범정부 ITA 보안 아키텍쳐

범정부 ITA 보안 아키텍쳐범정부 ITA 보안 아키텍쳐

2005.10

2

목 차

I. 일반적인 정보보안 아키텍쳐

II. ITA/EA 와 연계된 보안 아키텍쳐

III. 표준 ITA 보안

IV. 타 사례

V. 결론

3

1. 기법의 심층화 / 통합화 - 해킹 / 바이러스 통합

- 자동 / 지능화- 대규모화

2. 새로운 대상 / 기술 출현 / 확산- Application- 홈네트워킹 ..

3. 빠른 속도의 확산 - Zero-day

4. 변종의 출현

취약점 발견

보안위협 등장

Day-zero

보안위협

Time

초보 프로그래머 정교한 프로그래머 조직적인 범죄 / 테러리스트 조직 국가적인 위협

월

일

시

“Day 0”

취약점과 보안위협 발견

공격자의 양태가 변화함에 따라취약점발견과 이를 악용한

보안위협 등장 간의 시차가 점점 감소

취약점 발견 보안위협 등장 Time

취약점 발견과 보안위협등장

I. 일반적인 정보보안 아키텍쳐 - 배경

4

보안수준

TIME

위험의 GAP

보안위험

(2) 새로운 보안위험의 증가- 신규 자산의 증가- 위협의 증가- 새로운 취약성의 증가

(1) 지속적인 관리 방안의 부족

• Risk 존재의 근본적인 이유- 정보시스템 및 전산망이 Static 하지 않음 새로운 대상 출현 - 공격의 형태와 방법이 Static 하지 않음 새로운 공격 출현- 모든 서비스를 폐쇄할 수 없음


5

보안 시스템 구축

취약성 분석 및 대책

보안정책 수립…

3


6

Fortress Model

Airport Model

Source: Gatner

정적인 보안 , 변경곤란 , 위치에 특정화소수의 메커니즘에 의존

내부 보안은 보호되지 않음

융통성 , 상황적여러 중첩되는 기술활용

Role 에 따른 분리된 영역


7

InfrastructureInfrastructure

C I A

기술기술프로세스프로세스

사람사람

I. 일반적인 정보보안 아키텍쳐 - 정의

기술기술관리관리

물리물리

기술기술운영운영

거버넌스거버넌스

8

I. 일반적인 정보보안 아키텍쳐 - 구조

Applicable To:• Wireless, Wireline and Optical Networks• Voice, Data, and Converged Networks• Any Layer of the Protocol Stack• Management, Administrative and Data Cen

ter Networks• SP Infrastructure Networks• Enterprise Networks

Acc

es

s M

an

age

me

nt

Infrastructure Security

Applications Security

Services Security

End User Security

Control/Signaling Security

Management Security

THREATS

VULNERABILITIES

8 Security Dimensions

ATTACKS

Dat

a C

on

fid

en

tia

lity

Co

mm

un

ica

tio

n S

ec

uri

ty

Inte

gri

ty

Ava

ila

bili

ty

Pri

va

cy

Au

the

nti

ca

tio

n

No

n-

rep

ud

iati

on

Security Layers

Security Planes

Acc

es

s M

an

age

me

nt

Infrastructure Security

Applications Security

Services Security

End User Security

Control/Signaling Security

Management Security

THREATS

VULNERABILITIES

8 Security Dimensions

ATTACKS

Dat

a C

on

fid

en

tia

lity

Co

mm

un

ica

tio

n S

ec

uri

ty

Inte

gri

ty

Ava

ila

bili

ty

Pri

va

cy Interruption

Fabrication

Interception

Modification

Interruption

Fabrication

Interception

Modification

Au

the

nti

ca

tio

n

No

n-

rep

ud

iati

on

Security Layers

Security Planes

Vulnerabilities Can ExistIn Each Layer, Plane,Dimension

Supported by Government Agencies & Standards Bodies: NSIE NSTAC NRIC DHS

ITU-T SG17 Industry

Canada

* Source: ITU-T

9


* Source: 액센추어

10


* Source: 전산원

11

People

Technology

보안전략

정책 / 정보분류

보안기술 아키텍쳐

사고대응 사업연속 인력보안 보안교육

보안관리 아키텍쳐

Enterprise Architecture & IT Planning

Process

모니터링

Validation/Audit/Measure/Certification

외주보안

Identification Authentication Authorization Administration Audit

기밀성

Data Application

User System Network Physical

무결성 가용성

Data Application

User System Network Physical


* Source: 신수정

12

Technical

Business

Application

Go

vernan

ce

기술참조 모델

Secu

rity

ITA

Technical

Data

Business

Application

Go

vernan

ce

기술참조 모델ITA

Data


13

II. ITA/EA 와 연계된 보안 아키텍쳐 TYPE 2

* Source: Meta Group

14


* Source: Meta Group

TYPE 3

15


관점시각 업무 B 응용 A 데이터 D 기술기반 T 보안 S

CEO/CIO 조직의 비즈니스

수행과 관련된 업무 , 조직 , 장소 , 사람 등을 다룸

조직의 업무 목표를 운영 및 지원하기 위한 정보시스템의 응용 기능 , 프로세스와 이들간의 관계 등을 다룸

조직의 업무 운영 및 응용 수행에 필요한 모든 정보 및 데이터와 이들간의 관계 등을 다룸

응용 , 데이터를 시스템적으로 운영하는 환경을 구성하는 HW, SW, 네트워크 등 기술 인프라와 요소 기술을 다룸

조직의 정보시스템을 안전하고 신뢰성 있게 구축 , 운영하기 위한 관리적 , 물리적 , 기술적 보안을 다룸

책임자

설계자

개발자

관점시각 업무 B 응용 A 데이터 D 기술기반 T 보안 S

CEO/CIO

목록 수준의 조직 전체의 비즈니스 업무 , 이를 지원하는 응용시스템 , 정보와 데이터베이스 그리고 조직의 기반기술의 구성과 보안을 정리하고 이들간의 관계를 다룸

책임자 개념수준에서 조직의 업무 프로세스 , 정보 , 응용 기능 , 기반구조 , 보안을 정의하고 이들간의 관계를 다룸

설계자논리적 또는 설계적인 수준에서 조직의 세부 업무 프로세스 , 정보 및 데이터 구조 , 컴포넌트 및 응용 기능 세부 내역 , 기반구조의 상세 규격 및 인터페이스 설계 , 보안 설계를 다룸

개발자 물리적인 또는 실무적인 수준에서 구체적인 업무 , 응용 , 데이터 , 기반구조 , 보안의 구현 정보를 다룸

전산원

16

III. 표준 ITA 보안 -SA 산출물

17

보안아키텍처 산출물 메타모델의 정의

범 정부 보안아키텍처 산출물 메타모델의 필요

보안아키텍처 산출물 메타모델은 보안아키텍처의 수립 및 운영에 필요한 정보들과 그들간의 관계를 정의하여 모델링 한 것 보안아키텍처 산출물 메타모델을 활용하여 각 기관은 기관에 필요한 산출물을 재구성 할 수 있음

보안아키텍처 산출물 메타모델은 보안아키텍처의 수립 및 운영에 필요한 정보들과 그들간의 관계를 정의하여 모델링 한 것 보안아키텍처 산출물 메타모델을 활용하여 각 기관은 기관에 필요한 산출물을 재구성 할 수 있음

표준 정보기술 아키텍처와 보안아키텍처의 연관성 정립 범 정부 차원에서 보안아키텍처의 통일성과 일관성 확보 공통의 표준 산출물 양식의 사용으로 종합적인 분석 및 활용 가능 보안아키텍처에 대한 이해가 부족한 기관에 참조 모델을 제공

표준 정보기술 아키텍처와 보안아키텍처의 연관성 정립 범 정부 차원에서 보안아키텍처의 통일성과 일관성 확보 공통의 표준 산출물 양식의 사용으로 종합적인 분석 및 활용 가능 보안아키텍처에 대한 이해가 부족한 기관에 참조 모델을 제공

III. 표준 ITA 보안 - 메타모델

18

메타모델 : 모든 기관의 아키텍처를 공통의 언어로 기술하고 표준화하여 전사적 관점에서 통합 및 비교 , 의사결정 등을 지원 할 수 있는 설계 지침서

Security

View

산출물 메타모델은 데이터 관계성에 따라 산출물간 정열을 가짐 .

III. 표준 ITA 보안 - 메타모델

19

III. 표준 ITA 보안 - SV1 보안정책

정의 아키텍처 대상 범위에 해당하는 조직 , 시스템 , 업무 , 어플리케이션 등에 강제되고

따라야 하는 규칙 , 절차 , 관행 , 지침 등을 정의한 산출물이다 . 보안정책 기술서는 보안구조도 , 설계서 , 매뉴얼 작성의 기준이 됨

목적 보안의 위협 요소와 보안의 등급 분류에 따라 조직의 보안 대상을 정하고 이에 따른 구체적인

보안지침을 문서화 하는 것을 목적

주요설명 보안대상은 크게 관리적 보안 , 기술적 보안 , 물리적 보안으로 구분하여 그 취약성을 분석 하고

사용자의 편이성과 시스템 성능을 고려하여 각각의 보안의 정도를 적절히 갖춤

20

보안정책체계

관리보안 시설보안 기술보안

재택근무자관리

위험관리

통제구역관리

출입관리

접근암호화관리

DMZ관리

본체기 및 전산

기기들이 위치

한 기계실 백업

매체의 보관장

소

통합정보시스템

개발실

전산자원의 보

안 및 안전을

위해 통제가 요

구되는 장소

(1) 통제구역임을 나타내는 표

식을 부착한다.

(2) 별도의 출입통제(시건장치,

출입제한 등)장치를 설치한다

접근 제어통제구역관리

전산센터사무실내방객

적용범위

(1) 운영환경과 개발실은 전

산원 직원과 통합정보시스템

개발자, 아웃소싱운영업

체 관련자 이외에는 출입이

통제되어야 한다.

(2) 내방객이 방문하는 직원

은 내부 직원이 인솔하여야

한다.

정책내용

접근제어출입관리

목적정책

III. 표준 ITA 보안 - SV1 보안정책 템플릿

21

참고한다

관련된다

관련된다

분화한다

사용한다

ARCHITECTURE_PRINCIPLE아키텍처원칙명칭아키텍처원칙설명근거원칙구분원칙타입

GUIDANCE지침명칭주요내용제정연도최근개정연월지침분야

ORGANI ZATI ON조직명조직의역할총인원수내외부조직구분

SECURITY_POLICY보안정책명칭보안정책내용보안정책목적보안정책적용범위

SECURITY_POLICY_CATEGORY보안정책분류식별자보안정책분류명칭보안정책분류설명

(FK)보안정책명칭

메타모델


22

엔티티명 속성명칭 속성정의

*SECURITY_POLICY* 보안정책보안정책

* 보안정책명칭 보안정책명칭

보안정책내용 보안정책설명

보안정책목적 보안정책목적

보안정책적용범위 보안정책적용범위

*SECURITY_POLICY_CATEGORY* 보안정책분류보안정책분류

* 보안정책분류식별자 보안정책분류식별자

* 보안정책명칭 (FK) 보안정책명칭

* 보안정책분류명칭 관리보안 : 001 시설보안 : 002 기술보안 : 003

보안정책분류설명 보안정책분류설명

ARCHITECTURE_PRINCIPLE아키텍처원칙아 키 텍 처 의 원 칙 ( 업 무 , 응 용 , 데이터 , 기술 , 보안 , ITA 원칙 등 )

* 아키텍처원칙명칭 아키텍처원칙명칭

아키텍처원칙설명 아키텍처원칙설명

근거 근거

* 원칙구분아키텍처 수행과 관리에 관한 원칙의 분류 기준업무원칙 : 001 응용원칙 : 002 데이터원칙 : 003 기술기반원칙 : 004정보기술관리 원칙 : 005 기타 ( 사용자정의 ) : 006

* 원칙타입 전사 및 개별사업별 원칙 구분전사 : 001 개별사업 : 002

GUIDANCE지침지침 , 규정 , 법률

* 지침명칭 지침명칭

주요내용 지침설명

제정연도 제정연도

최근개정연월 최근개정연월

* 지침분야 시스템관리 : 001 보안 : 002 구매 : 003 운영관리 : 004 기타 ( 직접기재 ) : 005

ORGANIZATION조직임무가 부여된 행정 조직

* 조직명 ※ 조직명 작명시 반드시 명칭이 중복되지 않도록 해야 한다 . 예 ) “ 총무과” -> “ 정통부 _ 총무과 , 전산원 _ 총무과”

조직의역할 조직의역할

* 내외부조직구분 내부조직 / 외부조직구분코드 (1: 내부 ,2: 외부 )

총인원수 총인원수


23

III. 표준 ITA 보안 - SV2 보안구성도 / 정의서 정의

전사차원의 보안요소의 구성 ( 관리 , 물리 , 기술 ) 을 개념적 수준에서 도식화 하여 표현한 산출물이다 . 다시 말하면 , 보안구조에 대한 청사진의 정의한 산출물

목적- 정보시스템의 정보보호 구성에 대한 청사진 제공 - 조직의 정보보호 구성에 의사 결정 지원 - 조직의 정보보호 요소와 정보시스템의 연관관계를 정의

주요설명- SV2 보안구성도 / 정의서는 조직의 업무기능과 요구사항을 만족 시킬 수 있는 정보보호 현황을 도식화 시켜 정의한 산출물

- 보안구성도에서는 목표 아키텍처의 보안요소에 대한 개략적인 모습을 정의하여 조직의 다양한 이해당사자와 대화의 수단으로 활용

- SV2 보안구성도는 일반적인 시스템 구성도나 네크워크 구성도와 마찬가지로 특정한 규칙을 갖고 작성되지는 않고 보안관점 산출물을 구성하며 식별된 “보안요소”를 포함하여 작성 .. 또한 보안구성도에 정의된 “보안요소”는 TV1표준프로파일 및 기술기반 관점 산출물에 반드시 명시하여야 함 .

24

침입차단시스템사용자

인터넷

F/R전용선

Bank Town

계정계 서버 정보계 서버 대외계 서버

R 전자금융서버CTI RARS RFAX

금융시스템

인터넷통합

시스템영업채널

정보시스템

침입탐지시스템


웹 서버 메일서버

DMZ

바이러스Wall

LDAP서버


기존방화벽 활용

신규방화벽가용성보장을위한 Load Balancing구

성

인증시스템

LDAP

바이러스방역NT서버바이러스방역

통합보안관리시스템

로그분석시스템

침입탐지시스템(IDS)

바이러스 WallSMTP,HTTP,FTP

로그분석시스템로그수집분석

통합보안관리시스템보안이벤트감시/관리

서버보안

인증 시스템

인증시스템공인인증기관RA

LDAP,SSO

III. 표준 ITA 보안 - SV2 보안구성도 / 정의서 템플릿

25

연관된다

연관된다

분화가능

관 계 한 다

사용한 다

연관된다

사용한다

사용한다

분화한다

사용된 다

배 치 된 다

관 계 한 다

연관된다

연관된다분화 한다

분화한다

출발

출발

도 착

도착

사 용 한 다

연 관 된 다

AP P LICATION_S YSTEM

응 용 시 스 템 명 칭약어응용시스 템설명응 용 시 스 템 상 태응용시스 템용도응용시스 템서비스종류활용업무내외부구 분연계기술 데이터연계기술 통신방식연계기술 보안사용네크 워크시스템유 형개발기간개발비용운용예정 일

HWARDWARE_ATTRIhwtp_ id

(FK)인프 라 스 트 럭 처 명 칭인터페이스종 류보안기능수량견적금액임차율포트수광단국구분운영체계부대설비디스크총용량디스크사용량CP U개 수CP U사 용률CP U속도메인메모리소요전력하드웨어용도연간유지보수 비율CP U종 류프린터종류백업매체종류백업용량백업소요시간백업주기백업매체저장소원격지백업관 리기관시리얼넘버

INFRASTRUCTURE

인 프 라 스 트 럭 처 명 칭인 프라스트럭처설명영문정식명칭약 어인 프라용도인 프 라 상 태개 발단계버 전사 용년수구매비용도 입연월

IP사 용제 조사모델명도 입방법보 안평가등급

(FK)솔루션명 칭 (FK)표 준 명 칭

(FK)인 프 라 타 입 명 칭 (FK)업 무논리노드 명 칭

INFRA_ INTERFACE- (FK)출발 인 프 라 스 트 럭 처 명 칭- (FK)도착 인 프 라 스 트 럭 처 명 칭

인프라인 터페이스명칭인프라인 터페이스설명인터 페 이 스 상 태출발인프 라명칭도착인프 라명칭매체유형

(FK)표준 명 칭

INFRA_TYP E인 프 타 입 명 칭인프라타입설명인 프 라 타 입코드

NETWORK_ATTRInwtp_ id

(FK)인 프 라 스 트 럭 처 명 칭네트워크명 칭네트워크설 명네트워크타 입최대전송률최소전송률

IP사용 대역사용서비스 종류주소체계연결기관수회선사용료회선용량회선수

IP공인 개수/백업 재해복구 구분

회선구간복구시간회선구분고도화사유정보통신서 비스변경후증속속도회선수변경후예산확보여 부추진시기구내통신망관련노드명백본구성방 식NMS 유무TMS 유무정보통신망관리방법서비스품질관리방법관리체계정립여부관리체계정립주체평균이용률최대이용률증속기준유 무평균장애건수주요장애원 인CP U평균이용률CP U최대이용률업그레이드 기준운영환경도입사유도입방법도입예정시 기시리얼넘버

ORGANI ZATI ON조 직 명조직 의역할총인 원수내 외 부 조 직 구 분

S OFTWARE_ATTRIs wtp_ id

(FK)인 프 라 스 트 럭 처 명 칭연간 유지보수비율사용 자수소프 트웨어타입그룹웨어연결범위그룹웨어활용업무유지 보수방법P C용응용용도P C용응용개발기 간P C용응용개발업 체P C DB응용사용P C응용연계기관 명P C응용연계시스 템명P C응용이용정보 명P C응용이용형태시리얼넘버

LOCATI ON_NODE업 무 물 리노드 명 칭물리노드설명건물명주소우편번호운영면적공간활용도

BUSI NES_LOGI CAL_NODE업 무논리노드 명 칭업무논리노드설 명

S ECURITY_ELEMENT보 안 요 소 명 칭보안요소 설명

S Q_ELE_RELATIONS HIP

- (FK)출 발 보 안 요 소 명 칭- (FK)도 착 보 안 요 소 명 칭

보안요소관계명 칭보안관계요소설 명

III. 표준 ITA 보안 - SV2 보안구성도 / 정의서 메타모델

26


*SECURITY_ELEMENT* 보안요소보안요소를 정의하기 위한 엔티티

* 보안요소명칭 보안요소명칭

보안요소설명 보안요소설명

SQ_ELE_RELATIONSHIP보안요소관게보안요소간의 연관관계를 정의하기 위한 엔티티

* 출발 - 보안요소명칭 보안요소명칭

* 도착 - 보안요소명칭 보안요소명칭

보안관계요소설명 보안관계요소설명

APPLICATION_SYSTEM어플리케이션시스템어플리케이션의 최상위 개념

* 응용시스템명칭 응용시스템 명칭

* 응용시스템 상태 응용시스템 상태

연계기술보안 NPKI: 001 GPKI : 002

HWARDWARE_ATTRI하드웨어속성하드웨어와 관련된 속성집합 엔티티

*HWTP_ID 하드웨어타입 아이디

보안기능 패킷필터링 포함여부 , 포함 001

INFRA_TYPE 인프라스트럭처유형

인프라스트럭처의 타입을 결정하는 엔티티

* 인프타입 명칭 인프라스트럭처 명칭

* 인프라타입코드 방화벽 006, 보안서버 024

INFRASTRUCTURE 인프라스트럭처 기술구조의 최상위 모델로 하드웨어 , 소프트웨어 , 네트워크를 구성하는 최상위 요소

* 인프라스트럭처병칭 인프라스트럭처명칭

보안평가등급 국가정보원 보안시스템 평가등급

III. 표준 ITA 보안 - SV2 보안구성도 / 정의서

27

III. 표준 ITA 보안 - SV3 보안관계기술서

정의보안요구사항을 명시하고 각 기능의 세부구성요소를 기술하며 물리 , 논리 , 기술 , 설비별 보안구조를 정의한 산출물

목적- 정보보호 요소의 상세 구성 정의 및 파악 - 정보보호 요소간의 연관성 정의 및 파악

주요설명- SV3보안관계기술서는 “보안요소”의 논리적 연관성과 명세를 정의한 산출물 .

개별적으로 정의된 “보안요소”를 통합하여 도식화 시킨 산출물 . - SV2 보안구성도 / 정의서에는 정보시스템 관점에서 어떠한 보안요소가 정보시스템과

연관성을 갖는지를 표현하였다면 본 산출물은 보안요소의 상세명세를 분류하여 논리적 관계를 정의

- 작성 시 주의 할 점은 “보안요소”가 구체화가 되면 TV1 표준프로파일 산출물의 “표준”과 유사하거나 동일 할 수 있기 때문에 “기술 표준”이 물리적 관점의 요소라면 , “ 보안요소”는 논리적 관점의 요소이기 때문에 이점을 유의하여 정의

28

연관된다

분화가능

사용한다 사용한다

사용한다

분화한다

분화한다

관련된다

연관된다

연관된다

연관된다

분화한다

연관된다

연관된다

분화한다연관된다

분화한다

연관된다

사용한다APPLICATION_SYSTEM응용시스템명칭약어응용시스템설명응용시스템상태응용시스템용도응용시스템서비스종류활용업무내외부구분연계기술데이터연계기술통신방식연계기술보안사용네크워크시스템유형개발기간개발비용운용예정일

HWARDWARE_ATTRIhwtp_id

(FK)인프라스트럭처명칭인터페이스종류보안기능수량견적금액임차율포트수광단국구분운영체계부대설비디스크총용량디스크사용량CPU개수CPU사용률CPU속도메인메모리소요전력하드웨어용도연간유지보수비율CPU종류프린터종류백업매체종류백업용량백업소요시간백업주기백업매체저장소원격지백업관리기관시리얼넘버

INFRASTRUCTURE

인프라스트럭처명칭인프라스트럭처설명영문정식명칭약어인프라용도인프라상태개발단계버전사용년수구매비용도입연월

IP사용제조사모델명도입방법보안평가등급

(FK)솔루션명칭 (FK)표준명칭

(FK)인프라타입명칭 (FK)업무논리노드명칭

NETWORK_ATTRInwtp_id

(FK)인프라스트럭처명칭네트워크명칭네트워크설명네트워크타입최대전송률최소전송률

IP사용 대역사용서비스종류주소체계연결기관수회선사용료회선용량회선수

IP공인 개수/백업재해복구구분

회선구간복구시간회선구분고도화사유정보통신서비스변경후증속속도회선수변경후예산확보여부추진시기구내통신망관련노드명백본구성방식NMS유무TMS유무정보통신망관리방법서비스품질관리방법관리체계정립여부관리체계정립주체평균이용률최대이용률증속기준유무평균장애건수주요장애원인CPU평균이용률CPU최대이용률업그레이드기준운영환경도입사유도입방법도입예정시기시리얼넘버

SECURITY_POLICY

보안정책명칭보안정책내용보안정책목적보안정책적용범위



SOFTWARE_ATTRIswtp_id

(FK)인프라스트럭처명칭연간유지보수비율사용자수소프트웨어타입그룹웨어연결범위그룹웨어활용업무유지보수방법PC용응용용도PC용응용개발기간PC용응용개발업체PC DB응용사용PC응용연계기관명PC응용연계시스템명PC응용이용정보명PC응용이용형태시리얼넘버

SECURITY_MANUAL보안매뉴얼명칭보안매뉴얼설명보안매뉴얼작성자보안매뉴얼버전보안매뉴얼재개정이력보안매뉴얼위치

SECURITY_PHYSICAL물리보안요소명칭물리보안요소설명물리보안요소고려사항

(FK)보안요소명칭

SECURITY_PROCEDURE관리보안절차명칭관리보안구성요소설명관리보안고려사항


SECURITY_ELEMENT

보안요소명칭보안요소설명

SECURITY_TECHNOLOGY

기술보안요소명칭기술보안요소설명기술보안분류기술보안요소고려사항


III. 표준 ITA 보안 - SV3 보안관계기술서 메타모델

29


*SECURITY_ELEMENT* 보안요소보안요소를 정의하기위한 엔티티



SECURITY_PHYSICAL물리보안요소물리보안요소

* 물리 * 보안요소명칭 물리보안요소명칭

* 보안요소명칭 (FK) 보안요소명칭

물리보안요소설명 물리보안요소설명

물리보안요소고려사항 물리보안요소고려사항

SECURITY_POLICY보안정책보안정책





SECURITY_POLICY_CATEGORY보안정책분류보안정책분류





SECURITY_PROCEDURE보안절차관리보안

* 관리보안절차명칭 관리보안절차명칭


관리보안구성요소설명 관리보안구성요소설명

관리보안고려사항 관리보안고려사항

SECURITY_TECHNOLOGY보안기술기술보안

* 기술보안요소명칭 기술보안요소명칭


기술보안요소설명 기술보안요소설명

기술보안분류 서버보안 : 001 네트워크보안 : 002 어플리케이션보안 : 003데이터베이스보안 : 004 PC 보안 : 005

기술보안요소고려사항 기술보안요소고려사항

III. 표준 ITA 보안 - SV3 보안관계기술서

30

III. 표준 ITA 보안 - SV4 관리보안설계서 정의

소유자 수준에서 정의된 보안 속성을 기반으로 보안관리를 위한 요구사항과 명세를 정의한 산출물

목적- 정보보호 대책을 정의해야 하는 대상에 대한 관리적 보호 방안의 수립

주요설명- 보안정책 수립 보안정책이란 정보 자산을 어떻게 관리하고 보호할 것인가에 대한 지침과 규약을 문서로 기술해 놓은 것으로 , 조직에서 정보자산을 안전하게 보호하고 효율적으로 사용하기 위해서 최우선적으로 수립 . - 인원관리 정보시스템이 아무리 기술적으로 완벽하게 이루어져 있다 하더라도 중요한 것은 정보시스템을 사용하는 각각의 개인에게 가장 큰 보안의 주요 책임이 있다 . 이를 위하여 각 기관 및 조직의 보안 담당자는 정기적으로 실질적인 보안교육을 실시하여 시스템을 사용하는 사람에게 보안의식을 함양하게 하여야 한다 . 또한 감시 및 보안감사를 실시하여 보안의 취약점을 발견 , 이를 개선 강화하여야 한다 . - 절차 (Procedure) 관리 정보시스템의 보안 취약점 중에는 미숙한 사용자에 의한 시스템 위협 , 즉 백업데이터가 없어 정보시스템을 위협하는 경우가 발생한다 . 이를 위해 백업절차 및 새로운 사용자를 위해 정보시스템 사용절차를 문서화하여야 한다 .

- 사고대책관리 정보 시스템이 만약이 재난이나 , 보안 위협에 노출되어 통합 정보 서비스에 문제가 발생할 경우를 대비하여 ,

빠른 기간 내에 복구될 수 있도록 재난복구절차 (DRP: Disaster Recovery Plan) 을 마련하여야 한다 .

31

관련된다

연관된다

연관된다

분화한다

연관된다연관된다

분화한다

분화한다


사용한다








SECURITY_TECHNOLOGY기술보안요소명칭기술보안요소설명기술보안분류기술보안요소고려사항


SECURITY_ELEMENT보안요소명칭보안요소설명


III. 표준 ITA 보안 - SV4 관리보안설계서 메타모델

32


*SECURITY_ELEMENT* 보안요소



*SECURITY_PROCEDURE* 보안절차관리보안



관리보안구성요소설명 관리보안구성요소설명

관리보안고려사항 관리보안고려사항

SECURITY_MANUAL보안매뉴얼조직의 정보보호를 위한 지침서

* 보안매뉴얼명칭 보안매뉴얼명칭

보안매뉴얼설명 보안매뉴얼설명

* 보안매뉴얼작성자 보안매뉴얼작성자

* 보안매뉴얼버전 보안매뉴얼버전

* 보안매뉴얼재개정이력 보안매뉴얼재개정이력

보안매뉴얼위치 보안매뉴얼위치


* 물리보안요소명칭 물리보안요소명칭











* 보안정책분류명칭 보안정책분류명칭관리보안 : 001 시설보안 : 002 기술보안 : 003


SECURITY_TECHNOLOGY보안기술 기술보안



기술보안요소설명 기술보안요소설명

기술보안분류 서버보안 : 001 네트워크보안 : 002 어플리케이션보안 : 003데이터베이스보안 : 004 PC 보안 : 005

III. 표준 ITA 보안 - SV4 관리보안설계서

33

III. 표준 ITA 보안 - SV5 물리보안설계서

정의소유자 수준에서 정의된 보안 속성을 기반으로 물리보안을 위한 요구사항과 명세를 정의한 산출물

목적- 정보보호 대책을 정의해야 하는 대상에 대한 물리적 보호 방안의 수립

주요설명- 물리적 보안은 정보 시스템 전산실 및 업무적으로 보안이 유지되어야 할 중요 정보 보관 위치는 비인가자에 대한 출입을 엄격히 통제해야 함

- 물리적 시설을 운영하게 하는 부대시설 ( 공조시설 , 전원실 , 통신실 등 ) 또한 접근통제 구역으로 설정되어야 함

- 정보자산에 대한 안전성을 확보하기 위한 백업 및 소산등의 방안이 마련되어야 하며 보안과 관련된 설비보안 절차등이 수립되어야 함 .

34

분화한다

분화한다관련된다

연관된다

연관된다

연관된다


연관된다

분화한다

연관된다

사용한다

분화한다

INFRASTRUCTURE인프라스트럭처명칭인프라스트럭처설명영문정식명칭약어인프라용도인프라상태개발단계버전사용년수구매비용도입연월















메타모델


35


*SECURITY_ELEMENT * 보안요소 * 보안요소명칭 보안요소명칭

*SECURITY_PHYSICAL* 물리보안요소물리보안요소

* 물리 보안요소명칭 물리보안요소명칭




INFRASTRUCTURE인프라스트럭처기술구조의 최상위 모델로 하드웨어 , 소 프 트웨어 , 네 트 워 크 를 구 성 하 는 최상위 요소

* 인프라스트럭처명칭 인프라스트럭처명칭

* 인프라타입명칭 (FK) 인프라타입명칭

* 인프라상태 인프라상태

* 표준명칭 (FK) 표준명칭

* 솔루션명칭 (FK) 솔루션명칭

* 업무논리노드명칭 (FK) 업무논리노드명칭






SECURITY_POLICY 보안정책 * 보안정책명칭 보안정책명칭











기술보안분류 기술보안분류


36

III. 표준 ITA 보안 - SV6 기술보안설계서 정의

소유자 수준에서 정의된 보안 속성을 기반으로 기술보안을 위한 요구사항과 명세를 정의한 산출물

목적- 정보보호 대책을 정의해야 하는 대상에 대한 기술적 보호 방안의 수립 - 서버보안 , 데이터베이스보안 , 네트워크보안 , 응용시스템 보안 등에 대한 보호 방안 수립

주요설명- 서버 ( 시스템 ) 보안 시스템 소프트웨어 (OS, 데이터베이스 관리시스템 , 네트워크 관리시스템 ) 는 정보시스템 운영의 기본이 되는 것으로 이의 손상 및 침해 시에는 전 업무의 마비가 초래될 수 있는 매우 중요한 보호 대상 이므로 어떠한 경우에도 중단되지 않도록 보호 대책 강구 - 데이터베이스 보안 정보 시스템은 신속 , 정확한 정보지원이 요구된다 . 따라서 기록정보의 조회 및 각종 상황 자료 등 필요한 정보 요구 시 필요한 데이터가 정확하게 적시적소에 전달되도록 보장 각 기업이나 조직의 응용 소프트웨어 ( 예 : 인사기록 DB, 재무회계 , 급여 DB 등 ) 는 정보시스템 운영에 필요한 제반 정보들이 무단 변경이나 파괴 , 변조 , 유출되지 않도록 철저한 데이터베이스 보안대책을 강구하고 있어야 함 . 이는 데이터베이스 관리시스템의 고유 보안기능에 의해 통제될 수 있음- 네트워크 보안 정보 시스템은 신속 , 정확한 정보제공을 위해 정보의 이동로인 LAN, 유무선 통신 , 네트워크를 통한 신뢰성 있는 정보 전송이 확보 . 이러한 신뢰성을 위협하는 외부 침입자에 대해 철저히 대응하기 위해 정보 시스템은 외부와의 접속을 허용하지 않는 독립적인 네트워크가 되도록 하는 것이 좋으나 , 업무적으로 외부와 접속이 필요할 경우에는 반드시 전용선 또는 암호화 통신을 이용하여 구축하고 , 인터넷을 통해 정보 시스템에 접근할 경우는 방화벽을 구축하여 외부 망에서 방화벽 내부 즉 , 기업이나 조직의 정보 시스템에 접근하기 위해서는 방화벽에서 철저한 사용자 인증절차를 거쳐 해당 서버에 접근하도록 통제 - 응용시스템의 보안 응용시스템의 불법 사용으로 인한 허위 정보의 입력 , 삭제 , 변경 등으로 업무의 혼선 및 혼란을 유발할 수 있다 . 따라서 보안의 주요대상이 되는 기업이나 조직의 중요응용 프로그램은 정보시스템에서 운영되는 응용시스템의 주요 보안대상으로 , 보안 취약성을 파악 , 인증성 및 무결성을 높이게 하여야 한다 . 이를 위해 인증서버에 인증 절차를 거쳐 해당 응용 시스템을 사용할 권한이 있는지 여부를 시스템적으로 처리하여 비 인가된 사용자의 접근을 막아야 한다 . 또한 인증절차의 관리의 효율을 위하여 통합인증 체계의 구축 등을 고려할 필요가 있음 .

37

분화한다

관계된다

사용된다분화한다

연관된다

사용된다

관련된다

관련된다

연관된다

연관된다

연관된다

연관된다

연관된다

분화한다

연관된다

연관된다

연관된다

분화한다

연관된다

분화한다

연관된다

분화가능

분화한다

사용한다SECURITY_POLICY보안정책명칭보안정책내용보안정책목적보안정책적용범위





STANDARD표준명칭표준번호표준설명표준제정기관표준상태참고표준

(FK)기술서비스명칭 (FK)아키텍처원칙명칭

SOLUTION솔루션명칭솔루션설명제품버전제작사제작일자도입일자솔루션유형







APPLICATION_SYSTEM응용시스템명칭약어응용시스템설명응용시스템상태응용시스템용도응용시스템서비스종류활용업무내외부구분연계기술데이터연계기술통신방식연계기술보안사용네크워크시스템유형개발기간개발비용운용예정일

INFRASTRUCTURE인프라스트럭처명칭인프라스트럭처설명영문정식명칭약어인프라용도인프라상태개발단계버전사용년수구매비용도입연월




III. 표준 ITA 보안 - SV6 기술보안설계서 메타모델

38


*SECURITY_ELEMENT * 보안요소 * 보안요소명칭 보안요소명칭

*SECURITY_PHYSICAL* 물리보안요소물리보안요소





INFRASTRUCTURE인프라스트럭처기술구조의 최상위 모델로 하드웨어 , 소프트웨어 , 네트워크를 구성하는 최상위 요소이다 .

* 인프라스트럭처명칭 인프라스트럭처명칭

* 인프라타입명칭 (FK) 인프라타입명칭

* 인프라상태 인프라상태

* 표준명칭 (FK) 표준명칭

* 솔루션명칭 (FK) 솔루션명칭

* 업무논리노드명칭 (FK) 업무논리노드명칭

보안평가등급 국가정보원 보안시스템 평가 등급







SECURITY_POLICY 보안정책 * 보안정책명칭 보안정책명칭











기술보안분류 기술보안분류

III. 표준 ITA 보안 - SV6 기술보안설계서

39

III. 표준 ITA 보안 - SV7 보안매뉴얼 정의

보안매뉴얼은 보안아키텍처에서 정의된 보안요소가 실 보안매뉴얼과 어떠한 연관관계를 갖고 있는 지를 정의한 산출물

목적- 보안 아키텍처의 정보 ( 보안요소 ) 가 활용된 보안매뉴얼 ( 표준 지침 ) 의 식별 - 보안요소 및 기반구조와의 보안 메뉴얼과의 연관성 식별

주요설명- 보안아키텍처 정의를 통해 식별된 다양한 보안요소가 어떠한 보안매뉴얼과 관련성을 갖게 되는 지를 정의한 산출물

- 현행아키텍처와 목표아키텍처를 구분하여 2 가지 목적으로 사용 할 수 있다 . 현행아키텍처 정의일 경우에는 현재 조직의 보안요소가 어떠한 것들이 있으며 , 보안요소들이 어떠한 표준화 된 지침으로 구성되어 있는 지를 식별하여 아키텍처 작성을 용이하게 하는 용도로 사용 할 수 있으며 , 두 번째 목표아키텍처 정의 시에는 목표 정보시스템에 적용되는 정보보호 원칙과 규칙에 의해 정의되어야 할 보안매뉴얼의 명칭과 내용 등을 정의한 산출물로 작성을 함

40

보안매뉴얼작성

보안매뉴얼설명

보안매뉴얼 6

보안매뉴얼 5

보안매뉴얼 4

보안매뉴얼 3

보안매뉴얼 2

보안매뉴얼개정이력

보안매뉴얼위치

보안매뉴얼버전

관련보안요소명

보안매뉴얼 n

보안매뉴얼 7

보안매뉴얼명칭

보안매뉴얼 1

III. 표준 ITA 보안 - SV7 보안매뉴얼 템플릿

41

분 화 한 다

관 련 된 다

분 화 한 다

연 관 된 다

연 관 된 다연 관 된 다

분 화 한 다연 관 된 다 연 관 된 다

분 화 한 다

사 용 한 다

S E C U R IT Y _ M A N U AL보 안 매 뉴 얼 명 칭보 안 매 뉴 얼 설 명보 안 매 뉴 얼 작 성 자보 안 매 뉴 얼 버 전보 안 매 뉴 얼 재 개 정 이 력보 안 매 뉴 얼 위 치

S E C U R IT Y _ P O L IC Y보 안 정 책 명 칭보 안 정 책 내 용보 안 정 책 목 적보 안 정 책 적 용 범 위

S E C U R IT Y _ P R O C E D U R E관 리 보 안 절 차 명 칭관 리 보 안 구 성 요 소 설 명관 리 보 안 고 려 사 항

( F K )보 안 요 소 명 칭

S E C U R IT Y _ E L E M E N T보 안 요 소 명 칭보 안 요 소 설 명

S E C U R IT Y _ P H Y S IC A L물 리 보 안 요 소 명 칭물 리 보 안 요 소 설 명물 리 보 안 요 소 고 려 사 항

( FK )보 안 요 소 명 칭

S E C U R IT Y _ P O L IC Y _ C A T E G O R Y보 안 정 책 분 류 식 별 자보 안 정 책 분 류 명 칭보 안 정 책 분 류 설 명

( FK )보 안 정 책 명 칭

S E C U R IT Y _ T E C H N O L O G Y기 술 보 안 요 소 명 칭기 술 보 안 요 소 설 명기 술 보 안 분 류기 술 보 안 요 소 고 려 사 항

( FK )보 안 요 소 명 칭

메타모델

III. 표준 ITA 보안 - SV7 보안매뉴얼

42


*SECURITY_ELEMENT* 보안요소보안요소를 정의하기 위한 엔티티



*SECURITY_MANUAL* 보안매뉴얼조직의 정보보호를 위한 지침서


보안매뉴얼설명 보안매뉴얼설명
























III. 표준 ITA 보안 - SV7 보안매뉴얼

43

III. 표준 ITA 보안 - 산출물간의 관계

44

III. 표준 ITA 보안 - 참조모델

45

V. 결론

프레임웍을 통한 빠짐없는 체계

프로세스 중요

신규 개발에 적용 확장

46

감사합니다 !인포섹 컨설팅본부장 신수정

[email protected]

Documents

범정부 ITA 보안 아키텍쳐