Embed Size (px)
DESCRIPTION
Â
Citation preview
1
(A2 진공흡착 스캐너) (A2 도면 스캐너)
( 서버 및 조달 PC)
서울시 은평구 은평로 13길 12-1번지 (해명빌딩 B동1층) 홈 페이지: www.comnetsystem.co.kr TEL : 02-323-8773 / FAX : 02-865-8774
컴넷시스템
Index
2
I. Image 암호화 개요
1.Image 시스템 개요
2.Image 시스템 암호화의 필요성
3.Image 시스템 암호화
II. D'Amo for Image Data 소개
1.소개
2.구성
3.기능 및 특장점
III. 참고자료
1.인증 현황
2.Key Hierarchy & Lifecycle 설계
Image 시스템은 스캔파일, 계약서, 설계도면 등의 비정형 데이터를 관리하는 전사적 시스템입니다.
전사적 EDMS(Electronic Document Management System)의 종류로 기업에서 사용하는 관리 시스템
• 특히 금융권에서 계좌 개설, 청약, 대출 및 심사, 공과금 납부 등에서 발생되는 수 많은 Image 파일을 체계적으로 관리하기 위하여 활용
Ⅰ-1, Image 시스템 개요
창구 단말
스캐너
공과금 수납기
Image 서버
Image DB
Storage
Image 시스템
영업점
1. Image 생성
1. Image 생성
2. Image+메타데이터 전송
2. Image+메타데이터 전송
3. 메타데이터 저장
4. Image 저장
Image 데이터 안에 담긴 다양한 개인정보들이 위험에 노출되어 있습니다
많은 기업에서 데이터화된 개인정보는 데이터베이스에 보관하여 암호화, 접근제어 등의 보안 장치를 적용
Image 파일 안의 개인정보나 기밀정보의 경우, 보호 조치 없이 파일 형태로 보관되어 있어 위험에 노출
면적측정부
폐쇄지적도 측량결과도
구 토지대장 건축물대장 토지이동결의서
Ⅰ-2, Image 시스템 암호화의 필요성
4
Storage
비인가자
Image 서버
Image 데이터 보안을 위해서는 Image를 업로드, 전송, 저장하는 모든 구간에 대한 암호화가 필요합니다.
Image 저장소 뿐만 아니라, 업로드부터 전송까지 개인정보가 포함된 Image 파일이 거치는 모든 구간에 대한 보안 필요
Ⅰ-3, Image Data 암호화
5
창구 단말
스캐너
공과금 수납기
Image 서버
Image DB
Storage
Image 시스템
영업점
Image의 안전한 보관
2 Image의 안전한 전송
3
1 Image 유출방지
D'Amo for Image Data는 Image 데이터에 최적화된 암호화를 통해 강력한 보안을 제공합니다.
암호화, 접근제어, 감사 기록, 권한 분리, 키 관리 등의 핵심 보안 기능을 제공
Ⅱ-1, D'Amo for Image Data 소개
6
키관리
03
암호화
01
접근제어 & 감사로그
02
국정원 검증필 암호모듈을 통한 검증된 암호화 알고리즘 사용
이미지 데이터 암호화에 최적화된 암호화 기술을 사용하여 성능 최적화
초기 암호화 툴 및 전용 Viewer 제공
암호화 이후 접근제어, 권한분리 등을 통한 보안성 강화
체계화 되고, 세분화된 감사 로그를 통한 현황 관리
CC인증 EAL3+ 획득한 키관리서버
H/W Appliance 타입의 암호화 키관리 기능 제공
Key Lifecycle 관리 뿐만 아니라, 암호화, 접근제어, 감사로그 기능 제공
D'Amo for Image Data는 암호화 Agent와 D’Amo KMS로 구성됩니다.
암호화 Agent는 Image 서버 또는 청구 단말에 적용하여 Image 파일을 암호화
D’Amo KMS는 암호화 키관리를 통해 강력한 암호화 키관리 기능을 제공
Ⅱ-2, D'Amo for Image Data 구성
7
청구 단말 Storage Image 서버
Image 암호화된 Image
D’Amo KMS
암호화 키
암호화 Agent
암호화 이후에도 Image 파일의 분류, 형식 등의 메타 데이터를 확인할 수 있습니다.
메타 데이터가 있는 경우, 메타 데이터를 제외하고 Image만 암호화를 적용하여, 메타 데이터 활용 가능
전용 Image Viewer 를 활용하여, 권한이 있는 사용자만 Image 파일 접근 및 확인 가능
Ⅱ-3-1 D'Amo for Image Data 기능 및 특장점
8
Image 파일 암호화
메타 데이터
Image 파일
파일 메타 데이터
Image 데이터
전체 파일 암호화
전용 Image Viewer
파일명
생성일
파일분류
저장 디렉터리
암호화 Image
Storage 안의 기존 Image 파일 암호화를 위한 유틸리티를 제공하여, 편리한 초기 암호화를 지원합니다.
초기 암호화, 배치 암호화 작업 등에 활용 가능
Ⅱ-3-2, D'Amo for Image Data 기능 및 특장점
9
기존 Storage 신규 Storage Image 서버
암호화된 Image
실시간 Batch
암호화전 Image
Batch Util.
D’Amo KMS를 이용하여 종단간 암호화 (end2end encryption) 기능을 제공합니다.
Image 파일이 스캔 또는 입력되는 단말기부터 Image 서버까지 암호화 가능
Ⅱ-3-3, D'Amo for Image Data 기능 및 특장점
10
창구 단말
공과금 수납기
Image 서버
Image 암호화 모듈
KMS
2
Image 암호화용 키 전달 1
암호화된 Image 전송
Storage
3 Image 저장
Hybrid Encryption(데이터 암호화 + 키 암호화)을 통해 암호화 키 보안성을 향상시킬 수 있습니다.
보안 기술적으로 단말기에서 임의의 암호화 키를 생성하여 암복호화를 진행하기에 자체적인 단말기 보안 가능
• 고정 키를 사용하거나, 각 단말기마다 다른 키를 사용할 수 있음
서버의 공개키만 단말기로 배포되고, 서버의 개인키는 서버에만 존재하므로 키에 대한 보안성 확보 가능
• 암호학의 공개키쌍 시스템에서 “공개키” 는 데이터를 암호화만 가능하고, 이를 “개인키” 로만 복호화 할 수 있음
• “개인키”는 서버에만 존재하므로 보안적으로 서버 이외의 장소에서는 데이터를 복호화 할 수 없음
• 일방향 암호화의 경우, 복호화가 불가능 함 (비밀번호 암호화의 경우)
Ⅱ-3-4, D'Amo for Image Data 기능 및 특장점
11
청구 단말 / 암호화 모듈
Image 서버
③ 암호화된 데이터 암호화된 암호화 키 전송
(구간 암호화 적용)
9440-2093-2353-3895 4009-2858-5875-1793 4010-3851-3852-3854
데이터 원본
+
① 데이터를 암호화 키로 암호화
암호화 키
+
② 암호화 키를 공개키로 암호화
암호화 키 서버 공개키
④ 암호화된 암호화 키를 서버 개인키로 복호화
암호화된 암호화 키
서버 개인키
+
⑤ 암호화된 데이터를 암호화 키로 복호화
2782-4362-3536-1857 5490-7855-5785-2572 6590-2755-3158-2477
암호화 데이터
+ 암호화 키
KMS에서 보관하고 있는 암호화 키는 이전이나 장애, 기타 다양한 이유로 KMS내의 키의 별도 보관이 필
요한 경우를 대비하여 다양한 백업 절차가 마련되어 있습니다
Ⅱ-3-5 D'Amo for Image Data 기능 및 특장점
12
전산센터 (운영)
전산센터 (DR)
SG-KMS#2
SG-KMS#1
1 이중화 장비로 백업
SG-KMS#3
DR 장비로 백업
Cloud 서비스 서버
Internet
5 Cloud 백업
3
서버
2
고객사가 지정한 특정 서버에 백업
4 매체 백업
제안사 클라우드 서비스
D’Amo LMS와 연동을 통해 암호화된 Image 파일에 대한 사용 현황을 한눈에 파악할 수 있습니다.
D’Amo 에서 생성되는 모든 로그를 LMS에서 관리하여 암호화된 파일의 암호화 해제, 복호화 요청 등의 통계 확인 가능
Ⅱ-3-6 D'Amo for Image Data 기능 및 특장점
13
암호화된 Image 원본 이중암호화 방지 Tag
암호파일 생성일
원본 파일명
암호 요청자
LMS
타사 Image 암호화 솔루션과의 연동 기능을 제공합니다.
D’Amo KMS를 활용하여 타사 Image 암호화 솔루션의 키관리 및 연동 가능
Ⅱ-3-7, D'Amo for Image Data 기능 및 특장점
14
창구 단말
공과금 수납기
Image 서버
타사 단말보안솔루션
KMS
Storage
타사 Image 암호화 키 등록 1
암호화된 Image 2
3
타사 Image키 및 보관용 키 획득
4 타사 Image키로 복호화 및 보관용 키로 재암호화
5 Image 보관
D’Amo는 다양한 인증 획득한 검증된 제품입니다.
• 검증필 암호모듈의 경우, 별도 검증서를 발급하지 않으며, 국가사이버안전센터 검증필 암호모듈 목록에서 확인 가능합니다.
Ⅲ-1, D’Amo 인증 현황
18
< D’Amo v3.0 GS 인증 >
(2012/10/08 획득)
< 미연방정보처리표준 (FIPS) 인증 >
(AES, TDES 인증)
< 검증필 암호모듈 인증 (S/W 라이브러리) >
(2013/11/01 획득)
< 검증필 암호모듈 인증 (S/W 제품) >
(2012/12/24 획득)
암호화 키의 보안성 확보를 위해 용도별, 저장 위치별로 체계(Hierarchy)와 Lifecycle 을 정의해야 합니다.
암호화 시스템 구축과정에서 가장 중요한 부분으로, POS 시스템 보안컨설팅 결과를 반영하여, 가장 안전한 시스템이 설계되도록 지원하겠습니다.
암호화 Key 저장 위치는 서비스의 가용성과도 밀접한 관련이 있습니다.KMS를 이용한 보안성 강화와 함께 KMS 장애에 대해서 저항성이 있는 시스템 설계를 제공하겠습니다.
Ⅲ-2, Key Hierarchy & Lifecycle 설계
16
Key 분류 Key 종류 저장 위치 암호화 Key 생성 변경 삭제 …
Key Management
Master Key (RootKey) KMS -
Key Encryption Key (KEK) KMS -
Key Exchange Key EKW or EKD
Each User Key
Authentication Key User Schema KEK
Personal Information Encryption Key User Schema KEK
Message Encryption Key User Schema KEK
Operational Key Encryption Key for each WAS (EKW) KMS -
Encryption Key for each DBMS (EKD) KMS -
Transaction Encryption Key WAS EKW
Etc. Chatting Room Key …
DBMS KEK
Key Hierarchy & Lifecycle 설계를 위한 주요 항목 예)
