GB/Z 25320.2-2013
基本信息
标准号: GB/Z 25320.2-2013
中文名称:电力系统管理及其信息交换 数据和通信安全 第2部分:术语
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:3347KB
相关标签: 电力 系统管理 信息 交换 数据 通信安全 术语
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/Z 25320.2-2013 电力系统管理及其信息交换 数据和通信安全 第2部分:术语
GB/Z25320.2-2013
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
S 29.240. 01
中华人民共和国国家标准化指导性技术文件GB/Z 25320.22013/IEC/TS 62351-2:2008电力系统管理及其信息交换
数据和通信安全
第2部分:术语
Power systems management and associated information exchange-Data and communications securityPart 2: Glossary of terms
(IEC/TS62351-2Ed1.0:2008,IDT)113-02-07发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2013-07-01实施
GB/Z 25320.2-—2013/LEC/TS 62351-2.2008目
1范围和目的
2术语和定义
2. 1术语表引用和特许
安全和相关的通信术语表
3縮略语
参考文献
GB/Z25320.2—2013/IEC/TS62351-2:2008前言
GB/Z25320《电力系统管理及其信息交换数据和通信安全分为以下儿个部分:第1部分:通信网络和系统安全安全间题介绍;第2部分:术语;
第3部分:通信网络和系统安全包括TCP/IP的协议集;一…第4部分:包含MMS的协议集;第5部分:GB/T18657及其衍生标准的安全;第6部分:电力企业自动化通信网络和系统的安全;第7部分:网络和系统管理的数据对象模型;第8部分:电力系统管理的基于角色访问控制。本部分为GB/25320的第2部分。
本部分按照GB/T1.1—2009给山的规则起草。本部分采用翻译法等同采用IEC/TS62351-2Ed1.0:2008《电力系统管理及其信息交换数据和
信安全第2部分:术语》。
本部分由中国电力企业联合会提出。本部分由全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)归口。本部分起草单位:国网电力科学研究院、福建省电力有限公司、中国电力科学研究院、国家电力调度信中心、华东电网有限公司、华中电网有限公司、南方电网有限公司、辽宁省电力有限公司。本部分主要起草人:许幕探、邓兆云、杨秋恒.南贵林、韩水保、李根蔚、曹连军、林为民、周孵、和淋。
GB/Z25320.2—2013/IEC/TS62351-2:2008引言
计算机、通信和网络技术当前已在电力系统中广泛使用。通信和计算机网络中存在着各种对信安全可能的攻击,对电力系统的数据及通信安全也构成了威胁。这些潜在的可能的攻击针对着电力统使用的各层通信协议中的安全漏洞以及电力系统信息基础设施的安全管理的不完善处。为此,我们采用国际标准制定了GB/Z25320《电力系统管理及其信息交换数据和通信安全”过在相关的通信协议以及在信息基础设施管理中增加特定的安全措施,提高和增强电力系统的数据通信的安全。
范围和目的
GB/Z25320.2--2013/IEC/TS 62351-2;2008电力系统管理及其信息交换
数据和通信安全第2部分:术语
GB/Z25320的本部分包括了在GB/Z25320中所使用的关键术语,然而并不意味这是一个由它定的术语列表。用于计算机安全的大多数术语已电其他标准组织正式定义,因此在这单通过对原始定术语的出处的引用来包括它们。语和定义
1术语表引用和特许
经合适组织的诈可,从以下的来源拷贝得到本术语表中的定义:[API 1l64l美国石油协会API(Amcrican Petroleum Institute)o
API1161是关于SCADA安全的标准;该标准为石油和液化气管线系统的运营商,提供对SCADA系统的整体性和安全进行管理的指南。虽该文件的使用并不局限于管线,但在评审和制定SCADA系统标时这应该被看作是对使用的最佳实践进行了列举。该文件具体化为“API的石油工业安全导则。该导则被特别设计成给运营商提供对一些SCAIA安全的工业实践所作的描述,并为在运营商的各个公司内发展出健余的安全实践,提供所需的槟架。。[ATIS](AlliariceforTelecommunicationsIndustrySolutions)[美国为通信和相关信息技术快速制定和促进技术和运行标准的组织。ATIS得到了美国国家标准学会(ANSI)的认可ATIS的Telecam电信术语表2oo7年发表于网站http://atis.arg/glassary/。该网站合并和代替了T1.523一2001,即2000年ATIS的Telecom电信术语表。2000年ATIS的Tclccom电信术语表是FS-1037C(美国联邦标准FederalStandard1037)的扩展且在1980年以“电信术语表\(GlossaryofTelccommunicationTerms)初次出版。no[FIPS-140-2]
这是美国联邦信息处理标准出版物 l40-2(US Federal Information PracessingStandardPublication140-2),标题为“密码模件的安全需求”(\SecurityRequirementsforCryptographicModules\).
1)ATIS文件中心是出版和组织出版由ATIS赞助的.T.业论坛和委员会所产生的电信标准、技术报告和技术要求及导则的重要在线资激。该网站是hitp://atis.urg CopyrightAlliance for TelecommunicationsIndustry Salutions+2001 年,该拷贝权与被 TI委员会和在 T1 委员会创建的以及于此包含或据此组合的所有其有拷贝权的电信行业文件资料有关,保留所有的权利(AliRighitsReserved)。如没有出版者预先书面准许,该出版物的任何部分都不可以以电子检索系统或其他的方法以任何方式进行复制。作为信息,请通过202.628-6380与ATIS联系。*http://atis.org\网站ATIS是在线的。1
GB/Z 25320.2-2013/IEC/TS62351-2:2008[ISA99]
该ISA技术报告为开发电子安全程序提供了框架而且为安全规划提供了推荐的组织和结格这信息提供了有关至少应包括元素的具体信息,站点或实体特定信息应该包括在谨序的适地方。
[IS$0/1EC 27002:2005]
“信息技术安全技术信息安全管理实施谁则”(Informationtechnolagy-Securitechniques Code of practice lar inlormatian security management)是国际公认的信息安全良实践的标准。该标准原悬英国标准BS7799,并且后来被定为ISO/IEC17799,而最近再命为 ISO/IEC 27002:2005。
[ISO/IEC】
许多ISO/IEC文件包含已被采纳作为国际标推的术语定义:这些文件被单独引用。[NIST SP 800-53.2007. 12]
美国国家标准和技术研究院NIST(National Institute of Standards and Technology)建议的邦信息系统的安全控制。
[NIST SP 800-82:2007. 9]
NIST的T业控制系统安全指南。
[NIST SP 800-X X]
所引用的 NIST的其他文件。
[NIST IR 7298]
NIST的关键信息安全术语表(GlnssaryorKeyInfarmalionSerurilyTerms)。该文件通常用其他来源,因而在本文件中直接引用这些来源。[RFC2828]
IETFRFC2828,用于固特网的标推术语表”。如有必要,引用其他来源。
2.2安全和相关的通信术语表
下列术语和定义适用于GB/Z25320所有部分。2. 2. 1
拍象通信服务接口AhstractCommunication ServiceInterface:ACSI对智能电子设备(IED)的虚拟接口,提供抽象通信服务,例如连接、变量访问,未经求的数据输、装置控制和文件传递服务,与所使用的实际通信栈和协议集无关。[IEC 61850系列]
因特网协会(Intcrnet Society), Copyright I The Internet Society (2000).All Rights Reserved,(拷贝权属于特网协会。保留所有的权利)。 This docutnent (RFC 2828) and translations of it may be copied and fumishto others, and dcrivativc works that comment on or otherwise explain it or assist in its itnplementation mayPrepared, copied, puhlished ard distrihuted, in whole or in part, without rcstriction of any kind (该 RFC 28文件和它的翻译可以被拷贝和提供给它人,以及可以特别处理、拷贝、发表和散发其衍生的工作,包括评论另外扩展它或支持它的实现;或整体或部分,没有任何方式限制),只要上述的摔贝权告示和这小段被包在所有拷贝和衔生工作且。然而该文件本身不可以以任何方式进行修改,例如去除拷贝权告示或去除对因网协会或其他因特网组织的引用,除了出于开发因特网标准的带要,在那种情说中必须要遵循在因特网标处理中规定的拷贝权规程,或者因为该文件译为非英语的其他谱宦的要求。2.2
访间 access
GB/Z 25320,2—2013/IEC/TS 62351-2:2008为了使用系统资源去处理该系统所包含的信息或获得这些信息的知识,而与系统进行通信或交互能力和方法。
[RFC 2828]
访问授权机构
access authority
负责对其他授权实体的访阅权限进行监视和授予的实体,[RFC2828]
访问控制ccess control
防止资源的未经授权使用,包括防止以未经授权方式使用资源。[IS0/IEC18028-2.2006]
保护资源以防未经授权访间:对资源使用的处理。根据安全策略对资源的使用进行管制而耳仅是已授权的系统实体才被推许根据那个策略使用资源。ERFC 2828]
对信息系统的访问和对其居所的物理访问进行控制的规则和部署机制。信息安全3
(InformationSccurity>整个主题就是基于访问控制(AccessControl)。按定义,没有访问控制,信息安全就不可能存在。
[IS0/IEC 27002;2005]
访控制列表Access Control List;ACL通过列举允许访问资源的系统实体身份,实现系统资源的访问控制的机制。ERFC 2828]
可证实性accountability
可审计性accountability
可追溯性accontability
1.确保一个实体的活动可以被唯一地追踪到该实体的特性。[ISO/IEC 7498-2]
系统(包括其所有系统资源)的特性,该特性确保一个系统实体的活动可以被唯一地追踪到那2.
个能对它的活动负有责任的实体。[RFC2828]
适度安全adequate sccurity
与信息的丢失、滥用或者未经授权访问或未经授权修改所导致的风险和危害大小相称的安全防护。:包括通过使用成本-效益(coBt-effective)管现,运行控制和技术控制,确保组织所使用的信息系统和应有效地运行并且提供适当的机密性、完整性和可用性。[NISTSP800-53]
高级加密标准AdvancedEncryptionStandard;AES先进加密标雄AdvancedEncryptionStandard,AES1.一种对称加密机制,提供可变密钥长度并使得能高效实现。该机制规定作为美国“联邦信息处3
GB/Z 25320.2-2013/IEC/TS 62351-2:2008理标准(FIPS)197\(Federal Inforrmatian Processing Standards FIPS 197)。[ISO/IEC18028-4;2005]
高级加密标准(AdvancedEncryptionStatidard)规定了能够用于防护电子数据的美国政府2.
推的密码算法,AES算法是对称分组密码,能够加密(加密器)和解密(解密器)信息。[NIST SP 800-46]
该标准规定 Rijndael算法,使用128、192 和 256位长度密销,能处理 128 位数据分组的对称3.
组密码。
告警alarm
以产生可听或可视断续变化或者两者同时变化,通告异常情况存在的装暨或功能,以引起对那种说的注意。
[ANSI/ISA 5. 1:1979]
应用 application layer
参看汗放系统互联组织(OSI)的参考模型第7层。2, 2. 11
关联association
系统实体间的协同关系,通常出于在实体间传递信息的目的。ERFC2828]
保证assurance
在安全\语境注,在安全业界内一般接受该定义;而在国际标准化组织(ISO)内更普遍使用的定义是:导致以声明使人相信个产品、过程或服务实现了规定要求的行为。[ISO/IEC Guide 2]
asymmctrie.eiphcr
非对称密码
基于非对称密码技术的密钥加解密,密钥的公开变换用于加密而密钥的秘有变换用于解密。[IS0/IEC 18033-1]
asymmetriccryptography
非对称密码学
--种现代密码学分支(一殿以“公钥密码学”为人所知),算法使用-~密钥对(公钥和私钥)而且为法的不同步骤使用该密钥对的不同组成成分。[RFC2828]
非对称密钥对asymmetric key pair-对相关的密钥,其私钥确定了私有变换而其公钥确定了公开变换。[ISO/IEC 9798-1:1997]
攻击attack
1,来自智能威胁对系统安全的袭击。该智能行动是有意的.企图(特别在方法和技术意义上)4
避安全服务和违反系统的安全策略。ERFC2828]
GB/Z 25320.2--2013/LEC/FS 62351-2:20082.试图旁路信息系统(IS)的一种或多种安全控制的有意动作。信息系统的安全控制包括不可否认性、认证性、完整性、可用性或机密性。FATIS]
.2. 17
审计audit
相对于预期,为·致性和符合性对事实进行止式查询、正式检查或验证。1
[ISO/IEC 18028-3:2005]
为了测试数据安全规程和数据完整性规程的适度和效力、为了确保与设定的策略和运行规程2.
一致以及为了建议任何必要改变,对系统记录和活动实行独立评审和审查。[ATIS]
审计日志auditlog
包含修改记录详情的计算机文件。娶求系统恢复时也可以使用该文件。启用该特性通常导致一些系统开销,但它的确使所有系统活动能事后评估。[ISO/IEC27002:2005]
审计纪录域audil recurd ficld包含关于一个务中的所有实体和这些实体所执行的处理类型指示的信息的域。[ATIS]免费标准下载网bzxz
审计追踪audit trail
-个或--系列记录,使得计算机或文秘系统所执行的处理能被精确地识别出来。因包括创建和对多改进行授权的用户的细节,这通常使得能核查修改的真实性。[ISO/IEC 27002:2005]
注:对可能的安全破坏进行技术和司法检定,审计追踪是至关重要的。.2.21
可信签名authentic signature
能够信赖的签名(特别是数字签名),因为能对该签名进行核查。LRFC2828]
认证authentication
鉴别authentication
任何专用于确定传输、消息或发信方的有效性的安全措施,或者对接受特定的信息类别的个人1,
授权逛行验证的手段。
EATIS]
2验证用户、进程或装置的身份,经常作为允许访问信息系统资源的前提条件。ENIST SP 800-53
经合适签名或密封的证据,证实文件是真实且正式的。3.
[ATIS]
建立信息的发信端或确定实体身份的过程,4.
RFC2828
GB/Z 25320.2—2013/IEC/TS62351-2:20085、保证所声称的实体身份的措施。[150/IEC 10181-2:1996]
授权 uthorization
同意给与系统实体访问系统资频的权限或许可,『RFC2828]
授权过程
authorization process
同意给予系统实体访问系统资源权限的过程。FRFC2828]
授权用户quthorize user
安全防护中,经授权用户就是根据组织的安全策略,可以执行某种操作的用户。[ATIS]
可用性availability
授权实体按需要就能访间和使用的特性。1
[IS0/IEC13335-1:2004]
根据系统的性能规范,授权系统实体按需要就能访间和使用系统或系统资源的特性。即根扌系统设计每当用户请求服务,系统就提供服务,则这系统是可用的。[RF2828
后门back door
种硬件或软件机制。通过后门而不是用通常的过程,提供对系统和系统资源访间;它是系统设计者或维护者有意保留的,而且通常并不公开让人知道。[RFC2828]
注:类似于陷门(2.2,207),但通常实现并非出于恶意动机。2.2.28
带离bandwidth
一般用于确定通信信容量,在给定的时间段内经此信道所传递数据量。通常以每秒比特数表示RFC2828
生物特征biometric
人类的身体或行为特征。
[NIST SP 800-32]
可测定的身体特征或个人行为特性,用于确认申请者身份或证实其声称的身份。面部影像2.
纹和笔迹样本都是生物特征例子。[FIPS 201]
分组抑密blockcipher
对明文分组(即规定长度的位串)进行运算而产生密文分组,具有这样一种特性的对称加密算法。[ISO/IEC 18033-1]
边界防护houndaryprotection
GB/Z 25320.2—2013/IEC/TS 62351-2,2008完全在组织的管理和控制之下的信息系统和非完全在组织的管理和控制之下的信息系统之间外部界处和完全在组织的管理和控制之下的信息系统之间关键内部边界处,为防护和探测恶意的和其他经授权通信,使用受控接口(例如:代理、网关、路出器、防火墙、加密隧道),对通信进行监视和控制。[NISTSP800-53]
缓冲区溢出bufferPverflow
接口的一种状况,多于分配容量的输人能被置人缓冲区或数据行储区域而造成对其他信息的覆盏。方利用如此状况使系统崩溃或植入特别编成的编码,使其能获得对系统的控制。[NIST SP 800-28]
BIS 机制 Bump-in-the-Stack
栈内转换Bump-in.the-Stack
安全模块对TCP/IPv4模块和网卡驱动模块之间的数据流进行监听并且转换IPv4成IPv6或反,这些安全模块入主机因而使它们成为自转换器。[RFC 2767]
BTW 技术Bunp-in-the-Wire
链路端加密装置Bump-in-the-Wite安全防护中在通信链路的每一端,在与装置或系统的连接后增加的加密盒。一个加密盒从一个装(取得明文报文且对它们逃行期密,而另一个盒接收这加密报文且把它们解密回明文,以及反之。这种下法提供外部加密从而避免需要在装置内嵌人加密功能。[Common usage]
回拨 call back
用于经电话线远程访问计算机的终端的认证技术。主机系统断开呼叫者连接,然后回拨那个终端I先前已审定的电话号码。
[RFC 2828]
证书certificate
在密码技术中,证书是公共密钥和实体身份并且带有以发放证书机构的私销对全信息进行数字签名而造成不可能伪造的其他信息。[ATIS]
信息的数字表达,这些信息至少应包括确定发放证书的证书机构,命名或确定证书的签署者,2.
包含签署者的公钥,确定它的有效期以及是已由发放证书的证书机构经过数字签名。[NIST SP 800-32]
证书管理certificatemanagement证书被生成,存储、防护、传递、装载、使用和注销的过程。[ATIS]
GB/Z25320.2—2013/IEC/TS62351-2.20082.2. 38
证书撤销列表Certificate Revoation List,CRL巴撤销的公钥证书列表,该证书是由证书机构(CertificationAuthority,CA)创建和数字签名1.
[NIST SP 800-63]
已撤销但未过期的由 CA发放的证书表。2.
『NIST SP 800-21 第 2版
安全证明certificatiol
为支持安全合格鉴定,对信息系统的管理、运行和技术的安全控制所作的综合评估,确定在符合统的安全需求上,正确执行控制、按预期运行和产生期望结果的程度。[NIST $P 800-37]
证书机构Certification AnthorityCA为创建和分配证书,由一个或多个用户所信任的机构。证书机构也可以创建用户密钥,这是可1
选的。
[IS0/IEC 13888-1:2004]
可信的第三方(类似“证券交易机构”),发放数字签名和数字证书。2
[ISO/IEC 27002:2005]
发放数字证书(特别是X,509数字证书)并对证书中数据项间绑定关系进行担保的实体。3
LRFC2828
监管链chain of custody
以包括处理证据的每个人,收集或传递证据的日期/时间和传递目的形成文件,通过证据的收集、全保管和分析生命期,对证据迁移进行追踪的逆程。[NIST SP 800-72]
挑战握手认证协议ChallengeHandshakeAuthenticationProtocolCHAP用于PPP的对等实体认证方法,使用随机产生的挑战并且要求与取决于挑战和秘密密钥的密码希的响应进行匹配。
RFC 2828
排战-响应challenge-response
挑战-响应协议challenge-respanse ptotacal1一个认证过程,要求在挑战的响应中所提供的止确认证信息对身份进行验证。在计算机系中,不可预知的挑战值的响应中认证信息通常是一个要求计算所得的数值。[RFC 2828
2.一个认证协议,验证者给请求验证者发送一个挑战(通常是一个随机值或不可重现数)而请验证者把该挑战与共享秘密结合(常常把挑战和秘密在-起进行哈希运算),以生成发送给证者的响应。验证者知道该共享秘密因而能独立计算出响应并且把它与由请求验证者生成的响应相比较。如果两者是相同的,则认为请求验证者已经成功地证明了他本身是真的。当讠共享秘密是一个密钥,为防窃听者这样的协议通常是安全的。当此共享秘密是口令,虽窃听:不能直接截获口令本身,然而窃听者可以用离线的口令猜测攻击能够找到此口令。[NIST SP 800-63]
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准化指导性技术文件GB/Z 25320.22013/IEC/TS 62351-2:2008电力系统管理及其信息交换
数据和通信安全
第2部分:术语
Power systems management and associated information exchange-Data and communications securityPart 2: Glossary of terms
(IEC/TS62351-2Ed1.0:2008,IDT)113-02-07发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2013-07-01实施
GB/Z 25320.2-—2013/LEC/TS 62351-2.2008目
1范围和目的
2术语和定义
2. 1术语表引用和特许
安全和相关的通信术语表
3縮略语
参考文献
GB/Z25320.2—2013/IEC/TS62351-2:2008前言
GB/Z25320《电力系统管理及其信息交换数据和通信安全分为以下儿个部分:第1部分:通信网络和系统安全安全间题介绍;第2部分:术语;
第3部分:通信网络和系统安全包括TCP/IP的协议集;一…第4部分:包含MMS的协议集;第5部分:GB/T18657及其衍生标准的安全;第6部分:电力企业自动化通信网络和系统的安全;第7部分:网络和系统管理的数据对象模型;第8部分:电力系统管理的基于角色访问控制。本部分为GB/25320的第2部分。
本部分按照GB/T1.1—2009给山的规则起草。本部分采用翻译法等同采用IEC/TS62351-2Ed1.0:2008《电力系统管理及其信息交换数据和
信安全第2部分:术语》。
本部分由中国电力企业联合会提出。本部分由全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)归口。本部分起草单位:国网电力科学研究院、福建省电力有限公司、中国电力科学研究院、国家电力调度信中心、华东电网有限公司、华中电网有限公司、南方电网有限公司、辽宁省电力有限公司。本部分主要起草人:许幕探、邓兆云、杨秋恒.南贵林、韩水保、李根蔚、曹连军、林为民、周孵、和淋。
GB/Z25320.2—2013/IEC/TS62351-2:2008引言
计算机、通信和网络技术当前已在电力系统中广泛使用。通信和计算机网络中存在着各种对信安全可能的攻击,对电力系统的数据及通信安全也构成了威胁。这些潜在的可能的攻击针对着电力统使用的各层通信协议中的安全漏洞以及电力系统信息基础设施的安全管理的不完善处。为此,我们采用国际标准制定了GB/Z25320《电力系统管理及其信息交换数据和通信安全”过在相关的通信协议以及在信息基础设施管理中增加特定的安全措施,提高和增强电力系统的数据通信的安全。
范围和目的
GB/Z25320.2--2013/IEC/TS 62351-2;2008电力系统管理及其信息交换
数据和通信安全第2部分:术语
GB/Z25320的本部分包括了在GB/Z25320中所使用的关键术语,然而并不意味这是一个由它定的术语列表。用于计算机安全的大多数术语已电其他标准组织正式定义,因此在这单通过对原始定术语的出处的引用来包括它们。语和定义
1术语表引用和特许
经合适组织的诈可,从以下的来源拷贝得到本术语表中的定义:[API 1l64l美国石油协会API(Amcrican Petroleum Institute)o
API1161是关于SCADA安全的标准;该标准为石油和液化气管线系统的运营商,提供对SCADA系统的整体性和安全进行管理的指南。虽该文件的使用并不局限于管线,但在评审和制定SCADA系统标时这应该被看作是对使用的最佳实践进行了列举。该文件具体化为“API的石油工业安全导则。该导则被特别设计成给运营商提供对一些SCAIA安全的工业实践所作的描述,并为在运营商的各个公司内发展出健余的安全实践,提供所需的槟架。。[ATIS](AlliariceforTelecommunicationsIndustrySolutions)[美国为通信和相关信息技术快速制定和促进技术和运行标准的组织。ATIS得到了美国国家标准学会(ANSI)的认可ATIS的Telecam电信术语表2oo7年发表于网站http://atis.arg/glassary/。该网站合并和代替了T1.523一2001,即2000年ATIS的Telecom电信术语表。2000年ATIS的Tclccom电信术语表是FS-1037C(美国联邦标准FederalStandard1037)的扩展且在1980年以“电信术语表\(GlossaryofTelccommunicationTerms)初次出版。no[FIPS-140-2]
这是美国联邦信息处理标准出版物 l40-2(US Federal Information PracessingStandardPublication140-2),标题为“密码模件的安全需求”(\SecurityRequirementsforCryptographicModules\).
1)ATIS文件中心是出版和组织出版由ATIS赞助的.T.业论坛和委员会所产生的电信标准、技术报告和技术要求及导则的重要在线资激。该网站是hitp://atis.urg CopyrightAlliance for TelecommunicationsIndustry Salutions+2001 年,该拷贝权与被 TI委员会和在 T1 委员会创建的以及于此包含或据此组合的所有其有拷贝权的电信行业文件资料有关,保留所有的权利(AliRighitsReserved)。如没有出版者预先书面准许,该出版物的任何部分都不可以以电子检索系统或其他的方法以任何方式进行复制。作为信息,请通过202.628-6380与ATIS联系。*http://atis.org\网站ATIS是在线的。1
GB/Z 25320.2-2013/IEC/TS62351-2:2008[ISA99]
该ISA技术报告为开发电子安全程序提供了框架而且为安全规划提供了推荐的组织和结格这信息提供了有关至少应包括元素的具体信息,站点或实体特定信息应该包括在谨序的适地方。
[IS$0/1EC 27002:2005]
“信息技术安全技术信息安全管理实施谁则”(Informationtechnolagy-Securitechniques Code of practice lar inlormatian security management)是国际公认的信息安全良实践的标准。该标准原悬英国标准BS7799,并且后来被定为ISO/IEC17799,而最近再命为 ISO/IEC 27002:2005。
[ISO/IEC】
许多ISO/IEC文件包含已被采纳作为国际标推的术语定义:这些文件被单独引用。[NIST SP 800-53.2007. 12]
美国国家标准和技术研究院NIST(National Institute of Standards and Technology)建议的邦信息系统的安全控制。
[NIST SP 800-82:2007. 9]
NIST的T业控制系统安全指南。
[NIST SP 800-X X]
所引用的 NIST的其他文件。
[NIST IR 7298]
NIST的关键信息安全术语表(GlnssaryorKeyInfarmalionSerurilyTerms)。该文件通常用其他来源,因而在本文件中直接引用这些来源。[RFC2828]
IETFRFC2828,用于固特网的标推术语表”。如有必要,引用其他来源。
2.2安全和相关的通信术语表
下列术语和定义适用于GB/Z25320所有部分。2. 2. 1
拍象通信服务接口AhstractCommunication ServiceInterface:ACSI对智能电子设备(IED)的虚拟接口,提供抽象通信服务,例如连接、变量访问,未经求的数据输、装置控制和文件传递服务,与所使用的实际通信栈和协议集无关。[IEC 61850系列]
因特网协会(Intcrnet Society), Copyright I The Internet Society (2000).All Rights Reserved,(拷贝权属于特网协会。保留所有的权利)。 This docutnent (RFC 2828) and translations of it may be copied and fumishto others, and dcrivativc works that comment on or otherwise explain it or assist in its itnplementation mayPrepared, copied, puhlished ard distrihuted, in whole or in part, without rcstriction of any kind (该 RFC 28文件和它的翻译可以被拷贝和提供给它人,以及可以特别处理、拷贝、发表和散发其衍生的工作,包括评论另外扩展它或支持它的实现;或整体或部分,没有任何方式限制),只要上述的摔贝权告示和这小段被包在所有拷贝和衔生工作且。然而该文件本身不可以以任何方式进行修改,例如去除拷贝权告示或去除对因网协会或其他因特网组织的引用,除了出于开发因特网标准的带要,在那种情说中必须要遵循在因特网标处理中规定的拷贝权规程,或者因为该文件译为非英语的其他谱宦的要求。2.2
访间 access
GB/Z 25320,2—2013/IEC/TS 62351-2:2008为了使用系统资源去处理该系统所包含的信息或获得这些信息的知识,而与系统进行通信或交互能力和方法。
[RFC 2828]
访问授权机构
access authority
负责对其他授权实体的访阅权限进行监视和授予的实体,[RFC2828]
访问控制ccess control
防止资源的未经授权使用,包括防止以未经授权方式使用资源。[IS0/IEC18028-2.2006]
保护资源以防未经授权访间:对资源使用的处理。根据安全策略对资源的使用进行管制而耳仅是已授权的系统实体才被推许根据那个策略使用资源。ERFC 2828]
对信息系统的访问和对其居所的物理访问进行控制的规则和部署机制。信息安全3
(InformationSccurity>整个主题就是基于访问控制(AccessControl)。按定义,没有访问控制,信息安全就不可能存在。
[IS0/IEC 27002;2005]
访控制列表Access Control List;ACL通过列举允许访问资源的系统实体身份,实现系统资源的访问控制的机制。ERFC 2828]
可证实性accountability
可审计性accountability
可追溯性accontability
1.确保一个实体的活动可以被唯一地追踪到该实体的特性。[ISO/IEC 7498-2]
系统(包括其所有系统资源)的特性,该特性确保一个系统实体的活动可以被唯一地追踪到那2.
个能对它的活动负有责任的实体。[RFC2828]
适度安全adequate sccurity
与信息的丢失、滥用或者未经授权访问或未经授权修改所导致的风险和危害大小相称的安全防护。:包括通过使用成本-效益(coBt-effective)管现,运行控制和技术控制,确保组织所使用的信息系统和应有效地运行并且提供适当的机密性、完整性和可用性。[NISTSP800-53]
高级加密标准AdvancedEncryptionStandard;AES先进加密标雄AdvancedEncryptionStandard,AES1.一种对称加密机制,提供可变密钥长度并使得能高效实现。该机制规定作为美国“联邦信息处3
GB/Z 25320.2-2013/IEC/TS 62351-2:2008理标准(FIPS)197\(Federal Inforrmatian Processing Standards FIPS 197)。[ISO/IEC18028-4;2005]
高级加密标准(AdvancedEncryptionStatidard)规定了能够用于防护电子数据的美国政府2.
推的密码算法,AES算法是对称分组密码,能够加密(加密器)和解密(解密器)信息。[NIST SP 800-46]
该标准规定 Rijndael算法,使用128、192 和 256位长度密销,能处理 128 位数据分组的对称3.
组密码。
告警alarm
以产生可听或可视断续变化或者两者同时变化,通告异常情况存在的装暨或功能,以引起对那种说的注意。
[ANSI/ISA 5. 1:1979]
应用 application layer
参看汗放系统互联组织(OSI)的参考模型第7层。2, 2. 11
关联association
系统实体间的协同关系,通常出于在实体间传递信息的目的。ERFC2828]
保证assurance
在安全\语境
asymmctrie.eiphcr
非对称密码
基于非对称密码技术的密钥加解密,密钥的公开变换用于加密而密钥的秘有变换用于解密。[IS0/IEC 18033-1]
asymmetriccryptography
非对称密码学
--种现代密码学分支(一殿以“公钥密码学”为人所知),算法使用-~密钥对(公钥和私钥)而且为法的不同步骤使用该密钥对的不同组成成分。[RFC2828]
非对称密钥对asymmetric key pair-对相关的密钥,其私钥确定了私有变换而其公钥确定了公开变换。[ISO/IEC 9798-1:1997]
攻击attack
1,来自智能威胁对系统安全的袭击。该智能行动是有意的.企图(特别在方法和技术意义上)4
避安全服务和违反系统的安全策略。ERFC2828]
GB/Z 25320.2--2013/LEC/FS 62351-2:20082.试图旁路信息系统(IS)的一种或多种安全控制的有意动作。信息系统的安全控制包括不可否认性、认证性、完整性、可用性或机密性。FATIS]
.2. 17
审计audit
相对于预期,为·致性和符合性对事实进行止式查询、正式检查或验证。1
[ISO/IEC 18028-3:2005]
为了测试数据安全规程和数据完整性规程的适度和效力、为了确保与设定的策略和运行规程2.
一致以及为了建议任何必要改变,对系统记录和活动实行独立评审和审查。[ATIS]
审计日志auditlog
包含修改记录详情的计算机文件。娶求系统恢复时也可以使用该文件。启用该特性通常导致一些系统开销,但它的确使所有系统活动能事后评估。[ISO/IEC27002:2005]
审计纪录域audil recurd ficld包含关于一个务中的所有实体和这些实体所执行的处理类型指示的信息的域。[ATIS]免费标准下载网bzxz
审计追踪audit trail
-个或--系列记录,使得计算机或文秘系统所执行的处理能被精确地识别出来。因包括创建和对多改进行授权的用户的细节,这通常使得能核查修改的真实性。[ISO/IEC 27002:2005]
注:对可能的安全破坏进行技术和司法检定,审计追踪是至关重要的。.2.21
可信签名authentic signature
能够信赖的签名(特别是数字签名),因为能对该签名进行核查。LRFC2828]
认证authentication
鉴别authentication
任何专用于确定传输、消息或发信方的有效性的安全措施,或者对接受特定的信息类别的个人1,
授权逛行验证的手段。
EATIS]
2验证用户、进程或装置的身份,经常作为允许访问信息系统资源的前提条件。ENIST SP 800-53
经合适签名或密封的证据,证实文件是真实且正式的。3.
[ATIS]
建立信息的发信端或确定实体身份的过程,4.
RFC2828
GB/Z 25320.2—2013/IEC/TS62351-2:20085、保证所声称的实体身份的措施。[150/IEC 10181-2:1996]
授权 uthorization
同意给与系统实体访问系统资频的权限或许可,『RFC2828]
授权过程
authorization process
同意给予系统实体访问系统资源权限的过程。FRFC2828]
授权用户quthorize user
安全防护中,经授权用户就是根据组织的安全策略,可以执行某种操作的用户。[ATIS]
可用性availability
授权实体按需要就能访间和使用的特性。1
[IS0/IEC13335-1:2004]
根据系统的性能规范,授权系统实体按需要就能访间和使用系统或系统资源的特性。即根扌系统设计每当用户请求服务,系统就提供服务,则这系统是可用的。[RF2828
后门back door
种硬件或软件机制。通过后门而不是用通常的过程,提供对系统和系统资源访间;它是系统设计者或维护者有意保留的,而且通常并不公开让人知道。[RFC2828]
注:类似于陷门(2.2,207),但通常实现并非出于恶意动机。2.2.28
带离bandwidth
一般用于确定通信信容量,在给定的时间段内经此信道所传递数据量。通常以每秒比特数表示RFC2828
生物特征biometric
人类的身体或行为特征。
[NIST SP 800-32]
可测定的身体特征或个人行为特性,用于确认申请者身份或证实其声称的身份。面部影像2.
纹和笔迹样本都是生物特征例子。[FIPS 201]
分组抑密blockcipher
对明文分组(即规定长度的位串)进行运算而产生密文分组,具有这样一种特性的对称加密算法。[ISO/IEC 18033-1]
边界防护houndaryprotection
GB/Z 25320.2—2013/IEC/TS 62351-2,2008完全在组织的管理和控制之下的信息系统和非完全在组织的管理和控制之下的信息系统之间外部界处和完全在组织的管理和控制之下的信息系统之间关键内部边界处,为防护和探测恶意的和其他经授权通信,使用受控接口(例如:代理、网关、路出器、防火墙、加密隧道),对通信进行监视和控制。[NISTSP800-53]
缓冲区溢出bufferPverflow
接口的一种状况,多于分配容量的输人能被置人缓冲区或数据行储区域而造成对其他信息的覆盏。方利用如此状况使系统崩溃或植入特别编成的编码,使其能获得对系统的控制。[NIST SP 800-28]
BIS 机制 Bump-in-the-Stack
栈内转换Bump-in.the-Stack
安全模块对TCP/IPv4模块和网卡驱动模块之间的数据流进行监听并且转换IPv4成IPv6或反,这些安全模块入主机因而使它们成为自转换器。[RFC 2767]
BTW 技术Bunp-in-the-Wire
链路端加密装置Bump-in-the-Wite安全防护中在通信链路的每一端,在与装置或系统的连接后增加的加密盒。一个加密盒从一个装(取得明文报文且对它们逃行期密,而另一个盒接收这加密报文且把它们解密回明文,以及反之。这种下法提供外部加密从而避免需要在装置内嵌人加密功能。[Common usage]
回拨 call back
用于经电话线远程访问计算机的终端的认证技术。主机系统断开呼叫者连接,然后回拨那个终端I先前已审定的电话号码。
[RFC 2828]
证书certificate
在密码技术中,证书是公共密钥和实体身份并且带有以发放证书机构的私销对全信息进行数字签名而造成不可能伪造的其他信息。[ATIS]
信息的数字表达,这些信息至少应包括确定发放证书的证书机构,命名或确定证书的签署者,2.
包含签署者的公钥,确定它的有效期以及是已由发放证书的证书机构经过数字签名。[NIST SP 800-32]
证书管理certificatemanagement证书被生成,存储、防护、传递、装载、使用和注销的过程。[ATIS]
GB/Z25320.2—2013/IEC/TS62351-2.20082.2. 38
证书撤销列表Certificate Revoation List,CRL巴撤销的公钥证书列表,该证书是由证书机构(CertificationAuthority,CA)创建和数字签名1.
[NIST SP 800-63]
已撤销但未过期的由 CA发放的证书表。2.
『NIST SP 800-21 第 2版
安全证明certificatiol
为支持安全合格鉴定,对信息系统的管理、运行和技术的安全控制所作的综合评估,确定在符合统的安全需求上,正确执行控制、按预期运行和产生期望结果的程度。[NIST $P 800-37]
证书机构Certification AnthorityCA为创建和分配证书,由一个或多个用户所信任的机构。证书机构也可以创建用户密钥,这是可1
选的。
[IS0/IEC 13888-1:2004]
可信的第三方(类似“证券交易机构”),发放数字签名和数字证书。2
[ISO/IEC 27002:2005]
发放数字证书(特别是X,509数字证书)并对证书中数据项间绑定关系进行担保的实体。3
LRFC2828
监管链chain of custody
以包括处理证据的每个人,收集或传递证据的日期/时间和传递目的形成文件,通过证据的收集、全保管和分析生命期,对证据迁移进行追踪的逆程。[NIST SP 800-72]
挑战握手认证协议ChallengeHandshakeAuthenticationProtocolCHAP用于PPP的对等实体认证方法,使用随机产生的挑战并且要求与取决于挑战和秘密密钥的密码希的响应进行匹配。
RFC 2828
排战-响应challenge-response
挑战-响应协议challenge-respanse ptotacal1一个认证过程,要求在挑战的响应中所提供的止确认证信息对身份进行验证。在计算机系中,不可预知的挑战值的响应中认证信息通常是一个要求计算所得的数值。[RFC 2828
2.一个认证协议,验证者给请求验证者发送一个挑战(通常是一个随机值或不可重现数)而请验证者把该挑战与共享秘密结合(常常把挑战和秘密在-起进行哈希运算),以生成发送给证者的响应。验证者知道该共享秘密因而能独立计算出响应并且把它与由请求验证者生成的响应相比较。如果两者是相同的,则认为请求验证者已经成功地证明了他本身是真的。当讠共享秘密是一个密钥,为防窃听者这样的协议通常是安全的。当此共享秘密是口令,虽窃听:不能直接截获口令本身,然而窃听者可以用离线的口令猜测攻击能够找到此口令。[NIST SP 800-63]
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。