2.6.2 정보시스템 접근

1.통제 목적

서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식,안전한 접근수단 등을 정의하여 통제하여야 한다.

 

2.주요 확인사항

• 서버, 네트워크시스템, 보안시스템 등 정보시스템별 운영체제(OS)에 접근이 허용되는 사용자, 접근 가능위치, 접근 수단 등을 정의하여 통제하고 있는가?
• 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?
• 정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?
• 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?

 

3.결함 사례

 

1)사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나 터미널 서비스에 대한 Session Timeout 설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우

 

2)서버 간의 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우

 

3)타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우