📋 框架標準¶
資安框架、標準與評估方法
共 27 個術語。
| 英文 | 中文 | 說明 |
|---|---|---|
| Attack Surface | 攻擊面 | 系統中可能被攻擊者利用的所有潛在入口點 |
| BOLA | 物件層級授權失效 | API 未正確驗證使用者對物件存取權限的漏洞 |
| CIA Triad | CIA 三要素 | 資訊安全的三大核心原則:機密性、完整性、可用性 |
| CIS Benchmarks | CIS 安全基準 | 針對各種系統的安全設定最佳實務指南 |
| Critical Infrastructure | 關鍵基礎設施 | 對國家運作至關重要的實體和虛擬系統 |
| CVE | 通用漏洞揭露 | 公開已知漏洞的統一編號系統 |
| CVSS | 通用漏洞評分系統 | 評估漏洞嚴重程度的標準化計分系統 |
| CWE | 通用弱點列舉 | 軟體和硬體弱點類型的分類系統 |
| Cyber Kill Chain | 網路殺傷鏈 | 描述網路攻擊各階段的框架模型 |
| Data Classification | 資料分類 | 依據敏感度將資料分級的管理方法 |
| Defense in Depth | 縱深防禦 | 部署多層安全控制以保護資產的策略 |
| DREAD | DREAD 風險評估模型 | 量化安全風險的評估方法 |
| EPSS | 漏洞利用預測評分系統 | 預測漏洞被利用機率的評分系統 |
| FAIR | 資訊風險因素分析 | 量化資訊安全風險的國際標準 |
| ISMS | 資訊安全管理系統 | 組織管理資訊安全的系統化框架 |
| KEV | 已知遭利用漏洞清單 | CISA 維護的已確認遭實際利用的漏洞清單 |
| MITRE ATT&CK | MITRE ATT&CK 框架 | 描述網路攻擊戰術與技術的知識庫 |
| MITRE D3FEND | MITRE D3FEND 框架 | 描述網路防禦技術的知識庫 |
| NVD | 國家漏洞資料庫 | 美國政府維護的漏洞資料庫 |
| OWASP | OWASP 基金會 | 推廣網頁應用程式安全的非營利組織 |
| OWASP API Security Top 10 | OWASP API 安全十大風險 | API 最常見的十大安全風險排名 |
| OWASP Top 10 | OWASP 十大風險 | 網頁應用程式十大安全風險排名 |
| Responsible Disclosure | 負責任揭露 | 通知廠商漏洞並給予修補時間的揭露方式 |
| Risk Assessment | 風險評估 | 識別、分析和評估資安風險的系統化流程 |
| Risk Management | 風險管理 | 識別、評估和處理資訊安全風險的流程 |
| Security Control | 安全控制措施 | 用於保護資訊系統的管理、操作或技術措施 |
| STRIDE | STRIDE 威脅模型 | Microsoft 提出的威脅分類方法論 |