模擬試験(ドメイン5)

ドメイン5の試験です。

70%以上で合格になります。

Results

すばらしい!

まだ見ていないコンテンツがあるかも。

#1. アクセス制御マトリックスは、サブジェクトとオブジェクトとの間のアクセスを制御するために、多くのオペレーティングシステムやアプリケーションで使用されています。呼ばれる行列のこのタイプの列は何ですか?

アクセス制御リスト(ACL)オブジェクトへのアクセス制御マトリックスからマップ値。機能は、アクセス制御行列の行に対応し、一方、ACLは、行列の列に対応しています。ACLは、複数のオペレーティングシステム、アプリケーション、およびルータの構成で使用されています。彼らは、特定のオブジェクトへのアクセスを許可されている科目のリストであり、それらは付与される許可のレベルを定義します。認可は、個人またはグループに指定することができます。だから、ACLはオブジェクトにバインドし、被験者がそれにアクセスできるかを示し、および機能テーブルは、対象にバインドされ、被写体がアクセスできるオブジェクトかを示すされています。

 

×:機能テーブル

能力がトークン、チケット、または鍵の形をとることができるので、間違っていると、アクセス制御行列内の行です。被験者が機能コンポーネントを提示すると、オペレーティングシステム(またはアプリケーション)が機能コンポーネントで概説したアクセス権と操作を確認し、被験者がちょうどそれらの機能を実行することができます。機能コンポーネントは、一意のオブジェクト識別子と、対象がそのオブジェクトに対するアクセス権を含むデータ構造です。オブジェクトは、ファイル、配列、メモリ・セグメント、またはポートであってもよいです。機能システムの各ユーザ、プロセス、およびアプリケーションが実行することができる機能のリストを有します。

 

×:制約インタフェース

制約インタフェースは、それらが特定の機能や情報を要求したり、特定のシステムリソースへのアクセスを持っていないようにすることによって、ユーザーのアクセス能力を制限するため、Bが間違っています。制限されたインターフェイスの三つの主要なタイプが存在する:メニューや貝殻、データベースビュー、および物理的制約のインターフェイスを。メニューおよびシェル制限が使用される場合、ユーザが指定されているオプションは、彼らが実行できるコマンドです。管理者は、ユーザーが一つだけのプログラムを実行できるようにしたい場合、そのプログラムは、メニューで使用可能な唯一の選択であろう。制限されたシェルが使用された場合、シェルは、管理者が、ユーザーが実行できるようにしたいだけのコマンドが含まれます。

 

×:ロールベース値

非裁量アクセス制御と呼ばれる役割ベースのアクセス制御(RBAC)モデルは、サブジェクトとオブジェクトがどのように相互作用するかを決定するためのコントロールの集中管理セットを使用しているため、Cが間違っています。このタイプのモデルは、ユーザーが企業内で保持している役割に基づいてリソースへのアクセスをすることができます。やむを得ず課される役割にユーザーを割り当てるので、それは非裁量と呼ばれています。これは、あなたが唯一の会社で契約者の役割に割り当てられている場合、あなたはそれについてできることは何もないことを意味します。あなたが割り当てられますどのような役割を決定する裁量権を持っていません。

#2. セキュリティを維持するために監査が必要である。プロビジョニングではないものはどれでしょうか。

プロビジョニングとは、アカウント情報の管理を指します。ドキュメントのレビューはプロビジョニングに含ません。

#3. ハンナはWebアクセス管理(WAM)ソフトウェアをインストールするタスクを割り当てられています。 WAMが一般的に使用されているものの最良の説明は何ですか?

Webアクセス管理(WAM)ソフトウェアは、Webブラウザを使用してWebベースの企業資産と対話するときに、ユーザーがアクセスできるものを制御します。 このタイプのテクノロジは、継続的により堅牢になり、展開の増加を経験しています。 これは、電子商取引、オンラインバンキング、コンテンツ提供、Webサービスなどの利用が増加したためです。 Webアクセス制御管理プロセスの基本的なコンポーネントとアクティビティは次のとおりです。

1.ユーザーがWebサーバーに資格情報を送信します。

2. WebサーバーはWAMプラットフォームにユーザーの認証を要求します。 WAMはLDAPディレクトリに対して認証を行い、ポリシーデータベースから認証を取得します。

3.リソース(オブジェクト)へのユーザーのアクセス要求。

4. Webサーバーは、オブジェクトアクセスが許可されていることを確認し、要求されたリソースへのアクセスを許可します。

 

×:X.500データベースを介してアクセスを要求する外部エンティティを制御する

ディレクトリアクセスがWebアクセス管理ソフトウェアではなくX.500データベースのディレクトリでアクセス制御を実行する必要があるため、正しくありません。 ディレクトリサービスは、エントリとデータを管理し、アクセス制御とID管理機能を実行することにより、設定されたセキュリティポリシーを適用します。 ディレクトリサービスの例には、Active DirectoryとNetIQ eDirectoryがあります。 ウェブベースのアクセス要求は、データベース内に保持されたオブジェクトに対するものであってもよいが、主にウェブブラウザとサーバとの間の通信を制御する。 Webサーバーは、通常はディレクトリサービスを通じてバックエンドデータベースと通信する必要があります。

 

×:X.500データベースを介してアクセスを要求する内部エンティティを制御する

ディレクトリサービスは、LDAPを使用してX.500データベースへのアクセスを要求する内部エンティティのアクセス制御を実行する必要があるため、正しくありません。 このタイプのデータベースは、オブジェクト(サブジェクトとリソース)の組織化のための階層構造を提供します。 ディレクトリサービスは、各オブジェクトに固有の識別名を作成し、必要に応じて対応する属性を各オブジェクトに追加します。 ディレクトリサービスは、サブジェクトとオブジェクトのやりとりの仕方を制御するためのセキュリティポリシー(管理者が設定)を強制します。 ウェブベースのアクセス要求は、データベース内に保持されたオブジェクトに対するものであってもよいが、主にウェブブラウザとサーバとの間の通信を制御する。 WAMは主に外部から内部への通信用に開発されましたが、内部から内部への通信にも使用できます。 回答Bは、提供された4つの中から最良の答えです。

 

×:外部オブジェクトへのアクセスを要求する内部エンティティを制御する

WAMソフトウェアは内部オブジェクトへのアクセスを要求する外部エンティティを制御するために最も一般的に使用されるため、正しくありません。 答えのオプションで述べたように、他の方法ではありません。 例えば、WAMは、銀行がバックエンド口座データへの顧客のアクセスを制御するために使用することができる。

#4. アクセス制御を導入するシステムの設計思想として、分散するか統合するかに大きく分かれる。分散アクセス制御の利点はどれでしょうか。

統合アクセス制御は、統一的なルール、運用負担の軽減など様々な利点があります。統合アクセス制御はしばしば、アクセス制御の機構とリソース提供の機構が分離しています。分散アクセス制御では、リソースに近い場所でアクセス制御できるため、リソースを独立して保護します。

#5. 攻撃者がブルートフォース攻撃を使用してパスワードを破りました。なぜあなたはブルートフォース攻撃だとわかりましたか?

ブルートフォースを利用した場合、十分な時間があれば、平文を復号化できます。ワンタイムパッドを除くすべてのキーベースの暗号に対して有効です。最終的には復号化されますが、非常に多くの誤検知が発生するため、データが役に立たなくなります。

#6. 能力表が基づいている主な項目はどれでしょうか。

能力テーブルは、特定の対象が特定の対象に関する所有するアクセス権を特定する。 機能リスト(機能テーブルとも呼ばれる)は、対象が機能テーブルにバインドされているのに対し、オブジェクトがACLにバインドされているため、アクセス制御リスト(ACL)とは異なります。 ケイパビリティは、トークン、チケット、またはキーの形式で指定できます。 対象が能力コンポーネントを提示するとき、オペレーティングシステム(またはアプリケーション)は、能力コンポーネントに概説されたアクセス権および操作を見直し、それらの機能だけを対象が実行できるようにする。 ケイパビリティ・コンポーネントは、一意のオブジェクト識別子と、そのオブジェクトに対するサブジェクトのアクセス権を含むデータ構造です。 オブジェクトは、ファイル、配列、メモリセグメント、またはポートです。

 

×:オブジェクト

オブジェクトが機能コンポーネントではなくアクセス制御リスト(ACL)にバインドされているため、正しくありません。 ACLは、いくつかのオペレーティングシステム、アプリケーション、ルータ構成で使用されます。 これらは、特定のオブジェクトにアクセスする権限を与えられたサブジェクトのリストであり、どのレベルの権限が与えられるかを定義します。 認可は、個人またはグループに指定することができます。 ACLは、アクセス制御マトリクスの値をオブジェクトにマップします。 能力がアクセス制御マトリクスの行に対応するのに対し、ACLはマトリクスの列に対応する。

 

×:プロダクト

製品は、オブジェクトまたは受けることができますので、間違っています。ユーザが(例えば、プログラムのような)製品にアクセスしようとした場合、ユーザは、被写体であり、生成物が目的です。製品がデータベースにアクセスしようとすると、生成物が対象であり、データベースは、オブジェクトです。製品は、例えば能力のリストで対象となり得るが、最良の答えは、能力リストは、被験者がアクセスし、それらのオブジェクト上で実行できる操作可能なオブジェクトかを示すAです。

 

×:アプリケーション

ユーザーは、アプリケーションにアクセスしようとするユーザーが対象であり、アプリケーションがオブジェクトである場合、正しくありません。アプリケーションがデータベースにアクセスしようとすると、アプリケーションが対象であり、データベースは、オブジェクトです。アプリケーションは、例えば、能力のリストで対象となり得るが、最良の答えは、能力リストは、被験者がアクセスし、それらのオブジェクト上で実行できる操作可能なオブジェクトかを示すAです。

#7. サブジェクトに対してクリアランスとオブジェクトラベルがあるアクセス制御はどれですか?

MAC(強制アクセス制御)とは、機密性が最も重要な場合によく使用されます。オブジェクトへのアクセスは、ラベルとクリアランスによって決定されます。これは、軍隊などの機密性が非常に重要な組織でよく使用されます。

#8. レインボーテーブルへの効果的な対策はどれですか?

レインボーテーブルとは、プレーンテキストと一致する暗号文の事前に作成されたリストであり、パスワードと一致するハッシュを持ちます。テーブルには数百万のペアを含めることができます。サルト(Salting)とは、パスワードまたはパスフレーズを「ハッシュ」する一方向関数への追加入力として使用されるランダムデータです。ソルトの主な機能は、辞書攻撃またはコンパイル済みのレインボーテーブル攻撃から防御することです。

#9. ワンタイムパスワードを使用する場合、どの認証タイプを指していますか?

使い捨てパスワードとワンタイムパッドは、パスワードですがあなたが所有しているものから生成されるものであり、あなたが知っているものではありません。つまり、所持です。

#10. 侵入検知システムのいくつかのタイプ(IDS)があります。IDSはどのような種類の環境の通常の活動のプロファイルを作成し、プロファイルに基づいてパケットに異常スコアを割り当てますか?

統計アノマリベースのIDSは、行動ベースのシステムです。行動ベースのIDS製品は、事前定義されたシグネチャを使用していない、むしろ環境の「通常」の活動のプロファイルを構築するために学習モードに置かれています。このプロファイルは、継続的に環境の活動をサンプリングすることによって構築されています。長いIDSは、それが構築されたプロファイルとそれが提供する優れた保護をより正確に、ほとんどの場合、学習モードに置かれています。このプロファイルが構築された後、すべての将来のトラフィックや活動はそれと比較されます。複雑な統計アルゴリズムを使用すると、IDSは、ネットワークトラフィックやユーザのアクティビティの異常を探します。各パケットは不規則性の程度を示す異常スコアを与えられます。スコアは「正常な」行動の確立された閾値よりも大きい場合には、事前設定済みのアクションが行われます。

 

×:状態ベース

状態ベースのIDSは、状態遷移配列は、アラームを鳴らすべきアウトラインルールを持っているので、間違っています。初期状態では攻撃の実行前の状態であり、かつ妥協の状態は成功浸透後の状態です。初期と妥協状態との間で行われるアクティビティは、状態ベースのIDSが探すものであり、状態遷移配列のいずれかがその事前設定されたルールに一致する場合にはアラートを送信します。

 

×:使い方を誤る検出システム

誤用検出システムは、単に署名や攻撃が行われているかのモデルにネットワークまたはシステムアクティビティを比較するシグネチャベースのIDSのための別の名前であるため、間違っています。攻撃として認識されない任意のアクションが許容可能であると考えられます。シグネチャベースのIDSは、今日最も人気のIDS製品であり、その有効性は、ウイルス対策ソフトウェアと同様に、定期的に新しいシグネチャとソフトウェアのアップデートに依存します。IDSのこのタイプは、それだけで、以前に同定されており、それらのために書かれた署名を持っていたものを認識することができるので、攻撃の新しいタイプに弱いです。

 

×:プロトコルシグネチャベース

プロトコルシグニチャベースのIDSは、正式なIDSはないので、正しくありません。これは、不正解の答えです。

#11. 米国では、連邦政府機関は連邦情報処理標準(Federal Information Processing Standard:FIPS)201-2を遵守して、次のうちどれを保証する必要がありますか?

FIPS 201-2は、個人の身元確認(PIV)のための米国政府の基準を定め、保証の様々な要件を与えています。 政府職員や契約代理店による制限された情報へのアクセスは、そのクリアランスのレベルとそれを知る必要性に左右されますが、まず政府は、その個人が彼らが誰であるかを保証する必要があります。

 

×:公務員が割り当てられた作業のために適切に清算されていること

政府職員は、アクセス権が与えられた情報について適切に清算されなければならないため、そのようなアクセスの前に真の身分証明書が審査と確認のために利用可能でなければなりません。

 

×:公務員は、そのクリアランスレベルのデータへのアクセスのみが許可されている

政府職員は、知り合いになり、アクセスする必要のある情報にアクセスするだけで済むので、間違っています。 しかし、ここでも、これは、所有するクリアランスが有効であるという明確な保証レベルに基づいていなければなりません。

 

×:公務員がアクセスできるデータが適切に分類されていること

データの分類が個人情報の検証に直接関係していないため、正しくありません。

#12. 次のベストのどれがSAML、SOAP、およびHTTPは、一般的にWebサービスを提供する環境でどのように機能するかを説明していますでしょうか。

例として、あなたはあなたの会社のポータルにログインし、リンク(例えば、Salesforceの)をダブルクリックすると、あなたの会社のポータルは、この要求し、認証データをとり、(SAML)のセキュリティアサーションマークアップ言語でそれらをパッケージ化形式およびシンプルオブジェクトアクセスプロトコル(SOAP)メッセージにそのデータをカプセル化します。このメッセージは、SalesforceのベンダーのサイトへのHTTP接続を介して送信されるだろう、とあなたが認証されると、あなたはベンダーのソフトウェアと相互作用することができます。SAMLは、認証データ、SOAPパッケージアップWebサービス要求とSAMLデータをパッケージ化し、要求がHTTP接続を介して送信されます。

 

×:セキュリティ属性は、SAML形式に入れています。Webサービス要求と認証データをSOAPメッセージに暗号化されています。メッセージは、HTTP接続で送信されます。

SAMLは、セキュリティドメインアイデンティティプロバイダ(アサーションのプロデューサー)とサービスプロバイダ(アサーションの消費者)との間で、ある間に認証と認可データを交換するためのXMLベースのオープンスタンダードであるため、正しくありません。そのように認証データがSAMLで使用されていないセキュリティ属性。また、SOAPは、それらを暗号化しません、メッセージをカプセル化します。

 

×:セキュリティ属性は、SAML形式に入れています。Webサービス要求と認証データをSOAPメッセージにカプセル化されます。メッセージは、TLS経由のHTTP接続で送信されます。

認証データは、SAMLで使用されているため、間違っています。送信は、デフォルトでは、TLS接続を介して行われません。送信はSSLまたはTLS経由で行うことができるが、これは質問で概説されたものではありませんでした。

 

×:認証データは、SAMLフォーマットに入れられます。HTTPリクエストおよび認証データをSOAPメッセージにカプセル化されます。メッセージは、HTTP接続で送信されます。

SOAPは、Webサービス要求およびデータではなく、HTTPをカプセル化するため、正しくありません。SOAPはウェブサービスデータをカプセル化した後、それは、送信のためにHTTPを用いてカプセル化されます。

#13. トムは、最近展開無線周波数識別(RFID)は、より良い、インベントリプロセスを管理することを大型小売会社で働いています。従業員は手動で製品データを検索するのではなく、製品関連の情報を収集するためにスキャナを使用しています。トムは悪質な顧客が店のアイテムに支払う金額を減らすためにRFID技術への攻撃を行っていることが判明しました。このタイプの脆弱性が存在する可能性が最も高い理由は次のうちどれですか?

その他の回答の一般的なセキュリティ上の問題は、それがリーダーと修正へのタグから移動するときにデータを取り込むことができるということです。暗号化対策として統合することができるが、RFIDは、低処理能力を有しており、暗号化は非常にプロセッサ集約的な技術であるため、それは一般的ではありません。

 

×:会社のセキュリティチームは、この種の技術を確保する方法を理解していません。

それはここで、必ずしも最良の答えではないので、間違っています。問題の会社は、RFIDとその一般的なセキュリティ上の問題を理解することができるが、セキュリティは通常、RFID技術内に統合する必要があります。これは、RFID製品のベンダは、製品にセキュリティを統合しなければならないことを意味し、RFIDタグとリーダは、通常、必要な暗号機能を実行するために必要な処理能力を持っていないため、利用可能なセキュリティソリューションは、一般的に限られています。

 

×:RFID内のセキュリティを統合するためのコストは、コスト法外です。

RFID製品にセキュリティを統合のコストがまたは因子であってもなくてもよいので、間違っています。これは通常、技術そのものの制限、必ずしもかかるコストにダウンしています。

 

×:RFIDは、新興技術であり、業界では現在、それを固定する方法がありません。

それはここでは最良の答えではありませんので、正しくありません。RFIDは、長年の周りされており、業界の多くは、それが動作し、そのセキュリティの問題を理解します。非常に多くの制限が技術にセキュリティを統合することで真のニーズとモチベーションが求められています。ほとんどの状況では、RFIDを介して転送されるデータは、過度に敏感ではないので、それにセキュリティを統合するための真の知覚される必要がなかったです。RFIDが発展するにつれ、最も可能性の高い複数のセキュリティ対策を処理するために装備されますが、業界ではまだ完全にはこの場所に得ていません。

#14. ヘルプデスク通話量は減少し、パスワードが侵害された場合に複数のリソースにアクセスが容易になるパスワード管理方法はどれでしょうか。

パスワード同期は、異なるシステムの異なるパスワードを維持する複雑さを軽減するように設計されています。 パスワード同期技術により、パスワードを他のシステムやアプリケーションに透過的に同期させることで、複数のシステム間で単一のパスワードを維持することができます。 これにより、ヘルプデスクの通話量が減ります。 このアプローチの批判の1つは、異なるリソースにアクセスするために1つのパスワードしか使用されないため、ハッカーはすべてのリソースへの不正アクセスを得るために1つの資格情報セットを把握すればよいことです。

 

×:管理パスワードのリセット

管理パスワードをリセットするなどの理由がないため、間違っています。 この答えは気を散らすものです。 最も一般的なパスワード管理のアプローチは、パスワード同期、セルフサービスパスワードリセット、および補助パスワードリセットです。

 

×:セルフサービスパスワードリセット

セルフサービスのパスワードリセットが必ずしも複数のパスワードを処理するわけではないため、正しくありません。 ただし、パスワード関連のヘルプデスクコールの全体的な量を減らすのに役立ちます。 セルフサービスパスワードリセットの場合、ユーザーは自分のパスワードをリセットすることができます。 例えば、ユーザが自分のパスワードを忘れた場合、ユーザは登録プロセス中に特定した質問に答えるよう促されることがあります。 彼が与える答えが登録中に提供した情報と一致すれば、彼は彼のパスワードを変更する能力が与えられる。

 

×:アシストパスワードリセット

支援されたパスワードのリセットが必ずしも複数のパスワードを扱うわけではないので、間違っています。 ヘルプデスクがパスワードをリセットする前にユーザーを認証できるようにすることで、パスワードの問題の解決プロセスを削減します。 パスワードを変更するには、パスワード管理ツールを使用して発信者を識別し、認証する必要があります。 パスワードが更新されると、ユーザーが認証するシステムは、ユーザーに再度パスワードを変更する必要があります。 これにより、彼女(彼女とヘルプデスクの人ではない)だけが自分のパスワードを知っていることが保証されます。 サポートされているパスワードリセット製品の目標は、サポートコールのコストを削減し、すべてのコールが統一された一貫した安全な方法で処理されるようにすることです。

#15. 次のうち、プライバシーを意識したロールベースのアクセス制御については説明していますか?

任意のアクセス制御(DAC)を使用するシステムでは、リソースの所有者は、どの主体が特定のリソースにアクセスできるかを指定できます。 アクセス制御は所有者の裁量に基づいているため、このモデルは任意です。 多くの場合、部門マネージャーまたはビジネスユニットマネージャーは、特定の部門内のデータの所有者です。 所有者であるため、誰がアクセス権を持っているべきか、誰にアクセスできないべきかを指定できます。 プライバシーを意識した役割ベースのアクセス制御は、役割ベースのアクセス制御(RBAC)を拡張したものです。 主なアクセス制御モデルには、DAC、必須アクセス制御(MAC)、およびRBACの3つがあります。 プライバシーを意識した役割ベースのアクセス制御は、DACではなくRBACの一種です。

 

×:詳細なアクセス制御は、データのプライバシーの機密性のレベルに基づいてユーザーがアクセスできるデータのタイプを示します。

プライバシー意識のあるロールベースのアクセス制御は、データのプライバシーの機密性のレベルに基づいてユーザーがアクセスできるデータの種類を示す詳細なアクセス制御に基づいているため、正しくありません。 MAC、DAC、RBACなどの他のアクセス制御モデルは、データのプライバシーレベルを保護するのではなく、ユーザーが実行できる機能を提供します。 たとえば、管理者はプライバシーフォルダにアクセスできる可能性がありますが、たとえば、顧客の自宅の住所にはアクセスできますが、社会保障番号にはアクセスできないなどの詳細なアクセス制御が必要です。 業界では、社会保障番号やクレジットカードデータのような機密情報の機密情報に関しては、プライバシーを意識した役割ベースのアクセス制御が開発されたため、より詳細なアクセス制御が必要になりました。

 

×:ロールベースのアクセス制御の拡張です。

プライバシーを意識した役割ベースのアクセス制御が役割ベースのアクセス制御の拡張であるため、正しくありません。 アクセス権は、企業内のユーザーの役割と責任、およびアクセスが必要なデータのプライバシーレベルに基づいて決定されます。

 

×:プライバシーポリシーとアクセス制御ポリシーを統合するために使用する必要があります。

プライバシーポリシーとアクセス制御ポリシーに使用される言語は、プライバシーを意識した役割ベースのアクセス制御を使用する場合、同じであるか統合されている必要があるため、正しくありません。 プライバシーを意識した役割ベースのアクセス制御を使用する目的は、アクセス制御をより詳細かつプライバシー関連のデータに集中させることです。したがって、組織の元のアクセス制御ポリシーと同じ種類の用語と言語を使用する必要があります。標準。

#16. 侵入者がユーザーのパスワードを明らかにすることを可能にするブルートフォース攻撃を削減するための最良の方法は次のうちどれですか?

ブルートフォース攻撃は継続的に、その後の不正アクセスの資格を取得するために使用できる事前定義された目標を達成するために、異なる入力をしようとする攻撃です。パスワードを発見するブルートフォース攻撃は、侵入者が正しいパスワードを明らかに文字のすべての可能な配列をしようとしていることを意味します。アカウントが無効(またはロックアウトされた)攻撃の試みのこのタイプが行われた後にすることになる場合、これは良い対策であると証明します。

 

×:クリッピングレベルを上げます。

クリッピングレベルは、ユーザーの活動と許容可能な誤差のベースラインを確立するために実装する必要があるため、間違っています。クリッピングレベルが満たされた後のアカウントにログインしようとするエンティティがロックアウトされるべきです。高いクリッピングレベルが警告またはロックアウトの間、攻撃者より多くの試みを与えます。クリッピングレベルを下げると良い対策になります。

 

×:失敗したログイン試行のしきい値が満たされた後に、管理者が物理的にアカウントをロックアウトしなければなりません。

管理者を持っている物理的にアカウントをロックアウトすることは現実的ではないので、間違っています。このタイプの活動は容易に自動化されたソフトウェアのメカニズムを介しての世話をすることができます。アカウントは自動的に失敗したログイン試行のしきい値が満たされた後、一定の時間のためにロックアウトされるべきです。

 

×:パスワードファイルを暗号化し、より弱いアルゴリズムを選択してください。

パスワードおよび/またはパスワード・ファイルを暗号化し、より弱いアルゴリズムを使用すると、ブルートフォース攻撃の成功の可能性を増加させるため、正しくありません。

#17. 次のうちどれが集中アクセス制御プロトコルでしょうか。

Diameterは、RADIUSやTACACS などの機能性の同じ種類を提供だけでなく、今日の複雑で多様なネットワークの新たな需要を満たすために、より柔軟性と機能を提供する認証、認可、および監査(AAA)プロトコルです。一度、すべてのリモート通信はポイントツーポイントプロトコル(PPP)とシリアルラインインターネットプロトコル(SLIP)接続を介して行われ、ユーザーはパスワード認証プロトコル(PAP)またはチャレンジハンドシェイク認証プロトコル(CHAP)を介して自分自身を認証されました。技術ははるかに複雑になっており、これまで以上から選択する複数のデバイスおよびプロトコルがあります。Diameterプロトコルは、モバイルIP、PPP、ボイスオーバーIP(VoIP)の、および他のオーバーイーサネット、無線デバイス、スマートフォン、および他のデバイスがローミングプロトコルを使用してネットワークに自身を認証できるようにすることができます。

 

×:ウォッチドッグ

ウォッチドッグタイマは、一般に、そのようなプロセスが異常終了やハングなどのソフトウェア障害を検出するために使用されているので、間違っています。ウォッチドッグ機能は、サービスが応答しているかどうかを決定するために、「ハートビート」パケットの種類を送出します。そうでない場合、処理を終了またはリセットすることができます。これらのパケットは、ソフトウェアのデッドロック、無限ループ、およびプロセスの優先順位付けの問題に対して防ぐのに役立ちます。この機能は、パケットが再送信され、問題が発生して接続が閉じられ、再び開かれるべきであるかどうかをする必要があるかどうかを決定するためにAAAプロトコルで用いることができるが、それは、アクセス制御プロトコル自体ではありません。

 

×:RADIUS

リモート認証ダイヤルインユーザーサービス(RADIUS)は、ネットワークプロトコルであり、リモートユーザーのためのクライアント/サーバ認証、認可、および監査を提供するため、間違っています。ネットワークは、アクセスサーバ、DSL、ISDN、またはを介して通信するリモートユーザー専用のT1回線を有していてもよいです。アクセスサーバーは、リモートユーザーのログオン資格情報を要求し、戻ってユーザ名とパスワードの値を収容するRADIUSサーバに渡します。リモートユーザーは、アクセス・サーバのクライアントである、とアクセスサーバは、RADIUSサーバーのクライアントです。

 

×:TACACS

ターミナルアクセスコントローラアクセス制御システムプラス(TACACS )は、基本的にはRADIUSと同じ機能を提供するため、正しくありません。RADIUSプロトコルは、認証と承認機能を兼ね備えています。TACACS は、各機能を分離する真のAAAアーキテクチャを使用しています。これは、ネットワーク管理者は、リモートユーザーの認証方法でより多くの柔軟性を提供します。TACACS やRADIUSどちらもは、VoIP、モバイルIP、またはプロトコルの他の同様のタイプを介して通信する必要があるデバイスのために、これらのサービスを行うことができます。

#18. セキュリティ対策は、ユーザーや攻撃者にとって透過的でなければなりません。 透明性を記載していないものはどれですか?

残念なことに、セキュリティコンポーネントは通常、システムのパフォーマンスに影響を与えますが、何度もユーザーに気付かれません。 システムのパフォーマンスが著しく遅い場合、セキュリティ対策が施行されている可能性があります。 コントロールが透過的でなければならない理由は、ユーザーと侵入者がそれらを無効にしたりバイパスしたりすることを十分に知らないようにするためです。 コントロールは、会社が必要な機能を実行できるようにするために立ってはいけません。

 

×:これを実行しているメカニズムについてユーザが知らずに、ユーザ活動が監視され、追跡される。

不正確です。なぜなら、透明性は、監視および追跡を行っているメカニズムについてのユーザーの知識なしに、監視および追跡されているアクティビティに関するものであるからです。 ユーザーにコンピュータの使用状況が監視されているかどうかを伝えることがベストプラクティスですが、監視方法をユーザーに伝える必要はありません。 ユーザーが自分の活動を監視するメカニズムを認識している場合、ユーザーはそのアクティビティーを無効にしたり、バイパスしたりする可能性があります。

 

×:ユーザーはビジネスプロセスに悪影響を与えない方法でアクセスできます。

セキュリティとユーザビリティのバランスが取れなければならないので、間違っています。 つまり、ビジネスプロセスに影響を与えることなく、ユーザーに適切なアクセスを許可する必要があります。 彼らは仕事を終わらせる手段が必要です。

 

×:不正なアクセス試行は、侵入者がこれを実行しているメカニズムを知ることなく、拒否され、記録されます。

侵入者が不正なアクセスを拒否してログインするための仕組みを知りたくないため、間違っています。 侵入者は、この知識を使用して、メカニズムを無効にしたりバイパスしたりして、ネットワークリソースへの不正アクセスを成功させることができます。

#19. 次のうちどれがビジネスの境界を越えて使用することができるアイデンティティ管理技術でしょうか。

フェデレーテッド・アイデンティティは、ビジネスの境界を越えて使用することができ、ポータブルアイデンティティおよびそれに関連する資格です。これは、ユーザーが複数のITシステムや企業全体にわたって認証することができます。アイデンティティ・フェデレーションは、同期やディレクトリの情報を統合する必要がなく、2つ以上の位置で、ユーザーのそれ以外の場合明確なアイデンティティをリンクに基づいています。フェデレーテッド・アイデンティティは、企業や消費者に分散されたリソースにアクセスするためのより便利な方法を提供し、電子商取引の重要なコンポーネントです。

 

×:ユーザー・プロビジョニング

彼らは1つ以上のシステム、ディレクトリ、またはビジネスプロセスに応じて、アプリケーション内に存在するように、ユーザー・プロビジョニングが作成、保守、およびユーザオブジェクトおよび属性の非アクティブ化を参照しているので、間違っています。変更の伝播、セルフサービスワークフロー、統合ユーザ管理、委任されたユーザーの管理、およびフェデレーテッド・変更管理:ユーザー・プロビジョニング・ソフトウェアは、次のコンポーネントの1以上を含むことができます。ユーザーオブジェクトは、従業員、請負業者、ベンダー、パートナー、顧客、またはサービスの他の受信者を表すことができます。サービスは、というように、電子メール、データベースへのアクセス、ファイルサーバやメインフレームへのアクセスなどを含むことができます。ユーザー・プロビジョニングは、フェデレーション識別と関数とすることができるが、これは、グラフィックが示すものではありません。

 

×:ディレクトリ

ほとんどの企業は、企業のネットワークリソースおよびユーザに関する情報が含まれているディレクトリのいくつかのタイプを持っている一方で、これらのディレクトリは、一般的に異なる企業に広がっていないので、間違っています。ほとんどのディレクトリは、対象者とアプリケーションがディレクトリと対話することを可能にするのLDAP(Lightweight Directory Access Protocol)、のように、X.500規格に基づく階層型データベースの形式、およびプロトコルの種類に従ってください。アプリケーションは、ディレクトリへのLDAP要求を行うことで、特定のユーザーに関する情報を要求することができ、ユーザーは同様の要求を使用して、特定のリソースに関する情報を要求することができます。ディレクトリは、フェデレーテッド・フレームワーク内で動作することができますが、これはどのようなグラフィックのショーではありません。

 

×:ウェブアクセス管理

Webアクセス管理(WAM)ソフトウェアは、Webベースの企業資産と対話するためのWebブラウザを使用している場合、ユーザーがアクセスできるかを制御するため、正しくありません。この種の技術は、継続的に、より堅牢になり、増加した展開を経験しています。これは、電子商取引、オンラインバンキング、コンテンツが提供し、Webサービス、およびより多くの使用の増加にあります。より多くの複雑さは、ユーザーが(パスワード、デジタル証明書、トークン、およびその他)を認証することができ、ユーザに利用可能とすることができるリソースとサービス(送金、購入製品、更新プロファイルなど)すべての異なる方法で入って来、および必要なインフラストラクチャのコンポーネント。インフラストラクチャは、通常のWebサーバファーム(多くのサーバー)、ユーザーのアカウントと属性を含むディレクトリ、データベース、ファイアウォールのカップル、および一部のルータ、すべての階層アーキテクチャにレイアウトで構成されています。

#20. 従業員が離職したタイミングにおいて、実施すべきプロビジョニング処理はなんでしょうか。

従業員が離職したタイミングにおいて、従業員のアカウントを停止するべきです。元社員に対して組織のリソースへのアクセス権限を与えることは情報漏洩になります。

終了