금번 당사에서 공급하는 802.11.an 계열의 무선브리지에 국정원인증 KCVMP인증받은
아리안 암호모듈을 탑재하여 공급합니다.
주요기관 관공서, 군부대, 산업관리 대상의 주요시설의 신규 및 보수작업 등에 무선CCTV망 구축을
적용할 경우 KCVMP암호화 모듈을 탑재하여 납품합니다.
아리안 암호 모듈 탑재는 선택 옵션 품목입니다.
제41조(무선통신 보안관리) ① 국가 무선통신망(이하 “무선망”이라 한다)을 운용에 따른 보안관리 방침은 다음 각 호와 같다.
1. 보안상 취약한 무선망의 신설 또는 증설 억제
2. 도서ㆍ내륙지역 취약 무선망의 유선화 및 다원화 연차적 추진 등 보안대책 수립 추진
3. 국가 및 공공기관에서 운용하고 있는 무선망으로 비밀 등 중요자료를 소통하고자 하는 경우
국가용 보안시스템 사용
4. 무선망을 신규 도입하거나 운용환경을 변경하고자 할 때에는 국가용 보안시스템을 개발 적용할 수 있도록
입찰조건에 명시.
제42조(무선랜 보안관리) 분임정보보안담당자가 무선랜(와이파이 등)을 사용하여 업무자료를 소통하고자 할 경우
에는 분임정보보안담당자가 자체 보안대책을 수립하여 제20조 제2항의 절차에 따른 보안성 검토를 의뢰하여야 한다.
시스템관리자는 제1항의 보안대책 수립시, 다음 각 호의 사항을 포함하여야 한다.
1. 네트워크 이름(SSID, Service Set Identifier) 브로드캐스팅 중지
2. 추측이 어려운 복잡한 SSID 사용
3. WPA2 이상(256비트 이상)의 암호체계를 사용하여 소통자료 암호화(국가정보원장이 승인한 암호논리
사용)
▶ 무선통신의 경우 필수적으로 국가용 보안시스템을 적용하여야 하며 특히, 국가정보원장이 승인한
암호논리를 사용하여야 한다고 명시.
제47조(CCTV운용 보안관리) 시스템관리자는 CCTV운용에 필요한 카메라, 중계ㆍ관제서버, 관리용PC 등 관련
시스템을 비인가자의 임의 조작이 물리적으로 불가능하도록 설치하여야 한다.
시스템관리자는 CCTV 상황실을 보호구역으로 지정 관리하고 출입통제장치를 도입하여야 한다.
시스템관리자는 CCTV 카메라, 비디오서버, 관제서버 및 관련 전산망 설치시 내부 업무망 및 인터넷과 분리
운영하는 것을 원칙으로 한다. 다만, 부득이하게 인터넷망을 이용할 경우에는 전송내용을 암호화하여야 한다.
시스템관리자는 CCTV 시스템 일체에 관하여 사용자계정ㆍ비밀번호 등 시스템 인증대책을 강구하고 허용된
특정IP에서만 접속 허용하는 등 비인가자의 침입 통제대책을 강구하여야 한다.
▶ CCTV의 경우 인터넷망을 이용할 경우 “VPN"이 아닌 암호화하여 보안조치가 필수적입니다.
”VPN"은 공중망(public network)을 사용하여 사설망(private network)을 구축하게 해주는
기술이지 암호화하는 것이 아닙니다.
대부분의 현업에서 오해를 하고 계시는 항목입니다. 
제20조((보안성 검토) ① 다음 각 호의 정보화사업을 추진하는 분임정보보안담당자는 자체 보안대책을 강구하고
제2항의 절차에 따른 보안성검토를 실시한다.
1. 비밀 등 중요자료의 생산, 등록, 보관, 사용, 유통 및 재분류, 이관, 파기 등 비밀업무와 관련된 정보시스템 및
네트워크 구축
2. 국가용 보안시스템과 상용 암호모듈ㆍ정보보호시스템을 도입 운용하고자 할 경우
3. 국방ㆍ외교 등 국가안보상 중요한 정보통신망 및 정보시스템의 구축
4. 대규모 정보시스템(10억 이상 사업) 또는 다량의 개인정보(100만명 이상)를 처리하는 정보시스템 구축
5. 전력ㆍ교통 등 국민생활과 밀접한 정보통신기반시설의 중요 제어시스템 구축
6. 내부 정보통신망을 인터넷이나 타 기관 전산망 등 외부망과 연동하는 경우
7. 업무망과 연결되는 무선 네트워크 시스템 구축
8. 와이브로ㆍ스마트폰 등 첨단 IT기술을 업무에 활용하는 시스템 구축
9. 원격근무시스템 구축
10. 업무망과 인터넷 분리 사업
11. 그 밖에 사장 또는 국가정보원장이 보안성검토가 필요하다고 판단하는 정보화사업
제21조(보안적합성 검증) ① 분임정보보안담당자가 국가용 보안시스템이 아닌 정보보호시스템을 도입할 경우,
정보보안담당자와의 사전협의를 거쳐 지식경제부장관을 경유하여 국가정보원장에게 보안적합성 검증을
신청하여야 한다.
② 보안적합성 검증대상 시스템은 다음 각 호와 같다.
1. 상용 정보보호시스템
2. 자체 개발하거나 외부업체 등에 의뢰하여 개발한 정보보호시스템
3. 제20조의 보안성 검토결과 세부 검증이 필요하다고 판단된 보안 기능이 있는 정보시스템 및 제어시스템 등
③ 정보보호시스템 유형별 해당 도입요건은 별표4와 같다.
④ 제2항에도 불구하고 다음 각 호의 경우에는 검증을 생략할 수 있다.
1. 국가정보원장이 정한 국내용 CC 인증제도에 따라 인증을 받은 정보보호시스템
2. 국가정보원장이 안전성을 확인한 암호제품(KCMVP검증)
3. 그 밖에 국가정보원장이 보안적합성 검증이 불요하다고 인정한 시스템
▶ 보안적합성 검증을 생략할 수 있는 것은
1. 국내용 CC인증을 받은 정보보호시스템과
2. 국가정보원장이 안정성을 확인한 암호제품, 즉 “KCMVP검증된
암호모듈“
위의 두가지 제품을 사용하였을 경우 보안적합성 검증을 생략할 수
있으나, 현업에서는 마치 CC인증만 해당되는 것으로 오해를 하고
있습니다.
'공지사항' 카테고리의 다른 글
| 제안서- 비상콜 시스템 (0) | 2015.12.30 |
|---|---|
| 무선브리지의 스펙트럼 아날라이저 기능 지원 (0) | 2015.10.28 |
| 무선브리지에서 스펙트럼 아날라이저 기능 지원 (0) | 2015.09.08 |
| 방수가 안되는 무선랜 일체형안테나 문제점 발견 (0) | 2009.05.30 |
| 코햄디지털에서 성진알에프로 상호 변경하여 (0) | 2008.10.16 |