Transcript 제품 소개 문서 다운로드

원격접속관리시스템
HI-Ware 솔루션
Contents
Ⅰ
시장동향
Ⅱ
HI-Ware 솔루션
Ⅲ
도입효과
Ⅳ
구성 및 구축사례
Ⅴ
제안제품 특장점
Ⅵ
주요사업실적
HI-Ware v4.0
Ⅰ. 시장동향
□ 정보보호에 대한 관심증가와 정보보호솔루션의 도입 확산에도 불구하고 정보보호 침해사례는 지속적으로 증가하고 있으며 특히, 기업의 핵심정보 유출에
따른 피해사례가 급증하는 추세입니다. 국내 대다수의 기업은 기술 · 정보유출에 무방비인 상태로 노출되어 심각한 피해를 입을 수 밖에 없는 실정입니다.
 개인정보 침해건수
 국내 기술 유출에 따른 피해 규모
(출처: 산업기밀보호센터)
2010년은 약 5만 5천여 건으로 2009년 대비 36% 증가
 지난 2004∼2010년 국내 산업기술 사건으로 인한 피해는 244건,
피해액 약 435조원 추정
2/32
HI-Ware v4.0
Ⅰ. 시장동향
□ 개인정보보호법은 공공, 기업, 금융, 의료 등 각 분야별 적용되던 규범을 일원화하여, 개인정보를 취급하는 모든 기업 및 단체가 정보유출에 대한 보호조
치를 하도록 의무화 하도록 개정된 법률이며, 따라서 법률이 시행되는 9월 30일 이후에는 약 350만개 이상의 모든 사업자들은 개인정보보안 관련 보호조
치를 마련해야 합니다.
개인정보보호법 (제정 : 2011.03.29 → 시행 : 2011.09.30)
구분
현행
규율대상
분야별 개별 법 적용
(공공기관, 정보통신사업자 등)
제정
 350만개 모든 공공기관/사업자를 통합 규율 대상으로
법 적용대상 확대
 비영리단체 등으로 확대
개인정보보호법상 규정 요약
•누구를 대상으로 하는가?
공공기관, 민간기업, 비영리단체를 망라, 개인정보를 처리하는
모든 조직 대상 (기업 포함 약 350만개)
•언제부터 시행되는가?
공포일(2011년 3월 29일) 6개월 후인 9월 30일부터 시행
•기술적 안전조치를 하지 않을 경우, 형사처벌이 있을 수 있는가?
안전성 확보에 필요한 조치 불이행 시 3천 만원 이하 과태료,
필요한 기술적 조치를 하지 않아 개인정보가 유출된 경우,
2년 이하 징역 또는 1천 만원 이하 벌금
 기술적 보호조치 의무화
후속조치
•단체소송 관련 어떤 제도가 도입되는가?
시민단체, 민간단체 등 단체가 원고가 되어 개인정보침해 관련
소송을 제기할 수 있게 됨 (단체소송절차 단순화)
법률공포
(2011.3.29)
3/32
법률시행
(2011.9.30)
공공기관, 민간사업자, 비영리 단체 등
개인정보를 수집, 취급하는 모든 자는 적
용대상에 포함
HI-Ware v4.0
Ⅰ. 시장동향
□ 개인정보보호법상 개인정보 처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획, 접속기록 보관 등 대통령령으로 정
하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 하며 현행 법률상의 개인정보보호 위반행위에 대한 주요 과태료 및 벌칙
은 아래와 같습니다.
개인정보의 안전성 확보조치[시행령(안) 제33조)
□ 관리적 보호조치
□ 기술적 보호조치
 내부관리계획의 수립 및 시행
 접근권한 제한∙관리, 접근권한 확인을 위한 식별 및 인증
 교육계획 수립∙시행
 권한 없는 접근을 차단하기 위한 시스템의 설치 등 조치
 정기적인 자체 감사 실시
 개인정보의 안전한 저장∙전송을 위한 암호화 등 조치
 접속기록의 보관 및 위∙변조 방지 조치
 보안프로그램 설치 및 주기적 갱신∙점검 조치
• 내부관리계획 수립, 접속기록 보관 등 안전성 확보 미조치
과태료ㆍ벌칙
☞ 3천만원 이하의 과태료(75조)
• 안전성 확보 미조치로 인한 개인정보 분실 ∙ 도난 ∙ 유출 ∙ 변조 ∙ 훼손
☞ 2년 이하 징역 또는 1천만원 이하 벌금(73조)
4/32
HI-Ware v4.0
Ⅱ. HI-Ware 솔루션
1. 주요 공급 제품
구분
비고
HI-STG
Secure Terminal Guard
서버 및 네트워크 장비(CLI 접속)의 접근 통제 및 보안감사 시스템
Unix, Linux, Network 장비
HI-SSG
Secure Snapshot Guard
Windows Server의 원격접속 터미널(RDP)통제 및 보안감사 시스템
NT서버(RDP접속) 장비
Web Service 작업내역의 접근통제 및 보안감사 시스템
Web(http, https) 접속
Serial Console (TCP/IP 기본 KVM장비) 접근 통제 및 감사, 전원제어
시스템
Console KVM(TCP/IP지원)
접속 (고객환경 확인 필요)
Application의 Gateway Proxy 형식의 접근통제 시스템
Application의 port를 접근 통제
하고 사용자의 접속 in, out 내역
저장 (고객환경 확인 필요)
HI-TIM
Total Identity
Management System
시스템 계정관리 및 패스워드 자동화 시스템
시스템 장비 계정 자동화 관리
HI-EVS
Event Viewer System
Event 통합관제 및 프로세스 관리 시스템
통합관제 시스템, 3D,2D Dash
Board
HI-SWG
Secure Web Guard
HI-Ware
V4.0
세부 사항
HI-SCG
Secure Console Guard
HI-SGS
Secure Gateway System
- CPU QC 2.0GHz 이상, Memory 8GB 이상, Disk 1TB * 2EA(Mirroring 구성)
HI-Ware 솔루션 권장 H/W 사양
- MS Windows Server 2003 이상
- Oracle 10g 이상
- H/W 사양과 Disk는 고객 환경에 따라 협의 하여 산정을 하여야 합니다.
5/32
HI-Ware v4.0
Ⅱ. HI-Ware 솔루션
2. HI-Ware 제품 검증
HI-Ware의 모든 시스템은 최대 사용량에 검증된 시스템 입니다.


HI-Ware 의 가장 큰 성능적 핵심은 사용자 계정의 관리, 로그저장, 로그조회, 동시접속 세션, 장비의 수 입니다.
HI-Ware 제품 군은 이 모든 사항을 고객사에서 이미 검증하여 최대 효율성을 제공하고 있는 안정적인 제품입니다.
프로세스
관리
유지보수
프로세스화
시스템
통합
통합 관제
최대세션
관리
600 동시
세션 관리
6/32
최대장비
관리
40만대관리
HI-Ware v4.0
Ⅱ. HI-Ware 솔루션
3. HI-Ware 제품 구성도
장비 접속
관리자
HI-Ware
작업자
로그 전송(실시간 모니터링 및 저장)
Telnet, SSH, FTP, SFTP
Windows Terminal Service
장비접속
유지보수
장비 접속
차단
Router
Firewall
Backbone
Internet
Switch
Switch
Router
불법사용자 원격접속
Backbone
Switch
Firewall
Backbone
차단
7/32
Server Farm
HI-Ware v4.0
Ⅲ. 도입효과
□ 사용자가 서버 시스템에 접속하여 작업할 경우 접속 관리 대상의 권한 설정 및 사용 ID, 사용내역 등을 기록 저장 하여 감사 정보로 제공 합니다. 이러한
접속자의 인증 및 계정 신청, 승인 결제 등은 Web 상의 결제 프로세스에 의하여 일괄 관리 기능을 제공합니다.
효율적인 IT 인프라 관리
접속자의 인증 및 계정 신청, 승인, 결제 등의 프로세스의 개선
접속자의 인증 및 계정 신청, 승인 결제 등은 Web 상의 결제 프로세스에 의하
여 일괄 관리 기능을 제공
대상 서버 접속 사용자의 관리 개선
접속 사용자의 체계적인 관리를 통한 중앙집중식 통제 정책 기능을 제공
외부 접속자의 서버 계정 패스워드 관리 개선
기대
효과
서버 자체의 패스워드를 보호하여 서버 시스템 접근 보안성을 확보
사용자 접속 IP/MAC, 기간, 금지 키워드 등의 정책 개선
사용자 별 그룹별 금지 정책을 통하여 작업 업무의 한정 기능을 제공
접속 세션에 대한 실시간 감사 기능 제공
인프라에 접속하여 작업하는 작업자의 작업내역을 실시간 감사
작업 내역의 조회 (로그조회) 기능 도입
작업 세션 및 작업 내역을 작업자와 동일한 환경에서 DBMS에 저장하고 손쉬운
조회 기능을 제공할 수 있는 환경제공
8/32
HI-Ware v4.0
Ⅲ. 도입효과
1. 접속자의 인증 및 계정 신청, 승인, 결제 등의 프로세스의 개선
□ 사용자가 서버 시스템에 접속하여 작업할 경우 접속 관리 대상의 권한 설정 및 사용 ID, 사용내역 등을 기록 저장 하여 감사 정보로 제공 합니다. 이러한
접속자의 인증 및 계정 신청, 승인 결제 등은 Web 상의 결제 프로세스에 의하여 일괄 관리 기능을 제공합니다.
기존 운영방식
수작업 작업요청
개선된 운영방식
관리자
관리자
작업자
구두에 의한 작업 승인
작업자
작업요청
승인, 결제
시스템 직접 접속 작업
인증 키 발급
Web을 통한 접속 신청
사용자 정보
접속 할당 장비
접속 기간 설정
승인 요청
Web을 통한 접속 결제
사용자 정보 조회
접속 권한 할당 장비
접속 기간 설정
결제 및 반려 기능
Server Farm
권한을 할당 받은
시스템에서 만 작업 가능
9/32
Server Farm
HI-Ware v4.0
Ⅲ. 도입효과
2. 대상 서버 접속 사용자의 관리 개선
□ 다수의 서버는 다양한 사용자에 의해 작업환경을 제공하고 있으며 해당 서비스 권한을 획득하지 못한 사용자가 타 그룹의 관리 장비에 접속하여 작업하는
비 업무적인 일을 방지 하기 위하여 해당 서버의 접속관리 및 세션 관리 기능이 제공 합니다. 이러한 접속 사용자의 체계적인 관리는 중앙집중식 통제 정
책에도 매우 유용한 기능을 제공됩니다.
기존 운영방식
개선된 운영방식
Server Farm
관리 영역의 서버
서버 접속 작업
작업자
부분 별한 접속
비 관리 영역의 서버
관리자
해당 사용자의 권한에 의하여 관리자는 업무 별 접속 리스트를 상이하게
적용합니다.
이러한 대상 리스트는 그룹의 Role로 적용되어 있으며 개별 사용자는 권
한의 상속 및 일부 권한의 할당 등의 정책을 제공받을 수 있습니다.
10/32
HI-Ware v4.0
Ⅲ. 도입효과
3. 외부 접속자의 서버 계정 패스워드 관리 개선
□ 접속 계정을 획득한 사용자의 관리 및 휴면계정의 관리, 제어 사용자의 관리 등은 필수 사항이며 서버 자체의 패스워드를 보호하여 서버 시스템 접근 보안
성을 확보 할 수 있습니다.
기존 운영방식
개선된 운영방식
관리자
수작업 작업요청
관리자
작업자
해당 서버의 ID/Password 제공
작업자
작업요청
서버 접근제어 시스템
해당 서버 접근 권한 할당
시스템 직접 접속 작업
자동 로그인
작업할 수 있는 환경까지
자동로그인
패스워드 암호화
Server Farm
Server Farm
권한을 할당 받은
시스템에서 만 작업 가능
11/32
HI-Ware v4.0
Ⅲ. 도입효과
4. 사용자 접속 IP, 기간, 금지 키워드 등의 정책 개선
□ 사용자 접속 인증에 대한 정책이 수립되어야 하며 이러한 접속 인증은 해당 사용자의 접속 IP 및 기간 (시간, 기간, 요일), 금지 명령어 등으로 세분화 되어
관리자에 의해 정책을 관리 할 수 있습니다. 해당 사용영역의 IP 범위에서 벗어난 사용자는 인증을 받더라도 사용에 제약을 받으며 사용자 별 그룹별 금지
정책을 통하여 작업 업무의 한정 기능을 제공합니다.
기존 운영방식
개선된 운영방식
순/역방향 금지 키워드 제공
Server Farm
관리 영역의 서버
불법 명령어 전송
reboot
장애
작업자
접속 계정을 알고 있는 퇴사자 및 유 접속 경험자
명령어 수행 제어 화면
12/32
HI-Ware v4.0
Ⅲ. 도입효과
5. 접속 세션에 대한 실시간 감사 기능 제공
□ 주요 서버의 작업 시 책임관리자는 행위의 기록 및 실시간 감사를 수행하여야 하는 것이 원칙이지만 현실은 그렇지 못하기 때문에 작업자의 세션을 원격
관리자가 공유하여 작업하는 내역을 실시간 관리할 수 있는 환경 및 협업할 수 있는 메신저 등의 통신 프로세스의 제공으로 관리자는 인프라에 접속하여
작업하는 작업자의 작업내역을 실시간 감사 할 수 있습니다.
기존 운영방식
개선된 운영방식
원격지 관리자?
관리자
원격지에서 작업하는
작업자의 작업내역을
실시간 모니터링 하기
는 불가능 함
최고 관리자
사용자
13/32
서버접근 제어 시스템
HI-Ware v4.0
Ⅲ. 도입효과
6. 작업 내역의 조회 (로그조회) 기능 도입
□ 서비스 서버의 주요 작업 내역은 로그로 저장되어 일정기간 보관되어야 하지만 서버 자체의 이벤트로그로는 작업내역의 조합이 현실상 불가능 합니다. 따
라서 작업 세션 및 작업 내역을 작업자와 동일한 환경에서 DBMS에 저장하고 손쉬운 조회 기능을 제공할 수 있는 환경을 제공합니다.
기존 운영방식
개선된 운영방식
Event Log 조회
다양한 Event 로그 조회
Windows의 경우 로그
조회 ID로 조회 해석 거
의 불가능
14/32
HI-Ware v4.0
Ⅳ. 구성 및 구축 사례
1. 자동차회사 구축 구성도 (2중화 구성에 DR 구축)
제 2 IDC
접속 로그
실시간 관리
계정관리
정책관리
감사데이터
통합 관리자
Telnet, SSH
FTP, SFTP
Windows Terminal
Application Tool
DB Tool Port
문자메시지 서버
필터링 문자열 전송
연동 API
Email
문자메시지
OTP 인증 서버
통합로그관리
시스템
(MS SQL)
AIX,HP-UX
Solaris
Windows
Linux…
사용자
HI-Ware #4
Gateway & DB
Oracle 11g
Sub System (Standby)
Main System (Active–Active) 3중화
접근제어 OTP 인증 로그인
연동 API
DB Interface
ODBC
HP DL380G7
HI-Ware #1 HI-Ware #2 HI-Ware #3
Gateway
Gateway
Gateway
제 1 IDC
우회접속
불법 접근 자
(시스템 ID, Password 소유)
AIX,HP-UX
Solaris
Windows
Linux…
차단
15/32
HI-Ware DB #1
Oracle 11g
HI-Ware DB #2
Oracle 11g
FS NAS
HI-Ware v4.0
Ⅳ. 구성 및 구축 사례
2. 금융권 구축 구성도 (2중화 구성)
WEB을 통한 장비 접속
Telnet, SSH, (S)FTP
Windows Terminal
Console
접근사용자 정책 관리
접속이력/통계관리
콜 센터
관리자
장비 접속
작업자
시스템 자동 로그인
(패스워드 보호)
차세대 서버
Windows : 00대
UNIX :00대
Windows : 00대
콜 센터 상담원
OP 상주자
로그서버
A-A 이중화
차단
접속관리 시스템
운영장비
ID/PW
주기적 백업
UNIX : TCP Wrapper
NT : 로컬보안정책
본점 전산센터
불법 접속 자
콜 센터 서버
장비 원격 접속
허용
유지보수
데이터 센터
차단
서버 그룹
UNIX :00대
Windows :000대
직원
퇴사자
16/32
전자 금융망
본점 DMZ/홈페이지
서버 그룹
서버 그룹
Windows : 00대
Windows :00대
HI-Ware v4.0
Ⅳ. 구성 및 구축 사례
3. 방송 통신 업체 구축 구성도
Device 정보 서버
내부의 모든 장비 정보
자동 동기화 기능 제공
관리자
인사 정보 연동
내부의 모든 사용자 정보
자동 동기화 기능 제공
Script 적용 결과값 반환
정책 적용
(Web 접속을 통한 관리)
Telnet, SSH, rlogin, FTP, SFTP
Windows Terminal Service
로그 전송
Console, KVM
작업자
모든 장비의 패스워드 자동 변경
계정 점검 엔진 구동
접속의 일원화
사용내역 및 정책 관리
퇴사자 관리 (휴면계정)
각 서버 별 결과값에 의한
Data Auto Parsing
정책에 의한 망 접속 기능
접속을 위한 DMZ 구축
망 별 통합구축 환경 ( 중복 IP 처리 기능)
다중화 및 최대 부하 량 검증
Database 저장
허용
유지보수
차단
불법 접속 자
관리
퇴사자 관리
Server
주요 서버 계정 생성 GUI
HI-Ware
Network
Database
무인 국사 Network
AP
Serial MUX
외부 인력을 위한 제공된 I-Pad를 이용하여
Wi-Fi로 접속이 가능하도록 구성함
내부의 모든 사용 시스템이 Gateway를 통하여 접
속 계정을 허가 요청 하도록 구성됨
17/32
Power Management
무인 국사 장비의
TCP 장애 발생 시
무선을 통한 Serial 접속
기능으로 장애 극복
HI-Ware v4.0
Ⅳ. 구성 및 구축 사례
4. 이중화 제안 구성도
WEB을 통한 장비 접속
Telnet, SSH, (S)FTP
Windows Terminal
접근사용자 정책 관리
접속이력/통계관리
중앙 전산실
관리자
장비 접속
작업자
시스템 자동 로그인
(패스워드 보호)
서버 시스템
네트워크 그룹
네트워크 그룹
운영요원
OP 상주자
로그서버
A-A 이중화
차단
접속관리 시스템
불법 접속 자
서버 시스템
장비 원격 접속
허용
유지보수
기타
운영장비
ID/PW
주기적 백업
UNIX : TCP Wrapper
NT : 로컬보안정책
내부 망
외부 망
서버 그룹
서버 그룹
네트워크 그룹
네트워크 그룹
차단
내부 인프라의 서버 및 네트워크 장비에 원격접속이 가능한 모든 서비스 프로토콜의 접속을 HI-Ware 로 일원
퇴사자
화 하고 일원화된 세션에 의해서 접속 정책 및 제어, 감사 기능을 구현합니다.
이러한 접속 Gateway는 통신이 가능한 어느 위치에 설치 되어도 무방 하지만 제안사의 권고 사항으로는 방화벽
내부 및 VPN 내부에 위치하는 것을 권고 하고 있으며 내부 부하가 다량으로 발생할 경우 (동시 접속 세션 1,000
세션 이상)일 경우에는 2중화 하여 별도의 접속 팜을 구성하는 것을 권장 합니다.
18/32
HI-Ware v4.0
Ⅳ. 구성 및 구축 사례
5. 구축 사례
Key point
적용시스템
대용량 고객사 구축 진행 내역
구축 고객 사
K 통신사  최대 세션 및 장비 관리
적용 내역
인사 DB 연동 및 개별 시스템 연동을
통한 통합 인프라 접근제어 시스템
윈도우 서버 터미널 서비스
관리 시스템 구축
네트워크 자동화 및 보안 감사
시스템 구축
HI-Ware
서버 UNIX 운영장비 1,200 여대
관리 및 감사 시스템 구축
서버 및 네트워크 장비의
보안감사시스템 구축
 접근제어 이슈사항
- 소수의 관리자에 의한 다수의 인프라 및 유지보수 관리 허점
- 장애 발생 시 즉시 복구할 수 있는 체제 구축 필요
정보유출 방지 및 보안감사 시스템
- 패스워드 및 정보 유출 및 보안 사고 발생
19/32
HI-Ware v4.0
V. 제안제품 특장점
1. 신뢰성
한국정보통신 기술협회 (TTA) GS인증 시 부하 테스트 결과물
GS 인증은 ISO/IEC 9126, 12119에 근거하여
7개의 국제표준 항목으로 평가한다.
HI-Ware 4.0은 평가시 결함이 없음
KT 연구소 원격접속관리 시스템 부하 테스트 산출물
20/32
동시 접속 자 100명이 접속하여 작업하
였을 경우 성능에 영향 없음을 인증
HI-Ware v4.0
V. 제안제품 특장점
2. 특징 및 장점
Web 2.0
본 프로젝트에 제공되는 HI-Ware 는 국내 최초 Flex 기반의 감사 시스템 입니다. 타 시스템과의 연계 및 실시간 데이터의 전송
에 매우 용이한 구조로 제공되는 Web2.0의 HI-Ware는 C/S 버전의 신속함과 Web의 편이성이 결합되어 최상의 사용자 및 관리
자 Interface를 구성할 수 있습니다. 또한 실시간 세션 통계 및 보안성에도 매우 탁월한 기능을 제공합니다.
Oracle
유지 보수의 용이성 및 대용량 데이터의 처리에 있어 데이터 베이스의 역할은 매우 중요합니다. 따라서 본 제안사는 원격접속
관리시스템 도입 프로젝트에 대용량 데이터베이스인 Oracle Database를 적용하여 성능 및 유지 보수의 방안에도 확실한 대안을
제공합니다.
연동
본 프로젝트의 성공 여부는 최단 시간내에 효율적인 연동을 통하여 업무에 효율적으로 적용할 수 있는 프로세스를 구성하는 것
입니다. 따라서 연동이 용이한 XML로 구성되어 있는 본 제품이 선정 요소 중 최적 안 이며 기 고객사의 인사DB연동 및 계정 프
로세스 연동 경험을 통하여 효율적이며 신속 정확한 환경을 구축합니다.
Role
다수의 장비 및 다수의 사용자를 소수의 관리자가 관리할 경우 발생하는 업무의 과부하를 다양한 상속 기능 및 관리 기법을 통
하여 중앙 집중 식으로 구성할 수 있는 RBAC 개념의 프로세스를 제공합니다. 이는 관리의 편이성을 극대화 할 수 있는 매우 탁
월한 방안 입니다.
Reference
국내 서버 및 네트워크 접근 통제 시스템 시장에서 제안사인 넷앤드는 최대 장비 관리 및 최대 세션관리, 최대 시스템 연동 프
로세스 관리 등을 기 구축하였습니다. 이러한 검증 및 축적된 기술을 바탕으로 성공적인 프로젝트를 수행하도록 하겠습니다.
21/32
HI-Ware v4.0
V. 제안제품 특장점
3. 제안 제품 주요 기능 - 서버접속 경로의 단일화 (Gateway Proxy)
현재 서버 원격접속은 각 서비스 서버에 개별 사용자가 직접 접속하는 방식을 사용하고 있습니다. 이러한 접속방안은 사용자의 작업 내역에 대한 관리자의 중앙
통제가 어려우며 명령어에 대한 통제 부족, 무분별한 접속 등의 많은 문제점을 나타낼 수 있습니다. 따라서 원격 접속하는 프로토콜의 세션을 일원화하는 Gateway
형식의 Proxy Server를 구성하여 세션의 제어 권을 중앙에서 관리하여야 합니다. 접속 세션의 중앙 확보는 정책기반의 접속방안과 접속 정책, 적용명령어 정책 등
의 다양한 통제 기법에 가장 확실한 방법이라 할 수 있습니다. 따라서 관리자는 중앙에서 하위 관리자 및 작업자의 업무 영역별로 작업환경을 정책기반으로 구분하
고 실제 서버에 적용되는 명령어를 정 방향과 역 방향, 정규식 표현 식에 의한 적용 등을 통하여 보다 높은 수준의 통제권을 확보할 수 있습니다. 또한 사용자의 접
속 및 사용시 문자메시지 서버와 메일 서버와 연동하여 관리자에 실시간 통보하는 기능을 제공하여 빈틈없는 원격접속관리 시스템을 구축하도록 하겠습니다.
서버 접속 경로 단일화
AS-IS
?
관리자
작업자
TO-BE
Main Center
AIX,HP-UX
Solaris
Windows
Linux…
원격접속
Main Center
관리자
작업자
AIX,HP-UX
Solaris
Windows
Linux…
실시간
로그전송
구간
암호화
SUB Center
작업자
원격접속
우회접속
불법 접근 자
(시스템 ID, Password 소유)
AIX,HP-UX
Solaris
Windows
Linux…
SUB Center
접속 Gateway
작업자
AIX,HP-UX
Solaris
Windows
Linux…
우회접속
불법 접근 자
(시스템 ID, Password 소유)
22/32
차단
HI-Ware v4.0
V. 제안제품 특장점
3. 제안 제품 주요 기능 - 적용 명령어에 대한 효율적인 통제 방안 제공
최근 발생하는 금융권의 보안사고는 불필요한 명령어의 적용에 따른 보안사고로 밝혀지고 있다. 무분별한 접속에 의한 승인되지 않은 명령어의 적용은 그 자체 만
으로도 많은 보안상의 문제점을 발생하고 있다. 따라서 제안 사는 이러한 서버 시스템에 적용되는 명령어를 다양한 방법으로 통제하고자 합니다. 1단계 통제 정책
으로 작업자가 작업하는 명령어에 대하여 관리자가 원격지에서 실시간으로 감사하는 환경을 구축하고 2단계로 불필요한 명령어를 금지키워드로 등록하여 Whitelist 방식과 Black-list 방식을 적용 합니다. 정 방향과 역 방향의 금지 키워드는 인프라 운영환경에 따라 선택적으로 사용할 수 있습니다. 또한 정규 표현 식에 의한
금지 키워드 설정은 정확한 금지 명령어의 설정에 유용한 환경을 제공합니다. 마지막 3단계 최고 단계로서 관리자가 금지 키워드의 정책을 수립하지 않았다면 최고
레벨의 명령어를 적용 시 관리자에 OTP 기능을 이용하여 승인을 받아 작업할 수 있도록 구성합니다.
적용 명령어에 대한 통제 방안
인증에 의한 자동로그인 기능 구현
White-list 방식과 Black-list 방식 금지 키워드 적용
지정된 금지 OTP 키워드
발급받은 OTP 문자열 입력 후 승인
승인 완료 후 명령어 적용
정규 표현식에 의한 금지 명령어 관리
23/32
HI-Ware v4.0
V. 제안제품 특장점
3. 제안 제품 주요 기능 - 서버 통합로그 관리
사용자가 접속하여 사용한 모든 사용내역이 Database와 되어 저장됩니다. CLI 형식의 작업로그는 Text 형식으로 DB화되며 Windows Terminal Service 및 보안장비
WEB접속은 Snapshot 기법을 이용하여 동영상 저장됩니다. 저장되는 로그는 6하 원칙에 의거하여 일목요연하게 표현되며 순차적인 조회 기법을 바탕으로 관리자
의 로그 조회 시 최선의 방안을 제공합니다. 저장되는 로그는 초 단위의 실행 명령어 조회 및 재생 기능을 제공하며 서버 군의 특성상 세션 유지 기간이 지속 될 때
를 대비하여 접속 중인 세션의 작업내역을 통계화 하는 기능을 제공합니다. 따라서 실시간의 통합로그 조회와 사용 중, 완료된 세션에 대하여 완벽한 로그 관리를
제공합니다. 저장되는 데이터는 주요 문자열을 암호화하며 포트의 변경 및 제한을 통하여 서비스의 무 결성을 보장 할 수 있습니다.
서버 접속 감사 로그 관리
HI-Ware
(Oracle DBMS)
연동 API
DB Interface
ODBC
HI-Ware Database
저장된 로그데이터는 다양한 조회 기법을 통하여 최적의 조회 환경을 제공합니다.
Push Data 관리
Data 이관의 주기설정
24/32
관리자
HI-Ware v4.0
V. 제안제품 특장점
3. 제안 제품 주요 기능 - 서버 접속 계정 인증강화
네트워크 및 시스템에 접속 할 수 있는 사용자 권한에 대한 인증을 강화합니다. 타 시스템과의 연계를 통하여 실사용자의 동기화를 구현하고 접속된 사용자의 계
정은 최고관리자, 중간관리자, 사용자로 구분하여 그룹의 권한이 개인에 상속될 수 있도록 구성합니다. 관리자는 이러한 계정에 대한 인증을 IP Address 대역, Mac
Address 등으로 통제 할 수 있으며 사용 기간을 기간별, 요일 별로 구분하여 접속 인증을 통제 할 수 있습니다. 통제된 사용자 이외에 One Time 접속 자는 관리자
의 승인 인증 프로세스를 활용하여 OTP 개념의 접속인증 방안을 제공합니다. 원격접속관리 시스템의 기본인증은 ID, Password, IP address, Mac address가 있으
며 SSO 등의 연동은 유 경험을 통하여 즉시 연동될 수 있도록 사용자 환경을 제공합니다.
서버 접속 계정 인증 강화
접근제어 시스템 계정 인증 강화
서버 접속 계정 인증 강화
 AD/OTP 연동
 Auto login
(1) ID/PWD/OTP 인증 요청
(2) 장비 접속 및
자동로그인
(1) 장비 접속 요청
(4) 인증 결과 반환
HI-Ware 인증 서버
(3) OTP 인증
(2) AD 인증
OTP Device
(3) 장비 접속 완료
UNIX
HI-Ware 서버
LINUX
접속 계정 PWD 유출 방지
Auto login : All Unix , Linux, Windows OS
 시스템 로그인 보안 기능
ACL
AD or PKI
OTP
Device Farm
Windows
 장비 접속 요청/승인
시스템 로그온 가능 IP/MAC Address 제어
User
Time
계정 사용 기간/요일 별 로그온 가능 시간 제어
Notify
시스템 로그인 기록 저장 및 알림 기능
HI-Ware
(1) 장비 접속 승인 요청
(3) 승인 시 인증 Key 발급
(4) 인증키 입력 후 장비 접속
25/32
Administrator
(2) 승인 or 반려
HI-Ware v4.0
V. 제안제품 특장점
3. 제안 제품 주요 기능 - 시스템 패스워드 관리 기능
보안관리에 있어 가장 최전선에 있는 부분이 시스템의 패스워드를 관리하는 기능입니다. HI-Ware는 1차 원격접속관리 시스템의 패스워드를 보안 규칙에 의거하여
관리합니다. 또한 Script를 이용하여 서버 시스템 계정에 대한 패스워드를 변경관리 합니다. 이때 작업자는 계정에 대하여 자동로그인 정책을 부여 받아 서버 원격
접속 시 자동으로 작업환경에 로그인 합니다. 따라서 작업자는 계정에 대한 패스워드를 획득할 수 없는 구조로 구성합니다. 이는 작업자의 관리부실 및 휴면으로 발
생할 수 있는 인적보안에 대한 강력한 보안 관리 방안을 제공합니다. 시스템 패스워드의 변경 및 점검 엔진은 국내 최대 장비 (KT 40만대)를 기준으로 개발된 최상
급 변경엔진이 적용되며 40만대 환경에서 100%의 성공률을 보고하고 있는 최상급 엔진이 제공됩니다.
시스템 패스워드 관리 기능
시스템 패스워드 변경 Workflow
랜덤(Random) 패스워드 변경옵션
 영문/숫자/대문자 혼합
HI-Ware 서버
Administrator
 특수 문자 혼합
 패스워드 최소/최대 길이 설정
시스템 패스워드 변경 예약
(랜덤 or 관리자 지정 패스워드)
Job Scheduler
Devices
패스워드 변경 작업
PWD 변경 엔진
변경 로그 저장
Network
변경 로그 조회
Servers
HI-Ware는 원격접속관리 시스템의 사용자 정책
설정은 물론 서버 시스템 자체의 계정을 효율적
으로 관리할 수 있는 방안을 제공합니다.
26/32
HI-Ware v4.0
V. 제안제품 특장점
3. 제안 제품 주요 기능 - 자체 방어 및 데이터 무 결성 보장
GS인증을 획득한 HI-Ware 4.0은 서버 시스템에 대한 다양한 무 결성 보장 방안을 제공합니다. 접속 웹 환경은 https로 구성하여 웹 접속에 대한 SSL 암호화 방식을
채택하고 있으며 Telnet 등 Open 환경의 프로토콜은 포트 변경 및 AES 암호화 알고리즘을 통하여 자체 방어 기능을 수행합니다. 또한 Gateway Server는 해당 사용
Port를 제외하고 로컬 보안정책을 통하여 차단합니다. 이렇게 수집되는 데이터는 Database에 저장될 때 Oracle에서 제공하는 3DES 암호화 알고리즘을 통하여 장
비의 계정 및 패스워드 등의 주요 보안 컬럼에 대하여 암호화 기능을 수행합니다.
또한 관리자에 의하여 원격관리 시스템의 정책이 조정되거나 보안상 문제가 발생할 때 원격접속관리 시스템은 자체 변경로그를 저장하여 최고관리자가 열람할 수
있도록 하여 최적의 무 결성 환경을 보장합니다.
데이터의 무 결성 보장 방안
(1) WEB 통신 - HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) 암호화
SSL 암호화 통신
관리자
(3) 통신 암호화 – AES ( Advanced Encryption Standard )
AES 암호화 통신
HI-Ware
Web Server
관리자
(4) Database 데이터 암호화 방식
(2) C/S Client 통신 - AES ( Advanced Encryption Standard )
Database
AES 암호화 통신
관리자
HI-Ware
G/W Server
3-DES ( Triple – Data Encryption Standard) 방식 - 112 bit
암호화 방식 사용
Oracle 제공 표준
HI-Ware
Web Server
27/32
HI-Ware v4.0
V. 제안제품 특장점
3. 제안 제품 주요 기능 - 접속데이터의 메일 및 문자발송 연계 방안
관리자는 해당 자리에서 부재할 수 있으므로 특정 로그를 지정하여 문자 메시지나 메일을 통하여 정보를 제공받을 수 있습니다. 사용자의 인프라 접속 및 접속 시
금지 키워드의 사용, 제어 대상 등의 다양한 로그를 팝업, 문자메시지, 메일로 제공합니다. 문자 메시지의 경우 고객 사의 SMS 문자메시지 서버의 API와 연계하여
해당 원격접속관리 시스템의 이벤트 발생 시 티켓화 하여 전송합니다. 이러한 문자메시지 및 메일의 연동은 API 획득 시 1일 이내에 연동할 수 있는 시스템이며 대
부분의 고객사에서 요구하는 사항으로 HI-Ware 4.0에는 연동 Interface 환경 설정이 기본 내장되어 있습니다.
알람 발생 표현 기능
문자메시지 서버
Email
문자메시지
필터링 문자열 전송
연동 API
DB Interface
ODBC
HI-Ware Gateway
관리자
문자 및 메일 전송 코드 편집
알람 정책 화면 제공
전송 타입 설정 기능
시스템, 장비, 사용자 알람 분류
28/32
HI-Ware v4.0
V. 제안제품 특장점
3. 제안 제품 주요 기능 – 완벽한 이중화 구성(옵션)
HI-Ware 이중화 구성 아키텍처
HI-Ware 접근제어 시스템
Device Farm
DB
DB
HI-Ware #1
HI-Ware #2
①
②
운용자
장비 접속
③
인증 모듈
(Active)
중계 모듈
(Active)
인증 모듈
(Standby)
통신
중계 모듈
(Active)
1. 인증 요청
운용자는 장비 접속을 위하여 현재 Active 상태인 인증 모듈에게 장비 접속 인증 및 접속할 중계 모듈의 정보를 요청한다.
2. 인증 결과
Active 상태의 인증 모듈은 연결된 중계 모듈의 장비 접속 세션 의 수를 기준으로 가장 접속이 작은 중계 모듈 정보를 Client 에 반환한다.
3 . 접속 요청
반환 받은 중계 모듈 정보에 장비 접속을 요청하면, 중계 모듈은 실제 장비에 접속하고 데이터를 중계하여 원격 접속이 수립된다.
29/32
HI-Ware v4.0
Ⅵ. 주요사업실적
프로젝트 명
적용시기
회사명
적용제품
구성방식
현대자동차 서버원격접속통합관리시스템 (구축중)
2011.08
HI-Ware
Gateway
G 마켓 접근통제 시스템 구축
2011.06
HI-Ware
Gateway
LG U+ 원격접속관리 시스템 구축
2011.05
HI-Ware
Gateway
강원도청 원격접속관리 시스템 구축
2011.03
HI-Ware
Gateway
SK Telecom IT 보안 팀 접근통제
2011.02
HI-Ware
Gateway
KT 파워텔 원격접속관리 구축
2011.01
HI-Ware
Gateway
대전교육정보원 접근통제 시스템
2011.01
HI-Ware
Gateway
인천교육정보원 접근통제 시스템
2011.01
HI-Ware
Gateway
인천시청 원격접속관리 시스템 구축
2010.08
HI-Ware
Gateway
KT DS 원격접속관리 고도화 사업
2010.07
HI-Ware
Gateway
KT ISM , TACS 시스템 구축사업
2010.06
HI-Ware
Gateway
SK브로드밴드 원격접속관리 시스템
2010.03
HI-Ware
Gateway
KT Qook TV 원도우 접근통제 구축
2010.02
HI-Ware
Gateway
한국인터넷진흥원 통제 시스템 구축
2010.09
HI-Ware
Gateway
오토에버 원격접속관리 시스템 구축
2010.11
HI-Ware
Gateway
30/32
HI-Ware v4.0
Ⅵ. 주요사업실적 (금융권)
프로젝트 명
적용시기
회사명
적용제품
구성방식
금융감독원 접근통제 시스템 구축
2008.12
HI-Ware
Gateway
금융결제원 네트워크 접근 통제 및 감사 시스템 구축
2009.04
HI-Ware
Gateway
현대해상 계정 접속관리 시스템 구축
2010.03
HI-Ware
Gateway
대신증권 접근통제 시스템 구축
2011.08
HI-Ware
Gateway
대우증권 감사 통제 시스템 구축
2008.10
HI-Ware
Gateway
전국은행인 연합회 원격접속관리 시스템 구축
2009.05
HI-Ware
Gateway
서울외국환중개 접근통제 시스템 구축
2009.06
HI-Ware
Gateway
미소금융관리재단 접근통제 시스템 구축
2010.06
HI-Ware
Gateway
KDB산업은행 시스템 접근통제구축
2011.08
HI-Ware
Gateway
리딩투자증권 시스템 접근통제구축
2011.09
HI-Ware
Gateway
3. 주요사업실적 (계속)
31/32
감사합니다
알비소프트 주식회사
서울시 광진구 능동 237-1 동성빌딩 403호
TEL : 070-4213-8579, FAX : 02-455-8579
http://www.rbsoft.co.kr
영업대표 : 조용오이사(010-9280-8579, [email protected])
최적의 제품으로 최선을 다해 보답하겠습니다