サイバースペースセキュリティの概要
プログラミング
2023-12-17 03:08:17
訪問数: null
個人用のレビューです、内容はかなり複雑です〜
サイバースペースセキュリティの概要 情報化時代と情報セキュリティ
ネットワークセキュリティがなければ国家安全保障はありませんし、情報化がなければ近代化もありません。 情報時代と情報セキュリティ: 情報技術と産業は前例のない繁栄を経験していますが、情報セキュリティの状況は厳しいです。
特徴:情報は重要な戦略資源となり、量子情報技術は急速に発展している
新しいムーアの法則: チップ統合/CPU 処理能力は 18 か月ごとに 2 倍、インターネット ネットワークの開発速度は 6 か月ごとに 2 倍、IT 業界の人材は 18 か月ごとに更新される ギルダーの法則: ドライ ネットワークの通信帯域幅は 6 か月ごとに 2 倍になる 千倍の法則: 高性能コンピューティング能力は 10 年ごとに 1,000 倍に増加 現状: 戦略計画が不十分、情報セキュリティ法の欠如、セキュリティ上の懸念に対する意識を高める必要があり、専門教育は比較的遅れている サイバースペースの能力は、国家全体の競争力を反映しています。将来のサイバー空間とその維持 サイバー空間の繁栄と安全は、各国の基本的使命となる 2021年8月の「個人情報保護法」、「質の高いサイバー空間の発展に向けた30か年行動計画」 「サイバーセキュリティ産業」2021年7月(2021-2023年)(コメント草案)」;「第14次5カ年計画」我が国は国家安全保障システムと能力構築を強化し、ネットワークセキュリティシステムと能力構築を包括的に強化する< /span> 情報セキュリティ状況は厳しいものです。敵対勢力による妨害行為、ハッカー攻撃、ウイルス侵入、経済犯罪を行うためのコンピュータの使用、インターネット上での有害なコンテンツの拡散、深刻なプライバシー保護問題、情報戦、サイバー戦争、科学的および科学的な問題から生じる新たな課題などです。技術進歩、情報分野のコア技術 格差が深刻化 関連する国の政策および措置
5月28日 両学会の学会員会議/中国科学技術協会第10回全国大会:ハイエンドチップと集積回路の主要コア領域と最先端領域 3月1日、工業情報化省:集積回路企業に対する減税を拡大し、チップ産業の基盤をさらに強化・強化し、集積回路産業に良好な生態環境を提供する 第 16 回中国共産党全国代表大会: 情報セキュリティは国家安全保障の重要な部分です 第18回中国共産党全国代表大会:海洋、宇宙、サイバースペースの安全保障に細心の注意を払う 2014 年 2 月 27 日、Central Network Security and Informationization Leading Group が発表されました。 2015年12月31日、戦略支援部隊が発足 2016年11月7日に「サイバーセキュリティ法」が可決され、2017年6月1日に施行されました。 2016 年 12 月、中国サイバースペース局は国家サイバースペースセキュリティ戦略を発表しました。 2017 年 3 月 1 日、外務省と中国サイバースペース局は国家サイバースペース国際協力戦略を発表しました。 2017年10月18日、中国共産党第19回党大会は、我が国のサイバー空間の安全を確保するため、革新国家と強力なサイバー国家の建設を加速することを呼びかけた。 2018 年 3 月 21 日、中央サイバーセキュリティおよび情報化指導グループは中央サイバーセキュリティおよび情報化委員会に再編されました。 2019 年 10 月 26 日、未確認動物法が可決されました。
サイバースペースのセキュリティに関する簡単なディスカッション
サイバースペース: 1982 年に初めて提案された、コンピュータによって作成された仮想情報空間 2008 年、米国: サイバースペースは情報環境におけるグローバル ドメインです 私の国: サイバースペースは、人々が情報化時代を生き抜くために依存する情報環境であり、あらゆる情報システムの集合体です 情報セキュリティ: 情報はその生活環境の基本的なニーズです。システムは伝達手段であり、情報は内包であり、情報はシステムなしでは存在できません。情報には保管、送信、処理の 3 つの状態しかありません。
機器のセキュリティ: 情報システムの重要な基盤、情報システムのセキュリティの主要な問題、安定性、信頼性、可用性 データ セキュリティ: 不正な開示、改ざん、破壊を回避し、機密性、完全性、可用性を確保します。 行動の安全性: 被験者の行動のプロセスと結果、機密性、完全性、制御可能性を検査します。 コンテンツの安全性: 政治的、法的、道徳的レベルでの要件は意味論的レベルでのセキュリティです。これは政治的に健全であり、コンテンツは合法であり、コンテンツは倫理的です。 セキュリティ対策:システムエンジニアリング、ハードウェアシステム、オペレーティングシステムのセキュリティが基盤となり、暗号技術とネットワークセキュリティ技術が鍵となる 三つの法則
普遍性: 情報があるところには情報セキュリティがあります 妥協:安全性と利便性は矛盾する セキュリティが低いだけ: 情報システムのセキュリティは最も弱い部分のセキュリティに依存します 分野:情報の取得、情報の保存、情報の送信、および情報処理における情報セキュリティ問題に関する研究
暗号: コーディング (情報の隠蔽を実現するための情報の暗号化)、解析 (暗号文を通じて対応する平文情報の取得) 対称暗号、公開鍵暗号、ハッシュ関数、暗号プロトコル、生物暗号、量子暗号、カオス暗号、鍵管理、 暗号アプリケーション ネットワーク セキュリティ: ネットワークのすべてのレベルと範囲で保護措置を講じ、さまざまなセキュリティ脅威モデルを検出および発見し、対応する対応措置を講じます。 ネットワーク セキュリティ 脅威、通信セキュリティ、プロトコル セキュリティ、ネットワーク保護、侵入検知と状況認識、緊急対応と災害復旧、信頼できるネットワーク、 ネットワーク セキュリティ管理 システム セキュリティ: セキュリティの脅威とシステム全体からの保護を考慮する システム セキュリティの脅威、システム機器のセキュリティ、ハードウェア サブシステムのセキュリティ、ソフトウェア サブシステムのセキュリティ、アクセス コントロール、トラステッド コンピューティング、システム セキュリティ評価と認証、システムセキュリティレベルの保護、アプリケーション情報システムのセキュリティ 情報コンテンツ セキュリティ: 政治、法律、道徳レベルの要件 コンテンツ セキュリティの脅威、コンテンツの取得、コンテンツの分析と識別、コンテンツ管理、情報の隠蔽、プライバシー保護、コンテンツ セキュリティ法律保証 情報の対立: 本質は、両当事者が電磁波と情報を使用して、電磁スペクトルと情報の効果的な利用と制御をめぐって競争することです。 通信の対立、レーダーの対立、光電対立、およびコンピュータネットワーク対立 理論的根拠
数学: ロジックはネットワーク プロトコル セキュリティの理論的基礎、ゲーム理論 情報理論: 暗号化と情報隠蔽の理論的基礎 システム理論:全体概念、バレル原理 サイバネティクス: 変化する環境下で動的システムがどのように安定した状態を維持するか、PDR 戦略 (保護、検出、応答) 計算理論(計算可能性、計算複雑性):暗号化と情報システムセキュリティの理論的基礎 暗号学、アクセス制御理論 方法論の基礎: 理論的分析、逆分析、実験的検証、技術的実装 人間中心のアプローチを堅持し、根底にある体系的な性質を強調し、定性分析と定量分析を組み合わせます。統合ガバナンスの実装
サイバースペースセキュリティ法規制
情報セキュリティ法規制: 情報セキュリティ保証システムに必要なリンク、情報セキュリティの基本原則と基本システム、情報セキュリティ関連の行動規範、情報セキュリティにおけるすべての関係者の権利と義務を明確にする。情報セキュリティの違反。これらの行為に対応する罰則を明確にしてください。  あ>
情報セキュリティ基準
情報セキュリティ基準:情報セキュリティ製品やシステムの設計、研究開発、生産、構築、使用、評価における一貫性、信頼性、制御性を確保するための技術仕様と技術的基盤。 主な標準化団体:IEC国際電気標準会議、ISO国際標準化機構、SC27(JTC1、第一合同技術委員会)、TC260国家情報セキュリティ標準化技術委員会、CSTC仮想通貨業界標準化技術委員会 「国家機密に係る情報システムの階層的保護の管理に関する措置」は機密レベル、機密レベル、最高機密レベルに分かれており、国家機密管理局が機密情報システムの階層的保護の管轄官庁となっている。 「情報システムセキュリティレベル保護の基本要件」の中核は階層的な保護であり、その内容はシステム格付け、システムファイリング、構築是正、格付け評価、監督検査に分かれる。 商用暗号化標準
ZUC:2011年9月に3GPP LTEで採用された第4世代移動通信暗号化規格、2012年3月に国家暗号化業界標準、2016年10月に国家標準 SM2楕円曲線公開鍵暗号アルゴリズム、SM9識別暗号アルゴリズム:2017年11月電子署名部 ISO国際標準
暗号化の基礎 暗号化の概要
古典的な暗号 タイプ 質問
シーザー暗号 単一テーブルの置換 徹底したクラック方法
バージニア暗号 複数の表現の置換 同じ文字間隔の共通因数からキーの長さを推測します。
プレイフェアコード 複数文字の置換 二重周波数法によるクラッキング
グリッドトランスポーズ/レクタンギュラトランスポーズ 交換 キャラクター統計を完全に保存
ファーナム暗号 パスワードは一度に 1 つずつ 作業量が膨大で鍵の配布が困難
代换 → \to → → \to →
機械式暗号:エニグマ暗号機、パープル暗号機、シガバ暗号機 現代暗号の理論的基礎: 1949 年のシャノンの「秘密システムの通信理論」は、暗号に関する情報理論研究の新しい方向性であり、現代暗号理論の基礎を築きました。
安全な通信システムの数学モデル 情報の機密保持(暗号化処理)と情報隠蔽(隠蔽情報存在形式)の区別 暗号システムと通信システムの二重性 組み合わせ(複雑なシステムを構築するための単純な暗号システムの組み合わせ)、拡散(平文と鍵の各ビットが暗号文の可能な限り多くのビットに影響を与え、統計的特徴を隠す)、混乱(統計的相関の最小化) 現代の暗号化
単一鍵暗号(対称暗号):ストリーム暗号(シーケンス暗号)、ブロック暗号
DES: 56 ビットの鍵の長さは短く、総当たりで解読される可能性があります Diffie-Hellman プロトコル: 中間者攻撃に抵抗できない 公開鍵暗号(非対称暗号化)
暗号化の基本概念
暗号システム構文定義: 平文メッセージ空間、暗号文メッセージ空間、暗号鍵空間、復号鍵空間、鍵生成アルゴリズム、暗号化アルゴリズム、復号アルゴリズム、暗号化プロセス、復号プロセス 暗号セキュリティ: 理論的セキュリティ、証明可能なセキュリティ、計算的/実用的セキュリティ パスワード攻撃タイプ: 暗号文のみの攻撃、既知の平文攻撃、選択された平文攻撃、選択された暗号文攻撃 暗号分析: 分析、仮説、推論、検証
網羅的手法 数学的手法: 微分分析、分析的解読 物理学: サイドチャネル攻撃 暗号の理論的基礎: 大整数分解、剰余算術、有限体、(拡張) ユークリッド アルゴリズム、CRT (中国剰余定理)、楕円曲線 暗号アルゴリズム
シーケンス暗号: 有限状態オートマトンは擬似ランダムシーケンスを生成します。暗号化と復号化のプロセスは同じで相互的です。セキュリティはランダムシーケンスの強度に依存します。 ブロック暗号: シャノンの秘密設計アイデア (拡散、混乱) に沿って、グループ出力は同じ長さです。 ブロックの長さは十分に大きく、キーの長さは十分に大きく、アルゴリズムは十分に複雑であり、暗号化と復号化 アルゴリズムはシンプルで、ソフトウェア/ハードウェアの実装は簡単で、データの拡張はなく、エラーの伝播は可能な限り小さい 公開キー暗号化: キーのリリースと管理の問題を解決します。セキュリティは数学的問題に依存し、暗号化と復号化の速度は遅いです。対称暗号キー交換、メッセージ暗号化、デジタル署名に使用されます。
RSA: 大整数因数分解パズル Rabin: モジュール和平方根問題 ElGamal: 離散対数問題 (DLP) ECC: 楕円曲線離散対数問題 (ECDLP) 中国の暗号: SM1 群対称性、SM2 楕円曲線、SM3 ハッシュ関数、SM4 群対称性、SM7 群対称性、SM9 双線形ペア識別、ZUC シーケンス対称性
暗号学の新たな発展
ID ベースの公開キー: ユーザーの秘密キーは信頼できるサードパーティ (PKG) を通じて生成されます。PKI 証明書管理の複雑な問題をより適切に解決します。安全な電子メールやアドホック ネットワークのキー管理で広く使用されています 利点: 公開キー証明書も認証局も必要ありません 欠点: キー エスクローにはセキュリティ上の問題があります 属性ベースの公開キー暗号化: 暗号化、属性権限 (AA)、ファジー ID 署名から発展した匿名性のある署名、非対話型のきめ細かいアクセス制御を効果的に実現 準同型暗号: 安全なクラウド コンピューティングと委任コンピューティング、リモート ファイル ストレージ 長所: キーレス パーティの計算処理 短所: シングルビットを実現するためのみ暗号化 (効率が低い)、難易度の仮定が実証されておらず、追加のノイズ除去アルゴリズムが必要 (不自然な準同型性) 耐量子暗号: 物理学、生物学的 DNA、および難しい数学的問題に基づく 軽量パスワード: リソースに制約のあるデバイス向けに専用のパスワード ソリューションをカスタマイズします。ストレージとコンピューティングのオーバーヘッドが低く、エネルギー消費が低く、ある程度のセキュリティが必要です。
暗号学の主な研究方向
暗号基礎理論、対称暗号設計・解析、公開鍵暗号設計・解析、暗号プロトコル設計・解析、新暗号設計・解析 暗号チップ設計、暗号モジュール設計、暗号技術応用 暗号システムのセキュリティ保護、攻撃対策セキュリティ保護、暗号システムの評価 量子コンピューティング、量子鍵配送、量子暗号プロトコル パスワード管理の理論と方法、パスワード管理エンジニアリングとテクノロジー、パスワード管理のポリシーと規制
ネットワークセキュリティの基本 サイバーセキュリティの概要
セキュリティの脅威: 機密性、完全性、可用性、正当な使用に対する脅威
基本的な脅威: 情報漏洩、完全性侵害、サービス妨害、不正使用 達成可能な脅威: 侵入 (なりすまし、バイパス制御、権限違反)、埋め込み (トロイの木馬、トラップドア) 潜在的な脅威: 盗聴、トラフィック分析、オペレーターの不注意による情報漏洩、情報漏洩を引き起こすメディアの無駄 保護措置: 物理的セキュリティ、人員セキュリティ、管理セキュリティ、メディアセキュリティ、放射線安全性、ライフサイクル管理 セキュリティ攻撃: 受動的攻撃 (情報漏洩、トラフィック分析)、能動的攻撃 (マスカレード攻撃、リプレイ影響、メッセージ改ざん、サービス妨害) ネットワーク攻撃
パスワードの盗難 推測攻撃: 既知のパスワードまたは推測されたパスワードを使用してログインを試み、盗まれたパスワード ファイルに基づいて推測し、正規の端末間のセッションを盗聴し、使用されたパスワードを記録します。 防御方法: 低レベルのパスワードの選択を防止し、パスワード ファイルを厳密に保護します。 欠点の解決策: OTP (ワンタイム パスワード) などのトークン メカニズムに基づく) スプーフィング攻撃: フィッシングメール 欠陥とバックドア攻撃 ネットワーク ワームの伝播: 新しいコードをデーモンに送信し、読み取りバッファに大量のデータを挿入する バッファ オーバーフロー攻撃( スタック スマッシング): プログラムを混乱させ、スタック上でコードを実行するときにポインタの混乱が発生します 欠陥: プログラム内の一部のコードは特定のニーズを満たすことができず、発生の可能性を減らすために対応する手順を実行します。あ> 認証失敗:訪問者に対するシステムの本人認証手段が無効となり、サーバーが攻撃者に騙される プロトコルの欠陥: TCP シーケンス番号攻撃、DNS および RPC プロトコルのシーケンス番号攻撃、IEEE802.11 WEP プロトコルの欠陥 情報漏洩:フィンガープロトコル、DNS 指数関数的攻撃: プログラムを使用して迅速にコピーして拡散する、ワーム (プログラム自体が拡散する)、ウイルス (他のプログラムに依存して拡散する) サービス拒否: サービスの過度の使用、ソフトウェアまたはハードウェア リソースの枯渇、ネットワーク接続容量の超過、シャットダウンやシステム麻痺の原因、またはサービス品質の低下 DDoS (分散型拒否攻撃) -サービス): ネットワーク上の無防備な多数のホストにトロイの木馬を注入し、指示に従って同時に攻撃を開始します セキュリティサービス:認証(ピアエンティティ認証、データ発信元認証)、アクセス制御、データ機密性(接続機密性、コネクションレス機密性、選択ドメイン機密性、トラフィック機密性)、データ完全性(回復機能付き接続) 完全性、回復なしの接続完全性、選択済みドメイン接続の整合性、接続整合性なし)、非否認(送信元での非否認、宛先での非否認) セキュリティ メカニズム 一般: 信頼機能、セキュリティ フラグ、イベント検出、セキュリティ監査証跡、セキュリティ回復 固有 (適切な OSI として埋め込むことができます)層): 暗号化、デジタル署名、アクセス制御、データ整合性、認証交換、トラフィック充填、ルーティング制御、公証 ISO モデル: 物理層 (1)、データリンク層 (2)、ネットワークレイヤ (3)、トランスポート レイヤ (4)、セッション レイヤ (5)、プレゼンテーション レイヤ (6)、アプリケーション レイヤ (7)
ネットワークセキュリティ保護技術
ファイアウォール: アクセス コントロール ルールに従って、ネットワーク境界に出入りするデータ フローをフィルタリングします。 セキュリティ ポリシー要件: すべての送受信ネットワーク データ フローはファイアウォールを通過する必要があります。許可されたデータ フローのみがファイアウォールを通過できます。ファイアウォール自体は侵入の影響を受けません。 開発: 第一世代のパケット フィルタリング、第二世代の回線レベル ゲートウェイ、第三世代のアプリケーションレベル ゲートウェイ、第 4 世代の動的パケット フィルタリング、第 5 世代のカーネル プロキシまたはアダプティブ エージェント、第 6 世代の統合脅威管理 (UTM: ウイルス対策、ファイアウォール、IDS) カテゴリ: パケット フィルタリング、回線-レベルのゲートウェイ、アプリケーションレベルのゲートウェイ ファイアウォールの設計構造
静的パケット フィルタリング: データ パケットを受信し、フィルタリング ルールを使用して IP ヘッダーと送信フィールドの内容 (データ ソース アドレス、宛先アドレス、アプリケーションまたはプロトコル、ソース ポート番号、宛先ポート番号) を確認します。ルールが一致しない場合は、デフォルト ルールが適用されます。適用されます 動的パケット フィルタリング: 確立された接続とルール テーブルを動的に維持し、データ パケットの ID を記録し、新しい接続と確立された接続の違いを検出できるようにします。 リアルタイムの変更通常のパケット フィルタ ルール セットに変更するか、同様の回線レベルのゲートウェイ方式を使用してデータ パケットを転送します 回線レベルのゲートウェイ: 通常、アプリケーション プロキシ サーバーの一部としてデータを記録およびキャッシュし、C/S 構造を使用してデータ パケットをフィルタリングおよび転送し、セッション層で動作します。IP データ パケットはエンドツーエンド フローを実現しません。 。 アプリケーション レベル ゲートウェイ: プロキシ サーバーはアプリケーション層で動作し、データ パケットを 1 つずつ検査してフィルタリングし、サービスごとにプロキシを実行します。現在、最も安全なファイアウォール構造の 1 つです。 ステータス検査パケット フィルタリング: さまざまなプロトコルとアプリケーションを理解して学習し、アプリケーション プロセスからステータス情報を収集してステータス テーブルに保存します。検出モジュールはシステム カーネルに配置され、データ パケットがゲートウェイに到達する前に分析します。 スイッチ プロキシ: RFC が推奨する 3 ウェイ ハンドシェイクを検証するために接続を確立するときに回線レベルのプロキシとして機能し、動的パケット フィルタリングに切り替えてデータ送信を開始します。 エアギャップ(物理的分離):直接接続を遮断し、高速ハードディスクの読み書きSCSIインターフェースを介してデータを交換します。 侵入: システム制御を不正に取得し、システムの脆弱性を利用して情報を収集し、情報システムを破壊します。 侵入検出: システムへの不正アクセスを検出し、システムの実行ステータスを監視してシステムが正常に動作していることを確認します。リソースの機密性 性的完全性の可用性、システムに対する違法な攻撃の特定 検出開発: 侵入検出コンセプト、侵入検出エキスパート システム、新しい IDES、ネットワーク セキュリティ モニター 侵入検知システムのタスク
情報収集: システムおよびネットワークのログ ファイル、ディレクトリおよびファイルの異常な変更、プログラム実行時の異常な動作、物理的な形式の侵入情報 情報分析:パターンマッチング、統計分析(オペレーティングモデル、分散、多変量モデル、マルコフ過程モデル、時系列分析)、完全性分析 セキュリティ対応: プロアクティブな対応、パッシブな対応 侵入検知システムの原理: イベント抽出、侵入分析、侵入対応、リモート管理 侵入検知システムの分類
データソース
NIDS (ネットワークベース): パケットを傍受し、特徴を抽出し、ナレッジ ベース内の既知の攻撃シグネチャと比較します。 HIDS (ホストベース): 攻撃後の悪用を検出するためのログと監査記録の監視と分析 DIDS (分散型): NIDS+HIDS 検出戦略
不正使用の検出: 情報を収集し、データベースと比較する 異常検出: 測定されたプロパティの平均とシステムの動作の比較 完全性分析: 改ざんされているかどうか 異常検出の原則: 攻撃が通常の正当な動作と大きく異なると仮定します 方法: 統計、特徴選択、ベイジアン推論、ベイジアン ネットワーク、パターン予測 NIDS: ネットワークを通過するすべてのトラフィックを監視および分析するために、ランダム モードで実行されるネットワーク アダプタ テクノロジー: 攻撃パターン/式/バイト マッチング、低レベル イベント相関 特性、頻度またはしきい値超過、統計的に異常な現象 利点: 低い所有コスト、失敗した攻撃試行を検出する機能、攻撃者による証拠の転送の困難、リアルタイムの検出と対応、オペレーティング システムに依存しない 原則: データ ヘッダー情報と有効なデータ コンテンツを検出する VPN: 物理的に異なる場所に分散したネットワークがパブリック ネットワークを介して接続され、論理仮想サブネットを形成します 特徴: 低コスト、セキュリティ、サービス品質 (QoS)、拡張性、柔軟性、管理性 カテゴリ: ゲートウェイからゲートウェイ、リモート アクセス 主要テクノロジー: トンネル テクノロジー、暗号化および復号化テクノロジー、キー管理テクノロジー、ID 認証テクノロジー、アクセス制御 IPSec: アップロードされたデータのセキュリティと機密性を保証する 3 層トンネル暗号化プロトコル 原則: ゲートウェイは、SPD (セキュリティポリシー データベース) 転送/ドロップ/IPSec 処理 動作モード: AH 認証、ESP カプセル化、送信モード、トンネル モード (新しい IP ヘッダーの生成) コンピュータ ウイルス: 「コンピュータ情報システム安全保護規則」第 28 条は、コンピュータの機能を破壊したり、データを破壊したり、コンピュータの使用に影響を与えたりする、コンピュータ プログラムに作成または挿入された一連のコンピュータ命令またはプログラム コードを指します。 特徴: 破壊的、伝染性、秘密 カテゴリ: トロイの木馬タイプ、感染タイプ、ワーム タイプ、バックドア タイプ、マルウェア< a i =3> 検出開発: シンプルなシグネチャのスキャンと殺害のための単一の専用殺害ツール、スペクトル シグネチャのスキャンとアクティブな防御と傍受のための包括的なウイルス対策ソフトウェア、クラウド/人工知能/ビッグ データ テクノロジを使用したインターネットのスキャンと殺害 検出原理: サンプリング、マッチング、ベンチマーク ウイルス検出技術
フィーチャーコード: 固定サンプリング位置、正確なマッチング方法、シンプルなテクノロジー、実装が簡単、正確な検出と駆除、速度が遅い、未知のウイルスの検出と駆除ができない 動作: 隠れたウイルスの検出機能が向上し、未知のウイルスを駆除できる クラウド技術:クラウド上でマッチングやベンチマークを行い、応答速度が速く、端末リソースの使用量を削減 ビッグデータと人工知能: マッチングとベンチマークはクラウドで行われ、既知のウイルスと未知のウイルスをモデルに基づいて照合できます。 脆弱性スキャン: セキュリティ リスクを特定し、対象を絞った保護またはパッチ適用を実装します カテゴリ: 1day (発見され公開された最新の脆弱性)、Nday (公開された過去の脆弱性)、0day (未公開の脆弱性) 脆弱性管理標準: MITRE CVE、CWE、NIST NVD、Symantec BUGTRAQ、CNNVD、CNCVE、CNVD スキャン効果は要因によって異なります
脆弱性 POC は公開されていますか? 一般的な脆弱性の存在に関する原則の証明 システムフィンガープリント情報の収集精度:原則として、対象システムを特定することで、該当する脆弱性が存在するかどうかを判断できます。 脆弱性 EXP が存在するかどうか: 一般的な脆弱性と欠陥の原則に従って、対応するインスタンスに従ってそれらを悪用します。 スキャン技術の分類
システム スキャン: POC 原則 (EXP) 検証、バージョン検出、オペレーティング システム、ネットワーク機器、プロトコル/ポート、サービス アプリケーション アプリケーション スキャン: 欠陥原理の検出、コンテンツ管理システム、サーバー、フレームワーク 走査原理
生存判定:対象システムが生存しているかどうかを検出します。 ポートスキャン: ホストによって有効になっているポートを検出します。 システムおよびサービスの識別:ブラックボックステスト、各種プローブに対する応答フォームを識別するための指紋判定システム 脆弱性の検出: 特定されたシステムおよびサービスの情報に基づいて、組み込みまたはユーザー プラグインのパスワード辞書を呼び出してパスワードを推測し、同時にリモートの非ログイン脆弱性スキャンを開始します。 原理検出: ターゲット マシンの該当ポートにリクエストを送信して特別なデータ パケットを構築し、返された結果に基づいて判断します。 バージョン検出: システム スキャンは脆弱性標準ライブラリに従って実装されており、脆弱性とシステム バージョンの間には相関関係があります。
サイバーセキュリティのエンジニアリングと管理
セキュリティレベルの保護:「サイバーセキュリティ法」第21条 ネットワークのセキュリティ保護レベルは5段階に分かれています
レベル 関連する国民、法人、その他の組織の正当な権利と利益 社会秩序と公益 国際セキュリティー ネットワークレベル
最初のレベル ダメージ 有害ではありません 有害ではありません 一般的なネットワーク
セカンドレベル 重大な損害 危害 有害ではありません 一般的なネットワーク
レベル3 極めて深刻な被害 重大な危害 危害 重要なネットワーク
レベル4 - 特に重大な危険 重大な危害 特に重要なネットワーク
レベル5 - - 特に重大な危険 非常に重要なネットワーク
セキュリティ評価プロセス: 評価対象の決定 → \to → ビジネス情報 (システムサービス) が破損した場合に影響を受けるオブジェクトを特定する → \to → 対象物の侵害の程度を総合的に評価 → \to → ビジネス情報(システムサービス)のセキュリティレベル → \to → 評価された保護オブジェクトのセキュリティ保護レベルを決定する ネットワーク セキュリティ管理: ネットワーク セキュリティの目標を達成するために、ポリシーとルールの調整を通じて散在するネットワーク セキュリティの技術的要素と人的要素を統合します。 「国家機密の保護に関する法律」 国家機密は国家の安全と利益を表現する情報の一種であり、国の重要な戦略資源でもあり、漏洩は国家の安全を直接脅かし、広範な大衆の基本的利益を直接損なう。国民の責任、国家機密保持は国家法である国家責任、機密保持能力は国家能力の重要な表明であり保証である ISMS (サイバーセキュリティ管理システム): ISO/IEC 2007X 規格 ISO/IEC 20072 規格 管理制御戦略の 14 の側面: ネットワーク セキュリティ戦略、ネットワーク セキュリティ組織、人材セキュリティ、資産管理、アクセス制御、暗号化、物理的および環境的セキュリティ、運用上のセキュリティ、通信のセキュリティ、システム取得の開発と保守、サプライヤーとの関係、サイバーセキュリティ インシデント管理、事業継続管理のサイバーセキュリティの側面、コンプライアンス ネットワーク セキュリティ インシデントの分類 (GB/Z 20986-2007「情報セキュリティ技術情報セキュリティ インシデントの分類と格付けガイドライン」): 有害なプログラム インシデント、ネットワーク攻撃インシデント、情報破壊インシデント、情報コンテンツ セキュリティ インシデント、機器および設備の障害、壊滅的なイベント、その他サイバーセキュリティインシデント サイバーセキュリティインシデントの分類(「国家サイバーセキュリティインシデント緊急計画」):極めて重大なインシデント(レベルI)、重大インシデント(レベルII)、重大インシデント(レベルIII)、一般インシデント(レベルIV) ネットワークセキュリティ緊急対応プロセス:準備フェーズ、検出フェーズ、抑制フェーズ、根絶フェーズ、復旧フェーズ、要約フェーズ 情報システムの災害復旧: 災害による障害や麻痺から情報システムを通常の使用可能な状態に回復すること 主要プロセス: 需要の決定、戦略の策定、戦略の実行、計画の策定、実装管理
新しいネットワークおよびセキュリティ技術
産業インターネット: オープンなグローバル産業ネットワーク プラットフォームはすべての関係者を緊密に統合します セキュリティの課題: セキュリティ保護対策は比較的遅れています。従来の攻撃方法はより有害であり、複数の種類の異なる攻撃方法が統合されています。 セキュリティ保護: セキュリティ担当者のトレーニング、セキュリティ要件の策定と実装計画、セキュリティ ハードウェアとソフトウェアの設計、セキュリティ ソリューションの導入、情報フィードバックのテストとアップグレード モバイル インターネット: 移動通信技術に基づく コンポーネント: 端末技術、通信ネットワーク、アプリケーション、関連技術 モノのインターネット: 認識層と識別層、ネットワーク構築層、管理サービス層、包括的なアプリケーション層 セキュリティの問題: 通信互換性チェック、個人プライバシーの漏洩、厳格なアーキテクチャ、マルチエージェントのコラボレーションコストが高く、機器のセキュリティ上の問題
システムセキュリティの基本 システムセキュリティの概要
システム: 相互作用または相互依存する要素またはコンポーネントで構成される統一された全体。内部は構成要素で構成され、外部は環境によって表現されます。 還元主義: システムを構成要素に分解する; 全体理論: システムを完全な統一体として扱う 包括的性質: 構成要素に分解できる性質; 創発的性質: 構成要素に還元できない性質 オペレーション システム: プロセス管理、メモリ管理、デバイス管理、ファイル管理、プロセッサ管理 システム エンジニアリング: システム ライフ サイクルをカバーする関連アクティビティおよびタスクを伴う技術的側面 (分析と設計原則を適用して構築する) システム安全エンジニアリング: システムのライフサイクル全体を通じてシステムのセキュリティを確保するよう努めます。サイクル システム セキュリティの考え方: 全体論を使用してセキュリティ問題を分析し、システムのライフ サイクル全体を通じてシステム セキュリティを測定し、システム セキュリティ エンジニアリング対策を通じてシステム セキュリティを確立および維持する
システムセキュリティの原則
システムセキュリティの基本原則
制限原則: 最小特権の原則、フェイルセーフデフォルト原則、完全仲裁原則、特権分離原則、信頼最小化原則 シンプルさの原則: メカニズム経済の原則、公的メカニズムの最小化の原則、最小の驚きの原則 方法論的原則: オープン設計原則、階層原則、抽象化原則、モジュール性原則、完全関連原則、設計反復原則 脅威モデリング: 潜在的なセキュリティ脅威を特定し、リスク軽減経路を検討するプロセス
脅威(意図)、脅威(可能性)、安全(回避または防御) 目的: システムの本質的な特性、潜在的な攻撃者の基本的な状況、最も可能性の高い攻撃角度、攻撃者が最も得たい利益を明確にし、防御者にシステムを分析し、攻撃を制御または防御する手段を提供する機会を提供します。取るべきである。 主な質問: 攻撃される最も弱い点は何か、最も関連性の高い攻撃は何か、これらの攻撃に対抗するには何をすべきか 基本タイプ: リスク中心、資産中心、攻撃者中心、ソフトウェア中心 古典的なメソッド: STRIED、PASTA、Trike、VAST 主要なリンク: システムの抽象モデルの概要、モデルの視覚的表現、潜在的な脅威の特定と列挙、リスク軽減策の策定 安全控制: ( s , o , p ) (s,o,p) ( s , o 、 p ) 本体、客体、操作。 p = 読み取り、コピー、修正、実行 p={\rm 読み取り、コピー、変更、実行} p = 読む 、 コピー , 変更 、 実行 読み取り、書き込み、変更、実行 アクセス制御マトリックス ポリシー (ID ベースの任意アクセス制御): ユーザーに対して直接アクセス制御を構築します。マトリックス 役割割り当てスキーム (役割ベースのアクセス制御): ユーザーに役割を割り当てた後、アクセス制御マトリックスを構築します。 サブジェクト - オブジェクト レベルの割り当てスキーム (タグベース)必須アクセス制御): 機密レベルをサブジェクトに割り当て、機密レベルをオブジェクトに割り当てた後、 アクセス制御マトリックス
セキュリティ監視
整合性チェック: 起動からアプリケーションの実行に至るまで、すべての側面がチェックされ、システムの重要なコンポーネントが改ざんまたは破損していないかどうかを検出できます。 ウイルス スキャンとマルウェアの検出: システム内のさまざまなファイルをスキャンして、システムに侵入するほとんどのウイルスやマルウェアを検出または削除します。 侵入検知: 悪意のある動作やセキュリティ ポリシー違反を監視し、発見した場合はタイムリーに報告し、必要に応じて警報を発します。 侵入検知の分類
オブジェクトの監視
ホスト: 単一のホストまたはデバイスに出入りするパケットを監視します。 ネットワーク: ネットワーク戦略ノード上のすべてのデバイスの送受信データを監視し、サブネット全体でトラフィック分析を実行します。 検出方法
機能ベース: 監視対象オブジェクトへの既知の侵入から抽出された特定のパターンを見つけます 異常ベース: 検出される動作と特定の信頼できる動作モデルの比較 セキュリティ管理: 組織の資産を特定し、それらの資産を保護するためのポリシーとプロセスを開発、記述、実装する セキュリティ リスク管理: リスク管理原則をセキュリティ脅威管理に適用する 中、脅威を特定する、既存の脅威制御の有効性を評価し、リスクの影響を判断し、可能性と影響の評価に基づいてリスクの優先順位を付け、リスクを分類し、適切なリスク戦略またはリスク対応を選択します。 日常のセキュリティ管理作業: 要件を明確にし、モデルを理解する、ガイドラインの作成、セキュリティ システム、モデルの使用、運用のガイド、継続的な対応、運用の自動化 テクノロジーを使用して管理レベルを向上させる: データ マイニングは脆弱性の発見に役立ちます、データ分析はセキュリティ状況を感知し、機械学習は自動化に役立ちます防御
システムセキュリティアーキテクチャ
ハードウェアシステムのセキュリティ
基本的なセキュリティ サポート: 暗号計算機能の提供 (汎用プロセッサが暗号操作命令、独立した安全な暗号プロセッサ/暗号アクセラレータを提供)、デジタル フィンガープリントの提供 (物理的な複製不可能な機能ハードウェア デバイスによって実装) ハードウェア トロイの木馬: 集積回路チップ内の回路システムの悪意のある改ざん
脅威: システムのセキュリティ防御をバイパスまたはシャットダウンし、機密情報を漏洩し、チップの機能を妨害し、チップ全体を動作不能にする 注入方法: 集積回路にプリインストール、チップ設計会社の内部スタッフがチップに挿入 オペレーティング システムのセキュリティ: アプリケーションとハードウェア機能間の信頼できるパスの確立
ユーザー管理とID認証
登録されたユーザー プロファイル: アカウント名 + アカウント ID + パスワード、ユーザーのグループ化 ユーザーログインプロセス: アカウント名 + パスワード アクセス制御
任意のアクセス制御: ファイル所有者は、ファイルに対する任意のユーザー (ユーザー グループ) のアクセス権を独自に決定できます。 必須のアクセス制御: マルチレベルのセキュリティ ポリシーを実装し、アクセス許可は情報レベルとユーザー レベルに基づきます。 ロギング機能: システム内で発生した重要なアクティビティの詳細を記録します。 データベースシステムのセキュリティ
リレーショナル データベース管理システム (RDBMS): 本質的には 2 次元のテーブルであり、基本的な操作は SQL 言語によって実行されます。 アクセス制御
任意のアクセス制御: アクセス許可(GRANT)、許可の取り消し(REVOKE) 必須アクセス制御 (マルチレベルセキュリティ): データの機密性レベルを決定し、データの機密性とユーザーの作業条件に基づいてユーザーの機密性レベルを割り当て、テーブル/フィールド/レコードに基づいて機密性レベルを確立します。 脅かす
推論の脅威: 統計データベースに由来するもの、違法な間接アクセスの実行、合法的な非機密統計データに基づいた違法な機密オリジナル データの導出 SQLインジェクション攻撃 アプリケーションシステムセキュリティ(Web) XSS(クロスサイトスクリプティング)攻撃:表示情報を改ざんし、ローカルCookie情報を取得する エコシステム: システムの概念をエコシステムの範囲に拡張し、セキュリティの脅威を再理解し、セキュリティ モデルを再構築します。
主要なサポート技術
自動化: 自動応答速度が攻撃速度と歩調を合わせます 相互運用性: 技術的な制約ではなくポリシーによってネットワーク コミュニティを定義し、メンバーが自動化されたコミュニティ防御でシームレスかつ動的に協力できるようにします。 認証: オンライン意思決定の基盤を確立し、担当者の認証がデバイスの認証にも適用されます
コンテンツセキュリティの基本 情報コンテンツセキュリティの概要
情報コンテンツ セキュリティ: 大量の情報が含まれ、急速に変化するネットワークから特定のセキュリティ対象情報を自動的に取得、識別、分析します。 カテゴリ: 政治情報セキュリティ、軍事情報セキュリティ、 ビジネス情報セキュリティ 重要性: データ量は爆発的に増加しています (データ コンテンツが中心となり、ビッグ データ テクノロジが重要な生産性となり、データ コンテンツの価値は増加し続けています) 、ネットワークインテリジェンスの取得は各国から注目を集めており、インターネットは伝統的なメディアから新しいメディアへの変革(悪い情報の大量拡散)を行っています。
情報コンテンツのセキュリティ上の脅威
情報コンテンツのセキュリティ脅威:漏洩、欺瞞、破壊、侵害、悪意のあるコンテンツの拡散 コンテンツ中心の未来のインターネット: IP アドレスの代わりにコンテンツ名を送信コンテンツ識別子として使用して、情報ルーティングを実装します。
重要性: より最適化された表現を実装して、ネットワーク パフォーマンスを強化し、将来のインターネットのインテリジェンス レベルを向上させます。 攻撃の分類
命名: 攻撃者はコンテンツを検閲およびフィルタリングできる ルーティング: 攻撃者は無効なコンテンツやルートを公開または購読できる キャッシュ: キャッシュ システムを汚染または破壊し、中央ネットワークのプライバシーを侵害します。 その他: 送信中のコンテンツへの不正アクセスまたは改ざん
ネットワーク情報コンテンツの取得
ネットワーク情報コンテンツ取得: 作業範囲は国際インターネット全体であり、その本質は、ネットワークインタラクションプロセスのプログラミング再構築メカニズムを使用してメディア情報取得を実現することです。 ブラウザのシミュレーションに基づいて情報コンテンツを取得する JSSh クライアントを使用して、JSSh サーバーが組み込まれた Web ブラウザに JavaScript 命令を送信します。 Web ブラウジングを命令する サーバーネットワーク ID 認証の対話と Web ページの公開と情報の閲覧を実現します Web クローラー: 情報コンテンツを取得するための典型的なツール、インターネット情報を自動的に巡回するプログラムまたはスクリプト
検索アプリケーション: できるだけ多くのインターネット Web サイトをカバーしますが、単一 Web サイト内の検索深度はそれほど高くありません。 対象を絞った情報収集アプリケーション: 深い検索深さと特定のトピック選択機能を備えた 代表的なテクノロジー 自然言語理解とテキストマイニングに基づくイベントと要素の抽出 ナレッジグラフに基づくテキスト情報と行動特徴表現の学習 a> a> グラフニューラルネットワーク推論信念ネットワークに基づくソーシャルネットワークユーザー認知モデル構築技術 自然言語理解と深層学習モデルに基づく意味テキスト情報生成技術 情報内容の特徴の抽出と選択:データマイニング情報検索の基本的な問題 情報から抽出された特徴語は、テキスト情報を定量的に表現するために使用されます。
テキスト情報の内容:マッピング変換、オリジナル選択、エキスパート選択、モデル選択
特徴選択方法: ベクトル空間モデルはテキスト ベクトルを記述し、特徴の選択と次元削減を通じて代表的な特徴が見つかります。 特徴選択プロセス:特徴評価関数により特徴スコア値を計算してソートし、最も高いスコア値をいくつか特徴語として選択します 音声情報コンテンツ
フレームベースの特徴分類
MFCC: 人間の聴覚特性と音声生成メカニズムの組み合わせ、メル周波数に基づくケプストラム係数 周波数領域のエネルギー:音楽と音声を区別するのに有効な特徴であり、音声領域のエネルギーがより大きい サブバンドエネルギー比: 周波数帯域を不均一に分割します。 ゼロクロス率: オーディオ信号がゼロ値を通過する回数。スペクトルの大まかな推定を反映します。 ベースバンド周波数: 基本周波数は周期的または準周期的なオーディオ信号に存在し、ピッチの高さを反映します。 フラグメントベースの特徴分類
サイレント フレーム レート: フレームのエネルギーとゼロクロス レートが所定のしきい値未満の場合、そのフレームはサイレント フレームとみなされます。 高いゼロクロス フレーム レート: 無声音と有声音が交互に現れるため、音声のゼロクロス レートが高くなります。 低エネルギー フレーム レート: しきい値を下回るエネルギーの割合。音声の低エネルギー フレーム レートが高くなります。 スペクトル束: 隣接するフレーム間のスペクトル変化の平均 ハーモニー: 0 に等しくない基本周波数の割合 画像情報内容
色特徴抽出
カラーヒストグラム: 色のレベルと色の頻度の関係を反映します。 カラー集約ベクトル: 色分布は似ているが空間分布が異なる画像を区別する カラーモーメント:色分布特性 テクスチャ特徴抽出
階調共起行列:階調分布と変化振幅 ガボール ウェーブレットの特徴: 画像に対する人間の目の反応と一致 田村テクスチャーの特徴: 人間の視覚システムとより一致 その他の画像抽出: エッジ特徴、輪郭特徴
情報内容の分析と処理
情報コンテンツ分析の基本的な処理手順: 分類、フィルタリング 情報検索およびテキスト編集アプリケーションで最も一般的なニーズ: ユーザー定義のパターンまたはフレーズを迅速に分類する< a i=2> 効率的な分類およびフィルタリング アルゴリズムにより、情報処理が高速かつ正確になります 線形分類器: 線形判別関数。正の出力を持つものを 1 つのカテゴリに分類します。 フィッシャーの線形判別: すべてのサンプルは 1 次元空間に投影され、投影後、2 つのカテゴリは可能な限り離れ、類似したサンプルは可能な限りクラスター化されます。 最近傍分類法:複雑な学習最適化処理を必要としないが、ある程度の計算量が必要であり、境界面を曲線にすることができるため、多様な画像特徴分布の問題をある程度解決することができる。 サポート ベクター マシン (SVM): 経験的誤差を最小限に抑え、幾何学的なエッジ領域を同時に最大化する教師あり学習手法であり、線形分離可能なデータの線形分類器です。 情報フィルタリング: ユーザーのニーズを満たす情報を保持し、そうでない情報を除外します。
プロアクティブ: アクティブ フィルタリング、パッシブ フィルタリング フィルターの場所: ソース フィルター、サーバー フィルター、クライアント フィルター フィルタリング方法: コンテンツベース、ユーザーの興味ベース、コラボレーション 知識の取得方法: 明示的フィルタリング、暗黙的フィルタリング フィルタリングの目的: ユーザー関心のフィルタリング、セキュリティ フィルタリング 例: 検索結果フィルタリング、スパム フィルタリング、サーバー/ニュースグループ フィルタリング、ブラウザ フィルタリング、未成年者フィルタリング
オンライン世論コンテンツの監視と早期警告
インターネット世論コンテンツの監視と早期警告: インターネット世論のホットスポットの進化を把握するための大量の非構造化情報のマイニングと分析。インターネット世論の監視と一部の決定の指針に科学的根拠を提供します。
情報ソースの詳細な情報収集: 従来の検索エンジンは幅優先戦略を使用してドキュメントを走査してダウンロードしますが、頂点情報ソース情報の抽出率が低すぎます。 異種情報融合分析:インターネット情報はコーディング・データ形式・構造構成に大きな違いがあり、同じ表現や規格のもとで有機的に組み合わせることが重要な前提条件となります。 非構造化情報の構造化表現:非構造化情報は人間にとっては理解しやすいが、コンピュータの情報処理システムにとっては非常に難しい。 アプリケーション: 地域リスク予測、イベント進化ルールと開発傾向予測、オンライン世論イベントガイダンス、ビッグデータ分析の視覚化と意思決定支援 ネットワーク世論システムの機能不全
高シミュレーション情報 (フォーラム、チャット ルーム) の詳細な抽出: 構築の基本的なコア コンテンツ セマンティクスに基づいた大量のメディアコンテンツの特徴の迅速な抽出と分類:情報特徴の抽出と構造変換機能を実現し、完全な情報変換を実現します。 非構造化情報の自己組織化された集合表現: インフラストラクチャと典型的なアプリケーションの実際のニーズ インターネット世論コンテンツ分析: 方向性検索手法を使用した詳細なマイニングにより、指定された情報ソースの包括的かつ詳細なコンテンツ抽出操作を完了し、さまざまな構造と多様なデータ リリース ソースのインターネット メディア情報監視を実装します。スタイル< a i=1> 主要テクノロジー: 異種情報の正規化、ネットワーク ホット スポットの自動検出、ネットワーク ネゴシエーションと対人対話シミュレーション、ホット スポット データ レポートのカスタマイズ
コンテンツ センターのネットワーキングとセキュリティ
コンテンツ中心ネットワーク モデル (CCN): IP アドレスではなくコンテンツ名を中心とした伝送アーキテクチャを採用し、高速かつ効率的なデータ伝送機能と強化された信頼性を備え、IoT および 5G ネットワークで高い競争力を備えています。
コンテンツ情報オブジェクト: 保存されアクセス可能なすべてのタイプのオブジェクト 命名: TCP/IP アーキテクチャの IP アドレスに相当する、グローバルかつ一意の情報オブジェクトの識別、階層命名スキーム、フラット命名スキーム ルーティング: 送信者はメッセージ ダイジェストを提供し、受信者はサブスクリプションの関心を提供します。 キャッシュ: 各 CCN ノードはキャッシュ テーブルを維持し、同じリクエストの後続の受信に応答するために、受信したコンテンツ メッセージ オブジェクトをキャッシュします。 アプリケーション プログラム インターフェイス: コンテンツ情報オブジェクト定義の要求と配信に基づいて、コンテンツ情報オブジェクトの公開と取得に使用されます。 コンテンツ中心のネットワークに対する攻撃: ネットワーク トラフィックに影響を与える従来の攻撃が含まれます。
ネーミング関連の攻撃: ウォッチリスト攻撃、スニッフィング攻撃 ルーティング関連の攻撃: DDos 攻撃、スプーフィング攻撃 キャッシュ関連の攻撃: 人気のあるコンテンツ削除攻撃 その他の攻撃: なりすまし攻撃、リプレイ攻撃 フォグ コンピューティングに基づくインテリジェント ファイアウォール モデル: 既存のセキュリティ ポリシーに基づくネットワーク エッジ分離防御システムは、インタレスト パケット フラッディング攻撃に対するインテリジェントな認識と動的な防御を実現します。
アプリケーションセキュリティの基本 アプリケーションセキュリティの概要
アプリケーションセキュリティ: 情報の取得、保存、送信、処理のあらゆる側面において、さまざまなアプリケーションシステムのセキュリティを確保すること クラウド コンピューティング: データの所有権と管理権の分離、クラウド コンピューティング インフラストラクチャの信頼性とクラウド データのセキュリティの実現 インダストリアル インターネット: クロスデバイス/クロスシステム/クロスファクトリー/クロスリージョンの相互接続を形成し、製造サービス システム全体のインテリジェンスを促進し、情報ソースの信頼性と信頼性を確保します。 ビッグ データ: 5V (膨大な量、高速生成、多様性、低い値密度、信頼性)。規模が非常に大きいため、取得、保存、管理、分析が従来のデータベース ツールの能力をはるかに超えています。 ; データ ソースの信頼性を確保し、マルチソース データ共有を促進し、データ価値を効果的に採掘し、データ所有者の権利と利益を保護します。 これは本質的に、マルチソースを組み合わせて分析する方法論です。異種データを利用してより適切な意思決定を行う 人工知能: 画像認識、自然言語理解、知識発見、データ マイニング、ゲーム、ネットワーク セキュリティ保護、パスワード設計分析、スマート シティ、自動運転、医療診断、オンライン教育、チップ設計< a i=1> 2017 年の我が国の「新世代人工知能開発計画」、2019 年 7 月の米国の「国家人工知能研究開発戦略計画」 ブロックチェーン:価値インターネットの構築と新たな信頼システムの確立を目的としたデジタル暗号通貨の基本的なサポート技術ですが、セキュリティ上の問題やプライバシー保護自体の問題があり、インターネット情報サービスや金融セキュリティにリスクをもたらします
ID認証と信頼管理
認証: クライアント/サーバーが本人であることの確認
基本的なアプローチ: 既知、すべて、個人の特性 メインメソッド
ユーザー名とパスワードの認証 (既知): シンプルで使いやすく、ハードウェア機器を必要としません。パスワード漏洩の問題があり、弱いパスワードは辞書攻撃やブルート フォース攻撃を受けやすく、複雑で強力なセキュリティ パスワードは覚えにくいです。 動的パスワード/ワンタイムパスワード (OTP) (すべて): 二重操作要素、長い有効期間を持つ共有キー、およびランダム要素、時間同期、イベントベースの同期、SMS 検証コードに基づく チャレンジ レスポンス認証 (すべて): リプレイ攻撃を防ぐための 1 回限りの乱数、ハッシュ関数に基づく、デジタル署名アルゴリズムに基づく 生体認証による:生体認証は最も簡単で安全な本人認証方法となっているが、信頼性が高く、偽造が難しく、いつでも持ち歩けるが、安定性が十分ではない(認証失敗率が高い) )、紛失として報告することはできません。 チューリング テスト: システムをブルート フォースするプログラムの使用を防ぐことを目的として、人間によるプログラムの実行または自動化されたプログラムの実行を検証します。人間を使用して迅速に回答し、機械を使用して難しい質問に回答します。 多要素認証 PKI (公開キー インフラストラクチャ): 標準的な公開キーの理論と技術に基づいてセキュリティ サービスを提供するインフラストラクチャ 目的: オンライン ID 認証と電子情報と非公開キーの完全性の問題を解決する拒否の問題を解決し、ネットワーク アプリケーションに信頼性の高いセキュリティ サービスを提供する タスク: 信頼できるデジタル ID を確立する デジタル証明書: サブジェクト名、サブジェクト公開キー、証明書のシリアル番号、証明書の有効期間、信頼された発行局 (CA) 信頼システム: X/509 標準はツリー信頼システムを採用しており、CA 自己署名証明書がシステム全体のアンカーです。上位 CA は、下位 CA またはユーザーが証明書を発行します。両者が信頼パスに沿って同じ証明書ノードに到達できる場合、 信頼関係を確立できます ID 認証の主流の標準
RADIUS: アクセス認証およびアカウンティング サービスに使用されるリモート ダイヤルイン サービス プロトコル、RFC2658 RFC2865 FIDO: デバイス上の暗号化キーのロックを解除するための生体認証に基づく高速オンライン認証。公開キー暗号化または対称暗号化スキームを通じてサーバーで認証し、ローカル認証を通じて完全にパスワードなしのログインを可能にします。
UAF ユニバーサル アイデンティティ認証フレームワーク U2F ユニバーサル第 2 要素認証プロトコル FIM: フェデレーション ID 管理。セキュリティ ドメイン間でリンクされるユーザー ID をサポートします。
Oauth: リソース所有者、リソース サーバー、クライアント、認可サーバーの 4 つの役割を定義します。 アクセス制御モード
DAC 自律アクセス制御モード: リソース所有者が自分の希望に従ってアクセス許可を付与することを決定します。ポリシーは柔軟ですが、セキュリティは不十分です。 MAC 強制アクセス制御モード: ユーザーとデータのセキュリティ レベルを分割し、一方向の情報の流れを実現しますが、権限管理の効率が低く、柔軟性に欠けます。 RBAC ロールベースのアクセス制御モデル: ロールの導入により、ユーザーと権限の分離が実現され、承認管理が簡素化されます。 ゼロトラスト モデル (ZTM): ネットワーク境界の内側または外側にあるエンティティは、検証するまでは信頼されません。 イントラネット アプリケーションとサービスは、パブリック ネットワークおよび企業イントラネットからは認識されません。境界が消える、アイデンティティ/デバイス/環境認証に基づいた正確なアクセス制御、ネットワーク通信のエンドツーエンド暗号化を提供
プライバシー保護
プライバシー保護:特定の個人を識別できないデータの公開または共有
個人情報: 自然人に関連するデータ; プライバシー: 個人の機密情報 K-匿名性: データ セットから名前を削除するだけでは匿名化効果を達成できません。準識別子は他の情報と組み合わせると再識別できます。機密属性は一般化されたシーケンスに関する情報を漏らすことはできません。 I-多様性: 同質性攻撃、背景知識攻撃 t-nearby: プライバシーは観測された情報利得 (事前情報と事後情報の差)、つまり I ( X : y ) = H ( X ) − H ( x ∣ y ) I(X:y)=H(X)-H(x|y) I ( X : y ) = H ( X ) − H ( x ∣ y ) 差分プライバシー: データセットに対して統計クエリ計算を実行する場合、複数の異なるクエリ方法、つまり ∀ ε > 0 \forall を通じて特定の個別データを推論することはできません。 \バレプシロン>0 ∀ ε > 0 , ∀ T ⊂ 範囲 ( A ) : P r [ A ( D ) ∈ T ] P r [ A ( D ' ) ∈ T ] ≤ e ε \forall T\subset {\rm Range}(A):\frac{ {\rm Pr}[A(D)\in T]}{ {\rm Pr}[A(D')\in T]}\leq e^\varepsilon ∀ た ⊂ 範囲 ( A ) : Pr [ A ( D ' ) ∈ T ] Pr [ A ( D ) ∈ T ] ≤ それは ε ;实现 M ( ( f ( D ) ) ) = f ( D ) + σ M((f(D)))=f(D)+\sigma M (( f ( D ))) = f ( D ) + σ 、連続方程式 ラプラス ( x ∣ µ , b ) = 1 2 b exp ( − ∣ x − μ ∣ b ) {\rm ラプラス}(x|\mu,b)=\frac{1}{2b}\exp(-\frac{|x-\mu|}{b}) ラプラス ( x ∣ μ 、 b ) = 2 b 1 exp ( − b ∣ x − μ ∣ ) . プライバシー コンピューティング: ライフ サイクル全体にわたる個人情報の保護を目的としたコンピューティングの理論と方法。関連する個人情報の記述、測定、評価、統合。サイバースペースで個人情報を保護するための重要な理論的基盤
リンク:個人情報抽出、シーン記述、プライバシー運用、ソリューション設計、効果評価 全ライフサイクル: プライバシーの認識、保護、交換および通信における拡張制御、違反の判定、破棄 プライバシー保護法および規制
HIPAA: 米国の健康保険情報、個人の医療記録のプライバシーを保護 規制 P: 金融業界におけるユーザーのプライバシーを保護する連邦準備制度 事実: 米国クレジット カード プライバシー保護庁 GDPR: 個人に対するプライバシー保護を強化し、情報技術企業や機関に対してはより多くの制限を課す欧州連合。 サイバーセキュリティ法: 私の国、2017 年 6 月 1 日に正式に発効、個人情報保護
クラウド コンピューティングとそのセキュリティ
クラウド コンピューティング: ネットワーク アクセスに基づいて、物理コンピューティング リソースがオンデマンドの割り当てと共有使用の方法で提供および管理されます。 クラウド展開方法: プライベート クラウド、パブリック クラウド、ハイブリッド クラウド サービス モデル: サービスとしての SaaS ソフトウェア、サービスとしての PaaS プラットフォーム、サービスとしての IaaS インフラストラクチャ 仮想化テクノロジー: クラウド コンピューティングの基礎
アーキテクチャ: ベアメタル アーキテクチャ (ハードウェア上の仮想化モニター)、ホストされたアーキテクチャ (オペレーティング システム上の仮想マシン)、コンテナ (オペレーティング システムの仮想化) クラウドインフラストラクチャのセキュリティ
仮想マシンのエスケープ: 仮想マシン管理システムを制御するか、ホスト マシン上でマルウェアを実行して、他の仮想マシンの完全な制御を取得します。 サイドチャネル攻撃: ターゲット仮想マシンと同じ物理層ハードウェアを使用し、代替実行中にターゲット仮想マシンの動作を推測し、ターゲット仮想マシン内のユーザー データの漏洩につながります。 ネットワーク分離: パケットは仮想ネットワーク内で移動し、物理ネットワーク上の監視およびフィルタリング ツールは使用できません。 イメージとスナップショットのセキュリティ: 特定のイメージを通じて仮想マシンまたはサービス インスタンスを作成します。攻撃者がイメージに感染すると、攻撃効率と影響範囲が大幅に向上します。攻撃者が不正にスナップショットを復元した場合、履歴データは消去されます。そして攻撃行為は完全に隠蔽されます。 クラウド データ セキュリティ: ストレージ セキュリティ (クラウド暗号化データベース、暗号文検索)、コンピューティング セキュリティ (SGC に基づく機密コンピューティング)
ブロックチェーンとそのセキュリティ
ブロックチェーン: ビットコインの基礎となるテクノロジー。オープンで透過的な分散台帳であり、ハッシュを使用して情報を連結し、整合性を確保し、改ざんを防止し、公的に検証することができます。 タイプ: パブリック チェーン(参加・脱退自由)、アライアンスチェーン(参加・脱退許可あり)、プライベートチェーン(民間機関センターネットワーク) ビットコイン: データはブロックと呼ばれるファイルの形式で永続的に記録され、タイムスタンプは特定のデータ生成時刻を記録し、マークル ツリーは現在のブロックのすべてのトランザクション情報を保存し、難易度係数はブロックの生成速度 (10 ごと) を制御するために使用されます。分でブロックが生成されます)
コンセンサス メカニズム: ネットワーク障害や信頼できないノードが発生した場合でも、トランザクションは期待どおりに正しい方法で実行され、各ノードの最終結果の一貫性が確保されます。 PoW コンピューティングのパワープルーフメカニズム/ワークプルーフオブ数量、PoS エクイティプルーフメカニズム、DPoS シェア認可プルーフメカニズム、RBFT 実用ビザンチンフォールトトレランスアルゴリズム スマート コントラクト: ブロックチェーン データベースの読み書きを行い、参加当事者が指定したデジタル コントラクトを自動的に実行できるコード
分散型で仲介者は不要で、契約条件が満たされると自動的に契約が締結され検証されます。 人間の介入リスクが低く、偶発的または悪意のある状況が最小限に抑えられます。 最小限の信頼できる仲介インテリジェンス 可観測性と検証可能性、仲裁と執行のコストを削減 低コストで債務不履行による損失を軽減 効率性とリアルタイム性 ブロックチェーンのセキュリティ問題
51% の計算能力攻撃: 攻撃者はネットワーク全体の計算能力の 50% 以上を制御し、他のノードがトランザクションを確認したり、現在のブロックで完了したトランザクションを逆転したりするのを簡単に阻止できます。 取引所を攻撃する ソフトウェアの脆弱性: 完全なコード監査、侵入テスト、スマートコントラクトの監視が必要 プライバシーの漏洩: パブリック チェーン データが公開される可能性があり、ビッグ データの相関分析により特定のユーザーが匿名化される可能性があります。
人工知能とそのセキュリティ
人工知能: 自然言語処理、コンピューター ビジョン、ディープ ラーニング、データ マイニング 人工知能のセキュリティ問題
敵対的サンプル: 予測対象のサンプルに特定の小さな摂動や微妙な変更を追加し、モデルがサンプルに関して誤った判断を下すようにすること。 モデル抽出: ターゲット モデルのパラメーターを取得するか、ターゲット モデルと同様の機能を持つ代替モデルを構築します。 トレーニング データの盗難: トレーニング データ セットの特定のサンプルと統計分布を取得する、または特定のデータがトレーニング データ セットに含まれるかどうかを判断する ポイズニング攻撃: トレーニング データ セットを変更したり、慎重に構築された悪意のあるサンプルをドロップしたりして、トレーニング プロセスを妨害し、最終モデルの判断精度を低下させます。 人工知能のセキュリティへの影響: 複雑さの課題、サイバー犯罪、プライバシー保護の侵害、不確実性のリスク、インテリジェント ネットワークの攻撃と防御、人工知能の倫理
転載: blog.csdn.net/annesede/article/details/134712163
