シークレット評価の補助ツールに関するいくつかの考え:
簡単な例を挙げると、次のようになります。
現在、この物理的および環境レベルでの商用暗号アプリケーションのセキュリティ評価の評価対象は、一般に、システムが配置されているシステムと、人間が客観的事実を主観的に判断する必要がある重要な領域およびその他の内容(コンピュータ室の電子アクセス制御製品やコンピュータ室の電子アクセス制御製品など)を指します
。関連技術文書、ビデオなど)監視機器および関連技術文書)
関連技術検出ツールは、身元認証とデータ完全性保護に使用される暗号アルゴリズムにすぎず、
技術担当者が主観的に収集した客観的な証拠により、身元認証を自動的に識別できます。秘密評価ツールの支援 データ完全性保護に使用される暗号化テクノロジーは、
完全性保護が必要な収集データに対して関連する完全性チェック (アルゴリズム検証やデータ比較など) をインテリジェントに実行できます。
現在の第 3 レベルのセキュリティ システムでは、ネットワークおよび通信レベルでの商用暗号化アプリケーションのセキュリティ評価の主要なポイントは一般にチャネルであり、
優れたネットワーク トポロジ マップと専門の運用保守担当者が機密評価作業の開発をより効果的に支援できます。実装では、
ネットワーク トポロジ図と、関連するシステム運用および保守担当者の説明 (パスワード アプリケーション スキームの参照を忘れないでください) に基づいて、この評価で評価しているチャネルの数をより適切にフィルタリングできます
。この状況では、当社の秘密レビュー担当者は、システムの関連情報に基づいて主観的な判断 (チャネル) しか行うことができません
(理想的には、秘密レビュー補助ツールは、インポートされたネットワーク トポロジ マップまたはシステム関連データを自動的に識別し、そのチャネルを自動的に分析できます➡は少々非現実的であり
、数年以内には実現するかもしれませんが、現段階での開発や形態(均等保護ツールなど)はまだ議論の余地があります。基本的には主観的に判断される半自動ツールです。
関連する評価内容に基づいて、秘密の評価補助ツールについて考えてみましょう。テスト
対象システムのチャネルの主観的な判断を考慮することなく、秘密の評価補助ツールは自動的に評価を行うことができます。対応するスクリーニング コマンド (このプロセスも人間
の主観的な入力です。例: ip.addr ==XX.XX.XX.XX や/&& tls など)このツールは、通信で使用されるデジタル証明書(身元認証)と暗号アルゴリズムスイート(通信データの完全性と通信プロセスにおける重要データの機密性)を自動的に分析できます。通信チャネル 通信プロセスが準拠しているか、正しいか、有効であるかなどのコンテンツ
...................
そうは言っても、秘密のレビュー支援ツール、特に秘密のレビュー担当者がレポートを作成するのを支援するツールを区別する必要はありますか? それとも、秘密の審査員が評価を行うのを支援するツールなのでしょうか?
もちろん、両方とも利用できる必要がありますが、現在の市場環境を考慮すると、そのようなツールを見てきましたが、機能によってはまだ少し不十分な部分もあります。直接テストを実施し、関連するシステムレポートを発行する
前と後で矛盾していて説得力がありますか?
つまり、ツールを使用して手作業を完全に置き換えて評価を実施し、それに対応するレポートを発行することは理論的には可能ですが、手作業を自動ツールで完全に置き換えることは現時点では不可能であると個人的に感じています。
次に、現在の技術レベルと評価能力に応じて、シークレット評価補助ツールの要件として次のものが挙げられます。
技術レベル
*********************************************** * *********************
データトラフィック:
① データトラフィックパケットの自動キャプチャ: 特定の技術的手段 (ネットワークケーブルアクセスやミラーリング方法など) を通じて、データトラフィックパケットは、プロセスの特定のデータ トラフィック パケットをキャプチャすることが可能です。
②コマンドによる対象データトラフィックの自動フィルタリング機能:フィルタリング手法などにより、必要なデータトラフィックパケットを取得できます。
③対象データトラフィックの自動分析機能:取得した対象データトラフィックパケットについて、ハンドシェイクフェーズや通信フェーズで使用される暗号アルゴリズムや暗号技術を自動的に識別することができます(例:アルゴリズムスイートの自動識別など)。
デジタル証明書:
① 証明書を自動的にエクスポート: 前の段階に基づいて、対象のデータトラフィックを分析するプロセス中に証明書を自動的に識別してエクスポートでき、暗号化証明書または署名証明書を明確に区別できます。
②証明書が準拠しているかどうかを自動的に分析する機能:特定の技術的手段により、エクスポートされたデジタル証明書を自動的に分析および検出し(例:署名アルゴリズム、発行者、有効日、証明書の形式などを自動的に分析)、証明書が準拠していることを確認します。証明書の有効性、合法性。
③上位証明書の自動識別機能:インポートされたデジタル証明書は、技術的手段により上位証明書またはそのルート証明書を自動的に識別し、検証することができます。
署名検証:
①自動署名検証:対象システムで生成された署名文書(医療用印鑑文書、朱印文書など)を自動検証し、前段階の電子証明書が準拠しているかどうかを自動分析できます。 。
データ保護:
①完全性保護:完全性保護をパスしたファイルやデータ(この点も人為的にインポートする必要があります)を自動的に識別できます。これにはログ技術、データベース内の構造化データ(重要データ)が含まれますが、これに限定されません。暗号化されたデータを自動的に識別できます
。データの整合性を保護するためにテスト対象のシステムで使用されているアルゴリズムと暗号化テクノロジを検証し、それをさらに検証します。
②機密保護:同様に、ログ技術やデータベース内の構造化データ(重要データ)を含むがこれに限定されない、機密で保護されたファイルやデータ(現時点では人為的にインポートする必要がある)や暗号アルゴリズムを自動識別することができる
。データの機密性を保護するためにテスト対象のシステムで使用されている暗号化テクノロジを検証し、それをさらに検証します。
************************************************* ********************
レポートレベル
*********************************************** * **********************
実はこの点についてはあまり説明したくありませんが、実際には、人的資源と時間を節約し、より大きな利益スペースを実現します。
ただし、現段階での商用暗号アプリケーションのセキュリティ評価の開発については、セキュリティを例に挙げると以下の点が考慮されている。 ① プロジェクトにおける甲の重要情報を自動的に特定し、プロセス文書を自動的にエクスポートできる
。プロジェクトの内容(リスク通知、機密保持契約、オンサイト評価承認書など)
②初期段階で収集したシステム情報をシステムが自動的に入力し、対応する評価計画の作成を完了します。
③評価担当者が整理した現場評価記録シートに基づいてレポートを自動作成できます。
************************************************* *****************