网络安全缩略语汇编手册——F

admin 2024年8月12日11:42:29评论17 views字数 38169阅读127分13秒阅读模式

缩写

描述

中文含义

FAA

Federal Aviation Administration

美国联邦航空管理局

我们的使命

我们的持续使命是提供世界上最安全、最高效的航空航天系统。

我们的愿景

我们努力达到更高的安全和效率水平,并在如何将新用户和技术安全地融入我们的航空系统方面展现全球领先地位。我们对美国公众和航空利益相关者负责。

我们的价值观

安全是我们的激情。我们的工作是为了让所有航空和太空旅行者安全抵达目的地。

卓越是我们的承诺。我们寻求体现专业精神、透明度和问责制的结果。

诚信是我们的试金石。我们以诚实、道德健全和最高道德水平履行职责。

人是我们的力量。我们的成功取决于员工的尊重、多样性、协作和承诺。

创新是我们的标志。我们培养创造力和远见,以提供超越当今界限的解决方案。

https://www.faa.gov/about/mission

FaaS

Finance As A Service

金融科技即服务

金融科技即服务,简称为金融科技即一服务(FaaS),是指允许任何人提供金融服务的金融科技的第三方提供和维护。从支付网关到在线筹款、点对点贷款、虚拟银行账户和一键购买,FaaS为我们在线执行的每一笔金融交易提供支持。

金融科技最初是金融机构的后端编程,现在已经成为一个巨大的行业。事实上,到2026年,金融科技的全球市场预计将达到3300亿欧元。作为技术专家,金融科技公司允许任何个人或公司通过使用白标签应用编程接口(API)提供金融服务,这些接口可以根据公司自己的品牌、配色方案和期望的功能进行定制。访问API模块(如第三方支付平台)通常需要每月支付费用,包括技术支持和升级以及插件模块本身。

FAAS如何使公司受益

通过金融科技即服务,中小企业和大公司可以通过其提供的金融服务创收,而第三方金融科技公司则负责PCI-DSS合规性(包括加密)、欺诈保护、升级、错误修复、集成支持和一般技术支持。这种合作关系使双方能够专注于其核心业务,并为内部开发人员和技术支持节省资金。

商家可以通过金融科技即服务实现什么?

l接受付款

电子商务商家需要一种在线接受支付的方式,对于那些没有时间、知识或内部人员来构建专有支付网关的商家,FaaS支付提供商提供了一种现成的解决方案,允许您启动和运行支付流程,并将您的产品销售给世界。

通常,FaaS支付提供商提供商家接受支付和在线管理业务所需的一切:

n一个安全加密的全球支付网关,可接受多种支付解决方案,如信用卡和借记卡、电子钱包、立即付款、银行转账、邮购和电话订购(MOTO)支付以及本地支付方式

n多种货币功能,允许您接受全球付款并以您选择的货币将其结算到您的银行账户

n欺诈和拒付预防工具,用于验证购买并自动阻止或标记可疑交易

n广泛的商户服务,包括实时交易记录、销售报告和分析、定期计费和客户数据库

l进行数字支付

Fintech支持的数字支付应用程序,如PayPal和CashApp,允许客户通过点击按钮(或点击屏幕)进行国际和本地支付,以进行在线购买,并在商店中进行刷卡、芯片或近场通信支付。Fintech即服务可以让您创建自己的品牌电子钱包,以方便B2B和B2C交易。

l虚拟银行业务

Revolut和Monzo等移动银行服务的运营方式与传统金融机构一样,提供储蓄账户、借记卡甚至家庭贷款,但没有柜员、ATM或国际边界。在提供FaaS的金融科技公司的帮助下,企业可以推出自己的虚拟银行,并通过提供与传统银行同等的金融产品来创收。

l财务管理

财务管理应用程序,如You Need a Budget(YNAB)和Quicken,可以帮助客户在一个地方查看所有财务信息、设置预算和支付账单。对于公司来说,FaaS支持的记账和会计解决方案可以简化内部财务管理,帮助您做出正确的业务决策。

l移动货币

金融科技即服务可用于提供资金流动服务,包括国际汇款以及本地支付网络内的转账。将大量工作外包给国际承包商和员工的公司可以通过白标签资金转移服务节省大量资金。

l投资股票

用于投资的FaaS解决方案包括投资应用程序和机器人顾问服务。Saxo Bank和Interactive Brokers等应用程序允许个人和商业实体从移动设备交易股票、加密货币和ETF等资产,佣金非常低,甚至没有佣金,帮助您以更低的价格从投资中赚钱。机器人顾问更进一步,按照合理的投资规则,自动投资您或您公司的资金。

l筹集资金

如果你正在寻找一种为新企业筹集资金的方法,金融科技即服务可以帮助你筹集资金。PeerBerry和Robocash等P2P贷款应用程序允许您从家人、朋友甚至完全陌生的人那里获得小额贷款,帮助您创业。2020年,欧洲的点对点消费者贷款价值为29.58亿欧元,欧洲的对等企业贷款价值为18.8亿欧元。

l交易加密货币

对市场波动、安全和监管的担忧导致加密货币作为一种支付方式越来越受欢迎。FaaS应用程序允许客户和企业购买、出售、持有和交易NFT等数字代币和比特币等加密货币。

l收集和处理数据

大规模数据收集和处理是金融科技即服务的主要好处之一,尤其是开放银行的概念。当交易以数字方式完成和记录时,FaaS机器人会分析财务数据,让个人和企业更深入地了解其收入和支出。对于商家来说,围绕客户行为生成的数据可以帮助您更有效地营销产品,并采取措施提高平均订单价值。

安全与监管

金融科技即服务解决方案受到国家和国际机构的监管,以确保它们符合数据保护最佳做法,并防止洗钱和欺诈。

l在英国,所有金融机构都必须向金融行为管理局(FCA)注册。

l在美国,所有货币服务企业(MSB)必须在金融犯罪执法网络(FinCEN)注册。

l在欧洲,《通用数据保护条例》(GDPR)适用于所有收集和存储客户数据的企业和金融科技公司。

为了在不增加成本的情况下确保合规性,许多金融科技公司使用监管技术(RegTech)来确保法律符合所有相关法规,确保遵守客户的隐私选择,并自动生成强制报告。

FAIR

Factor Analysis of Information Risk

信息风险因素分析

信息风险因素分析(FAIR)是一种基于导致风险的因素及其相互影响的模型。它是一个符合国际标准的风险管理框架,旨在帮助组织了解、分析和衡量信息风险。FAIR是针对网络安全和运营风险的标准风险值(VaR)框架。它提供了标准和最佳实践,使组织能够从业务角度衡量、管理信息风险,并向利益相关者(如信息风险、网络安全和企业高管)报告信息风险。

FAIR是一种量化和管理任何组织风险的方法。它是网络安全风险的唯一国际标准量化模型。为理解、分析和量化财务方面的网络风险提供了一个模型。与风险评估框架不同,风险评估框架将其结果集中在定性彩色图表或数字加权比例上

OpenFAIR标准由开放集团维护,该集团是一个全球联盟,通过IT标准实现业务目标FAIR是其他方法的补充,如COSO、ITIL、ISO/IEC 27002:2005、COBIT、OCTAVE等,它提供了可用于其他风险模型的引擎。

FAIR采用和文件

作为一个标准机构,开放集团的目标是在这些风险评估或管理框架的背景下推广FAIR的使用。ISACA在其扩展COBIT的风险IT框架中引用了FAIR及其概念。美国国土安全部的“构建安全”倡议引用了FAIR。

FAIR的主要文件是“信息风险因素分析(FAIR)简介”,Risk Management Insight LLC,2006年11月;本白皮书的内容和FAIR框架本身根据Creative Commons Attribution Noncommercial Share Alike 2.5许可证发布。本文件首先定义了什么是风险。风险和风险分析部分讨论了风险概念以及围绕风险分析和概率的一些现实。这为理解和应用FAIR提供了共同的基础。风险情景部分简要描述了构成任何风险情景的四个主要组成部分。这些组成部分的特征(因素)相互结合,会导致风险。风险分解开始将信息风险分解为其基本部分。由此产生的分类法描述了这些因素如何组合以驱动风险,并为FAIR框架的其余部分奠定了基础。控件部分简要介绍控件环境的三个维度。度量风险简要讨论度量概念和挑战,然后提供风险因素度量的高级讨论。

FAIR框架的组成部分

FAIR框架包含四个主要组成部分——威胁、资产、组织本身和外部环境。场景中的所有内容都属于这些类别之一,每个类别都有对风险有积极或消极影响的属性或因素。

威胁:威胁是指能够以可能导致损害的方式对资产采取行动的任何东西(例如,物体、物质、人等)。龙卷风是威胁,洪水也是威胁,黑客也是威胁。关键考虑因素是威胁对可能导致损失事件发生的资产施加力(水、风、漏洞代码等)。实际上,在适当的情况下,任何人和任何东西都可能成为威胁代理——善意但无能的计算机操作员,通过键入错误的命令来破坏日常批处理工作,监管机构执行审计,或是咬断数据电缆的松鼠。

资产:在信息风险环境中,我们可以将资产定义为支持信息相关活动的环境中的任何数据、设备或其他组件,这些数据、设备和组件可能会受到影响,从而导致损失。资产具有与价值、负债和代表风险因素的控制力相关的特征。

组织:风险存在于组织或实体的环境中。换句话说,对资产的损害会影响组织的一个或多个价值主张。是组织失去了资源或运营能力。该组织的特点也有助于吸引某些威胁社区的注意,这可能会增加事件的频率。

外部环境:组织运作的环境在风险中起着重要作用。各种外部特征,如监管环境、行业内的竞争等,都有助于提高亏损概率。

FAIR分析阶段

基本FAIR分析包括四个阶段的十个步骤:

阶段1–确定场景组件

1.识别风险资产

2.确定正在考虑的威胁群体

2阶段-评估损失事件频率(LEF)

3.估计可能的威胁事件频率(TEF)

4.评估威胁能力(TCap)

5.估计控制强度(CS)

6.派生漏洞(Vun)

7.导出损失事件频率(LEF)

3阶段——评估可能损失幅度(PLM)

8.估计最坏情况下的损失

9.估计可能损失

4阶段–衍生和阐明风险

10.衍生和阐明风险

FAPI

Financial-Grade API

金融科技级API

金融科技级API(FAPI)是行业领先的JSON数据模式、安全和隐私协议规范,支持商业和投资银行账户以及保险和信用卡账户的用例。FinTech开发人员可以加快安全开放银行业务,例如:

l应用程序使用基于标准的安全数据模型(JSON)来访问存储在账户中的财务数据。

l应用程序使用基于标准的程序接口(REST)在银行、机构和第三方之间共享金融数据。

l应用程序和用户安全控制和隐私设置应与开放标准(OAuth)和提供者(OpenID Connect)一致实施。

金融级API(FAPI)包括一个客户端发起的反向通道认证(CIBA)规范,以支持一种安全的解耦认证和授权用例的方法,从而降低与社会工程或内部威胁相关的风险,例如:

l利用来自智能设备的强认证会话向另一设备授予授权。

l通过PUSH通知向第三方支付您的手机、手表、销售点终端/售货亭或任何其他类型的智能设备。

l允许呼叫中心代理或财务顾问访问帐户,而不是使用基于知识的问题(例如母亲的婚前姓名)。

https://fapi.openid.net/

FAR

Federal Acquisition Regulation

联邦采购条例

《联邦采购条例》FAR”)是一套规定了政府在采购合同中采购货物和服务时必须遵守规则的条例FAR于1984年4月1日首次发布,多年来发展迅速。它现在由国防部(“DoD”)、美国总务管理局(“GSA”)和美国国家航空航天局(“NASA”)联合授权发布。FAR被编入《联邦法规法典》第48篇第1至53部分。

FAR的目的是发布统一的政策和程序,供联邦机构在采购过程中遵循。这些规则提供了一致而灵活的采购程序,以便政府合同能够以透明、公平和公正的方式进行。FAR§1.102-1描述了FAR的“愿景”如下:

系统中的所有参与者都负责做出采购决策,为客户提供最有价值的产品或服务。必须从广泛的角度看待最佳价值,并通过平衡系统中的众多竞争利益来实现最佳价值。结果是一个工作更好、成本更低的系统。

除了FAR本身,还有一些规则的补充,可以为收购增加机构特定的指导。例如,《国防联邦采购条例补充》(“DFARS”)和《通用服务采购条例》(“GSARS””)是《联邦采购条例》的三十个补充中的两个。需要注意的是,这些补充法规并不能取代FAR——它们只是对法规的补充或修改。为了入选政府合同授予,报价人必须遵守FAR的复杂规则,或可能需要的任何其他补充规则,否则提案可能不会得到机构的考虑。

FAR分为8个子章节(A-H),共包含53个部分。然后将这些部分分为子部分、部分和子部分。例如,上文引用的FAR章节——1.102-1——内容如下:第1部分第10子部分第2节第1小节。

1.102-1

12个FAR部分涉及一般政府采购事宜和规划。剩余的41个FAR部分全面涵盖了收购方法、社会经济计划、主要系统收购、专利、数据和版权等主题。尽管FAR很密集,其硬拷贝表格有2100多页,但这些信息非常容易理解和阅读,几乎涵盖了政府收购的所有内容。

事实上,FAR第52部分包括政府采购所需的所有必需的合同条款和规定,以及规定和条款矩阵,该矩阵确定了每种合同类型所需或可选的所有必需条款和规定。此外,FAR第53部分以非常方便读者的格式包含了大量必要的表格和信息。

尽管FAR是详细的,经常受到批评,但它确实为确定政府如何获取商品和服务提供了一个令人难以置信的资源。

FARM

Frame, Assess, Respond, Monitor

框架、评估、响应、监控

风险管理是一项复杂的、多方面的活动,需要整个组织的高层领导/高管参与,为组织提供战略愿景和顶层目标;中层领导规划、执行和管理项目;向前线操作支持组织任务/业务职能的信息系统的个人。风险管理是一个全面的过程,要求组织:(i)界定风险(即,建立基于风险的决策的背景);(ii)评估风险;(iii)一旦确定风险,应对风险;以及(iv)使用有效的组织沟通和反馈回路持续监测风险,以持续改进各组织与风险相关的活动。风险管理是作为一项整体的、全组织范围的活动进行的,它从战略层面到战术层面解决风险,确保基于风险的决策融入组织的各个方面。

网络安全缩略语汇编手册——F

说明了风险管理流程以及组件之间的信息和通信流。黑色箭头表示风险管理流程中的主要流程,风险框架告知从风险评估到风险响应再到风险监控的所有连续的逐步活动。例如,风险框架部分的主要输出之一是对组织在获取威胁信息时使用的来源和方法的描述(例如,开源、机密情报社区报告)。关于威胁信息的输出是风险评估组件的主要输入,并相应地传达给该组件。另一个例子在风险评估组件的主要输出中进行了说明,即风险的确定。风险评估组件的输出被传达给风险响应组件,并作为该组件的主要输入被接收。风险响应组件的另一个主要输入是风险框架组件的输出,即定义组织应如何应对风险的风险管理策略。决策者在选择风险应对的潜在行动方案时,使用这些投入以及任何其他投入。

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-39.pdf

FASC

Federal Acquisition Security Council

联邦采购安全委员会

联邦采购安全委员会(FASC)受《安全技术法案》(SECURE Technology Act)的约束,是一个最近成立的跨机构机构,其任务是在联邦机构之间制定“供应链风险管理(SCRM)计划的统一标准”,改善供应链风险的信息共享,并规定了对任何被认为具有安全风险的信息和通信技术(ICT)作出排除和排除决定的程序。

鉴于最近SolarWinds供应链渗透到联邦网络中,Baker Tilly总结了战略计划中的几个重要内容,因为FASC将是国家保障联邦供应链战略活动中的关键角色。在后SolarWinds时代,联邦承包商明智的做法是保持FASC的广泛自由裁量权,特别是委员会发布排除和移除通知的能力,这将导致自动转介潜在的暂停和禁止。

2020年9月1日,管理与预算办公室(OMB)发布了一项实施2018年《联邦采购供应链安全法案》的临时规则,该法案设立了FASC,并授权其监督“在联邦ICT企业中建立标准化SCRM实践的总体努力”,联邦首席信息官办公室发布了FASC的战略计划,概述了其核心使命和目标。正如计划中简洁的表述:

ICT SCRM是识别、评估和减轻与ICT产品和服务供应链的全球和分布式性质相关的风险的过程。由于每个联邦机构的供应链都与每个机构的任务一样独特,因此没有一个单一的SCRM计划可以在整个联邦政府中普遍应用。但现在,所有联邦机构都可以关注FASC用于指导,包括:

l解决信息和通信技术采购和使用中的供应链风险;

l根据NIST标准更新供应链风险管理标准和指南;

l联邦SCRM专业知识,支持政府范围内的协调;和

l共享适用的风险信息,以告知机构SCRM计划和ICT采购决策。”

确定了三个中心支柱,以增强联邦信息和通信技术的安全性、可靠性和弹性。

支柱一:联邦SCRM项目的标准、指南和实践

为了满足《安全技术法案》的法定要求,FASC概述了其预期开展的几项核心活动:

l加强机构的SCRM能力

《安全技术法案》迫使联邦机构根据FASC规定的标准和惯例评估供应链风险。为了帮助各机构确定其SCRM成熟度水平并实施改进,FASC将确定“所有组织均可实施的共同倡议、标准、指南、流程和经验证的实践”。作为理事会成员,国家标准与技术研究所(NIST)将在制定指导意见以实现政府范围内的SCRM治理同步方面发挥重要作用。NIST SP 800-161,“联邦信息系统和组织的供应链风险管理实践”,于2015年4月发布,并计划在未来几个月内进行修订,可能会在各机构对其信息系统资产(以及其他SCRM框架)的审查中纳入因素。

l确定解决风险的现有权限

除了提供加强机构特定SCRM实践的途径外,FASC还将建立一个知识管理库,以提高对《安全技术法案》下机构权威的认识,避免重复,并增加SCRM战略和实施计划的采用。

l确定最佳实践和程序

FASC打算研究过去、现在和未来与SCRM项目实施相关的机构努力。为实现这一目标,FASC将进行“数据通话”,以收集有关“SCRM政策、计划、实践、流程和相关资源”的详细信息。将对收集的信息进行审查,以了解和识别应在行政部门传播的SCRM活动。

l解决跨机构SCRM服务

FASC将致力于确定可用于解决供应链威胁的共享服务(如供应链风险评估)和通用合同解决方案(如采购方法)。

l制定排除和移除标准

根据适用的NIST标准和指南,FASC将制定必要的标准和程序,以建议风险ICT产品或服务的排除或移除命令。

l评估对现有合同实施新政策或程序的效果

FASC了解到,根据现有的ICT合同承诺,与SCRM实践变更相关的目标可能无法完全实现,因此将评估实践变更的影响,并确定是否有必要对合同进行修改,以充分缓解供应链风险。

l衡量结果

由于了解到FISMA年度报告将作为衡量SCRM能力的机制,FASC将“制定并向OMB推荐适当的可衡量的计划指标”。此外,FASC还将编制一份年度报告,描述其在整个联邦政府内发展SCRM相关实践的持续努力。

支柱二:信息共享

FASC的一项关键法定任务是制定标准并改进与供应链风险相关的信息共享(政府对政府、政府对行业和行业对行业)。了解各机构都有自己的政策和程序,可能会限制信息共享,财务会计准则委员会将“制定标准,以界定要共享的信息的特定类别(强制性和自愿性),以确保联邦信息和通信技术的安全(包括与非执行分支联邦实体共享),同时确保信息共享过程符合适用的法律和政策要求。”此外,在战略计划中,FASC已任命国土安全部(DHS)通过网络安全和基础设施安全局(CISA)作为执行机构,负责监督FASC制定的信息共享指南。

支柱三:利益相关者参与

认识到在这一复杂问题上与非联邦实体(私营部门、公私伙伴关系、联邦资助的研究发展中心和学术机构)接触的重要性,FASC计划编制一份“利益相关者管理计划”,以确定相关利益相关者,并制定一种沟通方式,“确保FASC的活动得到所有相关信息的通知,并满足利益相关者的多样化生态系统的需求”

结论

随着网络安全和监控威胁越来越普遍,联邦承包商应该期待看到越来越严格的努力来保护和加强联邦供应链。这项特殊的战略计划明确表明,FASC将成为我国日益增长的降低信息和通信技术风险措施的关键声音,其影响可能会影响到与联邦政府有业务往来的公司。这些组织在寻求与联邦客户合作时,应对供应链风险保持警惕。正如最近的太阳风事件所表明的那样,对我们国家安全的风险太大了。除了评估其供应链外,联邦承包商还应寻求制定一个有效的SCRM计划,将系统、政策和流程落实到位,从而有效缓解和管理持续的供应商风险。

https://www.bakertilly.com/insights/in-focus-the-fasc-strategic-plan-for-managing-supply

FASCA

Federal Acquisition Supply Chain Security Act

联邦采购供应链安全法案

根据2018年《联邦采购供应链安全法案》(FASCSA)的授权,联邦采购安全委员会(FASC)发布了这一最终规则,以实施管理FASC运作、供应链风险信息共享,以及行使FASC的权力,建议发布解除和排除令,以解决供应链安全风险。该规则最终确定临时最终规则,并纠正临时最终规则的编码结构。

FASC-N

Federal Agency Smart Credential Number

联邦机构智能凭证编号

联邦机构智能凭证编号(FASC-N)是一个标识符,用作所有政府颁发凭证的主要标识字符串。各机构建立联邦机构智能凭证号码(FASC-N),该号码必须包含在FIPS 201持卡人唯一标识符(CHUID)中。

www.acronymattic.com/Federal-Agency-Smart-Credential-(FASC).html

FBI

Federal Bureau of Investigation

联邦调查局

联邦调查局(FBI),美国联邦政府的主要调查机构。该局负责在联邦法律可能被违反的情况下进行调查,除非联邦政府的另一个机构已通过法规或行政法令明确授权该职责。作为司法部(DOJ)的一部分,联邦调查局向美国司法部长及其在华盛顿特区特区的助手以及美国联邦司法区的检察官办公室报告调查结果。尽管联邦调查局是一个联邦机构,但它不是国家警察部队,美国的执法仍然主要由州和地方政府负责。

组织和职责

联邦调查局总部位于华盛顿特区,以1924年至1972年担任该局局长的J.Edgar Hoover命名。联邦调查局在全美各大城市和波多黎各设有50多个外地办事处。它还设有数百个“卫星”办事处,称为常驻机构,在外国设立几十个联络站,以便利与外国机构就与国际犯罪和罪犯有关的事项交换信息。

联邦调查局由一名局长领导,最初由司法部长任命。1968年颁布的立法授权美国总统在参议院的建议和同意下,任命负责人,任期10年。该局有大量员工,其中包括10000多名从事调查工作的特工。这些代理人中的大多数已经在该局工作了10年或更长时间。

联邦调查局的调查管辖权延伸到200多个领域的大多数联邦刑法,包括计算机犯罪(网络犯罪)、贪污、洗钱、有组织犯罪(包括勒索和勒索)、海盗和劫持、破坏、煽动叛乱、恐怖主义(包括生态恐怖主义)和叛国罪。该局是负责反间谍的主要联邦机构(参见情报);它在由总统国家安全委员会设立的美国情报委员会中有代表。在与国内安全相关的领域,联邦调查局负责关联情报并将其传播给其他联邦机构。它还调查违反联邦民权法的行为,如就业和投票中的种族歧视以及警察暴行。通过其统一犯罪报告计划,该局每年发布美国犯罪活动的综合摘要;它还发布了一份关于仇恨犯罪的具体报告。它在美国是或可能是缔约方的大多数民事案件中收集证据,并调查被考虑在联邦政府内担任敏感职位的个人。虽然该局调查在美国境外对美国公民和美国利益(如大使馆)犯下的罪行,但只有在美国国会授予其管辖权且东道国同意的情况下,该局才能在外国领土上逮捕个人。

联邦调查局管辖权的主要例外在于专门领域。其中包括酒精和枪支违法行为(属于司法部下属的酒精、烟草、枪支和爆炸物管理局),针对美国金融和银行基础设施(海关和边境保护局、公民和移民服务局以及特勤局,所有这些都是国土安全部的一部分)的海关和移民违规行为以及金融犯罪、税务违规行为(美国国税局)、证券欺诈行为(美国证券交易委员会)、,和邮政违规(美国邮政局)。联邦调查局与毒品执法局(也是司法部的一部分)共同管辖毒品违法行为。

联邦调查局管辖权的主要例外在于专门领域。其中包括酒精和枪支违法行为(属于司法部下属的酒精、烟草、枪支和爆炸物管理局),针对美国金融和银行基础设施(海关和边境保护局、公民和移民服务局以及特勤局,所有这些都是国土安全部的一部分)的海关和移民违规行为以及金融犯罪、税务违规行为(美国国税局)、证券欺诈行为(美国证券交易委员会)、,和邮政违规(美国邮政局)。联邦调查局与毒品执法局(也是司法部的一部分)共同管辖毒品违法行为。

https://www.britannica.com/topic/COINTELPRO

FCA

Financial Conduct Authority (U.K.)

金融行为管理局

作为英国金融服务业的监管机构,金融行为监管局(FCA)负责英国金融市场的运作。该组织的目标是确保个人、企业和整个经济的诚实和公平市场。管理局通过保护消费者、保护金融市场和促进竞争来做到这一点。FCA属于英国财政部和议会的权限。

关键要点:

lFCA负责英国金融市场的运作。

l管理局旨在通过保护消费者、保护金融市场和促进竞争来确保诚实和公平的市场。

lFCA是英国财政部和议会管辖的公共机构。

lFCA向其监管的公司收取费用。

金融行为管理局(FCA)有三个运营目标来支持其战略目标,即保护消费者、保护和加强英国金融体系的完整性,以及促进金融服务提供商之间为了消费者利益的健康竞争。FCA成立于2013年4月1日,负责金融服务管理局的行为和相关审慎监管。FCA的法定目标是根据《2000年金融服务和市场法案》制定的,并经《2012年金融服务法案》修订。2012年法案对英国金融服务公司的监管方式进行了重大改变,旨在确保金融部门在2008年至2009年金融危机后更有效地管理和控制风险。

金融行为管理局权力

FCA拥有全面的权力来执行其任务,包括制定规则、调查和执行权力。FCA也有权提高费用,这是必要的,因为它是一个独立机构,不接受任何政府资助。因此,FCA向开展FCA和其他机构(如公认的投资交易所)监管活动的授权公司收取费用。

英国金融行为监管局(FCA)的职能

根据FCA的网站,该机构监管英国59000家金融服务公司和金融市场的行为。目标是确保个人、各种规模的企业和整个经济的诚实和公平市场。管理局通过保护消费者、保护金融市场和促进竞争来做到这一点。FCA由英国财政部和议会控制。

英国金融行为监管局(FCA)融资

FCA是一个独立的公共机构,向其监管的公司收取费用。向公司收取的定期费用提供了FCA履行法定职责所需的大部分资金。这些费用基于公司开展的受监管活动的类型、这些活动的规模以及FCA产生的监管成本等因素。

https://www.investopedia.com/terms/f/financial-conduct-authority-uk-fca.asp

FCAPS

Fault, Configuration, Accounting, Performance, and Security

故障、配置、记账、性能和安全

FCAPS(故障、配置、计费、性能和安全)是由国际标准化组织(ISO)创建的网络管理框架。该网络管理模型的主要目标是更好地理解网络管理系统的主要功能。

20世纪80年代初引入的目标是从被动的网络管理转向主动的方法,例如,授权管理员对其基础设施进行更多控制,以在小问题成为大问题之前发现并纠正小问题。

FCAPS是网络管理的五个工作级别的缩写:故障、配置、记账、性能和安全。FCAPS模型也称为ISO网络管理模型或OSI网络管理模型。有时,它也被称为OSI/ISO网络管理模型。

故障管理层

发生网络故障。这使得在它们引发严重问题之前及早发现它们至关重要。在网络管理的FCAPS模型中,组织可以在故障管理级别发现并纠正网络问题。

今天,检测、隔离、记录和修复潜在故障的能力是每个网络的必要组成部分。通过查看历史故障数据,网络管理员还可以识别模式和趋势,以增强有助于显著提高网络稳定性的主动措施。

例如,您还可以确定潜在的未来问题,并采取措施防止其发生或再次发生。通过故障管理,网络可以保持运行,同时最大限度地减少任何潜在的停机时间。

网络安全缩略语汇编手册——F

配置管理层

配置管理在网络中起着至关重要的作用。例如,它帮助网络管理员以集中的方式跟踪和管理部署和相关维护。

配置管理是一项关键的操作能力,因为它为所有其他网络管理功能奠定了基础。为了使这一过程方便用户并尽可能无缝,各组织必须:

l集中存储配置

l为未来的扩张做好准备

l优化设备配置和资源调配

l无缝跟踪更改

例如,在配置管理级别,监视和控制网络操作。硬件和程序变更——包括新设备和程序的添加、现有系统的修改以及过时系统和程序的移除——都是协调一致的。组织还可以保存设备和程序的清单,并定期更新。

网络安全缩略语汇编手册——F

记账管理层

记账管理层或分配层致力于在网络用户之间优化和公平地分配资源。这样可以最有效地利用可用的系统,最大限度地降低运营成本。有时称为管理层,会计层也负责确保用户得到适当的计费。

FCAPS中记账管理的功能是帮助管理员根据系统中授予的权限配置用户和组。访问也受到限制,以确保仅允许授权用户对关键网络系统进行重大更改。

网络安全缩略语汇编手册——F

身份访问管理可以帮助管理员根据权限配置用户和组,并作为FCAPS会计管理级别的一部分限制授权用户的访问。

性能管理层

性能管理级别有助于更好地管理网络的总体性能。组织可以最大限度地提高吞吐量,避免网络瓶颈并发现潜在问题。该过程的主要部分是确定哪些改进产生了最显著的总体性能增强。

性能管理工具允许网络管理员实时监控性能并解决问题,同时保持可访问性和易用性。性能数据也经常用于确定模式和趋势,以进行预测。

网络安全缩略语汇编手册——F

安全管理层

安全管理集中于限制和控制对网络内数字资产的访问。这是因为组织必须在安全管理级别保护网络免受黑客、未授权用户和物理或电子破坏。

他们可以使用加密协议、用户身份验证工具和端点保护来添加更多层并更好地保护网络。组织还可以添加物理保护解决方案,以更好地保护网络设备。

这种方法有助于在必要或保证的情况下保持用户信息的机密性。安全系统还允许网络管理员控制每个授权用户在系统内可以(和不能)做什么。

网络安全缩略语汇编手册——F

FCAPS的未来是什么?

尽管FCAPS很复杂,范围很广,但它的许多原则现在已经过时了。它应该更新,以反映我们如何管理现代网络基础设施的新现实。

FCAPS安全管理模型是在前云计算时代构想的,在这个时代,所有权、责任和控制是明确和直接的。当时,很容易假设某些实体隐性拥有和控制资产。我们不能再这样了。

当应用程序位于云中时,故障检测更具挑战性,因为我们使用的是虚拟化服务器。例如,不同的租户可能会遇到来自同一源的故障,例如过载的链接或过载的服务器。不断增加和升级设备也会导致配置错误,最终导致故障。

因此,企业必须保护在云上运行的数据、应用程序和服务,以确保法规遵从性。然而,这一责任在一定程度上也由拥有和控制设备的云服务提供商分担。

因此,我们必须重新设想FCAPS在云和本地的角色。例如,我们需要定义FCAPS如何帮助提高虚拟化环境中的可靠性、可用性、资源调配、协调、成本优化和数据保护。

https://www.techtarget.com/searchnetworking/definition/FCAPS

FCB

Federal Coordination Body

联邦协调机构

无注解

FCC

Federal Communications Commission

联邦通信委员会

联邦通信委员会(Federal Communications Commission)通过无线电、电视、有线电视、卫星和有线电视对所有50个州、哥伦比亚特区和美国领土的州际和国际通信进行监管。该委员会是一个由国会监督的独立美国政府机构,是负责实施和执行美国通信法律法规的联邦机构。

https://www.fcc.gov/about/overview

FDA

Food and Drug Administration

食品和药品管理局

美国食品和药物管理局负责保护公众健康,确保人用和兽药、生物制品和医疗器械的安全性、有效性和安全性;确保我们国家的食品供应、化妆品和辐射产品的安全。

FDA还负责监管烟草产品的生产、销售和分销,以保护公众健康并减少未成年人的烟草使用。

FDA负责促进公众健康,帮助加快创新,使医疗产品更有效、更安全、更实惠,并帮助公众获得使用医疗产品和食品维持和改善健康所需的准确、基于科学的信息。

美国食品和药物管理局在国家反恐能力方面也发挥着重要作用。食品和药物管理局通过确保食品供应的安全和促进医疗产品的开发以应对蓄意和自然出现的公共卫生威胁来履行这一职责。

https://www.fda.gov/about-fda/what-we-do

FDNA

Functional Dependency Network Analysis

功能依赖网络分析

功能依赖网络分析(FDNA)。其制定部分是由Leontief系统、不可操作性输入输出模型(IIM)、故障模式与影响分析(FMEA)和设计结构矩阵(DSM)的概念推动的。FDNA是一种新的分析方法。使管理层能够在意识到威胁供应商的风险之前,研究和预测供应商项目贡献损失对系统依赖能力的连锁反应。FDNA分析确定了如果发生此类风险,可操作性损失的水平是否可以容忍。这使得管理层能够更好地将风险解决资源瞄准那些面临高风险且对系统操作能力最为关键的供应商项目。

Paul R. Garvey1, Ph.D. and C. Ariel Pinto2, Ph.D.The MITRE Corporation and Old Dominion University INTRODUCTION TO FUNCTIONAL DEPENDENCY NETWORK ANALYSIS

FDX

Financial Data Exchange

金融数据交换

金融数据交换有限责任公司(FDX)是一家在美国和加拿大运营的国际非盈利组织,致力于围绕一个通用、可互操作、免版税的标准来统一金融行业,以安全访问经许可的消费者和商业金融数据,该标准被恰当地命名为FDX应用编程接口(FDX API)。

FedRAMP

Federal Risk and Authorization Management Program

联邦风险和授权管理计划

FedRAMP是美国联邦政府为云服务提供商制定的一种安全认证管理计划,旨在标准化和简化联邦政府使用云计算服务的安全审查和授权流程。该计划要求云服务提供商满足特定的安全标准,并通过联邦政府批准后才能向政府机构提供云服务。

通过FedRAMP认证,云服务提供商可获得联邦政府机构的授权,使其可以向这些机构提供云计算服务。这有助于减少政府机构对安全审查的重复性工作,提高数据安全和保护水平。

https://www.fedramp.gov/program-basics/

FEMA

Federal Emergency Management Agency

联邦应急管理局

1979年4月1日,卡特总统成立了具有民防和应急管理双重职能的联邦紧急事务管理局。该机构的权限通过一系列立法行动得到进一步界定和扩大。

1988年《救灾和紧急援助修正案》修订了1974年《救灾法》,并将其更名为《罗伯特·T·斯塔福德救灾和紧急救援法》(《斯塔福德法》)。《斯塔福德法案》通过总统灾难宣言确立了当前的救灾和恢复法定框架。2001年9月11日恐怖袭击发生后,布什总统签署了《国土安全法》(2002年),将联邦应急管理局与新成立的美国国土安全部下属的其他21个组织联合起来。在接下来的二十年里,国会在重大灾难事件后通过了一系列立法,这些立法进一步塑造了该机构——《卡特里娜飓风后应急管理改革法案》(2006年)、《桑迪改革法》(2012年)和《灾后恢复改革法案》(2018年)。

今天,FEMA被要求帮助其合作伙伴了解并降低其灾难风险,领导协调联邦应对工作,以在灾难发生后稳定社区,并为个人和社区重建提供支持,使其比以前更有韧性。

该机构通过建立合作伙伴关系、提供联邦援助和提供资源来帮助个人和社区审查、建设和不断提高自己的能力,从而领导国家。

FEMA任务

FEMA的使命是在灾难发生之前、期间和之后帮助人们。20000多名机构员工组成了一支由专职应急管理领导组成的团队。这些领导人合作分享经验和资源,建立国家需要和应得的FEMA。他们利用各级政府利益相关者的优势和专业知识——部落国家、地区、个人、社区、私营部门和非营利组织——来指导FEMA如何完成其使命。无论是在洪水之前、飓风季节,还是在野火破坏社区之后,FEMA都致力于帮助人们。

FEMA核心价值观

FEMA的同情、公平、正直和尊重的核心价值观是该机构及其员工所代表的核心。这些价值观构成了FEMA是谁、该机构相信什么以及如何为国家服务的坚实基础。这些核心价值观适用于FEMA每天与幸存者、同事和利益相关者的互动。

https://www.fema.gov/about/strategic-plan/about-fema

FFIEC

Federal Financial Institutions Examination Council

联邦金融机构审查委员会

联邦金融机构审查委员会(FFIEC)成立于1979年3月10日,依据1978年《金融机构监管和利率控制法》(FIRA)第X编,公法95-630。1989年,《1989年金融机构改革、恢复和执行法案》(FIRREA)的标题为XI,在审查委员会内设立了评估小组委员会(ASC)。

该委员会是一个正式的跨部门机构,有权规定联邦储备系统(FRB)、联邦存款保险公司(FDIC)、国家信用合作社管理局(NCUA)、货币监理署(OCC)和消费者金融保护局(CFPB)对金融机构进行联邦审查的统一原则、标准和报告表,并提出建议,促进金融机构监管的统一性。为了鼓励州和联邦监督机构采用统一的审查原则和标准,委员会根据法规的要求设立了由五名州监督机构代表组成的州联络委员会。根据2006年《金融服务监管救济法》,2006年10月增加了一个具有代表性的州监管机构作为理事会的投票成员。

该委员会负责为受联邦监管的金融机构、其控股公司以及这些机构和控股公司的非金融机构子公司制定统一的报告系统。它为委员会中五个联邦成员机构雇用的考官开办学校,并向监督金融机构的州机构的雇员提供这些学校。

1980年《住房和社区发展法》第340条赋予委员会额外的法定责任,以便利公众获取存款机构根据1975年《住房抵押贷款披露法》(HMDA)必须披露的数据,并按人口普查区汇总每个大都市统计区(MSA)的年度HMDA数据。

FGS

Fire and Gas System

消防和气体安全系统

是用于监测和控制火灾和气体泄漏的系统。它可以及时检测火灾或气体泄漏并采取相应的措施,以确保人员和设备的安全。

FHSS

Frequency Hopping Spread Spectrum

跳频扩频

跳频扩频(FHSS)传输是在无线电传输过程中对载波频率的重复切换,以减少干扰并避免拦截。

FHSS有助于对抗窃听,以及阻碍电信的频率干扰和实现码分多址通信。它还可以最大限度地减少无意干扰的影响。

FHSS背后的思想在20世纪被多次发现和重新发现。德国物理学家和电气工程师Jonathan Zenneck最初在1908年提到了这个概念。然而,FHSS的功劳属于女演员海蒂·拉马尔,她在第二次世界大战期间与作曲家乔治·安希尔合作,将这项技术付诸实践。Micrel股份有限公司联合创始人Ray Zinn创建了另一个更实用的跳频应用。它使无线电通信系统能够在低数据速率无线应用中在不同步接收机和发射机的情况下工作。

网络安全缩略语汇编手册——F

FHSS中,发射机以发射机和接收机都知道的伪随机序列在指定的宽信道内的可用窄带频率之间跳跃。

在当前窄带信道上发送短的数据突发,然后发射机和接收机调谐到下一个数据突发序列中的下一个频率。在大多数系统中,发射机每秒会跳到一个新频率两次以上。

由于没有信道被长时间使用,并且任何其他发射机同时在同一信道上的几率很低,因此FHSS通常被用作允许多个发射机和接收机对同时在相同宽信道上的相同空间中操作的方法。

因为频带可以被划分为子频带,所以用户设备可以以最小的干扰快速地改变其载波频率或跳频。

与固定模拟传输相比,这种宽带或宽带策略提供了一些好处:

如前所述,它能抵抗窄带干扰。

如果跳频模式未知,则数据信号难以截获。

如果频率信道或跳频算法未知,则干扰是困难的。

FHSS发射的无线电信号可以在没有显著干扰的情况下与传统发射共享频带。

出于这些原因,军用无线电通常使用扩频信号来传播编码语言,因为它们需要具有隐蔽性和抗干扰能力。为了破坏FHSS信号,对手的设备需要深入了解跳频模式。

FHWA

Federal Highway Administration

联邦公路管理局

联邦公路管理局(FHWA)是美国运输部内的一个机构,支持州和地方政府设计、建造和维护国家公路系统(联邦援助公路计划)以及各种联邦和部落所有的土地(联邦土地公路计划)。通过向州和地方政府提供财政和技术援助,联邦公路管理局负责确保美国的公路和公路继续成为世界上最安全、技术最健全的公路之一。

FHWA历史

美国联邦公路管理局(FHWA)成立于1966年10月15日,此前有多个前身。

1893年,道路调查办公室成立。1905年,该组织更名为公共道路办公室,成为美国农业部的一个部门。1915年更名为公共道路局,1939年更名为公路管理局。随后更名为联邦工程局,1949年更名为商务部下属的公共道路局。

1966年,FHWA成立;1967年,公共道路局的职能移交给了FHWA。

FHWA使命

FHWA的使命是使世界级的公路系统得以加强,促进安全、机动性和经济增长,同时提高所有美国人的生活质量。

FI

Financial Institution

金融机构

金融机构(FI)是一家从事金融和货币交易(如存款、贷款、投资和货币兑换)业务的公司。金融机构包括金融服务部门的广泛业务运营,包括银行、信托公司、保险公司、经纪公司和投资交易商。

事实上,生活在发达经济体中的每个人都对金融机构的服务有持续或至少定期的需求。

关键要点

l金融机构(FI)是一家从事金融和货币交易(如存款、贷款、投资和货币兑换)业务的公司。

l金融机构包括金融服务部门的广泛业务运营,包括银行、信托公司、保险公司、经纪公司和投资交易商。

l金融机构的规模、范围和地理位置各不相同。

了解金融机构(FI)

金融机构以某种方式为大多数人服务,因为金融运营是任何经济体的关键部分,个人和公司都依赖金融机构进行交易和投资。各国政府认为监督和监管银行和金融机构至关重要,因为它们在经济中发挥着不可或缺的作用。从历史上看,金融机构破产可能会引发恐慌。

在美国,联邦存款保险公司(FDIC)为定期存款账户提供保险,以确保个人和企业在金融机构的财务安全。一个国家银行体系的健康是经济稳定的关键。对金融机构失去信心很容易导致银行挤兑。

金融机构类型

金融机构为个人和商业客户提供广泛的产品和服务。不同类型的金融机构提供的具体服务差别很大。

l商业银行

商业银行是一种接受存款、提供支票账户服务、提供商业贷款、个人贷款和抵押贷款的金融机构,并向个人和小企业提供基本的金融产品,如存单(CD)和储蓄账户。商业银行是大多数人从事银行业务的地方,而不是投资银行。

银行和类似的商业实体,如储蓄机构或信用合作社,提供最普遍认可和最常用的金融服务:支票和储蓄账户、住房抵押贷款,以及零售和商业客户的其他类型贷款。银行还通过信用卡、电汇和货币兑换充当支付代理。金融机构可以从当地社区信用社到国际投资银行等多种规模运作。

l投资银行

投资银行专门提供旨在促进商业运营的服务,如资本支出融资和股票发行,包括首次公开募股(IPO)。它们通常还为投资者提供经纪服务,充当交易交易所的做市商,管理兼并、收购和其他公司重组。

l保险公司

最熟悉的非银行金融机构是保险公司。无论是为个人还是公司提供保险,都是最古老的金融服务之一。通过保险产品获得的资产保护和金融风险保护是促进个人和企业投资的重要服务,促进经济增长。

l经纪公司

投资公司和经纪公司,如共同基金和交易所交易基金(ETF)提供商富达投资(Fidelity Investments),专门提供包括财富管理和金融咨询服务在内的投资服务。它们还提供了投资产品的渠道,从股票和债券到鲜为人知的另类投资,如对冲基金和私募股权投资。

金融机构的重要性

金融机构之所以重要,是因为它们为货币和资产提供了一个市场,这样资本就可以有效地分配到最有用的地方。例如,银行接受客户的存款,并将钱借给借款人。如果没有银行作为中介,任何一个人都不太可能找到合格的借款人或知道如何偿还贷款。因此,存款人可以通过银行赚取利息。同样,投资银行也会寻找投资者来推销公司的股票或债券。

不同类型的金融机构

最常见的金融机构类型是商业银行、投资银行、保险公司和经纪公司。这些实体为个人和商业客户提供广泛的产品和服务,如存款、贷款、投资和货币兑换。

商业银行和投资银行

商业银行是大多数人从事银行业务的一种金融机构,它接受存款,提供支票账户服务,提供商业、个人和抵押贷款,并向个人和小企业提供基本的金融产品,如存单和储蓄账户。投资银行专门提供旨在促进商业运营的服务,如资本支出融资和股票发行,包括首次公开募股(IPO)。它们通常还为投资者提供经纪服务,充当交易交易所的做市商,管理兼并、收购和其他公司重组。

https://www.investopedia.com/terms/f/financialinstitution.asp

FICAM

Federal Identity, Credential, and Access Management

联邦身份、凭证和访问管理

FICAM是联邦政府实施的身份、凭证和访问管理(ICAM)。ICAM是一套工具、政策和系统,一个机构使用这些工具、政策、系统,使适当的个人能够在适当的时间、出于适当的理由获得适当的资源,以支持联邦商业目标。

网络安全缩略语汇编手册——F

FIDO

U2F Fast Identity Online Universal 2nd Factor

U2F快速在线识别通用第二要素

FIDO(Fast IDentity Online)身份验证是一种身份验证标准,它使用公钥密码来创建比密码更安全、更防钓鱼、更方便的登录体验。

过去,许多在线服务仅依靠密码进行身份验证。然而,密码也有一些固有的弱点,例如脆弱或可猜测的密码会导致网络钓鱼和字典攻击等攻击。

为了解决这些问题,一群科技公司于2012年成立了FIDO联盟。多年来,联盟开发并发展了一套无密码身份验证协议,旨在淘汰传统的身份验证方法。

FIDO身份验证依赖于密钥,而不是密码,密钥是安全存储在用户设备上的加密凭据。这些密钥提供了一种无缝的方式来对网站和服务上的用户进行身份验证。

在启用密钥的网站上,用户不需要手动“输入”任何内容即可登录。相反,他们只需出示生物特征(如指纹或人脸识别)或使用硬件密钥使用密钥登录即可。在幕后,会进行严格的密码交换来验证用户的身份,但用户不需要担心技术细节。

这种方法比密码有几个优点。由于密钥存储在用户的设备上,而不是网络服务器上,因此它们不太容易受到数据泄露的影响。此外,密钥是可互操作的,这意味着单个密钥可以在所有用户的设备上使用。

例如,用户可以使用相同的密钥在网站上通过手机、笔记本电脑或平板电脑进行身份验证。

https://www.oneidentity.com/learn/what-is-fido-authentication.aspx

FIPS

Federal Information Processing Standard

联邦信息处理标准

FIPS是由美国国家标准与技术研究所(NIST)根据1996年《信息技术管理改革法案》和1987年《计算机安全法案》制定并经商务部长批准的联邦计算机系统标准。当没有可接受的行业标准或特定政府要求的解决方案时,就会制定这些标准。尽管FIPS是为联邦政府使用而开发的,但许多私营部门自愿使用这些标准。

https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fips

FIRST

Forum for Incident Response and Security Teams

事件响应和安全团队论坛

FIRST是事件响应和安全小组论坛。FIRST可以追溯到1989年,距离CERT(r)协调中心因臭名昭著的互联网蠕虫而成立仅一年。当时的事件不仅影响到一个封闭的用户组或组织,而且影响到通过互联网互连的任何数量的网络。

从那时起在共同关心的问题上,如新的漏洞或广泛的攻击,特别是在DNS服务器或作为关键基础设施的互联网等核心系统上,信息交换和合作是安全和事件应对团队的关键问题。

1990年FIRST成立以来,其成员已经解决了几乎连续不断的安全相关攻击和事件,包括处理数千个安全漏洞,这些漏洞影响了全球数百万计算机系统和网络,这些系统和网络由不断增长的互联网连接。

FIRST汇集了各种各样的安全和事件响应团队,尤其是来自政府、商业和学术部门的产品安全团队。

https://www.first.org/about/

FISMA

Federal Information Security Modernization Act

联邦信息安全现代化法案

《联邦信息安全现代化法案》(FISMA)是美国颁布的一项法律,它建立了一个规则和安全标准框架,以保护联邦信息和程序。这一风险管理框架是作为2002年《电子政府法》的一部分制定的,此后对其进行了修订和更改。

2002年以来,FISMA的范围已经扩大到包括管理联邦计划的州机构以及与美国政府签订合同的私营企业和服务提供商。不合规可能导致联邦资金减少或其他后果。

颁布《电子政府法》是为了更好地管理电子政府服务和程序,并控制联邦在数据安全方面的支出。FISMA是作为《电子政府法》的一部分颁布的最重要的法律之一,因为它建立了一个机制,以减少政府数据安全威胁,同时优先考虑成本效益。

FISMA尤其授权联邦机构和其他机构设计、记录和实施机构范围的信息安全战略。这些程序应能够保护机密材料。立法还将一些任务委托给了国家标准与技术研究所(NIST)和管理与预算办公室(OMB)。机构官员应对机构的信息安全计划进行年度评估,如首席信息官和监察长,此类审查应向OMB报告。OMB随后将使用这些数据来帮助履行监督义务,并向国会提交年度报告。

美国国家标准与技术研究所(NIST)负责生成有关标准和建议的信息,如特殊保护标准。

FITARA

Federal Information Technology Acquisition Reform Act

联邦信息技术采购改革法案

2014年12月通过的《联邦信息技术采购改革法案》(FITARA)加强了机构首席信息官的作用,并为联邦政府的信息技术能力提供了更大的责任。为协助机构实施,OMB于2015年6月发布了OMB备忘录M-15-14:联邦信息技术的管理和监督(OMB M-15-14.联邦信息技术管理和监督,2015年6日至10日)。

FITARA概述了以下方面的具体要求:

l机构CIO权限增强

l增强IT投资的透明度和风险管理

l投资组合审查

l数据中心整合计划(OMB M-19-19)。数据中心优化计划(DCOI)更新。6/25/2019)

l扩大信息技术干部的培训和使用

l最大化联邦战略采购计划的效益

l政府软件采购计划

除其他规定外,FITARA将现有联邦首席信息官计划的要素编入法典。此外,FITARA要求联邦首席信息官与联邦机构一起:

l将联邦数据中心整合计划(FDCCI)从整合转向优化,包括采用云服务;

l制定机构IT组合审查和监督流程;

l提高IT投资的透明度和风险管理;

l确定并公布成本节约和优化改进;

l提供关于累计成本节约和优化改进的公开更新;和

l审查机构的数据中心库存和管理策略。

FITARA要求联邦机构提交年度报告,包括:

l全面的数据中心库存,

l整合和优化数据中心的多年战略,

l绩效指标和机构行动时间表,以及

l每年计算与FITARA实施相关的投资和成本节约。(国会研究服务,《联邦信息技术采购改革和管理现状》,2020年3月2日)

https://www.cio.gov/handbook/it-laws/fitara-2014/

FM

Fault Management

故障管理

故障管理是识别、分离和纠正广播通信中故障的能力安排,包括跟踪和检查错误日志。当发生错误时,网络组件将利用SNMP等约定定期向网络管理员发送警告。故障管理框架可以利用复杂的过滤框架来指定严重级别的警告。故障管理允许网络管理员监视来自多个框架的事件,并根据这些数据执行操作。

https://telcomatraining.com/glossary/fm-fault-management/

FMC

(Cisco) Firepower Management Center

Cisco)Firepower管理中心

(Cisco) Firepower管理中心(FMC)是一种管理服务,用于管理运行再多个平台上的思科安全产品。思科FMC通过威胁防御(FTD)软件为端口和协议控制、应用程序控制、IPS、URL过滤和恶意软件保护功能提供统一管理。(Cisco) Firepower管理中心是以下思科安全平台的集中式事件和策略管理器:

l带有防火墙威胁防御(FTD)操作系统的Cisco安全防火墙(带FTD的FPR)

l带有(Cisco) Firepower服务的CiscoASA(带有SFA模块的ASA)

l思科安全IPS(下一代防火墙IPS/NGIPS)

l思科针对ISR路由器的(Cisco) Firepower威胁防御

l思科恶意软件防御(AMP)

Firepower管理中心(FMC)提供有关网络用户、应用程序、设备、威胁和漏洞的全面信息,并持续分析您的网络。然后,FMC就要实现的安全策略提供量身定制的建议,并对要调查的安全事件进行优先级排序。

思科FMC提供易于使用的策略仪表板,以控制访问并保护您的网络免受已知攻击。通过将FMC与先进的恶意软件保护和沙箱技术相结合,它提供了跟踪网络内恶意软件感染的工具,所有这些功能都统一在一个管理界面中。您可以在执行多种功能,从核心防火墙管理到控制应用程序,再到调查和补救恶意软件爆发。

此外,Firepower管理中心还包括CiscoThreatIntelligenceDirector(TID),可实施威胁情报数据,帮助汇总情报数据,配置防御措施并分析环境中的威胁。这种能力提供了一个额外的防线,以抵御威胁。

FMCSA

Federal Motor Carrier Safety Administration

联邦汽车运输安全管理局

作为负责监管和提供商用机动车(CMV)安全监督的主要联邦政府机构,FMCSA的任务是减少涉及大型卡车和公共汽车的碰撞、伤害和死亡。

FMCSA与行业、安全倡导者、州和地方政府合作,通过监管、教育、执法、研究和技术,确保国家道路安全,提高CMV安全。

联邦汽车运输安全管理局(FMCSA)的主要任务是减少涉及大型卡车和公共汽车的碰撞、伤害和死亡。

FMCSA于2000年1月1日根据1999年《汽车承运人安全改进法案》成立,作为美国运输部(DOT)内的一个独立管理机构。FMCSA总部位于华盛顿特区,在50个州和哥伦比亚特区雇用了1000多名员工,所有这些都致力于提高商用机动车(CMV)的安全性和挽救生命。

战略

在执行其安全任务以减少涉及大型卡车和公共汽车的碰撞、伤害和死亡时,FMCSA:

l制定并实施数据驱动的法规,以平衡汽车运输公司(卡车和公共汽车公司)的安全与效率;

l利用安全信息系统,在执行安全法规时重点关注风险较高的携带者;

l针对运营商、商业司机和公众的教育信息;和

l与利益相关者合作,包括联邦、州和地方执法机构、汽车运输业、安全团体和有组织的劳工,努力减少公共汽车和卡车相关事故。

https://www.fmcsa.dot.gov/mission/about-us

FMEA

Failure Mode & Effects Analysis

故障模式和影响分析

也称为:潜在失效模式和影响分析;故障模式、影响和关键性分析

故障模式与影响分析(FMEA)始于20世纪40年代,由美国军方提出,是一种逐步确定设计、制造或装配过程、产品或服务中所有可能故障的方法。它是一种常见的过程分析工具。

“故障模式”是指某些东西可能发生故障的方式或模式。故障是指任何错误或缺陷,尤其是影响客户的错误或缺陷。故障可能是潜在的,也可能是实际的。

“效果分析”是指研究这些失败的后果。

故障的优先级取决于其后果的严重程度、发生频率以及检测的容易程度。FMEA的目的是采取措施消除或减少故障,从最高优先级的故障开始。

故障模式和影响分析还记录了有关故障风险的当前知识和行动,用于持续改进。FMEA在设计过程中用于防止故障。稍后,它用于控制过程的运行之前和运行期间。理想情况下,FMEA始于设计的最早概念阶段,并持续到产品或服务的整个生命周期。

https://asq.org/quality-resources/fmea

FMECA

Failure Modes, Effects, and Criticality Analysis

故障模式、影响和危害性分析

20世纪40年代末,美国军方致力于从“发现失败并修复它”的方法转变为“预测失败并防止失败”。开发的方法侧重于定性和定量风险识别,以防止失败。故障模式、影响和危害性分析(FMECA)是一种涉及定量故障分析的方法。FMECA涉及在潜在故障(故障模式)、对任务的影响(影响)和故障原因(原因和机制)之间建立一系列联系。与FMECA相关的方法和技术发表在一系列军事标准中。MIL-STD-1629A是这些标准中最突出的,至今仍在使用。

什么是故障模式、影响和危害性分析(FMECA)

FMECA是一种自下而上(硬件)或自上而下(功能)的风险评估方法。它是归纳的,或数据驱动的,将故障链的元素链接如下:故障的影响、故障模式和原因/机制。这些元素非常类似于现代5为什么在根本原因分析(RCA)技术。故障的影响复制了用户/客户的经验,然后转化为技术故障描述或故障模式。技术故障描述回答了下一个问题“为什么”,介绍了导致故障模式的原因。每个故障模式都分配了一个概率,每个原因都分配了故障率。如果数据不可用,则指定发生的概率。概率取决于FMECA中使用的故障数据源文件。与5为什么不同,FMECA是在任何故障实际发生之前进行的。FMECA分析风险,通过临界性(严重性和概率的组合)来衡量,以采取行动,从而提供减少故障可能性的机会。

FMECA和失效模式与影响分析(FMEA)是密切相关的工具。每种工具都能确定可能导致产品或工艺故障的故障模式。FMEA是定性的,探索“假设情景”,其中FMECA包括从已知故障率来源获得的一定程度的定量输入。此类数据的来源是《军事手册217》或同等文件。

执行FMECA有两项活动:

l创建FMEA

l执行关键性分析

测量的临界程度是严重程度和原因概率排名的交叉点。结果显示在四个主要临界区。关键性用于确定产品或工艺设计的弱点。FMECA危害性存在两个定量和一个定性选项,如下所示:

l定量性的

n模式重要性=项目不可靠性x不可靠性模式比率x损失概率x时间(寿命)

n项目关键性=模式关键性之和

l质量的

n通过临界矩阵比较故障模式,该矩阵确定横轴上的严重程度和纵轴上定性推导的发生情况

注:Quality One为FMEA开发的Quality One三路径模型提出了一个定性临界矩阵。严重程度在纵轴上,发生情况在横轴上。这通常被用作FMEA中风险优先级编号(RPN)的替代方案。

FOCI

Foreign Ownership, Control or Influence

外资所有权、控制权或影响力

外国所有权、控制权或影响力(FOCI)是一种可能影响公司获得或维持实体资格确定的能力的状态,也称为设施安全许可(FCL)。根据NISPOM和DoDM 5220.22第3卷的定义,如果一家公司由外国利益拥有、控制或受到外国利益的重大影响,则该公司被视为受FOCI管辖。

为什么这对你很重要?因为处于FOCI之下会对您的设施的通关状态产生各种影响。被确定为FOCI的美国公司没有资格获得FCL,除非采取了安全措施来减轻外国所有权、控制权或影响的影响。如果一家公司正在寻求FCL,那么在授予该公司FCL之前,必须减轻任何FOCI。如果一家公司已经有FCL,并且正在谈判一个可接受的FOCI缓解工具,那么只要没有妥协风险的迹象,该公司就可以继续访问机密信息。最后,如果一家公司无法或不愿减轻FOCI,那么现有的FCL将被终止。

https://www.cdse.edu/Portals/124/Documents/student-guides/shorts/IS170-guide.pdf

FOIA

Freedom of Information Act

信息自由法案

 1967 年以来,《信息自由法》(FOIA) 赋予公众向任何联邦机构请求查阅记录的权利。它通常被描述为让公民了解其政府的法律。联邦机构必须披露根据《信息自由法》要求的任何信息,除非它属于保护个人隐私、国家安全和执法等利益的九项豁免之一。

https://www.foia.gov/about.html

FOSS

Free and Open Source Software

自由和开放源码软件

FOSS 表示 自由源码软件。这并不意味着该软件是免费的。这意味着该软件的源代码对所有人开放,任何人都可以自由使用、研究和修改代码。这个原则允许其他人像社区一样为开发和改进软件做出贡献。

自由和开放源码软件的起源

 60 年代和 70 年代,计算机以硬件为中心,硬件价格昂贵。它们主要由大学的学者或实验室的研究人员使用。过去免费提供的软件数量有限,或者带有其源代码,允许用户修改源代码以满足他们的需求。

 70 年代末和 80 年代初,制造商停止分发源代码,试图不让他们的软件在竞争对手的计算机上运行。

这种限制性的许可导致了习惯和喜欢修改软件的人的不便和厌恶。在80年代中期,理查德·斯托曼(Richard Stallman)发起了自由软件运动。

Stallman指出了软件成为自由和开源软件的四项基本自由。

l任何用户都应该能够出于任何目的运行该软件。

l用户应该可以自由查看软件的源代码,如果需要,也应该允许用户修改代码。

l用户应该可以自由地将软件的副本分发给他人。

l如果用户修改了代码,她/他应该可以自由地将修改后的代码分发给其他人。修改后的代码必须打开源代码。

https://itsfoss.com/what-is-foss/

FPGA

Field Programmable Gate Array

现场可编程门阵列

现场可编程门阵列 FPGA) 是一种多功能类型的集成电路,与专用集成电路 (ASIC) 等传统逻辑器件不同,它被设计为可编程(并且通常可重新编程)以适应不同的目的,特别是高性能计算 (HPC) 和原型设计。

“现场可编程”一词是指 FPGA 能够在“现场”或芯片从制造商处释放后进行编程。Xilinx 是一家技术制造商,于 1985 年首次推出 FPGA。

FPGA 可以适应多种用例,包括新兴或实验用途,而无需物理修改或更改其硬件。这种可重构的多功能性是通过一系列固定的可编程逻辑块 (PLB) 和灵活的互连来实现的,这些互连可以配置为执行复杂的操作或用作简单的逻辑门。FPGA 还包括存储器元件,从单位触发器到非常密集的存储器阵列,用于器件内的数字数据存储。

FPGA 因其高性能和极致多功能性的结合而受到高度重视。它们在需要高性能、低延迟和实时灵活性的应用中特别有用。因此,它们通常用于电信、汽车和航空航天工业。

https://www.ibm.com/think/topics/field-programmable-gate-arrays

FQDN

Fully Qualified Domain Name

完全限定域名

完全限定的域名或 FQDN 是特定站点或服务器的完整 URL。使用站点的 FQDN 通常比使用其 IP 地址或在某些情况下使用部分限定的域名更可靠。

例如,假设您公司网站的 URL 为“yourcompany.com”。如果您在公司网站上托管电子邮件服务(您可能会这样做),则电子邮件服务的 FQDN 可能为 mail.yourcompany.com。通过在域名的其余部分之前指定“mail.”,您已经提供了一个引用特定服务的限定域名。

什么是完全限定域名?

完全限定域名 FQDN) 是 Internet 上特定服务器或主机的完整域名。但是,是什么让域名变得“完整”呢?

答案取决于领域及其许多部分。

网络安全缩略语汇编手册——F

虽然一台主机的 FQDN 可能为“www.myserver.com”,但另一台主机的 FQDN 可能为“mail.anotherserver.com”。对于第二种情况,如果需要指定“mail”子域才能到达特定主机(在本例中,它可能是邮件服务器),则“mail.anotherserver.com”是该主机的 FQDN。

更简单地说,FQDN 几乎就像是通往特定主机的完整路径。如果域名的每个部分(如名称本身、“.com”等)指定路径的一部分,则 FQDN 是完整路径或地址。

这几乎就像在公寓楼的地址之后指定一个公寓号。例如,如果您住在 123 Kinsta Drive 的 21 单元,那么“123 Kinsta Drive #21”或“123-21 Kinsta Drive”将是您公寓的 FQDN。正如我们稍后将看到的,公寓楼本身的地址称为部分限定域名 (PQDN)。

为了更清楚地理解这一点,让我们更深入地了解 FQDN 和域名的一般结构。

FQDN 的结构

FQDN 由两个不同的部分组成:主机名和域名。回到“myserver.com”示例,“myserver”是主机名,而“.com”是域名。

但从技术上讲,整个地址(myserver.com”)不是域名吗?是的,但有一些区别。根据你所指的是什么,有些术语甚至可以互换使用——即使是你的域名注册商!

在事情变得太复杂之前,让我们看一个明显的例子。

链接中显示的域是完整的 URL 或统一资源定位器。在本例中,FQDN 只是“www.internetx.com”,其中“internetx”是二级域,“.com”是 t操作级域扩展名。顶级域名和二级域名一起形成单个域名“internetx.com”。

但是我们的 FQDN 还不完整!我们只需要一个组件,那就是子域名。

默认情况下,大多数 URL 的子域是“www”,即万维网的缩写。该子域指定可以在 Web 浏览器中查看域名,并使用超文本传输协议(HTTP 或图中所示的“https://”前缀)进行访问。

虽然您无需担心 HTTP,但子域是 FQDN 中非常重要的一部分。对于默认的“www”子域,我们示例的 FQDN 为“www.internetx.com”。虽然根据要访问的页面(例如“www.internetx.com/contact”)可能会有变化,但“www.internetx.com”仍然是 FQDN 或主机名。

例如,假设您在域名注册商处注册了www.mysite.com”。

.com 是顶级域

mysite 是二级域名

mysite.com 是域名

www.mysite.com 是完全限定的域名 (FQDN)

通过指定完整路径www.mysite.com”,我们指定了完整或完全限定的域名。

现在事情变得有点有趣了。还记得子域www”吗?好吧,事实证明,这并不是唯一可能的子域,也不是唯一可能的 FQDN。

根据所有者或管理员的设置,主机可能有多个子域,这些子域可以采用www”以外的名称。我们之前在“mail.anotherserver.com”示例中看到了这一点,其中前面的“mail.”是“anotherserver.com”的子域。

这里,mail.anotherserver.com”是“anotherserver.com”邮件服务器的 FQDN。管理员还可以设置另一个子域,例如“test”,该子域将具有单独的 FQDN“test.anotherserver.com”。

在此示例中,可以看到单个域可能具有多个 FQDN。由于每个子域指定不同的资源(如邮件服务器或其他资源),因此每个子域也有自己的 FQDN,该 FQDN 也指定相同的资源。换句话说,如果要访问虚拟主机上的特定内容,则需要指定其完整路径 - 在本例中,是附加了相应子域的域。

因此,回顾一下:FQDN 是 特定资源的完整域名。如果您只是尝试访问主页“myserver.com”,则“myserver.com”是主页的 FQDN。同样,如果您尝试访问位于“mail.myserver.com”的邮件服务器,则“mail.myserver.com”是邮件服务器的 FQDN。

但是,FQDN 并不是“限定”域名的唯一类型。在下一节中,我们将介绍部分限定的域名以及它们与 FQDN 的区别。

https://kinsta.com/knowledgebase/fully-qualified-domain-name/

FRA

Federal Railroad Administration

联邦铁路管理局

联邦铁路管理局(FRA)是根据1966年《运输部法案》成立的。它是美国交通部负责多式联运的十个机构之一。

联邦铁路管理局的使命是为一个强大的美国实现人员和货物的安全、可靠和高效流动,无论是现在还是未来。

https://railroads.dot.gov/about-fra/about-fra

FRU

Field Replacement Unit

现场调换单元

在电子硬件中,特别是计算机系统中,现场调换单元(FRU)是一种电路板或部件,用户或技术人员可以快速轻松地将其移除和更换,而无需将整个产品或系统送至维修设施。通过标准故障排除程序发现有缺陷的装置,将其拆除,然后丢弃或运回工厂进行维修。新装置直接安装在有缺陷的装置上。

FRU方案通常是维护复杂系统的最具成本效益的方法,也是模块化结构演变背后的主要激励因素。当有良好的零件可用性、知识渊博的技术支持和读者友好的文档支持时,这种方法可以最大限度地减少系统停机时间并优化可靠性。

https://www.techtarget.com/searchdatacenter/definition/field-replaceable-unit

FS-ISAC

Financial Services Information Sharing and Analysis Center

金融服务信息共享与分析中心

执行概述

FS-ISAC,或金融服务信息共享和分析中心,是全球金融业网络和物理威胁情报分析和共享的首选资源。FS-ISAC的独特之处在于,它是由会员创建并为会员服务的,并且作为会员拥有的非盈利实体运营。

FS-ISAC历史

FS-ISAC成立于1999年,由金融服务部门根据1998年总统第63号指令建立。该指令随后由2003年的《国土安全总统第7号指令》更新,规定公共和私营部门共享物理和网络安全威胁和漏洞信息,以帮助保护美国关键基础设施。

全球信息共享

尽管FS-ISAC一直与在全球拥有业务的成员合作,但2013年初,FS-ISAC的董事会批准延长其章程,以便在全球金融服务公司之间共享信息。FS-ISAC不断从金融服务提供商、商业安全公司、联邦/国家、州和地方政府机构、执法部门和其他可信赖的资源收集可靠和及时的信息,现在已具备向您的组织快速传播物理和网络威胁警报及其他关键信息的独特优势。这些信息包括来自领先行业专家的分析和建议解决方案。FS-ISAC目前与北美、南美、欧洲、中东和亚太地区的成员和合作伙伴积极合作。

FSP

Financial Services Cybersecurity Framework Profile

金融服务网络安全框架简介

金融服务行业网络安全概况(FSP)是一个基于以下内容的框架:

l符合NIST网络安全框架

l整合广泛使用的标准和监管期望

l为基准、风险管理、审计和内部教育提供通俗易懂的语言

l提供随金融机构复杂性而增长的法规遵从性效率

l帮助确定资源的优先顺序和重点使用

l使用一致的术语和概念加强内部和外部监督、尽职调查和风险识别

l更高效的第三方供应商管理审查和监督

该简介适用于所有金融机构、金融服务公司、金融公司及其第三方提供商。金融服务行业的广泛领域——银行业、保险业、资产管理业、市场公用事业部门、经纪交易商——设计了该概要文件,以在不同复杂性、相互关联性和关键性的机构之间进行扩展。

利用行业伙伴关系和资源参考

参考1:SEC&FINRA

美国证券交易委员会(SEC)和金融业监管局(FINRA)均已就网络安全问题向经纪商-交易商发布了指导意见,为他们和注册投资顾问提供了宝贵的资源,以应对日益增长的网络攻击威胁。这些报告应为那些推迟关注网络安全的经纪交易商提供所需的工具和信息,以加强其数据保护能力。

SEC的合规检查和审查办公室(OCIE)网络安全扫描检查

金融业监管局(FINRA)的规则和指南

参考2:NIST和FSSCC金融服务网络安全团队

2018年,金融服务部门协调委员会(FSSCC)在华盛顿特区举办了一次由NIST主办的研讨会,以进一步发展该框架的金融服务概况。它不仅聚集了行业成员,还聚集了美联储和货币监理署等监管机构。(15)

参考文献3:联邦金融机构审查委员会(FFIEC)网络安全评估工具

鉴于网络威胁的数量和复杂性不断增加,联邦金融机构审查委员会(FFIEC)开发了网络安全评估工具(评估),以帮助机构识别其风险并确定其网络安全准备。

达到高水平成熟度的适应性公司的核心特征

过去两年(2017-2018年),德勤与金融服务信息共享与分析中心(FS-ISAC)合作,调查成员如何应对网络挑战。

他们确定了已经达到国家标准与技术研究所(NIST)定义的最高成熟度水平的公司的几个核心特征。

NIST网络安全成熟度框架中提到的“适应性”公司的这些定义特征包括:

l确保高管和董事会的参与;

l在信息技术(IT)部门以外的组织内提高网络安全的知名度,以给予安全职能更高的关注和更大的影响力;和

l将网络安全工作与公司的业务战略更加紧密地结合起来。

优先保护基于人的攻击

埃森哲(Accenture)和波纳蒙研究所(Ponemon Institute)的《第九届网络犯罪年度成本研究》(第九届年度成本研究)也指出,“应对内部威胁仍然是最大的挑战之一,因为网络钓鱼和勒索软件攻击以及恶意内部人员的增加。网络犯罪分子正在调整其攻击方法。他们通过增加勒索软件、网络钓鱼和社会工程攻击作为进入途径,将目标锁定在网络防御中最薄弱的一环——人层。”

降低网络事件和违规成本的目标技术

埃森哲和波纳蒙研究所2019年第九届网络犯罪年度成本研究概述,“使用自动化、高级分析和安全智能来管理发现攻击的不断增加的成本,这是支出的最大组成部分。

通过优先考虑提高网络安全保护的技术,组织可以减少网络犯罪的后果,并释放未来的经济价值,因为更高级别的信任会鼓励客户开展更多业务。

寻找符合NIST标准的供应商

在选择网络安全合作伙伴之前,深入了解产品

l产品的深度

l行业知识和从业年限

l技术基础和遵守法规

l真正的功能和功能,不仅可以设置标志或让最终用户解决问题,还可以在事件发生时自动并主动解决事件,以及管理单个事件或大规模补救

利用NIST框架充分识别、保护、检测、响应和恢复网络事件的能力

网络安全供应商清单

l多年的网络安全经验

l了解金融服务中的网络法规

l最佳软件的使用

l支持Windows和MacOS台式机、笔记本电脑、服务器和虚拟服务器

l支持Android和iOS智能手机和平板电脑

l支持BYOD(自带设备)

l符合NIST框架的产品(识别、保护、检测、响应、恢复)

lWISP设置强制执行,无需用户参与

l阻止用户更改WISP设置的能力

l在没有用户参与的情况下安装、管理和更新网络工具

l无用户参与的远程大规模漏洞操作系统更新(零日)

l基于NIST的资产库存报告

l24/7网络监控检测和响应

l事件响应专业知识和跟踪记录

FT

Fault Tolerance

故障容差

VMware vSphere容错(FT)通过创建主虚拟机镜像的实时影子虚拟机实例,为应用程序(最多四个虚拟CPU)提供了连续可用性。如果发生硬件故障,vSphere FT会自动触发故障切换,以消除停机时间并防止数据丢失。故障切换后,vSphere FT会自动创建一个新的辅助虚拟机,为应用程序提供持续保护。

FTA

Federal Transit Administration

联邦交通管理局

通过公共交通改善美国社区

联邦交通管理局(FTA)为当地公共交通系统提供财政和技术援助,包括公共汽车、地铁、轻轨、通勤铁路、无轨电车和渡轮。FTA还监督安全措施,帮助开展下一代技术研究。

FTA支持的过境服务涵盖多个群体,并提供广泛的好处。自1964年以来,自由贸易协定与州和地方政府合作,建立和加强公共交通系统,每年投资120多亿美元,支持和扩大公共铁路、公共汽车、电车、渡轮和其他交通服务。这项投资有助于实现公共交通的现代化,并将服务扩展到以前缺乏交通选择的小城市和农村社区。

FTA是美国运输部(DOT)内的一个机构,由美国总统任命的一名管理员领导。FTA是DOT的10种运输方式之一,由位于华盛顿特区的总部以及10个地区办事处负责运营,这些办事处为各州和美国地区的运输机构提供协助。

20世纪70年代,UMTA的角色和资源得到了扩大。1974年《国家大众运输援助法案》设立了一项年度公式补助计划。这种扩张有助于运输机构在全国范围内普遍下降,从而恢复和扩大服务。20世纪70年代末的立法提高了交通的作用,通过公路资金解决了交通问题,承认公共交通是美国整体交通的重要组成部分。

《美国法典》第49篇第53章确立了自由贸易协定的权威。该法案纳入了最初于1964年颁布的《城市大众运输法》,并规定“促进公共交通系统的发展和振兴符合美国的利益,包括美国的经济利益,(1)最大限度地提高个人的安全、有保障和高效的流动性;(2)最大限度减少环境影响;(3)尽量减少与运输相关的燃料消耗和对外国石油的依赖。”

国会在长期和短期运输立法中授权自由贸易协定的资金,例如2015年的《固定美国地面运输(FAST)法案》。运输法案修改了第53章,以修改或设立自由贸易协定所需的资金计划和法律。

1982年,立法者批准了一项专门用于交通的1%联邦燃气税,从交通基金的公路信托基金中开辟了一个新的大众交通账户。1991年,当政策制定者允许将公路项目资金用于公共交通时,资金得到了进一步的支持。

上世纪90年代,公共交通在燃气税中所占的份额增加到2.86美分,这十年也强调增加轨道车辆、车辆和轨道的维护资金。

FTA现在每年投资超过120亿美元来支持和扩大公共交通。

https://www.transit.dot.gov/about-fta

FTD

(Cisco) Firepower Threat Defense

Cisco)Firepower威胁防御

使用FTD使基于网络的安全性更强,更易于管理,同时也释放了ACI叶交换机上的资源。

使用ACI虚拟路由转发(VRF)上下文创建网络安全区域:受保护的DMZ、保护内部和自身。每个工作负载都分配给一个区域。对于标准的三层应用程序(如供应链),web服务器通常被分配到受保护的DMZ区域,而应用程序和数据库服务器则被分配到“受保护的内部区域”。

网络工程师克里斯托弗·斯托克斯(Christopher Stokes)表示:“同一网络安全区域内工作负载之间的流量通过ACI叶交换机,该交换机通过合同强制执行安全策略。”。“在网络安全区域之间移动的流量必须通过FTD,FTD通过访问控制策略规则执行安全策略,从而节省ACI叶交换机上的关键资源。”

网络安全缩略语汇编手册——F

使用Firepower威胁防御和ACI的安全工作负载分割

https://www.cisco.com/c/en/us/solutions/cisco-on-cisco/aci-firepower-threat-defense.html

FTP

File Transfer Protocol

文件传输协议

文件传输协议(FTP)是指通过网络在设备之间传输文件的过程。当一方允许另一方通过Internet发送或接收文件时,该过程会起作用。最初用于用户在两个物理设备之间进行通信和交换信息的方式,现在通常用于将文件存储在云中,通常是远程保存的安全位置。

企业或个人可以使用FTP将文件从一个计算机系统传输到另一个计算机,或者网站可以使用FTP从其服务器上传或下载文件。

关键要点

文件传输协议(FTP)是一种在Internet和计算机系统之间从一个位置下载、上载和传输文件的方法。

lFTP允许在计算机之间或通过云来回传输文件。

l用户需要Internet连接才能执行FTP传输。

lFTP是那些建立和维护网站的人必不可少的工具。

l许多FTP客户端可以免费下载,尽管大多数网站已经内置了FTP。

l文件传输协议(FTP)的工作原理

l文件传输协议允许个人和企业与他人共享电子文件,而不必在同一空间。这可以使用FTP客户端或通过云来完成。无论选择哪种选项,双方都需要工作的Internet连接。

大多数web浏览器都带有FTP客户端,使用户可以将文件从计算机传输到服务器,反之亦然。一些用户可能希望使用第三方FTP客户端,因为其中许多用户提供了额外的功能。免费下载的FTP客户端示例包括FileZilla Client、FTP Voyager、WinSCP、CoffeeCup free FTP和Core FTP。

FTP类型

FTP有多种类型,包括匿名和密码保护。匿名允许在不加密或使用密码的情况下传输数据。这对于可以不受限制地分发的文件很有用。

同时,受密码保护的FTP使用用户名和密码访问文件。FTP安全(FTPS)在传输时提供了更高的安全性,允许隐式传输层安全(TLS)。FTP还可以使用显式TLS,它将连接升级为加密连接以增加安全性。

https://www.investopedia.com/terms/f/ftp-file-transfer-protocol.asp

FTPS

File Transfer Protocol Secure

文件传输协议安全

FTPS(FTP over SSL)的核心是一种安全的文件传输协议,允许您安全地与贸易伙伴、客户和用户连接。发送文件传输时,使用FTPS进行交换,并可以通过FTPS支持的方法(如密码、客户端证书和服务器证书)进行身份验证。

算法和身份验证

FTPS实现了AES和Triple DES等强大的算法来加密文件传输。为了在连接到贸易伙伴服务器时进行身份验证,反之亦然,FTPS使用用户ID、密码和/或证书的组合来验证真实性。

合规

如果您的组织关注法规遵从性,您可以通过FTPS实现各种安全要求,包括PCI DSS、HIPAA、HITECH、SOX和数据隐私法。

TLS&证书

FTPS使用TLS(和SSL,尽管PCI DSS和大多数行业标准现在认为SSL不安全)来加密FTPS服务器连接。十、 509证书用于认证这些连接。它们包含可识别的信息,如颁发者名称、主名称、主公钥详细信息和签名。

在使用证书时,如果由已知的证书颁发机构(CA)签名或由贸易伙伴自行签名,则认为这些证书是可信的。CA签名的证书很容易使用标准中内置的信任链进行验证。要验证自签名证书,您必须在受信任的密钥存储中拥有交易伙伴的公共证书副本。

FTPS的缺点

FTPS协议很难通过具有高安全级别的防火墙进行连接。FTPS对隐式和显式连接类型使用多个端口号,因此每次发出文件传输或目录列表请求时,都会打开另一个端口。如果你不小心和警觉,或者没有适当的策略来避免它们,这可能会使你的网络处于危险之中,并使你容易受到攻击。

FVP

Fixed Virtual Platform

固定虚拟平台

固定虚拟平台(FVP)是工程师在设备交付前用于软件开发的仿真模型。FVP被设计成模拟一个完整系统的工作,就像它物理连接到编程环境一样。仿真模型与Arm IP一起开发和测试,为软件开发提供了非常准确和可靠的虚拟原型。

FVP以与真实设备相当的速度运行,并支持包括处理器、存储器和外围设备在内的完整系统模拟。它们呈现在“程序员视图”中,该视图给出了一个用于构建和测试软件的综合模型。FVP所代表的完整Arm系统模型不仅仅是一个指令模拟器。得益于FVP中建模的处理器、内存和其他外围设备,用户可以真实了解软件如何在物理设备上工作。快速模型是准确、真实的Arm IP模型,可以构建成一个完整的虚拟平台。虚拟平台是软件开发的理想目标,能够实现模拟的全面可见性和控制,包括分析、调试和跟踪。

FVP的特点和优势

l全系统仿真

虚拟平台为基于Arm技术的核心或操作系统创建软件提供了机会,无需连接物理目标。得益于FVP中建模的处理器、内存和其他外围设备,可以从程序员的角度学习Arm IP的操作。

lHead Start软件

得益于固定虚拟平台,软件工程师团队可以尽早开始对最新的Arm核心进行编程,从而缩短软件开发周期。

l可扩展和自动匹配

脚本界面使Arm FVP易于自动化,是测试期间所需的持续集成的完美选择。虚拟原型比硬件原型更易于扩展和维护。

l完全可调试

Fast Models调试接口支持到FVP的虚拟连接,这是许多提供程序支持的。此接口支持硬件和软件设备之间的一致调试,而无需更改调试工具。

l可配置核心计数

允许用户配置系统上的处理器数量x1、x2和x4。

l包含的软件

一些FVP包含适用于Android和Linux操作系统的兼容、可随时运行的软件堆栈。一些FVP是系统指南-Arm包的一部分,为SoC设计和参考软件堆栈提供文档。

固定虚拟平台是工程师的有用工具,使他们能够更高效地工作。FVP支持在没有硬件的情况下构建项目,这一功能非常有价值,尤其是在处理新项目时。此工具可节省等待处理器和外围设备物理可用性所花费的时间。使用FVP模型可以使公司在市场上更具竞争力,因为它允许使用新技术,如DynamIQ、氦气等。工作流程类似于使用真实设备,并由与物理设备相同的编程环境支持。

FWaaS

Firewall as a Service

防火墙即服务

FWaaS是一种防火墙解决方案,作为基于云的服务提供,允许公司简化IT基础设施。它提供下一代防火墙(NGFW)功能,如网络过滤、高级威胁保护(ATP)、入侵防御系统(IPS)和域名系统(DNS)安全。

在很多方面,FWaaS很像是一个硬件防火墙。然而,它有着明显的优势,例如几乎可以瞬间扩展以适应不断扩大的网络。您还可以配置以前不需要的新服务。所有这些都是可能的,因为它基于云。因此,它可以根据网络的大小、配置、需求和独特的安全需求进行模块化。

FWaaS的工作原理

很像NGFW解决方案,防火墙即服务过滤网络流量,以保护组织免受内部和外部威胁。除了有状态防火墙功能(如数据包过滤、网络监控、Internet协议安全(IPsec)、安全套接字层虚拟专用网络(SSL VPN)支持和Internet协议(IP)映射功能)之外,FWaaS还具有更深入的内容检查功能,包括识别恶意软件攻击和其他威胁的能力。

FWaaS位于网络和互联网之间。当流量试图进入您的网络时,FWaaS解决方案会对其进行检查,以检测并解决威胁。检查会分析每个数据包的报头中包含的信息,从而深入了解数据包来自何处以及其他可能表明它是恶意的行为。

此外,FWaaS可以查看数据包中的数据。这种深度数据包检查(DPI)可以向威胁响应团队发出警告,提醒他们在报头中包含看似无辜的信息,从而减轻威胁。通过一些FWaaS产品,您可以获得NGFW为解决方案提供动力。通过NGFW,您还可以获得机器学习工具,这些工具可以识别以前从未遇到过的新的零日威胁。这是通过分析数据包的行为并查找异常和潜在的危险行为来完成的。

随着越来越多的组织看到他们的网络变得更加分散,将应用程序和数据移动到云的好处变得更加实用和普遍。防火墙也是如此。现在,通过云提供防火墙并将其作为一项服务,企业可以实现NGFW嵌入其云基础设施的好处。

为什么公司需要FWaaS?

FWaaS允许客户将安全检查部分或全部转移到云基础设施。通过云安全,您的解决方案由云提供商管理,云提供商将维护支持您解决方案的硬件基础设施。根据您选择的订阅,您的服务协议将包括概述您可以访问的功能类型的详细信息。许多公司需要基于服务的架构,因为它可以让他们自由地按需扩展,而不必担心配置新硬件。

维护硬件防火墙不符合许多公司的预算或运营工作流程,因此FWaaS是一个有吸引力的选择。提供商处理的所有设置更新和调整所带来的便利性使组织能够腾出关键资源、时间和精力用于其他关键任务。

使用FWaaS,组织的分布式站点和用户通过统一的应用程序感知安全策略连接到一个单一的、逻辑的、全局的防火墙,从而可以更好地扩展安全性。防火墙即服务提供商让所有员工都可以访问保护各种设备的资源,从而使FWaaS成为一个适用于所有设备的解决方案,而不考虑组织的规模。

这使得FWaaS成为任何安全接入服务边缘(SASE)架构的基础组件,因为它提供了NGFW的功能,而无需与本地广域网(WAN)基础设施投资相关的高资本支出(CapEx)成本。在内部设置中,升级您的系统需要花费时间寻找最佳组件,并在购买之前相互比较。然后,在放弃宝贵的资金购买该项目后,组织必须确保员工熟悉该项目的运作方式、如何维护以及如何确保其正确更新。对许多公司来说,这是一个沉重的负担。有了FWaaS,这一切都由提供商负责。

FWaaS利用软件和云技术的进步,提供广泛的网络安全和检查功能,按需为任何地方的用户提供。通过内部设置,您的IT团队必须了解影响网络安全世界的最新软件和技术发展。一些公司需要FWaaS,只是为了确保他们得到最新和最大的保护。当提供商保护您的网络时,您更有可能拥有尖端技术和方法,而不是将这一责任交给内部员工。

防火墙即服务的优势

对于寻求灵活安全解决方案的公司来说,FWaaS具有几个明显的优势。为了保持灵活性,许多组织正在从传统的内部选项转向信任FWaaS提供商来保护其网络。

通过云部署的统一安全策略

统一安全涉及在一个保护伞下组合多个安全计划。因此,总体服务能够保护组织免受更广泛的威胁。统一的安全体系结构可以包含两种或多种安全措施产生的故意冗余,这些措施能够阻止相同类型的威胁。

在云中进行管理可以简化您的设置。服务提供商不必查找、购买、配置和管理统一体系结构的各个方面,而是为您提供所有这些服务。

灵活部署和运营费用(OpEx)消耗模型

部署内部解决方案可能既复杂又耗时。有很多活动部件,设备相关的和其他的。另一方面,对于FWaaS,部署由提供者处理。通常情况下,这可以很快完成,公司方面几乎没有工作。在需要自定义配置的情况下,组织只需向提供者提供必要的信息,提供者就可以自定义部署。

您的OpEx消费模式也需要具有灵活性。很少有组织的运营支出数据是静态的,他们需要能够根据需要进行调整。通过FWaaS,您可以找到最大限度地利用预算的方法,甚至可以在实现所需安全性的同时限制运营支出。您可以向FWaaS提供商介绍您的情况,他们可以帮助您选择适合您需求的套餐。这可以根据您的需要随时更改,只需很少的入职时间。

简化部署和维护

部署新的内部部署安全套件或甚至单个安全工具可能需要大量的时间和资源投资。使用FWaaS,您只需告诉提供商您需要什么。他们已经掌握了资源,所有配置细节都可以由他们的团队处理。

改进的可扩展性

扩展FWaaS解决方案很简单。您只需与提供商讨论您的新需求。然后,他们可以根据您的业务目标为您提供建议。此外,当您使用FWaaS进行扩展时,如果新解决方案被证明是不必要的或过度的,则相对容易回滚到旧配置。

使用本地解决方案,您可能无法获得退款,也无法获得部署扩展解决方案所投入时间的“退款”。

提高灵活性

使用FWaaS,您可以根据要保护的流程和资产来决定何时以及如何部署保护。您还可以决定在基于云的数据链中的何处放置保护。

例如,如果您的DevOps团队使用云原生开发架构,您可以部署FWaaS解决方案来保护他们的流程。您还可以使用FWaaS来保护云原生数据库、应用程序或内容管理系统。此外,您可以根据需要调整每个解决方案的配置。

FWaaS与NGFW

FWaaS通过云应用程序提供更快的性能:像Microsoft 365这样的云应用程序可以在互联网上使用。使用NGFW,流量必须在返回互联网之前发送回公司数据中心。这可能会影响性能。

FWaaS使复制安全架构更加容易:如果您有多个位置,在每个位置设置NGFW可能会非常昂贵或耗时。使用FWaaS,部署简单快速。

某些NGFW无法充分检查SSL流量:NGFW可能必须使用软件来处理SSL检查。这会对用户的体验产生负面影响。

https://www.fortinet.com/resources/cyberglossary/firewall-as-a-service-fwaas

原文始发于微信公众号(河南等级保护测评):网络安全缩略语汇编手册——F

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月12日11:42:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全缩略语汇编手册——Fhttps://cn-sec.com/archives/3057068.html

发表评论

匿名网友 填写信息