10. 네트워크보안지침

inswave-wiki
둘러보기로 이동 검색으로 이동



제1장 총칙[편집]

제1조 (목적)[편집]

이 지침은 ㈜인스웨이브(이하 “회사”라 한다)의 「정보보호정책서」에 의거 구성원의 네트워크 보안관리에 필요한 사항을 규정함을 목적으로 한다.

제2조 (적용범위)[편집]

이 지침은 회사의 클라우드컴퓨팅서비스 업무에 종사하는 임직원 및 회사와 계약을 맺어 클라우드컴퓨팅서비스 업무를 수행하는 외부업체 직원 모두에게 적용된다.

제3조 (용어 정의)[편집]

  1. “내부 네트워크”라 함은 외부에서 직접 접근이 불가능한 네트워크 영역으로 내부 IP체계에 따라 운영되는 영역을 말한다.
  2. “네트워크시스템”이라 함은 유·무선 네트워크 서비스 제공을 위해 사용되는 시스템을 말한다.
  3. “네트워크보안관리자”라 함은 네트워크 관리 업무를 총괄하는 자를 말한다.

제2장 네트워크 보안[편집]

제4조 (네트워크 보안정책 수립)[편집]

  1. 내부망을 통해 클라우드 시스템에 접속하는 경우 지정된 단말을 통해서만 접근할 수 있도록 통제하여야 한다.
  2. 스마트패드, 스마트폰 등 스마트기기를 통한 클라우드 시스템 원격 운영은 금지하여야 한다.
  3. 네트워크 관리용 단말은 다음 절차를 적용한다.
    1. IP, MAC 통제 등 접근 통제 절차 적용
    2. 백신 설치, 최신 보안패치, 불필요한 프로그램 제거
    3. 사용자 식별 및 인증 수행
  4. 외부 네트워크를 통한 시스템 원격 운영은 원칙적으로 금지하되, 긴급 장애 대응 등 부득이한 경우 다음 보안대책을 적용한다.
    1. 최고책임자의 승인
    2. 접속 단말 및 사용자 인증 (IP/MAC 인증, 2-Factor 인증 등)
    3. 한시적 접근권한 부여
    4. 원격 채널 보호 대책(VPN, SSH 등)
    5. 접속 단말 보안
    6. 원격 운영 현황 모니터링
    7. 원격 접속 로깅 및 주기적 분석
    8. 보안인식 교육 실시
    9. 접근 위치 제한(IP 특정 및 접근가능 위치 제한)
    10. 외부 접근 시 관리자 전용 페이지 접근 제한

제5조 (네트워크 모니터링 및 통제)[편집]

  1. 클라우드서비스 운영 자산에 IP를 부여하는 경우 승인절차에 따라 IP를 할당한다.
  2. 승인되지 않은 IP는 접속을 차단한다.
  3. 네트워크 장치에 불필요한 서비스 및 포트는 제거 또는 차단한다.
  4. 내부 네트워크의 주요 자산목록, 구성도, IP 현황을 최신으로 유지하고 대외비 이상으로 관리한다.
  5. 관리망 주소체계는 사설 IP를 사용하며 외부 유출을 방지한다.
  6. DDoS, 비인가 접속 등의 서비스 중단 및 정보유출을 예방하기 위해 네트워크 모니터링 방안을 수립하고 이행한다.
  7. 네트워크 관리 및 모니터링은 외부 위탁 가능하며, 위탁 시 계약서 또는 SLA에 관련 내용을 포함해야 한다.

제6조 (네트워크 정보보호시스템 운영)[편집]

  1. 내·외부 네트워크 보호를 위해 정보보호시스템을 운영한다.
  2. 정보보호시스템 도입 시 국내외 CC 인증을 획득한 제품을 우선 도입한다.
  3. 운영 및 관리는 외부 위탁 가능하며, 위탁 시 계약서 또는 SLA에 관련 내용을 포함해야 한다.
  4. 원격접속용 VPN은 공공기관 등 대고객 서비스의 경우 CC 인증 제품을 필수 사용한다.
  5. 외부 위탁 시 월 1회 이상 관리현황을 보고받아야 하며, 보고서에는 다음 내용이 포함되어야 한다.
    1. 보안정책 적용 및 변경 내역
    2. 보안 업데이트 현황
    3. 장비 점검 내역
  6. 접근 권한은 최소 인원으로 제한하며, 비인가자 접근을 통제한다.
  7. 정보보호시스템별 보안정책(룰셋)을 설정하고 주기적으로 타당성을 검토한다.
  8. 보안정책 검토 시 다음을 포함해야 한다.
    1. 미승인 정책 존재 여부
    2. 장기간 미사용 정책
    3. 중복·만료 정책
    4. 퇴직자 또는 직무 변경자 관련 정책

제7조 (네트워크 암호화)[편집]

  1. 중요정보 이동 구간에는 암호화된 통신 채널을 사용해야 한다.
  2. 서버 원격 접근 시 VPN, SSH 등 암호화된 통신수단 사용
  3. 공공기관 데이터 이관 시 VPN을 통해 수행
  4. 관리 접근 시 OpenSSH, OpenSSL(TLS v1.2 이상) 사용
  5. 암호화 통신 채널의 보안 강도는 다음을 만족해야 한다.
    1. 요구 보안 강도: 2^112 이상
    2. 블록 암호 알고리즘: SEED, ARIA, AES(128bit 이상)
    3. 공개키 암호 알고리즘: RSA(2048bit 이상)
    4. 해시 알고리즘: SHA2 이상

제8조 (네트워크 분리)[편집]

  1. 클라우드 서비스 핵심 업무 관련 내부 네트워크는 물리적 또는 논리적으로 분리한다.
  2. 다음 사항을 반드시 준수해야 한다.
    1. DMZ영역은 공개서버를 통해 내부망으로 접근이 이뤄지지 않도록 통제
    2. 중요정보(DB 등)는 별도 네트워크로 분리
    3. 운영인력용 네트워크 별도 분리
    4. 개발용 네트워크 별도 구성
    5. 이용자 간 서비스 영역은 물리적/논리적 분리
    6. 업무 특성 및 중요도에 따라 추가 분리 기준 수립
    7. 내부 서버의 외부 인터넷 접근 제한
    8. 망간 자료전송 통제 및 우회경로 차단
    9. 공공서비스망과 민간서비스망 분리 (DR센터는 공용 운영 가능)
    10. 내부 사용자 포털과 이용자 포털은 분리 운영

[별지 제1호 서식] 네트워크시스템 이력 관리대장[편집]

No 장비명 용도 IP 설치위치 작업내용 작업일 작업자

[별지 제2호 서식] 네트워크시스템 계정 및 비밀번호 관리대장[편집]

No 장비명 용도 IP 설치위치 관리자명 ID Password 제조사 비고

[별지 제3호 서식] 네트워크시스템 보안패치 관리대장[편집]

No 장비명 용도 IP 설치위치 관리자명 패치내역 패치일 비고

(끝)

원본 주소 "https://wiki.inswave.kr/index.php?title=10._네트워크보안지침&oldid=560"