망분리 후 이렇게 해야하고 이렇게 하지 말아야 한다는 내용이다...
1. 기존 접속현황 및 사유조사
-. 이런 걸 할려면 DLP와 같은 솔루션이 필요함.
2. 예외사이트의 안정성 검토(취약한 사이트는 아닌지, 최근에 해킹당하거나 이슈가 있는지 등 확인)
-. 검토 보다는 멀웨어 바이트나 네트워크 방화벽의 웹필터 기능을 활용해서 미리 차단
-. 검토가 끝난 시점에는 이미 감염되어 있을 수 있다.
3. 업무상 반드시 필요한 사안에 대해서만 허용하되, 책임자의 승인을 득한 후 필요시 보안위원회 등에 상정하여 보고
-. 지금 필요한데 언제 승인처리를 기다리고 그러냐.. 말이 안되지..이건.. 그냥 분리/차단 해야지..
4. 예외 허용된 사이트의 허용기간을 설정하고, 기간이 만료된 경우 다시 책임자의 승인을 득하는 등 주기적으로 확인
-. 예외 허용된 사이트가 한두개가 아닐 것이고, 큰규모의 회사는 별도의 인력이 있겠지만 그렇지 않을 경우에는 이것만 대응하다가 주업무를 못할 것이다. 그럼으로 그냥 분리/차단.
- 업무용PC는 원칙적으로 인터넷망 접근과 외부메일 차단
. 맞는 말
- 인터넷 PC는 업무망 접근을 원천적으로 차단하고, 인터넷 및 외부메일은 이용가능 하지만 문서편집은 불가능하고 읽기만 가능하도록 설정. 인터넷 PC에서 문서편집 허용시 중요정보가 유출될 우려가 있기 때문. 관리자의 승인 하에 제한적으로 일부 허용은 가능함
. 맞는 말
- 망분리에 따른 불편 해소를 위해 망간(인터넷망↔업무망) 중계서버 등을 이용하여 파일 송수신은 가능
. 중계서버에서 네트워크 및 파일 단위로 실시간 감시 (악성코드, 바이러스 등)
. 단, 랜섬웨어의 경우 파일을 암호화해 버리니 클라이언트PC의 보안에 좀 더 신경을 써야함.
- 업무망에서는 회사 내부(자체) 메일만 사용 가능하고, 외부메일은 인터넷 PC에서만 이용 가능
. 맞는 말
- 종전에 백신업체 등과 인터넷으로 연결하여 운영되던 패치관리시스템은 인터넷과 분리하여 오프라인 방식으로 운영
. PMS를 운영하되 수동으로 패치파일을 다운받아 PMS에 적용한다는 것인데... 매일 매일 해줘야 한다는 단점은 있음.
- 비인가된 기기(PC, 노트북 등)가 접속할 수 없도록 통제
. 맞는 말, NAC나 IP주소 관리 시스템 도입 필요
- 보낸 이가 조금이라도 의심스러운 메일 클릭 금지
. 맞는 말
- 인터넷망에 연결된 기기에 중요 정보 저장 금지
. 맞는 말 (인터넷 PC는 인터넷만 하자.)
- 업무 외 사이트 접속 금지(토렌트, P2P)
. 맞는 말 (토렌트사용 중에 멀웨어바이트로 스캔하면 엄청나게 많은 악성코드가 차단되었다고 기록됨)
- 업무에 사용 되는 모든 기기 사진 촬영 금지
. 모니터 워터마크 솔루션을 활용해 보는 것도 좋을 듯 (성명, 직책, 연락처 등이 기록됨)
http://www.boannews.com/media/view.asp?idx=52616&page=1&kind=1
2016년 12월 7일 수요일
2013년 4월 10일 수요일
사립학교의 망분리는 언제할꼬.. 하는건가?
요즘 보안사고 덕에 네트워크의 내부와 외부를 분리하는 일명 "망분리"가 이슈가 되고있는데...
공공기관은 이미 망분리를 한 상태이거나 거의 다한 것 같고...(추측), 금융권이나 일반 주요 기업도 망분리를 개인정보보호법 덕에 의무적으로 하는 것 같다..
근데.. 교육기관 중 사립대학에도 망분리가 의무화가 언제 시행되는지가 궁금하다....
교육부에서 망분리시 많은 비용이 발생하니 사립대학의 재정상태를 고려해서 일부러 지연시키는 건가? 일단 교육부 정보보안 기본지침에는 분리해야 한다고 나와 있긴하다..
망분리 덕에 VM업체 돈좀 벌겠네..
관련 링크 : http://www.boannews.com/media/view.asp?idx=35521&kind=0
공공기관은 이미 망분리를 한 상태이거나 거의 다한 것 같고...(추측), 금융권이나 일반 주요 기업도 망분리를 개인정보보호법 덕에 의무적으로 하는 것 같다..
근데.. 교육기관 중 사립대학에도 망분리가 의무화가 언제 시행되는지가 궁금하다....
교육부에서 망분리시 많은 비용이 발생하니 사립대학의 재정상태를 고려해서 일부러 지연시키는 건가? 일단 교육부 정보보안 기본지침에는 분리해야 한다고 나와 있긴하다..
망분리 덕에 VM업체 돈좀 벌겠네..
관련 링크 : http://www.boannews.com/media/view.asp?idx=35521&kind=0
2013년 3월 12일 화요일
정보통신망법에 의한 망분리
관련컬럼 <링크>
정보통신망법에 의해 업무망과 인터넷방을 분리 해야된데.. 이미 2013년 2월 18일까지 유예기간을 끝으로 본격 발효가 되었어.
망분리는 크게 물리적 망분리와 논리적 망분리로 나눠져
여기서 물리적 망분리는 말그대로 네트워크 선이 두개 이고 PC도 두대 인거야....
지금 주민센터나 경찰서에 가보면 알수 있어 책상위에 PC가 두대이거나 인터넷 전용PC가 따로 있을꺼야.. 이게 가장 확실한 망분리지만 단점은 일단 뭐든 두배니깐 장비도, 전기도 두배 돈도 두배 들겠지 인터넷 PC니깐 뭐 싼 부품으로 싸게 맞출순 있지만 그냥 두배라고 치자..
공공기관이나 큰 기업은 돈이 어느정도 있으니깐 이게 가능하겠지만 없는 기업은 아껴야되 그래서 논리적 망분리를 해야되..
논리적 망분리는 SBC 랑 CBC로 나눠져 SBC는 Server Based C...C는모르겠다 암튼 서버기반 망분리 CBC는 Client Based C... 클라이언트 기반 망분리야...
이 논리적 망분리는 어떻게 보면 클라이언트 가상화랑 비슷해 PC가상화에 네트워크 가상화를 붙여 놓은거라고 생각이 되
SBC 방식은 논리적 분리의 가장 확실한 방식이지 두개의 가상PC+두개의 가상네트워크를 서버에서 관리해 자료를 저장하면 서버나 서버에 연결된 스토리지에 저장되겠지...사용자 컴터는 걍 단말기가 되겠지. 단점은 비용이 많이 들어 그리고 중앙 서버가 나가면 연결된 모든 사용자가 PC를 사용 할 수 없어지지....그러니깐 이중화를 해야되고 그래서 비용이 많이 들어. 걍 물리적으로 분리 하는거랑 SBC로 논리분리 하는거랑 비용을 비교분석해보고 잘 선택 해야 할꺼야...
CBC방식은 클라이언트 PC위에 가상 PC를 올리는 거야 당연 가상네트워크도 붙겠지 아무래도 클라언트 PC의 성능에 영향을 많이 받겠지 그리고 중앙통제도 좀 안되겠지?
그리고 커널 기반의 제품은 운영체제를 같은 걸 설칠 해야 된다는거야... 하나는 윈도우 7 하나는 윈도우 XP 이런거 안된다. 근데 최근엔 커널위에 또 커널을 올려서 서로 다른 운영체제를 올릴 수 있다고 하더라.. 그리고 커널해킹은 각 밴더사에서 안전하다고 하고 울 나라에서도 CC인증된걸 사용하면 된다고 하는데....그거야 모르지 VM도 커널해킹된다고 하는데...
그리고 추가적으로 DLP나 DRM등의 추가적인 제어소프트웨어나 장치가 필요해... 관리가 좀 복잡해 지겠네...
논리적 분리는 이런 문제가 발생할 수있어 소프트웨어 라이센스 문제...
이걸 해결하기 위해선 프로세스 라이센스나 어플리케이션 가상화를 사용해서 해결해야 될꺼야...
그리고 가상네트워크를 사용하기 때문에 당연 암호화를 하겠지 그래서 네트워크 속도가 좀 떨어질꺼야...이것도 좀 해결해야 될꺼야...뭐 그닥 속도가 안떨어 진다고는 하지만....사용자가 많고 누가 토렌트라도 걸어놔봐라....그래서 네트워크 가속기도 필요할 것같어...
정보통신망법에 의해 업무망과 인터넷방을 분리 해야된데.. 이미 2013년 2월 18일까지 유예기간을 끝으로 본격 발효가 되었어.
망분리는 크게 물리적 망분리와 논리적 망분리로 나눠져
여기서 물리적 망분리는 말그대로 네트워크 선이 두개 이고 PC도 두대 인거야....
지금 주민센터나 경찰서에 가보면 알수 있어 책상위에 PC가 두대이거나 인터넷 전용PC가 따로 있을꺼야.. 이게 가장 확실한 망분리지만 단점은 일단 뭐든 두배니깐 장비도, 전기도 두배 돈도 두배 들겠지 인터넷 PC니깐 뭐 싼 부품으로 싸게 맞출순 있지만 그냥 두배라고 치자..
공공기관이나 큰 기업은 돈이 어느정도 있으니깐 이게 가능하겠지만 없는 기업은 아껴야되 그래서 논리적 망분리를 해야되..
논리적 망분리는 SBC 랑 CBC로 나눠져 SBC는 Server Based C...C는모르겠다 암튼 서버기반 망분리 CBC는 Client Based C... 클라이언트 기반 망분리야...
이 논리적 망분리는 어떻게 보면 클라이언트 가상화랑 비슷해 PC가상화에 네트워크 가상화를 붙여 놓은거라고 생각이 되
SBC 방식은 논리적 분리의 가장 확실한 방식이지 두개의 가상PC+두개의 가상네트워크를 서버에서 관리해 자료를 저장하면 서버나 서버에 연결된 스토리지에 저장되겠지...사용자 컴터는 걍 단말기가 되겠지. 단점은 비용이 많이 들어 그리고 중앙 서버가 나가면 연결된 모든 사용자가 PC를 사용 할 수 없어지지....그러니깐 이중화를 해야되고 그래서 비용이 많이 들어. 걍 물리적으로 분리 하는거랑 SBC로 논리분리 하는거랑 비용을 비교분석해보고 잘 선택 해야 할꺼야...
CBC방식은 클라이언트 PC위에 가상 PC를 올리는 거야 당연 가상네트워크도 붙겠지 아무래도 클라언트 PC의 성능에 영향을 많이 받겠지 그리고 중앙통제도 좀 안되겠지?
그리고 커널 기반의 제품은 운영체제를 같은 걸 설칠 해야 된다는거야... 하나는 윈도우 7 하나는 윈도우 XP 이런거 안된다. 근데 최근엔 커널위에 또 커널을 올려서 서로 다른 운영체제를 올릴 수 있다고 하더라.. 그리고 커널해킹은 각 밴더사에서 안전하다고 하고 울 나라에서도 CC인증된걸 사용하면 된다고 하는데....그거야 모르지 VM도 커널해킹된다고 하는데...
그리고 추가적으로 DLP나 DRM등의 추가적인 제어소프트웨어나 장치가 필요해... 관리가 좀 복잡해 지겠네...
논리적 분리는 이런 문제가 발생할 수있어 소프트웨어 라이센스 문제...
이걸 해결하기 위해선 프로세스 라이센스나 어플리케이션 가상화를 사용해서 해결해야 될꺼야...
그리고 가상네트워크를 사용하기 때문에 당연 암호화를 하겠지 그래서 네트워크 속도가 좀 떨어질꺼야...이것도 좀 해결해야 될꺼야...뭐 그닥 속도가 안떨어 진다고는 하지만....사용자가 많고 누가 토렌트라도 걸어놔봐라....그래서 네트워크 가속기도 필요할 것같어...
피드 구독하기:
글 (Atom)