공공기관을위한가장생산적인 타블렛 소개
목차 01. 정부 3.0 세부추진계획 02. 정부 3.0 의과제 03. 준비된디바이스 04. 부처간협업지원 망분리환경지원 다양한보고서양식지원비공개앱스토어지원강력한보안 05. 원격근무를위한디지털협업시스템 영상회의시스템각종보고서공유 06. 가장생산적인타블렛 ipad 4 vs. Surface Pro Surface 라인업 Surface 특장점
정부 3.0 세부추진계획 3
정부 3.0 의과제 부처간협업을지원하는기반시스템마련 일잘하는 유능한정부 - PC 스마트기기로의사소통과온라인협업이가능한 정부통합의사소통시스템 구축 - 각종보고서를공유하고, 맞춤형으로검색할수있는 지식경영시스템 구축 원격근무비효율극복을위한디지털협업시스템구축 - 영상회의활성화및스마트워크센터이용확대추진 - 정부통합전산세터를클라우드컴퓨터센터로전환 (~ 17 년 ) 4
준비된디바이스 타블렛도이용하고싶고 PC 의기능도사용하고싶고 5
부처간협업지원 의사소통과온라인협업이가능한모바일디바이스환경제공
망분리환경지원 씬클라이언트의가격 VDA 접속라이선스불필요오피스 2013 기본제공 논리적망분리연결 (VDI) 7
다양한보고서양식지원 Office 2013 을 Full 버전을지원합니다. 아래한글, PDF 편집및보기지원 8
비공개앱스토어 모바일디바이스를위한터치기반앱제공 공개되지않는비공개앱스토어를통해권한있는사용자만이용가능한앱제공 9
강력한보안 TPM 보안칩 + BitLocker 을통해디바이스레벨의최상의보안제공 UEFI 를통해인증받은운영체제로더만을실행함으로써악성코드침입미연에방지 10
원격근무를위한디지털협업시스템 영상회의활성화를통한스마트오피스제공
영상회의시스템 Lync 를이용하여채팅혹은화상회의를통해원격지와협업가능합니다. Round Table 과결합할경우다자간화상회의를통해서로의의견조율이가능합니다. 12
각종보고서공유 영상회의중보고서공유기능을통해의견을공유하거나, 원격프리젠테이션이가능합니다. 13
가장생산적인타블렛 타블렛이면서강력한노트북환경을제공
ipad 4 vs. Surface Pro Surface Pro 장점 최고의성능제공다양한연결포트제공다양성 ( 일체형받침대, 터치 & 타이핑커버키보드 ) 손바닥터치방지펜기술 ipad Thin and Light 241.2 x 185.7 x 9.4 mm with 9.7 레티나 디스플레이 Surface Pro 274.6 x 172 x 13.5 mm with 10.6 ClearType 1080 p 디스플레이 652 g (Wi-Fi 또는선택적 LTE 지원 ) 1920 x 1080 with 1080p (Wi-Fi 지원 ) 907 g, 일체형받침대 Performance Apple dual core A6X 프로세서 64 bit Intel 3 rd Gen Core i5 Intel HD Graphics 4000 quad-core 그래픽 4 GB of RAM Audio/Video FaceTime HD 전면, isight 후면카메라 2 720p HD LifeCams 전면, 후면카메라 마이크로폰 마이크로폰 모노스피커 스테레오스피커 Connectivity (Ports) USB 3.0, Mini DisplayPort for HDMI/VGA, micr Lightning connector ( 호환안됨 ) o SDXC Human Interface 멀티터치디스플레이 ; 다중디스플레이지원 멀티터치디스플레이 ( 선택 ) 통합된터치또는타입커버 스타일러스펜 Software Compatibility Windows 7 데스크탑생산성및애플리케이션호환성제공
Surface 라인업
Surface 특장점 협업환경지원 멀티디스플레이
감사합니다.
2013.10 구축사례를중심으로본 망분리전략
Index 1. 개요 2. 시장동향 3. 망분리구축시고려사항 4. 논리적망분리사례및분석 5. 솔루션소개
1. 개요
망분리의필요성 작년에만기관해킹피해가 2 만여건이나됐대요. 기관업무자료는어떻게보호해야하죠? 인터넷을안쓸수도없고 그렇다고자리마다 PC 를두대놓고쓸수도없어서걱정이에요.
망분리장점 인터넷과업무용네트워크를모두쓸수있고 보안정책이자동적용되어외부해킹이나바이러스감염에도안심이죠. 중앙관리를받으니까매번 PC 를포맷하거나필요가없어서편리하구나.
2. 시장동향
시장동향 정보유출현황 최근급증하고있는핵심정보의유출은인간의한계, 기술적환경의변화, 정보의특성에따라완전한방지가어렵지만, 해당기관및기업의투자와노력을침해하고실업을유발하는등국가차원의경쟁력을왜곡하므로이에대한적극적대응이필요함. 피해가기업에그치지않고국가경제에까지손실 대부분기술개발참여자가죄의식없이자행 단발성범죄로증거확보및추적곤란 E-Mail 복사등으로유출, 피해사실인지곤란 산업기밀유출현황 정보유출주체현황
시장동향 유형별해킹발생현황 2004 년중국발사이버공격으로 24 개주요국가기관 PC 해킹발생 최근서버해킹보다는접근용이한사용자 PC 를대상해킹경유지활용사례증가 2007 년부터국가기관사용자 PC 의중요접근차단을위해 업무전산망과인터넷망분리 사업추진 ( 단위, 건 ) 자료출처 : 2009 국가정보화백서국정원
시장동향 공공기관현황 2007 년 4 월국가 / 공공기과업무전산망분리실무매뉴얼제작및배포 2007 년 5 월인터넷및업무망분리대상기관확정 ( 국가사이버안전대책회의 ) 2007 년 11 월국가기관망분리시범사업추진 ( 국무총리실. 통일부 ) 2008 년 9 월국 1 차국가기관망분리사업 ( 총 21 개국가기관 ) 2006 년도 2007 년도 2008 년 ~ 9 년 2010 년 ~ 국가기관해킹대처방안수립 시범사업 1~2 차국가기관망분리사업 지자체, 국가기관및산하기관확산 2009년 9월국2차구가기관망분리사업 ( 총 4개국가기관 ) 2008년 5월국가기관망분리방안 VIP보고후확정 ( 외교안보정책조정회의 ) * 2007년 01월국가정보보안기본지침,USB메모리등보조기억매체보안관리지침 2006년 5월국가사이버안전전략회의 2006년 6월해외발구각기관해킹실태및대처방안일환으로국가기관업무전산망과인터넷분리방침보고 ( 대통령 )
시장동향 망분리제도화 정보통신망이용촉진및정보보호등에관한법률 에서망분리의무화조항을신설 2012 년 8 월 17 일에일부개정된개정정보통신망법시행령에서개인정보처리시스템 에접속하는개인정보취급자의컴퓨터등은업무망과인터넷망을분리하도록규정 구분대상 전년도말기준직전 3 개월간저장 관리되고있는 사업자 개인정보 100 만명이상 정보통신서비스부문전년도매출액이 100 억원이상 개인정보다운로드가능자 개인정보취급자 개인정보파기가능자 개인정보접근권한설정가능자 개인정보열람, 수정권한은망분리대상에서제외
망분리방식소개 물리적망분리 가상화망분리 - 개별 PC 를통해업무수행 - 기존 PC 에서인터넷사용 - 업무를위한가상 PC 추가제공
시장 동향 물리적 망 분리 물리적 망 분리 구성(PC 2대) 1. 2. 3. 4. 5. 6. PC 2대 Windows OS 2개 LAN 내/외부 별도 구성 복제 방지(별도 구성) 기간업무시스템 접근 불편 바이러스 및 문서유출 인터넷 내부망 3 단점 1. 관리 및 비용 상승 2. 네트워크 장비 및 PC 추가 3. 모든 네트워크 장비 분리 ERP 1 2 G/W DB DB DRM AES SAN Switch 1 HP StorageWorks Enterprise Modular Library Invent HP StorageWorks Enterprise Modular Library Invent Array Array 사용자 A 보안 USB 데이터 승인 반출/반입 전송 물리적 분리 4 사용자 B 데이터 전송 (다운로드 업로드) 기간업무시스템 ( Legacy 시스템 )
시장동향 물리적망분리 물리적망분리고려사항
3. 도입고려사항
고려사항 망분리대상영역 유형 I 인터넷망분리검토대상
고려사항 망분리대상영역 유형 II 업무망분리및접근차단
고려사항 망분리대상영역 유형 III 외주 / 협력사, 비인가자대상
II. 고려사항고려사항 가상망분리방식개념도 서버기반가상화기술 클라이언트기반가상화기술 데스크탑가상화 (VDI) User 레벨가상화 운영체제 운영체제 리얼 App 가상 App VM 관리 OS 가상화서버 Hypervisor OS 이미지배포 ( 기본 App 포함 ) Hardware 사용자 PC 프리젠테이션가상화 OS 레벨가상화 Presentation Service 리얼 OS 가상 OS OS Hardware 가상화서버 어플리케이션배포 사용자 PC
II. 고려사항 망분리적용관점에서의가상화방식비교 구분 SBC 방식 ( 서버가상화방식 ) CBC 방식 ( 클라이언트가상화방식 ) 비고 개념 서버에서리얼프로세스및리소스를사용, 사용자단말환경에서는화면값과키보드 / 마우스등만을사용프로그램가동 사용자단말의자원만을사용독립된가상보안영역에서생성, 구동저장 장점 - 중앙집중관리용이 - 배포및업데이트편리 - 사용자컴퓨팅환경유지보수및관리비용절감 - 사용자별언제어디서나다양한개인화환경서비스제공,( 클라우드 ) - 사용자컴퓨팅리소스미사용으로다양한단말, 운영체제, 접속환경지원으로효율적인업무및관리용이 - 사용자단말의자원사용으로추가서버구매및성능체감동일 - 사용자사용및구동좋음 - 시스템 ( 서버, 스토리지 ) 관리적음 단점 - 구축하드웨어비용 ( 서버시스템 ) 및관리부담 - 별도의서버및시스템관리필요 - 대상프로그램및환경분석, 호환성검토 - 가상영역공간의별도의보안정책필요 - 사용자 PC 성능에종속 - 다양한환경지원, 확장성부족 ( 모바일, 클라우드미지원 ) - 배포및중앙관리어려움 - 보안성취약 ( 동일단말디스크존재 ) - 추가 Appliance 장비장애시대비책부재 - 별도의 OS 및 Application 라이선스별도구매필요 ( 해당기관의계약관계확인필요 0
II. 고려사항 망분리적용관점에서의가상화방식비교 망분리가이드라인주요내용 망분리가이드라인주요내용 ㅇ업무용PC는원칙적으로인터넷망접근과외부메일차단ㅇ업무용PC는원칙적으로인터넷망접근과외부메일차단 ㅇ인터넷PC는업무망접근을원천적으로차단하고, 인터넷및외부메일은이용가능하지만문서편집은불가능하고읽기만가능 * ㅇ인터넷PC는업무망접근을원천적으로차단하고, 인터넷및외부메일은이용가능하지만문서편집은불가능하고읽 * 인터넷기만 PC에서가능 * 문서편집허용시중요정보가유출될우려가있어관리자의승인하에제한적으로일부허용은가능 ㅇ망분리에 * 인터넷따른 PC에서불편문서편집해소를위해허용시망간중요정보가 ( 인터넷망 유출될업무망 ) 우려가망중계서버있어관리자의등을이용하여승인하에파일제한적으로송수신은가능일부허용은가능 ㅇ망분리에따른불편해소를위해망간 ( 인터넷망 업무망 ) 망중계서버등을이용하여파일송수신은가능 ㅇ ( 이메일보안 ) 업무망에서는내부 ( 자체 ) 메일만사용가능하고, 외부메일은인터넷 PC 에서만이용가능 ㅇ ( 패치관리시스템ㅇ ( 이메일보안 * 보안 ) 업무망에서는 ) 종전에백신업체내부 ( 자체등과 ) 메일만인터넷으로사용가능하고연결하여, 운영되던외부메일은패치관리시스템인터넷PC에서만 * 은인터넷과이용가능분리하여오프라인방식으로운영하고, 비인가된기기 (PC, 노트북등 ) 가접속할수없도록통제ㅇ ( 패치관리시스템 * 보안 ) 종전에백신업체등과인터넷으로연결하여운영되던패치관리시스템 * 은인터넷과분리하 * 패치관리시스템여오프라인 (PMS:Patch 방식으로운영하고 Management, 비인가된 System) 기기 (PC, : 시스템의노트북등보안 ) 가접속할취약점을수없도록보완하기통제위하여배포되는보안업데이트파일을설치 관리해주는시스템 * 패치관리시스템 (PMS:Patch Management System) : 시스템의보안취약점을보완하기위하여배포되는보안업데이트파일을설치 관리해주는시스템
II. 고려사항 망분리적용관점에서의가상화방식비교 주요망분리도입시고려사항 망분리가이드라인주요내용 1. 사용자접속단말의 (PC) 디스크의분실및파손시업무및인터넷사용영역별도보장 2. ㅇ업무용접속단말의 PC는원칙적으로 OS 상위버전으로인터넷망업그레이드접근과외부메일및변경차단시사용성고려및인증, 검증 3. ㅇ인터넷사용자PC접속는업무망단말의접근을중요데이터원천적으로저장최소화차단하고, 인터넷및외부메일은이용가능하지만문서편집은불가능하고읽기만가능 * 4. 향후그린IT 및스마트웍을고려하여자리, 부서이동시개인에대한저장정보및빠른이관고려 * 인터넷PC에서문서편집허용시중요정보가유출될우려가있어관리자의승인하에제한적으로일부허용은가능 5. 향후다양한접속단말과운영체제에대한대책, 방향제시 ㅇ망분리에따른불편해소를위해망간 ( 인터넷망 업무망 ) 망중계서버등을이용하여파일송수신은가능 6. 향후도입되는씬클라이언트및제로클라이언트에대한방안제시 7. ㅇ ( 이메일사용자보안접속) 단말의업무망에서는운영체제내부재( 자체설치) 시메일만망분리사용접속가능하고환경사용, 외부메일은설치편의성인터넷고려PC에서만이용가능 8. ㅇ ( 접속패치관리시스템단말의성능저하 * 보안 ) 고려종전에백신업체등과인터넷으로연결하여운영되던패치관리시스템 * 은인터넷과분리하여오프라인방식으로운영하고, 비인가된기기 (PC, 노트북등 ) 가접속할수없도록통제 * 패치관리시스템 (PMS:Patch Management System) : 시스템의보안취약점을보완하기위하여배포되는보안업 스마트오피스, 클라우드컴퓨팅환경으로의확장지원성데이트파일을설치 관리해주는시스템 재택근무 / 출장근무 / 타환경으로확장용이성지원 그린 IT 컴퓨팅환경으로전환고려 ( 씬클라이언트, 저전력 / 저탄소단말지원 ) 서비스시스템및사용자환경의간편한업데이트편의성검토
II. 고려사항 망분리적용관점에서의가상화방식비교 망분리구축중점요소 망분리가이드라인주요내용 ㅇ업무용 PC 는원칙적으로인터넷망접근과외부메일차단 시스템의 ㅇ인터넷PC는업무망접근을원천적으로차단하고, 인터넷및외부메일은이용가능하지만문서편집은불가능하고읽안정성기만가능 * * 인터넷 PC 에서문서편집허용시중요정보가유출될우려가있어관리자의승인하에제한적으로일부허용은가능 사용 / 운영편의성 관리효율성 ㅇ망분리에따른불편해소를위해망간 ( 인터넷망 업무망 ) 망중계서버등을이용하여파일송수신은가능 ㅇ ( 이메일보안 ) 업무망에서는내부 ( 자체 ) 메일만사용가능하고, 외부메일은인터넷 PC 에서만이용가능 ㅇ ( 패치관리시스템 * 보안 ) 종전에백신업체등과인터넷으로연결하여운영되던패치관리시스템 * 은인터넷과분리하여오프라인방식으로운영하고, 비인가된기기 (PC, 노트북등 ) 가접속할수없도록통제 보안적합성 향후확장성및발전방향 * 패치관리시스템 (PMS:Patch Management System) : 시스템의보안취약점을보완하기위하여배포되는보안업데이트파일을설치 관리해주는시스템
4. 논리적망분리사례및분석
II. 고려사항 사이트기술방식기간규모주요사항비고 IBK 기업은행 SBC 방식 ( 프레젠테이션가상화 ) 2009년 12월 12,000명 - 최초 SBC 인터넷망분리가상방식적용 - 인터넷망분리보안, 정책, 사용성, 관리성, 오픈주요검토사항 - 외부및메일시스템간차단 / 정보연결 인터넷망 충청북도교육청 SBC 방식 ( 프레젠테이션가상화 ) 2012년2월 400명 - 기존업무시스템연동, 호환성검토 - 사용자환경변화에따른업무익숙성 - 데이터반출및승인정책 업무망망 수자원공사 SBC 방식 ( 프레젠테이션가상화 ) 2012년12월 200명 - 보안설정정책 - 서비스범위 - 보안및충돌호환성검증 - 망연계시스템연동, 인증통합 인터넷망 사법부대법원 SBC 방식 ( 데스크탑가상화 ) 2012 년 12 월 2013 년 10 월 3,500 명 7,000 명 - VDI 방식적용 - 고객사용자특수성, 내부네트웍및기존인프라분석, 사용자업무환경변화최소화 - 다단계인증보안적용 (OTP, 지문인식, 접근제어 ) - 모바일단말사용, SSLVPN 적용연동 - 망연계연동및정책적용 업무망 & 인터넷망 C&M 방송 & JS 전선 SBC 방식 ( 프레젠테이션가상화 ) 2013년 4월 700명 /400명 - 업무망가상화적용 - 업무프로그램보안충돌호환성 - 외부망간보안설정정책 - 모바일가상화와통합구성 업무망 OO 부대 SBC 방식 ( 프레젠테이션가상화 ) 2012년 800명 - 망연계및네트웍보안성구성 - 사용자오픈및배포익숙도 - 3개망중 2개망통합구성사용 ( 가상화 ) 내부망 근로복지공단 SBC 방식 ( 데스크탑가상화 ) 2013년 5월 ~ 7,000명 - 업무망, 인턴넷망분리혼합 - 스마트웍동시사용 - 내부기간계시스템연동 - 보안, 유지보수, 접근성, 보완성 - 망단절시시스템업그레이드 (PMS) 업무망, 인터넷망
II. 고려사항논리적망분리사례 ( 공공기관 ) 고객사명 : 충북도교육청 구축대상사용자 : 데스크탑업무 PC 사용자, 업무망을가상화방식으로분리 망분리방식 : 서버기반가상화방식 / SBC 구축대상자수 : 400 대 구축효과 : 내부망과외부망논리적구성 업무망을서버기반가상화방식으로분리구성 업무효율성및보안성강화 사용자외부접속자율성보장, 내부망보안강화 ( 교과부 NIES)
II. 고려사항논리적망분리사례 ( 공공기관 )
II. 고려사항논리적망분리사례 ( 공공기관 ) 고객사명 : 대법원 구축대상사용자 : 데스크탑업무 PC 사용자, 외부모바일패드업무사용자 망분리방식 : 서버기반방식 / 데스크탑가상화 Dstation 구축대상자수 : 1 차 3,500 대, 2 차 7,000 대 ( 전체 15,000 명 3 년간추가구축예정 ) 구축효과 : 내부망과외부망논리적구성 업무망을서버기반데스크탑가상화방식으로분리구성 업무효율성및보안성강화 사용자외부접속자율성보장, 내부망보안강화 외부, 지점, 해외에서도망분리접속사용 내부인증체계 ( 지문인식, 장치접근제어,ID/PWD,IP접근제어) 외부인증체계 (OTP, 장치인증, ID/PWD)
II. 고려사항논리적망분리사례 ( 공공기관 ) 라우터 Internet 라우터 TAP TAP L4 지문인증 침입방지시스템 매체인증 L4 고법 / 지법 / 지원 방화벽 방화벽 Internet L4 L4 L3 SSLVPN L3 유해차단서버 L4 백본 L3 스위치 방화벽 방화벽 침입방지시스템 OTP 서버 가상화관리서버 중계서버 10G 스위치 가상화데스크톱서버 가상화데스크톱서버 OTP 서버 10G 스위치 가상화관리서버 방화벽 침입방지시스템 사법업무시스템 L2 L4 대용량디스크 대용량디스크 L4 통합백본 내부사용자 중계서버
II. 고려사항논리적망분리사례 ( 공공기관 ) 고객사명 : 근로복지공단 구축대상사용자 : 데스크탑업무 PC 사용자, 외부모바일패드업무사용자 망분리방식 : 서버기반방식 / 데스크탑가상화 Dstation 구축대상자수 : 7,000 명 구축효과 : 내부망과외부망논리적구성 업무망을서버기반데스크탑가상화방식으로분리구성 업무효율성및보안성강화 가상화 ( 망분리 ) 시스템구축 내 외부업무연계시스템구현 망분리인프라 (HW, SW) 도입분야
II. 고려사항논리적망분리사례 ( 공공기관사례 ) 공단업무망구성병원인터넷망구성망연계구성
5. 솔루션소개
망분리용 VDI 솔루션 - Dstation 업무환경에대한통합관리 / 운영 - 업무데이터에대한 2 중보안 ( 외부해킹 / PC 도난, 분실 ) - 업무환경에대한중앙관리를통해일원화된보안정책과업무편의성제공
BYOD 최적화 Dstation 만으로 BYOD 환경구축 - 자료유출방지환경구성에서부터모바일업무환경구축까지추가솔루션도입불필요 - 표준화된업무환경유지를통해업무생산성향상 망분리 재택근무 모바일 단일솔루션기반 BYOD(Bring Your Own Device)
Microsoft 라이선스구성 VDI 구성시 가상머신 물리적인머신 연결관리 가상화관리 Tilon 솔루션 SQL 서버 System Center - 관리서버 구성품목 MS VDI Std Suite ( 사용자수량만큼 ) - 年간라이선스정책 MS VDA (Windows7) ( 사용자수량만큼 ) - 年간라이선스정책 MS System Center Standard 1 License 2 Proc (Host 서버수량 ) MS SQL Standard 2012 Server 2Lic/ 1core ( 견적당 2 개 )
Microsoft 라이선스구성 SBC 구성시 (1) 가상어플리케이션의작성 (2) 가상어플리케이션의저장 전달 관리 (3) 가상어플리케이션의실행 사용자 SQL 서버 RD 서버 RDP RDS 클라이언트 전달 실행 ( 서버 ) 클라이언트 PC 저장 관리자 실행 ( 클라이언트 ) 구성품목 MS Windonws 2012 User CAL (MS EA 계약시불필요 ) ( 사용자수량만큼 ) MS Windonws 2012 Remote Desktop Service User CAL (/User) ( 사용자수량만큼 ) MS SQL Standard 2012 Server 2Lic/ 1core ( 견적당 2 개 )
도입문의틸론김준현대리 02-2627-9033 010-4406-0124 jhkim0911@tilon.com 제품문의틸론조희형차장 02-2627-9091 010-9393-0996 chh@tilon.com
감사합니다.