Security Acronyms

International Organizations, Standards and Acronyms

  • ACTS :: RACE的后续计划
  • BXA :: 美国商业部出口管理局
  • CASPR :: Commonly Accepted Security Practices and Recomendations
  • CCEVS :: 通用准则评估和认证体系
  • CLASP :: Comprehensive, Lightweight Application Security Process
  • COBIT :: 信息及相关技术控制目标(Control OBjectives for Information and related Technology).COBIT按3个层次将IT治理架构的控制对象分为4个控制域,34个高级控制对象(流程),318个具体控制对象。
  • CSE :: 加拿大的通信安全法规
  • CVE :: Common Vulnerabilities and Exposures
  • CVSS :: Common Vulnerability Scoring System, under custody by FIRST.
  • CWE :: Common Weakness Enumeration
  • DPI:: Deep Packet Inspection, 深度包检测, 许多防火墙厂家提出的一种概念,类似思科的NBAD,在网络层识别应用层信息,以便细化安全策略。
  • EAD:: Endpoint Admission Defense, 端点准入防御, 华为3Com公司提出的类似思科NAC的一种终端集成防御体系。
  • EAR :: 出口管理条例
  • EESSI :: 欧洲电子签名标准化倡议
  • FIPS :: 联邦信息处理标准
  • FIRST :: Forum of Incident Response and Security Teams
  • FISMA :: 联邦信息安全管理法案Federal Information Security Management Act
  • FRAP :: 便利的风险分析过程(Facilitated Risk Analysis Process)。这是一种高效的,严格的过程方法,主要为了保证业务运营的信息安全相关风险能得到考虑并归档。FRAP的主要过程包括:信息收集(会 谈,自动化工具,交互操作等方式),信息整理,信息分析,风险计算。整个过程涵盖技术、管理、运行三个方面的内容。
  • GAO :: General Accounting Office
  • HIPAA :: Health Insurance Portability and Accountability Act, 1996年美国发布,针对医药健康卫生保险等行业数据安全和隐私保护等方面的法案。
  • IANA :: Internet Assigned Number Authority
  • ICTSB :: 欧洲信息和通信技术标准委员会
  • IDMEF :: Intrusion Detection Message Exchange Format, 即入侵检测消息交换格式,RFC标准,还处于草案阶段。Sourceforge上有一个为Snort开发IDMEF接口插件的项目。但是普遍来说,主流商业产品对IDMEF的支持不够好。
  • IDXP :: Intrusion Detection Exchange Protocol, 即入侵检测交换协议,an application-level protocol for exchanging data between intrusion detection entities. IDXP supports mutual-authentication, integrity, and confidentiality over a connection-oriented protocol. The protocol provides for the exchange of IDMEF messages, unstructured text, and binary data. 用以实现IDMEF通信过程的协议。同样处于RFC草案阶段
  • iMAAP :: Identity Management, Authentication, Authorization, Protection, 德勤Deloitte公司在安全咨询方面的一个方法论。
  • IPS :: Intrusion Prevention System, 入侵阻断系统,从名称上可以看出来,相比IDS,IPS更加强调“实时阻断”,它在线工作的特点也给它带来了不利的变数 - 无法接受的误报。
  • ISACA :: 信息系统审计和控制协会(Information System Audit and Control Associates)
  • ISC2 :: The International Information Systems Security Certification Consortium, Inc., or (ISC)², is a non-profit organization, incorporated in the Commonwealth of Massachusetts, based in Palm Harbor, Florida.
  • ISL :: InterSwitch Link (Cisco proprietary protocol)和802.1q是实现Trunk的两种基本方式
  • ITGI :: IT治理协会(IT Governance Institute)
  • ITIL :: Information Technology Infrastructure Library信息技术基础设施库
  • ITSEM: ITSEC的评估方法论
  • ITSMF :: IT Service Management Forum
  • JAAS :: Java Authentication and Authorization Services
  • NAC::Network Admission Control, 思科公司提出的一种网络安全体系,倡导网络终端与网络设备的联动来保障基础设施,形成统一完整的安全防御体系。有防病毒厂家、终端安全等多家大公司加盟。
  • NIAP:国家信息保证联盟(PAIN的逆序)由NSA和NIST共同组建
  • NBAD: Network Based Anomaly Detection, 基于网络的应用识别,思科公司用于在其网络设备上面动态识别应用层信息的一种技术,正被大量用于BT, eDonkey等P2P应用的治理。
  • NIAC :: National Infrastructure Advisory Council, 美国国家基础设施顾问委员会
  • NIST: 美国国家标准和技术局National Institute of Standards and Technology
  • NSA :: National Security Agency 国家安全局
  • NVD :: National Vulnerability Database, 美国国家漏洞库
  • OASIS :: Organization for the Advancement of Structured Information Standards.
  • OCTAVE :: Operationally Critical Threat, and Vulnerability Evaluation
  • OMG :: 对象管理组织
  • OVAL :: Open Vulnerability Assessment Language
  • OWASP :: Open Web Application Security Project
  • PAM : Pluggable Authentication Module, 可插拔认证模块, Linux/Solaris等多种×nix上面的认证模块,可以用来建设集中的、灵活的认证体系。
  • PKI/PKA :: PKI/PKI Enabled Application
  • RACE :: 欧洲先进通信研究
  • RIP :: 英国的调查权法案
  • SAML :: Security Assertion Markup Language, OASIS标准,主要用于完成Web-based应用 or Web Servivce环境下的认证和单点登录。
  • SCIP :: the Society of Competitive Intelligence Professionals
  • SCSSI :: 法国国防部计算机安全部
  • SCSUG :: 法国灵巧卡安全用户小组
  • SCC :: Security Command Center, 安全总控中心,与安全管理中心相比更加强调“控制”能力,即状态监视和指令部署的能力。
  • SDN :: Self-Defending Network, 自防御网络,Cisco公司提出的一种安全防护架构,重在IP骨干网的安全
  • SOC :: Security Operations Center, 安全管理中心是一种技术组织形式,集中地、统一地管理、监视一个企业或组织范围内的网络信息安全元素和安全策略。
  • SOD :: Segregation of Duties, 职责分隔是一种减少偶然或故意行为造成安全风险的方法。企业或组织应分散某些任务的管理、执行及职责范围,以减少误用或滥用职责带来风险的概率。
  • SOG-IS :: 信息系统安全高级官员小组
  • SOX :: Sarbanes Oxley, 萨班斯法案,2002年美国发布,针对上市公司财务披露过程可信性的法案,对于上市公司的财务报表的生成过程以及相关的IT控制提出了强制要求。目前中国数十家美国上市公司在2006年应该完成符合性过程,并提交外部独立审计公司的审计报告。
  • SPML :: Security Provisioning Markup Language,成为安全供应标记语言,或者安全配置标记语言,用于Web-based 应用or Web Service环境下的用户帐号管理。
  • SPN :: Security Penetration Network, 安全渗透网
  • STP ::Spanning Tree Protocol
  • TISPAN :: Telecommunication and Internet converged Services and Protocols for Advanced NetworkingTISPAN 在ETSI 中负责目前未来融合网的标准化,包括VoIP、和NGN 的标准化。TISPAN 的成立不仅把ETSI 有关NGN 的工作进行了合并,而且大大加强了ETSI 在标准化方面的领导地位。
  • TMF :: 国际电信管理论坛
  • UTM :: Unified Threats Management, 统一威胁管理, 新近兴起的一种安全产品形态,组合多种安全要素于一身,通常会包括防火墙、VPN、反病毒、IDS、反垃圾邮件等功能。目前,按照IDC的统计, Fortinet公司的产品暂时领先这一市场。也有其他场合称为United Threats Management, or Universal Threats Management.
  • XACML :: Extensible Access Control Markup Language, 可扩展访问控制标记语言,OASIS标准,定义了一种通用的用于保护资源的策略语言和一种访问决策语言,帮助访问控制模型的实现。
  • XMPP :: Extensible Messaging and Presence Protocol, Jabber.org发展的一种标准协议
  • WfMC :: 工作流管理联盟”(Workflow Management Coalition,简称WfMC)
  • WSC :: World Semiconductor Consortium

Certificates

  • CBA :: Certified Bank Auditor
  • CCP :: Certified Computing Professional
  • CIA :: Certified Internal Auditor
  • CISA :: Certified Information Systems Auditor
  • CISP :: Certified Information Security Professional
  • CISSP :: Certified Information Systems Security Professional
  • CPIM :: Certified in Production and Inventory Management
  • SNIA :: Storage Network Industry Association
  • SSCP :: Systems Security Certified Practitioner