Термины и аббревиатуры информационной безопасности

A

AAL :

Authenticator Assurance Level

ATM Adaptation Layer

Authenticator Assurance Level

AAL это условная величина, которая характеризует защищённость транзакции аутентификации.

Чем выше AAL тем более защищённым является процесс аутентификации.

Более защищённая аутентификация требует, чтобы злоумышленники обладали лучшими возможностями и расходовали больше ресурсов для успешного подрыва процесса аутентификации.

Аутентификация при более высоких AAL может эффективно снизить риск атак.

AAL1 обеспечивает некоторую уверенность в том, что заявитель контролирует Аутентификатор, привязанный к учетной записи подписчика.

AAL1 требует либо однофакторной, либо многофакторной аутентификации с использованием широкого спектра доступных технологий аутентификации.

Успешная аутентификация требует, чтобы заявитель доказал владение аутентификатором и контроль над ним с помощью защищенного протокола аутентификации.

AAL2 обеспечивает высокую уверенность в том, что заявитель контролирует Аутентификатор(ы), привязанный к счету подписчика.

Доказательство наличия и контроля двух различных факторов аутентификации требуется с помощью протокола (протоколов) безопасной аутентификации. Утвержденные криптографические методы требуются в AAL2 и выше.

AAL3 обеспечивает очень высокую уверенность в том, что заявитель контролирует Аутентификатор(ы), привязанный к счету подписчика.

Аутентификация в AAL3 основана на доказательстве владения ключом с помощью криптографического протокола.

Аутентификация AAL3 требует аппаратного аутентификатора и аутентификатора, обеспечивающего устойчивость к олицетворению верификатора; одно и то же устройство может выполнять оба этих требования.

Для того чтобы пройти аутентификацию в AAL3, заявители должны доказать наличие и контроль двух различных факторов аутентификации с помощью протокола(протоколов) безопасной аутентификации.

Требуются одобренные криптографические методы.

ATM Adaptation Layer

уровень адаптации ATM — правила, определяющие способ подготовки информации для передачи по сети ATM. Один из уровней ATM.

Задача AAL — разбиение потока данных на ATM-ячейки и его обратная сборка.

Классы:

wiki

AAL2 :

Authenticator Assurance Level 2

ATM Adaptation Layer 2

ATM Adaptation Layer 2

это уровень адаптации ATM для асинхронного метода передачи данных (ATM), использующийся в основном в телекоммуникациях.

Например, она используется для интерфейсов Iu в Универсальной мобильной телекоммуникационной системе, а также для передачи цифрового голоса.

Стандартными спецификациями, связанными с AAL2, являются стандарты ITU I.363.2 и I366.1.

wiki

AC - Access Control

«Контроль доступа» — В области физической безопасности и информационной безопасности Контроль доступа (АС) - это избирательное ограничение доступа к месту или другому ресурсу, в то время как управление доступом описывает процесс.

Акт доступа может означать потребление, вход или использование.

Разрешение на доступ к ресурсу называется авторизацией.

Блокировки и учетные данные для входа - это два аналогичных механизма контроля доступа.

wiki

AD - Active Directory

«Активный каталог» — службы каталогов корпорации Microsoft для операционных систем семейства Windows Server.

Первоначально создавалась, как LDAP -совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль.

Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server.

Хранит данные и настройки среды в централизованной базе данных.

Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

wiki

API - Application Programming Interface

Программный интерфейс приложения, интерфейс прикладного программирования — описание способов (набор классов, процедур, функций, структур или констант), которыми одна компьютерная программа может взаимодействовать с другой программой.

Обычно входит в описание какого-либо интернет-протокола (например, RFC), программного каркаса (фреймворка) или стандарта вызовов функций операционной системы).

Часто реализуется отдельной программной библиотекой или сервисом операционной системы.

Используется программистами при написании всевозможных приложений.

Читайте также статьи: «Тестирование API» и «Учебник по тестированию»

wiki

APT - Advanced Persistent Threat

«развитая устойчивая угроза» также целевая кибератака — противник, обладающий современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать возможности для достижения целей посредством различных векторов нападения (например, информационных, физических и обманных).

Эти цели обычно включают установление и расширение своего присутствия внутри информационно-технологической инфраструктуры целевой организации для осуществления намерений извлечения информации, срыва или создания помех критическим аспектам выполняемой задачи, программы или службы; либо для того, чтобы занять позицию, позволяющую осуществить эти намерения в будущем.

APT, как «развитая устойчивая угроза»: добивается своих целей неоднократно в течение длительного времени; адаптируется к усилиям защищающихся оказать угрозе сопротивление; имеет установку сохранить уровень проникновения в целевой инфраструктуре, требуемый для осуществления намерений.

Термин APT изначально использовался для описания кибернападений на военные организации, но более не ограничен военной сферой.

Атака APT превосходит обычные киберугрозы, так как ориентируется на взлом конкретной цели и готовится на основании информации о ней, собираемой в течение длительного времени.

APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных уязвимостей и методов «социальной инженерии».

wiki

ATM - Asynchronous Transfer Mode

асинхронный способ передачи данных) — сетевая высокопроизводительная технология коммутации и мультиплексирования пакетов.

Пакеты представляют собой ячейки (англ. cell) фиксированного размера в 53 байта, где первые 5 байт используются под заголовок.

Является разновидностью быстрой коммутации пакетов (англ. fast packet switching).

В отличие от синхронного способа передачи данных ( STM — англ. synchronous transfer mode), ATM лучше приспособлен для предоставления услуг передачи данных с сильно различающимся или изменяющимся битрейтом.

wiki

Authentication

Аутентификация — процедура проверки подлинности, например:

проверка подлинности пользователя путём сравнения введённого им пароля (для указанного логина) с паролем, сохранённым в базе данных пользовательских логинов;

подтверждение подлинности электронного письма путём проверки цифровой подписи письма по открытому ключу отправителя;

проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла.

В русском языке термин применяется, в основном, в области информационных технологий.

Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной.

Обычно она проводится с помощью криптографических способов.

Аутентификацию не следует путать с авторизацией (процедурой предоставления субъекту определённых прав) и идентификацией (процедурой распознавания субъекта по его идентификатору).

wiki

Authorization

Авторизация — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.

Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.

Авторизацию не следует путать с аутентификацией — процедурой проверки легальности пользователя или данных, например, проверки соответствия введённого пользователем пароля к учётной записи паролю в базе данных, или проверка цифровой подписи письма по ключу шифрования, или проверка контрольной суммы файла на соответствие заявленной автором этого файла.

Авторизация же производит контроль доступа к различным ресурсам системы в процессе работы легальных пользователей после успешного прохождения ими аутентификации.

wiki

AV - Anti Virus

Антивирусная программа (антивирус, средство антивирусной защиты, средство обнаружения вредоносных программ) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов и профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Пример - Kaspersky

wiki

BC

BC - Backup Copy

Резервное копирование — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.

wiki

bcrypt — адаптивная криптографическая хеш-функция формирования ключа, используемая для защищенного хранения паролей.

Разработчики: Нильс Провос и David Mazières.

Функция основана на шифре Blowfish, впервые представлена на USENIX в 1999 году.

Для защиты от атак с помощью радужных таблиц bcrypt использует соль (salt); кроме того, функция является адаптивной, время её работы легко настраивается и её можно замедлить, чтобы усложнить атаку перебором.

Шифр Blowfish отличается от многих алгоритмов вычислительно сложной фазой подготовки ключей шифрования.

Провос и Mazières воспользовались этой особенностью, но изменили алгоритм подготовки ключей, получив шифр «Eksblowfish» (expensive key schedule Blowfish).

Количество раундов в подготовке ключей должно быть степенью двойки; конкретная степень может задаваться при использовании bcrypt.

Изначально реализовано в функции crypt в OpenBSD .

Существуют реализации для Java , Python , Nim, C# , Ruby , Perl, PHP , Node.js , Go и некоторых других.

wiki

BFS - Brute-force search

Полный перебор или метод «грубой силы» — метод решения математических задач.

Относится к классу методов поиска решения исчерпыванием всевозможных вариантов.

Сложность полного перебора зависит от количества всех возможных решений задачи. Если пространство решений очень велико, то полный перебор может не дать результатов в течение нескольких лет или даже столетий.

Любая задача из класса NP может быть решена полным перебором. При этом, даже если вычисление целевой функции от каждого конкретного возможного решения задачи может быть осуществлено за полиномиальное время, в зависимости от количества всех возможных решений полный перебор может потребовать экспоненциального времени работы.

В криптографии на вычислительной сложности полного перебора основывается оценка криптостойкости шифров.

В частности, шифр считается криптостойким, если не существует метода «взлома» существенно более быстрого чем полный перебор всех ключей.

Криптографические атаки, основанные на методе полного перебора, являются самыми универсальными, но и самыми долгими.

C

CA - Certificate Authority

В криптографии центр сертификации или удостоверяющий центр — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен.

Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.

Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

wiki

Ciphertext - Шифротекст

Шифротекст, шифртекст — результат операции шифрования .

Часто также используется вместо термина «криптограмма», хотя последний подчёркивает сам факт передачи сообщения, а не шифрования.

COA - Ciphertext-only attack

— один из основных способов криптоанализа. Предполагается что криптоаналитику известен только набор шифротекстов, целью является получение как можно большего количества открытых текстов, соответствующих имеющимся шифротекстам, или ещё лучше — ключа, использованного при шифровании. Шифротексты могут быть получены простым перехватом сообщений по открытым каналам связи. Данный вид атаки является слабым и неудобным.

CPA - Chosen-plaintext attack

Атака на основе подобранного открытого текста — один из основных способов криптоаналитического вскрытия.

Криптоаналитик обладает определённым числом открытых текстов и соответствующих шифротекстов, кроме того, он имеет возможность зашифровать несколько предварительно выбранных открытых текстов

CPNI - Customer Proprietary Network Information

Информация о собственной сети клиента - это данные, собранные телекоммуникационными компаниями о телефонных звонках потребителя.

Она включает в себя время, дату, продолжительность и номер назначения каждого вызова, тип сети, на которую подписывается потребитель, и любую другую информацию, которая появляется в телефонном счете потребителя.

Телемаркетеры или агенты по обслуживанию клиентов, работающие от имени телефонных компаний, должны пройти дополнительный уровень аутентификации клиентов (как правило, PIN-код или последние четыре сохраненных способа оплаты) и запросить согласие клиента на получение доступа к платежной информации или до использования или обмена этой информацией для любых целей, включая, но не ограничиваясь апсейл предложением или любым изменение услуг.

Обычно это делается в начале разговора телемаркетера с телефонным абонентом.

wiki

CRL - Certificate Revocation List

Списки отозванных сертификатов - это список сертификатов, которые удостоверяющий центр пометил как отозванные.

Списки отозванных сертификатов (СОС) применяются для того, чтобы установить, был ли сертификат пользователя или удостоверяющего центра отозван в связи с компрометацией ключей.

Важное свойство СОС — он содержит информацию только о сертификатах, срок действия которых не истёк.

Подробнее про CRL читайте в статье Certificate Revocation List

Альтернативой CRL является OCSP

CSRF - cross-site request forgery

— «межсайтовая подделка запроса», также известна как XSRF) — вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP.

Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника).

Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.

Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году, а первые уязвимости были обнаружены в 2000 году. A сам термин ввёл Питер Уоткинс в 2001 году.

Основное применение CSRF — вынуждение выполнения каких-либо действий на уязвимом сайте от лица жертвы (изменение пароля, секретного вопроса для восстановления пароля, почты, добавление администратора и т. д.).

Также с помощью CSRF возможна эксплуатация отражённых XSS, обнаруженных на другом сервере.

CVE - Common Vulnerabilities and Exposures

база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер[1], описание и ряд общедоступных ссылок с описанием.

Поддержкой CVE занимается организация MITRE.

Финансированием проекта CVE занимается US-CERT.

Особенности:

Один идентификатор для одной уязвимости.

Стандартизированное описание уязвимостей.

Бесплатная загрузка и использование.

wiki

D

DAA Дайджест-аутентификация доступа — один из общепринятых методов, используемых веб-сервером для обработки учетных данных пользователя веб-браузера.

Аналогичный метод используется в рамках VoIP-протокола SIP для аутентификации сервером обращения со стороны клиента, т.е. оконечного терминала. Данный метод отправляет по сети хеш-сумму логина, пароля, адреса сервера и случайных данных, и предоставляет больший уровень защиты, чем базовая аутентификация, при которой данные отправляются в открытом виде.

Технически, аутентификация по дайджесту представляет собой применение криптографической хеш-функции MD5 к секрету пользователя с использованием случайных значений для затруднения криптоанализа и предотвращения replay-атак. Работает на уровне протокола HTTP.

Это более продвинутый вариант HTTP Аутентификации.

Подробнее про дайджест-аутентификацию читайте в статье HTTP Digest Authentication

DH . Diffie–Hellman

Протокол Диффи - Хеллмана — криптографический протокол, позволяющий двум и более сторонам получить общий секретный ключ, используя незащищенный от прослушивания канал связи.

Полученный ключ используется для шифрования дальнейшего обмена с помощью алгоритмов симметричного шифрования.

Схема открытого распределения ключей, предложенная Диффи и Хеллманом, произвела настоящую революцию в мире шифрования, так как снимала основную проблему классической криптографии — проблему распределения ключей.

В чистом виде алгоритм Диффи — Хеллмана уязвим для модификации данных в канале связи, в том числе для атаки «Man-in-the-middle (человек посередине)» , поэтому схемы с его использованием применяют дополнительные методы односторонней или двусторонней аутентификации.

DoS attack Denial-of-service attack - «отказ в обслуживании»

— хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ будет затруднён.

Отказ атакуемой системы может быть и шагом к получению доступа (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.

wiki

DDoS attack Distributed Denial-of-service attack - Распределённая DoS атака

— входящий трафик, наводняющий жертву, исходит из многих различных источников.

Это фактически делает невозможным остановить атаку, просто заблокировав один источник.

DoS-или DDoS-атака аналогична группе людей, толпящихся у входа в магазин, что затрудняет доступ законным клиентам и тем самым нарушает торговлю.

Также по теме:

Защита сайта от DDoS-атак

Система защиты от DDOS атак - Syncookied

DDOS wikipedia

E

Encipher - зашифровать

Сконвертировать обычный текст в шифротекст с помощью криптографии.

Синонимы: encode, encrypt

F

FAL - Federation Assurance Level

«Уровень Обеспечения Федерации» —

FAL описывает требования к тому, как создаются и защищаются утверждения для данной транзакции.

Эти уровни могут быть запрошены RP или необходимы конфигурацией как RP, так и IdP для данной транзакции.

Уровни Обеспечения Федерации
FAL Требование
1 Подтвержение носителя, подписанное поставщиком идентификационной информации (IdP)
2 Подтвержение носителя, подписанное IdP и зашифрованное RP
3 Holder of key assertion, подписанное IdP и зашифрованное to RP

pages.nist.gov

FQDN - Fully Qualified Domain Name

«Полностью определённое имя домена» — имя домена, не имеющее неоднозначностей в определении.

Включает в себя имена всех родительских доменов иерархии DNS.

В DNS и, что особенно существенно, в файлах зоны[en], FQDN завершаются точкой (например, example.com.), то есть включают корневое доменное имя, которое является безымянным (то есть пустым).

Различие между FQDN и доменным именем появляется при именовании доменов второго, третьего уровня и так далее.

Для получения FQDN требуется обязательно указать в имени домены более высокого уровня (например, sample является доменным именем, однако FQDN имя выглядит как sample.gtw-02.office4.example.com.).

В DNS-записях доменов (для перенаправления, почтовых серверов и так далее) всегда используются FQDN.

Максимальный размер FQDN — 255 байт, с ограничением в 63 байта на каждое имя домена.

wiki

G

GDPR - General Data Protection Regulation

Общий регламент защиты персональных данных, Общий регламент по защите данных, Генеральный регламент о защите персональных данных; Постановление (Европейский Союз) 2016/679) — постановление Европейского Союза, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском Союзе (ЕС). Постановление также направлено на экспорт данных из ЕС.

Подробнее в статье: GDPR

wiki

H

HSM - Hardware security module

Аппаратный модуль безопасности (АМБ) - это физическое вычислительное устройство, которое защищает цифровые ключи и управляет ими, выполняет функции шифрования и дешифрования цифровых подписей, строгой аутентификации и другие криптографические функции.

Эти модули традиционно поставляются в виде подключаемой платы или внешнего устройства, которое подключается непосредственно к компьютеру или сетевому серверу.

Аппаратный модуль безопасности содержит один или несколько защищенных криптопроцессорных чипов.

Подробнее в статье: HSM

wiki

HTTPS - HyperText Transfer Protocol Secure

расширение протокола HTTP для поддержки шифрования в целях повышения безопасности. Данные в протоколе HTTPS передаются поверх криптографических протоколов TLS или устаревшего в 2015 году SSL

. В отличие от HTTP с TCP-портом 80, для HTTPS по умолчанию используется TCP-порт 443.

Протокол был разработан компанией Netscape Communications для браузера Netscape Navigator в 1994 году

wiki

I

IAL - Identity Assurance Level

Уровень Обеспечения Идентичности

pages.nist.gov

IAM , IdM , IdAM - Identity and Access Management

Управление учётными данными (англ. Identity management, сокр. IdM, иногда IDM, IdAM или IAM) — комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД), с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач.

В нем рассматривается необходимость обеспечения надлежащего доступа к ресурсам во все более разнородных технологических средах и удовлетворения все более строгих требований к соблюдению требований.

Подробнее можете изучить эту тему в статье

«Identity and Access Management»

wiki

ICAP - Internet Content Adaptation Protocol

Протокол адаптации интернет-контента (ICAP) представляет собой облегченный HTTP-подобный протокол, указанный в RFC 3507 , который используется для расширения прозрачных прокси-серверов, тем самым освобождая ресурсы и стандартизируя способ реализации новых функций.

ICAP обычно используется для реализации проверки на вирусы и фильтров содержимого в прозрачных кэшах HTTP-прокси.

Адаптация контента относится к выполнению конкретной услуги с добавленной стоимостью (манипулирование контентом) для соответствующего запроса/ответа клиента.

ICAP концентрируется на использовании периферийных устройств (кэширующих прокси-серверов) для предоставления услуг с добавленной стоимостью.

В основе этого процесса лежит кэш, который будет проксировать все клиентские транзакции и обрабатывать их через веб-серверы.

Эти серверы ICAP ориентированы на определенную функцию, например, вставку рекламы, сканирование на вирусы, сканирование с несколькими AV, перевод контента, языковой перевод или фильтрацию контента.

Выгрузка дополнительных услуг с веб-серверов на серверы ICAP позволяет масштабировать те же веб-серверы в соответствии с исходной пропускной способностью HTTP без необходимости выполнения этих дополнительных задач.

wiki

IdP , IDP - Identity Provider

Поставщик идентификационной информации - это системный объект, который создает, поддерживает и управляет идентификационной информацией для принципалов, а также предоставляет услуги аутентификации проверяющим приложениям в Федерации или распределенной сети.

Поставщики идентификационной информации предлагают аутентификацию пользователей в качестве услуги.

Приложения проверяющей стороны, такие как веб-приложения, передают этап проверки подлинности пользователя доверенному поставщику удостоверений.

Такое приложение проверяющей стороны называется федеративным, то есть оно потребляет федеративную идентификацию.

Поставщик идентификационной информации - это «надежный поставщик, который позволяет вам использовать единый вход (SSO) для доступа к другим веб-сайтам».

SSO повышает удобство использования, уменьшая усталость паролей. Он также обеспечивает лучшую безопасность за счет уменьшения потенциальной поверхности атаки.

Поставщики идентификационной информации могут облегчить соединение между ресурсами облачных вычислений и пользователями, тем самым уменьшая необходимость повторной аутентификации пользователей при использовании мобильных и роуминговых приложений.

Список IDP для AWS

wiki

IOE - Internet of Evertything

Чаще употребляется термин IoT - Internet of Things

IoT - Internet of Things

«Интернет вещей» - концепция сети передачи данных между физическими объектами («вещами»), оснащёнными встроенными средствами и технологиями для взаимодействия друг с другом или с внешней средой.

Предполагается, что организация таких сетей способна перестроить экономические и общественные процессы, исключить из части действий и операций необходимость участия человека.

Концепция сформулирована в 1999 году как осмысление перспектив широкого применения средств радиочастотной идентификации для взаимодействия физических предметов между собой и с внешним окружением.

Наполнение концепции многообразным технологическим содержанием и внедрение практических решений для её реализации начиная с 2010-х годов считается устойчивой тенденцией в информационных технологиях, прежде всего, благодаря повсеместному распространению беспроводных сетей, появлению облачных вычислений, развитию технологий межмашинного взаимодействия, началу активного перехода на IPv6 и освоению программно-определяемых сетей.

wiki

iPaaS - Integration Platform as a Service

Набор облачных сервисов, позволяющих клиентам разрабатывать, выполнять и управлять интеграционными потоками между разрозненными приложениями.

В рамках облачной модели интеграции iPaaS клиенты управляют разработкой и развертыванием интеграций без установки или управления каким-либо аппаратным или промежуточным программным обеспечением.

wiki

IPC - Infrastructure Protection Center

Центр защиты инфраструктуры - термин, используемый канадским правительством вместо

SOC

ISOC - Information Security Operations Center

Операционный центр информационной безопасности - это комплекс, где корпоративные информационные системы ( веб-сайты , приложения, базы данных , центры обработки данных и серверы, сети, настольные компьютеры и другие конечные точки) контролируются, оцениваются и защищаются.

Там где это понятно из контекста вместо ISOC для краткости пользуются аббревиатурой SOC - Security Operations Center

Этот термин можно трактовать следующим образом: SOC – это централизованная корпоративная команда мониторинга безопасности, созданная в целях снижения рисков организации путем использования технологий и процессов для обнаружения инцидентов, их локализации, анализа и снижения ущерба

wiki

K

KPA - Known-plaintext attack

Атака на основе открытых текстов - вид криптоанализа, при котором в шифротексте присутствуют стандартные отрывки, смысл которых заранее известен аналитику. Во время Второй мировой войны английские криптоаналитики называли такие отрывки «подсказками» (англ. crib — подсказка, шпаргалка)

L

LDAP - Lightweight Directory Access Protocol

«легковесный протокол доступа к каталогам» — протокол прикладного уровня для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP.

LDAP — относительно простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей.

Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP.

Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636.

Всякая запись в каталоге LDAP состоит из одного или нескольких атрибутов и обладает уникальным именем (DN — англ. Distinguished Name).

Уникальное имя может выглядеть, например, следующим образом:

«cn=Иван Петров,ou=Сотрудники,dc=example,dc=com».

Уникальное имя состоит из одного или нескольких относительных уникальных имён (RDN — англ. Relative Distinguished Name), разделённых запятой. Относительное уникальное имя имеет вид ИмяАтрибута=значение.

На одном уровне каталога не может существовать двух записей с одинаковыми относительными уникальными именами. В силу такой структуры уникального имени записи в каталоге LDAP можно легко представить в виде дерева.

Запись может состоять только из тех атрибутов, которые определены в описании класса записи (object class), которые, в свою очередь, объединены в схемы (schema). В схеме определено, какие атрибуты являются для данного класса обязательными, а какие — необязательными. Также схема определяет тип и правила сравнения атрибутов. Каждый атрибут записи может хранить несколько значений.

wiki

M

MFA - Multi-factor authentication

Многофакторная аутентификация (МФА) — расширенная аутентификация, метод контроля доступа к компьютеру, в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации».

К категориям таких доказательств относят:

Знание — информация, которую знает субъект. Например пароль, ПИН-код.

Владение — вещь, которой обладает субъект. Например электронная или магнитная карта, токен, флеш-память.

Свойство, которым обладает субъект. Например биометрия, природные уникальные отличия: лицо, отпечатки пальцев, радужная оболочка глаз, капиллярные узоры, последовательность ДНК.

wiki

MITM - Man-in-the-middle attack

Атака посредника, или атака «человек посередине» — вид атаки в криптографии и компьютерной безопасности, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом.

Является методом компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию.

Одним из примеров атак типа «человек посередине» является активное прослушивание, при котором злоумышленник устанавливает независимые связи с жертвами и передаёт сообщения между ними.

Тем самым он заставляет жертв поверить, что они разговаривают непосредственно друг с другом через частную связь, фактически же весь разговор управляется злоумышленником.

Злоумышленник должен уметь перехватывать все передаваемые между двумя жертвами сообщения, а также вводить новые.

В большинстве случаев это довольно просто, например, злоумышленник может вести себя как «человек посередине» в пределах диапазона приёма беспроводной точки доступа (Wi-Fi).

Данная атака направлена на обход взаимной аутентификации или отсутствие таковой и может увенчаться успехом только тогда, когда злоумышленник имеет возможность выдать себя за каждую конечную точку либо оставаться незамеченным в качестве промежуточного узла.

Большинство криптографических протоколов включает в себя некоторую форму аутентификации конечной точки специально для предотвращения MITM-атак.

Например, TLS может выполнять проверку подлинности одной или обеих сторон с помощью взаимно доверенного центра сертификации.

wiki

MS - Managed Services

Управляемые услуги (англ. managed services) — практика передачи постоянных видов деятельности менеджмента за пределы организации.

Термин является близким по значению к слову «аутсорсинг».

Человек или организация, которые владеют или напрямую отвечают за управляемую организацию или систему, именуются клиент или заказчик.

Человек или организация, которые осуществляют удалённо управляемую услугу является поставщиком услуг.

Обычно клиент остаётся ответственным за функционирование и работы удалённо управляемой услуги и не отказывается от общей управленческой ответственности за передаваемую в управление организацию или систему.

wiki

MSP - Managed Services Provider

Компания предоставляющая управляемые услуги (Managed Services)

MSSP - Managed Security Services Provider

Компания предоставляющая управляемые услуги (Managed Services) в области кибербезопасности.

N

NAS - Network-attached storage

является сервером для хранения данных на файловом уровне.

По сути, представляет собой компьютер с некоторым дисковым массивом, подключённый к сети (обычно локальной) и поддерживающий работу по принятым в ней протоколам.

Несколько таких компьютеров могут быть объединены в одну систему.

wiki

NLA - Network Level Authentication

это функция служб удаленных рабочих столов (RDP-сервер) или подключения к удаленному рабочему столу (RDP-клиент), которая требует, чтобы подключающийся пользователь прошел проверку подлинности до установления сеанса с сервером.

Первоначально, если пользователь открывал сеанс RDP (удаленного рабочего стола) на сервере, он загружал экран входа в систему с сервера для пользователя.

Это потребовало бы ресурсов на сервере и было потенциальной областью для атак типа "отказ в обслуживании" (DoS) , а также атак на удаленное выполнение кода (см. BlueKeep).

Проверка подлинности на сетевом уровне делегирует учетные данные пользователя от клиента через поставщика поддержки безопасности на стороне клиента и предлагает пользователю пройти проверку подлинности перед установлением сеанса на сервере.

wiki

O

OAuth

OAuth — открытый протокол (схема) авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищённым ресурсам пользователя без необходимости передавать ей (третьей стороне) логин и пароль.

Подробнее про принцип авторизации с помощью OAuth читайте в статье OAuth

RFC6849 RFC8252

wiki

OCSP

Online Certificate Status Protocol

Протокол состояния сетевого сертификата - это интернет-протокол, используемый для получения статуса отзыва цифрового сертификата X.509.

Механизм протокола описан в RFC 6960 и является одним из стандартов de-facto Интернета. Он был создан в качестве альтернативы спискам отзыва сертификатов (CRL) , в частности для решения некоторых проблем, связанных с использованием CRL в инфраструктуре открытых ключей (PKI).

Cообщения OCSP кодируются в ASN.1 и обычно передаются по HTTP. Диалоги «запрос/ответ» этих сообщений позволяют называть сервера OCSP ответчиками OCSP.

Не все веб-браузеры используют OCSP для проверки сертификатов SSL / TLS протокола HTTPS .

OIDC

OpenID Connect - Стандартизированный уровень идентификации для аутентификации, использующий OAuth2 (не путать с OpenID, который обеспечивает только аутентификацию, или чистым Oauth2, который обеспечивает только авторизацию).

В то время как OIDC использует OAuth2 для авторизации, он также пользуется (некоторые сказали бы, злоупотребляет) OAuth2 авторизацией для выполнения задач аутентификации.

OSINT

Open source intelligence - Разведка на основе открытых источников.

Разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ.

В разведывательном сообществе термин «открытый источник разведывательных данных» (англ. open information source), который указывает на общедоступность источника (в отличие от секретных источников и источников с ограниченным использованием), но он не связан с понятиями «просто источник информации» (англ. open source information; OSIF), означающий любую находящуюся в пространстве СМИ информацию.

Это понятие не тождественно «публичной разведке» (англ. public intelligence). Также его не стоит путать с понятием «открытое программное обеспечение» (англ. open-source software).

По утверждениям аналитика ЦРУ Шермана Кента 1947 года, политики получают из открытых источников до 80 процентов информации, необходимой им для принятия решений в мирное время.

Позднее генерал-лейтенант Самуэль Уилсон, который был руководителем РУМО США в 1976—1977 годах, отмечал, что «90 процентов разведданных приходит из открытых источников и только 10 — за счёт работы агентуры».

OWASP

Open Web Application Security Project — это открытый проект обеспечения безопасности веб-приложений

Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира. Сообщество работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе.

Фонд OWASP — это благотворительная организация, которая оказывает поддержку и осуществляет управление проектами и инфраструктурой OWASP. Кроме того, Фонд зарегистрирован как некоммерческая организация в Европе с июня 2011 года.

OWASP не аффилирован ни с одной компанией, занимающейся разработкой технологий, но он поддерживает грамотное использование технологий безопасности. Проект избегает аффилирования, так как полагает, что свобода от влияния со стороны других организаций может облегчить распространение беспристрастной, полезной и дешевой информации о безопасности приложений.

Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и технологический уровень.

Наиболее востребованные документы, опубликованные OWASP, включают в себя: Руководство OWASP, Обзорное Руководство по Коду OWASP и широко применяемый Проект Топ-10 OWASP.

Самыми распространёнными инструментами OWASP являются тренировочная среда, прокси-анализатор WebScarab и .NET инструменты. OWASP состоит примерно из 190 местных отделений, располагающихся по всему миру и тысяч участников в листах рассылки проекта.

OWASP организовал серию конференций AppSec для дальнейшего построения сообщества, посвященного безопасности приложений.

OWASP создаёт стандарты, первый из которых был опубликован под названием OWASP Application Security Verification Standard (ASVS)).

Основная цель OWASP ASVS — это стандартизация диапазона охвата и уровня строгости доступных на рынке приложений, обеспечивающих безопасность. Целью OWASP ASVS также являлось создание набора коммерчески успешных открытых стандартов, приспособленных для специализированных веб-технологий. Сборник для Веб-Приложений уже был опубликован. Сборник для Веб-Сервисов в процессе разработки.

OWASP Secure Coding Practices Quick Reference Guide wiki

P

PACS - Physical Access Control System

Система контроля и управления доступом (СКУД) — совокупность программно-аппаратных технических средств контроля и средств управления, имеющих целью ограничение и регистрацию входа-выхода объектов (людей, транспорта) на заданной территории через «точки прохода»: двери, ворота, КПП.

Основная задача — управление доступом на заданную территорию:

кого пускать

в какое время

на какую территорию

Включая также:

Дополнительные задачи:

На особо ответственных объектах сеть устройств СКУД выполняется физически не связанной с другими информационными сетями.

wiki

PAM - Privileged Account Management

это часть системы управления идентификацией и доступом ( IAM ), которая занимается исключительно защитой привилегированных учетных записей на предприятии, включая учетные записи операционных систем, баз данных, серверов, приложений, виртуальных машин и сетевых устройств.

PKI - Public key infrastructure

Инфраструктура открытых ключей (ИОК) — набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей.

В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

  1. закрытый ключ (private key) известен только его владельцу;
  2. удостоверяющий центр создает электронный документ — сертификат открытого ключа, таким образом удостоверяя факт того, что закрытый (секретный) ключ известен эксклюзивно владельцу этого сертификата, открытый ключ (public key) свободно передается в сертификате;
  3. никто не доверяет друг другу, но все доверяют удостоверяющему центру;
  4. удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Подробнее про PKI читайте в статье «Инфраструктура открытых ключей»

PoLP - Principle of Least Privilege

Принцип наименьших привилегий, также известный как принцип минимальных привилегий (англ. Principle of least privilege) или просто минимальные привилегии, в информационной безопасности, информатике и других областях — принцип организации доступа к ресурсам, когда в тот или иной уровень абстракции от вычислительной среды, каждый модуль (такой, как процесс, пользователь или программа, которые мы рассматриваем) должны иметь доступ к такой информации и ресурсам, которые минимально необходимы для успешного выполнения его рабочей цели.

Это означает давать пользователю только те привилегии, которые являются абсолютно необходимыми для того, чтобы сделать свою работу. Например, пользователю который занимается резервным копированием не нужно устанавливать любое другое программное обеспечение, кроме того, что ему необходимо для работы. Любые другие привилегии, например как установка программного обеспечения и так далее должны быть заблокированы. Принцип распространяется также на пользователей персонального компьютера дома, где они должны работать в учетной записи обычного пользователя и открывать свою учетную запись администратора (защищённую паролем) только тогда, когда ситуация требует этого.

Применительно к пользователям, принцип наименьшего допуска, означает предоставление пользователям только минимально необходимых возможностей при работе с операционной системой и приложениями.

wiki

PTH - Pass the hash

один из видов атаки повторного воспроизведения. Она позволяет атакующему авторизоваться на удалённом сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM.

Этот метод может быть использован против любого сервера/сервиса, использующего протокол аутентификации NTLM или LM, вне зависимости от используемой на компьютере жертвы операционной системы.

Q

qop - Quality of Protection

Опция для HTTP Digest Authentication. Может принимать значения "auth" или "auth-int". Влияет на то как создается хэш.

Если поставить в "auth" будет использоваться только запрошенный URI. Если в "auth-int" то также будет использовано тело запроса.

rfc2617

R

RA - Replay Attack

Атака повторного воспроизведения - атака на систему аутентификации путём записи и последующего воспроизведения ранее посланных корректных сообщений или их частей. Любая неизменная информация, такая как пароль или биометрические данные могут быть записаны и использованы позднее для имитации аутентичности.

RC - Race Condition

Состояние гонки - также конкуренция или неопределённость параллелизма — ошибка проектирования многопоточной системы или приложения, при которой работа системы или приложения зависит от того, в каком порядке выполняются части кода.

Своё название ошибка получила от похожей ошибки проектирования электронных схем (см. Гонки сигналов ).

Термин состояние гонки относится к инженерному жаргону и появился вследствие неаккуратного дословного перевода английского эквивалента.

В более строгой академической среде принято использовать термин неопределённость параллелизма.

Состояние гонки — «плавающая» ошибка (гейзенбаг), проявляющаяся в случайные моменты времени и «пропадающая» при попытке её локализовать.

wiki

RP - Relying Party

Проверяющая сторона - это компьютерный термин, используемый для обозначения сервера, предоставляющего доступ к защищенному программному приложению.

Приложения на основе утверждений, где утверждение - это заявление, которое субъект делает о себе для установления доступа, также называются приложениями проверяющей стороны (RP).

RP также можно назвать "приложениями, поддерживающими утверждения" и "приложениями, основанными на утверждениях", а веб-приложения и службы могут быть RP

С помощью службы маркеров безопасности (STS) RP перенаправляет клиентов на STS, который аутентифицирует клиента и выдает ему маркер безопасности, содержащий набор утверждений о личности клиента, которые он может представить RP.

Вместо того чтобы приложение аутентифицировало пользователя напрямую, RP может извлечь эти утверждения из токена и использовать их для задач, связанных с идентификацией.

Стандарт OpenID определяет ситуацию, в которой сотрудничающий сайт может выступать в качестве RP, позволяя пользователю входить на несколько сайтов, используя один набор учетных данных.

Пользователь выигрывает от того, что ему не нужно делиться своими учетными данными для входа с несколькими сайтами, а операторы сотрудничающего сайта избегают необходимости разрабатывать свой собственный механизм входа.

Приложение, демонстрирующее концепцию проверяющей стороны, - это программное обеспечение, работающее на мобильных устройствах, которое может использоваться не только для предоставления пользователю доступа к программным приложениям, но и для безопасного доступа к зданию, без необходимости каждый раз вводить свои учетные данные.

wiki

RT - Rainbow Table

Радужная таблица — специальный вариант таблиц поиска (англ. lookup table) для обращения криптографических хеш-функций, использующий механизм разумного компромисса между временем поиска по таблице и занимаемой памятью (англ. time-memory tradeoff).

Радужные таблицы используются для вскрытия паролей, преобразованных при помощи сложнообратимой хеш-функции, а также для атак на симметричные шифры на основе известного открытого текста.

Использование функции формирования ключа с применением соли делает эту атаку неосуществимой.

Радужные таблицы являются развитием более раннего и простого алгоритма, предложенного Мартином Хеллманом .

wiki

Изображение баннера

S

SAC - Security Analytics Center

Центр аналитики безопасности - альтернативное название для

SOC

SCIM - System for Cross-domain Identity Management

Это стандарт для автоматизации обмена идентификационной информацией пользователя между доменами идентификации или ИТ-системами.

Одним из примеров может быть то, что по мере того, как компания набирает новых сотрудников и отделяется от существующих сотрудников, они добавляются и удаляются из электронного каталога сотрудников компании.

SCIM может использоваться для автоматического добавления / удаления (или предоставления/отмены предоставления) учетных записей для этих пользователей во внешних системах, таких как Google Workspace, Office 365 или Salesforce.com. Тогда новая учетная запись пользователя будет существовать во внешних системах для каждого нового сотрудника, а учетные записи пользователей для бывших сотрудников могут больше не существовать в этих системах.

В дополнение к простому управлению пользовательскими записями (создание и удаление), SCIM также можно использовать для обмена информацией об атрибутах пользователя, схеме атрибутов и членстве в группах.

Атрибуты могут варьироваться от контактной информации пользователя до членства в группе. Членство в группе или другие значения атрибутов обычно используются для управления разрешениями пользователей. Значения атрибутов и групповые назначения могут изменяться, что усложняет задачу сохранения соответствующих данных в нескольких доменах идентификации.

Популярность и важность стандарта SCIM возросли по мере того, как организации используют все больше инструментов SaaS. Крупная организация может иметь сотни или тысячи размещенных приложений (внутренних и внешних) и связанных с ними серверов, баз данных и общих файловых ресурсов, которые требуют подготовки пользователя.

Без стандартного метода подключения компаниям приходится писать пользовательские программные соединители для соединения этих систем со своей системой IdM.

SCIM использует стандартизированный API через REST с данными, отформатированными в JSON или XML.

SDC - Security Defence Center

Центр защиты безопасности - ещё одно альтернативное название для

SOC

SEM - Security event management

дисциплина компьютерной безопасности, использующая средства проверки данных для централизации хранения и интерпретации журналов или событий, генерируемых другим программным обеспечением, работающим в сети

wiki

SIEM - Security information and event management

объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности.

Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.

wiki

SIM - Security Information Management

это циклический процесс, включающий в себя:

wiki

SOC - Security Operations Center

Оперативный центр безопасности- это централизованное подразделение, которое занимается вопросами безопасности на организационном и техническом уровне.

SOC в здании или объекте-это центральное место, откуда персонал контролирует объект, используя технологию обработки данных.

Как правило, SOC оснащен для контроля доступа и управления освещением, сигнализацией и шлагбаумами транспортных средств.

Более узким термином, относящимся непосредственно к IT является ISOC

Аналогичные и похожие термины:

wiki

SSH - Secure Shell

«безопасная оболочка» — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов ).

Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли.

SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.

SSH позволяет безопасно передавать в незащищённой среде практически любой другой сетевой протокол.

Таким образом, можно не только удалённо работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры).

Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удалённого запуска клиентов X Window System .

Большинство хостинг-провайдеров за определённую плату предоставляет клиентам доступ к их домашнему каталогу по SSH.

Это может быть удобно как для работы в командной строке, так и для удалённого запуска программ (в том числе графических приложений).

SSH — это протокол прикладного уровня. SSH-сервер обычно прослушивает соединения на TCP-порту 22. Спецификация протокола SSH-2 содержится в RFC 4251.

Для аутентификации сервера в SSH используется протокол аутентификации сторон на основе алгоритмов электронно-цифровой подписи RSA или DSA, но допускается также аутентификация при помощи пароля (режим обратной совместимости с Telnet) и даже ip-адреса хоста (режим обратной совместимости с rlogin).

Аутентификация по паролю наиболее распространена. При каждом подключении подобно https вырабатывается общий секретный ключ для шифрования трафика. При аутентификации по ключевой паре предварительно генерируется пара открытого и закрытого ключей для определённого пользователя.

На машине, с которой требуется произвести подключение, хранится закрытый ключ, а на удалённой машине — открытый.

Эти файлы не передаются при аутентификации, система лишь проверяет, что владелец открытого ключа также владеет и закрытым.

При данном подходе, как правило, настраивается автоматический вход от имени конкретного пользователя в ОС. Аутентификация по ip-адресу небезопасна, эту возможность чаще всего отключают.

Для создания общего секрета (сеансового ключа) используется алгоритм Диффи — Хеллмана (DH).

Для шифрования передаваемых данных используется симметричное шифрование, алгоритмы AES, Blowfish или 3DES.

Целостность передачи данных проверяется с помощью CRC32 в SSH1 или HMAC-SHA1/HMAC-MD5 в SSH2.

Для сжатия шифруемых данных может использоваться алгоритм LempelZiv (LZ77), который обеспечивает такой же уровень сжатия, что и архиватор ZIP.

Сжатие SSH включается лишь по запросу клиента, и на практике используется редко.

Первая версия протокола, SSH-1, была разработана в 1995 году исследователем Тату Улёненом из Технологического университета Хельсинки (Финляндия). SSH-1 был написан для обеспечения большей конфиденциальности, чем протоколы rlogin, telnet и rsh.

В 1996 году была разработана более безопасная версия протокола, SSH-2, несовместимая с SSH-1. Протокол приобрел ещё большую популярность, и к 2000 году у него было около двух миллионов пользователей.

В настоящее время под термином «SSH» обычно подразумевается именно SSH-2, так как первая версия протокола ввиду существенных недостатков сейчас практически не применяется.

В 2006 году протокол был утвержден рабочей группой IETF в качестве Интернет‐стандарта.

Распространены две реализации SSH: частная коммерческая и бесплатная свободная. Свободная реализация называется OpenSSH. К 2006 году 80 % компьютеров сети Интернет использовало именно OpenSSH. Частная реализация разрабатывается организацией SSH Communications Security, которая является стопроцентным подразделением корпорации Tectia[3], она бесплатна для некоммерческого использования. Эти реализации содержат практически одинаковый набор команд.

Протокол SSH-1, в отличие от протокола telnet, устойчив к атакам прослушивания трафика («снифинг»), но неустойчив к атакам «человек посередине» .

Протокол SSH-2 также устойчив к атакам путём присоединения посередине (англ. session hijacking), так как невозможно включиться в уже установленную сессию или перехватить её.

Для предотвращения атак «человек посередине» при подключении к хосту, ключ которого ещё не известен клиенту, клиентское ПО показывает пользователю «слепок ключа» (англ. key fingerprint). Рекомендуется тщательно сверять показываемый клиентским ПО «слепок ключа» со слепком ключа сервера, желательно полученным по надёжным каналам связи или лично.

Поддержка SSH реализована во всех UNIX‑подобных системах, и на большинстве из них в числе стандартных утилит присутствуют клиент и сервер ssh. Существует множество реализаций SSH-клиентов и для не-UNIX ОС. Большую популярность протокол получил после широкого развития анализаторов трафика и способов нарушения работы локальных сетей, как альтернативное небезопасному протоколу Telnet решение для управления важными узлами.

Для работы по SSH нужен SSH-сервер и SSH-клиент. Сервер прослушивает соединения от клиентских машин и при установлении связи производит аутентификацию, после чего начинает обслуживание клиента. Клиент используется для входа на удалённую машину и выполнения команд.

Для соединения сервер и клиент должны создать пары ключей — открытых и закрытых — и обменяться открытыми ключами. Обычно используется также и пароль.

SSL - Secure Sockets Layer

Уровень защищённых сокетов — Устаревший криптографический протокол, который подразумевает более безопасную связь.

Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.

Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP (англ. Voice over IP — VoIP) в таких приложениях, как электронная почта, интернет-факс и др. В 2014 году правительство США сообщило об уязвимости в текущей версии протокола. SSL должен быть исключён из работы в пользу TLS

SSL изначально разработан компанией Netscape Communications для добавления протокола HTTPS в свой веб-браузер Netscape Navigator.

Впоследствии на основании протокола SSL 3.0 был разработан и принят стандарт RFC, получивший имя TLS .

В разговорной речи иногда имеют в виду TLS, а говорят SSL.

Читайте также:

Подключение SSL к сайту

Выпуск и установка SSL-сертификатов от Let's Encrypt на VPS

wiki

SSO - Single sign-on

Технология единого входа — технология, при использовании которой пользователь переходит из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации.

Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

wiki

STM - Synchronous Transfer Mode

Синхронный способ передачи данных

Symmetric-key algorithm -

Симметричные криптосистемы (также симметричное шифрование, симметричные шифры) — способ шифрования, в котором для шифрования и дешифрования применяется один и тот же криптографический ключ.

До изобретения схемы асимметричного шифрования единственным существовавшим способом являлось симметричное шифрование.

Ключ алгоритма должен сохраняться в тайне обеими сторонами, должны осуществляться меры по защите доступа к каналу, на всем пути следования криптограммы, или сторонами взаимодействия посредством криптообъектов, сообщений, если данный канал взаимодействия под грифом «Не для использования третьими лицами».

Алгоритм шифрования выбирается сторонами до начала обмена сообщениями.

T

TISAX

- Trusted Information Security Assessment Exchange - это механизм оценки и обмена информацией для обеспечения информационной безопасности предприятий, разработанный Ассоциацией ENX и опубликованный Verband der Automobilindustrie (Немецкая ассоциация автомобильной промышленности или VDA).

TISAX касается безопасной обработки информации от деловых партнеров, защиты прототипов и защиты данных в соответствии с Общим регламентом по защите данных (GDPR) для потенциальных деловых операций между производителями автомобилей и их поставщиками услуг. VDA учредило TISAX в 2017 году совместно с ассоциацией ENX.

Тесты в соответствии с TISAX, особенно для поставщиков услуг, проводятся "TISAX test service providers". Ассоциация ENX выступает в качестве управляющей организации в системе. Он утверждает поставщиков услуг тестирования и контролирует качество выполнения и результаты оценки.

Это делается для того, чтобы гарантировать, что как конечные результаты соответствуют желаемому качеству и объективности, так и что права и обязанности участников защищены. Это позволяет компании решить, соответствует ли итоговый уровень зрелости поставщика (поставщиков услуг и субподрядчиков) требованиям покупателя.

Требования к тестированию пересматривались несколько раз. В октябре 2020 года был опубликован статус 5.0. Справочная информация, области применения, процессы выполнения и требования к тестированию кратко изложены в руководстве.

TLS - Transport Layer Security — Протокол защиты транспортного уровня), как и его предшественник SSL — криптографические протоколы, обеспечивающие защищённую передачу данных между узлами в сети Интернет.

TLS и SSL используют асимметричное шифрование для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений.

Данный протокол широко используется в приложениях, работающих с сетью Интернет, таких как веб-браузеры, работа с электронной почтой, обмен мгновенными сообщениями и IP-телефония (VoIP).

TLS-протокол основан на спецификации протокола SSL версии 3.0. Сейчас развитием стандарта TLS занимается IETF. Последнее обновление протокола было в RFC 5246 (август 2008) и RFC 6176 (март 2011).

Протоколы SSL и TLS
ПротоколДата публикацииСостояние
SSL 1.0не публиковалсяне публиковался
SSL 2.01995Признан устаревшим в 2011 году (RFC 6176)
SSL 3.01996Признан устаревшим в 2015 году (RFC 7568)
TLS 1.01999Признан устаревшим в 2020 году
TLS 1.12006Признан устаревшим в 2020 году
TLS 1.22008
TLS 1.32018

TOFU - Trust on First Use

TUFU - Trust upon First Use

Доверие при первом использовании -это схема аутентификации , используемая клиентским программным обеспечением, которое должно установить доверительные отношения с неизвестной или еще не доверенной конечной точкой.

В модели TOFU клиент попытается найти идентификатор конечной точки, обычно либо открытый идентификационный ключ конечной точки, либо отпечаток указанного идентификационного ключа, в своей локальной базе данных доверия.

Если для конечной точки еще не существует идентификатора, клиентское программное обеспечение либо предложит пользователю подтвердить, что он проверил подлинность предполагаемого идентификатора, либо, если предполагается, что ручная проверка в протоколе невозможна, клиент просто доверяет данному идентификатору и записывает доверительные отношения в свою базу данных доверия.

Если в последующем соединении от противоположной конечной точки будет получен другой идентификатор, клиентское программное обеспечение сочтет его ненадежным.

TOTP - Time-based One-Time Password

Одноразовый пароль на основе времени

OATH-алгоритм создания одноразовых паролей для защищенной аутентификации, являющийся улучшением HOTP (HMAC-Based One-Time Password Algorithm).

Является алгоритмом односторонней аутентификации — сервер удостоверяется в подлинности клиента.

Главное отличие TOTP от HOTP — это генерация пароля на основе времени, то есть время является параметром.

При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (обычно — 30 секунд).

TOTP MFA - Time-based One-Time Password Multifactor Authentication

Мультифакторная Аутентификация с Одноразовым Паролем на основе Времени

Читайте также:

MFA

TOTP

U

UKM - Universal Key Manager

Проприетарное программное обеспечение для управления ключами SSH жизненного цикла для предприятий, разрабатываемое компанией SSH Security Systems

ssh.com

V

VPC - Virtual private cloud

Виртуальное частное облако - это настраиваемый по требованию пул общих вычислительных ресурсов, выделяемых в среде публичного облака, обеспечивающий определенный уровень изоляции между различными организациями (далее обозначаемыми как пользователи), использующими эти ресурсы.

Изоляция между одним пользователем VPC и всеми другими пользователями того же облака (другими пользователями VPC, а также другими пользователями общедоступного облака) обычно достигается путем выделения частной IP-подсети и виртуальной коммуникационной конструкции (такой как VLAN или набор зашифрованных каналов связи) для каждого пользователя.

В VPC ранее описанный механизм, обеспечивающий изоляцию в облаке, сопровождается функцией VPN (опять же, выделенной для каждого пользователя VPC), которая обеспечивает посредством аутентификации и шифрования удаленный доступ организации к ее ресурсам VPC.

С введением описанных уровней изоляции организация, использующая эту услугу, фактически работает в «виртуально частном» облаке (то есть, как если бы облачная инфраструктура не была совместно использована другими пользователями), и отсюда название VPC.

VPC чаще всего используется в контексте облачной инфраструктуры как сервис.

В этом контексте поставщик инфраструктуры, предоставляющий базовую инфраструктуру публичного облака, и поставщик, реализующий услугу VPC через эту инфраструктуру, могут быть разными поставщиками.

wiki

VPN - Virtual Private Network

«Виртуальная частная сеть» — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например Интернет).

Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например по публичным сетям) уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

wiki

Другие словари:

Словарь по математике

Аббревиатуры ядерной энергетики

Термины RFID индустрии - на английском языке

Словарь по физике

Термины автомобильной индустрии

Похожие статьи
Кибербезопасность
Словарь терминов и список аббревиатур кибербезопасности
Авторизация / аутентификация
OAuth
PKI
Новости ИБ
Компании
Подключение SSL к сайту
Выпуск и установка SSL-сертификатов от Let's Encrypt на VPS
Автоматическая SSH-авторизация по ключу
Настройка DKIM
Защита сайта от DDoS-атак
Система защиты от DDOS атак - Syncookied

Поиск по сайту

Подпишитесь на Telegram канал @aofeed чтобы следить за выходом новых статей и обновлением старых

Перейти на канал

@aofeed

Задать вопрос в Телеграм-группе

@aofeedchat

Контакты и сотрудничество:
Рекомендую наш хостинг beget.ru
Пишите на info@urn.su если Вы:
1. Хотите написать статью для нашего сайта или перевести статью на свой родной язык.
2. Хотите разместить на сайте рекламу, подходящую по тематике.
3. Реклама на моём сайте имеет максимальный уровень цензуры. Если Вы увидели рекламный блок недопустимый для просмотра детьми школьного возраста, вызывающий шок или вводящий в заблуждение - пожалуйста свяжитесь с нами по электронной почте
4. Нашли на сайте ошибку, неточности, баг и т.д. ... .......
5. Статьи можно расшарить в соцсетях, нажав на иконку сети: