8.1 数字和符号
8.1.1 *(星)完整性公理: (*公理)
Biba 模型公理规定,特定分类级别的主体不能将数据写入较高分类级别。这通常被缩略为"不能向上写"。
8.1.2 *(星)安全属性: (*属性)
Bel1-LaPadula 模型的属性规定,特定分类级别的主体不能将数据写入较低分类级别。这通常被缩略为"不能向下写"。
8.1.3 802.11i(WPA-2)
对 802.11 标准的修改定义了新的身份认证和类似性 IPSec 加密技术。到目前为止, 没有能够危及正确配置的能力 WPA-2 攻击无线网络。
8.1.4 802.1q
IEEE 标准定义了 VLAN 标签。VLAN 标签由交换机和网桥管理 VLAN 内和 VLAN 之
间的流量。
8.1.5 802.1x
一种无线身份认证保护形式,要求所有无线客户端在被准许网络访问前通过 RADIUS 或 TACACS 保护服务。
8.1.6 1000Base-T
双绞线的形式是 100 每秒支持米的距离 1000Mbps 或 lGbps 吞吐量。通常称为千兆以太网(Gigabit Ethernet) 。
8.1.7 100Base-TX
另一种形式的双绞线和 100Base-T 类似。100Base-TX 快速以太网是最常见的形式。
8.1.8 10Base2
一种同轴电缆。通常用于连接系统和主干中继线。Base2 最大跨度是 185 最大的吞吐率是米 10Mbps 。又称细缆。
8.1.9 10Base5
一种同轴电缆。通常用作网络的主干。Base5 最大跨度是 500 最大的吞吐率是米 10Mbps。又称粗缆。
8.1.1010Base-T
一种由网络电缆组成的类型 4 这是由双绞线缆组成的 4 对线双绞在一起,然后包裹在一起 PVC 绝缘皮内。又称双绞线。
8.2 A
8.2.1 abnormal activity: 异常活动
任何异常系统活动也称为可疑活动。
8.2.2 abstraction: 抽取
将类似元素的集合放入组、类别或角色中,作为安全控制、限制或权限的集合分配。
8.2.3 acceptable use policy: 可接受使用政策
可接受的绩效水平、员工行为和活动预期策略。不遵守策略可能会导致警告、惩罚或终止工作行动。
8.2.4 acceptance testing: 验收测试
该测试试图验证系统符合指定的功能标准,并可能验证产品的安全性能。验收测试用于判断终端用户或客户是否会接受产品。
8.2.5 accepting risk: 接受风险
管理层分析和评估可能采取的保护措施的成本/效益,然后确定应对措施的成本远远超过风险可能造成的损失。
8.2.6 access: 访问
从客体到主体的信息传输。
8.2.7 access aggregation: 访问聚合
收集多个非敏感信息,并将其组合或聚合用于学习敏感信息。访问聚合法常用于侦察攻击。
8.2.8 access control: 访问控制
主体被授权或限制访问对象的机制。它包括识别和验证对象、验证对象的授权、监控或记录访问尝试的硬件、软件和组织策略或过程。
8.2.9 Access Control List: 访问控制列表(ACL)
访问控制列表指定了每个主体对客体的访问级别。
8.2.10 Access Control Matrix: 访问控制矩阵(ACM)
一个表包含主体和对象,指示每个主体可以执行每个对象的操作或功能。矩阵中的每一列都是一个 ACL,每一行都是功能列表。
8.2.11 access control types: 访问控制类型
预防控制试图防止安全事件发生,检测控制试图在事件发生后发现事件,纠正检测到的问题。其他控制类型包括恢复、威慑、指令和补偿访问控制。控制是通过管理、逻辑/技术或物理手段实现的。
8.2.12 access tracking: 访问跟踪
审计、记录和监控主体的访问试图或行为,也称为活动跟踪。
8.2.13 account lockout: 账户锁定
密码策略程序控制措施中的一个要素是,在失败登录试图达到指定数量后,可以禁止用户账户。账户锁定是防止系统登录提示和字典攻击的有效对策。
8.2.14 accountability: 可问责性
让某人对某件事负责的过程。此时,如果主体的身份和行为体的身份和行为,就有可能实现问责。
8.2.15 accreditation:鉴定
指定许可机构(DAA)正式声明指出,在可接受的风险程度上采取一系列规定的安全措施,IT 允许系统在特定的安全模式下运行。
8.2.16 ACID: 模型
ACID 这些宇母说数据库事务处理 4 个必需特征:原子性、一致性、隔离性以及持久性。
8.2.17 active content: 活动内容
这种 Web 该程序被下载到用户自己的计算机上,而不是消耗服务器端的资源。
8.2.18 ActiveX
Microsoft 公司在 Web 应用程序中使用的组件对象模型(COM)技术。ActiveX 包括多种语言之一 Visual Basic 、C、C 和 Java 。
8.2.19 ad hoc
两个(或多个)单独系统之间的对等无线网络连接不需要无线基站。
8.2.20 Address Resolution Protocol: 地址分析协议(ARP)
TCP/IP 协议组的子协议在数据链路层(第一)工作 2 层)上。ARP 被用于通过 IP 地址轮询发现系统 MAC 地址。
8.2.21 addressing: 寻址
处理器访问内存中不同位置的方法。
8.2.22 administrative access controls: 管理访问控制
根据组织安全战略定义的战略和措施,实现和加强整体访问控制。例如,行政访问控制包括就业标准、背景调查、数据分类、安全培训、假日历史审查、工作监督、人员控制和测试。
8.2.23 administrative law: 行政法
行政法涉及广泛的主题,从美国联邦机构使用的程序,甚至执行美国国会通过的法律移民政策。行政法在美国联邦法律法规中颁布(CFR)中。
8.2.24 administrative physical security controls: 行政物理安全控制 安全控制包括设施结构和选择、现场管理、人员控制、意识培训及应急响应及规程。
8.2.25 admissible evidence: 可接受的证据
证据应与事实的确定有关。本案必须确定证据所需的事实(即相关事实)。 证据必须具有法定资格,这意味着证据必须合法获得。因为没有法定资格,所以非法搜索
所获得的证据是不可接纳的。
8.2.26 Advanced Encryption Standard: 高级加密标准(AES)
国家标准与技术研究所(NIST)在 2000 年 10 基于月度选择的加密标准 Rijndael 密码。
8.2.27 Advanced Persistent Threat: 高级可持续性威胁(APT)
一些有组织的攻击者有很高的动机、技术和耐心。他们通常由政府赞助,专注于特定的目标,并将继续攻击很长一段时间,直到他们实现目标。
8.2.28 advisory policy: 建议策略
建议性策略讨论可接受的行为和活动,并定义破坏安全的后果。它解释了高级管理部门对组织内安全和遵守规定的期望。大多数策略都是建议性的。
8.2.29 adware: 广告软件
广告软件使用各种技术在感染的计算机上显示广告。通常与间谍软件相关或链接到间谍软件。
8.2.30 agent: 代理
智能代码对象代表用户执行操作。代理通常接受用户的指令,然后自动执行操作, 它可能会持续一段预定的时间,直到它满足某些条件或不确定的时间。
8.2.31 aggregate functions: 聚合函数
SQL 函数,如 COUNT()、MIN()、MAX()、SUM()和 AVG(),它们可以通过数据库运算获得信息集合。
8.2.32 aggregation: 聚合
一组函数将一个或多个表中的记录组合在一起,从而产生可能有用的信息。
8.2.33 agile software development: 敏捷软件开发
一组软件开发方法,避免过去的僵化模型,倾向于强调客户需求和快速开发
以法代方式满足这些需求的新功能。
8.2.34 alarm: 警报
从运动探测器中分离出来的一种制,可以引发威慑、防护和/或通知。只要运动探测仪显示环境中出现显著的变化,就都会发出警报。
8.2.35 alarm triggers: 警报触发器
在发生特定事件时发送给管理员的通知。
8.2.36 algorithm: 算法
对输入数据执行的一组规则或过程。通常与加密函数相关,指定加密和解密的排列。
8.2.37 analytic attack: 分析攻击
这是一种试图减少密码学算法复杂性的代数运算。分析攻击关注于算法本身的逻辑。
8.2.38 AND
检查两个数值是否都为真的运算(利用符号 ^ 表示) 。
8.2.39 Annualized Loss Expectancy: 年度损失期望(ALE)
ALE 指的是针对某种特定的资产,所有己发生的特定威胁实例每年可能造成的损失成本。计算 ALE 的时候可以使用公式: ALE = 单一损失期望(SLE) * 年发生比率(ARO)。
8.2.40 Annualized Rate of Occurrence: 年发生比率(ARO)
ARO 的是特定威胁或风险在一年内将会发生(也就是成为现实)的预计频率。也称为可能性确定
8.2.41 applet
从服务器被送往客户端以执行某些动作的代码对象。applet 是一些独立于发送它们的服务器执行的自包含小型程序。
8.2.42 AppleTalk
AppleTalk 协议是一套由苹果公司开发并使用于 Macintosh 系统网络上的协议,最早版本于 1984 年初发布。在 2009 年,Mac OS X 版本 V1O.6 发布后取消了苹果操作系统对AppleTalk 的支持。
8.2.43 application layer: 应用层
开放式系统互联(OSI)的第 7 层。
8.2.44 application-Ievel gateway firewall: 应用级网关防火墙
一种防火墙类型,基于用于传送或接收数据的网络服务(也就是应用)来过滤通信数据。应用级网关被称为第二代防火墙。
8.2.45 Application Programming Interfaces: 应用编程接口(A PI) API 允许应用程序开发人员绕过传统的网页,并通过函数调用直接与底层服务交互。虽然提供和使用 API 为服务提供商创造了巨大的机会,但也带来了一些安全风险。
8.2.46 ARP cache poisoning: ARP 缓存投毒
攻击者将虚假信息插入 ARP 缓存(被发现的 IP 到 MAC 关系的本地存储器)中的攻击。
8.2.47 assembly language: 汇编语言
替代机器语言代码的更高级语言。汇编语言使用助记符表示 CPU 的基本指令集,但是仍然要求了解硬件的相关知识。
8.2.48 asset: 资产
指环境中应该加以保护的任何事物。资产出现损失或泄漏会危及整体的安全性,造成生产率的损失、利润的降低、额外支出的增加、组织停工以及许多无形的后果。
8.2.49 asset valuation: 资产评估
根据实际的成本和非货币性支出而分配给资产的货币价值,其中包括开发、维护、管理、
广告、支持、维修和替换的成本,还包括难以计算的价值,如公众信心、行业支持、生产率增加、知识成本和所有者权益。
8.2.50 Asset Value: 资产价值(AV)
基于实际的成本和非货币性支出而分配给资产的货币价值。
8.2.51 assurance: 保证
满足安全需求的置信度。保证必须被持续地维持、更新和重新验证。
8.2.52 asymmetric key: 非对称密钥
每个参与者都使用一对密钥(公钥和私钥)的公钥密码系统。使用这对密钥中的一个密钥进行加密的消息只能通过同一密钥对中的另一个密钥进行解密。
8.2.53 asynchronous dynamic password token: 异步动态密码令牌 令牌在用户输入由令牌身份认证服务器提供的 PIN 时,会生成一次性密码。PIN 由服务器作为挑战提供,并且用户输入由令牌创建的一次性密码作为响应。
8.2.54 Asynchronous Transfer Mode: 异步传输模式(ATM)
一种信元交换技术,而不是像帧中继这样的数据包交换技术。ATM 利用与帧中继十分类似的虚电路,但是由于它使用固定大小的帧或信元,因此可以保证吞吐率。这使得 ATM 成为适用于语音和视频会议的优秀 WAN 技术。
8.2.55 atomicity: 原子性
所有数据库事务处理的 4 个必备特征之一。数据库事务处理必须是"要么全有,要么全无"的事务。如果事务处理的任何部分失败,那么整个事务处理都会被回滚,就像什么也没发生一样。
8.2.56 attack: 攻击
具有威胁的主体对某些脆弱性的利用。
8.2.57 Attacker: 攻击者
任何企图对系统实施恶意行为的人。
8.2.58 attenuation: 衰减
由于线缆具有一定长度,因此信号的强度和完整性在线缆上会有损失。
8.2.59 attribute: 属性
关系型数据库表中的一列。
8.2.60 Attribute-Based Access Control: 基于属性的访问控制模型(ABAC) 许多软件定义的网络应用程序使用 ABAC 模型。
8.2.61 audit: 审计
对环境的系统检查或审查,以确保遵守法规,并检测异常、未授权的事件或直接犯罪。
8.2.62 audit trail: 审计跟踪
通过将发生的事件和情况的有关信息记录到数据库或日志文件中而生成的记录。审计跟踪被用于重新构建事件,抽取事故的相关信息,证明或驳斥失职行为等。
8.2.63 auditor: 审计人员
负责测试和验证安全策略是否被正确实现、总结出的安全解决方案是否适当的人或小组。
8.2.64 authentication:身份认证
用于验证或检查主体所声明身份合法性的过程。
8.2.65 Authentication Header: 身份认证首部(AH)
提供了身份认证、完整性和不可否认性的一种 IPSec 协议。
8.2.66 authenticated scan: 验证的扫描
安全扫描器被授予认证权限,对正在扫描的服务器(通常通过用户账户)进行只读访问, 并且可以使用该访问从目标系统读取配置信息,并在分析漏洞测试结果时使用该信息。
8.2.67 authentication protocols: 身份认证协议
为登录凭证提供传输机制而使用的协议。
8.2.68 Authentication Service: 身份认证服务(AS)
Kerberos 密钥分发中心(KDC)的要素之一。AS 验证或拒绝票据的可靠性和时间性。
8.2.69 authorization: 授权
用于确保所请求的活动或客体访问能够被授予为经过身份认证的身份(也就是主体)分配的权力和特权。
8.2.70 Automatic Private IP Addressing: 自动私有 IP 地址寻址(APIPA) Windows 的一个特征,一旦 DHCP 分配失败,APIP 就会为系统指派 IP 地址。
8.2.71 auxiliay alarm system: 辅助警报系统
一种可以加入本地或集中式警报系统的额外功能。辅助警报系统的目的是在警报触发后通知当地警察或消防队。
8.2.72 availability: 可用性
确保经过授权的主体被及时准许和不被打断地访问客体。
8.2.73 awareness: 意识
安全教育的一种形式,是开展培训的先决条件。安全意识的目的是要把安全放到首位并让学员/用户认识到这一点。
8.3 B
8.3.1 backdoor 或 back door: 后门
后门是没有被记录到文挡的命令序列,允许软件开发人员绕过正常的访问限制。后门可以由制造商放置和留下,或者由黑客使用漏洞来放置。
8.3.2 badges: 员工证
物理身份标识和/或电子访问控制设备的形式。
8.3.3 bandwidth on demand: 按需带宽
服务提供商提供的功能/优点是: 如果运营商网络具有容量,允许客户在需要时消费更多带宽。这种消耗通常以更高速率收费。
8.3.4 base+ offset addressing: 基址+偏移量寻址
一种寻址机制,它使用存储在其中一个 CPU 寄存器中的数值作为开始计算的基址。然后,CPU 将指令提供的偏移量与基址相加,并从计算得到的存储器地址中取出操作数。
8.3.5 baseband: 基带
一次只能传输一个单独信号的通信介质。
8.3.6 baseline: 基线
安全性的最小级别,组织中的所有系统都必须达到这个安全级别。基线可以大于安全基线,也可以是性能基线(用于基于行为的 IDS )或配置基线(用于配置管理) 。
8.3.7 Basic Input/Output System: 基本输入/输出系统(BIOS)
独立于操作系统的原始指令,用于启动计算机和从磁盘加载操作系统。
8.3.8 Basic Rate Interface: 基本速率接口(BRI)
提供了 2 个 B 通道(或数据通道)和 1 个 D 通道(或管理通道)的 ISDN 服务类型。每个 B 通道都提供 64Kbps 的速率,D 通道则提供了 16Kbps 的速率。
8.3.9 beacon frame: 信标帧
一种无线网络报文类型,用于通过宣告网络 SSID 或网络名称来广播无线网络的存在。
8.3.10 behavior: 行为
在面向对象编程术语和技术中,使用某种方法处理消息后来自客体的结果或输出。
8.3.11 behavior-based detection: 基于行为的检测
IDS 使用的一种入侵发现机制。基于行为的检测通过观察和研究找出系统中正常的行为和事件。一旦积累了有关正常行为的足够数据,那么它就可以检测到异常的和可能含有恶意的行为和事件。也被称为统计入侵检测、异常检测或启发型检测。
8.3.12 Bell-LaPadula 模型
一种基于状态机模型、关注机密性的安全模型,来用强制性访问控制和格子模型。
8.3.13 best evidence rule: 最佳证据规则
该规则声明,当文档被用作法庭处理的证据时,必须提供原始文档。除了规则所应用的某些例外,副本不会被接受为证据。
8.3.14 Biba 模型
一种基于状态机模型、关注完整性的安全模型,采用强制性访问控制和格子模型。
8.3.15 二进制数学
计算机使用的位和字节的计算规则,也称为布尔运算。
8.3.16 bind variable: 绑定变量
用于 SQL 字面值的占位符,例如数字或字符串。
8.3.17 biometric factors: 生物识别因素
可用于识别或认证任何人的特征。生理生物识别方法包括指纹、面部扫描、视网膜扫描、
虹膜扫描、手掌扫描、手部外形和声音模式。行为生物识别方法包括签字力度和击键模式。
8.3.18 biometrics: 生物测定学
将人类的生理或行为特征用作逻辑访问的身份认证因素和物理访问的身份标识。
8.3.19 birthday attack: 生日攻击
在这种攻击中,怀有恶意的人在数字化签名的通信中寻找可以生成相同信息摘要的不同信息作为替代,从而维持原有数字签名的有效性。在不规则的统计基础上,如果一个房间中有 23 个人,那么存在两人或更多生日相同的人的概率大于 50% 。
8.3.20 bit flipping: 位翻转
将位改为相反值的活动。通常用于模糊化以轻微修改输入数据的技术。
8.3.21 bit size: 位大小
值中的二进制数字或位的数量,例如键、块大小或哈希值。
8.3.22 black-box testing: 黑箱测试
查看程序输入和输出的一种程序测试形式,但是不关心内部的逻辑结构。
8.3.23 black box: 黑盒
用于操纵线路电压以窃取长途服务。
8.3.24 blackout: 电力中断
电力的完全丧失。
8.3.25 block cipher: 分组密码
同时对整个信息分组应用加密算法的密码。换位密码就是分组密码的一个例子。
8.3.26 Blowfish
对 64 位文本分组进行操作的分组密码,并且使用变长密钥,密钥长度的范围从相当不 安全的 32 位到相当难破解的 448 位。
8.3.27 blue box: 蓝盒
用于模拟与电话网络主干(也就是骨干)系统直接互动的 2600Hz 声音。
8.3.28 blue bugging: 蓝牙窃听
一种攻击,允许黑客远程控制蓝牙设备的特性和功能。这可能包括打开麦克风的能力, 使用手机作为音频监控。
8.3.29 bluejacking: 蓝牙劫持
劫持蓝牙连接,以便进行偷听或者可以从设备中抽取信息。
8.3.30 bluesnarfing: 蓝牙侵吞
一种攻击,能够允许黑客在你不知情的情况下配对你的蓝牙设备,并且可以从这些设备中提取信息。这种攻击形式能够使攻击者访问你的联系人列表、数据甚至通话。
8.3.31蓝牙 802.15
通常用于将配件和蜂窝电话或计算机配对的一种无线标准。
8.3.32 boot sector: 引导扇区
被用于加载操作系统以及攻击加载过程的病毒类型的存储设备部分。
8.3.33 bot: 代理
连续漫游于多个网站并代表用户执行操作的智能代理。
8.3.34 botmaster: 僵尸网络控制器
控制僵尸网络的黑客,也称为僵尸牧人。
8.3.35 botnet: 僵尸网络
在被称为僵尸网络控制器的攻击者控制下的互联网上计算机(有时是数千甚至数百万 台!)的集合。
8.3.36 bounds: 界限
对进程可以访问的内存和资源所做的限制。
8.3.37 breach: 破坏
破坏是指发生安全机制被威胁主体绕过或阻挠的事情。
8.3.38 Brewer and Nash 模型(也叫作 Chinese Wall)
设计这种模型的目的是准许访问控制基于用户以前的活动动态改变(这也使其成为一种状态机模型) 。
8.3.39 bridge: 桥
连接速度、线缆类型或拓扑结构不同但是采用协议仍然相同的网络所使用的网络设备。桥是第 2 层设备。
8.3.40 bridge mode: 桥接模式
无线接入点部署的一种形式,用于通过无线桥接将两个有线网络连接在一起。
8.3.41 自带设备(BYOD)
允许员工携带自己的个人移动设备并使用这些设备连接(或通过)公司网络的一项策略。虽然设备是员工自有的财产,但存储在设备上的组织数据仍然是组织的资产。
8.3.42 broadband: 宽带
支持同时传输多个通信信号的通信介质。
8.3.43 broadcast: 广播
向多个未经标识的接收者进行通信传输的一种形式。
8.3.44 broadcast address: 广播地址
指定网络分组或容器内所有接收数据的设备的地址。
8.3.45 broadcast do main: 广播域
一组网络系统,当该组中的一个成员发送一个广播包时,该组的其他成员接收到该广播包。
8.3.46 broadcast technology: 广播技术
基于或依赖于广播而不是单播信令的通信系统。
8.3.47 brouter: 桥式路由器
首先尝试路由,如果路由失败,就默认进行桥接的网络设备。
8.3.48 brownout: 降低电压
延长的低电压时间段。
8.3.49 brute force: 暴力破解
这种攻击模式的特征是自动尝试使用机械性的顺序或组合输入来确定指定系统的安全属性(通常为密码)。
8.3.50 brute-force attack: 暴力破解攻击
为了发现已知身份(也就是用户名)的密码而针对系统发起的攻击。为了找到某个账户的密码,暴力破解攻击会使用所有可能的字符组合进行系统化的测试。
8.3.51 buffer overflow: 缓冲区溢出
这种脆弱性会导致系统崩溃,或者允许用户运行 shell 命令并获得对系统的访问权限。
缓冲区溢出脆弱性在使用 CGI 或其他语言快速开发的 Web 代码中尤为普遍,快速代码开发允许没有经验的程序设计人员快速生成交互式的网页。
8.3.52 business attack: 商业攻击
专门非法获取组织机密信息的攻击。
8.3.53 Business Continuity Planning: 业务连续性计划(BCP)
涉及对各种组织过程的风险评估,还有在发生这些风险时,为了让它们对组织的影响降到最小程度而建立的各种策略、计划和措施。
8.3.54 Business Impact Assessment: 业务影响评估(BIA)
确定能够决定组织持续发展的资源,以及对这些资源的威胁,并且还评估每种威胁实际出现的可能性以及出现的威胁对业务的影响,也被称为业务影响分析(BIA) 。
8.4 C
8.4.1 高速缓存 RAM
将数据从速度较慢的设备中取出并暂时存储在高性能设备中的过程,以便在希望的时候可以重复使用。
8.4.2 凯撒密码
Julius Caesar 将字母表中的每个字母都替换为其后的第三个字母。
8.4.3 Campus Area Network: 园区网(CAN)
跨越学院、大学或复杂的多建筑物办公环境的网络。
8.4.4 candidate key: 候选键
用于唯一标识表中任何记录的属性、列和域的子集。
8.4.5 capability list: 功能列表
访问控制表的每一行就是功能列表。功能列表与主体相关,其中列出了可以在每个客体上进行的操作。
8.4.6 captive portal: 强制门户
一种认证技术,它将新连接的无线 Web 客户端重定向到强制门户访问控制页面。这个门户页面可能需要用户输入付款信息、提供登录凭据或输入访问代码。
8.4.7 cardinality: 基数
关系数据库中行的数量。
8.4.8 Counter Mode with Cipher Block Chaining Message Authentication Code Protocol: 计数器模式密码块链接消息认证码协议(CCMP) 设计用于替代 WEP 和 TKIP/WPA ,使用 128 位密钥的 AES(高级加密标准)作为密文流。
8.4.9 cell suppression: 单元抑制
对数据库内部单独的数据项进行抑制(或隐藏)的操作,以便阻止聚合或推理攻击。
8.4.10 centralized access control: 集中式访问控制
一种控制方法,所有授权验证都由系统中的一个单独实体来执行。
8.4.11 central ized alarm system: 集中式警报系统
一种警报系统,在警报被触发时会通过信号通知远程或集中式监控站。
8.4.12 certificate: 证书
被认可的个人公钥的副本,用于验证他们的身份。
8.4.13 Certificate Authority: 证书授权机构(CA)
一个认证和分发数字证书的机构。
8.4.14 Certificate Path Validation: 证书路径验证(CPV)
从原始起点或可信根源至相关服务器或客户端的证书路径中的每个证书都应当考虑其是否有效与合法。
8.4.15 Certificate Revocation List: 证书撤消列表(CRL)
由证书授权机构在证书到期之前撤消的证书列表。
8.4.16 certification: 认证
用于支持鉴定过程,对町系统和其他安全措施的技术和非技术安全性特点进行全面评估, 以便确定具体设计和实现满足一系列指定安全性需求的程度。
8.4.17 chain of evidence: 证据链
在法庭上唯一标识客体的过程,也被称为监管链。
8.4.18 Challenge Handshake Authentication Protocol: 挑战握手验证协议(CHAP) 用在 PPP 链接上的一种身份认证协议。CHAP 对用户名和密码进行加密。
8.4.19 change management: 变更管理
为了确保任何变更都不会降低或危及安全性而用于记录和监控环境变化的手段。
8.4.20 Channel Service UniUData Service Unit: 信道服务单元/ 数据服务单元(CSU/DSU) 将 LAN 信号转换为 WAN 网络所使用格式的边界连接设备,反之亦然。
8.4.21 checklist test: 清单测试
向灾难恢复团队的成员分发灾难恢复清单的副本,供他们审查的过程。
8.4.22 Children’s Online Privacy Protection Act: 儿童联机隐私保护法案(COPPA) 美国对面向孩子或有意收集孩子信息的网站提出明确要求的法律。
8.4.23 chosen cipher-text attack: 选定密文攻击
在这种攻击中,攻击者具有解密所选定的部分密文消息的能力。
8.4.24 chosen plai n-text attack: 选定明文攻击
在这种攻击中,攻击者具有加密他们所选定的明文消息的能力,然后对加密算法的密文输出结果进行分析。
8.4.25 CIA: 三元组
三条主要安全原则的名字,这三条安全原则是: 机密性、完整性和可用性。
8.4.26 cipher: 密码
隐藏消息真正含义的系统。密码使用不同的技术修改并且/或者重新排列消息中的字母或词语,从而获得机密性。
8.4.27 Cipher Block Chaining: 密码分组链接(CBC)
未加密文本的每个分组在使用 DES 算法加密之前都与正好在其前面的密文分组进行异或操作的一种过程。
8.4.28 Cipher Feedback: 密码回馈(CFB)
在这种模式中,DES 算法被用于加密之前的密文分组。这个分组随后与下一个明文分组异或,从而生成下一个密文分组。
8.4.29 cipher text: 密文
己加密的用于传输的消息。
8.4.30 circuit-Ievel gateway firewall: 电路级网关防火墙
用于在可信合作伙伴之间建立通信会话的防火墙。它在 OSI 模型的会话层(第 5 层)上工作。
8.4.31 civil laws: 民法
民法形成了美国法律体系的大部分。它们被设计用于维护有秩序的社会,并且管理不属于犯罪行为但需要一位公正的仲裁人来解决个人之间和组织之间存在争议的问题。
8.4.32 Clark-Wilson 模型
采用有限接口或程序控制和维护客体完整性的一种模型。
8.4.33 class: 类
在面向对象编程术语和技术中,一组对象中定义对象行为的常用方法的集合就是类。
8.4.34 classification: 分类
应用于某资源的标签,从而指示其对于组织的敏感度或价值,因此指定了保护该资源的必要安全级别。
8.4.35 classification level: 分类级别
安全标签的另一种示。客体和主体被分配的重要性或价值。
8.4.36 clean power: 平稳的电力供应
没有波动的纯电力。
8.4.37 clearing: 清除
为了介质能在同等的安全环境中被重复使用而彻底删除介质上保存的所有数据的一种
方法,也被称为覆盖。
8.4.38 click-wrap license agreement: 单击包装许可证协议
一种软件协议,其中的合同条款或者写在软件包装盒外,或者包括在软件文档中。在安装过程中,你会被要求单击一个按钮,表示你已经阅读了协议条款,并且同意遵守这些条款。
8.4.39 clipping level: 阈值级别
违规分析审计中使用的阈值。超过阈值级别就触发将相关事件数据记录到审计日志中的操作。
8.4.40 Closed-Circuit TeleVision: 闭路电视(CCTV)
一种使用了视频摄像机和视频记录设备的安全系统。
8.4.41 cloud computing: 云计算
一个计算的概念,即处理和存储是通过网络连接而非本地进行。
8.4.42 clustering: 群集(也被称为密钥群集)
密码学中的一个缺点,此时使用相同的算法但密钥不同,明文消息会生成完全相同的密文消息。
8.4.43 coaxial cable 或 coax: 同轴电缆
同轴电缆的中心是一根铜钱,外面包着一层绝缘物质,再往外是一层导电的编织屏敲物, 并且由最外面的绝缘外皮包裹着。同轴电缆能够抵抗电磁干扰(El\旬,拥有较低的价格并且容易安装。
8.4.44 code: 编码
代表词或短语,并且有时是秘密符号的密码系统,但它们不一定意味着提供机密性。
8.4.45 code repository: 代码仓库
软件开发需要共同努力,大型软件项目需要开发团队可以同时承担代码不同部分的工作。代码仓库是开发人员放置源代码的中心存储点。
8.4.46 cognitive password: 感知密码
密码身份认证因素的一个变体,它会询问一系列的问题,这些问题的事实或预定义的响应应该只有主体才知道。
8.4.47 cohesive 或 cohesiveness: 内聚或内聚性
如果某个对象能够在不需要或只需要少量来自其他对象的帮助的情况下完成任务,那么这个对象就高度内聚。高度内聚的对象不像较少内聚的对象那样依赖其他对象。高度内聚的对象往往更好。内聚程度很高的对象能够独自完成任务,并且具有低耦合。
8.4.48 cold sites: 冷站点
备用设施有足够大的地方处理组织的运营工作,并带有适当的电子和环境支持系统。
8.4.49 collision: 共谋
许多人之间实施未授权或违法行为的约定。
8.4.50 collision domain: 冲突域
冲突域是一个互联系统组,如果组内的任何两个(或多个)系统同时进行传输,那么就会发生冲突。
8.4.51 columnar transposition: 换位密码
换位密码使用某种加密算法重新排列明文消息中的字母,从而形成密文消息。
8.4.52 commercial business/private sector classification: 商业企业/私营部门分类 安全标签通常用在公司使用的安全系统中。常见的公司或商业安全标签包括秘密、专用、隐私、敏感和公开。
8.4.53 Committed Information Rate: 待发信息速率(CIR)
对一条虚电路按合同的最小带宽给予保证。
8.4.54 Common Access Card: 通用访问卡(CAC)
美国政府内部人员使用的一种卡,里面包含了所有者的照片和其他识别信息。它可以用作徽章和智能卡。
8.4.55 Common Body of Knowledge: 通用知识体系(CBK)
由(ISC)2 规定的知识领域,作为 CISSP 考试的知识源。
8.4.56 common mode noise: 普通模式噪声
由电源或运转的电子设备的火线和地线之间的电势差产生的电磁干扰噪声。
8.4.57 Common Object Request Broker Architecture: 公共对象请求代理体系结构(CORBA) 一个针对分布式计算的国际标准。CORBA 支持在计算机上的代码操作能够定位网络中其他位置的资源。
8.4.58 community cloud: 社区云
社区云部署模型,为两个或多个组织提供云基础资产。维护责任根据对资产和服务模型的管理来分配。
8.4.59 companion virus: 同伴病毒
文件感染病毒的一种变体。同伴病毒是自包含的可执行文件,它利用与合法的操作系统文件类似但又稍有不同的文件名来躲避检查。
8.4.60 compartmented security mode: 分隔安全模式
系统处理两种或更多种类型的分隔信息的安全模式。所有系统用户只有具有恰当的许可才能访问由系统处理的所有信息,但是他们不必知道系统中的所有信息。
8.4.61 compensation access control: 补偿访问控制
这种访问控制类型为其他己有的控制提供有助于实施和支持安全策略的各种选项。
8.4.62 competent: 法定资格
证据的一种特性要求证据必须具有法定资格,这意味着必须合法获得证据。由于不具备法定资格,因此非法搜查所获得的证据是不被认可的。
8.4.63 compiled language: 编译语言
在分发或执行前被转换为机器语言的一种计算机语言。
8.4.64 compiler: 编译器
编程人员可以使用将高级语言转换为在特定操作系统中使用的可执行文件的编程工具。
8.4.65 compliance testing: 合规性测试
另一种常见的审计应用。验证系统是否遵守法律、规章制度、基准、指导原则、标准和策略,它是维护任何环境安全性的一个重要部分。
8.4.66 Component Object Model: 组件对象模型(COM)
它是 Microsoft 的标准,被用于进程内的组件或者在同一系统上运行的多个进程之间的组件。
8.4.67 compromise: 破坏
如果系统安全被攻破,那么系统就被认为受到破坏。
8.4.68 computer architecture: 计算机体系结构
从逻辑层次考虑的计算系统构造的工程学原理。
8.4.69 computer crime: 计算机犯罪
任何利用计算机或针对计算机的犯罪行为。
8.4.70 Computer Fraud and Abuse Act: 计算机诈骗和滥用法案 一项美国法律,专门用于跨越州边界的计算机犯罪,避免违反州的权力。
8.4.71 Computer Security Act of 1987: 1987 年的计算机安全法案(CSA) 一项美国法律,对所有联邦机构的强制安全要求基准。
8.4.72 computer security incident: 计算机安全事件
组织内安全策略或实践的违反,或迫在眉睫的威胁的违反。计算机安全事件是攻击、恶意软件感染或员工不当使用的结果。
8.4.73 conclusive evidence: 结论性证据
优先于其他证据形式的无可辩驳的证据。
8.4.74 concurrency: 并发性
这种安全机制试图使数据库中存储的数据始终是正确的或者至少其完整性和可用性受到保护。并发性使用"锁定"功能允许己授权用户更改数据,只有在完成所有更改后才能"解锁"数据元素。
8.4.75 confidential: 机密的
一种政府/军方用于具有机密特性的数据分类。未经授权而泄露机密数据将会导致重大后果,并导致对国家安全的严重破坏。这个分类级别用于处在"秘密"级别和"敏感但未分类" 级别之间的所有数据。
8.4.76 confidentiality: 机密性
确保信息不会未经授权而泄露,并且定义的保密级别在整个主体-客体交互过程中都会得到保持。
8.4.77 configuration management: 配置管理
随时间推移与安全控制和安全机制相关的日志记录、审计和监控活动。这些数据被用于标识变化的主动者,无论其是客体、主体、程序还是通信路径,甚至是网络本身。
8.4.78 confinement 或 confinement property: 限制或限制属性 允许一个进程只能从确定的内存地址和资源中读取和写入数据的原则,也可以被称为 Bell-LaPadula 模型的*(星)安全属性。
8.4.79 confusion: 混淆
出现在明文和密钥的关系十分复杂的时候,黑客不能继续通过修改明文和分析产生的密文来确定密钥。
8.4.80 consistency: 一致性
所有数据库事务处理的 4 个必备特征之一(其他 3 个特征是原子性、隔离性和持久性)。所有事务处理都必须在与数据库所有规则一致的环境中开始操作。
8.4.81 contamination: 污染
具有不同分类级别和/或"知其所需"要求的数据相混合的结果。
8.4.82 content-dependent access control: 内容相关的访问控制 基于客体内容或有效负载的访问控制形式。
8.4.83 Content-Distribution Networks 或 Content Delivery Networks: 内容分发网络或内容转发网络(CDN) 资源服务的集合,被部署在互联网的许多数据中心以提供低延迟、高性能、高可用性和承载的内容。CDN 通过分布式数据主机提供客户所需的多媒体性能质量。
8.4.84 context-dependent access control: 内容相关的访问控制 基于客体内容或有效负载的访问控制形式。
8.4.85 continuity: 连续性
企业可以达到的目标,通过制定计划和程序帮助减轻灾又制才其连续性操作的影响,并且加快恢复到正常运营的速度。
8.4.86 contractual license agreement: 合同许可证协议
在软件商和用户之间概述双方责任的书面合同。
8.4.87 control:控制
使用访问规则或措施来限制主体对客体的访问。
8.4.88 Control Objectives for Information and Related Technology: 信息及相关技术控制目标 (COBIT)是一种安全概念基础架构,用于组织公司的复杂安全解决方案。
8.4.89 controls gap: 控制差距
风险总计和剩余风险之间的差值。
8.4.90 converged protocols: 汇聚协议
专业或专有协议和标准协议的融合,例如 TCP/IP 协议。一些汇聚协议常见的例子: FCoE、MPLS、iSCSI 手口 VoIP 。
8.4.91 Copper Distributed Data Interface: 铜线分布式数据接口(CDDI) 使用双绞线(也就是铜钱)部署的 FDDI。它将最大的跨度减少至 100 米,并且容易遭到
干扰。
8.4.92 copyright: 版权
保护创作者的"原创作品"不遭受未经授权的复制的法律。
8.4.93 corrective access control: 纠正性访问控制
为了在不必要的或未授权的操作发生后将系统还原到正常状态而部署的访问控制。例如, 纠正性访问控制包括警报、陷阱和安全策略等。
8.4.94 corrective controls: 纠正式控制
使用指导说明、规程或指导原则改变不希望的行为(如攻击或错误)的影响。
8.4.95 countermeasures: 对策
针对攻击修补漏洞或保护系统的动作。对策可能包括改变访问控制、重新配置安全设置、安装新的安全设备或机制、增加或删除服务等。
8.4.96 coupling: 耦合
耦合是对象之间的交互级别。低耦合意味着较少的交互。因为对象更为独立,所以低耦合提供了更优的软件设计。低耦合更易于检测故障和更新。内聚程度较低的对象需要大量来自其他对象的帮助才能完成任务,并且具有高耦合。
8.4.97 covert channel: 隐蔽通道
数据可以不按照常规的、期望的或可检测的方法进行传输的一种手段。
8.4.98 covert storage channel: 存储隐蔽通道
通过将数据写入一个其他进程可以读到的公共存储区域来传递信息的通道。
8.4.99 cove 时 timing channel: 时间隐蔽通道
以一种可预测的方式,通过改变系统组件的性能或更改资源的时间安排来传递信息的一种通道。
8.4.100 cracker: 破坏者
企图对个人或系统发动攻击的恶意用户。破坏者可能受贪婪、权力或成名因素的驱使。他们的行为可能导致财产(数据、计划等)被盗、系统被关闭、安全性受到破坏、负面的公众意见、市场占有份额下降、收益率降低和丧失生产率。
8.4.101 credential management system: 证书管理系统
当单点登录(SSO)不可用时,为用户提供存储空间以保留其凭据的解决方案。用户可为需要一套不同凭证的网站和网络资源存储凭证。该管理系统确保这些凭证己加密,从而防止未经授权的访问。
8.4.102 creeping privilege(s): 蠕变的特权
用户账户经过一段时间积累的特权,在这段时间内,用户的作业角色以及被指派的工作任务不断发生变化。
8.4.103 criminal law: 刑法
警察和其他执法机构执行的法律主体。刑法包含针对某些行为的禁令,如谋杀、伤害、抢劫、纵火和类似的犯罪。
8.4.104 critical path analysis: 关键路径分析
一种系统工作,可以确定关键任务应用、过程和操作以及所有必要的支持要素之间的关系。
8.4.105 criticality prioritization: 关键性优先顺序
BCP/DRP 创建期间关键资产和过程的优先顺序。
8.4.106 Cross-Site Request Forgery: 跨站请求伪造(CSRF)
利用受信用户通过用户浏览器对易受攻击的服务器执行命令的一种 Web 攻击,也被称为 XSRF。
8.4.107 Cross-Site Scripting: 跨站脚本(XSS )
当网站包含某种类型的反射式输入时,存在的一种 Web 应用程序攻击形式。经常利用
脚本注入。
8.4.108 Crossover Error Rate: 错误率交叉点(CER)
在这一点上,误接受率(FAR)等于误拒绝率(FRR)。为了比较不同生物测定设备的性能,从这一点开始测量性能。
8.4.109 Cryptanalysis: 密码分析
破解编码和密码的研究方法。
8.4.110 cryptographic key: 密码学密钥
密码学密钥为用于加密和解密的密码学算法提供"安全"部分。
8.4.111 cryptography: 密码学
应用于数据的算法,用于确保机密性、完整性、身份认证和/或不可否认性。
8.4.112 Cryptology: 密码学
密码术与密码分析学一起被称为密码学。
8.4.113 Cryptosystem: 密码系统
通信双方使用共享密钥或公钥和私钥对的系统,用于帮助提供通信的安全保护。
8.4.114 Cryptovariable:密码变量
用于执行加密和解密操作的密钥的另一个名字。
8.4.115 custodian: 监管者
被分配或委派要对客体进行日常的分类和标记工作,并且负责适当的存储和保护工作的人。监管者常常就是 IT 人员或系统安全管理员。
8.4.116 cyber-physical: 物联网
指提供一种计算设备来控制物理世界中事物的术语。在过去,这些可能被称为嵌入式系统,但物联网的类别似乎更侧重于物理世界的结果,而不是计算方面。参见物联网(IoT) 。
8.4.117 Cyclic Redundancy Check: 循环冗余校验(CRC)
与哈希总数类似的一个数值,它指出信息是否在传输过程中己被修改或破坏。
8.5 D
8.5.1 darknet: 黑暗网络
未使用的网络空间部分,用于监视基于网络的攻击和流量。
8.5.2 data analytics: 数据分析
对原始数据进行检查的科学,检查重点是从大量的信息中提取有用的信息。数据分析的结果可以集中在重要的异常值,或正常之外的例外或标准项,或所有数据项的总结,或一些集中的提取和有兴趣信息的组织。
8.5.3 Data Circuit-terminating Equipment: 数据链路终端设备 (DCE)
一种网络连接设备,在帧中继上执行实际的数据传输,以及为用户建立和维护虚电路。
8.5.4 data classificati on: 数据分类
按标签组织数据,以便应用安全控制和访问限制。
8.5.5 data controller: 数据处理者
在欧盟数据保护法条文中将数据处理者定义为控制数据过程的人或实体。
8.5.6 data custod ian: 数据监管者
被指派实施安全策略和上层管理部门所规定保护任务的用户。数据监管者执行所有必要
的措施,从而为数据提供适当的保护,并完成上层管理部门委派的要求和责任。
8.5.7 Data Definition Language: 数据定义语言(DDL)
允许创建和更改数据库结构(也被称为模式)的数据库编程语言。
8.5.8 data dictionary: 数据字典
数据元素及其关系的集中存放处。存储与数据用法、关系、源和格式相关的关键信息。
8.5.9 data diddling: 数据欺骗
对数据进行小改动的行为,通常意图是恶意的。
8.5.10 Data Encryption Standard: 数据加密标准(DES)
1997 年对所有政府通信提出的标准密码系统。尽管它在 2001 年被高级加密标准(AES) 所代替,但是很多政府机构今天仍继续在密码学应用中使用 DES。
8.5.11 data extraction: 数据抽取
为了构建有意义的表示法或整体数据的概述,从大量的数据中抽取要素的过程。
8.5.12 datagram: 数据报
传输层 UDP 报头和有效载荷的组合。
8.5.13 data hiding: 数据隐藏
避免让主体知道数据存在的过程。
8.5.14 Data Link Layer: 数据链路层
OSI 模型的第 2 层。
8.5.15 Data Loss Prevention: 数据丢失防护(DLP)
系统能够检测和阻止数据泄露的企图。
8.5.16 Data Manipulation Language: 数据操纵语言(DML)
允许用户与模式内包含的数据交互的数据库编程语言。
8.5.17 data mart: 数据集市
用于保护元数据安全的存储设施。
8.5.18 data mining: 数据挖掘
准许分析人员对数据仓库进行搜索,从而寻找历史数据中潜在的相关信息的技术。
8.5.19 data owner: 数据所有者
负责为安全解决方案内的放置和保护进行信息分类的人。
8.5.20 data processor: 数据处理者
欧盟数据保护法将数据处理者定义为"一个自然人或法人,他拥有个人资料,仅代表数据控制者的利益。"
8.5.21 data remanence: 数据剩磁
在数据被移除之后仍保留在介质上的数据。清除和清理方法尝试确保从介质中删除所有数据而没有任何数据剩余。
8.5.22 data stream: 数据流
来自应用层的数据被发送到协议栈。数据流成为顶层协议的初始有效载荷。
8.5.23 Data Terminal Equipment: 数据终端设备(DTE)
一种网络连接设备,像一台路由器或交换机,为用户的网络提供到帧中继网络的接入。
8.5.24 data warehouse: 数据仓库
大型数据库,它存储了大量用于专用分析技术的来自多个数据库的信息。
8.5.25 database: 数据库
为组织收集到的信息而采用的电子整理汇集系统。大多数数据库由文件、记录和字段组织起来。
8.5.26 database contamination: 数据库污染
当不同值、分类、安全域中的数据或记录混合在一起时会发生的事情,可能是一种完整性和机密性形式的违反。
8.5.27 Database Management System: 数 据 库 管 理 系 统 ( DBMS)
可以对数据库中的信息应用存储、修改和抽取。
8.5.28 database partitioning: 数据库分区
将一个数据库分为若干更小的部分或单独的数据库,通常用于分隔开具有不同敏感度标签的内容。
8.5.29 dead zone: 死区网络
一种网络段,IPX 和 AppleTalk 都可作为 IP 协议网关,替代实现 IP 方案。
8.5.30 decentralized access control: 分散式访问控制
一种访问控制系统,其中授权验证由整个系统中的不同实体执行。
8.5.31 Decision Support System: 决策支持系统(DSS)
这种应用分析业务数据并且以更容易做出业务决策的形式提供给用户。决策支持系统更多地被视为信息型应用,而不是操作型应用。DSS 常常被知识型员工(例如服务台人员或客户支持人员)和销售服务人员(例如电话推销员)所使用。
8.5.32 declassification: 降低机密等级
在资源的价值不再值得受到更高分类级别的安全保护时将之移至更低分类等级的过程。
8.5.33 decrypting: 解密
反向用于加密消息的密码算法过程。
8.5.34 dedicated security mode: 专用安全模式
运行在专用安全模式中的系统经过授权每次只处理一个具体的分类级别,并且所有系统用户必须具有许可和了解这些信息的需求。
8.5.35 deencapsulation: 拆封
在 PDU 沿 OSI 模型的各层向上传输时,从 PDU 中剥离层的头和尾的过程。
8.5.36 defense-in-depth: 深度防御
安全的分层方法。实现了多层安全性,攻击者需要绕过多个安全控制才能成功。
8.5.37 degaussing: 消磁
使用磁体恢复介质到最初未被使用的状态。
8.5.38 degree: 度
关系数据库中列的数量。
8.5.39 delegation: 委托
在面向对象编程环境中,将某个对象的请求转发给另一个对象或代理。如果某个对象没有处理特定消息的方法,那么就需要委托。
8.5.40 Delphi 技术
一个匿名反馈和响应过程,这个过程被用于达成一致意见。
8.5.41 delta 规则
也被称为学习规则。它是专家系统的特性,这种特性允许专家系统从经验中加以学习。
8.5.42 deluge system: 洪水系统
干管道(火灾抑制)系统的另外一种形式,它使用较粗的管道,因此能排出大股的水流。洪水系统对于放置了电子设备和计算机的环境不太适合。
8.5.43 Denial of Service: 拒绝服务攻击(DoS)
阻止系统对针对资源和客体的合法通信或请求进行处理或响应的一种攻击类型。
8.5.44 detective access control: 检测性访问控制
为了发现不必要的或未授权的操作的出现而部署的访问控制。例如,检测性访问控制包括保安、监督用户、事故调查和入侵检测系统(IDS)。
8.5.45 deterrent access control: 威慑性访问控制
为了防止安全策略违规的访问控制。
8.5.46 DevOps 方法
DevOps 方法通过将三种职能集中在一个操作模式中来解决软件开发、质量保证和技术操作的问题。DevOps 这个词是开发和操作的组合,表示这些功能必须合井和合作才能满足业务需求。
8.5.47 dictionary attack: 字典攻击
一种攻击系统的形式,用于发现已知身份(也就是用户名)的密码。在字典攻击中,常用密码和字典单词的脚本被用来试图发现账户的密码。
8.5.48 differential backup: 差异备份
一种备份类型,存储那些自从最近一次完整备份以来被修改过的所有文件。
8.5.49 Diffie-Hellman: 算法
在双方可能需要相互通信但是没有物理手段交换密钥内容,并且没有公钥基础设施便于交换保密密钥时使用的密钥交换算法。
8.5.50 diffusion: 扩散
明文的一处变化导致整个密文的多处变化。
8.5.51 Digital Millennium Copyright Act: 数字千禧年版权法案
此法律阻止那些挫败由版权所有者用于受保护作品的版权保护机制的企图,并且还限制了互联网服务提供商的线路被罪犯用于违反版权法时应负的责任。
8.5.52 Digital Rights Management: 数字版权管理(ORM)
一种使用加密来保护数字介质上版权限制的保护软件。在过去十年中,发布商尝试在包括音乐、电影和书籍的各种介质类型中部署 DRM 方案。
8.5.53 digital signature: 数字签名
数字签名可以向接收者保证消息的确来自声明的发送者,消息在发送者和接收者之间进行传输的过程中未被改变。
8.5.54 Digital Signature Standard: 数字签名标准(DSS)
这个标准指出联邦政府批准的所有数字签名算法都必须使用安全的散列函数。
8.5.55 direct addressing: 直接寻址
向 CPU 提供要被访问的存储器位置的实际地址。
8.5.56 direct evidence: 直接证据
通过基于证人五官感知收集信息的言辞证据证明或反驳特定行为的证据。
8.5.57 Direct Memory Access: 直接内存访问(DMA)
不需要 CPU 帮助就可以直接交换实际存储器数据(RAM)的机制。
8.5.58 Direct Sequence Spread Spectrum: 直接序列扩频(DSSS)
以并行方式同时利用所有可用频率的一种无线技术。
8.5.59 directive access control: 指令性访问控制
这种访问控制指示、限制或控制主体的活动,从而强制或鼓励主体服从安全策略。
8.5.60 directory service: 目录服务
网络中可用资源的集中化数据库,可以被理解为网络服务与资产的电话号码簿。用户、客户端和进程可以通过查阅目录服务了解所期望系统或资源的驻留位置。
8.5.61 disaster: 灾难
给系统或环境带来很大伤害、损失或破坏的事件。
8.5.62 disaster recovery plan: 灾难恢复计划
为了尽可能快地将业务还原到正常运营而需要的指导恢复工作的文档。
8.5.63 Disaster Recovery Planning: 灾难恢复计划编制(DRP)
描述了组织在灾难发生并打断正常的业务活动之后为恢复正常运营而采取的措施。
8.5.64 discretionary access control: 自主访问控制
用于控制对客体访问的一种机制。客体的所有者或创建者控制和定义主体对客体的访问。
8.5.65 discretionary security property: 自主安全属性
这个属性规定系统使用访问控制表来实施自主访问控制。
8.5.66 distance vector routing protocol: 距离矢量路由协议
一种路由协议,维护目的网络以及距离和方向的跳数的列表(也就是到达目的地所经过的路由器数量) 。
8.5.67 distributed access control: 分布式访问控制
访问控制的一种形式,其中授权验证由整个系统的不同实体进行。
8.5.68 distributed architecture: 分布式体系结构
网络的客户端/服务器模型,其中客户端可以是本地的或通过 WAN 链路(包括 VPN 和互联网)连接。
8.5.69 Distributed Component Object Model: 分布式组件对象模型(OCOM) 扩展了 COM 的概念,从而支持分布式计算。这是 Microsoft 公司针对 CORBA 的解决方案。
8.5.70 Distributed Control Systems: 集散控制系统(DCS)
DCS 单元通常可以在工业处理方案中看到,它负责从单个地点的大型网络环境中收集数据和实施控制,它是非常重要的。DCS 系统的一个重要方面是控制分布在所监测环境中的元件,如制造车间或生产线和集中监控场所,向局部控制器发送命令,同时收集状态和性能数据。
8.5.71 distributed data model: 分布式数据模型
在分布式数据模型中,数据存储在多个数据库中,不过依然是逻辑连接的。即使数据库由通过网络相互连接的许多部分组成,用户仍然将数据库理解为单个实体。每个字段都具有许多子字段和父字段。因此数据映射关系是多对多关系。
8.5.72 Distributed Denial of Service: 分布式拒绝服务攻击 (DDoS)
当攻击者对多个系统的安全造成威胁并将它们当作发动对其他一个或多个受害系统攻击的平台时,就会发生分布式拒绝服务攻击。在攻击中使用的受威胁系统通常被称为从属系统或僵尸。DDoS 攻击使用来自多个源的数据导致受害系统泛洪。
8.5.73 Distributed Reflective Denial of Service: 分布式反射拒绝服务(DRDoS) DRDoS 攻击利用了主要互联网服务的常规操作机制,这些服务包括 DNS 和路由器更新协议。通过将受害者的地址用为欺骗的源地址,DRDoS 攻击会向各种互联网服务的服务器或路由器发送众多更新、会话或控制包。DRoS 攻击可能导致过多的通信数据,从而使上游
系统受到受害者过量数据的负面影响。
8.5.74 DNS 投毒
改变或伪造 DNS 信息(例如 HOSTS 文件、DNS 缓存服务器或授权 DNS 服务器)以便路由或误导合法通信的行为。
8.5.75 DNS 欺骗
使用一台欺诈的 DNS 服务器更改或伪造 DNS 信息并发送假的 DNS 应答的行为,从而导致路由或误导合法流量。
8.5.76 documentary evidence: 文档证据
所有带到法庭上证明事实的书面内容。这种证据类型还必须经过验证。
8.5.77 documentation review: 文档审查
阅读交换材料并利用标准和期望对其进行检验的过程。
8.5.78 domain: 域或领域
- 一个信任范围,或者共享共同安全策略的主体和客体的集合。每个域的访问控制与其他域的访问控制是独立维护的。在涉及多个域时会导致分散式访问控制。2) CISSP 考试的一个研究领域。
8.5.79 DREAD
风险评级系统设计用于提供灵活评级解决方案,基于对每个威胁的 5 个主要问题: 破坏潜力、可重复性、可利用性、受影响用户和可发现性。
8.5.80 drive-by download: 偷渡式下载
在用户不知情的情况下下载代码和安装。攻击者有时会修改合法网站上的代码,以包含偷渡式下载。他们还托管自己的恶意网站,并使用网络钓鱼或重定向方法将用