以下詞彙包含賽門鐵克安全機制應變中心網站上常用的許多術語。 請參閱此清單或常見問題集 (FAQ) 頁面,尋找術語定義與其他與網路安全相關的問題解答。
.dam
表示偵測到一些遭威脅損毀的檔案,或是一些可能包含無作用威脅片段程式碼的檔案,導致檔案無法正確執行或產生可靠的結果。
.dr
這是指被視為病毒安裝程式的檔案。 此程式會將病毒或病蟲放到受害者的電腦中。
.enc
這是指經過加密或編碼處理的檔案。 例如,使用 MIME 編碼技術為自身建立副本的病蟲就可能被偵測出帶有 .enc 尾碼。
用來管理數據機集區的通訊伺服器。 它能夠將外寄訊息指引至下一部可用的數據機,並將內送訊息指引至適當的工作站。
動作
預先定義的回應,可處理系統或應用程式所發出的事件或警示。
作用中
指示程式、工作、政策或掃描正在執行的狀態。例如,當排程掃描執行時,就會被視為作用中。
活動日誌
一種報告類型,在這種報告中,所有記錄的事件都會依時間順序加以整理。
管理網域
由安全政策、安全模式或安全架構所定義的環境或情境。
- 監督所有的網路作業。
- 負責在網路上安裝各種程式,並加以設定以便散發至各工作站。
- 可能還需要更新工作站上的安全設定。
廣告軟體是一種協助用來將廣告內容傳遞給使用者的軟體套件。
資齡
一種評比方式,可用來計算自從發現漏洞以後漏洞所經歷的相對時間量。 依據專家的說法,攻擊漏洞的可能性會隨著漏洞的資齡增加而提高。 人們可能知悉漏洞存在的假定支持了這項說法。 L-3 Network Security 的研究人員針對最近發現的漏洞給予較低的資齡要素評比。 較早發現的漏洞的評比較高。
可警示的事件
任何設定為可觸發警示的事件或事件集成員。
別名
其它防毒軟體廠商用來識別威脅的名稱。 賽門鐵克的 Bloodhound 啟發式技術通常會在加入特定偵測之前識別潛在的威脅。 在這種情況下,Bloodhound 偵測的名稱就會出現在此欄位中。
應用程式伺服器
可讓簡易用戶端使用由伺服器所管理之應用程式及資料庫的軟體伺服器。 應用程式伺服器會處理所有的應用程式作業及用戶端連線。
資產
實體項目、資訊項目,或是組織維持生產力所需的能力。 範例包括電腦系統、客戶資料庫以及生產線。
資產評量
資產的量化評量方式。 資產評量是與組織中其它資產相關之資產的機密性、完整性與可用性。
攻擊特徵
網路流量的特性,不論是位於封包的標題或封包群組的特徵,皆可用於分辨攻擊與合法流量。
通過驗證、自我簽章的 SSL
一種可透過自我簽章憑證來進行驗證與資料加密的 SSL 類型。
驗證
針對某些經過電腦處理的交易,保證交易的某一方並非騙徒。 此外,驗證通常會使用密碼、憑證、PIN 或其它可用來透過電腦網路證實身份的資訊。
AutoInstall 套件
由 AI Snapshot 與 AI Builder 建立的執行檔,含有一或多個應用程式並利用 Symantec Ghost 主控台散佈至用戶端電腦。
一組用來決定要將哪部電腦納入備份工作中,以及包含排程等其他詳細資料的設定。
Banner grab
用戶端在連線至伺服器後會立即收到此可讀取的字串。 收到的字串類型通常可識別作業系統及伺服器類型。
效益
就漏洞評量而言,這是指防護措施的效果。 如果是自我採取的防護措施,就會降低一定程度的漏洞風險。
每秒位元數 (bps)
裝置的速度測量單位;例如,數據機每秒可傳輸的資料位元數。
空白
清除電腦螢幕上的影像或不顯示任何影像。 您可以設定讓 pcAnywhere 被控端在連線後清空被控端的螢幕。 這項設定可提升無人操作的 pcAnywhere 被控端的安全性。
混合式威脅
混合式威脅結合了病毒、病蟲、木馬程式與惡意程式碼的特性,並利用伺服器與網路漏洞來發動、傳送與擴散攻擊。 混合式威脅可利用多種方法和技術,快速擴散並造成廣泛的破壞。 混合式威脅的特性包括:
- 造成傷害:在目標 IP 位址發動拒絕服務攻擊 (DoS)、置換網頁伺服器的網頁,或植入木馬程式做為日後攻擊之用。
- 透過多種方法進行散佈:掃描會危害系統的漏洞 (像是在伺服器上 HTML 檔案中的內嵌碼),使受害網站的造訪者遭到感染,或從受害伺服器傳送夾帶病蟲附件之未經授權的電子郵件。
- 從多點發動攻擊:將惡意程式碼置入系統上的 .exe 檔、提高來賓帳戶的權限等級、建立可全球讀取與寫入的網路共用,進行眾多登錄變更,並將程序檔程式碼加入 HTML 檔案中。
- 不需人為介入即可散佈:持續掃描網際網路以找出易受攻擊的伺服器。
- 攻擊漏洞:利用諸如緩衝區溢位、HTTP 輸入驗證漏洞,以及已知的預設密碼等已知漏洞,取得未經授權的管理權限。
若要有效防護混合式威脅,您需要包含多層防禦與回應機制的完善安全解決方案。
開機套件
檔案、可開機磁碟、Ghost 影像,或是含有 Symantec Ghost 執行檔的可開機磁碟之 Preboot Execution Environment (PXE) 影像,以及任何啟動用戶端電腦與 Symantec Ghost 所需的驅動程式。
廣播警示動作
AMS2 對警示的回應,一旦伺服器發出警示,AMS2 就會藉此將訊息傳送給所有登入該伺服器的電腦。
程式錯誤
可能包含有害副作用的軟體程式設計錯誤。 各種的網頁瀏覽器安全問題以及 Y2K 軟體問題等屬於程式錯誤。
這種安全功能可讓主機在成功連線後中斷與遠端呼叫者的連線,然後重新呼叫遠端電腦以便進行安全驗證或財務擔保。
畫布
就是放置主機及其它代表網路配置之繪圖物件的視窗。
軟體能力成熟度模型 (CMM 或 SW-CMM)
此模型用來評斷組織裡軟體程序的成熟度,以及找出增加這些程序成熟度所需的關鍵作法。
擷取的攻擊階段作業
任何包含攻擊特徵的網路階段作業記錄。 您可以設定 NetProwler 來擷取任何類型的攻擊記錄。 您可以在 NetProwler 主控台或代理程式圖形使用者介面 (GUI) 的「攻擊階段作業」分支中檢視這些階段作業。
導致系統不穩
這種行為會導致電腦當機或出現無法預期的狀況。
憑證
密碼編譯系統會使用這個檔案來驗明正身。 它包含了使用者的名稱與公開金鑰。
由認證中心簽章的 SSL
一種 SSL 類型,可透過認證中心的數位簽章憑證提供驗證與資料加密功能。
通道
在通訊當中用來傳遞資訊的媒介,亦稱為管線或線路。 根據通訊通道的類型而定,通訊通道可透過類比或數位形式來傳遞資訊。 通訊通道可以是實體連結,例如連接網路中兩座工作站的纜線,或是一些電磁傳輸的組成。
用戶端
對上層伺服器程式提出要求,或對其傳送資料的程式。
用戶端電腦
執行用戶端程式的電腦。 在網路上,用戶端電腦會以用戶端/伺服器的關係,與其他執行伺服器程式的電腦互動。
用戶端/伺服器程式
這種程式分成兩部分,一部份會安裝在做為該程式伺服器的電腦上,而另一部份則安裝在一或多部用戶端電腦上。
用戶端/伺服器關係
這種關係牽涉到兩部透過網路進行通訊的電腦 (通常是一部伺服器和一部用戶端)。 一般來說,其中一部電腦會管理或提供服務給另一部電腦。
用戶端報告
這種報告方法可從伺服器擷取資料並在用戶端進行處理。
複製
針對主機或遠端電腦上的指定資料夾,在另一部電腦上產生一模一樣的資料夾。 任何來源資料夾中的檔案都會一併複製到目的資料夾。 所有位於目的資料夾以及不在來源資料夾的檔案,通通會從磁碟中刪除。 請參閱「同步化」。
叢集伺服器
將兩部以上的伺服器群組連結在一起,以平衡多變的工作量,或是在某部伺服器故障時,提供持續的運作。
CME 計劃
CME 計劃是由美國電腦緊急應變小組 (US-CERT) 所主導,會同安全社群內一些重要組織協同合作的一項工作。 透過採用中立、共用識別方法,CME 計劃尋求:降低大眾對於惡意軟體資安事端中的威脅認知混淆、加強防毒軟體廠商之間的通訊,以及改善防毒軟體廠商與其它資訊安全社群之間的通訊與資訊共用。
CME 編號
通用惡意軟體編號 (CME) 是針對特定威脅所制訂之所有防毒軟體廠商適用的獨一識別碼 (請參閱上述的「CME 計劃」)。
指令行介面 (CLI)
這種公用程式可提供替代方式,讓您在 UNIX 與 Windows NT 環境中執行 ESM 指令。 CLI 支援 ESM 主控台所提供的大部分 ESM 指令。 此外,您可以建立代理程式記錄、移除模組,或是透過指令行介面執行含有 CLI 指令的批次檔。
通用資訊模式 (CIM)
一種與實作架構無關的通用資料模型,可在網路/企業環境中用來描述整體管理資訊。 CIM 是由「規格」與「架構」所組成。 「規格」可定義與其它管理模型的整合詳細資料 (例如 SNMP MIB 或 DMTF MIF 等等),而「架構」則負責提供實際的模型描述。
通訊裝置
也稱為連線裝置。 通訊裝置指的是數據機、網路卡,或其他能夠促成遠端通訊與電腦間資料傳輸的硬體元件。
通訊連結
在電腦 (與/或週邊裝置) 之間促成資料傳輸的連線。 通訊連結可以是網路、數據機,或是纜線。
通訊埠 (COM 埠)
亦稱為序列埠。 COM 通訊埠是用來傳送與接收序列資料傳輸的位置。 這些通訊埠通常是指 COM1、COM2、COM3,與 COM4。
通訊協定
可讓電腦彼此交換資料的指定規則集。 通訊協定定義了諸如傳輸速率、間隔類型與模式之類的問題。
通訊階段作業
兩台電腦保持連線且通常涉及傳輸資訊的時間。
編譯
將高階程序檔轉換為可供執行的低階指令集。 語法錯誤會在編譯程序碼時發現。
破壞安全設定
此行為可能會嘗試取得密碼或其它系統層級的安全設定存取權限。 它也可能在電腦的網際網路處理元件中搜尋漏洞,以便在該特定系統中安裝可讓某人透過網際網路在遠端控制該系統的程式。
連線項目
代表 pcAnywhere 檔案的項目,其中包含階段作業中會用到的連線裝置資訊與安全設定。
主控台
1. 用來管理軟體或網路的程式介面。 2. 在大型主機或 UNIX 環境中,終端機包含了一台顯示器與一個鍵盤。
內容過濾
安全政策的子類別,其中牽涉到以文字形式出現的字詞語意 (例如電子郵件)。 它同時包含 URL 過濾。
中斷連線復原
這個檔案傳輸選項可指示 pcAnywhere 在電腦中斷連線後重新連線時,從中斷的地方繼續傳輸檔案,而不是重頭開始傳輸。
目前的漏洞評量
在考慮採取防護措施來保護漏洞後,漏洞所造成的危險。 如果您採取有效的防護措施,目前的漏洞評量就會小於預設的漏洞評量。
CVE 參照
漏洞與其它資訊安全風險的標準化名稱清單 - CVE 旨在針對所有大眾已知的漏洞名稱與安全風險建立標準。 (來源:
CVE 網站)
按一下
這裡,閱讀更多有關賽門鐵克與 CVE 相容性的資訊。
損害要素可評量特定威脅可能造成的危害值。 這項評量包含已觸發的事件、阻礙電子郵件伺服器、刪除或修改檔案、發佈機密資訊、效能降低、病毒程式碼中的錯誤、破壞安全設定,以及損害可能修復的程度。
資料轉換
轉換舊版的 pcAnywhere 組態檔 (例如連線至被控端電腦),以便運用在目前的版本中。 您也可以使用資料轉換功能,將組態檔匯入文字檔或從文字檔中匯出以便保留記錄。
資料範本
此範本可定義要包含在備份中的檔案或登錄項目。
資料傳輸
資訊從某個位置移到另一個位置。傳輸的速度稱為資料速率或資料傳輸速率。
資料傳送
以電子方式將資訊從傳送裝置傳輸至接收裝置。
預設的威脅評量等級
依據適當的威脅設定檔以及安全專家的預估所得出的等級。 專家預估資料是透過 Delphi 查詢方法取得。
預設的漏洞評量
在考慮採取防護措施來保護漏洞前,漏洞所造成的危險。 如果您採取有效的防護措施,目前的漏洞評量就會小於預設的漏洞評量。
降低效能
這種行為會使電腦運算變慢,可能包括配置可用的記憶體、建立會消耗磁碟空間的檔案,或是導致程式的載入或執行速度變慢。
刪除檔案
這項行為會刪除硬碟上的各種檔案。 會被刪除的檔案數量與類型則視病毒而定。
桌上型電腦
1. 主要用於執行個人工作,而不是當做伺服器使用的電腦。 2. 主要放置在桌面上或桌面底下的個人電腦或工作站。
撥號
透過區域網路、數據機或直接連線來啟動連線,而不論是否真正涉及撥號動作。
任何會變更數據機設定以撥打高費率付費電話,或者會要求對特定內容的存取付費的軟體套件,都屬於撥號程式。
直接連線
電腦可以利用這種資料通訊形式,透過虛擬數據機纜線直接與另一部電腦連線。
停用
表示程式、工作、政策或掃描無法使用的狀態。 例如,當排程掃描為停用狀態時,即使到達指定的掃描日期與時間,也不會執行排程掃描。
偵測
某部電腦嘗試在相同的網路或網域中找尋另一部電腦的程序。
分散式管理工作小組 (Distributed Management Task Force,DMTF)
這個產業組織會領導桌上型電腦、企業及網際網路環境之管理標準與計劃的發展、執行與統一。 DMTF 與主要技術廠商及附屬標準團體一起合作,促使透過可協同運作的管理解決方案,達成更加充分整合、具成本效益,且不以危機驅動的管理方法。
網域
共用共同目錄資料庫並視為一個單位進行管理的電腦群組或裝置群組。 在網際網路中,網域會將網路位址組織成階層式子集。例如,.com 網域代表商務企業所用的主機系統。
網域名稱系統 (DNS)
一種將 TCP/IP 主機加以分類的階層式主機命名系統。例如,在網際網路命名配置中,含有 .com 網域名稱的主機代表位於商務企業中的主機。
下載
將資料從某部電腦傳輸至另一部電腦,而且通常是透過數據機或網路進行。一般而言,「下載」是指從網際網路、「電子佈告欄系統」(Bulletin Board System,BBS) 或線上服務,將檔案傳輸至某人電腦的行為。
Download 資料夾
用來存放在檔案傳輸期間所收到之檔案的資料夾。
驅動程式
此程式可用來解譯在週邊裝置與 CPU 之間往返進行傳輸的指令。
依據威脅是否必須擁有系統的電子存取權限才能攻擊漏洞,來計算漏洞大小的評比方式。
啟用
表示程式、工作、政策或掃描可以使用的狀態。 例如,當排程掃描為啟用狀態時,到達指定的掃描日期與時間時,將會執行排程掃描。
加密的病毒
利用加密方法將自身隱藏起來不讓病毒掃描程式偵測到的病毒。 也就是說,加密過的病毒會將自己的程式碼變成亂碼,以致難以偵測。
加密
一種將資料進行變碼或編碼以避免未經授權的使用者讀取或竄改資料的方法。只有擁有密碼或金鑰存取權限的使用者才能夠解密並使用資料。 這些資料可以包括訊息、檔案、資料夾或磁碟。
延伸分割區開機記錄 (EPBR)
每個邏輯分割區就像實體硬碟一樣,而在每個邏輯硬碟上,EPBR 會與實體硬碟的 MBR 佔用相同的位置。
ESM 代理程式
一種軟體元件,可在主機系統上執行安全評估並將結果傳回 ESM 管理員程式。 ESM 代理程式還可儲存系統專屬與使用者帳戶資訊的快照檔案、將使用者要求的修正內容套用至檔案,並更新快照以符合修正過的檔案。
ESM 企業主控台
用來管理管理程式與代理程式的圖形化使用者介面 (GUI)。 此介面可接收使用者輸入、將要求傳送給 ESM 管理程式,並格式化所傳回的安全評估資料以便顯示。 ESM 5.0 及更新版本可支援 ESM 企業主控台。 舊版的 ESM 則是使用 ESM GUI。
ESM 管理程式
這個軟體元件可協調其指定的 ESM 代理程式之間的工作、在代理程式與 ESM 使用者介面之間提供通訊,並儲存代理程式所收集的安全資料。
事件
在系統或應用程式之中,程式所偵測到的重大事件。 事件通常會觸發動作,例如傳送使用者通知或新增記錄項目。
事件類別
可用來排列報告順序及設定警示的預先定義事件類別。
事件正規化
讓來自不同來源的事件得以對應至一致架構的程序。
事件檢視器 (ITA 事件檢視器)
用於檢視由 Intruder Alert 代理程式所擷取之事件資料的個別 Windows NT 或 UNIX 圖形化使用者介面 (GUI)。
攻擊
一種專門利用軟體漏洞的程式或技術,不肖份子可利用這種方式來破壞安全,或是透過網路攻擊主機。
漏洞
漏洞是運算系統 (或一組系統) 的一種狀態,它不是普遍的漏洞,而是:
- 允許攻擊者執行資訊收集活動
- 允許攻擊者隱藏活動
- 包含可正常運作的功能,但卻易於遭受破壞
- 一個可讓攻擊者嘗試用於存取系統或資料的主要進入點
- 根據某些合理的安全政策,可視為一項問題
延伸 (分割區)
延伸分割區是一個主要分割區,原先的用意是要克服四個主要分割區的限制。 延伸分割區是邏輯分割區的容器或預留位置。 延伸分割區本身不包含任何資料,也不接受磁碟指定代號。 它可包含任意多個的邏輯分割區,而每個邏輯分割區則可接受磁碟指定代號 (只要作業系統認得該邏輯分割區即可)。
可延伸標記語言 (XML)
用來交換資訊的網路共通語言。
結構化的外部敵對 (EHS) 威脅
組織外部任何具有攻擊、刺探或干擾任務行動之動機的個人或團體。 這類財力雄厚、技術高超的威脅擁有豐富的資源與獨特的工具。 一些與資訊戰、犯罪活動或是產業情報有關的國外情治單位、犯罪份子以及一些專業駭客,通常都可歸類為 EHS 威脅類別。
非結構化的外部敵對 (EHU) 威脅
組織外部任何具有攻擊、刺探或干擾任務行動之動機的個人。 這種人擁有有限的資源、工具、技巧與資金來遂行複雜的攻擊活動。 許多網際網路駭客與大部分的駭客及破壞者都可歸類為 EHU 威脅類別。
結構化的外部非敵對 (EHS) 威脅
組織外部具有些許或無任何攻擊動機的個人。 然而,這類威脅卻擁有特殊的資源、技巧、工具或資金來發動複雜的攻擊。 使用網際網路來取得資訊或改進其技能的系統與網路安全專業人員通常都屬於 ENS 威脅類別。
非結構化的外部非敵對 (EHS) 威脅
組織外部具有些許或無任何攻擊動機的個人。 這類威脅擁有有限的資源、技巧、工具或資金來發動複雜的攻擊。 一般的網際網路使用者都屬於 ENU 威脅類別。
檔案配置表。 FAT 可以分為三種不同的分割區類型:FAT12、FAT16 和 FAT16b。 FAT16b 是最常見的類型,適用於大於 32 MB 的分割區。 FAT12 和 FAT16 分割區則是 MS-DOS 5.0 時代所採用的格式,而且一直沿用至 Windows 98 (需視分割區大小而定)。 DOS、Windows 3.x、Windows 95、Windows NT、OS/2,以及幾乎其它所有作業系統都採用並能辨識 FAT 檔案系統格式。
FAT32
32 位元的檔案配置表。 Windows 95 B (或更新版本) 和 Windows NT 5(或更新版本) 都能辨識檔案系統格式。
FAT32x
能夠跨越硬碟第 1204 磁柱的 FAT32 分割區。
檔案傳輸
利用通訊系統將檔案從某部電腦傳送至其它電腦的程序。在通訊系統中,傳送與接收電腦必須先同意使用一項通訊協定,才能進行檔案傳輸。
防火牆規則
這種安全系統採用一些規則來攔截或允許電腦與網際網路之間的連線與資料傳輸。
完整網域名稱 (FQDN)
由主機、網域名稱 (包含最上層網域) 所組成的 URL。 例如,剖析 www.symantec.com 這個 FQDN 的結果為:
- www 是主機,
- symantec 是第二層網域,而
- com 則是最上層網域。
FQDN 的開頭一定是主機名稱,接著是最上層網域名稱;因此,www.sesa.symantec.com 也是 FQDN。
這可評量所通報感染的分佈地理範圍。 評量項目為高度 (全球性威脅)、中度 (出現於少數地理位置的威脅),以及低度 (地區性或分佈不廣的威脅)。
群組
在 Windows NT 使用者管理程式中,包含其它帳戶 (稱為成員帳戶) 的帳戶。 賦予群組的權限同時也會提供給其成員,方便群組將常見的功能授與給一些使用者帳戶集合。
駭客或未經授權的使用者會利用這類工具進行攻擊,擅自存取電腦或對電腦進行辨識或產生指紋。 儘管有些駭客工具也可用在合法用途上,卻是常常被有心人士拿來為非作歹。 通常,駭客工具也能夠:
- 利用一些能夠規避系統原有之明顯安全機制的方法,暗中嘗試取得資訊或存取主機,並且/或者
- 協助癱瘓目標電腦而無法正常使用
按鍵記錄程式即為駭客工具的其中一個例子,此種程式可追蹤並記錄個別的按鍵動作,並可將此資訊傳回給駭客。 同時也適用於那些藉由嘗試直接攻擊或分散式拒絕服務攻擊等方法,協助攻擊第三方電腦的一些程式。
硬體設定
諸如數據機類型、連接埠/裝置,與資料速率之類的硬體參數集,可做為單數命名資源來啟動被控端或主控端階段作業。
HLLC
這是指利用高階語言進行編譯的病毒,可將自身新增到系統中容易執行的位置。
HLLO
這是指利用高階語言進行編譯的病毒,可覆寫檔案。
HLLP
這是指利用高階語言進行編譯的寄生型病毒;也就是說,病毒本身就會感染其它檔案。
HLLW
這是指利用高階語言進行編譯的病蟲。 (請注意:這項修飾元或許可當做首碼來使用 - 在 DOS 高階語言病毒的個案中,它只是一個首碼。 如果該病蟲是一個 Win32 檔案,則其正確名稱為 W32.HLLW)。
詐騙病毒通常以電子郵件的形式出現。 請忽略含有詐騙病毒的電子郵件,這些郵件通常會包含意圖讓使用者害怕或誤導使用者的偽造警告。 不過,最好的作法就是直接將這些病毒詐騙電子郵件刪除。
主機
1. 在網路環境中,負責提供資料與服務給其它電腦使用的電腦。 服務範圍包括週邊裝置 (如印表機)、資料儲存裝置,或是網際網路存取功能。 2. 在遠端控制環境中,可供遠端使用者進行連線以存取或交換資料的電腦。
超文字安全傳輸通訊協定 (HTTPS)
一種由安全機制強化的 HTTP 變化,而這通常是「安全通訊端層」(SSL)。
影像檔
使用 Symantec Ghost 建立的檔案。 使用者可以透過所建立的磁碟或分割區影像檔,進行原始磁碟或分割區的複製。
影像檔定義
影像檔的屬性說明,包括影像檔名稱、位置與狀態
衝擊
資安事端對系統、作業、排程或成本所造成的可接受或不可接受的影響。 不可接受的衝擊就是經由系統擁有者所認定,並且比較過美國國防部 (DOD) 的任務與目標之後確認為衝擊,其嚴重程度足以降低重大任務、功能、系統的成效,進而導致不可接受的結果。 就像衝擊一樣,不可接受的衝擊就是指對整個系統以及所有攸關作業的部分 (不只是機密性) 所造成的衝擊。
非作用中
代表程式、工作、政策或掃描目前不在執行中的狀態。 例如,當排定掃描等候指定的執行日期與時間時,這就是非作用中的狀態。
資安事端
風險的實現。 這是指一項事件,或威脅在攻擊系統漏洞後的結果。
資安事端回應
此功能可將某個事件或一組事件傳遞至資安事端管理系統或支援中心系統,以便解決並追蹤資安事端。
資安事端回應週期
安全事件所歷經的各個階段,從確認為安全危害或資安事端的時候,直到予以解決以至回報的時候。
感染長度
就是病毒插入程式中的病毒碼大小 (以位元組為單位)。 如果它是病蟲或木馬程式,此長度代表檔案的大小。
資訊
一種評比方式,可用來計算發現漏洞時資訊的相對可用性。 例如,假使漏洞是在書籍中或網際網路上予以揭露,則其資訊要素為「高度」。 如果漏洞並不常見,且鮮有文件記載,則其資訊評比為「低度」。
起始
準備使用。在通訊系統中,「起始」代表在階段作業開頭時設定數據機與軟體參數。
整合服務數位網路 (ISDN)
一種用來強化廣域網路 (WAN) 速度的電話線路。 ISDN 線路每秒傳輸速度可達 64 或 128 Kbps,而標準電話線路的傳輸速度只有 9600 bps。 電話公司會同時在伺服器與遠端站台上安裝 ISDN 線路。
結構化的內部敵對 (IHS) 威脅
組織內部任何具有干擾任務行動或破壞資產之動機的個人或團體。 這類威脅具有豐沛資源、工具與技巧來發動複雜的攻擊,而且有可能移除任何攻擊證據。 雖然 IHS 威脅比較不容易採取行動,但是卻最有可能造成損害。 技術高超、心生不滿的員工 (例如系統管理員或程式設計人員),或是只要可從干擾行動中獲利的技術使用者,都會被歸類為 IHS 威脅類別。
非結構化的內部敵對 (IHU) 威脅
組織內部能夠實際存取網路元件的個人。 這種人具有干擾組織作業的動機,但是缺乏發動複雜攻擊所需的資源、工具或技巧。 不難想見這類威脅會藉由部署常見的病毒來攻擊組織。 缺乏技術、心生不滿的員工或只要可從干擾行動中獲利的使用者,都會被歸類為 IHU 威脅類別。
結構化的內部非敵對 (INS) 威脅
組織內部能夠實際存取網路元件的個人。 雖然這種人不具有干擾任務行動的動機,但是卻可以藉由產生常見錯誤來達到這個目的。 執行 INS 威脅的人通常技術都很好,而且擁有可協助他們執行安全相關威脅的工具。 系統管理員、網路工程師,與程式設計人員通常都屬於 INS 威脅類別。
非結構化的內部非敵對 (INS) 威脅
組織內部能夠實際存取網路元件的個人。 雖然這種人不具有干擾任務行動的動機,但是卻可以不知不絕地達到這個目的。 執行 INU 威脅的人不具有任何超人的技巧或工具,而且對攻擊行動也不感興趣。 他們通常都是典型使用者,會犯一些可能影響任務行動的錯誤。 一般來說,INU 威脅類別是最有可能干擾行動的類別。
網際網路工程工作小組 (Internet Engineering Task Force,IETF)
由一群關心網際網路架構演進及運作順暢的網路設計人員、操作者、廠商及研究人員所組成的國際性社群。 任何有興趣的人都可加入 IETF。 IETF 的技術工作是由其工作群組所完成,這些群組依主題分成路由、傳輸、安全等幾個領域。 大部分工作則是透過郵寄清單來處理。
網際網路通訊協定 (IP) 位址
用來識別 TCP/IP 網路上的工作站,以及指定路由資訊。 網路上的每個工作站都必須被指派獨一的 IP 位址,內含網路 ID,再加上由網路管理員所指派的獨一主機 ID。此位址通常會以小數點與十進位表示法表示,而各十進位值則由句號隔開 (例如 123.45.6.24)。
多人線上即時交談系統 (IRC)
IRC 是一種多人聊天系統,可透過一些「頻道」(就是類似房間的虛擬空間,通常具有特地的交談主題) 讓大家聚在一起交談或私下密談。 這套系統也可允許散佈執行檔內容。
中斷要求 (IRQ)
亦稱為硬體中斷。 IRQ 代表連線裝置示意其它硬體元件不要搶它的資源。 當您安裝新裝置時 (例如序列埠、數據機與滑鼠裝置),可能會發現先前的裝置無法再運作,因為新的裝置使用了先前所用的 IRQ。
Intruder Alert 代理程式
在 Intruder Alert 中,代理程式會依據套用的安全政策執行所定義的行動,藉此監控主機並回應事件。
Intruder Alert 管理程式
此軟體應用程式可在背景模式中做為 UNIX daemon 或是 Windows NT 服務來執行。
- 負責維護所有已註冊之代理程式的安全通訊、
- 維護每個代理程式所套用的主要網域與政策清單、
- 將網域與政策變更傳達給代理程式、
- 透過「記錄至事件檢視器」動作,接收並儲存來自代理程式的事件資料、
- 做為 Intruder Alert 系統管理員、Intruder Alert 事件檢視器,與一些代理程式之間的通訊連結,並且
- 維護其所套用的政策與網域清單。
入侵偵測
這項安全服務可監控並分析系統事件,找出那些以未授權方式存取系統資源的嘗試,並提供即時或近乎即時的警告。 這項服務可檢視記錄檔或網路上其它可用的資訊,藉此偵測入侵或入侵嘗試。
入侵偵測交換格式 (IDEF)
請參閱「入侵偵測工作小組 (IDWG)」。
入侵偵測工作小組 (Intrusion Detection Working Group,IDWG)
這個團體負責定義一些攸關入侵偵測及回應系統之共用資訊的資料格式與交換程序,以及一些可能需要與這些系統進行互動的管理系統。 IDWG 和其它「網際網路工程工作小組」工作團體有密切的合作關係。
這類程式會改變或干擾電腦的正常行為,而造成一般的干擾或妨害。
這些程式已知會將安全威脅當成元件安裝,因此如果將安全風險從電腦移除後,這些程式將無法如預期正常運作。
這類型的行為牽涉到將電子郵件傳送給一大群人, 而且通常是藉由存取本機通訊錄,並將電子郵件傳送給該特定通訊錄中一定人數的收件者來完成。
啟動
啟動程式或應用程式。 在 pcAnywhere 中,被控端電腦必須啟動,主控端電腦才能加以呼叫並開始進行遠端控制階段作業。
專線
向一般電信業者租用供私人使用的電話通道。專線比切換式線路還要快速且雜訊較少,不過通常比較昂貴。
區域網路 (LAN)
在相當有限的區域中 (例如單一建築物),由通訊連結所連接的電腦及其它裝置的群組,可讓所有裝置都能與網路上的任何其它裝置互動。
記錄檔
電腦上所發生之動作及事件的記錄。記錄作業會建立電腦上所發生之動作及事件的記錄。
邏輯 (分割區)
邏輯分割區是位於延伸分割區內的一個分割區,可接受磁碟指定代號 (只要作業系統認得該分割區類型即可)。 雖然某些作業系統也可以安裝在邏輯分割區中,但是邏輯分割區通常會用來儲存資料。
登入程序
透過通訊線路連接到電腦後,使用者可經由登入程序讓電腦辨識自己。 在登入程序期間,電腦通常會要求輸入使用者名稱及密碼。在一台多人使用的電腦上,登入程序可識別已授權的使用者、追蹤使用時間,並且藉由控制機密檔案或動作的存取權來維護安全。
一組按鍵動作與指令,可供記錄並儲存起來,並指派至簡短的按鍵碼。 輸入按鍵碼時,就會執行 (播放) 所記錄的按鍵動作與指令。 巨集可以簡化繁瑣的例行作業。 例如,單一巨集按鍵可以使用 pcAnywhere 設定連線。
巨集按鍵
指定給一組特定指令的按鍵碼。 請參閱「巨集」。
巨集病毒
以應用程式的內部巨集語言所撰寫的程式或程式碼片段。 某些巨集會複製,而其它巨集則會感染文件。
管理資訊庫 (MIB)
可由網路管理系統來監控的物件資料庫。 SNMP 和 RMON 都使用制式 MIB 格式,以允許所有的 SNMP 和 RMON 工具來監控任何由 MIB 所定義的裝置。
主要開機記錄 (MBR)
主要開機記錄。 主要開機記錄會包含在硬碟的第一個磁區裡。 它會找出作用中的分割區,然後啟動該分割區之開機磁區的開機程式。 開機磁區會找出作業系統的位置,並且讓開機資訊能夠載入電腦的主要儲存區或記憶體中。 主要開機記錄中有一個表,可用來找到目前硬碟上的所有分割區。
MD5
MD5 這類的雜湊函數是一種單向的運算方式,可將任何長度的資料字串轉換為長度較短且固定長度的值。 任意兩個資料字串所產生的雜湊值絕對不會一樣。
MD5 總和檢查碼會在收到資料後對資料執行雜湊作業,以確認資料的完整性。 結果產生的雜湊值會與連同資料一起傳送的雜湊值進行比較。 如果兩個值相符,代表資料未被更改或破壞,可以信任資料是完整的。
按一下這裡,深入瞭解 MD5 相關資訊並下載 MD5 總和檢查碼公用程式。
按一下這裡,取得所有可用病毒定義檔 Intelligent Updater 下載的 MD5 雜湊清單。
Microsoft Management Console (MMC)
用於管理應用程式的可延伸、通用主控台架構。 管理應用程式是由 MMC 嵌入式管理單元組成,可用來將管理功能加入 MMC 中。 Symantec System Center 主控台與 Symantec AntiVirus Corporate Edition 嵌入式管理單元會新增功能,用以管理執行 Symantec AntiVirus Corporate Edition 軟體的電腦。
誤導型應用程式
這種程式會對於所掃描電腦的安全風險、威脅或系統問題,回報虛假或明顯誤導的資訊。
行動程式碼
這種程式碼 (軟體) 會從主機傳輸至用戶端 (或另一部主機電腦) 以便執行。 病蟲就是惡意行動程式碼的範例之一。
模式
執行單一行動或一系列行動的系統狀態。 模式具有「開啟」與「關閉」狀態。
例如,Symantec Mail Security for MS Exchange 底下的「爆發」模式可能如下所示:
- 「模式開啟」狀態:在 10 分鐘內,偵測到 30 封以上具有相同主旨的電子郵件。
- 行動:隔離所有包含主旨的電子郵件,並且每隔 10 分鐘執行一次 LiveUpdate。
- 「模式關閉」狀態:在 10 分鐘內,偵測到 10 封以下具有相同主旨的電子郵件。
數據機
一種讓電腦可以透過標準電話線傳輸資訊的裝置。數據機可以不同的速度或資料傳輸速率進行傳輸。請參閱「鮑率、bps」。
修改檔案
這個行為會變更電腦上的檔案內容,而且可能損毀檔案。
模組
一個可針對特定區域之伺服器或工作站安全執行安全檢查的執行檔。
多點傳播
將相同的訊息同時傳送給網路上的一群收件者。
大部分病蟲都會以電子郵件附件方式來散播。 此欄位代表呼叫附件時的常用名稱。
NetProwler 代理程式
此元件可監控網段上的流量,以偵測、識別並回應入侵攻擊。
NetProwler 主控台
此圖形化使用者介面 (GUI) 專門用於管理指派給 NetProwler 管理程式的所有代理程式。 您可以透過主控台來指派代理程式、設定代理程式、監控代理程式警示、查詢 NetProwler 管理程式中的特定資料,並產生或檢視安全報告。
NetProwler 管理程式
這個元件可協調 NetProwler 代理程式之間的工作、在代理程式與使用者介面之間提供通訊,並儲存代理程式所收集的安全資料。
網路
利用通訊設備 (硬體及軟體) 所連接的電腦與相關裝置的群組,目的是為了共用資訊及週邊裝置,例如印表機及數據機。 請參閱「區域網路」。
網路資源
網路上 NetRecon 可辨識的任何裝置或節點。 例如:電腦、印表機、路由器與集線器 (特定類型)。 由於這些裝置可透過多種方式讓網路得知它們的存在 (例如,某部電腦可能擁有多個 IP 位址、一個 NetBIOS 名稱及一個 NetWare 名稱),NetRecon 所發現的網路資源數量一般來說會多於網路所連接的實際裝置數量。
新技術檔案系統 (NTFS)
只有 Windows NT 才認得的檔案系統格式。
節點
1. 在樹狀結構中,兩條線路以上的交會點。 2. 在網路中,任何連接至網路而且可辨識、處理或轉送資料傳輸的可定址裝置。
通知
由系統狀況 (例如事件或錯誤狀況) 所觸發的預先定義回應。 典型的回應包括音效與視覺訊號,例如顯示訊息方塊,傳送電子郵件,或是呼叫系統管理員。 系統管理員可以設定回應。 請參閱「警示」。
N-Tier 系統
此系統包含一些受管理的端點、中介軟體、獨立工具與後端系統。
虛擬數據機纜線
一種可讓兩台電腦在不使用數據機的情況下,進行通訊的纜線。 虛擬數據機纜線可透過傳送與接收線路來達成此目的,如此一來,某個裝置用來傳輸的線路便成為另一個裝置用來接收的線路,反之亦然。
站台數目
用來評量具有受感染電腦的地點數目。 這通常是指各級組織,例如公司行號、政府部門等等。
組織單位
一組相關聯的系統,其階層架構通常會反映網路拓樸。 組織單位尚未與任何設定產生關聯時,可以層疊起來並繼承來自父系單位的屬性。
重疊的防護措施
兩個以上用來補救相同漏洞的指定防護措施。
套件定義
此連結可連接主控台與連接的磁碟或網站伺服器上的 AI 套件。
參數
指定給變數的值。 在通訊領域中,參數為自訂程式 (軟體) 與硬體操作方式的方法。
父系伺服器
這部電腦可執行 Symantec AntiVirus Corporate Edition 伺服器軟體,同時可以和執行 Symantec AntiVirus Corporate Edition 用戶端軟體的電腦進行通訊並加以管理。 病毒定義檔與設定更新則是從父系伺服器推送至受管理的用戶端。 而警示則是從受管理的用戶端傳送至父系伺服器。
同位元
奇數或偶數的整數數量。 請參閱「同位位元」、「同位元檢查」。
同位位元
根據所使用的是偶數同位元或奇數同位元而定,在一組位元中加入額外的位元 (1 或 0),讓這組位元變成偶數或奇數。 同位位元可用來檢查電腦之間的資料傳輸是否有錯,而傳輸過程通常是透過數據機或是虛擬數據纜線來進行。
同位元檢查
此程序可確認電腦之間所傳輸的資料完整性,而傳輸過程通常是透過數據機或是虛擬數據纜線來進行。 最常見的方法就是偶數同位元檢查與奇數同位元檢查。 根據所使用的同位元檢查方法而定,可將稱為同位位元的額外位元加到每一組位元中,讓傳輸的位元數目成為偶數或奇數。 兩部電腦系統必須使用相同的同位元檢查方法。
密碼
使用者輸入以作為識別碼的獨一字串,可限制電腦及機密檔案的存取。系統會根據已授權密碼及使用者的儲存清單來比對識別碼。如果識別碼合法,系統就會允許密碼的擁有者存取已核准的安全層級。
行為
這是指病毒所執行的惡意活動。 並非所有病毒都會產生行為,但是有些病毒會執行破壞性行動。
行為觸發
此狀況會導致病毒發動或停止具有破壞性的行為。 某些病毒會在特定日期觸發行為。 其它病毒則是會在執行特定程式或是連上網際網路時才會觸發行為。
週邊裝置
此項設備 (通常會連接到其中一部電腦的連接埠上) 可讓使用者與電腦之間建立資料傳輸的管道。 印表機、數據機、滑鼠裝置與鍵盤等都是週邊裝置。
實際漏洞
依據威脅是否必須擁有系統的實際存取能力才能攻擊漏洞,來計算漏洞大小的評比方式。
連線偵測
這個網際網路基本程式可讓您用來確認存在特定的網路位址,而且該位址可接受要求。 使用 Ping 公用程式或指令的行為。 您可使用 Ping 指令來診斷並確定您嘗試連線的主機電腦實際上在運作。
政策
從一些替代方案當中選取的動作方針,在特定的情況下用於指導並決定目前與未來的決策。
政策資料庫
用來存放 ITA 所有政策的儲存庫 (已預先設定且由使用者定義)。
變種病毒
此種病毒會在複製時將自身位元組特徵改變,藉此躲避簡單的字串掃描技術的偵測。
通訊埠
用來將資料傳入及送出運算裝置的硬體位置。 個人電腦有許多種通訊埠,包括用以連接磁碟機、監視器及鍵盤的內部通訊埠,以及用以連接數據機、印表機、滑鼠裝置及其它週邊裝置的外部通訊埠。
在 TCP/IP 與 UDP 網路中,通訊埠為指定給邏輯連線端點的名稱。 通訊埠編號可識別各種通訊埠類型。例如,TCP 及 UDP 都使用通訊埠 80 來傳輸 HTTP 資料。威脅可能會嘗試使用特定的 TCP/IP 通訊埠。
潛在危害
一種評比方式,可用來計算威脅攻擊漏洞時產生的相對損害。 例如,如果威脅可以藉由攻擊漏洞來取得根權限,則其潛在危害會評比為「高度」。 如果漏洞只讓威脅瀏覽一部份檔案系統,且此類活動對網路只會造成些微或是沒有損害,則此潛在危害會評比為「低度」。
可能不受歡迎的應用程式
電腦使用者會希望提醒他們注意的一些程式。 這些程式包括會影響安全、隱私、資源使用,或與其它安全風險相關的應用程式。 這些程式可在未經使用者允許或未出現系統提示的情況下顯示安裝模式,或者被視為與已經安裝的應用程式不同而且獨立的應用程式。
預測型風險評估
此程序包含風險評估、業務目標、業務目標風險、業務工作、業務工作風險,以及業務衝擊評估 (BIA)。
預測型漏洞評估
此程序包含漏洞評估、防護措施、防護措施評估、資產、資產價值、資產評量、風險、風險評量,以及剩餘風險。
主要 (分割區)
主要分割區是位在主要開機記錄分割區表格中,通常用來容納作業系統與其相關的應用程式檔案。 磁碟上一次只能有一個作用中的主要分割區,其它分割區則會通通隱藏起來且無法存取 (以便相容於 DOS 並預防作業系統之間的資料損毀情況)。 所有 PC 硬碟都有四個主要分割區的限制;其中一個主要分割區可以是延伸分割區,其中可含有無數多個邏輯分割區。
主要伺服器
一部執行 Symantec AntiVirus Corporate Edition 伺服器軟體的電腦,專門負責伺服器群組中的組態及病毒定義檔更新功能。 當您在 Symantec System Center 中執行伺服器群組層級的工作時,這項工作會在主要伺服器上執行。 然後,主要伺服器會將工作轉送至次要伺服器。如果主要伺服器是執行 Alert Management System2,它就會處理所有警示。
探測
要求、交易或程式等用來收集關於電腦或網路狀態相關資訊的作為。 例如,傳送一封空白郵件,看看目的地實際存在與否。
Ping 是用於傳送此類探測的常用公用程式。 有些探測工具會插入網路重要交界處,以便監控或收集網路活動的相關資料。
設定工具
這種自動化設定工具可掃描即時系統上的網路,並針對您所要監控的系統,以及您要與每個系統相關聯的攻擊特徵,引導您完成其定義程序。
設定作業
掃描即時系統網路,以監控並將攻擊特徵與這些特定系統相關聯的程序。 請參閱「設定工具」。
屬性過濾
有關電子郵件屬性的安全政策子類別,例如附件大小、收件者人數,或是附件是否加密。
協定
可讓電腦或裝置在儘可能不出錯的情況下彼此交換資料的一組規則。 這些規則掌管一些諸如錯誤檢查與資料壓縮方法之類的問題。 請參閱「通訊協定」。
Proxy
通常做為防火牆機制來使用的軟體代理程式,可代表另一個應用程式或系統執行功能或作業,同時隱藏相關的詳細資料。
用於隔離疑似含有病毒的檔案,讓他人無法開啟或執行這些檔案。 Symantec AntiVirus Corporate Edition 能夠以啟發式技術偵測到無法以目前病毒定義檔修復的可疑檔案及受到病毒感染的檔案。 隔離的檔案會從本機電腦的「隔離所」轉送至「賽門鐵克安全機制應變中心」的中央網路隔離所做進一步的分析。 如果發現新病毒,就會自動傳回更新的病毒定義檔。
快速發行的病毒定義檔在高度疫情爆發階段最為珍貴,因為此時使用者無法再等待定義檔通過完整的品保測試。 您可在
這裡取得快速發行的病毒定義檔。 雖然快速發行的病毒定義檔尚未經過完整驗證,但是「賽門鐵克安全機制應變中心」已經盡其所能確保所有定義檔都能正常運作。
地區
ESM 主控台使用者所管理的網路區域。 ESM 區域可能包含管理程式、網域、代理程式、安全政策,以及包含 ESM 政策執行結果的摘要資料庫。
發行機密資訊
這個行為可能會嘗試取得儲存在電腦上的重要資料,例如信用卡號碼。
主控端
此電腦可連接被控端電腦並於遠端控制階段作業中取得該電腦的掌控權。
此程式允許某部電腦在未經授權或未顯示的情況下存取另一部電腦。
遠端通訊
遠端電腦透過電話線連線或其它通訊線路 (如網路或直接序列纜線連接) 與主機進行互動。
遠端控制階段作業
主控端電腦呼叫並連接至被控端電腦的程序。 這時候,主控端電腦可在被控端的視訊顯示正傳送至主控端電腦的螢幕時,同時操作被控端。 CPU 活動則是發生於被控端。
遠端網路連線
在此連線作業中,電腦會呼叫網路裝置,並在該特定網路上做為節點運作。 遠端網路連線亦稱為撥接連線或遠端存取。 請參閱「遠端控制階段作業」。
移除
評量用來移除特定電腦威脅的技巧層級。 移除程序有時包含刪除檔案與修改登錄項目。 三個層級分別為「難/高」(需要有經驗的技術人員來執行)、「適中/中」(需要一些專業知識),以及「簡單/低」(需要少許經驗或是沒經驗也可以)。
回應動作
設定好讓 NetProwler 在偵測到攻擊時所執行的動作。 回應動作包含擷取攻擊者的階段作業、重設階段作業、傳送電子郵件給系統管理員,或是呼叫系統管理員。
反轉錄病毒
這種電腦病毒會主動攻擊防毒程式以預防遭到偵測。
風險
這種威脅會攻擊漏洞,而對一或多項資產造成損害。
風險評估
計算風險。 風險是一種會攻擊一些漏洞,並導致資產受到損害的威脅。 風險演算法會將風險當成資產、威脅與漏洞的函數來計算。 系統內的每項風險實體都會以公式表示 (資產 * 威脅 * 漏洞)。 網路總風險等於所有風險實體的總和。
風險衝擊
風險衝擊就是安全風險對電腦的整體影響評估。 賽門鐵克提供了由低至高的風險衝擊評比標準,下列是所需考量的要素:
- 效能
此要素可評量安全風險的存在對於電腦效能的負面衝擊。 「低」等級代表電腦效能只有些微降低,而「高」等級則代表電腦效能大幅降低。
- 隱私權
此要素可評估由於電腦上有安全風險存在,因而損失的隱私權等級。 隱私權可能因為監控所造訪的網站,或是傳輸其它個人資訊而損失。 「低」等級代表安全風險的存在會導致些微或無隱私權損失,而「高」等級則代表個人與其它機密資訊可能會遭竊。
- 移除
此要素可評估從電腦移除安全風險的困難度。 有好幾個安全風險都附帶可執行的移除程式,相對來說比較容易移除。
在其它情況中,可能需要手動刪除檔案與登錄項目,才能移除安全風險。 如果程式能夠輕易地從電腦中移除,就屬於「低」等級,而難以移除的風險則屬於「高」等級。
- 隱匿
此要素可評估是否容易判斷安全風險存在電腦中。 「低」等級代表程式根本不打算將自己隱藏在受害的電腦中。 「高」等級代表安全風險運用一些技巧,將自己隱匿在電腦中,讓您難以判斷該安全風險是否已安裝於電腦中。
風險管理團隊
這群人對網路擁有不同的看法:有使用網路的人,以及定義網路功能的人。 此團隊應該納入一般使用者、系統管理員、系統安全主管、系統工程師,以及網路上資料的擁有者。
Rootkit
Rootkit 這項元件會偷偷地持續存在,但卻無法在機器上偵測到。 Rootkit 所執行的行動,例如安裝作業或是任何形式的程式碼執行,都是在未告知使用者或未得到使用者同意的情況下進行。
Rootkit 不會像病毒或病蟲一樣,靠自己來感染機器,而是尋找一些疏於防備的環境,讓惡意程式碼在未被察覺的情況下執行。 攻擊者通常會利用目標機器中的漏洞或運用社交工程技術來手動安裝 Rootkit。 或者在某些情況下,Rootkit 可以隨著病毒或病蟲執行而自動安裝,或者即使僅只瀏覽惡意網站就會自動安裝 Rootkit。
安裝之後,攻擊者幾乎就可以在系統上執行任何功能,以便加入遠端存取、竊聽,以及隱藏程序、檔案、登錄機碼及通訊通道等功能。
風險評量
風險的量化評量。 針對資產評量、威脅評量與漏洞評量,以經過驗證的演算法得出的結果。
風險評量
風險的量化評量。 針對資產評量、威脅評量與漏洞評量,以經過驗證的演算法得出的結果。
RS-232-C 標準
序列通訊連線的業界標準。 特定的線路與訊號特性可控制裝置間序列資料的傳輸。
規則
可讓您根據預定的條件對事件進行回應的邏輯陳述式。
專門用來減輕風險影響的處理、程序、技術或功能。 防護措施鮮少會消除風險,而是將風險降到可接受的程度。
防護措施評估
此程序可針對在風險評估階段所形成的風險降低策略,識別其最佳對應的防護措施。
程序檔
這種程式包含一組應用程式專用的指令集。 程式檔通常包含一些以應用程式規則及語法表示的指令,並結合簡單的控制結構。 pcAnywhere 來源程序檔的副檔名為 .scr;已編譯且可執行的 pcAnywhere 程序檔則具有 .scx 副檔名。
次要伺服器
執行 Symantec AntiVirus Corporate Edition 伺服器軟體的電腦,為主要伺服器的子系。 在伺服器群組中,所有次要伺服器都會從同一部主要伺服器擷取資訊。 如果次要伺服器是父系伺服器,它就會將資訊傳送至受管理的用戶端。
安全通訊端層 (SSL)
這項通訊協定可讓用戶端與伺服器彼此進行雙向驗證,並建立經過驗證且加密的連線。
安全架構
一項計劃與原則的組合,內容說明系統用來滿足使用者需求所需的安全性服務、執行服務所需的系統元件,以及元件處理威脅環境所需的效能等級。
安全評估工具
這種程式主要用來執行與安全相關的網路或本機系統管理工作,功能包含針對電腦系統的未授權存取或是造成電腦系統無法運作的情況提供相關資訊。
安全生命週期
發起並維護安全計劃的方法。 此方法包含評估企業風險、規劃可降低企業風險的方法、實作計劃,以及監控企業以確認該計劃確實降低了風險。
安全機制應變
針對病毒與惡意程式碼威脅以及作業系統、應用程式和網路基礎架構的弱點,研究、建立、提供並通知回應機制的程序。 請參閱「通知」。
安全服務
這類安全管理、監控與回應服務,讓組織得以善用網際網路安全專家的知識,保護其網路上的資產與基礎架構價值。
序號
只有諾頓防毒企業版產品會採用序號這種替代方式,來代表最新定義檔或必要定義檔的日期。 特徵集會依序指定序號,因為它們會一直累加。 序號值較大的特徵集,其優先順序高於序號值較低的特徵集。
序列通訊
在電腦與電腦之間或電腦與週邊裝置之間,透過單一線路 (或一個位元寬的資料路徑) 以一次一位元的方式傳輸資訊。 序列通訊可以是同步式或非同步式。寄件者與收件者必須使用相同的資料傳輸速率、同位元,以及流量控管資訊。大部分的數據機都會自動同步處理為兩台數據機皆可支援的最高資料傳輸速率。
pcAnywhere 在個人電腦序列通訊上使用非同步通訊標準。
序列介面
資料及控制位元透過單一傳輸線路連續以一個位元寬的資料路徑傳送之資料傳輸配置。 請參閱「RS-232-C 標準」。
序列埠
也稱為通訊埠或 COM 埠。序列埠是用來傳送與接收序列資料傳輸的位置。 DOS 會以 COM1、COM2、COM3 與 COM4 等名稱參照這些通訊埠。
序列傳輸
依序傳輸離散的訊號。在通訊及資料傳輸中,序列傳輸是透過單一線路以一次一位元的方式傳送資訊。 這是透過電話線進行數據機對數據機通訊所用的方式。
伺服器群組
可容納共用通訊通道之 Symantec AntiVirus Corporate Edition 伺服器與用戶端的容器。 伺服器群組成員可以當作一個單位管理。 伺服器群組與 Windows NT/2000 網域彼此獨立。
Servlet
可在網頁伺服器環境中執行的 Java Applet。
階段作業
在通訊系統中,兩台電腦保持連線且通常涉及傳輸資訊的時間。
嚴重程度
指定給某個資安事端的等級。 請參閱「資安事端」。
共用磁碟
此欄位可指出威脅是否嘗試透過使用者已驗證過的對應磁碟機或其它伺服器磁區來複製自己。
來源電腦
安裝了驅動程式與應用程式,且做為範本使用的電腦。 會建立此電腦的影像檔,並將影像檔複製到其它用戶端電腦上。
SpeedSend
這個選項可以在傳送具有重複檔名的檔案時,藉由比較兩個檔案並僅傳輸與來源檔不同的資料來加強檔案傳輸效能。
間諜程式是任何可追蹤並傳送個人識別用資訊或機密資訊給第三方的軟體套件。 個人識別用資訊就可讓人追蹤到特定人員的資訊 (例如全名)。 機密資訊包含大部分人不願與他人分享的資料,這包括銀行詳細資料、信用卡號碼及密碼等。 第三方可能是遠端系統或是能夠進行本機存取的一些團體。
狀態式動態特徵偵測
用來偵測攻擊的入侵偵測方法。 「狀態式」是指一種虛擬處理程序,可讓 NetProwler 在受監控的網路階段作業中建立情境,並針對複雜的事件啟動快速分析與記錄功能。
「動態」則是只可在系統不離線的情況下,建立並啟用新攻擊特徵的能力。 「特徵偵測」這種偵測方法可將攻擊特徵與 NetProwler 上的攻擊特徵快取進行比對。
結構化的外部威脅
組織外部可能構成威脅的個人。 此人技術高超,可能與他人合作,並且有可能使用自動化工具。
結構化的內部威脅
組織內部可能構成威脅的個人。 此人技術高超,可能與他人合作,並且有可能使用自動化工具。
結構化的威脅
對組織可能構成威脅的個人。 此人技術高超,可能與他人合作,並且有可能使用自動化工具。
電子郵件主旨
有些病蟲會透過電子郵件將自己傳送給他人,藉此達到散佈的目的。 此欄位代表病蟲所傳送的電子郵件主旨。
切換式線路
標準的撥接電話連線;當呼叫透過交換站路由傳送時所建立的線路類型。請參閱「專線」。
Symantec System Center (SSC) 主控台
此類軟體可用來監控執行受支援賽門鐵克用戶端或伺服器軟體的電腦。 SSC 主控台是 Microsoft Management Center 管理工具中的嵌入式管理單元。 其它嵌入式管理單元,像是 Norton AntiVirus Corporate Edition 嵌入式管理單元,會將產品專屬的管理功能新增至嵌入 SSC 主控台。
同步化
在主機與遠端電腦之間複製各自所屬資料夾裡的檔案,讓彼此的資料夾內容一致 (複製動作會同時在兩邊發生)。 如果有兩個同名的檔案,則會複製具有最新日期與時間的檔案。 同步化處理過程中絕不刪除任何檔案。 請參閱「複製」。
同步傳輸
一種資料傳輸形式,會以相等時間間隔所分隔的位元區塊來傳送資訊。傳送與接收裝置都必須先設定成以正確間隔彼此互動,然後才會以穩定的串流傳送資料。請參閱「非同步傳輸」。
語法錯誤
這是作者在編寫程序檔時所造成的錯誤,例如沒有以引號將字串包住,或者指定不正確的參數數目。 在程序檔編譯過程中就會偵測到語法錯誤,而且會以相同的來源檔名及 .err 副檔名寫入檔案中。 您可以使用 pcAnywhere Editor 來檢視 .err 檔案,並且在修正程序檔後重新加以編譯。
系統安全工程-能力成熟度模型 (SSE-CMM)
這種系統可用來描述組織安全工程程序的重要特性,要確保良好的安全工程就必須具備這種系統。 工程組織可以使用此模型來評估並修改安全工程實務準則;客戶可以使用此模型來評估供應商的安全工程能力;而安全工程評估組織則可以使用此模型來建立組織化、功能導向的專業自信。
系統
一起運作以達成任務或提供服務的一組相關元件。例如,電腦系統就同時包括了硬體及軟體。
受影響的系統
這是指容易受到威脅影響的作業系統或應用程式。
不受影響的系統
這是指不容易受到威脅影響的作業系統或應用程式。 這份系統清單將隨著特定威脅相關資訊的補齊而有所變化。
威脅嘗試感染或加以干擾的系統、檔案或媒體 (例如硬碟)。
技術說明
本節將說明特定感染細節,例如登錄項目修改以及遭病毒操控的檔案。
電信應用程式設計介面 (TAPI)
Microsoft Windows 作業系統使用這種標準將電腦與電話服務連接起來。 Windows 使用 TAPI 來自動偵測與設定已安裝在電腦上的通訊硬體 (例如數據機)。
範本
在 Enterprise Security Manager (ESM) 中,包含模組控制指示與物件定義及其預期狀態的檔案。
終端機服務
這項 Microsoft 技術可讓使用者從遠端執行位於終端機伺服器上的 Windows 應用程式。 這些應用程式能夠完整地在伺服器上執行, 而伺服器則僅在伺服器與用戶端之間,傳送使用者介面、按鍵動作及滑鼠動作。
威脅
泛指有可能對系統以破壞、揭露、資料修改及/或拒絕服務 (DoS) 等方式造成傷害的情況、事件或個人。
威脅評估
病毒、病蟲或木馬程式的嚴重性評比。 威脅評估包含此威脅所造成的損害、此威脅散播到其它電腦的速度有多快 (散佈),以及已知感染範圍有多廣 (蔓延)。
威脅抑制
這可評量目前的防毒技術在防止此威脅散佈的效果如何。 按常理推斷,早期的病毒技術都有相當不錯的抑制效果;新型威脅或高度複雜的病毒則是比較不容易抑制,對使用者社群來說相對比較有威脅性。 評量指標有「簡易」(可充分抑制威脅)、「中度」(可部分抑制威脅),與「困難」(目前無法抑制威脅)。
威脅評量
威脅的量化評量方式。 威脅的實際存取能力、電子化存取能力、功能、動機,與發生指標都會影響威脅評量結果。
威脅防護措施
一種可阻止威脅進入網路的處理、程序、技術或功能,其方法是降低與系統威脅評量相關的風險。
臨界值
滿足某項條件的事件數。系統管理員會定義臨界值規則,以決定傳遞通知的方式。
逾時
特定工作必須於時限內完成的預定期間。若工作執行前或執行當中到達逾時值,該項工作便會取消。 您可以將 pcAnywhere 被控端設定為在經過一段時間沒有任何動作後,中斷與主控端電腦的連線。
追蹤軟體就是任何可追蹤系統活動、收集系統資訊,或追蹤使用者習慣並將此資訊轉遞給第三方組織的軟體套件。 此類程式所收集的資訊並非個人識別用資訊,也不是機密資訊。
傳輸控制通訊協定/網際網路通訊協定 (TCP/IP)
常用於網際網路的通訊協定組合,可將跨越許多種網路的不同電腦連結起來。
微調套件
這個執行檔可將軟體強化功能安裝到特定的 ESM 版本中。
組織外部可能構成威脅的個人。 此人並未擁有純熟或精良的技術。
非結構化的內部威脅
組織內部可能構成威脅的個人。 此人並未擁有純熟或精良的技術。
上傳
透過數據機、網路或序列纜線,將檔案從某部電腦傳送至其它電腦。使用數據機通訊連結時,上傳程序通常會包括要求電腦指示遠端電腦準備在磁碟上接收檔案,然後等待傳輸開始。請參閱「下載」。
使用者帳戶
一種 Windows NT 檔案,內含可供 Windows NT 識別使用者的資訊。 此檔案包含使用者名稱與密碼、使用者帳戶所屬的群組,以及使用者所擁有、可用來存取系統及其資源的相關權限。
使用者管理程式
一種 Windows NT 公用程式,可讓具有系統管理員權限的使用者,針對個別使用者編輯並定義其位於本機工作站的帳戶與權限。
病毒的新種族,它們會直接從其它已知的病毒借用程度不一的程式碼。 這些變種病毒名稱通常是由某個字母或某些字母加上病毒的家族名稱所構成,例如,VBS.LoveLetter.B.、VBS.LoveLetter.C 等等。
病毒定義檔 (Intelligent Updater™)
「賽門鐵克安全機制應變中心」會充分測試 Intelligent Updater 定義檔以確保品質。 定義檔每天都會公佈在「賽門鐵克安全機制應變中心」網站上,供使用者下載並手動安裝。
企業網路管理員,以及採行可能有害之網路行為 (例如,按一下來自不明寄件者的電子郵件附件檔,或是按一下不請自來郵件中的附件、從新聞群組或可疑網站下載檔案等等) 的一般使用者,只要每日下載並安裝 Intelligent Updater 定義檔,就能獲得最佳的保障。 您可在這裡取得 Intelligent Updater 定義檔。
家庭使用者:即時您每天都有時間下載並安裝 Intelligent Updater 定義檔,卻不一定得這麼做。 賽門鐵克每天都會收到新型風險樣本,也會每天針對這些風險建立新的定義檔。 然而,在許多個案中,我們發現這些風險並未四處擴散,就算風險已蔓延開來,疫情也很輕微。 無論如何,我們若是偵測到擴散中的風險正快速地蔓延開來,就會立即發佈 LiveUpdate 套件,全力地保護我們的客戶。 此
