1. 사업의 이해
응용서비스 SSO
권한관리 계정관리
이용자
관리자
업무시스템
권한관리 계정관리
작업자
관리자
DBMS
권한관리 계정관리
작업자
관리자
1. 사업의 이해 (계속)
응용서비스 사용자
통합인증 게이트웨이 공무원
비공무원 권한관리 SSO
업무시스템
계정관리
업무 담당자 통합저장소
DBMS 보안 관리자
업무 담당자
1. 사업의 이해 (계속)
U-인증
통합인증 게이트웨이 센터게이트웨이
ID/PWD
PKI
600여 개 공공기관
기관 GW
기관 GW
기관 GW
기관 GW
서울시
행정안전부
교육과학기술부
OO 기관
…
OTP 차세대 ID카드
공무원카드 (스마트카드)
바이오인증
G4C
’09년 시범사업완료
행정정보공유
’10년 사업범위 (
)
2. 사업의 배경 및 목적
사업추진 배경 범정부 차원의 정보보호대책 필요 사용자에 대한 표준화, 체계화된 인증 및 권한관리 정책 부재
각 기관별, 분야별 인증체계 구축에 따른 비효율성, 중복투자 발생
표준 인증프레임워크 구축 필요 일관된 통합인증 모델 부재 차세대 전자정부 인증·권한 관리 서비스 제공을 위한 인증프레임워크 구축 필요 공통서비스(Shared Service) 구축·제공 요구
차세대 인증서비스 필요성 대두 공공 및 민간기관과의 협력 증대에 따라 기존 인증방식의 확대^개선 요구
유비쿼터스 기반의 다양한 기기의 등장과 개인을 위한 추가 인증수단의 필요성 증대
3. 로드맵상에서 통합인증 사업의 위치 시범사업에 이은 차세대 통합인증체계의 확산 사업. 차세대 통합인증체계 확산 업무 개발
631개의 대상기관 중앙행정 (50개)
2009년 시범사업의 확산 사업 이행 (서울시,행안부)
지방자치 (246개) 시도교육청/ 공공기관 (335개)
통합인증 표준 프레임워크의 완성 확산기반 마련 및 고도화단계
시범 구축단계
확산단계 4단계 ( ~ 2012年)
ISP 단계
3단계 (2010年)
2단계 (2009年)
통합인증프레임워크 고도화 1단계 (2008年) 통합인증프레임워크 시범 적용 센터게이트웨이 구축 통합인증프레임워크 모델 정립 기관게이트웨이 시범 적용 표준기능·데이터 규격 보강 통합인증게이트웨이 구축방안 수립표준기능·데이터 규격 정의 기관게이트웨이 단계적 확대 U-인증체계 도입 계획 수립 OTP 인증체계 구축 유비쿼터스 인증부문 고도화
2/20
기관게이트웨이 단계적 확대 센터게이트웨이 지원 서비스 고도화
4. 통합인증시스템 개념 통합인증게이트웨이는 다양한 환경의 응용서비스, DB, 서버 접근에 대한 인증, 권한, 계정, 신뢰수준, 암호화, 감사기능을 표준화하여 중앙 집중적으로 통합 관리하는 시스템임. 통합인증시스템 개념도
5. 통합인증게이트웨이의 필요성
AS-IS
TO-BE
개별 솔루션으로 인증 및 권한관리 구현
통합인증게이트웨이 구축
응용
시스템
인증
SSO
권한
EAM
암호화
4
서버보안
구간암호화
EAM
5
서버보안
시스템
DB
통합인증게이트웨이
2 3
응용
1
IM
계정
감사
DB
계정
통합계정관리
인증
통합인증/신뢰수준 관리
권한
통합권한관리
암호화
구간암호화 및 DB암호화
감사
통합 감사 및 모니터링
DB보안
5
기능 누락 및 개별솔루션 연계구간 보안허점 발생
1 DB 계정관리 미흡으로 계정정보 노출 시 정보 유출 위협 2 SSO 계정정보 노출 시 전체 시스템 노출 3 접근권한관리 대상이 개별적으로 관리되어 체계적인 접근통제의 어려움
4 응용접속 DB 접속정보 노출 위협(DB계정 하드코딩 등) 5 개별솔루션의 감사 로깅 기능으로는 사용자 별 이력 추적 불가 (WAS 취약점에 의한 우회접속 등)
개별기능의 유기적인 통합으로 체계적인 관리 가능 비밀번호 자동변경 등 DB 계정정보 은닉
1 2 3 4 5
SSO 계정 정보 암호화 및 신뢰수준에 따른 재인증 요청 응용어플리케이션, 시스템, DB 자원에 접근권한 통합 관리 게이트웨이를 통한 응용접속 DB계정관리 및 DB접속 시 인증 응용, 시스템, DB접근이력에 대한 통합감사 로그 분석으로 사용자별 이력 추적
6. 기대 효과
보안성 강화
업무 편의성 향상
정보유통 및 증적 관리를 위한 통합감사기능 및 표준 보안체계 제시로 전자정부 서비스의 품질 향상 국가 주요 행정정보의 암호화 유통으로 안전하고 신뢰할 수 있는 온라인 유통기반 확보 정보자원의 인증레벨에 따른 접근권한 설정으로 정보자원 오남용방지 인증관리, 권한관리, 계정관리 등의 서비스를 유기적으로 결합하는 통합보안인프라를 구축함으로써 개별솔루션 구축의 한계점 극복 보안사고 발생 시 신속한 원인 파악 및 대처가 가능한 표준 기반 구축
응용서비스, DB, 서버접근에 대한 단일창구제공으로 사용자 편의성향상 공동이용 업무에 대한 기관 간 인증정보 상호연동성 확보로 인한 업무 편의성 향상 인사정보 변경에 따른 사용자 계정 발급/회수, 접근권한 자동 변경 체계 제공으로 관리업무 최소화 구축 및 운영의 표준화로 인한 관리업무 효율성 향상
표준 기능 구축을 통한 개발비용 및 구축비용 절감
예산 절감
사용자 인증 및 접근권한의 통합 관리에 따른 운영 비용 감소 향후 대상 확대에 대한 유연한 체계 기반 마련으로 인한 중복투자 방지
7. 기관별 도입 비용 기관의 직원 및 연계시스템 수를 기준으로 대형기관·중형기관·소형기관로 구분하여 비용 산정. [단위: 천원]
구분
H/W
품목
소형기관 1식
100,000
100,000
160,000
LDAP(인증) 서버
1식
60,000
100,000
100,000
DB 서버
1식
60,000
100,000
100,000
L2 스위치
1식
10,000
10,000
10,000
스토리지
1식
40,000
60,000
80,000
WORM 스토리지
1식
40,000
70,000
100,000
310,000
440,000
550,000
통합인증게이트웨이(G/W) 서버모듈
1식
100,000
150,000
200,000
WEB
1식
30,000
45,000
60,000
WAS
1식
40,000
60,000
80,000
DBMS
1식
60,000
80,000
100,000
LDAP 모듈
1식
20,000
40,000
60,000
250,000
375,000
500,000
부분합 업무시스템 연계
구축비
대형기관
통합인증게이트웨이(G/W) 서버 1식
부분합
S/W
중형기관
커스터마이징(컨설팅비용 포함) 센터GW 연계 부분합
총합 * 서버의 Core수, WEB/WAS/DBMS의 종류에 따라 예산 변경 * 이중화 구성을 할 경우, 약1.4~1.6배 예산 필요
5개
100,000
20개
400,000
50개
1,000,000
10M/M
100,000
20M/M
200,000
30M/M
300,000
20,000
20,000
20,000
220,000
620,000
1,320,000
780,000
1,435,000
2,370,000
[참고] 도입기관 규모 및 서버 사양 기관의 직원 및 연계시스템 수를 기준으로 대형기관·중형기관·소형기관로 구분.
서버 사양
도입기관 규모 기관당 직원 수
연계 시스템 수
10개 이하 300명이하
300~3000명
3000인 이상
구분
구분
모델
High-end
IBM Power770 (3.1GHz, 16Core, 48GB)
160,000
Middle
IBM Power750 (3.3GHz, 12Core, 32GB)
100,000
Entry
IBM Power750 (3.3Hhz, 6Core, 16GB)
60,000
소형
10~30개
소형
30개 이상
중형
10개 이하
소형
10~30개
중형
30개이상
대형
10개 이하
중형
10~30개
대형
30개 이상
대형
가격
[단위: 천원]
[참고] 구축절차 및 소요기간 기관규모(소형,중형,대형) 별로 3 ~ 8개월 기간 소요 구축 단계
내용
[1단계] 통합인증 프레임워 크 적용(컨설팅)
소요 기간(개월) 소형
중형
대형
• 연계대상 업무시스템 등 정보 자산 에 대한 위험도 및 중요도 평가를 통 한 신뢰수준 분류 • 신뢰수준에 따른 인증 수단 정의 (ID/PWD, 공인인증서, OTP 등)
1
1.5
2
[2단계] 기관게이트웨이 구 축
• 기관게이트웨이 서버모듈 구축 • 기관별, 연계 업무시스템별 계정 및 권한관리 체계를 고려한 DB구조 설계 • UI Design등 커스터마이징
2
2
2
[2단계] 업무시스템 연계
• 연계대상 업무시스템의 기존 프로세 스를 고려한 계정, 권한, 접근제어 연 계 계획 수립 • 업무시스템 연계작업 수행
2
4
6
3
5.5
8
합계
비고
정보자산관리자의 협조 필요
업무시스템 유지 보수업체의 작업지원 필요
[참고] 주요 기능 구분
계정관리 서비스
권한관리 서비스
통합인증
업무인증제어
도입 목적
주요 세부 기능
업무시스템의 사용자 계정의 효율적 관리를 위해, 계정관리 프로세스를 일원화하여 일관된 사용자 계 정 관리 기능을 제공
• 셀프서비스: 계정 관리자 업무 부담 감소를 위하여 개인정보 조회·변경·신청을 사용자가 직접 수행하는 기능 제공. • 계정정보 동기화: 계정신청 승인완료 후 각 대상 업무 시스템에 ID, 이름, 부서 등의 계정정보를 자동 으로 연계. • 관리기능: 사용자 정보 및 업무시스템의 계정 관리
업무자원 이용 권한 관리의 일원화, 자동화를 위한 체계 및 기능을 제공하여, 전자정부서비스 권한관리 호환성 확보와 사용자 편의성 제공.
• 업무자원 및 역할관리: 업무자원(메뉴 또는 서비스 화면) 및 사용자, 시스템 유형에 따른 역할 관리. • 권한신청: 관리자에게 업무 자원에 대한 사용 승인 을 요청. • 권한위임: 사용자가 다른 사용자에게 역할을 위임 하여 일정기간동안 역할을 대신 수행할 수 있는 기 능.
통합인증게이트웨이를 통해 한 번의 로그인으로 권 한 있는 자원(업무시스템, DBMS, 시스템 등)에 재 로그인 없이 접근하는 기능을 제공하여 업무 효율성 및 사용자 편의성 증대.
• 인증정보관리: 사용자 인증을 위한 인증수단(PKI, OTP) 등록 및 계정 잠금/해제 기능 제공. • 통합인증: ID/PWD, PKI, OTP 등 다양한 인증수 단 연계하여 통합인증 서비스를 제공. • 신뢰수준 연계를 통한 레벨인증처리(신뢰수준과 연계하여 상위레벨에 해당하는 연계 시스템에 접근 시 재인증 요구) 기능.
인가 받은 업무시스템만이 해당 DB에 로그인이 가 능하도록 제어하고, 사용자의 SQL 작업에 대한 로 그를 기록하여 감사 자료 활용.
• DBMS 인증제어: 통합인증게이트웨이를 통해 업 무 DB 계정의 중앙관리 기능을 제공하여, 인가 받은 업무시스템만이 해당 DB에 로그인 가능하도록 제어 하며 해당 로그를 기록.
[참고] 주요 기능(계속) 구분
도입 목적
주요 세부 기능
DBMS 접근제어
DB 자원에 대한 접근 권한을 관리 및 제어하고 로그 를 기록하여 데이터 자원을 보호.
• DB 자원관리: 접근제어를 설정하고자하는 DB의 대상 테이블 및 SQL 구문에 대한 관리. • DB 접근권한 정책 관리: DB에 접근하고자 하는 사용자 계정 및 접근권한을 관리
시스템 접근제어
업무시스템 접근에 대한 체계적 관리를 통하여 사용 자 권한에 적합한 시스템 접근 및 명령어를 수행하 도록 제어함으로써 내부정보 유출방지 및 보안성 강 화.
• 시스템 자원 관리: 접근제어 하고자 하는 시스템 및 시스템 자원 관리. • 사용자 접근제어: 통합인증 정보와 연계하여 사용 자의 접근 제어.
신뢰수준 관리
업무 시스템 취급정보에 따른 위험분석 기반 신뢰수 준 정의와 신뢰수준에 따른 인증수단 차별화를 통한 보안성 강화.
• 위험도평가 및 신뢰수준 관리: 위험도 및 취약성에 따른 위험 영향도 평가와 평가결과를 통한 신뢰수준 과 인증수단 결정.
통합 관리
통합인증게이트웨이 관련 업무의 일원화된 창구를 제공하여 시스템 사용의 편리성 제공.
• 통합로그인: 정의된 인증수단을 사용하는 로그인 화면 제공 및 패스워드 초기화 기능. • 통합관리 메뉴: 계정, 권한, 인증, 연계시스템 등의 관리기능 메뉴. • 모니터링 및 감사로그: 통합인증게이트웨이 시스 템 구성요소 상태의 모니터링과 감사 유형 등록 및 내역 조회, 통보 기능.
조직정보 동기화
기준이 되는 조직정보와 해당 기관의 조직정보 동기 화.
• 조직정보 동기화: 행정안전부 조직정보와 기관의 조직정보를 동기화 및 동기화 처리에 대한 감사로그 기록.
[참고] H/W 구성도 도입 기관에 통합인증GW서버, 통합계정정보서버[LDAP], 인증로그관리서버 등으로 구성됨. 구성 특장점 1 4
서버 이중화 구성을 통한 성능 및 서비스 가용성 확보
2 WORM(Write Once Read Many)스토리지 를 통해 로그의 무결성 보장
3 1
2
3 대상 업무의 System ,DB의 경우 Proxy를 통한 접근제어 기능 수행
4 Application의 경우 해당 Application에 권한관리 API를 설치 하여 접근제어 기능수행
[참고] S/W 구성도 도입 기관에 통합인증GW서버, 통합계정정보서버[LDAP], 인증로그관리서버 등으로 구성됨.
기관게이트웨이 S/W 구성
[참고] 센터게이트웨이 개념 2010년도 행정안전부 차세대 통합인증체계 확산사업을 통해 구축될 센터게이트웨이를 통해 모든 공공기관의 기관게이트웨이는 연계됨. 연계 구성 1 각 기관내의 업무시스템에 존재하는 타 기관 이용자의 계정 삭제
2 타기관의 업무시스템 이용 신청시 각 기관게이트웨이를 거쳐 센터게이트웨이를 통해 이용신청을 하게 됨
3 업무시스템의 관리자는 기관게이트웨이를 거쳐 센터게이트웨이를 통해 이용신청에 대한 승인 처리함
4 이용 신청에 대해 승인이 이루어진 후, 이용자는 기관게이트웨이를 통해 직접 타기관의 업무시스템에 별도의 인증(로그인)절차 없이도 접속이용이 가능