計算機行業安全術語、定義、縮略語
一、伺服器方面
伺服器server
伺服器是信息系統的主要組成部分,是信息系統中為客戶端計算機提供特定應用服務的計算機系統,由硬體系統(如處理器、存儲設備、網路連接設備等)和軟體系統(如操作系統、資料庫管理系統、應用系統等)組成。
伺服器安全性server security
伺服器所存儲、傳輸、處理的信息的保密性、完整性和可用性的表徵。
伺服器安全子系統(SSOS) security subsystem of server
伺服器中安全保護裝置的總稱,包括硬體、固件、軟體和負責執行安全策略的組合體。它建立了一個基本的伺服器安全保護環境,並提供伺服器安全要求的附加用戶服務。
安全功能策略(SFP)securityfunction policy
為實現SSOS安全要素要求的功能所採用的安全策略。
網路介面部件(NIC)networkinterface component
是伺服器的重要組成部分,是伺服器對網路提供支持的介面。
SSOS伺服器安全子系統security subsystem of server
SSF SSOS安全功能SSOSsecurity function
SFP安全功能策略security function policy
SSC SSF控制範圍SSFscope of control
SSP SSOS安全策略SSOSsecurity policy
二、網路基礎安全方面
網路安全network security
網路環境下存儲、傳輸和處理的信息的保密性、完整性和可用性的表徵。
網路安全基礎技術basis technology of network security
實現各種類型的網路系統安全需要的所有基礎性安全技術。
網路安全子系統security subsystem of network
網路中安全保護裝置的總稱,包括硬體、固件、軟體和負責執行安全策略的組合體。它建立了一個基本的網路安全保護環境,並提供安全網路所要求的附加用戶服務。
SSON安全策略SS0Nsecurity policy
對SS0N中的資源進行管理、保護和分配的一組規則。一個SSON中可以有一個或多個安全策略。
安全功能策略security function policy
為實現SSON安全要素要求的功能所採用的安全策略。
SSON安全功能SSONsecurity function
正確實施SSON安全策略的全部硬體、固件、軟體所提供的功能。每一個安全策略的實現,組成一個SSON安全功能模塊。一個SSON的所有安全功能模塊共同組成該SSON的安全功能。
SSF控制範圍SSFscope of control
SSON的操作所涉及的主體和客體的範圍。
SFP安全功能策略security function policy
SSC SSF控制範圍SSF scope of control
SSF SSON安全功能SSON security function
SSP SSON安全策略SS0N security policy
SSON網路安全子系統security subsystem of network
三、信息系統安全通用方面
信息系統安全security of infomition system
信息系統所存儲、傳輸和處理的信息的保密性、完整性和可用性的表徵。
信息系統通用安全技術common security technology of infomition system
實現各種類型的信息系統安全所普遍適用的安全技術。
信息系統安全子系統(SSOIS)securitysubsystem of infomition system
信息系統內安全保護裝置的總稱,包括硬體、固件、軟體和負責執行安全策略的組合體。它建立了一個基本的信息系統安全保護環境,並提供安全信息系統所要求的附加用戶服務。
安全功能策略(SFP)securityfunction policy
為實現SSOIS安全要素要求的功能所採用的安全策略。
安全功能security function
為實現安全要素的要求,正確實施相應安全功能策略所提供的功能。
安全保證security assurance
為確保安全要素的安全功能達到要求的安全性目標所採取的方法和措施。
SSOIS安全策略(SSP)SS0IS security policy
對SS0IS中的資源進行管理、保護和分配的一組規則。一個SSOIS中可以有一個或多個安全策略。
SSOIS安全功能(SSF)SSOIS security function
正確實施SSOIS安全策略的全部硬體、固件、軟體所提供的功能。每一個安全策略的實現,組成一個SSOIS安全功能模塊。一個SSOIS的所有安全功能模塊共同組成該SSOIS的安全功能。
SSF控制範圍(SSC)SSF scope of control
SSOIS的操作所涉及的主體和客體的範圍。
用戶標識user identification
用來標明用戶的身份,確保用戶在系統中的唯一性和可辨認性。一般以用戶名稱和用戶標識符(UID)來標明系統中的用戶。用戶名稱和用戶標識符都是公開的明碼信息。
用戶鑒別user authentication
用特定信息對用戶身份的真實性進行確認。用於鑒別的信息一般是非公開的、難以仿造的。
用戶-主體綁定user-subject binding
用一定方法將指定用戶與為其服務的主體(如進程)相關聯。
主、客體標記label of subject and object
為主、客體指定敏感標記。這些敏感標記是等級分類和非等級類別的組合,是實施強制訪問控制的依據。
安全屬性security attribute
用於實施安全策略,與主體、客體相關的信息。對於自主訪問控制,安全屬性包括確定主、客體訪問關係的相關信息;對於採用多級安全策略模型的強制訪問控制,安全屬性包括主、客體的標識信息和安全標記信息。
自主訪問控制discretionary access control
由客體的所有者主體自主地規定其所擁有客體的訪問許可權的方法。有訪問許可權的主體能按授權方式對指定客體實施訪問,並能根據授權,對訪問許可權進行轉移。
強制訪問控制mandatory access control
由系統根據主、客體所包含的敏感標記,按照確定的規則,決定主體對客體訪問許可權的方法。有訪問許可權的主體能按授權方式對指定客體實施訪問。敏感標記由系統安全員或系統自動地按照確定的規則進行設置和維護。
回退rollback
由於某種原因而撤消上一次/一系列操作,並返回到該操作以前的已知狀態的過程。
可信信道trusted channel
為了執行關鍵的安全操作,在SSF與其它可信IT產品之間建立和維護的保護通信數據免遭修改和泄漏的通信路徑。
可信路徑trusted path
為實現用戶與SSF之間的可信通信,在SSF與用戶之間建立和維護的保護通信數據免遭修改和泄漏的通信路徑。
公開用戶數據published user data
信息系統中需要向所有用戶公開的數據。該類數據需要進行完整性保護。
內部用戶數據internal user data
信息系統中具有一般使用價值或保密程度,需要進行一定保護的用戶數據。該類數據的泄漏或破壞,會帶來一定的損失。
重要用戶數據important user data
信息系統中具有重要使用價值或保密程度,需要進行重點保護的用戶數據,該類數據的泄露或破壞,會帶來較大的損失。
關鍵用戶數據key user data
信息系統中具有很高使用價值或保密程度,需要進行特別保護的用戶數據,該類數據的泄漏或破壞,會帶來重大損失。
核心用戶數據nuclear user data
信息系統中具有最高使用價值或保密程度,需要進行絕對保護的用戶數據,該類數據的泄漏或破壞,會帶來災難性損失。
容錯tolerance
通過一系列內部處理措施,將軟、硬體所出現的錯誤消除掉,確保出錯情況下SSOIS所提供的安全功能的有效性和可用性;
服務優先順序priority of service
通過對資源使用的有限控制策略,確保SSOIS中高優先順序任務的完成不受低優先順序任務的干擾和延誤,從而確保SSOIS安全功能的安全性;
資源分配resource allocation
通過對SSOIS安全功能控制範圍內資源的合理管理和調度,確保SSOIS的安全功能不因資源使用方面的原因而受到影響。
配置管理(CM)configuration management
一種建立功能要求和規範的方法。該功能要求和規範是在SSOIS的執行中實現的。
配置管理系統(CMS)configuration management system
通過提供追蹤任何變化,以及確保所有修改都已授權的方法,確保SSOIS各部分的完整性。
保護輪廓(PP)protectionprofile
詳細說明信息系統安全保護需求的文檔,即通常的安全需求,一般由用戶負責編寫。
安全目標(ST)securitytarget
闡述信息系統安全功能及信任度的文檔,即通常的安全方案,一般由開發者編寫。
SSOIS安全管理SSOISsecurity management
是指對與SSOIS安全相關方面的管理,包括對不同的管理角色和它們之間的相互作用(如能力的分離)進行規定,對分散在多個物理上分離的部件有關敏感標記的傳播、SSF數據和功能的修改等問題的處理。
安全功能數據security function data
安全子系統中各個安全功能模塊實現其安全功能所需要的數據,如主、客體的安全屬性,審計信息、鑒別信息等。
四、物理安全方面
信息系統information system
信息系統由計算機及其相關的配套部件、設備和設施構成,按照一定的應用目的和規則對信息進行採集、加工、存儲、傳輸、檢索等的人機系統。
信息系統物理安全physical security for information system
為了保證信息系統安全可靠運行,確保信息系統在對信息進行採集、處理、傳輸、存儲過程中,不致受到人為或自然因素的危害,而使信息丟失、泄露或破壞,對計算機設備、設施(包括機房建築、供電、空調等)、環境人員、系統等採取適當的安全措施。
設備物理安全facility physical security
為保證信息系統的安全可靠運行,降低或阻止人為或自然因素對硬體設備安全可靠運行帶來的安全風險,對硬體設備及部件所採取的適當安全措施。
環境物理安全environment physical security
為保證信息系統的安全可靠運行所提供的安全運行環境,使信息系統得到物理上的嚴密保護,從而降低或避免各種安全風險。
系統物理安全system physical security
為保證信息系統的安全可靠運行,降低或阻止人為或自然因素從物理層面對信息系統保密性、完整性、可用性帶來的安全威脅,從系統的角度採取的適當安全措施。
完整性Integrity
保證信息與信息系統不會被有意地或無意地更改或破壞的特性。
可用性Availability
保證信息與信息系統可被授權者所正常使用。
保密性Confidentiality
保證信息與信息系統的不可被非授權者利用。
浪涌保護器(SPD)surgeprotective devices
用於對雷電電流、操作過電壓等進行保護的器件。
電磁騷擾electromagnetic disturbance
任何可能引起裝置、設備或系統性能降低或對有生命或無生命物質產生損害作用的電磁現象。
電磁干擾electromagnetic interference
電磁騷擾引起的設備、傳輸通道或系統性能的下降。
抗擾度immunity
裝置、設備或系統面臨電磁騷擾不降低運行性能的能力。
不間斷供電系統(UPS) uninterruptible power supply
確保計算機不停止工作的供電系統。
安全隔離設備security isolation components
包括安全隔離計算機、安全隔離卡和安全隔離線路選擇器等設備。
抗擾度限值immunity limit
規定的最小抗擾度電平。
非燃材料no-burning material
材料在受燃燒或高溫作用時,不起火、不微燃、難炭化的材料
難燃材料hard-burning material
材料在受到燃燒或高溫作用時,難起火、難微燃、難炭化的材料。
標誌sign
用來表明設備或部件的生產信息。
標記marker
用來識別、區分設備、部件或人員等級的表示符號
公鑰基礎設施PKI系統安全
公開密鑰基礎設施(PKI)public keyinfrastructure (PKI)
公開密鑰基礎設施是支持公鑰管理體制的基礎設施,提供鑒別、加密、完整性和不可否認性服務。
PKI系統PKI system
PKI系統是通過頒發與管理公鑰證書的方式為終端用戶提供服務的系統,包括CA、RA、資料庫等基本邏輯部件和OCSP等可選服務部件以及所依賴的運行環境。
安全策略security policy
一系列安全規則的準確規定,包括從本標準中派生出的規則和供應商添加的規則。
分割知識split knowledge
兩個或兩個以上實體分別保存密鑰的一部分,密鑰的每個部分都不應泄露密鑰的明文有效信息,而當這些部分在加密模塊中合在一起時可以得到密鑰的全部信息,這種方法就叫分割知識。
分割知識程序split knowledge procedure
用來實現分割知識的程序。
保護輪廓protection profile
一系列滿足特定用戶需求的、為一類評估對象獨立實現的安全要求。
關鍵性擴展critical extension
證書或CRL中一定能夠被識別的擴展項,若不能識別,該證書或CRL就無法被使用。
審計蹤跡audit trail
記錄一系列審計信息和事件的日誌。
系統用戶system user
對PKI系統進行管理、操作、審計、備份、恢復的工作人員,系統用戶一般在PKI系統中被賦予了指定的角色。
終端用戶terminate user
使用PKI系統所提供服務的遠程普通用戶。
CA認證機構Certification Authority
CPS認證慣例陳述Certification Practice Statement
CRL證書撤銷列表Certificate Revocation List
OCSP在線證書狀態協議Online Certificate Status Protocol
PP保護輪廓Protection Profile
RA註冊機構Registration Authority
TOE評估對象TargetOf Evaluation
TSF TOE安全功能TOE Security Function
五、信息系統安全管理方面
完整性integrity
包括數據完整性和系統完整性。數據完整性表徵數據所具有的特性,即無論數據形式作何變化,數據的準確性和一致性均保持不變的程度;系統完整性表徵系統在防止非授權用戶修改或使用資源和防止授權用戶不正確地修改或使用資源的情況下,系統能履行其操作目的的品質。
可用性availability
表徵數據或系統根據授權實體的請求可被訪問與使用程度的安全屬性。
訪問控制access control
按確定的規則,對實體之間的訪問活動進行控制的安全機制,能防止對資源的未授權使用。
安全審計security audit
按確定規則的要求,對與安全相關的事件進行審計,以日誌方式記錄必要信息,並作出相應處理的安全機制。
鑒別信息authentication information
用以確認身份真實性的信息。
敏感性sensitivity
表徵資源價值或重要性的特性,也可能包含這一資源的脆弱性。
風險評估risk assessment
通過對信息系統的資產價值/重要性、信息系統所受到的威脅以及信息系統的脆弱性進行綜合分析,對信息系統及其處理、傳輸和存儲的信息的保密性、完整性和可用性等進行科學識別和評價,確定信息系統安全風險的過程。
安全策略security policy
主要指為信息系統安全管理制定的行動方針、路線、工作方式、指導原則或程序。
六、信息系統安全工程管理方面
安全工程security engineering
為確保信息系統的保密性、完整性、可用性等目標而進行的系統工程過程。
安全工程的生存周期security engineering lifecycle
在整個信息系統生存周期中執行的安全工程活動包括:概念形成、概念開發和定義、驗證與確認、工程實施開發與製造、生產與部署、運行與支持和終止。
安全工程指南security engineering guide
由工程組做出的有關如何選擇工程體系結構、設計與實現的指導性信息。
脆弱性vulnerability
能夠被某種威脅利用的某個或某組資產的弱點。
風險risk
某種威脅會利用一種資產或若干資產的脆弱性使這些資產損失或破壞的可能性。
需求方owner
信息系統安全工程建設的擁有者或組織者。
實施方developer
信息系統安全工程的建設與服務的提供方。
第三方third party
獨立於需求方、實施方,從事信息系統安全工程建設相關活動的中立組織或機構。
項目project
項目是各種相關實施活動和資源的總和,這些實施活動和資源用於開發或維護信息安全工程。一個項目往往有相關的資金,成本賬目和交付時間表。
過程process
把輸入轉化為輸出的一組相關活動。
過程管理process management
一系列用於預見、評價和控制過程執行的活動和體系結構。
七、信息安全風險評估方面
資產asset
對組織具有價值的信息或資源,是安全策略保護的對象。
資產價值asset value
資產的重要程度或敏感程度的表徵。資產價值是資產的屬性,也是進行資產識別的主要內容。
可用性availability
數據或資源的特性,被授權實體按要求能訪問和使用數據或資源。
業務戰略business strategy
組織為實現其發展目標而制定的一組規則或要求。
機密性confidentiality
數據所具有的特性,即表示數據所達到的未提供或未泄露給非授權的個人、過程或其他實體的程度。
信息安全風險information security risk
人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。
(信息安全)風險評估(information security)risk assessment
依據有關信息安全技術與管理標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,並結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響。
信息系統information system
由計算機及其相關的和配套的設備、設施(含網路)構成的,按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。
典型的信息系統由三部分組成:硬體系統(計算機硬體系統和網路硬體系統);系統軟體(計算機系統軟體和網路系統軟體);應用軟體(包括由其處理、存儲的信息)。
檢查評估inspection assessment
由被評估組織的上級主管機關或業務主管機關發起的,依據國家有關法規與標準,對信息系統及其管理進行的具有強制性的檢查活動。
完整性integrity
保證信息及信息系統不會被非授權更改或破壞的特性。包括數據完整性和系統完整性。
組織organization
由作用不同的個體為實施共同的業務目標而建立的結構。一個單位是一個組織,某個業務部門也可以是一個組織。
殘餘風險residual risk
採取了安全措施後,信息系統仍然可能存在的風險。
自評估self-assessment
由組織自身發起,依據國家有關法規與標準,對信息系統及其管理進行的風險評估活動。
安全事件security incident
指系統、服務或網路的一種可識別狀態的發生,它可能是對信息安全策略的違反或防護措施的失效,或未預知的不安全狀況。
安全措施security measure
保護資產、抵禦威脅、減少脆弱性、降低安全事件的影響,以及打擊信息犯罪而實施的各種實踐、規程和機制。
安全需求security requirement
為保證組織業務戰略的正常運作而在安全措施方面提出的要求。
威脅threat
可能導致對系統或組織危害的不希望事故潛在起因。
脆弱性vulnerability
可能被威脅所利用的資產或若干資產的薄弱環節。
八、信息安全事件管理方面
業務連續性規劃business continuity planning
業務連續性規劃是指這樣的一個過程,即當有任何意外或有害事件發生,且對基本業務功能和支持要素的連續性造成負面影響時,確保運行的恢復得到保障。該過程還應確保恢復工作按指定優先順序、在規定的時間期限內完成,且隨後將所有業務功能及支持要素恢復到正常狀態。這一過程的關鍵要素必須確保具有必要的計劃和設施,且經過測試,它們包含信息、業務過程、信息系統和服務、語音和數據通信、人員和物理設施等。
信息安全事態information security event
信息安全事態是指被識別的一種系統、服務或網路狀態的發生,表明一次可能的信息安全策略違規或某些防護措施失效,或者一種可能與安全相關但以前不為人知的一種情況。
信息安全事件information security incident
信息安全事件是由單個或一系列意外或有害的信息安全事態所組成的,極有可能危害業務運行和威脅信息安全。
信息安全事件響應組(ISIRT)InformationSecurity Incident Response Team
ISIRT是由組織中具備適當技能且可信的成員組成的一個小組,負責處理與信息安全事件相關的全部工作。有時,小組可能會有外部專家加入,例如來自一個公認的計算機事件響應組或計算機應急響應組(CERT)的專家。
CERT計算機應急響應組(ComputerEmergency Response Team)
ISIRT信息安全事件響應組(InformationSecurity Incident Response Team)
九、信息安全事件分類分級方面
信息系統information system
由計算機及其相關的和配套的設備、設施(含網路)構成的,按照一定的應用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。
信息安全事件information security incident
由於自然或者人為以及軟硬體本身缺陷或故障的原因,對信息系統造成危害,或對社會造成負面影響的事件。
MI:有害程序事件(MalwareIncidents)
CVI:計算機病毒事件(ComputerVirus Incidents)
WI:蠕蟲事件(WormsIncidents)
THI:特洛伊木馬事件(TrojanHorses Incidents)
BI:殭屍網路事件(BotnetsIncidents)
BAI:混合攻擊程序事件(BlendedAttacks Incidents)
WBPI:網頁內嵌惡意代碼事件(WebBrowser Plug-Ins Incidents)
NAI:網路攻擊事件(NetworkAttacks Incidents)
DOSAI:拒絕服務攻擊事件(Denialof Service Attacks Incidents)
BDAI:後門攻擊事件(BackdoorAttacks Incidents)
VAI:漏洞攻擊事件(VulnerabilityAttacks Incidents)
NSEI:網路掃描竊聽事件(NetworkScan & Eavesdropping Incidents)
PI:網路釣魚事件(PhishingIncidents)
II:干擾事件(InterferenceIncidents)
IDI:信息破壞事件(InformationDestroy Incidents)
IAI:信息篡改事件(InformationAlteration Incidents)
IMI:信息假冒事件(InformationMasquerading Incidents)
ILEI:信息泄漏事件(InformationLeakage Incidents)
III:信息竊取事件(InformationInterception Incidents)
ILOI:信息丟失事件(InformationLoss Incidents)
ICSI:信息內容安全事件(InformationContent Security Incidents)
FF:設備設施故障(FacilitiesFaults)
SHF:軟硬體自身故障(Softwareand Hardware Faults)
PSFF:外圍保障設施故障(PeripherySafeguarding Facilities Faults)
MDA:人為破壞事故(Man-madeDestroy Accidents)
DI:災害性事件(DisasterIncidents)
OI:其他事件(OtherIncidents)
十、信息系統災難恢復方面
災難備份中心backup center for disaster recovery
備用站點alternate site
用於災難發生後接替主系統進行數據處理和支持關鍵業務功能(3.6)運作的場所,可提供災難備份系統、備用的基礎設施和專業技術支持及運行維護管理能力,此場所內或周邊可提供備用的生活設施。
災難備份backup for disaster recovery
為了災難恢復(3.9)而對數據、數據處理系統、網路系統、基礎設施、專業技術支持能力和運行管理能力進行備份的過程。
災難備份系統backup systemfor disaster recovery
用於災難恢復(3.9)目的,由數據備份系統、備用數據處理系統和備用的網路系統組成的信息系統。
業務連續管理business continuity management BCM
為保護組織的利益、聲譽、品牌和價值創造活動,找出對組織有潛在影響的威脅,提供建設組織有效反應恢復能力的框架的整體管理過程。包括組織在面臨災難時對恢復或連續性的管理,以及為保證業務連續計劃或災難恢復預案的有效性的培訓、演練和檢查的全部過程。
業務影響分析business impact analysis BIA
分析業務功能及其相關信息系統資源、評估特定災難對各種業務功能的影響的過程。
關鍵業務功能critical business functions
如果中斷一定時間,將顯著影響組織運作的服務或職能。
數據備份策略data backup strategy
為了達到數據恢復和重建目標所確定的備份步驟和行為。通過確定備份時間、技術、介質和場外存放方式,以保證達到恢復時間目標(3.17)和恢復點目標(3.18)。
災難disaster
由於人為或自然的原因,造成信息系統嚴重故障或癱瘓,使信息系統支持的業務功能停頓或服務水平不可接受、達到特定的時間的突發性事件。
災難恢復disaster recovery
為了將信息系統從災難(3.8)造成的故障或癱瘓狀態恢復到可正常運行狀態、並將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態,而設計的活動和流程。
災難恢復預案disaster recovery plan
定義信息系統災難恢復過程中所需的任務、行動、數據和資源的文件。用於指導相關人員在預定的災難恢複目標內恢複信息系統支持的關鍵業務功能。
災難恢復規劃disaster recovery planning DRP
為了減少災難帶來的損失和保證信息系統所支持的關鍵業務功能(3.6)在災難發生後能及時恢復和繼續運作所做的事前計劃和安排。
災難恢復能力disaster recovery capability
在災難發生後利用災難恢復資源和災難恢復預案及時恢復和繼續運作的能力。
演練exercise
為訓練人員和提高災難恢復能力而根據災難恢復預案(3.10)進行活動的過程。包括桌面演練、模擬演練、重點演練和完整演練等。
場外存放offsite storage
將存儲介質存放到離主中心(3.14)有一定安全距離的物理地點的過程。
主中心primary center
主站點primary site
生產中心production center
主系統所在的數據中心。
主系統primary system
生產系統production system
正常情況下支持組織日常運作的信息系統。包括主數據、主數據處理系統和主網路。
區域性災難regional disaster
造成所在地區或有緊密聯繫的鄰近地區的交通、通信、能源及其它關鍵基礎設施受到嚴重破壞,或大規模人口疏散的事件。
恢復時間目標recovery time objective RTO
災難發生後,信息系統或業務功能從停頓到必須恢復的時間要求。
恢復點目標recovery point objective RPO
災難發生後,系統和數據必須恢復到的時間點要求。
十一、路由器安全技術方面
路由器router
路由器是主要的網路節點設備,工作在網路層,通過路由選擇演算法決定流經數據的存儲轉發,並具備訪問控制和安全擴展功能。
簡單網路管理協議simple network management protocol
簡單網路管理協議(SNMP)是一系列協議組和規範,提供了一種從網路上的設備中收集網路管理信息的方法,也為設備向網路管理工作站報告問題和錯誤提供了一種方法。
單播逆向路徑轉發unicast reverse path forwarding
單播逆向路徑轉發通過獲取包的源地址和入介面,以源地址為目的地址,在轉發表中查找源地址對應的介面是否與入介面匹配,如果不匹配,則認為源地址是偽裝的,丟棄該包。其功能是防止基於源地址欺騙的網路攻擊行為。
ACL Access Control List訪問控制列表
ALG Application Layer Gateway應用網關
IDS Instrusion Detection System入侵檢測系統
IPSec Internet Protocol Security Internet協議安全
MPLS Multi-Protocol Label Switching多協議標記交換
NAT/PAT Network Address Translation/ Port AddressTranslation網路地址轉換/埠地址轉換
SNMP Simple Network Management Protocol簡單網路管理協議
URPF Unicast Reverse Path Forwarding單播逆向路徑轉發
VRRP Virtual Router Redundancy Protocol虛擬路由冗餘協議
VPN Virtual Private Network虛擬專用網
十二、虹膜識別系統方面
人體生物特徵識別biometrics,biometricauthentification
以人體的某種生物特徵信息作為身份依據進行用戶識別的方法。通過測度該種人體生物特徵,為每一個人產生出可以用電子方式存儲、檢索和比對的特徵信息,並用這種特徵信息進行用戶識別。
虹膜iris
人體眼球中介於瞳孔與鞏膜之間的環狀生理組織,是人眼的可見部分。
虹膜識別iris recognition
以虹膜特徵作為識別人體身份的方法,是人體生物特徵識別方法的一種。
虹膜識別機制iris recognition mechanism
按照確定的策略和方法,實現虹膜特徵識別功能的所有軟、硬體裝置的總稱。
虹膜識別系統iris recognition system
實現虹膜識別功能的專用信息處理系統。虹膜識別系統可以是一個由軟、硬體構成的獨立系統,也可以是在信息系統已有平台上運行的嵌入式系統。
虹膜圖像採集器iris image grabber
虹膜識別系統的一個部件,用於進行虹膜圖像採集。
自包含self-contained
虹膜識別系統的一項重要的功能特性。如果一個虹膜識別系統具有虹膜圖像採集器和虹膜信息處理軟、硬體,能夠獨立實現虹膜圖像採集、虹膜圖像處理、虹膜特徵序列生成及虹膜特徵序列比對等虹膜識別系統的各項功能,則稱其為自包含式系統,或稱其具有自包含功能。
用戶user
指虹膜識別系統用以識別的對象,分為一般用戶和特權用戶。
一般用戶和特權用戶general user and special user
一般用戶和特權用戶由虹膜識別系統的管控人員根據應用需求確定。例如,當虹膜識別用於信息系統的用戶身份鑒別時,具有普通許可權的用戶可為一般用戶,具有特殊許可權的用戶(如信息系統管理員、安全員和審計員等)可為特權用戶。
用戶登記user enrollment
分析用戶虹膜圖像、提取虹膜數字特徵、產生並存貯模板特徵序列的過程。
用戶識別user recognition
分析用戶虹膜圖像、提取虹膜數字特徵、產生樣本特徵序列,並將該樣本特徵序列與已存貯的模板特徵序列進行比對,用以識別用戶身份的過程。用戶識別分為用戶辨識和用戶確認。
用戶辨識user identification
將所產生的樣本特徵序列與已存貯的指定範圍內的所有用戶的模板特徵序列進行比對(1:N比對),選出相符的用戶,以揭示用戶的實際身份。
用戶確認user validation
將所產生的樣本特徵序列與按用戶標識信息給定的已存儲的用戶的模板特徵序列進行比對(1:1比對),以確定用戶所聲稱的身份。
特徵序列characteristic sequence
由虹膜圖像數字特徵組成的數據序列。虹膜圖像數字特徵是通過對虹膜圖像進行分析提取的。特徵序列包括模板特徵序列和樣本特徵序列。
模板特徵序列template characteristic sequence
對採集到的用戶登記虹膜圖像進行分析提取所生成的特徵序列。產生模板特徵序列的目的必須是用於用戶登記。
樣本特徵序列sample characteristic sequence
對採集到的用戶虹膜圖像進行分析提取所生成的特徵序列。產生樣本特徵序列的目的必須是用於用戶識別。
虹膜識別數據iris authentication data
用於進行虹膜識別的數據,包括模板特徵序列數據和樣本特徵序列數據以及虹膜識別過程中用到的其它數據。
候選者candidate
通過用戶辨識所確定的用戶。該用戶是在已進行過用戶登記的所有用戶中選出的符合當前樣本特徵序列數據要求的用戶。
虹膜特徵序列資料庫iris characteristic sequence database
專門用於存放虹膜模板特徵序列數據的資料庫,簡稱為虹膜特徵序列資料庫。
不透明數據(opaque data)
不透明數據是虹膜特徵序列資料庫記錄的組成部分,由模板特徵序列、有效載荷和防偽數據組成。
有效載荷payload
封裝在不透明數據中的由用戶給出的數據,如:密鑰等,在用戶識別成功時可以將有效載荷釋放出來,用以對該用戶進行授權等操作。
比對次數march time
在測試過程中,同一虹膜組織的所有模板特徵序列與同一虹膜組織的所有樣本特徵序列之間的所有比對,計為一次比對。在統計比對次數時,同一虹膜組織生成的所有模板特徵序列或由其生成的所有樣本特徵序列都分別被看作是同一特徵序列。不同比對的總次數稱為總比對次數。
錯誤接受率false accept rate
在進行樣本特徵序列與模板特徵序列的比對過程中,對於本該產生拒絕結果的比對,錯誤地產生了接受結果,產生這類錯誤結果的比對次數,與總比對次數的比率的測定值。
錯誤拒絕率false reject rate
在進行樣本特徵序列與模板特徵序列的比對過程中,對於本該產生接受結果的比對,錯誤地產生了拒絕結果,產生這類錯誤結果的比對次數,與總比對次數的比率的測定值。
十三、操作系統安全方面
操作系統安全security of operating system
操作系統所存儲、傳輸和處理的信息的保密性、完整性和可用性的表徵。
操作系統安全技術security technology of operating system
實現各種類型的操作系統安全需要的所有安全技術。
操作系統安全子系統security subsystem of operating system
操作系統中安全保護裝置的總稱,包括硬體、固件、軟體和負責執行安全策略的組合體。它建立了一個基本的操作系統安全保護環境,並提供安全操作系統要求的附加用戶服務。
SSOOS安全策略SSOOSsecurity policy
對SS0OS中的資源進行管理、保護和分配的一組規則。一個SSOOS中可以有一個或多個安全策略。
安全功能策略security function policy
為實現SSOOS安全要素要求的功能所採用的安全策略。
安全要素security element
本標準中各安全保護等級的安全技術要求所包含的安全內容的組成成份。
SSOOS安全功能SSOOSsecurity function
正確實施SSOOS安全策略的全部硬體、固件、軟體所提供的功能。每一個安全策略的實現,組成一個SSOOS安全功能模塊。一個SSOOS的所有安全功能模塊共同組成該SSOOS的安全功能。
SSF控制範圍SSFscope of control
SSOOS的操作所涉及的主體和客體的範圍。
SFP安全功能策略security function policy
SSC SSF控制範圍SSF scope of control
SSF SSOOS安全功能SSOOS security functioin
SSOOS操作系統安全子系統security subsystem of operating system
SSP SSOOS安全策略SSOOS security policy
十四、資料庫管理系統安全方面
資料庫管理系統安全security of database management system
資料庫管理系統所存儲、傳輸和處理的信息的保密性、完整性和可用性的表徵。
資料庫管理系統安全技術security technology of database management system
實現各種類型的資料庫管理系統安全需要的所有安全技術。
資料庫管理系統安全子系統(SSODB)securitysubsystem of database management system
資料庫管理中安全保護裝置的總稱,包括硬體、固件、軟體和負責執行安全策略的組合體。它建立了一個基本的資料庫管理系統安全保護環境,並提供安全資料庫管理系統所要求的附加用戶服務。
SSODB安全策略(SSP)SS0DB security policy
對SS0DB中的資源進行管理、保護和分配的一組規則。一個SSODB中可以有一個或多個安全策略。
安全功能策略(SFP)securityfunction policy
為實現SSODB安全要素要求的功能所採用的安全策略。
安全要素security element
SSODB安全功能(SSF)SSODB security function
正確實施SSODB安全策略的全部硬體、固件、軟體所提供的功能。每一個安全策略的實現,組成一個SSODB安全功能模塊。一個SSODB的所有安全功能模塊共同組成該SSODB的安全功能。
SSF控制範圍(SSC)SSF scope of control
SSODB的操作所涉及的主體和客體的範圍。
數據完整性data integrity
數據完整性泛指資料庫中數據的正確性和一致性,包括實體完整性、參照完整性和用戶定義完整性。
實體完整性body integrity
關係模型中的實體完整性是指關係表中欄位級的完整性,即數據類型及取值的合理性。實體完整性規則要求,資料庫中表示的任一實體是可區分的。對於關係模型,實體完整性表現為關係的主屬性(基本鍵:主鍵/主碼)不能是空值(NULL),也不能是重複值,即基本鍵的各個分量都不能為空。
參照完整性reference integrity
關係模型中的參照完整性是指主嗎值和外碼值表間的一致性。參照完整性規則要求,在任一時刻,如果關係R1的某些屬性是關於關係R2的外鍵,則該外鍵的值必須是R2中某元組的主鍵值或為「空值」(空值意味著「不知道」的信息和「無意義」的信息)。參照完整性規則是「連接」關係運算正確執行的前提。
用戶定義完整性user defined integrity
關係模型中的用戶定義完整性是指欄位與表之間的斷言關係(即業務規則)的正確性,也就是根據業務規則(比如價格的有效範圍等)所確定的完整性約束。系統提供定義和檢查用戶定義完整性規則的機制,其目的是用統一的方式由系統處理,而不是由應用程序完成,這樣不僅可以簡化應用程序,還提高了完整性保證的可靠性。
SFP安全功能策略security function policy
SSC SSF控制範圍SSF scope of control
SSF SSODB安全功能SSODB security function
SSODB資料庫管理系統安全子系統security subsystem of database management system
SSP SSODB安全策略SSODB security policy
十五、入侵檢測系統技術方面
事件incident
信息系統中試圖改變目標狀態,並造成或可能造成損害的行為。
入侵intrusion
任何危害或可能危害資源完整性、保密性或可用性的行為。
入侵檢測intrusion detection
通過對計算機網路或計算機系統中的若干關鍵點收集信息並對其進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。
入侵檢測系統intrusion detection system
用於監測信息系統中可能存在的影響信息系統資產的行為的軟體或軟硬體組合。它通常分為主機型和網路型兩種,由控制台、探測器和/或主機代理組成。
網路型入侵檢測系統network-based intrusion detection system
以網路上的數據包作為數據源,監聽所保護網路內的所有數據包並進行分析,從而發現異常行為的入侵檢測系統。
主機型入侵檢測系統host-based intrusion detection system
以系統日誌、應用程序日誌等作為數據源,或者通過其他手段(如監督系統調用)從所在的主機收集信息進行分析,從而發現異常行為的入侵檢測系統。
探測器sensor
用於收集可能指示出入侵行為或者濫用信息系統資源的實時事件,並對收集到的信息進行初步分析的入侵檢測系統組件。
註:網路型入侵檢測系統的探測器安裝在網路的關鍵節點處,監聽流經網路的數據;主機型入侵檢測系統的探測器以主機代理的形式安裝在主機系統上,收集主機的運行狀態和主機信息。
IDS控制台IDSmanagement console
用於探測器管理、策略配置、數據管理、告警管理、事件響應、升級事件庫以及其它管理工作,並對入侵行為進行深層次分析的入侵檢測系統組件。一個控制台可以管理多個探測器。
用戶user
是使用入侵檢測系統的授權管理員、審計員的統稱。
攻擊特徵attack signature
入侵檢測系統預先定義好的能夠發現一次攻擊正在發生的特定信息。
告警alert
當攻擊或入侵發生時,入侵檢測系統向授權管理員發出的緊急通知。
響應response
當攻擊或入侵發生時,針對信息系統及存儲的數據採取的保護並恢復正常運行環境的行為。
誤報false positives
入侵檢測系統在未發生攻擊時告警,或者發出錯誤的告警信息。
漏報false negative
當攻擊發生時入侵檢測系統未告警。
強力攻擊brute force
是一種利用合法字元的各種組合序列,通過應用程序反覆嘗試各種可能的組合來試圖破解加密信息(如密碼、密鑰)的方法。強力攻擊通過窮舉法而非智能策略來達到目的,是一種有效而耗時的攻擊手法。
ARP地址解析協議Address Resolution Protocol
DNS域名系統DomainName System
FTP文件傳輸協議FileTransfer Protocol
HTML超文本標記語言Hypertext Markup Language
HTTP超文本傳送協議Hypertext Transfer Protocol
ICMP網際控制報文協議Internet Control Message Protocol
IDS入侵檢測系統Intrusion Detection System
IMAP網際網路消息訪問協議Internet Message Access Protocal
IP網際協議InternetProtocol
NFS網路文件系統Network File System
NNTP網路新聞傳送協議Network News Transfer Protocol
POP郵局協議PostOffice Protocol
RIP路由選擇信息協議Routing Information Protocol
RPC遠程過程調用RemoteProcedure Call
SMTP簡單郵件傳送協議Simple Mail Transfer Protocol
SNMP簡單網路管理協議Simple Network Management Protocol
TCP傳輸控制協議Transport Control Protocol
TELNET遠程登陸Telnet
TFTP普通文件傳送協議Trivial File Transfer Protocol
UDP用戶數據報協議UserDatagram Protocols
十六、網路脆弱性掃描方面
掃描scan
使用脆弱性掃描產品進行探測,找到網路中的主機系統存在的安全隱患的過程。
威脅threat
可能對網路系統和設備或網路所有者造成損害的事故的潛在原因。
脆弱性vulnerability
網路系統和設備中能被利用並造成危害的弱點。
宿主機local host
運行網路脆弱性掃描產品的計算機。
目標主機target host
網路脆弱性掃描產品對其進行風險分析的計算機。
網路脆弱性掃描network vulnerability scan
通過網路遠程檢測目標網路系統安全隱患的探測過程,它對網路系統和設備進行安全脆弱性檢測和分析,從而發現可能被入侵者利用的漏洞,並採取一定的防範和補救措施。
網路脆弱性掃描產品network vulnerability scanner
能夠完成網路脆弱性掃描功能的產品。
誤報false positives
報告了不存在的脆弱性。
漏報false negatives
沒有報告出實際存在的脆弱性。
旗標banner
由應用程序發送的一段訊息,通常包括歡迎語、應用程序名稱和版本等信息。
CGI公共網關介面CommonGateway Interface
CVE通用脆弱性知識庫Common Vulnerabilities and Exposures
DNS域名系統DomainName System
DOS拒絕服務DenialOf Service
FTP文件傳輸協議FileTransfer Protocol
IDS入侵檢測系統Intrusion Detection System
IP網際協議InternetProtocol
NETBIOS網路基本輸入輸出系統NETwork Basic Input Output System
NFS網路文件系統Network File System
POP郵局協議PostOffice Protocol
RPC遠程過程調用RemoteProcedure Call
SMB伺服器消息塊協議Server Message Block Protocol
SNMP簡單網路管理協議Simple Network Management Protocol
TCP傳輸控制協議Transport Control Protocol
UDP用戶數據報協議UserDatagram Protocol
十七、網路和終端設備隔離方面
物理斷開physical disconnection
指處於不同安全域的網路之間不能以直接或間接的方式相連接。在一個物理網路環境中,實施不同安全域的網路物理斷開,在技術上應確保信息在物理傳導、物理存儲上的斷開。
協議轉換protocol conversion
在隔離部件中,協議轉換的定義是協議的剝離和重建。在所屬某一安全域的隔離部件一端,把基於網路的公共協議中的應用數據剝離出來,封裝為系統專用協議傳遞至所屬其他安全域的隔離部件另一端,再將專用協議剝離,並封裝成需要的格式。
協議隔離protocol separation
指處於不同安全域的網路在物理上是有連線的,通過協議轉換的手段保證受保護信息在邏輯上是隔離的,只有被系統要求傳輸的、內容受限的信息可以通過。
信息擺渡information ferry
信息交換的一種方式,物理傳輸信道只在傳輸進行時存在。信息傳輸時,信息先由信息源所在安全域一端傳輸至中間緩存區域,同時物理斷開中間緩存區域與信息目的所在安全域的連接;隨後接通中間緩存區域與信息目的所在安全域的傳輸信道,將信息傳輸至信息目的所在安全域,同時在信道上物理斷開信息源所在安全域與中間緩存區域的連接。在任一時刻,中間緩存區域只與一端安全域相連。
物理斷開隔離部件physical disconnection separation components
在端上實現信息物理斷開的信息安全部件,如物理隔離卡。
單向隔離部件unilateral separation components
在端上依靠由硬體訪問控制信息交換分區實現信息在不同的安全域信息單向流動的信息安全部件。
協議隔離部件protocol separation components
位於兩個不同安全域之間,實現協議隔離的信息安全部件。其信息流一般是專用應用數據。
網閘gap
該信息安全部件位於兩個不同安全域之間,通過協議轉換的手段,以信息擺渡的方式實現數據交換,且只有被系統明確要求傳輸的信息可以通過。其信息流一般是通用應用服務。
十八、防火牆技術要求方面
防火牆firewall
一個或一組在不同安全策略的網路或安全域之間實施訪問控制的系統。
內部網路internal network
通過防火牆隔離的可信任區域或保護區域,通常是指單位內部的區域網。
外部網路external network
通過防火牆隔離的不可信任區域或非保護區域。
非軍事區Demilitarized Zone
一個網路對外提供網路服務的部分,受防火牆保護,通過防火牆與內部網路和外部網路隔離,執行與內部網路不同的安全策略,也有的稱為安全服務網路(Secure Service Network)。
安全策略security policy
有關管理、保護和發布敏感信息的法律、規定和實施細則。
授權管理員authorized administrator
具有防火牆管理許可權的用戶,負責對防火牆的系統配置、安全策略、審計日誌等進行管理。
可信主機trusted host
賦予許可權能夠管理防火牆的主機。
主機host
一台與防火牆相互作用的機器,它在防火牆安全策略的控制下進行通信。
用戶user
一個在防火牆安全策略的控制下,通過防火牆訪問防火牆的某一個區域的人,此人不具有能影響防火牆安全策略執行的許可權。
吞吐量throughput
防火牆在不丟包情況下轉發數據的能力,一般以所能達到線速的百分比(或稱通過速率)來表示。
延遲delay
數據幀的最後一個位的末尾到達防火牆內部網路輸入埠至數據幀的第一個位的首部到達防火牆外部網路輸出埠之間的時間間隔。
最大並發連接數maximum concurrent TCP connection capacity
防火牆所能保持的最大TCP並發連接數量。
最大連接速率maximum TCP connection establishment rate
防火牆在單位時間內所能建立的最大TCP連接數,一般是每秒的連接數。
DMZ非軍事區Demilitarized Zone
DNAT目的網路地址轉換Destination NAT
DNS域名系統DomainName System
FTP文件傳輸協議FileTransfer Protocol
HTTP超文本傳輸協議Hypertext Transfer Protocol
ICMP網間控制報文協議Internet Control Messages Protocol
IDS入侵檢測系統Intrusion Detection System
IP網際協議InternetProtocol
NAT網路地址轉換Network Address Translation
POP3郵局協議3 PostOffice Protocol 3
PBR策略路由Policy-based Routing
SMTP簡單郵件傳送協議Simple Mail Transfer Protocol
SNAT源網路地址轉換Source IP NAT
SSN安全服務網路SecureService Network
STP生成樹協議Spanning Tree Protocol
TCP傳輸控制協議Transport Control Protocol
UDP用戶數據報協議UserDatagram Protocol
URL統一資源定位器Uniform Resource Locator
USB通用串列匯流排Universal Serial Bus
VLAN虛擬區域網VirtualLocal Area Network
VPN虛擬專用網VirtualPrivate Network
VRRP虛擬路由器冗餘協議Virtual Router Redundancy Protocol
十九、信息安全框架方面
安全信息系統security information system
採用具有相應安全強度/等級的信息安全產品、信息安全技術和管理措施,以系統化方法
設計和實現的,按照信息系統安全等級保護的要求具有一級/二級/三級/四級/五級安全性的信息系統。
信息安全系統information security system
信息系統安全子系統的簡稱。一個信息系統的安全子系統是指由該信息系統中所有安全裝
置組成的系統。在GB17859-1999中,將系統內保護裝置的總體稱為TCB(可信計算基)。這裡用信息安全系統的稱謂是為了強調對信息系統的安全應以系統化的方法進行設計。
信息安全產品information security production
具有確定安全強度/等級,用於構建安全信息系統的信息產品。信息安全產品分為信息技
術安全產品和信息安全專用產品。信息技術安全產品是對信息技術產品附加相應的安全技術和機制組成的產品(如安全路由器);信息安全專用產品是專門為增強信息系統的安全性而開發的信息安全產品(如防火牆)。
局域計算環境local computing environment
由一個或多個計算機系統(主機/伺服器)組成的,以對信息系統中的數據信息進行存儲、
處理為主要目的、有明確邊界的計算環境。一個局域計算環境可以由一個計算機系統組成,也可以由多個計算機系統經區域網連接組成。
安全局域計算環境security local computing environment
具有確定安全保護等級的局域計算環境。
局域計算環境邊界local computing environment boundaries
局域計算環境與外部交換信息的所有界面的總稱。
用戶環境(獨立用戶/用戶群)userenvironment(independent user/group user)
由一個或多個終端計算機組成的,以提供用戶使用信息系統中的數據信息為主要目的環境,
也稱獨立用戶/用戶群。
安全用戶環境security user environment
具有確定安全保護等級的用戶環境。
網路系統networks system
連接局域計算環境與局域計算環境及局域計算環境與用戶環境的網路設備、設施所組成的
系統。
安全網路系統security networks system
具有確定安全保護等級的網路系統。
安全域security area
信息系統中執行相同安全策略的區域。在實施等級保護的信息系統中,安全域可以是具有
相同安全等級的信息系統或子系統。
密碼基礎設施cryptograph infrastructures
為信息系統中的各種密碼機制提供支持的設施。密碼基礎設施所提供的密碼支持主要包括
數據的加/解密、完整性檢驗、身份鑒別、數字簽名/驗證、抗抵賴等。
十九、應用軟體系統安全方面
應用軟體系統application software system
信息系統的重要組成部分,是指信息系統中對特定業務進行處理的軟體系統。
應用軟體系統安全技術application software system security technology
為確保應用軟體系統達到確定的安全性目標所採取的安全技術措施。
應用軟體系統安全子系統(SSOASS)securitysubsystem of application software system
應用軟體系統中安全保護裝置的總稱。它建立了應用軟體系統的一個基本安全保護環境,並提供安全應用軟體系統要求的附加用戶服務。按照GB 17859-1999對可信計算基(TCB)的定義,SSOASS屬於應用軟體系統的TCB。其中所需要的硬體和固件支持由低層的安全機制提供。
SSOASS安全策略(SSP)SSOASS security policy
對SSOASS中的資源進行管理、保護和分配的規則。一個SSOASS中可以有一種或多種安全策略。
安全功能策略(SFP)securityfunction policy
為實現SSOASS安全要素的功能所採用的安全策略。
SSOASS安全功能(SSF)SSOASS security function
正確實施SSOASS安全策略的全部硬體、固件、軟體所提供的功能。每一種安全策略的實現,體現在SSOASS的某一個安全功能模塊之中。一個SSOASS的所有安全功能模塊共同組成該SSOASS的安全功能。
SSF控制範圍(SSC)SSF scope of control
SSOASS的操作所涉及的主體和客體的範圍。
用戶公開數據user published data
在應用軟體系統中向所有用戶公開的數據,該類數據的安全性受到破壞,將會對對公民、法人和其他組織的權益有一定影響,但不會危害國家安全、社會秩序、經濟建設和公共利益。
用戶一般數據user general data
在應用軟體系統中具有一般使用價值和保密程度,需要進行一定保護的單位內部的一般數據。該類數據的安全性受到破壞,將會對國家安全、社會秩序、經濟建設和公共利益造成一定的損害。
用戶重要數據user important data
在應用軟體系統中具有重要使用價值或保密程度,需要進行重點保護的單位的重要數據。該類數據的的安全性受到破壞,將會對國家安全、社會秩序、經濟建設和公共利益造成較大損害。
用戶關鍵數據user chief data
在應用軟體系統中具有很高使用價值或保密程度,需要進行特別保護的單位的關鍵數據。該類數據的的安全性受到破壞,將會對國家安全、社會秩序、經濟建設和公共利益造成嚴重損害。
用戶核心數據user kernel data
在應用軟體系統中具有最高使用價值或保密程度,需要進行絕對保護的單位的核心數據。該類數據的的安全性受到破壞,將會對國家安全、社會秩序、經濟建設和公共利益造成特別嚴重損害。
SSOASS應用軟體系統安全子系統security subsystem of application software system
SSP SSOASS安全策略SSOASS security policy
SFP安全功能策略security function policy
SSF SSOASS安全功能SSOASS security function
SSC SSF控制範圍SSF scope of control
二十、工控安全方面
工業控制系統industrial control system
對工業生產過程安全、信息安全和可靠運行產生作用和影響的人員、硬體和軟體的集合。
註:系統包括,但不限於:
1)工業控制系統包括集散式控制系統(DCS)、可編程邏輯控制器(PLC)、智能電子設備(IED)、監視控
制與數據採集(SCADA)系統,運動控制(MC)系統、網路電子感測和控制,監視和診斷系統[在本標準中,
不論物理上是分開的還是集成的,過程式控制制系統(PCS)包括基本過程式控制制系統和安全儀錶系統(SIS)];
2)相關的信息系統,例如先進控制或多變數控制、在線優化器、專用設備監視器、圖形界面、過程歷史記錄、
製造執行系統(MES);
3)相關的部門、人員、網路或機器介面,為連續的、批處理、離散的和其他過程提供控制、安全和製造操作
功能。
區域area
站點內劃分的物理的、地理的或邏輯的資源分組。
安全域security zone
具有相同安全要求的邏輯資產或物理資產的集合。
邊界boundary
軟體、硬體或者其他物理屏障,限制進入系統或者部分系統。
控制中心control center
資產集合的運行中心。
控制網路control network
用於連接控制物理過程設備的實時網路。
現場匯流排fieldbus
將安裝在工業過程現場的智能自動化儀錶和裝置與設置在控制室內的儀錶和控制設備連接起來的一種數字化、串列、雙向、多站的通信網路技術。
移動代碼mobile code
通過網路或者可移動媒介與可能是非可信的系統之間傳遞的程序,被不經顯式安裝在本地系統,會被自動執行或被接收者執行。
會話session
在兩個或者多個通信設備之間的半永久性、狀態性或者互動式的信息交換。
會話ID session ID
用於表明特定會話入口的標識符。
ICS:工業控制系統(Industrial Control System)
DCS:集散控制系統(Distributed Control System)
DMZ:隔離區(Demilitarized Zone)
HMI:人機界面(Human Machine Interafce)
PLC:可編程邏輯控制器(Programmable Logic Controller)
SCADA:數據採集與監視控制系統(Supervisory Control And Data Acquisition Systems)
RTU:遠程終端單元(Remote Terminal Unit)
VPN:虛擬專用網(Virtual Private Network)
MES:製造執行系統(Manufactoring Execution System)
ERP:企業資源計劃(Enterprise Resource Planning)
二十二、移動安全方面
移動終端mobile device
在移動業務中使用的終端設備,包括智能手機、平板電腦、個人電腦等通用終端和專用終端設備。
無線接入設備wireless access device
採用無線通信技術將移動終端接入有線網路的通信設備。
無線接入網關wireless access gateway
部署在無線網路與有線網路之間,對有線網路進行安全防護的設備。
移動應用軟體mobile application
針對移動移動終端開發的應用軟體,包括移動終端預置的應用軟體,和互聯網信息服務提供者提供的可以通過網站、應用商店等移動應用分發平台下載、安裝和升級的第三方應用軟體。
移動終端管理系統mobile device management system
用於進行移動終端設備管理、應用管理和內容管理的專用軟體,包括客戶端軟體和服務端軟體。
WEP有線等效加密(WiredEquivalent Privacy)
MDMS移動終端管理系統(MobileDevice Management System)
DoS拒絕服務(Denial of Service)
SSID服務集標識(ServiceSet Identifier)
WPS WiFi保護設置(Wi-Fi Protected Setup)
AP無線訪問接入點(WirelessAccess Point)
WiFi無線保真(WirelessFidelity)
二十二、物聯網安全方面
物聯網internet of things(IOT)
物聯網是將感知節點設備(含RFID)通過互聯網等網路連接起來構成的一個應用系統,它融合信息系統和物理世界實體,是虛擬世界與現實世界的結合。
網關節點設備The sensor layer gateway
網關節點設備是一種以將感知節點設備所採集的數據傳輸到數據處理中心的關鍵出口,是連接傳統信息網路(有線網、移動網等)和感測網的橋樑,其安全設置也區分對感知層的安全設置和對網路傳輸層的安全設置。簡單的感知層網關只是對感知數據的轉發(因電力充足),而智能的感知層網關可以包括對數據進行適當處理、數據融合等業務。
感知節點設備sensor node
也叫感知終端設備(end sensor)、終端感知節點設備(endsensor node),是物聯網系統的最終端設備或器件,能夠通過有線、無線方式發起或終結通信,採集物理信息和/或接受控制的實體設備。
數據新鮮性data freshness
數據新鮮性是防止已經成功接收的歷史數據再次被接收處理(通過歷史數據列表比對),或超出數據接收時間(時間戳過期)的數據被接收,或超出合法性範圍(如計數器無效)的數據被接收。不滿足新鮮性的數據一般不予處理,其目的是用於防止數據重放攻擊。
二十四、雲計算安全方面
雲計算cloud computing
通過網路訪問可擴展的,靈活的物理或虛擬共享資源池,並可按需自助獲取和管理資源的模式。
雲計算基礎設施cloud computing infrastructure
由硬體資源和資源抽象控制組件構成的支撐雲計算的基礎設施。
注1:硬體資源包括所有的物理計算資源。包括伺服器(CPU,內存等)、存儲組件(硬碟等)、網路組件(路由器、防火牆、交換機、網路連接和介面等)幾其他物理計算基礎元素。資源抽象控制組件對物理計算資源進行軟體抽象。雲服務方通過這些組件提供和管理對物理計算資源的訪問。
雲計算平台cloud computing platform
雲服務方提供的雲計算基礎設施及其上的服務軟體的集合。
雲計算環境cloud computing environment
雲服務方提供的雲計算平台,及雲租戶在平台之上部署的軟體及相關組件的集合。
雲服務方cloud service provider
雲計算服務的供應方。
注1:雲服務方管理、運營、支撐雲計算的基礎設施和軟體,通過網路交付雲計算的資源。包括公有雲服務提供者和私有雲服務提供者。
雲租戶cloud tenant
租用或使用雲計算資源的客戶,包括計費的和不計費的雲服務的機構和個人。
虛擬機監視器hypervisor
一種運行在基礎物理伺服器和操作系統之間的中間軟體層,可允許多個操作系統和應用共享硬體。
宿主機host machine
運行虛擬機監視器的物理伺服器。
網路策略控制器network policy controller
在網路中,把網路配置信息轉化為網路設備上的轉發規則集,並對這些轉發規則集進行管理的核心控制系統。
TAG:易道信安 |