网络安全中的常见误用术语
言语很难。英语很难。我们如何设法沟通任何东西几乎是一个奇迹。
有时我希望我是奥斯卡王尔德或马克吐温或任何其他伟大的作家,他们似乎能够毫不费力地描述一个角色或一个场景,以便读者可以完美地想象他们的意思。
相反,我担心自己更像莎士比亚,发明了文字,并扭曲他人以适应他的疯狂节拍,以至于像我这样的普通人很难理解其意图(顺便说一句,我喜欢莎士比亚)。
不幸的是,我选择的领域似乎充满了莎士比亚同行——他们使用单词的方式是将字母汤扔在墙上,然后像阅读茶叶一样阅读结果,只是准确性较低。
这究竟意味着什么?
当我创建网络安全术语数据库(NIST Cybersecurity Glossary 的主干)时,令我惊讶的是,即使是“风险”和“安全”等无处不在的术语也存在如此多的混淆。对“网络安全”一词的含义仍未达成真正的共识!
因此,我整理了一份网络安全领域中一些经常被误用的术语列表(这些是旨在提供信息的非官方描述):
数据 vs. 信息 vs. 知识
数据 通常被认为是组成信息的位和字节。 信息 将多个位和字节变成有用的东西。例如,温度传感器可能读取“102”,但信息 告诉我们,在人类口中的温度传感器上,温度为 102 华氏度。 知识 是什么允许信息 变成行动。它说 102 华氏度对人类来说太热了。 数据之间的线 , 信息 和知识 是模糊的,但有些人激烈地争论这些界限。
威胁与风险
威胁 要么用于表示可能发生的坏事,要么表示可能导致坏事发生的实体(也称为“威胁参与者”)。 风险 包括坏事发生的概率和潜在的结果。人们经常(错误地)交替使用这些词。
风险管理
对可能发生坏事的可能性做出反应的过程。通常有四种选择:接受风险、转移风险、避免风险或减轻风险。根据您的谈话对象,至少有八种选择,但这些是传统的四种。当网络安全人员谈论风险管理时,他们可能指的是风险管理框架中规定的流程。
网络安全
基本上,保护计算机系统(包括网络、互联网和任何“智能”)。但是,它已被用作一个总括性术语,其中还包括信息保证、数据保护和隐私。这个术语可能会不断变化,直到有人能够充分解释“网络”是什么。
信息保证(或安全)
以任何形式保护任何事实、新闻、知识,有时甚至是数据——纸质、电子、石碑、信号、记忆等。经常与网络安全混淆并置于网络安全保护伞之下。
标准
许多人将 NIST 的特殊出版物误称为标准,但实际情况比这要复杂一些。 NIST 确实制定了正式标准——联邦信息处理标准 (FIPS),例如 FIPS 200 和 FIPS 140-3。 NIST 还参与行业和国际标准的制定。 标准这个词 也可用于表示质量水平或可接受的规范。在最后一种情况下,NIST 出版物通常用作标准 .这是一个微妙的区别,但很重要。不过,总的来说,最好不要将 NIST 的特别出版物 (SP)、内部/机构间报告 (IR)、白皮书或 FIPS 以外的任何内容称为标准 而是使用术语“出版物”、“文档”或“指南”。
需求与控制
这两个术语都可用于识别组织在管理其网络安全风险方面可能拥有或采取的特定活动、流程、实践或能力。 控制 可能是也可能不是强制性的,而要求 一般都是。最好检查文档使用的术语。例如,许多人参考 NIST SP 800-171 要求 作为控件 ,这是不正确的。
审计与评估
在网络安全中,术语审计 与其他一些学科相比,通常具有更正式和更消极的意味。 审核 在发生数据泄露等事件后(通常为内部审计)、应客户要求(通常为客户进行的外部审计)或为获得认证(第三方审计)而进行。 评估 通常,但并非总是如此,更像是友好的健康检查。包括任意数量的活动,评估可以是狭义的,也可以是广泛的,其严格程度取决于被评估公司的要求,或适合于具体情况。这一一般规则的一个例外是网络安全成熟度模型认证 (CMMC) 计划,它使用了评估这个词 作为评估公司的正式方法。
合规性
合规 通常是指满足要求(内部或外部,有时是监管要求),并且通常带有某种认证或证明。人们经常使用诸如“符合 NIST”之类的短语。这可能会产生误导,因为许多人将其解释为 NIST 正在执行一项要求,或者证明或证明公司产品或流程的安全性。 “符合 NIST”的典型含义是公司已经使用了 NIST 出版物中的实践和程序,通常是为了满足某些要求。虽然这可能被视为合规 活动,通常最好通过说明哪些规则或要求是合规的主题来避免混淆。例如,可以遵循 NIST SP 800-171 以符合 DFARS。加密算法和模块是一个例外,在这种情况下,正确的术语经过验证且合规表明整个产品没有 已正式评估。
英语单词的演变速度几乎与互联网上的模因一样快——一百万莎士比亚将英语带回原处,被屠杀、操纵并折叠成几乎无法辨认的文字。在网络安全领域,这似乎是鲁莽的放弃。但了解其中一些关键术语及其使用方式将有助于理解和传达您的网络安全需求。
工业技术