망분리: Difference between revisions

From CS Wiki
(새 문서: 분류:보안분류:디지털 서비스 == 물리적 망분리 == == 논리적 망분리 == == 망연계 == == 같이 보기 == * 내부망 * 외부망 * 클라...)
 
No edit summary
 
(One intermediate revision by one other user not shown)
Line 1: Line 1:
[[분류:보안]][[분류:디지털 서비스]]
[[분류:보안]][[분류:디지털 서비스]]
;보안성 확보를 위해 인터넷과 연결되는 외부망과, 폐쇄된 인트라넷 환경을 구분하여 운영하는 구조


== 물리적 망분리 ==
== 물리적 망분리 ==
* PC 2대를 놓고 하나는 인터넷용, 하나는 내부시스템 접근용으로 구분한다.
* 중요 서버 접근용 등 2개가 아닌 3개, 4개 등으로 구분할 수도 있다.


== 논리적 망분리 ==
== 논리적 망분리 ==
* 하나의 PC에서 가상화된 데스크톱을 열어 구분된 환경을 사용한다.
* PC 자체는 인터넷이 되는 PC인데 회사 내부 시스템에 접속하려면 가상 데스크탑을 띄워야 하는 경우, 그 반대의 경우도 있을 수 있다.


== 망연계 ==
== 망연계 ==
; 구분된 망 간 자료를 주고 받을 수 있게 하는 기술
* 망문리가 보안을 위한 것이므로 아무 자료나 오갈 수 있도록 하면 의미가 없다.
* 아래와 같은 부가적인 보안조치가 적용된다.
** 로깅(사유, 용도 기록 등)
** 관리자 승인
** 확장자 제한
** 바이러스 검사
** 개인정보 검사
== 관련 법령 및 규정 ==
=== 전자금융감독규정 ===
'''제15조(해킹 등 방지대책)''' ① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립ㆍ운용하여야 한다.
* 3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리ㆍ차단 및 접속 금지. 다만, 다음 각 목의 경우에는 그러하지 아니하다.
** 가. 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 연구ㆍ개발 목적의 경우(단, 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 금융감독원장이 정한 망분리 대체 정보보호통제를 적용한 경우에 한한다) <신설 2022. 11. 23.>
** 나. 업무상 불가피한 경우로서 금융감독원장의 확인을 받은 경우 <신설 2022. 11. 23.>
=== 정보통신망법 ===
'''제4조(접근통제)''' ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.
=== [[국가 정보보안 기본지침 제40조|국가 정보보안 기본지침]] ===
'''제40조(내부망ㆍ인터넷망 분리)''' ① 각급기관의 장은 내부망과 기관 인터넷망을 분리ㆍ운영하여야 한다.
* ② 각급기관의 장은 내부망과 기관 인터넷망을 분리ㆍ운영하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
* ③ 각급기관의 장은 정보시스템에 부여되는 IP주소를 체계적으로 관리하여야 하며 비(非)인가자로부터 내부망을 보호하기 위하여 네트워크주소변환기(NAT)를 이용하여 사설 IP주소체계를 구축ㆍ운영하여야 한다. 또한 IP주소별로 정보시스템 접속을 통제하여 비(非)인가 기기에 의한 내부망 접속을 차단하여야 한다.
* ④ 각급기관의 장은 분리된 내부망과 기관 인터넷망간 자료전송을 위한 접점이 불가피한 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
* ⑤ 각급기관의 장은 제1항에도 불구하고 예산 부족 등 사유로 부득이한 경우 국가정보원장과 협의하여 내부망과 기관 인터넷망을 분리하지 아니할 수 있다. 이 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.


== 같이 보기 ==
== 같이 보기 ==

Latest revision as of 06:21, 25 July 2023

보안성 확보를 위해 인터넷과 연결되는 외부망과, 폐쇄된 인트라넷 환경을 구분하여 운영하는 구조

물리적 망분리[edit | edit source]

  • PC 2대를 놓고 하나는 인터넷용, 하나는 내부시스템 접근용으로 구분한다.
  • 중요 서버 접근용 등 2개가 아닌 3개, 4개 등으로 구분할 수도 있다.

논리적 망분리[edit | edit source]

  • 하나의 PC에서 가상화된 데스크톱을 열어 구분된 환경을 사용한다.
  • PC 자체는 인터넷이 되는 PC인데 회사 내부 시스템에 접속하려면 가상 데스크탑을 띄워야 하는 경우, 그 반대의 경우도 있을 수 있다.

망연계[edit | edit source]

구분된 망 간 자료를 주고 받을 수 있게 하는 기술
  • 망문리가 보안을 위한 것이므로 아무 자료나 오갈 수 있도록 하면 의미가 없다.
  • 아래와 같은 부가적인 보안조치가 적용된다.
    • 로깅(사유, 용도 기록 등)
    • 관리자 승인
    • 확장자 제한
    • 바이러스 검사
    • 개인정보 검사

관련 법령 및 규정[edit | edit source]

전자금융감독규정[edit | edit source]

제15조(해킹 등 방지대책) ① 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립ㆍ운용하여야 한다.

  • 3. 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리ㆍ차단 및 접속 금지. 다만, 다음 각 목의 경우에는 그러하지 아니하다.
    • 가. 이용자의 고유식별정보 또는 개인신용정보를 처리하지 않는 연구ㆍ개발 목적의 경우(단, 금융회사 또는 전자금융업자가 자체 위험성 평가를 실시한 후 금융감독원장이 정한 망분리 대체 정보보호통제를 적용한 경우에 한한다) <신설 2022. 11. 23.>
    • 나. 업무상 불가피한 경우로서 금융감독원장의 확인을 받은 경우 <신설 2022. 11. 23.>

정보통신망법[edit | edit source]

제4조(접근통제) ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.

국가 정보보안 기본지침[edit | edit source]

제40조(내부망ㆍ인터넷망 분리) ① 각급기관의 장은 내부망과 기관 인터넷망을 분리ㆍ운영하여야 한다.

  • ② 각급기관의 장은 내부망과 기관 인터넷망을 분리ㆍ운영하고자 할 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
  • ③ 각급기관의 장은 정보시스템에 부여되는 IP주소를 체계적으로 관리하여야 하며 비(非)인가자로부터 내부망을 보호하기 위하여 네트워크주소변환기(NAT)를 이용하여 사설 IP주소체계를 구축ㆍ운영하여야 한다. 또한 IP주소별로 정보시스템 접속을 통제하여 비(非)인가 기기에 의한 내부망 접속을 차단하여야 한다.
  • ④ 각급기관의 장은 분리된 내부망과 기관 인터넷망간 자료전송을 위한 접점이 불가피한 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.
  • ⑤ 각급기관의 장은 제1항에도 불구하고 예산 부족 등 사유로 부득이한 경우 국가정보원장과 협의하여 내부망과 기관 인터넷망을 분리하지 아니할 수 있다. 이 경우 다음 각 호의 사항을 포함한 보안대책을 수립ㆍ시행하여야 한다.

같이 보기[edit | edit source]