词汇表索引
N/A
接达控制系统 (Access Control System)
保证电脑资源只供获授权人士使用。
位址仿冒 (Address Spoofing)
位址欺骗即假冒他人位址,例如互联网规约位址仿冒。
行政性保安 (Administrative Security)
运用管理程序和机制以防止未获授权接达系统。
广告软件 (Adware)
当广告软件运行时会显示广告标语。很多广告软件同时也是间谍软件。
高级加密标准运算法 (Advanced Encryption Standard (AES) Algorithm)
高级加密算法(AES)是以Rijndael算法为基础的对称分区加密(加密算法),采用128、192或256位元的密码匙在128位元的区块运作。高级加密算法是一种对称密钥算法,使用相同的密码匙进行加密和解密。它取代了数据加密标准(DES),目前于全球广泛地使用。
抗电脑病毒软件 (Anti-virus Software)
该等软件乃设计来阻止和消灭电脑病毒,及/或把受到电脑病毒感染的数据复原。
应用通讯闸 (Application Gateway)
该等系统用以限制穿越防火墙范围来接达服务或功能。
保证等级 (Assurance Level)
对凭证质素的信心所采用的相关措施。「保证等级」的幅度由第1等级(信心不大或无信心)至第4等级(信心程度非常高)。
非对称加密法 (Asymmetric Cryptography)
使用两条不同的密码匙分别用以加密和解密的方法,当中外人不能根据用以加密的密码匙计算出解密的密码匙。
审计追踪 (Audit Trail)
审计追踪被定义为按系统活动的时间先后记录,可以用作重组和检查一组事件的发生次序,及/或一件事件的连串变化。
认证 (Authentication)
用以辨识及证明尝试发出信息或接达数据的用户╱一方身份的程序或方法。信息认证指用以证明特定资讯的完整性的程序。
认证权标 (Authentication Token)
采用质疑╱应答、时间顺序或其它技巧以认证用户的可携式设备。
授权 (Authorisation)
把接达数据或使用特定资讯资源的权利批给某人的程序。
自动编码器 (Autoencoders)
自动编码器是一个深度学习人工智能程式,用以研究一个人的脸部特征和身体姿势。程式可以基于共同特征制造深度伪造,将经分析的人映射到目标视像的脸孔上。
可用性 (Availability)
获授权一方可合理地接达及使用资讯或程序的状态,包括及时和重要的运作。
後门 (Backdoor)
後门是系统遭破解後被安装的工具,使攻击者更容易在围绕著的任何保安机制在中,接达被破解的系统。
生物特徵识别技术 (Biometric Identification)
使用可量度的生理特征,例如:指纹或面部特征,以认证用户的身分。
僵尸网络 (Botnet)
僵尸网络是由大量遥距控制的僵尸电脑所组成的网络,被利用作发出垃圾邮件或病毒,以发动分布式拒绝服务攻击。
暴力攻击 (Brute Force Attack)
暴力攻击是尝试所有可能性以破解加密或认證系统的技术。
缓衝区满溢攻击 (Buffer-overflow Attack)
利用程式在指定长度的缓衝界限以外读取资料所构成的攻击,目的是以特别编写的资料盖写电脑记忆体,并且不正当地以特别权限执行指令。
验證码 (Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA))
一种用于电脑计算领域中的挑战与回应式的测试,以确保该回应是由人所产生的。它产生人类可以通过而电脑程序不能通过的测试,以保护网站来自恶意电脑的袭击。
集中化身份管理 (Centralised Identity Management)
集中化身份管理是身份管理模式的一种,在此模式中,每一个服务提供者可使用相同身份认证工具和凭证。
核证机关 (Certification Authority (CA))
核证机关是向个人或机构发放和撒销数码证书,以便他们在进行电子交易时核实身分。
证书管理 (Certificate Management)
包括贮存、分发、公布、撤销及暂时吊销证书的管理机制。
凭证绑定机制 (Certificate Pinning)
「凭证绑定机制」限制哪些数码证书是有效的,以减低核证机关受控制或受到中间人攻击的风险。客户端连一旦接到启用凭证绑定机制的服务器,便会把其他证书视为无效并拒绝建立 HTTPS 连线。
证书伺服器 (Certificate Server)
执行公开密码匙核证程序的伺服器。
质疑╱应答 (Challenge / Response)
系统╱伺服器采用的用以认证用户身份的认证技巧。伺服器通常会发出不可预测的质疑(一组数字或字母)给用户,而客户╱用户会使用某种特别形式的认证权标计算应答。
校验和 (Checksum)
校验和是因应数据物件中的内容以函数计算的一个值,与数据物件一起储存或传输,以检查数据是否曾遭更改。
加密文本 (Ciphertext)
使用加密算法把原文转为混乱和不能明解的信息或数据。
代码插入攻击 (Code Injection Attack)
在电脑程式或系统中插入代码所构成的攻击,通常利用薄弱或容易受攻击的输入确认程式来达成入侵目的。
破解 (Compromise)
一种违反保安政策的情况,可能导致敏感资讯遭未获授权的披露或遗失。
机密性 (Confidentiality)
确保数据受到保护及只向获授权一方披露的情况。
资讯系统稽核与控制标准 (Control Objectives for Information and related Technology (COBIT))
资讯系统稽核与控制标准(COBIT)是一个资讯科技治理框架和配套工具,使管理人员能够弥合控制的要求、技术问题和业务风险之间的差距。
电脑破坏者 (Cracker)
个别人士尝试在未获授权情况下进入他人电脑并作出破坏。
凭证 (Credential)
一组用以证明用户身分的声称,当中载有用户身分的标识符及用户身分的证明,例如密码。此外,亦可能包括资料(例如签名),以显示发行人证明凭证的声称。
跨网址程式编程 (Cross Site Scripting)
跨网址程式编程攻击(XSS)是网上应用系统保安漏洞的一种,它允许在受害者的浏览器执行手稿程式(Script),导致劫持用户对话、窜改网站并可能植入蠕虫等等。
密码学 (Cryptography)
密码学是指把信息保密的技术。它处理有关稳妥信息传送、认证、数码签署及电子货币等所有范畴的工作。
解密 (Decryption)
把文本加密的相反程序,即把经加密的信息或加密文本从受保护和混乱的形式转回原文形式,以便阅读。
纵深防御 (Defence-in-Depth)
纵深防御是利用多层次的资讯保安措施,以在单一保安组件发生故障时作出保护。
消磁 (Degauss)
通过施加反向磁场把磁通密度减少到零,来将一个磁存储介质(如磁带或磁盘)的数据永久删除。
拒绝服务 (Denial of Service (DoS))
攻击者尝试阻止用家使用网上资讯或服务。这类攻击的例子计有大量的SYN,「致命小包」,小包泛滥及Ping泛滥等。
侦测性措施 (Detective Control)
侦测性措施是用来识别已发生的不利事件。
字典攻击 (Dictionary Attack)
字典攻击是使用字典中可找到的字,用以破解加密或认证系统的一种技术。
数码证书 (Digital Certificate)
数码证书是在进行网上交易时能识别你的身分的电子纪录。证书通常包含的资讯包括用户的公开密码匙、姓名及电子邮件地址。
数码签署 (Digital Signature)
在公开密码匙基础建设的技术下,数码签署是以一数学公式透过电子信息内容和签署一方的私人密码匙来计算出。接收电子信息的一方可利用签署一方的公开密码匙来确认信息内容的完整性、真确性及不可否定性。根据《电子交易条例》(第553章),电子或数码签署与纸张文件上的签署具有相同的法律地位。
自主接达控制 (Discretionary Access Control (DAC))
自主接达控制是一授权机制,用户可以控制的自己本身的物件,以及可以就个别用户分别设下授予及撒销使用这些物件的权利。
虚假讯息 (Disinformation)
虚假讯息是指为获取金钱或故意欺骗公众而制造、呈现和传播的虚假或误导性讯息,并可能会对公众造成伤害。
分布式拒绝服务攻击 (Distributed Denial of Service (DDoS) Attack)
利用多台电脑向同一目标系统同时发动拒绝服务攻击。
域名系统 (Domain Name System (DNS))
域名系统将网域名称转换为对应的互联网规约地址。
域名系统仿冒 (Domain Name System (DNS) Spoofing)
破解域名系统伺服器,将网域名称转换为错误的互联网规约地址,或者是其他电脑,甚至是攻击者电脑的互联网规约地址。
域名系统安全扩展 (Domain Name System Security Extensions (DNSSEC))
域名系统安全扩展的目的是要保护互联网的攻击,如网域名称系统缓存中毒。这网域名称系统的扩展提供了:a)认证网域名称系统数据的源头,b)数据的完整性,及c)认证否定存在。
偷渡式攻击 (Drive-by attack)
偷渡式攻击是由攻击者在网页中编制一个或数个已嵌入恶性手稿程式的网址,藉此引诱目标用户点击此网址,让隐藏在内的手稿程式在用户的浏览器开始运作,造成更恶性的攻击如下载特洛依木马程式或把cookie讯传送给攻击者。
窃听 (Eavesdropping)
从聆听私人对话中,获得可接达设备或网络的资讯。
加密 (Encryption)
把信息内容编码以防止外人读取程序,即把易于读取和了解的数据格式(原文)加以更改及转变,使其转为不可读取的格式(加密文本),令人看起来是一组无用及难以了解的文本。
漏洞开发编码 (Exploit Code)
一个允许攻击者自动闯入系统的程序。
误报 (False Positive)
错误地指示恶意活动发生的警报。
联邦 (Federation)
由联邦内的成员互相认证彼此各自的使用者,以保证他们可接达到其他成员所提供的服务。
防火墙 (Firewall)
防火墙是一个或一组系统,协助防止外人在未获授权情况下接达内部的资讯资源。防火墙执行接达控制政策,即负责准许或拒绝两个网络之间接达的工作。防火墙只提供单一点以进行接达管制和审计。
生成对抗网络 (Generative Adversarial Networks (GANs))
生成对抗网络作为一种流行的深度伪造方法,可以提高自动化程度和质量。由竞争生成器AI代理生成深度伪造,生成器 AI 代理从原始来源制造假图像、视像或音频,而鉴别器AI代理从神经网络数据集中侦测虚假图像、视像或音频。
黑客 (Hacker)
从电脑保安层面看,黑客是对电脑系统有很大兴趣去了解和探讨,并拥有对系统保安机制的专门知识。时至今日,大众传媒形容以电脑知识去得到未获授权的接达并破坏电脑和数据的人,都称之为黑客。
硬件权标 (Hard Token)
指载有受保护密码匙的硬件设备,该设备不能汇出密码匙。
强化 (Hardening)
强化是加强系统保安的过程,这些系统包括操作系统或伺服器如网页伺服器。强化系统的过程包括停止不用的系统组件和服务、加强系统设定等。
杂凑函数 (Hash Function)
配对或转化一组位元为另一组等同长度位元(通常是较小的)的算法,并需符合以下特性:
1)单向性:从该算法产生的杂凑结果中是不能将原文推算或还原出来。
2)计算上的抗碰撞性:在计算上两项不同资料产生相同的杂凑结果是不可行的。
1)单向性:从该算法产生的杂凑结果中是不能将原文推算或还原出来。
2)计算上的抗碰撞性:在计算上两项不同资料产生相同的杂凑结果是不可行的。
试探 (Heuristic)
用于评估档案含有电脑病毒或其他恶意软件的可能性的一项技术。
恶作剧电子邮件 (Hoax)
恶作剧电子邮件通常包含一个电子邮件信息,警告收件者提防一种新型、破坏力惊人的电脑病毒。邮件末段会建议读者应警告他/她的朋友及同事,例如简单地把原来信息转寄给通讯录中的所有人等。结果,该等无意义的电子邮件迅速扩散,其增长程度足以令系统负荷过重。
诱捕系统 (Honeypot)
诱捕系统是布置在网络上引诱攻击者的诱饵,令攻击者误以为它是真实的系统,他们攻击系统时并不知道正被秘密监察。
诱捕网络 (Honeynet)
诱捕网络是诱捕系统组成的网络,模拟及复制真实或虚构的网络。诱捕网络在攻击者看来,就像在几个不同的平台运行各种应用程式。
身分辨识提供方 (Identity Provider)
向个别人士发出身分凭证的组织,当使用者尝试接达受保护资源而出示凭证时,该组织可作出核实。身分辨识提供方可能是政府机构、学术机构,或是商务机构,例如银行。
事故应变计划 (Incident Response Plan)
预定指令或程序以检测及回应事件,如针对机构资讯系统的恶意网络攻击,并限制其负面影响。
资讯拥有人 (Information Owner)
指定资讯在法规上或操作上拥有职权的人员。他有建立控制指定资讯的产生、收集、处理、传播和处置的责任。
资讯保安管理系统 (Information Security Management Systems (ISMS))
资讯保安管理系统是一组关注资讯保安管理或资讯科技相关风险的政策。其背后的治理原则是机构应设计、实施和维护一套连贯的政策、流程和系统来管理其讯息资产的风险,从而保证了资讯保安风险的可接受的水平。
抗毒辨识 (Inoculate)
指就透过档案内容所产生的数据,以便在日后可核实档案内容的完整性。
插入弱点 (Injection Flaws)
插入弱点是网上应用系统的潜在威胁,让攻击者可执行非预期的指令或改变系统数据,以欺骗应用系统。
完整性 (Integrity)
是指数据没有意外地或故意地遭到更改,以及完整正确。
网络入侵侦测系统 (Intrusion Detection System (IDS))
对透过使用在网络上运作的软件系统进行的入侵或攻击尝试作出的侦测的方法或程序。入侵侦测系统通常与网络一起进行监察,并且具有即时收集及分析的功能,以找出网络遭受攻击的情况。
网络入侵防御系统 (Intrusion Prevention System (IPS))
网络入侵防御系统(IPS)帮助侦测网络上的攻击情况,并主动回应阻止攻击的源头并减低攻击所带来的影响。
互联网规约保安 (IP Security (IPsec))
互联网规约保安为互联网规约层的网络通讯流量,提供了可互相操作,高品质和以加密为基础的保安服务,例如保障每个互联网规约数据包的真实性、完整性、保密性和接达控制。
密码匙的管理 (Key Management)
贮存、管理或分发密码匙给获授权各方的程序。
键盘侧录程式 (Keylogger)
键盘侧录程式是一个装置或程式,用作撷取输入装置的活动。怀有恶意的人会利用键盘侧录程式去撷取输入到电脑系统的个人资料。
最小权限原则 (Least Privilege Principle)
最小权限原则是一种内部控制概念,将用户可接达的资讯系统资源(例如数据档案、资料处理能力或外围设备)或接达的种类(例如读、写、执行、删除),限制在履行其职责所需的最低限度。
逻辑炸弹 (Logic Bomb)
逻辑炸弹是一些驻留在电脑系中并在特定情况下执行的编码。这些特定情况它可以是更改档案、特别的程式输入序列、或在特定的时间或日期。逻辑炸弹这个名称正是因其发作时的恶意行为而来。
电邮炸弹 (Mail Bombs)
电邮炸弹是指向某一特定人士或系统发出大量电子邮件。数量庞大的电子邮件或会轻易地耗尽收件人伺服器上的磁碟空间,或在某些情况下,会使伺服器负荷过重而可能引致伺服器停止运作。
恶意程式码 (Malicious Code)
恶意程式码指电脑病毒、蠕虫、间碟软件、特洛依木马及其它不良软件。此等软件会透过删除档案、发送电子邮件或使主机系统无法运作来攻击及造成破坏。
恶意软件 (Malware)
恶意软件是不同类型的恶意程式码的一个统称。恶意软件可用于破坏正常的计算机功能,窃取数据,获得未经授权的访问,或形成殭尸网络以发起有组织的攻击。
中间人攻击 (Man in the Middle (MITM) Attack)
攻击者在双方(发送者和接收者)之间,截取并修改双方的通讯信息,然后发送修改过的信息到双方,称之为中间人攻击。
冒充 (Masquerading)
系统不正当地以假的身分装作另一系统。
媒体资料消除 (Media Sanitisation)
这是一个令数据被删除后不能回复,或将媒体永久性地破坏的过程。
信息摘要 (Message Digest)
根据原本信息经加密运算后得出的摘要。它会随着原本信息的变更而作相应改变。
错误讯息 (Misinformation)
错误讯息是指虚假或误导性讯息,无论本意是否旨在误导或欺骗他人。
多重认证 (Multi-factor Authentication)
多重认证是指使用两个或多个因素来实现认证。这些因素包括:(一)你所知道的资料(例如密码/个人识别号码),(二)你所拥有的凭证(例如加密识别装置,权标),或(三)你本身的特征或行为(例如生物特征识别)。
需要知道原则 (Need-To-Know Principle)
需要知道原则是接达、知识或拥有执行公务所需的特定信息的需要性。保安程序的需要知道原则,在于要求敏感讯息托管人将透露讯息给别人之前,确保有适当的授权才能让讯息接收者接达讯息。
网络扫描软件 (Network-based Scanner)
网络扫描软件通常安装在一部电脑上,扫描网络上其它主机。它可以侦测重大的保安漏洞,例如配置不当的防火墙、有保安漏洞的互联网伺服器、供应商提供的软件所附带的风险,以及网络及系统管理附带的风险等。
网络嗅探 (Network Sniffing)
在网络上进行数据包的捕获和检查。
不可否认性 (Non-repudiation)
提供原本的证据,使发件人不能否认曾发出信息,而收件人也不能否认曾收取信息。
一次性密码 (One-time Password)
为认证而产生并只使用一次的密码,在下一次认证时,不会再使用同一个密码。
小包过滤法 (Packet Filtering)
一种根据数据小包的数据来源、目的地、服务或规约的过滤方法,从而准许或拒绝网络数据的交换。
密码 (Password)
一组私人及独有的数字或字母,用以协助用户接达系统或服务。密码组指较长的密码。
修补程式 (Patch)
修补程式是用于软件升级,或修补现存软件的程式错误或保安漏洞。
支付卡行业数据安全标准 (Payment Card Industry (PCI) Data Security Standard (DSS))
支付卡行业数据安全标准,是由支付卡行业标准会议所发展出来以加强付款帐户资料的保安标准。该标准含12项核心要求,包括保安管理、政策、程序、网络设计、软件设计和其它重要措施。
渗透测试 (Penetration Testing)
从外围开始测试外部周边网络或设备的安全。
个人识别号码 (Personal Identification Number (PIN))
字母数字代码或密码,用以验证身分并藉此获得接达系统资源。
域欺骗 (Pharming)
这攻击通过骑劫或破坏域名系统伺服器,把用户引领到仿冒网站,例如欺诈网站或代理伺服器。
仿冒诈骗 (Phishing)
仿冒诈骗是一种社交工程的攻击,犯罪者利用电子邮件或欺诈网站,引诱毫无戒心的网络用户透露私人资料,例如网上银行之登入名称和密码。
原文 (Plaintext)
可供任何人读取或了解的信息文本或数据。
多构式病毒 (Polymorphic Virus)
多构式病毒指一种可改变本身指示代码段的病毒,使它的「外表」在每一个受感染的档案都有所不同,增加了侦测的困难程度。
连接埠扫描 (Port Scanning)
试图入侵电脑的人发出一连串的信息,通过每个相对应的知名连接埠号码,以获取相关电脑网络服务的资讯。连接埠扫描是电脑入侵者喜欢用的方法,来发现系统的弱点以便作出攻击。从本质上讲,一个连接埠扫描,包括了每次发送一个信息到各个连接埠。从收到的回应中得知该连接埠是否正被使用,从而进一步可以探测系统的弱点。
私人密码匙 (Private Key)
用以贮存数学密码匙的数据档案,该数学密码匙是支配及告知予某个别人士的,用以产生数码签署及在收取电子邮件时,把由发件人以该收件人本身的公开密码匙加密的信息解密。
特权帐户 (Privileged Account)
该帐户的用户拥有接达系统的控制、监视或管理等功能。
代理伺服器 (Proxy Server)
工作站用户和互联网之间,作为中介作用的伺服器,并提供了安全保障,管理控制和缓存等服务。
公开密码匙 (Public Key)
每个用户使用一对密码匙以进行不对称加密法,可公开的部份称为公开密码匙。
公开密码匙基础建设 (Public Key Infrastructure (PKI))
公开密码匙基础建设让用户可在基本上不安全的公共网络(如互联网)上,使用透过受信任机关获得和共享的公共和私人密钥对,来安全地交易数据和金钱。公开密码匙基础建设提供的数码证书,可以识别一个人或一个组织,以及提供存储证书,并在有需要时撤销证书的目录服务。它通常包括透过使用核证机关,以管理公共密码匙的服务和协议。
信赖方 (Relying Party)
任何人士(或应用程序)信赖他人的凭证所代表的身分。
否认性 (Repudiation)
即曾经参与通讯或交易活动的一方作出否认。
虚假设备 (Rogue Device)
指网络上未经授权的设备。
基于角色接达控制 (Role-based Access Control (RBAC))
基于角色接达控制是一种授权机制,接达决定权建立于个别用户在组织中的角色。
Rootkit (Rootkit)
Rootkit是一种程式/工具,用作夺取系统的根目录/管理员身份接达权。Rootkit亦指没有通过正常授权及/或认证过程的恶意入侵。
诈骗电邮 (Scam Email)
未经收件人同意的电子邮件,除了对收件人造成滋扰外,也可能含有行骗及欺诈的成份。如果跟从邮件里的指令,可能会使电脑感染病毒,身份被盗,甚至是损失金钱。
保密插口层 (Secure Sockets Layer (SSL))
保密插口层是设计用以协助把透过互联网通讯的信息加密和认证的规约。保密插口层位于应用层和传输层之间,以保护应用层的规约,例如:超文本传输规约,而发展应用系统的人及用户则不受其限制。保密插口层提供保护私隐,作出认证和保持信息完整性等功能。
安全断言 (Security Assertion)
「安全断言」指有关使用者身分的宣称,该宣称建基于接收的一方与发行者已建立的信任。
保安事故 (Security Incident)
指可能对资讯系统或资讯资源的可用性完整性及机密性构成威胁的任何事件。
保安政策 (Security Policy)
用作引导及决定系统保安方面最高层次的指令文件。
保安风险评估 (Security Risk Assessment)
保安风险评估定义为用于资讯科技的保安风险测试程序,是上一次评估后作出转变的基准,厘定还需要多少转变才能够达到保安要求。
职务分工 (Segregation of Duties)
职务分工是一种内部控制的概念,指将一项重要工作的各个步骤分别交由不同人员处理,以杜绝重要程序被一人破坏的可能性。
伺服器认证 (Server Authentication)
协助客户辨识与其通讯的一方并非怀着恶意的第三方。
服务设定识别码 (Service Set Identifier (SSID))
服务设定识别码(SSID)是可设定的识别码,无线客户端可凭识别码跟适当的无线接驳点通讯。只要配置正确,客户端拥有正确的服务设定识别码便可与无线接驳点通讯。
对话劫持 (Session Hijack)
入侵者抢夺并接管合法使用者之间的现有对话通讯阶段。
对话密码匙 (Session Key)
对话密码匙是对称密码匙,用以把信息加密,使数据在传输时受到保护。对话密码匙是在开始进行通讯加密时产生的。
肩窥 (Shoulder Attack)
攻击者在用户输入密码时,在其肩膊后方直接观看所键入字符,或非直接地从闭路电视监察,继而窃取密码。这种攻击方法称为肩窥。
单一登入 (Single Sign-On (SSO))
单一登入是接达控制的一种,它要求用户登入一次,然后其它服务提供者会自动认证该用户身分。
智能卡 (Smart Card)
贮存了经加密的密码或私人密码匙的唯读晶片,入侵者难以探取或窃取卡上的资料。
社交工程/社会工程 (Social Engineering)
以社交手法例如说谎、假扮或言语用字等方式欺骗用户,藉此套取系统秘密,譬如用户名单、用户密码和网络结构。
软件权标 (Soft Token)
安装于使用者的电脑、个人数码助理或智能手机内配备密码匙的软件。密码匙通常经过加密,并储存于资料储存媒体,认证时使用者须要输入密码或进行生物测定以激活权标。
滥发讯息 (Spam)
滥发电子讯息是指在不管收件人同意与否或在收件人已要求发件者停止送讯息的情况下,通过电子邮件、传真或电话短讯等形式而发出的大量讯息。
滥发电邮者 (Spammer)
滥发电邮者是发出滥发讯息的人。
间谍软件 (Spyware)
间谍软件在未经用户允许的情况下,便把用户网上活动的资料秘密地转送至别人的软件。
保密插口层虚拟私有网络 (SSL VPN)
保密插口层虚拟私有网络让用户使用互联网浏览器,便可以连接虚拟私有网络装置,互联网浏览器与保密插口层虚拟私有网络装置之间会使用保密插口层规约或传输层保安(TLS)规约来加密通讯。
对称加密法 (Symmetric Cryptography)
使用相同的密码匙以加密和解密的加密法。
第三者邮件驿递 (Third-party Mail Relay)
一个电邮伺服器允许不属于该电邮系统用户的第三方通过此伺服器发送电子邮件。
威胁 (Threat)
可能对机构及其资产有害的潜在保安因素。
时间标示 (Timestamp)
显示行动的日期和时间,及发出或收取该时间标签的人的身分或装置的时间标记或标示。
权标 (Token)
权标分为两种,硬件权标及软件权标。硬件权标是指载有受保护密码匙的硬件设备,该设备不能汇出密码匙。软件权标是安装于使用者的电脑、个人数码助理或智能手机内配备密码匙的软件。密码匙通常经过加密,并储存于资料储存媒体,认证时使用者须要输入密码或进行生物测定以激活权标。
特洛依木马 (Trojan Horse)
假装提供正常功能,实际上带有恶意破坏功能的软件。
电脑病毒 (Virus)
电脑病毒指一组执行代码,可透过附于其它档案或取代其它程式而自行复制。
病毒识别码 (Virus Signature)
大部分病毒(除多构式病毒外)中的特定二进制码字串,防毒软件可藉此侦测出病毒。新的病毒有新的病毒码,因此必须定期更新防毒软件的病毒码。
语音网络仿冒诈骗 (Vishing)
语音网络仿冒诈骗是利用VoIP技述的仿冒诈骗攻击。攻击者可藉此窃取受害人的身份或金钱。
保安漏洞 (Vulnerability)
系统的缺点或弱点,让入侵者有机可乘加以破坏,违反保安政策。
保安漏洞扫描软件 (Vulnerability Scanner)
保安漏洞扫描软件是用于评估网络或主机系统的保安漏洞,并得出一套扫描结果。
驾驶攻击/沿街扫描 (War Driving)
驾驶攻击/沿街扫描是指在行驶的车辆中使用便携式设备寻找Wi-Fi无线网络。
网上应用系统防火墙 (Web Application Firewall)
根据网络应用安全联盟(Web Application Security Consortium,WASC),网上应用系统防火墙是一种介于网络客户端和网络伺服器之间的装置,作为分析在应用系统层违反保安政策之讯息。
网页窜改 (Web Defacement)
指网站内容(通常是主页)变成了由入侵者或电脑病毒发放的一些信息。
无线保护接达 (Wi-Fi Protected Access (WPA))
无线保护接达(WPA)是针对WEP的缺陷而设计的无线保安规约。WPA能为用户提供较高的保证,例如用户的数据可透过暂时密码匙完整性规约(TKIP)进行数据加密后得到保护,并且引进了802.1x认证技术为用户提供更佳的认证过程。WPA已被WPA2取代。
无线保护接达2 (Wi-Fi Protected Access 2 (WPA2))
无线保护接达2(WPA2)是依据IEEE802.11i标准的无线保安规约,只有获授权的用户才可接达无线装置,并支援更强的加密法(高级加密标准AES)、更强的认证控制(可扩展认证规约EAP)、密码匙管理、中继攻击保护和数据完整性的功能。
无线保护接达3 (Wi-Fi Protected Access 3 (WPA3))
无线保护接达3(WPA3)(WPA3)是最新的无线保安标准,在WPA2的基础上加入新功能,增强无线网络的安全性,提高认证的可靠程度和加密的强度,以及保持关键网络的复原能力。
有线等效保密规约 (Wired Equivalent Privacy (WEP))
有线等效保密规约是IEEE802.11标准的基本保安功能,可在无线网络中替传输资料进行加密,提供保密性。由于有线等效保密规约密码匙的排程弱点已被发现,有线等效保密规约的密码匙已可被自动破解工具于数分钟内破解。
蠕虫 (Worm)
蠕虫是一种经由网络扩散的程式。它跟病毒有所不同,因为它不会附在一个主程式内。
零日攻击 (Zero-day Attack)
在软件供应商发放相对应的修补程式前,可利用这些新发现的保安漏洞而进行的攻击。
殭尸电脑 (Zombie Computer)
指连接互联网而已经受入侵者、电脑病毒或木马程式影响的电脑。该等电脑通常被用作恶意用途,例如在接收远程指令后作出拒绝服务攻击。一般而言,拥有者并不知道该等用途。