EMS(Enterprise Security Management)

기업의 통합 보안 관리, ESM

정의	조직의 다종, 다수의 보안장비를 통합하여 일관된 방식으로 운영, 관리하는 중앙 집중적 보안 통제 시스템(보안관제 서비스) 전사적 측면에서 일관된 보안정책을 기반으로 보안관리 프로세스의 효율성과 보안성을 향상시키기 위한 보안관제, 운영 및 관리를 지원하는 통합보안관리 체계
구조	ESM Agent : 관리대상시스템에 탑재, 로그 및 이벤트 정보 수집 ESM Manager : 중앙통제 모듈, 경보 및 보안정책 적용, 데이터 취합, 저장, 분석 ESM Console : Manage 와 Agent 제어, 암호화 및 비암호화 통신, 모니터링, 분석, 경보, 보고서 생성
구성요소	Agent : 보안장비, 시스템장비, 네트워크 장비등에 탑재 사용, 사전에 정의된 규칙에 의한 이벤트 수집,보안정책 반영, 수집된 이벤트 데이터를 Manager로 전달 및 통제 받음 Manager : 사전에 정의된 규칙에 의한 이벤트 데이터 분석 및 저장, 정책에 대한 분석, 저장 및 관리자 Console로 리포팅 Console : Manager에 의해 전달된 자료의 시각적 정보 전달, 판단, Manager에 대해 규칙을 설정하도록 통제
주요기능	정보수집 모듈 : Firewall, IDS, VPN, NW장비 로그 및 이벤트 정보를 수집 정보 분석 : 경보발령을 위한 분석, 수집 정보별 분석, 블랙리스트 관리, 상관분석, 자산관리, 작업 이력관리, 임계치 조정 경보 모듈 : 경보기준 설정, 수준별 조건 설정, 실시간 경보(SMS, 방송)
활용방안	Integration : 하나의 장비에 여러 기능을 추가하여 제공, 효과적 연동 Interoperation : 장비들 간 표준 인터페이스로 통신 Broker : 중앙의 Broker를 이용하여 통신, 이 기종간 통합 가능
ESM 주요기능	통합정책관리 : 이벤트/데이터 수집 분석에 의한 보안취약점 및 그에 대응조치를 통합관리, 단위보안시스템에 대한 보안 정책 반영 보안관련 표준안 관리 : ISO 17799, ISO 27001, CC, OWASP에서 제시한 보안 관련 표준안 등의 관리 PMI : 사용자별 권한 인증 체계 관리 장비관리 : 네트워크 및 보안장비 등에 탑재되어 이벤트 수집 및 보안 정책 반영 Router, Switch, NMS, IDS/IPS, VPN 관제대상 및 공통정보 관리 : 관제대상 고객/시스템 상세 정보 관리, ESM 사용자 정보 등록 및 관리 침해사고 예방/대응 : 이벤트별, 유형별, 기간별, 수준별 각종통계, 시뮬레이션에 대한 통계 및 분석 위험유형 분류 : 보안 제품별 탐지 패턴 분석, 위험취약점에 대한 분류방법, 시스템에 의한 위험도의 설정 기준 정립 정규화/규칙기반 이벤트 수집 : Normalization / Rule based Event Collection 관리대상 시스템 평가기준의 표준화 및 규칙기반 이벤트 수집기술 Anomaly Detection 기법 : 통계적 기법, Rule based Expert System, 학습을 통한 분석, Data Mining 대응(Reaction) 방안 : 수동적 대응(sound, pop-up, mail 등), 능동적 대응(termination, shutdown등) 로그 Monitoring : 보안을 위한 사용자의 자원 사용에 대한 로그 정보를 수집 및 감시

 

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥