Thuật ngữ về an toàn thông tin
lượt xem 160
download
Mật mã học là một lĩnh vực liên quan với các kỹ thuật ngôn ngữ và toán học để đảm bảo an toàn thông tin, cụ thể là trong thông tin liên lạc. Về phương diện lịch sử, mật mã học gắn liền với quá trình mã hóa; điều này có nghĩa là nó gắn với các cách thức để chuyển đổi thông tin từ dạng này sang dạng khác nhưng ở đây là từ dạng thông thường có thể nhận thức được thành dạng không thể nhận thức được, làm cho thông tin trở thành dạng không thể đọc...
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Thuật ngữ về an toàn thông tin
- THUẬT NGỮ VỀ AN TOÀN THÔNG TIN Access Mô tả tương tác cụ thể giữa một chủ thể với một đối tượng mà kết quả là luồng thông tin từ một chủ thể đến các chủ thể khác. Đó là năng lực và cơ hội để nhận biết về, hoặc để thay đổi thông tin hay vật thể bao gồm khả năng và phương tiện để liên lạc với nó (chẳng hạn như thông tin đưa vào hoặc thông tin nhận được từ đầu ra), hoặc các cách sử dụng khác nhau của bất kỳ một thông tin, tài nguyên, hay thành phần nào trong một hệ thống máy tính. Access Control Là quá trình giới hạn truy cập đến nguồn tài nguyên của một hệ thống để cho những người, chương trình, tiến trình hay các hệ thống khác mà có thẩm quyền truy cập. Thuật ngữ này đồng nghĩa với điều khiển truy cập và giới hạn truy cập. Các yêu cầu truy cập đến nguồn thông tin phải được điều khiển bởi hệ thống. Trong khái niệm bảo mật máy tính, điều khiển truy cập là khả năng giới hạn và điều khiển các truy cập đến các hệ thống máy chủ và ứng dụng thông qua các đường liên lạc thông tin. Để thực hiện được sự điều khiển này, mỗi điểm truy cập trước khi truy cập phải được xác định, hoặc xác thực, vì vậy quyền truy cập có thể xác định được cho từng người sử dụng. Accreditation/Approval Đảm bảo chứng thực quản lý cho hoạt đông của mỗi MIS. Nó cung cấp một đặc tả chung bởi Accrediting Authority, mà mỗi hệ thống máy tính được đảm nhiệm thực hiện trong chế độ bảo mật rõ ràng với việc sử dụng các cơ chế an toàn quy định. Accreditation dựa theo xử lý certification hay các quy trình quản lý khác. Mỗi tiếp đầu ngữ của lời kể accreditation tương ứng với Accrediting Authority và chỉ ra tương ứng với mỗi trường hợp cụ thể trong an toàn bảo mật. Adequate Security Bảo mật tương ứng với các rủi ro và sự nghiêm trọng của các hư hại gây ra bởi sự mất mát, thất lạc, hoặc truy cập trái phép đến, hoặc sự thay đổi của thông tin. Quá trình này bao gồm sự bảo đảm rằng các hệ thống và ứng dụng được sử dụng bởi một loạt các hoạt động một cách có hiệu quả và cung cấp đúng đắn tính bí mật, tính toàn vẹn, và tính sẵn sàng của thông tin thông qua việc sử dụng hiệu quả của người quản lý, cá nhân, cúa các hoạt động và điều khiển kỹ thuật. ADP Xử lý dữ liệu tự động. Xem thêm: Management Information System Application Một phần mềm bao gồm các chức năng có liên quan đến nhau, hoặc là một loạt các chương trình có liên quan chặt chẽ và phụ thuộc lẫn nhau khi chúng thực hiện một mục đích hoặc một yêu cầu của người sử dụng đã được xác định trước. Xem thêm: Major Application, Process. Application Owner Những nhân viên chịu trách nhiệm về ứng dụng, người làm cho các ứng dụng thực hiện các mục đích riêng bệt hoặc thực hiện các yêu cầu của người dùng đối với ứng dụng bao gồm cả các biện pháp an toàn, an ninh thích hợp. Xem tiếp: Process Owner. Audit Quá trình thực hiện xem xét một cách độc lập và kiểm tra các thao tác và các bản ghi hệ thống.
- Audit trail Tập các bản ghi cung cấp các bằng chứng tài liệu đã được lựa chọn về một quá trình. Được áp dụng để hỗ trợ việc giám sát từ các giao dịch ban đầu cho tới các bản ghi, báo cáo có liên quan và ngược lại từ các bản ghi và báo cáo trở lại các giao dịch nguồn ban đầu. Authenticate/Authentication (1) Tiến trình kiểm tra lại định danh của một người sử dụng, một thiết bị hay các thực thể khác trong hệ thống máy tính, thường là các yêu cầu ban đầu cho phép truy cập đến tài nguyên của hệ thống. (2) Một tiến trình sử dụng để kiểm tra lại rằng các dữ liệu nguyên thuỷ được truyền đi đúng đắn, và đảm bảo rằng tính đồng nhất không bị sai lệch. Authenticated user Một người dùng có quyền truy cập vào một hệ thống thông tin với một định danh có hiệu lực và xác thực kèm theo. Authorization Quyền và sự cấp phép được gán cho một cá nhân tuân theo tổ chức đã được hình thành trước để truy cập hay sử dụng một chương trinh, một tiến trình, thông tin hay hệ thống. Các quyền này dựa trên các xác nhận cá nhân và những điều cần biết. Authorized Person Người cần phải biết về những thông tin nhậy cảm trong khi thực hiện nhiệm vụ và có quyền truy cập vào hệ thống với một mức độ nhất định. Có trách nhiệm xác định xem người nhận có quyền hay không? Người nhận có thẩm quyền là người sở hữu, hiểu biết về các thông tin nhạy cảm này. Availability Khả năng truy cập, sử dụng dựa trên yêu cầu của thực thể có thẩm quyền. Các ràng buộc bảo mật phải tạo những dịch vụ của hệ thống MIS luôn sẵn sàng cho người sử dụng có quyền và ngăn chặn những người sử dụng không có quyền. Back-up Bản sao của một chương trình hoặc dữ liệu nhằm mục đích bảo vệ chống lại mất mát các dữ liệu nguyên bản. Back-up Operation Phương thức mô tả tập thao tác thực hiện các tác vụ cơ bản theo mô hình phân tích rủi ro. Các tác vụ này được mô tả trong MIS và thực hiện thao tác back-up chỉ khi nào thoả mãn các tác vụ này. Xem thêm: Disaster Recovery, Contingency Operations. C2 Một mức tiêu chuẩn đảm bảo tính an toàn cho hệ thống. Xem thêm: Controlled Access Protection, TCSEC. Capstone Dự án dài hạn của chính phủ MỸ nhằm pháp triển một tập các tiêu chuẩn cho mã khoá công khai, được xác nhận bởi Luật bảo mật máy tính năm 1987. Hệ thống sử dụng mã hoá Capstone
- gồm bốn thành phần chính và được chứa trong một mạch tích hợp duy nhất cung cấp khả năng mã hoá dữ liệu non-DoD cho thông tin nhậy cảm nhưng không phân loại. Capstone thực hiện theo thuật toán Skipjack. Xem thêm: Clipper. Certification Phân tích bao hàm các tính năng về mặt kỹ thuật và không kỹ thuật, và các chức năng bảo mật khác, để thực hiện đánh giá đến từng khía cạnh trong hệ thống quản lý thông tin MIS đáp ứng được các yêu cầu riêng biệt về bảo mật. Certification được coi như một phần trong quá trình xử lý accreditation và có thể đại diện cho accreditation.. Xem thêm: Accreditation. Channel Một thông tin chuyển qua một đường truyền trong một hệ thống hay cơ chế gây tác động đến đường truyền thông tin. Cipher Thuật toán để mã hóa và giải mã. Mỗi mật mã đại diện cho một mẩu thông tin (một đoạn ký tự) cùng với một đối tượng khác, với mục đích để che giấu nghĩa của thông tin. Thông thường, quy tắc thay thế được quản lý bởi một chìa khóa mật. Xem thêm: Encryption, Decryption. Classification Một sự sắp đặt thông tin theo nhóm hay phạm trù tuân theo một nguyên tắc định trước. Trong các vấn đề cần quan tâm của bảo mật quốc gia nó xác định rằng thông tin đòi hỏi các mức độ bảo vệ riêng biệt nhằm chống lại sự tiết lộ không cho phép. Xem thêm: Limited Official Use. Clear or clearing (MIS Storage Media) Sự xoá bỏ các các dữ liệu cần xử lý ra khỏi vùng lưu trữ của hệ thống quản lý thông tin MIS và các thiết bị ngoại vi khác có khả năng lưu trữ tại cuối mõi quá trình xử lý. Các dữ liệu này cần đảm bảo không thể tái tạo lại bằng các phương tiện thông thường của hệ thống ví dụ như bằng bàn phím. Xem thêm: Remanence, Object Reuse. Clipper Clipper là một con chip mã hoá được chính phủ Mỹ phát triển và hỗ trợ như là một phần của dự án Capstone. Xem thêm: Capstone, Skipjack. Compromise Sự tiết lộ những thông tin nhậy cảm cho những người không được quyển truy cập hoặc được biết. Computer Security Kỹ thuật và quy trình quản lý áp dụng cho hệ thống MIS để đảm bảo tính sẵn sàng, tính toàn vẹn và tính bí mật của thông tin. Xem thêm: Information System Security. Confidentiality Điều kiện khi thông tin thu thập cho các mục đích xác định chỉ được phổ biến cho nhóm người dùng có thẩm quyền. Nó khác với bí mật (secrecy) vì bí mật là kết quả của việc che giấu có mục đích hay nắm giữ thông tin. Confidentiality thể hiện 1) Cách mà dữ liệu được sử dụng và duy trì trong tổ chức; 2) Ứng dụng tiếp theo được sử dụng trên những dữ liệu đó và 3) Khi những cá nhân theo yêu cầu phải chấp thuận việc sử dụng thông tin đó. Bao gồm việc bảo vệ dữ liệu khỏi sự tấn công bất ngờ và đòi hỏi những thông tin đó có khả năng truy cập không chỉ cho những đối tác có thẩm quyền đọc hoăc các truy cập khác như in ấn, hiển thị, và các kiểu tiết lộ thông tin khác đơn giản như tiết lộ sự tồn tại của một đối tượng.
- Configuration Management (CM) Quản lý các thay đổi về phần cứng, phần mềm, tài liệu, các bài test, vật để test, tài liệu test, giao diện liên lạc, qui trình hoạt động, cấu trúc cài đặt, và tất cả các thay đổi của hệ thống MIS xuyên suốt quá trình từ khi phát triển và chu kỳ hoạt động. Contingency Plan Quá trình tổ chức tài liệu nhằm tiến hành đối phó với những tình huống khẩn cấp, các hoạt động dự phòng, khôi phục sự cố, duy trì hoạt động cho một hệ thống MIS như là một phần của chương trình bảo mật để đảm bảo tính sẵn sàng của tài nguyên quan trọng và đảm bảo tính liên tục của các hoạt động trong hoàn cảnh khẩn cấp được thuận tiện. Xem thêm: Disaster Recovery. Controlled Access Protection (C2) Một tiêu chuẩn an toàn bảo mật được mô tả trong TCSEC (Trusted Computer Security Evaluation Criteria). Bao gồm xác nhận, xác thực, kiểm tra, tái sử dụng đối tượng và hạn chế các truy cập đến dữ liệu. Đây là mức độ điều khiển tối thiểu đối với thông tin SBU. Conventional Encryption Một kiểu hệ thống mã hoá thực hiện mã hoá và giải mã sử dụng cùng một chìa khoá. Xem thêm: Symmetric Encryption. COTS Xem: Commercial-Off-The-Shelf. Countermeasures Xem: Security Safeguards Cracker Xem: Hacker. DAC Xem: Discretionary Access Control, C2, TCSEC. DASD (Direct Access Storage Device) Một thiết bị chứa dữ liệu dưới dạng điện từ sử dụng trong các máy tính lớn, thường thì những thiết bị này bao gồm nhiều đĩa xếp lớp thành hình trụ mà có khả năng lưu trữ lớn. Data Đại diện cho các thực thể, khái niệm, thông tin hay chỉ dẫn phù hợp với truyền thông, diễn giải hay xử lý. Sử dụng như là một danh từ số nhiều có nghĩa là thực thể hoặc thông tin. Data Encryption Standard (DES) Tiêu chuẩn mã hoá dữ liệu: mã hoá cipher khối được định nghĩa và hỗ trợ của chính phủ Mỹ năm 1977 như là một tiêu chuẩn chính thức. Tiêu chuẩn này do IBM pháp triển, nó đã được mở rộng nghiên cứu hơn 15 năm và là một hệ thống mã hoá được sử dụng rộng rãi và nổi tiếng nhất trên thế giới. Xem thêm: Capstone, Clpper, RSA,Skipjack. Data integrity Trạng thái tồn tại khi dữ liệu tính toán giống như khi ở trong các tài liệu ban đầu và không bị thay đổi thông tin, phá huỷ cấu trúc hay mất mát dữ liệu. Điều này đòi hỏi đảm bảo các thẩm
- định bởi MIS và thông tin lưu thông thay đổi chỉ bởi các đối tác có quyền. Các thay đổi bao gồm viết, thay đổi, thay đổi trạng thái, xoá, tạo mới và trễ hoặc truyền lại tin nhắn. Xem thêm: Integrity, System integrity. Deciphering Giải các dữ liệu đã được mã hóa (gọi là ciphertext) sang dữ liệu ban đầu (gọi là plaintext). Xem thêm: Decryption. Decryption Chuyển đổi cácdữ liệu đã được mã hóa (gọi là ciphertext) sang dữ liệu ban đầu (gọi là plaintext). Xem thêm: Deciphering. DES Xem: Data Encryption Standard. Xem thêm: Capstone, Clipper, RSA, Skipjack. Denial of Service Ngăn chặn các truy cập được phép tới các tài nguyên hoặc làm trễ thời gian thực hiện thao tác. Đề cập đến khả năng không thể phục vụ của hệ thống hoặc các thành phần chính thực hiện các mục tiêu định trước dù là mất hay suy giảm khả năng thực thi của hệ thống. Department of Defense (DOD) Trusted Computer System Evaluation Criteria Những tiêu chuẩn của Trung tâm bảo mật máy tính quốc gia (NCSC) đề ra để áp dụng cho thiết kế và đánh giá hệ thống, xử lý và lưu trữ các dữ liệu nhậy cảm. Tài liệu này bao gồm một tập hợp các yêu cầu cơ bản thống nhất và các bước đánh giá đảm bảo hiệu quả của việc bảo mật phần cứng và phần mềm dựa trên thiết kế và đánh giá của hệ thống MIS. Xem thêm: C2, Orange Book, TCSEC. Digital Signature Standard DSS là một tiêu chuẩn chữ ký điện tử xác định thuật toán sử dụng cho chữ ký điện tử (DSA), và nó là một phần của dự án Capsstone do chính phủ Mỹ thực hiện. Nó được NIST và NSA lựa chọn làm tiêu chuẩn xác thực điện tử cho chính phủ Mỹ nhưng chưa được chính thức sử dụng. Xem thêm: Capstone, Clipper, RSA, Skipjack. Disaster Recovery Plan Các thủ tục cần tuân theo sau khi các thảm hoạ (như hoả hoạn, ngập lụt, v.v) xảy ra. Kế hoạch khắc phục thảm hoạ phải bao trùm các trung tâm máy tính và các lĩnh vực chức năng khác của tổ chức. Xem thêm: Contingency Plan. Discretionary Access Control (DAC) Một phương tiện dùng để ngăn chặn các truy cập đến các đối tượng dựa trên xác định các chủ thể mà các đối tượng này thuộc về hoặc là dựa trên các sở hữu về quyền truy cập được gán cho các đối tượng đó. DSS Xem: Digital Signature Standard, Capstone, Clipper, RSA, Skipjack.
- Emergency Response Đối phó với các trạng thái khẩn cấp như hoả hoạn, ngập lụt, chiến tranh, thảm hoạ thiên nhiên, bom đạn, v.v để bảo vệ cuộc sống, giới hạn hư hỏng và các tác động lên hệ thống MIS. Encryption Chuyển đổi dữ liệu thành các hình thái không hiểu được bằng cách thay đổi thứ tự của chuỗi dữ liệu dựa trên các thuật toán. Xem thêm: Enciphering. Evaluation Là sự đánh giá cho phù hợp với một kịch bản hoặc các tiêu chuẩn đã được thiết lập trước. Firewall Tập hợp các thành phần hoặc một hệ thống được đặt giữa hai mạng. Hoạt động của hệ thống này tuân theo các tiêu chí sau: 1) tất cả các kết nối từ bên trong ra bên ngoài một mạng phải đi qua nó; 2) chỉ những kết nối được thẩm định (xác định thông qua chính sách an toàn thông tin) mới được phép đi qua nó; 3) bản thân hệ thống được miễn các thủ tục kiểm soát. Gateway Một hoặc một tập hợp các máy cung cấp dịch vụ trao đổi thông tin giữa hai mạng. Hack Phần mềm trong đó một phần mã chính là điểm khởi nguồn của chương trình khác. Nhiều chương trình bị phá đơn giản chỉ là loại bỏ các thông báo về bản quyền. Một vài kiểu phá hoại do những người lập trình sử dụng các đoạn mã họ đã viết từ trước để thực hiện các hành động cần thiết trên các chương trình mà họ đang thực hiện. Trong một số trường hợp khác nó đơn giản chỉ là một bản thử nghiệm. Thường dùng khi không thể đánh cắp được phần mềm. Xem thêm: Hacker Hacker Một tên thường dùng chỉ các người không được phép mà cố gắng truy cập đột nhập vào trong hệ thống MIS bằng các phần mềm đánh lừa hệ thống bảo vệ an ninh. Đồng thời thương được gọi là cracker Xem thêm: Intruder, Hack. Information Security Bảo vệ hệ thống thông tin chống lại các truy cập không cho phép hay thay đổi thông tin dù là trong nơi lưu trữ, trong quá trình xử lý hay vận chuyển; chống lại sự từ chối cung cấp dịch vụ cho những người được phép hoặc ngăn cản việc cung cấp dịch vụ cho những người không được phép bao gồm các phương tiện cần thiết để pháp hiện, ghi nhận và đếm các hiểm hoạ trên. Information Systems Security (INFOSEC) Bảo vệ thông tin khỏi các truy cập trái phép hay các thay đổi thông tin dù là trong nơi lưu trữ, trong quá trình xử lý hay vận chuyển; chống lại sự từ chối cung cấp dịch vụ cho những người được phép hoặc ngăn cản việc cung cấp dịch vụ cho những người không được phép bao gồm các
- phương tiện cần thiết để pháp hiện, ghi nhận và đếm các hiểm hoạ trên. INFOSEC phản ánh khái niệm bảo mật toàn bộ hệ thống MIS. Xem thêm: Computer Security. Identification Quá trình cho phép nhận diện một thực thể bởi một hệ thống, thường là sử dụng các tên người sử dụng duy nhất. Integrity Một trong những mục đích của bảo mật máy tính nhằm đảm bảo: 1) dữ liệu thể hiện đúng đắn thông tin mà nó chứa đựng; 2) dữ liệu duy trì ở một mức độ chính xác ban đầu; 3) dữ liệu được duy trì trong một điều kiện hoàn hảo; 4) Hệ thống MIS thực hiện thao tác xử lý chính xác; và 5) Dữ liệu tính toán thể hiện đúng những gì chứa đựng trong tài liệu ban đầu và không bị lộ do tai nạn hoặc do các thay đổi nguy hiểm hay do bị phá huỷ. Xem thêm: Data integrity, System integrity. Internet Một mạng của mạng trên toàn thế giới mà sử dụng giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) để truyền thông tin. Intruder Một cá nhân xâm phạm hoặc cố tình xâm phạm, truy cập trái phép đến một hệ thống máy tính. Xem thêm: Hacker Key Distribution Center Một hệ thống mà cho phép chuyển các khoá tạm thời cho người sử dụng đượcphép. Mỗi một khoá được truyền đi dưới dạng mã hoá sử dụng một khoá chính mà được phân phối đến người sử dụng xác định trước. Xem thêm: DSS, Encryption, Kerberos. Kerberos Kerberos là một hệ thống xác thực trên mạng sử dụng chìa khoá bí mật được pháp triển bởi MIT và sử dụng thuật toán DES để mã hoá và xác thực. Không giống như hệ thống xác thực bằng chìa khoá công cộng, nó không sản sinh ra chữ ký điện tử.. Kerberos được thiết kế để xác thực cho các yêu cầu về tài nguyên trên mạng hơn là để xác thực tác giả của tài liệu. Xem thêm: DSS. LAN (Local Area Network) Một hệ thống các máy tính và thiết bị ngoại vi được liên kết với nhau. Người sử dụng mạng cục bộ có thể chia sẻ dữ liệu trên đĩa cứng, trong mạng và/chia sẻ máy in. Least Privilege Nguyên tắc yêu cầu mỗi một chủ thể phải được gán hạn chế một cách tối đa các quyền cần thiết để thực hiện các tác vụ cho phép. Các ứng dụng cho nguyên tắc này nhằm hạn chế những thiệt hại có thể gây ra bởi tai nạn, lỗi hay sử dụng trái phép.
- Malicious Code Phần mềm được cố tình đặt trong hệ thống MIS nhằm thực hiện các mục đích không cho phép. Xem thêm: Trapdoor, Trojan Horse, Virus, Worm. Management Information System (MIS) MIS là một tập hợp các phần cứng, phần mềm, phần dẻo của máy tính được cấu hình nhằm tập hợp, tạo mới, liên lạc, tính toán, xử lý, lưu trữ, và điều khiển dữ liệu và thông tin. Các ví dụ bao gồm: các hệ thống lưu trữ và thu nhận thông tin, các máy tính lớn, các máy tính nhỏ, các máy tính cá nhân và các máy trạm, các hệ thống tự động trong văn phòng, hệ thống xử lý tin nhắn tự động (AMPS), các siêu máy tính và các máy tính điều khiển xử lý nhằm thực hiện các chức năng tính toán cho mục đích chung. MIS Security Phạm trù hay các điều khiển bảo vệ hoặc ngăn chặn hệ thống MIS khỏi các tiết lộ không cho phép dù chủ tâm hay vô ý, thay đổi, phá huỷ hệ thống MIS và dữ liệu chứa trong nó, hoặc khỏi sự từ chối cung cấp dịch vụ (denial of service). Bảo mật MIS ấn định một mức độ rủi ro có thể chấp nhận được cho hệ thống và dữ liệu chứa trong nó. Các mặt cần xem xét gồm: 1) Tất cả các phần cứng và/hoặc các chức năng, đặc điểm và đặc tính của phần mềm; 2) Qui trình hoạt động, điều khiển truy cập tại tất cả các thiết bị máy tính trong hệ thống MIS; 3) Quản lý các ràng buộc; 4) Thiết bị và cấu trúc vật lý;và 5) Điều khiển trao đổi thông tin và nhân sự. Microprocessor Bộ xử lý trung tâm bằng chất bán dẫn chứa trong một mạch tích hợp duy nhất. Network Một phương tiện liên lạc và tất cả các thành phần hỗ trợ cho phương tiện liên lạc đó để truyền thông tin. Các thành phần có thể bao gồm các hệ thống MIS, các chuyển mach gói, các bộ điều khiển trong viễn thông, và các thiết bị điều khiển kỹ thuật. Network Security Bảo vệ mạng và các dịch vụ mạng khỏi sự thay đổi, phá huỷ, tiết lộ trái phép, và đảm bảo rằng mạng sẽ thực hiện các chức năng chính đúng đắn và không bị những ảnh hưởng có hại. Non-Repudiation Phương pháp mà người gửi cung cấp một bằng chứng cho quá trình gửi và người nhận có khả năng xác nhận người gửi để sau này cả hai không thể chối cãi quá trình chuyển dữ liệu. Nonvolatile Memory Units Thiết bị cho phép duy trì nội dung thông tin mà nó chứa đựng khi năng lượng bị ngắt.(ví dụ như bộ nhớ chỉ đọc-ROM). Object Một thực thể thụ động mà chứa hay nhận thông tin. Việc truy cập tới một đối tượng tương tứng với việc truy cập thông tin mà nó chứa đựng.Ví dụ: các đối tượng là bản ghi, các khối, các trang, các phân đoạn, các tệp, các thư mục, cây thư mục, và chương trình thì có thể hiểu rằng đó là các bit, các byte, các từ, các trường, bộ vi xử lí, chế độ hiển thị, bàn phím, đồng hồ, máy in, nút mạng,...
- Object Reuse Sự dùng lại cho một đối tượng trong một môi trường (e.g., khung trang, sector đĩa, hay đĩa từ) mà được chứa đựng một hay nhiều đối tượng. Để sử dụng lại an toàn, không dữ liệu nào còn lại từ các đối tượng trước có thể có sẵn cho đối tượng mới qua các cơ chế hệ thống chuẩn. Off-line Liên quan tới việc thực hiện một chức năng khi không chịu tác động điều khiển trực tiếp của một máy tính. Xem tương tự: On-line. On-line Đi đôi với việc thao tác chức năng khi dưới tác động điều khiển trực tiếp của một máy tính. Xem tương tự: Off-line. Orange book Được đánh tên bởi mầu được che phủ bởi chính nó. Đây chính là tiêu chuẩn ước lượng chứng thực hệ thống máy tính (DoD Trusted Computer System Evaluation Criteria), DoD 5200.28-STD. Nó cung cấp thông tin cần thiết để phân loại các hệ thống máy tính như các mức bảo mật hệ thống của A, B, C, hay D, mô tả các mức chứng thực được đặt trong chúng. Xem tương tự như: C2, TCEC. Overwrite Procedure Là một tiến trình, mà di chuyển hoặc phá huỷ dữ liệu được ghi trong ổ chứa của máy tính với dữ liệu được viết đè lên. Password Một xâu chuỗi riêng rẽ được bảo mật và sử dụng để chứng thực quyền người sử dụng. Personnel Security Các thủ tục được thiết lập để đảm bảo rằng toàn bộ cá nhân có quyền truy cập vào các thông tin nhậy cảm sẽ có toàn quyền theo yêu cầu hay quyền bảo mật thích hợp. Physical Security Áp dụng các rào cản vật lý và các thủ tục điều khiển để kiểm tra mức độ phòng ngừa và bảo vệ chống lại hiểm hoạ đối với tài nguyên hoặc thông tin. Read Một hoạt động căn bản có kết quả là luồng thông tin từ một đối tượng tới chủ thể. Recovery Quá trình khôi phục lại các thành phần trong một hệ thống MIS, những tài nguyên có liên quan, các tập tin hư hỏng hay những thiết bị trở lại trạng thái hữu ích. Xem thêm: Disaster Recovery. Residual Risk Phần rủi ro còn tồn tại sau khi thực hiện các biện pháp bảo mật. Risk Analysis Quá trình xác định rủi ro bảo mật, mức độ rủi ro và xác định các vùng cần bảo vệ. Một quá trình
- phân tích các nguồn thông tin của tổ chức, các điều khiển hiện hành và các lỗ hổng của hệ thống MIS còn tồn tại trong tổ chức. Xem thêm: Risk Assessment, Risk Management. Risk Assessment Quá trình phân tích các hiểm hoạ và lỗ hổng của một hệ thống MISđể xác địh rủi ro, và sử dụng các kết quả phân tích làm nền tảng để xác định hợp lý chi phí - hiệu quả. Xem thêm: Risk Analysis, Risk Management. Risk Management Tất ả cá quá trình xác định, o đạc, điều khiển và loại bỏ hoặc tối thiểu hoá các sự kiện không được chắc chắn có thể gây ảnh huởng đến tài nguyên hệ thống. Quản lý rủi ro bao gồm chu kỳ sống của toàn bộ hệ thống và ảnh huởng trực tiếp đến chứng nhận hệ thống (system certification). Bao gồm quá trình phân tích rủi ro, phân tích chi phí/hiệu quả, lựa chọn biện pháp bảo vệ, kiểm tra và đánh giá bảo mật và thực hiện biện pháp bảo vệ, xem xét lại hệ thống. Xem thêm: Risk Analysis, Risk Assessment ROM Bộ nhớ chỉ đọc. Xem thêm: Nonvolatile Memory Units. RSA Một hệ thống mã hoá công khai sử dụng cho cả mã hoá và xác thực dựa trên thuật toán về hàm mũ. Thuật toán này đã được Rivest, Shamir, và Adelman phát minh vào năm 1977. Xem thêm: DES, Capstone, Clipper, RSA, Skipjack. Safeguards Biện pháp đếm, đặc điểm kỹ thuật hay những điều khiển bao gồm các thao tác nhằm giảm các lỗ hổng có thể xảy ra cho hệ thống hiện tại. Security Incident Rủi ro bảo mật hệ thống MIS là những sự kiện và/hoặc điều kiện trực tiếp ảnh hưởng đến sự an toàn và/hoặc uy tín của hệ thống MIS và có thể dẫn tới những hành động vô tình hay hữu ý. Xem thêm: Security Violation. Security Policy Một tập hợp các luật, qui tắc, hướng dẫn và bài học qui định cách tổ chức, bảo vệ và phẩn bổ thông tin của một công ty. Security Requirements Hình thức và mức độ cần thiết để bảo vệ thiết bị, dữ liệu, thông tin, ứng dụng nhằm đáp ứng các chính sách bảo mật. Security Specifications Các mô tả chi tiết về yêu cầu bảo vệ an ninh hệ thống. Security Violation Một sự kiện có thể gây lộ thông tin (nhậy cảm), thông tin cá nhân không được phép tiết lộ, hoặc những hành động gây thay đổi hay phá huỷ hệ thống dữ liệu,làm mất khả năng xử lý dữ liệu của hệ thống máy tính , gây mất tài nguyên hệ thống Xem thêm: Security Incident.
- Site Thường là một vị trí vật lý duy nhất nhưng có thể có một hoặc nhiều hệ thống quản lý thông tin MIS, dưới quyền quản lý của DSO. Đây có thể là một hệ thống MIS độc lập, một site ở xa liên kết đến một mạng thông tin, hay các máy trạm liết kết với nhau thông qua mạng cục bộ (LAN). Skipjack Một lớp NSA dựa trên thuật toán mã hoá chứa trong chip Clipper. Nó thực sự mạnh hơn DES và nhằm cung cấp một quá trình mã hoá theo tiêu chuẩn quốc gia. Xem thêm: Capstone, DES, Clipper, RSA, Skipjack. Standard Security Procedures Hướng dẫn bảo mật chi tiết đáp ứng nhu cầu người sử dụng, người vận hành hệ thống quản lý thông tin MIS nhằm sử lý những thông tin nhậy cảm. Standalone System Một hệ thống MIS gồm một người dùng và không kết nối tới hệ thống nào khác. Symmetric Encryption Xem: Một loại mật mã mang tính truyền thống. System Xem: hệ thống quản lý thông tin, MIS System Integrity Một thuộc tính của hệ thống liên quan đến sự thành công và vận hành chính xác tài nguyên hệ thống. Xem thêm: Integrity. TCSEC Viết tắt của Trusted Computer System Evaluation Criteria (TCSEC). DoD 5200.28-STD, National Institute of Standards and Technology (NIST), Gaithersburg, MD., 1985. Hình thành những yêu cầu, điều khiển quản trị và các giải pháp kỹ thuật thống nhất nhằm bảo vệ những thông tin nhậy cảm được xử lý bởi hệ thống máy tính DoD. Cung cấp một tiêu chuẩn về các đặc điểm bảo mật trong các sản phẩm thương mại và đưa ra một thước đo để đánh giá mức độ tin cậy của hệ thống máy tính đối với việc bảo vệ các thống tin nhạy cảm. Xem thêm: C2, Orange Book. Test Condition Một câu lệnh định nghĩa trước một ràng buộc mà phải được chương trình thực thi an toàn dưới môi trường kiểm tra. Test Data Một tập các đối tượng riêng biêt và các biến phải sử dụng để chứng minh rằng một chương trình sản sinh ra một loạt các kết quả quy định trước. Xem thêm: Disaster Recovery, Test program. Test Plan Một tài liệu hay một đoạn tài liệu mà mô tả các điều kiện kiểm tra, dữ liệu, và bao trùm các bài kiểm tra riêng biệt, hay một tập các phép kiểm tra. Xem thêm: Disaster Recovery, Test Condition, Test Data, Test procedure (Script).
- Test procedure (Script) Một tập các bước cần thiết để đưa ra một hoặc một nhóm phép thử. Chúng bao gồm các bước chuẩn bị môi trường kiểm tra ban đầu, các bài kiểm tra, và các kết quả phân tích. Các thu tục kiểm tra được thực hiện bởi những nguời tiến hành kiểm tra. Test program Một chương trình thực hiện các điều kiện thử khi bắt đầu thực hiện cùng với các dữ liệu thử và thu thập kết quả sinh ra trong quá trình kiểm tra. Xem thêm: Disaster Recovery, Test Condition, Test Data, Test procedure (Script). Threat Một sự kiện, tiến trình, hoạt động, hoặc một số thao tác do một hoặc nhiều nhóm phá hoại gây nên. Các điều này khi được thực hiện sẽ gây ảnh hưởng bất lợi đối với tài sản của tổ chức gây ra các thiệt hại. Trapdoor Một điểm truy cập vào chương trình máy tính không được công khai dùng cho phân quyền truy cập không tuân theo các phương pháp xác thực truy cập thông thường. Xem thêm: Malicious Code. Trojan Horse Một chương trình máy tính để thực hiện một chức năng hưu ích nhưng đồng thời chứa các mã lệnh ẩn gây hư hại cho hệ thống. Xem thêm: Malicious Code. Threat agent Security Safeguards (countermeasures) Phương pháp bảo vệ và điều khiển được quy định trước nhằm đáp ứng các yêu cầu bảo mật đối với mỗi một hệ thống. Trusted Computer Base (TCB) Tổng các cơ chế bảo vệ trong một hệ thống máy tính, bao gồm phần cứng và phần mềm, chúng kết hợp chịu trách nhiêm đảm bảo thực hiện chính cách bảo mật trên một sản phẩm hay một hệ thống. Một cơ sở máy tính tin cậy(TCB) bao gồm một hoặc nhiều thành phần cùng nhau tuân theo một chính sách bảo mật trên một sản phẩm hay một hệ thống. Xem thêm: C2, TCSEC, Orange Book. Trusted Computing System Một máy tính và hệ điều hành được cài đặt trên một phần cứng đủ mạnh và phần mềm tích hợp chặt chẽ cho phép nó đồng thời xử lý một loạt các thông tin 'nhạy cảm' và có thể đảm bảo để thực thi một chính sách bảo mật. UPS (Uninterruptible Power Supply) Một hệ thống các thiết bị điện tử cung cấp năng lượng điện dự trữ cho nguồn điện sử dụng và một tải yêu cầu năng lượng điện không bị gián đoạn và ổn định. Hệ thống này thường bao gồm một acquy nạp đệm cho phép cung cấp nguồn liên tục khi dòng điện lưới có một gián đoạn nhỏ. Các thiết bị đó có tên blackouts, brownouts, surges, electrical noise, etc. Verification Là quá trình so sánh hai mức độ theo các đặc điểm của hệ thống nhằm đảm bảo quan hệ đúng đắn.
- Virus Đoạn mã được nhúng trong một chương trình mà có thể tự sao bản để chèn thêm vào một hay nhiều chương trình khác. Trong quá trình lan truyền virus thường thực hiện các chức năng không mong muốn. Chú ý rằng chương trình không cần thực hiện các hoạt động phá hoại cũng có thể hoạt động như một virus; nó chỉ gây ảnh hưởng đên các chương trình khác. Xem thêm: Malicious Code. Vulnerability Là một vùng, điểm dễ bị tổn thương trong hệ thống theo một yêu cầu được phát hiện ra, một đặc điểm hay một tiêu chuẩn, hay một vùng không được bảo vệ trong toàn bộ an ninh của hệ thống mà để lại cho hệ thống các điểm dễ bị tấn công hoặc chịu ảnh hưởng các vấn đề khác. WAN (Wide Area Network) Một mạng bao gồm các LAN cung cấp khả năng trao đổi thông tin, cung cấp dịch vụ vượt qua các khoảng cách địa lý rộng hơn khả năng bao trùm của các mạng LAN. Xem thêm: LAN WWW Xem: World Wide Web World Wide Web Một sự liên kết giữa các cơ sở dữ liệu thông tin độc lập truy cập qua đường Internet. Nó thường gọi là WEB, WWW, or W. Worm Một chương trình máy tính mà có thể tự nhân bản và sao chép chính nó từ một máy tính này sang máy tính khác thông qua kết nối mạng. Khi được sinh ra, worm có thể kích hoạt để tự nhân bản và lan truyền tiếp. Trong khi lan truyền tiếp, worm thường thực hiện vài chức năng không mong muốn. Xem thêm: Malicious Code. Write Một hoạt động cơ bản mà kết quả là một luồng thông tin duy nhất từ một chủ thể lên một đối tượng.
CÓ THỂ BẠN MUỐN DOWNLOAD
-
BÀI 1: TỔNG QUAN VỀ PCMT
20 p | 365 | 128
-
Đề thi: Lý thuyết mật mã và an toàn thông tin
1 p | 291 | 36
-
Nghề lập trình và sự thật ít người biết
3 p | 98 | 19
-
Module 01
17 p | 48 | 11
-
PHÂN TÍCH HỆ THỐNG - CHƯƠNG 1
19 p | 102 | 10
-
Về một giải pháp cứng hóa phép tính lũy thừa modulo
7 p | 47 | 9
-
Thủ thuật xoá vĩnh viễn dữ liệu khỏi đĩa cứng theo tiêu chuẩn quân sự Mỹ
2 p | 76 | 8
-
Cách tránh Malware
5 p | 113 | 8
-
Bài giảng Mật mã học: Mật mã cơ sở - Huỳnh Trọng Thưa
7 p | 65 | 8
-
Bài giảng Khuyến cáo và nguy cơ của điện toán đám mây
15 p | 61 | 7
-
Giao diện ảnh nét bút chì lạ mắt dành cho Windows
10 p | 62 | 4
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn