작성일 : 15-01-27 10:56
|
서버 운영체제 계정 접속시 2차인증 법적의무화 시행 중......
|
|
글쓴이 :
더모아넷
조회 : 1,586 추천 : 0
|
 더모아넷-서버운영체제 계정 접속시 2차 인증 의무화-20131203.pdf (181.7K) [17] DATE : 2015-01-27 11:03:44 |
| 더모아넷_AuthCastle_제품소개서_20150105.pdf (1.9M) [11] DATE : 2015-01-27 11:00:42 |
|
[관련 법규 및 근거] 금융감독원 전자금융감독규정
제14조 (정보처리시스템 보호대책) 금융회사 또는 전자금융업자는 정보처리시스템의 안전한 운영을 위하여 다음 각 호를 포함한 보호대책을 수립.운영하여야 한다. <개정 2013.12.3> ---중략--- 9. 정보처리시스템의 운영체계 (Operating System)계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가 인증 절차를 의무적으로 시행할 것 <신설 2013.12.3> 10. 정보처리시스템 운영체제 (Operating System)계정에 대한 사용권한, 접근 기록, 작업내역들에 대한 상시 모니터링체계를 수립하고, 이상 징후 발생시 필요한 통제 조치를 즉시 시행할 것 <신설 2013.12.3> 위의 제14조 9항과 10항은 서버에 Telnet, FTP, SSH등의 방법을 통해 운영체제의 계정인 root, oracle, jeus등 시스템 관리자 계정 및 서비스 관리자 계정으로의 접속시 OTP, ARS ,PKI등의 추가적인 인증 수단을 마련하도록 의무화 한 것 이라 볼 수 있습니다. 이러한 조치는 외부 인력 및 내부인력의 무분별한 서버 직접 접속을 제한하고 접속할 때 실제 접속자가 누구인지를 인증하고 접속함으로써 보안사고 발생시 감사 추적을 용이하게 하고 사고 발생 시점에 서버에 접속한 사용자(개발자, 운영자, 외부 인력 등)를 식별함으로써 책임추적성을 확보할 수 있게 하기 위함입니다. 또한 더 나아가 접속시 식별한 실제 사용자(실명) 정보를 바탕으로 명령어 및 중요 데이타 피일에 대한 실 사용자 접근 감사기록을 증적함으로써 개인정보 및 중요 정보의 유출을 탐지할 수 있게 하기 위함입니다. 또한 실사용자 기반의 파일 접근 통제를 수행함으로써 개인정보 및 데이터베이스 파일의 유출을 차단할 수도 있습니다. |
|
