ISMS-P 인증 기준 2.6.1.네트워크 접근
From IT Wiki
- 영역: 2.보호대책 요구사항
- 분류: 2.6.접근통제
개요
항목 | 2.6.1.네트워크 접근 |
---|---|
인증기준 | 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립·이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다. |
주요 확인사항 |
|
세부 설명
네트워크 접근통제 관리절차 수립
조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고, 네트워크에 대한 비인가 접근 등 관련 위험을 효과적으로 예방·대응할 수 있도록 네트워크 접근통제 관리절차를 수립·이행하여야 한다.
- 정보시스템, 개인정보처리시스템, PC 등에 IP주소 부여 시 승인절차에 따라 부여하는 등 허가되지 않은 IP사용 통제
- 비인가자 및 단말의 내부 네트워크 접근 통제
- 네트워크 장비에 설치된 불필요한 서비스 및 포트 차단 등
네트워크 영역 분리 및 안전한 접근통제
서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역 간 접근통제를 적용하여야 한다.
- 위험평가를 통하여 핵심 업무영역의 네트워크 분리 및 영역 간 접근통제 수준 결정
접근통제 영역 | 접근통제 적용 예시 |
---|---|
DMZ |
|
서버팜 |
|
데이터베이스팜 |
|
운영자 환경 |
|
개발 환경 |
|
외부자 영역 |
|
기타 |
|
- 접근통제 정책에 따라 분리된 네트워크 영역 간에는 침입차단시스템, 네트워크 장비 ACL 등을 활용하여 네트워크 영역 간 업무수행에 필요한 서비스의 접근만 허용하도록 통제
사설·공인 등 IP주소 부여 기준 마련
네트워크 대역별 IP주소 부여 기준을 마련하고 데이터베이스 서버 등 중요 시스템이 외부와의 연결을 필요로 하지 않은 경우 사설 IP로 할당하여 외부에서 직접 접근이 불가능하도록 설정하여야 한다.
- IP주소 할당 현황을 최신으로 유지하고, 외부에 유출되지 않도록 대외비 이상으로 안전하게 관리
- 내부망에서의 주소 체계는 사설 IP주소 체계를 사용하고 외부에 내부 주소체계가 노출되지 않도록 NAT(Network Address Translation) 기능 적용
- 사설 IP주소를 할당하는 경우 국제표준에 따른 사설 IP주소 대역 사용
※ 사설 IP주소 대역
- A Class: 10.0.0.1 ~ 10.255.255.255
- B Class: 172.16.0.1 ~ 172.31.255.255
- C Class: 192.168.0.1 ~ 192.168.255.255
외부 거점간 안전한 연결 사용
물리적으로 떨어진 IDC, 지사, 대리점, 협력업체, 고객센터 등과의 네트워크 연결 시 전용회선 또는 VPN(가상사설망) 등을 활용하여 안전한 접속환경을 구성하여야 한다.
증거 자료
- 네트워크 구성도
- IP 관리대장
- 정보자산 목록
- 방화벽룰
결함 사례
- 네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어 지고 있지 않은 경우
- 내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트워크 접근 차단이 적용되어 있지 않은 경우
- 서버팜이 구성되어 있으나, 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우
- 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우
- 내부 규정과는 달리 MAC주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)