1 / 29

공공기관 망분리 사례 [ 질병관리본부 ]

공공기관 망분리 사례 [ 질병관리본부 ]. 42 기 이성훈 , 고영학 , 유성진. 2. 사용자 분리. 3. 서버 분리. 4. 연동시스템. 1. 개요. 6. EAI 기반. 7. 적용 사례. 5. SyncI. 사업의 배경. 1. 개요. 내 · 외부 환경에 대응하는 보안환경 구축을 통한 국정수행 경쟁력 강화. 안전한 국정운영을 위한 보안인프라 구축. 사이버 테러 발생 빈번. 인터넷을 통한 중요자료 유출 가능. 중요 정책자료 보유. 중요자료 유출 방지를 위한 업무망과 인터넷망 분리.

hilde
Download Presentation

공공기관 망분리 사례 [ 질병관리본부 ]

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 공공기관 망분리 사례[질병관리본부] 42기 이성훈, 고영학, 유성진

  2. 2. 사용자 분리 3. 서버 분리 4. 연동시스템 1. 개요 6. EAI 기반 7. 적용사례 5. SyncI

  3. 사업의 배경 1. 개요 내·외부 환경에 대응하는 보안환경 구축을 통한 국정수행 경쟁력 강화 안전한 국정운영을 위한 보안인프라 구축 사이버 테러 발생 빈번 • 인터넷을 통한 중요자료 유출 가능 중요 정책자료 보유 중요자료 유출 방지를 위한 업무망과 인터넷망 분리 • 중요 자료에 대한 보안 인프라 • 구축 시급 추진 목적 다양한 바이러스 확산 • 바이러스에 의한 업무손실 비용 증가 바이러스, 해킹 등 외부위협을 대비한 종합적인 보안 정책 수립 저희 정보화TF에서 보안역량 강화 사업의 일환으로 망 분리 사업을 하게 되었어요 모든 임직원들 께서 많은 협조 부탁 드려요~ 본부장님 ! 특히 우리 본부는 개인정보보호 보안이 중요한 거 아시죠!!! 본부장님도 함께해요~ • 국정원 국가기관 전산망 분리의결(08.05.09) • 대통령 보고에 따른 대통령 지시사항(08.09.07)

  4. 1. 개요 사이버 테러의 지능화, 해킹기술의 다양화 등으로 네트워크를 통한 해킹으로 인한 피해가 증가하여, 지속적으로 개선을 하였으나, 보안취약성은 존재하고 있습니다. 근본적인 해결은 데이터 경로를 네트워크를 이용하지 않고 스토리지의 Fiber Channel을 이용 해커 침입에 대한 원천적인 차단이 필요 외부망 DMZ WWW DNS Mail 문제점 1. 내부망과 인터넷망을 Firewall(1),(2)로 구성하였지만 해킹기술의 진화로 그 역할에 문제가 있음 2. 동일 Network으로 구성되어 있어 언제나 해킹이 가능 Firewall (1) Ethernet 보안제품 운영관리 APL DB 해결책 내부망 Firewall(2)로 연결된 내/외부망의 Network를 물리적으로 단절하는 방법임, Firewall (2) Ethernet 보안제품 운영관리 APL DB 기간계 사용자 사용자 사용자

  5. 1. 개요

  6. 1. 개요

  7. 업무망 인터넷망 1. 개요 [ 행정망 ] [ 우리기관 ] Network 라우터 라우터 L4 스위치 L4 스위치 보안USB 방화벽 방화벽 방화벽 방화벽 L4 스위치 L4 스위치 프린터서버 Ethernet Ethernet 업무용 PC 인터넷용PC 백본스위치 백본스위치 KVM 스위치 망분리 솔루션 전자결제 전자결제 중개서버 중개서버 Fiber Cable Fiber Cable Fiber Cable 스토리지 스토리지 스토리지

  8. 2. 사용자 망분리 [ SBC] [ 가상머신 ] [ OS가상머신 ]

  9. As-Is To-be 3. 서버 망분리 SyncI는 망 분리에 따라 네트워크 기반 Application을 변경 없이 Fiber Channel 기반의 Application으로 서비스 제공이 가능합니다. 중계서버 중계서버 방화벽 Web서버 WAS서버 DB서버 방화벽 Web서버 WAS서버 DB서버 스토리지 INTERNET INTERNET 라우터 라우터 L4스위치 L4스위치 Web서버 Web서버 L3스위치 L3스위치 중계서버 DB서버 WAS서버 DB서버 WAS서버 스토리지

  10. Hitachi 스토리지에서 제공하는 솔루션 중의 하나인 Hitachi RapidXchange(HRX)는 M/F과 Open system 플랫폼이나 혹은 Open system 플랫폼들간의 데이터를 전환(Convert) 및 전송(Transfer) 할 수 있는 자료공유솔루션입니다. 4. 연동시스템 중계서버 중계서버 File Conversion Utility (FCU) File Conversion Utility (FCU) Application Program Utility Program Application Program Utility Program File Access Library (FAL) File Access Library (FAL) Formatter Allocater (FMT/ALC) Formatter Allocater (FMT/ALC) OS (UNIX, PC server) OS (UNIX, PC server) Fibre-channel interface Fibre-channel interface HRX 스토리지 USP,NSC55 9900V,9900 Open-System Files Intermediate File (SAM dataset) Open-System Files (FBA format) (CKD format) (FBA format) Volume dedicated to open system Volume dedicated to open system Shared volume (Initialized as mainframe CKD format by FMT/ALC)

  11. 4. 연동시스템

  12. 외부서버 내부서버 매체(Diskette, USB) 외부서버 내부서버 Switch(수동) 외부서버가 외부망에 접속시 회선 절단 외부서버 내부서버 Timer Switch 연동PC 내부서버 외부서버 ASR 연동PC 내부서버 외부서버 스토리지 Fiber Channel Fiber Channel 4. 연동시스템

  13. 4. 연동시스템 • 네트워크를 통하지 않고 Fiber Channel로 Storage를 공유함으로써 자료교환 • 양 시스템이 연결된 Storage장비의 공유영역에 File을 Write/Read 및 Code 변환을 함으로써 자료교환 • 적용가능 제품 : Hitachi HRX S/W 및 Storage 장비 내부망 외부망 Fiber Channel Fiber Channel Storage Open System Open System 공유영역 HRX HRX SAM File 자료교환 Program 자료교환 Program DB DB

  14. Web서버 DB서버 TCP/IP TCP/IP 관리 관리 HTTP HTTP 업무서버 업무서버 변환 변환 FTP FTP 로그 로그 SMTP SMTP VMS/PMS VMS/PMS X.25 X.25 매체관리 매체관리 5. SyncI 분리된 네트워크 환경에서 실시간에 가까운 주기로 데이터를 송,수신하는 기능을 이용하여 웹 서비스의 제공과 내,외부망간 데이터를 전송하는 기능 등을 제공합니다. 내부망 외부망 SyncI SyncI Engine Gateway Gateway Engine HRX HRX

  15. 파일 5. SyncI 인터넷과 업무망간의 데이터 전송을 위한 중계 스토리지, 중계 서버, 망간동기화 소프트웨어(HRX) 및 업무연계를 위한 연계소프트웨어(SyncI)로 구성되어 있습니다. Ethernet Ethernet ③ ① Web서버 DB서버 ② ④ ⑥ FiberChannel FiberChannel (내부)중계서버 (외부)중계서버 ⑤ HRX 중계스토리지 ① Web서버에서 외부중계서버로 데이터를 전송. ② 외부중계서버의 연계S/W가 수신 받은 데이터를 파일로 변환 후, HRX의 파일전송 기능을 사용하여, 파일을 내부중계서버로 전송. ③ 내부중계서버의 연계S/W가 수신된 파일을, 원래의 데이터로 복원하여, DB서버에 전송 ④ 내부중계서버에 처리 데이터를 전송 ⑤ 내부중계서버의 연계S/W가 수신 받은 데이터를 파일로 변환 후, HRX의 파일전송 기능을 사용하여, 파일을 외부중계서버로 전송. ⑥ 외부중계서버의 연계S/W가 수신된 파일을, 원래의 데이터로 복원하여, Web서버에 전송

  16. 5. SyncI 중계서버간 데이터 전송은 네트워크가 아닌 Fiber Channel에 의하여 처리됩니다. 업무서버 업무서버 중계서버 중계서버 WAS서버 스토리지 DB서버 Web서버 ①자료작성 (File) ②자료를 실시간 스토리지 저장 ③자료를 실시간 업무서버로 전송 ③자료 처리 File전송 ▶ ①Web이용자에 의한 처리요청 ②Packet을 File로 변환, 암호화 하여 내부망 중계서버로 전송 ③Packet으로 복원과 복호화, WAS로 전송 Web서비스 ④WAS는 DB에 처리 요청, 결과 WAS에 제공 ⑦결과를 Web 이용자에 전달 ⑥Packet으로 복원과 복호화, WAS로 전송 ⑤WAS 결과를, File변환,암호, 증걔서버로 전송

  17. 6. EAI 기반 H/W 구성 - 공개망과 업무망을 분리 구성 • 망을 분리한 후, 각각의 망에 연동서버를 구성한 후 스토리지를 통해 자료 공유 실현 • 각각의 연동서버에 스토리지 업체의 파일공유 솔루션을 통해 망간의 자료 교환 실현 • 안정성을 위해서는 2중화 구현도 고려 필요 S/W 구성 – 파일공유 솔루션과 EAI 솔루션에 의한 연동 실현 • 파일 공유 솔루션은 연동서버간의 자료 교환만 실현하므로, EAI 솔루션을 통한 시스템 연계를 실현 • 1:1 정도의 자료 연동은 EAI로 구성할 필요가 없지만, N:M의 자료 연동은 성능 및 구현의 효율성을 고려하여 EAI 솔루션 도입이 필수임 애플리케이션 수정 – 화면 구성 애플리케이션 수정 필요 • 전체 요청 프로세스가 복잡하게 변해 요청 쪽의 화면 애플리케이션의 수정은 필수임. 응답속도 저하 고려 – 다단계 처리에 의한 속도 저하 • 스토리지를 통한 연계에서 시간이 걸려 전체적인 응답속도 저하를 고려해야 함.

  18. 6. EAI 기반 공유스토리지 EAI 솔루션 EAI 솔루션 내부업무서버 포탈 복제 스토리지어댑터 스토리지어댑터 OO 요청 2 4 1 5 요청파일 요청파일 라우팅 맵핑 로깅 로깅 맵핑 라우팅 업무 처리 3 복제 처리 결과 응답 파일 응답 파일 10 8 6 9 7 1 6 7 2 8 3 9 4 5 10 * 스토리지 어댑터는 스토리지 공유솔루션의 API를 사용하여 작성된 어댑터임.

  19. 6. EAI 기반 개별 연계 • 스토리지 과부하에 의한 성능 문제 발생 • 개별 연계를 통한 개발공수 과다 발생 • 연계에 대한 모니터링 체계가 부족 공유스토리지 연계별로 P2P 형태로 구성도 가능하지만 연계대상이 늘어날수록 EAI 솔루션으로 구성해야 성능이 보장됩니다. EAI 연계 • 과부하 발생소지를 제거하여 성능상의 문제점 해결 업무망 업무서버1 업무망 연계서버 공개망 연계서버 공개망 업무서버1 과부하 발생 과부하 발생 00요청 복제 00요청 00요청 요청파일 요청파일 업무망 업무서버2 공개망 업무서버2 00응답대기 복제 00응답대기 00응답대기 응답 파일 응답 파일 00응답대기 00응답대기 업무망 연계서버3 공개망 연계서버3 00응답대기 공유스토리지 업무망 업무서버1 업무망 연계서버 공개망 연계서버 공개망 업무서버1 스토리지 어뎁터 스토리지 어뎁터 복제 요청파일 요청파일 업무망 업무서버2 공개망 업무서버2 분배처리 분배처리 복제 응답 파일 응답 파일 업무망 연계서버3 공개망 연계서버3

  20. 연결 연결 변환/ 라우팅 변환/ 라우팅 Flow 제어 Flow 제어 6. EAI 기반 업무망 인터넷망 공유 Server 공유 Server File Conversion Utility File Conversion Utility 공유스토리지 (File Access Library) (File Access Library) 송수신 서버용 볼륨 DB서버용 영역 연계 모듈 연계 모듈 HRX 공유볼륨 EAI 처리서버용 볼륨 EAI EAI 관련 신규 도입(개발) 무문 File DB Appl. File DB Appl. * 인터넷망에 존재하는 데이터는 보안성이 없는 데이터 저장 * 전체 아키텍처는 이중화로 구성 ※ 통합 CA/RA 통합서버, 서비스 DB, 관리 DB, 암호키 등록 관리 DB, 암호키 등록 서버 ※ 홈페이지, 통합검증, 유무선 포탈, TSA, OCSP

  21. 7. 적용 사례 보안강화를 위한 질병관리본부 네트워크분리 사업은 2008.10.16 ~ 2009.01.14까지 진행 되었으며 네트워크 분리, 개인 PC환경 확보, 보안환경 개선, 데이터 연계 등이 구성 되었음

  22. 행정안전부와 질병관리본부의 인터넷구간 대역폭을 40Mbps에서 70Mbps로 확대 7. 적용 사례 사업범위는 업무망과 인터넷망으로 분리를 위한 네트워크 환경구축 부문과 업무망 및 인터넷망에 대한 보안 환경구축 부문으로 나눌 수 있으며, 네트워크 환경 구축 부분은 다음과 같음 네트워크 환경 구축 • 질병관리본부 내 건물간광케이블 공사 • 층간 광케이블 공사 • 1인2PC 사용을 위한 인터넷망 UTP 케이블 공사 • 인터넷망용 전용 백본스위치 구성 • 건물간 접속을 위한 L3스위치 구성 • 사용자 접속을 위한 L2스위치 구성 • 인터넷망 전용 방화벽 설치 • 방화벽 Load Balancing을 위한 L4 스위치 구성 • 인터넷망 및 기존 전산 인프라의 안정적인 전원확보를 위한 전원 공사 • 정전에 대비한 UPS설치 • 키보드, 마우스, 모니터 공유를 위한 KVM 스위치 구성 • 업무망에서 사용하는 프린터를 인터넷망에서도 사용하기 위한 프린터서버 구성

  23. 인터넷망 및 업무망 사용자 PC의 혼용을 방지하기 위한 망관리시스템 구축 • 망관리시스템용 서버 구성 • 질병관리본부에서 인터넷과 업무망으로의 정보 유출 방지를 위한 내부정보유출방지 시스템 구축 • 사용자 PC의 OS 및 S/W 자동 업데이트 위한 PC보안 및 PMS시스템 구축 • PMS용 서버 구성 • 업무망과 인터넷망의 시스템간 데이터 연동을 위한 S/W 적용 • 망간 동기화 시 데이터 연계를 위한 디스크 어레이 구성 • 웜/바이러스, 악성코드 등 PC에 감염된 악성코드 치료를 위한 바이러스 백신 도입 • 유해사이트 및 비인가 사이트 접속 차단을 위한 유해차단시스템 구성 • 보조기억매체관리 S/W설치 • 보안 USB 750개 도입 • 반출되는 보조기억매체의 데이터 저장을 위한 스토리지 구성 • 개인정보호에 관한 보안 컨설팅 • 정보보안업무세부지침 마련 • 보안업무 시행세칙 마련 7. 적용 사례 보안환경 구축부문은 망관리스템, PMS, 바이러스백신, 보조기억매체관리시스템 및 보안USB, 개인정보 유출방지시스템, 데이터 연동시스템, 유해차단시스템이 구성되었음 보안 환경 구축

  24. 업무망+인터넷망 업무망 인터넷망 일반USB • 1대의PC • 업무 및 인터넷을 동일 망에서 사용 • 단일 망에서 업무 및 외부 메일 송수신 모두 가능 • 외부의 해킹 및 보안 취약 • 일반USB사용으로 보안 위험 노출 7. 적용 사례 사용자환경변화 Network 보안USB 프린터서버 업무용 PC 인터넷용PC KVM 스위치 기존에 쓰던 USB 는 이제 쓰지 못해요~ • 업무용 PC에서는 유니모만 가능하고 • 인터넷 업무 및 메일발송은 인터넷용 PC에서만 가능 • 개별 인증된 보안USB 매체는 사용자 권한에 따라 이용 가능 • 업무망, 인터넷 망에 이중으로 연결된 프린트는 기존과 동일하게두 망에서 사용 가능하며, 출력물에 대한 보안 강화

  25. 7. 적용 사례 사용자환경변화 업무망 전환 KVM 스위치 KVM이 뭐나고? ㅋㅋㅋ Keyboard Mouse Video 의 약자지롱 ㅋㅋ 인터넷망 전환 KVM스위치 KVM스위치 업무 PC 업무 PC 인터넷 PC 인터넷 PC Scroll Key Double Click 버튼 클릭 • 설치된 KVM 스위치를 눌러 업무망/인터넷망 전환 (Type 버튼 클릭 방법과 스크롤키 방법) • 화면 전환 후 업무망 / 인터넷망 사용 KVM 스위치는 종류에 따라 전환하는 방식이 틀려요 하나는 버튼을 누르는 방식이 있고 또 다른 하나는 Hot key 변환 방식이 있지요..~~~

  26. 인터넷 • Blade System 통합 관리 솔루션 • Blade PC에 O/S, Agent 및 Application을 단일 또는 다수의 장비에 Drag & Drop 방식으로 간편하게 배포 가능함 • 장애 발생시 Back up 받아 놓은 Image File 을 통하여 복구 시간을 단축함 • EWF(Enhanced Writer Filtering)기술을 적용하여 IP address, 허가되지 않은 프로그램 설치, 바이러스 감염 사용자에 의하여 임의로 변경되는 Thin Client PC를 초기화 할 수 있음 • Thin Client PC의 작은 Size는 좁은 사무 공간을 효과적을 활용함 • HDD/ODD/FAN이 없어 소음, 발열, 전기 사용량 을 감소 시킴 7. 적용 사례 사용자에게 지급되는 블레이드 PC의 모든 컴퓨팅 리소스는 중앙전산실에서 관리하며, 사용자는 Thin Client PC를 통해 전산실의 블레이드 PC와 연결한 후 인터넷에 접속함 블레이드 PC의 주요 기술 인터넷망 백본 스위치 1 로그인 간편한 통합관리 2 3 화면 전송 PC동작 및 화면생성 Thin Client PC

  27. 데이터 공유 시스템 구성 주요 기능 보안 효과 데이터 공유 시스템 필요성 업무망 인터넷망 • 사이버 테러의 지능화, 해킹기술의 다양화 등으로 네트워크를 통한 해킹으로 인한 피해가 증가하여, 지속적으로 개선을 하였으나, 보안취약성은 존재하고 있음 • 근본적인 해결은 데이터 경로를 네트워크를 이용하지 않고 스토리지의 Fiber Channel을 이용하여 해커의 침입을 원천적으로 차단하는 것이 필요함 • 물리적으로 분리된 업무망과 인터넷망 환경에서 인터넷망의 WEB서버와 업무망의 (WAS)DBMS간의 중단 없는 서비스 제공 • 『TCP/IP ↔ File』변환하여 통신함으로써 TCP/IP를 통한 외부의 접근을 차단하여 보안을 확보함 • 업무망과 인터넷망의 파일중계서버와 스토리지를 통하여 인터넷망과 업무망간의 보안을 확보한 통신임 • 네트워크 분리에 따라 네트워크 기반의 기존 Application을 소스 수정 없이 Fiber Channel 기반의 Application으로 서비스를 제공함 공유볼륨 공유볼륨 7. 적용 사례 질병관리본부 네트워크가 물리적으로 분리됨에 따라, 외부 서비스를 위한 인터넷의 WEB은 데이터 공유 시스템을 통하여 내부의 DB와 WAS와 연계되어 서비스를 제공합니다. 내부망 파일 중계서버 외부망 파일 중계서버 WAS DBMS WEB 처리 요청 데이터 처리 결과 데이터

  28. 1:1 구성 N:1 구성 행정안전부 행정안전부 행정안전부 행정안전부 행정안전부 행정안전부 1:N 구성 N:M 구성 인터넷 업무망 인터넷 업무망 인터넷 업무망 인터넷 업무망 7. 적용 사례 질병관리본부에 구성된 데이터공유 시스템의 연계 형태는 1:1, 1:N, N:1, N:M 등으로 다양하게 구성되어 있으며, 데이터 흐름의 방향성에 있어서도 양방향 모두 가능하게 구성되어 있습니다. 행정안전부 행정안전부 검역업무 서버(DB) CDC WEB CDC WAS 입국자추적 WEB 스위치 스위치 스위치 스위치 입국자 추적(DB) 중계서버 중계서버 중계서버 스토리지 중계서버 스토리지 만성병 WEB #1 검역업무 서버(DB) 검역 WEB 만성병 WAS 만성병 WEB #2 스위치 스위치 스위치 스위치 검역지원팀스위치(c2950) 만성병 DB 만성병 WEB #3 검역 EDI 중계서버 중계서버 중계서버 중계서버 스토리지 스토리지

  29. 감사합니다

More Related