 제안제품 특장점3. 제안 제품 주요 기능 - 서버 통합로그 관리

26/32

HI-Ware v4.0

네트워크 및 시스템에 접속 할 수 있는 사용자 권한에 대한 인증을 강화합니다 . 타 시스템과의 연계를 통하여 실사용자의 동기화를 구현하고 접속된 사용자의

계정은 최고관리자 , 중간관리자 , 사용자로 구분하여 그룹의 권한이 개인에 상속될 수 있도록 구성합니다 . 관리자는 이러한 계정에 대한 인증을 IP Address 대역 , Mac Address 등으로 통제 할 수 있으며 사용 기간을 기간별 , 요일 별로 구분하여 접속 인증을 통제 할 수 있습니다 . 통제된 사용자 이외에 One Time 접속 자는

관리자의 승인 인증 프로세스를 활용하여 OTP 개념의 접속인증 방안을 제공합니다 . 원격접속관리 시스템의 기본인증은 ID, Password, IP address, Mac address 가 있으며 SSO 등의 연동은 유 경험을 통하여 즉시 연동될 수 있도록 사용자 환경을 제공합니다 .

서버 접속 계정 인증 강화

AD/OTP 연동

HI-Ware 인증 서버

AD or PKI OTP

OTP Device

(1) ID/PWD/OTP 인증 요청

(2) AD 인증(3) OTP 인증

(4) 인증 결과 반환

시스템 로그인 보안 기능

ACL 시스템 로그온 가능 IP/MAC Address 제어

Time 계정 사용 기간 / 요일 별 로그온 가능 시간 제어

Notify 시스템 로그인 기록 저장 및 알림 기능

접근제어 시스템 계정 인증 강화 서버 접속 계정 인증 강화

HI-Ware 서버

Device Farm

Windows

LINUX

UNIX

Auto login

(1) 장비 접속 요청(2) 장비 접속 및 자동로그인

(3) 장비 접속 완료

접속 계정 PWD 유출 방지

Auto login : All Unix , Linux, Windows OS

장비 접속 요청 / 승인

User(1) 장비 접속 승인 요청

HI-Ware Administrator

(2) 승인 or 반려(3) 승인 시 인증 Key 발급

(4) 인증키 입력 후 장비 접속

V. 제안제품 특장점3. 제안 제품 주요 기능 - 서버 접속 계정 인증강화

27/32

HI-Ware v4.0

보안관리에 있어 가장 최전선에 있는 부분이 시스템의 패스워드를 관리하는 기능입니다 . HI-Ware 는 1 차 원격접속관리 시스템의 패스워드를 보안 규칙에

의거하여 관리합니다 . 또한 Script 를 이용하여 서버 시스템 계정에 대한 패스워드를 변경관리 합니다 . 이때 작업자는 계정에 대하여 자동로그인 정책을 부여

받아 서버 원격접속 시 자동으로 작업환경에 로그인 합니다 . 따라서 작업자는 계정에 대한 패스워드를 획득할 수 없는 구조로 구성합니다 . 이는 작업자의 관리부실

및 휴면으로 발생할 수 있는 인적보안에 대한 강력한 보안 관리 방안을 제공합니다 . 시스템 패스워드의 변경 및 점검 엔진은 국내 최대 장비 (KT 40 만대 ) 를

기준으로 개발된 최상급 변경엔진이 적용되며 40 만대 환경에서 100% 의 성공률을 보고하고 있는 최상급 엔진이 제공됩니다 .

시스템 패스워드 관리 기능

HI-Ware 서버

시스템 패스워드 변경 Workflow

시스템 패스워드 변경 예약

(랜덤 or 관리자 지정 패스워

드 ) Job Scheduler

Administrator

Network

Devices

Servers

PWD 변경 엔진

패스워드 변경 작업

변경 로그 저장

변경 로그 조회

영문 /숫자 / 대문자 혼합

특수 문자 혼합

패스워드 최소 / 최대 길이 설정

랜덤 (Random) 패스워드 변경옵션

HI-Ware 는 원격접속관리 시스템의 사용자 정책 설정은 물론 서버 시스템 자체의 계정을 효율적으로 관리할 수 있는 방안을 제공합니다 .

V. 제안제품 특장점3. 제안 제품 주요 기능 - 시스템 패스워드 관리 기능

28/32

HI-Ware v4.0

GS 인증을 획득한 HI-Ware 4.0 은 서버 시스템에 대한 다양한 무 결성 보장 방안을 제공합니다 . 접속 웹 환경은 https 로 구성하여 웹 접속에 대한 SSL 암호화

방식을 채택하고 있으며 Telnet 등 Open 환경의 프로토콜은 포트 변경 및 AES 암호화 알고리즘을 통하여 자체 방어 기능을 수행합니다 . 또한 Gateway Server 는 해당 사용 Port 를 제외하고 로컬 보안정책을 통하여 차단합니다 . 이렇게 수집되는 데이터는 Database 에 저장될 때 Oracle 에서 제공하는 3DES 암호화 알고리즘을 통하여 장비의 계정 및 패스워드 등의 주요 보안 컬럼에 대하여 암호화 기능을 수행합니다 . 또한 관리자에 의하여 원격관리 시스템의 정책이 조정되거나 보안상 문제가 발생할 때 원격접속관리 시스템은 자체 변경로그를 저장하여 최고관리자가 열람할 수

있도록 하여 최적의 무 결성 환경을 보장합니다 .데이터의 무 결성 보장 방안

HI-WareWeb Server

SSL 암호화 통신

관리자

(1) WEB 통신 - HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) 암호화(3) 통신 암호화 – AES ( Advanced Encryption Standard )

HI-Ware G/W Server

AES 암호화 통신

관리자

HI-Ware Web Server

AES 암호화 통신

관리자

(2) C/S Client 통신 - AES ( Advanced Encryption Stan-dard )

(4) Database 데이터 암호화 방식

Database 3-DES ( Triple – Data Encryption Standard) 방식 - 112 bit 암호화 방식 사용

Oracle 제공 표준

V. 제안제품 특장점3. 제안 제품 주요 기능 - 자체 방어 및 데이터 무 결성 보장

29/32

HI-Ware v4.0

관리자는 해당 자리에서 부재할 수 있으므로 특정 로그를 지정하여 문자 메시지나 메일을 통하여 정보를 제공받을 수 있습니다 . 사용자의 인프라 접속 및 접속 시

금지 키워드의 사용 , 제어 대상 등의 다양한 로그를 팝업 , 문자메시지 , 메일로 제공합니다 . 문자 메시지의 경우 고객 사의 SMS 문자메시지 서버의 API 와

연계하여 해당 원격접속관리 시스템의 이벤트 발생 시 티켓화 하여 전송합니다 . 이러한 문자메시지 및 메일의 연동은 API 획득 시 1 일 이내에 연동할 수 있는

시스템이며 대부분의 고객사에서 요구하는 사항으로 HI-Ware 4.0 에는 연동 Interface 환경 설정이 기본 내장되어 있습니다 .

알람 발생 표현 기능

관리자

Email 문자메시지문자메시지 서버

HI-Ware Gate-way

필터링 문자열 전송

연동 APIDB InterfaceODBC

문자 및 메일 전송 코드 편집

알람 정책 화면 제공

전송 타입 설정 기능

시스템 , 장비 , 사용자 알람

분류

V. 제안제품 특장점3. 제안 제품 주요 기능 - 접속데이터의 메일 및 문자발송 연계 방안

30/32

HI-Ware v4.0

V. 제안제품 특장점3. 제안 제품 주요 기능 – 완벽한 이중화 구성 (옵션 )

HI-Ware 접근제어 시스템

HI-Ware #1 HI-Ware #2DB DB

인증 모듈 (Active)

인증 모듈 (S-tandby)

중계 모듈 (Active)

중계 모듈 (Active)

Device Farm

운용자

① ②

③ 장비 접속통신

1. 인증 요청 운용자는 장비 접속을 위하여 현재 Active 상태인 인증 모듈에게 장비 접속 인증 및 접속할 중계 모듈의 정보를 요청한다 .

Active 상태의 인증 모듈은 연결된 중계 모듈의 장비 접속 세션 의 수를 기준으로 가장 접속이 작은 중계 모듈 정보를 Client 에 반환한다 .

반환 받은 중계 모듈 정보에 장비 접속을 요청하면 , 중계 모듈은 실제 장비에 접속하고 데이터를 중계하여 원격 접속이 수립된다 .

2. 인증 결과

3 . 접속 요청

HI-Ware 이중화 구성 아키텍처

31/32

HI-Ware v4.0

프로젝트 명 적용시기 회사명 적용제품 구성방식

현대자동차 서버원격접속통합관리시스템 ( 구축중 ) 2011.08 HI-Ware Gateway

G 마켓 접근통제 시스템 구축 2011.06 HI-Ware Gateway

LG U+ 원격접속관리 시스템 구축 2011.05 HI-Ware Gateway

강원도청 원격접속관리 시스템 구축 2011.03 HI-Ware Gateway

SK Telecom IT 보안 팀 접근통제 2011.02 HI-Ware Gateway

KT 파워텔 원격접속관리 구축 2011.01 HI-Ware Gateway

대전교육정보원 접근통제 시스템 2011.01 HI-Ware Gateway

인천교육정보원 접근통제 시스템 2011.01 HI-Ware Gateway

인천시청 원격접속관리 시스템 구축 2010.08 HI-Ware Gateway

KT DS 원격접속관리 고도화 사업 2010.07 HI-Ware Gateway

KT ISM , TACS 시스템 구축사업 2010.06 HI-Ware Gateway

SK브로드밴드 원격접속관리 시스템 2010.03 HI-Ware Gateway

KT Qook TV 원도우 접근통제 구축 2010.02 HI-Ware Gateway

한국인터넷진흥원 통제 시스템 구축 2010.09 HI-Ware Gateway

오토에버 원격접속관리 시스템 구축 2010.11 HI-Ware Gateway

Ⅵ. 주요사업실적

32/32

HI-Ware v4.0

프로젝트 명 적용시기 회사명 적용제품 구성방식

금융감독원 접근통제 시스템 구축 2008.12 HI-Ware Gateway

금융결제원 네트워크 접근 통제 및 감사 시스템 구축 2009.04 HI-Ware Gateway

현대해상 계정 접속관리 시스템 구축 2010.03 HI-Ware Gateway

대신증권 접근통제 시스템 구축 2011.08 HI-Ware Gateway

대우증권 감사 통제 시스템 구축 2008.10 HI-Ware Gateway

전국은행인 연합회 원격접속관리 시스템 구축 2009.05 HI-Ware Gateway

서울외국환중개 접근통제 시스템 구축 2009.06 HI-Ware Gateway

미소금융관리재단 접근통제 시스템 구축 2010.06 HI-Ware Gateway

KDB 산업은행 시스템 접근통제구축 2011.08 HI-Ware Gateway

리딩투자증권 시스템 접근통제구축 2011.09 HI-Ware Gateway

Ⅵ. 주요사업실적 ( 금융권 )

3. 주요사업실적 ( 계속 )

감사합니다

최적의 제품으로 최선을 다해 보답하겠습니다

알비소프트 주식회사서울시 광진구 능동 237-1 동성빌딩 403 호TEL : 070-4213-8579, FAX : 02-455-8579http://www.rbsoft.co.kr영업대표 : 조용오이사 (010-9280-8579, yocho21@paran.-com)