스마트워크 보안 적합성 심의 업무 내용

스마트워크 모바일시스템 과업내용서.hwp

한국가스공사의 사업발주 사례로 본 모바일 워크/스마트워크 보안적합성 심의 내용입니다.

---------------------------------------

4. 보안 적합성 심의 업무 내용

가. 모바일 업무환경을 위한 보안정책 지원

○ 스마트폰 정보정책관련 자료 제공

○ 모바일관련 매뉴얼 및 지침 제공

○ 보안적합성 심의 컨설팅 지원

※ 국가(지자체포함)․공공기관 업무용 스마트폰 보안규격(국정원) SL-3를 준수 하여야 하며, 공사의 업무환경을 고려한 실무 적용 가능 정책이여야 함

 

나. 납품 솔루션 보안심의 준수사항

○ 공사 모바일오피스시스템 서비스 이전에 단말, 네트워크, 서버 등 계층별 국가정보원 보안적합성 심사를 득할 수 있도록 아키텍처 수립에 지원해야 한다.

○ 납품하는 S/W는 국정원 보안적합성 인증(CC인증 포함) 제품이거나, 동등 이상의 기술 검증이력을 제시하여야 하며 공사의 보안적합성 심의 (SL-3등급)를 통과할 수 있는 사전 심의 및 본 심의에 정책적/기술적 지원을 본심의 완료까지 무상으로 지원하여야 한다.

○ 성공적인 스마트워크 모바일시스템 구축 및 보안 적합성 심의를 위하여 해당되는 경우 국가(지자체포함)·공공기관의 유사 사례(SL-3등급 이상)에 대한 수행실적 근거자료(심의통과 인증자료)를 제출하여야 한다.

○ 공사 모바일오피스 시스템에 대한 보안취약점 점검 및 보안 조치 수행, 침해사고 대응과 안전진단을 제안사의 책임으로 실시하고 결과보고서를 사업완료 시 제출하여야 한다.

 

다. 스마트 모바일 보안 인프라

○ 시스템 통계 기능 : 시스템 관리권한 생성/변경 등 관리자 관리

- 단말기 목록, 상세정보, 이용서비스 조회 등 단말기 관리

- 사용자 정보관리, 서비스 이용내역 조회 등 사용자 관리

- 서비스 사용자 맵핑, 사용자 통계, 서비스 대상 항목 통제 등 서비스 관리

- 서비스 이용 현황, 개인별 로그 등 모니터링, 통계 및 분석 자료 제공 (Excel 다운로드 지원)

○ 모바일 프로그램 기동 시 이동통신사 3G/LTE망만을 이용하여야 한다.

- Wi-Fi 등 무선AP망 접속 불가

○ 보안성을 고려하여 단일화된 경로로 외부와 연결하도록 구성하고, 사업자와 연동된 시스템에서 내부 데이터 확인이 불가능하도록 구축

○ 사용자 인증 : 스마트폰 구동 시 비밀번호에 의한 사용자 인증을 수행하고 일정시간 동안 미사용 시 자동 잠금 기능 수행

- 잠긴 스마트폰, 태블릿을 재작동시, 사용자 인증을 수행

- 스마트폰, 태블릿의 잠금 해제와 업무접속 시 암호 설정을 이용하도록 하고 암호입력 오류 시(5회) 사용․접근이 불가능 하도록 기능구현

○ 단말기·바이러스 방지기능 지원 : 단말기 악성코드(해킹․바이러스 등) 감염에 대비하여 안티바이러스 소프트웨어를 설치 등 단말기 해킹·바이러스 방지기능 지원

- 악성코드 및 바이러스 실시간 감시

- 모바일 OS 동작 시 프로세스 스캔 기능 지원

- 개인정보 유출 위험 파일 검사 제공

- 모바일 OS 시스템에 접근하는 악성 프로그램을 차단하는 서비스 제공

- API/SDK 형태로 제공, 모바일 애플리케이션에 통합 제공

○ 데이터의 안전한 보호 : 스마트폰이 이동저장매체로 사용되고 악성 코드가 PC로 전염되는 것을 방지하기 위하여 스마트폰과 업무PC 간 접속 및 데이터 전송을 통제(USB 케이블, 블루투스, 적외선 통신, 무선랜 등)

- 스마트폰, 태블릿에 임시파일의 생성을 통제하여야 하며, 파일은 휘발성 메모리에만 저장하고 불가피한 경우, 파일을 암호화하여 임시 저장한 후 삭제

- 스마트폰, 태블릿을 이용한 업무시스템 접속 시 자료유출을 방지하기 위해 단말기 화면캡처 기능사용 통제

○ 모바일 OS의 보안패치를 최신상태로 유지해야 하며, 모바일 OS의 무결성을 주기적으로 검사하여 변조를 방지

- 메일 등 행정 업무 관련 첨부된 파일은 단말에 저장되지 않도록 하며, 이미지 등 편집이 불가능한 형태로 변환하여 스트리밍 방식으로 이용자 단말로 전송

- 스트리밍 방식으로 첨부파일을 확인하는 뷰어 프로그램을 지원하되, 세션 타이머 기능을 적용하여 자동으로 종료되도록 조치

- 뷰어 프로그램은 동시에 복수의 자료를 열람할 수 없도록 기능을 제한하고, 프로그램 종료 시 임시 저장된 파일은 삭제 및 고의적 유출 방지를 위한 파일 암호화 기능 제공

- 첨부 자료는 외부 장치에 의한 복사 금지

○ 단말기와 모바일 접속서버간 End- to - End 방식 암호화를 제공하여야 한다.

라. 업무망 사내시스템 연계

○ SAP 등 타 시스템과 EAI(Enterprise Application Integration) 연계를 통한 사용자 정보 구현

○ 웹메일 접속시 SSO(Single Sign On)기능을 제공 및 이메일(웹메일)과 연계 구현

마. 네트워크 보안 분야

○ 스마트폰으로 업무시스템에 접속할 경우 인터넷망을 경유하지 않고 이동통신사업자의 무선망에서 전용회선을 통해 직접 연결

○ 스마트폰에서 스마트 모바일 시스템 영역까지 SSL VPN을 적용하여 통신 내용을 암호화하고 스마트폰 단말을 인증 처리

○ 종단간 데이터 해킹방지를 위해 국가정보원검증을 통과한 암호화 방식을 적용하여야 한다.

바. 서버 보안 분야

○ Telnet, FTP 등 불필요한 서비스와 포트는 제거하고 필요시 서버를 보호하기 위하여 별도의 호스트 기반 방화벽을 운영

○ 사용자 인증이 완료된 이후라도 지정된 시간 동안 추가적인 사용자 입력이 없을 경우 자동으로 서버와 접속을 해제 하도록 구현

○ 스마트폰 사용자가 업무서비스에서 수행한 작업내역을 기록

- 일자, 시간, IP주소, 사용자 계정, 세부작업 내역 등 서비스 메뉴별 사용 내역에 대한 사용자 추적기능을 제공해야 함

○ 일정시간 응답이 없을 경우에는 관리자 통보 기능(SMS 또는 이메일 등) 및 폰 사용자 통보 (SMS, Push 또는 웹메일 등)하고 원격 잠금

○ 업무용 소프트웨어(앱)은 정보 조회 기능만 제공하며 쓰기 기능이 필요한 경우에는 한글 200자로 제한해야 함

○ 단말에서 업무서버로의 직접 연결은 차단하고, 별도 장소에 설치한 중계 (Relay) 서버를 통하여만 연결 가능하도록 구축하여야 한다.

○ ‘모바일 업무시스템 DMZ 영역’은 인증된 단말만 접속이 가능하도록 구성하여야 한다.

○ ‘모바일 업무시스템 DMZ 영역’ 서버내 자료는 원칙적으로 저장을 금지하는 구조로 설계하여야 한다.

사. 단말 보안 분야

○ 애플리케이션, 보안정책 등의 패치 및 정기 업데이트는 이동통신망 (WCDMA, LTE), 무선LAN(Wi-Fi)을 통한 적용이 가능하도록 하여야한다.

○ 휴대기기 단말에 대한 Virus, Troy, Worm 등 유해 프로그램을 통한 해킹 및 네트워크 공격 방지를 위한 공사 Anti -Virus 단말 솔루션과 연계하여 제공하여야 한다.

○ 휴대기기 단말에 대한 백신프로그램 설치 및 주기적인 업데이트를 적용할 수 있도록 연계하여야 한다.

○ 일정시간 입력이 없는 경우, 자동으로 잠금 기능이 작동하도록 하여야한다.

○ 휴대기기 잠금 해제시, 행정서비스 접속시에 암호설정을 하도록 권장 하고, 입력오류 시 사용접근이 불가능 하도록 하여야 한다.

○ 단말의 수리 및 분실시, 저장된 사용자 계정, 개인정보 및 서비스 접속 앱 등 등 원격으로 초기화를 통한 삭제가 가능하도록 하여야 한다.

○ 주기적으로 비밀번호를 강제 변경하는 인증방식이 지원 되어야 한다.

○ 메일 등 내부 행정업무 관련 첨부된 파일은 단말에 저장되지 않도록 하며, 이미지 등 편집이 불가능한 형태로 변환하여 이용자 단말로 전송할 수 있도록 하여야 한다.

○ 사용자 인증은 ID/패스워드(6자리 이상) 방식, 공인인증서, 단말고유 정보 등을 지원할 수 있어야 한다.

○ 단말고유정보는 이동통신사, 휴대기기, 단말 OS, 정책 등에 따라 보안성이 검증된 방식으로 적용하여야 한다.

○ 공사 모바일오피스 시스템 접속시에는 화면 캡쳐가 되지 않도록 하여야 한다.

○ (암호화 대책) 정보보호를 위한 암호화 방식 적용

- 프로토콜 : SSL(Secure Socket Layer) 등

- 알고리즘 : AES, SEED, ARIA 등

- 국가정보원 보안적합성 심의기준에 통과방식 적용

아. 사용자 행위기록

○ 모바일오피스 시스템 접근 이력에 대한 로그관리를 하여야 한다.

○ 휴대기기 사용자가 업무 서비스에서 수행한 작업내역이 기록 되어야 한다. (일자/시간/IP주소/사용자 계정/작업내역등)

---------------