SSO(Single Sign=On:단일 인증)

  한 번의 인증 과정으로 여러 컴퓨터 상의 자원을 이용 가능하게 하는 인증 기능으로서 쉽게 말해서 다양한 시스템상에서 업무를 진행할 때 각각의 계정을 이용하는 것이 아니라 하나의 계정을 통하여 하는 것 을 말한다. 중요한 점은 로그인 처리가 여러 시스템에서 각각 필요한 것이 아니기 때문에 편리성이 생기는 반면에, 통합인증의 시작점이 되는 응용 프로그램이나 OS는 접근 보안이 훨씬 중요하게 된다. 그렇기 때문에 OTP를 활용하거나 2 채널 인증을 통하여 보안을 강화할 필요가 있다. [출처 : 위키피디아]

EAM(Extranet Access Mgmt:권한관리)

  쉽게 말해서 SSO방식에 권한 관리가 추가된 형태이다. 다양한 환경에서 하나의 ID를 이용하는것에서 더 나아가 관리자는 각 ID에 대해서 각각의 시스템에 대해 권한을 차등 부여하는 것 까지 포함한다. 

4A1P

    • 인증(Authentication) : 시스템에 접근하는 사용자를 확인한다. 일반적으로 ID/PWD 방식이 가장 널리 사용되며 보안성을 강화하기 위해 암호 PKI 기술들이 이용된다.
    • SSO : 통합 인증된 사용자가 개별 애플리케이션에 추가적인 인증 요구 없이 사용할 수 있어야 한다.
    • 인가,접근제어(Authorization) : 개별 애플리케이션의 각 자원 및 서비스에 대한 인가,접근제어 권한을 관리 툴로 설정하고, 설정된 인가 접근제어 권한이 개별 애플리케이션 동작에 적용이 돼야 한다.
    • 개인화(Personalization) : 통합 인증된 사용자가 개별 애플리케이션에 접근할 때, 접근하는 사용자의 아이덴티티(Identity)와 사용자의 정보를 확인할 수 있는 기술이 제공돼야 한다.
    • 관리(Administration) : 통합 인증을 위한 사용자 계정, 개별 애플리케이션이 인가/접근제어, 개인화를 위한 정보제공의 범위, 감사기능 등을 편리하게 관리할 수 있는 기능이 제공돼야 한다.
    • 감사(Auditing) : 전체 시스템에 접근해 통합 인증을 받고 SSO로 개별 애플리케이션에 접근, 인가/접근제어가 수행되는 모든 과정이 감사 기록으로 남아야 한다. [출처 : 경영과 컴퓨터 2004년 2월호]

IAM(Identify & Access Mgmt:계정관리)

  ID와 패스워드를 종합적으로 관리해 주는 역할 기반의 사용자 계정 관리 솔루션이다. 즉, 관리자와 사용자에게 다른 관리 기능을 제공하며, 더불어 SSO 기능과 EAM 기능을 확장 또는 보완 하였다.

-> 계정 관리, 액세스(권한에 따른) 관리, 모니터링과 감시의 세 분야가 통합되어 있음


'Security Cunsulting' 카테고리의 다른 글

[계정관리] OS, Database, Application  (0) 2015/02/18
[Roles & Permissions Matrix] 권한 Matrix  (0) 2015/02/18
정보보안 컨설팅 분야  (0) 2015/01/29
[CPPG] 합격수기  (0) 2014/09/14

권한 매트릭스(Roles and Permissions Matrices)는 사용자의 모든 역할과 시스템 기능 그리고 특별한 기능을 수행하는데에 필요한 허가등을 Grid(격자)형태로 나타낸다. 역할명 은 열에 나타내고 시스템의 기능명은 행에 나타낸다. 두가지 모두 관련된 사항들을 그룹으로 나타낼 수 있다. 아래의 그림은 권한 매트릭스의 템플릿 이다.


예시




'Security Cunsulting' 카테고리의 다른 글

[계정관리] OS, Database, Application  (0) 2015/02/18
[Roles & Permissions Matrix] 권한 Matrix  (0) 2015/02/18
정보보안 컨설팅 분야  (0) 2015/01/29
[CPPG] 합격수기  (0) 2014/09/14

정보보안 컨설팅의 목적은 ?

기업이나 기반시설의 안정성 및 신뢰도 향상에 기여하는 것

즉, 주요 정보보호 자산을 보호하고 업무 환경을 효율적으로 개선하여 기업의 가치를 향상 시키는 것이다.

정보보안 컨설팅 분야는 어떤게 있을까?

그전에 앞서서 정보보안 컨설팅을 하는데 있어서 전문적인 자격을 획득한 업체들을 알아보자

자격의 정식명칭은 '지식정보보안컨설팅 전문업체'


KISA 한국인터넷진흥원에서 선정하는것으로서 관련 내용은 아래와 같다.

운영목적

기반시설 관리기관이 전자적 침해행위에 효과적으로 대응할 수 있도록 전문업체를 적극 활용하여 주요정보통신기반시설의 취약점 분석·평가 업무 및 보호대책 수립업무를 지원하기 위함

주요업무

    • 지식정보보안 컨설팅 전문업체 지정·재지정 지원
    • 지식정보보안 컨설팅 전문업체 사후관리 현장실사 지원
    • 지식정보보안 컨설팅 전문업체 지정제도 개선

지식정보보안 컨설팅 전문업체 지정 현황 (2014년 3월 기준)

번호업체명전화번호홈페이지
1(주)시큐아이02-3783-6600http://www.secui.com
2(주)안랩031-722-8000http://www.ahnlab.com
3에스티지시큐리티(주)02-2027-4300http://www.stgsecurity.com
4(주)에이쓰리시큐리티02-6292-3001http://www.a3security.com
5롯데정보통신(주)02-2626-4000http://www.ldcc.co.kr
6(주)싸이버원02-3475-4955http://www.cyberone.kr
7인포섹(주)02-2104-5114http://www.skinfosec.co.kr
8㈜비트러스트02-3411-2250http://www.btust.co.kr
9㈜소만사02-2636-8300http://www.somansa.com
10㈜씨에이에스02-786-3815http://www.casit.co.kr
11㈜에스에스알02-6124-6690http://www.ssrinc.co.kr
12㈜에스피에이스02-555-1308http://www.sp-ace.co.kr
13㈜엘지씨엔에스02-2099-0114http://www.lgcns.co.kr
14㈜윈스031-622-8600http://www.wins21.co.kr
15㈜이글루시큐리티02-3452-8814http://www.igloosec.co.kr
16케이씨씨시큐리티㈜02-6090-7690http://www.kccsecurity.com
17한영회계법인02-3787-6600http://www.ey.com/kr
18한전KDN㈜02-6262-6114

http://www.kdn.com


미래창조과학부는 2014년 3월말 '정보통신산업진흥법'에 의거해 비트러스트, 소만사, 에스에스알, 윈스, LG CNS, 이글루시큐리티, KCC시큐리티, 한전KDN, 한영회계법인, 에스피에이스 등 11개의 정보보안 컨설팅 전문업체를 추가로 선정 하였다.


그럼이제 본론으로 들어가 정보보안 컨설팅의 분야에 대해서 알아보자.


1. 인증 컨설팅 

ISO/IEC 27001 : 국제 표준인 정보보호관리체계

ISMS (Information Secuirty Management System) : 정보보호 관리 분야의 국내 표준

  절차 : 비즈니스 요구사항 검토 및 인증규격 선정 -> 인증 대상 범위 정의 -> Gap분석(인증 규격의 통제항목 기준) -> 취약점 진단 및 위험평가 -> ISMS 설계 및 구축 -> 이행 -> 인증심사수검

BS10012 : 영국표준협회(BSI : British Standards Institution) 에서 인증하는 개인정보 경영 시스템

PIMS(Person Information Management System) : KISA 에서 인증하는 개인정보보호 관리체계

G-ISMS : 전자정부 정보보호관리체계인증으로서 기관(정부 관련 기관)이 수립하고 구축한 ISMS를 KISA가 객관적으로 심사하여 인증을 부여하는 제도 

PIPL(Personal Information Protection Level) : 한국정보화진흥원인 NIA(National Information Society Agentcy)에서 인증하는 개인정보보호인증제도

*PIA(Privacy impact assessment)와 PIMS 제도와 중복 인증 될 수 있다는 우려가 있었으나, 기관과 기업의 상황에 따라 적용할 수 있기 때문에 차별화 됨.

2. 통합 보안체계 수립 컨설팅

각 회사별로 방법론이 조금씩 다르지만 통합 보안체계의 Framework을 구축하는 것을 목표로 한다.

- 정보보호 조직체계 수립

- 물리적 보안체계 수립

- 기술적 대응체계 수립

- 법/제도 적용 체계 수립

- 정책/지침 재개정 체계 수립

3. 취약점 진단 (모의해킹)

회사가 보유하고 있는 보안장비, 네트워크 장비, 시스템에 대한 취약점 진단 및 분석을 실시하고 필요 시나리오를 기반으로 한 모의침투 테스트 실시

- 시나리오 기반 모의해킹

절차 : 정보시스템 자산식별 -> 진단대상 선정 -> 취약점 진단(모의해킹) -> 결과 종합 및 위험평가에 적용

- 소스코드 진단 컨설팅

4. 개인정보보호 컨설팅

PIA

5. 보안감사

'Security Cunsulting' 카테고리의 다른 글

[계정관리] OS, Database, Application  (0) 2015/02/18
[Roles & Permissions Matrix] 권한 Matrix  (0) 2015/02/18
정보보안 컨설팅 분야  (0) 2015/01/29
[CPPG] 합격수기  (0) 2014/09/14


티스토리 툴바