SecureDoc 제품소개
AGENDA 01 보안동향 02 제품소개 03 기대효과 2
01 보안동향 ⅰ 제안배경 ⅱ 요구사항 3
1.1 제안배경 외부에서업무용노트북혹은이동형하드디스크등다양한저장매체들을분실하거나도난이발생하고 있으며해당매체를회수하지못하고있어중요정보의유출이발생합니다. 중요정보유출빈도 분실된 PC 및메모리에절반이상이고객데이터또는 업무의중요정보가포함됨. 사용자고의 반출 18% 도난 17% 관리잘못 20% 분실 / 잊어 버림 45% 분실된 PC / 노트북에대하여 70% 를회수하지못함. 분실자는대부분회사에분실을보고하지않음. 퇴사자가하드디스크를교체해서중요데이터유출 개인적외장하드디스크를통해서중요데이터유출 4
1.2 요구사항 1 디바이스분실에따른통제방안 사용자가디바이스를분실하는경우해당디바이스내저장된데이터의안전성확보방안 디바이스접근에대한강력한사용자인증확보필요 2 하드디스크탈 부착에따른통제방안 내부직원의업무 PC 에대한하드디스크탈 부착에따른중요정보유출통제필요 이동형하드디스크매체에대한정보저장의안전성확보방안 5
02 제품소개 ⅰ 개요 ⅱ 구성 ⅲ 주요기능 ⅳ 상세기능설명 6
2.1 개요 가. SecureDoc 제품개요본제품은하드디스크암호화솔루션으로외부분실및도난에따른대응을제공할수있으며, 원격통제를통해서데이터의소거를제공할수있습니다. 암호화알고리즘은 AES-256을이용하여데이터의보안성을제공합니다. 구성요소구분사양제품이미지 관리서버 Client OS DBMS RAM HDD CPU OS RAM HDD CPU Windows 2008 R2 MS-SQL 2008 R2 2GB 40GB Intel Xeon E5-2603 v3 1.60GHz Windows 계열 (XP, Vista, 7, 8, 8.1, 10) (XP 에서는 Windows Installer 4.5 필요 ) Windows Server 계열 (2008, 2008R2, 2012, 2012R2) Mac 계열 (OSX, FileVault2) Linux 전계열지원 (Opal Disk 추가필요 ) 512MB 250MB Intel, AMD, Cyrix 프로세서호환 ( 최소 1GHz 권장 ) 7
2.2 구성 가. 제품구성도 인터넷 구성요소 기능 백본 SDconnex(DMZ) 관리서버 ( Management / DB / SDconnex ) 에이전트보안정책관리 암 복호화키저장및관리 사용자계정및자산관리 인증 Password 관리 모니터링및로그감사 방화벽 SDconnex(DMZ) PC 단말원격통제 원격인증소거 (Crypto-Erase) 내부관리서버 ( Management / DB / SDconnex) Client 사용자인증 디스크암호화 정책운영및로깅전송 일반저장매체암호화지원 8
2.3 주요기능 가. 주요보안기능 내부관리서버 ( Management / DB / SDconnex) 외부도난 / 분실 우회부팅시도 PC파기미준수 번호 위협요소 대응방안 1 비인가자접근 부팅로그인제공 / 패스워드 ( 복구및일회용, 임시패스워드제공 ) 2 우회부팅시도 우회부팅시 MBR( 마스터부트레코드 ) 미인식으로디스크인식불가및암호화 3 디스크탈취 외부 PC에슬레이브로연결시해당디스크암호화로인식불가 4 외부도난 / 분실 로그인방지및암호화 / 내부네트워크인증을통한외부에서사용불가 / 원격통제 5 PC파기미준수 미파기로인해고물상을통한하드디스크유출시암호화를통한중요정보보호 9
2.3 주요기능 나. 주요항목 패스워드정책 ( 신규생성 / 임시제공기능 ) ( 시도응답 / 온라인복구등 ) 사용자인증 ( 로컬 / 네트워크방식 ) 알고리즘 (AES-256 / 인증서 ) 하드디스크암호화 ( 전체 / 파일 / 폴더 ) 일반저장매체암호화 (USB / CD 등 ) 보안정책수립 / 관리 SecureDoc 업데이트 ( 주기제공 ) 로깅및모니터링 ( 암호화진행사항모니터링 ) PC 단말원격통제 복구및임시키발급 보안정책패키징제공 ( 정책 / 배포 / 수정 ) 에이전트자체보호 리소스자원활용관리 10
가. 운영프로세스 관리자는관리서버를통해서보안정책생성및관리, 에이전트설치패키지및운영관리를합니다. AD 연동 (Active Directory) 연동부분 에이전트설치 인사 DB 관리서버 사용자 PC 에이전트패키지생성 보안정책 ( 프로파일작성 ) 프로파일변경배포 에이전트운영 Key File 생서및공유 11
공통 지원암호화알고리즘및인증 AES 암호화알고리즘검증 SecureDoc는 AES ( 고급암호화표준알고리즘검증 ) 에의해검증된암호화엔진 4.7 SecureDoc Fast AES Library- 유효성검사 # 1047 SecureDoc Disk Encryption - 유효성검사 # 1046 FIPS 인증 SecureDoc 140-2 인증서를 FIPS : 암호화엔진 6.1 SecureDoc 디스크암호화암호화엔진버전 6.1 (# 1881) - 인증번호 1881 SecureDoc 디스크암호화암호화엔진버전 6.1 (# 1880) - 인증번호 1880 FIPS 소개 : http://csrc.nist.gov/groups/stm/cmvp/index.html CC 인증 SecureDoc 은공통평가기준은통신보안설립인증을 EAL4 이다. 암호화엔진 4.3C 의 SecureDoc 디스크암호화암호화엔진버전 4.3C - 인증평가 # 383-4-58 12
공통 에이전트지원 OS Windows 10 버전이 7월 29일에출시됐으며, SecureDoc은 7월 31일 Windows 10에적용가능한 V6.3 SR3 버전출시하여보다신속한기술적대응을하고있음. 단, 위의내용과같이 Windows 10 Mobile / Enterprise Mobile / IoT Core 지원예정 Windows: 전계열지원 (Windows 10 Home, Pro, Enterprise 지원 / 모바일운영체제도지원예정 ) Mac: FileVault2 기반지원 (OS X 10.7.5(Lion) / 10.8, 10.8.5(Mountain Lion) / 10.9, 10.9.1, 10.9.2 (Mavericks) 이상버전지원 / 최신버전포함 ) Linux: 전계열지원 (Opal Disk 추가필요 ) 13
공통 Windows BitLocker 통합관리지원 본제품은아래의표와같이 Microsoft BitLocker 에기능을추가하여보다효율적이고안정적인통합 관리를지원함 14
인증 에이전트인증 사용자 PC 의전원 ON 윈도우인증전 MBR 에설치되어있는 사전부팅인증 (PBA) 기동 PBA(Pre Boot Authentication) 인증후 HDD 암호화해제 사전부팅인증과 윈도우인증의 SSO 가능 2-Factor 인증기능으로보안토큰사용가능 ( 귀사의보안토큰과연동부분은확인필요 ) Windows 계정기반 SSO(Single Sign On) 제공 15
인증 외부매체부팅차단 (USB 부팅차단 ) 외부매체를사용한부팅 접근불가 (X) WinPE 를사용해서부팅후데이터접근시도 -> HDD 인식불가 FreeDos 사용해서부팅후데이터접근시도 -> HDD 인식불가 제공되는부팅전인증 (Boot Logon) 을진행하지않으면타매체의부팅을통한하드디스크에접근불가함 사전부팅인증을통해무차별대입공격, 사전대입공격으로부터안전하게보호 16
인증 네트워크인증을통해서외부사용통제 회사내부망 회사내부 PC 고의유출 PC SES 서버 임시암호화키전달 인증허가 네트워크단절 인증불가 관리서버와통신되지않은환경에서 Agent 로그인인증불가하도록설정가능 17
인증 인증실패정책설정 인증대기시간지정및인증실패횟수제한기능제공 예 ) 인증대기시간 5 분설정후 -> 시간지나면복호화키사용불가 인증실패횟수 5 회설정후 -> 5 회이상실패시복호화키사용불가 18
암호화 전체디스크암호화기능 전체디스크암호화방식 사용하는센터단위암호화방식 부트파티션부분에대한암호화방식등옵션화제공 19
암호화 사용자및그룹별암호화키 Client Installation package 를설치할때각사용자의키가자동으로생성되며, 이키는 Client 장치사용자키파일과 함께중앙데이터베이스서버에암호화되어보관됨. 생성된키는중앙에서개인및그룹별로중복사용가능함 ( 예 : 영업팀전용 HDD 사용 ) 20
암호화 일반저장매체암호화시데이터반출제공 SecureDoc 에의해암호화 비암호화저장매체 Write 불가 일반저장매체 (USB / SD 카드 / CD DVD) 암호화정책적용 일반저장매체가암호화되지않으면파일매체복사차단 21
암호화 USB / SD 카드 Container 암호화기능제공 암호화영역 비암호화영역 암호화영역은가상파티션으로자동마운트 암호화영역사이즈를조절가능 (10~100%) Viewer 를통해외부에서도암호화된중요문서를확인및수정가능 외부반출용이동형저장매체로사용 22
암호화 파일 / 폴더암호화기능제공 권한에없는경우접근차단 권한에따른접근가능 파일 / 폴더단위암호화지원 사용자및그룹에해당파일및폴더단위권한부여를통해서접근통제제공 23
보안정책 PC 단말원격통제 관리서버 원격통제명령전달 상황보고 외부도난 / 분실 데이터접근불가 Crypto-Erase( 원격인증소거 ) 기능제공 관리서버에서분실된 PC 단말에원격으로인증소거하여데이터접근을통제 24
에이전트 로컬 PC 의저장장치분리후외부에서부착시사용불가 SecureDoc 미설치 외부연결 (External) -> 접근불가 ( 복호화키 X) 암호화 HDD 내 / 외부접근불가 SecureDoc 설치 내부암호화된 HDD 복호화키존재 (ID/PW) SecureDoc 미설치 내부연결 (Internal) -> 접근불가 ( 복호화키 X) Agent 가설치되어있으며 Client 에복호화키를가지고있는경우외부부착으로접근가능. 그외에는접근불가 25
에이전트 암호화리소스관리 디스크모든섹터암호화에따른시스템리소스를미비하게사용함 - CPU 평균사용량 : SDPin.exe( 평균 0.01) / SDservice.exe( 평균 0.06) - 메모리평균사용량 : SDPin.exe( 평균 2,076KB) / SDservice.exe( 평균 4,756KB) 26
에이전트 임의삭제차단 미로그인시 제어판에프로그램제거또는변경을통하여임의차단 파일및폴더삭제시도시해당액세스거부차단 27
통계및로그 다양한형태의관리기능제공 < Web Console 화면 > < Server Console 화면 > 부서별 / 사용자별암호화현황조회및중앙관리자, 조회화면등 Server Console 과 Web Console 를통해관리자가편한환경에서운영가능 Web Console 의경우부서별 / 사용자별암호화현황을도식화해서조회가능 28
통계및로그 대시보드 / 로그 / 통계 / 리포트기능제공 년 / 월 / 일별차트및리스트형식의통계기능제공 Text 파일형태로로그리스트추출가능 Expiration 된로그리스트대해서기간별조회가능 29
통계및로그 감사로그확인 (1) 관리서버의 Audit 로그확인 (2) 클라이언트 Audit 로그확인 에이전트를통한감사로그모니터링제공 30
장애지원 솔루션의연속성제공 SES 서버 장애발생 X 통신접속불가 내부복호화키저장되어있음 사전부팅인증후데이터접근 -> 사용자업무연속성문제발생안됨 Client PC 장애발생 OS 크러쉬부팅불가 WinPE 기반 Recovery 프로그램지원 -> 테이터접근복구가능 관리서버장애시접속이불가하더라도클라이언트의업무및서비스의연속성에문제발생하지않음 ( 서버와통신이가능해야사용가능한정책및로그전송은불가 ) 클라이언트장애시 Recovery 프로그램을사용하여데이터복구가능 31
03 기대효과 ⅰ 도입기대효과 ⅱ 제품인증및레퍼런스 32
3.1 도입기대효과 1 하드디스크암호화기술을이용하여분실 / 도난시중요정보유출차단 암호화기술은전체암호화 / 특정폴더암호화 / 파일암호화등유연성제공 동일부서간의안전한암호화파일공유사용 디스크탈취및노트북분실에따른정보유출차단 2 사용자인증을통한디바이스접근통제 2-Factor 인증제공가능 ( 바이오정보, 스마트카드등 ) MBR 의사전인증제공 (windows 인증과통합인증제공가능 ) 네트워크인증방식을이용한내부인증만제공가능 3 원격통제를통한중요정보보호 분실 / 도난디바이스에대하여원격자금기능제공 중요데이터소거기능제공 33
3.2 제품인증및레퍼런스 1 데이터암호화인증 ( 미국국가인증평가기관 FIPS) 미국암호화인증평가기준레벨 4 제품 CC 평가 : EAL 4 (IT 제품의시스템신뢰도평가레벨 ) / 암호화알고리즘 : AES 지원 2 국내 외주요기업의레퍼런스 미국방성및캐나다최대은행, 일본경시청, TOYOTA, NTTGroup, BOSCH 등도입 34
Q&A 감사합니다