Download
1 / 40
450 likes | 912 Views
Xecure DB Enterprise. 제품제안서. 2010 년 소프트포럼 ( 주 ). Ⅰ . 회사 소개 1. 소프트포럼 일반현황 2. 사업영역 Ⅱ . DB 보안 솔루션 개요 1. 필요성 2. 제품 개요 3. 지원 환경 4. 주요기능 5. 기대효과 Ⅲ . XecureDB 구축방안 1. 아키텍처 2. 상세 기능 3. 구축 방안 4. 솔루션 특장점 Ⅳ . Why Softforum 1. 제안 특장점 2. 인증현황 3. 레퍼런스.
E N D
XecureDB Enterprise 제품제안서 2010년 소프트포럼(주)
Ⅰ. 회사 소개 1. 소프트포럼 일반현황 2. 사업영역 Ⅱ. DB보안 솔루션 개요 1. 필요성 2. 제품 개요 3. 지원 환경 4. 주요기능 5. 기대효과 Ⅲ. XecureDB 구축방안 1. 아키텍처 2. 상세 기능 3. 구축 방안 4. 솔루션 특장점 Ⅳ. Why Softforum 1. 제안 특장점 2. 인증현황 3. 레퍼런스
Eastablishing Global Trust Ⅰ. 회사소개 • 소프트포럼 일반현황 • 사업영역
1. 소프트포럼 일반현황 ’1995소프트포럼은 미래산업㈜내 보안연구소로 시작, ’1996최초 128비트 암호솔루션개발 ’1998공개키 기반구조 XecurePKI출시 ’1999국내 최초 PKI 기반 인터넷뱅킹 서비스 시작 (외환, 국민,조흥은행), ’2005국정원 암호검증 필(국내 최초), ’2006 XecureDB 보안성 검증 필 획득 ’2007개인정보보호를 위한 온라인 PC 보안‘ClientKeeper Series’출시 ’2008 XecureDB GS인증 획득 ● 회 사 명 : 소프트포럼 주식회사 (SOFTFORUM Co., Ltd.) ●대표이사 : 김상철 ●종업원수 : 130명 (2008년 10월 현재) ●설립연도 : 1995년 10월 미래산업 소프트포럼 보안연구소 개소, 1999년 4월 소프트포럼 주식회사 설립, 2001년 11월 KOSDAQ 등록(종목번호 제054920호)
2. 사업영역 • 소프트포럼은 인증 및 암호화, 통합 인증/권한관리, 통합 PC보안, 유비쿼터스 보안 등의 영역을 기반으로 사업을 진행하고 있습니다. 인증 및 암호화 (Xecure Series) - 전자 상거래 솔루션 인터넷 뱅킹, 사이버 트레이딩, 인터넷 빌링 - PKI/KMI 기반 정보 보호 인증 및 암호화, 유무선 인터넷 보안 - 컨텐츠 보안 DB 보안, 내부정보 보안, 웹메일 보안 통합 PC 보안(ClientKeeper Series) 통합 인증 권한관리(SafeIdentity Series) - 클라이언트 보안 솔루션 키보드 입력 보안, 가상 입력 키패드, 피싱 방지 솔루션, 개인 방화벽, 웹페이지 보안 - EAM/IAM Single Sign On, 통합인증 권한 관리, 아이덴티티 통합 관리 유비쿼터스 보안 • 유비쿼터스 환경 보안 모바일 커머스, U-city 보안 서비스, 홈 네트워크, 텔레매틱스 보안
Eastablishing Global Trust Ⅱ. DB 보안 솔루션 개요 • DB보안 필요성 • XecureDB 개요 • 지원환경 • 주요기능 • 기대효과
1. DB보안 필요성 • 최근 조직 내부자에 의한 회사 기밀정보 및 고객 개인정보 유출 사고가 빈번하게 발생하고 있음. • 내부자에 의한 조직의 기밀정보 및 고객 개인정보의 유출은 천문학적인 경제적 피해를 유발할 수 있음. • 이러한 상황에서 내부자의 데이터 오 ㆍ남용 사고 방지를 위해 정보의 가장 기본 단위인 데이터를 암호화하여 저장하고 권한을 업무에 맞게 분리, 정기적인 감사활동을 통해 정보유출 행위를 원천 차단하여야 함. PKI 기반 DB 암호화를 통한 내부정보유출 원천 차단 XecureDB 데이터 암호화 접근제어 권한의 분리 관리 및 감사
데이터 암호화 안전한 키 관리 관리권한의 분리 응용프로그램 수정 없음 • 국제 표준 스펙 준수한 PKI기반 보안 • SEED, DES, 3DES, NEAT, RSA, KCDSA등 • 별도의 응용 프로그램 수정 없이 즉시 적용 • Application, DB와 별도의 암호화 키 관리 • 암호화 키는 서비스 서버 밖으로 절대로 나가지 않음 • 개발자, DBA, 보안 관리자의 책임/권한 분리 2. XecureDB 개요 XecureDB Enterprise는 기존의 상용 DB에 PKI 기반의 강력한 암호화 기능과 검증 기능을 제공함으로써 기존 DB를 불법적으로 접근한 사용자가 DB의 내용을 추출하여도 암호화된 상태를 유지할 수 있도록 하는 데이타베이스 암호화 솔루션입니다. XecureDB Enterprise
4. 주요 기능 – (1/2) 다양한 방식의 DB 암/복호화, 검증 기능 • DBMS와 통합된 방식 또는 Application연동 방식에 의해 데이터에 대한 암.복호화 기능 제공 • 국제 표준의 대칭키, 비대칭키(인증) 기반의 암호, 다이제스트 지원 • HAS(1024비트), 3DES(128비트), SEED(국내 128비트), SHA 등 DB통합 방식 암/복호화 - 빠른 적용 • DB별 통합 적용 할 수 있는 DB Plug-in제공 • Oracle, Sysbase(예정), Informix(예정), MS-SQL(예정) 지원 Application연동방식 암/복호화 - Applicaton접근 제어 • Application사용 언어(환경) 별 지원 버전 제공(C, Java, PHP, ASP, Stored Procedure) 등 • 대용량 데이터 일괄 암/복호화 처리를 위한 BatchAPI제공 – Migration등에 활용 중앙 집중적 보안관리 정책 • 보안관리자, DBA, 개발자의 권한 분리 제공(Separation Of Duty) • 보안관리자가 보안 정책 관리도구를 통해 중앙 집중적인 보안 정책 수립/적용 • 암/복호화 연동방식, 키 관리, 사용자 관리
4. 주요 기능 – (2/2) PKI를 이용한 관리자 인증, 키 관리 기능 • 등록된 키의 소유자 만이 보안관리자 관리도구를 통해 Security Policy를 설정할 수 있음 • Service Server의 중요한 정보는 Master Key로 암호화 하여 저장됨 안전한 키관리 • 암/복호화에 관련된 키는 절대로 XecureDB Service Server밖으로 나가지 않음 • XecureDB Service Server안에서만 암/복호화 수행 컬럼 별 접근권한 제어 • 사용자에 대해서 읽기, 쓰기 등의 권한을 각 암호화 대상 컬럼의 보안 정책에 맞게 적용 가능 • XecureDB Manager(GUI도구)를 통한 손쉬운 접근 권한 제어 수립 선택적 암/복호화 • 보안 관리자가 사전에 설정한 규칙에 따라 컬럼 별 선택적인 암/복호화 기능을 수행 • 모든 데이터에 대한 Filtering이 아닌 암/복호화가 요구되는 row에 대한 이벤트만 처리
5. 기대 효과 보안 의식 고취 • DB 암호화 적용 내역 교육 • 정기/비정기 교육을 통한 보안 의식 고취 • 불법행위 원천 차단 권한의 분리 DB암호화를 통한 내부정보유출 방지 • DBA, 개발자, 사용자 등 업무에 맞는 권한분리를 통한 남용 방지 • 보안정책에 따른 정보접근 제어를 통한 정보 유출 원천 차단 사후예방 • 정보유출시에도 암호화를 통해 복호화 불능으로 유출 원천 차단 • 전자서명 기술을 적용한 부인방지 를 통해 법적 근거 자료 제공
Eastablishing Global Trust Ⅲ. XecureDB 구축방안 • 아키텍처 • XecureDB Manager 사용 • 구축방안 • 솔루션 비교 자료
1. 아키텍처 WAS DB Server 사용자 DB통합방식 XecureDB Service Server Application Server … App연동방식 보안통신 - 보안정책 적용 Application Server plug-in Moudule 보안 관리자 Application Server XecureDB Manager
1 2 3 4 5 2. XecureDB Manager 사용 2.1 XecureDB Manager 구조 • XecureDB Manager는 메인프레임과 그 내부에 생성되는 차일드 프레임으로 구성된다. • 차일드 프레임에는 트리뷰, 리스트 뷰, 쿼리뷰가 구성되어 있으며, 그 이외에 메뉴, 툴바, 상태바 등이 있다. ① 메인프레임: 서버 연결, Clon 서버의 추가, 암호화 정책 설정 등을 할 수 있는 메뉴로 구성 되어 있음. ② 차일드프레임: 서버와의 연결 및 해제, 사용자 생성 및 암호화 키 생성, 로그 통계 기능을 제공함. ③ 트리뷰: 서비스서버의 집합을 보여주는 'Ex Server' Tab과 DB 구성을 나타내는 'DB Tree' Tab으로 구성됨. ④ 리스트 뷰: 트리뷰에서 선택한 서비스서버의 하위 클라이언트 를 리스트에 탐색기와 같은 방식으로 표시함. ⑤ 쿼리 뷰: XecureDB Manager에서 연결된 DB계정으로 직접 SQL 쿼리를 사용하고 결과값을 받아 표시하는 윈도우.
1 2 3 4 2. XecureDB Manager 사용 2.2 서비스 서버 및 DBMS 연결 • XecureDB Manager는 지정된 관리자가 입력한 인증서 인증을 거친 후 Service Server와 인증을 진행하여 성공하면 정책을 설정할 수 있는 사용 권한을 주게 된다. (이중 인증 수행) 1차 인증: Service 서버 콘솔을 위한 인증서 인증 수행 1차 인증 후 ODBC를 이용한 DSN(Data Source Name) 설정 서버 및 DBMS 연결 화면 DataBase 연결정보 및 ID, 비밀번호 입력
1 2 3 4 2. XecureDB Manager 사용 2.3 Clon 서버의 추가 • Clon서버는 Master 서비스서버의 부하분산을 위하여 사용하며, 1개 이상의 Clon서버를 서비스서버 집합에 추가할 수 있다. IP 및 Port 번호 입력 Clon 서버 이름 및 설명 입력 Clon 서버 요약 정보 확인 Clon 서버 추가된 모습
1 2 키 관리(생성) 2. XecureDB Manager 사용 2.4 보안정책 적용 • 보안정책은 암호화 대상 데이터와 방식을 결정하며, 사용자별 권한을 설정한다. • 키 관리 / 사용자 관리 / 정책설정 / 접근권한 설정 • 키 관리(생성) 키 추가 메뉴 클릭 키 ID 입력 및 확인
1 키 관리(삭제) 2. XecureDB Manager 사용 2.4 보안정책 적용 • 기존 생성된 키는 하나 혹은 여러 개의 데이터를 암호화 하는데 사용되고 있을 수 있으며 기 사용중인 키 삭제 시 암호화 된 데이터에 대하여 복구를 불가능하게 할 수 있음. 따라서 모든 사항을 체크한 후 실행하여야 하며 이와 관련하여 XecureDB Manager에서도 이미 사용되고 있는 키의 삭제는 불가능하도록 기능을 제공함. 선택 된 암호화 키 삭제(키의 삭제 전 반드시 기 사용중인 여부를 확인하여 삭제)
1 2 3 4 사용자 관리(생성/삭제) 2. XecureDB Manager 사용 2.4 보안정책 적용 사용자 생성을 위한 ID 입력 비밀번호 입력 사용자 생성 후 정보 화면 사용자 선택 후 삭제
1 2 암호화 정책 설정 2. XecureDB Manager 사용 2.4 보안정책 적용 DB Tree 연결 화면에서 암호화 하고자 하는 컬럼을 선택 후 암호화 작업 마법사를 이용하여 정책설정을 손쉽게 수행 한다. 암호화 설정 테이블, 컬럼 선택 암호화 키 및 알고리즘 선택
3 4 5 암호화 정책 설정(계속) 2. XecureDB Manager 사용 2.4 보안정책 적용 • Integrity(해쉬함수) 알고리즘을 선택하면 암ᆞ복호화 수행 시 2배 이상 속도저하 발생. • 랜덤 이니셜 벡터 적용시 속도는 1.5배 이상 저하되고 해당 컬럼을 다른 테이블과 Join하여 사용할 수 없으며 외부 키에 의해 참조 될 수 없음. 또한 인덱스의 적용이 무의미 해짐. • 랜덤 이니셜 벡터 기능은 암호 알고리즘을 이용하여 암호화 시 같은 평문에 대하여 암호화를 하더라도 매번 암호화 결과값이 다르게 나오도록 유도하는 암호 알고리즘 옵션 기능 임. 암호화 키 및 알고리즘 선택 결과 해당 컬럼 사용자 선택
6 7 8 암호화 정책 설정(계속) 2. XecureDB Manager 사용 2.4 보안정책 적용 해당 사용자의 권한(읽기/쓰기) 설정 접속 가능한 IP 설정 암호화 정책 기간 및 로그 설정
암호화 정책 설정(계속) 2. XecureDB Manager 사용 2.4 보안정책 적용 • 모든 설정을 마치고 ‘마침’을 누르면 암호화 정책이 저장되며 정책이 설정된 테이블과 컬럼에 해당하는 SQL쿼리 문이 생성되고 해당 파일들이 서버에 전송 된다. • 정책 SQL 적용
암호화 정책 설정(계속) 2. XecureDB Manager 사용 2.4 보안정책 적용 • 정책 설정에 따른 SQL 문을 실행하면 암호화 정책이 설정된 테이블의 이름을 View 가 사용하기 때문에 기존 테이블을 다른이름으로 변경해 주어야 한다. 따라서 정책 SQL 문 적용은 오른쪽 순서를 따라야 한다. • 주의 1 : 위의 적용내용은 DBMS 의 테이블 및 칼럼의 제약조건등과 같은 사항을 고려하지 않은 일반적인 내용이기 때문에 DBMS 의 성능이나 테이블의 백업, 복사 와 같은 것은 자동으로 실행 하기를 권장하지 않는다. 해당 부분을 고려하기 위해선 DBA가 기본적으로 제공되는 SQL 문을 참조하여 수동으로 진행하기를권장한다. • 주의 2 : 암호화 정책이 설정된 칼럼의 타입이 VARCHAR 가 아니라면 VARCHAR 로 변경해 주어야 한다.
암호화 정책 설정(계속) 2. XecureDB Manager 사용 2.4 보안정책 적용 • 각 정책 설정시 자동으로 생성된 3개의 SQL 쿼리(View, Trigger, Table)를 서버에 저장 및 로컬로 복사할 수 있고, 해당 SQL 쿼리를 실행할 수 있다. • 툴바의 를 누른다 • 실행 버튼을 누르면 SQL 쿼리를 실행에 관한 적용순서 도움말 화면이 나타난다.
1 2 서비스 서버 백업 2. XecureDB Manager 사용 2.5 서비스 서버 백업 및 복구 • XecureDB Manager는 ServiceServer의 컬럼 암호화정보나 암호화키 유저 정보 등의 중요한 데이터를 백업 시키거나 복구하는 기능을 가지고있으며 백업 화일의 관리를 용이하게 해줌. • 서버의 백업 화일은 서버쪽 백업 디렉토리에 생성되며 복사하여 다른곳(로컬)에 저장 할 수도 있음. 파일 메뉴에서 서비스 서버 백업/복구(R) 선택 서비스 서버 복구 대화창에서 서버백업 선택
1 1 2 서비스 서버 복구 및 파일 이동 2. XecureDB Manager 사용 2.5 서비스 서버 백업 및 복구 • 서비스 서버 복구 서비스 서버 복구 대화창에서 서버복구 선택 후 알림창에서 "예(Y)"를 선택 • 백업파일 이동 로컬로 백업 파일 복사 로컬로 복사 메뉴 클릭
2. XecureDB Manager 사용 2.6 암호화된 Data에 대한 Audit Log 생성 XecureDB는 서비스 로그 정보를 ID, IP, Column에 따라 통계를 추출할 수 있는 기능을 제공하며 통계된 로그들을 엑셀에서 볼 수 있도록 csv 파일로 저장할 수 있는 기능을 제공합니다.
3. 구축방안 3.1 기존 DB 마이그레이션 A. 보안성 심의에 적합한 필드 (사용자 패스워드) B. 암호화/ 복호화로 인해 서비스 속도가 심각히 지장 받지 않는 필드 (예, 주소 필드 를 일반 주소와 상세주소로 나누어 상세주소만을 암호화 => 개별 사용자 접촉을 위 해서만 필요한 전화번호, 이메일 주소 등도 유사적용) C. 기타 관리자 지정 필드 1.암호화 대상 선택 A. 사용자의 동의 또는 관리자의 판단에 의해 항상 복호화 가능하도록 암호화 저장 하는 방법 B. 관리자라 하더라도 일치여부만 확인하도록 하고 실제 내용을 모르도록 하는 방법 (패스워드 적용) 2.암호화 방법 선택 A. 특정시기 일괄 마이그레이션 – 빠른 마이그레이션을 위해 Batch API 제공. – 몇 백만 건의 데이터도 빠르게 암 ㆍ복호 처리 B. 사용자 접근 별 마이그레이션 처리 3.DB마이그레이션 시기 선택
3. 구축방안 3.2 솔루션 적용 방안 1.암호화 /복호화 정책 설정 • Security Manager는 보안 관리자 인증을 거친 후, 데이터의 암/복호화 정책 을 설정한다. • XecureDB Manager는 정책을 XecureDB Server Server에게 전달한다. • Client Application에 XecureDB Communication Module을 연동시킨다. 2.정책 반영 3.암호화/복호화 수행 • 암호화된 데이터는 DB에 저장되거나 사용자에게 전달
3. 구축방안 3.3 적용단계 및 지원내역 1 물리적 환경 준비 (신규 시스템 사용시) 2 DB 설치 및 기존 DB Table 복제 (신규 시스템 사용시) 제안사 지원 내역 3 암호화 대상 선정 협의 • 솔루션 설치 • 데모진행 • 교육지원 • 개발지원 • 기술지원 XecureDB Package 설치 및 정책 설정 4 기존 DB 마이크레이션 작업 5 테스트 6 서비스 오픈 7
DBMS 3. 구축방안 3.4 권한의 분리 DBA/보안관리자/개발자의 분리 • DBA와 보안관리자의 분리 • DBA : DBMS 서버 관리자 • 보안관리자 : 보안 정책 설정자 • 개발자와 보안관리자의 분리 • 개발자는 보안 정책에 대한 내용을 인지 못함 • 보안정책에 대한 변화는 보안 관리자만 인지함 DBA 데이터 관리 보안관리자 보안정책 설정 Security 개발자 Application 개발 Program
4. 솔루션 특장점 • Application별 수정이 필요 없음(DB통합 방식 적용 시) • 대용량 데이터 처리 지원(BatchAPI제공) • 중앙 집중적 보안관리–보안관리자가 DB보안관리도구를 통해 암호화 정책 수립/적용 • XecureDB Service Server내에서만 암호화/ 복호화 과정이 수행되므로 암호화키의 외부유출 원천 봉쇄 • XecureDB Manager를 이용하여 암호화 정책 정보 별도 백업 • XecureDB Manager와 XecureDB Service Server간에 암호화 적용으로 신뢰성 있는 관리환경 제공 • Client Application에 Service Demon이 직접 연동함으로써 해커의 의한 피해 시 암호화 정책 복구 어려움 • 암호화/복호화 정책 적용의 불변함과 적용된 정책에 대한 별도의 백업 솔루션 필요 • 사용자 접근 정책 제어 기능 부재 경쟁사 제품 분석
Eastablishing Global Trust Ⅳ. Why? Softforum • 제안 특장점 • 인증 현황 • 주요 레퍼런스
1. 시장지배력 2. 원천기술력 • PKI보안 1위업체, 시장 점유율 1위(금융권 70%) • 국내 최다 고객(500여개)확보를 통한 시장 지배력 강화 • 특히 금융권 PKI시장 70% 이상 점유 • 아시아 최초 ‘아이덴트러스’ 인증 획득 • 국내 최초 인터넷뱅킹 솔루션, 128bit 암호솔루션 개발 • 유수의 IT업체들로부터 인증 및 제휴 • 총인원의 70% 이상이 개발인력, 보안1세대 • 보안1세대의 영업 인력 3. 핵심인력 1. 제안의 특장점
감사합니다 ! (135-270) 서울시 강남구 도곡동545-7 소프트포럼빌딩 6~7층 Tel.02-526-8300 / Fax.02-526-8355
