KH병원 본원과 분원 간 기업망 구축
(정보시스템구축) 정보시스템 구축·운영 기반 정보보안 전문가 양성과정A23(4) 1회차
진태선 외 오합지조
진태선(팀장) ,
구민서 ,
정철환 ,
노현기 ,
서혜주 ,
이세라
| 개요 | "KH병원은 최근 환자 수 증가와 함께 디지털 전환의 필요성이 높아지고, 병원의 확장 계획으로 인해 부산에 새로운 분원을 짓기로 하였다. 이에 따라 기존의 서울 본원과 광주 분원에 새로운 부산 분원을 추가하여 새로운 네트워크 망 구축과 보안 강화, DB 자동화가 필요한 상황이다. KH병원은 위와 같은 요청 사항을 당사에 의뢰하게 되었고, 기간과 비용을 고려해 2주간 6명의 인원이 투입하도록 계획했다. " |
|---|---|
| 구현기능 | "1. 네트워크 구축 및 GNS3 시뮬레이션 네트워크 토폴로지 설계 -> 외부 라우터는 망형으로 구축 -> 네트워크 노드의 통신 장애로 인한 통신 방해를 우회하기 위함 -> 별도의 영역에 FTP, MAIL,DNS, WEB, DB 서버 구축 -> 본사, 지사 별 내부망에 할당할 IP를 DHCP 서버로 할당 -> 본사 DB 서버, 업무용 FTP&MAIL 서버, WEB&DNS 서버, DHCP 서버에 보안 우선 순위 할당 -> 본사 서버 별 우선 순위를 통해 각 노드 별 방화벽 구축하여 우선 순위가 높을 수록 보안성을 증대함 -> 각 지사가 외부, 본사와 통신시 할당할 NAT 및 터널링 설정 -> Firewall 설정 시 VMware를 통한 리눅스 iptables로 설정 -> 라우터 SSH 접근 설정 2. 서버 및 데이터베이스 구축 2-1) 본사 서버 - DNS : 예약/회원 페이지 접근 및 외부 사이트 질의, 사내 MAIL 서버 사용을 위한 응답 - DHCP : 사내 내부망에 IP 주소 자동 할당 - FTPS : 진료 목록, 처방전 내역, MRI, x-ray 등 이미지 파일 공유 + 암호화 - MAIL : 사내 메일 송수신 + 암호화 - Firewall : 외부 통신 허용/차단 관리, 관계자, 구성원 외 제3자가 정보에 접근 차단(내부 파일의 노출/유출을 방지) - HTTPS : 웹페이지의 보안 접속(로그인, 예약), master + slave 서버 구성으로 가용성 및 자동 백업, pacemaker를 이용한 웹 서버 이중화 작업 - WAS (Web Application Server): PHP로 로그인 페이지에서 예약 페이지로 redirect(환자 table에 있는 데이터만 로그인 허용) + 예약 페이지에서 데이터 입력 시 자동으로 예약 table에 적재 - DB : 테이블 구성(의사&간호사, 환자, 예약, 약품), master + slave 서버로 자동 백업 2-2) 부산&괴산 - DHCP -> NAT 설정으로 인한 내부망에 독자적인 DHCP 서버가 필요 -> 외부망과 통신을 위함, 다른 지사의 공인 IP는 허용하도록 설정 - (부산한정) 2차 Slave DB 서버 -> DB는 암호화, 해싱을 통한 각 정보 암호화 적용 3. 주요 서비스 구현 3-1) 서버 통신 암호화 -> 업무용 서버(FTP, MAIL) 사용시 암호화(SSL) -> WEB 서버 사용시 HTTPS로 암호화 3-2) WEB과 DB 연동 (WAS 구현) -> 로그인 페이지에서 예약 페이지로 redirect : DB에 있는 데이터만 로그인 허용 -> 예약 페이지에서 데이터 입력 시 자동으로 DB에 적재 -> 프론트 페이지를 통해 등록한 예약 내역을 DB에 암호화하여 등록 3-3) WEB 설정 -> WEB 서버에 pacemaker를 이용한 WEB 이중화를 구현하여 유사시에도 웹서버가 동작하도록 한다. -> DMZ에 static NAT를 설정하여 WEB 서버 접근 가능 -> WEB 서버는 NAT_PAT로 설정하여 응답가도록 설정한다. 3-4)병원 구성원/관계자 권한 설정 -> 각 구성원 및 관계자 마다 권한을 달리 설정하여 접근 통제를 설정한다. -> 직급, 내원과의 계정에 권한을 달리 설정하여 파일 접근(업로드, 다운로드 등)을 통제 3-5)각 지사 네트워크 통신시 발생하는 이벤트들을 검열 및 차단/허용(Firewall) -> 각 지사 관리자들 외 제3자의 접근 제어 차단 -> 병원 구성원들에 대한 전화번호, 주소 등에 대한 개인정보보호 -> 암호화를 통해 유출 시에도 안전하도록 설정 -> 외부자가 접속할 수 있는 WEB서버를 구축(DMZ 형성)" |
| 설계의 주안점 | "1. 관리자를 통해 DB 서버 관리 및 SSH 사용을 통해 라우터 관리 2. DB별 접근 권한이 다른 관리자 접속/차단을 위한 방화벽 설정 3. 가용성 보장을 위한 라우터 및 웹 서버 이중화 작업 4. DB 백업 자동화 5. 내부 작업 서버(MAIL, FTP) 암호화(SSL) 및 외부 접근 차단 6. 외부 DMZ 접근 7. 웹서버와 DB 연동" |
| 사용기술 및 개발환경 |
" <개발환경> - Physical : Windows 10 Pro 22H2 - 네트워크 가상화 : GNS3 2.2.5 - 서버 가상화 : VMware 17.5.0 <네트워크 환경> - Routing, NAT - GRE Tunneling - Firewall : iptables <서버환경> - 서버 운영체제 : Rocky Linux 9.3 - DNS : bind-9.16.23-24.el9_5.x86_64 - DHCP : dhcp-server-4.4.2-19.b1.el9.x86_64 - Mail : postfix-3.5.25-1.el9.x86_64 + dovecot-2.3.16-14.el9.x86_64 - FTPS : vsFTPd 3.0.5-6.el9.x86_64 + openssl-3.0.7-24.el9.x86_64 - HTTPS : HTTPD 2.4.62-1.el9.x86_64 + openssl 3.0.7-24.el9.x86_64 - WAS : php 8.0.30-1.el9_2.x86_64 - DB: mariaDB 10.5.22-1.el9_2.x86_64 <확인용 프로그램> - FTP서버 접속 : FileZilla 3.64.0 - SSH 접속 : Windows XP Professional + putty0_60h - Linus에서 MAIL서버 접속 : thunderbird-128.4.0-1.el9_4.x86_64 " |
이전글 | StudyHub
다음글 | 온라인 쇼핑몰을 위한 기업망 구축
