TA-PRS V2.1

Size: px

Start display at page:

Download "TA-PRS V2.1"

정성 남궁
6 years ago
Views:

1 인증사항 차세대 PMS 및내 PC 지킴이구축방안 TA-PRS Top Aegis Patch and Remediation System 아이티스테이션

2 1-1 패치관리시스템출현배경 각종보안위협에대한선제적대응의필요성 다양하고복잡해진전산환경에서각종해킹, 악성코드, 랜섬웨어, 정보유출등보안사고가지속적으로증가하고점차지능적 (3.20대란등 ) 으로변화하고있어이에대한중점적인관리필요성이증가하고있으며, 근본적인보안강화수단으로운영체제및각종 S/W 에대한보안패치를자동관리할수있는패치관리시스템 (PMS) 은필수적인정보보호시스템입니다. 보안 ISSUE 사건사고폭발적증가 2017 년해킹사고의지속적위협증가 (2016 년대비 ) 각종법적요구사항증가 정보통신망법개인정보보호법신용정보보호법산업기술유출방지법등의관리적기술적보안요구사항증대 관리인력부족 전체사업체중정보보호업무인력운영은전체의 0.6% 에불과 관리적방법 해결안 ISMS, ISO27001, PIMS, PIPL 정보보호준비도평가내부관리정책등 기술적방법 접근통제암호화악성프로그램방지 (PMS, 백신, 랜섬웨어 ) 목표 자동화에의한관리자원최소화법적요구사항충족 PC 보안관리체계구축전사적보안수준증대 2

전문화된패치관리시스템 (PMS) 구축으로 전사적인보안수준강화 01 02 패치자동 / 강제적설치및업데이트현황수집및통계 운영체제및어플리케이션에대한자동화된패치관리로각종취약점을제거하고보안수준을강화 해킹, 자료유출방지,

3 1-2 패치관리시스템의필요성 패치관리시스템구축을통한보안사고사전방어의필요성 조직내부모든 PC와윈도우계열의서버에대한기본적인보안강화를위한패치관리시스템 (PMS) 을구축하여운영체제의신속한보안패치는물론백신SW,PC보안, 개인정보관리등필수소프트웨어의중앙관리체계를확립하고, 이를통해보안공백최소화와정보자원의안정성을확보하여 PC보안수준강화를통한정보보안사고를방지합니다. 전문화된패치관리시스템 (PMS) 구축으로 전사적인보안수준강화 패치자동 / 강제적설치및업데이트현황수집및통계 운영체제및어플리케이션에대한자동화된패치관리로각종취약점을제거하고보안수준을강화 해킹, 자료유출방지, 랜섬웨어방지등 PC 보호로보안사고방지및각종악성코드및좀비 PC 로인한트래픽발생방지와네트워크가용성확보 보안사고방지운영의편의성제고 최소인원을통한최대효율달성기존환경과의친화력극대화 조직전반에걸친일관성있는패치관리정책수립및운용 최소한의인력을통한운영효율성극대화 중앙집중적인관제를통한총괄적인관리 3

4 1-3 패치관리시스템개요 배포할패치에대한무결성보장과관리서버자체보안강화 중앙배포패치파일의원할한배포설치및무결성보장 내 / 외부해킹및파일변조를방지하는관리서버자체보안강화 각각의패치파일에대한고유한전자서명으로변조방지 최신패치의유지및정책에의한일괄적용 패치출시와동시최소시간내에자동배포및전체조직에일괄배포적용 위협에대한노출시간최소화 리포팅을통한패치관리정책의수립 / 수정을제공 PMS 를통한각종보안솔루션에이전트강제설치로악성코드피해방지 PMS 의자동배포설치유지기능을통한각종보안솔루션에이전트강제설치및유지 조직에서사용하는소프트웨어의종류및버전에대한지속적인패치및일관성유지 04 각종파일배포, S/W 자동설치및삭제유도, 리포팅 각종파일배포, 백신, 보안솔루션등필요한소프트웨어의자동설치 금지소프트웨어등불필요한소프트웨어삭제유도 패치, 소프트웨어설치확인및통계리포트제공 4

소프트웨어배포시무단배포및비밀번호유출에의한사고를원천적으로방지 PMS Agent의자체보호,

5 1-4 기능적요구사항 패치정보의정확성 패치정보를신속히수집 대상 PC 에대한정확한패치현황파악 적용필요패치내역에대한명확한우선순위제공여부 안전성 각각의패치파일및배포파일에대하여변조를원천봉쇄 소프트웨어배포시무단배포및비밀번호유출에의한사고를원천적으로방지 PMS Agent의자체보호, 동작안정성및배포, 패치의무결성 서비스단절을최소화하며패치적용여부 문제발생가능성이있는패치에대한적용전분석 기술지원체계의신뢰성 5

6 1-5 부가적요구사항 운영 / 관리편리성 PMS 에이전트설치의편의성 대상PC에대한그룹관리지원여부 그룹별및시간대별예약작업기능 패치이외의설치및업데이트가능한애플리케이션의종류 일련의작업에대한보고서지원과보고서형식및내용의적합성 타관리솔루션과의연동 / 통합여부 기타 국가보안연구소 IT보안인증사무국정보보호제품 CC인증 EAL2 이상의무 패치엔진에대한유연성확보를위한원천기술보유유무 대규모및다양한환경하의구축경험여부 인사DB등커스터마이징지원여부 6

7 2-1 구축경험이많은전문솔루션검토 패치전문기업의패치전문시스템검토필요성 15년간국내외 900여고객사의 PMS 기술지원을통해축적한경험을반영한차세대시스템운영체제와독립적인 SW배포및패치엔진기술력보유로다양하고유연한패치및배포를지원 (MS 사에서제공하는 WSUS 를사용하지않아타제품지원에제약이없습니다.) SW패치와배포를하는기본플랫폼으로개발, PC에설치하는대부분의 SW관리를지원하는유연함 MS운영체제및 Office Application, 백신 (V3, 알약등 ), 보안이슈제품군한컴오피스, Acrobat Reader, Acrobat, Flash Player, Shockwave 등패치지원패치전문팀을연구소내에운영하여전문적인패치서비스 ( 상세한패치정보포함 ) 를제공지원하는 SW별전문적인패치DB를구축하여양질의패치서비스를제공공인인증서및지문인식을통한패치및파일배포로강력한보안성유지 NAT 환경을완벽하게지원하며 SW자산관리기능 PC사용자정보의실시간수집및인사DB 연동기능지원 7 정부기관배포 PC 보안준수점검도구내 PC 지키미기능지원

정책파일에대한해시값적용으로무결성보장 보안강화를위한소프트웨어배포관리장치 뛰어난편리성

일문 / 중문 ( 간체 / 번체 ) 패치지원 신뢰성 패치랩에의한검증된패치배포정책

정보보호제품 CC EAL3 인증 GS( 굿소트프웨어 )1등급인증 중소기업청성능인증

8 2-2 전문솔루션이갖추어야할특징검토 강력한보안성 BIO 인증및디지털서명에의한부인방지및기밀보장 에이전트와서버간의암호화통신 정책파일에대한해시값적용으로무결성보장 보안강화를위한소프트웨어배포관리장치 뛰어난편리성 에이전트자동설치및관리 H/W, S/W 일체형으로관리의편리성 OS버전별국문 / 영문 / 일문 / 중문 ( 간체 / 번체 ) 패치지원 신뢰성 패치랩에의한검증된패치배포정책 네트워크및관리서버에대한부하분산관리기능 ISMS 인증으로고수준의정보보호 인증 정보보호제품 CC EAL3 인증 GS( 굿소트프웨어 )1등급인증 중소기업청성능인증 (EPC) 안전성 8 지문정보및디지털서명에의한배포파일작성및정책설정 배포, 차단, 관리 Console 의 3Tier 구조 2 채널 /2way 인증및암호화

9 2-2 전문솔루션이갖추어야할보안성검토 9 유연하고신뢰성있는패치관리필요 무결성과기밀성 패치및 SW 배포에필요한파일을생성할때생체인식 ( 지문 ) 에의한인증등록된지문과일치해야만배포파일등록및적용가능한보안성검토모든패치및배포파일에고유한전자서명을사용하여모든변조가능성원천방지 상호인증과보안통신을통한기밀성유지 에이전트 - 서버간통신시상호인증작업수행에이전트 - 서버간데이터전달은 SSL 기반보안통신을통해수행 에이전트및패치의보호및무결성유지 에이전트설치후사용자에의한변조나변경을공지하여정책을유지하는강제성을제공설치한패치에대한보호로설치된패치를사용자임의로삭제 / 변조가불가능 패치정보를보유한정책파일무결성검증 모든정책파일에대해전자서명및검증을수행 SHA256 해시값을이용하여파일위조및변조확인 완벽한비인가사용자의접근통제로안전성유지 세션자동종료, 복잡한암호사용강제, 관리자콘솔제한등을통한관리자권한획득방지인증데이타재사용방지기능을이용하여인증데이터재사용을통한권한획득방지

2-2 전문솔루션이갖추어야할운영관리의편의성검토 운영 / 관리편의성 운영중인패치랩 (ISMS 인증 ) 을통한신뢰할수있는검증된패치제공 패치적용시발생할수있는오류및문제발생가능성을최소화범용적인업무환경에서실제테스트를통한패치검증개별패치의상호의존관계등에대한명확한분석 자동패치설치기능 고객이요구하거나운영중인다양한환경의개별 PC

10 2-2 전문솔루션이갖추어야할운영관리의편의성검토 운영 / 관리편의성 운영중인패치랩 (ISMS 인증 ) 을통한신뢰할수있는검증된패치제공 패치적용시발생할수있는오류및문제발생가능성을최소화범용적인업무환경에서실제테스트를통한패치검증개별패치의상호의존관계등에대한명확한분석 자동패치설치기능 고객이요구하거나운영중인다양한환경의개별 PC 에자동패치설치무결성이검증된백그라운드패치및스텔스패치설치요구에따른일반업무용소프트웨어패치및업데이트배포 특정백신이나정보보호솔루션에종속되지않는 PMS 모든백신프로그램의패치를제공할수있는유연한확장성보유다양한정보보호솔루션과독립적으로유지관리가가능하여투자의유연성을제공 보안위협이있는 ActiveX 를사용하지않는설치유도환경 크롬과사파리등익스플로러미사용자에게도에이전트설치유도 PC 취약점점검및제거 ( 내 PC 지키미 ) 10 정부기관배포내 PC 지키미기능지원 TA-PRS 와통합된설치유도, 관리자 UI 제공및 PMS 에의한연계조치수행각 PC 에대한보안준수및수행결과보고보고를위한다양한보고서및점검결과에대한통계점검항목에대한취약성발견시즉각적인안전조치수행

11 2-3 필요기능검토 - 주요항목 실시간리포트및대시보드에의한모니터링 PC HW, SW 자산관리기능 비업무용 SW 설치 PC 인터넷사용제한 지원중단 OS 사용자인터넷사용제한 인터넷차단에의한에이전트자동배포및패치관리 PKI 및BIO 인증에의해검증된파일의등록및배포 MS 지원중단패치및Adobe, 한글패치지원 개별 PC의환경에따른차별화된패치지원 내부정책에따른정책설정기능 ( 스케줄, 적용대상등 ) 패치랩을통한신규패치에대한신속한검증및롤백기능지원 MS 운영체제및어플리케이션자동패치수용 11

12 2-3 필요기능검토 안전한파일등록및배포 파일등록및배포시보안을위해별도계정을사용 대형사이트에서각단위조직별로단위관리자를생성할경우, SW 배포의등록권한및정책관리권한을별도로가질수있도록함 배포권한을갖는단위관리자는로그인과정을거친후전자서명된파일을선택하여배포할수있는기능을제공받음 전자서명파일선택 배포도구를이용한보안인증서기반의전자서명된파일 서버에업로드실행 업로드된정책파일은 AES256 암호화알고리즘을이용하여암호화된파일로다시저장 12

13 2-3 필요기능검토 안전한파일등록및배포 보안고도화를통한특수기능 안전한공인인증서저장배포파일의지문인증을통한전자서명수행패치및배포파일배포절차 13

14 2-3 필요기능검토 - 패치배포에대한절차 신뢰성을검증한안전한패치제공 새로운패치에대한신속한검증및등록을위한패치검증센터 (Patch Lab) 운영유무 MS Window 운영체제패치간의상호의존성및종속관계분석, 주석추가및검증된패치의등록지원하는모든 SW에대해패치오류검증, 패치관련 DB 및 Knowledge Base 구축 신규보안패치발표 패치배포과정 패치설치에대한통계 패치랩에서검증 클라이언트패치설치 업데이트서버에등록 자동패치적용 배포서버에신규패치등록 클라이언트패치환경분석 14

15 2-3 필수기능검토사항 15 다양한환경에서의구축경험및검증된기술력을보유하고있는가? 관리대상 PC의패치현황파악을위한관제보드제공하는가? 운영체제버전별 / 시스템별 / 대상별식별가능하여각각적용가능한가? 패치대상PC의 IP주소확인등변경이력이관리가능한가? 네트워크상공유기등 NAT IP를사용하는 PC도관리가능한가? 보안이슈제품군 ( 한컴오피스, 어도비, 자바등 ) 및패치대상 S/W 파악및패치가가능한가? 전체및부서별패치정책이개별부서상황에맞게정책적용이가능한가? 보안항상성유지를위한권고S/W 설치및금지S/W에대한단속이가능한기능을보유하고있는가? 사용자PC에설치되어있는소프트웨어들에대한현황파악이가능한가? 정책위배PC에대한차단등보안정책에따를수있도록유도가가능한가? 업무에지장을최소화할수있도록각종유예기능을보유하고있는가? 출장등장시간관리대상외의사용자에대한관리기능을보유하고있는가? 관리서버의각종감사로그에대한외부탈취방지를위한암호화기능을보유하고있은가? PC보안취약점검사후 PMS와연계하여즉각조치가가능한가? 관리서버 H/W 운용환경이유연한가?( 네트워크환경에따른단일서버로운영 OR 분산서버 ) PC취약점검사시유연성있는스케줄관리가가능한가? 취약점발견 PC에대한사용자해결조치및중앙강제조치가가능한가? PC취약점점검시점검예외항목및기관에맞는항목별평가점수를관리자가변경가능한가? CC인증등보안성평가를위한보안및품질인증을보유하고있는가?

16 2-3 관리인터페이스편의성검토 관리편의성을위한관리인터페이스 Navigation 검토 16

17 3-1 구축구성도 5. 인터넷사용 라우터 Internet 1. 패킷미러링 백본스위치 패치파일분배 패치파일검증및업로드 [ 패치랩 ] 2. 패킷차단 3. 차단창팝업 L2 스위치 4. 사용자동의관리 / 통제 업데이트서버 미러패킷차단패킷 공지서버 암호화패킷 지문인식기 배포서버 Agent 17 클라이언트클라이언트관리자

18 3-2 다양한환경하의구축사례 18

19 4-1 다양한공공기관구축경험 공공기관 한국거래소 / 감사원 / 사회보장정보원 / 국민연금공단 / 한국승강기안전거래소 / 산림청 / 특허청 / 국무조정실 / 한국전력공사 / 한국조폐공사 / 한국원자력연구원 / 대전도시공사 / 충북개발공사 / 보훈공단 / 국립수목원 / 중소기업기술정보진흥원 / 한국의약품안전관리원 / 나노종합기술원 / 한국생명공학연구원 / 한국특허정보원 / 국립산림과학원 / 한국화학연구원 / 경기도일자리재단 / 전북자동차융합기술원 / 한국에너지기술연구원 / 한국생산기술연구원 / 산림약용자원연구소 / 한국지질자원연구원 / 대전평생교육진흥원 / 국토교통부환경교통센터 / 주택도시보증공사 / 부산도시공사 / 선박해양플랜트연구소 / 한국건설기술연구원 / 경기도일자리재단 / 한국과학기술원 / 국립부산과학관 / 안전성평가연구소 세종특별자치시청 / 대전광역시청 / 울산광역시청 / 광주광역시청 / 여주시청 / 진주시청 / 아산시청 / 전북도청 / 공주시청 / 목포시청 / 태백시청 / 홍성군청 / 청양군청 / 산청군청 / 정선군청 / 횡성군청 / 영월군청 / 화천군청 / 대전유성구청 / 안동시청 / 보령시청 / 홍천군청 / 영암군청 / 논산시청 / 나주시청 / 하동군청 / 영양군청 / 계룡시청 / 울산광역시소방본부 / 진주시청 / 아산시청 / 대전동구청 / 대전서구청 / 울산중구청 / 서산시청 / 군산시청 / 삼척시청 / 전주시청 / 창녕군청 / 서울시동대문구청 / 서울시성동구청 / 충북도청 19

20 감사합니다. TA-PRS

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%