中 华 人 民 共 和 国 国 家 标 准 ２５０６９—２０２２ 代替２５０６９—２０１０ 信息安全技术 　 术语 　 ２０２２０３０９ 发布 ２０２２１００１ 实施 国家市场监督管理总局 国家标准化管理委员会 发布 犌犅／犜２５０６９—２０２２ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范性引用文件 ………………………………………………………………………………………… １ ３　 术语和定义 ……………………………………………………………………………………………… １ ４　 术语分类 ………………………………………………………………………………………………… ９２ 参考文献 …………………………………………………………………………………………………… １１７ 索引 ………………………………………………………………………………………………………… １３５ Ⅰ 犌犅／犜２５０６９—２０２２ 前 　　 言 　　 本文件按照 ＧＢ／Ｔ１．１—２０２０《标准化工作导则 　 第 １ 部分 ：标准化文件的结构和起草规则》的规定 起草 。 本文件代替 ＧＢ／Ｔ２５０６９—２０１０《信息安全技术 　 术语 》，与 ＧＢ／Ｔ２５０６９—２０１０ 相比 ，除结构调整 和编辑性改动外 ，主要技术变化如下 ： ａ）　 在“术语和定义”中 ，引入了新的条目 ，更新了部分条目 ，删除了不常用条目 ，取消了原有分类 （见第 ３ 章 ）； ｂ）　增加了“术语分类”，分为 “密码机制类 ”“鉴别授权类 ”“计算安全类 ”“通信安全类 ”“应用安全 类”“数据安全类”“安全服务类”“安全测评类”“安全管理类”九大类（见第 ４ 章）。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口 。 本文件起草单位 ：中电长城网际系统应用有限公司 、中国电子技术标准化研究院 、中国科学院软件 研究所 、四川大学 、亚信科技（成都）有限公司 、国家保密科技测评中心 、微软 （中国 ）有限公司 、中电数据 服务有限公司 、华为技术有限公司 、北京天融信网络安全技术有限公司 、中国网络安全审查技术与认证 中心 、国家信息中心 、蚂蚁科技集团股份有限公司 、西安西电捷通无线网络通信股份有限公司 、公安部第 三研究所 、上海三零卫士信息安全有限公司 、中国软件评测中心 、陕西省网络与信息安全测评中心 、国家 计算机网络应急技术处理协调中心 、中国信息安全测评中心 、清华大学 、山东大学 、国家密码管理局商用 密码检测中心 、北京信安世纪科技股份有限公司 、北京小雷科技有限公司 、成都卫士通信息产业股份有 限公司 、北京数字认证股份有限公司 、飞天诚信科技股份有限公司 、北京百度网讯科技有限公司 、北京奇 虎科技有限公司 、西安丁度网络科技有限公司 、北京赛西科技发展有限责任公司 、北京泽创天成科技发 展有限公司 。 本文件主要起草人 ：闵京华 、王惠莅 、王姣 、刘贤刚 、上官晓丽 、张立武 、黄路曦 、黄诚 、庞勇 、杨碧瑶 、 刘冬梅 、周亚超 、樊洞阳 、葛小宇 、庞婷 、安高峰 、程瑜琦 、尤其 、崔玉华 、程浩 、王昕 、杜志强 、陈长松 、干露 、 郭永振 、李怡 、舒敏 、石松 、贾珂婷 、孔凡玉 、吕春梅 、汪宗斌 、柳增寿 、张立廷 、夏鲁宁 、朱鹏飞 、王海棠 、 吴月升 、张屹 、刘蓓 、方勇 、马卓元 、赵德坤 、黄寅 。 本文件及其所代替文件的历次版本发布情况为 ： ———２０１０ 年首次发布为 ＧＢ／Ｔ２５０６９—２０１０； ——— 本次为第一次修订 。 Ⅲ 犌犅／犜２５０６９—２０２２ 引 　　 言 　　 信息安全技术术语是在信息安全领域进行技术交流的基础语言 。 统一规范术语和定义 ，有助于准 确理解和表达技术内容 ，方便技术交流和研究 。 为此 ，本文件依据信息安全技术领域中已发布的国家标 准和国际标准中的术语和定义 ，对基本或通用的信息安全技术术语和定义进行了规范 。 本文件的术语和定义来源主要是全国信息安全标准化技术委员会 （ＳＡＣ／ＴＣ２６０）归口管理并正式 发布的国家标准和ＩＳＯ／ＩＥＣＪＴＣ１／ＳＣ２７ 负责制定并正式发布的国际标准 。 Ⅳ 犌犅／犜２５０６９—２０２２ 信息安全技术 　 术语 １　 范围 本文件界定了信息安全技术领域中基本或通用概念的术语和定义 ，并对其进行了分类 。 本文件适用于对信息安全技术概念的理解 、其他信息安全技术标准的制定以及信息安全技术的国 内外交流 。 ２　 规范性引用文件 本文件没有规范性引用文件 。 ３　 术语和定义 ３．１ ３．２ ３．３ 安全 　狊犲犮狌狉犻狋狔 对某一系统 ，据以获得保密性 、完整性 、可用性 、可核查性 、真实性以及可靠性的性质 。 ［来源 ：ＩＳＯ／ＩＥＣＴＲ１５４４３１：２０１２，３．２１］ 安全参数 　狊犲犮狌狉犻狋狔狆犪狉犪犿犲狋犲狉狊 确定某一机制的安全强度的各个变量 。 ［来源 ：ＩＳＯ／ＩＥＣ１８３７０２：２０１６，３．８］ 安全策略 　狊犲犮狌狉犻狋狔狆狅犾犻犮狔 用于治理某一组织及其系统内管理 、保护并分发影响安全及有关元素的资产 （包括敏感信息 ）的一 组规则 、指导和实践 。 ３．４ 安全大纲 　狊犲犮狌狉犻狋狔狆狉狅犵狉犪犿犿犻狀犵 〈工业控制 〉在工业控制系统的安全建设中 ，为满足组织安全的需求和目标所采选的一系列安全控 制举措 。 ［来源 ：ＧＢ／Ｔ３２９１９—２０１６，３．６，有修改 ］ ３．５ 安全多租户 　狊犲犮狌狉犲犿狌犾狋犻狋犲狀犪狀犮狔 采用安全控制措施来显式防范数据受损并对这些控制措施提供验证以便恰当治理的多租户类型 。 　　 注 １：当个人租户的风险状况不超过处于专用的单租户环境情形时 ，则是安全多租户 。 　　 注 ２：在非常安全的环境中 ，甚至租户身份也是保密的 。 ［来源 ：ＩＳＯ／ＩＥＣ２７０４０：２０１５，３．３９］ ３．６ 安全分级 　狊犲犮狌狉犻狋狔犮犾犪狊狊犻犳犻犮犪狋犻狅狀 根据业务信息和系统服务的重要性和受损后的影响 ，确定实施某种保护的等级 。 １ 犌犅／犜２５０６９—２０２２ ３．７ 安全服务 　狊犲犮狌狉犻狋狔狊犲狉狏犻犮犲 根据安全策略 ，为用户提供某种安全功能及相关保障 。 ３．８ 安全功能 　狊犲犮狌狉犻狋狔犳狌狀犮狋犻狅狀 为实现安全要素的要求 ，并正确实施相应安全策略所提供的功能 。 ［来源 ：ＧＢ／Ｔ２０２７１—２００６，３．１．６，有修改 ］ ３．９ 安全功能策略 　狊犲犮狌狉犻狋狔犳狌狀犮狋犻狅狀狆狅犾犻犮狔；犛犉犘 描述由评价对象安全功能（ＴＳＦ）所实施的特定安全行为的规则集 ，可表达为安全功能要求 （ＳＦＲ） 的集合 。 ［来源 ：ＧＢ／Ｔ１８３３６．１—２０１５，３．１．５９，有修改 ：分别添加缩略语 “ＴＳＦ”“ＳＦＲ”的中文全称 “评价对象 安全功能”“安全功能要求”等］ ３．１０ 安全管理平台 　狊犲犮狌狉犻狋狔犿犪狀犪犵犲犿犲狀狋狆犾犪狋犳狅狉犿 对信息系统的安全策略以及执行该策略的安全计算环境 、安全区域边界和安全通信网络等方面的 安全机制实施统一管理的系统 。 ［来源 ：ＧＢ／Ｔ３４９９０—２０１７，３．１，有修改 ：“平台 ”改为 “系统 ”］ ３．１１ 安全机制 　狊犲犮狌狉犻狋狔犿犲犮犺犪狀犻狊犿 实现安全功能 ，提供安全服务的基本方法 。 ３．１２ 安全集成电路 　狊犲犮狌狉犻狋狔犻狀狋犲犵狉犪狋犲犱犮犻狉犮狌犻狋 含有密码算法 、安全功能 ，能实现密钥管理机制的集成电路 。 ［来源 ：ＧＭ／Ｚ４００１—２０１３，２．３，有修改 ：“安全芯片 　ｓｅｃｕｒｉｔｙｃｈｉｐ”改为 “安全集成电路 　ｓｅｃｕｒｉｔｙ ｉｎｔｅｇｒａｔｅｄｃｉｒｃｕｉｔ”，“可实现”改为“能实现”］ ３．１３ 安全计算环境 　狊犲犮狌狉犲犮狅犿狆狌狋犻狀犵犲狀狏犻狉狅狀犿犲狀狋 在信息系统中 ，对信息进行存储 、处理及实施安全策略的所有相关软硬件资源 。 　　 注 ：安全计算环境按照保护能力划分为一级 ～ 五级 。 ［来源 ：ＧＢ／Ｔ３４９９０—２０１７，３．９，有修改 ］ ３．１４ 安全架构 　狊犲犮狌狉犻狋狔犪狉犮犺犻狋犲犮狋狌狉犲 一种由多个相互协作的安全模块构成的体系结构 。 ［来源 ：ＧＢ／Ｔ３２９２７—２０１６，３．１．２，有修改 ］ ３．１５ 安全控制 　狊犲犮狌狉犻狋狔犮狅狀狋狉狅犾狊 为保护某一系统及其信息的保密性 、完整性和可用性以及可核查性 、真实性 、抗抵赖性 、专有性和可 靠性等 ，而对信息系统所选择并实施的管理 、操作和技术等方面的控制（即防护或对抗）。 ３．１６ 安全控制基线 　狊犲犮狌狉犻狋狔犮狅狀狋狉狅犾犫犪狊犲犾犻狀犲 安全控制选择过程的起始点和选择基点 。 　　 注 ：安全控制基线是为帮助组织选择满足安全需求的 、最具成本效益的适当安全控制集而制定的最低安全基准线 。 ２ 犌犅／犜２５０６９—２０２２ ３．１７ ３．１８ ３．１９ ［来源 ：ＧＢ／Ｔ３６３２３—２０１８，３．５，有修改 ］ 安全目标 　狊犲犮狌狉犻狋狔狋犪狉犵犲狋；犛犜 对特定的已认定评价对象（ＴＯＥ）的安全需求所做的依赖于实现的陈述 。 ［来源 ：ＧＢ／Ｔ１８３６６．１—２０１５，３．１．６３，有修改 ：添加缩略语 “ＴＯＥ”的中文全称 “评价对象 ”等 ］ 安全目的 　狊犲犮狌狉犻狋狔狅犫犼犲犮狋犻狏犲 就对抗已认定的威胁和／或满足给定的组织安全策略和／或假设的意图所做的陈述 。 ［来源 ：ＧＢ／Ｔ１８３３６．１—２０１５，３．１．６０，有修改 ］ 安全评估 　狊犲犮狌狉犻狋狔犪狊狊犲狊狊犿犲狀狋 按安全标准及相应方法 ，验证某一安全可交付件与适用标准的符合程度及其安全确保程度的过程 。 　　 注 ：安全评估通常是产品评价过程的最后阶段 。 ３．２０ 安全强度 　狊犲犮狌狉犻狋狔狊狋狉犲狀犵狋犺 与破译某一密码算法或系统所需工作量关联的数 。 ［来源 ：ＩＳＯ／ＩＥＣ２７０４０：２０１５，３．４０］ ３．２１ 安全区域边界 　狊犲犮狌狉犲犪狉犲犪犫狅狌狀犱犪狉狔 对信息系统的安全计算环境边界 ，以及安全计算环境与安全通信网络之间实