Domino 보안 개요

조직의 보안을 설정하는 것은 중요한 작업입니다. 보안 인프라는 조직의 IT 리소스와 자산을 보호하는 데 매우 중요합니다. 관리자는 서버나 사용자를 설정하기 전에 조직의 보안 요구 사항을 신중하게 고려해야 합니다. 사전 계획은 나중에 보안 침해 위험을 최소화하는 데 도움이 됩니다.

보안 계획을 안내하려면 다음 작업을 사용하세요.

  • 사업을 알아라.
  • 자산과 위협을 식별합니다(위험 분석).
  • 컴퓨팅 환경을 보호하기 위한 전략을 개발하십시오.
  • 사고 처리 절차를 개발합니다.
  • 직원 교육을 계획하고 제공합니다.
  • 프로세스를 최신 상태로 유지하세요.

사업을 알아라

이는 조직의 비즈니스 요구 사항과 충족해야 하는 서비스 수준을 이해하는 프로세스입니다. 귀하의 직접적인 책임이 아닌 부분을 포함하여 비즈니스의 모든 구성 요소를 식별하십시오. 신규 인수 및 최근 분사를 포함합니다. 이 프로세스의 일부로 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크를 식별합니다. 어떤 경우에는 엑스트라넷이 신뢰할 수 있는 네트워크의 확장일 수도 있습니다.

비즈니스 요구사항을 이해한 후에는 다음을 포함하여 Domino ® 인프라의 구체적인 계획을 시작할 수 있습니다.

  • 둘 이상의 Domino ® 도메인이 필요합니까, 아니면 새 도메인이 기존 도메인과 상호 작용해야 합니까?
  • Domino ® 데이터를 인터넷에 노출하는 가장 좋은 방법은 무엇입니까?
  • 비즈니스를 지원하려면 어떤 서비스 수준이 필요합니까?
  • 누가 Domino ® 디렉토리에 어떤 수준의 액세스 권한을 가져야 합니까?

자산 및 위협 식별(위험 분석)

보호하려는 자산의 가치를 식별하십시오. 조직의 응용 프로그램에는 서로 다른 값이 있습니다. 예를 들어, 대부분의 조직에서 전자 메일 인프라의 가용성은 비즈니스에 필수적이지만 이전 전자 메일의 즉각적인 가용성은 덜 중요합니다. 그런 다음 내부 및 외부 관점에서 위협을 식별합니다. 위협 중 하나라도 성공할 경우 조직에 미칠 수 있는 손실을 이해해야 합니다. 마지막으로 위협의 가능성을 결정합니다. 예를 들어, 손상된 시스템으로 인한 자동화된 공격은 거의 확실하고, 물 손상으로 인한 서버실 장애는 뚜렷한 가능성인 반면, 데이터 센터에서 서버의 하드 드라이브를 도난당할 가능성은 일반적으로 낮습니다.

모든 컴퓨팅 인프라에는 다양한 유형의 위협이 있습니다.

  • 환경파괴
  • 인터넷상의 자동 공격 또는 해커
  • 인트라넷의 손상된 시스템으로부터 자동 공격
  • 덜 안전한 시스템과의 인터페이스
  • 교육을 받지 않았거나 제대로 교육받지 못한 사용자 및 관리자가 저지른 실수
  • 범죄적 이익을 위한 데이터 가로채기 또는 변경
  • 전 직원의 악의적 활동

또한 보호해야 하는 Domino ® 자산과 이를 보호할 수 있는 방법을 더 잘 이해하려면 Domino ® 보안 모델을 이해해야 합니다.

컴퓨팅 환경을 보호하기 위한 전략 개발

Domino ® 환경에 대한 잠재적인 위협을 이해하고 나면 Domino ® 컴퓨팅 인프라의 각 부분을 보호하기 위한 정책을 만들 수 있습니다. 여기에는 다음 영역에 대한 정책 개발이 포함될 수 있습니다.

  • 서버에 대한 물리적 액세스 제한
  • 네트워크 액세스 및 보호
  • 실행 제어 목록 및 바이러스 백신 제품을 사용하는 메시징 인프라
  • 암호화 및 ACL 관리를 통한 애플리케이션 보안
  • ID 복구를 포함한 암호화 키 관리
  • 조직의 보안 규칙 및 기술에 대한 사용자 교육
  • 보안 사고 보고

변경 제어에 대한 자세한 내용은 관련 항목을 참조하세요.

사고 처리 절차 개발

사고는 비즈니스, 자산 또는 대중의 신뢰 손실을 방지하기 위해 즉각적인 조치가 필요한 계획되지 않은 예상치 못한 사건입니다. 모든 보안 계획에는 사고 처리 구성 요소와 사고 처리 방법에 대한 피드백 구성 요소가 있어야 합니다. 피드백은 보안 계획과 정책을 최신 상태로 유지하는 데 도움이 됩니다.

참고: 사고 처리의 중요성을 설명하는 가장 좋은 문서 중 하나는 국립 표준 기술 연구소(National Institute of Standards and Technology)의 정보 기술 시스템에 대한 비상 계획 가이드 (NIST Special Publication 800-34)입니다.

사고 처리에는 다음이 포함됩니다.

  • 사고 보고 계획 및 방법
  • 사건 유형별 대응 절차
  • 사고 대응 테스트

사고 처리 계획을 마련하고 나면 다음에 대한 요구 사항을 더 잘 결정할 수 있습니다.

  • Domino ® 로깅
  • Domino ® HTTP 로깅
  • Domino ® 백업 및 복원
  • Domino ® 이벤트 모니터링을 위한 매개변수

직원 교육 계획 및 제공

보안은 모든 사람의 책임이라는 점을 사용자에게 알리십시오. 비즈니스 요구 사항에 따라 다음 사항에 대해 사용자를 교육해야 합니다.

  • Domino ® 보안 기본 사항
  • Notes® ID 및 이를 보호하는 방법
  • Notes® execution control lists and execution security alerts
  • 암호화 사용 및 메일 메시지 암호화 방법
  • 문제나 보안 사고가 발생할 경우 누구에게 전화해야 합니까?
참고: 국립 표준 기술 연구소(National Institute of Standards and Technology )는 정보 기술 보안 교육 요구 사항: 역할 및 성과 기반 모델 (NIST Special Publication 800-16)이라는 제목의 보안 인식, 훈련 및 교육 간의 관계에 대한 문서를 발표했습니다.

프로세스를 최신 상태로 유지

이 단계는 일반적으로 가장 어렵지만 다른 단계만큼 중요합니다. 정기적으로 보안 프로세스와 절차를 검토하는 프로그램을 수립하는 데 시간을 투자하십시오. 검토 내용을 직원 교육과 연결하세요. 변경 사항이 있는 경우 직원 교육을 업데이트해야 할 수도 있습니다.