國家軍用計算機安全術語

Terminology for military computer security 中華人民共和國國家軍用標准

1 范圍

1.1 主題內容

本標准規定了軍用計算機安全方面的基本術語及其定義，它是制訂軍用計算機安全方面有關標准的依據，也是解釋軍用計算機安全方面常用術語的依據。

1.2 適用范圍

本標准適用於軍用計算機的論證、設計、生產、認證、使用和維護等。

2 引用文件

本章暫無條文

3 定義

3.1 術語

3.1.1 訪問 access

信息在主體和客體間交流的一種方式。

3.1.2 訪問類別 access category

根據信息系統中被授權訪問資源或資源組而規定的用戶、程序、數據或進程等的等級。

3.1.3 訪問控制 access control

限制已授權的用戶、程序、進程或計算機網絡中其他系統訪問本系統資源的過程。

同義詞：受控訪問 controlled access；受控訪問性 controlledaccessibility.

3.1.4 訪問控制機制 access control mochanisms

在信息系統中，為檢測和防止未授權訪問，以及為使授權訪問正確進行所設計的硬件或軟件功能、操作規程、管理規程和它們的各種組合。

3.1.5 訪問表 access list

用戶、程序和/或進程以及每個將進行的訪問等級的規格說明的列表。

3.1.6 訪問期 access period

訪問權有效的一個時間段，一般以日或周表示。

3.1.7 訪問類型 access type

程序或文件的訪問權的種類，如讀、寫、執行、增加、修改、刪除和建立。

3.1.8 職能 accountability

作用在系統上活動的功能。借助這個功能可跟蹤到對這些活動應負責任的人員。

3.1.9 審批 accraditation

給於信息系統在操作環境下處理敏感數據的授權和批准。

3.1.10 主動搭線竊聽 active wiretapping

把未經批准的裝置（如計算機終端）連接到通信線路上，通過生成錯誤信息或控制信號，或者通過改換合法用戶的通信方式以獲取對數據的訪問。

3.1.11 後加安全措施 add-on security

在信息系統投入運行後，借助硬件或軟件手段實現對保護機制的改進。

3.1.12 管理安全 administrative security

為數據提供適當的保護等級而建立一些管理上的限制和附加的控制。同義詞：規程安全 procedural security.

3.1.13 攻擊 assurance

信息系統安全特征、結構准確傳遞和執行安全策略的可信度的一種度量。

3.1.14 攻擊 attack

試圖繞過安全控制的破壞活動。

3.1.15 審計跟蹤 audit trail

系統活動的流水記錄。該記錄按事件從始至終的途徑，順序重視、審查和檢驗每個事件的環境及活動。

3.1.16 鑒別 authentication

a. 驗證用戶、設備和其他實體的身份；

b. 驗證數據的完整性。

3.1.17 鑒別符 authenticator

用於確認用戶、設備和其他實體身份或驗證其合格性的一種手段。

3.1.18 授權 authorization

授與用戶、程序或進程的訪問權。

3.1.19 自動安全監控 automated security monitoring

使用自動規程以保證安全控制不被繞過。

3.1.20 數據可用性 availabity of data

當用戶需要數據時，數據就以用戶需要的形式放在用戶需要的地方的一種狀態。

3.1.21 備份計劃 backup plan

參見3.1.36條。

3.1.22 備份規程 backup procedure

在系統發生故障或災難後，為恢復數據文件、程序庫和為重新啟動或更換信息系統的設備而采取的措施。

3.1.23 線間侵入 between-the-lines entry

使用主動搭線竊聽合法用戶分配到信道上的暫時待用的終端而進行未授權訪問。

3.1.24 界限檢查 bounds checking

為檢測是否訪問了特許權限外的存儲器，而對計算機程序的結果進行的檢查。

3.1.25 簡碼表 brevity lists

通過使用幾個字符來表示長而固定不變的句子，來縮短發送信息的時間的代碼集。

3.1.26 浏覽 browsing

為定位或獲取信息，在不知道所查看信息的存在或格式時，對存儲器進行的全面搜索。

3.1.27 回叫 call back

一種識別遠程終端的過程，在回叫時，主機系統斷開呼叫者，然後撥遠程終端的授權電話號碼重新連接。

3.1.28 認證 certification

信息系統技術和非技術的安全特征及其他防護的綜合評估，用以支持審批過程和確定特殊的設計和實際滿足一系列預定的安全需求的程度。

3.1.29 通信安全 communications serurity

保證電信可靠性和拒絕接受未授權人的信息而采取的保護，它包括加密安全、傳輸安全、發射安全和物理安全。

3.1.30 分割 compartmentalization

a. 為了避免其他用戶或程序未授權訪問並進行訪問，把操作系統、用戶程序和數據文件在主存儲器中彼此隔開。

b. 為了減少數據的風險，把敏感數據分成若干小的隔離塊。

3.1.31 洩漏 compromise

未授權的暴露或丟失敏感信息。

3.1.32 洩漏發射 compromising emanations

無意的、與數據有關的或載有情報內容的信號，這種信號一旦被截獲和分析，就可能洩露接收、加工或其他處理的信息。參見3.1.171條。

3.1.33 計算機安全 computer security

保護信息系統免遭拒絕服務、未授權（意外的或有意的）暴露、修改和數據破壞的措施和控制。

3.1.34 隱蔽系統 concealment system

把敏感信息嵌入到不相關的數據中，使其隱蔽起來，從而達到保密的一種手段。

3.1.35 保密性 confidentiality

為秘密數據提供保護狀態及保護等級的一種特性。

3.1.36 應急計劃 contingency plan

作為安全程序的一部分，通過信息系統動作來實現緊急反應，備份操作和災難區恢復的計劃。

3.1.37 控制區 control zone

用半徑來表示的空間。該空間包圍著用於處理敏感信息的設備，並在有效的物理和技術的控制之下，以防止未授權的進入或洩漏。同義詞：安全周邊 security perimeter.

3.1.38 受控訪問 controlled access

同義詞：訪問控制 access control.

3.1.39 受控訪問性 controlled accessibility

同義詞：訪問控制 access control.

3.1.40 受控共享 controlled sharing

當訪問控制用於所有用戶以及一個資源共享的信息系統的各組成部分時所存在的狀態。

3.1.41 可控隔離 controllable isolation

授權的范圍或區域被減至一個任意小的集或活動區域時的受控共享。

3.1.42 費用風險分析 cost-risk analysis

在信息系統中提供數據保護的費用與在沒有數據保護的情況下損失與洩露數據的潛在風險費用作比較並進行評估。

3.1.43 對抗 countermeasure

任何減少系統的脆弱性或降低對系統威脅的行動、設備、規程、技術或其他措施。參見3.1.167條。

3.1.44 隱蔽信道 covert channel

使兩個共同運行的進程，以違反系統安全策略的方式傳輸通信信道。

3.1.45 隱蔽存儲信道 covert storage channel

包含由一個進程直接或間接寫一個存儲地址，而由另一個進程直接或間接讀一個存儲地址的隱蔽信道。

3.1.46 隱蔽計時信道 covert timing channel

一種隱蔽信道。在這種信道上，一個進程通過了調整自身對系統資源（例如cpu時間）的使用，向另一進程發送信息。這種處理又影響了第二個進程觀測到的實際響應時間。

3.1.47 串道 cross-talk

能量從一信道到另一信道的無意的傳輸。

3.1.48 密碼算法 crypto-algorithm

用來從明文產生密鑰流或密文，或從密鑰流或密文產生明文的嚴密定義的規程或一系列規則或步驟。

3.1.49 密碼分析 cryptanalysis

在不知道加密算法中使用的原始密鑰的情況下，把密碼轉換成明文的步驟和運算。

3.1.50 密碼系統 cryptographic system

為提供單一的加密（脫密或編碼）手段而配套使用的文檔、裝置、設備以及相關的技術。

3.1.51 密碼術 cryptography

將明文變成密文和把密文變成明文的技術或科學。

3.1.52 密碼學 cryptology

包含密碼術和密碼分析兩個學科的領域。

3.1.53 密碼操作 crypto-operation

參見3.1.114和3.1.115條。

3.1.54 密碼安全 cryptosecurity

由於合理使用技術上有效的加密系統，而得到的安全和保護。

3.1.55 數據損害 data contamination

一種故意的或偶然的處理或行為，導致改變原始數據的完整性。

3.1.56 數據完整性 data integrity

信息系統中的數據與在原文檔中的相同，並未遭受偶然或惡意的修改或破壞時所具的性質。

3.1.57 數據保護工程 data protection engineering

用於設計和實現數據保護機制的方法學與工具。

3.1.58 數據安全 data security

保護數據免受偶然的或惡意的修改、破壞或暴露。

3.1.59 譯密碼 decipher

參見3.1.60條。

3.1.60 解密 decrypt

使用適當的密鑰，將已加密的文本轉換成明文。

3.1.61 災難應急計劃 disaster plan

參見3.1.36條。

3.1.62 自主訪問控制 discretionary access control

根據用戶、進程、所屬的群的標識和已知需要來限制對客體訪問的一種手段。自主訪問的含義是有訪問許可的主體能夠向其他主體轉讓訪問權。

3.1.63 域 domain

程序運行中的唯一確定的上下文信息（例如訪問參數）。實際上是一個主體有能力訪