GB Z 25320.2-2013 电力系统管理及其信息交换 数据和通信安全 第2部分：术语.pdf

1、ICS 29.240.01 F 21 道B中华人民共和国国家标准化指导性技术文件GB/Z 25320.2-2013/IEC/TS 62351-2: 2008 电力系统管理及其信息交换数据和通信安全第2部分:术语Power systems management and associated information exchange一Data and communications security一Part 2: Glossary of terms (lEC/TS 62351-2 Ed1. 0: 2008 , IDT) 2013-02-07发布2013-07-01实施飞Jfo俨feuy地中华人民共

2、和国国家质量监督检验检夜总局串舍中国国家标准化管理委员会a叩剖注层E且的 GB/Z 25320.2-2013月EC月s62351-2: 2008 目次前言.1 引言.n 1 范围和目的.2 术语和定义-2.1 术语表引用和特许2.2 安全和相关的通信术语表3 缩略语.36 索引.39 参考文献.50GB/Z 25320.2-20 13/IEC/TS 62351-2:2008 前言GB/Z 25320(电力系统管理及其信息交换数据和通信安全分为以下几个部分z第1部分z通信网络和系统安全安全问题介绍z二二第2部分z术语;第3部分z通信网络和系统安全包括TCP/IP的协议集;一第4部分z包含MMS的

3、协议集;二第5部分:GB/T18657及其衍生标准的安全z一第6部分z电力企业自动化通信网络和系统的安全E-第7部分z网络和系统管理的数据对象模型z一二第8部分z电力系统管理的基于角色访问控制。本部分为GB/Z25320的第2部分。本部分按照GB/T1. 1-2009给出的规则起草。本部分采用翻译法等同采用IEC/TS62351-2 Ed1. 0: 2008(电力系统管理及其信息交换数据和通信安全第2部分z术语。本部分由中国电力企业联合会提出。本部分由全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)归口。本部分起草单位z国网电力科学研究院、福建省电力有限公司、中国电力科学研究院

4、、国家电力调度通信中心、华东电网有限公司、华中电网有限公司、南方电网有限公司、辽宁省电力有限公司。本部分主要起草人z许慕棵、邓兆云、杨秋恒、南贵林、韩水保、李根蔚、曹连军、林为民、周鹏、袁和林。I GB/Z 25320.2-20 13/IEC/TS 62351-2 :2008 51 -E同计算机、通信和网络技术当前已在电力系统中广泛使用。通信和计算机网络中存在着各种对信息安全可能的攻击，对电力系统的数据及通信安全也构成了威胁。这些潜在的可能的攻击针对着电力系统使用的各层通信协议中的安全漏洞以及电力系统信息基础设施的安全管理的不完善处。为此，我们采用国际标准制定了GB/Z25320(电力系统管理

5、及其信息交换数据和通信安全)，通过在相关的通信协议以及在信息基础设施管理中增加特定的安全措施，提高和增强电力系统的数据及通信的安全。E GB/Z 25320.2-2013月EC/TS62351号:2008范围和目的电力系统管理及其信息交换数据和通信安全第2部分:术语GB/Z 25320的本部分包括了在GB/Z25320中所使用的关键术语，然而并不意味这是一个由它定义的术语列表。用于计算机安全的大多数术语已由其他标准组织正式定义，因此在这里通过对原始定义术语的出处的引用来包括它们。2 术语和定义2. 1 术语表引用和特许经合适组织的许可，从以下的来源拷贝得到本术语表中的定义zc API1164J

6、美国石油协会API(AmericanPetroleum Institute) APIl164是关于SCADA安全的标准z该标准为石油和液化气管线系统的运营商，提供对SCADA系统的整体性和安全进行管理的指南。虽该文件的使用并不局限于管线，但在评审和制定SCADA系统标准时这应该被看作是对使用的最佳实践进行了列举。该文件具体化为A凹的石油工业安全导则。该导则被特别设计成给运营商提供对一些SCADA安全的工业实践所作的描述，并为在运营商的各个公司内发展出健全的安全实践，提供所需的框架。 ATISJ (Alliance for Telecommunications Industry Solution

7、s) 美国为通信和相关信息技术快速制定和促进技术和运行标准的组织。ATIS得到了美国国家标准学会(ANSD的认可ATIS的Telecom电信术语表2007年发表于网站http:/www.atis.org/glossary/。该网站合并和代替了T1.523-2001，即2000年ATIS的Telecom电信术语表。2000年ATIS的Telecom电信术语表是F5-1037C(美国联邦标准FederalStandard 1037)的扩展且在1980年以电信术语表(Glossaryof Telecommunication Terms)初次出版。 FIP5-140-2J 这是美国联邦信息处理标准出版

8、物140亿(USFederal Information Processing Standard Publication 140-2) ，标题为密码模件的安全需求(SecurityRequirements for Cryptographic Modules勺。1) ATIS文件中心是出版和组织出版由ATIS赞助的工业论坛和委员会所产生的电信标准、技术报告和技术要求及导则的重要在线资源.该网站是http:/www.atis.org CopyrightC Alliance for Telecommunications Industry Solutions，2001年，该拷贝权与被Tl委员会和在T1委

9、员会创建的以及于此包含或据此组合的所有具有拷贝权的电信行业文件资料有关。保留所有的权利(AllRights Reserved)。如没有出版者预先书面准许，该出版物的任何部分都不可以以电子检索系统或其他的方法以任何方式进行复制。作为信息，请通过202. 628-6380与ATIS联系。.http:/www.atis.org网站ATIS是在线的.1 GB/Z 25320.2-20 13/IEC/TS 62351-2 :2008 ISA99J 该ISA技术报告为开发电子安全程序提供了框架而且为安全规划提供了推荐的组织和结构。这信息提供了有关至少应包括元素的具体信息。站点或实体特定信息应该包括在程序的

10、适当地方。 ISO/IEC 27002: 2005J 信息技术安全技术信息安全管理实施准则(Information technology-Security techniques-Code of practice for information security management)是国际公认的信息安全良好实践的标准。该标准原是英国标准BS7799，并且后来被定为ISO/IEC17799，而最近再命名为ISO/IEC27002: 2005 0 ISO/IECJ 许多ISO/IEC文件包含已被采纳作为国际标准的术语定义。这些文件被单独引用。 NIST SP 800-53:27.12J 美国国家标

11、准和技术研究院NIST(NationalInstitute of Standatds and Technology)建议的联邦信息系统的安全控制。 NIST SP 800-82:2007. 9J NIST的工业控制系统安全指南。 NIST SP 800-X XJ 所引用的NIST的其他文件。 NIST IR 7298J NIST的关键信息安全术语表(Glossaryof Key Information Sccurity Terms)咱该文件通常引用其他来隙，因而在本文件中直接引用这些来源 RFC 2828J IETF RFC 2828，用于因特网的标准术语表E】。如有必要，引用其他来源。2.2

12、 安全和相关的通信术语表下列术语和定义适用于GB/Z25320所有部分。2.2. 1 抽象通信服务接口Abstracl Communication Service Interface; A岱E对智能电子设备(lED)的虚拟接口，提供抽象通信服务，例如连接、变量访问、未经请求的数据传输、装置控制和文件传递服务，与所使用的实际通信技和协议集元关&2 IEC 61850系列2) 困特网协会(lnternetSociety). Copyright 1 The Internet Society (2000). All Rights Reserved. (拷贝权属于因特网协会。保留所有的权利).This

13、document (RFC 2828) and translations of it may be copied and furnished to others , and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared , copied , published and distributed , in whole or in part, without restriction of any kind. (该RFC2828 文件和它的

14、翻译可以被拷贝和提供给它人，以及可以特别处理、拷贝、发表和散发其衍生的工作，包括评论或另外扩展它或支持它的实现z或整体或部分，没有任何方式限制)，但只要上述的拷贝权告示和这小段被包括在所有拷贝和衍生工作上.然而该文件本身不可以以任何方式进行修改，例如去除拷贝权告示或去除对因特网协会或其他因特网组织的引用，除了出于开发因特网标准的需要，在那种情况中必须要遵循在因特网标准处理中规定的拷贝权规程，或者因为该文件翻译为非英语的其他语言的要求。GB/Z 25320.2-20 13/IEC/TS 62351-2:2008 2.2.2 访问acc四S为了使用系统资源去处理该系统所包含的信息或获得这些信息的知

15、识，而与系统进行通信或交互的能力和方法。RFC 2828J 2.2.3 访问授扭机构access authority 负责对其他授权实体的访问权限进行监视和授予的实体。RFC 2828J 2.2.4 访问控制access control 1. 防止资源的未经授权使用，包括防止以未经授权方式使用资源。ISO/IEC 18028-2: 2006J 2. 保护资源以防未经授权访问z对资源使用的处理。根据安全策略对资源的使用进行管制而且仅是巳授权的系统实体才被准许根据那个策略使用资源。RFC 2828J 3. 对信息系统的访问和对其居所的物理访问进行控制的规则和部署机制。信息安全(lnformatio

16、n Security)整个主题就是基于访问控制(AccessControl)。按定义，没有访问控制，信息安全就不可能存在。ISO/IEC 27002: 2005J 2.2.5 访问控制列表Access Control List; ACL 通过列举允许访问资源的系统实体身份，实现系统资源的访问控制的机制。RFC 2828J 2.2.6 可证实性accountability 可审计性accoun ta bili ty 可迫溯性accountability 1. 确保一个实体的活动可以被唯一地追踪到该实体的特性。ISO/IEC 7498-2J 2. 系统(包括其所有系统资源)的特性，该特性确保一个系

17、统实体的活动可以被唯一地追踪到那个能对它的活动负有责任的实体。RFC 2828J 2.2.7 适度安全adequate security 与信息的丢失、滥用或者未经授权访问或未经授权修改所导致的风险和危害大小相称的安全防护。这包括通过使用戚本-效益(cost-effective)管理、运行控制和技术控制，确保组织所使用的信息系统和应用有效地运行并且提供适当的机密性、完整性和可用性。NIST SP 800-53J 2.2.8 高级加密标准Advanced Encryption Standard; AES 先进加密标准Advanced Encryption Standard; AES 1. 一种对

18、称加密机制，提供可变密钥长度并使得能高效实现。该机制规定作为美国联邦信息处3 GB/Z 25320.2-2013/IEC/TS 62351-2: 2008 理标准(FIPS)197(FederalInformation Processing Standards FIPS 197)。ISO/IEC 18028-4: 2005J 2. 高级加密标准(AdvancedEncryption Standard)规定了能够用于防护电子数据的美国政府批准的密码算法。AES算法是对称分组密码，能够加密(加密器)和解密(解密器)信息。NIST SP 800-46J 3. 该标准规定Rijndael算法，使用12

19、8、192和256位长度密钥，能处理128位数据分组的对称分组密码。FIPS 1J 2.2.9 告曹alarm 以产生可昕或可视断续变化或者两者同时变化，通告异常情况存在的装置或功能，以引起对那种情况的注意。ANSI/ISA 5. 1: 1979J 2.2.10 应用层appHcation fayer 参看开放系统互联组织(OS1)的参考模型第7足。2.2. 11 关联assciation 系统实体间的协同关系，通常出于在实体间传递信息的目的。RFC 2828J 2.2. 12 保证邵阳rance在安全语境(context)中，相信交付物件满足其安全目标的理由。ISO/IEC 15408-1J

20、 注2在安全业界内一般接受该定义;而在国际标准化组织(lSO)内更普遍使用的军义是g导致以声明使人相信一个产品、边程或阪务实现了规定妥求的行为。ISO/IEC L; uide 2J 2.2. 13 非对称密码asymm.tric cpbi!r 基于非对称密码技术的密钥加解密，曹钥的公开变换用于加密而密钥的私有变换用于解密。ISO/IEC 18033-1J 2.2.14 非对称密码学asymmetric c叮ptography一种现代密码学分支(一般以公钥密码学为人所知)，算法使用一密钥对(公钥和私钥)而且为算法的不同步骤使用该密钥对的不同组成成分。RFC 2828J 2.2. 15 非对称密钥

21、对asymmetric key pair 一对相关的密钥，其私钥确定了私有变换而其公钥确定了公开变换。ISO/IEC 9798-1: 1997J 2.2. 16 攻击attack 1. 来自智能威胁对系统安全的袭击。该智能行动是有意的，企图(特别在方法和技术意义上)规4 GB/Z 25320.2-2013月EC/TS62351-2:2008 避安全服务和违反系统的安全策略。RFC 2828J 2. 试图旁路信息系统(lS)的一种或多种安全控制的有意动作。信息系统的安全控制包括不可否认性、认证性、完整性、可用性或机密性。ATISJ 2.2.17 审计audit 1. 相对于预期，为一致性和符合性

22、对事实进行正式查询、正式检查或验证。ISO/IEC 18028-3 :2005J 2. 为了测试数据安全规程和数据完整性规程的适度和效力、为了确保与设定的策略和运行规程一致以及为了建议任何必要改变，对系统记录和活动实行独立评审和审查。ATISJ 2.2. 18 审计日志audit log 包含修改记录详情的计算机文件。要求系统恢复时也可以使用该文件。启用该特性通常导致一些系统开销，但它的确使所有系统活动能事后评估。ISO/IEC 27002: 2005J 2.2.19 审计纪录域audit record field 包含关于一个事务中的所有实体和这些实体所执行的处理类型指示的信息的域。ATIS

23、J 2.2.20 审计追踪audit trail 一个或一系列记录，使得计算机或文秘系统所执行的处理能被精确地识别出来。因包括创建和对修改进行授权的用户的细节，这通常使得能核查修改的真实性。ISO/IEC 27002: 2005J 注2对可能的安全破坏进行技术和司法检定，审计迫踪是至关重要的。2.2.21 可信签名authentic signature 能够信赖的签名(特别是数字签名)，因为能对该签名进行核查。RFC 2828J 2.2.22 认证authentication 鉴别auther时cation1. 任何专用于确定传输、消息或发信方的有效性的安全措施，或者对接受特定的信息类别的个人

24、授权进行验证的手段。ATISJ 2 验证用户、进程或装置的身份，经常作为允许访问信息系统资源的前提条件。NIST SP 800-53J 3. 经合适签名或密封的证据，证实文件是真实且正式的。ATISJ 4. 建立信息的发信端或确定实体身份的过程。RFC 2828J 5 GB/Z 25320.2-2013/IEC/TS 62351-2:2008 5. 保证所声称的实体身份的措施。ISO/IEC 10181-2:1996J 2.2.23 授权authorization 同意给与系统实体访问系统资源的权限或许可。RFC 2828J 2.2.24 授权过程authorization process 同

25、意给予系统实体访问系统资源权限的过程。RFC 2828J 2.2.25 授权用户authorized user 安全防护中，经授权用户就是根据组织的安全策略，可以执行某种操作的用户。ATISJ 2.2.26 可用性availability 1. 授权实体按需要就能访问和使用的特性。ISO/IEC 13335-1 :2004J 2. 根据系统的性能规范，授权系统实体按需要就能访问和使用系统或系统资源的特性。即根据系统设计每当用户请求服务，系统就提供服务，则这系统是可用的。RFC 2828J 2.2.27 后门back door 一种硬件或软件机制。通过后门而不是用通常的过程，提供对系统和系统资源

26、访问;它是系统设计者或维护者有意保留的，而且通常并不公开让人知道。RFC 2828J 注=类似于陷门(2.2.207)，但通常实现并非出于恶意动机。2.2.28 带宽bandwidth 一般用于确定通信信道容量，在给定的时间段内经此信道所传递数据量。通常以每秒比特数表示。RFC 2828J 2.2.29 生物特征biometric 1. 人类的身体或行为特征。NIST SP 800-32J 2. 可测定的身体特征或个人行为特性，用于确认申请者身份或证实其声称的身份。面部影像、指纹和笔迹样本都是生物特征例子。FIPS 201J 2.2.30 6 分组加密block cipher 对明文分组即规定

27、长度的位串进行运算而产生密文分组，具有这样一种特性的对称加密算法。ISO/IEC 18033-1J GB/Z 25320.2-2013月EC/TS62351-2:2008 2.2.31 边界防护boundary prot四tion完全在组织的管理和控制之下的信息系统和非完全在组织的管理和控制之下的信息系统之间外部边界处和完全在组织的管理和控制之下的信息系统之间关键内部边界处，为防护和探测恶意的和其他未经授权通信，使用受控接口(例如z代理、网关、路由器、防火墙、加密隧道)，对通信进行监视和控制。NIST SP 800-53J 2.2.32 缓冲区溢出buffer pverflow 接口的一种状况

28、，多于分配容量的输人能被置人缓冲区或数据存储区域而造成对其他信息的覆盖。敌方利用如此状况使系统崩溃或植人特别编成的编码，使其能获得对系统的控制。NIST SP 800-28J 2.2.33 BIS机制Bump-in-the-Stack 楼内转换Bump-in-tl叶Stack安全模块对TCP/IPv4模块和网卡驱动模块之间的数据流进行监昕并且转换IPv4成IPv6或反之，这些安全模块嵌入主机因而使它们成为自转换器。RFC 2767J 2.2.34 BTW技术Bump-in-the-Wire 链路端加密装置Bump-in-the-Wire 安全防护中在通信链路的每一端，在与装置或系统的连接后增加

29、的加密盒。一个加密盒从一个装置取得明文报文且对它们进行加密，而另一个盒接收这加密报文且把它们解密回明文，以及反之。这种方法提供外部加密从而避免需要在装置内嵌入加密功能。Common usageJ 2.2.35 回拨call back 用于经电话线远程访问计算机的终端的认证技术。主机系统断开呼叫者连接，然后回拨那个终端的先前已审定的电话号码。RFC 2828J 2.2.36 证书certificate 1. 在密码技术中，证书是公共密钥和实体身份并且带有以发放证书机构的私钥对全信息进行数字签名而造成不可能伪造的其他信息。ATISJ 2. 信息的数字表达，这些信息至少应包括确定发放证书的证书机构，

30、命名或确定证书的签署者，包含签署者的公钥，确定它的有效期以及是已由发放证书的证书机构经过数字签名。NIST SP 800-32J 2.2.37 证书管理certificate man略:ement证书被生成、存储、防护、传递、装载、使用和注销的过程。ATISJ 7 GB/Z 25320.2-2013月EC/TS62351-2 : 2008 2.2.38 证书撤销列表Certificate Revocation List; CRL 1. 已撤销的公钥证书列表，该证书是由证书机构(CertificationAuthority，CA)创建和数字签名。NIST SP 800-63J 2. 已撤销但未过

31、期的由CA发放的证书表。NIST SP 800-21第2版2.2.39 安全证明certification 为支持安全合格鉴定，对信息系统的管理、运行和技术的安全控制所作的综合评估，确定在符合系统的安全需求上，正确执行控制、按预期运行和产生期望结果的程度。NIST SP 800-37J 2.2.40 证书机构Certification Autbority; CA 1. 为创建和分配证书，由一个或多个用户所信任的机构。证书机构也可以创建用户密钥，这是可选的。ISO/IEC 13888-1: 2004J 2. 可信的第三方(类似证券交易机构勺，发放数字签名和数字证书。ISO/IEC 27002:

32、2005J 3. 发放数字证书(特别是X.509数字证书)并对证书中数据项间绑定关系进行担保的实体。RFC 2828J 2.2.41 监管链cbain of custody 以包括处理证据的每个人、收集或传递证据的日期/时间和传递目的形成文件，通过证据的收集、安全保管和分析生命期，对证据迁移进行追踪的过程。NIST SP 800-72J 2.2.42 挑战握手认证协议ChaUenge Handshake Autbenticatiolll ProtocoB; ClllAP 用于PPP的对等实体认证方法，使用随机产生的挑战并且要求与取决于挑战和秘密密钥的密码哈希的响应进行匹配。RFC 2828J

33、2.2.43 8 挑战-晌应cballenge-response 挑战-响应协议challenge-response protocol 1 一个认证过程，要求在挑战的响应中所提供的正确认证信息对身份进行验证。在计算机系统中，不可预知的挑战值的响应中认证信息通常是一个要求计算所得的数值。RFC 2828J 2. 一个认证协议，验证者给请求验证者发送一个挑战(通常是一个随机值或不可重现数而请求验证者把该挑战与共享秘密结合(常常把挑战和秘密在一起进行晗希运算)，以生成发送给验证者的响应。验证者知道该共事秘密因而能独立计算出响应并且把它与由请求验证者生成的响应相比较。如果两者是相同的，则认为请求验证者

34、已经成功地证明了他本身是真的。当该共享秘密是一个密钥，为防窃昕者这样的协议通常是安全的。当此共享秘密是口令，虽窃昕者不能直接截获口令本身，然而窃听者可以用离线的口令猜测攻击能够找到此口令。NIST SP 800-63J GB/Z 25320.2-2013/IEC/TS 62351-2:2008 2.2.44 校验和cbecksum 一组数据项的和。该和用于校验目的，在传输期间检测差错或纠正差错。参看哈希和(hashtotal)。ATISJ 2.2.45 密码cipber 1. 用于保护数据机密性的密码技术，并且它由三部分处理组成z加密算法，解密算法和生成密钥方法。lSO/IEC 18033-1

35、J 2. 任何一个密码系统，在该密码系统中根据某些预定规则，硬性确定的符号或符号组表达规则长度的单位明文通常为单个字母)，或重新排列单位明文，或者两种方法一起使用。ATISJ 2.2.46 密文cip抽be町rtex剖t 为隐藏数据的信息内容，已经被变换的数据。lSO/IEC 10116 :2006J 2.2.47 明文cleartext;plaintext 没加密的信息。ATISJ 2.2.48 客户端client 接受或请求来自服务器应用的服务或信息的装置或应用。ATISJ 2.2.49 安全曼损compromise 1. 向未经授权的人员泄露信息或者违反系统的安全策略，在系统中可能已经发

36、生有意或无意的未经授权泄露、修改、销毁或遗失对象。NIST SP 800-32J 2. 未经授权泄露、修改、替换或使用敏感数据(包括明文密钥和其他关键安全参数。FIPS 140-2J 2.2.50 计算机紧急晌应组织Computer Emergency Response Team; CERT 一般认为CERT是作为因特网正式应急组织。ISO/IEC 27002: 2005J 注z在公司内或其他集团内为描述应急队伍，同样能使用该术语.2.2.51 计算机病毒computer virus 计算机病毒类似于特洛伊木马，因为它是包含隐藏代码的一段程序，它通常执行某种不需要的有害功能。病毒和特洛伊木马之

37、间的主要区别是计算机病毒中隐藏代码仅仅能以本身的副本附着于其他程序而进行复制，并且也可能包括特定条件符合时会触发的附加有效载荷。NIST SP 800-46J 9 GB/Z 25320.2-2013/IEC/TS 62351-2:2008 2.2.52 机密性confidentiality 保密性confidentiality 1. 对信息访问和披露的授权限制进行保护，包括对个人隐私和专有信息进行防护的方法。NIST SP 800-53J 2. 机密数据或敏感数据的机密性是达到不使数据受损的等级，即不使该数据可用于或透露于未经授权个人、进程或其他实体。ATISJ 3. 信息不被透露给未经授权个

38、人、进程或装置的保证。ATISJ 4. 不使与实体或伙伴有关的信息可用于或透露于未经授权个人、实体或进程的特性。ATISJ 5. 不使信息可用于或透露于未经授权个人、实体或进程的特性eISO;IEC 7498-2J 2.2.53 一致性测试confolmance test 与验收测试不同，一致性测试是由独立团体执行的测试，以确定某个特定设备是否蹒足规定的控制文件的标准，比如美国联邦标准、美国国家标准、军用标准或军用规范。ATISJ 2.2.54 控制网络control network 那些通常连接于对物理过程进行控制且对时间和安全有严格要求的设鲁的企业网络。控制网络能够进一步分成区，困而在一个

39、企业或工作场所内能够存在若干分开的控制网络。NIST SP 800-82J 2.2.55 控制系统l:ontrl system 1. 由受控系统、它的控制系统、测量元件和相呆的变送元件所组成的系统。IEV 351 28-06 2. 使用周密的控制或操纵使变量达到规定值的系统。控制系统包括数据采集和监控系统(SCADA)、分散控制系统(DCS)、可编程逻辑控制器(PLC)和其他类型的工业测量和控制系统。NIST SP 800-82J 2.2.56 控制系统运行control system operations 控制系统运行包括生产、维修保养和质量保证运行的集合以及生产机构的其他活动。控制系统运行

40、包括= 对原料转化为最终产品所涉及的人员、设备和材料进行协调的机构活动5 可以由物理设备、人力和信息系统执行的功能; 对机构内所有资源(人员、设备和材料的信息进行管理，这些资源信息是关于机构资源的计划安排、使用、容量、规定、历史纪录和当前状况的信息。ISA99J 2.2.57 Cookie Cookie 与所请求资源一道由web服务器提供给浏览器的一段信息，用于浏览器暂存并在任何随后访问或10 GB/Z 25320.2-2013/IEC/TS 62351-2:2008 请求时返回该服务器。NIST SP 800-46 J 2.2.58 应对措施countermeasure 1. 以消除或预防威

41、胁、脆弱性或攻击，使得它可能造成的损害降至最小或发现和报告它以便于能采取纠正行动的方式，达到减少威胁、脆弱性或攻击的行动、装置、过程或技术。RFC 2828J 2. 减少信息系统脆弱性的行动、装置、过程、技术或其他措施。同义词安全控制(security control)和安全防护(safeguard)。NIST SP 800-53J 2.2.59 黑窑cracker 黑客高手cracker 1. 高手(cracker)是黑客行话，表明他是一位突破系统安全防护的黑客。ATISJ 注z为防止新闻滥用术语黑客，1985年由黑客把术语高手气Cracker)缩写为ca.ATIS 2. 具有恶意意图，获得

42、或试图获得非法访问计算机或计算机程序的个人。ATISJ 注2同义词口令破译高手passwordcracker. ATIS 2.2.60 可信凭证credential 为确定自称身份或审定系统实体，被传递或表示的数据。RFC 2828J 2.2.61 关键系统资源CI训calsystem resource 某个服务或某个系统资源的状况，以致对那资源造成拒绝访问(即可用性缺失就会危及系统用户执行主要功能的能力，或会导致其他严重后果。RFC 2828J 注2除拒绝访问外，其他安全威胁，比如信息完整性缺失，同样能使得一个资源归类为关键系统资源。2.2.62 密码算法crypto-algorithm 明

43、确定义的过程，或者是规则或步骤的序列，或者是一系列数学式，用于描述各种密码过程，比如加密/解密、密钥生戚、认证、签名等。ATISJ 2.2.63 密码晗希cptographic hash 密码散列cryptographic hash 1. 把任意长度的8位位串映射为固定长度的8位位串的函数，以致于用计算方式求得输入和输出之间的相关性是不可行的，而且如给定输出的一部分而不给输人，用计算方式推测任何一点剩余输出也是不可行的。精确的安全防护要求取决于应用。ISO/IEC 18033-2: 2006J 2. 晗希函数是从大值域(甚至非常大值域的数值映射入较小数值范围的数学画数，并且晗希函数是单向(即要

44、以计算方式去求得映射为预先指定输出的输入是不可行的而且无冲突(即要11 GB/Z 25320.2-20 13/IEC.月s62351-2: 2008 2.2.64 以计算方式去求得映射为相同输出的任何两个不同输入是不可行的。ATISJ 密钥cryptographic key 一个数学上的数值，用于在算法中从明文产生密文或反之并且用于确定密码技术功能比如同步生成密钥载体(keyingmaterial) J的运算或者数字签名的计算或确认。ATISJ 2.2.65 密码技术cptography 1. 关注于把明晰的信息表示为难以理解的信息和把加密信息恢复为可理解形式信息的原理、手段和方法的科学或技术

45、9ATISJ 2. 密码学的分支，涉及设计和使用密码系统的原理、手段和方法。ATISJ 3. 为了隐藏信息内容、防止信息未经检测的修改和/或防止信息未经授权的使用，包含数据变换的原理、手段和方法的学科。ISO/IEC 18014-2 :2002J 2.2.66 计算机的cyber 宽泛地说，是对与计算机或网络化相关的任何事物的前缀。ATISJ 2.2.67 计算机攻击cyber attack 参看攻击(2.2.1的。2.2.68 计算机安全cyber security 信息安全information security 防护信息免受未经授权的世露、传递、修改或销毁，元论是元意的或是有意的，ATI

46、SJ 2.2.69 循环冗余校验Cyclic Redund姐cyCheck; CRC 确保数据通过通信信道发送后不被改变的一种方法。NIST SP 800-72J 2.2.70 数据鉴别data authentication 数据验证data authentication 确认数据真实性。鉴别技术通常形成所有形式对系统或数据的访问控制的基础。ISO/IEC 27002: 2005J 2.2.71 数据损坏data corruption 无意或有意破坏数据完整性。ATIS 12 GB/Z 25320.2-20 13/IEC/TS 62351-2: 2008 2.2.72 数据细密标准Data E

47、ncryption Standard;DES 1. 用于防护非机密计算机数据的密码算法。DES算法由美国国家标准和技术研究所(theNational Institute of Standards and Technology)发布在联邦信息处理标准出版物46-1(Federal Information Processing Standard Publication 46斗，FIPS 46-1)中。ATISJ 注:DES并没被批准用于防护美国国家安全机密信息.ATIS 2. 使用56比特密钥的著名对称加密机制。由于DES的短密钥长度，DES被高级加密标准(AES)所代替，但它仍然在多次加密模式中使用，如3DES即三重DES(FIPS 46-3)。ISO/IEC 18028-4: 2005J 2.2.73 数据完整性data integrity 1. 数据并没以未经授权方式或无意方式改变、损坏或丢失的特性。RFC 2828J 2. 数据从其来