ＩＣＳ ３５．０４０ Ｌ ８０ 囝雷 中华人民共和国国家标准 ＧＢ／Ｔ ２５０６９－－２０ １ ０ 信息安全技术 Ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ ２０１０－０９—０２发布 术语 ｔｅｃｈｎｏｌｏｇｙ－－Ｇｌｏｓｓａｒｙ ２０１卜０２－０１实施 宰瞀鹊鬻瓣警糌瞥霎发布 中国国家标准化管理委员会“”。 前Ⅳ●●●０昌；∞∞弱 次 目 １０Ⅲ ２５０６９－－２０ ＧＢ／Ｔ 英文对应词索引…………………………’’……‘ 汉语拼音索引………・…………………………‘‘ 索引……・・………………………………………＋ ２．３管理类………………………’……………’’ ２．２技术类……………………………………一 ２．１一般概念………・・……・…………………“ ２术语和定义…………………………………。’ １范围………………………………・…・……… 引言…・…・・………………’……………’’……… 言……………………………………………… ＧＢ／Ｔ ２５０６９－－２０１０ 前 言 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ ２６０）提出并归口。 本标准的主要起草单位：中国电子技术标准化研究所、解放军信息安全测评认证中心、公安部三所、 中国信息安全产品测评中・ＩＬ，、国家保密技术研究所、中科院软件所、北京知识安全工程中心。 本标准的主要起草人：王延鸣、罗锋盈、胡啸、上官晓丽、陈星、许玉娜、任卫红、刘海龙、吉增瑞、 龚奇敏。 Ⅲ 制定信息安全技术术语标准的目的是为了方便信息安全技术的国内外交流。它给出了与信息安全 言 引 ２５０６９－－２０１０ ＧＢ／Ｔ Ⅳ 险管理等基本概念及相关的管理技术。 ３）信息安全管理术语，包括管理活动和支持管理活动的技术，主要涉及安全管理、安全测评和风 ２）信息安全技术术语，包括实体类、攻击与保护类、鉴别与密码类、备份与恢复类； １）信息安全一般概念术语； 状，按三部分来组织编制最基本的信息安全术语： 本标准的分类原则是根据国外信息安全术语相关的分类方法，结合国内的实践经验，和国家标准现 领域相关的概念的术语及其定义，并明确了各术语词条之间的关系。 ＧＢ／Ｔ ２５０６９－－２０１０ 信息安全技术术语 １范围 本标准界定了与信息安全技术领域相关的概念的术语和定义，并明确了这些条目之间的关系。 本标准适用于信息安全技术概念的理解，其他信息安全技术标准的制定以及信息安全技术的国内 外交流。 ２术语和定义 一般概念 ２．１ ２．１．１ 保密性ｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ 使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。 ２．１．２ 暴露ｅｘｐｏｓｕｒｅ 特定的攻击利用数据处理系统特定的脆弱性的可能性。 ２．１．３ 抽象语法记法１ Ａｂｓｔｒａｃｔ Ｓｙｎｔａｘ Ｎｏｔａｔｉｏｎ ｏｎｅ 一种用来组织复杂数据的抽象符号体系。 ２，１．４ 对抗［措施］ｃｏｕｎｔｅｒｍｅａｓｕｒｅ 为减小脆弱性而采用的行动、装置、过程、技术或其他措施。 ２．１．５ 封闭安全环境ｃｌｏｓｅｄ－ｓｅｃｕｒｉｔｙ ｅｎｖｉｒｏｎｍｅｎｔ 一种环境，其中通过授权、安全许可、配置控制等形式，进行数据和资源的保护，免受偶然的或恶性 操作。 ２．１．６ 攻击者ａｔｔａｃｋｅｒ 故意利用技术上或非技术上的安全弱点，以窃取或泄露信息系统或网络的资源，或危及信息系统或 网络资源可用性的任何人。 ２．１．７ 规程ｐｒｏｃｅｄｕｒｅ 对执行一个给定任务所采取动作历程的书面描述。 ２．１．８ 骇客ｃｒａｃｋｅｒ／ｃｒａｃｋｉｎｇ 试图攻破他人信息系统安全并获得对其访问权的人。 ２．１．９ 黑客ｈａｃｋｅｒｓ 泛指对网络或联网系统进行未授权访问，但无意窃取或造成损坏的人。黑客的动因被认为是想了 】 ２ 没的行为，例如：发送垃圾邮件。 以极多的数据使资源（网络，服务等）不堪重负的行为。或者以各种不相干或不适当的消息使资源淹 滥发ｓｐａｍｍｉｎｇ ２．１．２２ 系统中可供访问的实体。例如：数据、资源、进程等。 对象ｏｂｊｅｃｔ ２．１．２１ 已授权实体一旦需要就可访问和使用的数据和资源的特性。 可用性ａｖａｉｌａｂｉｌｉｔｙ ２．１．２０ 预期行为和结果保持一致的特性。 可靠性ｒｅｌｉａｂｉｌｉｔｙ ２．１．１９ 确保可将一个实体的行动唯一地追踪到此实体的特性。 可核查性８ｃｃｏｕｎｔａｂｉｌＩｔｙ ２．１．１８ 证明某一动作或事件已经发生的能力．以使事后不能否认这一动作或事件。 抗抵赖ｎｏｎ－ｒｅｐｕｄｉａｔｉｏｎ ２．１．１７ 一种环境，通过普通的操作过程即可获得对数据及资源的保护，使之免受偶然的或恶性的动作。 ｅｎｖｉｒｏｎｍｅｎｔ 开放的安全环境ｏｐｅｎ－ｓｅｃｕｒｉｔｙ ２．１．１６ 在过程或组织的语境中所执行的功能。 角色ｒｏｌｅ ２．１．１５ 通过直接介入，借助计算机系统或网络而进行的诈骗。 ｆｒａｕｄ 计算机诈骗ｃｏｍｐｕｔｅｒ ２．１．１４ 采集、加工、存储、传输、检索等处理的人机系统。 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行 ｓｙｓｔｅｍ ｉｎｆｏｒｍａｔｉｏｎ 计算机信息系统ｃｏｍｐｕｔｅｒ ２．１．１３ 影响或涉及数据处理系统的安全，蓄意的或无意的未经授权操作计算机的活动。 ａｂｕｓｅ 计算机滥用ｃｏｍｐｕｔｅｒ ２．１．１２ 通过直接介入，借助计算机系统或网络而构成的犯罪。 ｃｒｉｍｅ 计算机犯罪ｃｏｍｐｕｔｅｒ ２．１．１１ 危害。 采取适当措施保护数据和资源，使计算机系统免受偶然或恶意的修改、损害，访问、泄露等操作的 ｓｅｃｕｒｉｔｙ 计算机安全ｃｏｍｐｕｔｅｒ ２．１．１０ 解系统如何工作，或是想证明或反驳现有安全措施的有效性。 ２５０６９－－２０１０ ＧＢ／Ｔ ＧＢ／Ｔ ２５０６９－－２０１０ ２．１．２３ 漏报ｆａｌｓｅ ｎｅｇａｔｉｖｅ 攻击发生时检测系统没有报警的情况。 ２．１．２４ 敏感性ｓｅｎｓｉｔｉｖｉｔｙ 信息拥有者分配给信息的一种重要程度的度量，以标出该信息的保护需求。 ２．１．２５ 欺骗ｓｐｏｏｆｉｎｇ 假冒成合法资源或用户的行为。 ２．１．２６ 蠕虫ｗｏｒｍ 一种独立程序，它可通过信息系统或计算机网络进行自身传播，从而造成恶意占用可用资源等 损害。 ２．１．２７ 入侵 ｉｎｔｒｕｓｉｏｎ 对某一网络或联网系统的未经授权的访问，即对某一信息系统的有意无意的未经授权的访问（包括 针对信息的恶意活动）。 ２．１．２８ 入侵者Ｉｎｔｒｕｄｅｒ 针对主机、站点、网络等，正在或已经进行入侵或攻击的人。 ２．１．２９ 入侵者／破解者ｃｒａｃｋｅｒ 未受邀却试图攻破他人的系统安全并获得对其访问权的个人。 ２．１．３０ 熵ｅｎｔｒｏｐｙ 对一个封闭系统的无序性、随机性或变异性等状态的度量。ｘ的熵是对通过观测Ｘ获得信息的一 个数学度量。 ２。１．３１ 熵源ｅｎｔｒｏｐｙ ｓｏｕｒｃｅ 产生输出的部件、设备或事件。当该输出以某种方法捕获和处理时，产生包含熵的比特串。 ２．１．３２ 事态ｅｖｅｎｔ 某些特定数据、情形或活动的发生。 ２．１．３３・ 授权ａｕｔｈｏｒｉｚａｔｉｏｎ 赋予某一主体可实施某些动作的权力的过程。 ２．１．３４ 数据保护ｄａｔａ ｐｒｏｔｅｃｔｉｏｎ 采取管理或技术措施，防范未经授权访问数据。 ２。１．３５ 数据损坏ｄａｔａ ｃｏｒｒｕｐｔｉｏｎ 偶然或故意破坏数据的完整性。 ４ 根据安全策略，为用户提供的某种安全功能及相关的保障。 ｓｅｒｖｉｃｅ 安全服务ｓｅｃｕｒｉｔｙ ２．１．４７ 开发、生产、操作、支撑或处置的系统。 注２：一个系统在它的生存周期中为了满足其需求，往往需簧其他系统。例如，一个运行系统需妥一个为其概念化、 用与系统内容相关的同义词来代替ｔ如产品、飞机等。 注１：在实践中。一个系统经常用与使用有关的名词来定义，如产品系统、飞机系统等。换言之・系统这个词常常可 独达到所要求的整体目的。 具有确定目的的、分立的、可识别的物理实体，由集成的、交互的部件构成，其中每一个部件不能单 系统ｓｙｓｔｅｍ ２．１．４６ 没有攻击时检测系统有报警的情况。 ｐｏｓｉｔｉｖｅ ｆａｌｓｅ 误报 ２．１．４５ 使信息系统安全的某一部分被避开或失去作用的行为，可能产生对信息系统的侵入。 违规ｂｒｅａｃｈ ２．１．４４ 相应于可执行程序指令的处理器指令（例如汇编码）。 ｍｉｃｒｏｃｏｄｅ 微码 ２．１．４３ 保卫资产准确性和完整的特性。 完整性ｉｎｔｅｇｒｉｔｙ ２．１．４２ 运行于公共基础设施上的专网。 ｅｘｔｒａｎｅｔ 外联网 ２．１．４１ 包含地址的短数据串，指向ｗｅｂ上的某个对象。ＵＲＩ。是ＵＲＩ的子集。 Ｉｏｃａｔｏｒ 统一资源定位符ｕｎｉｆｏｒｍ ２．１．４０ 包含名字或地址的短数据申，指向ｗｅｂ上的某个对象。 ＵＲＩ ｉｄｅｎｔｉｆｉｅｒ ｒｅｓｏｕｒｃｅ 统一资源标识符ｕｎｉｆｏｒｍ ２．１．３９ 保护网络中所传输信息的完整性、保密性、可用性等。 ｓｅｃｕｒｉｔｙ 通信安全ｃｏｍｍｕｎｉｃａｔｉｏｎ ２．１．３８ 一种表面无害的程序，它包含恶性逻辑程序，可导致未授权地收集、伪造或破坏数据。 ｈｏｒｓｅ 特洛伊木马ｔｒｏｊａｎ ２．１．３７ 数据没有遭受以未授权方式所作的更改或破坏的特性。 ｉｎｔｅｇｒｉｔｙ 数据完整性ｄａｔａ ２．１．３６ ２５０６９－－２０１０ ＧＢ／Ｔ ＧＢ／Ｔ ２５０６９－－２０ １ ０ ２．１．４８ 系统生存周期ｓｙｓｔｅｍ ｌｉｆｅ ｃｙｃｌｅ 系统从概念到废弃随时间演变的整个过程。 ２．１．４９ 系统完整性ｓｙｓｔｅｍ ｉｎｔｅｇｒｉｔｙ 系统能够以不受损害的方式执行其预定功能，避免对系统故意的或意外的未授权操纵的特性。 ２．１．５０ 泄露ｄｉｓｃｌｏｓｕｒｅ 违反信息安全策略，使数据被未经授权的实体使用。 ２．１．５１ 信任ｔｒｕｓｔ 两个元素之间的一种关系：元素ｚ信任元素Ｙ，当且仅当ｚ确信ｙ相对于一组活动，元素Ｙ将以良 好定义的方式实施，且不违反安全策略。 ２．１．５２ 信息安全ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ 保护、维持信息的保密性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性、可靠性等性质。 ２．１．５３ 信息安全事件ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ ｉｎｃｉｄｅｎｔ 由单个或一系列意外或有害的信息安全事态所组成的，极有可能危害业务运行和威胁信息安全。 ２．１．５４ 信息安全事态ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ ｅｖｅｎｔ 被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违规或某些防护措施失