身分安全術語表
A
Active Directory
一個由微軟 (Microsoft) 開發的應用程式,為 Microsoft Windows 和其他 Windows 應用程式提供身分驗證和授權資源。
存取控制
授予或拒絕各方存取系統(亦即取得系統上的資訊或資料變更能力與機會)的系統控制機制及相關流程。
存取權限
使用者對於系統資源所擁有的存取權利,例如:存取、檢視、修改、建立或刪除的權利。
存取權限申請
用於申請新的存取權限、變更現有的存取權限,或移除組織內資源存取權限的系統或流程。
存取權限稽核 / 存取認證
對使用者存取權限進行定期審查,以驗證這些權限是否與使用者的工作職能一致,並符合政策指引。存取權限稽核通常作為內部控制的一環,用於確保符合《沙賓法案 (Sarbanes-Oxley, SOX)》及其他相關法規的要求。
存取權限稽核/證明
「存取權限稽核 (Access Certification)」的別稱,指對使用者存取權限進行定期審查,以驗證這些權限是否與使用者的工作職能一致,並符合政策指引。
存取管理
用於控制組織內資源(例如:檔案、應用程式、系統、裝置等)身分驗證及授權的系統或流程。 存取管理通常以角色和規則評估系統為基礎,來對組織中的物件授予或拒絕存取權限。
屬性
與數位身分相關聯的單一資訊片段。屬性的範例包括姓名、電話號碼和機構隸屬關係。 關於使用者的每一項識別資訊,都可以被視為該使用者的一個屬性。使用者擁有各種身分屬性,每個屬性都可能儲存在一個或多個目標系統上。
屬性型存取控制 (ABAC , Attribute-Based Access Control )
一種授權方法論,其依據各種特性來設定與強制執行存取策略,這些特性包括部門、地點、管理者和一天中的時段等。
深入瞭解帳戶管理
一套用於管理連線系統中身分驗證的流程。主要涉及在連線系統中建立與刪除使用者帳戶的作業。
應用程式商店或 App Store
允許使用者瀏覽並下載應用程式的服務。
授權
這是依據已定義的策略,對資訊系統資源授予或拒絕存取權限的程序。
核准工作流程
一種業務流程,用於將身分構成要素(例如:使用者存取權限或角色定義)的變更請求,自動化地從授權使用者處收集核准。
權威來源
這是包含特定身分屬性 (Identity Attribute) 之最終線上數值的系統。在某些情況下,系統因其創建該數值(例如:員工編號)而具備權威性; 而在其他情況下,系統因其是使用者必須輸入該資訊(例如:手機號碼)的位置而具備權威性。
活動監控
透過收集自系統或應用程式的日誌資料 (log data),來監察使用者行為(例如:存取系統、修改資料)的一種方法。
稽核
對記錄與活動進行獨立審查與檢驗,以評估系統控制措施的充分性,確保符合既定的政策與營運程序,並建議對控制措施、政策或程序進行必要的變革。
稽核日誌
一種記錄,用於捕捉系統或應用程式中已發生事件的紀錄。例如,稽核日誌可能包含所有登入系統的記錄、登入者的名稱、登入發生的時間等資訊。
稽核缺失
稽核人員認定IT 控制措施無效的發現。此術語常被用於 SOX (沙賓法案) 稽核中,以標示可能對公司可靠呈報外部財務資料的能力產生不利影響的控制缺陷。
聲明
一種聲明,例如聲稱擁有特定身分或為某個群組的成員。這通常需要透過憑證 (credential),例如使用者 ID 與密碼組合來提供證明。
資料彙整 / 身分資料彙集
將企業應用程式中的身分資料收集並關聯起來,匯入集中式的身分資料儲存庫的過程。
身分驗證
此程序旨在確立宣稱身分者所提供識別資訊的有效性,通常是資訊系統中授予資源存取權限的先決條件。
B
BYOA (攜帶個人應用程式)
攜帶個人應用程式 (Bring Your Own Application, BYOA) 指允許員工在工作場所存取個人應用程式帳號(例如:Facebook、LinkedIn、TripIt)的政策。
BYOD (攜帶個人裝置)
攜帶個人裝置 (Bring Your Own Device, BYOD) 指允許員工將個人擁有的行動裝置(筆記型電腦、平板電腦和智慧型手機)帶到工作場所,並使用這些裝置來存取具權限的公司資訊與應用程式的政策。
Basel II (巴塞爾協定二)
這是一套由巴塞爾銀行監理委員會 (Basel Committee on Bank Supervision) 制定的銀行規範,旨在對國際金融與銀行業進行監管。 巴塞爾協定二的目標是透過制定金融機構的最低資本要求,以減輕金融與營運風險,進而將巴塞爾的資本標準與各國法規整合。
業務連續性
為了確保組織在發生重大中斷的災害、緊急狀況或其他意外事件時,仍能維持基本營運所必需的進階規劃與準備工作。
生物識別 / 生物特徵
可用於識別或驗證目的的生理特徵或行為特徵。 一個良好的生物識別特徵應具備以下條件:對個人而言具唯一性、隨著時間推移保持穩定、易於快速呈現與驗證,並且不易被人工方式複製。
資訊外洩 / 安全漏洞入侵
成功繞過安全控制措施,可能導致系統或應用程式遭到未經授權的滲透;或指特定系統的控制措施遭到破壞,導致資訊資產或系統元件受到不當暴露。
C
CSV 檔案
一種資料檔案,用於數位儲存以列表形式表格化結構的資料。在其中,群組中每個相關聯的項目 (成員) 都與其集合中其他項目相關聯,並以逗號分隔。
存取權限稽核 / 存取認證
請參閱「存取權限稽核 (Access Certifications)」:對使用者存取權限進行定期審查,以驗證這些權限是否與使用者的工作職能一致,並符合政策指引。
持續性法規遵循 / 持續合規
指使用流程與工具以自動化、一致性和可預測性的方式來滿足法規遵循要求,而不是將法規遵循視為一次性事件。
法規遵循 / 合規性
指符合已明確定義的規範、政策、標準或法律。這些政策可能源自內部指令、程序與要求,或是來自外部法律、法規、標準與協定。 這些法律可能帶有刑事或民事處罰,或屬於行政法規。
法規遵循管理
用來遵循規則與治理原則的所有工具、系統、人員與流程的統稱。
網路安全 (Cybersecurity)
一個涵蓋多種工具、系統、實務、流程與程序的術語,它們結合起來旨在保護數位資源(例如:硬體、軟體、網路、資料)免受外部網路威脅與騷擾、惡意內部人員和粗心使用者的侵害。
網路安全稽核 / 資安稽核
對組織的網路安全和網路風險進行全面性的評估與分析。
深入瞭解網路安全風險評估 / 資安風險評估
對組織保護其資訊和資訊系統免受網路威脅的能力進行評估與分析。
網路攻擊 (Cyber Attack)
任何未經授權存取電腦系統、數位裝置或網路的行為,其明確意圖是修改、阻擋、控制、刪除、銷毀、癱瘓、中斷、暴露、操控或竊取資料、應用程式或其他數位資產。
深入瞭解網路風險 (Cyber Risk)
由於資訊或資訊科技的機密性或完整性受到危害而產生,可能導致財務損失、負面的營運影響,以及對系統、組織、政府與個人造成損害。
深入瞭解認證
用以驗證所聲稱身分的方法,通常指一組配對身分聲明中的私密部分(使用者 ID 通常是公開部分)。 認證可能會隨時間變更,並且可能被撤銷。
關聯 / 身分關聯
將來自不同資料來源的身分資料結合到代表單一身分的通用綱要 (Common Schema) 中的過程。 身分可以透過關聯規則自動連結到應用程式帳戶和存取權限,或者使用工具手動建立正確的連結。
雲端運算
一種透過網際網路提供的運算服務,具有三個鮮明的特點:該服務是隨選即售 (on-demand) 的;該服務是彈性的 (elastic) — 使用者可以隨時取得他們所需的服務量,不論多寡; 以及該服務是由服務供應商完全管理 (fully managed) 的(使用者僅需一個網頁瀏覽器即可使用)。
D
偵測性控制
一種程序(可能藉助於自動化),用於識別企業認定會對其業務產生重大影響的事件(無論是不理想或預期的)、錯誤及其他情況。
儀表板
一種報告機制,用於彙整並顯示指標和關鍵績效指標 (KPIs),使各類型使用者能夠一目瞭然地檢視這些資訊,然後再透過額外的商業智慧 (BI)、績效管理 (PM) 和分析工具進行更深入的探索。
取消佈建
從系統中刪除使用者帳戶的流程。
深入瞭解數位身分 (Digital Identity)
個人類比身分 (analog identity) 的數位版本,包含與個人相關的多個帳戶、憑證 (credentials)、權利 (entitlements)、行為和使用模式。
深入瞭解權限委派
一種流程,允許審查者或核准者將其決策權限,暫時或永久地移交給另一位使用者。
目錄服務
一種共享的資訊基礎架構,用於定位、管理、執行管理與組織共同項目和網路資源,這些資源可包括磁區 (volumes)、資料夾、檔案、印表機、使用者、群組、裝置、電話號碼及其他物件。
資料中心
用於容納電腦系統及相關組件的設施,例如:伺服器(如:網頁伺服器、應用程式伺服器、資料庫伺服器)、交換器、路由器、資料儲存裝置、負載平衡器、線纜機櫃或壁櫥、金庫、機架及相關設備。
資料外洩 (Data Breach)
一種網路安全事件,導致未經授權的第三方暴露、竊取 (exfiltration) 或損害到敏感、機密、私人或受保護的資料。
深入瞭解資料治理 (Data Governance)
一種資料管理的方法,涵蓋資料從收集、利用到最終處置的整個生命週期,以支援、嘉惠並保護不斷發展變化的企業。
E
企業風險管理 (ERM)
一種策略性的方法,用於識別 (identifying)、評估 (assessing)、準備 (preparing for) 和補救 (remediating) 各種風險。
升級 / 呈報
一種用於在審查者或核准者於定義的時間期限過後仍未回應請求時,對其進行警示、通知或將該行動委派給其他人的流程。
可擴充存取控制標記語言 (XACML)
一種開放標準、基於 XML 的語言,專門設計用於表達 Web 服務、數位版權管理 (DRM) 和企業安全應用程式的安全政策與資訊存取權限。
權利管理 / 授權管理
一種機制,用於集中定義使用者可被授予存取權限的應用程式與服務。 它是授予 (granting)、解析 (resolving)、強制執行 (enforcing)、撤銷 (revoking) 和管理細緻化存取權利(亦稱「授權」、「特權」、「存取權」、「許可」和/或「規則」)的流程。
權限 / 授權
帳戶屬性的一個特定數值,最常見的是指群組成員資格或一項許可 (permission)。安全授權 (security entitlement) 是指授予使用者帳戶在特定系統上存取某些資料或功能的權利。
權限蔓延 / 權限擴散
一種存取控制漏洞,因員工在調職、升遷或僅僅在正常業務運作過程中,隨著時間推移而累積了不必要的存取權限所致。 當員工累積了超出其實際工作所需的權限時,組織就會暴露於不必要的業務風險之中。
F
美國聯邦資訊安全現代化法案 (Federal Information Security Modernization Act, FISMA)
美國律法,旨在設定指引與安全標準,以保護政府資訊與運作。
深入瞭解聯合身分 (Federated Identity)
一種透過結合數個元件(包括身分驗證、授權、存取控制、入侵偵測與預防系統 (IDPS),以及服務供應商)來簡化安全使用者存取的解決方案。
深入瞭解聯合驗證
一組協定,允許某組織信任由另一組織提供的身分驗證結果,並依據該驗證結果來授予授權。 身分聯盟的目標是讓使用者能夠以無縫接軌 (seamless) 的方式,存取多個組織中的資源。
聯邦風險與授權管理計畫 (FedRAMP)
(FedRAMP (Federal Risk and Authorization Management Program),是為確保美國政府機構所使用之雲端服務與解決方案的安全性而創建的計畫。
G
一般資料保護規範 (General Data Protection Regulation, GDPR)
該法律用於管制組織如何處理與使用從線上收集到的消費者個人資料。
治理
指導 (directed)、衡量 (measured) 與控制 (controlled) 組織所依循的規則、實務與流程的系統。
群組
使用者的集合,用於簡化電腦系統的存取控制。 一般而言,群組是靜態的-透過個別選取成員來定義群組。 然而,在動態群組中,所有符合指定搜尋條件的使用者都將被視為此動態群組的成員。
金融服務業現代化法 (Gramm-Leach-Bliley Act, GLBA)
在美國頒布的聯邦立法,旨在管制金融機構處理個人私人資訊的方式。 GLBA 要求金融機構必須向客戶提供書面隱私權通知,解釋其資訊共享實務。
H
健康保險可攜性和責任法案 (Health Insurance Portability and Accountability Act, HIPAA)
在美國頒布的聯邦立法,旨在建立電子資料交換 (EDI)、安全以及所有醫療保健相關資料機密性的標準化機制。 HIPAA 強制要求安全機制,以確保任何可個人識別個體的資訊之機密性與資料完整性。
分層角色模型
在角色式存取控制 (RBAC) 中,角色階層結構定義了角色之間的繼承關係。 例如,銀行的角色結構可能會將所有員工視為「員工」角色的成員。 在此之上可能有「部門經理」和「會計師」等角色,這些角色將繼承「員工」角色的所有權限。
混合式 IT
一種企業運算方法,將組織的本地部署 (on-premises) 基礎架構與雲端服務結合起來,以實現更佳的彈性、成本效益和營運效率。
違反 HIPAA
指個人或組織未能遵守《1996 年聯邦健康保險可攜性與責任法案 (HIPAA)》中所定義的規則;這些規則主要著重於保護病患的受保護健康資訊 (PHI)。
I
Identity cube
對每個身分及其相關存取權限與屬性的多維度檢視。
介面 / 使用者介面 (User Interface, UI)
允許使用者與電腦軟體溝通及使用的技術,可包含顯示螢幕、鍵盤、滑鼠、桌面外觀、字元、色彩、幫助訊息等。
內部威脅 / 內部人員威脅
來自於組織內部、可存取敏感應用程式與資料的員工,所帶來的詐欺、竊盜、蓄意破壞或隱私外洩的潛在風險。
內部控制
旨在協助組織預防與偵測詐欺並保護敏感資產的流程。 內部控制通常是用來審查、監控與衡量組織流程及 IT 資源的一種手段。
身分供應商 (IdP , Identity Provider)
一種系統,負責創建、維護和管理主體(使用者、服務或系統)的身分資訊,並在身分聯盟或分散式網路中,向其他服務提供者 (應用程式) 提供主體身分驗證服務。
身分治理
一種身分管理軟體,用於將管理與控制使用者對關鍵應用程式及資料存取權限所需的規則、實務與流程進行自動化。 身分治理使組織能夠提高問責制與透明度、滿足法規遵循要求,並更好地管理風險。
身分管理 (Identity Management)
一種安全解決方案,用於對數位實體(可以是人、系統或裝置)進行驗證並指派權限。
身分與存取管理 (IAM , Identity and Access Management)
一種軟體,用於自動化管理數位身分及其相關存取權限所需的業務流程。 確保存取權限是根據單一政策解讀授予,並且所有個人與服務都經過正確的身分驗證、授權與稽核。
深入瞭解身分與存取管理即服務 (IDaaS)
託管在雲端、以雲端服務形式交付並由第三方服務供應商管理的身分與存取管理 (IAM) 軟體。
身分資訊儲存庫
一種維護身分資訊的系統。身分儲存庫通常是其所包含部分資訊的權威來源。
身分金鑰 / 身分識別碼
由身分儲存庫 (identity store) 所使用(通常也由其產生)的單一數值,用於唯一識別每個數位身分。
L
佈建的最後一哩路
一種流程,用於根據使用者生命週期變更,在目標資源上實施變更。
最小權限
這項概念旨在將使用者對資料或應用程式的存取權限,或存取類型(例如:讀取、寫入、執行、刪除),限制在執行其職責所必需的最低程度。
輕量型目錄存取通訊協定 (Lightweight Directory Access Protocol, LDAP)
一組用於存取目錄中資訊的協定。 LDAP 使幾乎任何電腦平台上執行的任何應用程式都能夠獲取目錄資訊。
M
多因子驗證 (MFA , Multi-Factor Authentication)
一種身分驗證程序,要求使用多個要素來證明身分。 這些要素通常分為三個類別:個人所知 (Something you know)(密碼、通行碼或 PIN 碼);個人所有 (Something you have)(權杖或智慧卡);或個人生理特徵 (Something you “are”)(指紋、聲紋或視網膜掃描)。
深入瞭解微分段 (Microsegmentation)
一種網路安全實務,透過分割應用程式工作負載並個別保護它們,將網路劃分為更小的區域或微分段區段;是零信任安全方法的基礎要素之一。
深入瞭解模型稽核規則 (MAR , Model Audit Rule)
一項於 2010 年 1 月 1 日生效的強制規定,要求美國非公開上市的保險公司須證明其對財務系統和資料的完整性擁有有效的控制措施。 與《沙賓法案 (Sarbanes-Oxley, SOX)》類似,MAR 要求更高的透明度、更嚴格地遵守內部控制,以及更完善的企業治理。
機器學習技術 (Machine Learning)
人工智慧 (AI) 的一個子集,它允許系統自動識別特徵、分類資訊、從資料中尋找模式、做出判斷與預測,並發掘洞見。
深入瞭解重大缺失
稽核人員認定IT 控制措施存在嚴重缺陷的發現。 此術語常被用於 SOX (沙賓法案) 稽核中,用來指出財務報表中的重大錯誤陳述無法被預防或偵測。
N
NIS2 指令
這是歐盟首個網路安全指令 (NIS Directive) 的第二個版本。它納入了更多的產業與領域,並包含了在歐盟成員國間統一實施的指導方針。
NIST 網路安全框架
國家標準暨技術研究院 (NIST),通常簡稱為 NIST,是美國商務部下轄的一個機構。 NIST 網路安全框架旨在改善美國關鍵基礎設施的安全,這些基礎設施被定義為被認為至關重要的資產、系統和功能。
深入瞭解北美電力可靠度公司關鍵基礎設施防護 (North American Electric Reliability Corporation Critical Infrastructure Protection, NERC CIP)
一個為保護北美大宗電力系統持續可靠性而開發的框架,於 2008 年初獲得核准。 CIP 標準要求公用事業必須識別並保護其關鍵網路資產。
O
OAuth
一種開放式授權標準。 OAuth 提供了一種方法,允許用戶端 (clients) 代表資源所有者(例如另一個用戶端或終端使用者)存取伺服器資源。 它同時提供了一個流程,讓終端使用者可以授權第三方存取其伺服器資源,而無需分享他們的憑證(通常是使用者名稱和密碼組合),藉此利用使用者代理重定向來完成。
OpenID
一種開放標準,描述了如何透過第三方服務(稱為信賴方,Relying Parties 或 RP)對使用者進行身分驗證,進而免除組織提供自身身分驗證系統的需求,並允許使用者整合他們的數位身分。
OpenID Connect (OIDC)
一個開放標準,執行許多與 OpenID 相同的功能,但其方式對 API 更為友善,並可被原生與行動應用程式使用。 此標準是建立在 OAuth 2.0 協定上的一個簡單身分層,它允許用戶端根據授權伺服器 (Authorization Server) 所執行的身分驗證,來驗證終端使用者的身分,並以可互通且類似 REST 的方式取得有關終端使用者的基本個人資料資訊。
一次性密碼 (OTP , One-Time Password)
一種密碼,其有效性僅限於單一登入會話或交易,並在使用者需要驗證時由演算法產生。 OTP 通常會傳送至使用者的行動裝置或安全權杖 (security token)。
入職/啟用管理
當使用者(例如:新進員工、約聘人員、合作夥伴或客戶)加入組織時,授予其存取權限的流程。
孤兒帳戶
屬於已離開組織之使用者的帳戶。 孤兒帳戶是因員工離職或調職時未能移除存取權限所直接導致的結果,也是 IT 稽核人員在尋找安全風險時經常關注的焦點。
本地部署/ 企業內部部署
指將軟體安裝並執行在使用該軟體之個人或組織的設施(建築物)內的電腦上,而非在遠端設施(例如雲端服務供應商)上。
離職/停用管理 / 撤職流程
當使用者(例如:員工、約聘人員、合作夥伴或客戶)離開組織時,移除其存取權限的流程。
P
佈建
這是依據唯一的使用者身分 (unique user identity),授予、變更或移除使用者對系統、應用程式和資料庫存取權限的流程。 自動化使用者佈建旨在加快並簡化使用者及其存取權限的管理。 這透過將業務流程(如入職和終止)自動化並編碼,然後將這些流程連接到多個系統來實現。
公用雲端/公有雲
一種雲端運算環境,它對公眾開放,並透過網際網路、在任何企業防火牆之外提供服務。 公用雲端運算使用雲端運算技術來支援供應商組織外部的客戶。 使用公用雲端雲服務可產生規模經濟和資源共享的效益,從而降低成本並增加技術選擇。
受保護的健康資訊 (PHI , Protected Health Information)
關於個人的過去、現在或未來生理或心理健康或狀況,以及基因資訊的資料。
密碼
一種機密身分驗證資料形式,用於控制對系統服務的存取。 它使電子識別碼的持有者能夠確認他/她就是該識別碼被發放的本人。 這是一種憑證,是只有使用者知道,且驗證者可以確認的東西。
密碼同步
一種解決方案,它取得使用者設定的一個密碼,並將其他資源上的密碼更改為與該密碼相同。
密碼政策 / 密碼原則
一組關於密碼創建、儲存和使用的要求。這些要求通常會限制密碼的多項特性(例如長度、複雜度和到期時間)。
密碼管理
將跨系統控制、設定、重設與同步密碼的流程進行自動化。
密碼重設
一種流程或技術,允許忘記密碼或觸發鎖定的使用者,透過替代要素進行身分驗證,然後定義一個新密碼。
支付卡產業 (PCI) 資料安全標準 (DSS)
由 PCI 標準委員會 (PCI Standards Council) 開發的標準,旨在增強支付帳戶資料的安全性。該標準包含 12 項核心要求,內容包括安全管理、政策、程序、網路架構、軟體設計及其他關鍵措施。
政策 / 原則
一套權威性、規定性的業務執行規則,可能由組織內部定義,或由法規命令 (regulatory mandates) 的結果所確定。
政策強制執行 / 策略實施
一組預防性 (preventive) 與偵測性 (detective) 的控制措施,用於自動化確保組織遵循已定義的政策。
政策評估 / 策略評估
旨在自動強制執行政策的規則,透過在授予操作權限之前,檢查該操作是否存在政策違規。
特殊權限帳戶
特殊權限帳戶是系統或應用程式中的一種登入識別碼,它授予比一般使用者更強大的存取權限。 通常由系統管理員用於管理系統、在系統上執行服務,或由一個應用程式以程式化方式連接到另一個應用程式。
私人雲端 / 私有雲
這是一種雲端運算形式,僅供單一組織使用,或確保組織的雲端環境與其他環境完全隔離。 當服務供應商利用公有雲端資源來建立一個私人雲端時,結果稱為虛擬私人雲端/私有雲 (Virtual Private Cloud)。
預防性控制
一種內部控制措施,用於預防組織認定可能對其業務產生負面重大影響的不理想事件、錯誤及其他情況。
R
反向代理
一種軟體,為內部網路上的網頁伺服器提供單一的身分驗證點。 反向代理架構的優勢在於不需要在每個網頁應用程式上安裝軟體。
基於風險的身分驗證 (RBA , Risk-Based Authentication)
一種方法,旨在根據存取特定系統可能導致其被侵害的可能性,對身分驗證程序應用不同程度的嚴格性。 隨著風險等級增加,身分驗證程序會變得更全面且更具限制性。
權限撤銷
根據審查者 (reviewer) 在存取權限稽核 (certification) 期間所做的決定,移除使用者特定的角色 (role) 或權利 (entitlement) 的行為。
法規遵循 / 監管合規
指組織對由政府、監管機構、行業協會及其他實體所制定的法律、法規、標準、指南和規範的遵守與執行。
深入瞭解補救措施 / 矯正
對法規遵循問題或議題(例如政策違規)進行糾正或解決的行動或流程。
規則
一套規定性的指導方針,可能由組織內部定義,或由法規命令 (regulatory mandates) 的結果所確定。
角色
角色是權利 (entitlements) 或其他角色的集合,它賦予一個身分存取資源並在組織內執行特定操作的能力。 簡單角色是在單一系統的環境中定義的權利集合。 使用角色的目的在於簡化系統和應用程式的安全管理,透過將常見的權利組合封裝起來,並以套件而非單獨的方式指派給使用者。
角色型存取控制 (RBAC , Role-Based Access Control)
一種模型,旨在根據使用者在組織中的角色來限制其存取權限。
深入瞭解角色建立
在角色模型 (role model) 內定義角色的流程,並根據業務流程與工作職能,將這些角色映射到適當的存取權限集合。
角色指派
將角色授予使用者的流程。角色可以隱含地指派給使用者,即某些資料庫會包含以下形式的規則:「符合要求 X 的使用者應自動被指派角色 Y」。
角色模型
這是角色的架構描述 (schematic description),定義了角色與角色階層、主體角色啟用、主體-客體仲介,以及對使用者/角色成員資格和角色集啟用的限制。 一個角色模型是一組角色定義和一組隱含或明確的角色指派。
角色生命週期管理
一種流程,旨在將角色的創建、修改、淘汰;角色核准;角色稽核;以及角色分析進行自動化。
角色稽核 / 角色認證
對一個或多個角色進行定期審查,以驗證該角色是否包含適當的存取權限,以及角色成員是否正確。 角色稽核通常被用作內部控制措施,也是預防角色擴散 (role proliferation) 的一種方法。
角色管理
角色與角色指派不太可能長時間維持不變,因此必須對其進行管理 — 必須審查並更新與角色相關聯的權利 (entitlements),且必須審查並變更被隱含或明確指派該角色的使用者。 角色管理包含用於執行這些審查與變更的業務流程。
資源
受到身分管理系統 (identity management system) 管理的系統、應用程式、資料庫或其他物件。
身分對帳 / 資料校正
一種流程,用於定期比較在身分管理解決方案中的身分資料與實際存在於受管資源上的資料。 身分對帳會關聯帳戶資料、突顯差異,並可啟動工作流程來發出警報或對資料進行變更。
重新指派
一種行動,將執行某項操作的責任轉移給另一個人。
風險
這是特定的威脅來源將會執行(意外觸發或蓄意利用)特定的資訊系統漏洞的機率,以及一旦發生時所帶來的影響。
風險管理
識別 (identifying)、控制 (controlling) 和緩解 (mitigating) 各種風險的總體流程。
風險管理策略
風險管理策略是一種框架,旨在說明組織計劃如何評估風險、回應已識別的風險、持續觀察新風險,以及監控已知風險。
風險緩解
一種流程,旨在降低威脅的發生機率或後果。風險緩解的選項可能包括消除漏洞;強化內部控制;或減小不利影響的程度。
風險評估
這是識別系統安全所面臨風險的流程,並藉此確定發生的機率 (probability)、造成的影響 (impact),以及可用於減輕此影響的額外防護措施 (safeguards)。
S
SOX 法規遵循 / 沙賓法案合規
指遵守《沙賓法案 (Sarbanes-Oxley Act, SOX)》。SOX 是一部美國聯邦法律,於 2002 年頒布,旨在保護投資者和客戶免受欺詐性的公司行為侵害。
Solvency II
一個基於風險的監管框架,適用於所有歐盟成員國的保險公司,於 2012 年生效。 Solvency II旨在將風險意識灌輸到歐洲保險業務的治理、營運和決策制定之中。
共用帳戶
系統或應用程式中的登入識別碼,供一個以上的人類或機器使用者使用。 特權帳戶經常由管理員共用:例如 root、sa 或 Administrator 帳戶。
單一登入 (SSO , Single Sign-On)
一種身分驗證程序,允許使用者輸入一組使用者名稱與密碼後,即可存取企業內的許多資源,無需單獨驗證和登入個別的應用程式與系統。
深入瞭解安全漏洞入侵 / 資安外洩
指未經授權進入私人、受保護或機密的邏輯 IT 邊界,進而導致未經授權存取數位資料、應用程式、服務、網路或裝置的事件;最終結果是資訊遭到未經授權的存取。
安全聲明標記語言 (SAML , Security Assertion Markup Language)
這是一種基於 XML 的標準,用於在安全領域之間交換身分驗證和授權資料,即在身分識別提供者 (IdP)(聲明的產生者)與服務提供者 (Service Provider)(聲明的消費者)之間進行交換。
安全資訊與事件管理 (SIEM , Security Information and Event Management) 技術
安全資訊管理 (SIM) 提供日誌管理(日誌資料的收集、報告與分析),以支援法規遵循報告、內部威脅管理與資源存取監控。 安全事件管理 (SEM) 則即時處理來自安全裝置、網路裝置、系統與應用程式的事件資料,以提供安全監控、事件關聯與事件回應。 此技術可用於發現與針對性攻擊或安全漏洞入侵相關的活動,也用於滿足各種法規要求。
影子 IT
指在組織內部使用,但未經 IT 部門知悉的數位系統、裝置(例如:個人電腦、筆記型電腦、平板電腦和智慧型手機)、軟體、應用程式(通常是現成的套裝軟體)和服務(主要為軟體即服務 (SaaS)、平台即服務 (PaaS) 和基礎設施即服務 (IaaS))。
服務帳戶
一種共用帳戶類型,用於在一個系統必須授予另一個系統安全存取權限時,進行應用程式對應用程式的通訊。
沙賓法案 (SOX , Sarbanes-Oxley Act)
也稱為「公開公司會計改革和投資者保護法」,是於 2002 年頒布的一項法律,旨在透過提高公司財務揭露的準確性和可靠性來保護投資者。 此法規影響所有在美國證券交易所上市的公司。
職能分工 (SoD , Separation of Duty)
一種內部控制,旨在透過確保沒有任何單一個人對一個或多個關鍵業務交易擁有過度的控制權來預防詐欺。它指的是互斥的存取權限或角色。 這涉及將敏感資訊或高風險行動的責任劃分開來,以確保沒有任何個人單獨行動可以危害系統。 作為一項安全原則,其主要目標是預防詐欺和錯誤。 此原則的實例包括銀行支票偶爾需要兩個簽名,或阻止某人核准自己的工作流程請求。也稱為職能分工 (Segregation of Duties)。
深入瞭解職責分離
將任務分解為至少兩個部分,以確保沒有任何單一個人可以單方面執行操作,特別是當不可逆轉的影響超出組織對錯誤或詐欺的容忍度時。
深入瞭解自助式服務
允許使用者透過自助服務介面來申請存取資源的流程,該流程會利用工作流程將請求發送至適當的管理者進行核准。
跨網域身分管理系統 (SCIM , System for Cross-domain Identity Management)
一種開放標準,旨在透過定義表示使用者和群組的綱要 (schema),以及用於所有必要的創建、讀取、更新和刪除 (CRUD) 操作的 REST API,來簡化雲端中的使用者管理。
軟體即服務 (SaaS , Software-as-a-Service)
一種軟體分發模型,其中應用程式由供應商或服務提供者託管,並透過網際網路提供給客戶,通常採用隨用隨付 (pay-as-you-go) 的計費模式。SaaS 軟體由一個或多個服務提供者從遠端擁有、交付並管理。
進階驗證
一種方法,用於根據資源上定義的政策來確定所需的驗證等級。 基於政策評估,可能會要求使用者提高身分驗證的等級才能存取任何特定資源(例如:使用多因子要素驗證(MFA))。
T
威脅偵測與回應 (TDR , Threat Detection and Response)
一組網路安全實務與工具,用於識別惡意活動,並在網路、系統或敏感資料遭到破壞之前,對其進行中和或緩解。
深入瞭解威脅向量 (Threat Vector)
網路犯罪份子用於非法、未經授權存取電腦系統和網路的方法或機制。
深入瞭解權杖 (Token)
作為存取資訊系統的身分驗證要素所使用的軟體或硬體。 硬體權杖是小型裝置,通常為信用卡或鑰匙圈的大小,用於計算一次性密碼 (OTP)。 軟體權杖執行與硬體權杖相同的功能,但它是以軟體形式安裝在使用者已擁有的裝置上,例如手機或平板電腦。
第三方風險管理 (TPRM , Third-Party Risk Management)
指組織對來自外部業務夥伴與供應商(包括供應商、合作夥伴、服務提供者、供應商與承包商)的風險進行識別、評估與控制的流程。
深入瞭解透明度
指問責制 (accountability)、風險管理與集體決策所需的完整資訊的可得性。
U
使用者佈建
同時針對多個資源,無論是本地部署 (on-premises)、雲端或在混合式環境中,進行使用者數位身分與存取權限的創建、維護、更新與處置的流程。
深入瞭解V
供應商風險管理 (Vendor Risk Management , VRM)
用於識別、評估、緩解、管理與監控與業務合作夥伴相關風險的框架。
深入瞭解Z
零信任架構 (Zero Trust)
一種 IT 安全框架,要求所有身分(人、裝置,或任何其他被指定為使用者的實體),無論使用者位於企業網路內部或外部,在存取資料與應用程式之前及期間,都必須經過身分驗證、授權與持續驗證。