전산업무를 하지만 DB쪽은 거의 모르는 회원입니다.
DB보안 적용문제로 고수님들의 조언을 구하고자 합니다.
1. 솔루션 선정
: DB 암호화, DB 접근제어, 그리고 둘다 된다는 하이브리드형 제품이 시장에 있는듯 한데
어떤 방식이 더 보편적인 방식인지 또는 도입 순서가 있는지, 또는 방식에 따라서 가격차이가 많이나는지 궁금
2. 업체 선정
: 2~3개 제품이 추려지면 제안이라던지 간단한 BMT를 진행해 보고 싶은데 개발사에 요청하면 응해줄런지(저희 규모가 크지 않기에) 아니면 개발사는 아니지만 DB보안을 전문적으로 수행한다는 업체쪽으로 요청하는게 나을런지
3. 비교견적
: 증빙자료를 위한 비교견적을 충분하게 받으려면 어떻게 하는 게 좋을런지
4. 친한 업체를 활용? SI?
: 저희쪽에 PC와 서버를 납품하고 계시는 사장님께서 직접 업체섭외나 과정을 도와주신다고 하는데
(신용은 있지만 보안쪽은 잘 모르시는 분) 이런식으로 맡기는건 어떨지 큰회사들은 SI 회사들에게 위임한다고 알고 있는데 저희 같은 중소기업의 DB 보안도 SI회사에 맡길 수 있는지
궁금한 내용을 적다보니 너무 구구절절하고 두서도 없네요
부분적으로라도 팁이나 조언을 주시면 감사드리겠습니다
2015-09-02(수) 11:29:19에 작성 되었습니다. 2015-09-17(목) 14:15:30에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
9개의 답변이 있습니다.
저도 암호화와 접근제어를 둘다 된다는 형태보다는 별도로 가시는게 좋을듯합니다.
접근제어 / 암호화 어떤 정책으로 운영하는지가 가장 중요합니다.
도입전 DB보안 정책서를 만들어 보심이 더 좋을듯합니다.
https://www.dqc.or.kr/guideline/6-0-0.html
guest | 8년 이상 전
링크 보고싶은데 보안경고 뜨네요 ㅜ
guest | 8년 이상 전
잘나오는데요~
항상 혼자 고민하고 결정했는데 이렇게 많은 분들이 조언 주시니 감사할 따름입니다 ^.^
많은 분들께 도움 되면 하여서 추가로 적겠습니다.
보안업계의 생태계를 이해하면 업체 선정에 매우 도움이 됩니다.
보안개발사는 영업팀을 내부에 가지고 있지만, 실제 구축을 직접 하는 경우는 극히 드뭅니다.
이 구축은 대부분 채널사들이 하죠. 채널사들은 라이센스 비용을 보안 솔루션 제조사에 주고요
영업력이 없거나 영업팀이 없는 소규모 채널사들도 꽤 존재합니다.
이런 경우 솔루션 제조사의 영업팀이 넘겨주기도 하겠죠
이 채널사들이 영세한 업체가 많다보니, 엔지니어들도 자주 바뀌고 업체도 사라지는 경우가 많습니다.
안그래도 잘 사라지는 IT 회사의 특성 보다 더 잘사라집니다.
그러면 문제 발생시 조치가 매우 힘들 수 있어요
제가 올해 초에 튜닝을 했던 T 쇼핑몰의 경우 암호화 솔루션의 유지보수 계약을 책정하지 않아,
지원을 받을 수 없었던..( 게다가 어떠한 철학으로 암호화를 구축했는지 이해 조차 할 수 없었던...) 상황에
엔지니어는 퇴사를 하고 다른 엔지니어는 그 상황을 이해못하고,
그러다 다른 채널사에 도움을 받게 되는데 왜 이렇게 했는지 서로 모르는 경우가 있었죠
이런 경험을 꽤 하다보니, 제 경험상은 채널사 또는 총판사중 규모가 있거나 업력이 있거나 하는 곳을 신뢰할 수 밖에 없게 되더군요
솔루션 보다 더 중요한건 구축하는 회사와 엔지니어의 역량에 더 중점을 두셔야 할 것 같아요
guest | 8년 이상 전
작성자 입니다 전 구축은 개발사에서 하고 영업을 채널사에서 하는 줄 알았더니 정 반대군요 구축하는 업체의 역량을 잘 봐야 겠네요 감사드립니다^^
디비로 밥먹고다니는 일을하는지라 여러 업체를 만나는데요
솔루션은 다 거기가 거기이고 지원하는 엔지니어의 역량이더군요
같이 일했던 업체 한곳은 소개가능합니다
guest | 8년 이상 전
bytes님 그래도 하나 추천해주세요(접근제어로) 저는 bytes님 의견이 궁금합니다 ^^
양성환 | 8년 이상 전
쪽지드릴게요^^
guest | 8년 이상 전
쪽지 잘받았습니다 생각도 못했던 제품인데 꼼꼼하게 확인해 보겠습니다 ^^
DB 접근제어 쪽에서 아주 머같은 회사 하나있는데 알려드리고 싶네요 ㅋ
양성환 | 8년 이상 전
저두알려주세요
암호화가 강제화 된 상황이 아니라면 접근제어에 저도 한표요 암호화는 속도저하 이슈도 있다고 하고 시간과 비용이....
거의 대부분 제품이 암호화/접근제어가 다 되지 않나요..?
문제는 충분히 지원하지 않는다는 것이겠죠.
예를 들면 워드 프로세서에도 스프레드 쉬트 기능이 있고, Database 기능도 일부 있죠.
스프레드 쉬트도 마찬가지로 워드 기능이 일부 있고, Database 기능도 일부 있죠.
Database도 마찬가지로 스프레드 쉬트 기능과 워드 기능이 일부 있고...
문제는 주력 기능외에 부수적인 기능은 충분하지 않다는 것이죠.
예전엔 Excel을 워드프로세서 처럼 문서 작업하는 사람들 많았던거 같은데...
사실... Excel로 문서 작업하려면 엄청 불편하죠~ㅎ
제대로 도입하려면 암호화 제품, 접근 제어 제품을 따로 구비하는 것이 맞을 것이고,
대충 형식만 갖추려면 암호화에 접근제어 기능을 지원하는 형식으로 구매하면 되지 않을까 싶네요~
걍 KCC같은 SI에게 맡기셔도 되요 중견 SI들은 작은 사업도 합니다 ^^ 물론 잘 아시고 시간도 충분하시면 직접하셔도 되지요
접근제어가 아무래도 시스템에 적용하시기는 쉽고 빠를것 같습니다. 그리고 암호화/접근제어 둘다 된다는 형태는 마케팅적 용어가 아닐까 합니다. 다 된다는 제품치고 좋은 제품은 잘 못봤네요
양성환 | 8년 이상 전
하이브리드는 언제나 뭔가 빠진느낌이죠