IO 기능: 보안 프로세스 - 표준화 -> 합리화

  • 아티클
이 페이지의 내용

소개 소개
요구 사항: 이중 사용자 인증, 새 소프트웨어 취득을 위한 표준 보안 검토 및 데이터 분류 프로세스 요구 사항: 이중 사용자 인증, 새 소프트웨어 취득을 위한 표준 보안 검토 및 데이터 분류 프로세스

소개

보안 프로세스는 인프라 최적화의 핵심 요소이고 보안은 인프라 최적화 모델에서 강조되는 모든 절차와 기술의 설계 기준에 속해야 합니다. 다음 표에는 보안 프로세스의 합리화 수준으로 이동함에 따른 상위 과제, 해당 솔루션 및 이점이 나열되어 있습니다.

과제

솔루션

이점

업무상 과제

일관된 위험 평가 프로세스가 없음

사고 대처 계획이 마련되지만 완전히 문서화되지 않음

표준 ID 보호 기술만 사용됨

IT 과제

PC 보안이 제한됨

네트워크로 연결된 모든 IT 자산의 보안 업데이트 프로세스가 문서화되지 않음

프로젝트

종 심층 방어(Defense-in-Depth) 보안 정책 최적화 계속

2가지 요소로 구성된 ID 및 액세스 관리 정책 개발 및 구현

취득하거나 개발한 소프트웨어 전체의 보안 요구 사항 테스트를 관리하기 위한 프로세스 개발  

중요한 데이터를 분류하기 위한 표준과 반복 가능한 절차 설정

업무상 이점

문제와 사고가 줄어들고 나머지는 더욱 빠르게 해결됨

정보 보안 및 ID 보호가 개선되어 장치와 관계없이 위협으로부터 업무를 보호하는 데 도움이 됨

IT 이점

자동화된 서비스와 도구로 인해 여유 리소스가 늘어나 새로운 서비스를 구현하거나 기존 서비스를 최적화할 수 있음

사전 대처 방식의 IT 운영이 문제를 조기에 해결하여 사용자 생산성 저하를 방지함

합리화 수준의 최적화를 달성하려면 위험 관리, 사고 관리 및 대처, 응용 프로그램 테스트 등에 대한 절차가 조직에 정의되어 있어야 합니다.

요구 사항: 이중 사용자 인증, 새 소프트웨어 취득을 위한 표준 보안 검토 및 데이터 분류 프로세스

대상

보안 정책, 위험 평가, 사고 대처 및 데이터 보안을 위한 계획이 마련되어 있지 않으면 이 절을 읽어야 합니다.

개요

대부분의 조직은 도난, 작업자 또는 컴퓨터 오류, 악의 또는 기타 사고로 인한 손실이나 손상으로부터 데이터와 리소스를 보호하는 것이 중요하다는 점을 알고 있습니다. 손실이나 손상이 발생할 가능성을 제한하기 위한 조치를 취할 수 있습니다. 손실이나 손상에 대응하고 손실이나 손상이 IT 환경에 미치는 영향을 최소화하기 위한 정책과 절차를 수립할 수도 있습니다. 본 가이드의 합리화 수준은 핵심 인프라 최적화 온라인 자체 평가와는 다르며 이중 사용자 인증, 새 자산을 위한 표준 보안 검토, 데이터 분류 프로세스 등의 항목에 중점을 둡니다.

1단계: 평가

평가 단계에서는 조직에 적합한 보안 필요성과 현재 마련되어 있는 프로세스를 결정해야 합니다. 보안 요구 사항은 규모, 산업 또는 분야, 현지 법률 및 규정 등을 기반으로 회사 간이나 기관 간에 크게 다를 수 있습니다. 조직의 요구 사항을 수집하면 적절한 보안 프로세스를 정의할 수 있습니다.

2단계: 식별

식별 단계에서는 조직에서는 현재 마련되어 있는 도구와 절차를 검토하고 해당 조직에 대한 보안 요구 사항을 결정합니다. 이 단계에서는 이미 사용 중이거나 처분할 수 있는 기술 구성 요소 외에도 현재 암묵적으로 존재하고 있거나 실제로 적용된 보안 정책을 수집하게 됩니다. 지역 또는 산업별 법률이나 규정을 기반으로 외부 요구 사항도 수집하게 됩니다.

3단계: 평가 및 계획

합리화 수준의 최적화로 이동하기 위한 평가 및 계획 단계에서는 특정 개선 영역에 중점을 둡니다.

2중 인증

사용자만 아는 비밀을 암호로 사용하면 효과적으로 보안을 제어할 수 있습니다. 임의 문자, 숫자 또는 특수 문자로 구성된 10자 이상의 긴 암호는 풀기가 매우 어렵습니다. 안타깝게도 사용자들은 이러한 종류의 암호를 항상 기억하기 어려운데, 이는 부분적으로 근본적인 인간 능력의 한계에 기인합니다.

2중 인증 시스템은 두 번째 암호를 요구함으로써 단일 암호 인증 방식의 문제점을 극복합니다. 2중 인증은 다음과 같은 항목의 조합을 사용합니다.

  • 하드웨어 토큰 또는 스마트 카드와 같이 사용자가 가진 물건.

  • 사용자가 아는 사실(예: 개인 ID 번호(PIN)).

스마트 카드와 관련 PIN은 신뢰성과 비용 면에서 효율성이 뛰어난 2중 인증 방식으로 사용 빈도가 점차 증가하고 있습니다. 적절하게 관리한다면, 스마트 카드를 가지고 있고 암호를 아는 사용자만 네트워크 리소스 액세스 권한을 획득할 수 있습니다. 이중 요구 사항은 조직의 네트워크에 대한 무단 액세스 가능성을 현저하게 감소시킵니다.

스마트 카드는 다음과 같은 두 가지 시나리오에서 특히 효과적인 보안 제어를 제공합니다. 관리자 계정 보안 및 원격 액세스 보안이 그것입니다. 이 가이드는 이러한 두 가지 시나리오에서 스마트 카드 구현을 높은 우선 순위로 강조합니다.

관리자 수준의 계정은 넓은 범위의 사용자 권한을 보유하기 때문에, 이러한 계정 중 하나라도 노출될 경우 전체 네트워크 리소스에 침입자가 액세스할 수 있는 권한을 부여합니다. 도메인 관리자 수준의 계정 자격 증명이 도난되면 도메인 전체를 위험에 빠트리고, 심지어 전체 포리스트 또는 다른 신뢰할 수 있는 포리스트까지도 영향을 받을 수 있기 때문에, 관리자 수준 액세스 권한을 안전하게 보호하는 것은 매우 중요합니다. 관리자 인증에 대해 2중 인증 방식의 사용은 필수적입니다.

조직은 네트워크 리소스에 원격 연결이 필요한 사용자에게 스마트 카드를 배포할 경우, 중요한 추가 보안 계층을 제공할 수 있습니다. 2중 인증은 원격 사용자에게 특히 중요한데, 이는 원격 연결에 대해 어떠한 형태의 물리적 액세스 제어도 제공하는 것이 불가능하기 때문입니다. 스마트 카드를 사용한 2중 인증은 VPN(가상 사설망) 연결을 통해 연결하는 원격 사용자의 인증 프로세스 보안을 강화할 수 있습니다.

2중 인증에 대한 자세한 내용을 보려면 https://www.microsoft.com/technet/security/guidance/networksecurity/securesmartcards/default.mspx를 방문하십시오.

새 소프트웨어 취득을 위한 표준 보안 검토

합리화 수준에서 조직의 모든 소프트웨어 취득은 표준 보안 검토를 허용하는 프로그램을 따라야 합니다. IT 시스템 보안 검토를 수행하기 위한 최적의 방법 프로세스는 ISO/IEC 17799:2005 정보 기술 -- 보안 기법 -- 정보 보안 관리에 대한 실행 준칙 표준에서 설명합니다. ISO/IEC 17799:2005에서는 다음을 포함하여 정보 시스템 취득, 개발 및 유지 관리에 대한 지침과 일반 원칙을 설정합니다.

  • 정보 시스템의 보안 요구 사항

  • 응용 프로그램 시스템에서의 올바른 처리

  • 암호화 제어

  • 시스템 파일의 보안

  • 개발 및 지원 프로세스에서의 보안

  • 기술 취약점 관리

표준에 대한 자세한 내용을 보거나 설명서를 얻으려면 ISO/IEC 17799:2005 정보 기술 -- 보안 기법 -- 정보 보안 관리에 대한 실행 준칙 웹 사이트를 방문하십시오.

데이터 분류 프로세스

데이터 분류 및 보호는 보안 분류 수준을 시스템에 있거나 전송 중인 데이터에 적용하는 방법을 다룹니다. 또한 이 솔루션 범주는 기밀성과 무결성을 저장소에 있거나 전송 중인 데이터에 제공하는 방식으로 데이터 보호를 다룹니다. 암호화 솔루션은 조직이 가장 일반적으로 사용하는 데이터 보호 방법입니다.

준수에 미치는 영향

데이터 분류는 사용자에게 데이터의 상대적 중요성을 나타내는 수준과 데이터를 취급, 보호 및 처분하는 방법을 알려 주므로 준수 측면에서 중요합니다. 높음, 보통 및 낮음은 데이터가 업무에 미치는 상대적 영향을 나타내는 일반적인 데이터 분류 예입니다. 극비, 비밀, 기밀, 미분류 등의 군용 분류 체계가 일부 조직에서 적용될 수도 있습니다.

모든 준수 지침은 저장소에 있거나 전송 중인 중요한 정보에 대해 파일 보호 및 암호화를 요구합니다. 준수 프로세스는 주로 Microsoft Office Word 및 Office Excel 파일과 같이 구조화되지 않은 응용 프로그램에서 막대한 양의 중요한 데이터를 만듭니다. 이 준수 데이터는 조직의 알려진 약점과 취약점에 대한 전체 세부 정보를 포함하고 있기 때문에 제어 및 보호가 매우 중요합니다.

Microsoft 리소스

Microsoft는 여러 가지 데이터 분류 및 데이터 보호 리소스를 제공합니다. 예를 들어 Microsoft Office 2003 응용 프로그램과 Microsoft Internet Explorer의 Windows Rights Management Services를 확장하는 정보 권한 관리(IRM) 기술을 Windows RMS(Rights Management Services) 기술과 조합해서 사용하면 조직의 데이터를 분류하고 보호하는 데 도움이 됩니다. RMS는 어디로 가든 정보와 함께 이동하는 암호화 기반의 정책 구동형 보호를 적용합니다.

추가 데이터 보호 기술 솔루션의 예로는 IPsec(Internet Protocol security), 암호화 파일 시스템(EFS) 등이 있습니다. IPsec는 IP 트래픽에 데이터 무결성과 암호화를 제공하는 반면 EFS는 Microsoft Windows 2000 Server, Windows XP Professional 및 Windows Server 2003의 파일 시스템에 저장된 파일을 암호화합니다. Microsoft는 이러한 데이터 분류 및 보호 솔루션에 대해 다음 지침을 제공합니다.

4단계: 배포

평가를 거쳐 승인을 받은 보안 프로세스 개선 사항은 배포 단계에서 구현됩니다. 효율적인 데이터 프로세스를 위한 보안 정책 및 대처 능력을 강화할 수 있도록 유용성 테스트를 수행하는 것이 중요합니다.

추가 정보

보안 운영 및 프로세스 표준 개발에 대한 자세한 내용을 보려면 Microsoft TechNet의 보안 지침 포털(https://www.microsoft.com/technet/security/guidance)을 참조하십시오.

체크포인트: 이중 사용자 인증, 새 소프트웨어 취득을 위한 표준 보안 검토 및 데이터 분류 프로세스

요구 사항

 

2가지 요소로 이루어진 ID 및 액세스 관리 정책을 개발하여 구현했습니다.

 

취득하거나 개발한 소프트웨어 전체의 보안 요구 사항 테스트를 관리하기 위한 프로세스를 개발했습니다.  

 

중요한 데이터를 분류하기 위한 표준과 반복 가능한 절차를 설정했습니다.

위에 나열된 단계를 완료했으면 해당 조직에서 이중 사용자 인증, 새 소프트웨어 취득을 위한 표준 보안 검토 및 데이터 분류 프로세스에 필요한 합리화 수준의 최소 요구 사항을 충족한 것입니다.

Microsoft TechNet 보안 센터에서 다룬 보안 프로세스에 대한 추가 최적의 방법을 따르도록 권장합니다.

다음 자체 평가 질문으로 이동하십시오.