Domino® 보안 팀

조직에 대한 일련의 보안 설명서를 개발해야 합니다. 보안 구현에 필요한 보안 문서는 다음 4가지 종류가 있습니다.

• 정책은 업무 추진 문서입니다. 일반적으로, 업무용 보안 필요사항에 대한 높은 수준의 설명서입니다. 조직에서는 조직 전반에 대한 정책 문서를 이미 가지고 있습니다. 정책을 빌드하고, 필요한 경우 정책을 확장하여 Domino® 환경에 맞는 보안 정책을 개발합니다.
• 가이드라인은 회사 내에서 보안 지원 및 관리 방법에 대한 전반적인 참고 사항입니다.
• 표준은 회사에서 발생하거나 발생하지 않을 일에 대해 수립된 규칙입니다. 4 종류의 문서를 모두 감사할 수도 있지만, 감사관은 회사가 설정한 표준에 중점을 둡니다. 일반적으로, 표준은 최소한의 비밀번호 등급, 비밀번호 만료 기간, 서버 운영 체제 및 물리적 환경, 인터넷 및 전화 접속 액세스 제어, 관리자에 대한 백그라운드 검사 및 감사 요구사항과 같은 항목에 적용됩니다.
• 절차에는 일반적으로 회사 내의 보안 구현 방법에 대한 특정 단계가 포함됩니다. 절차는 Domino® 보안 설명서 중 상당한 부분을 차지하며, Domino® 및 X.509 인증서 제어 방법에서 사용자가 Notes® 또는 인터넷 비밀번호를 잊어버린 경우 수행해야 할 일 그리고 직원 퇴사 시 밟아야 할 단계까지 모든 사항을 포함하여 설명합니다. 절차는 보안의 큰 틀이 결정된 후 개발됩니다.

Domino® 보안 팀은 위 문서의 초기 방향, 피드백 및 감사를 책임집니다. 보안 팀에 회사 내의 각 부서 대표가 포함되어야 합니다. 이런 액세스 방식을 통해 작성된 보안 문서는 전체 회사의 요구에 부응할 수 있습니다. 참가 부서로부터 매입(buy-in)을 작성할 수 있는 장점도 있습니다.

대부분의 회사에는 다음 표에서 설명하는 것과 유사한 책임 구조가 있습니다.

사용자는 보안 구현에 있어 중요한 부분입니다. 개발한 보안 지침 및 표준과 함께 보안 계획 노력의 중요성에 대해 사용자에게 알려야 합니다. 기술만으로는 조직을 안전하게 유지할 수 없습니다. 사용자는 보안 하부 구조를 성공적으로 수행하는데 방화벽이나 CA(Certificate Authority)만큼 중요합니다.

보안 계획에 사용자를 참석시키는 방법 중 하나는 사용자가 보호해야 된다고 느끼는 자산과 사용자가 예상하는 기업 보안 레벨을 결정하기 위한 조사를 시행하는 것입니다. 익명 조사는 사용자가 의사 표현을 꺼리는 보안 문제점을 파악하기 위한 좋은 방법입니다.

서버 관리자는 Domino® 서버의 전반적인 상태를 관리할 책임이 있습니다. 서버 관리자의 주요 책임에는 Notes® 클라이언트와 웹 사용자 모두에 대한 서버 액세스 목록 및 서버 제한의 정의와 관리가 포함됩니다. 대형 조직에서는 관리자 의무가 여러 서버 관리자에게 위임됩니다. 작은 조직에서 서버 관리자는 Domino® 인증 관리자 및 시스템 데이터베이스의 데이터베이스 관리자 역할을 할 수도 있습니다(예: Domino® 디렉토리 및 로그 파일(LOG.NSF)). 또한 서버 관리자는 HTTP 액세스를 위한 파일 보호 문서의 작성 및 관리, 기타 웹 관련 보안 조치의 실행을 담당할 수 있습니다.

조직의 IT 구조가 허용하는 경우, Domino® 서버 관리와 운영 체제 서버 관리를 별도로 관리하는 것이 최선입니다.

다양한 관리 자원에 필요한 액세스 권한에 따라 조직 관리자를 여러 레벨로 정의할 수 있습니다. 예를 들어 관리자를 원격 콘솔 액세스에 대해서만 또는 시스템 관리 액세스에 대해서만 설정할 수 있습니다. 관리 액세스 레벨은 Domino® 서버의 서버 문서에서 정의됩니다.