3. HP의 인프라스트럭처 보안
상태바
3. HP의 인프라스트럭처 보안
  • 데이터넷
  • 승인 2007.06.11 00:00
  • 댓글 0
이 기사를 공유합니다

IT 인프라스트럭처와 보안
장애·연속성·재해복구 종합 판단 필요
전사적 IT 서비스 관점에서 보안 고려해야 … ‘IT 무결성 보장’이 불변의 보안 개념

지금까지 2회에 걸쳐 IT 인프라 정보보호 방안의 필요성, 인프라 보안 프레임워크에 대한 현장 경험, 그리고 국내/외 보안 표준에 기준한 여러 가지 방안 및 절차와 필요성에 대해 살펴봤다. 이번호에서는 HP의 IT 인프라 보안 방안은 어떤 것이고 HP는 어떤 기준에 근거해 종합적인 보안 솔루션을 제시할 것인가에 대해 알아본다. <편집자>

연재순서
1. 정보보호와 사람
2. IT 인프라스트럭처에서의 보안
3. HP의 인프라스트럭처 보안 (이번호)

황완식 // 한국HP 컨설팅부 차장
wan-sik.hwang@hp.com

전사적인 IT 인프라 보안을 위해서는 무엇보다 인프라 내에서 발생하는 장애와 그 장애의 수준 그리고 사업 연속성, 재해복구를 고려하는 단계까지 종합적으로 판단돼야 한다. 그동안 보안 컨설팅을 하면서, 고객이 기대하는 정보보호/보안 수준은 IT 인프라의 관리적인 수준을 결코 벗어날 수 없음을 여러 차례 경험했다. 결국 전사적인 보안 수준은 IT 인프라의 관리적 수준을 벗어날 수 없기 때문에 보안 관련 장애를 중심으로 침해 수준 정의 및 이에 따른 여러 기준, 보안 사고에 대처하기 위한 기본 정보가 되는 조직, 프로세스 등을 제시한다. 먼저 보안사고 관련 정의에 대한 방안에 대해 살핀다.

침해 행위 따른 장애 유형 분류
세계 각국의 많은 기관에서 이미 장애 유형에 관한 연구가 수행되고 있다. 먼저 미국의 NIST에서는 컴퓨터 보안사고 처리 지침(Computer Security Incident Handling Guide)을 통해 DoS, 악성 코드, 비인가 접근, 내·외부 사용자의 컴퓨터 오남용, 다중 보안사고 등 5가지 유형으로 보안사고 장애를 구분하고 있다. 또한 장애 관리에 관한 국제표준 ISO18044 (Information Security Incident Management)에서는 DoS, 불법적 정보 수집, 비인가 접근, 물리적 장애 등 4가지 유형으로 구분한다. ISO18044의 유형은 장애의 예를 보여주기 위한 것으로 완전한 장애 유형을 분류한 것은 아니라고 할 수 있다.
CIO Cyberthreat Response & Reporting Guidelines에서는 DoS, 분산 DoS, 악성 코드, 해킹·침투, 비인가된 전자적 모니터링, 시스템 오용(내부자 또는 외부자), 웹사이트 변경, 기타 등으로 구분한다. 공격의 영향(impact)에 대한 분류로써 데이터 손실, 시스템 중단, 시스템 손상, 재무적 손실, 중요 제품·서비스·정보의 무결성 손상, 타 조직의 시스템 피해 등의 구분법을 적용하고 있는 것이다.
우리나라의 경우에는 한국정보사회진흥원(구 한국전산원)에서 정보 시스템에 대한 장애 유형을 분류하여 발표하고 있으며, ▲발생원인 관점 ▲프로세스 관점 ▲위협요인 관점 등으로 분류하고 있다.
한국정보사회진흥원의 분류를 보다 자세하게 살피면, 먼저 발생원인 관점에서 장애를 자연 장애, 인적 장애, 기술적 장애로 구분하고 있다. 기술적 장애는 시스템 장애와 인프라 장애로 한 번 더 세분화된다. 자연 장애는 지진, 홍수 등 자연의 힘에 의한 장애로써 일반적으로 재해로 구분하고 있으므로 이 글의 주제와는 차이가 있다고 할 수 있다.
인적 장애는 시스템 운영 실수, 단말기 및 디스켓 등의 파괴 및 절취, 해커의 침입, 컴퓨터 바이러스의 피해, 자료 누출 등 인간에 의해 행해지는 장애를 말하며, 기술적 장애는 운영체제 결함, 응용 프로그램의 결함, 통신 프로토콜의 결함, 통신 소프트웨어의 결함, 하드웨어의 손상 등 컴퓨터 시스템의 H/W와 S/W상의 결함에서 발생하는 장애와 정전사고, 단수, 설비장애(항온항습, 공기정화시설, 통신시설, 발전기, 공조기 등), 건물의 손상 등 기반구조에서 발생하는 장애를 포함하고 있다. 전자적 침해, 즉 보안사고를 통해 발생되는 장애는 인적 장애와 기술적 장애라고 할 수 있다.
프로세스 관점에서 보는 장애는 장애(Incident), 문제(Problem), 알려진 오류(Known Error) 등으로 구분된다. 프로세스 관점에서의 ‘장애’는 정보 시스템 운영상에서 발생되는 사건이므로 미약하더라도 정보기술 서비스에 영향을 주게 된다. ‘문제’는 단순한 장애가 원인이 되어 다발적으로 발생되는 사고로써, 장애의 근본원인을 파악할 수 없는 경우에 해당하고, ‘알려진 오류’란 문제에 대한 근본원인이 밝혀져 향후 재해 발생 시 참조 가능한 상태에 있는 오류를 의미한다.
근본원인이 계속 밝혀지지 않은 문제에 대한 잠재적 손실은 시간이 지날수록 지수적으로 증가돼 재난으로 진화되고 위기로 발전될 가능성이 매우 커지게 된다. 장애등급이 높고 허용 시간 내 복구가 불가능해 심각한 결과를 초래할 것으로 예상되는 경우에는 비상 계획에 따라 대응함으로써 단순한 문제가 재해로 전환될 가능성을 최소화시켜야 한다.
IT 인프라의 침해 활동에 관련한 장애 관점 중 ‘장애’, ‘문제’, ‘알려진 오류’ 등의 프로세스 관점에서의 장애 구분은 장애 대응 프로세스 수립과 관련해 의미가 있는 분류라고 판단된다. 정보 시스템 위협요인 관점에서 사람이 원인이 아닌 요인으로 발생하는 장애는 불규칙적인 장애와 규칙적인 장애로 구분되며, 다음과 같이 분류할 수 있다.

■ 불규칙적인 장애
·정보 시스템 발생 : 소프트웨어 자체 결함, 컴퓨터 구성요소 결함, 네트워크 결함, 하드웨어 결함
·자연적 발생 : 지진, 물의 범람(강의 범람, 제방의 범람, 댐의 범람, 홍수), 번개(정전, 화재), 바람(태풍)
·물리적 환경 발생 : 전기(전기합선으로 인한 화재·정전·절전, 예고되지 않은 전기합선, 지역 정전), 자연 발생(화재), 물(스프링쿨러의 오작동, 상수도 파괴, 상수도 동파), 공기(먼지로 인한 오염, 위해 물질)

■ 규칙적인 장애(예상된 사고)
·악성 프로그램 : 해킹 프로그램, 바이러스, 매크로 바이러스, 응용프로그램 오류
·폭발 위험물 : 폭탄, 지뢰 등
·기타 : 통신(전파)방해, 방화(화재), 경보기 고장 등

인적 요인으로 발생하는 장애는 조직 내부인에 의한 장애와 조직 외부인에 의한 장애로 분류할 있으며 다음과 같다.

■ 조직 내부인에 의한 장애
·관리 부분 : 기업관리자, 운영자 등의 문제
·기술적 부분 : 컴퓨터 운영자, 시스템 분석가, 소프트웨어 개발자, 소프트웨어 유지보수자, C/S 기술자, 하드웨어 유지보수자, 네트워크 관리자 등의 장애
·비기술 부분 : 비서실, 인사부, 자금부, 회계부 등의 문제
·정보보호 : 정보보호부서, 정보보호관리자, 보안경비 등의 장애
·업무 담당자 : 법률 업무자, 감사자, 회계 업무자 등의 장애
·환경통제 부문 : 전기기술자, 상수도담당자, 공기정화담당자, 소방담당자 등의 장애
·건물관리 : 청소원, 전기담당자, 상수도담당자, 공기정화담당자, 집기담당자, 보일러 담당자, 건물관리인, 통신담당자 등의 장애

■ 조직 외부인에 의한 장애
·외국정부요원, 산업/협회요원, 해커, 범죄자 혹은 범죄단체, 테러리스트, 언론 매체(기자 등)

IT 인프라에 대한 침해 활동과 관련된 장애 측면에서 위협요인에 의한 분류는 앞에서의 발생원인 관점에서의 분류와 상당 부분 공통되는 부분이 있으며, 규칙적 장애와 불규칙적 장애에 대한 구분이 모호하므로 장애 유형의 구분 기준으로써 적절하지 않다고 판단된다.

장애등급 결정 절차
장애등급 결정 절차에 대해 ITIL에서는, 장애등급은 업무 프로세스를 지원하는 정보 시스템의 장애복구의 우선순위를 의미하며, 이러한 장애등급은 장애의 영향도(Impact)와 긴급도(Urgency)에 따라서 측정된다고 정의한다.
이에 따라 ‘장애복구 우선순위 = 영향도×긴급도 = 잠재적 손실의 영향×해결시간의 중요성’이라는 개념적 관계식이 성립된다. 왜냐하면, 장애발생 시점 이후에 위험의 크기는 장애해결 시간에 비례해서 지수적으로 증가하는 경향이 있기 때문이다. 따라서 영향도는 물론 긴급도 역시 동시에 고려해야 한다.
궁극적으로 장애등급 측정을 보다 엄밀하게 적용시키기 위해서는 업무영향분석(BIA : Business Impact Analysis)과 목표복구시간에 관한 자료들이 분석될 필요가 있다. 여기서 업무영향분석의 목적은 중요한 업무 프로세스를 파악해 장애 때문에 발생하는 잠재적인 손실(혹은 손해)을 파악하는 것이다. 즉, 업무 프로세스는 특정 조직에서의 업무활동의 집합으로써 업무기능과 업무지원기능(정보기술, 인력자원, 사무서비스 등)에 의존돼 있다.
장애등급의 측정절차는 ‘장애 식별 → 영향도 측정 → 긴급도 측정 → 장애복구 우선순위 결정’ 등의 순서로 이뤄지며, 장애등급은 정보 시스템 구성, 업무 프로세스, 조직 시스템의 상황 등에 따라 여러 가지로 측정돼 적용될 수 있다.
먼저 장애 식별에 대해 살피면, 장애는 정보 시스템 운영상 발생하는 사건으로써 미약하더라도 업무프로세스에 영향을 줄 수 있으므로 형태(type)와 서비스(Service)의 두 가지 관점에서 식별해야 한다. 먼저 식별된 장애는 분류체계상 어떤 분류 영역(예로써, 하드웨어와 관련이 있는지, 소프트웨어와 관련이 있는지 혹은 문서와 관련이 있는지 등)에 속하는지 파악해야 한다.
또한, 장애와 관련된 어떤 서비스 영역(정보기술에 대한 요청, 정보 시스템 환경에 대한 구성변경, 혹은 업무 서비스 복구 등)에 속하는지 파악해야 한다. 여기서 정보기술에 대한 요청이란, 정보기술서비스에 대한 일반적인 문의, 비밀번호 변경, 정보 시스템 상태에 대한 질문 등이 포함된다.
구성변경에 대한 요청은 하드웨어, 소프트웨어, 절차 등의 변경을 포함한 업무환경에 대한 어떤 변경을 의미하며, 업무 서비스 복구에 대한 요청은 하드웨어, 소프트웨어, 네트워크, 절차 등의 기능저하, 오류, 고장 때문에 발생한 정보 서비스를 정상상태로 복구하는 것을 말한다. 서비스 데스크에서는 장애발생에 대해 기록할 때 이와 같은 장애 형태 및 서비스 영역을 기록해야 한다. 예를 들면, 작동되지 않는 프린터에 대한 고장수리 요청이 들어왔을 경우, 형태 영역은 ‘하드웨어’, 서비스 영역은 ‘서비스 복구’라고 분류하는 것이다. 서비스 데스크에서 장애 형태와 서비스를 보다 더 정확하게 식별할수록 장애에 대한 해결대책을 보다 더 효과적으로 강구해나갈 수 있다.
장애 영향도란 ‘조직의 중요한 업무 프로세스를 지원하는 정보 시스템의 장애 때문에 발생되는 위험으로 인한 잠재적 손실의 영향’이라고 정의한다. 장애에 대한 잠재적인 영향의 영역은 화폐가치로 측정되는 재무적 영역(매출감소, 영업권 혹은 신용 손실, 이자 증가, 계약 위약금 등)과 화폐가치로 측정할 수 없는 비재무적 영역(기관에 대한 공공의 부정적 이미지, 외부 사용자들의 신뢰감 추락, 내부 종업원들의 사기 저하, 법규위반 등)으로 분류된다.
장애가 업무 프로세스에 미치는 영향을 즉각적으로 평가하기 위해서는 단위 업무 및 이를 지원하는 정보 시스템에 관한 기존 장애 데이터베이스로부터 ▲장애 관련 데이터의 양 ▲영향을 받은 업무 프로세스 및 정보 시스템의 구성부분 ▲영향을 받은 시스템의 수 ▲영향을 받은 사용자들의 수 ▲영향을 받은 사이트의 수 등과 같은 척도들을 분석하게 된다. 이를 통해 특정 장애가 업무 프로세스의 정보 시스템에 미치는 영향을 3점 혹은 4점 등간 척도(interval scale)로 측정할 수 있다.
장애의 긴급도는 ‘정상적인 업무로 복구시키기 위해서 정보 시스템의 장애를 해결해야 하는 시간의 중요성’이다. 긴급도는 조직의 업무 프로세스에 미치는 영향을 최소화하기 위해서 장애를 얼마나 빨리 해결해야 하는지를 나타낸 것이며, 장애 발생 시점에서 주요 업무에 미치는 영향 및 업무 프로세스 상의 중요성에 따라 결정된다.
영향도는 영향을 받은 시스템 및 사용자의 수(즉, 장애관련 데이터의 양)를 분석하지만, 이와 같은 장애가 조직의 업무 프로세스에 어떻게 영향을 미치는지에 대해서는 고려하지 않는다. 하지만, 긴급도는 업무 프로세스에 미치는 부작용을 최소화시키기 위해서 장애를 얼마나 빠르게 해결해야 하는지를 나타내는 시간적인 척도를 나타낸다. 특정 장애가 업무 프로세스의 정보 시스템에 미치는 장애의 긴급도도 앞서 설명한 영향도와 마찬가지로 3점 혹은 4점 등간 척도로 측정된다.

장애복구 우선순위 결정
장애의 우선순위를 결정하는 중요한 두 가지 요소는 장애가 주요 업무 프로세스에 미치는 잠재적 손실의 영향과 장애해결 시간의 중요성이다. 즉, 장애복구의 우선순위는 영향도와 긴급도의 척도에 의해서 결정되는 것이다.
장애의 영향도와 긴급도를 각각 3등급(높음, 중간, 낮음)으로 측정해서 3×3 표로 작성하는 경우, ‘영향도 2, 긴급도 1’과 ‘영향도 1, 긴급도 2’를 동일한 우선순위로 부여한다면, 장애등급을 우선순위 1부터 우선순위 5까지 5등급으로 구분할 수 있게 된다. 이와 같이 정상업무로의 복귀를 위한 장애복구 우선순위는 영향도와 긴급도를 모두 고려하여 결정하는 것이 합리적이다. 장애의 영향도와 긴급도를 각각 4등급(매우 높음, 높음, 중간, 낮음)으로 측정해 4×4 표로 작성하는 경우, 위와 같은 방법으로 장애등급을 우선순위 1부터 우선순위 7까지 7등급으로 구분하고, 우선순위를 부여할 수 있다.
다음 <표>는 장애등급 우선순위를 5등급으로 구분하였을 경우 영향도, 긴급도 및 보고체계에 대한 예를 보여준다.

IT 인프라 업무 연속성 방안
일반적으로 장애관리에서 다루는 내용은 주로 단기간 내에 장애를 처리할 수 있거나 중요 업무가 아닌 사소한 업무에 발생하여 시급한 복구를 필요치 않는 경우다. 그러나 일부 장애의 경우에는 대민, 비즈니스 서비스 등의 중요 업무를 대상으로 발생할 뿐만 아니라, 장시간의 장애로 인하여 금전적인 손해 및 회사의 대외적인 이미지에 치명적인 손상을 줄 수도 있다. 따라서 이런 비상상황은 일반적으로 재난(disaster)으로 분류해 일반적인 장애관리 절차 이외에 업무 연속성 관리(business continuity management)에서 다룬다.

HP IT 인프라 보안
HP의 IT 인프라 보안은 사전에 모든 고객 IT 환경에 대해 이와 같은 기본적인 기준과 조직, IT와 업무 영향에 대한 데이터가 있어야 함을 권고하고 있다. 이는 HP의 보안 솔루션이 타사와 달리 특정 부분, 솔루션에 한정적이지 않다는 것을 의미한다. HP 가 바라보는 보안은 IT 인프라의 관리조직과 정보보호관리체계를 구축하고 그 규모와 범위에 맞는 IT 솔루션들이 융합돼 있어야 한다.
<그림 2>는 HP가 바라보는 IT 인프라 보안 구성에 대한 프레임워크다. <그림 2>에서 확인할 수 있듯 특정 솔루션이나 벤더의 컨설팅 방법론이 아닌, 비즈니스와 IT 인프라의 연계에 있어 보안 부분에 대한 보다 효율적인 연동을 통해 어떻게 하면 비즈니스 효율성을 극대화할 수 있느냐가 HP IT 인프라 보안이 추구하는 방향이다.
실제 국내 보안 시장에 IT 인프라 보안이라고 여겨지는 부분은 ‘트러스티드 인프라스트럭처(Trusted Infrastruc ture)’다. 방화벽, IDS/IPS, UTM, 웹 방화벽 등 대부분의 물리적 보안 솔루션과 장비 등이 여기에 해당되며, HP가 보안 프레임워크에 대해서 모든 솔루션을 보유하고 있지는 않다. 하지만, 여기서 강조하고자 하는 것은 HP의 IT 인프라 보안은 HP가 각 부분에서 보유하고 있는 개별적인 보안 솔루션이 아닌 비즈니스 서비스의 요구에 절대적으로 부합하고, 이를 각기 수용하게 하는 IT 인프라 보안 구성이라는 점이다.
또 다른 관점에서 HP가 바라보는 IT 인프라 보안은 여러 번 강조하지만 비즈니스 관련 IT 서비스에 대한 완벽한 보장이라는 것이다. 예를 들어 어떤 고객이 NAC를 도입한다면 보안 예산이 있고, IT 인프라의 보안에서 사용자 접속 보안이 강화될 것이라는 생각으로 도입할 수 있다.
HP의 IT 인프라 보안 관점에서는 이러한 보안 장비나 솔루션의 도입은 잘못된 것으로 충고한다. 올바른 도입 프로세스는 NAC 도입이 막연히 사용자 접속 관련 IT 인프라 보안을 강화시킬 수 있다는 것이 아니라 조직의 비즈니스 서비스 중 완전하게 보호돼야 할 서비스가 NAC를 도입함으로써 현재 사용자 측면에서 발생하는 서비스 접속 장애와 불용한 네트워크 대역폭 낭비 등이 개선돼 서비스의 질적 접속을 향상시킬 수 있다는 측면에서에서 출발해야 한다는 것이다.
HP의 IT 인프라 보안 관점에서 또 한가지 특징은 IT 자원의 가상화를 수용하는 보안이 돼야 한다는 점이다. HP는 IT 인프라 보안을 비즈니스 서비스를 지원하기 위한 하나의 컴포넌트로 본다. 따라서 물리적 IT 자원 가상화의 대세는 결국 이를 원활히 수용할 수 있는 보안 솔루션 및 구현 방안을 가지고 있어야 한다고 생각한다.
서버, 스토리지, 네트워크, 소프트웨어 등 IT 자원 전 부분에 걸쳐 가상화를 통한 효율성 극대화를 추구하고 있는 시점에 특정 서버, DB 보안 솔루션, 네트워크 보안 장비, 애플리케이션 필터 등의 개별적인 접근은 진정한 IT 인프라 보안 구성이라고 할 수 없다. 네트워크 스위치에서의 NAC 수용, 안티바이러스와 PMS, IDS/IPS 등을 통합한 UTM 등장, 웹 방화벽과 보안 관제 관련 솔루션 등장 등은 전형적인 보안 시장과 솔루션에 대한 기준이 이미 무의미함을 의미한다. 국내 보안 업계에서도 보안 시장과 솔루션의 통합화, 단순화, 모듈화 등에 대한 대비를 하고 있으며, 이는 결국 이전 IT의 내/외부 경계망을 보호하고 특정 애플리케이션에 대한 접근을 통제한다는 단순한 보안의 시대는 이미 지났다는 것을 나타낸다.
마지막으로 보다 깊게 고려해야 할 IT 인프라 보안의 항목은 법규 문제다. 국제적으로 법규/법률은 더욱 강화되는 추세를 보이고 있으며, 우리나라의 경우에서도 국제 기준에 비해 미흡한 부분과 전자상거래의 확산에 따른 개인 정보 유출, 도용 등에 대한 법규/법률이 이미 매우 강화됐고, 앞으로 더욱 강화될 예정이다.
즉, IT 부분에서의 보안은 더 이상 IT에 한정된 것이 아닌 회사 조직, 업무, 공공기관의 공공성, 목적성, 은행의 경우에는 고객으로부터의 신뢰, 영업 내용의 비노출 보장 등, 보안 관련 법규/법률을 준수해 기본 업무 목적을 달성하도록 하는 강력한 수단으로 활용하도록 강제하고 있는 것이다. 이는 HP가 IT 인프라의 보안 프레임워크로 표현한 내용과 다르지 않다.
비즈니스 서비스는 법규/법률을 준수해야 하고, 사전에 조직 내의 보안 사고 및 장애 관련 기준과 영향 등에 대한 준비가 있어야 하며, 이를 완벽하게 보장할 수 있는 보안 컴포넌트가 갖추어 져야만 HP는 IT 인프라 보안의 완전성이 갖춰졌다고 본다.

HP IT 인프라 보안 구현 방안
HP의 IT 인프라 보안에 대한 개념과 기본 프레임워크는 비즈니스 서비스 관점에서 출발한다. HP는 어떤 특정 솔루션이나 보안 방법론을 설치하거나 도입함으로써 완벽한 보안이 이뤄진다고 보지 않는다. 국내의 어떠한 보안 부분의 컨설턴트나 엔지니어도 다음에 등장할 보안 신기술을 예측하기 어려울 정도로 보안기술이 어렵게 빠르게 변화하고 있기 때문이다.
각 HP 보안 프레임워크 부분의 보유 솔루션 등을 상세히 언급할 수도 있겠지만, 이것은 HP IT 인프라 보안 패러다임은 아니다. 또 각 IT 환경이 다르고 이를 운영하는 조직의 구성이 모두 다른 상황에서 특정 보안 솔루션이 IT 인프라의 보안을 강화하는데 도움이 될 수 있으리라 확신하는 것에도 어려움이 있다.
따라서 앞서 2회에 걸쳐 언급한 IT 인프라 보안에 대한 HP 나름대로의 상세 절차와 기준을 선정하는 정보와 더불어 금번 회에서의 HP IT 인프라 보안 방안/방법론에 대한 다음과 같은 내용으로 끝을 맺고자 한다.
모든 환경은 변화하고 있다. 이를 수용하느냐 하지 못하느냐가 시장에서의 생존 여부를 결정하는 시기다. IT 환경은 더더욱 그렇다. 더욱 복잡해지고 있으며, 기존 IT 부서에서의 단순한 자산 및 구성관리만으로 IT 부서를 운영하는 것은 매우 어려워졌다.
이를 지원하고 해결하는 또 다른 솔루션과 하드웨어 등이 등장하고 관리 시스템 등이 도입된다. 관리 포인트는 늘어만 가고, 장애가 발생하면 조치를 취하고, 이력을 관리해야 하는 등 너무 힘든 환경으로 변화되고 있다. 이러한 환경에 보안 장비와 솔루션 등이 지금처럼 도입되고 해결책처럼 쓰인다면 나중에는 몇몇의 관리자, 운영자의 손으로는 도저히 손 쓸 수 없는 IT 환경이 되고 말 것이다.
결국 변하지 않는 기준을 IT 인프라 보안에도 도입해야 한다는 것이다. 이 변하지 않는 기준이란 조직에서의 비즈니스 서비스다. 조직이 살아남기 위해 결정하는 모든 비즈니스적인 결정과 이를 뒷받침하는 서비스에, IT 부분에 대한 모든 무결성을 보장하는 보안 개념으로 탈바꿈해야 한다. 이것이 HP가 제시하는 IT 인프라 보안의 핵심이다.

장애등급 = 장애복구 우선순위
= 영향도×긴급도
= 잠재적 손실의 영향×해결 시간의 중요성


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.