Embed Size (px)
Citation preview
Anyclick AUS 표준 제안서
2016년 3월
목차
I. 제안 개요
II. 제안사 소개
III. 기술 부문
IV. 사업관리 및 지원 부문
I. 제안개요 1. 제안배경
2. 제안목적 및 범위/내용
3. 제안의 특장점
4. 기대효과
4
1. 제안배경
제안 배경 I. 제안개요
▶ 스마트폰 확산, 스마트오피스 사업 확산 등의 IT 환경 변화 및 무선랜 사용 편이성 등에 따라 무선랜 활용 빈도가 높아 졌습니다. ▶ 그러나 무선랜의 경우 유선랜과 비교하여 데이터 도청이나 비인가 사용자의 접속이 용이하다는 보안 취약점이 존재하며, 이로
인해 사내 네트워크 및 데이터 등의 내부 자원이 위협받고 있습니다. ▶ 이와 같은 무선 보안 위협으로부터의 내부 자원을 효과적으로 보호하기 위해서는 무선 보안 인프라 구축이 필요하며, 무선 인증/
암호화 인프라 구축을 통해 무선 보안이 강화되도록 하는 Anyclick AUS를 제안드립니다.
5
2. 제안목적
제안목적 및 범위/내용 I. 제안개요
무선 업무의 보안성 확보
기회요인 위협 요인
최상의 무선랜 보안 인프라 구축
정부 지침 등의 사전 준수 효과
향후 IT보안 사업에 대한 바탕 마련
다수 무선랜 보안 취약점 존재
내부 데이터 누출 위험성
보안 관리를 위한 TCO 증가
• 유무선 통합 인증 체계 구축
• 최상위 무선 인증·암호화 인
프라 구현
(WPA1/WPA2, 802.1x 등)
• 사용자 ID 기반으로 IP를
할당 / 관리 기능 제공
• 네트워크 장비(NAS) 접
속 인증 지원
• 기 구축된 인증체계 (PKI,
SSO 등) 유지를 위한 연동
기능 제공
• 정보보호 솔루션과의 연동
및 로그 서버 연동 제공
• 인증/정책/DHCP 서버 통
합 appliance 모델
• 추가 장비 구성 없이 이중
화 구성 지원
보안 인프라 개선 관리적 편이성 기 투자 자원 보호 우수한 ROI 제공
6
3. 제안의 특장점
제안의 특장점 I. 제안개요
검증된
안정성
국내
1위
기업
제품
다양한
인증 환경
지원
ID기반
인증
DHCP
유연한연동
지원
▶500여개 사이트에서 검증된 기술
▶기 구축 경험과 노하우를 통하여완성된 구축 방법론 적용
우수한
ROI
▶L4 장비 없이 HA 구성 지원 , DBreplication 지원
▶인증/DHCP/WAS 서버 등이 All-in-one 구성: 타 경쟁사는 구성 시스템을 별도로구축해야 함
▶무선보안 제조사 중 국내 1위
: 매출액, 규모, 안정성
: 사업영역 및 원천기술 보유 측면
▶CC 인증(EAL 4 등급), 국내 최초 획득
▶IEEE802.1x 기반 유무선 통합 사용자인증환경 제공
▶다양한 EAP 프로토콜 / 인증 방법 /무선 암호화 방식 등 모두 지원
▶네트워크 장비 관리자에 대한 인증지원
▶기 인증 체계 및 인증 DB와의 유연한연동 지원(암호화된 DB 연동 지원)
▶NAS 장비의 인증 속성 정보(VLAN,SSID, ACL 등)와 연계한 접근 통제지원
▶ID 기반으로 IP 할당 / 관리 기능제공
▶사고 시, 감사추적이 가능한 사용자 –IP할당’로그 확보
내부보안강화
감독기관 규정준수 및 감사
대비
무선 보안인프라 구축
비인가자 대상네트워크접근제어
네트워크 장비RADIUS 인증
7
4. 기대 효과
기대 효과 I. 제안개요
고객사
투자적합성
우수한ROI
• 내부 보안강화로 대외 신인도 향상
• 감독기관 정보보호규정 및 외부감사 사전 대비
• 임직원 보안 마인드 재고에 따른 잠재적 보안 사고 예방
• 유무선 사용자 통합 인증
• 다양한 유무선 단말 인증 지원
• 비인가 무선 단말의 내부 네트워크 접속 차단, 데이터 유출 방지, 바이러스 감염 및 유포 방지
• 유무선 사용자 및 장비 통합 인증 체계 구축으로 인증 관리비용 감소
• 추가 장비 구성 없는 A-A mode HA 구성 기능
• Proxy / DB replication / self – healing 등의 기능으로 최소 다운타임 보증
• 향후 FMC, Mobile Office 업무 환경 지원 미래지향적 투자 적합성 확보
• PKI 원천기술 및 단말 드라이버 기술 보유로 고객사의 기존 인증체계 유지 기존 투자 보호 및 투자 타당성 확보
무선인증
시스템
단말 & 네트워크
Ⅱ. 제안사 소개 1. 제안사 일반 현황 및 연혁
2. 조직 및 인원 구성
3. 구축 실적
4. 인증획득 및 수상경력
9
1. 제안사 일반 현황 및 연혁
일반 현황 및 연혁 II. 제안사 소개
법인명 유넷시스템 ㈜ 대표자 심종헌사업분야 소프트웨어 개발 및 공급주소 (우)06120 서울 강남구 봉은사로 119 (논현동, 성옥빌딩 7층)연락처 전화 02-2088-3030 FAX 02-2088-3095설립일자 2003년 2월 5일해당사업기간 2003년 2월 ~ 현재회사 주요 연혁 최근 연혁
년 월 주 요 연 혁
2014
12 Anyclick AUS V6.0 CC인증서 유효기간 연장(EAL 4)
10 Anycmon PLUS V3.0 CC인증서 유효기간 연장(EAL 4)
08 KOTRA 댈러스 무역관 주관, 컴텍(Comm Tech)
05Anymon PLUS V3.0 KC인증 획득, Anyclick AIR V1.0 KC인증 획득, Anyclick AUS V6.0 KC인증 획득대기전력 저감 우수제품 등록(신규 모델 8종)
2013
12 미래창조과학부 보안관제 전문업체 지정 심사 - 3년 연속 통과 [제 2013(104-81-78809)호]
06 데일리그리드 “2013 Korea security Vendor Top 50” 선정
04 Anyclick AIR, 2013년 DT 브랜드파워대상 – 무선침입방지솔루션 부문
01 Anyclikc AIR vV1.0 CC인증 획득(EAL4)
2012
09 지식경제부 주관 2012 미래선도 유망기업 선정
06Anyclick 솔루션 2012 디지털타임즈 상반기 히트상품 선정지경부 산업융합원천사업 - 엔터프라이즈 무선랜 통합제어 관리 시스템 기술 개발 (2012. 6. 1 - 2013. 5. 31)
05 Anymon PLUS V3.0 신소프트웨어 상품대상 5월 추천작 선정
03 방통위 융합미디어 원천기술개발사업 - 차세대 무선랜 고속접속보안 및 실시간 침해방지 보안 핵심기술 개발 (2012. 3. 1 - 2013.2.28)
2011
12 Anyclick AUS V6.0 CC 인증 획득(EAL 4), 신제품 Anyclick AIR V1.0(무선 침입 방지 시스템) 출시
10Anymon PLUS V3.0 CC 인증 획득(EAL 2)지식경제부지정 보안관제전문업체 지정서 획득 [제 2011(104-81-78809)호] (2011.10.31)
04 Anyclick AUS, 2011년 DT 브랜드파워대상 - 무선보안솔루션 부문
10
2. 조직 및 인원 구성
조직도 II. 제안사 소개
대 표
마케팅팀
컨설팅팀
보안관제팀
보안서비스사업부
기술기획팀개발1팀개발3팀개발4팀
무선보안연구소
솔루션사업1부- 영업1팀
솔루션사업2부- 영업3팀- 영업5팀
영업본부
IoT개발팀
IoT기술팀
IoT기술본부
경영지원팀
커뮤니케이션팀
경영관리본부
IoT사업부
11
3. 구축 실적
주요 구축 실적 (최근 3년) II. 제안사 소개
사업명 사업기간 발주처 사업규모삼성SDS 잠실빌딩 West Campus 무선인증
시스템 렌탈서비스2015.02~2015.03 삼성SDS ENT2 2EA
화성화길중학교 무선인증시스템 도입 2015.01~2015.02 화성화길중학교 STD2 1EA
함평대안학교 무선인증시스템 도입 2015.01~2015.02 함평대안학교 STD2 1EA
한림성심대학교 무선인증시스템 도입 2015.01~2015.02 한림성심대학교 ENT2 1EA
충남대학교 무선인증시스템 도입 2015.01~2015.02 충남대학교 PRM2 2EA
안양연현중학교 무선인증시스템 도입 2015.01~2015.02 안양연현중학교 STD2 1EA
성남수정초등학교 무선인증시스템 도입 2015.01~2015.02 성남수정초등학교 STD2 1EA
상지영서대학교 무선인증시스템 도입 2015.01~2015.02 상지영서대학교 ENT2 1EA
김해시청 무선보안 구축 2015.01~2015.02 김해시청 ENT2 1EA
한국정보화진흥원 공공 LG U+ WiFi망 구축 2014.12~2015.01 한국정보화진흥원 ENT2 1EA
중앙대학교 무선인증시스템 도입 2014.12~2015.01 중앙대학교 PRM2 1EA
웹인증시스템 도입 2014.12~2015.01 서울여자대학교 PRM 1EA
신라호텔 무선인증서버 구축 2014.12~2015.01 신라호텔 ENT2 6EA
무선인증시스템 도입(이중화) 2014.12~2015.01 한세대학교 ENT 1EA
상기 사이트 외 다수 구축
12
3. 구축 실적
주요 구축 실적 (계속) II. 제안사 소개500여 이상의 사이트에서 기 검증된무선랜 보안 국내1위 기업
공공기관
금융기관
IT기업
학 교
일반·유통
기업
13
4. 인증획득 및 수상경력
CC / GS 인증 획득 II. 제안사 소개
▶ 상호 : 유넷시스템 ㈜
▶ 소프트웨어의 명칭 : Anyclick NAC v4.0
▶ 인증번호 : 07-0089
▶ 인증 연월일 : 2007년 5월 18일
※ 주) Anyclick NAC / AUS 동시 인증 획득
▶ Anyclick AUS v4.0 제품은 2008년 8월 29일에 국내 최초 유일하게 국정원의 무선랜 인증시스템 보호프로파일(PP)을 수용하여CC 인증 EAL4 보증 등급을 획득하였습니다.
▶ 기능 및 성능 등 전반적으로 한층 업그레이드 된 Anyclick AUS v6.0 은 2011년 12월 20일에 v4.0과 동일하게 CC 인증 EAL 4보증 등급을 획득하였습니다.
▶ Anyclick AUS v4.0 제품은 2007년 5월 18일에 GS 인증을 획득한 제품입니다.
▶ 신청기관 : 유넷시스템㈜
▶ 제품유형 : 무선랜 인증시스템
▶ 제품버전 : 버전 6.0
▶ 인증보고서 번호 : CR-11-55
▶ 보증등급 : EAL 4
▶ 발급일자 : 2011년 12월 20일
14
4. 인증획득 및 수상경력
기술 특허 및 수상경력 II. 제안사 소개
특허 등록 6건
등록번호 발명의 명칭 회사명 등록일 비고
제10-0608495호 내부 네트워크상의 통합인증시스템, 내부 네트워크상의 통합인증방법 및 기록매체 유넷시스템㈜ 2006년 7월 27일
제 10-0671044호 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법 유넷시스템㈜ 2007년 1월 11일
제10-0797487호 통합인증시스템, 통합인증방법 및 기록매체 유넷시스템㈜ 2008년 1월 17일
제10-0914676호 IEEE 802.1x 기반의 네트워크 보안시스템 및 네트워크보안방법 유넷시스템㈜ 2009년 8월 24일
제10-0916155호 패킷캡쳐감사시스템 및 패킷캡쳐감사방법 유넷시스템㈜, ㈜널리 2009년 9월 1일
제 10-0939300호 마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속통제 방법 유넷시스템㈜ 2010년 01월 21일
Ⅲ. 기술 부문 1. 제안 시스템 소개
2. 주요 기능
3. 시스템 프로세스 소개
4. 구축 및 시범운용 방안
16
▶ Anyclick AUS는 WPA/WPA2와 IEEE 802.1x/802.11i 국제표준 기술 기반으로 비인가자의 불법 접근, 데이터 도청 등과 같은 보안 위협에 대해서 효과적으로 내부 인프라를 보호하고, 분산된 사용자 인증구조로 인해 발생하는 비용절감과 관리 부담을 줄일수 있는 무선보안에 특화된 유무선 통합 사용자 인증시스템입니다.
보안 취약점 현황 시스템 도입 효과
비인가 단말
• 단말의 잦은 IP 및 MAC 변경으로 인한 관리 미흡
비인가 단말
인증 서버(Anyclick AUS)
• ID 기반 IP 할당 및사용 내역 감사 로그 확인
1. 제안 시스템 소개
제안시스템 개요 III. 기술부문
17
제품 이미지 품명 규격 기능 비고
Anyclick AUS Server STD2
• CPU : Intel Atom CedarView D2550 Dual-core 1.86GHz• RAM : 2 GB • HDD : 1 TB• Power : 100 W• LAN : 10 / 100 / 1000 x 4
• 인증 및 ID기반 인증 DHCP 통합 서버
• IEEE802.1X 네트워크접근통제(사용자 / 그룹 인증 기반)
• 네트워크 장비 RADIUS 인증
• 사용자 인증 관리• 로그 및 감사• Agent Update 서버 기능•이중화 구성
동시접속100명
Anyclick AUS Server ENT2
• CPU : Intel® i3-3220 Dual-core 3.3 GHz• RAM : 8 GB (4GB x 2) • HDD : 1 TB• Power : 275 W / Redundant• LAN : 10 / 100 / 1000 x 6
동시접속1,000명
Anyclick AUS Server PRM2
• CPU : Intel® Xeon IVY BRIDGE 3.5GHz / 8M / Quad-core - Embedded
• RAM : 16 GB (8GB x 2) • HDD : 2 TB (1TB x 2 RAID 구성)• Power : 300 W / Redundant• LAN : 10 / 100 / 1000 x 8
동시접속10,000명
1. 제안 시스템 소개
제안시스템 세부 사양 및 규격 III. 기술부문
18
1. 제안 시스템 소개
제안시스템 세부 사양 및 규격 (계속) III. 기술부문
제품 이미지 품명 규격 기능 비고
Anyclick AUSAgent
or Agent-lessSW
• 사용자 인증• DHCP 강제 설정• Agent-less 시, WZC 지원.다양한 EAP 지원 불가 (PEAP 지원)
최소 라이센스 단위100유저
Anyclick AUSConsole
-
• Web-based 관리 화면 제공• 장비 구성 / 정책설정 / 사용자 관리 / 로그/리포팅/통계 등 통합관리
• Anyclick AUS Servr에 통합되어 관리
19
▶아래의 구성도 및 절차도는 통합 appliance 장비인 유넷시스템 Anyclick의 AUS의 SW 구성, 시스템 구성, 동작절차 등을 파악할수 있는 논리적인 개념도입니다.
PDA: CE, Pocket PC Windows 계열 OS
Logon 연동 모듈(GINA, 인증서, profile) Protocol Host 모듈 IEEE802.1x supplicant
AUS Agent
UNETOS
Agent Update Svr. WAS DBMS
RADIUS Accounting RADIUS 인증 서버 ID기반 인증 DHCP 서버
AUS Server
Anyclick AUS Server
Agent-less or AUS agent
① 식별ᆞ인증② 유형별 사용자관리
사용자 식별ᆞ인증
유형별 사용자 관리
네트워크 차단
네트워크 접근 혀용
필요시, 재인증
사용자 유형별(RBAC) 관리: 임직원/파견/방문(주: DHCP 환경, 직접적인 차단/격리수단은 미제공)
유효사용자?
Agent-less의 경우, Windows WZC 로 지원
1. 제안 시스템 소개
구성 개념도 III. 기술부문
SW / System 구성 개념도 동작 절차
20
1. 제안 시스템 소개
Anyclick AUS을 통한 무선 인증 서버 구현의 특장점 III. 기술부문
Server Farm
802.1x / 비1x 환경 통합유무선 사용자 통합 인증 체계사용자 인증 기반의 접근제어
장비-사용자 그룹인증유선 RADIUS 인증
백본스위치
L3스위치 L3스위치
1x 스위치 무선AP L2스위치 L2스위치
인증서버
다양한 이중화 방안
최상위 무선랜인증(PEAP) / 암호(WPA2)인프라 제공
기 인증체계 연동: AD, SSO 등에이전트 / 비-에이전트(WZC 등)
PDA
인터넷
• ID기반 사용자 인증 DHCP 서버(ID-based UA-DHCP)
• 사용자 IP 할당에 대한책임 추적성 제공
……
▶유넷시스템 Anyclick으로 무선 인증 서버를 구현할 경우, 서버 내 포함된 ID기반 인증 DHCP을 통한 ID 기반 IP 할당 기능으로효율적인 IP 관리 업무를 제공합니다. 또한 기 인증체계와의 안정적이고 유연한 연동 기능을 제공하며, NAS 장비의 인증 속성정보와 연계하여 인증 기반 접근 통제 기능을 제공합니다.
21
2. 주요 기능
제안 시스템 기능 요약 III. 기술부문
표준 준수 사항
사용자 인증 기반 NAC
장애/성능 관리 등 일반기능
다양한 인증 기능
IP관리 기능
기타
• 인증: IEEE802.1x / EAP• 암호화: Dynamic WEP, WPA1 (TKIP), WPA2 (AES-CCMP)• RADIUS, DHCP 서비스 등 다수의 IETF RFC 인터넷 표준 준수• RADIUSv6 지원
• 사용자/그룹 인증을 이용한 네트워크 접근 통제• 기 설정된 VLAN ID와 연계된 사용자/그룹별 접근통제• 사용자별, 그룹별, 시간별, 일별, 요일별 접근 통제• NAS장비의 ACL 설정 기능과 인증속성 정보와 연계한 접근 통제• 인증서버에서 NAS장비와 연계한 SSID별 사용자 접속 통제
• Proxy 형태의 이중화 기능, DR을 위한 DB replication 기능 제공• L4 장비 또는 추가 SW 없이 A-A mode HA 구성 지원• 사용자 편이성을 위한 프로파일 인증관리, 인증서 관리 기능 제공• SYSLOG, SNMP 등을 통한 보안관리시스템 연계 방안 제공
• HDD 인증, HW 고유 ID 인증 등 특수 인증 기능 제공• 네트워크 장비 – 관리자 그룹간 접속 등 부가 인증 관리 기능 제공• ID&PW / IP / MAC / 지문 / 스마트카드 등 다양한 인증요소의 개별 / 조
합 인증 기능 지원• 기 인증체계(PKI, SSO/EAM) 및 AD/LDAP, 3rd RDBMS 등 Back-end 인증
DB 연동 커스터마이징 지원
• 인증ㆍ정책ㆍDHCPㆍWAS 통합 appliance 장비• 지원 단말 환경: Windows XP, 2000, vista, 7 ; PDA/Smart Phone (Pocket
PC 2002, 2003, mobile 6.x, Windows CE.NET 4.2/5.0 등)• 사용자 접속 편이성을 위한 안드로이드 기반 접속 CM제공• 국정원 “무선랜 인증시스템 보호프로파일“을 준용한 CC EAL4 인증 획득
• 무선 IP roaming 기능• IP/MAC 변조 방지 기능: ID-IP-MAC 매핑 인증, DHCP client 설정 강제• ID 기반 IP할당 관리: ID 기반 인증 DHCP 서버 제공• 사용자 등록 프로세스 처리 기능 제공• NAS 그룹 별/VLAN별 DHCP 설정 기능 제공• 사용자 – IP 할당 감사 증적 제공, 다양한 유관 리포팅 기능 제공
22
인증서 방식 사용자 프로파일 방식
ServerAgent
Client HDD Volume Number 확인
인증 패킷 및 Volume Number 전송
서버에 등록된 정보와 일치 여부 판단
전송된 패킷에서Volume Number 추출
사용자 인증 및 HDD 인증 결과 전송
① 서버에 정보 없으면 insert 및 인증성공
② 서버 정보와 일치하면 인증성공
③ 서버 정보와 불일치 하면 인증실패
사용자인증
구 분 설 명
Dynamic WEP
Dynamic Wireless Equivalent Privacy
TKIP/MIC
Temporal Key Integrity Protocol, IEEE 802.1X / Wi-Fi WPA 규격에서 기업환경에서 사용토록 권고한 암호화 프로토콜로 MIC (Message Integrity Check)과함께 전송데이터의 기밀성과 무결성을 보장 함.
AES-CCMP
Advanced Encryption Standard Counter-Mode/CBC-MAC Protocol, 강화된 IEEE 802.11i / Wi-Fi WPA2 규격에서 제공하는 128비트 대칭키 암호화 방식으로 전송데이터의 기밀성과 무결성을 보장 함.
사용자등록 업무프로세스
HDDVolume
정보
IP
ID/PW
인증서
지문,스마트카드 등
MAC
개별조합병행
사용자, 단말, 네트워크 장비 통합 인증
단일 인증체계 구현(유무선/1x & non-1x)
AD, SSO 등기 인증체계
연동
2. 주요 기능
지원 가능한 인증방식, 암호화 방식 등 III. 기술부문
지원 인증 기능 인증방식 별 GUI
지원 암호화 방식
23
2. 주요 기능
사설 인증서 발급 기능
▶ Anyclick AUS는 기본적인 ID/PW 인증, MAC 인증, IP 인증 외 공인/사설 인증서를 통한 사용자 인증을 지원하며, 효율적인 사용자 인증 환경을 제공하기 위해 사설 인증서 발급 및 관리 기능을 제공합니다.
III. 기술부문
사용자인증
③ 사용자 검증① 사설 인증서 요청 및 발급
사용자 단말
AP 인증서버④-1 사용자 인증 성공네트워크 허용
② 사용자 인증 요청(인증서, ID)
④-2 사용자 인증 실패네트워크 차단
인터넷
1. 사용자 ID/PW를 통해사용자 Web 페이지접속
2. 사용자 Web 페이지 상에서 사설 인증서 발급
단말단 사용자 인증 측면 서버단 사설인증서 발급 측면
※ 인증서를 통한 사용자 인증은 EAP 인증 프로토콜 중 EAP-TLS 적용 필요
1. 네트워크접속 프로파일 더블클릭
2. 발급 받은 사설 인증서 및 ID를 통해 사용자 인증 요청
3. 네트워크 접속 정보 확인
24
2. 주요 기능
사용자 인증 TLS V1.2
▶ Anyclick AUS는 웹 접속 인증 과정 뿐만 아니라 Client <-> Server 사용자 인증 과정에서도 TLS V1.2 지원
국내 유일 “사용자 인증 과정 TLS V1.2 암호화” CC(EAL4)인증 획득
AttackerTLS V 1.0 / 1.1
복호화
암호화
TLS V 1.0 / 1.1
복호화
암호화
기존 암호화 구간:
SHA-1, DES, RSA1024 등 보안 등급이 낮은 암호 알고리즘 사용
Agent 무선 인증 서버보안 취약점
경쟁사
UNET
TLS V 1.0 / 1.1 / 1.2
복호화
암호화
TLS V 1.0 / 1.1 / 1.2
복호화
암호화
TLS V1.2 암호화구간:
SHA-256, AES-256, RSA2048 등 강화된 암호알고리즘 사용으로 보안 강화
Agent 무선 인증 서버Attacker
사용자인증
25
▶고객사에 도입된 인증체계 유지를 위해서 기 인증 체계(PKI, SSO, 3rd DB 등)와의 안정적인 연동 기능 제공
▶정보보호 솔루션과의 통합 운영 관리를 위하여 NMS, ESM 등의 관리 솔루션과의 연동 및 로그서버 연동 지원
연동기능
사용자 정보검증
INISAFE OCSP
인증서 유효성검사
[유효성 결과 전달]1. Success2. Fail
EAP-TLS인증서를 통한
인증
OCSP연동구간
2
3
1
45
[인증결과 전달]1. Success2. Fail
6
유효 네트워크 접근
네트워크
INITECH SERVER
AUS SERVER
AUTHENTICATOR
CLIENT
CA를 통해 발급된 디지털인증서의 유효성(폐기) 여부를 실시간으로 확인
ESM
System 이벤트, Radius인증 로그
②안: syslog 연동
①안: ESM agent 연동
• 국민은행 PKI 연동 사례• 지문인식, smart card 등 기존 인증체계 연동 사례 경험
• K은행 이글루시큐리티 Spider-X ESM 연동 사례
관리자에 의한 수동 등록
CSV 포맷 통한 일괄 등록Back-end 인증 시스템 연동
DB
SAM파일
ADLDAP
일 batch 등Sync.과정필요
제3의 인사시스템
2. 주요 기능
연동 기능 - 인증체계 및 정보보호 관리 솔루션 III. 기술부문
인증 체계와의 연동 3rd 인사DB 연동
ESM, NMS 시스템과의 연동
26
접근제어
▶ IEEE 802.1x 표준 기반 유무선 사용자 인증과 단말 식별, 네트워크 장비-관리자 그룹 인증을 모두 수용
802.1x 지원 AP
802.1x 지원 Switch
무선랜 사용자
유선랜 사용자
내부 비인가 단말
비인가 외부 사용자
주1) IEEE802.1x 포트기반 네트워크 접근제어 (port-based NAC): L2/L3 물리적 스위치 포트 또는 무선AP 가상포트 단위 NAC
▶ 비인가 사용자/단말로부터 내부 정보보호 강화를 위하여,
- IEEE802.1x 포트기반 네트워크 접근 제어주1)기능으로 비인가 사용자/단말 통제
- 인증 기반의 사용자/부서/사용자 그룹별로 접속 가능한 시간대(시간별/일별/요일별) 설정을 통한 접근 통제
2. 주요 기능
인증 기반의 네트워크 접근통제 기능 III. 기술부문
네트워크 접근 제어
27
RADIUS 인증 속성과 연계한 SSID별 접근 제어 기능
▶ 사용자별, 부서별, 사용자 구분별(임직원, 협력직원 등) 네트워크를 분리하는 방안을 제공합니다.
▶ RADIUS attribute 정보값과 SSID 이름으로써 인증 여부를 판별하여 접속 가능 네트워크를 통제합니다.
RADIUS Server
802.1X 지원 무선AP
임직원
Database (RADIUS attribute)
MACaddr_#1, 임직원SSID
MACaddr_#2, 협력직원SSID
User PW Called-Station-ID
A AAA MACaddr_#1:임직원SSID
B BBB MACaddr_#2:협력직원SSID
협력직원
Virtual Port Open
주) 해당 기능은 AP가 RADIUS로 표준에 맞게 ‘MAC주소:SSID이름’ 형식으로 정보를 줄 수 있어야 지원할 수 있는 기능입니다. AP벤더에 따라MAC 정보만을 전송하는 장비가 있으므로 AP 기능 확인이 필요합니다. 해당 기능 미지원 시, AP ACL 기능을 활용할 수 있습니다.
: 네트워크 통제 주체
2. 주요 기능
접근제어
III. 기술부문
28
DHCP
• 사용자(ID) 기반으로 IP 할당 지원
• 기 존 MAC 기 반 의 IP 할 당 의DHCP 서 버 대 비 IP 관 리 의효율성 우수
• IP 변경 방지 및 효율적인 IP관리를 위하여
- ID 기 반 인 증 DHCP서버에서 사용자 IP 강제할당
- Agent에서 IP 주소 설정의네 트 워 크 사 용 환 경 을DHCP로 강제화
MAC: 00-18-DE-94-9F-2A
ID: test01
MAC: 11-11-11-00-00-01
ID: test01
ID: test01IP: 10.10.10.1
IP: 10.10.10.1IP: 10.10.10.1
서버로부터 수신된IP의 임의 변경 차단
네트워크 환경을DHCP로 강제화
2F(SSID: Anyclick)
1F(SSID: Anyclick)
• 자동 재인증• 접속 권한 유지
• AP 간의 동일 SSID 인 경우
- 사용자 개입 없이 자동 재인증
- 접속 권한 및 동일 IP 유지
• IP 할당 내역
• 사용자에 할당된 IP 주소의 추적감사로그 제공
• “CSV”형식의 리포팅 기능 제공
단말 교체 등
▶관리자의 IP 관리 업무 편이성 및 IP 변경 방지를 위한 효율적인 IP 관리 기능 제공
▶ ID 기반의 DHCP 서버 기능, 단말의 DHCP 강제화 적용 기능, 무선 IP Roaming 기능, IP 할당 및 할당 IP 추적 감사 로그 조회 기능 등 제공
2. 주요 기능
DHCP 기능 – IP 관리 기능 III. 기술부문
ID 기반의 DHCP 기능 DHCP 강제화 기능
Roaming 기능 모니터링 & 리포팅
29
관리자 그룹1
관리자 그룹2
장비그룹 A
장비그룹 B
가상레벨5
가상레벨5
네트워크 장비 접속 가능한 사용자 계정들을 N개의 관리자 그룹으로 구성 각각의 네트워크 장비들을 M개의 네트워크 장비 그룹으로 구성 N개의 관리자 그룹과 M개의 네트워크 장비 그룹간에 관계 설정 관계 설정 시 가상레벨을 할당하여 각각의 사용자 계정이 각각의 네트워크 장비를 관리자 접근할 때 접근권한을 일관성 있게 제어 한 네트워크 장비에 대해 2개 이상의 가상레벨이 해당하게 될 경우에는 가상레벨이 높은 것이 우선
▶ Anyclick AUS는 사용자 등록 시, 관리자로 지정 가능하며 지정된 관리자는 관리자 그룹에 소속될 수 있습니다. 관
리자 그룹과 관리 대상 네트워크 장비 그룹의 관계를 설정하여 관리자 계정에 대한 권한을 조절할 수 있습니다.
장비인증
2. 주요 기능
장비 접속 통합 인증 관리 III. 기술부문
사용자계정 관리자 그룹 네트워크 장비그룹 네트워크 장비
30
원격지 이중화
Master인증서버
Proxy인증서버 AP
WAN구간
(저속)
LAN구간
(고속)
Primary인증서버 Secondary
인증서버
Active-Stan
dby
L2 Switch
Heart bit
Primary인증서버
Active-A
ctive
L2 Switch
Heart bit
※ 추가 장비없이 비용 효과적인 이중화 구성
안정적 시스템 구축을 위하여 AUS 서버의 이중화 필요
네트워크 대역폭이 낮은 환경이라면 Proxy 형태의 인증 서버 이중화 구성 권고
서비스가 중요한 비즈니스 환경이라면 Active-Active HA + DB Replication을 통한 서버 다중화 구
성 권고
HA 구성 Proxy 인증서버
DB Replication
장애관리기능
2. 주요 기능
다양한 장애/성능 관리 기능 III. 기술부문
31
로그통계
리포팅
계정
관리
중요하게 관리해야 할 항목을 별도의 메뉴로 구성하지 않고, 어떤 관리메뉴에서도 확인 가능토록 통계정보 표시 계정 등록/정지 승인 대기건수, NAS그룹 변경 승인 대기건수, 인사부서 변경 승인대기 건수, 보유계정 수, 보유 인증자/인증자그룹 수, 인사 상의 부서 수
인증
관리
사용자/인증자별 인증자 정보, 로그인/로그아웃 시간, 네트워크 사용시간, 사용량에 대한 정보
현재 네트워크 서비스를 사용하는 접속사용자 정보
접속
통계날짜 /시간 / 사용자 / 인증자별 접속통계 지원
▶ 사용자 인증 로그를 기준으로 그 외 다양한 로그를 이용하여 장애 해결 및 감사 목적의 특정 사용자의 정보 추적
▶ 다양한 보고서 및 통계자료로 네트워크 성능 향상의 중요한 보조 자료로 활용
CSV 형식 파일 리포트 제공
2. 주요 기능
로그검색/통계/보고서 기능 III. 기술부문
사용자 인증 로그 분석
보고서 기능
통계 자료 종류
32
2. 주요 기능
안드로이드 기반 CM
▶ 최근 스마트폰의 열풍으로 스마트폰 가입자수 1,000만을 돌파하였으며 기업, 학교 등에서도 점차 모바일 기기 기반의 무선 환경으로 변화하고 있습니다.
▶ Anyclick AUS는 스마트폰을 통한 네트워크 접속에 대한 사용자 편의성을 제공하기 위하여, 안드로이드 기반CM(Connection Manager) 앱을 제공합니다.
안드로이드 CM 기존 네트워크 설정 방법
• CM 실행 후 접속 SSID 선택으로 간편하게 네트워크 접속 환경 제공 • 환경설정상의 네트워크 설정 필요하며, 네트워크 지식이 없는 일반사용자 경우 초기 설정 어려움 존재
III. 기술부문
편의성
33
•사용자 계정 등록: CSV 일괄 등록 •NAS장비(스위치) 802.1x 인증 적용및 HDD Volume 인증 적용
• 로그 모니터링
① 사용자 등록 ③ 모니터링② 인증 방식 적용
<IP 할당로그>
•정규직/협력직 등 “계정등록 신청”
▶사용자 등록 방안: 수동 계정등록 신청, 관리자 일괄 등록(CSV), DBMS 인사정보 배치 / 인증시스템 연동
NAS 장비
<사용자 인증 방식 설정>
<인증 로그>
3. 시스템 프로세스 소개
네트워크 접속 진행 과정 (서버 측면) III. 기술부문
34
▶ Agent 환경 설정은 Agent 패키징 시 고객사 설정 정보를 같이 패키징함으로써 자동화를 지원합니다.
① Agent 배포/설치③ 로그인 및
네트워크 사용② Agent 환경 설정
•PMS 등 배포서버에 의한 배포 유도
Agent
PMS을 통한Agent 배포
•저장매체에 의한 배포 및 설치
•망 접속 정보를 프로파일화하여 관리
Agent
유효사용자?
인증 실패인증 성공
Y N
네트워크 접속
•Agent로그인
3. 시스템 프로세스 소개
네트워크 접속 진행 과정 (사용자 측면) III. 기술부문
네트워크 차단
Ⅳ. 사업관리 및 지원 부문 1. 사업 추진 조직 및 인력
2. 사업 추진 일정
3. 기술 이전 및 교육 훈련 계획
4. 유지 보수 방안
5. 시스템 시험 및 운영 방안
36
⊙ 조직구성전략
- 수행업무별 적절한 기술 등급의 인력 투입
- 해당분야 전문 인력 투입 원칙
• 추진방향 제시• 수행업무 진행 관리• 실무자료 지원 및 자문 인 력 역 할 비 고
구축PM
• 금번 사업의 총괄 책임
• 프로젝트 위험관리 / 품질관리 핵심
• 고객사/협력사 컨택트 포인트
• 요구사항 협의 / 분석
• 정기 / 수시 / 단계별 보고
• 제품 구축 관련 기술지원
• 제품 단위 / 통합 테스트 수행
• Agent 배포 / 설치 및 모니터링
• 장애처리 및 bug report
교육기술이전
팀원
• 도입 장비 구축 실무
• 장애처리 및 bug report
• 착수/분석 단계의 환경 분석 등
▶제안사는 프로젝트의 성공적인 수행을 위한 진행상의 모든 사항을 고객사와 공유하고, 수행 업무의 핵심역량을 발휘할 수 있는
조직체계 및 수행 인력을 아래와 같이 제시합니다.
제안사 PM
프로젝트 관리 담당자
프로젝트팀
구축지원 기술지원 장애복구 기술이전
사내지원조직
기술지원 품질관리 연구/개발
1. 사업 추진 조직 및 인력
사업추진조직 및 인력운영 방안 IV. 사업관리 및 지원 부문
추진조직 인력운영방안
37
▶ Anyclick AUS는 고객의 IT 환경에 가장 적합하게 맞춰서 구축하는 제품으로, 고객의 요구사항 분석 / 환경분석 및 협의가 필요하며 이에 대한 기능 분석 / 설계 절차에 따른 시간이 소요됩니다. 전체 프로젝트 기간은 고객과의 협의로 진행되며, 추가요구사항 발생 시 소요 기간은 변동될 수 있습니다.
추진단계M
1주 2주 3주 4주
요구사항 / 사용환경 분석
서버 구축 / Client 설치 방안 수립
장비 배치 및 Client 배포 세부계획
Anyclick 서버 설치
Client 시범 설치
Client 배포 및 안정화 지원
검수보고
교육 훈련 및 운영 지원
착수보고
최종보고
착수
시스템 구성 및 연동 설계
운영이관
프로젝트착수ᆞ분석
시스템설계
시스템구축
검수
보고 및검토
2. 사업 추진 일정
시스템 구축 일정 IV. 사업관리 및 지원 부문
38
▶보안시스템의 도입목적과 기대효과를 달성하기 위하여 실제 운영에 필요한 기술적인 배경에서부터 운용의 노하우에 이르기까지 관리자, 운영자, 보안담당자, 일반 사용자 등 다양한 사용계층을 대상으로 최적화된 교육 과정을 제공합니다. 본 교육과정을통해서 일반사용자 및 시스템 관리자는 도입되는 보안시스템의 특성을 이해하고 효율적으로 시스템을 활용할 수 있습니다.
3. 기술이전 및 교육 훈련 계획
교육 훈련 세부 내용 IV. 사업관리 및 지원 부문
교육 과정 기간 교육 내용 비고
무선랜 보안개요 2 H
• 무선네트워크의 보안취약점
• 보안취약점별 해킹방법
• 인증 프로토콜 및 암호화 알고리즘 소개
• 사용자 인증 프로토콜의 보안성 비교
• 통신 데이터의 기밀성 비교
Anyclick을 이용한보안 강화 방안
2 H
• 사용자 인증 강화 방안
• 무선구간 통신 데이터 암호화 강화 방안
• 인증프로토콜 및 암호화 알고리즘 적용 시나리오
Anyclick 인증서버관리
2 H• Anyclick 인증서버 관리 개요
• Anyclick 인증서버 관리 실습
Anyclick Client 관리
2 H
• AP 설정값 세팅
• Switch IEEE 801.1x 설정 이론 및 실습
• Client Profile 개념 소개 및 설정 실습
▶ 장소와 세부일정에 대해서는 고객사 담당자와 협의하여 진행합니다.
▶ HW, SW 설치 / 운영 상 필요한 교육의 추가 요청에 대해서는 고객사 담당자와 협의하여 진행합니다.
▶ 상기 교육은 제안사 부담의 무상교육입니다.
39
장애관리 체계 유지
▶원활한 유지보수 지원을 위하여 유넷시스템 이하 장비 제조사, 지역파트너사와 협력하여 유지보수를 지원합니다. 제안사는 구축된 시스템의 예방점검을 실시하며, 장애발생시 1차 대응 및 해당 지역파트너사의 담당 엔지니어와 함께 문제를 해결합니다.
4. 유지 보수 방안
유지 보수 조직 및 지원 모델 IV. 사업관리 및 지원 부문
유지 보수 체계
지역 파트너사 1 지역 파트너사 6장비 제조사
서울 경기 권역 지원심각도 판단 유지보수 모델 및 지원수준 결정자사 내 전문가 그룹을 통한 3단계 지원체계 구축, 운영 중사내 품질조직 및 엔지니어의 상시 정/부 유지보수 체계 수행
제안사
HW 오류 및 장애현상 지원장비 특성에 대한
기술 지원
지역 파트너사는 해당 권역의 유지보수 / 장애지원(긴급 정비) 담당장애 발생 시, 제안사의 유지보수 조직과
공조하여 문제해결
장애 지원 체계
DB장애
SW장애
HW장애
백업된 파일로부터 복구 백업 및 복구절차에 의한 데이터 백업실시
응용프로그램 변경작업에 따른 변경관리 S/W모니터링을 통해 해결 (On-Call 체제 가동)
장애대책 리소스를 이용 안정적인 시스템 구현 장애발생 모듈은 지정된 기준 안에 따라 교체
1단계
기술지원
2단계
품질보증
3단계
연구/개발
전담인원 배치 장애처리결과 피드백
협력업체응답체계관리 장애처리이력관리
1단계
장애 접수
2단계
장애사항 분석
3단계
기술지원
40
▶ 시스템의 시험 운영 및 종합 테스트는 고객사 무선랜 인증 시스템 구축 사업의 성공적 구축을 판단할 수 있는 지표가 되고 환경부의 요구사항을 만족하는지 여부를 검증하기 위하여 실시합니다. 시험 계획은 사업초기에 수립하여 승인되고 승인된 시험은실제 환경 하에서 실시합니다.
5. 시스템 시험 및 운영 방안
시스템 시험 방안 IV. 사업관리 및 지원 부문
구 분 목 적 주요 수행 사항
단위시험
• 절차와 표준을 준수하여 품질에 문제가 없는 프로그램 개발유도• 시험 계획을 통하여 설계 관련 사양과 불일치나 결함여부를 확인• 개발자가 상세 설계 사항을 이해하고 그 사항을 반영하였는지 확인
• 단말 단에서 Agent 설치 정상 여부 확인• ID/PW, ID/PW+MAC 등을 통한 사용자 인증 정상 여부 확인• 인증 성공 사용자에 대한 정상적인 IP 할당 여부 확인• 일별/요일별/시간별 설정에 의한 네트워크 접속 통제 여부 확인• 계정 패스워드 제약 조건 정상 여부 확인• 모니터링/로그/리포팅 기능 확인
통합시험
• 통합할 모든 요소 상호간의 호환성과 통합시스템으로서의 기능보증
• 시스템 개발이 설계사양서에 맞는가를 확인• 시스템 인터페이스간의 결함을 발견, 수정
• 업무망 사용 시, 목표 구성(인증방식, 암호방식)으로 정상적인 사용자 인증후, 네트워크에 접근 하지는 확인
• 사용자 구분별 접근 통제 정책 적용시 허용된 네트워크 대역만 접근 하는지확인
승인시험
• 원칙적으로 최종 시스템이 시스템 기능요구사양과 품질보증계획에 명시된 품질 목표를 충족하고 있음을 확인
• 기능적 요구사항을 현업 담당자가 직접 시험 하여 검증• 승인시험 종료 후부터 유지보수 단계가 시작됨
• 테스트 베드 상, 서버 및 클라이언트 모듈 테스트가 성공적일 경우 부서 시범 설치 실시
• 사용자 등록 요청 (내부 사용자의 경우, 인사DB연동)관리자 승인네트워크 접근
• 사용 등록 신청자가 정상적인 인증 과정을 통한 네트워크 진입 성공 여부확인
41
▶ 무선네트워크 인증 시스템 구축 후 최초 운용하기 위해서는 아래와 같은 3가지 단계를 적용합니다.
1단계: 계정 등록(DB연동 or 관리자에 의한 등록), NAS 등록
2단계: 인증 설정을 변경(802.1x 인증)
3단계: Agent를 통한 네트워크 접속 요청
5. 시스템 시험 및 운영 방안
시스템 운영 절차 IV. 사업관리 및 지원 부문
AnyClick인증서버
NAS
인증관리자 사용자
네트워크 관리자
INT
RA
NE
T
CSV 파일 등록계정/NAS/그룹 등록
계정 등록 요청그룹 사용 요청
인증 설정 변경
Client S/WDownload & 설치
접속 요청인증요청 접속
허용
1단계
2단계
3단계
• 계정 : 네트워크(유/무선)를 사용하기 위해 사용자가 갖는 고유 ID• NAS : 무선랜의 AP, 유선랜의 Switch 등을 의미
42
▶ 천재지변, 관리자의 실수 등으로 발생 할 수 있는 시스템 장애 발생 시 빠른 정상화를 위한 백업/복구 기능을 제공합니다.
▶ 제품S/W의 안정성을 위한 지속적인 버그 패치 및 기능 개선을 제공하며, SW 버전 변경 및 패치 업데이트를 원활히 수행하기위하여 손쉬운 자동 업데이트 기능을 제공합니다.
5. 시스템 시험 및 운영 방안
백업/복구, 업데이트 IV. 사업관리 및 지원 부문
AnyclickServer
AnyclickWeb
Console
AnyclickClient
사용자
관리자
유지보수담당자
서버 패치 적용
클라이언트 패치파일 다운로드
클라이언트 패치 파일 업로드
서버 / 클라이언트패치 파일
서버 패치파일
클라이언트패치 파일
#1 : 백업 / 복구 #2 : 업데이트
별첨. 구축사례 및 활용방안 1. 구축 사례
2. 활용 방안
44
1. 구축 사례
Anyclick AUS 구축 사례
S그룹 연수원 비즈니스 요구사항: 무선 교육 환경 구축
구축 키 포인트: LDAP 인증체계 연동 커스터마이징N은행
비즈니스 요구사항: 무선 PDA 물류 체계 보안 강화
구축 키 포인트: PDA WPA1 적용, 장비 그룹 인증
국군비즈니스 요구사항: 5개 부대 탄약 물류 체계 선진화
구축 키 포인트: 무선 RFID 단말기에 DWEP 적용S생명
비즈니스 요구사항: FC/지점 업무의 무선 온라인화
구축 키 포인트: AD 연동, DHCP 서버 커스터마이징
인사DB (LDAP)
교육 System Portal Metro
무선인증시스템(Anyclick AUS)
Wireless Controller
…
…
…
…
6개 연수원
AnyClick AUS AD 서버
• S생명 AD 연동 사례사용자
① 네트워크 접속 시도
② 사용자 인증(IEEE802.1x)
④ 사용자 유형별 IP 할당(전 지역 네트워크를 통 VLAN으로 사용)
③ 사용자인증
네트워크 장비관리자 그룹
네트워크 장비그룹화
570여대Network 장비
전산센터 물류센터
Anyclick AUS(HA 이중화 구성)
국방망
A A 부대부대B B 부대부대
C C 부대부대
D D 부대부대
E E 부대부대
암호화 통신 제공
무선 단말에 PEAP-GTC 지원 에이전트 필수
45
2. 활용 방안
Anyclick AUS 활용 방안
FMC 정의: 사내에서는 PSTN, Internet을, 외부에서는 이동통신
망을 통하여 접속(통화)하는 서비스 적용부분: 모바일기기 사용자인증 및 무선통신구간 암호화
모바일 오피스 정의: 언제 어디서나 모바일 기기를 통하여 외부에서 결제
및 이메일 처리 등의 회사 업무를 하는 서비스 적용부분: 모바일기기 사용자인증 및 무선통신구간 암호화
UC 정의: 기업내 다양한 커뮤니케이션 도구를 단일한 플랫폼
을 통해 통합 제공해 주는 서비스 적용부분: 무선 단말 사용자인증 및 무선통신구간 암호화
U-city 정의: 도시 기반 시설에 첨단 IT(유비쿼터스)를 도입하여 언
제 어디서나 각종 서비스를 제공받는 차세대 지능형 도시 적용부분: 무선 단말 사용자인증 및 무선통신구간 암호화
인증: IEEE802.1x / EAP암호: TKIP or AES-CCMP
(Enterprise mode)
KT 모 모 모 모 모 모 모 모 모 모 모 모 모 모 모 모 모 모
연락처
전화 (기업) : 070-8686-2050 / 010-3208-8358070-8686-2021 / 010-2812-8263
전화 (공공) : 070-8686-2015 / 010-3226-7347
이메일 : [email protected]
전화 : 02-2088-3030 팩스 : 02-2088-3095 이메일 : [email protected] 주소 : (06120) 서울 강남구 봉은사로 119 (논현동, 성옥빌딩 7층)
전화 : 070-8686-2012 이메일 : [email protected]
이메일 : [email protected]기술
영업
마케팅
회사
감사합니다.
![Simulation of a Class of Non-Normal Random Processeskgurl/Papers/aus.pdf · The simulation of Gaussian random processes is well established (e.g., Shinozuka [1], Mignolet and Spanos](https://img.dokumen.tips/doc/110x75/5f0491fc7e708231d40e9fb0/simulation-of-a-class-of-non-normal-random-processes-kgurlpapersauspdf-the.jpg)
![TEAM LEADER 역량강화교육도입제안서 - kobig.comkobig.com/fup/notice_table/Team[100510].pdf · 2 제안개요 제안 개요 팀리더의기본적인역량모델링에바탕을둔실전적이고체계적인진단과분석을통해](https://img.dokumen.tips/doc/110x75/5e0bf9571b2efc7f611cd26a/team-leader-eeeoeeoeoe-kobig-100510pdf-2-oeeoe.jpg)
