1. 情報セキュリティに関する概念
1. 特性
秘密性
:関係者以外に情報を知られないようにする属性完整性
: 情報は正しく、本物で、改ざんされておらず、完全です。可用性
:情報をいつでも正常に利用できる属性
2. 4つのセキュリティレベル※
设备安全
: 3 つの側面 (設備の安定性 - 故障がない確率、設備の信頼性 - タスクを正常に実行できる確率、設備の可用性 - いつでも正常に使用できる確率) を含みます。数据安全
: 機密性、完全性、可用性を含みます。データ セキュリティは従来の情報セキュリティです。内容安全
: 政治的に健全で、国内法規制、倫理規範を遵守しており、広義にはコンテンツの機密保持、知的財産保護、情報隠蔽、プライバシー保護なども含みます。行为安全
: データ セキュリティは本質的に静的なセキュリティですが、動作セキュリティは動的なセキュリティです。(行動の秘密性、行動の完全性、行動の制御可能性) を含む。
3. 情報セキュリティ保護レベル※
5 つのレベルに分かれています。
レベル 1: 情報システムが被害を受けた場合、国民、法人、その他の組織の正当な権利と利益に損害を与えますが、国家安全保障、社会秩序、公共の利益には損害を与えません。第一レベルの情報システムを運用および使用する部門は、関連する国家管理規制および技術基準に従ってシステムを保護する必要があります。
レベル2:情報システムが被害を受けた場合、国民、法人、その他の組織の正当な権利や利益に重大な損害を与えたり、社会秩序や公共の利益に損害を与えたりするが、国家安全保障には損害を与えない。第二レベルの情報システムの運用者および利用者は、関連する国家管理規制および技術基準に従ってそれらを保護する必要があります。国家情報セキュリティ監督部門は、このレベルの情報システムの情報セキュリティ レベルの保護に関するガイダンスを提供します。
レベル3:情報システムが被害を受けると、社会秩序や公共の利益に重大な損害を与えたり、国家安全保障に損害を与えたりする。第 3 レベルの情報システムを運用および使用する部門は、関連する国家管理規制および技術基準に従ってシステムを保護する必要があります。国家情報安全監督部門は、このレベルの情報システムの情報安全レベル保護業務を監督・検査する。
レベル4:情報システムが被害を受けると、社会秩序や公共の利益に特に重大な損害を与えたり、国家安全保障に重大な損害を及ぼしたりする。第 4 レベルの情報システムを運用および使用する部門は、関連する国家管理規制、技術基準および特殊なビジネス ニーズに従って保護を実行する必要があります。国家情報安全監督部門は、このレベルの情報システムの情報安全レベル保護業務に対する強制監督検査を実施する。
レベル 5: 情報システムが損傷すると、国家安全保障に特に重大な損害を引き起こす可能性があります。レベル 5 の情報システムのオペレータとユーザーは、国家管理規制、技術基準、およびビジネス上の特別なセキュリティのニーズに従って保護される必要があります。国は、このレベルの情報システムの情報セキュリティレベルの保護について特別な監督と検査を実施する専門部門を指定します。
ニーモニック:
レベル 1、企業と国民に害を与えるが、国と社会には
害を及ぼさない、レベル 2、企業と国民に重大な害を及ぼす、または社会に害を及ぼすが、国には害を及ぼさない、レベル 3、社会に重大な害を及ぼす、または国に害を及ぼす、レベル 4
、社会や国に重大な危害を与える※※※
レベル1、社会や国に重大な危害を与える
レベル5、国に重大な危害を与えるレベル5。
4. セキュリティ保護能力のレベル※
「コンピュータ情報システムのセキュリティ保護レベルの分類に関するガイドライン」では、コンピュータシステムのセキュリティ保護機能を次の5つのレベルで規定しています。
最初のレベルは です用户自主保护级
。このレベルは通常のイントラネット ユーザーに適しています。
2 番目のレベルは系统审计保护级
、イントラネットまたは国際ネットワークを通じてビジネス活動を実行し、機密を保持する必要がある非重要な部門に適しています第一、二级对应一般系统
。
第3 レベルは安全标记保护级
、あらゆるレベルの地方政府機関、金融機関、郵便・通信、エネルギー・水道部門、運輸、大規模工業、商業、情報技術企業、主要プロジェクト建設およびその他の部門に適用されます。
第4 レベルは结构化保护级
、中央レベルの国家機関、ラジオおよびテレビ部門、重要物資備蓄部隊、社会緊急サービス部門、最先端技術企業グループ、国家重点科学研究機関、国防建設およびその他の部門に適用される第三、四级对应重要系统
。
第5 レベルは、访问验证保护级
法律に従ってコンピュータ情報システムを特別に隔離する必要がある主要な国防部門および部隊に適用されます。第五级对应极端重要系统
。
ニーモニック: 主要なレビュー「機関」による訪問 (autonomous-audit-mark-structur-visit)
2. 情報の暗号化、復号化および一般的に使用されるアルゴリズム
1. 対称暗号化
暗号化と復号化には同じキーが使用されます。
長所: 高速な暗号化と復号化、簡単なキー管理、1 対 1 の送信に適しています。
短所: 暗号化強度が低い、1 対多の暗号化送信には適していません
。 一般的なアルゴリズムは次のとおりです: SDBI 、アイデア、RC4、DES、3DES、AES、ケルベロス
2. 非対称暗号化
暗号化と復号化では異なるキーが使用されます
。 長所: 高いセキュリティ、安全なシステム、優れたアルゴリズムの柔軟性
短所: 暗号化と復号化の速度が (比較的) 遅い、キー管理が複雑 一般的
なアルゴリズム: RSA、ECC (高セキュリティと比較して RSA のセキュリティが向上、小さな鍵サイズ、柔軟なアルゴリズム)
3. ハッシュ関数
任意の長さのメッセージ M を固定長のハッシュ コードにマッピングします。ハッシュ関数の目的は、ファイル、メッセージ、またはその他のデータ ブロックの「フィンガープリント」、つまりハッシュ コードを生成することです。ハッシュ コードはメッセージ ダイジェストとも呼ばれ、すべてのメッセージ ビットの関数です。これにはエラー検出機能があり、メッセージの 1 つ以上のビットを変更すると、ハッシュ コードが変更されます。
認証プロセスでは、送信者は送信するメッセージにハッシュ コードを添付して受信者に送信し、受信者はハッシュ コードを再計算することでメッセージを認証します。ハッシュ関数は、機密性、メッセージ認証、およびデジタル署名機能を提供できます。
4. デジタル署名
メッセージの送信者だけが他人には偽造できない数字列を生成でき、この数字列はメッセージの送信者が送信したメッセージの信頼性を証明する有効な証拠にもなります。
デジタル署名は非对称密钥加密技术
デジタル ダイジェスト技術を応用したものです。デジタル署名はデータの整合性を検証することもできます。
完全なデジタル署名システムは、次の 3 つの条件を満たす必要があります:
(1) 署名者は後から署名を拒否できない;
(2) 他の誰も署名を偽造できない;
(3) 署名の真正性について当事者間で論争がある場合、公平な裁定者(第三者によって証明される)の前で署名を検証することで、署名の信頼性を検証できます。RSA 暗号化を使用すると、デジタル署名とデータ暗号化を同時に実現できます。
5. 認証
識別と確認とも呼ばれ、何かがその名前に値するかどうか、または有効であるかどうか (身元が正当であるかどうか) を検証するプロセスです。
認証と暗号化の違いは、暗号化はデータの機密性を確保し、傍受や盗聴などの敵対者による受動的攻撃を防ぐために使用されるのに対し、認証はメッセージの送信者と受信者の信頼性を確保するために使用され、メッセージの完全性 なりすまし、改ざん、リプレイなどの積極的な攻撃から対戦相手を防ぎます。多くのアプリケーション システムでは認証がセキュリティ保護の最前線となることが多いため、非常に重要です。
証明書とデジタル署名の違い:
(1) 認証は常に、認証対象の信頼性を証明するために送信者と受信者の両方が共有する機密データに基づいて行われますが、デジタル署名の署名を検証するために使用されるデータは公開されています。
(2) 認証では、送信側と受信側がお互いの正当性を確認でき、第三者には確認できませんが、デジタル署名では、送信側と受信側の両方と第三者が確認できます。
(3) デジタル署名は送信者が拒否できず、受信者が偽造できず、公証人の前で紛争を解決する機能を持っていますが、証明書には必ずしもこれが備わっているわけではありません。
3. 情報システムのセキュリティ
情報システムのセキュリティには、主にコンピュータ機器のセキュリティ、ネットワークのセキュリティ、オペレーティング システムのセキュリティ、データベース システムのセキュリティ、アプリケーション システムのセキュリティが含まれます。
1. コンピュータ機器のセキュリティ
これには主に、コンピュータ エンティティとその情報の完全性、機密性、否認防止、可用性、監査可能性、信頼性など、いくつかの重要な要素が含まれます。
主な内容は次のとおりです。
(1) 物理的セキュリティ: コンピュータネットワークの機器、設備、その他の媒体を環境事故(地震、洪水、火災など)(電磁波汚染など)や操作ミスなどから守ること。または間違いやさまざまなコンピューター犯罪、破壊の可能性があります。コンピュータ情報システム全体のセキュリティは物理的セキュリティが前提です。
(2) 機器のセキュリティ:機器の盗難・破壊防止、電磁的情報漏洩の防止、回線傍受の防止、電磁妨害対策、電源の保護
(3) ストレージメディアのセキュリティ: メディア自体とメディア インターネット上に保存されているデータのセキュリティ
(4) 信頼性テクノロジ: 一般にフォールトトレラントシステムによって実装され、フォールトトレラントは主に冗長設計に依存して実現されます。
2. サイバーセキュリティ
情報の収集、保管、配布、送信、およびアプリケーションの主要なキャリアとして、ネットワークのセキュリティは、情報全体のセキュリティにおいて極めて重要かつ決定的な役割を果たします。
一般的なネットワークの脅威には次のものがあります:
(1) ネットワーク盗聴
(2) パスワード攻撃
(3) サービス拒否攻撃 (Dos): ターゲット マシンのサービスを停止する方法を見つける
(4) 脆弱性攻撃
(5) ボットネット
(6) ネットワーク フィッシング
( 7) ネットワークスプーフィング。主に ARP スプーフィング、DNS スプーフィング、IP スプーフィング、Web スプーフィング、電子メール スプーフィングなどが含まれます。
(8) Web サイトのセキュリティ脅威。主に SQL インジェクション攻撃、クロスサイト攻撃、サイドノート攻撃などが含まれます。
ネットワーク セキュリティ防御テクノロジ:
(1) ファイアウォール: ポリシーに含まれるネットワーク アクセス動作は効果的に管理できますが、ポリシーの外側では制御できません。(コミュニティセキュリティと同様)
(2) 侵入検知と防御:侵入検知システム IDS (兆候の発見、アラーム送信、パッシブ) および侵入防御システム IPS (事前傍受、アクティブ)
(3) VPN (仮想プライベートネットワーク、仮想プライベートネットワーク) ):公衆ネットワーク内に専用の安全なデータ通信チャネルを確立する技術
(4) セキュリティスキャン
(5) ネットワークハニーポット技術:「トラップ」トラップ
3. オペレーティング システムのセキュリティ
オペレーティング システムは、ハードウェアの上、他のソフトウェアの下に位置します。これは、コンピュータ システムの最も基本的なソフトウェアです。オペレーティング システムのセキュリティは、コンピュータ システム ソフトウェアのセキュリティの必要条件です。オペレーティング システムによって提供される基本的なセキュリティがなければ、オペレーティング システム、情報システムのセキュリティには根拠がありません。
オペレーティング システムに対するセキュリティの脅威は動作方法に応じて分類されており、通常は次の 4 つのタイプがあります。
(1) 切断
、これはユーザビリティに対する脅威です。ハードディスクの破壊、通信回線の切断、ファイル管理の無効化など、システムリソースが損傷したり、利用できなくなったり、使用できなくなったりします。
(2) 截取
、これは機密性に対する脅威です。権限のないユーザー、プログラム、またはコンピュータ システムが、データを盗んだり、ネットワーク上のファイルやプログラムを違法にコピーしたりするなど、リソースにアクセスできるようになります。
(3) 篡改
、これは完全性に対する攻撃です。権限のないユーザーは、リソースにアクセスするだけでなく、データ ファイルの値を変更したり、ネットワーク上で送信されるメッセージの内容を変更したりするなど、リソースを改ざんします。
(4) 伪造
、これは正当性に対する脅威です。不正なユーザーは、偽造メッセージをネットワークに追加したり、現在のファイルにレコードを追加したりするなど、偽造オブジェクトをシステムに挿入します。
セキュリティ脅威の現れ方に応じて、オペレーティング システムが直面するセキュリティ脅威には次の種類があります。
(1) コンピュータウイルス。
(2) ロジックボム。
(3)トロイの木馬。
(4) バックドア。バックドアとは、侵入者がシステムに侵入するために使用できる、オペレーティング システムに埋め込まれた違法なコードを指します。バックドアは侵入のためだけに設置されています。OSのバックドアやバックドアを提供する仕組みについては、OSを利用するのではなく、独自に開発したOSを採用することが、それを完全に防ぐ方法です。
(5) 秘密の通路。秘密チャネルは、セキュリティ ポリシーによって制御されず、セキュリティ ポリシーに違反し、非公開であるシステム内の非公開情報漏洩パスとして定義できます。
4. データベースのセキュリティ
データベース システムは、データを保存、管理、使用、維持するためのプラットフォームです。データベースセキュリティとは主にデータベース管理システムのセキュリティを指し、そのセキュリティ問題は、送信ではなく保存に使用されるデータのセキュリティ問題と考えることができます。
一般に、データベースのセキュリティには次の問題が伴います。
(1)物理データベースの整合性。データベース システム内のデータが、地震、洪水、火災、盗難、電力問題、機器の故障などのさまざまな自然的または物理的要因によって破壊されないようにします。
(2) 論理データベースの整合性。データベースの構造特性を保証し、データベース システム構造、データベース スキーマ、およびデータベース データが不正に変更されていないこと、およびトランザクション処理と操作がデータベースのさまざまな整合性制約に準拠していることを保証します。
(3) 要素の安全性。データベースのさまざまなストレージ要素が機密性、整合性、可用性、その他の制約を満たしていることを確認します。
(4)監査可能性。すべてのものと操作をデータベースに記録し、詳細な監査とログ記録を保持し、イベント後の追跡、分析、証拠収集ツールを提供します。
(5)アクセス制御。許可されたユーザーまたは許可されたプログラムのみがアクセスを許可されたデータ要素にアクセスできるようにすると同時に、異なるユーザー制限に対して異なる制御ポリシーが使用され、柔軟な設定が可能になるようにします。
(6)本人認証。権限のないユーザーにデータベースの操作を許可しないでください。
(7) 可用性。データベース システムは、許可されたユーザーに高品質のデータ アクセス サービスをいつでも提供できるため、ユーザーはアクセスを許可されているデータに最大限にアクセスできるようになります。
(8) 推論制御。推論制御メカニズムでは、ユーザーが公開および許可されたアクセス情報および統計情報から秘密の不正アクセス情報および統計情報を推測できないことを保証する必要があります。
(9) マルチレベル保護。アプリケーションの要件に応じて、データを異なる機密レベルのセットに分割したり、同じレコード内の異なるフィールドを異なる機密レベルに分割したり、同じフィールドの異なる値を異なるセキュリティ レベルに分割したりできます。データの分類を実現するため、対応するレベルのセキュリティ ポリシーに従って、ユーザーが必要とするアクセス権を分割およびレベルに設定します。
上記のセキュリティ目標を解決するために、データベース セキュリティでは次のような一連の技術的手法が採用されています。
データベースアクセス制御技術、データベース暗号化技術、マルチレベルセキュリティデータベース技術、データベース推論制御の問題とデータベースのバックアップとリカバリなど。
5. アプリケーションシステムのセキュリティ
アプリケーション システムのセキュリティは、コンピュータ機器のセキュリティ、ネットワーク セキュリティ、データベース セキュリティに基づいています。同時に、非常に重要なセキュリティ保証手段である、システム自体の実行プログラムと構成ファイルの合法性と完全性を保証するために、効果的なウイルス対策、改ざん防止、バージョンチェックと監査が採用されています。
Web が直面している主な脅威は次のとおりです。
- 信頼できるサイトの脆弱性。
- ブラウザとブラウザのプラグインの脆弱性。
- エンドユーザーのセキュリティ ポリシーが不十分です。
- マルウェアを運ぶモバイル ストレージ デバイス。
- フィッシング;
- ボットネット。
- キーロガーなどを備えたトロイの木馬。
Web 脅威防御テクノロジーには主に次のようなものがあります。
- Web アクセス コントロール テクノロジ
アクセス コントロールは、Web サイトのセキュリティを防止および保護するための主要な戦略であり、その主なタスクは、ネットワーク リソースが違法な訪問者によってアクセスされないようにすることです。Web サイトにアクセスするには、ユーザー名とパスワードの識別と検証、およびユーザー アカウントのデフォルトの制限の確認が必要です。これらのレベルのいずれかを通過しない限り、ユーザーは特定のサイトにアクセスできません。
Web サーバーは通常、IP アドレス、サブネットまたはドメイン名によるアクセス制御方法、ユーザー名/パスワードによるアクセス制御方法、公開キー暗号化システム PKI (CA 認証) によるアクセス制御方法、およびその他のアクセス制御方法を提供します。 - シングル サインオン (SSO) テクノロジー
シングル サインオンは、アプリケーション システムに一元的かつ統一された ID 認証を提供し、「1 つのログイン、複数のアクセス」を実現します。シングルサインオンシステムは、電子証明書に基づく暗号化・電子署名技術と、統一ポリシーに基づく本人認証・認可制御機能を利用し、ユーザーの一元管理と本人認証を実現します。 - Web ページの改ざん防止テクノロジー
Web ページの改ざん防止テクノロジーには、タイム ポーリング テクノロジー (真正性と偽の比較)、コア組み込みテクノロジー (透かしと流出の整合性チェック)、イベント トリガー テクノロジー (変更時の有効性チェック)、ファイル フィルター ドライバー テクノロジー (基盤となるもの) が含まれます。ドライバー、ミリ秒レベルのレプリケーションなど) - Web コンテンツ セキュリティ
コンテンツ セキュリティ管理は、メール フィルタリング、Web フィルタリング、スパイウェア対策の 3 種類のソフトウェアに分かれており、これら 3 つのソフトウェアは、コンテンツ セキュリティ市場の発展を促進する上で決定的な役割を果たすだけでなく、重要な役割を果たします。インターネットのセキュリティを確保する効果。
スコアは 3 ~ 6 点、共通テスト ポイント: セキュリティ レベル、データの署名と認証、ファイアウォールと侵入、セキュリティの脅威、情報化と情報化の統合、電子政府、インターネット +