2011



Similar documents

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

*2008년1월호진짜

암호내지

Windows 8에서 BioStar 1 설치하기

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

ActFax 4.31 Local Privilege Escalation Exploit

SBR-100S User Manual

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

PowerPoint 프레젠테이션

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

온습도 판넬미터(JTH-05) 사양서V1.0

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

컴퓨터관리2번째시간

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

ThinkVantage Fingerprint Software

Microsoft PowerPoint - chap01-C언어개요.pptx

View Licenses and Services (customer)

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

좀비PC

<312E20C0AFC0CFC4B3B5E55F C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

untitled

H3250_Wi-Fi_E.book

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

RHEV 2.2 인증서 만료 확인 및 갱신

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

5th-KOR-SANGFOR NGAF(CC)

1. 주요시설의출입구에신원확인이가능한출입통제장치를설치할것 2. 집적정보통신시설을출입하는자의신원등출입기록을유지 보관할것 3. 주요시설출입구와전산실및통신장비실내부에 CCTV를설치할것 4. 고객의정보시스템장비를잠금장치가있는구조물에설치할것 2 사업자는제1항에따른보호조치를효율적

목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여

CR hwp

게시판 스팸 실시간 차단 시스템

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

ad hwp

Xcovery 사용설명서

PowerPoint 프레젠테이션

wtu05_ÃÖÁ¾

Adobe Flash 취약점 분석 (CVE )

Network seminar.key

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

부서: 기획감사실 정책: 지방행정 역량 강화 단위: 군정운영 및 의회협력 행정협의회 분담금 20,000,000원*1식 20, 행사운영비 2,000 2,000 0 행정협의회 지원 2,000,000원*1식 2,000 의원상해 지원 36,000 36,

사용자계정관리 1. 사용자계정관리 사용자 (user), 그룹 (group) u 다중사용자시스템 (Multi-User System) - 1 대의시스템을동시에여러사람이접속하여쓸수있게하는시스템 u 사용자 (user) - 시스템관리자 : root (=Super user) -

¾Æµ¿ÇÐ´ë º»¹®.hwp

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

Straight Through Communication

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks


4. 스위치재부팅을실시한다. ( 만약, Save 질문이나오면 'no' 를실시한다.) SWx#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] (

SIGIL 완벽입문

운영체제실습_명령어

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

PowerPoint 프레젠테이션

StruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare Cen

내지(교사용) 4-6부

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

[Brochure] KOR_TunA

MF Driver Installation Guide

Windows 10 General Announcement v1.0-KO

Cloud Friendly System Architecture

슬라이드 1

歯 조선일보.PDF

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B


1. 정보보호 개요

라우터

System Recovery 사용자 매뉴얼

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

TTA Journal No.157_서체변경.indd

6강.hwp

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt

PowerPoint Template

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

로거 자료실

부서: 기획감사담당관실 정책: 재정운영 단위: 건전재정운영 02 공공운영비 공공요금 및 제세 300 ㅇ지방재정학회비 여비 99,000 99, 국내여비 99,000 99,000 0 예산관련 업무추진 14,000 시정주요업무추

4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정

untitled

특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가

파워포인트배경(블랙과 레드의 체크패턴)

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

PowerPoint 프레젠테이션

The Pocket Guide to TCP/IP Sockets: C Version

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

Microsoft Word - src.doc

Transcription:

- 목 차 - Ⅰ. 취약점 분석 평가 개요 1 주 요 정 보 통 신 기 반 시 설 취 약 점 분 석 평 가 기 준 Ⅱ. 취약점 분석 평가 수행 주체 및 주기 2 수행 주체 2 수행 주기 2 Ⅲ. 취약점 분석 평가의 범위 및 항목 3 Ⅳ. 수행 절차 및 방법 4 1단계 : 취약점 분석 평가 계획 수립 4 2012. 12. 2단계 : 취약점 분석 평가 대 선별 4 3단계 : 취약점 분석 수행 5 4단계 : 취약점 평가 수행 6 Ⅴ. 기타사항 6 [붙임1] 취약점 분석 평가 전담반 구성 기준 행 정 안 전 부 [붙임2] 취약점 분석 평가 기본항목 [붙임3] 취약점 분석 평가 선택 점검항목 [붙임4] 취약점 분석 평가 점수 산출식 예시

Ⅰ. 취약점 분석 평가 개요 Ⅱ. 취약점 분석 평가 수행 주체 및 주기 o 취약점 분석 평가란, 악성코드 유포, 해킹 등 사이버 위협에 대한 주요정보통신기반시설의 취약점을 종합적으로 분석 및 평가 개선 는 일련의 과정을 말함 - 주요정보통신기반시설의 안정적 운영을 위협는 사이버보안 점검항목과 항목별 세부 점검항목을 도출여 취약점 분석을 실시 - 발견된 취약점에 대한 위험등급 부여, 개선방향 수립 등의 유기적인 평가 수행 수행 주체 o 주요정보통신기반시설의 기관이 직접 수행할 경우 자체 전담반을 구성여 운영 - 정보통신기반 보호법 시행령[별표1 : 취약점 분석 평가 전담반 구성 기준] [붙임1] o 기관이 외부기관에게 위탁할 경우, 지식정보보안 컨설팅전문업체 등 전문기관에 위탁 수행 - 전문기관 : 한국인터넷진흥원, 정보공유 분석센터, 한국전자통신연구원, 지식정보보안 컨설팅전문업체 등 (정보통신기반 보호법 제9조) 지식정보보안 컨설팅전문업체(정보통신산업진흥법 제33조) : 롯데정보통신, 시큐아이닷컴, 싸이버원, 안랩, 에스티지시큐리티, 에이쓰리시큐리티, 인포섹 이 7개 (2012년 11월 기준) < 관련 근거 > 수행 주기 정보통신기반 보호법 제9조(취약점의 분석 평가) 1기관의 장은 대통령이 정는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석 평가여야 한다. --------- (략) ------------------- 4행정안전부장관은 관계앙행정기관의 장 및 국가정보원장과 협의여 제1항의 규정에 의한 취약점 분석 평가에 관한 기준을 정고 이를 관계앙행정기관의 장에게 통보여야 한다. o 주요정보통신기반시설로 지정된 첫 회는 지정 후 6개월 이내에 취약점 분석 평가를 실시 - 6개월 이내 취약점 분석 평가를 수행치 못할 경우 관할 앙행정 기관의 장의 승인을 얻어 3개월 연장가능(총9개월) - 주요정보통신기반시설로 최초 지정일로 부터 6개월 이전 취약점 분석 평가를 였을 경우 수행한 것으로 간주 단, 6개월 이내의 취약점 분석 평가 수행 내용이 본 기준에 부합할 경우에 한여 인정

o 매년 정기적으로 취약점 분석 평가 실시 - 취약점 분석 평가는 가용자원과 대시설 식별, 자산 요도 산정 및 해당 시스템 대한 정밀분석 실시 - 취약점 분석 평가 대시설에 대한 변화가 있거나, 기관의 장이 필요다고 판단는 경우에는 1년이 되지않아도 취약점 분석 평가를 실시할 수 있음 Ⅳ. 수행 절차 및 방법 수행절차 : 4단계 구성 Ⅲ. 취약점 분석 평가의 범위 및 항목 o 취약점 분석 평가의 범위는 주요정보통신기반시설의 세부시설로 정의된 정보시스템 자산, 제어시스템 자산, 의료시스템 자산 등 - 정보시스템 자산에 직 간접적으로 관여는 물리적 적 기술적 분야를 포함 o 정보통신기반시설과 연계된 타 시스템이 있을 경우는 연계 시스템이 기반시설에 미치는 영향을 포함 연계된 타 시스템이란 내부 시스템과 외부 기관과의 연계전용망, 원격 접속을 위한 VPN 망, 인터넷 연결망 등의 접속구간과 정보시스템을 의미 o 취약점 분석 평가 기본항목은 1적, 2물리적, 3기술적으로 구분 - 기본 항목은 3단계( )로 요도를 분리 - 기본 항목의 요도 인 점검항목은 필수적으로 점검[붙임2] - 기본 항목의, 항목은 기관의 사정에 따라 선택점검[붙임3] 점검결과 사용되지 않거나, 불필요한 항목은 안전한 설정값 변환 등 보호대책 마련 1단계 : 취약점 분석 평가 계획 수립 o 평가계획은 수행주체(자체 외부위탁), 수행절차, 소요예산, 산출물 등 취약점 분석 평가를 위한 세부계획을 수립 2단계 : 취약점 분석 평가 대 선별 o 기반시설의 IT자산, 제어시스템자산, 의료장비 등 자산을 식별고, 유형별로 그룹화여, 취약점 분석 평가 대목록 작성 자산 분류 예시 유 형 설 명 네트워크장비 보안장비 시스템장비 네트워크와 관련된 라우터, 스위치 등 사이버보안을 위한 방화벽, 침입차단시스템 등 서비스 및 업무를 위한 서버, 제어PC(HMI) 등의 시스템을 말며 O/S 등 소프트웨어 포함 o 식별된 대목록의 각 자산에 대여 요도를 산정 주요정보통신기반시설의 특성을 고려여, 1~3등급 등으로 구분

3단계 : 취약점 분석 수행 o 취약점 분석 평가를 위한 적/물리적/기술적 세부 점검항목표 수립 - [붙임2]로 제시된 취약점 점검항목을 기본으로 며, 기관별 특성에 따라 추가 보완여 점검표를 작성 - 특정 시스템(특정OS, 특정DB 등)에 대해서는 [붙임2]의 점검항목을 기반으로 일부 항목을 조정여 점검표 마련 예) VMS, OS/2 등의 특정OS 시스템은 붙임2의 유닉스 점검항목을 기반으로 점검을 수행고 시스템 황에 따라 일부 항목을 가감 주요 점검내용 구 분 설 명 4단계 : 취약점 평가 수행 o 취약점 분석 결과에 대해 세부내용을 서술고 발견된 취약점별 위험등급 표시 및 개선방향 수립을 원칙으로 함 - 위험등급은 등 3단계로 표시 비밀성, 무결성, 가용성을 고려여 위험등급( )을 정의고 구분 - 위험등급 은 조기개선,, 는 기 또는 장기개선으로 구분여 개선방향 수립 o 다만, 취약점 분석 평가 결과에 대해 정량적인 점수(100점 만점)로 산출 를 희망는 기관은 [붙임4]의 산출식 예시를 참고 여 수행 적 물리적 기술적 정보보호 정책 수립 및 취약점, 정보보호 조직 및 인적 보안 취약점, 정보보호 인식 및 교육훈련 부재 등 적 측면 점검 주요정보통신기반시설 출입자 통제 및 감시 소홀, 지원설비(전원 공급장치, 소방시설 등) 설치 유무 등 물리적 측면 점검 비인가자에 의한 시스템 취약점, 정보 유출 및 변조 취약점, 서비스 지연 및 마비 가능성 등의 기술적 측면 점검 취약점 분석 평가 결과에 대한 정량적인 점수 산출은 기관의 시범적용 사례를 토대로 유효성, 적정성을 분석 후 필요시 향후 전면시행 검토 예정 Ⅴ. 기타사항 o 취약점 분석요령은 적/물리적/기술적으로 구분여 확인 - 적 점검 요령은 정보보호 정책/지침 등 관련 문서 확인과 정보보호 담당자, 시스템 자, 사용자 등과의 면담으로 확인 - 물리적 점검 요령은 전산실, 현관, 발전실 등의 통제구역을 실사 여 확인 - 기술적 점검 요령은 점검도구(툴), 수동점검, 모의해킹 등을 통해 확인 직전년도에 발견된 취약점에 대해서는 점적인 확인 수행 o 취약점 분석 평가에서 발견된 위험요소(취약점)는 보호대책에 반영 - 차년도 보호대책의 추진 과제 예방계획 또는 대응복구계획 항목에 기재 o 취약점 분석 평가 결과 오용 방지를 위한 강화 - 취약점 분석 평가 결과는 해당 기관에서만 고, 수행업체의 노트북, USB 등에 저장된 자료는 폐기 - 수행업체로 인한 외부유출 방지를 위여 벌칙조항이 포함된 서약서 징구

[붙임1] 취약점 분석 평가 전담반 구성 기준 [붙임2] 취약점 분석 평가 기본항목 구성원 반장 (정보보호책임자) 기술 담당 응용프로그램 담당 역할 또는 경력 자격 기준 취약점 분석 평가 시행의 총괄 적 물리적 정보보호 등 조직의 정보보호체계의 운영경력 소유자, 정보시스템 감리 경력자 해당기관의 주요정보통신기반시설에 대한 핵심 프로그램 개발 유지보수 경력자 적 분야 정보 보호정책 정보 보호조직 A-1 조직 전반에 적용고 있는 정보보호 정책/지침 또는 규정이 수립되었는가? A-2 정기적으로 정보보호정책의 타당성을 검토, 평가여 수정 보완고 있는가? A-3 연도별 정보보안업무 세부추진 계획을 수립 시행고 그 추진결과에 대한 심사분석 평가를 실시는가 A-4 최근 1년간 기관장에게 연간 보호대책 등의 주요 정보보안 관련 사항을 보고였는가? A-5 보안활동을 계획, 실행, 검토는 보안 전담조직 및 전담 보안 담당자가 구성되어 있는가? 서버 담당 유닉스, 리눅스, 윈도우 등 각종 서버관련 기술 보유자 정보보호시스템 평가 및 운영자, 정보보호정책 위험분석 또는 정보보호 담당 취약점 점검 평가 등의 보안기술 경력자 WAN, LAN, NMS 및 무선통신 등에 관한 기술 및 각종 통신 네트워크 담당 프로토콜 기술 보유자 비고 : 기관은 소관 주요정보통신기반시설의 특성에 따라 전담반 구성요건을 고려여 취약점 분석 평가를 수행할 수 있는 적정인원의 전문인력을 확보여야 한다. 인적 보안 외부자 보안 자산 분류 매체 A-6 A-7 A-8 A-9 신원조회(민간기관 제외)가 갱신되고 있는가? 수행되고 비밀유지서약서를 작성고 있으며 주기적으로 계약직 및 임시직원은 물론 정식직원 채용 시 신원, 업무능력, 교육정도, 경력 등에 대한 적격심사가 이루어지고 있는가? 제3자(외부유지보수직원, 외부용역자포함)에 의한 정보자산 과 관련한 보안요구 사항을 계약에 포함고 있는가? 위탁 기관(업체) 또는 용역사업 참여 업체의 보안관련사항 위반이나 침해사고 발생 시 조치를 수행는가? A-10 조직의 요한 자산(인력, 시설, 장비 등)에 대한 자산분류기준이 있는가? A-11 정보자산을 보안등급과 요도 등에 따라 분류여 고 있는가? A-12 정보자산별로 책임자가 지정되어 있으며 소유자, 자, 사용자들이 확인되고 있는가? A-13 미디어 장치의 사용 및 반출입에 대한 절차나 문서가 있는가? A-14 정보나 매체가 용도 폐기되기 위한 폐기 방법이 수립되고 적절게 이행되는가? 교육 및 훈련 A-15 교육 훈련 대은 관련된 모든 내외 임직원 및 외부 인력을 포함고 있으며 정보자산에 간접적으로 는 일반 외부 용역 직원에 대해서도 정보보호교육훈련을 수행는가? A-16 업무 요구사항에 따라 통제의 방법과 범위 등을 정의고 문서화고 있는가? A-17 A-18 허가된 원격작업내용, 작업시간, 허가된 내부 시스템 및 서비스 등의 내용을 포함한 재택근무 등의 원격작업에 대한 정책, 절차가 존재는가? 스마트폰 개인휴대단말기(PDA) 전자제어장비 등 첨단 정보통신기기를 활용는 경우, 업무자료 등 요정보 보호 및 안전한 전송을 위한 방안이 마련되어 있는가? 통제 A-19 정보통신망에 비인가 PC 노트북 등을 연결시 차단는가? A-20 정보시스템 및 정보보호시스템 기록의 비인가 열람, 훼손 등을 방지기 위한 대책이 있는가? A-21 A-22 무선랜(Wi-Fi 등)은 국가정보원장의 보안성 검토를 필거나 암호키 설정 등의 적절한 보안조치를 적용였는가? 무선랜 무단 사용 여부, 비인가 무선 계기(AP) 설치 여부, 우회 정보통신망 사용 차단 여부 등을 주기적으로 점검는가?

운영 A-23 개발 테스트 설비는 실제 운영설비와 분리되어 있는가? A-24 시스템을 도입기 전에 보안성 검토 및 호환성 검토를 실시는가? A-25 시스템 및 사용 장비에 대한 보안 취약점에 대한 주기적 검토 및 보완 프로세스가 있는가? A-26 바이러스, 악성코드 등에 대한 대비책을 가지고 있는가? A-27 보안규정의 이행여부를 확인는 주기적인 보안점검 및 불시 보안점검이 이루어지고 있는가? A-28 시스템 및 패스워드 지침을 제공고 시스템 및 패스워드 책임을 주지시키고 있는가? A-29 전자기록 보관을 위한 별도의 방법(아카이빙)이 존재고, 이를 통한 를 고 있는가? A-30 사이버보안진단의 날 등과 같이 월별 보안 점점검사항에 대해 매월 점검고 조치는가? A-31 비밀(대외비 포함)을 비밀기록부에 등재여 는가? A-32 출력된 비밀문서의 경우 비밀합동보관소 등에 안전게 보관되어 있는가? A-33 비밀 등 요 정보의 안전한 처리를 위한 시스템을 도입여 사용고 있거나 이를 계획 고 있는가? A-34 정보통신망 세부 구성현황 등을 대외비 이으로 는가? 기술적 분야 가. 유닉스 U-1 root 원격 접속 제한 U-2 패스워드 복잡성 설정 U-3 잠금 임계값 설정 U-4 패스워드 파일 보호 U-5 root 홈, 패스 디렉터리 권한 및 패스 설정 U-6 파일 및 디렉터리 소유자 설정 U-7 /etc/passwd 파일 소유자 및 권한 설정 U-8 /etc/shadow 파일 소유자 및 권한 설정 U-9 /etc/hosts 파일 소유자 및 권한 설정 업무 연속성 사고 대응 A-35 정보보호시스템은 국내용 CC인증을 받았거나, 보안적합성 검증을 받았는가? A-36 업무복구목표와 요구사항에 적합한 업무연속성 전략을 수립였는가? A-37 침해사고 발생시 신속한 보안사고 보고를 위한 절차가 문서화되어 있고 이에 따라 신속한 보고가 이루어지고 있는가? A-38 DDoS 대응체계를 수립고 주기적인 훈련을 실시고 있는가? 파일 및 디렉토리 U-10 /etc/(x)inetd.conf 파일 소유자 및 권한 설정 U-11 /etc/syslog.conf 파일 소유자 및 권한 설정 U-12 /etc/services 파일 소유자 및 권한 설정 U-13 SUID, SGID, Sticky bit 설정 파일 점검 U-14 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 A-39 개인정보보호를 위해 DB암호화등 개인정보유출에 대한 방안이 마련 되어 있는가? U-15 world writable 파일 점검 U-16 /dev에 존재지 않는 device 파일 점검 물리적 분야 P-1 주요 시스템에 대한 별도의 출입통제를 실시거나 이의 보호장치를 설치고 있는가? 통제 P-2 보호구역의 출입에 관한 정책과 절차가 수립되어 있으며 이에 따라 출입통제가 되고 있는가? P-3 주요시설의 출입구와 전산실 및 통신장비실 내부에 CCTV를 설치고 있는가? U-17 $HOME/.rhosts, hosts.equiv 사용 금지 U-18 접속 IP 및 포트 제한 U-19 Finger 서비스 비활성화 U-20 Anonymous FTP 비활성화 U-21 r 계열 서비스 비활성화 U-22 cron 파일 소유자 및 권한 설정 감시 통제 전력 보호 P-4 CCTV 운용 시 계 관제서버, 용 PC, 정보통신망 등에 대해 보안대책을 수립는가? P-5 주요시설에 대한 출입기록은 출입일로부터 일정기간 이 보관고 있는가? P-6 외부인에 대해서 출입증을 발급고, 출입권한은 출입목적이 필요한 구역내로 한정는가? 전원공급 이이나 기타 전기관련 사고로부터 장비가 보호되고 있는가? P-7 (UPS, 비발전기, 이전원선 등의 설비) 서비스 U-23 DoS 공격에 취약한 서비스 비활성화 U-24 NFS 서비스 비활성화 U-25 NFS 통제 U-26 automountd 제거 U-27 RPC 서비스 확인 U-28 NIS, NIS+ 점검

U-29 tftp, talk 서비스 비활성화 U-30 Sendmail 버전 점검 U-31 스팸 메일 릴레이 제한 U-32 일반사용자의 Sendmail 실행 방지 나. 윈도우즈 점검 W-1 Administrator 이름 바꾸기 W-2 Guest 태 U-33 DNS 보안 버전 패치 U-34 DNS ZoneTransfer 설정 U-35 Apache 디렉토리 리스팅 제거 U-36 Apache 웹 프로세스 권한 제한 U-37 Apache 위 디렉토리 금지 U-38 Apache 불필요한 파일 제거 U-39 Apache 링크 사용금지 U-40 Apache 파일 업로드 및 다운로드 제한 U-41 Apache 웹 서비스 영역의 분리 패치 U-42 최신 보안패치 및 벤더 권고사항 적용 로그 U-43 로그의 정기적 검토 및 보고 서비스 패치 로그 W-3 불필요한 제거 W-4 잠금 임계값 설정 W-5 해독 가능한 암호화를 사용여 암호 저장 W-6 자 그룹에 최소한의 사용자 포함 W-7 공유 권한 및 사용자 그룹 설정 W-8 드디스크 기본 공유 제거 W-9 불필요한 서비스 제거 W-10 IIS 서비스 구동 점검 W-11 IIS 디렉토리 리스팅 제거 W-12 IIS CGI 실행 제한 W-13 IIS 위 디렉토리 금지 W-14 IIS 불필요한 파일 제거 W-15 IIS 웹 프로세스 권한 제한 W-16 IIS 링크 사용금지 W-17 IIS 파일 업로드 및 다운로드 제한 W-18 IIS DB 연결 취약점 점검 W-19 IIS 가 디렉토리 삭제 W-20 IIS 데이터 파일 ACL 적용 W-21 IIS 미사용 스크립트 매핑 제거 W-22 IIS Exec 명령어 쉘 호출 진단 W-23 IIS WebDAV 비활성화 W-24 NetBIOS 바인딩 서비스 구동 점검 W-25 FTP 서비스 구동 점검 W-26 FTP 디렉토리 권한 설정 W-27 Anonymous FTP 금지 W-28 FTP 제어 설정 W-29 DNS Zone Transfer 설정 W-30 RDS(RemoteDataServices)제거 W-31 최신 서비스팩 적용 W-32 최신 HOT FIX 적용 W-33 백신 프로그램 업데이트 W-34 로그의 정기적 검토 및 보고 W-35 원격으로 액세스할 수 있는 레지스트리 경로

보안 W-36 백신 프로그램 설치 W-37 SAM 파일 통제 설정 W-38 화면보호기 설정 W-39 로그온지 않고 시스템 종료 허용 W-40 원격 시스템에서 강제로 시스템 종료 W-41 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 W-42 SAM 과 공유의 익명 열거 허용 안 함 W-43 Autologon 기능 제어 W-44 이동식 미디어 포맷 및 꺼내기 허용 W-45 디스크볼륨 암호화 설정 라. 네트워크 장비 점검 N-1 패스워드 설정 N-2 패스워드 복잡성 설정 N-3 암호화된 패스워드 사용 N-4 VTY (ACL) 설정 N-5 Session Timeout 설정 패치 N-6 최신 보안 패치 및 벤더 권고사항 적용 다. 보안 장비 점검 S-1 보안장비 Default 변경 S-2 보안장비 Default 패스워드 변경 S-3 보안장비 별 권한 설정 S-4 보안장비 S-5 보안장비 원격 통제 S-6 보안장비 보안 접속 S-7 Session timeout 설정 패치 S-8 벤더에서 제공는 최신 업데이트 적용 S-9 정책 S-10 NAT 설정 S-11 DMZ 설정 기능 S-12 최소한의 서비스만 제공 S-13 이징후 탐지 경고 기능 설정 N-7 SNMP 서비스 확인 N-8 SNMP community string 복잡성 설정 N-9 SNMP ACL 설정 기능 N-10 SNMP 커뮤니티 권한 설정 N-11 TFTP 서비스 차단 N-12 Spoofing 방지 필터링 적용 N-13 DDoS 공격 방어 설정 N-14 사용지 않는 인터페이스의 shutdown 설정 마. 제어시스템 점검 C-1 제어시스템 운영, 를 위한 이 타 사용자와 공유되지 않음 C-2 ID/PW, 접속경로, 인증서 등이 드코딩되지 않음 C-3 제어시스템 운영, 를 위한 의 로그인, 사용 기록 저장 S-14 장비 사용량 검토 S-15 SNMP 서비스 확인 S-16 SNMP community string 복잡성 설정 패치 C-4 제어시스템에 대한 최신 업데이트, 보안패치를 안전게 적용기 위한 테스트 등의 절차 수립 C-5 제어시스템 운영자의 운영 권한은 제한된 범위 및 명령으로 제한 C-6 제어시스템은 업무망, 인터넷 망과 물리적으로 분리 통제 C-7 제어 네트워크 외부와 자료연계시 물리적 일방향 환경을 구축여 제어 네트워크로의 침입을 근본적으로 차단 C-8 제어 네트워크에 무선인터넷, 테더링, 외부 유선망 연결 등의 외부망 연결을 제한 고 점검 C-9 제어 네트워크에 비인가된 시스템에 대한 연결 및 접속 차단

보안 바. PC C-10 제어시스템 구성도, 운용 매뉴얼, 비조치 절차서 등을 작성고 최신으로 C-11 제어시스템에서의 USB 사용을 금지고, 사용시 USB 등의 이동형 저장매체 사용 통제 C-12 제어명령에 대한 위변조 방지 대책 적용 C-13 제어명령 replay 공격에 대한 방지 대책 적용 C-14 제어시스템 개발자, 운영자, 자에 대한 권한 분리 C-15 제어시스템, 제어기기에 (vendor default) 은닉서비스 및 취약한서비스가 없도록 설정 C-16 제어프로그램의 입력창에 비정적인 특정값을 입력할 시 사전에 정의한 에러 메시지가 출력되도록 여 시스템 요정보가 노출되지 않도록 설정 점검 사. 데이터베이스 점검 옵션 D-1 기본 의 패스워드, 정책 등을 변경여 사용 D-2 scott 등 Demonstration 및 불필요 을 제거거나 잠금설정 후 사용 D-3 패스워드의 사용기간 및 복잡도를 기관의 정책에 맞도록 설정 D-4 데이터베이스 자 권한을 꼭 필요한 및 그룹에 대해서만 허용 D-5 원격에서 DB 서버로의 접속 제한 D-6 DBA이외의 인가되지 않은 사용자가 시스템 테이블에 할 수 없도록 설정 D-7 오라클 데이터베이스의 경우 리스너의 패스워드를 설정여 사용 D-8 응용프로그램 또는 DBA 의 Role이 Public으로 설정되지 않도록 조정 D-9 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES를 FALSE로 설정 PC-1 패스워드의 주기적 변경 PC-2 패스워드 정책이 해당기관의 보안정책에 적합게 설정 패치 D-10 데이터베이스에 대해 최신 보안패치와 밴더 권고사항을 모두 적용 D-11 데이터베이스의, 변경, 삭제 등의 감사기록이 기관의 감사기록 정책에 적합도록 설정 서비스 패치 보안 PC-3 공유폴더 제거 PC-4 불필요한 서비스 제거 PC-5 Windows Messenger(MSN,.NET 메신저 등)와 같은 용 메신저의 사용 금지 PC-6 HOT FIX 등 최신 보안패치 적용 PC-7 최신 서비스팩 적용 PC-8 MS-Office, 글, 어도브 아크로뱃 등의 응용 프로그램에 대한 최신 보안 패치 및 벤더 권고사항 적용 PC-9 바이러스 백신 프로그램 설치 및 주기적 업데이트 PC-10 바이러스 백신 프로그램에서 제공는 실시간 감시 기능 활성화 PC-11 OS에서 제공는 침입차단 기능 활성화 PC-12 화면보호기 대기 시간을 5~10분으로 설정 및 재시작시 암호로 보호도록 설정 PC-13 CD, DVD, USB메모리 등과 같은 미디어의 자동실행 방지 등 이동식 미디어에 대한 보안대책 수립 PC-14 PC 내부의 미사용(3개월) ActiveX 제거 아. 웹(Web) 코드 취약점명 설 명 등급 BO 버퍼오버플로우 메모리나 버퍼의 블록 크기보다 더 많은 데이터를 넣음으로써 결함을 발생시키는 취약점 FS 포맷스트링 스트링을 처리는 부분에서 메모리 공간에 할 수 있는 문제를 이용는 취약점 LI LDAP인젝션 LDAP(Lightweight Directory Access Protocol) 쿼리를 주입함으로서 개인정보 등의 내용이 유출될 수 있는 문제를 이용는 취약점 OC 운영체제명령실행 웹사이트의 인터페이스를 통해 웹서버를 운영는 운영체제 명령을 실행는 취약점 SI SQL인젝션 SQL문으로 해석될 수 있는 입력을 시도여 데이터베이스에 할 수 있는 취약점 SS XI SSI인젝션 XPath인젝션 SSI(Server-side Include)는 Last modified"와 같이 서버가 HTML 문서에 입려갛는 변수 값으로, 웹서버에 있는 파일을 include 시키고, 명령문이 실행되게 여 데이터에 할 수 있는 취약점 조작된 XPath(XML Path Language) 쿼리를 보냄으로써 비정적인 데이터를 쿼리해 올 수 있는 취약점 DI 디렉토리인덱싱 요청 파일이 존재지 않을 때 자동적으로 디렉토리 리스트를 출력는 취약점 IL CS 정보누출 악성콘텐츠 웹 사이트 데이터가 노출되는 것으로 개발과정의 코멘트나 오류 메시지 등에서 요한 정보가 노출되어 공격자에게 2차 공격을 기 위한 요한 정보를 제공할 수 있는 취약점 웹애플리케이션에 정적인 컨텐츠 대신에 악성 컨텐츠를 주입여 사용자에게 악의적인 영항을 미치는 취약점

XS 크로스사이트스 크립팅 웹애플리케이션을 사용해서 다른 최종 사용자의 클라이언트에서 임의의 스크립트가 실행되는 취약점 [붙임3] 취약점 분석 평가 선택 점검항목 BF 약한문자열강도 사용자의 이름이나 패스워드, 신용카드 정보나 암호화 키 등을 자동으로 대입여 여러 시행착오 후에 맞는 값이 발견되는 취약점 IA 불충분한 인증 민감한 데이터에 할 수 있는 곳에 취약한 인증 메커니즘으로 구현된 취약점 PR CF SE 취약한 패스워드 복구 크로스사이트 리퀘스트변조(CSRF) 세션 예측 취약한 패스워드 복구 메커니즘(패스워드 찾기 등)에 대해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경, 복구할 수 있는 취약점 CSRF 공격은 로그온한 사용자 브라우저로 여금 사용자의 세션 쿠키와 기타 인증 정보를 포함는 위조된 HTTP 요청을 취약한 웹애플리케이션에 전송는 취약점 단순히 숫자가 증가는 방법 등의 취약한 특정 세션의 식별자(ID)를 예측여 세션을 가로챌 수 있는 취약점 IN 불충분한 인가 민감한 데이터 또는 기능에 대한 권한 제한을 두지 않은 취약점 SC 불충분한 세션만료 SF AU 세션고정 자동화공격 세션의 만료 기간을 정지 않거나, 만료일자를 너무 길게 설정여 공격자가 만료되지 않은 세션 활용이 가능게 되는 취약점 세션값을 고정여 명확한 세션 식별자(ID) 값으로 사용자가 로그인여 정의된 세션 식별자(ID)가 사용 가능게 되는 취약점 웹애플리케이션에 정해진 프로세스에 자동화된 공격을 수행함으로써 자동으로 수 많은 프로세스가 진행되는 취약점 PV 프로세스검증누락 공격자가 응용의 계획된 플로우 통제를 우회는 것을 허가는 취약점 FU 파일업로드 파일을 업로드 할 수 있는 기능을 이용여 시스템 명령어를 실행할 수 있는 웹 프 로그램을 업로드 할 수 있는 취약점 FD 파일다운로드 파일 다운로드 스크립트를 이용여 첨부된 주요 파일을 다운로드 할 수 있는 취약점 AE 자페이지 노출 PT PL 경로추적 위치공개 SN 데이터평문전송 CC 쿠키변조 단순한 자 페이지 이름(admin, manager 등)이나 설정, 프로그램 설계의 오류로 인해 자 메뉴에 직접 할 수 있는 취약점 공격자에게 외부에서 디렉터리에 할 수 있는 것이 허가되는 문제점으로 웹 루 트 디렉터리에서 외부의 파일까지 고 실핼할 수 있는 취약점 예측 가능한 디렉토리나 파일명을 사용여 해당 위치가 쉽게 노출되어 공격자가 이를 악용여 대에 대한 정보와 민감한 정보가 담긴 데이터에 이 가능게 되는 취약점 서버와 클라이언트간 통신 시 암호화여 전송을 지 않아 요 정보 등이 평문으로 전송되는 취약점 적절히 보호되지 않은 쿠키를 사용여 쿠키 인젝션 등과 같은 쿠키 값 변조를 통한 다른 사용자로의 위장 및 권한 승 등이 가능한 취약점 요도 등급, 는 참고자료[취약점 분석 평가 선택점검 항목]를 활용 싱 적 분야 A-40 정보보호정책이 문서화되어 있으며 경영자층의 승인을 받고 있는가? 정보 보호 정책 정보 보호 조직 인적 보안 외부자 보안 자산 분류 매체 교육 및 훈련 A-41 정보보호정책서가 모든 임직원 및 관련자에게 배포되고 모든 임직원 및 관련자가 정보보호정책을 이해고 있는가? A-42 정보보호정책의 내용과 기관의 사업 목표 및 전략 등과의 일관성이 검토되었는가? A-43 기관의 정보보안 강화를 위한 장기(3년 이) 계획이 있는가? A-44 보안관련 전문가 집단으로부터 조언을 받고 해당 내용을 반영고 있는가? 정보보호 관련 주요 의사결정을 수행는 정보보호위원회가 구성되어 있으며 A-45 위원회의 역할 및 책임이 명확히 기술되어 있는가? A-46 정보보호자의 역할 및 책임이 규명되어 있는가? A-47 민감한 직무담당자에 대해 강화된 적격심사가 수행되고 있는가? 모든 인력에 대여 정보보호의 책임과 역할을 기술는 직무기술서가 A-48 존재는가? A-49 정보보안정책을 불이행할 경우 이에 대한 징계가 규정에 명시되어 있는가? A-50 고용계약 만료시 자산 반납 및 권한을 삭제는 절차가 있는가? 제3자의 보안요구사항 준수 검토를 위해 제3자 책임자로부터 보안 A-51 황에 대한 주기적인 보고를 받고 수시 점검을 수행는가? A-52 외부 관계자에게 정보나 자산에 할 수 있는 보안 규정을 사전 통보고 있는가? A-53 제3자(외부유지보수직원, 외부용역자포함)에 대한 보안서약서를 가지고 있는가? A-54 조직의 주요 자산 목록을 작성고 변경사항을 유지 고 있는가? A-55 자산에 대한 등급별 보호절차, 제한을 실시고 있는가? A-56 안전을 요는 매체가 운반될 때 통제가 이루어지고 있는가? A-57 노트북, USB 메모리 등 이동형 장치의 분실을 통한 자료 유출 대비책이 있는가? A-58 보조기억매체의 사용을 주기적 점검을 통해 최신자료를 유지는가? 정보보호 인식제고를 위한 교육 및 훈련 계획을 종합적으로 수립여 A-59 정기적으로 실시고 있는가? A-60 교육 및 훈련은 대자의 직위 및 업무 특성에 따라 구분여 실시고 있는가? A-61 교육 훈련의 효과가 측정, 분석되어 차기 교육에 반영되는가? 직원을 대으로 사이버안전센터 보안권고문 해킹메일주의공지, 윈도우 A-62 보안업데이트 사항, 보안취약점 조치요령 등을 공지는가?

A-63 통제에 대한 주기적 검토를 통해 통제 정책이 적합한지를 확인고 있는가? A-64 보안 요한 통제 규칙은 자의 승인을 거쳐서 설정 또는 변경 도록 고 있는가? A-65 통제 방법은 내부 관련 정책 및 절차에 따라 결정되어 반영되는가? A-66 안전한 로그온 절차, 식별 및 인증 등과 같은 시스템 운영체제 통제 방법이 존재고 이에 따라 이행고 있는가? 업무 연속성 A-97 모의 훈련 등을 통한 업무 연속성 가 지속적으로 검토되고 있으며 조직내의 변경이 있을 경우 이에 대한 사항이 반영되고 있는가? A-98 보안요성이 높은 등급의 시스템들은 이화여 고 있는가? A-99 백업은 정기적으로 수행고 물리적으로 분리된 지역에 보관는가? A-100 부정 사례나 보안사고 내역을 지속적으로 모니터링 고 있는가? A-101 보안사고 유형, 범위, 영향 등을 포함한 보안사고 분석이 기록되어 되는가? A-67 외부에서의 사용자 에 대한 안전한 인증방식을 사용고 있는가? A-102 보안 취약점 및 사고 발생시 이에 대한 보완작업 절차를 마련고 있는가? 통제 A-68 A-69 외부에서 내부 시스템의 기능을 사용할 수 있다면 VPN 등 안전한 접속방법을 제공고 있는가? 제3자가 원격에서 진단, 등을 위한 서비스를 제공할때 필요할 때만 연결을 허용고 있는가? A-70 제3자와의 정보 공유, 네트워크 공유 등에 대한 보안위협에 대한 대책이 있는가? A-71 민감한 시스템에 따라 네트워크를 분리 운영여 서로간의 을 막고 있는가? A-72 방화벽, 침입탐지 등 안전한 네트워크를 위한 대책을 마련고 있는가? A-73 내부망(업무망)과 인터넷망을 분리여 사용는가? A-74 망분리 후 안전한 자료전송을 위한 시스템을 도입여 사용고 있는가? A-75 인터넷 전화망과 일반 전산망은 분리여 운용는가? A-76 제3자의 내부 주 인력에 대한 네트워크를 분리 운영고 있는가? 사고 대응 A-103 사이버침해사고 발생 후 재발방지 대책을 수립고 시행였는가? A-104 침해사고 대응계획 즉 대응범위, 역할, 임무, 대응절차 등이 문서화되어 있는가? A-105 사이버위기 주의 이 경보 발령 및 피해발생 등 필요시 대응할 수 있는 긴급대응반 이 구성되어 있는가? A-106 침해사고시 외부기관 및 전문가들과의 대응협조체계가 구축되어 있는가? A-107 침해사고 대응절차 및 방법 숙지를 위해 정기적인 교육을 실시는가? A-108 서비스 거부 공격에 대해 공격 정도에 따른 대응 방안이 수립되어 있는가? A-109 내부의 DDoS공격방지(그린DDoSZone)를 위한 대응방안이 있는가? A-110 정보시스템 관련 법, 규제, 계약의 요구사항을 정의고 문서화고 있는가? A-111 특허권 및 저작권법, 컴퓨터프로그램보호법 등 관련 법규를 준수고 있는가? (불법 복제 및 해적판 소프트웨어의 사용 금지 등) A-77 보안책임자는 정보자산 도입 시 보안 정책에 부합는지 확인고 승인는가? A-78 보안정책에 의해 정의된 운영지침과 절차는 문서화되어 되고 있는가? A-79 정보시스템의 변경 절차가 존재며 이에 따라 변경가 수행되는가? A-80 요 시스템 및 정보보호제품의 설정가 승인과정을 통해 이행되는가? 감사 A-112 보안사고 처리, 계약증빙 및 소송 등을 위한 적정한 증거자료 확보에 관한 지침이 존재고, 이에 따라 이행되고 있는가? A-113 주기적으로 보안감사계획을 수립고 시행고 있는가? A-114 감사결과를 책임자에게 보호여 적정한 사후를 시행고 있는가? A-81 개발자와 운영자의 권한은 분리되어 있는가? A-82 요 데이터와 일반데이터가 다른 서버에 분리되어 보관되는가? A-83 장애탐지, 장애기록, 장애분석, 장애복구, 장애보고 등의 사항을 포함는 시스템의 장애 지침이 존재는가? A-84 네트워크 운영 보안 유지를 위해 권한 통제, 원격접속, 네트워크 분리 등의 내용을 포함한 네트워크 운영 보안정책이 수립되어 이행되는가? 운영 A-85 A-86 시스템과 네트워크의 사용 및 에 대한 모니터링 절차와 책임이 정의되어 있고 이에 따라 이행고 있는가? 네트워크를 통해 시스템을 운영는 경우 원칙적으로 시스템 는 내부의 특정 터미널에서만 할 수 있도록 제한고 있는가? A-87 네트워크, 메신저 등으로부터의 허가되지 않았거나 불분명한 파일의 다운로드를 금지고, 부득이 다운로드받을 경우 바이러스 검사를 받는가? A-88 유지보수 도구를 사용기 위한 사용 승인 및 통제, 감독이 이루어지는가? A-89 원격 유지보수 및 진단 활동에 대한 감시가 이루어지는가? A-90 암호키에 대한 지침이 마련되어 있고 이에 따라 되고 있는가? A-91 암호키를 복구기 위한 복구 절차가 수립되고 복구 내역이 확인되는가? A-92 침입차단 및 탐지 도구는 조직의 보안 정책과 규칙에 적합게 설치되어 있는가? A-93 공망 및 사설망 통신경로에 대한 신뢰성을 평가고 있는가? A-94 스팸 메일 수신을 줄이기 위한 방안(스팸차단 솔루션)이 마련되어 있는가? A-95 홈페이지 게시 자료에 대해 게시 절차를 마련고 시행고 있는가? A-96 업무용 시스템 및 홈페이지 등 정보시스템의 소스코드를 는가?

물리적 분야 민감한 시설에 대해 물리적으로 는 사람들의 출입기록 및 허가의 P-8 통제 타당성을 주기적으로 검토는가? P-9 제한구역에서의 작업에 대한 추가적인 통제 수단 및 안내 지침이 존재는가? P-10 전산 장비실에 외부협력업체 출입 시 내부 임직원이 시 동행는가? 감시 통제 P-11 시각적으로 구분이 가능한 신분증을 가지고 있으며 패용고 있는가? P-12 유리창 내 파손감지기, 진동감지기 등 침입감지와 관련된 장비를 설치여 감시고 있는가? P-13 전원공급 이이나 기타 전기관련 사고로부터 장비를 보호기 위해 설비 태에 대해 정기적으로 검토는가? 전력 보호 P-14 전원선 및 통신선은 도청이나 손으로부터 보호되고 있는가? P-15 누전이 발생였을 때 이를 차단할 수 있도록 누전차단기 또는 누전 경보기가 설치되어 있는가? 기술적 분야 가. 유닉스 U-44 root 이외의 UID가 '0' 금지 U-45 root su 제한 U-46 패스워드 최소 길이 설정 U-47 패스워드 최대 사용 기간 설정 U-48 패스워드 최소 사용기간 설정 U-49 불필요한 제거 U-50 자 그룹에 최소한의 포함 U-51 이 존재지 않는 GID 금지 U-52 동일한 UID 금지 P-16 소방훈련과 같은 재해훈련 시 비탈출 및 복귀절차가 확립되어 있는가? U-53 사용자 shell 점검 환경 통제 P-17 P-18 P-19 P-20 P-21 물리적 요도에 따라 제한구역, 통제구역 등으로 분류는 다단계 보호 대책이 있는가? 제한구역의 선택, 설계시 화재, 홍수, 폭발, 폭동 혹은 다른 형태의 자연재해 또는 인재로 인한 피해가능성을 고려였는가? 데이터센터는 물리적, 환경적 위험이 적은 곳에 위치고 건물구조가 안정성을 확보고 있는가? 주요장비, 대체시스템 및 자료들이 화재, 습도 등의 환경재해로부터 보호되는 적절한 곳에 배치되어 보호되고 있는가? 전산실에 24시간 항온, 항습을 유지기 위여 온습도 측정이 가능도록 항온항습기가 설치되어 있는가? 파일 및 디렉토리 U-54 Session Timeout 설정 U-55 hosts.lpd 파일 소유자 및 권한 설정 U-56 NIS 서비스 비활성화 U-57 UMASK 설정 U-58 홈디렉토리 소유자 및 권한 설정 U-59 홈디렉토리로 지정한 디렉토리의 존재 U-60 숨겨진 파일 및 디렉토리 검색 및 제거 U-61 ssh 원격접속 허용 U-62 ftp 서비스 확인 P-22 전산실은 천장을 통여 외부와의 왕래가 불가능도록 전산실의 벽면과 접한 천장을 차단는 조치가 되어 있는가? U-63 ftp shell 제한 U-64 Ftpusers 파일 소유자 및 권한 설정 방재센터는 화재감지센서의 작동황이 실시간으로 파악되도록 고, P-23 화재발생시에 경보신호를 통해 황을 알 수 있도록 화재감지센서와 연동된 경보장치가 설치되어 있는가? 주요시설(앙감시실, 전산실, 전력관련시설, 통신장비실, 방재센터 등)에는 P-24 기존 조명설비의 작동이 멈추는 경우에도 작업이 가능도록 비조명이 설치되어 있는가? P-25 배달 및 역구역은 비인가 지역과 격리되어 보호되고 있는가? P-26 단위면적당 규정을 견딜 수 있도록 설계되어 있는가? 서비스 U-65 Ftpusers 파일 설정 U-66 at 파일 소유자 및 권한 설정 U-67 SNMP 서비스 구동 점검 U-68 SNMP 서비스 커뮤니티스트링의 복잡성 설정 U-69 로그온 시 경고 메시지 제공 U-70 NFS 설정 파일 권한 U-71 expn, vrfy 명령어 제한 U-72 Apache 웹서비스 정보 숨김 로그 U-73 정책에 따른 시스템 로깅 설정

나. 윈도우즈 W-46 Everyone 사용 권한을 익명 사용자에게 적용 W-47 잠금 기간 설정 W-48 패스워드 복잡성 설정 W-49 패스워드 최소 암호 길이 W-50 패스워드 최대 사용 기간 W-51 패스워드 최소 사용 기간 W-52 마지막 사용자 이름 표시 안함 W-53 로컬 로그온 허용 W-54 익명 SID/이름 변환 허용 W-55 최근 암호 기억 W-56 콘솔 로그온 시 로컬 에서 빈 암호 사용 제한 W-57 원격터미널 접속 가능한 사용자 그룹 제한 W-58 터미널 서비스 암호화 수준 설정 W-59 IIS 웹서비스 정보 숨김 W-60 SNMP 서비스 구동 점검 W-61 SNMP 서비스 커뮤니티스트링의 복잡성 설정 W-62 SNMP Access control 설정 서비스 W-63 DNS 서비스 구동 점검 W-64 HTTP/FTP/SMTP 배너 차단 W-65 Telnet 보안 설정 W-66 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거 W-67 원격터미널 접속 타임아웃 설정 W-68 예약된 작업에 의심스러운 명령이 등록되어 있는지 점검 패치 W-69 정책에 따른 시스템 로깅 설정 로그 W-70 이벤트 로그 설정 W-71 원격에서 이벤트 로그 파일 차단 W-72 Dos공격 방어 레지스트리 설정 W-73 사용자가 프린터 드라이버를 설치할 수 없게 함 W-74 세션 연결을 단기 전에 필요한 유휴시간 W-75 경고 메시지 설정 보안 W-76 사용자별 홈 디렉터리 권한 설정 W-77 LAN Manager 인증 수준 W-78 보안 채널 데이터 디지털 암호화 또는 서명 W-79 파일 및 디렉토리 보호 W-80 컴퓨터 암호 최대 사용 기간 W-81 시작프로그램 목록 분석 DB W-82 Windows 인증 모드 사용 다. 보안 장비 S-17 로그인 실패횟수 제한 S-18 보안장비 로그 설정 S-19 보안장비 로그 정기적 검토 S-20 보안장비 로그 보관 로그 S-21 보안장비 정책 백업 설정 S-22 원격 로그 서버 사용 S-23 로그 서버 설정 S-24 NTP 서버 연동 기능 S-25 부가 기능 설정 S-26 유해 트래픽 차단 정책 설정 라. 네트워크 장비 N-15 사용자 명령어별 권한 수준 설정 N-16 VTY 접속 시 안전한 프로토콜 사용 N-17 불필요한 보조 입출력 포트 사용 금지 N-18 로그온 시 경고 메시지 설정 N-19 원격 로그서버 사용 N-20 로깅 버퍼 크기 설정 로그 N-21 정책에 따른 로깅 설정 N-22 NTP 서버 연동 N-23 timestamp 로그 설정 N-24 TCP keepalive 서비스 설정 N-25 Finger 서비스 차단 N-26 웹 서비스 차단 N-27 TCP/UDP small 서비스 차단 N-28 Bootp 서비스 차단 N-29 CDP 서비스 차단 N-30 Directed-broadcast 차단 기능 N-31 Source 라우팅 차단 N-32 Proxy ARP 차단 N-33 ICMP unreachable, Redirect 차단 N-34 identd 서비스 차단 N-35 Domain lookup 차단 N-36 pad 차단 N-37 mask-rely 차단 N-38 스위치 허브 보안 강화

마. 제어시스템 점검 보안 바. PC CS-17 CS-18 CS-19 CS-20 CS-21 CS-22 정보시스템에 지침이 수립되어 있는가? 대한 정책과 별도로 제어시스템에 대한 정보보안 정책, 비인가자 또는 인증과정이 없이 제어시스템, 제어기기에 대한 환경 설정이 가능지 않도록 되어있는가? 제어시스템 및 운영시스템은 제어를 위한 목적으로만 사용되도록 다른 기능 및 서비스를 제거였는가? 운영에 있어 사용가능한 제어명령 및 안전한 제어를 위한 파라미터의 범위를 제한고 있는가? 제어시스템 개선, 신규 시스템 도입, 패치 및 수정 시, 안전성을 테스트기 위한 테스트베드 또는 시험환경을 구축였는가? 제어 네트워크는 각각의 세부망으로 세분화고 제어시스템 운영에 필요한 네트워크, 시스템간으로 통신을 제한고 있는가? 점검 서비스 보안 PC-15 복구 콘솔에서 자동 로그온을 금지도록 설정여 사용고 있는가? PC-16 파일 시스템이 NTFS 포맷으로 되어 있는가? PC-17 PC-18 PC-19 사. 데이터베이스 대 시스템이 windows 서버를 제외한 다른 OS로 멀티 부팅이 가능 지 않도록 설정여 사용는가? 브라우저 종료 시 임시 인터넷 파일 폴더의 내용을 삭제도록 설정여 사용는가? 시스템 부팅 시 Windows Messenger가 자동으로 시작되지 않도록 설정 되어 있는가? PC-20 원격 지원을 금지도록 정책이 설정되어 사용되는가? 점검 옵션 패치 D-12 패스워드 재사용에 대한 제약이 설정되어 있는가? D-13 DB 사용자 을 개별적으로 부여여 사용고 있는가? D-14 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브를 제거고 사용는가? D-15 일정 횟수의 로그인 실패 시 이에 대한 잠금정책이 설정되어 있는가? D-16 D-17 D-18 데이터베이스의 주요 파일 보호 등을 위해 DB 의 umask를 022 이으로 설정여 사용는가? 데이터베이스의 주요 설정파일, 패스워드 파일 등과 같은 주요 파일들의 권한이 적절게 설정되어 있는가? 자 이외의 사용자가 오라클 리스너의 접속을 통해 리스너 로그 및 trace 파일에 대한 변경이 가능지 않는가? D-19 패스워드 확인함수가 설정되어 적용되는가? D-20 인가되지 않은 Object Owner가 존재지 않는가? D-21 grant option이 role에 의해 부여되도록 설정되어 있는가? D-22 데이터베이스의 자원 제한 기능을 TRUE로 설정고 사용는가? D-23 보안에 취약지 않은 버전의 데이터베이스를 사용고 있는가? 로그 D-24 Audit Table은 데이터베이스 자 에 속해 있도록 설정되어 있는가? [붙임4] 취약점 분석 평가 점수 산출식 예시 개요 o 각 취약점 점검항목에 대한 취약점 점수 지정 및 진단결과값 산출 o 적ㆍ물리적 기술적 취약점 점수 계산 - 단, 기술적 취약점 점수는 각 자산별 점수의 평균으로 계산 o 적ㆍ물리적 기술적 취약점 점수를 합산 o 망분리 현황에 따른 비율 지정 o 합산된 적ㆍ물리적 기술적 취약점 점수에 망분리 비율을 적용 여 종합점수 산출 취약점 점수 지정 및 진단결과값 산출 o 각 취약점 점검항목에 대해 요도에 따라 점수 지정 - (필수항목): 10점, (추가항목): 8점, (추가항목): 6점 o 각 취약점 점검항목에 대해 진단결과값 산출 진단결과 (취약점 발견) (취약점 제거) P (일부 취약점만 제거) 적ㆍ물리적 취약점 점수 계산 평가항목의 요도 10점 8점 6점 0점 0점 0점 5점 4점 3점 o 적ㆍ물리적 취약점 점검항목에 따라 취약점 점수를 각각 계산 o 점수 계산 방법 - 모든 취약점이 식별되었을 경우의 점수합: A - 식별된 취약점들의 점수합: B - 계산식:

기술적 취약점 점수 계산 o 기술적 취약점 점검항목에 따라 자산별로 취약점 점수를 계산 - 모든 취약점이 식별되었을 경우의 점수합: A - 식별된 취약점들의 점수합: B - 계산식: o 자산별 점수를 합산여 전체 자산 점수의 평균을 계산 - 자산의 수: N - 자산별 점수: S1, S2,..., Sn - 계산식: 취약점 점수 합산 o 적ㆍ물리적 기술적 취약점 점검항목수의 비율을 고려여 점수 합산 < 계 산 식 > A : (적 취약점 점수 X 적 취약점 점검항목수) B : (물리적 취약점 점수 X 물리적 취약점 점검항목수) C : (기술적 취약점 점수 X 기술적 취약점 점검항목수) 망분리 비율 지정 전체취약점점검항목수 o 망분리의 종류에 따라 비율을 지정 구분 설명 적용 비율 물리적 분리 논리적 분리 내부 네트워크와 외부 네트워크를 별도로 구축였으며, 접점이 존재지 않음 가화 기술 등을 이용해 소프트웨어적으로 망 분리 또는 내부 네트워크와 외부 네트워크가 분리되어 있으나 접점이 존재는 경우 100% 95% 미분리 내부 네트워크와 외부 네트워크가 분리되지 않음 90% 해당시설이 인터넷 연결이 반드시 필요한 경우에는 망 분리 비율을 적용지 않음 종합점수 산출 o 취약점 점수 합산값에 망분리 비율을 적용여 최종 계산 - 전체 취약점 점수: A - 지정된 망분리 비율: B - 종합점수 계산식: A B 점수 계산 예제 o 가정사항 - 적 취약점 점수 : 80점(점검항목수 10개) - 물리적 취약점 점수 : 70점(점검항목수 5개) 적, 물리적 취약점 점수 계산과정은 18페이지에 기술되어 있으므로 생략 고 기술적 취약점 점수 계산과정을 심으로 설명 - 대자산 : 서버 1, 서버 2, 서버 3 - 정의된 취약점과 점수(점검항목 등급을 반영) 번호 취약점명 취약점 등급 #1 시스템 정보 노출 10 #2 추측가능한 패스워드 사용 10 #3 패스워드가 없는 존재 10 #4 Guest 존재 10 #5 불필요한 서비스 활성화 10 #6 Anonymous FTP 활성화 10 #7 쓰기 가능한 Anonymous FTP 활성화 8 #8 SMTP expn/vrfy 명령을 통한 시스템 정보 획득 가능 8 #9 구 버전의 SNMP 사용 6 #10 쓰기 가능한 공유 폴더 존재 8 점수 합 계 90

- 자산별로 식별된 취약점 번호 서버 1 서버 2 서버 3 #1 #2 #3 #4 #5 #6 #7 #8 #9 #10 - 망분리 현황: 논리적 분리 - 적ㆍ물리적 기술적 취약점 점수 합산 : (80점X10개) + (70 점X5개) + (64점X10개) / (10개+5개+10개) = < 계 산 식 > A : (적 취약점 점수 X 적 취약점 점검항목수) B : (물리적 취약점 점수 X 물리적 취약점 점검항목수) C : (기술적 취약점 점수 X 기술적 취약점 점검항목수) - 망분리 비율: 95% 전체취약점점검항목수 (논리적 분리이므로 95%를 부여) - 종합점수 계산: 71점 95% = 67점 (망분리 비율을 곱셈여 종합점수를 계산) 71점 o 점수 계산 절차 - 자산별로 기술적 취약점 식별 후, 점수를 계산(서버 3대 10개 점검항목) 번호 서버 1 서버 2 서버 3 점수 #1 10 #2 10 #3 10 #4 10 #5 10 #6 10 #7 8 #8 8 #9 6 #10 8 71 78 44 장비별 점수 모든 취약점 점수의 합 : 90점 - 기술적 취약점 점수 : (71 + 78 + 44) / 3 = 64점 (3개 자산의 점수를 합산여 평균을 계산)

2024 © docsplayer.org 개인정보보호 | 약관 | 지원