安全词汇讲解

暗入口，英文名为trapdoor,一种隐蔽的软件或硬件机制。激活后，就可避过系统保护机制，从而绕过安全性控制获得系统或程序的访问权。安全协议（Securityprotocol，又称密码协议，Cryptographicprotocol）。安全协议是建立在密码体制基础上的一种交互通信协议，它运用密码算法和协议逻辑来实现认证和密钥分配等目标。安全协议可用于保障计算机网络信息系统中秘密信息的安全传递与处理,确保网络用户能够安全、方便、透明地使用系统中的密码资源。目前，安全协议在金融系统、商务系统、政务系统、军事系统和社会生活中的应用日益普遍，而安全协议的安全性分析验证仍是一个悬而未决的问题。在实际社会中，有许多不安全的协议曾经被人们作为正确的协议长期使用，如果用于军事领域的密码装备中，则会直接危害到军事机密的安全性，会造成无可估量的损失。这就需要对安全协议进行充分的分析、验证，判断其是否达到预期的安全目标。安全状态securestate:在未授权情况下，不会出现主体访问客体的情况。安全需求securityrequirements：为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。安全特征securityfeatures：与安全相关的系统的软硬件功能、机理和特性。安全评估securityevaluation：为评定在系统内安全处理敏感信息的可信度而做的评估。安全配置管理secureconfigurationmanagement：控制系统硬件与软件结构更改的一组规程。其目的是来保证这种更改不致违反系统的安全策略。安全内核securitykernel：控制对系统资源的访问而实现基本安全规程的计算机系统的中心部分。安全过滤器securityfilter:对传输的数据强制执行安全策略的可信子系统。安全过滤带宽是指防火墙在某种加密算法标准下，如DES（56位）或3DES（168位）下的整体过滤性能。它是相对于明文带宽提出的。一般来说，防火墙总的吞吐量越大，其对应的安全过滤带宽越高。

安全规范securityspecifications：系统所需要的安全功能的本质与特征的详细述。安全策略securitypolicy：规定机构如何管理、保护与分发敏感信息的法规与条例的集合。安全策略分安全管理策略和安全技术实施策略两个方面：（1） 管理策略安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。（2） 技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。”安全测试securitytesting:用于确定系统的安全特征按设计要求实现的过程。这一过程包括现场功能测试、渗透测试和验证。安全操作系统SecureOperationSystem:为所管理的数据和资源提供相应的安全保护，而有效控制硬件和软件功能的操作系统。安全域，一般通常理解的安全域（网络安全域）是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。如果理解广义的安全域概念，则是具有相同业务要求和安全要求的IT系统要素的集合。安全网关，是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。安全补丁，对于大型软件系统（如windows操作系统）在使用过程中暴露的问题（一般由黑客或病毒设计者发现）而发布的解决问题的小程序。安全漏洞securityhole，受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。安全模型，安全（策略）模型是描述信息系统安全中保密性，可用性和完整性需求（安全策略）的形式化方法，是系统安全分析，设计，实现和验证的依据和效率的保障。

安全外壳协议(SSH),SecureShellProtocol,是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议。SSH协议是建立在应用层和传输层基础上的安全协议，它主要由以下三部分组成，共同实现SSH的安全保密机制。传输层协议，它提供诸如认证、信任和完整性检验等安全措施，此外它还可以任意地提供数据压缩功能。通常情况下，这些传输层协议都建立在面向连接的TCP数据流之上。用户认证协议层，用来实现服务器的跟客户端用户之间的身份认证，它运行在传输层协议之上。连接协议层，分配多个加密通道至一些逻辑通道上，它运行在用户认证层协议之上。当安全的传输层连接建立之后，客户端将发送一个服务请求。当用户认证层连接建立之后将发送第二个服务请求。这就允许新定义的协议可以和以前的协议共存。连接协议提供可用作多种目的通道，为设置安全交互Shell会话和传输任意的TCP/IP端口和X11连接提供标准方法。安全套接层协议(SSL),SecureSocketsLayer,是由Netscape公司开发的一套Internet数据安全协议，它被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议(SSLRecordProtocol)：它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSLHandshakeProtocol)：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。安全超文本传输协议(S-HTTP)，SecureHypertextTransferProtocol,是一种面向安全信息通信的协议，它可以和HTTP结合起来使用。S-HTTP能与HTTP信息模型共存并易于与HTTP应用程序相整合。安全电子交易协议(SET),SecureElectronicTransaction,是美国Visa和MasterCard两大信用卡组织联合于1997年5月31日推出的用于电子商务的行业规范，其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。SET已获得IETF标准的认可，是电子商务的发展方向。

安全交易技术协议（STT）,SecureTransactionTechnology是由Microsoft公司提出的，STT将认证和解密在浏览器中分离开来，用以提高安全控制能力。Microsoft将在InternetExplorer中采用这一技术。Agent代理程序，是在客户机/服务器计算模式中，为客户机端程序或服务器端程序作数据准备和数据交换的系统部分。例如，在一些数据库查询系统中，用户可以采用自己喜欢的格式提出查询要求，再由代理程序转换成适合数据库使用的严格定义的查询参数。ARP（地址解析协议），AddressResolutionProtocol，“地址解析"是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。也就是将IP转化成以IP对应的网卡的物理地址的一种协议。安全模型：安全（策略）模型是描述信息系统安全中保密性，可用性和完整性需求（安全策略）的形式化方法，是系统安全分析，设计，实现和验证的依据和效率的保障。AV终结者：“av”即为英文“反病毒”（an-ti-virus）的缩写，这种病毒主要特征有：禁用所有杀毒软件以及相关安全工具，让用户电脑失去安全保障；致使用户根本无法进入安全模式清除病毒；强行关闭带有病毒字样的网页，只要在网页中输入'病毒'相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法。av终结者”设计中最恶毒的一点是，用户即使重装操作系统也无法解决问题：格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。ACK：ACK是一种确认应答，在数据通信传输中，接收方发给发送方的一种传输控制字符。它表示确认发来的数据已经接受无误。通常ACK信号有自己固定的格式，长度大小，由接受方回复给发送方。其格式取决于采取的网络协议。当发送方接收到ACK信号时，就可以发送下一个数据。如果发送方没有收到信号，那么发送方可能会重发当前的数据包，也可能停止传送数据。具体情况取决于所采用的网络协议。ACK信号通常是一个ASCII字符，不同的协议中ACK信号都不一样。安全管理：计算机技术安全管理的范围很广，可以包括网络安全性、数据安全性、操作系统安全性以及应用程序安全性等。

安全审计：对于网络的脆弱性进行测试、评估和分析，以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段，都可以叫做安全审计。安全测试：借助于适当的授权获准访问一台计算机、计算机系统、计算机网络，其目的仅仅是测试、调查或校正潜在或实际的安全缺陷、弱点或处理问题。Adhoc网络：Adhoc网络是一种特殊的无线移动网络。网络中所有结点的地位平等，无需设置任何的中心控制结点。网络中的结点不仅具有普通移动终端所需的功能，而且具有报文转发能力。安全机制：安全机制(securitymechanism)，是指设计用于检测、预防安全攻击或者恢复系统的机制。安全服务：是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。安全多方计算：安全多方计算(SecureMulti-PartyComputation),安全多方计算的研究主要是针对无可信第三方的情况下，如何安全地计算一个约定函数的问题。安全多方计算在电子选举、电子投票、电子拍卖、秘密共享、门限签名等场景中有着重要的作用。安全协处理器：安全协处理器的主要功能是为存储口令、PIN码和私有密钥提供空间。安全操作系统：安全操作系统是指从系统设计、实现和使用等各个阶段都遵循一套完整的安全策略的操作系统，以达到其操作安全的目的。安全断言标记语言：SecurityAssertionMarkupLanguage，是一个XML框架，也就是一组协议，可以用来传输安全申明。BIOS(基本输入输出系统)：基本输入输出系统(BasicInput-OutputSystem)，是集成在主板上的一个ROM芯片，其中保存有微机系统最重要的基本输入/输出程序、系统信息设置、开机上电自检程序和系统启动自举程序。不完全参数校验incompleteparameterchecking：

当操作系统未对所有参数进行正确性和一致性检查时，导致的一种设计缺陷。这种缺陷使整个系统容易遭受侵入。并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。标记label：在计算机安全中，表示客体安全等级并描述客体中信息敏感性的信息。在数据安全中，反映信息密级及表示信息敏感性种类的信息标志。被动窃听passivewiretapping：通信链路上正在传送的数据被进行非法监听和记录。备份规程backupprocedure:在系统发生故障或灾难后，为恢复数据文件、程序库和为重新启动或更换信息系统的设备而采取的措施。保密性confidentiality:为秘密数据提供保护状态及保护等级的一种特性。备份：当病毒入侵或者系统错误操作对操作系统带来较大的或致命的麻烦时，为避免重装系统的费时费力，在系统稳定时对系统盘（一般是C盘）所有数据拷贝成一文件，存储于其他的盘；当系统出现问题时可以利用这个文件进行恢复的操作，叫备份。包过滤：防火墙的一类。传统的包过滤功能在路由器上常可看到，而专门的防火墙系统一般在此之上加了功能的扩展，如状态检测等。它通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。包转发率：包转发率标志了交换机转发数据包能力的大小。单位一般位pps（包每秒），一般交换机的包转发率在几十Kpps到几百Mpps不等。包转发率以数据包为单位体现了交换机的交换能力。贝叶斯定理：ThomasBayes（1702-1763）,托马斯贝叶斯是一位英国牧师数学家，1742年成为英国皇家学会会员，1763年4月7日逝世。1763年，他发表了贝叶斯统计理论，即根据已经发生的事件来预测事件发生的可能性，贝叶斯理论假设：如果事件的结果不确定，那么

量化它的唯一方法就是事件的发生概率。如果过去试验中事件的出现率已知，那么根据数学方法可以计算出未来试验中事件出现的概率。BayesianNetworks:中文为贝叶斯网络，也被称为信念网络BelifNetworks)或者因果网络(CausalNetworks)，是描述数据变量之间依赖关系的一种图形模式，是一种用来进行推理的模型。贝叶斯网络为人们提供了一种方便的框架结构来表示因果关系，这使得不确定性推理变得在逻辑上更为清晰、可理解性强。802.1x:是IEEE为了解决基于端口的接入控制(Port-BasedNetworkAccessControl)而定义的一个标准。根据用户ID或设备，对网络客户端(或端口)进行鉴权的标准。Botnet：也被称作僵尸网络，是许多台被恶意代码感染、控制的与互联网相连接的计算机。BLP(Bell-LaPadula)模型：安全策略的一种正式模型，用于制定一套访问控制规则。在遵循一套原则的基础上，该模型逐一证明该系统是否安全。在该模型中，计算机系统中的实体被分成抽象的对象。安全状态得到了详细地说明，而且通过从一个安全状态转到另一个安全状态的方式来证明状态转移过程仍然是安全的，进而规纳地证明了该系统是安全的。病毒库：病毒库就是个数据库，它记录着电脑病毒的种种“相貌特征”以便及时发现，绞杀它们，只有这样，杀毒程序才会区分病毒程序于一般程序，所以有时我们也称病毒库里的数据为“病毒特征码”，病毒库是要时常更新的，这样才能尽量保护你的计算机不被最新的病毒所侵害。BAN逻辑：BAN逻辑是一个形式逻辑模型，进行基于知识和信任的分析。BAN逻辑假设认证是完整性和新鲜度的函数，使用逻辑规则来对协议的属性进行跟踪和分析。半易损水印：半易损水印是指能承受合理失真，但会被不合理失真损坏的水印，它提供了一个完成选择认证的机理。半脆弱水印：用于版权保护的数字水印称为鲁棒水印。用于内容真实性鉴定的水印称为脆弱水印。同时具备鲁棒性和脆弱性的水印称为半脆弱水印。

报警事件：具有发现能力的安全设备（如网络扫描、入侵检测、日志审计等）出现的安全事件称为报警事件。报文鉴别码：MAC（MessageAuthenticationCode）,即报文鉴别码。报文鉴别码是用一个密钥生成的一个小的数据块追加在报文的后面。这种技术是假定通信双方（例如用户A和用户B）共享一个密钥K。当用户A向用户B发送报文M时，就根据此密钥和报文计算出报文鉴别码MAC=F（K,M）,这里F就是加密算法的某一函数。此报文的鉴别码一起传送到用户B。用户B用收到的报文（不包括报文鉴别码），使用同样的密钥K,再计算一次报文鉴别码，并与收到的报文鉴别码相比较。如一致，则鉴别此报文时真的。不可否认数字签名：不可否认数字签名是由一个签名者颁发一个数，这个数依赖于签名者的公钥和所签的消息。但这种签名有一个新颖的特征，没有签名者的合作，接受者无法验证签名，在某种程度上保护了签名者的利益。BM算法：BM算法是字符串匹配算法。1977年，RobertBoyer和L.Moore发表了BM算法，这种算法在逻辑上相对于之前的算法有了很大的超越，它对要搜索的字符串实施逆序字符比较，而且有一种找到了不匹配就不需要对整个字符串进行搜索的方法。脆弱性vulnerability:导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方面的弱点。串道cross-talk:能量从一信道到另一信道的无意的传输。CVE（通用漏洞披露）：CommonVulnerabilitiesandExposures,通用漏洞披露。系统上已知的漏洞被称为“通用漏洞披露”（CVEs），它是由MITRE组织汇编整理的漏洞信息。CONSOLE接口：一般的VPN（VirtualPrivateNetwork，虚拟专用网络）设备都带有一个控制端口“Console”，用来与计算机或终端设备进行连接，通过特定的软件来进行路由器的配置。该端口提供了一个EIA/TIA-232异步串行接口，用于在本地对路由器进行配置。CIDF（通用入侵检测框架）：CommonIntrusionDetectionFramework；通用入侵检测框架。CIDF是一套规范，它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信

协议。冲击波：一种蠕虫病毒,该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOMRPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。CA：CA(CertificationAuthority),是认证机构的国际通称。它为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书；它是电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构。CIO：ChiefInformationOfficer首席信息官或信息主管。CTO：ChiefTechnologyOfficer首席技术官，企业内负责技术的最高负责人。产品型蜜罐：目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。触发器：触发器(trigger)是个特殊的存储过程，它的执行不是由程序调用，也不是手工启动，而是由某个事件来触发，触发器经常用于加强数据的完整性约束和业务规则等。触发器可以从DBA_TRIGGERS,USER_TRIGGERS数据字典中查到。CIH病毒：别名Win95.CIH、Spacefiller、Win32.CIH、PE_CIH等，属文件型病毒。使用面向Windows的VxD技术编制，主要感染Windows95/98下的可执行文件，并且在DOS、Windows3.2及WindowsNT中无效。正是因为CIH病毒独特地使用了VxD技术，使得这种病毒在Windows环境下传播时，其实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。CDMA：CDMA是(CodeDivisionMultipleAccess)码分多址的英文缩写，它是在数字技术的分支一一扩频通信技术上发展起来的一种崭新而成熟的无线通信技术。CDMA技术的原理是基于扩频技术，即将需传送的具有一定信号带宽的信息数据，用一个带宽远大于信号带宽的高速伪随机码进行调制，使原数据信号的带宽被扩展，再经载波调制并发送出去。

接收端使用完全相同的伪随机码，与接收的带宽信号作相关处理，把宽带信号换成原信息数据的窄带信号即解扩，以实现信息通信。插件：插件是一种遵循一定规范的应用程序接口编写出来的程序。CVE：CVE(CommonVulnerabilitiesandExposures),即通用漏洞披露。关于漏洞的一个老问题就是在设计扫描程序或应对策略时，不同的厂商对漏洞的称谓也会完全不同。还有，一些产商会对一个漏洞定义多种特征并应用到他们的IDS系统中，这样就给人一种错觉，好像他们的产品更加有效。MITRE创建了CVE，将漏洞名称进行标准化，参与的厂商也就顺理成章按照这个标准开发IDS产品。重放攻击：把口令加密传输可以让攻击者无法知道真实的口令，但是有些攻击者把监听的消息录制下来，再重放出去，从而可以冒名顶替受害者，从认证者处获取服务，我们称这种形式的攻击为重放攻击。传输层安全(TLS)协议：TransportLayerSecurity(传输层安全)，传输层安全协议的目的是为了保护传输层的安全，并在传输层上提供实现保密、认证和完整性的方法。该协议由两层组成：TLS(TLSRecord)记录协议和TLS(TLSHandshake)握手协议。脆弱水印：用于内容真实性鉴定的水印称为脆弱水印。Daytime协议：DaytimeProtocol,日期查询协议，这种时间传输协议广泛的被运行MS-DOS和类似的操作系统的小型计算机使用，该协议不指定固定的传输格式，只要求按照ASCII标准发送数据。躲避(Shunning)：躲避是指配置边界设备以拒绝所有不受欢迎的信息包，有些躲避甚至会拒绝来自某些国家所有IP地址的信息包。多级设备multileveldevice:在无泄漏风险而允许同时处理两个或两个以上安全级别的数据时所使用的设备。为此，当处理数据时，敏感性标记要以同一形式(例如机器可读或人可读)存储在同一个物理媒体上。

多级安全multilevelsecure：一类包含不同等级敏感信息的系统，它既可供那些确有必要且具有不同安全许可和已知需要的用户同时访问，又能阻止用户去访问其无权过问的信多访问权终端multipleaccessrightsterminal：可由几个等级的用户（例如对数据具有不同访问权的用户）使用的终端。对抗countermeasure:任何减少系统的脆弱性或降低对系统威胁的行动、设备、规程、技术或其他措施。定则formalary：—种允许或拒绝访问的判断技术。它是在访问时动态地确定的，而不是在建立访问表时确定的。单级设备single-leveldevice:用于处理在任何时候只有单个安全级别的数据的设备。代价因子workfactor:具有专门知识和资源的潜在入侵者，为克服防护措施对预计所花费的精力或时间进行估价。DoS：DoS是DenialofService的简称，即拒绝服务。造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。DDoS：DistributedDenialofService，中文叫分布式拒绝服务攻击。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。是黑客控制一些数量的PC机或路由器，用这些PC机或路由器发动DoS攻击。因为黑客自己的PC机可能不足够产生出大量的讯息，使遭受攻击的网络服务器处理能力全部被占用。DNS：DomainNameServer，即域名解析服务器。它在互联网的作用是：把域名转换成为网络可以识别的IP地址。在Internet上域名与IP地址之间是——对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成。

对称密码算法：单钥密码算法，又称对称密码算法，是指加密密钥和解密密钥为同一密钥的密码算法。因此，信息的发送者和信息的接收者在进行信息的传输与处理时，必须共同持有该密码（称为对称密码）。在对称密钥密码算法中，加密运算与解密运算使用同样的密钥。通常，使用的加密算法比较简便高效，密钥简短，破译极其困难。钓鱼式攻击：钓鱼式攻击（Phishing，与钓鱼的英语fishing发音相近）又名钓鱼法或网络钓鱼，是企图通过电子邮件或即时通讯讯息，把用户诱骗至官方外观的假冒网站，冒充真正需要信息的值得信任的人，欺诈性地获取敏感的个人信息（比如口令和信用卡细节）的行为。它是社会工程攻击的一种形式。DMZ：DMZ是英文demilitarizedzone的缩写，中文名称为“隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。电子政务：用计算机、网络和通信等现代信息技术手段，实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政府运作模式，以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。DRM:英文全称为DigitalRightsManagement，可译为：内容数字版权加密保护技术。动态取证：动态证据主要是主机运行过程中，不断变化的内存数据和文件数据。动态取证是计算机取证工具箱突破操作系统的权限设置，对各种主流操作系统实现核心数据的抓取。电子货币：电子货币是以金融电子化网络为基础，以商用电子化机具和各类交易卡为媒介，以电子计算机技术和通信技术为手段，以电子数据（二进制数据）形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付功能的货币。电子支票：电子支票（ElectronicCheck）是纸质支票的电子替代物，它与纸支票一样是

用于支付的一种合法方式，它使用数字签名和自动验证技术来确定其合法性。电子邮件过滤器：电子邮件过滤器(EmailFilter)可以根据电子邮件中包含的信息自动地将收到的电子邮件进行归类并将其收入相应的文件夹或邮件箱的阅读软件，也可用于封锁或接收发自指定来源的电子邮件。单点登录：单点登录(SingleSignOn)，简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。端到端：端到端与点到点是针对网络中传输的两端设备间的关系而言的。端到端传输指的是在数据传输前，经过各种各样的交换设备，在两端设备间建立一条链路，就象它们是直接相连的一样，链路建立后，发送端就可以发送数据，直至数据发送完毕，接收端确认接收成功。端到端传输的优点是链路建立后，发送端知道接收设备一定能收到，而且经过中间交换设备时不需要进行存储转发，因此传输延迟小。端到端传输的缺点是直到接收端收到数据为止，发送端的设备一直要参与传输。如果整个传输的延迟很长，那么对发送端的设备造成很大的浪费。另一个缺点是如果接收设备关机或故障，那么端到端传输不可能实现。单一隐蔽通道：单一隐蔽通道指通道修改了协议包，利用了协议机制的弱点或者利用了协议的空闲字段来实现隐蔽数据传输的通道。ESP：ExecutiveandSchedulingProgram，中文译为执行与调度程序。ElGamal算法：ElGamal算法既能用于数据加密也能用于数字签名，其安全性依赖于计算有限域上离散对数。ECMQV协议：ECMQV协议是一种基于ECDH的认证和密钥交换方案，它具有高安全性和低计算开销等优点。恶意移动代码：恶意移动代码(MaliciousMobileCode)，是一段计算机程序，能够在计算机或网络之间传播，未经授权、故意修改计算机系统。

恶意软件：恶意软件"用作一个集合名词，来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。FTP文件传输协议(FileTransferProtocol)：FTP是TCP/IP协议组中的协议之一，该协议是Internet文件传送的基础，它由一系列规格说明文档组成，目标是提高文件的共享性,提供非直接使用远程计算机，使存储介质对用户透明和可靠高效地传送数据。简单的说，FTP就是完成两台计算机之间的拷贝，从远程计算机拷贝文件至自己的计算机上，称之为“下载(download)"文件。风险risk:由于外部威胁与系统脆弱性可能造成损失的潜在危险。风险分析riskanalysis:确定安全风险，决定风险等级，确立防护范围的过程。风险管理riskmanagement：确定、控制、消除或缩减影响系统资源的不定事件的总过程，它包括风险分析、费效分析、选择、实现与测试、安全防护评估及所有的安全检查。费用风险分析cost-riskanalysis:在信息系统中提供数据保护的费用与在没有数据保护的情况下损失与泄露数据的潜在风险费用作比较并进行评估。分片(Fragmentation)：如果一个信息包太大而无法装载，它就不得不被分成片断。分片的依据是网络的MTU(MaximumTransmissionUnits，最大传输单元)。分害Qcompartmentalization：为了避免其他用户或程序未授权访问并进行访问，把操作系统、用户程序和数据文件在主存储器中彼此隔开。为了减少数据的风险，把敏感数据分成若干小的隔离块。非法进入piggybackentry:通过另一个用户的合法连接而获得对信息系统的未授权访问。访问access:信息在主体和客体间交流的一种方式访问期accessperiod:访问权有效的一个时间段，一般以日或周表示。

访问表accesslist：用户、程序和/或进程以及每个将进行的访问等级的规格说明的列表。访问类型accesstype：程序或文件的访问权的种类，如读、写、执行、增加、修改、删除和建立。访问类别accesscategory:根据信息系统中被授权访问资源或资源组而规定的用户、程序、数据或进程等的等级。访问控制机制accesscontrolmochanisms：在信息系统中，为检测和防止未授权访问，以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各种组合。发射安全emanationsecurity:为了不让未授权人员从泄漏发射中截获和分析出有价值的信息，而设计的保护措施。FSO：FSO(FileSystemObject)是微软ASP的一个对文件操作的控件，该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作，是ASP编程中非常有用的一个控件。但是因为权限控制的问题，很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门，因为客户可以在自己的ASP网页里面直接就对该控件编程，从而控制该服务器甚至删除服务器上的文件。因此不少业界的虚拟主机提供商都干脆关掉了这个控件，让客户少了很多灵活性。反汇编：把目标代码转为汇编代码的过程。反病毒软件：也称杀毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。反病毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的反病毒软件还带有数据恢复等功能。需要说明的是反病毒软件没有检测到病毒，并不说明计算机中不存在病毒。分布式系统：分布式系统(distributedsystem)是建立在网络之上的软件系统。正是因为软件的特性，所以分布式系统具有高度的内聚性和透明性。分布式反射拒绝服务攻击：“分布式反射拒绝服务攻击”，英文为“DistributedReflection

DenialofServieAttack",缩写为DRDoS。与DoS和DDoS不同，该方式依靠的是发送带有被害者IP地址的数据包给攻击主机。由于是利用TCP/IP服务的“三握手”的第二步，因此攻击者无需给被攻击者安装木马，发动DRDoS也只要花费攻击者很少的资源。服务质量：英文为QualityofService，服务质量是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。非对称加密：1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统"。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。非结构化P2P系统：非结构化（Unstructured）P2P系统，在非结构化的系统中，每个节点存储自身的信息或信息的索引（如指针和IP地址）。当用户需要在P2P系统中获取信息时，他们预先并不知道这些信息（如某个文件）会在那个节点上存储。因此，在非结构化P2P系统中，信息搜索的算法难免带有一定的盲目性。FAT：FileAllocationTable即文件分配表。文件分配表用来记录文件所在位置的表格,它对于硬盘的使用是非常重要的，假若丢失文件分配表，那么硬盘上的数据就会因无法定位而不能使用了。跟踪（tracing）：—种调试形式，使用Trace类，它跟踪和提供运行的应用程序的执行细节。实现Trace属性的任何ASP.NET类都可以使用跟踪。管理功能（ManagementFunction）：管理功能又称为管理程序，系「管人的工作」，即管理人员使部属顺利完成组织之任务与目标，故所有的经理人应执行规划、组织、用人、领导、控制