特定等级保护类
1 等级保护对象 target of classified security
网络安全等级保护工作直接作用的对象。
注:主要包括信息系统、通信网络设施和数据资源等。
2 等级测评 testing and evaluation for classified cybersecurity protection
测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。
3 测评强度 testing and evaluation intensity
测评工作实际投入力量的表征,可以由测评广度和深度来描述。
通用技术类
1 信息系统安全 security of information system
信息系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。
2 安全保证 security assurance
为确保安全要素的安全功能达到要求的安全性目标所采取的方法和措施。
3 用户鉴别 user authentication
用特定信息对用户身份的真实性进行确认。用于鉴别的信息一般是非公开的、难以仿造的。
4 客体 object
信息的载体。
5 主体 subject
引起信息在客体之间流动的人、进程或设备等。
6 敏感标记 sensitivity label
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。
7 主、客体标记 label of subject and object
为主、客体指定敏感标记。这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的依据。
8 访问控制 access control
按确定的规则,对实体之间的访问活动进行控制的安全机制,能防止对资源的未授权使用。
9 安全属性 security attribute
实施安全策略时,与主体、客体相关的信息。
注 1:对于自主访问控制,安全属性包括确定主、客体访问关系的相关信息。
注 2:对于采用多级安全策略模型的强制访问控制,安全属性包括主、客体的标识信息和安全标记信息。
10 自主访问控制 discretionary access control
由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问,并能根据授权,对访问权限进行转移。
11 强制访问控制 mandatory access control
由系统根据主、客体所包含的敏感标记,按照确定的规则,决定主体对客体访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问。敏感标记由系统安全员或系统自动地按照确定的规则进行设置和维护。
12 弱口令 weak password
过于简单或非常容易被破解的口令或密码。
13 可信路径 trusted path
为实现用户与 SSF 之间的可信通信,在 SSF 与用户之间建立和维护的保护通信数据免遭修改和泄漏的通信路径。
14 公开用户数据 published user data
信息系统中需要向所有用户公开的数据。该类数据需要进行完整性保护。
15 内部用户数据 internal user data
信息系统中具有一般使用价值或保密程度,需要进行一定保护的用户数据。该类数据的泄漏或破坏,会带来一定的损失。
16 重要用户数据 important user data
信息系统中具有重要使用价值或保密程度,需要进行重点保护的用户数据,该类数据的泄露或破坏,会带来较大的损失。
17 关键用户数据 key user data
信息系统中具有很高使用价值或保密程度,需要进行特别保护的用户数据,该类数据的泄漏或破坏,会带来重大损失。
18 核心用户数据 nuclear user data
信息系统中具有最高使用价值或保密程度,需要进行绝对保护的用户数据,该类数据的泄漏或破坏,会带来灾难性损失。
19 设备物理安全 facility physical security
为保证信息系统的安全可靠运行,降低或阻止人为或自然因素对硬件设备安全可靠运行带来的安全风险,对硬件设备及部件所采取的适当安全措施。
20 环境物理安全 environment physical security
为保证信息系统的安全可靠运行所提供的安全运行环境,使信息系统得到物理上的严密保护,从而降低或避免各种安全风险。
21 系统物理安全 system physical security
为保证信息系统的安全可靠运行,降低或阻止人为或自然因素从物理层面对信息系统保密性、完整性、可用性带来的安全威胁,从系统的角度采取的适当安全措施。
22 容错 tolerance
通过一系列内部处理措施,将软、硬件所出现的错误消除掉,确保出错情况下信息系统安全子系统所提供的安全功能的有效性和可用性。
23 云计算 cloud computing
通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。
注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。
24 灾难备份 backup for disaster recovery
为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程。
25 灾难备份中心 backup center for disaster recovery
用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所,可提供灾难备份系统、备用的基础设施和专业技术支持及运行维护管理能力,此场所内或周边可提供备用的生活设施。
26 业务影响分析 business impact analysis;BIA
分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。
27 灾难恢复预案 disaster recovery plan
定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。
28 灾难恢复能力 disaster recovery capability
在灾难发生后利用灾难恢复资源和灾难恢复预案及时恢复和继续运作的能力。
29 演练 exercise
为训练人员和提高灾难恢复能力而根据灾难恢复预案进行活动的过程。包括桌面演练、模拟演练、重点演练和完整演练等。
30 恢复时间目标 recovery time objective; RTO
灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。
31 恢复点目标 recovery point objective; RPO
灾难发生后,系统和数据必须恢复到的时间点要求。
32 审计 audit
为获得审计证据并对其进行客观的评价,以确定满足审计准则的程度所进行的系统的、独立的并形成文件的过程。
33 审计准则 audit criteria
审计人员进行审计工作时必须遵循的行为规范,是审计人员执行审计业务、获取审计证据、形成审计结论、出具审计报告的标准。
34 审计证据 audit evidence
审计人员表示审计意见和作出审计结论所必须具备的依据。
35 审计发现 audit finding
将收集到的审计证据对照审计准则进行评价的结果。
36 审计结论 audit conclusion
审计组综合审计目的和所有审计发现后得出的审计结果。
37 审计人员 auditor
有能力实施审计的人员。
38 审计组 audit team
实施审计的一名或多名审计人员,需要时,由技术专家提供支持。
39 技术专家 technical expert
向审计组提供特定知识或技术的人员。
40 审计计划 audit plan
内部审计机构和人员为完成审计业务,达到预期的审计目的,对一段时期的审计工作任务或具体审计项目作出的事先规划。
41 审计范围 audit scope
审计的内容和界限。
42 审计机构 audit part
实施审计的部门或单位。
安全管理类
1 安全审计 security audit
按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。
2 鉴别信息 authentication information
用以确认身份真实性的信息。
3 敏感性 sensitivity
表征资源价值或重要性的特性,也可能包含这一资源的施弱性。
4 安全策略 security policy
主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。
5 资产价值 asset value
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
6 业务战略 business strategy
组织为实现其发展目标而制定的一组规则或要求。
7 机密性 confidentiality
数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。
8 完整性 integrity
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
9 可用性 availability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
10 威胁 threat
可能导致对系统或组织危害的不希望事故潜在起因。
11 脆弱性 vulnerability
可能被威胁所利用的资产或若干资产的薄弱环节。
12 风险 risk
某种威胁存在利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
13 信息安全风险 information security risk
人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
14 风险评估 risk assessment
通过对信息系统的资产价值/重要性、信息系统所受到的威胁以及信息系统的脆弱性进行综合分析,对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等进行科学识别和评价,确定信息系统安全风险的过程。
15 残余风险 residual risk
采取了安全措施后,信息系统仍然可能存在的风险。
16 检查评估 inspection assessment
由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其管理进行的具有强制性的检查活动。
17 组织 organization
由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织,某个业务部门也可以是一个组织。
18 自评估 self-assessment
由组织自身发起,依据国家有关法规与标准,对信息系统及其管理进行的风险评估活动。
19 安全事件 security incident
指系统、服务或网络的一种可识别状态的发生,其可能是对信息安全策略的违反或防护措施的失效,或未预知的不安全状况。
20 安全措施 security measure
保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。
21 安全需求 security requirement
使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。
22 业务连续管理 business continuity management;BCM
为保护组织的利益、声誉、品牌和价值创造活动,找出对组织有潜在影响的威胁,提供建设组织有效反应恢复能力的框架的整体管理过程。包括组织在面临灾难时对恢复或连续性的管理,以及为保证业务连续计划或灾难恢复预案的有效性的培训、演练和检查的全部过程。
暂无评论内容