CSA 数据安全词汇表
AI智能总结
©2024云安全联盟大中华区版权所有1 数据安全工作组的官方网址是: https://cloudsecurityalliance.org/research/working-groups/data-security/ @2024云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 ©2024云安全联盟大中华区版权所有2 ©2024云安全联盟大中华区版权所有3 致谢 《CSA数据安全词汇表(CSADataSecurityGlossary)》由CSA工作组专家编写,CSA大中华区秘书处组织数据安全工作组专家进行翻译并在此基础上汇总添加了部分词汇。 中文版翻译专家组 (排名不分先后): 组长:王安宇翻译组: 杨天识王曦光审校组: 李春林鲁立 张林成 王彪 王安宇姚凯 研究协调员: 郭鹏程 王彪 卜宋博 卜宋博 感谢以下单位的支持与贡献: OPPO广东移动通信有限公司北京天融信网络安全技术有限公司新华三技术有限公司 启明星辰信息技术集团股份有限公司广州赛宝认证中心服务有限公司 英文版本编写专家 主要作者: AlexKaluzaOliverForbesRoccoAlfonzettiOnyekaIlloh 贡献者: MichaelRozaPanMaszynaPaolaGarciaCardenasParthJamodkarSanjeewaFernando CSA全球专家: ClaireLehnertStephenLumpe 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号: 目标 识别、定义和引用相关的数据安全术语,以帮助网络安全专业人员和从业人员更好地理解数据安全。基于《CSA云安全词汇表》和其他来源,这份相关数据安全术语的汇编将作为数据安全工作组出版物的基础参考。 过程 识别并按字母顺序列出与数据安全相关的术语 添加来自CSA词汇表、NIST词汇表和其他公共来源的与数据安全相关和适用的术语 纳入并审核来自数据安全工作组成员建议的词汇定义 纳入并审核来自行业专家评审建议的词汇定义 最终确定定义和参考资料 云安全词汇表:https://cloudsecurityalliance.org/cloud-security-glossary/ 数据安全术语表 术语 定义 访问控制列表 (AccessControlLists,ACLs) 定义授予主体在系统中对对象的访问或更改权限来源:企业架构参考指南v2:CSA:技术解决方案服务(TSS)领域-信息服务 对抗模拟(AdversarialSimulation) 安全专家模拟专业黑客的网络威胁行为,对组织的信息技术或运营技术环境发动攻击的实践。利用真实攻击者的渗透入侵技术和组织内部安全堆栈的闭环反馈,对抗模拟练习有助于测试和提高对勒索软件和持久性威胁等攻击的网络防护能力。来源:AON:对抗模拟 匿名化数据 (AnonymizedData) 已经删除原始识别特征的个人身份信息(PII)数据来源:https://www.secoda.co/glossary/anonymized-data 应用程序监控 (ApplicationMonitoring) 对应用程序相关事件收集的能力,包括登录、对敏感数据的访问、事务和管理活动。来源:企业架构参考指南v2:CSA:业务运营支持服务(BOSS)域 人工智能(ArtificialIntelligence) 一种基于机器的系统,能够针对一组人类已定义的目标,做出影响现实或虚拟环境的预测、建议或决策。人工智能系统利用机器和人类的输入(数据)进行: (A)感知真实和虚拟环境;(B)通过自动化地分析将这些感知抽象成模型; (C)利用模型推理来制定信息或行为的决择。来源:https://www.cisa.gov/sites/default/files/2023-11/2023-2024_CISA-Roadmap-for-AI_508c.pdfources/roadmap-ai 验证(Authentication) 验证用户、进程或设备的身份,通常作为允许访问系统资源的前提条件。来源:https://csrc.nist.gov/glossary/term/authentication 授权(Authorization) 判定允许或拒绝主体访问系统对象(网络、数据、应用程序、服务等)来源:https://csrc.nist.gov/glossary/term/authorization 自动化事件响应(AutomatedIncidentResponse) 利用人工智能驱动的流程用作自动化识别、遏制和缓解网络安全事件。授权-决择是否允许或拒绝主体访问系统对象(网络、数据、应用程序、服务等)。来源:https://csrc.nist.gov/glossary/term/authorization组织收集的各类结构化、半结构化和非结构化数据的集合,可用于信息挖掘,并应用于机器学习项目、预测建模和其他高级分析应用。 大数据(BigData) 来源:https://www.techtarget.com/searchdatamanagement/definition/big-data 业务连续性和灾难 恢复 在发生任何服务中断的情况下,实施旨在确保业务连续性和恢复能力的措施。 (BusinessContinuity andDisasterRecovery 来源:2011年服务定义分类目录:CSA) (BCDR)) 云访问安全代理(CloudAccessSecurityBroker,CASB) 云访问安全代理(CASB)是部署在企业内部或云平台上的安全策略实施点,放置在云服务消费者和云服务提供商之间,通过整合和嵌入企业安全策略对云资源进行访问控制。CASB能够整合多种类型的安全策略实施机制。来源:https://www.gartner.com/en/information-technology/glossary/cloud-access-security-brokers-casbs 网络安全保险 (CyberInsurance) 网络安全保险是指企业可以购买的保险合同,用于降低在线业务所面临的风险。网络安全保险涵盖了组织在网络安全事件导致的大多数数据泄露方面的责任。来源:TrendMicro:WhatIsCyberInsurance? 数据(Data) 以数字形态表示的任意事物来源:企业架构参考指南v2:CSA:技术解决方案服务(TSS)领域-基础设施服务使用数据、技术和工具识别模式和趋势,并生成基于信息的决策行动。数据分析的主要目标是解决与组织相关的特定问题或挑战,以推动更好 数据分析 的业务成果。 (DataAnalytics) 来源:https://www.comptia.org/content/guides/what-is-data-analytics数据架构描述了数据从收集到转换、分发和使用的管理方式。它为数据 数据架构 及其在数据存储系统中的流动方式提供了蓝图。数据架构是数据处理操作和人工智能(AI)应用的基础。 (DataArchitecture) 来源:https://www.ibm.com/topics/data-architecture 数据、资产、应用和服务 (Data,Assets, Applications, Services,DAAS) 数据–指那些如果被外泄或误用将带来最大风险的敏感数据。示例包括支付卡信息、受保护的健康信息、个人身份信息和知识产权。在政府环境中,还包括机密信息、国家安全信息和受控未分类信息。 应用–使用敏感数据或控制关键资产的应用程序。 资产–包括组织的信息技术(IT)、运营技术(OT)或物联网设备等资产。服务–组织最依赖的服务。示例包括域名系统(DNS)、动态主机配置协议(DHCP)、目录服务、网络时间协议(NTP)和定制的应用程序编程接口(API)。 来源:https://www.cisa.gov/sites/default/files/publications/NSTAC%20Report%20to%20the%20President%20on%20Zero%20Trust%20and%20Trusted%20Identity%20Management%20%2810-17-22%29.pdf 静态数据(DataatRest) 在信息技术中,静态数据指的是以数字形式存储的计算机数据,如云存储、文件托管服务、数据库或数据仓库中的数据。静态数据既包括结构化数据,也包括非结构化数据。来源:https://www.imperva.com/learn/data-security/data-at-rest/ 数据泄露(DataBreach) 数据泄露发生在未经授权的个人获取敏感或机密信息时,例如个人信息或财务数据。数据泄露可能由多种原因引起,如网络攻击、员工疏忽或物理盗窃。数据泄露的后果可能非常严重,包括财务损失、声誉损害和法律处罚。例如,医疗机构的数据泄露可能导致病人记录被盗,包括病史和个人信息,这些信息可能被用于身份盗窃或在暗网上出售。 来源:https://csrc.nist.gov/glossary/term/breach 数据/资产分类(Data/Asset Classification) 安全策略及其实施的一种方法,包括将信息分为若干类别,每个类别都有关联的安全策略。服务器和端点等其他资产也可进行类似分类。在某些情况下,只能在具有相同分类名称的计算机上处理或存储数据。来源:《企业架构参考指南v2:CSA:安全与风险管理(SRM)域 数据目录 (DataCatalog) 数据目录是指组织内所有数据资产的详细清单,旨在帮助数据专业人员快速地找到适合任何分析或商业目的的最合适数据。来源:https://www.ibm.com/topics/data-catalog 数据语料库(DataCorpus) 数据语料库是由一系列真实文本或音频组成的数据集。这里的“真实”指的是由该语言或方言的母语者编写的文本或说出的音频。语料库的内容可以多种多样,包括报纸、小说、食谱、广播电台节目、电视节目、电影以及推特等。来源:HypersenseAI:Corpus 数据发现 (DataDiscovery) 指在网络、终端和服务器中扫描和分类存储的数据的过程。来源:企业架构参考指南v2:CSA:安全与风险管理(SRM)领域 数据编织 (DataFabric) 一种架构,通过使用智能和自动化系统,实现了各种数据管道和云环境之间的端到端集成。来源:IBM:Whatisadatafabric? 数据治理(DataGovernance) 指组织在应用程序、服务和企业信息集成活动之间管理数据的过程。在这一过程中,需要有明确定义的治理模型概述数据在整个IT基础设施(包括内部和外部服务,如SaaS、PaaS、IaaS、ASP等)中的处理、转 换和存储,并确保其合规性。数据治理包含的流程包括数据所有权、数据分类方式、数据/资产所有者对其应用程序和服务的责任,以及数据在整个生命周期中的必要控制措施。来源:业务运营支持服务(BOSS)领域 数据完整性 (DataIntegrity) 指数据未被未授权的方式更改的属性。数据完整性涵盖了静态数据、使用中的数据以及传输中的数据。来源:https://csrc.nist.gov/glossary/term/data_integrity 传
