[정보보안] - 인증 및 권한관리

[정보보안] - 인증 및 권한관리

 

 

1. 사용자 계정 보안 관리

정보시스템 내 개인정보와 중요정보에 관한 인가되지 않은 접근을 통제하고 업무 목적에 따른 계정 및 권한은 최소로 부여해야한다.

1) 관리자 권한(root, administrator, admin, sysadmin, sa 등 시스템 의 최상위 권한)은 최소 인원에게만 할당한다.

2) 관리자 권한이 필요한 경우 계정의 발급/변경/해지 절차를 수립하여 공식적인 승인이 부여될 수 있도록 해야한다.

3) 이러한 특수 권한자에 대해서는 목록화 하여 정기적으로 현행화가 필요하다.

4) 이 외 정보시스템 유지보수 및 외부자에 대해서는 필요시에만 권한을 부여하고 작업 종료 후 즉시 삭제해야한다.

 

 

2. 네트워크 접근에 대한 통제

내부 네트워크에 대해서 인가되지 않은 접근을 통제하기위해 IP 및 단말 등에 대해 관리 절차를 수립이 필요하다.

1) 업무 내용 및 목적 중요도에 따라 서버파, DB, 개발, DMZ 네트워크 분리 설정을 수립하여 관리해야한다.

2) 조직 내 모드 네트워크 구성도를 파악하고 접근통제 정책에 따라 인가된 사용자만 접근하도록 통제해야한다.

3) 네트워크 장비 설치 시 불필요한 서비스 및 포트는 차단하며 기본 포트를 사용하지 않도록 보안을 강화해야한다.

4) 중요 보안시스템/정보시스템/개인정보처리시스템은 승인 절차에 따라 인가된 사용자만 접근하도록 해야한다.

5) 내부망의 IP주소 체계는 사설IP로 설정해야하며, 외부 네트워크에서 내부 전산시스템이 노출되지 않도록 NAT 기능을 적용해야한다. 

6) 물리적으로 떨어져있는 분사나 지사의 경우 네트워크 연결 구성 시 보호대책 수립이 필요하다.

 

 

3. 정보시스템 접근 

서버 및 네트워크 시스템에 접근하는 사용자 및 접근 방식, 접근 수단 등을 정의하여 접근 통제가 필요하다.

1) SSH 또는 SFTP 등 안전한 접근 수단을 적용하여 관리가 필요하다,

2) 인증서나 OTP를 도입하여 사용자 접근 시 강화된 인증수단을 사용해야한다.

3) 사용자 별로 권한을 제한하여 계정을 부여해야하며, 한 계정을 여러명이 사용하는 계정 공유는 제한해야한다.

4) 시스템에 접속할 때 접속자의 IP나 단말을 제한하여 인가된 사용자에 대해서만 시스템에 접근해야한다.

5) 같은 네트워크 영역에서 서버 간 접속에 대해 접근통제 조치를 취해야한다. 

6) 정보시스템에 접속 후 일정시가니 지나면 자동으로 시스템 접속이 차단되도록 제한해야한다. (세션 유지시간 설정 필요)

7) 주요시스템(웹서버/DB서버 등)의 경우 외부와 분리된 독립된 서버로 운영이 필요하다.