第 1 章：术语和定义

充分的安全性——与信息丢失、误用或未经授权访问或修改信息所造成的风险和损害程度相称的安全性。资料来源：管理和預算局 通告 A-130
行政控制 -通过政策和程序实施的控制。示例包括访问控制过程和需要多个人员执行特定操作。现代环境中的管理控制通常与物理和/或技术控制一起实施，例如需要招聘经理登录和批准的新用户访问授权策略。
人工智能——计算机和机器人模拟人类智能和行为的能力。
资产- 组织拥有的任何有价值的东西。资产既包括有形项目（如信息系统和实物财产），也包括无形资产（如知识产权）。
身份验证- 访问控制过程，通过比较一个（单因素或 SFA）或多个（多因素身份验证或 藝術碩士）身份因素来验证用户或实体声明的身份是否为系统所知。
授权 -授予系统实体访问系统资源的权利或许可。 NIST 800-82 Rev.2
可用性——确保授权用户及时、可靠地访问和使用信息。
基线- 标准或组织允许的记录在案的最低级别的安全配置。
機器人 - 恶意代码，对攻击者来说就像一个远程控制的“机器人”，具有其他木马和蠕虫功能。
机密或敏感信息- 已确定需要保护以防止未经授权的披露的信息，并以文件形式标记以表明其机密状态和分类级别。
机密性 - 数据或信息在未向未经授权的人员或流程提供或披露时的特征。 NIST 800-66
关键性- 衡量组织依赖信息或信息系统以实现任务或业务功能成功的程度。 NIST SP 800-60 卷。 1，第 1 版

数据完整性- 数据未被以未经授权的方式更改的属性。数据完整性涵盖存储中、处理期间和传输中的数据。来源：NIST SP 800-27 Rev A
加密- 将消息从明文转换为密文的过程和行为。有时它也被称为加密。这两个术语有时在文学作品中可以互换使用，并且具有相似的含义。
通用数据保护条例 (通用數據保護條例) - 2016 年，欧盟通过了涉及个人隐私的综合立法，将其视为个人人权。
治理——组织管理的过程；通常包括如何为该组织做出决策的所有方面，例如组织用于做出这些决策的政策、角色和程序。
健康保险流通与责任法案 (HIPAA) - 该美国联邦法律是美国最重要的医疗保健信息法规。它指导采用电子医疗保健交易的国家标准，同时保护个人健康信息的隐私。其他条款涉及减少欺诈、对拥有健康保险的个人的保护以及广泛的其他与医疗保健相关的活动。美东时间。 1996 年。
影响- 威胁利用漏洞可能造成的损害程度。
信息安全风险- 对组织运营（包括其使命、职能、形象和声誉）、资产、个人、其他组织甚至国家的潜在不利影响，由未经授权的访问、使用、披露、中断的可能性造成、修改或破坏信息和/或信息系统。
电气和电子工程师协会- IEEE 是一个为电信、计算机工程和类似学科制定标准的专业组织。
完整性- 以确保其完整性、准确性、内部一致性和对既定目的有用的方式记录、使用和维护信息的属性。
国际标准组织 (國際標準化組織) - 國際標準化組織 与国际标准化合作伙伴、国际电工委员会 (IEC) 和国际电信联盟 (電聯) 合作制定自愿性国际标准，特别是在信息和通信技术领域.
互联网工程任务组 (IETF) - 互联网标准组织，由网络设计者、运营商、供应商和研究人员组成，通过协作和共识过程定义协议标准（例如，知識產權、TCP、域名系統）。来源：美國國家標準與技術研究院 SP 1800-16B

概率- 潜在漏洞可能在相关威胁环境的构造中发挥作用的概率。
发生的概率- 基于给定威胁能够利用给定漏洞或一组漏洞的概率的主观分析的加权因子。
多因素身份验证- 使用三个身份验证因素（你知道的东西、你拥有的东西、你是的东西）的两个或更多不同的实例来进行身份验证。
美国国家标准与技术研究院 (美國國家標準與技術研究院) - 美國國家標準與技術研究院 是美国商务部的一部分，负责美国联邦政府内科技工作中的测量基础设施。 美國國家標準與技術研究院 在多个领域制定标准，包括计算机安全部门的计算机安全资源中心内的信息安全。
不可否认性- 无法拒绝采取行动，例如创建信息、批准信息以及发送或接收消息。
个人身份信息 (PII) - 美国国家标准与技术研究院 (美國國家標準與技術研究院) 在其特别出版物 800-122 中将 PII 定义为“由机构维护的有关个人的任何信息，包括 (1) 任何可以使用的信息区分或追踪个人身份，例如姓名、社会安全号码、出生日期和地点、母亲的婚前姓名或生物特征记录； (2) 与个人相关的或可链接的任何其他信息，例如医疗、教育、财务和就业信息。”
物理控制- 通过有形机制实施的控制。示例包括墙壁、栅栏、警卫、锁等。在现代组织中，许多物理控制系统都与技术/逻辑系统相关联，例如与门锁相连的徽章阅读器。
隐私- 个人控制有关他们自己的信息的分发的权利。
概率- 给定威胁能够利用给定漏洞或一组漏洞的机会或概率。来源：美國國家標準與技術研究院 SP 800-30 Rev. 1
受保护的健康信息 (個人健康指數) - 有关健康状况、医疗保健提供或 HIPAA（健康保险流通与责任法案）中定义的医疗保健支付的信息。

定性风险分析- 一种风险分析方法，基于分配的描述符，例如低、中或高。来源：NISTIR 8286
定量风险分析- 一种风险分析方法，其中基于统计概率和损失或收益的货币化估值将数值分配给影响和可能性。来源：NISTIR 8286
风险- 可能对组织产生负面影响的事件。
风险接受——确定业务功能的潜在收益超过可能的风险影响/可能性，并在不采取其他行动的情况下执行该业务功能。
风险评估 - 识别和分析组织运营（包括使命、职能、形象或声誉）、组织资产、个人和其他组织风险的过程。作为风险管理的一部分执行的分析，包括威胁和漏洞分析，并考虑计划或到位的安全控制提供的缓解措施。
风险规避- 确定特定风险的影响和/或可能性太大而无法被潜在收益抵消，并且由于该确定而无法执行特定业务功能。
风险管理——识别、评估和控制威胁的过程，包括风险背景（或框架）、风险评估、风险处理和风险监控的所有阶段。
风险管理框架- 用于监督和管理企业风险的结构化方法。来源：CNSSI 4009
风险缓解- 实施安全控制以减少特定风险的可能影响和/或可能性。
风险容忍度——实体为实现潜在预期结果而愿意承担的风险水平。资料来源：NIST SP 800-32。风险阈值、风险偏好和可接受的风险也是风险承受能力的同义词。
风险转移——支付给外部方以接受给定风险的财务影响。
风险处理- 确定解决已识别风险的最佳方法。

安全控制——为信息系统规定的管理、操作和技术控制（即保障措施或对策），以保护系统及其信息的机密性、完整性和可用性。资料来源：FIPS PUB 199
敏感度- 衡量其所有者赋予信息的重要性的指标，目的是表明其需要保护。资料来源：NIST SP 800-60 Vol 1 Rev 1
单因素身份验证- 仅使用三个可用因素之一（您知道的东西、您拥有的东西、您是的东西）来执行所请求的身份验证过程。
状态- 实体在某个时间点所处的状态。
系统完整性——系统以不受损害的方式执行其预期功能时所具有的质量，不受未经授权的系统操纵，无论是有意还是无意。来源：NIST SP 800-27 Rev. A
技术控制- 信息系统的安全控制（即安全措施或对策），主要由信息系统通过包含在系统的硬件、软件或固件组件中的机制实现和执行。
威胁- 任何可能通过未经授权的访问、破坏、披露、修改信息而通过信息系统对组织运营（包括使命、职能、形象或声誉）、组织资产、个人、其他组织或国家产生不利影响的情况或事件和/或拒绝服务。
威胁行为者 - 试图利用漏洞导致或迫使威胁发生的个人或团体。
威胁向量- 威胁行为者执行其目标的手段。
令牌- 用户拥有和控制的用于验证用户身份的物理对象。来源：NISTIR 7711
漏洞- 信息系统、系统安全程序、内部控制或实施中可能被威胁源利用的弱点。来源：NIST SP 800-30 Rev 1

词汇表

充分的安全性——与信息丢失、误用或未经授权访问或修改信息所造成的风险和损害程度相称的安全性。资料来源：OMB 通告 A-130
行政控制- 通过政策和程序实施的控制。示例包括访问控制过程和需要多个人员执行特定操作。现代环境中的管理控制通常与物理和/或技术控制一起实施，例如需要招聘经理登录和批准的新用户访问授权策略。
不良事件- 具有负面后果的事件，例如系统崩溃、网络数据包泛滥、未经授权使用系统权限、销毁网页或执行销毁数据的恶意代码。
应用程序编程接口 (API) - 一组例程、标准、协议和工具，用于构建软件应用程序以访问基于 网络 的软件应用程序或 网络 工具。
应用程序服务器- 负责将应用程序托管到用户工作站的计算机。 NIST SP 800-82 Rev.2
人工智能——计算机和机器人模拟人类智能和行为的能力。
资产- 组织拥有的任何有价值的东西。资产既包括有形项目（如信息系统和实物财产），也包括无形资产（如知识产权）。
非对称加密- 一种算法，使用一个密钥加密，另一个密钥解密输入明文。
审计- 对记录和活动的独立审查和检查，以评估系统控制的充分性，以确保符合既定政策和操作程序。 NIST SP 1800-15B
身份验证- 访问控制过程，通过比较一个（单因素或 SFA）或多个（多因素身份验证或 MFA）识别因素来验证用户或实体声明的身份是否为系统所知。
授权- 授予系统实体访问系统资源的权利或许可。 NIST 800-82 Rev.2
可用性——确保授权用户及时、可靠地访问和使用信息。
基线- 标准或组织允许的记录在案的最低级别的安全配置。
生物特征- 个人的生物特征，例如指纹、手部几何形状、声音或虹膜图案。
位- 开放系统互连 (OSI) 模型的第 1 层数据（零或一）的最基本表示。
机器人 - 恶意代码，对攻击者来说就像一个远程控制的“机器人”，具有其他木马和蠕虫功能。
违反- 失控、妥协、未经授权的披露、未经授权的获取或任何类似事件，其中： 授权用户以外的人访问或可能访问个人身份信息；或授权用户出于授权目的以外的目的访问个人身份信息。来源：NIST SP 800-53 Rev. 5
广播- 广播传输是一种发送互联网流量的一对多（一对多）形式。
业务连续性 (BC) - 确保组织在突发事件期间能够继续关键运营的行动、流程和工具。
业务连续性计划 (BCP) - 一组预定说明或程序的文档，描述了组织的任务/业务流程在重大中断期间和之后如何维持。
业务影响分析 (BIA) - 对信息系统的需求、功能和相互依赖性的分析，用于在发生重大中断时表征系统应急需求和优先级。 NIST SP 800-34 修订版 1
字节- 字节是数字信息的单位，通常由八位组成。
校验和- 一个数字，表示存储或传输的数字数据中正确数字的总和，以后可以进行比较以检测数据中的错误。
密文- 明文消息的更改形式，因此除了预期的收件人之外，任何人都无法阅读。换句话说，它已经变成了一个秘密。
分类- 分类确定了如果信息资产泄露给未经授权的人员、流程或组织可能对组织、其利益相关者或其他人造成的损害程度。简而言之，分类首先关注的是基于数据敏感性维护数据的机密性。
机密或敏感信息- 已确定需要保护以防止未经授权的披露的信息，并以文件形式标记以表明其机密状态和分类级别。
云计算- 一种模型，用于实现对可配置计算资源（例如，网络、服务器、存储、应用程序和服务）的共享池的无处不在、方便、按需的网络访问，可以以最少的管理工作快速配置和发布，或服务提供者交互。 NIST 800-145
社区云- 一个系统，其中云基础设施被配置为由具有共同关注（例如，任务、安全要求、政策和合规性考虑）的组织的特定消费者社区云独家使用。它可能由社区云中的一个或多个组织、第三方或它们的某种组合拥有、管理和运营，它可能存在于场所内或场所外。 NIST 800-145
机密性 - 数据或信息在未向未经授权的人员或流程提供或披露时的特征。 NIST 800-66
配置管理- 用于确保对系统所做的唯一更改是那些已获得授权和验证的过程和规程。
通过环境设计预防犯罪 (CPTED) - 一种建筑和空间设计的建筑方法，强调被动特征以减少犯罪活动的可能性。
关键性- 衡量组织依赖信息或信息系统以实现任务或业务功能成功的程度。 NIST SP 800-60 卷。 1，第 1 版
密码分析员 - 执行密码分析的人，这是研究试图击败密码技术和/或信息系统安全的数学技术。这包括在算法或算法本身的实现中寻找错误或弱点的过程。
密码学- 保护或保护消息、文件或其他信息的含义和内容的方法的研究或应用，通常通过对该内容和含义的伪装、模糊或其他转换。
数据完整性- 数据未以未经授权的方式更改的属性。数据完整性涵盖存储中、处理期间和传输中的数据。来源：NIST SP 800-27 Rev A
数据丢失防护 (DLP) - 旨在检测和防止未经授权使用和传输信息的系统功能。
解密- 加密的逆过程。它是通过使用密码算法和适当的解密密钥（对称加密相同，非对称加密不同）将密文消息转换回明文的过程。该术语也可与“解密”互换使用。
解封装- 封装的相反过程，其中数据包被解包或显示。
纵深防御——整合人员、技术和运营能力的信息安全战略，在组织的多个层级和任务中建立可变障碍。来源：NIST SP 800-53 Rev 4
消磁- 一种擦除磁盘或磁带（包括录像带）上的数据的技术，如果执行得当，可以确保没有足够的剩磁来重建数据。
拒绝服务 (DoS) - 防止授权访问资源或延迟时间关键操作。 （时间关键可能是几毫秒或几小时，具体取决于所提供的服务。）来源：NIST SP 800-27 Rev A
数字签名- 数据加密转换的结果，如果正确实施，可提供原始身份验证、数据完整性和签名者不可否认性服务。 NIST SP 800-12 修订版 1
灾难恢复 (DR) - 在信息系统术语中，在任何类型或规模的中断、中断或干扰期间和之后为组织恢复 IT 和通信服务所必需的活动。
灾难恢复计划 (DRP) - 与在组织经历灾难后准备恢复或继续组织的关键业务功能、技术基础设施、系统和应用程序相关的流程、政策和程序。灾难是指组织的关键业务功能在中断后的预定时间内无法以可接受的水平执行。
自主访问控制 (DAC) - 一定数量的访问控制留给对象所有者或任何其他有权控制对象访问的人自行决定。所有者可以确定谁应该拥有对象的访问权限以及这些权限应该是什么。 NIST SP 800-192
域名服务 (DNS) - 这个首字母缩写词可以应用于三个相互关联的元素：服务、物理服务器和网络协议。
出口监控- 监控传出网络流量。
封装- 在软件开发和操作使用的所有阶段执行数据隐藏和代码隐藏。将数据和方法捆绑在一起就是封装的过程；其相反的过程可以称为拆包、揭示或使用其他术语。也用于指获取任何数据集并将其打包或隐藏在另一个数据结构中，这在网络协议和加密中很常见。
加密- 通过将私人信息放入只有有权这样做的人才能阅读的形式来保护私人信息。
加密- 将消息从明文转换为密文的过程和行为。有时它也被称为加密。这两个术语有时在文学作品中可以互换使用，并且具有相似的含义。
加密系统- 算法、过程、硬件、软件和程序的总集，它们共同提供加密和解密能力。
事件- 网络或系统中任何可观察到的事件。来源：NIST SP 800-61 Rev 2
开发 - 一种特殊的攻击。之所以这样命名，是因为这些攻击利用了系统漏洞。
文件传输协议 (FTP) - 用于在主机之间传输文件的 互联网 协议（和程序）。
防火墙- 通过基于一组规则过滤传入流量来执行管理安全策略的设备。
分片攻击——在分片攻击中，攻击者将流量分片，使系统无法将数据包重新组合在一起。
通用数据保护条例 (GDPR) - 2016 年，欧盟通过了涉及个人隐私的综合立法，将其视为个人人权。
治理- 如何管理组织的过程；通常包括如何为该组织做出决策的所有方面，例如该组织用于做出这些决策的政策、角色和程序。
硬化- 应用安全配置（以减少攻击面）并锁定各种硬件、通信系统和软件（包括操作系统、网络 服务器、应用程序服务器、应用程序等）的过程的参考。硬化通常基于行业指南和基准，例如由互联网安全中心 (CIS) 提供的那些。
硬件- 计算机和相关设备的物理部分。
散列函数- 一种算法，用于计算数据文件或电子消息的数值（称为散列值），用于表示该文件或消息，并取决于文件或消息的全部内容。哈希函数可以被认为是文件或消息的指纹。 NIST SP 800-152
散列- 对数据使用数学算法以生成代表该数据的数值的过程。来源 CNSSI 4009-2015
健康保险流通与责任法案 (HIPAA) - 这项美国联邦法律是美国最重要的医疗保健信息法规。它指导采用电子医疗保健交易的国家标准，同时保护个人健康信息的隐私。其他条款涉及减少欺诈、对拥有健康保险的个人的保护以及广泛的其他与医疗保健相关的活动。美东时间。 1996 年。
混合云- 公共云存储和私有云存储的组合，其中一些关键数据驻留在企业的私有云中，而其他数据则存储在公共云存储提供商处并可供访问。
影响 -威胁利用漏洞可能造成的损害程度。
事件- 实际或潜在地危及信息系统的机密性、完整性或可用性或系统处理、存储或传输的信息的事件。
事件处理- 缓解违反安全策略和推荐做法的情况。也称为事件响应。来源：NIST SP 800-61 Rev 2。
事件响应 (IR) - 缓解违反安全策略和推荐做法的情况。也称为事件处理。来源：NIST SP 800-61 Rev 2。
事件响应计划 (IRP) - 一组预定指令或程序的文档，用于检测、响应和限制针对组织信息系统的恶意网络攻击的后果。来源：NIST SP 800-34 Rev 1
信息安全风险- 对组织运营（包括其使命、职能、形象和声誉）、资产、个人、其他组织甚至国家的潜在不利影响，由未经授权的访问、使用、披露、中断的可能性造成、修改或破坏信息和/或信息系统。
基础设施即服务 (IaaS) - 核心计算、存储和网络硬件和软件的提供商，是组织构建和部署应用程序的基础。 IaaS 在数据中心很流行，软件和服务器作为完全外包服务购买，通常根据使用情况和使用的资源量计费。
入口监控- 监控传入的网络流量。
内部威胁- 具有授权访问权限的实体，有可能通过破坏、披露、修改数据和/或拒绝服务来损害信息系统。 NIST SP 800-32
电气和电子工程师协会 (IEEE) - IEEE 是一个为电信、计算机工程和类似学科制定标准的专业组织。
完整性- 以确保其完整性、准确性、内部一致性和对既定目的有用的方式记录、使用和维护信息的属性。
国际标准组织 (ISO) - ISO 与国际标准化合作伙伴、国际电工委员会 (IEC) 和国际电信联盟 (ITU) 合作制定自愿性国际标准，特别是在信息和通信技术领域.
互联网控制消息协议 (ICMP) - 由 互联网 工程任务组 (IETF) 通过 RFC 792 标准化的 IP 网络协议，用于确定特定服务或主机是否可用。
互联网工程任务组 (IETF) - 互联网标准组织，由网络设计者、运营商、供应商和研究人员组成，通过协作和共识过程定义协议标准（例如，IP、TCP、DNS）。来源：NIST SP 1800-16B
互联网协议 (IPv4) - 用于在分组交换通信网络和此类网络的互连系统中将数据从源传输到目的地的标准协议。 CNSSI 4009-2015
入侵- 构成安全事件的安全事件或安全事件组合，其中入侵者未经授权获得或试图获得对系统或系统资源的访问权。来源：IETF RFC 4949 第 2 版
iOS - 苹果公司。制造的操作系统，用于移动设备。
分层防御- 使用串联排列的多个控件来提供多个连续控件来保护资产；也称为纵深防御。
概率- 潜在漏洞可能在相关威胁环境的构造中发挥作用的概率。
发生的概率- 基于给定威胁能够利用给定漏洞或一组漏洞的概率的主观分析的加权因子。
Linux - 一种开源操作系统，使其源代码合法地可供最终用户使用。
日志异常- 在研究日志条目时识别出的系统异常，它可能代表感兴趣的事件以供进一步监视。
日志记录- 收集用户活动并将其存储在日志中，该日志记录组织的系统和网络中发生的事件。 NIST SP 1800-25B。
逻辑访问控制系统- 控制个人访问一个或多个计算机系统资源（例如工作站、网络、应用程序或数据库）的能力的自动化系统。逻辑访问控制系统需要通过某种机制验证个人身份，例如 PIN、卡、生物识别或其他令牌。它能够根据不同的个人在组织中的角色和职责为他们分配不同的访问权限。 NIST SP 800-53 Rev.5。
中间人 - 攻击者将自己定位在用户和系统之间的攻击，以便他可以拦截和更改在它们之间传输的数据。来源：NISTIR 7711
强制访问控制- 要求系统本身根据组织的安全策略管理访问控制的访问控制。
陷阱 - 建筑物或区域的入口，需要人们通过两扇门，一次只打开一扇门。
消息摘要- 唯一标识数据的数字签名并具有这样的属性：更改数据中的单个位将导致生成完全不同的消息摘要。 NISTIR-8011 Vol.3
微分段- 零信任策略的一部分，它使用防火墙或类似技术将 LAN 分成非常小的、高度本地化的区域。在极限情况下，这会将防火墙放置在每个连接点。
多因素身份验证- 使用三个身份验证因素（你知道的东西、你拥有的东西、你是的东西）的两个或更多不同的实例来进行身份验证。
美国国家标准与技术研究院 (NIST) - NIST 是美国商务部的一部分，负责美国联邦政府内科技工作中的测量基础设施。 NIST 在多个领域制定标准，包括计算机安全部门的计算机安全资源中心内的信息安全。
不可否认性- 无法拒绝采取行动，例如创建信息、批准信息以及发送或接收消息。
对象- 包含或接收信息的被动信息系统相关实体（例如，设备、文件、记录、表格、流程、程序、域）。访问一个对象（由一个主体）意味着访问它包含的信息。见主题。来源：NIST SP 800-53 Rev 4
操作系统- 运行计算机的软件“主控制应用程序”。它是计算机开机时加载的第一个程序，其主要组件内核始终驻留在内存中。操作系统为在计算机中运行的所有应用程序（例如 网络 服务器）设置了标准。对于大多数用户界面和文件管理操作，应用程序与操作系统进行通信。 NIST SP 800-44 第 2 版
超大数据包攻击- 故意发送大于预期或大于接收系统可以处理的网络数据包，导致接收系统意外失败。
数据包- 在开放系统互连 (OSI) 模型的第 3 层表示数据。
补丁- 一种软件组件，在安装时直接修改与不同软件组件相关的文件或设备设置，而不更改相关软件组件的版本号或发布详细信息。来源：ISO/IEC 19770-2
补丁管理- 操作系统和应用软件代码修订的系统通知、识别、部署、安装和验证。这些修订被称为补丁、热修复和服务包。来源：CNSSI 4009
有效负载- 恶意代码攻击的主要动作。
支付卡行业数据安全标准 (PCI DSS) - 由支付卡行业安全标准委员会管理的信息安全标准，适用于处理信用卡或借记卡交易的商家和服务提供商。
个人身份信息 (PII) - 美国国家标准与技术研究院 (NIST) 在其特别出版物 800-122 中将 PII 定义为“由机构维护的有关个人的任何信息，包括 (1) 任何可以使用的信息区分或追踪个人身份，例如姓名、社会安全号码、出生日期和地点、母亲的婚前姓名或生物特征记录； (2) 与个人相关的或可链接的任何其他信息，例如医疗、教育、财务和就业信息。”
物理控制- 通过有形机制实施的控制。示例包括墙壁、栅栏、警卫、锁等。在现代组织中，许多物理控制系统与技术/逻辑系统相关联，例如与门锁相连的徽章阅读器。也称为物理访问控制。
明文- 自然格式和可读形式的消息或数据；从机密性的角度来看非常脆弱。
平台即服务 (PaaS) - 网络创作或应用程序开发中间件环境，允许在将应用程序部署为 SaaS 资产之前在云中构建它们。
隐私- 个人控制有关他们自己的信息的分发的权利。
私有云- 在企业防火墙内实施的云计算平台，由 IT 部门控制。私有云旨在提供与云系统相同的功能和优势，但消除了对云计算模型的许多反对意见，包括对企业和客户数据的控制、对安全性的担忧以及与法规遵从性相关的问题。
最小权限原则 - 用户和程序应仅具有完成其任务所需的最低权限的原则。 NIST SP 800-179
特权帐户- 具有特权用户批准授权的信息系统帐户。 NIST SP 800-53 修订版 4
概率- 给定威胁能够利用给定漏洞或一组漏洞的机会或概率。来源：NIST SP 800-30 Rev. 1
受保护的健康信息 (PHI) - 有关健康状况、医疗保健提供或 HIPAA（健康保险流通与责任法案）中定义的医疗保健支付的信息。
协议- 一组规则（格式和程序），用于实现和控制系统之间某种类型的关联（即通信）。 NIST SP 800-82 修订版 2
公共云——云基础设施是为公众开放使用而提供的。它可能由商业、学术或政府组织或它们的某种组合拥有、管理和运营。它存在于云提供商的场所。 NIST SP 800-145
定性风险分析- 一种风险分析方法，基于分配的描述符，例如低、中或高。来源：NISTIR 8286
定量风险分析- 一种风险分析方法，其中基于统计概率和损失或收益的货币化估值将数值分配给影响和可能性。来源：NISTIR 8286
勒索攻击- 一种锁定计算机屏幕或文件的恶意软件，从而阻止或限制用户在付款之前访问他们的系统和数据。
记录——记录（自动和/或手动）执行的活动或取得的结果的证据（例如，表格、报告、测试结果），作为验证组织和信息系统是否按预期执行的基础。也用于指相关数据字段的单元（即，程序可以访问并包含特定项目的完整信息集的数据字段组）。 NIST SP 800-53 修订版 4
记录保留- 基于记录生命周期的一种做法，根据该做法，记录会在必要时保留，然后在适当的时间间隔过去后销毁。
剩磁 - 清除后残留在存储介质上的信息。 NIST SP 800-88 修订版 1
变更请求 (RFC) - 变更管理的第一阶段，其中利益相关者寻求程序或产品的变更。
风险- 可能对组织产生负面影响的事件。
风险接受——确定业务功能的潜在收益超过可能的风险影响/可能性，并在不采取其他行动的情况下执行该业务功能。
风险评估——识别和分析组织运营（包括使命、职能、形象或声誉）、组织资产、个人和其他组织的风险的过程。作为风险管理的一部分执行的分析，其中包含威胁和漏洞分析，并考虑计划或到位的安全控制提供的缓解措施。
风险规避- 确定特定风险的影响和/或可能性太大而无法被潜在收益抵消，并且由于该确定而无法执行特定业务功能。
风险管理——识别、评估和控制威胁的过程，包括风险背景（或框架）、风险评估、风险处理和风险监控的所有阶段。
风险管理框架- 用于监督和管理企业风险的结构化方法。来源：CNSSI 4009
风险缓解- 实施安全控制以减少特定风险的可能影响和/或可能性。
风险容忍度——实体为实现潜在预期结果而愿意承担的风险水平。资料来源：NIST SP 800-32。风险阈值、风险偏好和可接受的风险也是风险承受能力的同义词。
风险转移——支付给外部方以接受给定风险的财务影响。
风险处理- 确定解决已识别风险的最佳方法。
基于角色的访问控制 (RBAC) - 一种基于角色设置用户权限的访问控制系统。
规则- 通过将主体的验证身份与访问控制列表进行比较来允许或拒绝访问系统的指令。
安全控制——为信息系统规定的管理、操作和技术控制（即保障措施或对策），以保护系统及其信息的机密性、完整性和可用性。资料来源：FIPS PUB 199
安全治理- 组织用于在组织中做出安全决策的全部策略、角色和流程。
安全运营中心- 由信息安全团队履行的集中式组织职能，负责监控、检测和分析网络或系统上的事件，以在问题导致业务中断之前预防和解决问题。
职责分离——确保组织过程不能由一个人完成的做法；强制勾结作为减少内部威胁的一种手段。也通常称为职责分离。
敏感度- 衡量其所有者赋予信息的重要性的指标，目的是表明其需要保护。资料来源：NIST SP 800-60 Vol 1 Rev 1
简单邮件传输协议 (SMTP) - 用于在发件人和收件人之间发送和接收电子邮件的标准通信协议。
单因素身份验证- 仅使用三个可用因素之一（您知道的东西、您拥有的东西、您是的东西）来执行所请求的身份验证过程。
社会工程——通过电子邮件、电话、短信或社交媒体渗透系统的策略，通常冒充权威人士或机构或提供礼物。一种低技术含量的方法是简单地跟随某人进入一个安全的建筑物。
软件- 可以在执行期间动态写入或修改的计算机程序和相关数据。 NIST SP 80-37 修订版 2
软件即服务 (SaaS) - 云客户使用在云基础架构中运行的云提供商的应用程序。这些应用程序可以通过诸如网络浏览器之类的瘦客户端界面或程序界面从各种客户端设备访问。消费者不管理或控制底层云基础设施，包括网络、服务器、操作系统、存储，甚至单个应用程序功能，但有限的用户特定应用程序配置设置可能除外。源自 NIST 800-145
欺骗- 伪造传输的发送地址以非法进入安全系统。 CNSSI 4009-2015
状态- 实体在某个时间点所处的状态。
主题- 通常是导致信息在客体之间流动或改变系统状态的个人、过程或设备。来源：NIST SP800-53 R4
对称加密- 在加密和解密过程中使用相同密钥的算法。
系统完整性——系统以不受损害的方式执行其预期功能时所具有的质量，不受未经授权的系统操纵，无论是有意还是无意。来源：NIST SP 800-27 Rev. A
技术控制- 主要由信息系统通过包含在系统的硬件、软件或固件组件中的机制实施和执行的信息系统的安全控制（即保护措施或对策）。
威胁- 任何可能通过未经授权的访问、破坏、披露、修改信息而通过信息系统对组织运营（包括使命、职能、形象或声誉）、组织资产、个人、其他组织或国家产生不利影响的情况或事件和/或拒绝服务。来源：NIST SP 800-30 Rev 1
威胁行为者 - 试图利用漏洞导致或迫使威胁发生的个人或团体。
威胁向量- 威胁行为者执行其目标的手段。
令牌- 用户拥有和控制的用于验证用户身份的物理对象。尼斯蒂尔 7711
传输控制协议/互联网协议 (TCP/IP) 模型- 由 IETF 创建的互联网协议模型，它指定了四层功能：链路层（物理通信）、互联网层（网络到网络通信）、传输层（基本主机之间连接和无连接数据交换的通道）和应用层，其他协议和用户应用程序在此使用网络服务。
旋转门- 一种单向旋转门或屏障，一次只允许一个人进入建筑物或通过一个区域。
Unix - 用于软件开发的操作系统。
用户配置- 在系统上创建、维护和停用用户身份的过程。
虚拟局域网 (VLAN) - 工作站、服务器和网络设备的逻辑组，尽管它们的地理分布似乎在同一个 LAN 上。
虚拟专用网络 (VPN) - 建立在现有网络之上的虚拟专用网络，可为网络之间的传输提供安全的通信机制。
漏洞- 信息系统、系统安全程序、内部控制或实施中可能被威胁源利用的弱点。资料来源：NIST SP 800-128
网络服务器- 在 互联网上提供万维网 (WWW) 服务的计算机。它包括硬件、操作系统、网络服务器软件和网站内容（网页）。如果 网络服务器在内部使用而不是由公众使用，则它可能被称为“内部网服务器”。 NIST SP 800-44 第 2 版
捕鲸攻击- 网络钓鱼攻击，试图诱骗拥有大量资产的高级官员或私人授权向以前未知的实体进行大笔资金电汇。
无线局域网 (WLAN) - 一组位于同一附近的计算机和设备，形成基于无线电传输而非有线连接的网络。 Wi-Fi 网络是 WLAN 的一种。
Zenmap - 安全扫描工具 的图形用户界面 (GUI)，这是一个开源应用程序，可扫描网络以确定连接的所有内容以及其他信息。
漏洞漏洞 - 一个以前未知的系统漏洞，具有被利用的潜力，没有被检测或预防的风险，因为它通常不符合公认的模式、签名或方法。
零信任- 消除网络具有任何可信空间的设计信念。安全性在每个可能的级别进行管理，代表最细粒度的资产。工作负载的微分段是该模型的一个工具。