【元リンク】 システムアーキテクト(第2版)学習ノート---情報の暗号化・復号化技術
記事ディレクトリ
- 1. 情報セキュリティシステムの構成要素枠組み
- 2. 暗号化技術
- 3. アクセス制御と電子署名技術
- 4. 情報セキュリティ攻撃対策技術
-
- 4.1 秘密鍵の選択
- 4.2 従来のサービス拒否攻撃の種類
- 4.3 リソースに対する一般的な種類のサービス拒否攻撃
- 4.4 分散型サービス妨害と DDos の現象
- 4.5 DDos 3 レベル制御モデル
- 4.6 サービス妨害攻撃に対する防御方法
- 4.6 ARPなりすましの防止策
- 4.7 DNSスプーフィングの検出
- 4.8 ポートスキャンの目的
- 4.9 ポートスキャン原理の分類
- 4.10 TCP/IPスタックに対する攻撃手法
- 4.11 システム脆弱性スキャンの種類
- 4.12 ネットワークベースの脆弱性スキャナーのコンポーネント
- 4.13 ネットワーク脆弱性スキャンの利点
- 4.14 ホストベースの脆弱性スキャンの利点
- 5. 情報セキュリティ保証体制事前評価方法
1. 情報セキュリティシステムの構成要素枠組み
1.1 情報セキュリティシステム構築の枠組み
- 技術体系
- 組織体制
- マネジメントシステム
1.2 情報セキュリティシステムの技術内容
- 基本的なセキュリティ装備
- コンピュータネットワークセキュリティ
- オペレーティング システムのセキュリティ
- データベースのセキュリティ
- エンドデバイスのセキュリティ
1.3 一般的に使用される基本的なセキュリティ機器
- 暗号チップ
- 暗号化カード
- IDカード
1.4 ネットワークセキュリティの技術内容
- 物理的隔離
- ファイアウォールとアクセス制御
- 暗号化通信
- 認証
- デジタル署名
- まとめ
- トンネルとVPNテクノロジー
- ウイルス予防とオンライン行動管理
- 安全設計
1.5 オペレーティング システムのセキュリティ コンテンツ
- エラー構成はありません
- 抜け穴なし
- バックドアなし
- トロイの木馬はありません
1.6 オペレーティングシステムのセキュリティメカニズム
- 識別および認証メカニズム
- アクセス制御メカニズム
- 最小権限管理
- トラステッドパスメカニズム
- 動作保証の仕組み
- ストレージ保護メカニズム
- ファイル保護メカニズム
- セキュリティ監査メカニズム
1.7 データベースセキュリティ技術
- 物理データベースの整合性
- 論理データベースの整合性
- 要素のセキュリティ
- 監査可能性
- アクセス制御
- 認証
- 可用性
- 推論制御
- マルチレベルの保護
- 隠れたチャネルを排除する
1.8 情報セキュリティ体制の組織体制
- 意思決定レベル
- 管理
- 実行層
1.9 情報セキュリティシステムの管理体制
- 法的管理
- システムマネジメント
- トレーニング管理
2. 暗号化技術
2.1 安全な通信モデル
2.2 対称暗号アルゴリズムの意味
山積み鍵暗号アルゴリズムでは、暗号化鍵と復号鍵が同じであり、共有秘密鍵アルゴリズムまたは山積み鍵アルゴリズムと呼ばれます。
2.3 一般的に使用されるヒープ暗号化アルゴリズム
- DES(データ暗号化規格)
- IDEA (国際データ暗号化アルゴリズム)
- AES(高度暗号化規格)
2.4 非対称暗号化アルゴリズムの意味
非対称暗号化アルゴリズムは常に異なる暗号化キーと復号化キーを使用し、非共有キー アルゴリズムまたは非対称キー アルゴリズムになります。
3. アクセス制御と電子署名技術
3.1 アクセス制御の基本モデル
- 本体
- 物体
- 制御戦略
3.2 アクセス制御の内容
- 認証
- 制御戦略
- 監査
3.3 アクセス制御実装技術
- アクセス制御マトリックス
- アクセス制御リスト
- 能力表
- 認可関係テーブル
3.4 デジタル署名の条件
- 署名は信頼されています
- 署名は偽造できない
- 署名は再利用できません
- 署名されたファイルは不変です
- 署名は否認できない
4. 情報セキュリティ攻撃対策技術
4.1 秘密鍵の選択
- キースペースを増やす
- 強力なキーを選択してください
- キーのランダム性
4.2 従来のサービス拒否攻撃の種類
- リソースを消費する
- 構成情報の破棄または変更
- ネットワークコンポーネントを物理的に破壊または変更する
- サービス プログラムの処理エラーを悪用してサービスを無効にする
4.3 リソースに対する一般的な種類のサービス拒否攻撃
- ネットワーク接続に対するサービス拒否攻撃
- ディスク容量を消費する
- CPUリソースとメモリリソースを消費します
4.4 分散型サービス妨害と DDos の現象
- 攻撃されたホスト上には待機中の TCP 接続が多数あります。
- Web サイト サービス接続の一部ではない大量のデータ パケットが到着し、多くの場合、マシン上の任意のポートを指しています。
- 中国とヨーロッパのネットワークに大量のデータパケットが殺到、元のアドレスは偽装される
- 無駄なデータの大量のトラフィックを生成してネットワーク輻輳を引き起こし、被害者のホストが外部と正常に通信できなくなります。
- 被害者ホストが提供するサービスと送信プロトコルを利用して、被害者ホストがすべての通常の要求をタイムリーに処理できないようにサービス要求を送信します。
- ひどい場合はクラッシュを引き起こす可能性があります
4.5 DDos 3 レベル制御モデル
4.6 サービス妨害攻撃に対する防御方法
- データパケットの機能識別を強化する
- ファイアウォールを設定してローカルホストのポート使用状況を監視する
- 通信データ量の統計から、攻撃システムの位置と量に関する情報も得られます。
- 発見された問題やシステムのバグを可能な限り修正します
4.6 ARPなりすましの防止策
- ARP テーブルを強化して ARP スプーフィングを防止
- ARPサーバーを使用する
- 双方向バインディングを使用して ARP スプーフィングを解決および防止する
- ARP保護ソフトウェア-ARP Guard
4.7 DNSスプーフィングの検出
- パッシブリスニング検出
- 誤ったパケットの検出
- クロスチェッククエリ
4.8 ポートスキャンの目的
- ターゲットホスト上でどのサービスが開いているかを確認する
- ターゲット ホストのオペレーティング システムを決定する
4.9 ポートスキャン原理の分類
- 完全な TCP 接続
- セミオープンスキャン(SYNスキャン)
- FINスキャン
- サードパーティのスキャン
4.10 TCP/IPスタックに対する攻撃手法
- SYNフラッディング
- ICMP攻撃
- SNMP攻撃
4.11 システム脆弱性スキャンの種類
- ネットワークベースの脆弱性スキャン
- ホストベースの脆弱性スキャン
4.12 ネットワークベースの脆弱性スキャナーのコンポーネント
- 脆弱性データベースモジュール
- ユーザー設定コンソールモジュール
- スキャンエンジンモジュール
- 現在アクティブなスキャン ナレッジ モジュール
- 結果ストレージおよびレポート生成ツール
4.13 ネットワーク脆弱性スキャンの利点
- ネットワークベースの脆弱性スキャナーは比較的安価です
- ネットワークベースの脆弱性スキャナーは、ターゲット システムの管理者による操作を必要としません。
- ネットワークベースの脆弱性スキャナーは、検出プロセス中にターゲット システムに何もインストールする必要がありません。
- メンテナンスが簡単
4.14 ホストベースの脆弱性スキャンの利点
- 多数の脆弱性がスキャンされる
- 一元管理
- ネットワークトラフィック負荷が低い
5. 情報セキュリティ保証体制事前評価方法
5.1 コンピュータ情報に提供されるセキュリティ保護のレベル
- レベル 1: ユーザー独立の保護レベル (TESEC レベル C1 に相当)
- レベル 2: システム監査保護レベル (TCSEC レベル C2 に相当)
- レベル3:安全マーク保護レベル(TESECレベルB1相当)
- レベル4:構造保護レベル(TESECレベルB2相当)
- レベル5:アクセス検証保護レベル(TCSECレベルB3に相当)
5.2 セキュリティリスク管理
- ブレイクアウト評価の範囲を決定する
- リスク評価の目的を決定する
- 適切な組織体制の確立
- 体系的なリスク評価アプローチを確立する
- リスク評価計画について経営トップの承認を得る
5.3 リスク評価の基本要素
- 脆弱性
- 資産
- 脅かす
- 危険
- セキュリティ対策
5.4 リスク評価のさまざまな要素の関係図
5.5 リスク計算プロセス
- 情報資産を特定し、それらに値を割り当てる
- 脅威を分析し、その発生の可能性に値を割り当てます。
- 情報資産の脆弱性を特定し、その弱点に重大度の値を割り当てます。
- 脅威と脆弱性に基づいてセキュリティインシデントの可能性を計算します。
- 情報資産の重要性やセキュリティインシデントの発生可能性に基づいて、情報資産のリスク値を算出します。