安全术语表

通俗易懂地解释与密码安全相关的专业术语。

ア行

IDS/IPS

检测 (IDS) 并自动阻止 (IPS) 网络和系统非法入侵的安全系统。

IP 欺骗

伪造源 IP 地址来隐藏身份的攻击手法。

IP 黑名单

拒绝来自恶意 IP 地址访问的列表。

访问控制

管理用户和系统可以访问资源范围的机制。

广告软件

强制显示广告的软件，有时也兼具间谍软件功能。

加密

将数据转换为第三方无法读取的格式，保护信息机密性的技术总称。

事件响应

安全事故发生时的应对程序和体制。

气隙隔离

通过物理隔离网络来确保安全的方法。

HSM

安全保管和处理加密密钥的专用硬件。

SSL/TLS

加密互联网通信，防止数据被窃听和篡改的协议。

SQL 注入

在数据库查询中插入非法 SQL 语句，进行数据窃取和篡改的攻击手法。

端到端加密

从发送方到接收方全程加密，中间方无法读取内容的通信方式。

熵

用比特数表示密码预测难度的指标，数值越大，对暴力破解攻击的抵抗力越强。

OAuth

无需共享密码即可将访问权限委托给第三方应用程序的授权协议。

カ行

密钥管理

安全地进行加密密钥的生成、保管、分发和销毁的流程。

键盘记录器

秘密记录键盘输入内容，窃取密码和个人信息的恶意软件。

CAPTCHA

区分人类和机器人的认证测试。

威胁情报

收集和分析网络威胁信息并用于防御的活动。

凭证填充

将泄露的 ID 和密码组合自动输入到其他服务中，尝试非法登录的攻击。

跨站脚本攻击

在网页中注入恶意脚本，在浏览者的浏览器上执行非法操作的攻击。

权限提升

从普通用户权限非法获取管理员权限，夺取系统控制权的攻击手法。

代码审查

由他人检查源代码以发现缺陷和漏洞的质量管理方法。

合规

维持符合法律法规和行业标准的安全措施。

サ行

最小权限原则

仅授予业务所需最低限度权限的安全原则。

网络保险

赔偿网络攻击造成损失的保险产品。

供应链入侵

在软件的开发和分发过程中介入，混入恶意代码的攻击。

沙箱

在隔离环境中运行程序，防止对整个系统产生影响的安全技术。

CSRF

利用用户已认证的会话发送非法请求的攻击。

GDPR

欧盟关于个人数据保护的综合性法规。

CVE

为已公开的漏洞分配唯一标识号的国际命名规则。

SIEM

集中收集和分析安全事件以检测威胁的系统。

业务连续性计划

在灾害发生时也能继续业务运营的计划和体制。

字典攻击

使用常用单词和短语列表来猜测密码的攻击手法。

SIM 卡交换

非法重新发行手机 SIM 卡以劫持短信认证的攻击。

肩窥

从他人肩后偷看屏幕或键盘输入来窃取密码等机密信息的行为。

单点登录

通过一次认证即可访问多个服务和应用程序的机制。

间谍软件

秘密收集用户行为和个人信息并发送到外部的恶意软件。

鱼叉式钓鱼

针对特定个人或组织，利用事先收集的信息精心策划的钓鱼攻击。

分割隧道

VPN 连接时仅让部分流量通过 VPN 的设置。

漏洞

软件或系统中存在的安全缺陷，是可能被攻击者利用的弱点。

生物识别认证

利用指纹、面部、虹膜等身体特征进行身份验证的认证方式，用作密码的替代或补充。

安全编码

避免引入漏洞的编程方法和原则。

安全审计

由第三方评估组织安全措施有效性的活动。

安全令牌

认证时使用的物理设备或软件，用于生成一次性密码或保管加密密钥。

会话劫持

窃取或猜测有效的会话 ID，冒充正规用户非法使用服务的攻击。

零日攻击

利用修复补丁发布前的未知漏洞进行的攻击，防御极为困难。

零信任

无论网络内外，对所有访问都不信任并进行验证的安全模型。

社会工程学

不使用技术手段，而是利用人类心理弱点来获取机密信息的攻击手法总称。

SOC

全天候监控和应对组织安全的专业团队。

盐值

在密码哈希化时附加的随机数据，使相同密码也能生成不同的哈希值。

タ行

暗网

普通浏览器无法访问的高匿名性网络空间，也被用于泄露信息的买卖。

域名抢注

利用正规域名的拼写错误设置虚假网站的攻击。

纵深防御

叠加多层安全措施以消除单点故障的策略。

多因素认证

结合知识、持有物、生物特征三要素中的两种以上进行身份验证的认证方式。

中间人攻击

在通信的发送方和接收方之间插入，进行数据窃听和篡改的网络攻击。

传输加密

加密网络上传输的数据以防止窃听的技术。

DNS over HTTPS

通过 HTTPS 加密 DNS 查询以保护隐私的协议。

DNS 欺骗

伪造 DNS 响应将用户引导至虚假网站的攻击。

DMZ

设置在内部网络和外部网络之间的缓冲区。

TOTP

基于时间以固定间隔生成变化的一次性密码的认证方式，广泛用于双重认证。

DDoS 攻击

发送大量请求使服务器或网络过载，导致服务停止的攻击。

深度伪造

利用深度学习技术精巧伪造音频和视频的技术，存在被用于身份冒充诈骗的风险。

灾难恢复

从灾害或系统故障中恢复的计划和程序。

数据分类

根据信息的机密程度对数据进行分类，并应用适当保护级别的方法。

数据脱敏

对机密数据进行匿名化或假名化以安全使用的技术。

数据泄露

组织持有的机密信息或个人信息因非法访问或配置错误而流出到外部的事故。

数字签名

利用公钥加密进行数据篡改检测和发送者认证的技术。

令牌化

将机密数据替换为无意义的令牌来保护数据的方法。

特洛伊木马

伪装成正规软件侵入系统，进行后门安装和信息窃取的恶意软件。

ナ行

双重认证

在密码之外再结合一种认证要素，防止非法访问的安全方法。

证书颁发机构

发行和管理数字证书的受信任第三方机构，保证通信对方的合法性。

网络隔离

将网络进行逻辑分割以防止攻击横向扩展的方法。

ハ行

漏洞赏金

向漏洞发现者支付奖金的安全计划。

通行密钥

使用公钥加密代替密码进行认证的、基于 FIDO2 标准的无密码认证方式。

密码喷洒

将少数常用密码对大量账户进行尝试的攻击。

密码策略

组织或服务制定的密码创建和管理规则，规定最低字符数和字符类型要求。

密码管理器

将多个密码加密后统一管理，并提供安全生成和自动填充功能的软件。

后门

绕过正规认证访问系统的隐藏通道，被攻击者用于非法入侵。

哈希

将任意长度的数据转换为固定长度值的单向函数，用于密码的安全存储。

补丁管理

有计划地应用软件修复程序以消除漏洞的运维工作。

蜜罐

用于引诱攻击者并分析其手法的诱饵系统。

PKI

公钥基础设施。进行数字证书的发行、管理和验证的体系。

防火墙

监控网络通信，根据设定的规则阻止非法访问的安全机制。

模糊测试

通过输入随机或异常数据来发现软件漏洞的测试方法。

钓鱼攻击

通过伪装成正规服务的虚假网站或邮件骗取用户认证信息的网络攻击手法。

VPN

通过构建加密的虚拟专用通道来安全传输数据的技术。

暴力破解攻击

通过穷举所有密码组合来找出正确密码的蛮力攻击手法。

渗透测试

从攻击者角度验证系统漏洞的实践性安全评估方法。

鲸钓攻击

针对企业高管和管理层的高级钓鱼攻击，旨在造成大规模经济损失或信息泄露。

端口扫描

探索网络上开放端口以发现漏洞的侦察行为。

静态数据加密

加密存储在存储设备上的数据，防止物理盗窃或磁盘非法读取的技术。

僵尸网络

远程操控大量被恶意软件感染的计算机，用于 DDoS 攻击和垃圾邮件发送的网络。

マ行

恶意软件

以损害计算机为目的而创建的恶意软件总称，包括病毒和特洛伊木马等。

水坑攻击

篡改目标经常访问的网站并分发恶意软件的攻击。

ラ行

勒索软件

加密文件使其无法使用，并以恢复为条件索要赎金的恶意软件。

Rootkit

潜伏在系统深处并隐藏自身存在的恶意软件。

彩虹表

从哈希值反查原始密码的预计算表，对未加盐的哈希有效。

速率限制

限制一定时间内请求数量以保护服务的机制。

ワ行

蠕虫

自我复制并传播到其他计算机的恶意软件。

WAF

检测和阻止针对 Web 应用程序攻击的专用防火墙。

生成密码 →