模擬試験(ドメイン5)

ドメイン5の試験です。

70%以上で合格になります。

Results

すばらしい!

まだ見ていないコンテンツがあるかも。

#1. ハンナはWebアクセス管理(WAM)ソフトウェアをインストールするタスクを割り当てられています。 WAMが一般的に使用されているものの最良の説明は何ですか?

Webアクセス管理(WAM)ソフトウェアは、Webブラウザを使用してWebベースの企業資産と対話するときに、ユーザーがアクセスできるものを制御します。 このタイプのテクノロジは、継続的により堅牢になり、展開の増加を経験しています。 これは、電子商取引、オンラインバンキング、コンテンツ提供、Webサービスなどの利用が増加したためです。 Webアクセス制御管理プロセスの基本的なコンポーネントとアクティビティは次のとおりです。

1.ユーザーがWebサーバーに資格情報を送信します。

2. WebサーバーはWAMプラットフォームにユーザーの認証を要求します。 WAMはLDAPディレクトリに対して認証を行い、ポリシーデータベースから認証を取得します。

3.リソース(オブジェクト)へのユーザーのアクセス要求。

4. Webサーバーは、オブジェクトアクセスが許可されていることを確認し、要求されたリソースへのアクセスを許可します。

 

×:X.500データベースを介してアクセスを要求する外部エンティティを制御する

ディレクトリアクセスがWebアクセス管理ソフトウェアではなくX.500データベースのディレクトリでアクセス制御を実行する必要があるため、正しくありません。 ディレクトリサービスは、エントリとデータを管理し、アクセス制御とID管理機能を実行することにより、設定されたセキュリティポリシーを適用します。 ディレクトリサービスの例には、Active DirectoryとNetIQ eDirectoryがあります。 ウェブベースのアクセス要求は、データベース内に保持されたオブジェクトに対するものであってもよいが、主にウェブブラウザとサーバとの間の通信を制御する。 Webサーバーは、通常はディレクトリサービスを通じてバックエンドデータベースと通信する必要があります。

 

×:X.500データベースを介してアクセスを要求する内部エンティティを制御する

ディレクトリサービスは、LDAPを使用してX.500データベースへのアクセスを要求する内部エンティティのアクセス制御を実行する必要があるため、正しくありません。 このタイプのデータベースは、オブジェクト(サブジェクトとリソース)の組織化のための階層構造を提供します。 ディレクトリサービスは、各オブジェクトに固有の識別名を作成し、必要に応じて対応する属性を各オブジェクトに追加します。 ディレクトリサービスは、サブジェクトとオブジェクトのやりとりの仕方を制御するためのセキュリティポリシー(管理者が設定)を強制します。 ウェブベースのアクセス要求は、データベース内に保持されたオブジェクトに対するものであってもよいが、主にウェブブラウザとサーバとの間の通信を制御する。 WAMは主に外部から内部への通信用に開発されましたが、内部から内部への通信にも使用できます。 回答Bは、提供された4つの中から最良の答えです。

 

×:外部オブジェクトへのアクセスを要求する内部エンティティを制御する

WAMソフトウェアは内部オブジェクトへのアクセスを要求する外部エンティティを制御するために最も一般的に使用されるため、正しくありません。 答えのオプションで述べたように、他の方法ではありません。 例えば、WAMは、銀行がバックエンド口座データへの顧客のアクセスを制御するために使用することができる。

#2. 侵入者がユーザーのパスワードを明らかにすることを可能にするブルートフォース攻撃を削減するための最良の方法は次のうちどれですか?

ブルートフォース攻撃は継続的に、その後の不正アクセスの資格を取得するために使用できる事前定義された目標を達成するために、異なる入力をしようとする攻撃です。パスワードを発見するブルートフォース攻撃は、侵入者が正しいパスワードを明らかに文字のすべての可能な配列をしようとしていることを意味します。アカウントが無効(またはロックアウトされた)攻撃の試みのこのタイプが行われた後にすることになる場合、これは良い対策であると証明します。

 

×:クリッピングレベルを上げます。

クリッピングレベルは、ユーザーの活動と許容可能な誤差のベースラインを確立するために実装する必要があるため、間違っています。クリッピングレベルが満たされた後のアカウントにログインしようとするエンティティがロックアウトされるべきです。高いクリッピングレベルが警告またはロックアウトの間、攻撃者より多くの試みを与えます。クリッピングレベルを下げると良い対策になります。

 

×:失敗したログイン試行のしきい値が満たされた後に、管理者が物理的にアカウントをロックアウトしなければなりません。

管理者を持っている物理的にアカウントをロックアウトすることは現実的ではないので、間違っています。このタイプの活動は容易に自動化されたソフトウェアのメカニズムを介しての世話をすることができます。アカウントは自動的に失敗したログイン試行のしきい値が満たされた後、一定の時間のためにロックアウトされるべきです。

 

×:パスワードファイルを暗号化し、より弱いアルゴリズムを選択してください。

パスワードおよび/またはパスワード・ファイルを暗号化し、より弱いアルゴリズムを使用すると、ブルートフォース攻撃の成功の可能性を増加させるため、正しくありません。

#3. 次のうちどれがビジネスの境界を越えて使用することができるアイデンティティ管理技術でしょうか。

フェデレーテッド・アイデンティティは、ビジネスの境界を越えて使用することができ、ポータブルアイデンティティおよびそれに関連する資格です。これは、ユーザーが複数のITシステムや企業全体にわたって認証することができます。アイデンティティ・フェデレーションは、同期やディレクトリの情報を統合する必要がなく、2つ以上の位置で、ユーザーのそれ以外の場合明確なアイデンティティをリンクに基づいています。フェデレーテッド・アイデンティティは、企業や消費者に分散されたリソースにアクセスするためのより便利な方法を提供し、電子商取引の重要なコンポーネントです。

 

×:ユーザー・プロビジョニング

彼らは1つ以上のシステム、ディレクトリ、またはビジネスプロセスに応じて、アプリケーション内に存在するように、ユーザー・プロビジョニングが作成、保守、およびユーザオブジェクトおよび属性の非アクティブ化を参照しているので、間違っています。変更の伝播、セルフサービスワークフロー、統合ユーザ管理、委任されたユーザーの管理、およびフェデレーテッド・変更管理:ユーザー・プロビジョニング・ソフトウェアは、次のコンポーネントの1以上を含むことができます。ユーザーオブジェクトは、従業員、請負業者、ベンダー、パートナー、顧客、またはサービスの他の受信者を表すことができます。サービスは、というように、電子メール、データベースへのアクセス、ファイルサーバやメインフレームへのアクセスなどを含むことができます。ユーザー・プロビジョニングは、フェデレーション識別と関数とすることができるが、これは、グラフィックが示すものではありません。

 

×:ディレクトリ

ほとんどの企業は、企業のネットワークリソースおよびユーザに関する情報が含まれているディレクトリのいくつかのタイプを持っている一方で、これらのディレクトリは、一般的に異なる企業に広がっていないので、間違っています。ほとんどのディレクトリは、対象者とアプリケーションがディレクトリと対話することを可能にするのLDAP(Lightweight Directory Access Protocol)、のように、X.500規格に基づく階層型データベースの形式、およびプロトコルの種類に従ってください。アプリケーションは、ディレクトリへのLDAP要求を行うことで、特定のユーザーに関する情報を要求することができ、ユーザーは同様の要求を使用して、特定のリソースに関する情報を要求することができます。ディレクトリは、フェデレーテッド・フレームワーク内で動作することができますが、これはどのようなグラフィックのショーではありません。

 

×:ウェブアクセス管理

Webアクセス管理(WAM)ソフトウェアは、Webベースの企業資産と対話するためのWebブラウザを使用している場合、ユーザーがアクセスできるかを制御するため、正しくありません。この種の技術は、継続的に、より堅牢になり、増加した展開を経験しています。これは、電子商取引、オンラインバンキング、コンテンツが提供し、Webサービス、およびより多くの使用の増加にあります。より多くの複雑さは、ユーザーが(パスワード、デジタル証明書、トークン、およびその他)を認証することができ、ユーザに利用可能とすることができるリソースとサービス(送金、購入製品、更新プロファイルなど)すべての異なる方法で入って来、および必要なインフラストラクチャのコンポーネント。インフラストラクチャは、通常のWebサーバファーム(多くのサーバー)、ユーザーのアカウントと属性を含むディレクトリ、データベース、ファイアウォールのカップル、および一部のルータ、すべての階層アーキテクチャにレイアウトで構成されています。

#4. 米国では、連邦政府機関は連邦情報処理標準(Federal Information Processing Standard:FIPS)201-2を遵守して、次のうちどれを保証する必要がありますか?

FIPS 201-2は、個人の身元確認(PIV)のための米国政府の基準を定め、保証の様々な要件を与えています。 政府職員や契約代理店による制限された情報へのアクセスは、そのクリアランスのレベルとそれを知る必要性に左右されますが、まず政府は、その個人が彼らが誰であるかを保証する必要があります。

 

×:公務員が割り当てられた作業のために適切に清算されていること

政府職員は、アクセス権が与えられた情報について適切に清算されなければならないため、そのようなアクセスの前に真の身分証明書が審査と確認のために利用可能でなければなりません。

 

×:公務員は、そのクリアランスレベルのデータへのアクセスのみが許可されている

政府職員は、知り合いになり、アクセスする必要のある情報にアクセスするだけで済むので、間違っています。 しかし、ここでも、これは、所有するクリアランスが有効であるという明確な保証レベルに基づいていなければなりません。

 

×:公務員がアクセスできるデータが適切に分類されていること

データの分類が個人情報の検証に直接関係していないため、正しくありません。

#5. 次のうちフェデレーションIDとID管理プロセス内でのその役割を正しく記述しているのはどれですか?

連合アイデンティティーとは、ビジネス上の境界を越えて使用できるポータブルIDとそれに関連するエンタイトルメントです。 これにより、ユーザーは複数のITシステムおよび企業全体で認証されることができます。 IDフェデレーションは、ディレクトリ情報を同期または統合する必要なく、2つ以上の場所でユーザーの別の識別情報をリンクすることに基づいています。 連合アイデンティティーは、企業や消費者に分散リソースにアクセスするためのより便利な方法を提供し、電子商取引の重要なコンポーネントです。

 

×:ビジネス境界を越えて使用できる、移植性のないアイデンティティ

フェデレーションIDが移植可能であるため、正しくありません。 ポータブルではない場合、ビジネス境界を越えて使用することはできませんでした。これが連合アイデンティティー全体のポイントです。 技術が人々と企業をより緊密に結びつけるにつれ、世界は絶えず小さくなる。 多くの場合、私たちがただ一つのウェブサイトとやり取りしているとき、私たちは実際にはいくつかの異なる企業と交流しています。わかりません。 これらの企業が私たちの身元と認証情報をバックグラウンドで共有しているため、わからない理由があります。 これは、ユーザーの使いやすさを向上させるために行われます。

 

×:イントラネットの仮想ディレクトリとIDストア内で使用できるID

フェデレーションされたIDは組織内ではなくビジネス境界を越えて使用されるため、間違っています。 つまり、その使用は、ユーザーデータを所有する組織を超えています。 フェデレーションされたIDを使用すると、ディレクトリサービス、セキュリティ、および認証のための異なるテクノロジを持つ組織がアプリケーションを共有できるため、ユーザーは同じユーザーID、パスワードなどで複数のアプリケーションにサインインできます。

 

×:ビジネス境界を越えて使用できるドメイン名で指定されるID

フェデレーションIDがドメイン名で指定されていないため、正しくありません。 フェデレーションされたIDは、ポータブルIDとその関連するエンタイトルメントです。 これには、ユーザー名、パスワード、およびアプリケーションにサインインするために使用されるその他の個人識別情報が含まれます。

#6. セキュリティ対策は、ユーザーや攻撃者にとって透過的でなければなりません。 透明性を記載していないものはどれですか?

残念なことに、セキュリティコンポーネントは通常、システムのパフォーマンスに影響を与えますが、何度もユーザーに気付かれません。 システムのパフォーマンスが著しく遅い場合、セキュリティ対策が施行されている可能性があります。 コントロールが透過的でなければならない理由は、ユーザーと侵入者がそれらを無効にしたりバイパスしたりすることを十分に知らないようにするためです。 コントロールは、会社が必要な機能を実行できるようにするために立ってはいけません。

 

×:これを実行しているメカニズムについてユーザが知らずに、ユーザ活動が監視され、追跡される。

不正確です。なぜなら、透明性は、監視および追跡を行っているメカニズムについてのユーザーの知識なしに、監視および追跡されているアクティビティに関するものであるからです。 ユーザーにコンピュータの使用状況が監視されているかどうかを伝えることがベストプラクティスですが、監視方法をユーザーに伝える必要はありません。 ユーザーが自分の活動を監視するメカニズムを認識している場合、ユーザーはそのアクティビティーを無効にしたり、バイパスしたりする可能性があります。

 

×:ユーザーはビジネスプロセスに悪影響を与えない方法でアクセスできます。

セキュリティとユーザビリティのバランスが取れなければならないので、間違っています。 つまり、ビジネスプロセスに影響を与えることなく、ユーザーに適切なアクセスを許可する必要があります。 彼らは仕事を終わらせる手段が必要です。

 

×:不正なアクセス試行は、侵入者がこれを実行しているメカニズムを知ることなく、拒否され、記録されます。

侵入者が不正なアクセスを拒否してログインするための仕組みを知りたくないため、間違っています。 侵入者は、この知識を使用して、メカニズムを無効にしたりバイパスしたりして、ネットワークリソースへの不正アクセスを成功させることができます。

#7. 次のうちどれが集中アクセス制御プロトコルでしょうか。

Diameterは、RADIUSやTACACS などの機能性の同じ種類を提供だけでなく、今日の複雑で多様なネットワークの新たな需要を満たすために、より柔軟性と機能を提供する認証、認可、および監査(AAA)プロトコルです。一度、すべてのリモート通信はポイントツーポイントプロトコル(PPP)とシリアルラインインターネットプロトコル(SLIP)接続を介して行われ、ユーザーはパスワード認証プロトコル(PAP)またはチャレンジハンドシェイク認証プロトコル(CHAP)を介して自分自身を認証されました。技術ははるかに複雑になっており、これまで以上から選択する複数のデバイスおよびプロトコルがあります。Diameterプロトコルは、モバイルIP、PPP、ボイスオーバーIP(VoIP)の、および他のオーバーイーサネット、無線デバイス、スマートフォン、および他のデバイスがローミングプロトコルを使用してネットワークに自身を認証できるようにすることができます。

 

×:ウォッチドッグ

ウォッチドッグタイマは、一般に、そのようなプロセスが異常終了やハングなどのソフトウェア障害を検出するために使用されているので、間違っています。ウォッチドッグ機能は、サービスが応答しているかどうかを決定するために、「ハートビート」パケットの種類を送出します。そうでない場合、処理を終了またはリセットすることができます。これらのパケットは、ソフトウェアのデッドロック、無限ループ、およびプロセスの優先順位付けの問題に対して防ぐのに役立ちます。この機能は、パケットが再送信され、問題が発生して接続が閉じられ、再び開かれるべきであるかどうかをする必要があるかどうかを決定するためにAAAプロトコルで用いることができるが、それは、アクセス制御プロトコル自体ではありません。

 

×:RADIUS

リモート認証ダイヤルインユーザーサービス(RADIUS)は、ネットワークプロトコルであり、リモートユーザーのためのクライアント/サーバ認証、認可、および監査を提供するため、間違っています。ネットワークは、アクセスサーバ、DSL、ISDN、またはを介して通信するリモートユーザー専用のT1回線を有していてもよいです。アクセスサーバーは、リモートユーザーのログオン資格情報を要求し、戻ってユーザ名とパスワードの値を収容するRADIUSサーバに渡します。リモートユーザーは、アクセス・サーバのクライアントである、とアクセスサーバは、RADIUSサーバーのクライアントです。

 

×:TACACS

ターミナルアクセスコントローラアクセス制御システムプラス(TACACS )は、基本的にはRADIUSと同じ機能を提供するため、正しくありません。RADIUSプロトコルは、認証と承認機能を兼ね備えています。TACACS は、各機能を分離する真のAAAアーキテクチャを使用しています。これは、ネットワーク管理者は、リモートユーザーの認証方法でより多くの柔軟性を提供します。TACACS やRADIUSどちらもは、VoIP、モバイルIP、またはプロトコルの他の同様のタイプを介して通信する必要があるデバイスのために、これらのサービスを行うことができます。

#8. SAML(Security Assertion Markup Language)は、異なるセキュリティドメイン上のシステム間で認証および認可データを交換するXMLベースの標準です。 SAMLでは、認証がどのように行われたか、エンティティの属性、エンティティがアクセスする権限など、認証情報の共有が可能です。 次のうち正しいSAMLコンポーネントに関連付けられた定義はどれですか?

SAMLは、2つの当事者が1つのエンティティに関する認証情報を共有できるようにするモデルを提供します。 2つの当事者は、サービスプロバイダおよびアイデンティティプロバイダとみなされます。 アイデンティティプロバイダは、サブジェクトが認証されているか、特定の属性を持っているかどうかなど、プリンシパルに関する情報をアサートします。 サービスプロバイダは、アイデンティティプロバイダが提供する情報を使用して、アイデンティティプロバイダのアサーションを信頼するかどうかなど、アクセスの決定を行います。 アイデンティティプロバイダの情報を信頼することにより、サービスプロバイダは、プリンシパルに再度認証を要求することなくサービスを提供することができます。 このフレームワークにより、フェデレーションによる識別とドメイン間の分散認証が可能になります。

 

×: SAML権限が特定のサブジェクトを検証したことを示す2つのSAMLアサーション(認証、認可)が使用されます。

SAML権限が特定のサブジェクトを検証したことを示す3種類のSAMLアサーション(認証、属性、認可)があるため、間違っています。 認証アサーションは、サブジェクトが特定の方法でSAML権限によって認証されたことを検証します。 たとえば、アサーションでは、特定の日付に、デジタル証明書を使用してSam Longが特定の日付に認証されたことが示され、認証は30分間有効です。 主張者は、この認証データを依拠当事者に送信し、依頼者のシステム上で主体が認証され、主体が再度ログインする必要がないようにする。

 

×:SAMLバインディング仕様では、TCPおよびUDPプロトコル内にSAMLメッセージを埋め込む方法について説明しています。

SAMLバインディング仕様では、通信またはメッセージングプロトコル内にSAMLメッセージを埋め込み、SAML要求 – 応答メッセージ交換を可能にする方法が記述されているため、正しくありません。 SAMLバインディングは、TCPやUDPなどのトランスポート層プロトコルではなく、アプリケーション層プロトコル(SOAP、HTTPなど)でこれらのメッセージ交換がどのように行われるかを定義します。 SAML仕様はSAMLプロトコルを定義します。SAMLプロトコルは、SAMLアサーションを処理するXMLベースの要求/応答プロトコルです。 つまり、この仕様はOSIモデルのアプリケーション層で動作するパケットのペイロードデータに関するものです。 トランスポート層は、ネットワークスタックの下部にあり、このXML仕様との直接的な相互作用はありません。

 

×:SAMLプロファイルは、SSLおよびTLSでSAMLメッセージ、アサーション、およびプロトコルを実装する方法を定義します。

SAMLプロファイルはSAMLメッセージ、アサーション、およびプロトコルをユースケースでどのように実装するかを定義するため、正しくありません。 この仕様は、SSLやTLSのようなセッションとトランスポート層のプロトコルを扱っていません。 SAML仕様内の各プロファイルは、SAMLメッセージ、アサーション、およびプロトコルを特定のシナリオでどのように使用するかを示しています。 たとえば、1つのSAMLプロファイルでは、SAMLを使用して複数のWebアプリケーション間でシングルサインオン環境をサポートする方法を概説しています。 このプロファイルは、SAML対応のクライアント(Webブラウザ)をサポートする方法と、複数のサービスプロバイダ間で識別データを管理する方法を定義します。

#9. エミリーは、ネットワークトラフィックに耳を傾け、それらが認証サーバに送信されるパスワードを取得しています。彼女は将来の攻撃の一部としてパスワードを使用することを計画しています。これは攻撃のタイプは何ですか?

リプレイ攻撃は、侵入者が取得した情報を格納したときに発生し、後で不正にアクセスするためにそれを使用しています。この場合には、エミリーは、認証サーバにワイヤを介して送信されたパスワードを取得するために電子監視(スニッフィング)と呼ばれる技術を使用しています。彼女は後にネットワークリソースにアクセスするためにパスワードを使用することができます。パスワードが暗号化されている場合でも、有効な資格情報の再送信は、アクセスを得るのに十分であることができます。

 

×:ブルートフォース攻撃

ブルートフォース攻撃は、多くの可能な文字、数字、記号の組み合わせを介して、サイクルがパスワードを発見するためのツールを用いて行われるため、正しくありません。成功したブルートフォース攻撃を防止するための一つの方法は、システム上で実行することができるログイン試行の回数を制限することです。管理者は、ユーザーがロックアウトされる前に、失敗したログオン試行の一定数の受け入れを可能にする動作パラメータを設定することができます。これは、クリッピングレベルのタイプです。

 

×:辞書攻撃

一致するものが見つかるまで、辞書攻撃は、単語の数千のファイルへのユーザーのパスワードの自動比較を含むので、間違っています。辞書攻撃は、ユーザーが短いパスワードを選択する傾向があるため、成功している1つの単語であるか、辞書にある単語の予測可能なバリエーションです。

 

×:ソーシャルエンジニアリング攻撃

ソーシャルエンジニアリング攻撃で、攻撃者が誤って彼女が特定のリソースにアクセスするために必要な権限を持っていることを個人を説得するため、間違っています。ソーシャルエンジニアリングとは、直接人に対して行われ、必ずしも技術的な攻撃とはみなされません。ソーシャルエンジニアリングに対する最善の防御策は、ユーザー教育です。ユーザーが自分のパスワードを保護しなければならないとパスワードがどのように盗まれることができる理由を理解するように、パスワードの要件は、保護、および生成がセキュリティ意識向上プログラムで対処する必要があります。

#10. レインボーテーブルへの効果的な対策はどれですか?

レインボーテーブルとは、プレーンテキストと一致する暗号文の事前に作成されたリストであり、パスワードと一致するハッシュを持ちます。テーブルには数百万のペアを含めることができます。サルト(Salting)とは、パスワードまたはパスフレーズを「ハッシュ」する一方向関数への追加入力として使用されるランダムデータです。ソルトの主な機能は、辞書攻撃またはコンパイル済みのレインボーテーブル攻撃から防御することです。

#11. ベサニは強制アクセス制御(MAC)を利用しており、トップシークレットに分類したファイルは彼女自身もアクセスできません。現行クリアランスと知る必要性から定義された機密性が増加する事象を抑える概念はどれでしょうか。

マルチレベルのセキュリティプロパティは、多くの方法、一方は非干渉で発現させることができます。この概念は、より高いセキュリティレベルで行われるすべてのアクションが影響を与えるか、低いレベルで行われたアクションを妨げないことを確実にするために実装されています。高いセキュリティレベルでのエンティティがアクションを実行するのであれば、それはより低いレベルでのエンティティの状態を変更することはできません。下位レベルのエンティティはより高いレベルでのエンティティによって行われ、システムの状態は、この低レベルのエンティティの変更、特定の活動を知っていた場合には、企業は、の活動についてはあまり情報を推定することができるかもしれません順番に情報を漏洩する方法である高い状態、。

 

×:隠密ストレージチャネル

隠れチャネルが通信することを意図していなかったプロセス間で情報を共有する能力を可能にするため、正しくありません。不干渉は、通信の他の悪意の方法と一緒に隠れチャネルを未然に防止するためのものなモデルです。モデルは、システムの異なるユーザが使用する共有リソースを見て、情報が下位のセキュリティクリアランスで作業プロセスに、より高いセキュリティクリアランスで働くプロセスから渡すことができる方法を特定しようとします。2人のユーザーが同時に同じシステム上で作業している場合、彼らが最も可能性の高いリソースのいくつかのタイプを共有する必要があります。それでモデルは、そのユーザAがユーザBが、彼女は知っているのクリアランスを持っていない情報を推測できるようにすることができ、任意の活動を行うことはできません確実にするためのルールで構成されています。

 

×:推論攻撃

推論攻撃は、彼女が働いていたプロジェクトが今トップシークレットであり、重要性と機密性に増加していることを推測するベサニの能力を指すため、間違っています。質問は推論攻撃を防ぐことができます概念を求めています。誰かが情報の一部のタイプへのアクセス権を持っており、彼女は知っているクリアランスレベルまたは権限を持っていない何かを推測する(または推測する)ことができたときに推論攻撃が発生します。たとえば、のは、トムがロシアに送られているサプライ品についての情報を含むファイルで作業していることとしましょう。彼は、そのファイルの外に閉じて、1時間後に同じファイルを開こうとします。この間、ファイルの分類はトップシークレットに上昇してきたので、トムはそれにアクセスしようとすると、彼は拒否されます。トムはトップシークレットミッションのいくつかの種類がロシアで場所を取るために準備されていることを推測することができます。彼はこのことを知っているのクリアランスを持っていません。このように、それは推論攻撃またはだろう」漏れた情報。」

 

×:集約

凝集が別々のソースからの情報を組み合わせるの行為であるため、正しくありません。データの組み合わせは、被験者がアクセスに必要な権限を持っていない新しい情報を、形成しています。合わせた情報は、個々の部分のそれよりも大きい感度を有することができます。集計は、ユーザーが特定の情報にアクセスするためのクリアランスや権限を持っていない場合に発生するが、この情報のコンポーネントにアクセスする権限がありません。彼女はその後、残りの部分を把握し、制限された情報を得ることができます。

#12. SElinuxを設定した。どのアクセス制御に則っていることになるか。

強制アクセス制御(MAC)とは、リソースをあらかじめレベル分けによって,アクセス権限を強制させるアクセス制御です。データファイルに対するアクセス権にはいくつか種類があります。データファイルの使用者、データファイルを作成する所有者、どの所有者ならデータを作成できるかを決める管理者に分けられます。ここで、所有者であろうとも自分のデータファイルに誰がアクセスしてよいか決めれず、管理者しかアクセス権限変更できないのが、強制アクセス制御です。SELinux、TOMOYO Linux、Trusted BSD、Trusted Solaris はMACで使われる方式です。

#13. 次のうち、プライバシーを意識したロールベースのアクセス制御については説明していますか?

任意のアクセス制御(DAC)を使用するシステムでは、リソースの所有者は、どの主体が特定のリソースにアクセスできるかを指定できます。 アクセス制御は所有者の裁量に基づいているため、このモデルは任意です。 多くの場合、部門マネージャーまたはビジネスユニットマネージャーは、特定の部門内のデータの所有者です。 所有者であるため、誰がアクセス権を持っているべきか、誰にアクセスできないべきかを指定できます。 プライバシーを意識した役割ベースのアクセス制御は、役割ベースのアクセス制御(RBAC)を拡張したものです。 主なアクセス制御モデルには、DAC、必須アクセス制御(MAC)、およびRBACの3つがあります。 プライバシーを意識した役割ベースのアクセス制御は、DACではなくRBACの一種です。

 

×:詳細なアクセス制御は、データのプライバシーの機密性のレベルに基づいてユーザーがアクセスできるデータのタイプを示します。

プライバシー意識のあるロールベースのアクセス制御は、データのプライバシーの機密性のレベルに基づいてユーザーがアクセスできるデータの種類を示す詳細なアクセス制御に基づいているため、正しくありません。 MAC、DAC、RBACなどの他のアクセス制御モデルは、データのプライバシーレベルを保護するのではなく、ユーザーが実行できる機能を提供します。 たとえば、管理者はプライバシーフォルダにアクセスできる可能性がありますが、たとえば、顧客の自宅の住所にはアクセスできますが、社会保障番号にはアクセスできないなどの詳細なアクセス制御が必要です。 業界では、社会保障番号やクレジットカードデータのような機密情報の機密情報に関しては、プライバシーを意識した役割ベースのアクセス制御が開発されたため、より詳細なアクセス制御が必要になりました。

 

×:ロールベースのアクセス制御の拡張です。

プライバシーを意識した役割ベースのアクセス制御が役割ベースのアクセス制御の拡張であるため、正しくありません。 アクセス権は、企業内のユーザーの役割と責任、およびアクセスが必要なデータのプライバシーレベルに基づいて決定されます。

 

×:プライバシーポリシーとアクセス制御ポリシーを統合するために使用する必要があります。

プライバシーポリシーとアクセス制御ポリシーに使用される言語は、プライバシーを意識した役割ベースのアクセス制御を使用する場合、同じであるか統合されている必要があるため、正しくありません。 プライバシーを意識した役割ベースのアクセス制御を使用する目的は、アクセス制御をより詳細かつプライバシー関連のデータに集中させることです。したがって、組織の元のアクセス制御ポリシーと同じ種類の用語と言語を使用する必要があります。標準。

#14. ワンタイムパスワードを使用する場合、どの認証タイプを指していますか?

使い捨てパスワードとワンタイムパッドは、パスワードですがあなたが所有しているものから生成されるものであり、あなたが知っているものではありません。つまり、所持です。

#15. コンピュータやネットワークデバイスによって生成された監査ログを保護する重要性は、今日の多くの規制で要求されているという事実によって強調されています。 監査ログを保護する理由を説明していないのはどれですか?

監査ツールは、ネットワーク内、ネットワークデバイス上、または特定のコンピュータ上のアクティビティを追跡する技術的なコントロールです。 監査は、ネットワークやコンピュータへのエンティティのアクセスを拒否するアクティビティではありませんが、セキュリティ管理者が行われたアクセスの種類の理解、セキュリティ違反の特定、または疑わしいアクティビティの管理者への警告を行うようにアクティビティを追跡します。 この情報は、他の技術的コントロールの弱点を指摘し、管理者が環境内で必要なセキュリティレベルを維持するために変更を加える必要がある場所を理解するのに役立ちます。 侵入者はこれらの弱点を悪用するためにもこの情報を使用することができます。したがって、ハッシュアルゴリズムのように、権限、権限、および整合性の制御によって監査ログを保護する必要があります。 しかし、システムログのフォーマットは、一般にすべての同様のシステムで標準化されています。 ログ形式を非表示にするのは通常の対策ではないため、監査ログファイルを保護する理由ではありません。

 

×:適切に保護されていない場合、これらのログは起訴中に認められないことがあります。

監査ログが裁判所で認められるためには、監査ログを保護するために細心の注意を払わなければならないので、間違っています。 監査証跡を使用して、後で調査できる疑わしい活動についてのアラートを提供することができます。 さらに、攻撃がどれほどの距離で行われたのか、また、発生した可能性のある損傷の程度を正確に把握する上で有益です。 刑事訴訟や調査のような後の出来事に使用する必要がある場合に備えて、収集されたすべてのデータを適切かつ正確に表すことができるように、適切な管理の連鎖が維持されていることを確認することが重要です。

 

×:監査ログには機密データが含まれているため、特定のサブセットのユーザーのみがアクセスできるようにする必要があります。

管理者およびセキュリティ担当者だけが監査証跡情報を表示、変更、および削除できる必要があるため、正しくありません。 他の人はこのデータを見ることができず、変更や削除はほとんどできません。 デジタル署名、メッセージダイジェストツール、強力なアクセスコントロールを使用することで、データの完全性を保証することができます。 その機密性は、必要に応じて暗号化とアクセス制御で保護することができ、データの損失や改ざんを防ぐためライトワンスメディアに保管することができます。 ログを監査する権限のないアクセス試行をキャプチャして報告する必要があります。

 

×:侵入者は、活動を隠すためにログをスクラブしようとすることがあります。

侵入者があなたの家に侵入した場合、指紋や犯罪行為と結びつけるために使用できる手がかりを残さないようにして、トラックを守るために最善を尽くします。 コンピュータ詐欺や違法行為についても同様です。 侵入者は彼の軌道をカバーするために働くでしょう。 攻撃者は、この識別情報を保持する監査ログを削除することがよくあります。 ( スクラブ と呼ばれる監査ログ内の特定の不利なデータを削除して います。)この情報を削除すると、管理者に警告やセキュリティ侵害を認識し、貴重なデータが破壊されることができないことがあります。 したがって、厳密なアクセス制御によって監査ログを保護する必要があります。

#16. 攻撃の数は、スマートカードに対して行うことができます。サイドチャネルは、傷や弱点を侵害しようとしない攻撃のクラスです。サイドチャネル攻撃は、次のうちどれではないでしょうか?

非侵襲的な攻撃は、攻撃者は何かがどのように動作するか、それは代わりに、より立ち入った措置とそれを「侵略」しようとしているの様々な状況でどのように反応するか見たものです。サイドチャネル攻撃の例としては、故障発生、差分電力解析、電磁界解析、タイミング、およびソフトウェアの攻撃です。これらのタイプの攻撃は、コンポーネントが傷や弱点のいずれかのタイプを侵害しようとすることなく、どのように機能するかについての機密情報を明らかにするために使用されています。より立ち入ったスマートカードの攻撃がマイクロプローブされています。マイクロプローブは、カードの回路上で外側の保護材を除去するために、針と超音波振動を使用しています。これが完了すると、データにアクセスし、直接カードのROMチップにタップして操作することができます。

 

×:差分電力解析

差分電力解析(DPA)は、非侵襲的攻撃であるため、正しくありません。DPAは、処理中に放出され、電力の排出量を調べることを含みます。統計的に、複数の暗号化操作からのデータを分析することにより、例えば、攻撃者が暗号計算内の中間値を決定することができます。これは、ターゲットデバイスが設計されているかの知識なしに行うことができます。したがって、攻撃者は、カードからの暗号鍵やその他の機密情報を抽出することができます。

 

×:タイミング解析

タイミング解析は、非侵襲的攻撃であるため、間違っています。これは、特定の関数がそのタスクを完了するのにかかる時間を計算することを含みます。タイミング解析攻撃は、各種演算を実行するために取るどのくらいの時間計測に基づいています。例えば、それはキー情報を転送するためにスマートカードをかかる時間を観察することで、キーがこの例である時間の長さを決定することができる場合があります。

 

×:電磁波解析

電磁界解析が放出された周波数を調べることを含む非侵襲的な攻撃であるため、正しくありません。すべての電流は、電磁放射物を発します。データが処理されると、スマートカードでは、電力消費とは、従って、電磁放射フィールドは、変化します。電磁界解析は、スマートカード上に暗号化キーやその他の機密情報を明らかにするための努力のデータと電磁放射物との間の相関を試みます。

#17. PIN、パスワード、パスフレーズはすべてどの認証タイプですか?

タイプ1認証とはあなたが知っていることを認証情報として扱います。パスワード、パスフレーズ、PINなどによって達成され知識要素とも呼ばれます。

#18. 攻撃者がブルートフォース攻撃を使用してパスワードを破りました。なぜあなたはブルートフォース攻撃だとわかりましたか?

ブルートフォースを利用した場合、十分な時間があれば、平文を復号化できます。ワンタイムパッドを除くすべてのキーベースの暗号に対して有効です。最終的には復号化されますが、非常に多くの誤検知が発生するため、データが役に立たなくなります。

#19. ヘルプデスク通話量は減少し、パスワードが侵害された場合に複数のリソースにアクセスが容易になるパスワード管理方法はどれでしょうか。

パスワード同期は、異なるシステムの異なるパスワードを維持する複雑さを軽減するように設計されています。 パスワード同期技術により、パスワードを他のシステムやアプリケーションに透過的に同期させることで、複数のシステム間で単一のパスワードを維持することができます。 これにより、ヘルプデスクの通話量が減ります。 このアプローチの批判の1つは、異なるリソースにアクセスするために1つのパスワードしか使用されないため、ハッカーはすべてのリソースへの不正アクセスを得るために1つの資格情報セットを把握すればよいことです。

 

×:管理パスワードのリセット

管理パスワードをリセットするなどの理由がないため、間違っています。 この答えは気を散らすものです。 最も一般的なパスワード管理のアプローチは、パスワード同期、セルフサービスパスワードリセット、および補助パスワードリセットです。

 

×:セルフサービスパスワードリセット

セルフサービスのパスワードリセットが必ずしも複数のパスワードを処理するわけではないため、正しくありません。 ただし、パスワード関連のヘルプデスクコールの全体的な量を減らすのに役立ちます。 セルフサービスパスワードリセットの場合、ユーザーは自分のパスワードをリセットすることができます。 例えば、ユーザが自分のパスワードを忘れた場合、ユーザは登録プロセス中に特定した質問に答えるよう促されることがあります。 彼が与える答えが登録中に提供した情報と一致すれば、彼は彼のパスワードを変更する能力が与えられる。

 

×:アシストパスワードリセット

支援されたパスワードのリセットが必ずしも複数のパスワードを扱うわけではないので、間違っています。 ヘルプデスクがパスワードをリセットする前にユーザーを認証できるようにすることで、パスワードの問題の解決プロセスを削減します。 パスワードを変更するには、パスワード管理ツールを使用して発信者を識別し、認証する必要があります。 パスワードが更新されると、ユーザーが認証するシステムは、ユーザーに再度パスワードを変更する必要があります。 これにより、彼女(彼女とヘルプデスクの人ではない)だけが自分のパスワードを知っていることが保証されます。 サポートされているパスワードリセット製品の目標は、サポートコールのコストを削減し、すべてのコールが統一された一貫した安全な方法で処理されるようにすることです。

#20. 能力表が基づいている主な項目はどれでしょうか。

能力テーブルは、特定の対象が特定の対象に関する所有するアクセス権を特定する。 機能リスト(機能テーブルとも呼ばれる)は、対象が機能テーブルにバインドされているのに対し、オブジェクトがACLにバインドされているため、アクセス制御リスト(ACL)とは異なります。 ケイパビリティは、トークン、チケット、またはキーの形式で指定できます。 対象が能力コンポーネントを提示するとき、オペレーティングシステム(またはアプリケーション)は、能力コンポーネントに概説されたアクセス権および操作を見直し、それらの機能だけを対象が実行できるようにする。 ケイパビリティ・コンポーネントは、一意のオブジェクト識別子と、そのオブジェクトに対するサブジェクトのアクセス権を含むデータ構造です。 オブジェクトは、ファイル、配列、メモリセグメント、またはポートです。

 

×:オブジェクト

オブジェクトが機能コンポーネントではなくアクセス制御リスト(ACL)にバインドされているため、正しくありません。 ACLは、いくつかのオペレーティングシステム、アプリケーション、ルータ構成で使用されます。 これらは、特定のオブジェクトにアクセスする権限を与えられたサブジェクトのリストであり、どのレベルの権限が与えられるかを定義します。 認可は、個人またはグループに指定することができます。 ACLは、アクセス制御マトリクスの値をオブジェクトにマップします。 能力がアクセス制御マトリクスの行に対応するのに対し、ACLはマトリクスの列に対応する。

 

×:プロダクト

製品は、オブジェクトまたは受けることができますので、間違っています。ユーザが(例えば、プログラムのような)製品にアクセスしようとした場合、ユーザは、被写体であり、生成物が目的です。製品がデータベースにアクセスしようとすると、生成物が対象であり、データベースは、オブジェクトです。製品は、例えば能力のリストで対象となり得るが、最良の答えは、能力リストは、被験者がアクセスし、それらのオブジェクト上で実行できる操作可能なオブジェクトかを示すAです。

 

×:アプリケーション

ユーザーは、アプリケーションにアクセスしようとするユーザーが対象であり、アプリケーションがオブジェクトである場合、正しくありません。アプリケーションがデータベースにアクセスしようとすると、アプリケーションが対象であり、データベースは、オブジェクトです。アプリケーションは、例えば、能力のリストで対象となり得るが、最良の答えは、能力リストは、被験者がアクセスし、それらのオブジェクト上で実行できる操作可能なオブジェクトかを示すAです。

終了