새만금개발청정보보안업무규정 1 ( ) 2 ( ) ( ) 3 ( ) 1. 2. 2 2 ㆍ ㆍ ㆍ ㆍ 3. ( ) 4. ( ) 5. ㆍ PC,, ㆍ,, ㆍ ㆍ ㆍ ㆍ 6. ㆍ CD ㆍ ㆍ USB PC 7. ㆍ ㆍ ㆍ ㆍ ㆍ ㆍ ㆍ ㆍ 8. ㆍ 9. ㆍ 10. 11. RFID(Radio Frequency IDentification) RFID, ㆍ ㆍ 12. ㆍ PC ㆍ ㆍ, ㆍ ㆍ ( ) 13. ㆍ ㆍ ㆍ ㆍ ㆍ ㆍ 14. ㆍ ㆍ 15. 16. ㆍ ㆍ 17. ㆍ ㆍ 18. Ⅱ ㆍ ㆍ
19. Ⅲ ㆍ ㆍ 20. ㆍ,, 21., ㆍ, ㆍ ㆍ ㆍ 22., ㆍ, 23. 24. 25. ㆍ ㆍ ㆍ ㆍ, ㆍ, 26. ㆍ 27. ㆍ ㆍ 28. (EMP) 29. (TEMPEST) PC 30.,,,, ㆍ ㆍ ㆍ ㆍ 2 4 ( ) ( ) 5 ( ) 1 ㆍ ㆍ 2 1 3 7 ㆍ ㆍ ㆍ ㆍ ( ) 4 1. ㆍ 2. ㆍ ㆍ 3. 4. ㆍ, 5., 6. 7. 8. ㆍ 9. 10. 11. 12. ㆍ 13. 14. ㆍ 15. ㆍ 16. ㆍ
17. ㆍ 18. 6 ( ) 1 5 2 3 5 4 1. 2. USB 3. USB 4. IP 5. PC, 6. 7 ( ) 1 ( 9 ) ㆍ ㆍ 2 1 1 2 ( 7 ) 1. : 1.20 限 ( ) 2. : 7.25 限 ( 3/4 2/4 ) 8 ( ) 1 ( ) 1. ㆍ 2., 3., 2,, 52 ( ) ( 6) 9 ( ) 1 (PC ㆍ ㆍ, ) ㆍ, 2 PC 3 ㆍ 4 1 3, ( 4 ) 5 1 6 1 5, ㆍ 10 ( ) 1 30 1. 2. 2 1 1. ( 危害 ) 2. 3. ㆍ 4.
5. 6. ㆍ 7., 8. 9. 10. 11 ( ) 1 ( ) 2 ( 2) 3 12 ( ) 1, 2 2 1 14 13 ( ),, 3, 14 ( ) 1 1 2 1 7 1. : 1.20 限 ( ) 2. : 7.25 限 ( 3/4 2/4 ) 15 ( ) 1 1. ㆍ ㆍ 2. ㆍ 3. ㆍ 2 1 3, 16 ( ) 1 1 2 3 17 ( ) 1 ㆍ 2, 3 1 2 7 18 ( ) 1 1 2
19 ( ) 1,, 2 3 4 3 3 6 ( ) 21 ( ) 1.,,,,,, 2. 3. 4. ㆍ 5. 6. 7. ㆍ 1 2 20 ( ) 1 ㆍ ㆍ ㆍ ㆍ ㆍ ㆍ 2 1, PC 3 4 ㆍ ㆍ ㆍ ㆍ 5 PC, PC, 22 ( ) ㆍ 1. 5 4 2. 22 38 3. 4 4. 5 2 5. ㆍ 6. ㆍ 7. 23 (PC ) 1 PCㆍ ㆍ ( PC ) 2 PC,
ㆍ, 1. (CMOS ) ㆍ ( ) ㆍ ( ) 2. 10 PC 3. PC ㆍ, ㆍ (OS) (, MS Office, Acrobat ) 4. 5. 3 PC ㆍ ㆍ, 4 PC 5 PC, 24 ( PC ) 1 PC( PC ), ㆍ, 1. ㆍ P2Pㆍ Active-X ㆍ 2. 3. ㆍ ㆍ 2 PC ㆍ 3 PC ㆍ 4 PC 23 (PC ) 25 ( ) 1,, ㆍ ㆍ 1. ㆍ 2. 3. 4. IP MAC 5. 6. 2 1, 1, ㆍ 26 ( ) 1 (DMZ) ㆍ 2, ㆍ (DDoS) ㆍ DDoS 3 內
4 ( ) 5 25 ( ) 27 ( ) 1 ㆍ 2, 3, 4 ㆍ ㆍ ㆍ 5 6 28 ( ) 1 (ID) 1. 2. 3. 2 5 3, 4 2 29 ( ) 1 1. (1 ) 2. (2 ) 3. ㆍ (3 ) 2, 3, 9, 1 1. (ID) 2. 3. 4. 5. 6. 7. 4 30 ( ) 1 ( )
( ) 1. ㆍ ( ㆍ ) 2. ( ) 3. PC 4. ( ㆍ (2010.8, ) ) 2 1, 3 IP, (NAT), IP PC 內 4 5 4 6 7 6, 3 8 9 PC PC 2. 3. (default) 4. FTP ㆍ 5. ㆍ 2 6 32 ( ) 1 ㆍ PC,, 2 IP, 3 ㆍ ㆍ 4 5 ( : cert@ncsc.go.kr) 6 PC 25 (PC ) 30 ( ) 31 ( ) 1, 1., IPㆍMAC 33 ( ) 1,, 2,
ㆍ 3 USB 4 USB PC 5, ㆍ 6 7 8 USB ( 4) 34 ( ) 1 ㆍ,, ㆍ 1. PC ㆍ ㆍ 2., 3. ㆍ 4. (Unsigned) Active-X PC 5. 1 4 2 PC 1. 2. 3 4, 35 ( ) 1 ㆍ, 2 1 1., ㆍ 2. ㆍ, ㆍ, 3. ㆍ 4. 3,, 4 6 ㆍ 36 ( ) 1
1. 2. 3. 2 1.,, 2. 3. 4. ㆍ 5. 1 1 3 3 1 2 37 ( ) 1,, 1., 2., 3., 4.,,, ㆍ 2 3, ㆍ ㆍ ㆍ 4 ㆍ,, 5 38 ( ) 1 ( ㆍ ㆍ ㆍ ) 2, 3, 3, 1 4 ( 5) 3 39 ( ) 1 5 同法 8 ( ) ㆍ 2 1, 1. 2. 3. ㆍ 4. 5. ㆍ ㆍ
40 ( ㆍ ) 1 9 ㆍ 2 ㆍ ( ), 3 ㆍ, 4 ㆍ,,, 4 41 ( ) 1 ㆍ ㆍ 2 1 42 ( ) 1 ( ) ( ) 2 1, 1. (SSID, Service Set Identifier) 2. SSID 3. WPA2 (256 ) ( ) 4. MAC IP, DHCP 5. RADIUS(Remote Authentication Dial-In User Service) 6. ㆍ (AP) ㆍ ㆍ ㆍ ㆍ 3 1 2 43 ( ) 1 2 ㆍ 3 ㆍ ㆍ, 4 ㆍ, ㆍ ㆍ 44 ( ) 1 2 ㆍ ㆍ ㆍ 3 PC 4, 5
(2010.6, ) 45 ( ) 1, PC ㆍ 1. 2. 3. 4. 5. 2 1 3 4 USB, 46 ( ) 1 (WiBro, HSDPA ) ( ) 2 PC (USB ) 3 ㆍ 1 2 47 (RFID ) 1 RFID 2 1, 1. RFID ( ) ㆍ 2. 3., 3 1 2 48 (CCTV ) 1 CCTV, ㆍ, PC 2 CCTV 3 CCTV,,, 4 CCTV ㆍ IP 5 1 4 6 CCTV (CCTV _ 9) 49 ( ) 1 ( ) 2 1. ㆍ
2. 3. 4. 3 ㆍ 4 5 ( 5) 50 ( ) 1 ㆍ ( ) 1, 1. 2., 3. ㆍ PC 4. ㆍ ㆍ ㆍ ㆍ 2 ㆍ, ㆍ 3 2 ㆍ 4 2,, (2010.8, ) 51 ( ) 1 ㆍ 1. 2. 3. IP 4. 2, 1. (IP ) 2. 3. ㆍ 4. 3 2 ( ) 52 ( ) 1 ㆍ 1. 2. ㆍ 3. ㆍIP, ㆍ 4. ㆍ 5. ㆍ 6. ㆍ, 7.
2 ㆍ ㆍ ( ) 76 1 18 1. ㆍ IP 2. 3. ㆍ 4. ㆍ 5. ( ㆍ ) 6. 7. ㆍ (IPS) ㆍ 8. 9 1 9. 2 1 10. 4 7 3 11. 3 ㆍ, 4 1 3 5 ( 6) 53 ( ) 1, ㆍ ㆍ 2,, 3 52 ( ) 54 ( ) 1 ㆍ ㆍ ㆍ ㆍ ㆍ ㆍ 2 ㆍ 3 ㆍ ㆍ 4 PC 5 ㆍ 6 ㆍ 7 55 ( ) 1 ㆍ 2 1 1. (A )
2.,, 3. CDㆍ ㆍUSB 4. 3 1 ㆍ ㆍ ㆍ 4 5 ( ) 56 ( ) 1 (,, ) ㆍ 2 (2013.4, ) 57 ( ) 1 2 (2014, ) 58 ( ) 1 (2013.1, ) 2 4 ㆍ 1 59 ( ) 1 ㆍ ( ) 60 ( ) 1 ( ) 1.,,,,,, 2. ㆍ 3. ㆍ 4. (10 ) (100 ) 5. ㆍ 6. 7. 8. ㆍ IT 9. 10. 11. 2 1( ) 3 1
4 1.20 7 61 ( ) 1 2 58 1 3 62 ( ) 1 1. ( ) 2. (RFP) 3. ( IP ) 4. 2 1 4 1. (, ) 2. 3. ㆍ 4. 5.,, 6. 63 ( ),, 2 64 ( ), 65 ( ),, 3 66 ( ) 1 63, 2 1. 2. 3. 4. (L3 ㆍ ) L2 5. 58 3 2, 1. CC 2. 3. 4. 4 3 1 8, 12
3 15 67 ( ) 1 1.. 5 1. 6 1. 1. ( ㆍ ). CC ( ). 11 1. 12 1 2.. 5 1. 6 1. 1. ( ㆍ ). ( ). 1. 1 3.. 5 1. 9. ( ㆍ, Private MIB ). ( ). 1. 7. 10 1 ( ). CC ( ) 2 1 68 ( ) 1 2 30 69 ( ) 1 2, 30 70 ( ) 3 71 ( ) 1 2 72 ( ) 1 2
1. 2. 3. PC 4. 73 ( ) ㆍ 5 ㆍ 1 74 ( ㆍ ) 1 ㆍ ㆍ ㆍ ㆍ 2 24 3 ㆍ (2009.8, ) 2 75 ( ) 1 ㆍ ㆍ 2 1 1. 2. 3. 4. 76 ( ) 1 2, 1. 2., 3. 4. 2, ㆍ 6 77 ( ) ( ) 1. 2. 3. 4. 5. 6. 7. ( ) 8. (, ) 9. ( ) 10. 11. 12. ㆍ ( ) 13. 14.
15. 16. 1 통신보안위규사항 1 ( ) 조 구분 항 세부내용 (1) 북한통신소와의불법교신 1 (2) 국내침투간첩과의교신불온통신에 (3) 적성국 ( 또는반국가단체 ) 통신소와의불법교신관한사항 (4) 북한및적성국과인터넷을통한불법교신 (5) 그밖의반국가적인불온통신 2 군사상기밀의누설 (1) (2) (3) (4) (5) (6) (7) (8) 군사전략, 작전계획및진행사항군편제ㆍ임무ㆍ시설및그밖의부대현황병력 ( 군ㆍ경ㆍ예비군 ) 현황및이동상황경찰및특수기관의장비 ( 작전ㆍ정보ㆍ수사용 ) 현황과집행사항특수기관ㆍ군사시설의위치및이동상황군사장비의구성ㆍ성능및발명개량연구사항군사장비 ( 군수품등 ) 생산및공급사항그밖에국가방위에영향을초래하는사항 3 외교상기밀의누설 (1) (2) (3) (4) 국가외교방침, 기본계획및재외공관에발하는훈령공개할수없는외교조약또는협약특수임무를수행하는해외주재원의활동 ( 계획ㆍ지시ㆍ보고 ) 및신원정보에관한사항그밖의국가외교에영향을초래하는사항 4 국가정보활동에 관한사항누설 (1) (2) (3) (4) 대공업무와관련된사항정보 ( 첩보 ) 수집활동에관한사항간첩또는대공용의자발견과수사활동정보및특수수사기관의기구또는임무기능에관한사항
조구분항세부내용 2 4 국가정보활동에 관한사항누설 (5) (6) (7) (8) (9) (10) 국가원수및기타요인의비공개행사불명선박의발견및처리중요물자수송활동테러ㆍ마약ㆍ밀수및국제범죄조직에관한정보ㆍ수사활동적또는경쟁국에유리한과학기술및산업에관한정보그밖에국가안보및공안유지에불리한영향을초래하는사항 정보보안사고유형 조구분항세부내용 1 전자정보 ( 전자문서및전자기록물 ) (1) (2) (3) (4) 비밀의유출주전산기 ( 주요서버등 ) ㆍ대용량전자기록 (DB) 손괴전자정보의위조ㆍ변조ㆍ훼손및유출 PC 등단말기內비밀의평문보관및유통 5 국가용 보안시스템에관한 사항 (1) (2) (3) (4) (5) (6) (7) (8) 국가용보안시스템의연구개발및제작에관련된사항누설암호전문을허위로조립하여송신암호를부정한목적에사용하였을때암호문과평문의혼용및이중사용암호문작성시동일난수를 2회이상반복사용사용기간이경과된보안자재를계속사용암호문에평문을삽입하여송신그밖에국가용보안시스템보호체계를손상시킬우려가있는사항누설 2 정보시스템및정보통신실 (1) (2) (3) (4) (5) (6) (7) 정보통신망에대한해킹ㆍ악성코드의유포비밀이저장된 PC, 휴대용저장매체등분실중요정보시스템및정보통신실파괴고의적인중요정보시스템기능장애및정지상용메일등을통한비밀등중요자료무단소통비밀등중요자료의무단반출정보통신기기를통한비밀등중요자료무단소통 6 비인가통신시설및통신제원사용에관한사항 (1) (2) (3) (4) (5) 비인가된무선시설의설치운용비인가된무선시설과교신비인가된호출부호및주파수사용비인가된전파형식사용지정출력의초과사용 3 암호장비 (1) (2) (3) (4) (5) (6) 암호장비분실및피탈암호장비파손및임의파기암호장비복제ㆍ복사비인가암호장비사용암호장비비닉체계특성및제원노출암호장비키운용체계노출 7 허가목적외방법으로사용하는경우 (1) (2) (3) 허가목적업무와관련이없는통신군통신망에서군사업무와관련이없는통신그밖에사회질서를해하는통신 4 보안자재 (1) (2) (3) (4) 암호ㆍ음어ㆍ약호자재의분실및누설암호ㆍ음어ㆍ약호자재의파손및임의파기암호ㆍ음어ㆍ약호자재의임의제작사용세부암호체계노출
3 제품유형도입요건비고 침입차단시스템 CC 인증 (EAL2 이상 ) 침입탐지시스템 CC 인증 (EAL2 이상 ) 침입방지시스템 CC 인증 (EAL2 이상 ) 통합보안관리제품 CC 인증 (EAL2 이상 ) 웹응용프로그램침입차단제품 정보보호시스템유형별도입요건 CC 인증 (EAL2 이상 ) DDoS 대응장비 CC 인증 (EAL2 이상 ) 가상사설망 CC 인증 (EAL2 이상 ) 제품유형 도입요건 비고 서버기반가상화제품 CC인증 (EAL2이상) 망간자료전송제품 CC인증 (EAL2이상) 스마트카드 CC인증 (EAL2이상) 복합기 ( 완전삭제모듈탑재 ) CC인증 (EAL4이상) 14.1.1 부의무화 소스코드보안약점분석도구 CC인증 (EAL2이상) 14.6.1 부의무화 스마트폰보안관리제품 CC인증 (EAL2이상) 메일암호화제품 구간암호화제품 PKI 제품 SSO 제품 서버접근통제제품 CC인증 (EAL2이상) DB 접근통제제품 CC인증 (EAL2이상) 네트워크접근제어시스템 CC인증 (EAL2이상) 검증필암호모듈탑재필요 디스크 파일암호화제품문서암호화제품 (DRM 등 ) 키보드암호화제품 해당사항없음 검증필암호모듈탑재필요 인터넷전화보안제품 CC 인증 (EAL2 이상 ) 하드웨어보안토큰 무선침입방지시스템 CC 인증 (EAL2 이상 ) DB 암호화제품 무선랜인증제품 CC 인증 (EAL2 이상 ) 기타암호화제품 스팸메일차단제품 CC 인증 (EAL2 이상 ) 네트워크자료유출방지제품 CC인증 (EAL2이상) 호스트자료유출방지제품 CC인증 (EAL2이상) 안티바이러스제품 CC인증 (EAL2이상) PC 침입차단제품 CC인증 (EAL2이상) 패치관리시스템 CC인증 (EAL2이상) 매체제어제품 CC인증 (EAL2이상) 소프트웨어보안USB 제품 CC인증 (EAL2이상) PC가상화제품 CC인증 (EAL4이상) 암호화저장기능이존재하는경우검증필암호모듈필요 검증필암호모듈탑재필요 CC CC
[ 4] 2. 1. 분류암호알고리즘참조표준 블록암호 ARIA SEED (2014. 1 ) KS X 1213-1(2009) TTAS.KO-12.0004/R1(2005) IOS/IEC 18033-3(2010) 제품유형도입요건비고 RSAES RSA-PSS 공개키 (n) 길이 : 2048, 3072 (2014. 1 ) 해시함수 SHA-224 SHA-256 SHA-384 SHA-512 IOS/IEC 10118-3(2004) ISO/IEC 10118-3 amd 1(2006) 해시함수기반 HMAC IOS/IEC 9797-2(2011) KCDSA DH ECDSA EC-KCDSA ECDH B-233, B-283, K-233, K-283, P-224, P-256 IOS/IEC 11770-3(2008) NIST-FIPS 186-3 메시지인증코드 블록암호기반 GCM(GMAC) CCM, CMAC KS X 1213-2(2009) IOS/IEC 9797-1(2011) TTAS.KO-12.0131(2010) 난부발생기 해시함수 / HMAC 기반 블록암호기반 Hash_DRBG HMAC_DRBG CTR_DRBG IOS/IEC 18031(2005) NIST SP 800-90 키설정방식 DH ECDH IOS/IEC 11770-3(2008) NIST FIPS 186-3 공개키암호 RSAES IOS/IEC 18033-2(2006) 전자서명 RSA-PSS, KCDSA, ECDSA, EC-KCDSA IOS/IEC 14888-2(2008) IOS/IEC 14888-3(2006) TTAS.KO-12.0001/R1(2000) TTAS.KO-12.0015(2001) NIST FIPS 186-3
1 정보보안업무세부추진계획 2 정보보안업무심사분석 < > 1. 2. 1. 2. 3. 추진계획추진실적문제점개선대첵 3. 분야별사업명세부추진계획주관 관련부서비고 4. ( ) 부진사업원인및이유익년도추진계획 4. 도출내용조치내역담당부서 5., 6. ( )
3 4 전파측정활동결과보고 정보시스템관리대장 1. 연번 소속 취급자 ( 성명 ) 종류 ( 서버 PC 등 ) 관리번호도입일자비고 기간측정지점통신구간 주파수 (MHz) 신호세기 (dbm) 취약여부 비고 디지털 / 아날로그구분 3. 4.
5 6 정보보호시스템도입시확인사항 보안적합성검증신청서 항목명점검항목결과 기관명 운용부서 인증여부 EAL2 이상 CC인증획득여부 CC인증을받지않은경우, 국가용암호제품또는별도지정제품목록등재여부 도입목적 일치성 국가정보원장이검증한암호모듈탑재여부인증보고서또는운용정책문서와도입제품보안기능일치성여부기술제안요청서 (RFP) 에서요구하는보안기능구현여부시스템관리자지정여부 신청기관 운용환경 운용형태 연동시스템 사용자수 망구성 유선 무선 속도 ( 대여폭 ) 단독설치 운용 타보안제품과연동 대국민배포용 ERP KMS CRM 전자결재 기타그룹웨어 운용환경 감사기능지원여부주요업무및최대사용자등에대한가용성보장여부 사업명 업체명 대표자 시스템장애시대책수립여부 주소 전화번호 유지보수 보안적합성검증결과반영가능여부업체기술지원전담조직운영여부작동중단등긴급상황에대비한지원절차마련여부업체의유지보수매뉴얼제공여부 신청제품 제품명 평가기관 인증기관 CC 인증번호 암호검증번호 용역개발여부 예 등급 아니오 관리자설치 운영매뉴얼제공여부업체의제품운용교육제고여부신규취약성에대한통보및처리절차마련여부 O, X 담당자 암호모듈 전화번호휴대폰번호 E-mail 없음 있음 ( 검증 미검증 )
7 네트워크장비도입최소보안요구사항 대분류소항목내용 일정시간관리자활동이없는경우세션잠금또는세션종료기능 기본값 10 분이하 점검결과 대분류소항목내용 점검결과 안전한세션관리 관리자의동시원격접속세션을제한하는기능 하나의관리자세션유지 * 제품운영상화등단순모니터링만수행하는경우에는예회적으로허용 식별및인증 정보흐름통제 보안관리 디폴트관리자패스워드강제변경기능 안전한패스워드설정기능 인증실패대응기능 인증피드백보호기능 관리자 / 사용자인증정보의안전한저장여부 별도서버를통한사용자인증기능 * 별도인증서버연동을제공하는경우 관리자가설정한 ACL 규칙에따라트레픽을제어하는기능제공여부 SNMP 를이용한시스템모니터링및관리기능제공여부 제품출고시디폴트관리자패스워드설정금지 디폴트관리자패스워드설정된경우최초관리자접속시패스워드재설정요청 최소 9 자리이상, 영문대 / 소문자, 숫자, 특수문자중 3 가지이상규칙조합사용 설정된횟수 ( 기본값 5 회이하 ) 이상인증실패시일정시간 ( 기본 5 분이상 ) 접속제한등의대응기능제공 입력한패스워드정보를화면에서볼수없도록마스킹하는기능 평문 (Base64 와같은단순인코딩포함 ) 저장금지 제품에하드코딩금지 IEEE 802.1x 지원 RADIUS, TACACS + 서버등지원 ACL 규칙 (MAC, IP, 포트등 ) 을통한트래픽제어지원 IEEE 802.1Q VLAN, VLAN Trunking 지원 초기설정은 SNMP 서비스비활성 (Disable) 상태유지 최신 SNMP 버전 (V3) 지원 Private MIB 정보문서화제공 접근통제 전송데이터보호 감사기록 관리자인증정보재사용방지대응기능 * 웹 UI 를제공하는경우 다중사용자 / 그룹생성지원및사용자 / 그룹별접근권한설정기능 제품모니터링, 설정변경 / 삭제, 엔지니어진단, 복구모드등운영모드의안전한제공 제품과원격연결되모든통신수단간안전한암호통신프로토콜사용 감사데이터를생성하는기능 감사데이터에해당정보포함여부 감사증적의크기가디스크용량초과시대응행동 타임스탬프등대응기능제공 사용자별이름 (ID), 패스워드, 접근권한설정지원 제품이제공하는운영모드명시 각모드변경시명시적인증확인 운영모드별필요한최소한의명령만사용허용 관리자 PC에서원격으로관리콘솔접속시 SSL/TLS, HTTPS, SSH, IPSEC등사용지원 제품과외부서버와의원격으로연동시 SSL/TLS, HTTPS, SSH, IPSEC등사용지원 감사의기능의시작 / 종료 관리자에대한식별및인증성공 / 실패 제품설정변경내역, 보안기능수행내역 사건발생일시, 사건유형 사건을발생시킨주체의신원 ( 가능한경우 ) 작업내역및결과 ( 성공 / 실패 ) 오래된감사레코드덮어쓰기등대응내용 관리콘솔접속가능 IP 제한기능 IP 지정 (2 개이하로제한 ) 제품구동시, 정규운영동안주기적으로관맂자요청시자체시험을실행하는기능제공여부 제품관련 H/W( 메모리, 플래시등 ) 등의자체검사지원 제품관련 S/W( 커널, 운용프로그램등 ) 등의자체검사지원 자체시험 관리자에게제푸설정값및실행코드의무결성을검사하는기능 펌웨어업데이트시펌웨어파일의안전한무결성검증방법여부 전자서명생성 / 검증매커니즘이용등검증기능여부
8 정보보호시스템도입확인서 9 네트워크장비보안적합성검증신청서 기관명 관계중앙행정기관 담당자 담당자전화번호 운영부서 사업명 보안성검토 보안서검토문서표시 (OOO 보안서검토결과 (OO-OOOO, 2014.OO.OO)) 신청 기관 기관명 기관담당자 담당자전화번호 기관명 관계중앙행정기관 도입제품명 제조사 제품유형무선인증 CC 인증번호등급평가기관 암호모듈명 암호검증번호비고 NSS-0000-0000 EAL2 CM-00-0000 수량등 도입목적사업명업체명 대표자 주소전화번호 CC 인증번호 신청 제품명 * 신청제품이 2 종이상일경우, 추가기재 암호검증번호 제품 제품종류 L3 스위치, 라우터등 펌웨어파일명 평가기관 업체실무담당자 도입수량 00 대해시값 전화번호 휴대폰번호 E-mail 인증기관 등급 암호모듈 없음 있음 ( 검증 미검증 )
10 네트워크변경내용분석서. :,, 변경되기능 변경내용 1.. :,, 도입기관 개발업체 작 성 일 작 성 자 로그인. 항목 영향분석. :,, 제품명 버 전 펌웨어파일명 ( 해시값 ) 검증일 펌웨어변경유무 펌웨어변경유무 변경전 변경후. 제품명버전변경승인일변경승인내용. 변경되기능시험내용시험결과 2.. 前 / 後 소프트웨어하드웨어제품명변경전변경후변경전변경후 ( 23 )
11 정보보호시스템보안기능점검표 대분류보안기능요구사항점검결과비고 감사기록 식별및인증 감사의시작 / 종료, 관리자또는사용자에대한식별및인증성공 / 실패, 제품설정변경내역, 보안기능수행내역등감사데이터생성 * 네트워크차단기능이있는경우허용및차단된모든트레픽에대한감사데이터생성감사데이터는사건발생일시, 사건유형, 사건을발생시킨주체의신원 ( 가능경우 ), 작업내역및결과 ( 성공 / 실패 ) 를상세히포함인가된관리자가제품구성요소로부터생성된모든감사데이터를검토할수있는기능제공인가된관리자또는인가된사용자가 AND, OR 등논리적관계기준에기초하여감사레코드를선택적으로검토감사증적내저장된감사레코드에대해비인가된삭제또는변경이발생하지않도록보호 - 인가된관리자라할지라도삭제또는변경할수없도록삭제 변경관련유저인터페이스 (UI) 가제공되지않아야함 - 감사레코드에대한보호대책을제품의보안기능으로완전히구현할수없는경우, 운용환경의지원을받을수있음감사증적의크기가지정된한도를초과할경우, 사전정의한방식에따라관리자에게통보감사증적의포화시적절한방법 ( 예 : 오래된감사레코드덮어쓰기등 ) 으로저장실패에대응주요사건에대한정확한시각정보생성을위해신뢰된 OS 등을이용하여시간정보를생성잠재적인보안위반을탐지한경우, 인간되관리자가설청한대응 ( 예 : 경보메시지발송등 ) 을수행 관리자또는사용자신원을검증하기위해식별및인증기능제고 관리자인증실패가설정된횟수 ( 기본값 5 회이하 ) 에도달하면, 인가된관리자가설정한시간 ( 기본값 5 분이상 ) 동안식별및인증기능이비활성패스워드등록시보안성기준 ( 영문대문자 / 영문소문자 / 숫자 / 특수문자중 3 가지이상의규칙조합및 9 자리이상의구성 ) 을만족하는검증인증이진행된는동안관리자또는사용자에게패스워드가마스킹 ( 예 : **** 등 ) 되어보이도록해야함식별및인증실패시, 실패이유에대한피드백 ( 예 : ID 오류, 패스워드오류등 ) 을제공하지않아야함관리자가제품에최초접속시제품이기본적 ( 예 : 설치시등 ) 으로제공하는 ID 및패스워드의변경을강제화하는기능제공관리자의패스워드가제품에하드코딩되거나평문 ( 단순인코딩포함 ) 으로저장되지않아야함 인증정보가재사용되는것을방지 ( 타임스탬프사용등 ) 해야함 대분류보안기능요구사항점검결과비고 보안관리 전송데이터보호 자체시험 안전한 세션관리 정보흐름통제 인가된관리자가보안기능, 보안정책및중요데이터등을설정및관리할수있는보안기능제공사전등록된 IP주소의관리콘솔 ( 관리자 IP주소등록은 2개이하로제한 ) 만제품에접속할수있도록해야함. 물리적으로분리된제품구성요소간전송데이터 ( 보안정책, 제어명령, 감사기록등 ) 에대한암호화를통해기밀성및무결성보장 - 에이전트와관리서버간전송되는데이터에대한기밀성및무결성보장을위해상호인증을수행 - 암호모듈검증제도에서검증대상으로지정된안전한암호알고리즘사용을권고 - 관제대상시스템으로부터로그를 SYSLOG형태로수신하는경우본요구사항은적용되지않음. 단전송과정에서로그정보가훼손될수있으므로동일로컬네트워크내에서만 SYSLOG사용등보호대책을마련해야함. 관리자의웹브라우저를이용한접속등제품과원격으로연결된모든통신수단은안전한암호통신프로토콜을사용제품의정확한운영을보장하기위해시동시와정규운영동안주기적으로자체시험을실행인가된관리자에게제품의설정값및제품자체의무결성을검증하는기능제공로그인이후일정시간 ( 기본값 10분이하 ) 동안동작이없을경우세션잠금또는세션종료기능을수행로그인이후다른단말에서동일계정또는동일권한으로로그인을다시수행하는경우, 신규접속을차단하거나이전접속을종료 * 제품운영상황등에대한모니터링만수행하는관리자계정에대해서는중복로 그인허용가능인가된관리자에의한설정된규칙에따라인입및인출트래픽을차단 - 정보흐름통제규칙은개별또는특정대역의출발지 / 목적지주소및포트등다양한정보에의해구성 - 3,000개이상의차단규칙생성 관리 (IPS에한함 ) - 기본적으로모든트래픽을차단한뒤, 규칙에따라특정서비스 / 포트및출발지 / 목적지주소기반은화이트리스트방식이, 시그니처또는유해사이트목록기반은블랙리스트방식을적용을권고하나장애시모든트래픽을통과시킬수있는기능은제공되지않아야함. 제품설정등을통해다음의정보흐름차단가능 - 외부로부터들어오는트래픽중내부 IP주소가출발지인트래픽 - 내부에서나가는트래픽중외부 IP주소가출발지인트래픽 - 외부로부터들어오는트래픽중브로드캐스트주소가목적지인트래픽 - 외부로부터들어오는트래픽중루프백주소가목적지인트래픽 - 외부로부터들어오는트래픽중비정상적인패킷형식을가지는트래픽
12 운영점검사항 항목별운영점검사항점검결과비고 보안정책설정 우회방지 인증서운영 최신버전소프트웨어설치 불필요한서비스제거 안전한업데이트적용 도입기관의보안정책에근거하여제품의보안기능정책을설정 SSH 터널링을통한제품의차단기능우회를방지 제품의관리콘솔에설정된서버인증서는기관에설치시발급된유일한인증서이어야하며인증서공개키는 RSA 2048비트이상또는그와동등한안전성을보장하는키길이이어야한다. 인증서서명알고리즘및해쉬알고리즘은암호모듈검증제도에서명시된검증대상암호알고리즘이어야한다. - 발급자 : 도입기관에서지정한신뢰기관확인 - 유효기간 : 유효기간만료여부확인 - 주체 : 인증서발급대상자확인 - 공개키 : 제품별로상이한공개키가사용되는지다른제품인증서의공개키값과비교 - 공개키길이 : RSA 2048비트이상 - 해쉬함수 : SHA 224, SHA 256등 (224비트이상출력알고리즘 ) 도입제품에서사용되는 SNMP, OpenSSL, OpenSSH, DBMS 모듈이최신버전이아닌경우취약성을가지고있을수있으므로해당버전을확인 - SNMP V3 사용 - 최신버전의 OpenSSL, OpenSSH 버전사용 제품에불필요한서비스가동작하지않아야함. 업데이트대상및방식을참조하여업데이트정책을수립 [ 업데이트대상 ] - 공격패턴파일, 차단엔지, 기타실행파일 / 설정파일등제품주영업데이트파일 [ 업데이트방식 ] - 온라인업데이트 : 제품개발업체업데이트서버를통한온라인업데이트방식의경우업데이트서버에대한인증과업데이트데이터에대한기밀성및무결성검증기능이제공되어야함. - 오프라인업데이트 : 제품개발업체로부터오프라인방식으로업데이트데이터를제공받고업데이트적용시데이터에대한무결성검증기능이제공되어야함. [ 업데이트관리 ] - 제품이제공하는업데이트방식을확인하여업데이트정책을수립하고적절한업데이트가이루어질수있도록해야함. - 업데이트시제품의주요엔진을변경하는경우도입된 CC 인증제품에대한형상변경을가져올수도있음. 업데이트정책수립시업체와업데이트되는내용을협으하여도입제품에대해무단형상변경이발생하지않도록유의해야함. 항목별운영점검사항점검결과비고 백업 관리자운영 관리자는감사기록유실에대비하여감사데이터저장소의여유공간을주기적으로확인하고감사기록이소진되지않도록감사기록백업등을수행관리서버는인가된관리자만접근가능한물리적으로안전한환경에설치 운영되어야하며외부원격관리를허용하지않아야함. 원격관리는원칙적으로금지하나불가피한경우내부망의지정된단말기에서만접속하도록통제하여야함. - 관리콘솔에접근가능한관리자 IP주소는화이트리스트방식으로설정 3 CC
13 서약서 - ( ) - 본인은년월일부로국가용보안시스템관련한업무 ( 연구개발, 제작, 입찰, 그밖의업무 ) 를수행함에있어다음사항을준수할것을엄숙히서약합니다. 1. 본인은국가용보안시스템과관련되소관업무가국가기밀사항임을인정하고제반 1. 2. 3. 4. USB 5. 6. 보안관계규정및지침을성실히준수한다. 2. 나는이기밀을누설함이이적행위가됨을명심하고재직중은물론퇴직후에도 알게된모든기밀사항을일절타인에게누설하지아니한다. 3. 나는기밀을누설한때에는아래의관계법규에따라엄중한처벌을받을것을 서약한다. 가. 국가보안법제 4 조제 1 항제 2 호및제 5 호 ( 국가기밀누설등 ) 나. 형법제 99 조 ( 일반이적 ) 및제 127 조 ( 공무상비밀의누설 ) 년월일 ( 서약자 ) 소속직급직위성명인 ( 서약집행자 ) 소속직급직위성명인
1 ( ) IT [ ] 1 2 (10 ) (100 ) DB 3 4 IT 5, 1 PC PC, 2 CCTV 3, (VPN) USB 4 旣
2 2. PC 순번세부점검사항비고 1. 1 PC 서버에설치되운영체제및응용프로그램을최신보안업데이트하였는가? 순번세부점검사항비고 1 정보보안업무내규를수립하고있는가? 2 매년정보보안업무활동계획을수립 시행하고심사분석하는가? 3 정보보안업무전담조직및직원 ( 정보보안담당관 ) 이지정되어있는가? 4 소속 산하기관대상정보보안감사 점검 지도방문을실시하는가? 5 소속 산하기관대상정보보안교육을실시하고있는가? 6 사이버보안진단의날을내실있게수행하는가? 7 정보보안위규 사고, 정보통신망장애발생시보고체계및조치절차가있는가? 8 정보시스템사용자에대한심사등인적보안절차 방법을강구중인가? 9 조직변경등인사이동시정보시스템접근권한을신속하게조정하는가? 10 서버 PC 등정보시스템현황을제대로파악하는가? 11 정보통신장비 ( 노트북등 ) 반출입통제를철저히하는가? 12 업무자료를상용전자우편으로전송하고있지않는가? 13 정보통신망구축및유지보수업무를수행하는외부인력에대한신원확인및보안서약서징구등충분한보안조치를하고있는가? 14 용역업체직원의내부정보시스템접근을통제하고있는가? 15 홈페이지에자료게재시자체보안성검토를시행하고있는가? 16 중요정보화사업에대하여국가정보원에보안성검토를의뢰하는가? 17 18 정보보호시스템 ( 암호모듈포함 ) 도입시보안적합성검증절차를준수하는가? 비밀을전자적으로처리할경우국가용보안시스템으로암호화하는등규정을준수하는가? 2 백신프로그램이자동업데이트되고실시간감시기능이설정되어있는가? 3 인터넷 PC 에업무관련자료 ( 비밀포함 ) 를보관하고있는가? 4 업무용 PC 에비밀이평문으로저장되어있는가? 5 P2P, 웹하드, 메신저등업무에무관한서비스가허용되거나비인가프로그램을사용하지않도록보안조치하는가? 6 비인가자접근방지를위하여 PC 부팅비밀번호를설정했는가? 7 서버내저장자료는중요도에따라권한설정이되어있는가? 8 9 10 11 공개서버가 DMZ 구간에위치하는등정보통신망구성측면에서 PC 및서버등의위치가적정한가? 인가받지않은휴대용저장매체 (USB 메모리, 이동형하드디스크, 메모리카드등 ) 를반입 휴대하고있는가? 전자우편비밀번호설정시특수문자포함, 8 자리이상으로설정하고주기적으로변경하여사용하는가? 비밀은비밀용 USB 메모리를별도지정하여저장하고비밀관리기록부에등재하여사용하고있는가? 12 서버등정보시스템접근기록을유지관리하는가? 13 14 15 PC 서버에비인가 USB 메모리등비인가정보통신기기연결시작동되지않도록보안설정되어있는가? PC 노트북등저장매체가있는기기의고장시저장된자료의완전삭제를확인하고외부에수리를의뢰하는가? 중요정보가저장된매체불용처리시전용소자장치로삭제하거나파쇄 용해등물리적으로완전파기하고있는가?
3. 순번세부점검사항비고 4. 순번세부점검사항비고 1 정보시스템세부구성도 (IP 포함 ) 를최신으로유지하면서대외비이상비밀로관리하고있는가? 1 제어시스템이인터넷과분리운영되는등제어정보망보안관리가양호한가? 2 업무자료를소통하기우한내부망은인터넷과분리운영하는가? 3 업무망 인터넷간자료공유방안이적정한가? 4 업무자료를소통하기위한내부망구축시사설주소체계 (NAT) 를적용하는가? 5 국가정보원장이안전성을검증한정보보호시스템을운용하고있는가? 6 네트워크를통한파일공유를제한하고있는가? 7 8 스위치 라우터등네트워크장비와서버는비인가자가접속못하도록 IP MAC 통제등보안설정하고불필요한서비스포트를제거하는가? 스위치 라우터등네트워크장비펌웨어업데이트시안전성을확인하고있는가? 9 와이브로, 무선랜등허가받지않은인터넷접속경로가존재하는가? 10 첨단정보통신기기를이용한내부업무자료유출방지대책이충분한가? 11 12 13 14 시스템최초설치시등록된관리자계정 ( 회사명등 ) 패스워드를변경하였는가? 장비신규도입, IP 할당내역등전산망구성변동시관련사항을기록하는가? 중요업무처리 PC 는인터넷연결을금지하고이사유무를수시로점검하는가? 무선네트워크, 인터넷전화구축시사전에국가정보원의보안성검토를받았는가? 15 홈페이지에대한보안취약점을주기적으로점검하는가? 16 불가피한사정상무선중계기를설치하였을경우 WPA2 이상보안설정을하였는가? 17 직원의재택 파견 이동근무등원격근무시보안관리절차가충분한가? 2 주요정보통신기반시설의보안취약점을주기적으로분석 평가하는가? 3 4 5 6 주요정보통신기반시설취약점분석 평가세부결과를중요자료로관리하는가? 인위적 자연적원인에따를정보통신망장애대비백업등재난방지대책을강구하였는가? 통합전산센터, 정보통신실등중요정보통신시설을보호구역으로관리하는가? 사무실책상서랍등에비밀문건이나비인가정보통신기기가방치되어있는지주기적으로확인하는가? 7 외부인의정보통신실출입이통제되고관련기록이관리되는가? 8 9 10 무정전전원공급장치설치등비상시전력장애에대한대책을강구하고있는가? 침입자동경보장치, CCTV 등보안장비와방화장비 ( 하론소화기등 ) 정상동작여부를정기적으로점검하고있는가? 정보통신시설에관련시스템긴급파기를위한장비 ( 해머등 ) 를비치하였는가? 11 정보통신시설에대한접근권한을업무목적에따라차등적용하고있는가? 12 외부인이청사내출입할경우출입통제를실시하고있는가? 13 주기적으로무선도청탐지활동을실시하는가? 14 15 주기적으로스마트폰 인터넷전화등에의한도청취약점을확인하여조치하고있는가? 통신 ( 전화등 ) 단자함에시건장치를하여비인가자가무단접근할수없도록조치되어있는가? 16 정보통신장비수리 점검시정보보안담당관이입회하고있는가? 17 중요한회의에는무선전화기, 무선마이크, 인터콤등도청에취약한무선통신기기사용을통제하고있는가? 18 제어시스템을독립망으로운영하는가? 19 ( 제어정보를 OA 망으로전달할경우 ) 제어망 OA 망으로일방향통신을하는가?
3 4 분야평가지표항목 1. 정보보안정책 (18, 19, 19) 2. 정보자산보안관리 (16) 3. 인적보안 (21) 4. 사이버위기관리 (16, 15, 15) 5. 전자정보보안 (19) 6. 정보시스템보안 (25) 지표 1.1 정보보안규정및계획 3 개 2 점 1.2 정보보안조직및예산 3 개 4 점 1.3 정보보안기본활동 7 개 5 점 1.4 기관장관심도 3 개 4 점 1.5 주요정보통신기반시설보호 2 개 2 점 2.1 정보자산승인및관리 6 개 4 점 2.2 국가용보안시스템 2 개 1 점 2.3 보호구역관리 3 개 2 점 2.4 휴대용저장매체관리 2 개 1 점 2.5 클라우드컴퓨팅보안 3 개 2 점 3.1 내부인원보안 2 개 1 점 3.2 용역업체보안관리 14 개 17 점 3.3 정보보안교육 5 개 4 점 4.1 사이버위기관리체계구축 2 개 1 점 4.2 예방활동 5 개 4 점 4.3 사이버위기대응훈련 5 개 7 점 4.4 사이버침해사고대응 복구 4 개 3 점 5.1 비밀의전사적관리 3 개 2 점 5.2 전자우편보안 2 개 2 점 5.3 웹서비스보안 4 개 4 점 5.4 전자정보유출방지 6 개 5 점 5.5 사용자인증 4 개 3 점 6.1 정보보호시스템및네트워크장비보안 4 개 3 점 6.2 무선랜보안 2 개 1 점 6.3 정보통신망보안 5 개 7 점 6.4 정보시스템운용관리 4 개 3 점 6.5 PC 보안 7 개 5 점 6.6 로그및백업 3 개 1 점 합계 28 개지표 115 개 100 점 배점 분야 17 점 10 점 22 점 15 점 16 점 20 점 1 ( ) 33 8 USB(Universal Serial Bus) 2 ( ) 3 ( ) 1., (HDD), USB, CD(Compact Disk), DVD(Digital Versatile Disk) PC 2. ( ) 3. ( ) 4. ( ),,,, 5. ( ) 4 (USB ) 1 USB 56 3 同法 69 2 1 6 5 ( ) 1
2 7 1 2 ( ) 6 ( ) 1 2 USB, 3 7 ( ) 1 2, 1 2, ( ) 3, 1 4 1 3 5 4 ( 4 ), 6 7 6 ( ) 8 ( ) 1 2 5 6 3 4, 5 6 4 5, 9 ( ) 1, ( ) 2 ( ) 1. ( ) 1 2., 3. 5 4.,, ( : - -01, - -02 ) 3 ( ) 1. 2 2. 3. 5 4. PC 5.,
6.,, ( : -Ⅱ -01, -Ⅲ -01, - -01 ) 4 3 20 ( ) 4) 1 연번 관리번호 (S/N) 휴대용저장매체관리대장 ( 일반용 ) < : > 매체형태등록일자취급자불용처리일자불용처리방법 ( 재사용용도 ) 비고 10 ( ) 1 2 6 11 (, ) 1 2 3 4 12 (, ) 1,, 10, 2 1,,
4) 2 휴대용저장매체관리대장 ( 비밀용 ) < : > 4) 3 휴대용저장매체점검대장 < : > 연번 관리번호 (S/N) 등급매체형태등록일자취급자불용처리일자불용처리방법 ( 재사용용도 ) 비고 점검일시 현보유수량이상점검관 Ⅱ 급 Ⅲ 급대외비일반유무성명서명 비고 ( 서명 )
4) 4 휴대용저장매체 ( 전산장비포함 ) 반출 입대장 4) 5 휴대용저장매체라벨 < : > 장비명 관리번호 (S/N) 사용자용도 전출입일시 ( 입 출구분 ) 비고 일반 / 비밀용 ( 인 ) 관리번호표기 2.5cm 정 부 5cm <, HDD > 일반 / 비밀용 ( 인 ) 관리번호표기 1cm 5cm. 同. / ( ).., (USB CD ).
4) 6 5 휴대용저장매체불용처리확인서 ( ) ( ) 연번 관리번호 (S/N) 매체형태사유불용처리재사용 1 ( ) 38 4 2 ( ) 1. 2., 3. ( 消磁 ) 0 4. (0 1) 3 ( ) ( ) : : : ( ) : : ( ) 4 ( ) 1. 2. 3. 4. 5.
5 ( ) 1 2 6 ( ) 1 ( ) 2, 3, 1 3 7 ( ) 1 2 8 ( ) 1, 2 9 ( ) 1 2, 3 10 ( ) 11 ( ) 5) 저장매체 저장자료 정보시스템저장매체 자료별삭제방법 공개자료 민감자료 ( 개인정보등 ) 비밀자료 ( 대외비포함 ) 플로피디스크가가가 광디스크 (CD ㆍ DVD 등 ) 가가가 자기테이프가ㆍ나중택일가ㆍ나중택일가 SSD ㆍ USB 등반도체메모리 (EEPROM 등 ) 가ㆍ라중택일가ㆍ다중택일가ㆍ다중택일 완전포맷이되지않는저장매체는가방법사용 하드디스크라가ㆍ나ㆍ다중택일가ㆍ나중택일 가 : ( ㆍ ㆍ ) * ㆍ 0.8m 나 : 消磁 * 磁氣力 磁氣力 다 : 3 *, 0, 1 라 : 1 *
6 2.,,,, ❶ 입찰시 용역사업에대한보안관리계획평가 ❷ 계약시 보안준수사항및배상책임명시 ❸ 수행시 참여인원보안조치 ( 인원 문서 장비등에대한보안점검 교육 ❹ 종료시 제공자료 산출물전량회수등보안조치 * 2010.10.22. 76, 1.,,,, ( ) ( ) * 54 ( ) 本 3. [ ] 前 *,
[ ], PC USB [ ] P2P, *, [ ] CCTV - (ID) - - - PC, P2P, 4.,
PC S/W * ( 5) 6) 보안서약서 5. 76 * 他 본인은년월일부로관련용역사업 ( 업무 ) 을수행함에있어다음사항을준수할것을엄숙히서약합니다. 1. 본인은관련업무중알게될일체의내용이직무상기밀사항임을인정한다. 2. 본인은이기밀을누설함이국가안전보장및국가이익에위해가될수있음을인식하여업무수행중지득한제반기밀사항을일체누설하거나공개하지아니한다. 3. 본인이이기밀을누설하거나관계규정을위반한때에는관련법령및계약에따라어떠한처벌및불이익도감수한다. 4. 본인은하도급업체를통한사업수행시하도급업체로인해발생하는위반사항에대하여모든책임을부담한다. 년월일 서약자 업 체 명 : ( 업체대표 ) 직 위 : 성 명 : ( 서명 ) 생년월일 : 서약집행자 소 속 : ( 담당공무원 ) 직 위 : 성 명 : ( 서명 ) 생년월일 :