340 likes | 950 Views
2010 년 기상정보통신망 고도화 사업 계획. 2010. 7. 15. 정보통신기술과 기상산업정보화국. 목 차. 배경 및 목적 현재 네트워크 구성 (사용자 관점) 향후 네트워크 구성 방안 (사용자 관점) 현재 망 (AS-IS) 분석 ( 전체 통신망 관점 ) 고도화 (TO-BE) 방안 ( 전체 통신망 관점 ) 기대효과. 배경 및 목적. 1. 배경 및 목적. 국가 공공기관 업무수행의 정보시스템에 대한 의존도 심화 컴퓨터 해킹 , 웜 바이러스 등 사이버공격 시 국익에 막대한 지장 초래 가능
E N D
2010년 기상정보통신망 고도화 사업 계획 2010. 7. 15. 정보통신기술과 기상산업정보화국
목 차 • 배경 및 목적 • 현재 네트워크 구성 (사용자 관점) • 향후 네트워크 구성 방안 (사용자 관점) • 현재 망(AS-IS) 분석 (전체 통신망 관점) • 고도화(TO-BE)방안 (전체 통신망 관점) • 기대효과
배경 및 목적 1. 배경 및 목적 • 국가 공공기관 업무수행의 정보시스템에 대한 의존도 심화 • 컴퓨터 해킹, 웜 바이러스 등 사이버공격 시 국익에 막대한 지장 초래 가능 • 점차 지능화되고있는 웜 바이러스 등 각종 악성프로그램 차단 • 국가정보 유출사고 등을 원천적으로 차단 • 업무전산망과 인터넷망 물리적 분리로 보안목표 달성
현재의 업무 네트워크 구성도 2. 현재 네트워크 구성(사용자 관점) • 현재의 일반적인 네트워크 현황 • 인터넷영역과 업무영역을 방화벽을 이용하여 분리하는 방식 • 공격자에 의해 특정 내부사용자 컴퓨터가 장악되면 업무영역은 무방비로 외부 인터넷에 노출(해킹 등 보안사고 위험성 상존) • 예상되는 위협 • 내부 업무정보가 인터넷에 연결된 PC 등 정보시스템에 저장 관리되기 때문에 인터넷으로부터의 침입이 발생하면 정보유출이 가능 인터넷 DMZ 라우터 웹서버 웹서버 방화벽 스위치 웹서버 내부망 백본스위치 스위치 스위치 업무/인터넷 PC 업무/인터넷 PC ……… 업무용 서버 업무용 서버 업무용 서버 사용자1 사용자 N
물리적 네트워크 분리 방안 구성도(2대의 PC 이용) 3. 향후 네트워크 구성 방안 (사용자 관점) 인터넷 인터넷 DMZ 라우터 라우터 웹서버 웹서버 방화벽 방화벽 스위치 인터넷 차단 웹서버 업무망 인터넷망 백본스위치 백본스위치 스위치 스위치 스위치 스위치 업무 전용PC 인터넷 전용PC 업무용 서버 업무용 서버 업무용 서버 사용자
네트워크 분리 고려사항 3. 향후 네트워크 구성 방안 (사용자 관점) • 인터넷으로부터 업무망에 대한 사이버공격 및 정보유출 차단 • 업무관련 중요정보 접근 차단 • 업무관련 중요정보의 안정성 향상 • 가장 안전하고 효과적인 네트워크 분리방안
보안 위협 요소 3. 향후 네트워크 구성 방안 (사용자 관점) • 업무용 PC와 인터넷용 PC 간 자료 이동과정에서 보안 위협 요소 발생 가능 • 사용자의 부주의 및 악의적인 의도로 인해 업무전산망의 PC가 인터넷망에 연결되어 사용될 수 있음 • 보조기억매체를 이용해 자료를 이동할 경우, 분실 및 부적절한 사용으로 인해 내부 중요정보가 외부로 유출 될 수 있음 • 인터넷의 신뢰할 수 없는 데이터가 보조기억매체를 통해 업무전산망에 유입되어 웜바이러스 등에 감염될 수 있음
보안 위협 보완 방안 3. 향후 네트워크 구성 방안 (사용자 관점) • 보조기억매체 물리적 이동 통제 • 업무용 PC의 보조기억매체 사용 통제 • 업무용 PC의 인터넷망 연결 방지 • 백신프로그램 설치 및 전용 업그레이드 서버 운용 • 패치관리서버 운용
기상정보통신망 계층구조 • 본청 ↔ 5개 지방기상청 간 2.5Gbps급 MSPP를 이용한 이더넷 전용회선과 ATM 백업회선 구성 • 지방기상청 ↔ 기상대/관측소 간 이더넷 전용회선, FR-to-ATM 백업회선 구성 • 기상정보통신망 고도화를 위한 대용량의 통신회선을 확보하고 망분리 사업 연계 및 백업체계 개선 필요 4. 현재 망(AS-IS) 분석(전체 통신망 관점) 본청 지방청 기상대급/센터 기상청 전용망 기상청 전용망 30~45M 100M*N 100M*5 5~10M 512K~2M 관측소 1~5M FR-to ATM ATM 45~155M 45~155M 155M*2 256K~512K
본청 지방관서 구성 현황 • 주회선/백업회선 구성 : 이더넷 전용회선(2M ~ 45M) 주회선, ATM 회선(512K~30M) 백업회선 구성 • 트래픽 이용 형태 : 인터넷+업무 트래픽을 동일 회선으로 처리하여 트래픽 분리 미흡 본청 본청 물리적구성도 물리적구성도 논리적구성도 논리적구성도 지방관서 지방관서 4. 현재 망(AS-IS) 분석 (전체 통신망 관점) GSR12416 GSR12416 100M*5 155M*2 Standby Active 2.5G 기상청 전용망 기상청 전용망 ATM ATM 2.5G 30~45M 30~45M 주통신 백업통신 GSR12016 BLN라우터 • 2.5G 기상청 전용 MSPP망을 이용한 전용회선을 주회선으로 구성 • 백업회선으로 ATM회선 구성 • 지방청 라우터는 이더넷전용회선을 주 경로(Active)로 지정 • 주 경로 장애시 라우팅을 통해 참조하여 백업경로(Standby)로 전환
업무전산망 / 인터넷망 회선 물리적 분리 구성 • 망분리 방식 : MSPP 포트분리 방식을 적용하여 국정원 권고방식인 Layer 1 계위에서 경로를 물리적으로 분리하여 구성 • 주/백업 회선을 경로가 다른 이더넷 전용회선으로 구성하여 무중단 통신 회선으로 운영 Internet 5. 고도화(TO-BE) 방안 (전체 통신망 관점) 본청 지방청 기상대 업무용PC 업무용PC 업무용PC 업무서버 팜 업 무 용 백본 S/W 기상청 전용망#1 기상청 전용망#1 백본 S/W 백본 S/W 라우터 인 터 넷 용 인터넷용PC 백본 S/W 백본 S/W 백본 S/W 기상청 전용망#2 기상청 전용망#2 인터넷서버 F/W 인터넷용PC 인터넷용PC
업무전산망 구성방안(본청 지방관서) • 구성 방안 : 전용망#1을 주회선, 전용망#2를 백업회선으로 구성하여 무중단 통신망 구현 • 운영 방안 : 라우팅을 이용 주회선 장애시 백업회선으로 자동 복구 본청 본청 물리적구성도 물리적구성도 논리적구성도 논리적구성도 지방관서 지방관서 5. 고도화(TO-BE) 방안 (전체 통신망 관점) 주회선 백업회선 GSR12416 GSR12416 FE*5 GE*5 FE*5 GE*5 Standby Active 10G 10G 기상청 전용망#1 기상청 전용망#2 기상청 전용망#2 기상청 전용망#1 10G 10G FE GE GE FE C7604 GSR12016 • 전용망#1을 이용하여 주회선 구성 : Giga Interface • 전용망#2 를 이용하여 백업회선 구성 : FE Interface • 지방청 라우터는 전용망#1을 이용한 회선을 주 경로(Active)로 지정 • 주 경로 장애시 라우팅을 이용하여 백업경로(Standby)로 전환
인터넷망 구성방안(본청 지방관서) • 구성 방안 : 전용망#2를 주회선, 전용망#1을 백업회선으로 구성하여 무중단 통신망 구현 • 운영 방안 : 라우팅을 이용 주회선 장애시 백업회선으로 자동 복구 본청 Standby Active 논리적구성도 논리적구성도 물리적구성도 물리적구성도 지방관서 5. 고도화(TO-BE) 방안 (전체 통신망 관점) 주회선 본청 백업회선 C7604 C7604 GE*5 FE*5 FE*5 GE*5 10G 10G 기상청 전용망#1 기상청 전용망#2 기상청 전용망#2 기상청 전용망#1 10G 10G FE GE FE GE C7604 C7604 지방관서 • 전용망#2를 이용하여 주회선 구성 : Giga Interface • 전용망#1을 이용하여 백업회선 구성 : FE Interface • 지방청 라우터는 전용망#2를 이용한 회선을 주 경로(Active)로 지정 • 주 경로 장애시 라우팅을 이용하여 백업경로(Standby)로 전환
6. 기대효과 • 내부 중요정보의 훼손 및 유출 방지 • 국가정보통신망 안정성 향상