ISMS-P 인증 기준 2.6.1.네트워크 접근

From CS Wiki
Revision as of 09:12, 7 May 2022 by Maintenance script (talk | contribs) (Imported from text file)

개요

항목 2.6.1.네트워크 접근
인증기준 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.
주요 확인사항
  • 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?
  • 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가?
  • 네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가?
  • 물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?

세부 설명

  • 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고, 네트워크에 대한 비인가 접근 등 관련 위험을 효과적으로 예방·대응할 수 있도록 네트워크 접근통제 관리절차를 수립·이행하여야 한다.
    • 정보시스템, 개인정보처리시스템, PC 등에 IP주소 부여 시 승인절차에 따라 부여하는 등 허가되지 않은 IP사용 통제
    • 비인가자 및 단말의 내부 네트워크 접근 통제
    • 네트워크 장비에 설치된 불필요한 서비스 및 포트 차단 등
  • 서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하여야 한다.
    • 위험평가를 통하여 핵심 업무영역의 네트워크 분리 및 영역 간 접근통제 수준 결정<thead></thead><tbody></tbody>
      접근통제 영역접근통제 적용 예시
      DMZ외부 서비스를 위한 웹서버, 메일서버 등 공개서버는 DMZ에 위치
      DMZ를 경유하지 않은 인터넷에서 내부 시스템으로의 직접 연결은 차단
      서버팜다른 네트워크 영역과 구분하여 구성
      인가받은 내부 사용자의 접근만 허용하도록 접근통제 정책 적용
      데이터베이스팜개인정보 등 중요정보가 저장된 데이터베이스가 위치한 네트워크 영역은 다른 네트워크 영역과 분리
      운영자 환경서버, 보안장비, 네트워크 장비 등을 운영하는 운영자 네트워크 영역은 일반 사용자 네트워크 영역과 분리
      개발 환경개발업무(개발서버, 테스트서버 등)에 사용되는 네트워크는 운영 네트워크와 분리
      외부자 영역외부 인력이 사용하는 네트워크 영역(외주용역, 민원실, 교육장 등)은 내부 업무용 네트워크와 분리
      기타업무망의 경우 업무의 특성, 중요도에 따라 네트워크 대역 분리기준을 수립하여 운영
      클라우드 서비스를 이용하는 경우 클라우드 환경의 특성을 반영한 접근통제 기준을 수립·이행
      다만 기업의 규모 등을 고려하여 서버팜과 데이터베이스팜 등을 구분하기 어려운 경우 위험평가 결과 등을 기반으로 보완대책을 적용할 필요가 있음 (호스트 기반 접근통제 등).
    • 접근통제 정책에 따라 분리된 네트워크 영역 간에는 침입차단시스템, 네트워크 장비 ACL 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제
  • 네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 중요 시스템이 외부와의 연결을 필요로 하지 않은 경우 사설 IP로 할당하여 외부에서 직접 접근이 불가능하도록 설정하여야 한다.
    • IP주소 할당 현황을 최신으로 유지하고, 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리
    • 내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 외부에 내부 주소체계가 노출되지 않도록 NAT(Network Address Translation) 기능 적용
    • 사설 IP주소를 할당하는 경우 국제표준에 따른 사설 IP주소 대역 사용
  • ※ 사설 IP주소 대역
  • A Class : * 10.0.0.1 ~ * 10.25* 5.25* 5.255
  • B Class : 17* 2.1* 6.0.1 ~ 17* 2.3* 1.25* 5.255
  • C Class : 19* 2.16* 8.0.1 ~ 19* 2.16* 8.25* 5.255
  • 물리적으로 떨어진 IDC, 지사, 대리점, 협력업체, 고객센터 등과의 네트워크 연결 시 전용회선 또는 VPN(가상사설망) 등을 활용하여 안전한 접속환경을 구성하여야 한다.
  • 증거 자료

    • 네트워크 구성도
    • IP 관리대장
    • 정보자산 목록
    • 방화벽룰

    결함 사례

    • 네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어 지고 있지 않은 경우
    • 내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트워크 접근 차단이 적용되어 있지 않은 경우
    • 서버팜이 구성되어 있으나, 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우
    • 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우
    • 내부 규정과는 달리 MAC주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우

    같이 보기

    참고 문헌

    • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)