서비스
스마트넷의 주요 서비스를 소개합니다.
보안관제
진단서비스

개요

  • SmartNet은 진단 서비스를 통해 서비스의 제공과 솔루션의 공급 과정에서 요구되는 네트워크 및 시스템의 운영 상황과 구조의 적절함 여부에 대해 계량적으로 판단할 수 있는 진단 결과를 제공하고 있습니다.
  • 진단 서비스는 서비스 적용에서 솔루션 도입까지 다양한 범위에서 적용될 수 있으며 그 효과는 기업의 IT 인프라 운영 효율성, 도입 경제성을 동시에 만족할 수 있게 합니다.
  • 네트워크 구성 장비에서 성능 향상 솔루션까지 인프라 구성에서 보안 솔루션 구축까지 다양한 구축 사업을 수행 합니다. 서비스 제공 과정에서 얻어진 노하우를 통해 고객사 상황에 맞는 최적의 솔루션의 권고와 신규 기술에 대한 테스트(BMT) 지원 등을 통해 중복 투자의 방지와 도입 솔루션의 활용 극대화가 가능하도록 구축 업무를 수행합니다.

진단 서비스

    네트워크 취약점 진단
  • 네트워크 구성 상의 병목 구간이나 장애 발생 가능 구간을 파악함으로써 성능 향상과 장애 요소의 사전 제거를 목적 으로 합니다. 회선의 상태나 트래픽 운영 상황을 파악함으로써 회선의 증설이나 내부 네트워크의 운영 정책에 대한 권고사항을 제시함으로써 경제성과 효율성을 확보하도록 합니다.
    서버 취약점 진단 서비스
  • 침해사고가 지속적으로 증가하고 있는 상화에서 내부 시스템 및 정보의 보호를 위해 다각적인 보안 운영 상태의 점검이 필요합니다. 보안시스템은 도입 그 자체도 중요하지만 지속적인 관리를 통해 시스템 상태를 최적으로 유지하는 것이 더욱 중요합니다.
    웹 취약점 진단 서비스
  • 대외서비스인 홈페이지를 대상으로 취약점 진단 수행을 하게 되며, 주요 진단 항목은 OWASP(Open Web Application Security Project)에서 지정한 10대 웹 어플리케이션 취약점과 국정원 8대 취약점 위주로 진단이 수행됩니다.
웹 취약점 진단 서비스 표
No. OWASP TOP 10항목 취약점 점검 항목 설명
1 Cross Site Script Cross Site Script 취약점 · 스크립트 삽입 공격을 통한 정보유출 시도
2 인젝션 취약점 SQL injection 취약점 · injection 취약점을 통해 권한획득 및 DB 접근
3 악성파일 실행 파일 업로드 취약점 · 악성 백도어 파일 업로드 후 시스템 권한 획득
4 불안전한 직접객체 참조 인증우회 취약점 · 인증절차를 우회하여 주요정보 접근 시도
다운로드 취약점 · 다운로드 파라미터를 통한 시스템 정보 다운
5 XSS 요청 변조 (CSRF) Cross Site Script 취약점 · 스크립트 삽입공격을 통한 정보유출 시도
6 정보유출 및 오류처리 미흡 불필요 페이지 노출 · default, test 등 불필요 페이지로부터 정보 수립
부적절한 오류처리 · 에러처리 미흡으로 주요정보 노출 확인
중요정보 노출 · 개인정보 등의 주요정보 노출 확인
7 취약한 인증 및 세션관리 세션관리 취약점 · 미흡한 세션처리로 인한 세션획득 시도
Cookie 변조 취약점 · 쿠키정보 노출 및 조작을 통한 권한상승
8 불안전한 암호화 저장 Hidden Field 변조 · 히든필드 변조를 통한 조작된 결과값 출력
중요정보 암호화 미비 · 평문으로 전송되는 주요정보 확인
9 불안전한 통신 Client Request Method · 주요정보 페이지 GET 메소드 전송 여부 확인
10 URL 접속제한 실패 관리자 인터페이스 관리 · 관리자 페이지에 접근하여 권한 획득 시도
특수문자처리 (Null Byte) · 특수문자 처리 미흡으로 디렉터리 정보 노출
  • 수행 방법은 아래와 같은 방법으로 진행이 됩니다.
수행 방법 표
항목 수행방법
정보수집 및 요구사항 분석 1. 사전 시스템 정보수집 시스템 정보 목록작성
각 시스템의 Hardware/ Software 상세정보
시스템에서 제공하는 서비스 이해
기타 시스템 관련정보 (네트워크 구성 등)
2.스캔 대상 웹사이트 분석 사이트를 분석하여 구현사항 이해
3.요구분석 취약점 점검대상 및 목적 등에 대한 분석
각 시스템의 업무 및 용도에 따라 선정
계획 수립 및 정책 최적화 1. 스캐닝 대상 선정 수집된 정보를 기본으로 스캔 대상 선정
스캔 대상에 대한 분석 방법 선정
2. 스캐닝 최적화 분석된 대상에 맞는 스캐닝 정책 수립
관리자와 협의된 정책수립 (시스템 및 네트워크 부하가 적은 시간대/요일)
3. 시스템 백업 방안 수립 DB혹은 파일 시스템 같은 데이터 백업 필요시, 대상 선정 및 백업방안 수립
취약점 점검 1. 웹 어플리케이션 취약점 스캐닝 사전에 수립된 절차/ 일정에 따라 취약성 점검 수행
보안점검 결과분석 1. 보고서 진단결과 확인
2. 수작업 진단결과와 비교하여 오탐 여부 확인
3. 스캐너로 수집된 정보와 취합하여 최종 결과 보고서 작성