DBSAFER 제품 소개서 - (주)영민시스템제품특징 • • 모니터링만 할 경우 권장 소규모적용시가격유리 • Gateway 방식에서 우회경로차단및서버

2012

DBSAFER 제품 소개서

I. DB 보안 개요

1. DB 보안 도입 필요성 및 기대효과

2. DB 접근제어시스템 개요

3. DB 보안방식별 특징 비교

II. 솔루션 소개

1. DBSAFER 솔루션 개요

2. 시스템 구성방식

3. 주요기능 및 특장점

III. DBSAFER 특장점

IV. 회사 소개 및 구축사례

1. 일반현황 및 연혁

2. 품질인증

3. 레퍼런스

4. 구축사례

Why PNPSECURE

목 차

Ⅰ. DB 보안 개요

1. DB 보안 도입 필요성 및 기대효과

2. DB 접근제어시스템 개요

3. DB 보안 방식별 특징 비교

Copyright ⓒ 2010 PNPSECURE Corp., All rights reserved. 3

엄격한 보안등급에 의해

계정 관리가 현실적으로 어려움

관리자(DBA)의 권한 집중화

방화벽에서 콘텐츠까지

동일한 수준의 보안 요구

단계별 구획화하고

핵심자산 중점 관리 필요

정보 유출 및 해킹 범죄 건수가

매년 2배씩 증가

보안 침해 사고의 70~80%가

내부자의 정보유출에 의해 발생

개인정보보호 의무 위반한 업체에

배상명령(개인정보분쟁위원회)

방송통신위원회 규정 법안 준수

Basel II , SOX , ISO 17799 등의

정보에 대한 기밀성 유지 관련

Compliance 준수

1. DB 보안 도입의 필요성 I. DB 보안 개요

중요 정보에

대한

위협 증가

전문적인 DB 보안

관리 체계 필요

데이터베이스

보안 취약성

개인정보보호

법률 강화

전사적

보안관리

체계


1. DB 보안 도입의 필요성 - 실제 사례 I. DB 보안 개요

국내 모정유사의 고객 개인정보 유출 과정

DB에 있는 고객정보를 읽기 위해 필요한 SQL Client Program을 사용하여 다운로드

다운로드를 2만 건씩, 5~6백번에 걸쳐 작업 반복

고객정보 엑셀프로그램에 복사해서 붙임(단, 2만 건씩, 5~6백번에 걸쳐 붙일 수도 있고 한

번에 천백만 건의 정보를 붙였을 수도 있음)

엑셀 내 고객정보를 DVD 6장으로 옮김

※주민번호, 카드번호 등의 중요 개인정보가 허용량 이상 나갈 때는 결정권자에게 승인을 얻거

나, 보안담당자에게 실시간으로 문자나 이메일 등의 경고(Alert) 시스템 보안이 이루어졌다

면 2만 건씩이나 되는 고객정보를 5~6백번에 걸쳐 반복해 다운로드할 수는 없었다.

※ 국내 모정유사 사건처럼 정보유출사실조차 파악하지 못해서는 안 된다. 혹시라도 유출되었

다 할지라도 기업은 가능한 빨리 알아야 한다. 빨리 알게 되면 정보가 악용되거나 방치되는

것을 막을 수 있기 때문이다.

DB 접근제어 및 감사의 필요성


1. DB 보안 도입의 필요성 - Compliance I. DB 보안 개요

법률규정 Basel Ⅱ 개인정보보호지침

(정보통신망 이용촉진 및 정보보호 등에 관한 법률)

주요 정보통신

기반시설 보호지침

(정보통신 기반 보호법)

적용대상 • G-10 국가의 은행 • 개인정보를 보관하는 기업, 정부, 비영리 재단, 개인

• 정보통신 기반 시설로 지정된 시스템 운영 단체

목적

(통제목표)

• 자본 타당성 보호

• 운영 위험 측정 관리 • 개인정보 또는 기록을 보호

• 기반시설의 안정적 운영 국가의 안전과 국민생활의 안정 보장

적용시기 • 2005년

• 한국 2006년 • 2006년 01월

• 2001.년 01월 (최초적용)

영향시스템

• 정보보안 문제로 인해 재무적, 운영적, 업무적 영향이 발생하는 전 시스템

• 개인정보를 보관하는 데이터 시스템

• 정보통신기반시설지정 정보통신망

비고

• 준칙 7: 전자금융시스템 (데이터 응용 프로그램에 대한 적절한 인증 절차 마련)

• 준칙 9: 전자금융 거래에 대한 명확한 감사기록 보존

• 준칙 10: 중요한 은행의 정보에 대한 기밀성 유지

• 기업, 정부, 비영리재단, 개인 소유의 데이터가 누출 되었을 때 (개인정보를 비 인가된 접근으로 획득한 경우) 공식 통지

• 개인정보 보호원칙을 명시하고 개인정보의 수집 보유 할 경우 법률의 규정 되는 정보주체의 동의를 얻어야 함

• 기반 시설에서 취급하는 데이터 및 주요 정보의 외부 위협에 대한 보호대책 수립 요구

• 데이터 기밀성, 무 결성, 가용성을 유지하기 위한 다각적인 보안 대책을 요구

• 내부자 보안 수준 강화에 따른 신뢰도 향상

• 데이터베이스 보안 강화에 따른 대 고객 서비스 향상

• 업무 신뢰도 향상에 따른 고객 신뢰도 향상

• 감독 기관 요구 사항 대응 및 감사에 대처

• 시스템 적으로 자동화된 데이터 보호 및 통제

• 데이터 사용에 대한 자동 감시 체계 구축

• 시스템 전반에 걸친 보안 수준 향상

• 합리적 보안 정책 수립 및 보안 정책에 따른 보안 통제

• 데이터 사용 및 사용 내역에 대한 사전 사후관리체계 구축

• 내부자 관리 통제 체계 구축

• 보안사고 시 추적 및 복구

• 암호화를 통한 데이터베이스 외부 유출 시 대응 체제 구축

• 집중화된 데이터베이스 보안 통제 체계 구축

대내 관리적 효과

관련 컴플라이언스 준수 대외적 효과

대내적 효과


1. DB 보안 도입의 필요성 – 사업자의 개인정보 보호조치 기준 I. DB 보안 개요

법률규정

[제정 2010.12.30. 행정안전부 고시 제2010-86호)

제9조

접근권한, 인증

및 계정관리

1.사업자는 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여 하여야 한다.

2. 사업자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우에는 지체없이 접근권한을 변경 또는 말소하여야 하며, 주기적으로 접근권한을 관리하여야 한다.

3. 사업자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관하여야 한다.

4. 사업자는 사용자계정(이하 “아이디”라 한다.)발급시 개인정보취급자별로 한 개의 사용자 계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

제11조 접근통제

1. 사업자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치.운영하여야 한다.

-개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

제12조 접속기록의 위.변조방

지

1. 사업자는 개인정보취급자가 개인정보처리시스템 접속한 기록을 월1회이상 정기적으로 확인.감독하여야 하며, 최소 6개월 이상 접속기록을 보존.관리하여야 한다.

2. 개인정보취급자의 접속기록이 위.변조되지 않도록 해당 접속기록을 별도의 물리적인 저장 장치에 보관하고 정기적으로 백업을 수행하여야 한다.

10. 침해사고 예방 및 대응

10.2 침해사고의 대응계획 및 체계 수립 - 증거수집 및 추적, 감사체계 수립(로그에 대한 상시 모니터링 체계)

개인정보 보호조치 기준 위반시

위반할 경우 최고 3천만원의 과태료 부과 기준 준수하지 않아 개인정보의 분실,도난,유출,변경 한 경우 2년 이하의 징역 또는 1천만원 이하의 벌금 부과


DBA/운영자

DB서버 DB접근제어시스템 (Gateway+Sniffing방식)

어플리케이션

일반 사용자

•접근제어 •모니터링

DB를 통한 정보 유출 위험 최소화

구성도(예) 구성 방식

•어플리케이션을 통한 접근은 DB보안을 통하지 않게 하여 응용의 성능에 영향을 미치지 않도록 설정 가능함

Gateway 방식 Gateway를 통하여 DB 접근

보안성 및 확장성이 뛰어남

Server

Agent 방식

서버마다 Agent 설치

우회 접속을 차단하는데 유리함

Sniffing 방식

단순 모니터링 구성

물리적으로 구성이 복잡해질 수 있음

DB에 영향 없음

주요 기능

※ DB 서버 및 어플리케이션 환경에 따라 다양한 혼합 구성 가능

접근제어 가상계정,IP,APP등으로 접근통제

권한제어 명령어, Table, Colum 단위로 가능

SQL 감사/로깅 모든 SQL 내역 감사, 로깅, 검색

Telnet/SSH/

FTP 통제 DB서버 Telnet, SSH, FTP 명령 통제

분석 및 리포팅 다양한 통계 분석 및 리포트 제공

2. DB접근제어시스템 개요 I. DB 보안 개요

DB 접근제어 및 감사 솔루션은 DB에 대한 접근/권한 제어, SQL 감시/로깅 등을 통하여 DB를 통한

대량의 내부정보유출의 위험을 최소화함.


I. DB 보안 개요 2. DB접근제어시스템 개요

연도별 신기술개발 현황

국내 최초 DB접근제어부문

국가정보원 인증획득

세계 최초 SQL Tool 에 관계없이 제공되는 Data

Masking 기능 개발

세계최초 G/W 방식 개발

2004년 2005년 2006년 2007년 2008년

세계 최초 Inline TTP 기능 개발

2009년

세계 최초 Proxy TTP 기능 개발

2010년

• 보안통제 기능이 가능한 세계최초의 Gateway 방식의 DB접근제어 솔루션 개발

• 기존 제품의 단점인 물리적인 (Sniffing) 제약과 감사만 가능했던 단점을 보완하여 업계 표준이 된 방식

• PC NAT 기술을 이용하여 감시 대상인 DBMS, Telnet, FTP등의 트래픽에 대해서만 자동으로 DB보안 G/W서버 경유토록 하여 감시하는 기술

(기존의 운영환경을 변경하지 않음)

• 전용 SQL Tool에 상관없이 SQL결재기능 및 중요 정보 Masking 기능 지원 (Toad, Golden, Orange, SQLGate등)

• 보안장비의 비 정상 재부팅 또는 시스템 전원 차단으로 인한 장애 시 DBSAFER는 기존 연결된 모든 세션을 유지시켜주는 안정성 보장 기술(보안장비 장애 시 세션 유실에 의한 DB의 Rollback 가능성이 없음)

• GW에서의 Data masking 까지 문제없이 지원

• Proxy 방식에서도 유사한 장애 회피 기능 지원

• MS-SQL서버의 경우 Terminal Service로 접속하여 DB에 접근하면 사실상 어떻한 모니터링 및 통제도 불가능 하였지만, DBSAFER가 국내 최초로 Terminal Service에 대한 Keystroke 및 모든 입력 이벤트를 감사할 수 있는 기술을 개발

• T/S를 통한 SQL 명령도 감사 및 통제가 가능함

세계 최초 Gateway 방식개발 세계 최초 PC NAT 기술개발 SQL Tool에 종속적이지 않은 결재기능, Datamasking 기능

세계 최초 In-line TTP, Proxy TTP 신기술인증(NET)마크 획득

세계최초 Terminal Service 접속

국내최초 Terminal Service를 통한

MS-SQL 접속 시에도 명령어 통제 및 감사기능 개발

세계최초 PC NAT , 국내 최초 SQL

Tool 에 관련 없는 SQL결재기능 개발


3. DB 보안 방식별 특징 비교 I. DB 보안 개요

특징 비교

구 분

접근 제어 및 감사 제품

Sniffing 방식 Server Agent 방식 Gateway 방식

(In-line, Proxy 구성 가능)

TTP Gateway 방식 (Tursted Transparent Proxy로

In-Line, Proxy 구성가능) BEQ Agent Node-Safer

보안기능 • 보 안 통 제 가 사 실 상

불가능 • 강력한 보안 기능 제공 • 우회접속차단만 가능 • 강력한 보안 기능 제공 • 강력한 보안 기능 제공

안 정 성

• Agent 가 설 치 되 지 않는 방식, DB서버에 영향 없이 안정적 운영 가능

• Agent 설치로 인한 DB 서버 성능에 영향을 줄 수 있음

• Agent 장 애 로 인 한 대책 미비

• 서비스 재 시작 필요

• 서비스 재 시작 없음 • 서버 재 시작 없음 • Software TAP방식 • 장애 없음

• Agent 가 설치되지 않는 방식, DB서버 서버에 영향 없이 안정적 운영 가능

• Gateway 구성에 따른 장애 대응 방안 필요 (이중화 or Bypass)

• SSH 통제 및 모니터링 가능 • 암호화 대체 기능제공 (Data Masking)

• Agent 가 설치되지 않는 방식, DB서버 서버에 영향 없이 안정적 운영 가능

• SSH 통제 및 모니터링 가능 • 암호화 대체 기능제공 (Data

Masking)

확 장 성 • 확장시 각각의 세그먼트

마다 H/W 연결 필요 • 서버마다 Agent 설치 필요

• 별도의 H/W 나 Agent 추가 없이 확장 가능

• 별도의 H/W 나 Agent 추가 없이 확장 가능

제품특징 • 모 니 터 링 만 할 경 우

권장 • 소규모 적용시 가격 유리

• Gateway 방 식 에 서 우회경로차단 및 서버 접근제어 용으로 활용

• 보안성 및 확장성이 뛰어나며, 이중화 구성 시 가장 좋은 구성 제안이 가능

• 안정성 : Sniffing방식과 동일 • 보안성 : Gateway방식과 동일 • 성능 : Gateway방식과 동일 • 최적의 구성 방식

고려사항 적용 기술 비고

장애대비를

위한

설계원칙

• 후킹 기술 사용 절대 불가

• 네트워크 트래픽을 driver level에 처리하지 않고 application level에서 Raw socket을 sniffing 함 (프로그램이 오동작하거나 강제

종료를 시켜도 네트워크에는 전혀 영향이 없음)

• DB보안 서버 장애시 Fail-open 모드로 자동 전환

• 기 접속된 세션 보호

• 사용자의 고의적인 프로세스 종료 및 각종 비정상 동작에 대한 자동 복구 기능 수행

성능 • 최소한의 자원 사용 (Memory 5M bytes 이하, 평상시 0.1% 미만 점유, 과부하시 3% 미만 점유)

설치 및 이식성 • Ansi-C로 작성하여 다수의 OS 플랫폼에 바로 이식 가능

• 특정 라이브러리 설치 없이 서버에이전트 동작 (프로그램만 서버에 복사하여 동작)

Ⅱ. 솔루션 소개

1. DBSAFER 솔루션 개요

2. 시스템 구성방식



1. DBSAFER 솔루션 개요 II. 솔루션 소개

DBSAFER 제품 구성

DBSAFER Gateway V 3.0

DBSAFER Manager V 3.0

DBSAFER Agent V 3.0

DBSAFER Gateway & Sniff Server

FOD (Fail Over Device) or TAP

DB 접근제어를 실행하고 데이터를 로깅, 분석하는 기능 수행

DB 접근제어 정책을 수립하고 실시간 모니터링 기능 수행

-DB 접속 Client PC에 설치되어 DB 접속 시 네트워크 경로 자동 변경 및 사용자 인증 기능 수행 (1인 1계정 지원) - DMS설치시 SQL 결재기능 / 변경전후 데이터 보관 기능 제공

DBSAFER Gateway & Sniff Engine을 탑재하고 실행하는 하드웨어

DBSAFER Gateway(In-Line) 구성 또는 Sniffing 구성 시 필요

DBSAFER Sniff V 3.0 네트워크 상에서 패킷을 도청하면서 DB 접근제어를 실행하고 데이터를 로깅, 분석하는 기능 수행

DBSAFER Server Agent V 3.0 DB 서버에 설치되어 우회 접속에 대하여 DB 접근제어를 실행하고 데이터를 로깅, 분석하는 기능 수행

S / W

H / W

보안서버

(Log

/ 차단)

관리 PC

PC 설치

DMS(Decide ) V 3.0 SQL 결재기능 및 변경 전후 데이터 보관 기능 수행


Gateway In-Line

Proxy + PC Agent

Server Agent

Sniffing

Hybrid

방화벽과 같이 사용자와 DBMS 접속 경로 사이에 위치 하는 방식이다. DB 접속자, DB 시스템 환경 변화가 없다.

물리적으로 다른 지역 또는 여러 Switch에 연결된 다수의 DB 시스템을 관리할 때 유용 한 방식이다. DB 접속 사용자 PC에 Client 프로그램 설치가 필요하다.

DB 시스템에 Server Agent를 설치하여 콘솔 작업을 포함한 telnet 등 Local 접속 통제가 필요 할 경우 사용하는 방식이다.

위의 여러 방식중 2개 이상을 혼용 하여 구성 하는 방식이다.

<Gateway ln-line>

<Proxy + PC Agent> <Server Agent>

<Sniffing> <Hybrid>

Sniffing 방식은 통제 목적이 아닌 접속 정보만을 저장 할 경우 많이 사용 하는 방식이다. WAS 및 AP 서버등 미들웨어 로깅 시 주로 사용 한다.

2. DBSAFER 구성 방안 II. 솔루션 소개

구성 방식


2. DBSAFER 구성 방안 II. 솔루션 소개

구성 방식 - Gateway

Gateway 구성 방식 설 명

In-Line 불특정 다수의 사용자가 DB 접속 시 사용하는 방식 별도의 Client PC에 Agent 설치나 변경없이 구성 대부분의 대학교에서 구성하는 방식

Proxy + Agent 한정된 DB 접속 사용자(2-Tier)들이 DB 접속 시 사용하는 방식 Client PC에 Agent 설치 또는 DB 접속 환경 파일 수정 필요 대부분의 금융, 공공 및 일반 기업들이 구성하는 방식

In-Line Proxy + Agent

FOD 백본스위치 (이중화)

DBMS

DBSAFER Client Client

DBMS

DBSAFER


3. 주요기능 및 특장점 II. 솔루션 소개

로깅 및 감사

• 실시간 접속 사용자 감시 기능 • 접속 방법에 관계 없이 모든 SQL 문 감시 기능 • 실행된 SQL문/실행시간/사용자/시간대별 검색 및 추적 기능 • 접속 세션 및 실행 명령어 별 이력 관리 기능 • 감사데이터 생성

리포팅

• 로그 데이터에 대해 실시간 보고서 제공 • 사용자별 접속/거부 통계 보고 기능 • 정책위반 건수 통계 보고 기능 • 로그 데이터를 DB로 저장, 사용자가 편집 가능하도록 스키마 제공

기타 기능

• 다수의 이기종 DBMS (Oracle, SybaseIQ/ASE, UDB/DB2, MS-SQL, MySQL, etc)에 대해 통합관리 • 특정 패턴 및 칼럼 Data Masking 기능 • 결재 기능 - Decide & DMS(사전 데이터, 사후 데이터 자동 보관) • 백업 및 복원 기능 • 유연한 보안 정책 및 중복 쿼리 축약 기능(Query count) • 우회 경로 추적 및 비정상 쿼리 탐지 기능 등 지속적인 추가 기능 제공(connection traceback)

접속 및 권한 제어

• 가상계정, DB계정, 사용자 IP, Application, 날짜 및 시간대별 접속 제어 • 특정 명령어와 Table 및 Column 명까지 조합하여 명령어에 대한 사전 차단 • DBMS, Telnet, FTP 뿐만 아니라 SSH에 대해서도 접근 제어 가능 • 사용자별로 사용 가능 명령어(DDL/DML/DCL 구문)를 제한하는 권한 제어 기능 • 사용자 세션 강제 종료



접근제어


사용자 IP 별 제어

- 차단하고자 하는 사용자의 IP를 Single 또는 Range로 지정하여 차

단/허용

DBMS 접속 계정 차단

- DBMS에 접속하는 계정에 따라 접속을 차단/허용

Application 별 차단

- DBMS에 접속하는 Application에 따라 접속을 차단 허용

특정 명령어와 Table 및 Column 명 까지 조합 하여 명령어에 대한

사전 차단

DBSAFER는 가상계정, 사용자 IP(IP 대역 포함), Application (TOAD/Orange/Golden/SQL-PLUS/기타..),

DB 계정, 날짜/시간, 등 object 별로 다양한 정보를 AND 조건으로 접근제어 정책을 설정한다. 또한, Telnet,

FTP, SSH 접근제어 기능도 지원한다.


II. 솔루션 소개 3. 주요기능 및 특장점

권한제어

DBSAFER는 DCL 구문뿐 아니라 테이블단위 접근제어 설정, DML, DDL 등에 대한 명령을 차단할 경우에도 접속된 세션을 유지하며 SQL 명령어, DB Table 등의 모든 조건을 이용하여 권한을 제어한다.

특정 명령어와 Table 및 Column 명까지 조합하여 명령어에 대한 사전 차단을 하고 주석이나 힌트 절에 대한 차단도 지원한다.

지정된 시간이 지나도록 DB 서버에서 사용자에게 요청 값을 통보하지 못할시 해당 사용자의 세션을 강제로 kill 시킬 수 있다

DBSAFER는 DDL/DML/DCL 구문에 대한 통제가 가능하며, 테이블단위 접근제어 설정인 DML, DDL등에

대한 명령을 차단 할 경우에도 접속된 세션을 유지한다. 명령어로 인한 DB의 부하를 증가시키는 행위에

대해서도제어한다. 또한, Return Data에 대한 제한 설정을 통해 특정 사이즈 이상의 결과값은 파일로 저장할 수

있으며 조회가 가능하다.



감사 및 로깅

사용자별, 접속 세션별 접속 이력 및 쿼리에 대한 실시간 모니터링

단, 보안관리자의 접근 내역은 별도로 관리

통합 Dashboard 및 통합관리 화면을 통하여 감시 대상서버, DB에 대한 세션, SQL 변화 추이 및 상태 정보를 그래프로 제공 (단, DBSAFER v3.0)

로그에서 특정 로그를 검색하는 기능

모든 DB 접속 SQL 및 BIND 값 로깅 및 결과값(OPTION)로깅

DBSAFER는 사용자별, 접속세션별 접속 이력을 실시간으로 모니터링할 수 있으며, DBMS, SSH, Telnet, FTP

등을 통합으로 모니터링하고 로깅한다. 또한, 감시대상 DB로 요청되는 초당 SQL 요청 수, 초당 평균 응답시간,

데이터 조회 건수, 네트워크 사용량(패킷량의 변화), 경보 전달 건수를 실시간으로 볼 수 있는 기능 제공을

제공한다.



리포팅 기능

DB 접근 추이를 그래프로 표현 및 출력 기능을 제공하며, SQL 구문별 명령어 별로 검색 및 통계 레포팅 기능을 제공한다. 그리고, 생성된 리포트를 PDF, HTML, DOC, XML, XLS, TXT, HWP 등 다양한 형태로 변환한다.

사용자 정보, 서비스 객체명세서, 접속제어 정책 명세서, 사용자 Query 제어정책 명세서, 접속 정책 변경 이력 명세서, 사용자 Query 제어정책 변경 이력 명세서, 정책 별 접속 및 미 접속 IP 정보 명세서, 정책 별 접근 명세서 등 이외에 일,주간,월간 요약/상세 리포트, 총괄로그, 관리자 로그 등에 대한 리포트도 생성, 저장 기능 제공.

DBSAFER는 보안대상 DB에 대하여 접근 추이를 그래프 뿐만 아니라 그래프로 표현 및 출력 기능을 제공하며,

SQL 구문별 명령어 별로 검색 및 통계 레포팅 기능을 제공한다. 생성된 리포트는 외부 데이터로 (PDF, HTML,

DOC, XML, XLS, TXT, HWP 등..) Export 하는 기능을 제공한다.




이기종 DBMS 지원 및 통합 관리

DBSAFER는 다수의 이기종 DBMS를 하나의 사용자 인터페이스를 통해 통합관리할 수 있다. 현재 DBSAFER

v3.0이 지원하는 DBMS는 총 13가지 유형으로 Oracle(모든 버전 지원), MS-SQL, Sybase ASE/IQ, Informix,

DB2/UDB, Altibase, Teradata, MySQL, Tibero에 대해서 지원한다.

모든 유형의 DBMS 통합 관리

DBSAFER v3.0 Enterprise Manager

관리자

Service

서비스 설정

접속 및 권한 제어 정책 설정

통합 및 선택적 모니터링

감사 로깅

리포팅

사전/사후 결재 처리

Oracle Sybase Informix DB2/UDB MSSQL Altibase Teradata MySQL Tibero



Data Masking

DBSAFER는 어떠한 애플리케이션에 관계없이 중요한 정보에 대해 Data Masking 처리하여 정보 유출을

사전에 방지한다. 특정 패턴(주민번호)의 경우 Masking의 오류를 최소화하기 위해 “13”번째 Checksum을

인식해서 Checksum이 맞는 경우에만 Masking 기능이 동작하고, 지정한 패턴이 모두 Maksing 되는 것이

아니라 패턴 중에서도 정책에서 지정한 일부분만 Masking (예: “701125-*******") 처리된다.


DB 사용자

: Checksum 확인을 통한 masking : 패턴 매칭을 통한 특정자리수만 masking

DB Server

④ 사용자 화면 NAME Jumin_NO --------------- --------------- Jane, Ponda ******-******* James,Hong 700815-*******

① Toad를 통해 DBMS 서버에 접속 (DBMS 접속툴에 관계없음)

② SQL 실행 : select * from Jumin_NO;

⑤ 서버 응답값에 대해 체크 및 응답값 변경(Masking)

③ Jumin_NO Table 조회 요청

④ DB서버 응답값 NAME JUMIN_NO --------------- ---------------------- Jane, Ponda 581021-2234567 James,Hong 700815-1234567



콘솔 및 우회 접속 제어

Server Agent 적용 전 Server Agent 적용 후

② 콘솔 직접 접속 ① 우회 접속

타 서버

DBSAFER

DB 서버

DB 접속자

② 콘솔 직접 접속 ① 우회 접속

타 서버

DBSAFER

DB 서버

DB 접속자

Server Agent

DBSAFER는 BEQ Agent, Server Agent를 이용하여 로컬 접속에 대한 완벽한 통제 및 감사 기능을 지원한다.




결재 기능 - Decide

DBSAFER의 결재시스템은 User ID/User IP 및 Table 단위의 조건을 조합하여 쿼리를 결재하는 기능을

제공하며, 사용자가 요구하는 내역에 대한 이력보고서를 생성할 수 있다.

<결재 상세 리포트>

결재자 (처리자)

DB사용자 (요청자)

DBSAFER DB서버

<결재 업무 흐름도>




플러그인 결재 기능 – DBSAFER DMS

DBSAFER는 금융감독원의 권고사항인 결재 전/후 데이터 보관, 작업요청 및 결재 이력을 보관한다.

DMS Client 사용 시 DBMS의 종류에 무관하게 처리가 가능하며 기존의 전자결재 결재라인을 이용할 수 있어

결재라인을 별도로 관리할 필요가 없다.

기안자가 SQL 테스트 한 예상 실행 전/후 데이터

결재자가 승인 후 실행 전/후 데이터

DBSAFER는 각 DB 서버를 그룹별

로 나누고 그룹에 대한 권한을 부여

받은 관리자가 사용자가 요청한 SQL

문에 대하여 검색과 결재기능을 지원

함.

결재가 필요한 SQL문은 결재가 승

인될 때까지 기다리게 되며, 설정을

통하여 승인 받지 않고 미리 처리하

는 사후 결재기능도 지원함.




개인정보 관련 Table/Column 정보를 추출하여 DBSAFER의 Data masking 정책에 자동으로 등록

Stored procedure의 경우 Procedure 정보를 추출하고 DBSAFER 서비스와의 연계를 통해 사용

자가 실행 하는 Stored procedure의 동작을 확인

보안 대상 DBMS

Scanning Oracle

MSSQL

기타 DBMS

DBSAFER

Manager

관리자접속

WEB UI

검출 항목 지정

DB Scan을 이용 하여 SP에 포함된 명령까지 통제 및 로깅

DBSAFER는 DB 서버에 확인 되지 않은 개인정보나 중요정보를 가지고 테이블이 존재 하는지 정확한 검색 기능을 제공 한다.

또한 Stored procedure에서 중요 정보를 제어 하는 경우 데이터 유출의 위험성이 존재한다.. DBSAFER의 DB Scan기능은

DB서버 내부에 저장되어 있는 Procedure 가 어떤 검출항목을 제어하는가에 대해서도 확인 한다.



분산 환경 및 이중화지원


Active-Active 및 DR 센터의 DBSAFER에 대해서 보안정책 동기화를 지원하며 국내최초로 정책통합, 모니터링

통합, 로그통합기능을 동시에 제공한다. 통합기능이란 Active된 다수의 DBSAFER를 한대의 DBSAFER 처럼

인식하는 기능으로 한번의 정책수정으로 모든 DBSAFER가 동기화되며 통합된 실시간 모니터링과 로그검색을

제공한다.

주 센터 DR 센터

Active Switch Standby Switch

DBSAFER G/W1 보안정책 동기화

DBSAFER

DBSAFER G/W2 DBSAFER Log DBSAFER DR

• Active-Active 그룹구성지원과 DBSAFER를 그룹으로 지정한 경우 한번의 정책설정으로 모든 DBSAFER에

정책이 적용되며 모니터링 및 로그 검색도 한대의 DBSAFER처럼 동작한다. 특히 DR쪽의 DBSAFER가 이와 동

일하게 동작하여 주센터 장애시에도 DR DB-Safer에 의해서 모든 DB접속이 보안장비를 통해서 운영이 가능하

다.



윈도우 터미널 서비스 로깅


Windows Terminal 사용자

서버 관리자

Switch

FireWall

DB보안시스템

접속 제어 감사 로깅

보안 대상 서버

MS-SQL Server

Windows Terminal 접속

Terminal Service 통제 및 로깅 불가

Windows Terminal 사용자

서버 관리자

FireWall

DB보안시스템

접속 제어 감사 로깅 (DBSAFER)

보안 대상 서버

MS-SQL Server

Terminal Service 통제 및 로깅

Switch

- 실시간 모니터링

- 접속/권한 제어 정책

- 로그 조회

모든 DB 접근 제어 제품 DBSAFER

Windows Terminal접속

서버관리자가 윈도우 터미널 서비스를 이용하여 MS-SQL서버에 접근한 경우 통제가 불가능하지만, DBSAFER는

서버관리자가 입력하는 모든 Key Stroke 및 입력 Event를 해석하여 입력한 모든 SQL문장을 DBSAFER의 Gateway가 감사

및 통제 하게된다. 이러한 모든 기능은 MS-SQL 서버 및 PC에 별도의 Agent 필요 없이 지원한다. (동영상이 저장되는 것이

아니라 입력한 모든 명령어가 저장(Telnet형식)되어 조회까지도 가능함)



모든 DBSAFER 장애시에도 감사데이터 생성


DB 접속자

DBSAFER

보안대상 DB 서버 Trusted 서버

백본스위치

현업 사용자

장애 발생

장애 복구 시 로그 전송

장애가 발생되면 사용자는 데이터베이스 직접 접속하여 작업을 수행 합니다.

DBSAFER Agent는 사용자가 데이터베이스에 접속한 내역,

사용한 SQL 정보를 사용자 PC 로컬에 저장합니다.

장애가 복구되면 사용자는 DBSAFER 서버를 통해서 데이터베이스에 접속되며, DBSAFER Agent는 저장된 감사로깅 내

역을 DBSAFER 서버에 전송합니다.

DBSAFER 서버는 DBSAFER Agent에서 전송한 감사로깅 내

역을 DB에 저장합니다.

DBSAFER 장애 발생 시 DB 접속자(DBSAFER Agent 설치자)의 PC에는 쿼리에 대한 로그가 남게 되고 DBSAFER

서버가 정상 작동할 시에 PC에서 가지고 있던 로그를 모두 DBSAFER 서버로 옮기는 기능을 제공한다.



중복 쿼리 축약


WAS의 정형 및 비정형 쿼리의 중복으로 인한 로그데이터 유실 및 속도 저하는 중복 쿼리 축약 기능으로 중복

쿼리를 최소화시켜 Sniff 및 로그 장비의 부하를 감소 시키며, 로그 데이터의 경량화로 하드웨어에 투자되는

비용을 최소화 한다.

S(대형유통사)사의

WAS에서 발생된 로그로

인하여 30,000여 개의

버퍼 파일이

발생하였으며, db에

저장되는 로그는 계속

밀려서 1일전의 로그가

저장되고 있었음 구성 원리 및 특징

로그 발생시 최초 로그는

바로 DB에 저장

중복 로그는 10초에

1번씩 count값만 갱신

중복 로그라도 2분에

1번씩은 새로운 로그를

기록

초당 10,000쿼리

발생시에도 임시 버퍼

파일이 발생하지

않으면서 100% 모두

처리

CPU 부하를 줄여서

Sniff 서버의 로그

유실을 최소화 함

DBSAFER

Manager에서 중복

count를 기준으로

로그를 정렬할 경우

판독 가능

로그 데이터 유실 CPU부하로 인한 속도 저하 현상 발생

중복로그 데이터



안정성 보장 (GW TTP 기술)


DBSAFER Proxy TTP는 DBSAFER Agent 에 의한 NAT처리된 패킷 정보를 수집하여 다시 DBSAFER Agent가 패킷을

변경하기 전의 패킷으로 복원 후 최종 목적지인 DB서버에 패킷을 전달 하므로써 DBSAFER(장비/프로그램)에 장애가 발생

하여 FOD Bypass 전환에 따른 세션이 끊어짐 현상이 발생하지 않는 고 가용성 보장 기술을 제공한다.

HW 장애시 세션유지(Trustful Transparent Proxy)

DBSAFER

<DBSAFER 정상 동작할 경우> <DBSAFER 장애 발생 한 경우>

DBUser

DB

장애발생

DBSAFER AGENT

DBSAFER 에 장애가 발생 할 경우 OS Kernel 에서 DB 패킷을 DB 서버로 직접 전달 함

DBUser

DBSAFER

DBSAFER AGENT

DBSAFER 가 정상일 경우 DBSAFER에서 DB 패킷을 처리 한 후 DB 서버로 전달 함

DB

TTP (Trustful Transparent Proxy) 기능은 Proxy 방식의 DB접근통제 시스템 구성을 하였을 경우 DB접근

통제 서버 장애 시 사용자의 세션이 끊어지는 문제를 해결한 NET 신 기술 인증을 받은 고 가용성 보장

기술 입니다. (고객사의 환경에 따라서 제약사항이 있을 수 있음)

Ⅳ. 회사 소개 및 구축 사례

1. 일반현황 및 연혁

2. 품질인증

3. 레퍼런스

4. 구축사례

Why PNPSECURE


㈜피앤피시큐어는 국내 Database 보안을 선도하는 No1. 기업으로써 금융, 제조, 통신 및 공공 분야에서 700여 고객사이트 구축경험을 통해 최상의 솔루션을 제공하고 있습니다.

법인명 ㈜ 피앤피시큐어 대표자 박 천 오

주소 • 서울시 영등포구 문래동3가 55-20

에이스하이테크시티 1동 818호

전화번호 (02)6309-6600

사업분야

• 데이터베이스 보안 솔루션 사업

• 통합보안 솔루션 사업

• 정보보호 교육 사업

설립연도 • 2003년 12월

해당부문

사업기간 • 2003년 12월 ~ 2012년 1월 현재 ( 8년 1개월)

보유인력

현 황

기술

• 개발인력 : 21명

• 기술지원인력 : 18명

• PM인력 : 5명 •총원 : 49명

관리 • 영업/관리 : 5명

회사

신용등급 • A-

1. 일반현황 및 연혁 IV. 회사소개 및 구축사례

일반 현황 기업신용도


1. 일반현황 및 연혁 IV. 회사소개 및 구축사례

주요 연혁

2009

HISTORY

7月 CC 인증 획득(DBSAFER 3.0v)

5月 GS 인증 획득(DBSAFER 3.0v)

2月 장비 장애 시에도 세션 끊어지지 않는 신기술 특허

TTP기술) NET 인증 획득

2月 ISO9001:2008, ISO14001:2004 획득(소프트웨어 설계 및

개발,시스템 구축 및 관련 서비스,정보보호 컨설팅 및 교육

부문에 대한 품질경영시스템인증 및 환경경영 시스템 인증)

2008

HISTORY

5月 SSH Agent 없이 통제 및 모니터링 방법 특허 출원 중

4月 DBMS 출력결과 값 Data Masking 기능 특허 등록

3月 국내최초 Agent less 방식의 SSH(Secure Shell) 감사 및

접근제어 기술개발

2005

HISTOR

Y

12月 조달청 [우수조달제품] DBSAFER 선정

2004

HISTOR

Y

11月 한국소프트웨어진흥원 [우수창업기업] 창업보육센터 입주

5月 정보통신부 [정보통신 우수 신기술 선정] 연구개발자금 지원

2003

HISTOR

Y

12月 세계최초 게이트웨이 방식의 DB보안 제품 “DBSAFER” 출시

12月㈜ 피앤피시큐어 법인 설립

2007

HISTORY

12月 PC(단말)단에서의 NAT 기능 특허등록 [TCP/IP 기반의 주소 변경

방법 및 장치]

5月 세계최초 Agent less 방식의 DBMS 출력 결과값 Data Masking

기능 개발

3月

신기술제품 NEP 마크 획득 [게이트웨이 형식의 DB보안 프로그램

개발] 벤처기업인증 & INNO BIZ 기업 선정

2006

HISTORY

9月 국가정보원 [국가용 정보보호시스템 보안적합성 검증필]

DBSAFER v3.0

8月 GS 인증 획득 [DBSAFER v3.0]

게이트웨이 방식의 DB보안 특허등록 [게이트웨이 방식의

DB보안 방법 및 장치]

1月

세 계 최 초 PC 단 에 서 의 NAT (Network Address

Translation)기술개발

2010

HISTORY

11月 조달청 나라장터 종합쇼핑몰 3자 단가계약 연장 체결

10月 HWP 형식 레포트 출력 기술 적용(OZ로그뷰어)

9月 CC인증 획득 (WASSAFER 4.0v)

8月 GS 인증 획득 (WASSAFER 4.0v)

8月 세계 최초 AP 접근 제어 보안제품 ‘WASSAFER’ 출시

6月 피앤피시큐어 사업장 확장 (정보보안기술연구소 전용 사무실

확충)


DB보안

특허등록

IT마크

(정보통신 우수 신기술)

GS(소프트웨어품질인증)마크

국가정보원

정보보호시스템

보안적합성

검토 필

CC인증

2. 품질인증 IV. 회사소개 및 구축사례

특허 및 인증


• 주요 금융/공공 기관, 일반기업 및 교육기관 등 • 2011년 12월 현재 전체 구축 실적은 700여 사이트 운영 중

3. 레퍼런스 IV. 회사소개 및 구축사례

금융/공공/교육기관 및 일반기업


4. 구축사례 IV. 회사소개 및 구축사례

구축 사례 – L통신사 (S사, K사 공통)

• 구축 일시 :2008년 8월~ 2009년 4월

• DB접근제어 시스템 구축

• 2등급 이상의 고객정보를 보유한 57대의 DBMS에 DB접근제어 적용

(※ 34 57대 확대 적용 2500명의 사용자 제어(2tier)

• Proxy + Agent 방식으로 DBSAFER를 적용

• 사용자 접근 통제를 통한 고객 정보 유출 원천 차단

• 사용자들의 비정상적인 행위 탐지를 위한 이상관리 방안 수립 및 적용

• 개인정보의 보호조치 규정 및 기술적 관리적 보호조치 기준 이행

내부망

DB접근제어서버

로그서버

…

DBA 개발자 외주직원

DB접근제어서버 (DR센터)

DB접근제어 agent

직접

접근

csbs 망

고객DB ncas

data 망

DB접근제어 시행

설치장소 구분 수량 사양

S1

전산센터

DB접근제어

LOG

서버

1

CPU: Intel Dual Core 2Ghz,

4M L2 Cache FSB667Mhz

Memory : 8GB,HDD: 540GB

Adapter : NIC1000/100 UTP

DB접근제어

GW

서버

2


4M L2 Cache FSB667MHZ

Memory : 8GB

HDD:160GB

Adapter:NIC1000/100 UTP

S2

전산센터

DB접근제어

DR서버 1


4M L2 Cache FSB8667MHZ

Memory 8GB

HDD 140GB

Adapter:NIC1000/100 UTP

구분 구성내역 모델명 수량

패키지

S/W

DBSAFER

Gateway DBSAFER 3.0 4

패키지

S/W

DBSAFER

License

DBSAFER 3.0

License 57


4. 구축사례 IV. 회사소개 및 구축사례

구축 사례 - S은행(금융기관)

적용된 DBSAFER 서버 하드웨어 사 양

서

버

Model HP DL380 3EA

CPU Clock Speed

CPU수

Intel(R) Xeon(TM) CPU

3.20GHz

2EA

RAM 용량 4GB

디스크저장장치 내장형디스크 144GB *2 (Log서버는

5EA)

네트워크 Gigabit NIC 2EA

구 분 사 양

스위치

Model 알테온 100/1000 UDP 모델

SLB 서버 로드 밸런스 기능 지원

네트워크 NIC 8Port 100/1000 이상 지원

구축 일시 : 2006년 4월 ~ 2006년 12월

110대의 보안대상 DBMS (Oracle, Sybase, Teradata)

2500명의 사용자 제어

Proxy + Agent 방식으로 DBSAFER를 적용

DBSAFER

개발자 DBA

유지보수인원


Why DBSAFER IV. 회사소개 및 구축사례

다양한 산업에서 다년간 검증된 DBSAFER로 기업의 DB보안 시스템을 구축하여 빠른 ROI 실현과 변화에 대응할

수 있는 보안 시스템을 구축한다.

DB 보안 분야의 국내 No1. 솔루션

DB보안 단일제품으로 최대의 기술지원/개발조직 보유

Gateway , Client Agent, Data masking 등 핵심 DB보안 기술의 특허 보유

국가정보원의 보안성 검토필, NET 등 인증, CC인증 보유

풍부한 DB보안 프로젝트 수행 경험(50대 이상의 구축경험 최다)

다양한 통신/금융/공공 DB보안 프로젝트를 통한 고객사에 대한 이해

사용하기 쉬운 시스템이며 다수 사이트에서 검증된 안정성

다양한 인터페이스 통합 기능 및 용이한 확장성

안정적인 Architecture

현업에서 쉽게 이용할 수 있는 DBSAFER Manager

다른 보안솔루션과 유사한 UI로 빠른 습득 및 관리 용이성

안정적인 제품 지원 능력을 가진 국내 전문인력 지원

국내 DB보안 Market Leader

국내 DB보안 Market Leader

풍부한 구축 경험 풍부한 구축 경험

검증된 솔루션 검증된 솔루션

사용자의 편의성 사용자의 편의성

전문 인력 보유 및 지원

국내 DB 보안의 선구자

DB 보안 시장을 선도하는 Leader

Documents

DBSAFER 제품 소개서 - (주)영민시스템제품특징 • • 모니터링만 할 경우 권장 소규모적용시가격유리 • Gateway 방식에서 우회경로차단및서버