Glossary Of Information Security Terms And Definitions (Part I)

Hey guys!

Ngày nay, các cơ quan, tổ chức đang tồn tại và phát triển phụ thuộc rất nhiều vào các hệ thống thông tin. Do đó, việc đảm bảo an toàn cho các hệ thống thông tin là điều cực kỳ quan trọng. Về cơ bản, bảo mật thông tin đã tồn tại và phát triển từ rất lâu. Các loại mã thay thế, mã hoán vị,.. đã xuất hiện từ thời xa xưa. Tuy nhiên, chỉ thực sự từ khi máy tính ra đời, an toàn thông tin (Information Security) mới nổi lên như là một trong những bài toàn quản lý được quan tâm nhiều nhất.

Như các bạn đã biết, nhiều khi chúng ta rất muốn nghiên cứu về một đề kỹ thuật nào đó nhưng vấn đề ngôn ngữ lại làm chúng ta nản lòng. Thực vậy, từ ngữ kỹ thuật luôn luôn khó hiểu dù là tiếng Việt hay tiếng nước ngoài. Cũng vì lý do này, tôi quyết định viết một loạt các bài viết trình bày một số thuật ngữ cơ bản liên quan đến security. Chú ý rằng là các thuật ngữ này đã được liệt kê và định nghĩa trong các tài liệu tiếng Anh có uy tín, tôi chỉ sàng lọc và dịch qua tiếng Việt.

infosec.jpg


Information Security (An toàn thông tin):

  • The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability

  • Bảo vệ thông tin và các hệ thống thông tin chống lại các truy cập trái phép, sử dụng, tiết lộ, chỉnh sửa hay phá hoại để đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng của hệ thống (thông tin)


Access:

  • Ability to communicate with or interact with a system, to use system resources to handle information, to gain knowledge of the information the system contains, or to control system components and functions

  • Khả năng giao tiếp hay tương tác với một hệ thống, sử dụng tài nguyên hệ thống để xử lý thông tin, tiếp nhận tri thức, hoặc kiểm soát các bộ phận và chức năng của hệ thống


Access Control (Quản lý truy nhập):

  • The process of granting or denying specific requests to: 1) obtain and use information and related information processing services; and 2) enter specific physical facilities (e.g., federal buildings, military establishments, border crossing entrances)

  • Quá trình chấp thuận hay từ chối các yêu cầu đặc thù để: 1) Tìm kiếm, sử dụng thông tin và các dịch vụ xử lý thông tin liên quan; và 2) truy nhập các địa phận/cơ quan/tổ chức (ví dụ: tòa nhà liên bang, tổ chức quân đội, biên giới)


Access Control List (Danh sách quản lý truy nhập):

    1. A list of permissions associated with an object. The list specifies who or what is allowed to access the object and what operations are allowed to be performed on the object
    1. Một danh sách các quyền gắn với một đối tượng nào đó. Danh sách này xác định ai được phép truy cập vào đối tượng và các hoạt động được thao tác với đối tượng
    1. A mechanism that implements access control for a system resource by enumerating the system entities that are permitted to access the resource and stating, either implicitly or explicitly, the access modes granted to each entity.
    1. Một cơ chế thực thi việc quản lý quyền truy nhập cho một tài nguyên hệ thống bằng cách liệt kê các thực thể hệ thống được cho phép truy cập vào tài nguyên và biểu thị các chế độ (phương thức) truy nhập được cấp với mỗi thực thể

Access Type (Kiểu truy cập):

  • Privilege to perform action on an object. Read, write, execute, append, modify, delete, and create are examples of access types

  • Quyền thao tác trên một đối tượng. Ví dụ: đọc, viết, chạy, nối, chỉnh sửa, xóa, tạo


Account (Tài khoản):

  • A record of information that is used to uniquely define someone or something

  • Bản ghi lưu trữ thông tin dùng để định nghĩa duy nhất một người dùng hoặc một vật nào đó


Active Attack (Tấn công chủ động):

  • An attack on the authentication protocol where the Attacker transmits data to the Claimant, Credential Service Provider, Verifier, or Relying Party. Examples of active attacks include man-in-the-middle, impersonation, and session hijacking.

  • Tấn công vào phương thức xác thực, nơi mà attacker truyền dữ liệu tới bên xác thực. Ví dụ: man-in-the-middle, mạo nhận và cướp session


Antispyware Software (Phần mềm chống gián điệp):

  • A program that specializes in detecting both malware and nonmalware forms of spyware

  • Chương trình chuyên phát hiện các phần mềm gián điệp


Antivirus Software (Phần mềm chống virus):

  • A program that monitors a computer or network to identify all major types of malware and prevent or contain malware incidents

  • Chương trình giám sát máy tính hoặc mạng máy tính để xác định và ngăn chặn hoặc hạn chế các rắc rối (hiểm họa) do malware gây ra (có thể gây ra)


Authentication (Xác thực):

  • The process of verifying the identity of a user, process, or device, often as a prerequisite to allowing access to resources in an information system

  • Quá trình kiểm tra định danh của một người dùng, một tiến trình, hoặc một thiết bị, thường được coi như là một điều kiện tiên quyết để cho phép truy nhập vào tài nguyên của hệ thống thông tin


Authentication Mechanism (Cơ chế xác thực):

  • Hardware or software-based mechanisms that forces users, devices, or processes to prove their identity before accessing data on an information system

  • Cơ chế dựa vào phần mềm hoặc phần cứng ép buộc người dùng, thiết bị, hay tiến trình phải chứng minh được định danh của bản thân nếu muốn truy nhập vào dữ liệu của hệ thống


Authentication Token (Thẻ xác thực):

  • Authentication information conveyed during an authentication exchange

  • Thông tin xác thực được vận chuyển trong quá trình trao đổi xác thực


Backup (Sao lưu dự phòng):

  • A copy of files and programs made to facilitate recovery, if necessary

  • Việc sao chép lại các file và chương trình để phục vụ cho việc khôi phục dữ liệu khi cần thiết


Blacklist (Danh sách đen):

  • A list of discrete entities, such as hosts or applications, that have been previously determined to be associated with malicious activity

  • Danh sách các đối tượng rời rạc, như là host hay app, được xác định là có dính lứu tới các hành vi phá hoại


Blacklisting (Vô hiệu hóa):

  • The process of the system invalidating a user ID based on the user’s inappropriate actions. A blacklisted user ID cannot be used to log on to the system, even with the correct authenticator. Blacklisting and lifting of a blacklisting are both security-relevant events. Blacklisting also applies to blocks placed against IP addresses to prevent inappropriate or unauthorized use of Internet resources

  • Quá trình mà hệ thống vô hiệu hóa một user dựa vào các hành vi không phù hợp của user đó. Một user đã bị đưa vào danh sách đen thì không thể đăng nhập vào hệ thống kể cả khi việc xác thực là đúng đắn. Cấm và bãi bỏ lệnh cấm đều là các sự kiện liên quan tới bảo mật thông tin. Vô hiệu hóa cũng được dùng khi nói tới việc block các địa chỉ IP để ngăn chặn việc sử dụng bất hợp lệ tài nguyên internet


Brute Force Password Attack (Tấn công bruteforce):

  • A method of accessing an obstructed device through attempting multiple combinations of numeric and/or alphanumeric passwords

  • Phương pháp thâm nhập vào một thiết bị thông qua việc thử rất nhiều lần password


Computer Network Exploitation - CNE (Khai thác mạng máy tính):

  • A technique through which computer networks are used to infiltrate target computers' networks to extract and gather intelligence data. It enables the exploitation of the individual computers and computer networks of an external organization or country in order to collect any sensitive or confidential data, which is typically kept hidden and protected from the general public

  • Kỹ thuật thông qua mạng máy tính đang sử dụng để thâm nhập vào mạng máy tính của đối phương để trích rút và thu thập dữ liệu. Kỹ thuật này cho phép việc khai thác các máy tính cá nhân và mạng máy tính của một tổ chức hoặc quốc gia bên khác để thu thập các dữ liệu riêng tư hay nhạy cảm đang được ẩn và tránh public ra bên ngoài


Computer Network Attack - CNA (Tấn công mạng máy tính):

  • Actions taken through the use of computer networks to destroy or otherwise incapacitate enemy networks

  • Các hành động thực hiện thông qua việc sử dụng mạng máy tính để phá hủy hoặc làm tê liệt mạng máy tính của kẻ địch


Computer Network Defense - CND (Phòng thủ mạng máy tính):

  • Actions taken to defend against unauthorized activity within computer networks. CND includes monitoring, detection, analysis (such as trend and pattern analysis), and response and restoration activities

  • Các hành động được thực hiện để chống lại hành vi trái phép trong mạng máy tính. Bao gồm việc theo dõi, phát hiện, phân tích (xu hướng, mẫu), và các hành vi đáp trả, khôi phục


Computer Network Operations - CNO (Hoạt động mạng máy tính):

  • Comprised of computer network attack, computer network defense, and related computer network exploitation enabling operations

  • Bao gồm các hoạt động tấn công, phòng thủ và khai thác mạng máy tính


Tôi xin được kết thúc phần I ở đây. Cảm ơn bạn đã quan tâm và theo dõi!

Nếu bạn thấy có điều gì đó chưa đúng hay cần phải chỉnh sửa thì hãy để lại comment phía bên dưới!

Anonymous.jpg