七、CISSP 认证考试指南（AIO）第 7 版术语表

9.1 A

9.1.1 access 访问

主体查看、更改客体或与客体通信的能力。访问支持信息在主体和客体之间的流动。

9.1.2 access control 访问控制

限制只有被授权主体才能访问资源的机制、控制和方法。

9.1.3 access control list (AGL) 访问控制列表，ACL

被授权访问特定客体的主体列表。通常，通过 ACL 可以读、写、执行、添加、更改、删除和创建访问的类型。

9.1.4 access control mechanism 访问控制机制

管理、物理或技术性控制，用于检测和阻止对资源或环境的未授权访问。

9.1.5 accountability 可问责性

一种安全原则，表明个体必须可标识，并且必须对自己的行动负责。

9.1.6 accredited 认可

具有公认的正式授权和许可的计算机系统或网络，能在特定操作环境中处理敏感数据。这样的计算机系统或网络必须具有技术人员对系统硬件、软件、配置和控制的安全评估。

9.1.7 add-on security 追加安全性

为系统加装硬件或软件的安全保护机制，从而提高系统的保护级别。

9.1.8 administrative controls 行政管理性控制

属于管理职责的安全机制，这种机制被视为“软“控制。行政管理性控制包括：策略、

标准、措施和指导原则的开发和发布；人员的筛查；安全意识培训；对系统活动的监控；以及变更控制措施。

9.1.9 aggregation 聚合

组合来自较低分类级别的单独源的信息的动作，这个动作导致创建较高分类级别的信息， 但主体对这些信息不具有必要的访问权限。

9.1.10 AIC triad AIC 三元组

3 个安全原则：可用性、完整性与机密性。

9.1.11 annualized loss expectancy (ALE) 年度损失预期，ALE

某种风险在一个年度中预计可能造成的损失成本。单一损失预期(SLE) x 年发生比率(ARO)
= ALE。

9.1.12 antimalware 反恶意软件

主要功能包括识别和减少恶意软件；也称为防病毒软件，虽然此术语可能只特定于一种类型的恶意软件。

9.1.13 annualized rate of occurrence (ARO) 年发生比率，ARO

这个值表示一年时间内发生特定威胁的预计可能性。

9.1.14 assurance 保证

这个置信度反映了特定安全控制提供的保护级别及其实施安全策略的程度。

9.1.15 attack 攻击

避开系统中的安全控制以达到使用或危害系统目的所进行的尝试。攻击往往通过利用当前的脆弱性而实现。

9.1.16 audit trail 审计跟踪

一组按时间顺序排列的日志和记录，用于提供与系统性能或系统中所发生活动相关的证据。这些日志和记录能用于尝试重新构建过去的事件，跟踪发生的活动，并可能检测和标识

入侵者。

9.1.17 authenticate 身份验证

对请求使用系统和／或访问网络资源的主体的身份进行验证。使主体访问客体的步骤应当是：身份标识、身份验证和授权。

9.1.18 authorization 授权

在主体通过有效的身份标识和身份验证之后准许其对客体的访问。

9.1.19 availability 可用性

个体及时获得数据和资源的可靠性与可访问性。

9.2 B

9.2.1 back door 后门

未公开的获得计算机系统访问权限的方式。系统受到危害后，攻击者可能载入侦听某个端口（后门）的程序，从而能随时进入系统。后门也称为陷门(trapdoor)。

9.2.2 back up 备份

将数据复制和移动至某个介质，从而在原始数据出现讹误或被破坏时可以还原数据。完整备份将系统中的所有数据都复制至备份介质。增量备份只复制上一次备份操作以来更改的文件。差异备
份则备份最近一次完整备份操作以来发生变化的所有文件。

9.2.3 baseline 基准

支持和实施任何安全策略都必须达到的最小安全级别。

9.2.4 Bell-LaPadula model Bell-LaPadula 模型

该模型使用一种形式化状态转移模型，这种模型描述了其访问控制以及应当如何执行上述访问控制。当系统必须从某个状态转移至另一个状态时，系统的安全性绝不应该降低或受到危害。请参阅“multilevel security(多级安全性）“、＂simple security property(简单安全属性）”和“star property(＊属性）“。

9.2.5 Biba model Biba 模型

计算机安全策略的一种形式化状态转移系统，这种模型描述了一组设计用于确保数据完整性的访问控制规则。

9.2.6 biometrics 生物测定学

在计算机安全性内部使用时，生物测定学用于通过指纹、手型或虹膜样本之类的生理特征来标识个体的身份。

9.2.7 blacklist 黑名单

一组已知的不好的资源，如 IP 地址、域名或应用程序。

9.2.8 browsing 浏览

通过查看存储介质以寻找特定信息，而不必知道信息所采用的格式。在浏览攻击中，攻击者会查看计算机系统，从而发现感兴趣的数据或特定信息。

9.2.9 brute-force attack 蛮力攻击

通过不断尝试不同输入来实现预定目标的一种攻击方式，这种攻击能够用于获取未授权访问的凭证。

9.2.10 business impact analysis (BIA) 业务影响分析(BIA)

被认为是一种功能性分析，团队收集数据，记录业务功能，划分业务功能层次，并制定一个分类方案来表示每项功能的重要级别。

9.3 C

9.3.1 callback 回调

这个过程用于标识能够远程访问特定环境的系统。在一个回调中，主系统首先断开与调用者的连接，然后拨打远程终端的授权电话号码，从而重新建立连接。该术语与 dialback（回拨）同义。

9.3.2 capability 功能

功能概括了一个主体能访同的客体以及该主体在不同客体上能执行的操作。功能表明特定主体的访问权限；很多时候，功能采用［票证的形式。

9.3.3 capability maturity model integration (CMMI) 能力成熟度模型集成(CMMI)
一个捕捉组织成熟度并促进持续改进的过程模型。

9.3.4 certification 认证

针对安全组件及其用于鉴定的规范所进行的技术评估。认证过程可以使用安保评估、风险分析、验证、测试和审计技术，以便评定具体系统在特定环境内处理指定级别信息的适合程度。认证是对安全组件或系统的测试，鉴定是根据安全组件或系统管理给出的许可。

9.3.5 challenge/response method 挑战响应方法

这种方法通过向主体发送不可预测的或随机的值来验证主体的身份。如果主体随后响应期望值，那么主体通过了身份验证。

9.3.6 ciphertext 密文

已被加密并在转换为明文前不可读的数据。

9.3.7 Clark-Wilson model Clark-Wilson 模型

针对 3 个完整性目标的一种完整性模型。这 3 个完整性目标是：防止未授权用户进行更改；防止授权用户进行不适当的更改；维护审计过程中内部和外部的一致性。

9.3.8 classification 分类

根据已建立的一系列准则将客体系统化排列分组或分类。数据和资源在创建、修改、增强、存储或发送时都会被指派敏感级别。分类级别随后将确定需要控制和保护资源的范围， 并根据信息资产表明其价值。

9.3.9 cleartext 明文

在数据通信中，明文是一种消息或数据形式，传送或存储都不采用密码保护。

9.3.10 cloud computing 云计算

使用共享的远程计算设备来提高效率、性能、可靠性、可扩展性和安全性。

9.3.11 collusion 共谋

两人或多人共同进行欺诈活动。某些破坏或欺诈类型需要多人参与才能发生；这将显著减少破坏和欺诈发生的可能性。

9.3.12 communications security 通信安全

信息传送（特别是通过电信机制传送）时为了保护信息而进行的适当控制。

9.3.13 compartment 分隔

除为正常访问机密、秘密或绝密信息提供的控制外，还具有“知其所需“访问控制的信息类别。分隔与安全标签中的分类相似。主体具有适当分类，这并不意味着他需要某个资源。安全标签中的分隔或分类强化了“知其所需"。

9.3.14 compensating controls 补偿性控制

这种控制采用了设计目的为降低风险的可选措施。补偿性控制用于“抵消“内部控制缺陷的影响。

9.3.15 compromise 泄密

对系统或组织机构安全策略的违背，从而导致敏感信息未授权泄露或更改的发生。

9.3.16 computer fraud 计算机欺诈

与计算机相关联的犯罪，涉及对数据的蓄意虚报、更改或泄露，从而危害系统或得到有价值的数据。

9.3.17 confidentiality 机密性

确保信息不泄露给未授权主体而运用的安全原则。

9.3.18 configuration management 配詈管理

针对系统整个生命期内硬件、软件、固件、支持文档以及涧试结果的所有变化所进行的标识、控制、核算和记录。

9.3.19 confinement 限制

作为控制信息，能阻让敏感数据以未授权方式从某个程序泄矗至另一个程序、主体或客体。

9.3.20 contingency plan 意外事故计划

在潜在的紧急事件发生乙前实施的一种计划，其任务是处理将来可能发生的紧急事件。这种计划涉及培训人员、执行备份、准备关键设施以及出现紧急事件或灭难的恢复，从而能够继续业务操作。

9.3.21 control zone 控制区域

设施内用于保护敏感处理设备的空间。实施的控制能保护设备免受物理或技术性的未授权进入或危害。控制区域也可用丁防止电波将敏感妏据运送至区域以外。

9.3.22 copyright 版权

保护思想表达的合法权利。

9.3.23 cost/benefit analysis 成本/收益分析

确保防护措施门成本不超其收益而执行的评估。花费比资产价值更高的成本没有任何商业意义。所有可能的防护措施都必须进行评估，从而保证做出最安全有效和最划算的选择。

9.3.24 countermeasure 对策

为防止攻击者利用脆弱性而实施的控制、方法、技术或措施。实施对策是为了缓解风险。对策也称为“防护措施”或“控制”。

9.3.25 covert channel 隐蔽通道

支持以个违反系统安全策略的方式传输信息的追信路径。

9.3.26 covert storage channel 存储隐蔽通道

这种隐蔽通道包含通过一个进程写入存储位置以及通过另一个进程直接或间接读取该存储位置。存储隐蔽通道通常涉及位于不同安全级别的两个主体共享的某种资源（如磁盘上的扇区）。

9.3.27 covert timing channel 计时隐蔽通道

在这种隐蔽通道中，一个进程调整其系统资源（例如 CPU 周期），另一个进程则通过某种通信类型进行解释。

9.3.28 cryptanalysis 密码分析

破解密码系统与加密、解密过程所使用算法的实际工作。

9.3.29 cryptography 密码术

采用数据的存储和传输只对预期方有效的形式来密写数据的学科。

9.3.30 cryptology 密码学

对密码术与密码分析学的研究。

9.3.31 cryptosystem 密码系统

密码学的硬件或软件实现。

9.4 D

9.4.1 data at rest 静态数据

驻留在诸如硬盘驱动器、固态驱动器或 DVD 的外部或辅助存储设备中的数据。

9.4.2 data classification 数据分类

指示每种信息都需要的可用性、完整性和机密性级别的数据分配。

9.4.3 data custodian 数据保管员

负责维持和保护数据的人员。这个角色通常由 IT 部门人员（往往是网络管理员）担任。数据保管员的任务包括：定期执行数据备份操作，实现安全机制，定期验证数据的完整性， 从备份介质还原数据，以及满足公司安全策略、标准和指导原则指定的关于信息安全和数据保护的需求。

9.4.4 Data Encryption Standard (DES) 数据加密标准，DES

美国政府采用对称密钥加密算法作为保护敏感但非机密信息的联邦标准，后来被高级加密标准(Advanced Encryption Standard, AES)所代替。

9.4.5 data in transit (or data in motion) 传输中的数据（运动中的数据）
通过诸如互联网这样的数据网络在计算节点之间移动的数据。

9.4.6 data in use 使用中的数据

临时驻留在卞存储设备中数据，主存储设备的例子有 CPU 常用到的寄存器、cache 或
RAM。

9.4.7 data leak prevention (DLP) 数据泄露防护(DLP)

组织为防止未经授权的外部各方访问敏感数据而采取的各种行动。

9.4.8 data mining 数据挖掘

是对数据仓库中的数据进行进一步分析以得到更有用信息的过程。

9.4.9 data remanence 数据残留

去除用于清除数据的外加磁力之后剩余的磁通密度的度量。

9.4.10 data warehousing 数据仓库

为了更广泛的信息检索和数据分析，将多个数据库或数据屈组合成一个大的数据库的过程。

9.4.11 database shadowing 数据库镜像

在数据库中使用的一种镜像技术。使用这种技术时，为了实现冗余性，信息至少写入两块硬盘。

9.4.12 declassification 降低机密等级

去除或降低机密信息安全级别的管理决策或措施。

9.4.13 dedicated security mode 专用安全模式

在这种模式中，如果所有用户都具有访问许可或授权，并且了解相关信息的需求，那么系统就能操作其内部处理的所有数据。所有用户可正式切间系统中的所有信息，并签署协议， 同意不泄露相关信息。

9.4.14 degauss 消磁

对磁性介质进行去磁的处理，从而使介质上留下非常低的枷感应。消磁用于从介质十有效地删除数据。

9.4.15 Delphi technique Delphi 技术

一种集体决策方法，从而确保小组的每个成员都针对公司风险进行诚实和匿名的反馈。

9.4.16 denial of service (DoS) 拒绝服务攻击，DoS

阻止系统或系统资源无法按照预期目的运行的任何动作或系列动作。

9.4.17 DevOps DevOps

是一种是将开发人员、运营人员、质量保证(QA)人员组成同一软件开发项目团队的实践， 这将统一激励机制，使得软件产品发布更加频繁、高效和可靠。

9.4.18 dial-up 拨号

计算机终端能凭借拨号服务使用电话线，往往通过调制解调器来启动和继续与另一个计算机系统的通信。

9.4.19 dictionary attack 字典攻击

在这种攻击形式中，攻击者使用一组庞大的可能组合来猜想秘密（通常指口令）。

9.4.20 digital signature 数字签名

能对发起者进行身份验证的、基于密码术方法的电子签名，计算时使用一系列规则和一组参数，从而能够验证签名者的身份和数据的完整性。

9.4.21 disaster recovery plan 灾难恢复计划

为帮助公司从灾难中恢复过来而开发的一种计划。在组织机构的计算机处理能力、资源以及物理设施遭受损时，灾难恢复计划为响应紧急事件、扩展备份操作和灾难后恢复提供了具体措施。

9.4.22 discretionary access control (DAC) 自主访问控制

这种访问控制模型和策略基于主体身份和主体所属分组来约束对客体的访问。数据所有者可能允许或拒绝其他人对资源的访问。

9.4.23 Distributed Network Protocol 3 (DNP3) 分布式网络协议 3(DNP3)
是一种设计用于 SCADA 系统的通信协议，特别是电力行业内，但不包括路由功能。

9.4.24 domain 域

某个主体被允许访问的一组客体。在这个域内，所有主体和客体共享公共的安全策略、措施和规则，并由相同的管理系统管理。

9.4.25 due care 应尽关注

应尽关注是执行的一系列步骤，这些步骤表明：公司对在其内部发生的所有活动负责，

并采取了保护公司及其资源与雇员的必要步骤。

9.4.26 due diligence 应尽职责

评估信息的系统化过桯，从而确定脆弱性、威胁以及与组织机构整休风险相关联的问题。

9.5 E

9.5.1 electronic discovery (e-discovery) 电子发现(e-discovery)

该过程为法院或外部律师提供与法律程序有关的所有电子存储信息。

9.5.2 electronic vaulting 电子传送

备份数据转移到远处的一个场所。这个过程主要通过通信线路将数据批量转移至替代性场所的服务器。

9.5.3 emanations 辐射

从电子设备中发射出的、能通过空气波传输的电子和电磁信号。这些信号运载了能够捕获和解密的信息，从而导致破坏安全的结果。辐射也称为放射。

9.5.4 encryption 加密

将明文转换为不可饮的密文。

9.5.5 end-to-end encryption 端到端加密技术

对数据包的数据载荷进行加密的技术。

9.5.6 exposure 暴露

指由威胁而造成资产损失的实例。缺陷或脆弱性可导致组织机构遭受可能的破坏。

9.5.7 exposure factor 暴露因子，EF

某种特殊资产受已发生的威胁所造成损失的百分比。

9.6 F

9.6.1 failover 故障转移

在主系统出现故障或脱机时自动转移至备用系统的备份操作。这是一个重要的容错功能， 该功能可提供系统可用性。

9.6.2 fail-safe 故障防护

这种功能确保软件或系统无论何种原因出现故障时都不会以易受攻击的状态结束。出现故障后，软件可能默认不进行任何访问，而不是允许完全控制，这是故障防护措施的一个示例。

9.6.3 Fibre Channel over Ethernet (FCoE) 光纤通道以太网
(FCoE)

这是一个协议的封装，允许光纤通道帧通过以太网络。

9.6.4 firmware 固件

写入只读存储器(ROM)或可编程只读存储器((PROM)芯片的软件指令。

9.6.5 formal security policy model 形式化安全策略模型

安全策略的－种数学农还。创建某个操作系统时，可根据为每个情景都设计了所有活动如何执行的预开发摸型来构建该系统。可用数学方式表达该模型，然后将其转换为编程语言。

9.6.6 formal verification 形式化验证

高度可信任系统的验证和测试。测试被设计为说明下列内容：设计验证；形式化规范和形式化安全策略模型之间的一致性；实现验证；形式化规范之间的一致性；以及产品的具体实现。

9.7 G

9.7.1 gateway 网关

连接两个不相似环境或系统的一种系统或设备。网义通常需要完成不同类型的应用或朸以之间的转换。

9.7.2 guideline 指导原则

在并未应用某种特定标准时，为用户、IT 职员、操作员以及其他人员提供的行动建以或可使用的指南。

9.8 H

9.8.1 handshaking procedure 握手过程

两个实体之间为相互标识和验址身份而进行的对话。这种对话既可在两台计算机之间发生，也可在驻留于不同计算机的两个应用程序之间发生。握手通常是在协议内发生的活动。

9.8.2 honeynet 蜜网

一起使用两个或者多个蜜罐系统，为引诱试图破坏蜜罐的攻击者。

9.8.3 honeypot 蜜罐

在网络上建立的、作为牺牲品的计算机，其目的是使攻击者攻击该系统，而不是攻击实际的产品系统。

9.9 I

9.9.1 identification 身份标识

主体向身份验证设备提供某种类型数据。身份标识是身份验证过程的第 1 个步骤。

9.9.2 inference 推理

推导不明确信息的能力。

9.9.3 information owner 信息所有者

企业最终负责数据保护的人，在保护公司的信息资产时，他应当对任何疏忽负责。担任这个角色的人（通常是公司管理团队内的一位高级上管人员）负责指派信息的机密等级，并规定应当如何保护信息。

9.9.4 Integrated Product Team (IPT) 集成产品开发团队(IPT)

是一支多元开发团队，团队成员为各利益相关方的代表。

9.9.5 integrity 完整性

确保信息和系统未被恶意或意外更改的安全原则。

9.9.6 Internet Small Computer System Interface (iSCSI) 互联网小型计算机系统接口(iSCSI)
在 TCP 数据报文中封装 SCSI 数据，允许外围设备连接到计算机的技术。

9.9.7 intrusion detection system (IDS) 入侵检测系统，IDS

这种软件用于监视和检测可能的攻山以及根据正常的和期望的活动而变化的行为。网络 型 IDS 能监控网络通信，主机型 IDS 能监控特定系统的活动以及保护系统文件和控制机制。

9.9.8 isolation 隔离

对系统中某些进程的包围，从而使这些进程与其他进程分离，以确保完整性和机密性。

9.10 K

9.10.1 kernel 内核

操作系统的核心。内核管理计算机的硬件资源（包括处理器和存储器），并提供和控制其他任何软件组件访问这些资源的方式。

9.10.2 key 密钥

控制密码术算法操作的离散数据集。在加密操作中，密钥指定从明文到密文的特殊转换； 在解密操作中，密钥指定相反的过程。密钥也用在其他密码术算法中，例如经常用于身份验证和完整性的数字签名机制和加密散列函数（也称为 HMAC)。

9.10.3 keystroke monitoring 击键监控

这种审计技术能检查或记录用户在某个活动会话期间的击键行为。

9.11 L

9.11.1 lattice-based access control model 格型访问控制

这种数学模型允许系统能够容易地表示不同安全级别，开且根据这些安全级别控制功问企图。每对元素都具有访问权限的下限和上限。这些级别来源于军方指定的名称。

9.11.2 least privilege 最小权限

这个安全原则要求每个主体只被授予完成授权任务所需的最低权限。该原则的应用限制了意外、差错或未授权访问而可能导致的破坏。

9.11.3 life-cycle assurance 生命周期保证

使用形式化设计和控制（包含设计规范以及验证、实现、测试、配置管理和分发）来设计、开发和维护可信任系统的信心。

9.11.4 Lightweight Directory Access Protocol (LDAP) 轻量级目录访问协议(LDAP)
基于 X.500 标准集的目录服务，允许主体和应用程序与目录进行交互。

9.11.5 link encryption 链路加密技术

这种加密技术加密数据包的头部、尾部和数据载荷。每个网络通信节点或跳点都必须先解密数据包以读取地址和路由信息区然后重新加密数据包。这种加密技术与端到喘加密技术不同。

9.11.6 logic bomb 逻辑炸弹

由特定事件或条件触发的恶意程序。

9.11.7 lost potential 损失可能性

在威胁方确买利用了脆弱性时可能发生的潜在损失。

9.12 M

9.12.1 maintenance hook 维护挂钩程序

程序代码内部支持开发人员或维护人员不必通过常规访问控制和身份验证过程就能进入程序的指令。在发布成为产品之前，应当从程序代码中删除维护挂钩程序；否则，这些指令可导致严重的安全风险。维护挂钩程序也称为陷门或后门。

9.12.2 malware 恶意软件

malicious software 的简写。为执行避开系统安全策略的活动而编写的代码。恶意软件们示例有病寄、恶意 applet、特洛伊木马、逻辑炸弹和蠕虫。

9.12.3 mandatory access control (MAC) 强制访问控制(MAC)

基于主体的安全许可和客体的分类来限制主体对客体的访问的策略。系统实施这种安全策略后，用户就不能与其他用户共享文件。

9.12.4 masquerading 伪装

假冒其他用户的行为，通常具有未授权访问系统的目的。

9.12.5 message authentication code (MAC) 消息身份验证代码
(MAC)

在密码术中，MAC 是用于对消息进行身份验证的生成值。MAC 可由 HMAC 或 CBC- MAC 方认生成。因为只有知道密钥的人才能更改消息，所以 MAC 既可保护消息的完整性
（通过确保在消息变化时会生成不同的 MAC) ，也可保护消息的真实性。

9.12.6 multilevel security 多级安全

包含具有不同分类信息的一类系统。访问决策基于主体的安全订可、知其所需和正式核准。

9.12.7 Multiprotocol Label Switching (MPLS) 多协议标签交换
(MPLS)

是一个汇聚协议，目的是提高路由性能。

9.13 N

9.13.1 need to know 知其所需

这个安全原则规定，用户应当只访问完成与其在组织机构内角色相适应的任务所需的信息和资源。操作系统和应用程序通常在访问控制准则中使用“知其所需”原则。

9.13.2 node 节点

与网络相连的系统。

9.13.3 nonrepudiation 不可否认性

一种确保发送者发送信息之后不能错误地否认发送过该消息的服务。

9.14 O

9.14.1 object 对象或客体

包含或接收信息的被动实体。访问某个客体可能意味着访问其包含的信息。客体的示例包括记录、页面、存储片段、文件、目录、目录树和程序。

9.14.2 object reuse 客体重用

将先前包含信息的介质重新分配给主体。客体重用与安全有关，这是因为：如果没有采取足够的措施来删除介质上的信息，那么这些信息可能会泄露给未授权人员。

9.14.3 one-time pad 一次性密码本

在这种加密方法中，明文与随机“密码本”组合在一起，＂密码本”的长度应当与明文的长度相同。这个加密过程使用不重复的随机位值与原始消息进行异或(XOR)运算，从而生成密文。因为无法破解且每个密码本实际只使用一次，所以一次性密码本是一种完美的加密机制。但考虑到其所有要求，因此它并不实用。

9.14.4 operational assurance 操作保证

对可信系统的体系结构以及实施系统策略的信任级别，包括系统体系结构、隐藏通道分析、系统完整性与可信恢复。

9.14.5 operational goals 操作目标

为确保系统环境正常运作而要实现的日常目标。

9.14.6 operator 操作者

支持计算机系统（通常为大型机）操作的个体。这个个体能监控系统的执行，控制作业流，以及开发和调度作业。

9.14.7 overt channel 公开通道

计算机系统或网络内专门为授权传送数据而设计的一种路径。

9.15 P

9.15.1 password 密码

用于证明某人身份的字符序列。密码在登录过程期间中使用，并且应当受到高度保护。

9.15.2 payment card industry data security standard (PCI DSS)
支付卡行业数据安全标准(PCI DSS)

一种关于组织涉及支付卡交易的信息安全标准。

9.15.3 penetration 渗透

成功避开安全控制并获得系统访问权限的尝试。

9.15.4 penetration testing 渗透测试

渗透测试是一种通过模拟恶意黑客所进行的攻击来评估计算机系统或网络安全性的方法。借助这种方法，可找出脆弱性和缺陷。

9.15.5 permission 权限

主体能与客体进行的授权交互，示例包括读、写、执行、添加、更改和删除。

9.15.6 personnel security 人员安全

为确保有权使用敏感信息的所有人员都有必要权力与适当许可而建立的措施口这些措施能确认个人的背景，并提供必要信赖的保证。

9.15.7 physical controls 物理性控制

这种控制涉及：控制个体访问进入设施和不同部门，锁定系统和去除小必要的软驱或
CD-ROM 驱动器，保护设施的周边，监控入侵，以及检查环境控制。

9.15.8 physical security 物理安全

准备就绪的控制和过程，以免入侵者物理访问系统或设施。旨在实施访问控制和投权访问。

9.15.9 piggyback 混入

使用其他用户的合法凭证对系统进行未授权访问。

9.15.10 plaintext 明文

在密码术中，明文指的是加密前的原始可读义本。

9.15.11 playback attack 回放攻击

捕获数据，稍后重新发送数据，其目的是欺骗接收系统。这种攻击常用于获取对特定资源的未授权访问。

9.15.12 privacy 隐私

这种安全原则保护个体的信息，并利用控制来确保这些信息不被未授权地泄露或访问。

9.15.13 procedure 措施

为完成特定任务而应当执行的详细的、分步骤的指令，用户、IT 人员、运营人员、安全人员以及其他人员会使用这些指令。

9.15.14 protection ring 保护环

这种体系结构提供了一个系统的特权操作模式的层次结构，它为被授权在该模式中运行的进程授予了特定的访问权限。满足多任务操作系统的完脓性和机密性需求，并使操作系统能保护自身，防止受到用户程序和不道德进程的危害。

9.15.15 protocol 协议

一组规则和格式，以支持不同系统之间的标准化信息交换。

9.15.16 pseudo-flaw 虚假缺陷

在操作系统或程序中故意植入的明显漏洞，以诱骗入侵者。

9.15.17 public key encryption 公共密钥加密

使用两个数学相关的密钥加密和解密消息的一种加密方法。私钥只为所有者所知，公钥则为任何人所知。

9.15.18 public key infrastructure (PKI) 公共密钥基础设施

由程序、措施、通信协议以及公钥密码机制组成的框架，使得分散的人们能以安全的方式相互通信。

9.15.19 purge 清除

在处理位于系统、存储设备或具有存储能力的外围设备中的敏感数据后，将这些数据删除。通过执行这样的动作，可保证无法重构敏感度相同的数据。

9.16 Q

9.16.1 qualitative risk analysis 定性风险分析

这种风险分析方法使用直观和经验来判定组织机构面临的风险。定性风险分析使用了场景和分级系统。与定量风险分析相对照。

9.16.2 quantitative risk analysis 定量风险分析

这种风险分析方法尝试使用百分比来估计损失，为特定风险对策的成本以及风险导致的损失量指定实际值。与定性风险分析相对照。

9.17 R

9.17.1 RADIUS (Remote Authentication Dial-in User Service) 远程身份验证拨号用户服务，RADIUS
对拨号用户进行身份验证和授权的安全服务，它是一种集中式访问控制机制。

9.17.2 read 读

导致信息从客体流向主体的操作，并且主体不能更改客体或客体内的数据。

9.17.3 recovery planning 恢复规划

为了在服务中断或灾难之后最小化损失以及确保组织机构的关键信息系统的可用性，需要预先进行的计划和准备。

9.17.4 recovery point objective 恢复点目标

数据丢失的可接受量（以时间来度量）。

9.17.5 recovery time objective 恢复时间目标

在灾难发生后业务流程完全恢复到指定服务级别的最长时间，以避免不可接受的后果。

9.17.6 reference monitor concept 引用监控器概念

一种访问控制概念。引用监控器是一个抽象机，它是主体对客体进行所有访问的中介。安全内核实施了引用监控器概念。

9.17.7 reliability 可靠性

给定系统或个体计算机在预期操作条件下和指定时间内执行任务的保证度。

9.17.8 remote journaling 远程日志处理

这种方法向异地设施传送对数据的改动。它像事务的并行处理一样发生，这意味着对数据的改动会保存在本地与异地设施。这些活动实时发生，并提供冗余和容错。

9.17.9 repudiation 否认

指的是消息的发送者否认发送过消息。相应对策是实现数字签名。

9.17.10 residual risk 剩余风险

应用安全控制之后的残留风险。阐述总风险和剩余风险之间差异的概念化公式为： 威胁 X 脆弱性 X 资产价值 ＝ 总风险
（威胁 x 脆弱性 x 资产价值）x 控制间隙 = 剩余风险

9.17.11 risk 风险

威胁主体利用脆弱性的可能性以及相应的业务影响。风险是威胁利用脆弱性所造成的潜在损失或可能性。

9.17.12 risk analysis 风险分析

标识风险并估计风险可能导致的破坏以证明安全防护措施合理的一种方法。

9.17.13 risk management 风险管理

这个过程可以标识风险，估计风险，将风险降低至可接受级别，以及实现维持该风险级别的正确机制。

9.17.14 role-based access control (RBAC) 角色访问控制，
RBAC

这种模型基于用户在公司内的角色或为用户分配的任务来提供对资源的访问。

9.18 S

9.18.1 safeguard 防护措施

一种软件配置、硬件或措施，能消除脆弱性或降低威胁主体利用脆弱性的风险。也称为对策或控制。

9.18.2 sand boxing 沙箱

一种将进程与操作系统隔离以防止安全违规的控制。

9.18.3 secure configuration management 安全配置管理

实现一组适当的措施，以便控制应用程序的生命周期，记录必要的变更控制活动，以及确保变更不会违背安全策略。

9.18.4 Security Assertion Markup Language (SAML) 安全断言标记语言(SAML)
是一个 XML 标准，允许在安全域之间交换身份验证和授权数据。

9.18.5 security evaluation 安全评估

估计系统中实现的、用于保护敏感数据安全的信任和保证级别。

9.18.6 security kernel 安全内核

可信计算基(TCB) 的硬件、软件和固件元素，实现和实施引用监控器概念。安全内核必须仲裁主体和各体之间的所有访问，防止被更改，以及能证实是正确的。

9.18.7 security label 安全标签

表示客体安全级别的标识符。

9.18.8 security perimeter 安全周边

可信计算基(TCB)内的组件与不位于 TCB 内的机制之间的假想边界，它区别了可信进程与不可信进程。

9.18.9 security policy 安全策略

这种文档描述了高级管理层对组织机构内安全角色的指令。它提供了一个架构，组织机构在该架构内建立必要的信息安全级别，以实现期望的机密性、可用性和完整性目标。安全策略是对信息价值、保护责任和组织机构承诺管理风险的声明。

9.18.10 security testing 安全测试

测试一个系统内的所有安全机制与功能，以确定它所提供的保护级别。安全测试可能包括：渗透测试、形式化设计和实现验证以及功能测试。

9.18.11 sensitive information 敏感信息

如果丢失或受损将对公司产生负面影响的信息。

9.18.12 separation of duties 责任分离

将关键任务分配给两人或多人以确保一个人不能独自完成危险任务的安全原则。

9.18.13 shoulder surfing 偷窥

某人从其他人的肩膀上观察其按键动作或偷看屏幕上显示的数据，从而以未授权方式获取信息。

9.18.14 simple security property 简单安全属性

Bell-LaPadula 安全模型规则，规定一个在主体不能读取较高安全级别上的信息。

9.18.15 single loss expectancy (SLE) 单一损失预期，SLE

为单个事件指定的、表示特定威胁发生时公司潜在损失的金额。
SLE ＝资产价值 x 暴露因子

9.18.16 single sign-on (SSO) 单点登录(SSO)

一种技术，在用户通过一次验证之后，再访问环境中的资源时不必重新认证。

9.18.17 social engineering 社会工程

装扮成被授权接收信息的人而欺骗其他人提供机击信息的行为。

9.18.18 software-defined networking (SDN) 软件定义联网
(SDN)

通过集中配置和控制网络设备，使用分布式软件联网的方法，可提高敏捷性和效率。

9.18.19 spoofing 欺骗

使用虚假信息（通常是位于包内的信息）欺骗其他系统和陌藏消息的来源。黑客往往追过这种方式来成功隐藏自己的身份。

9.18.20 standard 标准

规定应当如何实现、使用和维护硬件和软件的规则。标准能确保特定技术、应用、参数和措施在组织机构之间以统一的方式执行。标准是强制性的。

9.18.21 star property (*-property) 星属性，＊属性

一种 Bell-LaPadula 安全模型规则，它规定主体不能向位于较低安全级别的客体写数据。

9.18.22 strategic goal 战略目标

是种广乏的、全面说明目的的长期目标。操作目标和战术目标支持战略目标，它们都是一个规划周期的组成部分。

9.18.23 subject 主体

活动实体，可导致信息在客体之间流动或改变系统状态，常见形式为人、进程或设备。

9.18.24 supervisor state 监管状态

操作系统可在其中运行的若干状态之一，是 CPU 可执行特权指令的唯一状态。

9.18.25 supervisory control and data acquisition (SCADA) 数据采集与监视控制系统(SCADA)
用于远程监控电力和制造工厂等物珅设施的系统。

9.18.26 synthetic transaction 综合事务

软件代理买时执行的一种事务，目的是测试或监控分布式系统的性能。

9.19 T

9.19.1 TACACS (Terminal Access Controller Access Control System) 终端访问控制器访问控制系统
一种客户端／服务器身份验证协议，它提供与 RADIUS 相同的功能类型，并用作一种主要针对远程用户的集中访同控制机制。

9.19.2 tactical goals 战术目标

要实现的中期目标。达些目标可以是项目内要完成的里程碑，也可以是一年内要完成的具体项目，战略、战本和操作目标组成了一个规划周期。

9.19.3 technical control 技术性控制

这些控制（也称为逻辑性访问控制机制）在软件中工作，以提供机密性、完整性或可用性保护。技术性控制的示例有口令、身份标识和身份验址方法、安全设备、审计以及网络配置。

9.19.4 Tempest

对电子设备发射的寄生电磁波所进行的研究和控制。实现 Tempest 设备的目的是阻止入侵者通过侦听设备从电磁波获得信息。

9.19.5 threat 威胁

脆弱性会被威胁主体利用的潜在危险。

9.19.6 top-down approach 自上向下方式

在这种方式中，对项目的启动、支持和指令来自最高管理层，然后向下到达中级管理层， 最后才到达职员。

9.19.7 topology 拓扑

说明如何连接节点以形成－个网络的物理构造。

9.19.8 total risk 风险总计

在没有实施某种保护措施的情况下，组织机构将面对的特定脆弱性的风险总数。

9.19.9 trademark 商标

保护用于标识产品或公司的用词、名称、产品形状、符号、颜色或组合的合法权利。

9.19.10 Trojan horse 特洛伊木马

一种表面上或实际上有用的计算机程序，但也包含其他隐藏的恶意功能，从而利用脆弱性和/或获得未授权访问。

9.19.11 trusted computer system 可信计算机系统

这个系统具有必要的控制，以确保安全策略并能同时处理一系列敏感或分类信息。

9.19.12 trusted computing base (TCB) 可信计算基，TCB

一个计算机系统（硬件、软件和固件）内全部保护机制的集合，负责实施安全策略。

9.19.13 trusted path 可信路径

系统内支持用户与 TCB 直接通信的机制。这个机制只能由用户或 TCB 激活，而不能由不可信机制或进程激活。

9.19.14 trusted recovery 可信恢复

在系统出现错误或发生故障之后以可信任方式还原系统及其数据的一组措施。

9.20 U

9.20.1 user 用户

访问计算机系统的人或进程。

9.20.2 user ID 用户 ID

一组独特的字符或代码，用于向系统标识特定的用户。

9.21 V

9.21.1 validation 确认

执行测试和评估的行为，以测试系统的安全级别是否遵循安全规范和需求。

9.21.2 virus 病毒

一种感染应用程序的小型应用程序或代码串。病毒的主要功能是繁殖，并要求主应用程序执行这样的操作。病毒能直接破坏数据或降低系统性能。

9.21.3 vulnerability 脆弱性

缺少防护措施，或防护措施存在能被利用的缺陷。

9.22 W

9.22.1 war dialing 战争拨号

在这种攻击中，将很多电话号码插入战争拨号程序，以期发现能用于获取未投权访问的调制解调器。

9.22.2 whitelist 白名单

一组已知的好的资源，如 IP 地址、域名或应用程序。

9.22.3 work factor 工作因数

攻击者攻克一道安全控制预计需要的时间和精力。

9.22.4 worm 蠕虫

一种通过将自身从个系统复制到另一个系统进行繁殖的独立程序。它可直接破坏数据或通过耗尽资源降低系统性能。

9.22.5 write 写

导致信息从主体流向客体的操作。