Transcript 현재의 업무 네트워크 구성도 - 외부 제공용 웹기반 기상분석시스템

2010년
기상정보통신망 고도화 사업 계획
2010. 7. 15.
정보통신기술과
기상산업정보화국
목 차
1.배경 및 목적
2.현재 네트워크 구성
(사용자 관점)
3.향후 네트워크 구성 방안
4.현재 망(AS-IS) 분석
(전체 통신망 관점)
5.고도화(TO-BE) 방안
6.기대효과
(사용자 관점)
(전체 통신망 관점)
1. 배경 및 목적
배경 및 목적
 국가 공공기관 업무수행의 정보시스템에 대한 의존도 심화
 컴퓨터 해킹, 웜 바이러스 등 사이버공격 시 국익에 막대한
지장 초래 가능
 점차 지능화되고있는 웜 바이러스 등 각종 악성프로그램
차단
 국가정보 유출사고 등을 원천적으로 차단
 업무전산망과 인터넷망 물리적 분리로 보안목표 달성
3 / 15
2. 현재 네트워크 구성(사용자 관점)
현재의 업무 네트워크 구성도
현재의 일반적인 네트워크 현황
인터넷
 인터넷영역과 업무영역을 방화벽을 이용하여 분리하는 방식
 공격자에 의해 특정 내부사용자 컴퓨터가 장악되면 업무영역
은 무방비로 외부 인터넷에 노출(해킹 등 보안사고 위험성 상
존)
DMZ
라우터
웹서버
예상되는 위협
웹서버
 내부 업무정보가 인터넷에 연결된 PC 등 정보시스템에 저장
관리되기 때문에 인터넷으로부터의 침입이 발생하면 정보유출
이 가능
방화벽
스위치
웹서버
백본스위치
스위치
업무/인터넷 PC
내부망
스위치
업무/인터넷 PC
………
사용자1
사용자 N
업무용
서버
업무용
서버
4 / 15
업무용
서버
3. 향후 네트워크 구성 방안 (사용자 관점)
물리적 네트워크 분리 방안 구성도(2대의 PC 이용)
인터넷
인터넷
DMZ
라우터
웹서버
라우터
웹서버
방화벽
스위치
방화벽
인터넷 차단
웹서버
업무망
백본스위치
스위치
업무용
서버
업무용
서버
업무용
서버
인터넷망
백본스위치
스위치
스위치
업무
전용PC
인터넷
전용PC
사용자
5 / 15
스위치
3. 향후 네트워크 구성 방안 (사용자 관점)
네트워크 분리 고려사항
 인터넷으로부터 업무망에 대한 사이버공격 및 정보유출 차단
 업무관련 중요정보 접근 차단
 업무관련 중요정보의 안정성 향상
 가장 안전하고 효과적인 네트워크 분리방안
6 / 15
3. 향후 네트워크 구성 방안 (사용자 관점)
보안 위협 요소
 업무용 PC와 인터넷용 PC 간 자료 이동과정에서 보안 위협
요소 발생 가능
 사용자의 부주의 및 악의적인 의도로 인해 업무전산망의 PC
가 인터넷망에 연결되어 사용될 수 있음
 보조기억매체를 이용해 자료를 이동할 경우, 분실 및 부적절
한 사용으로 인해 내부 중요정보가 외부로 유출 될 수 있음
 인터넷의 신뢰할 수 없는 데이터가 보조기억매체를 통해 업
무전산망에 유입되어 웜바이러스 등에 감염될 수 있음
7 / 15
3. 향후 네트워크 구성 방안 (사용자 관점)
보안 위협 보완 방안
 보조기억매체 물리적 이동 통제
 업무용 PC의 보조기억매체 사용 통제
 업무용 PC의 인터넷망 연결 방지
 백신프로그램 설치 및 전용 업그레이드 서버 운용
 패치관리서버 운용
8 / 15
4. 현재 망(AS-IS) 분석(전체 통신망 관점)
기상정보통신망 계층구조
본청 ↔ 5개 지방기상청 간 2.5Gbps급 MSPP를 이용한 이더넷 전용회선과 ATM 백업회선 구성
지방기상청 ↔ 기상대/관측소 간 이더넷 전용회선, FR-to-ATM 백업회선 구성
기상정보통신망 고도화를 위한 대용량의 통신회선을 확보하고 망분리 사업 연계 및 백업체계 개선 필요
본청
100M*5
지방청
기상청
전용망
30~45M
100M*N
기상대급/센터
기상청
전용망
5~10M
512K~2
M
관측소
1~5M
155M*2
ATM
45~155M
45~155M
9 / 15
FR-to
ATM
256K~51
2K
4. 현재 망(AS-IS) 분석 (전체 통신망 관점)
본청  지방관서 구성 현황
주회선/백업회선 구성 : 이더넷 전용회선(2M ~ 45M) 주회선, ATM 회선(512K~30M) 백업회선 구성
트래픽 이용 형태 : 인터넷+업무 트래픽을 동일 회선으로 처리하여 트래픽 분리 미흡
본청
본청
GSR12416 GSR12416
100M*5
155M*2
Standby
Active
2.5G
기상청
전용망
기상청
전용망
ATM
2.5G
주통신
30~45M
ATM
30~45M
백업통신
GSR12016 BLN라우터
지방관서
지방관서
지방청 라우터는 이더넷전용회선을 주 경로(Active)로 지정
주 경로 장애시 라우팅을 통해 참조하여
백업경로(Standby)로 전환
2.5G 기상청 전용 MSPP망을 이용한 전용회선을
주회선으로 구성
백업회선으로 ATM회선 구성
10 / 15
5. 고도화(TO-BE) 방안 (전체 통신망 관점)
업무전산망 / 인터넷망 회선 물리적 분리 구성
망분리 방식 : MSPP 포트분리 방식을 적용하여 국정원 권고방식인 Layer 1 계위에서 경로를 물리적으로 분리하여
구성
주/백업 회선을 경로가 다른 이더넷 전용회선으로 구성하여 무중단 통신 회선으로 운영
본청
지방청
업무용PC
기상대
업무용PC
업무용PC
업무서버 팜
백본
S/W
기상청 전용망#1
백본
S/W
기상청 전용망#2
백본
S/W
기상청 전용망#1
백본
S/W
라우터
인터넷용PC
백본
S/W
인터넷서버
기상청 전용망#2
백본
S/W
F/W
Internet
인터넷용PC
11 / 15
인터넷용PC
업
무
용
인
터
넷
용
5. 고도화(TO-BE) 방안 (전체 통신망 관점)
업무전산망 구성방안(본청  지방관서)
구성 방안 : 전용망#1을 주회선, 전용망#2를 백업회선으로 구성하여 무중단 통신망 구현
운영 방안 : 라우팅을 이용 주회선 장애시 백업회선으로 자동 복구
본청
FE*5
주회선
백업회선
본청
GSR12416GSR12416
GE*5
FE*5
GE*5
Standby
10G
기상청
전용망#2
Active
10G
기상청
전용망#1
기상청
전용망#2
기상청
전용망#1
10G
10G
FE
FE
GE
GE
C7604 GSR12016
지방관서
지방관서
지방청 라우터는 전용망#1을 이용한 회선을 주
경로(Active)로 지정
주 경로 장애시 라우팅을 이용하여 백업경로(Standby)로
전환
전용망#1을 이용하여 주회선 구성 : Giga Interface
전용망#2 를 이용하여 백업회선 구성 : FE Interface
12 / 15
5. 고도화(TO-BE) 방안 (전체 통신망 관점)
인터넷망 구성방안(본청  지방관서)
구성 방안 : 전용망#2를 주회선, 전용망#1을 백업회선으로 구성하여 무중단 통신망 구현
운영 방안 : 라우팅을 이용 주회선 장애시 백업회선으로 자동 복구
본청
GE*5
주회선
백업회선
본청
C7604
FE*5
FE*5
10G
기상청
전용망#2
GE*5
Active
Standby
기상청
전용망#2
기상청
전용망#1
10G
기상청
전용망#1
10G
10G
FE
GE
C7604
GE
FE
C7604
지방관서
C7604
지방관서
지방청 라우터는 전용망#2를 이용한 회선을 주
경로(Active)로 지정
주 경로 장애시 라우팅을 이용하여 백업경로(Standby)로
전환
전용망#2를 이용하여 주회선 구성 : Giga Interface
전용망#1을 이용하여 백업회선 구성 : FE Interface
13 / 15
6. 기대효과
 내부 중요정보의 훼손 및 유출 방지
 국가정보통신망 안정성 향상
14 / 15
15 / 15