| 来源 |
术语 |
定义 |
| 常规术语 |
敏感数据与加密 |
敏感数据的具体范围取决于产品具体的应用场景,产品应根据风险进行分析和判断。典型的敏感数据包括认证凭据(如口令、私钥、动态令牌卡)、加密秘钥、敏感个人数据(如银行账号、用户通信内容)等。 1、在跨非信任网络传输口令的场景中,产品同时支持SSL模式以及普通模式传输。此时,由于产品已经提供了安全能力供用户选择,因此不强制要求普通模式下口令加密后传输。 2、用于敏感数据传输加密的密钥不能硬编码。可以考虑采用密钥用户可管理(如证书导入、密钥可让用户修改)或密钥协商(如Diffie-Hellman密钥交换算法)等方法作为硬编码的替代方案。 3、考虑到历史和客户习惯,数通领域的口令和协议认证字的存储可以支持Simple/Cipher模式,由客户来决定认证字是明文存储还是密文存储。 |
| 原始通信内容 |
通信双方(只要其中一方涉及自然人)之间的实际通信内容,包括语音类、短信/彩信类、传真类、数据业务(如即时消息、Email、视频通信、网页浏览等)类等。 |
|
| 通信矩阵 |
1、在系统中处于侦听状态的端口、客户端连接对方侦听端口时所打开的端口,都必须写入通信矩阵。 2、端口的关闭,必须是代码级的关闭(即关闭的端口不能有bind调用)。而不能是端口仍在LISTENING,通过防火墙、底层芯片等手段丢弃报文的方式实现“关闭”;如果在使用nmap验证时,出现open/filter的结果,则需要确认相应端口是不是真的关闭(确认方法可以是使用Windows/Unix操作系统的netstat命令,或者从代码层面确认)。 3、侦听本机地址(如127.0.0.1)的端口不需要写入通信矩阵,因为监听在本机地址上的端口,无法和机器外部通信。 4、可由用户进行修改的端口应在通信矩阵中记录默认端口。 5、平台开放的端口,若A产品使用,B产品不使用,则平台必须为B产品提供彻底关闭该端口的方法,此端口也不应该在B产品的通信矩阵中体现。 6、因为通信矩阵的输出是以网元为单位,而不是以解决方案为单位。所以解决方案中的每一类网元都要提供通信矩阵。 |
|
| 个人数据 |
与一个身份已被识别或者身份可被识别的自然人(“数据主体”)相关的任何信息;身份可识别的自然人是指其身份可以通过诸如姓名、身份证号、位置数据等识别码或者通过一个或多个与自然人的身体、生理、精神、经济、文化或者社会身份相关的特定因素来直接或者间接地被识别。个人数据包括:自然人的email地址、电话号码、生物特征(指纹)、位置数据、IP地址、医疗信息、宗教信仰、社保号、婚姻状态等。 附: 高影响个人数据(High impact Personal Data):被不正当地披露可能会违反法律,对公司声誉、财务或营运影响很大,对数据主体造成严重的不利影响,例如通信录、短消息、即时通信内容(微信等社交软件)、通话记录、照片、视频、录音、生物特征标识(指纹、虹膜)、精确位置信息、银行账号、权威社会识别号(身份证号、护照号、驾照号、社会保障号等)、健康信息、口令、面部特征标识、DNA序列和抽样、用户喜好和行为习惯、浏览记录、种族血统、政治观点、宗教或哲学信仰、性生活、犯罪记录(刑事、民事犯罪和诉讼记录)、工会记录、儿童信息等。 中影响个人数据(Medium impact Personal Data):被不正当地披露可能会对公司有严重的不利影响,对数据主体造成较大的不利影响,例如姓名(名和姓)、详细通信地址、邮政编码、年龄、出生日期、婚姻状况、家庭成员(关系、姓名等)、电话号码、传真号码、邮箱地址、IMEI、IMSI、一般位置数据、IP地址、MAC地址、信用卡交易信息、财务信息、车牌号等。 低影响个人数据(Low impact Personal Data):被不正当地披露对公司造成的影响可控,对数据主体造成的影响较小,例如国家、省/市、性别、国籍、出生地、教育程度、最终用户终端设备的配置数据、账号ID等。 |
|
| 未公开接口 |
可绕过系统安全机制(认证、权限控制、日志记录等)对系统或数据进行访问的功能(如客户无法管理的固定口令/隐藏账号机制、不记录日志的非查询操作等)及产品资料中未向客户公开的命令/外部接口(如隐藏命令/参数、隐藏端口等接入方式) 1、未公开接口排查整改的范围应包括第三方组件和工具。 2、对于执行某条命令之后触发的后续命令,如果属于模块内命令,不可通过人机接口单独调用,不算隐藏命令,不需要在资料中一一公开,只需要公开前述执行的那条命令即可。 3、对于可以读写内容的命令,要求不能直接指定任意寄存器或者内存地址的方式去读取或修改寄存器或内存,如果确实需要此类功能,应封装成完成特定功能的命令(判断依据:该命令无法被恶意利用于读写系统中的敏感数据或原始通信内容、执行绕过系统认证授权的操作)。能够读写内存的命令,若可以直接指定任意寄存器或者内存地址,即便在资料中公开,其可以实现的功能也是客户不可控的,单纯公开不能保证功能本身的安全性,客户仍然可能会质疑产品中留有后门。 4、当产品将硬编码口令改为用户可修改后,针对用户可能忘记口令导致设备返修的情况,产品可以提供拨码或跳线开关,用于清空配置或恢复出厂配置等;但配置恢复的操作不能影响上层软件的安全机制。 |
|
| 远程访问 |
通过Internet或局域网远距离访问设备的接入方式 |
|
| 通用操作系统 |
操作系统正常运行过程中能够加载和运行第三方的执行程序的,都属于通用操作系统。 常见通用操作系统如Windows、Linux(含嵌入式linux)、Unix、android、VxWorks。 嵌入式linux如果经过裁剪后不提供加载和运行第三方可执行程序能力的,则不属于通用操作系统。 |
|
| 数据库安全 |
1、在不提供外部访问接口,且登陆操作系统也不能访问或者限制登陆系统的OS场景中,数据库可以认为是内部数据结构,可不考虑通用数据库的安全要求。 2、通过ACL或者绑定环回地址监听等方式实现的隔离外部访问,但登录到系统中仍可通过人机接口访问的数据库,仍然适用数据库的安全要求。 |
|
| 定制开发 |
定制开发,是指使用定制版本、插件化等方式,来提供该类特性/功能。 |
|
| 合法监听敏感信息 |
指合法监听相关的事件信息,如监听目标(通信参与方)、监听时间、通信时间、通信时长等,不包括通信内容 |
|
| 匿名化 |
是对个人数据进行不可逆改变的过程,个人数据匿名化处理后将无法直接或间接地识别数据主体或者识别需要不合理的耗费大量的时间,费用和精力。 |
|
| 假名化 |
为了限制通过个人数据来识别数据主体,个人数据中包含的身份信息可以被假名替代。这种替代就是假名化,假名化的两个属性是: (1)和假名相关联的其他属性不足以识别出这些属性关联的数据主体; (2)除假名分配者外,隐私相关方(例如数据控制者)在有限的努力下无法根据假名逆推出数据主体。假名化以后的数据依然属于个人数据。假名化也称作化名。 红线中允许使用的假名化处理方式限于:单向散列、替换方式,如需保留个人数据真实值与替换值之间的对应关系,可以使用对称加密或映射表方式,但密钥/映射表必须由运营商控制或密钥/映射表禁止传出EEA。 |
|
| 安全删除 |
指对数据删除之后不可恢复,或者恢复需要付出过多、不相称的时间、费用和精力。例如:对RAM(内存)用新的数据覆盖或下电;对磁盘分区进行低格、对磁盘文件重写三次或以上、对磁盘进行消磁、粉碎;对CD进行物理粉碎等。来源:参考德国合作项目顾问建议 |
|
| 受限公开 |
对于涉及手机工程码和消费类产品的维修命令、芯片类产品的技术秘密、可外部访问且需要二次开发才能调用的机机接口等符合业界惯例且不期望向所有客户人员公开的内容,不在正式发布的面向所有客户的产品资料中公开,仅主动向客户特定人员公开或仅在客户要求时再公开(与客户签署保密协议),以规避因实现细节过度公开而导致的安全风险。 |
|
| 带内/带外 |
带内是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送;而带外指网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送。 带内与带外网元指不同组网方式下的网元。 带外网管:系统支持带外管理方式,即网管服务器与被管设备之间不通过IP协议进行通信,而是在网管系统与设备之间插入一台串口交换机,网管系统与串口交换机之间通过TELNET协议进行通信,串口交换机与设备之间通过设备的Console口进行串行通信。这样在被管设备IP不可达的情况下,网管仍然可以管理设备。 带内网管:系统支持带内管理方式,即网管服务器与被管设备之间通过IP协议进行通信,需要预先配置设备访问方式。 |
|
| 精确位置信息 |
经纬度、如GPS可以限定在几十米之内。精确位置信息的标准是能识别对应到具体的自然人的程度。 通过基站提供的几百米范围,这是通信设备的基本功能,属于一般位置信息。 |
|
| 恶意广告 |
广告内容包含违反法律要求的信息和行为,定义为恶意广告。 对于第三方广告插件,广告内容不可控,不作为红线问题要求。 |
|
| 恶意消耗流量 |
指软件后台大量下载、上传与该业务无关的应用、视频等文件而大量消耗用户数据流量的行为。 |
|
| 吸费陷阱 |
指未经用户允许、或用户不知情的情况下误导用户操作并引起扣费的行为。 吸费陷阱的途径: 1、语音:拨打声讯台,费用极其高昂; 2、短信:普通信息传送接入号,如发送XXX到XXXX预定某增值业务等; 3、网络:手机上网登陆页面、彩信等 吸费形式: 一种是计时收费;一种是点播,即按条(次)收费;还有一种是订阅,即包月。 |
|
| 移动终端 |
指面向最终消费者、可以在移动中使用的通信终端设备,包括手机、平板电脑、数据卡类产品、车载终端、可穿戴设备、大屏、音箱等。 |
|
| 消费类产品 |
指直接面向个人消费者销售的产品。 |
|
| 认证凭据 |
认证凭据指用于证明真实性的身份而声明的私有或公共数据。常用的认证凭据有口令、预共享密钥、私钥、snmp团体字、智能卡、动态令牌卡、指纹、虹膜等。 注:身份标识符(如系统中创建的帐户或用户名)不属于认证凭据。 |
|
| 标准协议 |
本文中提及的“标准协议”指国际标准协议(如ETSI、3GPP、ITU-T等标准组织定义的标准)、区域性标准(如欧盟制定的标准)、国家行业标准(如中国工信部制定的标准)、事实行业标准(如UPnP组织定义的行业标准),不包括某一客户自己制定的规范要求(如某运营商自己制定的某一接口的对接标准)。 |
|
| 企业移动终端 |
专为企业、政府及其他组织机构(客户)开发或定制,属于客户而不属于最终用户,可以在移动中使用的通信终端设备,包括手机、平板电脑、数据卡类产品、车载终端、可穿戴设备等。企业移动终端由公共部门统一分发,使用场景限于公共利益、公共安全或处理紧急事务等,企业移动终端的使用者不是消费者等最终用户,使用者对该类设备的隐私期待很低。 |
|
| 开源和第三方软件管理 |
产品梳理所使用到的开源及第三方软件,按照《采购件开源及第三方软件信息模板》枚举产品使用的开源及第三方软件 |
|
| 安全组件 |
1. 安全组件指为确保产品的机密性、完整性、可用性,在公司产品使用的,提供加密、认证、授权、审计等安全功能的软件模块或库。 2. 从安全功能角度看,安全组件包括加密与密钥管理、访问控制、隐私保护、安全检测与响应、安全隔离、可信计算、安全管理等。 如:OpenSSL、OpenSSH等安全组件 公司开源组件库,选择“安全组件”分类: http://opensource.huawei.com/Windchill/insight/apps/selectionplatformsoftclassify/?tmg=all |
|
| 发布签名 |
软件包进行的数字签名和验证。该签名在软件发布阶段完成,用于提供统一、基本的软件完整性保护机制,用于一线服务人员和客户对下载的软件包进行手动完整性验证,也用于部署平台(工具)对软件包的完整性验证。在发布过程能软件包的外部进行整包签名,也有旧称为大包签名 |
|
| 构建签名 |
针对软件包内的非可变文件进行的数字签名和验证。该签名在软件构建阶段完成,并把签名结果打包到最终的软件包中,用于在软件安装及系统升级场景中的软件完整性验证。相对于发布签名总是软件包的外部,构建签名也有旧称为内层签名。 |
|
| IP接入网关 |
IP接入网关泛指在IP网络边缘连接用户主机的各种IP网关设备。IP接入网关以IP包转发为基本功能,部分接入网关依据对应功能和场景不同,具有用户或客户端认证功能。由于此类设备是接入互联网的设备,且设备众多,需要运营商/客户(如企业客户)通过互联网做批量远程管理。如果运营商或客户疏于管理,容易被攻击者利用造成批量攻击事件。 |
|
| First login登录模式 |
First login登录模式是指,默认账号没有缺省口令,首次登录就必须强制设置一个唯一的强口令。初始新安装的系统,在首次登录完成系统配置前,应禁止直接接入网络上线运行。 由于缺省口令在业界已经广为流传,对于专业黑客来说,实质等同于没有口令。缺省口令存在软件包中还容易被外界质疑。 |
|
| 被动依赖开源软件 |
被动依赖开源软件,一般指产品主动引入开源软件时,通过打包被动带入或编译被动带入的软件,非产品主动选型引入。 |
|
| 隐私保护 |
敏感个人数据 |
敏感个人数据是个人数据的一个重要子集,指的是涉及数据主体的最私密领域的信息或者一旦泄露可能会给数据主体造成重大不利影响的数据。欧盟等国家和地区法律定义的敏感个人数据包括种族、政治观点、宗教和哲学信仰、工会成员资格、健康和性生活状况等。根据业界最佳实践,敏感个人数据还包括可与自然人身份相关联的银行卡号、身份证号、护照号、口令等。敏感个人数据的处理需要更多更严格的保护措施。 |
| 隐私 |
指无论在空间、心理或者信息层面上,其他个人、集团或组织不得接近的一种条件或状态。隐私是一种当事人不愿他人知道的个人数据,当事人不愿他人干涉或他人不便干涉的个人私事,以及当事人不愿他人侵入或他人不便侵入的个人领域或个人空间,如私人生活、身体和道德的完整性、不得披露不相关和令人尴尬的事实等。 |
|
| 隐私偏好 |
数据主体有权利自主选择个人数据的收集、使用的目的,以及以怎样的方式来使用、披露他们的个人数据。隐私偏好则是数据主体选择结果的体现。 |
|
| 数据主体 |
数据主体(Data Subject): 数据主体就是提供个人数据供数据控制者和处理者处理的人。数据主体能够通过个人数据识别,可以通过如姓名等直接识别也可以通过其个人数据的组合而间接识别出 |
|
| 数据控制者 |
指单独或者与他人共同确定数据处理目的和方式的法人或其他实体。数据控制者对个人数据的处理具有控制权,并且承担个人数据保护的主要法律责任。以下情况,供应商属于数据控制者: 供应商直接面向最终用户提供服务的网站类产品,供应商决定收集的数据类型和使用目的 供应商直接面向最终用户提供在线的应用、软件和服务,供应商对数据处理具有控制权 供应商自运营的云服务类产品,且供应商会对用户存储的数据进行统计分析以用于营销/增值等目的,供应商对相关数据处理具有控制权; 供应商自运营,直接向用户提供聚合资源的服务,并由供应商确定数据处理目的和方式。 |
|
| 数据处理者 |
指按照数据控制者要求进行个人数据处理的法人或其他实体(数据控制者的员工不属于数据处理者)。数据处理者必须按照数据控制者的要求对个人数据进行充分的保护。以下情况,供应商属于数据处理者: 供应商根据客户要求为客户提供产品的维保服务,如由于产品故障需要采集个人数据进行问题定位的场景; 为提升运营商经营或运维效率,由供应商按照运营商的要求提供增值服务,供应商会处理运营商持有的个人数据,如SmartCare、Nastar; 供应商按照运营商的指示和要求,提供代理维护服务,运营商是数据控制者,供应商是数据处理者; 由供应商自运营的云服务类产品,供应商仅提供基础设施或服务平台,根据云客户的要求进行数据处理的情况,云客户为数据控制者,供应商是数据处理者; 供应商根据运营商要求向用户提供聚合资源的服务,并由运营商确定数据处理目的和方式,如RBT彩铃业务。 |
|
| 用户画像 |
用户画像(profiling):指对个人数据采取的任何自动化处理的方式,包括评估某个自然人特定方面的情况,尤其是为了分析和预测该自然人的工作表现、经济状况、健康、个人喜好、兴趣、可信度、行为举止、所在位置或行迹。 |
|
| 营销 |
一种广告形式,其中组织通过各种媒体直接与客户沟通,包括手机短信,电子邮件,网站,在线广告,数据库营销,传单,目录分发,宣传信件和有针对性的电视,报纸和杂志广告以及户外广告。(来源:Wikipedia) |
|
| 同意(Consent) |
同意是数据主体在特定的、知悉相关信息的情况下,自愿给予对处理其个人数据的允许。同意应采用明示同意的方式,获取用户同意。 明示同意:需要数据主体明确且主动的操作来表示同意处理个人数据。 当需要获得清晰的,并且需要记录的同意时,或者在处理高影响个人数据的场景下,通常使用明示同意。其表现形式一般是向数据主体提供一个空着的勾选框、可以点击的链接或是按钮,让数据主体主动勾选,点击来表示同意。 |
|
| 远程证明 |
远程证明是在可信启动基础上实现的,包括远程证明服务器和远程证明客户端。 远程证明服务器可以向远程证明客户端发送挑战请求,客户端根据挑战请求搜集相关PCR值和SML反馈给远程证明服务器端。 远程证明服务器将收到的PCR值与本地保存的参考值比较,根据比较结果来判断客户端的可信状态。 |
|
| 会话管理 |
会话Token |
会话Token是服务器为确认客户端请求的有效性而随机生成一段字符串。 |
| 会话标识(Sessionid) |
会话标识是由服务器/应用程序生成的用于唯一标识当前会话的一个值。 |
|
| 会话cookie |
把cookie放在浏览器内存里, 浏览器关闭会话cookie就会被删除 |
|
| 持久cookie |
把cookie固化在用户的计算机硬盘上,直到超过过期时间才会被删除。 |
|
| 密码算法应用 |
对称算法 |
对称算法的加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加/解密密钥是相同的。 |
| 非对称算法 |
非对称算法(也叫公开密钥算法)是这样设计的:用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来。之所以叫做公开密钥算法,是因为加密密钥能够公开,即陌生者能用加密密钥加密信息,但只有用相应的解密密钥才能解密信息。 |
|
| 哈希函数 |
是一种将不同长度的数据映射成固定长度数据的函数。 |
|
| 消息认证码 |
密码学上的一种数据校验和,通过使用对称密钥来检测数据是否发生意外或有意的修改。消息认证码简称MAC。 |
|
| 分组密码 |
分组密码是对称算法的一种,它将明文分成多个等长的组,并用相同的算法对每组进行加密。 |
|
| 流密码 |
流密码是对称算法的一种,它是用算法和密钥一起产生一个随机码流,将其与数据流XOR产生加密后的数据流。 |
|
| 工作模式 |
工作模式是指使用分组密码算法对数据进行加密转换的方法。常见的工作模式有ECB、CBC、CFB、OFB和CTR五种基本加密模式;还有CMAC、GMAC两种认证模式和CCM、GCM两种认证加密模式。 |
|
| 初始向量 |
初始向量是许多工作模式中用于随机化加密的一块数据,因此可以由相同的明文、相同的密钥产生不同的密文。 |
|
| 填充 |
分组密码算法只能对数据长度为分组长度整数倍的数据进行处理,填充就是保证数据长度符合这种要求的一种方式。 |
|
| 盐值 |
通过在口令任意位置插入字符串,让哈希后的结果和使用原始口令的哈希结果不相符,这种过程称之为“加盐”。这个字符串就是盐值。 |
|
| 安全强度 |
安全强度用来衡量密码算法或者密码系统的安全性,它是对破解密码算法或者系统所需要的工作量的一个数值度量。 |
|
| 密钥 |
密钥是一个结合密码算法一起使用的参数,拥有它的实体可以加密或恢复数据,没有它的实体则不行。 |
|
| 口令 |
口令是指用于身份认证、鉴权或者导出加密密钥的字符串,可由字母、数字和符号组成。 |
|
| 密钥管理 |
工作密钥 |
工作密钥用来与密码算法一起对业务数据进行加密,以保证数据的机密性。 |
| 密钥加密密钥 |
密钥加密密钥用于对工作密钥进行加密,以保证其机密性。 |
|
| 根密钥 |
根密钥处于密钥分层管理的最底层,对密钥加密密钥(或者工作密钥)进行加密,以保证其机密性。 |
|
| 密钥生命周期 |
某个特定的密钥经授权使用的时间跨度,或者某个系统或应用程序专用的密钥仍然有效的时间跨度。 |
|
| 密钥材料 |
一段二进制数据串,通常由密钥导出函数的直接输出,可从中截取一部分作为对称加密密钥或IV。 |
|
| 密钥组件 |
与密钥具有相同安全属性的两个或多个参数;这些参数在安全函数的作用下可以组成一个明文的密钥或密钥材料。 |
|
| 密钥协商 |
一种确定密钥的过程:生成的密钥材料由两个或者多个参与方提供,故此没有一方可以不需其他方的参与自行预先决定密钥材料。 |
|
| 密钥确认 |
让一方确信另外一方事实上已经拥有相同的密钥材料和(或者)共享秘密的过程。 |
|
| 密钥分发 |
将密钥和其他密钥材料从拥有密钥或者生成密钥的一方实体传送至希望使用该密钥的另外一方。 |
|
| 密钥传输 |
即密钥建立的过程:一方(发送方)选择密钥材料并且对其进行加密,而后将密钥材料分配给另外一方(接收方)。 当采用非对称算法时,使用接收方的公钥对密钥材料进行加密,接收方使用私钥进行解密;当使用对称算法时,密钥材料采用双方共享的密钥加密密钥进行加密。 |
|
| 密钥更新 |
利用密钥生成函数作用于一个旧密钥,以此来产生新的与旧密钥相关的密钥。 |
|
| 密钥管理 |
在整个密钥生命周期内,牵涉到密钥及其他与安全参数(如初始向量与口令)有关的活动,包括密钥的生成、传输、使用、存储、更新、备份、恢复、销毁等。 |
|
| 私钥 |
与非对称密码算法一并使用的密钥,其只与某一实体相关联且不对外泄露。在一个非对称密码系统中,私钥与对应的公钥相关联。 |
|
| 公钥 |
一种配合公钥密码算法的密钥,一个唯一的与实体配用的可以公开的密钥。在一个非对称密码系统中,公钥与对应的私钥相关联。公钥不要求保密性,但需保证真实性,即与实体关联的可信性。 |
|
| 共享秘密 |
特指密码学应用中,被密钥协商机制计算或被用作密钥衍生函数/方式输入的秘密值,如预置共享密钥、PBKDF中的口令等。 |