데이터베이스 보안지침

 

 

제 1 조 (데이터베이스 계정)

① 계정의 생성 및 폐기
1. DB를 사용하고자 하는 자는 시스템관리자에게 사용자 정보 및 사용목적, 사용기간, 연락처 등이 포함된 DB사용자 계정 및 권한 신청서(별지 1호 서식)를 제출하고 시스템관리자는 타당성 검토를 한 후 계정을 부여한다.
2. 기본계정은 설치 후 업무에 사용되지 않는다면 삭제하도록 한다.

② 계정 운영
1. 관리자 계정이름을 변경하여 사용 하여야 한다. 부득이 바꾸지 못할 경우 8자리 이상의 암호를 적용 하여야 한다
2. 패스워드가 없는 계정은 사용을 금한다.
3. 장애복구나 점검을 위해 시스템관리자 권한 위임 시 작업종료 후 패스워드를 변경하도록 한다.
4. 잘못된 로그인 시도 시(5회) 계정 잠금을 일정 시간 설정 하여야 한다.
5. 시스템관리자 권한을 가지고 있던 사용자가 이/퇴직 등의 사유로 다른 곳을 옮길 때에는 인수자는 즉시 DB관리자 계정 및 패스워드를 변경하도록 한다.

③ 패스워드
1. 신규 사용자가 DB 사용에 대한 권한을 부여 받을 때 반드시 패스워드를 받도록 한다.
2. 모든 사용자는 패스워드 인증을 통해서만 DB에 접근할 수 있도록 한다.
3. DB의 기본패스워드는 항상 추측하기 어려운 복잡한 패스워드로 변경하여 사용 한다.

 

제 2 조 (DB 접근제어)

① 접근수준 및 권한부여
1. 사용자가 DB 파일에 접근할 수 있는 수준은 보안관리 규정에 따른 정보보호 등급과 사용자의 접근 권한에 따라 시스템관리자가 결정해야 한다.
2. 시스템관리자는 테이블에 Insert, Update, Delete, Select의 행위별 권한, 필드 접근권한 등의 객체 권한을 조정해야 한다.
3. 시스템 권한은 시스템관리자만이 가진다.

② 접근제어 설정 갱신 절차
1. 접근 제어에 대한 설정은 시스템관리자의 허가를 득하고서만 변경될 수 있도록 하고 변경된 사항은 문서로 관리한다.
2. 접근제어에 대한 설정은 환경의 변화 등을 반영하여 주기적으로 갱신한다.

③ 접근제어 메커니즘
1. DB의 중요성과 특성에 맞는 접근제어 메커니즘 ( 강제적 접근제어/ 재량적 접근제어 )을 택하여 적용한다.
2. 메커니즘에 맞는 구체적인 접근제어 절차를 마련한다.
3. 주체와 객체의 권한, 접근 시도 장소 및 시간 등에 따른 접근제어를 실시한다.
4. 필요한 경우 관리 툴을 이용하여 접근권한을 설정/통제한다.
5. 사용하지 않는 계정에 대해서는 주기적으로 검사하고 권한을 적절히 제한하도록 한다.
6. 사용자와 업무에 관한 권한 정보는 문서화되어 관리되며 항상 최신의 상황을 반영 하도록 갱신되도록 한다.

④ 암호화
1. 기밀성이 요구되는 DB 시스템에 대해 암호화적용 해야 하며, 암호화된 필드는 문서로 관리한다.
2. 암호화를 지원할 수 있는 암호화 기술이 DB 시스템에 도입되어야 한다.
3. DB로 기밀성이 요구되는 데이터를 전송할 때에는 암호화되어야 한다.

 

제 3 조 (DBMS 요구기능)

① 데이터베이스 보안을 위한 DBMS의 요구기능
1. 개별 사용자의 접근권한 통제 및 데이터 요소별로 데이터를 보호할 수 있는 자체보안 알고리즘을 갖추고 있어야 한다.
2. 프로그램, 유틸리티, 명령어 등의 데이터에 대한 접근을 통제해야 한다.
3. 특정 스키마 객체나 특정한 운영만을 사용자에게 허락해야 한다.
4. 로그 기능이 있어야 한다.

 

제 4 조 (로깅)

① 로깅
1. 사용자의 로그인 시간 및 로그인 지속 시간이 적절한 범위 내에서 로깅 되어야 한다.
2. DB에 연결된 사용자의 수가 적절한 범위 내에서 로깅 되어야 한다.
3. 접속에 실패한 접근 시도가 로깅 되어야 한다.
4. DB 내의 deadlock이 로깅 되어야 한다.
5. 모든 사용자의 I/O 통계가 적절한 범위 내에서 로깅 되어야 한다.
6. System Table에의 접근이 로깅 되어야 한다.
7. 새로운 DB 객체의 생성이 로깅 되어야 한다.
8. 데이터 조작이 적절한 범위 내에서 로깅 되어야 한다.

제 5 조 (사고 대응 절차)

① 불법적인 침입자나 침입 징후의 발견 시 대응절차는 침해사고 대응지침에 의거한다.

 

 

부 칙

 

이 지침은 2013년 5월 13일부터 시행한다.

 

 

※ 별지 1~2호는 첨부파일 참조.