Sitzung: Jeden Freitag in der Vorlesungszeit ab 16 Uhr c. t. im MAR 0.005. In der vorlesungsfreien Zeit unregelmäßig (Jemensch da?). Macht mit!

Benutzer:Grey/SiR: Unterschied zwischen den Versionen

(Entwurf sicherer Systeme)
(Klassische Modelle)
 
(2 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 117: Zeile 117:
 
* Was ist '''ITSEC'''?
 
* Was ist '''ITSEC'''?
 
* Was sind die '''Common Criteria'''?
 
* Was sind die '''Common Criteria'''?
 +
 +
 +
  
 
== Teil D : Formale Modelle der Zugriffs- und Informationsflusskontrolle ==
 
== Teil D : Formale Modelle der Zugriffs- und Informationsflusskontrolle ==
 
=== Grundmodell der Zugriffskontrolle ===
 
=== Grundmodell der Zugriffskontrolle ===
 +
* Was ist das '''Grundmodell'''?
 +
* Was bedeutet '''default permit'''?
 +
* Was bedeutet '''default deny'''?
 +
* Was ist eine '''Zugriffsrelation'''?
 +
* Welche '''Speicherungen''' der Relationen gibt es?
 +
* Was ist die '''Bedingte Zugriffskontrolle'''?
 +
* Welche '''Gruppierungen''' gibt es bei einer großen Menge von beteiligten Elementen?
 +
* Was ist die '''Rollenbasierte Zugriffskontrolle'''?
 +
* Was ist die '''Code-basierte Zugriffskontrolle'''?
 +
 +
 +
=== Klassische Modelle===
 +
* Was ist und wie funktioniert das '''HRU Modell'''?
 +
* Was ist und wie funktioniert das '''Take-Grant-Modell'''?
 +
* Was ist die '''De-Facto-Analyse'''?
 +
* Was ist die '''De-Jure-Analyse'''?
 +
* Was ist und wie funktioniert das '''Bell-LaPadula-Modell'''?
 +
* Was ist und wie funktioniert das '''Informationsflussmodell(Denning)'''?
 +
 +
 +
=== Umsetzung der Modelle ===
 +
* Was sind '''Capabilities'''?
 +
* Was sind '''ACL'''?
 +
* Was sind und welche Arten von '''Informationsflüsse''' gibt es?

Aktuelle Version vom 5. Juli 2006, 20:28 Uhr

Fragenkatalog

Schlagwörter auf die sich die Frage im Enddefekt bezieht.


Teil A : Allgemeine Sicherheitsaspekte

Allgemeine Sicherheitsaspekte

  • Was versteht man unter dem Begriff Safety?
  • Was versteht man unter dem Begriff Security?
  • Was ist eine Schutzmaßnahme?
  • Was ist eine Sicherheitsmaßnahme?
  • Was ist ein Sicherheitsmechanismus?


Organisation, physische und rechtliche Aspekte

  • Was ist ein Sicherheitskonzept?
  • Welche Schritte geht man bei einem Sicherheitskonzept?
  • Welche Aspekte müssen bei einer Risikoanalyse beachtet werden?
  • Welche Aspekte müssen bei einer Erstellen eines Sicherheitskonzepts beachtet werden?
  • Welche Aspekte müssen bei einer Umsetzung beachtet werden?


  • Was bedeutet physische Sicherheits?
  • Welche physische Gefahren gibt es?
  • Wie kann man den physische Gefahren begegnen?


  • Was versteht man unter einer Datensicherung?
  • Warum Datensicherung?
  • Welche Arten von Sicherungsläufen gibt es?
  • Erläutern Sie alle Arten von Sicherungsläufen.
  • Welchen Sicherungslauf würde Sie in einer Firma einsetzen?


  • Welche Gesetze gibt es zum Schutz der IT?
  • Erläutern Sie kurz alle Gesetze.


Teil B : Techniken

Verschlüsselung

  • Was für Einsatzgebiete gibt es für die Verschlüsselung?
  • Welche Verschlüsselungsverfahren gibt es?
  • Wie funktioniert die monoalphabetische Substitution?
  • Wie funktioniert das Cäsar-Chiffre?
  • Wie funktioniert das polyalphabetische Verfahren?
  • Wie funktioniert das Vernam-Chiffre?
  • Wie funktioniert das Permutationsverfahren?
  • Welche Angriffsarten gibt es?
  • Welche Allgemeine Anforderungen gibt es?
  • Was ist unter Konfusion und Diffusion zu verstehen?
  • Was ist das Kerckhoffs Prinzip?
  • Welche Arten von Verschlüsselung gibt es?
  • Was ist eine symmetrische Verschlüsselung?
  • Was ist eine asymmetrische Verschlüsselung?
  • Wie funktioniert DES?
  • Wie wird DES verbessert?
  • Was ist das Electronik Codebook(ECB)?
  • Was ist das Cipher Block Chaning(CBC)?
  • Wie funktioniert AES?
  • Vorteil symmetrischer Verfahren?
  • Wie ist das Prinzip der Asymmetrischen Verschlüsselung?
  • Wie funktioniert die Schlüsselgenerierung bei RSA?


  • Welche Techniken existieren, um die Echtheit von Nachrichten zu gewährleisten?
  • Was sind Hashfunktionen?
  • Was ist die Kryptogaphische Prüfsumme?
  • Welche Anforderungen werden an Digitale Signaturen(DS) gestellt?
  • Wie funktioniert die DS mit RSA?
  • Wie kann eine DS vertraulich und unterschrieben sein?
  • Was ist die Public-Key-Infrastruktur(PKI)?


Identifikation und Authentisierung

  • Was bedeutet false positive und false negativ?
  • Welche Authentisierungsverfahren gibt es?
  • Wie funktioniert der Passwortmechanismus bei Unix?
  • Was ist eine Wörterbuch-Attacke?
  • Was sind Einmalpasswörter?
  • Was ist das Challange-Response-Verfahren?
  • Was ist das Code-Book-Verfahren?
  • Was ist eine SmartCard?


  • Wie funktioniert die Authentisierung nach Needham-Schroeder?
  • Wie funktioniert die Authentisierung mit Kerberos?


Teil C : Software Aspekte

Bedrohungen

  • Was für Bedrohungen gibt es?
  • Was ist ein Buffer Overflow?
  • Was ist ein Trojaner?
  • Was ist eine logische Bombe?
  • Was ist eine trap door?
  • Was ist ein Virus?
  • Was ist ein Wurm?


Entwurf sicherer Systeme

  • Was ist Validierung?
  • Was ist Verifikation?
  • Was für allgemeine Prinzipien nach Saltzer und Schroeder gibt es?
    • Least-Privilege
    • Fail-Safe default
    • Complete mediation
    • Economy of mechanism
    • Open design
    • Seperation of privilege
    • Least common mechanism
    • psychological acceptance
  • Was ist TCB?
  • Was ist das orange book?
  • Was ist ITSEC?
  • Was sind die Common Criteria?



Teil D : Formale Modelle der Zugriffs- und Informationsflusskontrolle

Grundmodell der Zugriffskontrolle

  • Was ist das Grundmodell?
  • Was bedeutet default permit?
  • Was bedeutet default deny?
  • Was ist eine Zugriffsrelation?
  • Welche Speicherungen der Relationen gibt es?
  • Was ist die Bedingte Zugriffskontrolle?
  • Welche Gruppierungen gibt es bei einer großen Menge von beteiligten Elementen?
  • Was ist die Rollenbasierte Zugriffskontrolle?
  • Was ist die Code-basierte Zugriffskontrolle?


Klassische Modelle

  • Was ist und wie funktioniert das HRU Modell?
  • Was ist und wie funktioniert das Take-Grant-Modell?
  • Was ist die De-Facto-Analyse?
  • Was ist die De-Jure-Analyse?
  • Was ist und wie funktioniert das Bell-LaPadula-Modell?
  • Was ist und wie funktioniert das Informationsflussmodell(Denning)?


Umsetzung der Modelle

  • Was sind Capabilities?
  • Was sind ACL?
  • Was sind und welche Arten von Informationsflüsse gibt es?