현재 위치: WiKi Security Spirit » Business Certifications » A정유사 공정제어시스템 컨설팅사례

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
마지막 판양쪽 다음 판
wiki_security_corp:a정유사_공정제어시스템_보안컨설팅_사례 [2014/08/26 06:42] wiki1122wiki_security_corp:a정유사_공정제어시스템_보안컨설팅_사례 [2015/04/13 02:28] wiki1122
줄 1: 줄 1:
 {{keywords>정보보안컨설팅,사례,SCADA보안,공정제어보안,보안취약점,취약점진단,모의해킹,NISTSP800-82}} {{keywords>정보보안컨설팅,사례,SCADA보안,공정제어보안,보안취약점,취약점진단,모의해킹,NISTSP800-82}}
 +
 +* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) [[info@wikisecurity.net]] 
  
 ===== A정유사 공정제어시스템 컨설팅사례 ===== ===== A정유사 공정제어시스템 컨설팅사례 =====
줄 7: 줄 9:
  
 ==== [ 프로젝트 배경 및 주제 ]==== ==== [ 프로젝트 배경 및 주제 ]====
-고객사는 석유산업 분야의 대표적인 기업으로써 지방에 대형 정유공장을 보유하고 있어서 공정제어시스템에 대한 보안성을 확보하기 위하여 국제수준의 객관적 관련표준을 바탕으로 정보보호 현황을 파악하여 개선방안을 도출하고 단계적 개선전략을 수립해야할 필요성이 대두되어 이에 대한 컨설팅을 의뢰하였다.\\ 공정제어시스템은 일반기업의 정보시스템과 상이한 구성요소들이 있기 때문에 국제적수준의 표준화된 기준을 적용하게 되었으며,  미국 상무부(Dept. of Commerce) 산하 기관인 국가표준기술연구소인 NIST SP800-82에서 정의하고 있는 표준권고사항들을 테일러링하여 20여 도메인의 정보보안 항목을 적용하였다.+고객사는 석유산업 분야의 대표적인 기업으로서 지방에 보유한 대형 정유공장의 공정제어시스템에 대한 보안성을 확보하기 위하여 국제수준의 객관적 관련표준을 바탕으로 정보보호 현황을 파악하여 개선방안을 도출하고 단계적 개선전략을 수립해야할 필요성이 대두되어 이에 대한 컨설팅을 의뢰하였다.\\ 공정제어시스템은 일반기업의 정보시스템과 상이한 구성요소들이 있기 때문에 국제적 수준의 표준화된 기준을 적용하게 되었으며,  미국 상무부(Dept. of Commerce) 산하 기관인 국가표준기술연구소인 NIST SP800-82에서 정의하고 있는 표준권고사항들을 테일러링하여 20여 도메인의 정보보안 항목을 적용하였다.
  
 ==== [ 프로젝트 기간 ]==== ==== [ 프로젝트 기간 ]====
줄 14: 줄 16:
 ==== [ IT 및 정보보안 환경 ]==== ==== [ IT 및 정보보안 환경 ]====
   * 비즈니스 및 IT 환경    * 비즈니스 및 IT 환경 
-고객사의 주요 사업영역은 석유 정제와 석유화학 생산으로, 휘발류, 경유, 등유, 중유, 윤활유, 방향족제품, PP 등의 제품을 생산하는 대표기업이다.\\ 고객사의 정유공정을 위한 공정제어 시스템은 DCS, PLC, 공정SCADA, VMS 등과 같은 시스템으로 구성되어 있으며 네트워크, 서버, 보안시스템 등의 IT인프라를 갖추고 있다.+고객사의 주요 사업영역은 석유 정제와 석유화학 생산으로, 휘발류, 경유, 등유, 중유, 윤활유, 방향족 제품, PP 등의 제품을 생산하는 대표기업이다.\\ 고객사의 정유공정을 위한 공정제어 시스템은 DCS, PLC, 공정SCADA, VMS 등과 같은 시스템으로 구성되어 있으며 네트워크, 서버, 보안시스템 등의 IT인프라를 갖추고 있다.
   * 정보보호 환경    * 정보보호 환경 
-미국, 이란 등의 SCADA 해킹에 대한 이슈로 인하여 정보보안 업무를 전담하는 조직체계를 갖추고 있으며, 본사와 공장간의 정보보안에 대한 이슈와 개선방안을 공유하기 위한 원활한 커뮤니케이션을 위한 노력하고 있었으나 내부 조직이라는 점과 전문성에는 한계가 있었다.+미국, 이란 등의 SCADA 해킹에 대한 이슈로 인하여 정보보안 업무를 전담하는 조직체계를 갖추고 있으며, 본사와 공장간의 정보보안에 대한 이슈와 개선방안을 공유하기 위한 원활한 커뮤니케이션을 위해 노력하고 있었으나 내부 조직이라는 점과 전문성에는 한계가 있었다.
  
 ==== [ 주요 Activity와 산출물 ]==== ==== [ 주요 Activity와 산출물 ]====
줄 34: 줄 36:
   * 정보보안 개선방안에 대한 재원확보, 역할과 책임 공유 및 협조체계 확보   * 정보보안 개선방안에 대한 재원확보, 역할과 책임 공유 및 협조체계 확보
   * 최종 협의된 정보보안 이행계획에 대한 지원체계의 확보와 지속적 모니터링과 추적관리   * 최종 협의된 정보보안 이행계획에 대한 지원체계의 확보와 지속적 모니터링과 추적관리
- 

추적: