本部分提供網路及資訊使用常見的名詞解釋，尤其是資安及 Internet safety 相關專有名詞，加速對資通安全概念的學習與瞭解。

A.
access control存取控管
存取控管是一種對於資料或資訊系統使用的安全控制措施，類似守門人的功能。電腦系統管理者可利用密碼或其他身分驗證的方式，來對於電腦系統的使用者進行授權/拒絕的存取與控管。換言之，存取控制在指派與控制使用者之權限（如使用者的身份、使用系統之時間等條件）。存取控管可提供資源系統使用安全功能，降低駭客入侵或資料不當外洩的風險。
access point網路橋接器 / 無線基地台
access point簡稱AP，譯為無線網路基地台，主要功能為連接有線網路與無線網路間的資料傳遞與接收。只要在AP上插入網路線提供連接，裝有無線區域網卡裝置的電腦，就能透過AP使用網路資源。
ADSL非對稱數位用戶迴路
ADSL中文譯為非對稱數位用戶迴路，是一種利用傳統電話線路提供高速網際服務的技術。 其發送端(提供者到用戶家又稱下行)與接收端(用戶端上傳資料又稱上行)的頻寬是不對稱的，亦即發送端的頻寬高於接收
adware廣告軟體
廣告軟體，屬於間碟軟體的一種，被植入廣告軟體的電腦最常產生之徵狀包括，使用者瀏覽網頁時，會自動跳出不熟悉的廣告頁面。廣告軟體通常是夾帶在免費試用軟體中。廣告軟體會追蹤並紀錄電腦使用者的網頁瀏覽習慣，廣告商便依照此紀錄進行客制化商品銷售行銷目的。
anti-virus電腦防毒軟體
防毒軟體是一種程式，安裝於電腦內能夠檢測入侵電腦的電腦病毒、木馬程式與電腦蠕蟲，其檢測到病毒時，程式會將病毒進行隔離或刪除，以避免病毒程式對電腦系統進行破壞。
authentication驗證
驗證即為確認某事件或某使用者身分確實為其所宣稱且正確無誤的過程與程序 。常見的電腦認證方式，為輸入個人已設定好的密碼來驗證其使用的正當性。
authorization授權
授權，指的是將資源系統的使用權限授與特定人員的過程。獲得授權的人員具有使用特定資源系統的權限。通常系統管理員會按企業相關規定或政策，來給予使用者不同的授權，以及使用者能使用資源系統的的權限與層級有多大。
         

B.
back door後門程式
後門指的是可以"繞過"、"規避"電腦內部安全系統的另一個管道。可能是在軟體設計時，程式設計師方便未來進入系統維護所留下的程式，也可能是電腦遭受到入侵而被植下的程式。許多駭客會經由後門繞過安全驗證，非法進入電腦進行破壞或竊取資料。
backup備分
"備分"是指將電腦中的檔案或資料庫另複製一份檔案。為的是預防日後電腦因故障或其他問題產生檔案遺失或無法讀取，所做的預防工作。對於企業而言，資料的備份是很重要的，而一般個人電腦使用者也需要將電腦中重要的資料備份，以備不時之需。
BCP企業永續經營計畫
企業永續經營計畫，主要是為了因應任何因天災或人為因素影響企業，使其無法正常經營或是面臨經營問題等事件所預先提出解決方案的計畫。其中企業永續經營的實施需要整個企業用同執行，包含了企業人員、軟硬體及技術層面的配合，以確保重大事件發生時，企業內部有能力在第一時間 立即恢復運作。
biometric verification生物辨識系統
生物辨識系統就是利用個人特有的生物特徵 ，如指紋 、眼球虹膜 、視網膜 、語音、臉型等，來辨識身分的一種科技。生物辨識技術具有身分辨別與身分驗證的功能，透過辨識系統可以知道使用者的身分與確認其所宣稱的身分 。
blog部落格
blog是Weblog的縮寫，也可稱為「部落格」或「網路日誌」，是一種新興的網際網路交流方式。通常作為使用者的個人日記，日誌內容是以年月日倒序的方式排列，用以描述與分享個人心情或與網友交換資訊之途。
browser hijacker瀏覽器綁架軟體
瀏覽器綁架軟體是一種主動攻擊使用者瀏覽器的程式，當入侵電腦後會改變電腦原先設定好的功能，讓使用者無法正常打開原先設定好的瀏覽器首頁業面，反而開啟了入侵者竄改後的不明網頁，強制要求使用者使用其設定的頁面。此類惡意軟體多半是未經使用者許可的情形下植入。
BS7799英國資訊安全管理系統
BS7799是於1995年由英國標準協會(BSI)發布的資訊安全標準規則。主要內容分為PART 1與PART 2兩部分，規章內容致力於保護資訊技術發展。因為資訊技術支援與使用已成為各國政府與企業重要的發展要點。為維護資訊發展，使資訊發展不會因天災或人為因素等災害造成危害。BS7799建立一套標準的作業規則，能確保資訊技術運作正常。BS7799有數個版本，最新的版本為2005年版，並且被ISO採納成為ISO 27001標準。
BSi英國標準協會
英國標準協會是為建立國際標準系統與協助企業通過認證的機購，提供了包含品質管理、環境衛生管理、資訊安全管理、職業安全與衛生管理等管理系統建置。除了協助企業建置管理系統，同時也提供企業通過相關的管理系統驗證的協助 。
bulk mail大量郵件
"大量郵件"意指未經收件人許可，大量寄發的郵件，多以廣告信函與垃圾郵件為主。如同住家信箱總是被大量的廣告宣傳單塞滿，電腦使用者的電子信箱也經常被大量郵件灌暴；大量的郵件寄發的結果會造成電腦使用者使用電子信箱與網際網路的困擾，同時也會降低網際網路使用的頻寬與效能 。


C.
cell phone spam手機垃圾簡訊
由於手機簡訊已經成為溝通的主要方式之一，許多廣告商開始透過隨機選取號碼的方式，隨意發送廣告簡訊至手機使用者。此即為手機垃圾郵件cell phone spam，又稱「SMS spam」(垃圾簡訊)；手機簡訊的問題除了煩人之外，甚至還被詐騙集團用於詐騙手段之一。
CERT電腦網路緊急處理機構
電腦網路緊急處理機構，主要針對電腦網路使用中任何可能發生，且對電腦網路使用的安全性具有破壞性的情況加以預測、處理並提供解決方法。
certificate authority憑證中心
CA（Certificate Authority）憑證機構，通常由具有公信力的第三者單位擔任，其扮演如同戶政機構角色，負責核發並管理電子身分憑證等事務。憑證機構的基本服務包括：核發憑證、維護維護並公布其發放過所有憑證狀態資訊（過期與否等）。
Chain of Custody保管鍊
保管鍊是一個法律名詞，為具有保管且能夠為某一證據提供文件證明的程序。若某一事件可能訴諸法律，保管其證據且確保證據記載之資訊的完整性，包含了所有讀取證據之記錄的持程序即為保管練。
chat room聊天室
「網路聊天室」是一種網路服務，使用者透過網際網路連線，可於同一時間與其他網友溝通交談。聊天室通常由擁有共同嗜好的網友或特定族群組成，使用者進入聊天室後透過閱讀視窗上的文字與鍵入訊息達到與他人溝通交談的目的。網路上的聊天室辨別使用者主要是透過其所設定的帳號與密碼。
cipher密文
Cipher指的是為求在網際網路上傳送文件的安全性，而將文件經由加密的過程，轉換為一般人無碼辨識的特殊符號的密碼文。密文在經過加密的處裡後，傳送至擁有解密字串的另一方，若要讀取文件內容，須先經由解密的過程，將象徵性的符號轉換為原先的文件才能正常閱讀文件。
CISO資安官
資訊安全長，主要由具有專業資通安全技術知識的專業經理人擔任，為企業內部資通安全負責人，其工作職責主要為資訊風險管理、企業安全架構規劃、提供安全技術解決方案、稽核各項資通技術使用的安全性，以及預防和解決資訊安全使用上可能發生的問題。
CISSP國際資訊安全管理師
CISSP是Certified Information Systems Security Professional的縮寫，中文為為國際資訊安全管理師。CISSP為由中立的國際資訊系統安全認證協會（ International Information Systems Security Certification Consortium, ISC2）所頒發的資訊安全系統管理證照。CISSP 認證內容涵蓋管理規劃資訊系統安全的專業知識，如網路通訊安全、存取控制管理規劃、電腦犯罪等。
CNS17799國家標準之資訊安全管理作業要點
國家資訊安全機構為維護國內資訊技術發展，進而建立的資訊安全管理要點與要求，CNS17799參考英國BS7799資訊安全管理標準第一部分(PART 1)建立，主要提供資訊技術的資訊安全控制措施與作業方法。
CNS17800國家標準之資訊安全管理系統規範
CNS17800為國內資訊安全管理標準要點，參考英國BS7799標準第二部分(PART 2)建立，為資訊安全管理系統的建立與實施，提供書面的具體要點與要求的一套管理標準。
computer forensics電腦鑑識
電腦鑑識包含了保留、紀錄、讀取、鑑別儲存在電腦裡的資料文件。當資安或犯罪事件發生時，便需利用電腦鑑識來還原事件的發生過程或擷取已儲存在電腦中的證據。電腦鑑識技術可透過讀取電腦裝置內的資料進一步提供相關證據 。
confidentiality機密性
機密性指資料不得被未經授權之個人、實體或程序所取得或揭露的特性。
cookies網路紀錄
cookies是存在瀏覽器中的小型文字檔，記錄使用者瀏覽網頁的資訊，例如：瀏覽的網站位址、使用者曾經輸入的資訊等，當使用者下次再度使用瀏覽器時，電腦能自動顯示最近使用過的網頁。cookies 也會紀錄使用者的帳號與密碼，因此在使用者再次進入相同頁面時，不需要重新輸入名稱與密碼。由於cookies 的功能會記錄重要的個人資料與網路使用習慣，通常網站都會在其隱私權政策中詳述其透過cookies蒐集使用者資訊的用途。
copyright著作權
著作權為創作者完成其著作時即享有對其著作的所有權，包含對其著作公開發表、編輯、修改、口述…等，可對其著作進行任何運用的權利。一旦非創作者或未經創作者同意授權的情況下，擅自轉發、修改、公開、販售其著作，即違反著作財產權；或以不當方式傷害創作者的名譽及聲望，則違反了著作人格權。在網際望路廣泛使用之下，閱讀他人的著作極為容易、快速且頻繁，但是若未經著作者許可授權，任意轉貼、修改、公開販售其著作，也是違反著作權。
cracker鬼客/怪客
「鬼客」或是俗稱的「怪客」，是指有犯罪記錄或行為的電腦高手，常透過電腦漏洞，以非法方式未經許可，入侵他人電腦以竊取、竄改或偷看個人資料者。
CSO安全官
安全官主掌企業安全 ，包含實物(人身及財產安全)及資訊系統安全，必須宏觀上預見並防止安全的隱患，同時指揮對付已經發生的安全問題。


D.
DDoS分散式阻斷服務攻擊
分散式阻斷攻擊是利用分散於不同地方的多部電腦主機，發送大量偽造來源地址（spoofed source IP addresses）的封包，癱瘓受害者所在的網路電腦主機伺服器，為駭客攻擊的手段之一。
dictionary attack字典攻擊法
字典攻擊法，使用於密碼破解程序，也就是駭客會準備一些常用的字集，先猜這些密碼，而大幅縮短破解密碼的時間。
disaster recovery災難復原
災難復原，是指當任何緊急事件(如.地震、颱風、發人為疏失等)發生時，包含人員與技術系統都能於第一時間立即因應處理，恢復正常運作或提供備份系統支援，以避免企業運作與技術系統因突然發生之意外而暫停運作或造成重大損失的工作。
disaster recovery plan災難復原計畫
災難復原計畫為企業永續經營的要點之一，主要是針對當災難發生如天災或人為的疏失時，而導致系統運作暫停或硬體破壞，所建立一套能立即因應與危機處裡的流程與工作計畫，以使企業的資訊技術能立即恢復正常運作，並且降低企業營運的損失。災難復原計畫包含了待命站台的支援、可用資源的備份、復原系統所需資源、程序的建立與人員的事前訓練等。預先設定好的災難復原計畫能在災難發生時，立即協助恢復資訊系統的正常運作。
DMZ非軍事區域
DMZ中文譯為非軍事區域，處於外部公開網路與企業內部網路(或虛擬網路)中間的一小段連接網路，為外網和內網的緩衝地帶，具有屏障的功能，是一個能同時受防火牆系統與入侵偵測系統保護的網段，其主要功能是保護內部網路不受外部病毒感染或入侵，並且提供網際網路服務的區域網路。


E.
Electronic Cash電子現金
電子貨幣的一種，為了因應電子商務的廣泛運用所發展出替代實體現金的交易方式。使用者能於網路上設立專屬的電子帳戶，每當在網路上購物後，可直接透過電子帳戶扣除帳戶裡的錢。而電子帳戶中的錢即為電子現金。
electronic signature電子簽章
在大量使用電腦網際網路的資訊時代，電子化的身分證明極為需要，電子簽章主要以電子技術來證明使用者的身分，例如在電子郵件寄送時加入電子簽章，收件者便能知道寄信者的身分及文件內容是未經變更或竄改。
e-mail spoofing欺騙性郵件
欺騙性郵件，主要以偽裝其發送位址為某知名公司、銀行或使用他人郵件位址發送信件，信件內容可能提及回覆個人資料或資料確認，以誘導使用者登入不明網站或回覆提供個人相關的重要資訊 ，偽裝者可以透過此手法獲得個人資料，以進行入侵個人電腦系統或盜領銀行帳戶等犯罪行為。欺騙性郵件有時也會為垃圾郵件的發送者所使用，引誘收件者打開郵件，以達到垃圾郵件發送的目的。


F.
finger scanning指紋掃描
指紋掃描為生物辨識技術的一種。將人類具有獨特性的指紋，透過電子儀器掃描將特徵儲存建檔並經由指紋辨識軟體、數位掃描系統比對指紋特徵而達到鑑別個人身分的效果。
firewall防火牆
網路防火牆用以管制外部使用者對內部網路及網站的連結和存取，並執行稽核作業。裝設防火牆就如同住戶為了住家安全性，特意加上一層的門禁系統。防火牆會控制和監控所有外部和內部網路的交通；包括讓內部使用者可以對外取得整體的服務，而對於外來使用者則以選擇性的條件加以檢驗，只允許經授權的使用者連線使用，阻擋可能進入企業內部網路的駭客、病毒和電腦蟲。


G.
gray hat亦正亦邪駭客
gray hat指正邪兼備的駭客，是幫忙協助尋找或發現系統漏洞的程式設計師，並在發現漏洞後，有時會告知該系統負責人或直接提供針對漏洞補強的程式。換句話說Gray hat不以犯罪為目的侵入它人電腦，入侵電腦有時候是為協助解決電腦問題。
Grayware灰色軟體
灰色軟體是介於有用軟體（合法的軟體程式）與有害軟體（如：病毒）之間的軟體，多半是未經使用者同意，自行下載、安裝、執行其程式，如：廣告軟體、間諜程式、綁架軟體…等，會造成電腦使用上的困擾，也同時會減低電腦網路使用效能，甚至將使用者個人資料外傳或導致電腦被植入木馬程式。


H.
hacker駭客
「hacker」電腦駭客原是指電腦很強的人，而「cracker」則表示有犯罪記錄或是行為的電腦高手。但是後來大家卻混淆了這兩個字的含意，而將凡是在網路上利用技術危害他人的人，統稱為「駭客」。
HOAX惡作劇病毒
惡作劇病毒一般多由電子郵件傳遞，信件內容常是要收信人趕快刪除某檔案或轉寄給其他人，否則電腦會遭殃，這些信件很多都是惡作劇，不需要理會。早前國內流傳過刪除「微軟小熊圖案」的電子郵件，這種就是惡作劇病毒郵件。


I.
IDS入侵偵測系統
IDS是intrusion detection system的簡稱，指的是入侵偵測系統，入侵偵測系統顧名思義用以偵測入侵攻擊行為，入侵偵測系統可分為主機型入侵偵測系統與網路型入侵偵測系統。
IM即時通訊系統
IM是Instant Messenger的縮寫，中文是「即時通訊系統」。IM為點對點(P2P)連線的一種應用，目前已成為網路使用者相當普遍且流行的溝通方式。電腦使用者可透過即時通訊系統在網路上立即與網友傳送訊息、檔案等，也可以開闢屬於自己的聊天室，邀請多位網友一起進入聊天室進行多方對談，即時通訊系統的使用已逐年上升，也漸漸成為網路使用者經常使用的網路工具之一。
incident事件
事件指的是單一發生的意外。資安事件可以是在資訊安全使用相關的領域進行破壞與攻擊的事件，如網路詐騙、病毒攻擊、資料竊取…等；也可能是因為天災，如水災、地震、停電等會造成資訊系統使用上威脅的意外即可稱為資安事件。
information assets資訊資產
對組織有用的內部資訊皆屬於資訊資產，包含資訊相關設備、工具、資料庫、檔案或文件都在資訊產物的範疇內。
information system auditor資訊系統稽核
資訊系統稽核除了是為確認資訊系統的正確性、以及電腦系統本身的可靠性及安全性之外，同時，也是為了要確保資訊系統安全且正確地被使用。資訊系統稽核的檢查項目如員工對企業安全政策的了解與遵守、電腦系統操作程序的正確性、網路系統維護與安全裝置的設定，以及教育訓練的成果等。資訊安全系統稽核可透過專業資訊系統審計師進行。
integrity完整性
完整性即為保護資料不被修改，確保資料的真實、精確及完整。
Intranet企業內部網路
Intranet（內部網路）屬於私人網絡的一種，是一個網路的辦公室環境，用以分享企業內部資源與訊息，溝通聯絡以及完成各種辦公室的工作。
intrusion入侵
入侵即為未經同意侵入他人電腦系統或未經授權非法存取資料等。
IPR智慧財產權
IPR指的是智慧財產權，智慧財產權包含個人的著作權、商標權以及專利權，泛指涉及透過個人創意生產或精神活動所產生具有價值的財產，如個人著作、智慧、創作、圖片，甚至姓名商標等與個人精神活動相關，且經過申請受法律保護的創作所有權。
IPS入侵防禦系統
IPS為intrusion prevention system的簡稱，指的是入侵防禦系統，入侵防禦系統除了能偵測入侵行為外，並可根據入侵行為主動採取防禦措施。
IPsec網際網路通訊協定安全性
IPsec是一種網路通訊協定，提供IP層安全的封包交換機制。在網際網路頻繁使用下，為確保封包傳送與網路通訊具有一定的安全性，在虛擬網路上建立IP AH(認證標頭)與IP ESP(封裝安全載裝)兩種架構，以維護網際網路通訊的完整性、可認證與機密性。
IRP事件應變計畫
IRP為Incident Response Plan的簡稱，即事件應變計畫，這是一套經由企業內部資訊部門或人力資源部門事先規劃且設定好的緊急事件處理流程與步驟 ，為降低事件(如: 駭客攻擊、電腦當機)發生時對企業的傷害。
ISMS資訊安全管理系統
資訊安全管理系統為保障資訊系統的運作安全、資訊的機密性、完整性與可用性，而建立的一套系統，從「資訊技術」、「人員訓練」、「作業管理」提供全方位的防護機制，其中包含企業對資訊系統的風險評定與認知、系統稽核、資訊管理、網站管理、帳號密碼管理、危機處理與災難復原計畫等。透過資訊安全管理系統的建設，企業將能在資訊系統運用上更加得心應手。
ISO 17799:2000國際資訊安全管理作業要點
BS7799為英國資訊發展協會發布的資訊安全管理系統，其中BS7799的PART 1在2000年由國際標準安全協會通過認可後，成為第一個國際性的資訊安全標準，並認證為ISO17799，成為企業資訊發展運用的共通標準，以降低企業資訊技術使用上的風險並提高資訊技術使用的效益。BS7799在2005年提供新版標準後，目前對應的國際標準為ISO 27001。
ISO 27001:2005國際資訊安全管理作業要點
全球知名的英國標準-資訊安全管理系統BS7799-2:2002已於2005年10月15日改版並發布為ISO/IEC 27001:2005國際標準。


J.
joke program玩笑程式
玩笑程式，顧名思義是一種捉弄使用者的程式，數年前有名的女鬼病毒就是玩笑程式。玩笑程式不具電腦病毒自我複製、自我散播與破壞軟體的特性，一般都是利用電子郵件散播，而且大多是收信人的好友轉寄。玩笑程式雖然不會對電腦造成破壞，但可能有不良的社會影響，例如讓人驚嚇過度或其他惡作劇困擾。


K.
key logger鍵盤側錄程式
間諜程式的一種，可直接側錄使用者在鍵盤上輸入的所有字元，並將這些側錄得到的字元記錄在一個純文字的log記錄檔上。駭客利用這個log記錄檔，可以知道使用者之前在這台電腦上輸入的所有內容，當然也包括屬於私密的網路銀行、線上遊戲的帳號及密碼等。
         

L.
log日誌
日誌即為電腦的活動紀錄含事件發生的時間、事件內容與事件的各項細節，換句話說，就是電腦的日記 。


M.
MAC媒體存取控制
在網際網路的應用下，可以透過區域網路、企業網路或廣域網路對伺服器進行資料的傳輸與讀取。但是如何決定、控制、允許多個電腦或使用者在同一時間進入一個伺服器讀取與傳輸資料，或是決定何者具有優先使用權，即是媒體存取控制管理的範疇。
malicious code惡意程式
惡意程式泛指具有破壞力，能破壞電腦軟硬體與檔案，甚至能竊取個人資料，對使用者資訊安全造成威脅的電腦程式，包含了電腦病毒、電腦蠕蟲、駭客病毒與木馬程式等。
malware惡意軟體
惡意軟體，泛指一般未經使用者許可，擅自植入使用者電腦，且會對於電腦程式與檔案文件造成破壞與損傷的程式，通常惡意軟體是由駭客設計，並且刻意散發以造成他人電腦中毒或癱瘓。如電腦病毒、蠕蟲、特洛依木馬病毒、間碟程式與後門程式等，都是屬於惡意軟體。
Melissa virus梅麗莎病毒
"Melissa virus"是電子郵件病毒的一種，在1999年出現，是首次利用電子郵件傳送病毒的技術。具有自行複製大量病毒，並將病毒透過電子郵件通訊錄自動傳送，導致更多的用戶中毒。

超級實用

感謝大大整理及分享~