ICS 35.030 CCS L 80
中华人民共和国国家标准
GB/T 25069——2022 代替GB/T 25069—2010
信息安全技术 术语Information security techniques—Terminology
2022-03-09发布
2022-10-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T 25069—2022
信息安全技术 术语
1 范围
本文件界定了信息安全技术领域中基本或通用概念的术语和定义，并对其进行了分类。本文件适用于对信息安全技术概念的理解、其他信息安全技术标准的制定以及信息安全技术的国内外交流。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
3.1
安全 security
对某一系统，据以获得保密性、完整性、可用性、可核查性、真实性以及可靠性的性质。【来源：ISO/IEC TR 15443-1：2012，3.21】3.2
安全参数 security parameters 确定某一机制的安全强度的各个变量。【来源：ISO/IEC 18370-2：2016，3.8】3.3
安全策略 security policy
用于治理某一组织及其系统内管理、保护并分发影响安全及有关元素的资产（包括敏感信息）的一组规则、指导和实践。3.4
安全大纲 security programming
〈工业控制〉在工业控制系统的安全建设中，为满足组织安全的需求和目标所采选的一系列安全控制举措。
【来源：GB/T 32919—2016，3.6，有修改】3.5
安全多租户 secure multi-tenancy
采用安全控制措施来显式防范数据受损并对这些控制措施提供验证以便恰当治理的多租户类型。注1：当个人租户的风险状况不超过处于专用的单租户环境情形时，则是安全多租户。注2：在非常安全的环境中，甚至租户身份也是保密的。【来源：ISO/IEC 27040：2015，3.39】3.6
安全分级 security classification
根据业务信息和系统服务的重要性和受损后的影响，确定实施某种保护的等级。
GB/T 25069—2022 3.7
安全服务 security service
根据安全策略，为用户提供某种安全功能及相关保障。3.8
安全功能 security function
为实现安全要素的要求，并正确实施相应安全策略所提供的功能。【来源：GB/T 20271——2006，3.1.6，有修改】3.9
安全功能策略 security function policy；SFP
描述由评价对象安全功能（TSF）所实施的特定安全行为的规则集，可表达为安全功能要求（SFR）的集合。
【来源：GB/T 18336.1—2015，3.1.59，有修改：分别添加缩略语“TSF”“SFR”的中文全称“评价对象安全功能""安全功能要求"等】3.10
安全管理平台 security management platform
对信息系统的安全策略以及执行该策略的安全计算环境、安全区域边界和安全通信网络等方面的安全机制实施统一管理的系统。
【来源：GB/T 34990——2017，3.1，有修改：“平台”改为“系统”】3.11
安全机制 security mechanism 实现安全功能，提供安全服务的基本方法。3.12
安全集成电路 security integrated circuit
含有密码算法、安全功能，能实现密钥管理机制的集成电路。
【来源：GM/Z4001——2013，2.3，有修改："安全芯片 security chip"改为"安全集成电路 security integrated circuit”，“可实现”改为“能实现”】3.13
安全计算环境 secure computing environment
在信息系统中，对信息进行存储、处理及实施安全策略的所有相关软硬件资源。注：安全计算环境按照保护能力划分为一级～五级。【来源：GB/T34990—2017，3.9，有修改】3.14
安全架构 security architecture
一种由多个相互协作的安全模块构成的体系结构。【来源：GB/T 32927——2016，3.1.2，有修改】3.15
安全控制 security controls
为保护某一系统及其信息的保密性、完整性和可用性以及可核查性、真实性、抗抵赖性、专有性和可靠性等，而对信息系统所选择并实施的管理、操作和技术等方面的控制（即防护或对抗）。3.16
安全控制基线 security control baseline 安全控制选择过程的起始点和选择基点。
注：安全控制基线是为帮助组织选择满足安全需求的、最具成本效益的适当安全控制集而制定的最低安全基准线，
GB/T 25069—2022
【来源：GB/T 36323—2018，3.5，有修改】3.17
安全目标 security target；ST
对特定的已认定评价对象（TOE）的安全需求所做的依赖于实现的陈述。
【来源：GB/T 18366.1—2015，3.1.63，有修改：添加缩略语"TOE"的中文全称"评价对象"等】3.18
安全目的 security objective
就对抗已认定的威胁和/或满足给定的组织安全策略和/或假设的意图所做的陈述。【来源：GB/T18336.1—2015，3.1.60，有修改】3.19
安全评估 security assessment
按安全标准及相应方法，验证某一安全可交付件与适用标准的符合程度及其安全确保程度的过程。注：安全评估通常是产品评价过程的最后阶段。3.20
安全强度 security strength
与破译某一密码算法或系统所需工作量关联的数。【来源：ISO/IEC 27040：2015，3.40】3.21
安全区域边界 secure area boundary
对信息系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连通并实施安全策略的相关部件。
注：安全区域边界按照保护能力划分为一级～五级。【来源：GB/T34990——2017，3.10，有修改】3.22
安全权标 security token
一种与安全有关的数据集合，受到完整性和数据源鉴别的保护，以防其来源于非安全机构。【来源：GB/T 17903.1—2008，3.5.3】3.23
安全确保 security assurance
对声称业已或即将达到满足各项安全目的经论证的置信度的基础。【来源：ISO/IEC TR 15443-1：2012，3.23】3.24
安全审计 security audit
对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。
【来源：GB/T 5271.8—2001，08.01.05，有修改："数据处理系统"改为"信息系统"，"审查和检查"改为“评审和考察”，“检测”改为“发现”等】3.25
安全实现标准 security implementation standard 规定授权的安全实现方式的文档。【来源：GB/T 29246—2017，2.81，有修改】
GB/T 25069——2022
3.26
安全事态数据 security event data
与系统、服务或网络三方面安全状态有关的数据。示例：在入侵检测系统中由传感器收集和管理的信息。3.27
安全属性 security attribute
关于主体、用户（包括外部信息技术产品）、客体、信息、会话和/或资源，用于界定安全功能要求（SFR），且其值用于实施SFR的性质。
【来源：GB/T 18336.1—2015，3.1.58，有修改："IT"改为"信息技术"，添加缩略语"SFR"的中文全称“安全功能要求”等】3.28
安全套接层 secure sockets layer；SSL
一种处于网络层与应用层之间，为客户端和服务器的鉴别及保密性和完整性提供服务的协议。3.29
安全通信网络 secure communication network
在信息系统安全计算环境之间传输信息并实施安全策略的各种设施。注：安全通信网络按照保护能力划分一级～五级。【来源：GB/T 34990—2017，3.11，有修改】3.30
安全网关 security gateway
在网络或各子网之间，或在不同安全域内的软件应用之间，一种旨在按照给定的安全策略来保护网络的连接点。
【来源：GB/T 25068.1——2020，3.36】3.31
安全问题 security problem
对界定评价对象（TOE）拟处置安全的性质和范围所做的正式陈述。注：该陈述由下列3项的某种组合构成：
————有待TOE及其运行环境对抗的威胁；
——由TOE及其运行环境实施的组织安全策略（OSP）；——确认TOE运行环境的假设。
【来源：GB/T18336.1—2015，3.1.61，有修改：添加缩略语"TOE"的中文全称"评价对象"等】3.32
安全信道 secure channel
为所交换消息提供保密性及真实性的通信信道。【来源：ISO/IEC 24745：2011，2.30】3.33
安全信息对象 security information object 安全信息对象类的实例。【来源：ISO/IEC 15816：2002，3.9】3.34
安全信息对象类 security information object class 一种针对安全使用已经做了剪裁的信息对象类。【来源：ISO/IEC 15816：2002，3.10】