詞彙表
主頁 > 
詞彙表
< 返回

詞彙表索引

詞彙表索引

N/A
接達控制系統 (Access Control System)
保證電腦資源只供獲授權人士使用。
位址仿冒 (Address Spoofing)
位址欺騙即假冒他人位址,例如互聯網規約位址仿冒。
行政性保安 (Administrative Security)
運用管理程序和機制以防止未獲授權接達系統。
廣告軟件 (Adware)
當廣告軟件運行時會顯示廣告標語。很多廣告軟件同時也是間諜軟件。
高級加密標準運算法 (Advanced Encryption Standard (AES) Algorithm)
高級加密算法(AES)是以Rijndael算法為基礎的對稱分區加密(加密算法),採用128、192或256位元的密碼匙在128位元的區塊運作。高級加密算法是一種對稱密鑰算法,使用相同的密碼匙進行加密和解密。它取代了數據加密標準(DES),目前於全球廣泛地使用。
抗電腦病毒軟件 (Anti-virus Software)
該等軟件乃設計來阻止和消滅電腦病毒,及/或把受到電腦病毒感染的數據復原。
應用通訊閘 (Application Gateway)
該等系統用以限制穿越防火牆範圍來接達服務或功能。
保證等級 (Assurance Level)
對憑證質素的信心所採用的相關措施。「保證等級」的幅度由第1等級(信心不大或無信心)至第4等級(信心程度非常高)。
非對稱加密法 (Asymmetric Cryptography)
使用兩條不同的密碼匙分別用以加密和解密的方法,當中外人不能根據用以加密的密碼匙計算出解密的密碼匙。
審計追蹤 (Audit Trail)
審計追蹤被定義為按系統活動的時間先後記錄,可以用作重組和檢查一組事件的發生次序,及/或一件事件的連串變化。
認證 (Authentication)
用以辨識及證明嘗試發出信息或接達數據的用戶╱一方身份的程序或方法。信息認證指用以證明特定資訊的完整性的程序。
認證權標 (Authentication Token)
採用質疑╱應答、時間順序或其它技巧以認證用戶的可攜式設備。
授權 (Authorisation)
把接達數據或使用特定資訊資源的權利批給某人的程序。
自動編碼器 (Autoencoders)
自動編碼器是一個深度學習人工智能程式,用以研究一個人的臉部特徵和身體姿勢。程式可以基於共同特徵製造深度偽造,將經分析的人映射到目標視像的臉孔上。
可用性 (Availability)
獲授權一方可合理地接達及使用資訊或程序的狀態,包括及時和重要的運作。
後門 (Backdoor)
後門是系統遭破解後被安裝的工具,使攻擊者更容易在圍繞著的任何保安機制在中,接達被破解的系統。
生物特徵識別技術 (Biometric Identification)
使用可量度的生理特徵,例如:指紋或面部特徵,以認證用戶的身分。
殭屍網絡 (Botnet)
殭屍網絡是由大量遙距控制的殭屍電腦所組成的網絡,被利用作發出垃圾郵件或病毒,以發動分布式拒絕服務攻擊。
暴力攻擊 (Brute Force Attack)
暴力攻擊是嘗試所有可能性以破解加密或認證系統的技術。
緩衝區滿溢攻擊 (Buffer-overflow Attack)
利用程式在指定長度的緩衝界限以外讀取資料所構成的攻擊,目的是以特別編寫的資料蓋寫電腦記憶體,並且不正當地以特別權限執行指令。
驗證碼 (Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA))
一種用於電腦計算領域中的挑戰與回應式的測試,以確保該回應是由人所產生的。它產生人類可以通過而電腦程序不能通過的測試,以保護網站來自惡意電腦的襲擊。
集中化身份管理 (Centralised Identity Management)
集中化身份管理是身份管理模式的一種,在此模式中,每一個服務提供者可使用相同身份認證工具和憑證。
核證機關 (Certification Authority (CA))
核證機關是向個人或機構發放和撒銷數碼證書,以便他們在進行電子交易時核實身分。
證書管理 (Certificate Management)
包括貯存、分發、公布、撤銷及暫時吊銷證書的管理機制。
憑證綁定機制 (Certificate Pinning)
「憑證綁定機制」限制哪些數碼證書是有效的,以減低核證機關受控制或受到中間人攻擊的風險。客戶端連一旦接到啟用憑證綁定機制的服務器,便會把其他證書視為無效並拒絕建立 HTTPS 連線。
證書伺服器 (Certificate Server)
執行公開密碼匙核證程序的伺服器。
質疑╱應答 (Challenge / Response)
系統╱伺服器採用的用以認證用戶身份的認證技巧。伺服器通常會發出不可預測的質疑(一組數字或字母)給用戶,而客戶╱用戶會使用某種特別形式的認證權標計算應答。
校驗和 (Checksum)
校驗和是因應數據物件中的內容以函數計算的一個值,與數據物件一起儲存或傳輸,以檢查數據是否曾遭更改。
加密文本 (Ciphertext)
使用加密算法把原文轉為混亂和不能明解的信息或數據。
代碼插入攻擊 (Code Injection Attack)
在電腦程式或系統中插入代碼所構成的攻擊,通常利用薄弱或容易受攻擊的輸入確認程式來達成入侵目的。
破解 (Compromise)
一種違反保安政策的情況,可能導致敏感資訊遭未獲授權的披露或遺失。
機密性 (Confidentiality)
確保數據受到保護及只向獲授權一方披露的情況。
資訊系統稽核與控制標準 (Control Objectives for Information and related Technology (COBIT))
資訊系統稽核與控制標準(COBIT)是一個資訊科技治理框架和配套工具,使管理人員能夠彌合控制的要求、技術問題和業務風險之間的差距。
電腦破壞者 (Cracker)
個別人士嘗試在未獲授權情況下進入他人電腦並作出破壞。
憑證 (Credential)
一組用以證明用戶身分的聲稱,當中載有用戶身分的標識符及用戶身分的證明,例如密碼。此外,亦可能包括資料(例如簽名),以顯示發行人證明憑證的聲稱。
跨網址程式編程 (Cross Site Scripting)
跨網址程式編程攻擊(XSS)是網上應用系統保安漏洞的一種,它允許在受害者的瀏覽器執行手稿程式(Script),導致劫持用戶對話、竄改網站並可能植入蠕蟲等等。
密碼學 (Cryptography)
密碼學是指把信息保密的技術。它處理有關穩妥信息傳送、認證、數碼簽署及電子貨幣等所有範疇的工作。
解密 (Decryption)
把文本加密的相反程序,即把經加密的信息或加密文本從受保護和混亂的形式轉回原文形式,以便閱讀。
縱深防禦 (Defence-in-Depth)
縱深防禦是利用多層次的資訊保安措施,以在單一保安組件發生故障時作出保護。
消磁 (Degauss)
通過施加反向磁場把磁通密度減少到零,來將一個磁存儲介質(如磁帶或磁盤)的數據永久刪除。
拒絕服務 (Denial of Service (DoS))
攻擊者嘗試阻止用家使用網上資訊或服務。這類攻擊的例子計有大量的SYN,「致命小包」,小包氾濫及Ping氾濫等。
偵測性措施 (Detective Control)
偵測性措施是用來識別已發生的不利事件。
字典攻擊 (Dictionary Attack)
字典攻擊是使用字典中可找到的字,用以破解加密或認證系統的一種技術。
數碼證書 (Digital Certificate)
數碼證書是在進行網上交易時能識別你的身分的電子紀錄。證書通常包含的資訊包括用戶的公開密碼匙、姓名及電子郵件地址。
數碼簽署 (Digital Signature)
在公開密碼匙基礎建設的技術下,數碼簽署是以一數學公式透過電子信息內容和簽署一方的私人密碼匙來計算出。接收電子信息的一方可利用簽署一方的公開密碼匙來確認信息內容的完整性、真確性及不可否定性。根據《電子交易條例》(第553章),電子或數碼簽署與紙張文件上的簽署具有相同的法律地位。
自主接達控制 (Discretionary Access Control (DAC))
自主接達控制是一授權機制,用戶可以控制的自己本身的物件,以及可以就個別用戶分別設下授予及撒銷使用這些物件的權利。
虛假訊息 (Disinformation)
虛假訊息是指為獲取金錢或故意欺騙公眾而製造、呈現和傳播的虛假或誤導性訊息,並可能會對公眾造成傷害。
分布式拒絕服務攻擊 (Distributed Denial of Service (DDoS) Attack)
利用多台電腦向同一目標系統同時發動拒絕服務攻擊。
域名系統 (Domain Name System (DNS))
域名系統將網域名稱轉換為對應的互聯網規約地址。
域名系統仿冒 (Domain Name System (DNS) Spoofing)
破解域名系統伺服器,將網域名稱轉換為錯誤的互聯網規約地址,或者是其他電腦,甚至是攻擊者電腦的互聯網規約地址。
域名系統安全擴展 (Domain Name System Security Extensions (DNSSEC))
域名系統安全擴展的目的是要保護互聯網的攻擊,如網域名稱系統緩存中毒。這網域名稱系統的擴展提供了:a)認證網域名稱系統數據的源頭,b)數據的完整性,及c)認證否定存在。
偷渡式攻擊 (Drive-by attack)
偷渡式攻擊是由攻擊者在網頁中編制一個或數個已嵌入惡性手稿程式的網址,藉此引誘目標用戶點擊此網址,讓隱藏在內的手稿程式在用戶的瀏覽器開始運作,造成更惡性的攻擊如下載特洛依木馬程式或把cookie資訊傳送給攻擊者。
竊聽 (Eavesdropping)
從聆聽私人對話中,獲得可接達設備或網絡的資訊。
加密 (Encryption)
把信息內容編碼以防止外人讀取程序,即把易於讀取和了解的數據格式(原文)加以更改及轉變,使其轉為不可讀取的格式(加密文本),令人看起來是一組無用及難以了解的文本。
漏洞開發編碼 (Exploit Code)
一個允許攻擊者自動闖入系統的程序。
誤報 (False Positive)
錯誤地指示惡意活動發生的警報。
聯邦 (Federation)
由聯邦內的成員互相認證彼此各自的使用者,以保證他們可接達到其他成員所提供的服務。
防火牆 (Firewall)
防火牆是一個或一組系統,協助防止外人在未獲授權情況下接達內部的資訊資源。防火牆執行接達控制政策,即負責准許或拒絕兩個網絡之間接達的工作。防火牆只提供單一點以進行接達管制和審計。
生成對抗網絡 (Generative Adversarial Networks (GANs))
生成對抗網絡作為一種流行的深度偽造方法,可以提高自動化程度和質量。由競爭生成器AI代理生成深度偽造,生成器 AI 代理從原始來源製造假圖像、視像或音頻,而鑑別器AI代理從神經網絡數據集中偵測虛假圖像、視像或音頻。
黑客 (Hacker)
從電腦保安層面看,黑客是對電腦系統有很大興趣去了解和探討,並擁有對系統保安機制的專門知識。時至今日,大眾傳媒形容以電腦知識去得到未獲授權的接達並破壞電腦和數據的人,都稱之為黑客。
硬體權標 (Hard Token)
指載有受保護密碼匙的硬件設備,該設備不能匯出密碼匙。
強化 (Hardening)
強化是加強系統保安的過程,這些系統包括操作系統或伺服器如網頁伺服器。強化系統的過程包括停止不用的系統組件和服務、加強系統設定等。
雜湊函數 (Hash Function)
配對或轉化一組位元為另一組等同長度位元(通常是較小的)的算法,並需符合以下特性:
1)單向性:從該算法產生的雜湊結果中是不能將原文推算或還原出來。
2)計算上的抗碰撞性:在計算上兩項不同資料產生相同的雜湊結果是不可行的。
試探 (Heuristic)
用於評估檔案含有電腦病毒或其他惡意軟件的可能性的一項技術。
惡作劇電子郵件 (Hoax)
惡作劇電子郵件通常包含一個電子郵件信息,警告收件者提防一種新型、破壞力驚人的電腦病毒。郵件末段會建議讀者應警告他/她的朋友及同事,例如簡單地把原來信息轉寄給通訊錄中的所有人等。結果,該等無意義的電子郵件迅速擴散,其增長程度足以令系統負荷過重。
誘捕系統 (Honeypot)
誘捕系統是佈置在網絡上引誘攻擊者的誘餌,令攻擊者誤以為它是真實的系統,他們攻擊系統時並不知道正被秘密監察。
誘捕網絡 (Honeynet)
誘捕網絡是誘捕系統組成的網絡,模擬及複製真實或虛構的網絡。誘捕網絡在攻擊者看來,就像在幾個不同的平台運行各種應用程式。
身分辨識提供方 (Identity Provider)
向個別人士發出身分憑證的組織,當使用者嘗試接達受保護資源而出示憑證時,該組織可作出核實。身分辨識提供方可能是政府機構、學術機構,或是商務機構,例如銀行。
事故應變計劃 (Incident Response Plan)
預定指令或程序以檢測及回應事件,如針對機構資訊系統的惡意網絡攻擊,並限制其負面影響。
資訊擁有人 (Information Owner)
指定資訊在法規上或操作上擁有職權的人員。他有建立控制指定資訊的產生、收集、處理、傳播和處置的責任。
資訊保安管理系統 (Information Security Management Systems (ISMS))
資訊保安管理系統是一組關注資訊保安管理或資訊科技相關風險的政策。其背後的治理原則是機構應設計、實施和維護一套連貫的政策、流程和系統來管理其訊息資產的風險,從而保證了資訊保安風險的可接受的水平。
抗毒辨識 (Inoculate)
指就透過檔案內容所產生的數據,以便在日後可核實檔案內容的完整性。
插入弱點 (Injection Flaws)
插入弱點是網上應用系統的潛在威脅,讓攻擊者可執行非預期的指令或改變系統數據,以欺騙應用系統。
完整性 (Integrity)
是指數據沒有意外地或故意地遭到更改,以及完整正確。
網絡入侵偵測系統 (Intrusion Detection System (IDS))
對透過使用在網絡上運作的軟件系統進行的入侵或攻擊嘗試作出的偵測的方法或程序。入侵偵測系統通常與網絡一起進行監察,並且具有即時收集及分析的功能,以找出網絡遭受攻擊的情況。
網絡入侵防禦系統 (Intrusion Prevention System (IPS))
網絡入侵防禦系統(IPS)幫助偵測網絡上的攻擊情況,並主動回應阻止攻擊的源頭並減低攻擊所帶來的影響。
互聯網規約保安 (IP Security (IPsec))
互聯網規約保安為互聯網規約層的網絡通訊流量,提供了可互相操作,高品質和以加密為基礎的保安服務,例如保障每個互聯網規約數據包的真實性、完整性、保密性和接達控制。
密碼匙的管理 (Key Management)
貯存、管理或分發密碼匙給獲授權各方的程序。
鍵盤側錄程式 (Keylogger)
鍵盤側錄程式是一個裝置或程式,用作擷取輸入裝置的活動。懷有惡意的人會利用鍵盤側錄程式去擷取輸入到電腦系統的個人資料。
最小權限原則 (Least Privilege Principle)
最小權限原則是一種內部控制概念,將用戶可接達的資訊系統資源(例如數據檔案、資料處理能力或外圍設備)或接達的種類(例如讀、寫、執行、刪除),限制在履行其職責所需的最低限度。
邏輯炸彈 (Logic Bomb)
邏輯炸彈是一些駐留在電腦系中並在特定情況下執行的編碼。這些特定情況它可以是更改檔案、特別的程式輸入序列、或在特定的時間或日期。邏輯炸彈這個名稱正是因其發作時的惡意行為而來。
電郵炸彈 (Mail Bombs)
電郵炸彈是指向某一特定人士或系統發出大量電子郵件。數量龐大的電子郵件或會輕易地耗盡收件人伺服器上的磁碟空間,或在某些情況下,會使伺服器負荷過重而可能引致伺服器停止運作。
惡意程式碼 (Malicious Code)
惡意程式碼指電腦病毒、蠕蟲、間碟軟件、特洛依木馬及其它不良軟件。此等軟件會透過刪除檔案、發送電子郵件或使主機系統無法運作來攻擊及造成破壞。
惡意軟件 (Malware)
惡意軟件是不同類型的惡意程式碼的一個統稱。惡意軟件可用於破壞正常的電腦功能,竊取數據,獲得未經授權的訪問,或形成殭屍網絡以發起有組織的攻擊。
中間人攻擊 (Man in the Middle (MITM) Attack)
攻擊者在雙方(發送者和接收者)之間,截取並修改雙方的通訊信息,然後發送修改過的信息到雙方,稱之為中間人攻擊。
冒充 (Masquerading)
系統不正當地以假的身分裝作另一系統。
媒體資料消除 (Media Sanitisation)
這是一個令數據被刪除後不能回復,或將媒體永久性地破壞的過程。
信息摘要 (Message Digest)
根據原本信息經加密運算後得出的摘要。它會隨著原本信息的變更而作相應改變。
錯誤訊息 (Misinformation)
錯誤訊息是指虛假或誤導性訊息,無論本意是否旨在誤導或欺騙他人。
多重認證 (Multi-factor Authentication)
多重認證是指使用兩個或多個因素來實現認證。這些因素包括:(一)你所知道的資料(例如密碼/個人識別號碼),(二)你所擁有的憑證(例如加密識別裝置,權標),或(三)你本身的特徵或行爲(例如生物特徵識別)。
需要知道原則 (Need-To-Know Principle)
需要知道原則是接達、知識或擁有執行公務所需的特定信息的需要性。保安程序的需要知道原則,在於要求敏感訊息託管人將透露訊息給別人之前,確保有適當的授權才能讓訊息接收者接達訊息。
網絡掃描軟件 (Network-based Scanner)
網絡掃描軟件通常安裝在一部電腦上,掃描網絡上其它主機。它可以偵測重大的保安漏洞,例如配置不當的防火牆、有保安漏洞的互聯網伺服器、供應商提供的軟件所附帶的風險,以及網絡及系統管理附帶的風險等。
網絡嗅探 (Network Sniffing)
在網絡上進行數據包的捕獲和檢查。
不可否認性 (Non-repudiation)
提供原本的證據,使發件人不能否認曾發出信息,而收件人也不能否認曾收取信息。
一次性密碼 (One-time Password)
為認證而產生並只使用一次的密碼,在下一次認證時,不會再使用同一個密碼。
小包過濾法 (Packet Filtering)
一種根據數據小包的數據來源、目的地、服務或規約的過濾方法,從而准許或拒絕網絡數據的交換。
密碼 (Password)
一組私人及獨有的數字或字母,用以協助用戶接達系統或服務。密碼組指較長的密碼。
修補程式 (Patch)
修補程式是用於軟件升級,或修補現存軟件的程式錯誤或保安漏洞。
支付卡行業數據安全標準 (Payment Card Industry (PCI) Data Security Standard (DSS))
支付卡行業數據安全標準,是由支付卡行業標準會議所發展出來以加強付款帳戶資料的保安標準。該標準含12項核心要求,包括保安管理、政策、程序、網絡設計、軟件設計和其它重要措施。
滲透測試 (Penetration Testing)
從外圍開始測試外部周邊網絡或設備的安全。
個人識別號碼 (Personal Identification Number (PIN))
字母數字代碼或密碼,用以驗證身分並藉此獲得接達系統資源。
域欺騙 (Pharming)
這攻擊通過騎劫或破壞域名系統伺服器,把用戶引領到仿冒網站,例如欺詐網站或代理伺服器。
仿冒詐騙 (Phishing)
仿冒詐騙是一種社交工程的攻擊,犯罪者利用電子郵件或欺詐網站,引誘毫無戒心的網絡用戶透露私人資料,例如網上銀行之登入名稱和密碼。
原文 (Plaintext)
可供任何人讀取或了解的信息文本或數據。
多構式病毒 (Polymorphic Virus)
多構式病毒指一種可改變本身指示代碼段的病毒,使它的「外表」在每一個受感染的檔案都有所不同,增加了偵測的困難程度。
連接埠掃描 (Port Scanning)
試圖入侵電腦的人發出一連串的信息,通過每個相對應的知名連接埠號碼,以獲取相關電腦網絡服務的資訊。連接埠掃描是電腦入侵者喜歡用的方法,來發現系統的弱點以便作出攻擊。從本質上講,一個連接埠掃描,包括了每次發送一個信息到各個連接埠。從收到的回應中得知該連接埠是否正被使用,從而進一步可以探測系統的弱點。
私人密碼匙 (Private Key)
用以貯存數學密碼匙的數據檔案,該數學密碼匙是支配及告知予某個別人士的,用以產生數碼簽署及在收取電子郵件時,把由發件人以該收件人本身的公開密碼匙加密的信息解密。
特權帳戶 (Privileged Account)
該帳戶的用戶擁有接達系統的控制、監視或管理等功能。
代理伺服器 (Proxy Server)
工作站用戶和互聯網之間,作為中介作用的伺服器,並提供了安全保障,管理控制和緩存等服務。
公開密碼匙 (Public Key)
每個用戶使用一對密碼匙以進行不對稱加密法,可公開的部份稱為公開密碼匙。
公開密碼匙基礎建設 (Public Key Infrastructure (PKI))
公開密碼匙基礎建設讓用戶可在基本上不安全的公共網絡(如互聯網)上,使用透過受信任機關獲得和共享的公共和私人密鑰對,來安全地交易數據和金錢。公開密碼匙基礎建設提供的數碼證書,可以識別一個人或一個組織,以及提供存儲證書,並在有需要時撤銷證書的目錄服務。它通常包括透過使用核證機關,以管理公共密碼匙的服務和協議。
信賴方 (Relying Party)
任何人士(或應用程式)信賴他人的憑證所代表的身分。
否認性 (Repudiation)
即曾經參與通訊或交易活動的一方作出否認。
虛假設備 (Rogue Device)
指網絡上未經授權的設備。
基於角色接達控制 (Role-based Access Control (RBAC))
基於角色接達控制是一種授權機制,接達決定權建立於個別用戶在組織中的角色。
Rootkit (Rootkit)
Rootkit是一種程式/工具,用作奪取系統的根目錄/管理員身份接達權。Rootkit亦指沒有通過正常授權及/或認證過程的惡意入侵。
詐騙電郵 (Scam Email)
未經收件人同意的電子郵件,除了對收件人造成滋擾外,也可能含有行騙及欺詐的成份。如果跟從郵件裡的指令,可能會使電腦感染病毒,身份被盜,甚至是損失金錢。
保密插口層 (Secure Sockets Layer (SSL))
保密插口層是設計用以協助把透過互聯網通訊的信息加密和認證的規約。保密插口層位於應用層和傳輸層之間,以保護應用層的規約,例如:超文本傳輸規約,而發展應用系統的人及用戶則不受其限制。保密插口層提供保護私隱,作出認證和保持信息完整性等功能。
安全斷言 (Security Assertion)
「安全斷言」指有關使用者身分的宣稱,該宣稱建基於接收的一方與發行者已建立的信任。
保安事故 (Security Incident)
指可能對資訊系統或資訊資源的可用性完整性及機密性構成威脅的任何事件。
保安政策 (Security Policy)
用作引導及決定系統保安方面最高層次的指令文件。
保安風險評估 (Security Risk Assessment)
保安風險評估定義為用於資訊科技的保安風險測試程序,是上一次評估後作出轉變的基準,釐定還需要多少轉變才能夠達到保安要求。
職務分工 (Segregation of Duties)
職務分工是一種內部控制的概念,指將一項重要工作的各個步驟分別交由不同人員處理,以杜絕重要程序被一人破壞的可能性。
伺服器認證 (Server Authentication)
協助客戶辨識與其通訊的一方並非懷著惡意的第三方。
服務設定識別碼 (Service Set Identifier (SSID))
服務設定識別碼(SSID)是可設定的識別碼,無線客戶端可憑識別碼跟適當的無線接駁點通訊。只要配置正確,客戶端擁有正確的服務設定識別碼便可與無線接駁點通訊。
對話劫持 (Session Hijack)
入侵者搶奪並接管合法使用者之間的現有對話通訊階段。
對話密碼匙 (Session Key)
對話密碼匙是對稱密碼匙,用以把信息加密,使數據在傳輸時受到保護。對話密碼匙是在開始進行通訊加密時產生的。
肩窺 (Shoulder Attack)
攻擊者在用戶輸入密碼時,在其肩膊後方直接觀看所鍵入字符,或非直接地從閉路電視監察,繼而竊取密碼。這種攻擊方法稱為肩窺。
單一登入 (Single Sign-On (SSO))
單一登入是接達控制的一種,它要求用戶登入一次,然後其它服務提供者會自動認證該用戶身分。
智能卡 (Smart Card)
貯存了經加密的密碼或私人密碼匙的唯讀晶片,入侵者難以探取或竊取卡上的資料。
社交工程/社會工程 (Social Engineering)
以社交手法例如說謊、假扮或言語用字等方式欺騙用戶,藉此套取系統秘密,譬如用戶名單、用戶密碼和網絡結構。
軟體權標 (Soft Token)
安裝於使用者的電腦、個人數碼助理或智能手機內配備密碼匙的軟件。密碼匙通常經過加密,並儲存於資料儲存媒體,認證時使用者須要輸入密碼或進行生物測定以激活權標。
濫發訊息 (Spam)
濫發電子訊息是指在不管收件人同意與否或在收件人已要求發件者停止送訊息的情況下,通過電子郵件、傳真或電話短訊等形式而發出的大量訊息。
濫發電郵者 (Spammer)
濫發電郵者是發出濫發訊息的人。
間諜軟件 (Spyware)
間諜軟件在未經用戶允許的情況下,便把用戶網上活動的資料秘密地轉送至別人的軟件。
保密插口層虛擬私有網絡 (SSL VPN)
保密插口層虛擬私有網絡讓用戶使用互聯網瀏覽器,便可以連接虛擬私有網絡裝置,互聯網瀏覽器與保密插口層虛擬私有網絡裝置之間會使用保密插口層規約或傳輸層保安(TLS)規約來加密通訊。
對稱加密法 (Symmetric Cryptography)
使用相同的密碼匙以加密和解密的加密法。
第三者郵件驛遞 (Third-party Mail Relay)
一個電郵伺服器允許不屬於該電郵系統用戶的第三方通過此伺服器發送電子郵件。
威脅 (Threat)
可能對機構及其資產有害的潛在保安因素。
時間標示 (Timestamp)
顯示行動的日期和時間,及發出或收取該時間標籤的人的身分或裝置的時間標記或標示。
權標 (Token)
權標分為兩種,硬體權標及軟體權標。硬體權標是指載有受保護密碼匙的硬件設備,該設備不能匯出密碼匙。軟體權標是安裝於使用者的電腦、個人數碼助理或智能手機內配備密碼匙的軟件。密碼匙通常經過加密,並儲存於資料儲存媒體,認證時使用者須要輸入密碼或進行生物測定以激活權標。
特洛依木馬 (Trojan Horse)
假裝提供正常功能,實際上帶有惡意破壞功能的軟件。
電腦病毒 (Virus)
電腦病毒指一組執行代碼,可透過附於其它檔案或取代其它程式而自行複製。
病毒識別碼 (Virus Signature)
大部分病毒(除多構式病毒外)中的特定二進制碼字串,防毒軟件可藉此偵測出病毒。新的病毒有新的病毒碼,因此必須定期更新防毒軟件的病毒碼。
語音網絡仿冒詐騙 (Vishing)
語音網絡仿冒詐騙是利用VoIP技述的仿冒詐騙攻擊。攻擊者可藉此竊取受害人的身份或金錢。
保安漏洞 (Vulnerability)
系統的缺點或弱點,讓入侵者有機可乘加以破壞,違反保安政策。
保安漏洞掃描軟件 (Vulnerability Scanner)
保安漏洞掃描軟件是用於評估網絡或主機系統的保安漏洞,並得出一套掃描結果。
駕駛攻擊/沿街掃描 (War Driving)
駕駛攻擊/沿街掃描是指在行駛的車輛中使用便攜式設備尋找Wi-Fi無線網絡。
網上應用系統防火牆 (Web Application Firewall)
根據網絡應用安全聯盟(Web Application Security Consortium,WASC),網上應用系統防火牆是一種介於網絡客戶端和網絡伺服器之間的裝置,作為分析在應用系統層違反保安政策之訊息。
網頁竄改 (Web Defacement)
指網站內容(通常是主頁)變成了由入侵者或電腦病毒發放的一些信息。
無線保護接達 (Wi-Fi Protected Access (WPA))
無線保護接達(WPA)是針對WEP的缺陷而設計的無線保安規約。WPA能為用戶提供較高的保證,例如用戶的數據可透過暫時密碼匙完整性規約(TKIP)進行數據加密後得到保護,並且引進了802.1x認證技術為用戶提供更佳的認證過程。WPA已被WPA2取代。
無線保護接達2 (Wi-Fi Protected Access 2 (WPA2))
無線保護接達2(WPA2)是依據IEEE802.11i標準的無線保安規約,只有獲授權的用戶才可接達無線裝置,並支援更強的加密法(高級加密標準AES)、更強的認證控制(可擴展認證規約EAP)、密碼匙管理、中繼攻擊保護和數據完整性的功能。
無線保護接達3 (Wi-Fi Protected Access 3 (WPA3))
無線保護接達3(WPA3)(WPA3)是最新的無線保安標準,在WPA2的基礎上加入新功能,增強無線網絡的安全性,提高認證的可靠程度和加密的強度,以及保持關鍵網絡的復原能力。
有線等效保密規約 (Wired Equivalent Privacy (WEP))
有線等效保密規約是IEEE802.11標准的基本保安功能,可在無線網絡中替傳輸資料進行加密,提供保密性。由於有線等效保密規約密碼匙的排程弱點已被發現,有線等效保密規約的密碼匙已可被自動破解工具於數分鍾內破解。
蠕蟲 (Worm)
蠕蟲是一種經由網絡擴散的程式。它跟病毒有所不同,因為它不會附在一個主程式內。
零日攻擊 (Zero-day Attack)
在軟件供應商發放相對應的修補程式前,可利用這些新發現的保安漏洞而進行的攻擊。
殭屍電腦 (Zombie Computer)
指連接互聯網而已經受入侵者、電腦病毒或木馬程式影響的電腦。該等電腦通常被用作惡意用途,例如在接收遠程指令後作出拒絕服務攻擊。一般而言,擁有者並不知道該等用途。