2 급 보증 요구 사항

국가 정보 보안 수준 보호 시스템 (2 차) 관련 요구 사항에는 물리적 보안, 네트워크 보안, 호스트 보안, 애플리케이션 보안 및 데이터 보안 및 백업 복구 등의 기술 및 관리 요구 사항이 포함됩니다. 관리 요구사항에는 안전 규제 기관, 안전 관리 제도, 인력 안전 관리, 시스템 구축 관리, 시스템 운영 유지 관리 등이 포함됩니다.

1, 기술적 요구 사항 1, 물리적 안전

1.1 물리적 위치 선택 실과 사무실 공간은 방진, 방풍, 방비 등의 기능을 갖춘 건물 내에서 선택해야 합니다.

1.2 물리적 액세스 제어

(1) 기계실 출입구는 출입자의 신원을 확인하고 등록할 수 있는 사람이 있어야 합니다.

(2) 기계실에 들어가는 방문객을 승인하고 활동 범위를 제한하고 모니터링해야 합니다.

1.3 도난 방지 및 손상 방지

(1) 주요 장비는 물리적으로 제한된 범위 내에 배치해야 합니다.

(2) 장비 또는 주요 부품을 고정해야 하며 쉽게 제거할 수 없는 명백한 표시를 설정해야 합니다.

(3) 통신 케이블은 지하나 파이프 등 은신처에 설치해야 합니다.

(4) 미디어 분류 ID 를 미디어 라이브러리 또는 아카이브에 저장해야 합니다.

(5) 기계실에 들어가는 절도와 파괴를 방지하기 위해 필요한 도난 경보 시설을 설치해야 합니다.

1.4 번개 방지

(1) 기계실 건물은 피뢰장치를 설치해야 합니다.

(2) AC 전원 접지선을 설치해야 합니다.

1.5 방화 는 소방 설비와 화재 자동 경보 시스템을 설정하고 소방 설비와 화재 자동 경보 시스템을 양호한 상태로 유지해야 합니다.

1.6 방수 및 습기 방지

(1) 수도관 설치, 지붕 및 활성 바닥 아래를 통과하지 못함

(2) 벽과 바닥을 통과하는 수도관에 필요한 보호 조치 (예: 전선관 설정) 를 추가해야 합니다.

(3) 빗물이 지붕과 벽을 통해 침투하는 것을 막기 위한 조치를 취해야 한다.

(4) 실내 수증기 결로와 지하수의 이동과 침투를 막기 위한 조치를 취해야 한다.

1.7 정전기 방지 필요한 접지 등 정전기 방지 조치

1.8 온도 및 습도 제어 는 기계실 온도, 습도 변화가 장비 작동에 허용된 범위 내에 있도록 온도 및 습도 자동 조절 시설을 설치해야 합니다.

1.9 전원 공급 장치

(1) 컴퓨터 시스템 전원 공급 장치는 다른 전원 공급 장치와 분리되어야 합니다.

(2) 전압 조정기 및 과전압 보호 장비를 설치해야 합니다.

(3) 단기 예비 전력 공급 (예: UPS 장비) 을 제공해야 합니다.

1.1 전자기 보호

(1) 외부 전자기 간섭 및 장비 기생 결합 간섭을 방지하기 위해 접지 방법을 사용해야 합니다.

(2) 전원 코드와 통신 케이블은 서로 간섭하지 않도록 격리해야 합니다.

2, 네트워크 보안

2.1 fabric 보안 및 네트워크 세그먼트 분할

(1) 네트워크 디바이스의 비즈니스 처리 능력에는 중복 공간이 있어야 하며, 업무 폭주 요구 사항을 충족해야 합니다.

(2) 현재 상태와 일치하는 네트워크 토폴로지를 설계하고 그려야 합니다.

(3) 조직의 비즈니스 특성에 따라 비즈니스 폭주 요구 사항을 충족하는 데 필요한 네트워크 대역폭을 합리적으로 설계해야 합니다.

(4) 비즈니스 터미널과 비즈니스 서버 간의 라우팅 제어를 통해 안전한 액세스 경로를 설정해야 합니다.

(5) 각 부서의 업무 기능, 중요성, 관련 정보의 중요도 등에 따라 서로 다른 서브넷 또는 네트워크 세그먼트를 나누고 관리 및 제어가 용이한 원칙에 따라 각 서브넷, 네트워크 세그먼트에 주소 세그먼트를 할당해야 합니다.

(6) 중요한 네트워크 세그먼트는 네트워크 계층 주소와 데이터 링크 계층 주소 바인딩 조치를 취하여 주소 스푸핑을 방지해야 합니다.

2.2 액세스 제어

(1) 는 패킷의 소스 주소, 대상 주소, 소스 포트 번호, 대상 포트 번호, 프로토콜, 출입하는 인터페이스, 세션 일련 번호, 메시지를 보내는 호스트 이름 등의 세션 상태 정보를 기반으로 데이터 스트림을 제공할 수 있어야 합니다

(2) 보안 속성에 기반한 원격 사용자의 시스템 액세스 허용 규칙에 따라 시스템의 모든 자원에 대한 사용자 액세스를 허용하거나 거부해야 하며, 개별 사용자로 세분화해야 합니다.

(3) 전화 접속 액세스 권한을 가진 사용자 수를 제한해야 합니다.

2.3 보안 감사

(1) 네트워크 시스템의 네트워크 디바이스 상태, 네트워크 트래픽, 사용자 동작 등의 이벤트를 로그해야 합니다.

(2) 각 이벤트에 대한 감사 레코드에는 이벤트 날짜와 시간, 사용자, 이벤트 유형, 이벤트 성공 여부 및 기타 감사 관련 정보가 포함되어야 합니다.

2.4 경계 무결성 검사 는 내부 네트워크에서 발생하는 내부 사용자가 외부 네트워크에 대한 무단 연결 허가 (즉, "불법 외부 활동" 행위) 를 감지할 수 있어야 합니다.

2.5 침입 방지

는 포트 검색, 강력한 공격, 트로이 목마 뒷문 공격, 서비스 거부 공격, 버퍼 오버플로 공격, IP 파편 공격, 사이버 웜 공격 등의 침입 행위를 네트워크 경계에서 모니터링해야 합니다.

2.6 악성 코드 방지

(1) 네트워크 경계 및 핵심 비즈니스 세그먼트에서 악성 코드를 감지하고 제거해야 합니다.

(2) 악성 코드 라이브러리의 업그레이드 및 감지 시스템 업데이트를 유지 관리해야 합니다.

(3) 악성 코드 예방의 통합 관리를 지원해야 합니다.

2.7 네트워크 디바이스 보호

(1) 네트워크 디바이스에 로그인한 사용자를 인증해야 합니다.

(2) 네트워크 디바이스의 관리자 로그인 주소를 제한해야 합니다.

(3) 네트워크 디바이스 사용자의 id 는 고유해야 합니다.

(4) 인증 정보에는 비밀번호 길이, 복잡성, 정기 업데이트 등 쉽게 사용할 수 없는 특성이 있어야 합니다.

(5) 세션 종료, 잘못된 로그인 수 제한, 네트워크 로그인 연결이 시간 초과될 때 자동 종료와 같은 로그인 실패 처리 기능이 있어야 합니다.

3, 호스트 보안

3.1 인증

(1) 운영 체제 및 데이터베이스 관리 시스템 사용자의 id 는 고유해야 합니다.

(2) 운영 체제 및 데이터베이스 관리 시스템에 로그인하는 사용자를 식별하고 인증해야 합니다.

(3) 운영 체제 및 데이터베이스 관리 시스템 인증 정보에는 비밀번호 길이, 복잡성, 정기 업데이트 등 쉽게 사용할 수 없는 특성이 있어야 합니다.

(4) 세션 종료, 잘못된 로그인 수 제한, 로그인 연결 시간 초과 시 자동 종료 등의 로그인 실패 처리 기능이 있어야 합니다.

3.2 액세스 제어

(1) 주체의 객체에 대한 액세스는 보안 정책에 따라 제어해야 합니다.

(2) 자체 액세스 제어의 적용 범위에는 정보 보안과 직접 관련된 주체, 객체 및 그 사이의 작업이 포함되어야 합니다.

(3) 자율 액세스 제어의 세분성은 주체가 사용자 수준이어야 하고, 객체는 파일, 데이터베이스 테이블 수준이어야 합니다.

(4) 주체가 객체 액세스 및 운영에 대한 권한을 설정해야 합니다.

(5) 기본 사용자의 액세스를 엄격하게 제한해야 합니다.

3.3 보안 감사

(1) 보안 감사는 서버의 각 운영 체제 사용자 및 데이터베이스 사용자를 대상으로 해야 합니다.

(2) 보안 감사는 중요한 사용자 행동, 중요한 시스템 명령 사용 등 시스템 내의 중요한 보안 관련 이벤트를 기록해야 합니다.

(3) 보안 관련 이벤트 기록에는 날짜 및 시간, 유형, 주체 id, 객체 id, 이벤트 결과 등이 포함되어야 합니다.

(4) 감사 레코드는 예기치 않은 삭제, 수정 또는 덮어쓰기로부터 보호되어야 합니다.

3.4 나머지 정보 보호

(1) 운영 체제 및 데이터베이스 관리 시스템 사용자의 인증 정보가 있는 스토리지 공간을 확보해야 합니다. 이 정보는 하드 드라이브에 있든 메모리에 있든 관계없이 다른 사용자에게 해제되거나 재할당되기 전에 완전히 지워집니다.

(2) 시스템 내의 파일, 디렉토리, 데이터베이스 레코드 등의 리소스가 있는 스토리지 공간이 다른 사용자에게 해제되거나 재할당되기 전에 완전히 정리되도록 해야 합니다.

3.5 시스템 보호

시스템은 관리 유지 관리 상태에서 실행할 수 있는 기능을 제공해야 하며 관리 유지 관리 상태는 시스템 관리자만 사용할 수 있습니다.

3.6 악성 코드 방지

(1) 서버 및 주요 터미널 장치 (모바일 장치 포함) 는 악성 코드를 실시간으로 감지하고 죽이는 소프트웨어 제품을 설치해야 합니다.

(2) 호스트 시스템 안티맬웨어 제품에는 네트워크 안티맬웨어 제품과 다른 악성 코드 라이브러리가 있어야 합니다.

3.7 자원 제어

(1) 개별 사용자의 세션 수를 제한해야 합니다.

(2) 터미널 액세스 방법, 네트워크 주소 범위 등을 설정하여 터미널 로그인을 제한해야 합니다.

4, 애플리케이션 보안

4.1 인증

(1) 애플리케이션 시스템 사용자의 id 는 고유해야 합니다.

(2) 로그인한 사용자를 식별하고 인증해야 합니다.

(3) 시스템 사용자 인증 정보는 비밀번호 길이, 복잡성, 정기 업데이트 등 쉽게 사용할 수 없는 특징을 가져야 합니다.

4.2 액세스 제어

(1) 보안 정책에 따라 객체에 대한 사용자 액세스를 제어해야 합니다.

(4) 시스템 기능 운영 및 데이터 액세스에 대한 사용자 권한은 권한 있는 주체가 설정해야 합니다.

(5) 애플리케이션 시스템 권한 사용자의 권한 분리를 구현해야 합니다 (예: 관리 및 감사 권한을 다른 애플리케이션 시스템 사용자에게 할당).

(6) 권한 분리는 최소 권한 부여 원칙을 사용하여 서로 다른 사용자에게 각각 자신의 임무를 완수하는 데 필요한 최소 권한을 부여하고 서로 제약하는 관계를 형성해야 합니다.

(7) 기본 사용자의 액세스를 엄격하게 제한해야 합니다.

4.3 보안 감사

(1) 보안 감사는 애플리케이션 시스템의 각 사용자를 대상으로 해야 합니다.

(2) 보안 감사는 중요한 사용자 행동 및 중요한 시스템 기능의 실행을 포함하여 애플리케이션 시스템의 중요한 보안 관련 이벤트를 기록해야 합니다.

(4) 감사 레코드는 예기치 않은 삭제, 수정 또는 덮어쓰기로부터 보호되어야 합니다.

4.4 나머지 정보 보호 는 사용자의 인증 정보가 있는 스토리지 공간을 확보해야 하며, 하드 드라이브에 있든 메모리에 있든 다른 사용자에게 재할당되기 전에 완전히 지워집니다.

4.5 통신 무결성 통신 쌍방은 통신 데이터 메시지의 검사 코드를 계산하는 단방향 검사 코드 알고리즘을 합의해야 하며, 통신 시 양측은 검사 코드에 따라 상대방의 메시지의 유효성을 판단해야 합니다.

4.6 통신 기밀성

(1) 통신 당사자 중 한 명이 일정 기간 동안 응답하지 않을 경우 상대방은 자동으로 세션을 종료할 수 있어야 합니다.

(2) 통신 당사자가 연결을 설정하기 전에 암호 기술을 사용하여 세션 초기화 인증을 수행합니다.

(3) 통신 중 민감한 정보 필드를 암호화해야 합니다.

4.7 소프트웨어 내결함성

(1) 인간-기계 인터페이스를 통해 입력되거나 통신 인터페이스를 통해 입력된 데이터의 유효성을 검증해야 합니다.

(2) 인간-기계 인터페이스를 통해 수행되는 작업에 대해 "롤백" 기능을 제공해야 합니다. 즉, 작업 순서에 따라 롤백할 수 있습니다.

(3) 장애 발생 시 필요한 조치가 수행될 수 있도록 일부 기능을 계속 제공해야 합니다.

4.8 자원 제어

(1) 단일 사용자의 다중 동시 세션을 제한해야 합니다.

(2) 애플리케이션 시스템의 최대 동시 세션 접속 수를 제한해야 합니다.

(3) 일정 기간 동안 가능한 동시 세션 접속 수를 제한해야 합니다.

4.9 코드 보안

(1) 어플리케이션 코드에 대한 악성 코드 검사 ：

(2) 어플리케이션 코드의 보안 취약성 분석을 수행해야 합니다.

5, 데이터 보안 및 백업 복구

5.1 데이터 무결성

(1) 전송 중 시스템 관리 데이터, 인증 정보 및 사용자 데이터의 무결성이 훼손되는 것을 감지할 수 있어야 합니다.

(2) 저장 중 시스템 관리 데이터, 인증 정보 및 사용자 데이터의 무결성이 훼손되는 것을 감지할 수 있어야 합니다.

5.2 데이터 기밀성

(1) 네트워크 장치, 운영 체제, 데이터베이스 관리 시스템 및 애플리케이션 시스템에 대한 인증 정보, 민감한 시스템 관리 데이터 및 민감한 사용자 데이터는 암호화 또는 기타 효과적인 조치를 사용하여 전송 기밀성을 달성해야 합니다.

(2) 휴대용 및 모바일 장치를 사용할 때는 이동식 디스크를 암호화하거나 사용하여 민감한 정보를 저장해야 합니다.

5.3 백업 및 복구

(1) 중요한 정보를 선택적으로 백업할 수 있는 로봇을 제공해야 합니다.

(2) 중요한 정보를 복구할 수 있는 기능을 제공해야 합니다.

(3) 중요한 네트워크 장치, 통신 회선 및 서버의 하드웨어 중복성을 제공해야 합니다. 2. 관리 요구 사항

1, 보안 관리 기관

1.1 직무 설정

(1) 정보 보안 관리 업무의 기능 부서를 설립하고, 보안 책임자, 보안 관리의 모든 측면에 대한 책임자직을 세우고, 각 책임자의 책임을 정의해야 합니다.

(2) 시스템 관리자, 네트워크 관리자, 보안 관리자 직책을 설정하여 각 직무의 책임을 정의해야 합니다.

(3) 보안 관리 기관의 각 부서와 직위의 책임, 분업 및 기술 요구 사항을 명확히 하는 문서를 작성해야 합니다.

1.2 직원 배치

(1) 일정 수의 시스템 관리자, 네트워크 관리자, 보안 관리자 등을 배치해야 합니다.

(2) 보안 관리자는 네트워크 관리자, 시스템 관리자, 데이터베이스 관리자 등을 겸할 수 없습니다.

1.3 승인 및 승인

(1) 승인 부서 및 승인자는 주요 활동을 승인할 수 있어야 합니다.

(2) 승인이 필요한 사항, 승인 부서 및 승인자를 목록으로 설명해야 합니다.

1.4 의사 소통 및 협력

(1) 다양한 관리자와 조직 내부 기관 간의 협력 및 의사 소통을 강화하고, 정기 또는 비정기적으로 조정 회의를 개최하며, * * * 정보 보안 문제 처리에 협조해야 합니다.

(2) 정보 보안 기능 부서는 관련 부서 및 인력을 정기적으로 또는 정기적으로 소집하여 보안 업무 구현을 조율해야 합니다.

(3) 형제단위, 공안기관, 통신회사와의 협력과 소통을 강화하여 안전사건이 발생했을 때 적시에 지원을 받을 수 있도록 해야 한다.

1.5 감사 및 검사

는 사용자 계정 상황, 시스템 취약성 상황, 시스템 감사 상황 등을 포함한 보안 관리자가 정기적으로 보안 검사를 수행해야 합니다.

2, 안전관리제도

2.1 관리제도

(1) 정보안전업무의 전반적인 방침, 정책문서, 안전정책 등을 제정해 기관안전업무의 전반적인 목표, 범위, 방침, 원칙, 책임 등을 설명해야 한다.

(2) 보안 관리 활동에서 중요한 관리 콘텐츠에 대한 보안 관리 시스템을 구축하여 보안 관리 활동을 규제하고 개인의 행동 방식을 제한해야 합니다.

(3) 경영진이나 운영자가 수행해야 하는 중요한 관리 작업에 대응하고 운영 절차를 설정하여 운영 행동을 규범화하고 운영 실수를 방지합니다.

2.2

(1) 는 정보 보안 기능 부서의 전반적인 책임 하에 조직 관계자가 작성해야 합니다.

(2) 안전관리제도가 통일된 형식 스타일과 버전 관리를 보장해야 합니다.

(3) 관계자를 조직하여 제정된 안전관리를 논증하고 심사해야 한다.

(4) 안전관리제도는 경영진이 발급한 후 일정한 절차에 따라 문서로 발표해야 한다.

2.3 검토 및 개정 은 (는) 정기적으로 안전 관리 제도를 검토하고 개정하여 결함이 있거나 개선이 필요한 안전 관리 제도를 개정해야 합니다.

3, 인력 안전 관리

3.1 인력 채용

(1) 은 채용자가 기본적인 전문 기술 수준을 갖추도록 보장해야 한다

上篇: 등시군에 관한 작문 下篇: 호스트 공장 파이프