G 35. 040 ICS ３５．０４０ ＩＣＳ 80 L ８０ Ｌ 囝雷 中华人民共和国国家标准 中华人民共和国国家标准 １０ 25069一2010 GB/T ２５０６９－－２０ ＧＢ／Ｔ c . 5 信息安全技术术语 术语 信息安全技术 security Information ｓｅｃｕｒｉｔｙ Ｉｎｆｏｒｍａｔｉｏｎ b u technology-Glos sary ｔｅｃｈｎｏｌｏｇｙ－－Ｇｌｏｓｓａｒｙ h t i g 2010-09-02 发布 ２０１０－０９—０２发布 m o 2011-02-01 实施 ２０１卜０２－０１实施 宰瞀鹊鬻瓣警糌瞥霎发布 中华人民共和国国家质最监督检验检疫总局 发布 中国国家标准化管理委员会 中国国家标准化管理委员会“”。 GB/T 旧 lV111639505058 ~~~~"~~~ ~．~~~~~ ~~ ~~ ~~~~~ ~5~~~ ~~~~~ 国标久久 www.gb99.cn 免费下载 前Ⅳ●●●０昌；∞∞弱 次 目 １０Ⅲ ２５０６９－－２０ ＧＢ／Ｔ 英文对应词索引…………………………’’……‘ 汉语拼音索引………・…………………………‘‘ 索引……・・………………………………………＋ ２．３管理类………………………’……………’’ ２．２技术类……………………………………一 ２．１一般概念………・・……・…………………“ ２术语和定义…………………………………。’ １范围………………………………・…・……… 引言…・…・・………………’……………’’……… 言……………………………………………… .... .. ... c . 5 b u h t i g ~~~~ ~~~~ ~~~~ ~~＂~ 二~~~~ ~~~~ ~~ ~~~~} ~~~~~~ ~~~~ ．~~~＂ ~~ .. ... ~~~~ .... ~~~5 .. ~~~~ ~ ~ } ” } ~ ~~~~ 厂 二一二勹~ ~~ ~~~ .... .... ~~~~ .. ~~~~ ~~~ -i~~~~~ ~"~~~~~~~~ ”. .. ."~"~~ ~".~~.~~ ”._ ~~~~＂~ 弓 ~·~~~ ii~~~ ~~ ~~ ~~． ~~"~~~~i~~ "~~＂~．~}~~ ．索词 音应 拼对 引语文 索汉英 ~~~义念．~~引索 ~~~定概类类~ ~~"和般术理~ ~~围语一技管~ 范术 言言123 前引 12222 •• 二二厂 目次 25069一2010 m o GB/T ２５０６９－－２０１０ 25069一2010 ＧＢ／Ｔ 前 前 言 本标准由全国信息安全标准化技术委员会 (SAC/TC ２６０）提出并归口。 260) 提出井归口。 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ 本标准的主要起草单位：中国电子技术标准化研究所、解放军信息安全测评认证中心、公安部三所、 本标准的主要起草单位：中国电子技术标准化研究所、解放军信息安全测评认证中心、公安部三所、 中国信息安全产品测评中心、国家保密技术研究所、中科院软件所、北京知识安全工程中心。 中国信息安全产品测评中・ＩＬ，、国家保密技术研究所、中科院软件所、北京知识安全工程中心。 本标准的主要起草人：王延鸣、罗锋盈、胡啸｀上官晓丽、陈星、许玉娜、任卫红、刘海龙、吉增瑞、 本标准的主要起草人：王延鸣、罗锋盈、胡啸、上官晓丽、陈星、许玉娜、任卫红、刘海龙、吉增瑞、 龚奇敏。 龚奇敏。 c . 5 m o h t i g b u III Ⅲ GB/T 25069一2010 言 引 制定信息安全技术术语标准的目的是为了方便信息安全技术的国内外交流。它给出了与信息安全 领域相关的概念的术语及其定义，并明确了各术语词条之间的关系。 本标准的分类原则是根据国外信息安全术语相关的分类方法，结合国内的实践经验，和国家标准现 状，按三部分来组织编制最基本的信息安全术语， I) 信息安全一般概念术语， 2) 信息安全技术术语，包括实体类、攻击与保护类、鉴别与密码类、备份与恢复类； 3) 信息安全管理术语，包括管理活动和支持管理活动的技术，主要涉及安全管理、安全测评和风 险管理等基本概念及相关的管理技术。 c . 5 b u h t i g W^ 国标久久 www.gb99.cn 免费下载 制定信息安全技术术语标准的目的是为了方便信息安全技术的国内外交流。它给出了与信息安全 言 引 ２５０６９－－２０１０ ＧＢ／Ｔ Ⅳ 险管理等基本概念及相关的管理技术。 ３）信息安全管理术语，包括管理活动和支持管理活动的技术，主要涉及安全管理、安全测评和风 ２）信息安全技术术语，包括实体类、攻击与保护类、鉴别与密码类、备份与恢复类； １）信息安全一般概念术语； 状，按三部分来组织编制最基本的信息安全术语： 本标准的分类原则是根据国外信息安全术语相关的分类方法，结合国内的实践经验，和国家标准现 领域相关的概念的术语及其定义，并明确了各术语词条之间的关系。 m o GB/T 25069一2010 ＧＢ／Ｔ ２５０６９－－２０１０ 信息安全技术术语 信息安全技术术语 1 范围 １范围 本标准界定了与信息安全技术领域相关的概念的术语和定义，并明确了这些条目之间的关系。 本标准界定了与信息安全技术领域相关的概念的术语和定义，并明确了这些条目之间的关系。 本标准适用千信息安全技术概念的理解，其他信息安全技术标准的制定以及信息安全技术的国内 本标准适用于信息安全技术概念的理解，其他信息安全技术标准的制定以及信息安全技术的国内 外交流。 外交流。 2 术语和定义 ２术语和定义 一般概念 一般概念 2. 1 ２．１ 2. 1. 1 ２．１．１ 保密性 confidentiality 保密性ｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ c . 5 使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。 使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。 2. 1. 2 ２．１．２ 暴露 exposure 暴露ｅｘｐｏｓｕｒｅ b u 特定的攻击利用数据处理系统特定的脆弱性的可能性。 特定的攻击利用数据处理系统特定的脆弱性的可能性。 2. 1. 3 ２．１．３ 抽象语法记法 1 抽象语法记法１ Abstract Ｓｙｎｔａｘ Syntax Ｎｏｔａｔｉｏｎ Notation Ａｂｓｔｒａｃｔ one ｏｎｅ h t i g 一种用来组织复杂数据的抽象符号体系。 一种用来组织复杂数据的抽象符号体系。 2. 1. 4 ２，１．４ 对抗［措施 J counterme邸ure 对抗［措施］ｃｏｕｎｔｅｒｍｅａｓｕｒｅ m o 为减小脆弱性而采用的行动、装置、过程、技术或其他措施。 为减小脆弱性而采用的行动、装置、过程、技术或其他措施。 2. I. 5 ２．１．５ 封闭安全环境 closed-security environment ｅｎｖｉｒｏｎｍｅｎｔ 封闭安全环境ｃｌｏｓｅｄ－ｓｅｃｕｒｉｔｙ 一种环境，其中通过授权、安全许可、配置控制等形式，进行数据和资源的保护，免受偶然的或恶性 一种环境，其中通过授权、安全许可、配置控制等形式，进行数据和资源的保护，免受偶然的或恶性 操作。 操作。 2. I. 6 ２．１．６ 攻击者 attacker 攻击者ａｔｔａｃｋｅｒ 故意利用技术上或非技术上的安全弱点，以窃取或泄露信息系统或网络的资源，或危及信息系统或 故意利用技术上或非技术上的安全弱点，以窃取或泄露信息系统或网络的资源，或危及信息系统或 网络资源可用性的任何人。 网络资源可用性的任何人。 2. 1. 7 ２．１．７ 规程 procedure 规程ｐｒｏｃｅｄｕｒｅ 对执行一个给定任务所采取动作历程的书面描述。 对执行一个给定任务所采取动作历程的书面描述。 2. I. 8 ２．１．８ 骇客 cracker/ cracking 骇客ｃｒａｃｋｅｒ／ｃｒａｃｋｉｎｇ 试图攻破他人信息系统安全并获得对其访问权的人。 试图攻破他人信息系统安全并获得对其访问权的人。 2. 1. 9 ２．１．９ 黑客 hackers 黑客ｈａｃｋｅｒｓ 泛指对网络或联网系统进行未授权访问，但无意窃取或造成损坏的人。黑客的动因被认为是想了 泛指对网络或联网系统进行未授权访问，但无意窃取或造成损坏的人。黑客的动因被认为是想了 】 GB/T 25069一2010 解系统如何工作，或是想证明或反驳现有安全措施的有效性。 2. 1. 10 计算机安全 computer security 采取适当措施保护数据和资源，使计算机系统免受偶然或恶意的修改、损害，访问、泄露等操作的 危害。 2. 1. 11 计算机犯罪 computer crime 通过宜接介入，借助计算机系统或网络而构成的犯罪。 2. 1. 12 计算机滥用 computer abuse 影咑或涉及数据处理系统的安全，蓄意的或无意的未经授权操作计算机的活动。 2. 1. 13 计算机信息系统 computer Information system m o 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行 采集、加工、存储、传输、检索等处理的人机系统仓 c . 5 2. 1. 14 计算机诈骗 computer fraud 通过直接介人，借助计算机系统或网络而进行的诈骗。 b u 2. 1. 15 角色 role 在过程或组织的语境中所执行的功能。 2. 1. 16 开放的安全环境 h t i g open-security environment 一种环境，通过普通的操作过程即可获得对数据及资源的保护，使之免受偶然的或恶性的动作。 2. 1. 17 抗抵赖 non-repudiation 证明某一动作或事件已经发生的能力，以使事后不能否认这一动作或事件。 2. 1. 18 可核查性 accountability 确保可将一个实体的行动唯一地追踪到此实体的特性。 2. 1. 19 可靠性 reliability 预期行为和结果保持一致的特性。 2. 1. 20 可用性 availability 已授权实体一旦需要就可访间和使用的数据和资源的特性。 2. 1. 21 对象 object 系统中可供访问的实体。例如，数据、资源过进程等今 2. 1. 22 滥发 spamming 以极多的数据使资源（网络．服