网络安全缩略语汇编手册(C&A-COTS)

缩写

描述

中文含义

C&A

Certification and Accreditation

认证和认可

认证和认可（CnA或C&A）是一种可用于实施任何正式流程的程序。该过程可以被视为在系统投入运行之后（或之前）对系统（或系统活动）进行评估、测试和授权的系统过程。C&A程序在世界各地广泛使用。

认证本身可以定义为对产品、系统、过程、事件或技能的全面评估，通常根据现有的基准、规范或标准进行衡量。

大多数贸易组织和行业都准备了精心编制的认证模型（和程序），然后可以用来测试和评估从事本组织特定兴趣领域工作的人员的技能。然而，测试实验室也可以通过产品认证（符合预先制定的规范和标准），政府机构也对符合规定法规（如排放限值）的公司进行了历史认证。

另一方面，认证是第三方（中立方）的正式声明，即认证以符合认证计划的相关标准和/或规范（如IEC 17024）的方式进行。在世界上的大多数国家，都有专门的机构在全国范围内运作并执行这些规定。

在企业层面建立和实施认证和认可计划有多种方式。它主要由不同类型的人员、技术和流程组成。所有的组成实体都很重要，但有一些特殊的程序组件可以被称为程序成功的绝对关键。如果这些相关组件不能正常工作，程序的实施可能会受到严重阻碍，其后果将不理想。

https://resources.infosecinstitute.com/certification/certification-and-accreditation/

C&C

Command-and-Control

指令与控制

C2

指令和控制（C&C）服务器是由攻击者或网络罪犯控制的计算机，用于向受恶意软件危害的系统发送命令，并从目标网络接收被盗数据。许多活动都使用基于云的服务，如网络邮件和文件共享服务，作为C&C服务器，以融入正常流量并避免检测。

C&C服务器充当与目标攻击相关的恶意软件用来存储被盗数据或从中下载命令的命令中心。建立C&C通信是攻击者在网络内横向移动的关键步骤。

C&C服务器还充当僵尸网络中受损机器的总部。它可以用来传播可以窃取数据、传播恶意软件、破坏web服务等的命令。僵尸网络使用的C&C系统可能遵循以下三种模型中的任何一种：集中式模型、对等（P2P）模型和随机模型。

C&C服务器是总部或指挥中心，与目标攻击相关的恶意软件可以在这里报告，从而可以存储被盗数据或下载的恶意命令。建立C&C通信是攻击者在网络内横向移动的关键步骤。

C&C服务器还充当僵尸网络中受损机器的总部。它可以用来传播可以窃取数据、传播恶意软件、破坏web服务等的命令。僵尸网络使用的C&C系统可能遵循以下三种模型中的任何一种：集中式模型、对等（P2P）模型和随机模型。

除了允许攻击者窃取数据外，服务器上存在的C&C软件还可能破坏合法应用程序并导致未来资源的滥用。

https://www.trendmicro.com/

对手利用复杂工具（通常称为高级持久威胁（APT））进行的目标攻击的增加是当今网络安全的首要问题之一。这些袭击针对特定组织或个人，并试图在目标的基础设施内制造持续的、无法察觉的存在。这些攻击的目标通常是间谍活动，包括窃取宝贵的知识产权和机密信息。实现所有这些目标的关键是稳固的指挥和控制基础设施。指挥与控制，通常称为C2或C&C，是最具破坏性的攻击之一。

指令和控制基础设施对攻击者至关重要，也是防御者的潜在漏洞。阻止C&C通信或破坏敌人的C&C基础设施，可以阻止网络攻击。C2绝不应成为组织信息安全计划的主要重点，该计划还应包括适当的“网络卫生”实践、员工安全意识培训以及书面的规则和程序。这些措施大大减少了指挥和控制基础设施带来的危险。

https://www.sunnyvalley.io/docs/network-security-tutorials/what-is-command-and-control-c2

C&S

Control and Status

控制和状态

暂无注解

C3

Command, Control, and Communications

指挥、控制和通信

C3对安全运输操作至关重要。C3包括计划、协调、沟通和控制作战所需的能力和关键信息。通过研究、测试和模拟，ASSURE继续开发框架、数据格式、系统和数据库，以开发、收集和检索信息，为C3过程提供信息。运输当局正在利用这些信息制定法规和指南、行业及其共识标准组，以协调技术、操作和其他标准。

https://www.assureuas.org/capability/command-control-and-communications-c3/

指挥、控制和通信（C）资源为语音、数据和图像通信提供无缝的基层和全球通信网络，具有足够的质量、可靠性和灵活性，以确保对美国部队的响应支持。该信息基础设施包括通信网络、计算机、软件、数据库、应用程序、数据、安全服务以及满足国防部用户信息处理和传输需求的其他能力。C计划专门资助电信系统、租用电路以及信息传输、消息传递操作和与发送和接收通信传输相关的设备所需的其他服务。此外，该项目还资助将指挥和控制系统与通信集成的工作，以支持野战指挥官的信息需求。2003财年424650万美元的预算请求包括价格上涨7010万美元和项目净增长2.460亿美元（6.1%），高于2002财年的资金水平。

CA

Certificate Authority

证书颁发机构

CA是证书的签发机构，它是公钥基础设施（Public Key Infrastructure，PKI）的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。

CA 拥有一个证书（内含公钥和私钥）。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。

如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。证书的格式和验证方法普遍遵循X.509 国际标准。

https://baike.baidu.com/item/ca%E8%AF%81%E4%B9%A6/10028741

证书颁发机构（CA），有时也称为证书颁发机构，是一家公司或组织，负责验证实体（如网站、电子邮件地址、公司或个人）的身份，并通过发布称为数字证书的电子文档将其绑定到加密密钥。

数字证书提供：

l 身份验证，通过用作凭证来验证其被颁发给的实体的身份。

l 加密，用于通过不安全的网络（如互联网）进行安全通信。

l 与证书签署的文件的完整性，以便在传输过程中不会被第三方更改。

https://www.ssl.com/faqs/what-is-a-certificate-authority/

Certification, Accreditation, and Security Assessments

认证、认可和安全评估

CaaS

Container-as-a-Service

容器即服务

容器即服务（CaaS）是一种基于订阅的云服务模型，允许您使用API、基于容器的虚拟化或Web门户来管理容器、应用程序和集群。

该服务有助于简化在内部部署或云环境中部署的软件定义基础设施中开发和管理容器的过程。

CaaS提供商提供了一个编排平台，允许用户开发容器化应用程序。当用户订阅CaaS资源（如调度能力、负载平衡和计算实例）时，可以在云环境中部署和运行云原生应用程序组件。

CaaS框架中使用的最流行的编排技术有：

l Docker

l Kubernetes

l 数据中心操作系统（DC/OS）

https://www.bmc.com/blogs/containers-as-a-service/

CAC

Common Access Card

通用访问卡

通用访问卡（common access card，CAC）是美国国防部用来进行多重身份验证（multifactor authentication）的智能卡（smart card）。通用访问卡作为标准认证发行，可以认证现役军人、后备军人、文职雇员、非国防部雇员、国民警卫队的工薪阶层和合格的承包商人员。加上它作为身份证的功能，访问政府建筑和计算机网络时需要出示通用访问卡。　通用访问卡（common access card，CAC）和标准借记卡大小差不多，其中有内置微芯片，这使邮件签名加密和公共密钥基础设施（PKI）认证工具的使用成为可能。这个微芯片包含了卡持有人的一张数码照片、两个指纹、人事关系、社会保险号、机构、卡片有效期和PKI证书。

在智能卡读卡器（reader）中插入通用访问卡（common access card，CAC）并输入配对的PIN，读取器中的软件运用标准互联网协议（Internet protocol）将卡内芯片中的信息和政府服务器（server）上的数据（data）做比较，然后确认或拒绝访问。当CAC用于访问电脑系统时，这张卡在会话（session）持续过程中一直入在读取器里。当卡片从读取器中移除，会话终止，系统在下一有效用户通过之前保持不可访问状态。

现有四种国防部通用访问卡（common access card，CAC）：

l 日内瓦公约标识卡——针对现役/储备武装力量和公务人员发行。

l 日内瓦公约附属卡——针对关键文职人员发行。

l 身份与特权通用访问卡——针对定居在军事设施的公民发行。

l 国防部/政府机构识别的身份证——针对文职人员和承包商发行。　

按照国土安全总统指令12/HSPD-12，国防部从2006年10月开始发行通用访问卡（common access card，CAC）。另见：联邦信息处理标准（FIPS）

一般来说，通用访问卡（common access card，CAC）是发给员工，为员工提供大楼、公司数据或电梯、浴室或复印室等设施的访问权的企业卡片。

CAM

Content Addressable Memory

内容编址存储器

CAM是一种特殊的存储器。所谓CAM，即内容寻址存储器。CAM存储器在其每个存储单元都包含了一个内嵌的比较逻辑，写入CAM的数据会和其内部存储的每一个数据进行比较，并返回与端口数据相同的所有内部数据的地址。概括地讲，RAM是一个根据地址读、写数据的存储单元，而CAM和RAM恰恰相反，它返回的是与端口数据内容相匹配的地址。CAM的应用也比较广泛，比如在路由器中的地址交换表，CPU的Cache控制器（Tag阵列）等。

CAN

Controller Area Network

控制器局域网

控制器局域网（CAN）总线是用于联网智能设备的高完整性串行总线系统。CAN总线和设备是汽车和工业系统中的常见组件。使用CAN接口设备，您可以编写LabVIEW应用程序与CAN网络通信。

CAN历史记录

博世最初于1985年为车载网络开发了CAN。过去，汽车制造商使用点对点布线系统连接车辆中的电子设备。制造商开始在车辆中使用越来越多的电子设备，这导致了笨重而昂贵的线束。然后，他们用车载网络取代了专用布线，从而降低了布线成本、复杂性和重量。CAN，一种用于联网智能设备的高完整性串行总线系统，已成为车载网络的标准。汽车行业迅速采用了CAN，并于1993年成为国际标准，称为ISO 11898。自1994年以来，CAN上已经标准化了一些更高级别的协议，如CANopen和DeviceNet。其他市场已经广泛采用这些附加协议，这些协议现在是工业通信的标准。本白皮书重点介绍CAN作为一种车载网络。

CAN优势

低成本、轻量级网络

CAN提供了一种廉价、耐用的网络，可帮助多个CAN设备相互通信。这样做的一个优点是，电子控制单元（ECU）可以具有单个can接口，而不是系统中每个设备的模拟和数字输入。这降低了汽车的总成本和重量。

广播通信

网络上的每个设备都有一个CAN控制器芯片，因此是智能的。网络上的所有设备都可以看到所有传输的消息。每个设备都可以决定消息是否相关或是否应该过滤。这种结构允许以最小的影响修改CAN网络。可以在不修改网络的情况下添加附加的非传输节点。

优先事项

每个消息都有一个优先级，因此如果两个节点试图同时发送消息，优先级较高的节点将被发送，优先级较低的节点将延迟发送。该仲裁是非破坏性的，并导致最高优先级消息的非中断传输。这也允许网络满足确定性时序约束。

错误功能

CAN规范包括循环冗余码（CRC），用于对每个帧的内容执行错误检查。具有错误的帧被所有节点忽略，并且可以发送错误帧以向网络发送错误信号。全局和本地错误由控制器区分，如果检测到太多错误，单个节点可以停止传输错误或完全断开与网络的连接。

https://www.ni.com/zh-cn/innovations/white-papers/06/controller-area-network--can--overview.html

CAO

Chief Acquisition Officer

首席采购官

为了确保采购问题得到高层管理层的重视，2003年《服务采购改革法案》（SARA）确立了CAO的地位。（OMB.澄清首席采购官的角色和职责。2012年10月18日。）首席采购官与政府范围内的其他高级管理人员及其机构密切合作，不断改进联邦采购系统。CAO有几个主要的优先责任领域：

更聪明地购买：首席采购官（CAO）应与首席财务官（CFO）、首席信息官（CIO）和首席健康官（CHCO）合作，增加机构对政府范围和机构范围战略采购工具的使用，这将节省资金并减少重复。支持该机构的首席信息官进行持续的IT投资组合审查，并与首席财务官合作瞄准行政节约机会，也将有助于该机构更明智地购买。

加强采购员工队伍：首席采购官应与机构的CHCO和主要项目经理合作，制定并实施年度采购人力资本计划，并与首席信息官合作，确定如何最好地支持IT采购，例如通过培养专业的IT采购干部。

建立正确的供应商关系：除其他事项外，CAO应努力提高承包商过去绩效评估的价值，提高承包商商业诚信数据的透明度，以便联邦政府只与信誉良好的公司开展业务。

推进任务绩效：首席采购官还应与机构领导人密切合作，如首席运营官、首席执行官和严重依赖采办的关键任务项目经理，以帮助确定采办需求，以最具成本效益的方式推进机构目标。首席采购官应确保采办战略与任务计划和绩效目标保持一致，并受其驱动，如机构战略计划中确定的目标，或支持实现机构优先目标的目标。

CAO委员会

CAO委员会是根据《联邦采购政策办公室法》第16条（经修订）41 USC 403等成立的。（41 U.S.C.§1101。联邦采购政策法案办公室）由OMB的管理副主任（OMB M-04-13。首席采购官委员会，2004年5月）担任主席，由行政部门的各种采购专业人士组成，旨在为监督和改进联邦采购系统提供高级论坛。

该委员会与行政长官、联邦采购政策办公室和联邦采购管理委员会密切合作，在采购系统中推广这些商业实践。它促进有效的商业实践，以确保及时向各机构提供最具价值的产品和服务，实现公共政策目标，并进一步提高联邦采购系统的诚信、公平、竞争和公开性。

https://www.cio.gov/handbook/key-stakeholders/cao/

CAPEC

Common Attack Pattern Enumeration and Classification

常见攻击模式枚举和分类

通用攻击模式枚举和分类（CAPEC）“是已知攻击的综合字典和分类法，可供分析人员、开发人员、测试人员和教育工作者使用，以促进社区理解和增强防御”。

示例

CAPEC-66:SQL注入

“此攻击利用基于用户输入构造SQL语句的目标软件。攻击者精心设计输入字符串，以便当目标软件基于输入构造SQL SQL语句时，生成的SQL语句执行应用程序预期之外的操作…”

CAPEC-540：溢出缓冲区

“对手通过提供输入来攻击目标，从而导致应用程序读取超出定义的缓冲区边界。当影响读取开始或停止位置的值被设置为反映缓冲区有效内存位置之外的位置时，通常会发生这种情况。这种类型的攻击可能导致敏感信息泄露、系统崩溃或任意代码执行。"[3]

CAPIF

Common Application Programming Interface Framework

通用应用程序编程（API）接口框架

为了尝试标准化北向API所暴露的一些通用功能，3GPP引入了CAPIF（用于3GPP北向API的通用API框架）。在CAPIF的标准化范围内，3GPP已经解决了各种不同的过程，包括应用功能的入职/离职、服务发现和管理、事件订阅和通知、安全和收费。

https://www.mpirical.com/glossary/capif-common-api-framework-for-3gpp-northbound-apis

CAPIF核心功能包括以下功能：

l 基于API调用方身份验证所需的身份和其他信息对API调用方进行身份验证；

l 支持与API调用方的相互认证；

l 在访问服务API之前为API调用程序提供授权；

l 发布、存储和支持服务API信息的发现；

l 基于PLMN运营商配置的策略控制服务API访问；

l 存储服务API调用的日志，并向授权用户提供服务API调用日志实体；

l 基于服务API调用的日志计费；

l 监控服务API调用；

l 注册一个新的API调用程序并注销一个API调用程序；

l 存储与CAPIF和服务API相关的策略配置；和

l 支持访问日志进行审核（例如检测滥用）。

LTE;5G; Common API Framework for 3GPP Northbound APIs (3GPP TS 23.222 version 15.2.0 Release 15)

CASB

Cloud Access Security Broker

云访问安全代理

云访问安全代理（通常缩写成 CASB）是介于企业用户和云服务提供商之间的安全策略执行点。CASB 可以结合多种不同的安全策略（从身份验证和凭据映射到加密、恶意软件检测等等），提供灵活的企业解决方案，帮助确保云应用在授权和未授权应用程序以及托管和非托管设备上的安全性。

https://www.microsoft.com/zh-cn/security/business/security-101/what-is-a-cloud-access-security-broker-casb

CAVP

Cryptographic Algorithm Validation Program

密码算法验证程序

NIST维护加密算法验证程序（CAVP），该程序为NIST推荐的加密算法提供验证测试。CAVP是根据FIPS 140-2在加密模块验证程序（CMVP）下验证加密实现的先决条件。自2002年《联邦信息安全管理法》（FISMA）以来，美国联邦机构不再有豁免FIPS 140-2的法定规定。这意味着商业供应商必须根据CAVP/CMVP验证其密码实现，也称为模块，然后才能由美国联邦机构部署。

eprint.iacr.org/2019/1421.pdf

CBAM

(Nokia) Cloudband Application Manager

（诺基亚）Cloudband应用程序管理器

CloudBand应用程序管理器（CBAM）是一个现成的通用虚拟化网络功能管理器（G-VNFM）。它自动化了VNF生命周期管理和云资源管理，其基于标准的API使其易于与任何供应商的VNF、元素管理系统（EMS）、虚拟化基础设施管理器（VIM）和NFV Orchestrator（NFVO）一起工作。

CBAM通过提供一个开放的模板系统、管理资源和应用相关的工作流来自动化生命周期管理。它比手动方法更容易、更可预测地执行生命周期管理操作。根据ETSI GS NFV-IFA 009的适用部分设计并交付为通用VNFM（G-VNFM），它支持诺基亚和第三方VNF。使用OpenStack Heat编排模板、VMware Open Virtualization Format模板（OVF）和Mistral工作流，CBAM向最广泛的VNF入职选项开放。它可视化应用程序的结构和状态，并执行生命周期管理，包括基本功能（创建、实例化、扩展/扩展、终止、删除、查询VNF和修改VNF）和高级功能（如扩展/缩小、修复、更新/修补、升级、备份和恢复）。

OpenStack和VMware都支持多个VIM和VNF，其中CBAM的一个实例消耗来自具有不同功能的多个VIm的资源；它还支持具有不同版本的多种VNF类型。它是一个多租户VNFM，支持每个VNF类型的帐户。它可以本地化到NFVI、本地化到VNF或集中式部署。

https://www.nokia.com/networks/core-networks/cloudband/application-manager/

CBC-MAC

Cipher Block Chaining - Message Authentication Code (CMAC)

密码块链-消息验证码（CMAC）

在密码学中，密码块链消息认证码（简称CBC-MAC）是一种从块密码构造消息认证码的技术。消息在CBC模式下用某种块密码算法加密，以创建块链，使得每个块依赖于前一块的正确加密。这种相互依赖性确保了对任何明文比特的改变将导致最终加密块以在不知道块密码的密钥的情况下无法预测或抵消的方式改变。

https://cryptography.fandom.com/wiki/CBC-MAC

CBDC

Central Bank Digital Currency

中央银行数字货币

英国央行英格兰银行在其关于CBDC的研究报告中给出这样的定义：中央银行数字货币是中央银行货币的电子形式，家庭和企业都可以使用它来进行付款和储值。

中国版CBDC被描述为，数字人民币，是由人民银行发行，由指定运营机构参与运营并向公众兑换，以广义账户体系为基础，支持银行账户松耦合功能，与纸钞和硬币等价，并具有价值特征和法偿性的可控匿名的支付工具。

而我们所说的DC/EP是中国版的央行数字货币，译为“数字货币和电子支付工具”。

https://baike.baidu.com/item/%E5%A4%AE%E8%A1%8C%E6%95%B0%E5%AD%97%E8%B4%A7%E5%B8%81/23731940

CCA

Chosen Ciphertext Attack

选择密文攻击

选定密文攻击（CCA）是一种用于密码分析的攻击模型，其中密码分析人员可以通过获得选定密文的解密来收集信息。对手可以从这些信息中尝试恢复用于解密的隐藏密钥。

en.wikipedia.org/wiki/Chosen-ciphertext_attack

(Arm) Confidential Compute Architecture

（Arm）机密计算架构

Arm机密计算体系结构（CCA）的愿景是保护所有数据和代码，无论计算发生在何处——释放数据和人工智能的力量和潜力。Arm CCA是一系列硬件和软件架构创新的一部分，这些创新增强了Arm对机密计算的支持。Arm CCA是Armv9-a体系结构的关键组成部分，它实现了向每个行业部门提供机密计算好处的目标。

https://www.arm.com/architecture/security-features/arm-confidential-compute-architecture

CCE

Common Configuration Enumeration

通用配置枚举

CCE列表为安全相关的系统配置问题提供了唯一的标识符，以便通过促进跨多个信息源和工具的配置数据的快速准确关联来改进工作流程。

例如，Microsoft Corporation的Windows Server 2008安全指南和2007 Microsoft Office安全指南中的设置包含CCE标识符；是美国联邦桌面核心配置（FDCC）数据文件下载中用于设置的主要标识符；并提供配置最佳实践文件中的元素之间的映射，包括互联网安全中心（CIS）CIS基准文件、国家标准与技术研究所（NIST）NIST安全配置指南、国家安全局（NSA）NSA安全配置指南，国防信息系统局（DISA）的DISA安全技术实施指南（STIGS）。

CCE也是NIST在其安全内容自动化协议（SCAP）计划中使用的六个现有开放标准之一，该计划结合了“一套工具，帮助自动化漏洞管理并评估是否符合联邦信息技术安全要求”。NIST已经验证了许多产品符合SCAP的CCE组件。

当处理来自多个来源的信息时，使用一致的标识符可以改善数据相关性；实现互操作性；促进自动化；并便于收集用于态势感知、IT安全审计和法规遵从性的指标。例如，通用漏洞和暴露（CVE®）为信息安全漏洞提供了这种能力。

与CVE工作类似，CCE为特定的安全相关配置问题分配唯一的通用标识符。CCE标识符与配置语句和配置控件相关联，这些语句和配置控制表示配置计算机系统时人类命名和讨论其意图的方式。通过这种方式，使用CCE ID作为标签在自然语言、基于散文的配置指导文档和机器可读或可执行功能（如配置审计工具）之间提供了桥梁。

CCE列表上的每个条目包含以下五个属性：

l CCE标识符编号–“CCE-2715-1”

l 描述–配置问题的人性化描述

l 概念参数–为了在系统上实现CCE，需要指定的参数

l 相关技术机制——对于任何给定的配置问题，可能有一种或多种方法来实现预期结果

l 参考–指向详细描述配置问题的文档或工具的特定部分的指针

目前，CCE仅专注于基于软件的配置。不支持硬件和/或物理配置建议。

https://cce.mitre.org/about/index.html

Consequence-Driven Cyber-Informed Engineering

后果驱动的网络信息工程

结果驱动的网络信息工程（CCE）是一个将CIE的核心原则应用于特定组织、设施或任务的严格过程，通过确定其最关键的功能、方法和手段，对手可能会使用这些功能、方法或手段来操纵或破坏它们并确定消除或减轻这些风险的最有效手段。

inl.gov/cie/

CCF

CAPIF Core Function

CAPIF核心功能

为了避免3GPP发布的各种API规范之间的方法重复和不一致，已考虑开发通用API框架（CAPIF）。CAPIF包括适用于任何北向服务API的通用方面。因此，它是一个完整的3GPP API框架，涵盖了与以下方面相关的功能：车载和非车载API调用程序、注册和发布需要公开的API、第三方实体发现API以及授权和认证。

CAPIF功能被认为是实现5G开放的基石，因为它允许将5G核心API安全地暴露给第三方域，并且还允许第三方定义和公开自己的API。事实上，CAPIF已经成为3GPP SA6的一个基本特征，其目标是垂直网络与5G系统的交互。更准确地说，在i）为各个行业（V2X、未来工厂等）开发垂直应用程序使能器（VAE），ii）实现服务使能架构层（SEAL），以及iii）实现边缘计算服务的服务端时，需要遵守CAPIF

CAPIF核心功能是CAPIF的主要实体，包括以下功能：

l 基于API调用方身份验证所需的身份和其他信息对API调用方进行身份验证；

l 支持与API调用方的相互认证；

l 在访问服务API之前为API调用程序提供授权；

l 发布、存储和支持服务API信息的发现；

l 基于PLMN运营商配置的策略控制服务API访问；

l 存储服务API调用的日志，并向授权实体提供服务API调用日志；

l 基于服务API调用的日志计费；

l 监控服务API调用；

l 注册一个新的API调用程序并注销一个API调用程序；

l 存储与CAPIF和服务API相关的策略配置；

l 支持访问日志进行审计（例如检测滥用）；和

l 支持通过CAPIF互连中的另一个CAPIF核心功能发布和发现服务API信息。

https://evolved-5g.eu/wp-content/uploads/2022/02/EVOLVED-5G-CAPIF-DOCUMENTATION-For-Release-1.0_final-public.pdf

CCCS

Canadian Centre for Cyber Security

加拿大网络安全中心

加拿大网络安全中心（网络中心）是通信安全机构的一部分。它是加拿大人网络安全专家建议、指导、服务和支持的唯一统一来源。

https://www.cyber.gc.ca/en

CCoA

Cyber Courses of Action

网络行动方案

网络领域存在规模和范围问题，需要决策辅助来满足网络安全的准确性和及时性要求。网络决策支持的“模型”的使用范围从长期决策支持、预测网络事件的分类、发展中威胁的实时可视化，以及使用这些模型分析攻击图和每个COA候选的预测二阶和三阶影响。

随着威胁能力的提高和邪恶行为者的数量，制定COA以应对网络攻击尤其具有挑战性（Mandiant 2014）。网络参与者有能力协调（例如通过僵尸网络[Kotenko 2005]），并在时间常数下进行攻击，这可能比标准人类认知快得多。决策支持系统（DSS）中的建模与仿真可以通过训练增强态势感知（SA）。M&S传授的知识用于DSS的设计和开发，直接与网络攻击者的技术优势和经验进行交易。因此，了解如何衡量DSS的COA有效性是DSS设计的关键。

https://www.oreilly.com/library/view/an-introduction-to/9781119420873/c06.xhtml

CCSDS

The Consultative Committee for Space Data Systems

空间数据系统咨询委员会

空间数据系统咨询委员会（CCSDS）是一个多国论坛，旨在制定航天通信和数据系统标准。来自28个国家的顶尖空间通信专家合作开发世界上设计最完善的空间通信和数据处理标准。目标是增强政府和商业的互操作性和交叉支持，同时降低风险、开发时间和项目成本。1000多个太空任务选择使用CCSDS制定的标准飞行。

https://public.ccsds.org/default.aspx

CDC

Cybersecurity Defense Community

网络安全防御社区

CDC对当前的网络威胁形势进行内部和外部监控。它为企业It组织和业务职能部门提供建议，以提高企业It安全以及网络和信息安全。网络防御中心负责协调应对网络安全事件或网络攻击。

https://www.infineon.com/cms/en/about-infineon/company/cybersecurity/?redirId=140324

CDF

Cumulative Distribution Function

累积分布函数

累积分布函数(Cumulative Distribution Function)，又叫分布函数，是概率密度函数的积分，能完整描述一个实随机变量X的概率分布。一般以大写CDF标记,，与概率密度函数probability density function（小写pdf）相对。

实值随机变量X的累积分布函数（CDF），在X处计算，是X将取小于或等于X的值的概率函数。它用于描述表中随机变量的概率分布。在这些数据的帮助下，我们可以轻松地在excel表格中创建CDF图。

换句话说，CDF找到给定值的累积概率。为了确定随机变量的概率，可以使用它，也可以比较某些条件下的值之间的概率。对于离散分布函数，CDF给出了我们指定的概率值，对于连续分布函数，它给出了概率密度函数下达到指定给定值的面积。

CDM

Continuous Diagnostics and Mitigation

持续诊断和缓解

网络安全和基础设施安全局（CISA）持续诊断和缓解（CDM）计划是加强政府网络和系统网络安全的一种动态方法。CDM计划为参与机构提供网络安全工具、集成服务和仪表盘，通过提高网络的可视性和意识以及防御网络对手，帮助它们改善各自的安全态势。CDM计划最终通过四个能力领域降低了威胁面并改进了联邦网络安全响应：资产管理、身份和访问管理、网络安全管理和数据保护管理。

项目目标

CDM项目向参与机构提供网络安全工具、集成服务和仪表盘，以支持它们改善各自的安全态势。计划目标是：

l 减少机构威胁面

l 提高对联邦网络安全态势的了解

l 提高联邦网络安全响应能力

l 简化《联邦信息安全现代化法案》（FISMA）报告

CDM功能

CDM项目在五个关键项目领域提供能力。

l机构和联邦仪表盘：从机构和联邦层面的CDM工具接收、汇总和显示信息。

l资产管理–管理硬件资产（HWAM）、软件资产（SWAM）、安全管理配置设置（CSM）和软件漏洞（VUL）。

l身份和访问管理–管理帐户/访问/管理权限（PRIV）、授予访问权限的人的信任确定（trust）、凭据和身份验证（CRED）以及安全相关培训（BEHAVE）。

l网络安全管理–管理网络和外围组件、主机和设备组件、静止和传输中的数据以及用户行为和活动。这包括事件管理（MNGEVT）；操作、监控和改进（OMI）；设计和内置安全（DBS）；边界保护（BOUND）；供应链风险管理；以及持续授权。

l数据保护管理–通过以下功能管理数据保护：数据发现/分类（DISC）、数据保护（PROT）、数据丢失预防（DLP）、数据泄露/溢出缓解（MIT）和信息权限管理（IRM）。

https://www.cisa.gov/sites/default/files/publications/cdm-program-overview-fact-sheet-012022-508.pdf

CDSS

Cloud-Delivered Security Service

云提供的安全服务

Palo Alto Network的云交付安全服务套件提供了对专门的基于订阅的安全解决方案的访问，专门针对已知、未知和高级规避威胁进行防御。通过高级分析生成的威胁数据在Palo Alto Networks安全平台之间共享，以全面覆盖所有威胁向量。

https://pan.dev/cdss/docs/

CEDS

Cybersecurity for Energy Delivery Systems

能源输送系统的网络安全

CESER赞助高风险/高回报的研发项目，通过能源系统网络安全的进步为公众服务。能源输送系统（CEDS）研发项目的网络安全为能源部门的运营技术（OT）——管理电力、石油和天然气实体物理运营的数字系统和网络——提供先进的工具和技术。这些专门系统通常需要非传统的高度定制的网络安全方法、工具和系统设计。

CEF

Common Event Format

通用事件格式

ArcSight开发的通用事件格式（CEF）标准格式使供应商及其客户能够将其产品信息快速集成到ESM中。CEF标准格式是一种简化日志管理的开放日志管理标准。

CentOS

Community Enterprise Operating System

社区企业操作系统

CentOS Linux发行版是一个稳定、可预测、可管理和可复制的平台，源于Red Hat Enterprise Linux（RHEL）。我们现在正在寻求通过创建其他社区所需的资源来扩展这一点，以便能够在CentOS Linux平台上进行构建。今天，我们通过提供一个清晰的治理模式、提高透明度和可访问性来开始这一过程。未来几周，我们打算发布自己的路线图，其中包括核心CentOS Linux的变体。

自2004年3月以来，CentOS Linux一直是一个社区支持的发行版，来源于Red Hat免费向公众提供的源代码。因此，CentOS Linux旨在与RHEL在功能上兼容。我们主要更改包以删除上游供应商的品牌和艺术品。CentOS Linux是免费的，可以免费重新发布。

CentOS Linux由一个规模较小但不断增长的核心开发团队开发。反过来，核心开发人员得到了活跃的用户社区的支持，包括来自世界各地的系统管理员、网络管理员、经理、核心Linux贡献者和Linux爱好者。

在接下来的一年里，CentOS项目将扩大其使命，将CentOS Linux建立为一个领先的社区平台，以支持来自其他项目（如OpenStack）的新兴开源技术。这些技术将成为CentOS多种变体的中心，可以单独下载或从自定义安装程序访问。

https://www.centos.org/about/

CEO

Chief Executive Officer

首席执行官

首席执行官（CEO）是公司中级别最高的高管。总的来说，首席执行官的主要职责包括做出重大的公司决策，管理公司的整体运营和资源，充当董事会和公司运营之间的主要沟通点。在许多情况下，首席执行官是公司的公众形象。

首席执行官由董事会及其股东选举产生。他们向董事长和董事会报告，董事会由股东任命。

https://www.investopedia.com/terms/c/ceo.asp

CERT

Computer Emergency Response Team

计算机应急响应小组

计算机应急小组（CERT）是一组信息安全专家，负责防范、检测和应对组织的网络安全事件。CERT可专注于解决数据泄露和拒绝服务攻击等事件，并提供警报和事件处理指南。CERTs还开展持续的公众宣传活动，并参与旨在改善安全系统的研究。

最初的计算机安全事件响应小组，即计算机应急响应小组协调中心（CERT/CC），于1988年底在宾夕法尼亚州匹兹堡的卡内基梅隆大学成立。

无论他们被称为CERT、CSIRT、IRT或任何其他类似的名称，所有计算机应急响应团队的作用都相当相似。所有这些组织都在努力实现与事件响应相关的相同目标，即响应计算机安全事件以重新控制并最大限度地减少损害，提供或协助有效的事件响应和恢复，并防止计算机安全事件再次发生。

一般来说，事件响应团队负责保护组织免受威胁组织及其信息的计算机、网络或网络安全问题的影响。“保护、检测和响应”模型是一种长期使用的事件响应通用模型

https://www.techtarget.com/whatis/definition/CERT-Computer-Emergency-Readiness-Team

CERT/CC

Computer Emergency Response Team Coordination Center

计算机应急小组协调中心

CERT协调中心（CERT/CC）是软件工程研究所（SEI）计算机应急小组（CERT）的协调中心，该研究所是一个非营利的美国联邦资助的研发中心。

en.wikipedia.org/wiki/CERT_Coordination_Center

CESA

Cisco Endpoint Security Analytics

Cisco端点安全分析

Cisco Endpoint Security Analytics（CESA）和AnyConnect网络可见性模块（NVM）通过使用IPFIX端点遥测来识别流量，并提供诸如源地址、源端口、目的地址、目的端口、进程名称等属性，目的主机和其他有价值的属性，以识别内部和基于行为的威胁，如应用程序/SaaS滥用、端点安全规避、零信任滥用、数据丢失检测以及零日恶意软件和威胁追踪。

CESER

Cybersecurity, Energy Security, and Emergency Response

网络安全、能源安全和应急响应

网络安全、能源安全和应急响应办公室（CESER）领导能源部的应急准备和协调应对能源部门的中断，包括物理和网络攻击、自然灾害和人为事件。CESER是12号应急支持职能部门（FEMA国家响应框架下的ESF#12）的负责人。ESF#12通过以下方式支持政府和私营部门利益相关者克服与能源系统恢复相关的障碍和固有挑战：

l 协助能源资产所有者、运营商和SLTT合作伙伴修复受损的能源系统

l 与机构间合作伙伴协调，确定支持资源，以稳定和重建能源系统

l 促进法律和监管豁免，以帮助恢复受损的能源系统并确保充足的供应

l 提供技术专业知识，评估能源系统受损情况，并协助恢复、后勤和长期恢复规划

l 收集、评估和共享能源部门信息和可视化，以促进共享态势感知和共同操作情景

CFATS

Chemical Facility Anti-Terrorism Standards

化学设施反恐标准

CFATS是美国第一个专门针对高风险化学品设施安全的监管计划。CFATS项目由网络安全和基础设施安全局（CISA）管理，负责识别和管理高风险设施，以确保采取安全措施，降低某些危险化学品被恐怖分子武器化的风险。

根据CFATS，化学品设施是指拥有或计划拥有附录a中超过300种感兴趣化学品（COI）的任何机构或个人，其数量或浓度等于或高于所列的筛选阈值（STQ）和浓度。这些企业必须通过称为“顶屏”的在线调查向CISA报告其化学品。CISA使用设施提交的顶屏信息来确定该设施是否被视为高风险，并必须制定安全计划。在CFATS流程网页上了解更多信息。

CFATS法规适用于化工制造、储存和分销、能源和公用事业、农业和食品、炸药、采矿、电子、塑料、学院和大学、实验室、油漆和涂料、医疗保健和制药等许多行业的设施。

化学品安全不是一个临时问题。随着威胁的演变，原子能机构致力于与利益攸关方合作，保护国家最高风险的化学基础设施。

https://www.cisa.gov/chemical-facility-anti-terrorism-standards

CFO

Chief Financial Officer

首席财务官

首席财务官（CFO）是指负责管理公司财务活动的高级管理人员。首席财务官的职责包括跟踪现金流和财务规划，分析公司的财务优势和劣势，并提出纠正措施。首席财务官的角色类似于财务主管或控制员，因为他们负责管理财务和会计部门，并确保公司的财务报告准确及时。

https://www.investopedia.com/terms/c/cfo.asp

CFPB

Consumer Financial Protection Bureau

消费者金融保护局

消费者金融保护局（Consumer Financial Protection Bureau）是一个21世纪的机构，负责实施和执行联邦消费者金融法，确保消费者金融产品的市场公平、透明和具有竞争力。

目标是让消费者金融市场为消费者、负责任的提供者和整个经济服务。我们保护消费者免受不公平、欺骗性或虐待行为的侵害，并对违法公司采取行动。我们为人们提供做出明智财务决策所需的信息、步骤和工具。

https://www.consumerfinance.gov/about-us/the-bureau/

CFR

Code of Federal Regulations

联邦法规

《联邦法规法典》（CFR）是联邦政府行政部门和机构在《联邦公报》中公布的一般性和永久性规则的编纂。《联邦法规》第21篇保留给食品和药物管理局的规则。CFR的每个标题（或卷）每日历年修订一次。

CHERI

Capability Hardware Enhanced RISC Instructions

功能硬件增强RISC指令

CHERI（Capability Hardware Enhanced RISC Instructions）是SRI International和剑桥大学的联合研究项目，旨在重新审视硬件和软件的基本设计选择，以显著提高系统安全性。自2010年以来，CHERI一直受到DARPA CRASH、MRC和SSITH项目以及其他DARPA研究和过渡资金的支持。自2019年以来，Arm的实验性CHERI使Morello处理器、SoC和板的开发得到了UKRI的支持。我们非常感谢DARPA、UKRI和我们的其他支持者，包括EPSRC、ERC、Google和Arm。

CHERI利用新的体系结构特性扩展了传统的硬件指令集体系结构（ISA），以实现细粒度内存保护和高度可扩展的软件划分。CHERI内存保护功能允许历史上内存不安全的编程语言（如C和C++）进行调整，以针对当前广泛利用的许多漏洞提供强大、兼容和高效的保护。CHERI可扩展的分区功能支持操作系统（OS）和应用程序代码的细粒度分解，以限制当前架构不支持的安全漏洞的影响。

CHERI是一种混合能力体系结构，它能够将体系结构能力与传统的基于MMU的体系结构和微体系结构以及基于虚拟内存和C/C++的传统软件堆栈相结合。这种方法允许在现有软件生态系统中进行增量部署，我们已经通过广泛的硬件和软件原型验证了这一点。

CHERI与整个硬件软件堆栈的设计交互。

l 一个抽象的CHERI保护模型，介绍了体系结构功能、硬件支持的权限描述，这些权限可以用来代替整数虚拟地址，以受保护的方式引用数据、代码和对象；

l 对64位MIPS、32位RISC-V、64位RISC-V和（与Arm合作）64位Armv8-A的一组ISA扩展，表明该模型适用于一系列当代ISA设计。

l 新的微体系结构证明了可以在硬件中高效地实现功能，包括功能压缩和标记内存以保护内存中的功能；和

l ISA扩展的形式化模型支持机械化语句及其安全属性的证明、自动测试生成和可执行ISA级模拟器的自动构建。

这些特性支持在现有软件生态系统中增量部署的新软件构造。

l 使用功能提供细粒度内存保护和可扩展软件划分的新软件构建模型；

l 语言和编译器扩展，用于实现内存安全的C和C++、高级管理语言和外部函数接口（FFI）；

l 使用细粒度内存保护的操作系统扩展，并支持使用CHERI的应用程序，包括通过空间、引用和临时内存安全；

l 提供新的基于CHERI的抽象的操作系统扩展，包括内核内和进程内划分，以及新的高效进程间通信（IPC）；

l 在CHERI内存保护下正确运行的应用程序级自适应；和

l 应用程序级调整，以引入新的更经济的软件划分。

CHERI是一个硬件/软件/语义联合设计项目，结合了硬件实现、主流软件栈的适配以及形式语义和证明。CHERI思想最初是作为64位MIPS的修改而开发的，现在也用于32/64位RISC-V和64位ARMv8-a。通过调整广泛使用的开源软件（如Clang/LLVM、FreeBSD、FreeRTOS）和应用程序（如WebKit、OpenSSH和PostgreSQL），为CHERI构建完整的软件栈原型。通过对架构进行正式建模，并构建许多关于其安全性的证明，在原型中使用这些模型进行微架构验证。这些模型也有可能支持进一步的活动，例如关于软件和微架构的正式证明。

https://www.cl.cam.ac.uk/research/security/ctsrd/cheri/

CHUID

Card Holder Unique Identifier

持卡人唯一标识符

持卡人唯一标识符（CHUID）是以电子方式存储在智能卡上的数字，包括若干数据，包括联邦机构智能凭证号码、全球唯一标识符、到期日期和数字签名。这些组件用于验证卡并确保卡未过期。

卡的安全特征和存储在卡上的照片的视觉验证用于确定卡是否是真的，以及卡是否属于使用卡的个人。CHUID与视觉认证相结合的使用比单独使用视觉认证提供了更多的安全保障，因为电子手段用于认证卡。然而，CHUID未加密，因此存在伪造卡的风险。

CI

Critical Infrastructure

关键基础设施

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

中华人民共和国关键信息基础设施保护条例

有16个关键的基础设施部门（化工行业；商业设施部门；通信部门；关键制造业；大坝部门；国防工业基地部门；应急服务部门；能源部门；金融服务业；食品和农业部门；政府设施部门；医疗保健和公共卫生部门；信息技术部门；核反应堆、材料和废物部门；运输系统部门；水和废水系统部门），其资产、系统和网络，无论是物理的还是虚拟的，都被视为对美国如此重要，以至于其丧失能力或被破坏将对安全、国家经济安全、国家公共卫生或安全或其任何组合产生削弱作用。

https://www.cisa.gov/critical-infrastructure-sectors

Confidence Interval

置信区间

置信区间是指如果您再次运行实验或以相同的方式重新对总体进行采样，您期望您的估计值在一定百分比的时间内下降的值范围。

置信水平是期望在置信区间的上限和下限之间再现估计值的百分比，由alpha值设置。

置信区间是您的估计值加上和减去该估计值的变化的平均值。这是在一定的置信度范围内，如果重做测试，期望的估计值介于这两个值之间。

在统计学中，信心是描述概率的另一种方式。例如，如果您构建了一个95%置信水平的置信区间，则您确信100倍估计值中的95倍将介于置信区间指定的上限值和下限值之间。

您期望的置信水平通常是一减去您在统计测试中使用的alpha（a）值：

置信水平=1−a

因此，如果你使用p＜0.05的alpha值作为统计显著性，那么你的置信水平将为1− 0.05＝0.95或95%。

可以计算多种统计估计的置信区间，包括：

l 比例

l 人口平均数

l 人口平均数或比例之间的差异

l 各组间差异的估计

这些都是点估计，没有给出任何关于数字变化的信息。置信区间对于传达点估计周围的变化非常有用。

示例：估计值的变化

l你调查了100名英国人和100名美国人的看电视习惯，发现这两组人每周平均看35小时电视。

l然而，接受调查的英国人观看的小时数差异很大，而美国人观看的时间都差不多。

l尽管两组的估计值（平均观看小时数）相同，但英国的估计值将比美国的估计值具有更大的置信区间，因为数据的差异更大。

https://www.scribbr.com/statistics/confidence-interval/

CI/CD

Continuous Integration/Continuous Delivery

持续集成/持续交付

持续集成（CI）是在软件开发期间自动化和集成来自许多团队成员的代码更改和更新的过程。在CI中，自动化工具在集成之前确认软件代码有效且无错误，这有助于检测错误并加快新版本的发布。

持续交付（CD）是一种每天多次将新软件推入生产环境的能力，可以自动将应用程序交付到基础架构环境。CD是DevOps的一部分，它有助于缩短软件开发生命周期。

持续交付是软件发布管道的中间步骤，从持续集成开始，到持续部署结束。这些阶段的目标是不断地对代码进行小修改，同时更频繁、快速、高效地构建、测试和交付。

持续交付是软件开发过程中持续集成之后的逻辑下一步，所以首先有一个CI过程是有意义的。一旦软件团队自动化了测试过程，他们也可以自动化发布过程，然后快速部署。

软件开发团队需要可靠的、经过测试的CI/CD过程，以及满足代码库需求的测试解决方案。此外，团队需要自动化来部署解决方案，这样他们就不需要耗时的手动部署。

https://www.cisco.com/c/en/us/solutions/data-center/data-center-networking/what-is-ci-cd.html#~building-a-ci-cd-team

CIA

Confidentiality, Integrity, and Availability

机密性，完整性和可用性

CIA三元组，即机密性、完整性和可用性，是一个旨在管理公司内部信息安全规则的概念。为了防止与中央情报局混淆，该范式通常被称为AIC三元组（可用性、完整性和保密性）。尽管中央情报局三合会是三个最基本和最关键的网络安全需求，但专家们认为CIA三元组需要升级才能成功。

在这种情况下，保密是指限制信息访问的一套规则，而完整性是指保证信息是可信和正确的，可用性是指确保授权人员能够一致访问信息。

构成CIA三元组的三个基本原则如下：

术语“保密性”等同于保密保障措施，旨在保护敏感信息免受未经授权的访问。通常情况下，根据数据落入坏人手中可能造成的伤害的数量和类型对数据进行分类。然后，根据这些分类，可以采取或多或少严格的行动。

在数据的整个生命周期中保持数据的一致性、正确性和可靠性是完整性的要求。不得在传输过程中修改数据，必须采取预防措施，防止未经授权的方更改数据（例如，违反保密性）。

信息的可用性意味着授权人员应始终容易获得信息。这需要正确维护存储和显示数据的硬件、技术基础设施和系统。

CIA三元组的重要性

中情局三合会安全模式的重要性不言而喻，每封信都反映了网络安全的一个基本概念。信息安全中最关键的三个概念是机密性、完整性和可用性。

在“三元组”背景下考虑这三个概念可能有助于指导制定组织安全政策。三位一体帮助公司在分析潜在新产品和技术的需求和用例时，就这三个主要领域的价值给出重点问题。

将CIA三元组的三项原则视为一个综合系统，而不是单独的概念，可能有助于公司掌握它们之间的联系。

CIA三元组示例

以下是CIA三元组的管理方法和技术的一些例子。尽管这些技术和程序被用于中情局的许多三合会网络安全计划，但这并不是一个完整的列表。

l保密性

数据保密有时可能需要对接触敏感材料的人员进行额外培训。培训可帮助授权人员熟悉风险因素以及如何避免风险因素。强大的密码和与密码相关的最佳实践，以及有关社会工程方法的知识，可能会包含在培训中，以防止用户出于善意而破坏数据处理标准，但可能产生破坏性影响。

在网上银行时，要求提供帐号或路由号码是用于保护机密的策略的一个例子。保护机密的另一个突出手段是数据加密。用户ID和密码很常见；双因素认证（2FA）正在成为规范。生物识别验证和安全令牌、密钥卡或软令牌是进一步的选择。此外，用户可以采取措施减少信息出现的地方的数量，以及为完成所需事务而传输信息的次数。对于异常敏感的纸张，可以采取额外的预防措施，例如将其单独存储在气隙计算机、断开连接的存储设备上，或以硬拷贝形式存储高度敏感的材料。

l完整性

文件权限和用户访问限制就是这些保护措施的示例。版本控制可用于防止授权用户错误修改或无意删除。此外，公司必须采用某种方法来检测非人为事件（如电磁脉冲（EMP）或服务器崩溃）可能导致的数据变化。

校验和，甚至是加密校验和，可以包含在数据中，以验证完整性。备份或冗余必须可访问，以将受影响的数据恢复到其原始状态。此外，数字签名可用于提供有效的不可否认性保护，这意味着登录、消息交换、电子文档阅读和传输的证明不存在争议。

l可用性

这最好通过严格维护所有硬件、在需要时立即执行硬件修复以及保持完全工作的操作系统（OS）环境无软件冲突来实现。保持系统升级的最新状态也是至关重要的。提供适当的通信带宽和最小化瓶颈也是关键措施。当发生硬件故障时，冗余、故障切换、RAID甚至高可用性群集都可以帮助限制重大影响。

快速且适应性强的灾难恢复对于最坏情况至关重要；这种能力取决于是否存在全面的灾难恢复策略。自然灾害和火灾等不可预测的事件必须包含在防止数据丢失或连接中断的保障措施中。为了避免由于这种情况而导致的数据丢失，备份副本应保存在地理位置不同的区域，例如防火、防水的保险箱。例如，防火墙和代理服务器可以防止因恶意拒绝服务（DoS）攻击和网络入侵而导致的停机和无法访问的数据。

CIBA

Client Initiated Backchannel Authentication

客户端启动的反向通道身份验证

Client Initiated Backchannel Authentication（CIBA）是OpenID Foundation的最新标准之一。它定义了新的身份验证和授权流，与传统的OAuth/OpenID Connect“重定向流”相比，它们被归类为“解耦流”。它提供了获得最终用户同意的新方法，可以显著改善客户体验。

CIBA定义了两种类型的设备；消费设备和认证设备。消费设备通过与其对应的OpenID Connect（OIDC）依赖方（RP）交互来启动CIBA流，以确定OIDC身份提供者（IdP）和目标用户的标识符，并向服务器发出OIDC认证请求。服务器向目标用户的Autentiation设备发送通知。一旦用户通过服务器的身份验证设备进行身份验证并可选地授权该请求，服务器就会做出包括令牌（如OAuth访问令牌/刷新令牌、OIDC ID令牌）的响应。

请注意，这两个设备是相互分离的-这些设备不必位于同一位置。此外，使用消费设备启动流的人不一定与使用认证设备的目标用户相同。这种体系结构为用户身份验证和同意带来了更大的灵活性。

https://www.authlete.com/developers/ciba/

CIE

Cyber-Informed Engineering

网络信息工程

美国能源部最近发布了国家网络信息工程战略（CIE）框架，以解决日益增长的网络安全问题。

能源部国家网络信息工程战略（CIE）框架

美国能源行业面临着不断演变的网络安全威胁，以及其他各种行业。根据2022年国家情报总监办公室（DNI）年度威胁评估，“我们的对手拥有发动网络攻击的能力，这些攻击可能会破坏关键基础设施，包括美国能源部门的工业控制系统。对关键基础设施的网络安全攻击尤其重要，确保这些系统的安全性、可靠性和恢复力是美国的首要任务。能源部（DOE）网络安全、能源安全和应急响应办公室（CESER）及其政府和私营部门的合作伙伴”

CIE框架是从早期国会关于国家能源部门威胁的指导发展而来的，它主张能源行业和相关机构（包括研究人员、标准机构、联邦合作伙伴和其他机构）进行渐进式转变。其建议反映了能源公司、能源系统和网络安全制造商、标准机构、研究人员、DOE国家实验室以及网络安全和工程任务领域联邦合作伙伴的专业知识和见解。

它鼓励在能源部门工业基地内采用“设计安全”的思维方式，即尽早在我们的能源系统中建立网络安全，而不是在部署后试图保护这些关键系统。

网络信息工程原理（CIE）：五大支柱方法

CIE战略建立在五大支柱之上。如果联合起来，CIE的支柱创造了一种整体方法，使“知识体系、多样化和扩大的劳动力以及工程和制造能力能够将CIE应用于当今的能源基础设施，并设计未来的能源系统，以消除或降低网络攻击产生重大影响的能力”

这五大支柱是：

l 知识

l 教育

l 开发

l 当前基础设施

l 未来基础设施

https://www.jamasoftware.com/blog/what-is-the-department-of-energy-national-cyber-informed-engineering-strategy-cie-framework

CIEM

Cloud Infrastructure Entitlement Management

云基础设施授权管理

云基础设施权利管理（CIEM）是管理单个或多个云环境的身份的访问权限、权限或特权的安全过程。此过程有助于识别和避免特权高于或超出应有范围而导致的风险。

此外，CIEM是云原生应用程序保护平台（CNAPP）的一个过程，这是一个安全过程，将CIEM与CSPM和CWPP以及其他过程一起升级其功能，因为这些过程不足以完全单独保护云：

假设您有一个云环境。在这一点上，您有许多用户、自动化软件，或者众所周知的身份。您还拥有一些资源（数据、服务等）。假设这些资源中的一些必须受到限制，或者您必须沿着资源创建身份层次结构，从而为您的身份带来特权。这可以通过IAM服务完全解决，该服务可以帮助管理云环境身份的这些权限。

IAM将管理并登记这些特权，而无需检查某些特权是否损坏或过度，CIEM将检查这些特权，并在必要时对其进行修改。

CIEM挑战

为了确保身份行动是应该的，CIEM解决方案可以有不同的方法来解决问题：

非活动身份和超级身份：云环境可能具有未使用的身份，这些身份可能会损害环境的特权或访问权限，有时对云资源来说是无限的。

过度授权的活动身份：否则，某些活动身份可能具有比其应有的权限更高的权限。

跨帐户访问：在某些情况下，可能需要创建允许身份或第三方访问云的不同资源（用于开发、测试、生产等）的帐户（跨帐户或IAM角色）。错误配置或过度使用帐户权限可能会危及整个基础架构。

机器身份未经授权的访问：非人类身份被设计为执行一系列受控的操作，除非其被更改。如果非人类身份的行为或结果发生意外变化，可能有人改变了内部设计或正在注入外部行为。

CIEM是如何工作的？

考虑到这些好处，CIEM如何将其付诸实践？除了是一个将所有信息和执行集中在云中的解决方案之外，它也是一个基于连续“匹配、检查和修复”方法和CIEM生命周期的解决方案。

“匹配、检查和补救”方法是什么意思？为了监控您的云，CIEM解决方案必须访问其信息：

最初，CIEM解决方案将向IAM服务请求基于以下两种类型的信息：

云身份：任何可以访问您的云服务或资源的身份。这些可以是人类（用户、管理员、开发人员）或非人类（软件、外部设备）身份。

云权限：一旦CIEM拥有身份，它将获得其权限——这意味着该身份应该拥有的任务和访问权限。

所要求的身份和权利可能因情况和监测动机而异。

一旦获得身份和权利，CIEM将验证身份的行为和行为，将其与权利进行对比。

如果存在绕过任何给定权限的可疑活动，CIEM将通过删除所有权限、停用标识或降低IAM服务中的权限来补救。

一旦CIEM完成，它将连续重复相同的步骤。

CIEM生命周期

CIEM还基于最小特权原则（POLP）来管理身份的私有和公共云权限。然后，它可以最大限度地减少和减轻任何可能的过度特权风险，如云泄露、数据泄露或内部威胁。

POLP，即访问控制原则或最小权限原则，是计算机安全中的一个概念，它规定您应将任何用户访问权限限制为仅执行任务所需的权限。

为了在云上提供POLP的可扩展实施，CIEM解决方案具有CIEM生命周期，每个CIEM方案都必须遵循该框架：

帐户和权限发现：CIEM解决方案必须持续搜索并列出云中的所有现有权限，以正确应用最低权限。

跨云授权相关性：一般来说，云环境将是多云的，因此解决方案必须为不同云的授权策略提供一致的机制。

权限可视化：解决方案必须允许云的不同权限及其访问的可视化，或通过特定权限或访问类型进行过滤。

权利优化：除了搜索新的权利外，解决方案还必须调整权利特权并删除那些可能过多的权利，从而减少攻击面，但也提供最低限度的权利，正如最低限度的特权状态一样。

权利保护：解决方案可以检测权利的访问权限何时发生变化，并警告威胁的可能性（例如，权限升级）。它还应提供可选的可配置规则集，以定义要在云环境中实施的权限护栏。

权利检测：解决方案还必须能够在监控权利（用于搜索、优化等）时检测任何可疑活动。

权利补救：解决方案必须支持多种补救方法。

CIGRE

International Council on Large Electric Systems

国际大型电力系统理事会

1921年以来代表电力系统专业知识

CIGRE于1921年在法国巴黎成立，是一个致力于端到端电力系统专业知识的合作开发和共享的全球社区。该社区有来自90多个国家和1250个成员组织的数千名专业人士，其中包括一些世界顶尖的专家。其核心是CIGRE的61个国内国家委员会，提供来自全球各个角落的不同技术观点和专业知识。

CIGRE运营着世界上最重要的知识计划，涵盖电力系统所有核心领域的16个工作领域。在这些领域中，250+个工作组利用实际专业知识来解决电力系统面临的现有和未来挑战。

CIGRE的知识计划包括广泛的本地和国际活动，每两年在法国巴黎会议上达到高潮，这是一次独特的思想领袖大会，也是全球电力系统的头号活动。

在过去100年中，CIGRE的工作为现代电力系统的许多关键技术基石做出了贡献。CIGRE的著名出版物是通过“真实世界经验”的合作分享而开发的，在许多情况下是参考信息的权威来源。

所有这一切都意味着，当电力行业专业人士寻求他们所需的公正、基于事实的答案时，他们会求助于世界上最杰出的电力系统专业知识来源CIGRE。

l 意图：促进全球电力系统专业人员的参与和知识共享，以实现为所有人提供可持续电力。

l 使命：通过增强电力系统内人员的专业知识，为电力系统的改善做出贡献。

l 视野：被公认为电力系统各方面专业知识的领先全球社区。

https://www.cigre.org/GB/about/introducing-cigre

CIM

Computer Integrated Manufacturing

计算机集成制造

计算机集成制造（CIM），影响制造环境中所有系统或子系统的数据驱动自动化：设计和开发、生产、营销和销售以及现场支持和服务。在系统构建之前，计算机还可以模拟基本的制造功能，以及材料处理和库存控制，以消除浪费。

https://www.britannica.com/technology/computer-integrated-manufacturing

CIO

Chief Information Officer

首席信息官

首席信息官（CIO）是负责信息和计算机技术的管理、实施和可用性的公司执行官。

由于技术在全球范围内不断发展和重塑行业，首席信息官的作用越来越受欢迎和重要。首席信息官分析各种技术如何为公司带来好处或改进现有业务流程，然后集成一个系统以实现这种好处或改进。

l 首席信息官是负责管理和成功实施公司信息和计算机技术系统的高级管理人员。

l 随着技术的日益成熟和全球范围的扩大，首席信息官的角色越来越受欢迎和重要。

l 首席信息官通常需要至少拥有技术相关领域的学士学位。

l 首席信息官必须敏捷，对趋势、变化和组织、员工及其服务对象的需求做出快速反应。

https://www.investopedia.com/terms/c/cio.asp

CIP

Common Industrial Protocol

通用工业协议

通用工业协议，称为CIP™. CIP包含一整套用于广泛工业自动化应用的消息和服务，包括控制、安全、能源、同步和运动、信息和网络管理。CIP允许用户将这些应用程序与企业级以太网和Internet集成。CIP在全球数百家供应商的支持下，真正独立于媒体，为用户提供了整个工业企业的统一通信架构。CIP允许用户今天从开放网络的许多优点中受益，并保护他们现有的自动化投资，同时为未来提供可扩展和可升级的通信架构。

CIP是一种使用生产者-消费者通信模型的媒体无关协议，在上层是一种严格面向对象的协议。每个CIP对象都有属性（数据）、服务（命令）、连接和行为（属性值和服务之间的关系）。CIP包括一个广泛的对象库，以支持通用网络通信、文件传输等网络服务以及模拟和数字输入/输出设备、HMI、运动控制和位置反馈等典型自动化功能。

为了提供互操作性，在两个或多个设备中实现的同一对象（或一组对象）在设备之间的行为相同。设备中使用的一组对象称为该设备的“对象模型”。CIP中的对象模型基于生产者-消费者通信模型，通过允许在发送设备（例如，生产者）和许多接收设备（例如消费者）之间交换应用信息。

为了在由多个供应商的设备组成的CIP网络中提供进一步的互操作性，CIP定义了一组称为“设备配置文件”的标准对象。除了设备中实现的一组对象外，设备配置文件还指定了配置选项和I/O数据格式。实现一个标准设备配置文件的设备将响应所有相同的命令，并具有与遵循该配置文件的其他设备相同的网络行为。CIP还可以通过使用本地翻译服务提供Modbus、HART和IO-Link设备的简单集成。

CIP的公共应用层允许控制与信息、多个CIP网络和互联网技术的完全集成。CIP构建在一个具有公共应用层的独立于介质的单一平台上，以可扩展和一致的架构提供从工厂到企业的无缝通信。CIP允许公司跨多个网络集成I/O控制、设备配置和数据收集。这最终有助于最小化工程和安装时间和成本，同时通过以下属性最大化ROI：

l 工业自动化的综合消息和服务套件提供控制、安全、能源、同步和运动、信息和网络管理所需的功能。

l 生产者-消费者体系结构允许有效利用网络带宽，并具有可扩展的网络占地面积。

l 无缝桥接和路由允许网络架构的灵活拓扑方案，而无需编程或配置中间设备。

l 设备配置文件提供了一个通用的应用程序界面。

https://www.odva.org/technology-standards/key-technologies/common-industrial-protocol-cip/

Critical Infrastructure Protection

关键基础设施保护

关键基础设施保护（CIP）是确保关键行业组织基础设施安全的过程。它确保农业、能源、食品和运输等行业组织的关键基础设施免受网络威胁、自然灾害和恐怖主义威胁。

CIP通常涉及保护关键基础设施，如监控和数据采集（SCADA）系统和网络，以及工业控制系统（ICS）和操作技术（OT）。Fortinet流行的CIP解决方案包括用于保护关键基础设施的SCADA和用于关键基础设施保护的OT。

关键基础设施保护（CIP）的历史

CIP的历史始于1998年5月比尔·克林顿总统发布PDD-63总统指令。该指令记录了被认为对美国国家和经济安全至关重要的部分国家基础设施。它还概述了如何保护关键基础设施，包括实现这一目标的步骤。

该指令指出了美国政府认定对其国家基础设施至关重要的16个部门。然后，每个部门都被指派一个政府机构和部门，负责制定CIP计划来保护它。

这16个单独的计划随后被汇编成一个全面的总体计划，称为国家基础设施保障计划。此外，2006年，政府制定了《国家基础设施保护计划》（NIPP），详细说明了政府机构和私营部门应如何合作

被认为对国家基础设施至关重要的16个主要部门是：

l 化学的

l 商业设施

l 通信

l 关键制造业

l 大坝

l 国防工业基地

l 应急服务

l 能量

l 金融服务

l 食品和农业

l 政府设施

l 医疗保健和公共卫生

l 信息技术

l 核反应堆、材料和废物

l 运输系统

l 水和废水系统

这些部门最近加入了选举系统，这些系统被美国国土安全部（DHS）指定为关键基础设施。

CIP为什么重要？

确保关键基础设施的安全对于确保美国人民获得饮用水、电力和食品等服务至关重要。它对于保护高价值行业免受网络攻击也至关重要，如化学、通信、应急服务、医疗保健、信息技术和运输部门。

如果黑客能够破坏上述部门的关键基础设施，其结果可能会对组织造成毁灭性后果。它还可能对全球经济和社区构成严重威胁。因此，成功保护关键基础设施需要政府机构与商业方建立强有力的伙伴关系，并使用适当的解决方案来实施和管理这些举措。

保护关键基础设施还取决于认识到可能威胁其完整性的风险。这包括攻击向量和网络安全，以及设备故障、人为错误风险和自然灾害（如天气活动）等问题。必须将这些风险纳入解决方案的任何决策中，以使组织能够检测和识别安全攻击和网络行为异常。

https://www.fortinet.com/cn/resources/cyberglossary/critical-infrastructure-protection

CIPAC

Critical Infrastructure Partnership Advisory Council

关键基础设施伙伴关系咨询委员会

美国国土安全部成立了关键基础设施伙伴关系咨询委员会（CIPAC），以促进政府实体与关键基础设施所有者和运营商社区代表之间的互动。

CIPAC与《2013年国家基础设施保护计划：关键基础设施安全与韧性合作》和《总统政策指令21：关键基础结构安全与韧性》保持一致，并支持其实施，可以共同参与广泛的活动，以支持和协作关键的基础设施安全和恢复工作。

CIRT

Cyber Incident Response Team

网络事件响应团队

计算机安全事件响应团队（CSIRT）是一组IT专业人员，为组织提供与网络安全相关紧急事件的评估、管理和预防以及事件响应工作的协调相关的服务和支持。

CSIRT的主要目标是快速有效地应对计算机安全事件，从而恢复控制并将损害降至最低。这涉及以下国家标准与技术研究所（NIST）的四个事件响应阶段：

l 准备

l 检测和分析

l 遏制、根除和恢复

l 事故后活动

CSIRT可能承担许多责任，包括：

l 创建和更新事件响应计划；

l 维护并向内部和外部实体传达信息；

l 识别、评估和分析事件；

l 协调和沟通应对工作；

l 补救事故；

l 事件报告；

l 管理审计；

l 审查安全政策；和

l 建议更改以防止将来发生事故。

定义的核心假设是CSIRT是一个有组织的实体，具有明确的任务、结构、角色和责任。这一假设排除了任何临时或非正式的事件响应活动，这些活动没有定义的群体或记录的角色和责任。这种假设是基于这样一种信念，即如果没有正式的事件响应能力，就不可能提供有效的事件响应。

事件响应和安全团队论坛是一个国际事件响应团队协会，发布了“FIRST CSIRT框架”。该详细文件建立在自20世纪80年代末开始使用的计算机应急响应团队协调中心（CERT/CC）指南的基础上。该框架还概述了CSIRT可以提供的服务领域，包括信息安全事件管理、信息安全事件处理、漏洞管理、态势感知和知识转移。

CIS

Center for Internet Security

互联网安全中心

互联网安全中心（CIS®）通过我们的合作和创新核心能力，使互联世界成为人们、企业和政府更安全的地方。

一家社区驱动的非营利组织，负责CIS Controls®和CIS基准™, 全球公认的IT系统和数据安全最佳做法。领导全球IT专业人员社区不断发展这些标准，并提供产品和服务，以主动防范新出现的威胁。CIS硬化图像®在云中提供安全、按需、可扩展的计算环境。

CIS是多国信息共享与分析中心®（MS-ISAC®）的所在地，该中心是美国州、地方、部落和地区政府实体网络威胁预防、保护、响应和恢复的可信资源，也是选举基础设施信息共享和分析中心®的所在地，它支持美国选举办公室快速变化的网络安全需求。

https://www.cisecurity.org/about-us

Critical Infrastructure System

关键基础设施系统

关键基础设施是一系列系统、网络和资产，这些系统、网络及资产对确保特定国家的安全、经济以及公众的健康和/或安全至关重要。

www.techtarget.com/whatis/definition/critical-infrastructure

CISA

Cybersecurity and Infrastructure Security Agency

网络安全和基础设施安全局

网络安全和基础设施安全局（CISA）领导国家努力了解、管理和降低网络和物理基础设施的风险。我们将我们的行业和政府利益相关者彼此联系起来，并与资源、分析和工具联系起来，帮助他们建立自己的网络、通信、物理安全和恢复能力，进而帮助确保美国人民的安全和恢复基础设施。我们的《2021回顾》展示了CISA在2021履行其使命的关键实例，包括里程碑和成就，作为该机构推进战略优先事项，以维护国家安全和有弹性的基础设施。

9月初，CISA发布了《2023–2025年CISA战略计划》，这是自2018年该机构成立以来，我们的第一个全面战略。该战略计划针对的是一个风险环境，该环境包括一个日益互联的全球网络空间，在该网络空间中，国家面临着24/7/365的非对称网络威胁，具有大规模的现实世界影响。

https://www.cisa.gov/about-cisa

CISO

Chief Information Security Officer

首席信息安全官

首席信息安全官（CISO）管理组织的网络安全需求，包括团队、技术和计划。这些相对较新的高管通常向首席信息官（CIO）汇报，然后由首席信息官向首席执行官（CEO）汇报。

CISO的成立是为了应对网络犯罪，随着网络犯罪的增长，CISO的地位将持续增长。根据Cybersecurity Ventures的数据，到2025年，网络犯罪每年的损失可能达到10.5万亿美元。随着该领域的扩大和成熟，CISO需要在研究、教育和技能培训方面保持警惕。

首席信息安全官的历史

1995年，在其电子资金转移系统遭到数百万美元的黑客攻击后，花旗集团聘请史蒂夫·卡茨担任世界上第一个CISO职位。虽然卡茨和其他人在此之前担任安全领导职务，但新的CISO职位旨在管理和减轻与网络安全相关的业务风险。

随着时间的推移，网络安全的范围已经大大扩大。当代CISO需要适应不断涌现的网络安全技术、监管变化、新的黑客方法和动机，以及企业向数字世界的扩张。除了技术专业知识，CISO还需要深入了解商业决策如何影响网络安全，反之亦然。

类似专业和职业道路

CISO的职业道路可能对每个人都不同。一些人将CISO的职位视为一个终极职业。然而，有些人将该职位作为其他执行角色的垫脚石，如首席信息官（CIO）、首席技术官（CTO）和首席执行官（CEO）。

晋升可能需要额外的经验或培训。Study.eu的研究发现，64%的全球CEO拥有硕士学位，10%拥有博士学位。在北美，54%的CEO拥有MBA学位。

德勤表示，尽管网络犯罪对首席执行官很重要，但只有一小部分首席执行官来自技术领域。传统上，首席执行官来自商业、运营和金融部门，但随着网络犯罪的增长，这一点在未来可能会改变。

科技行业的CISO或那些有强烈网络安全需求的CISO可能会发现CEO的角色更容易获得。在较小的组织中，CISO职业可能不可用。在这些地方，网络安全专家可以担任安全分析师或安全经理的角色。

https://www.cyberdegrees.org/jobs/chief-information-security-officer-ciso/

CISQ

Consortium for Information & Software Quality

信息与软件质量联盟

信息与软件质量联盟™ （顺时针方向）™) 是一个行业领导小组，负责制定从源代码自动测量软件大小和结构质量的国际标准。CISQ制定的标准使开发或购买软件密集型系统的组织能够衡量软件对企业造成的运营风险，并估计拥有成本。

CISQ由卡内基梅隆大学的对象管理集团®（OMG®）和软件工程研究所（SEI）共同创立。

https://www.it-cisq.org/cisq-events/

CISS

Cyber Incident Severity Schema

网络事件严重性模式

美国联邦网络安全中心与具有网络安全或网络操作任务的部门和机构协调，采用了一种通用模式来描述影响国土、美国能力或美国利益的网络事件的严重性。该模式为评估和评估网络事件建立了一个通用框架，以确保所有部门和机构对以下问题有共同的看法：

l 给定事件的严重程度；

l 应对给定事件所需的紧迫性；

l 协调应对工作所需的资历级别；和

l 应对工作所需的投资水平。

CJA

Crown Jewels Analysis

王冠宝石分析

MITRE的王冠宝石分析(Crown Jewels Analysis ，CJA)[8]是一个过程和相应的工具集，用于“识别那些对完成一个组织的使命至关重要的网络资产”。

CJA创建一个依赖关系图(图6)来帮助理解什么是最重要的——从系统开发开始，一直到系统部署。依赖关系图从确定任务和分配相对优先级开始。从那里，依赖关系通过运营任务和系统功能流向网络资产。这些依赖关系定性地表示为失败或降级的子节点对父节点的影响，并提供了最小化主观性的规定。通过一个完整的模型，CJA可以根据每个父/子逻辑语句的实现来预测网络资产失效/降级的影响，跟踪潜在的影响，并将其上升到高级使命任务和目标。

CLI

Command-Line Interface

命令行界面

命令行界面（CLI）是一种基于文本的用户界面（UI），用于运行程序、管理计算机文件和与计算机交互。命令行界面也称为命令行用户界面、控制台用户界面和字符用户界面。CLI接受键盘输入的输入命令；在命令提示符处调用的命令然后由计算机运行。

如今，大多数供应商提供图形用户界面（GUI）作为Windows、Linux和macOS等操作系统（OS）的默认设置。大多数当前基于Unix的系统都提供命令行界面和图形用户界面。

MS-DOS操作系统和Windows操作系统中的命令shell是命令行界面的示例。此外，Python等编程语言开发平台可以支持命令行界面。

在20世纪80年代推出基于GUI的个人计算机操作系统（如微软Windows和苹果的“经典”Mac操作系统）后，命令行的流行度下降。命令行对于IT专业人员、软件开发人员、系统管理员、网络管理员和许多其他人来说仍然是一个重要的工具，他们更喜欢为自己的系统提供更精确和可复制的界面。

https://www.techtarget.com/searchwindowsserver/definition/command-line-interface-CLI

CLO

Chief Legal Officer

首席法律官

首席法律官（CLO）通常是上市公司最有权力的法律执行官。首席法律官（CLO）是一位专家和领导者，通过就公司面临的任何重大法律和监管问题（如诉讼风险）向公司的其他官员和董事会成员提供建议，帮助公司将法律风险降至最低。

首席执行官也可以是公司运营委员会的成员，并由首席执行官监督。CLO监督公司的内部律师。

关键要点

l 首席法律官（CLO）是一名法律执行官，被任命管理公司的法律部门，领导内部律师，就重大法律和监管问题提供指导，并努力将法律风险降至最低。

l 一般而言，首席法律官的职业历史包括法律主管、总法律顾问和普通合伙人等角色。

l 首席执行官也可以是公司运营委员会的成员，并由首席执行官监督。

l CLO经常让公司了解影响公司或其行业的法律变更。

l CLO的其他职责包括制定课程，对员工进行法律问题教育，监督雇佣行为，以及代表公司提起诉讼。

CloudSPF

Cloud Security Policy Framework

云安全策略框架

云安全框架为客户提供了其组织安全方法的额外策略，并有助于使提供商能够交流安全最佳做法和对策，云安全框架概述了对组织云基础设施的有效采用和安全管理至关重要的政策、工具、配置和规则。

与网络、端点和DLP工具一起，云安全框架有助于为组织提供一种全面的安全方法，以确定哪些敏感数据需要保护、其位置和保护方法。

虽然与云安全框架相似，但云合规性的主要关注点是满足适用于组织处理和存储的数据的监管标准。根据最佳实践并根据组织的需要，添加一个云安全框架，该框架超出了法规遵从性框架中规定的最低要求，对于全面和完整的数据丢失预防至关重要。

一般适用的框架包括治理（COBIT）、架构（SABSA）、管理标准（ISO/IEC 27001）和NIST的网络安全框架，并根据使用情况提供其他专用框架。在医疗保健领域，专门框架的一个例子是HITRUST的公共安全框架。

云安全框架示例

NIST（国家技术标准研究所）政策框架是为降低关键基础设施风险而制定的行政命令，广泛使用，由五个关键支柱组成：

l 识别：了解组织要求并完成安全风险评估。

l 保护：实施保护措施，确保您的基础设施在攻击期间能够自我维持。

l 检测：部署解决方案以监控网络并识别安全相关事件。

l 回应：发起应对措施，以应对对业务安全的潜在或积极威胁。

l 恢复：创建并部署必要的程序，以在发生中断时恢复系统功能和网络服务。

云安全框架架构由云安全解决方案中存在的平台、工具、软件、基础设施和最佳实践的安全后期者、设计和结构定义，描述了为保护云平台中的数据、工作负载和系统而设计的所有硬件和技术。

关于如何配置安全云开发、部署和操作的书面和可视化参考，云安全架构提供了一个定义组织应如何处理以下事项的模型：

l 识别用户并管理访问。

l 确定适当的安全控制措施，以跨网络、数据和应用程序访问保护应用程序和数据。

l 获得对安全、法规遵从性和威胁态势的可见性和洞察力。

l 将基于安全的原则融入到云服务的开发和运营中。

l 维护严格的安全政策和管理，以满足合规标准。

l 建立物理基础设施安全预防措施。

对于使用多个云平台（如Google Workspace、Slack和AWS）或迁移遗留存储系统的组织来说，云安全架构简化并直观地概述了伴随而来的安全配置和元素，在某些情况下，还包括多种不同的安全配置和元素。

https://www.uptycs.com/blog/what-is-a-cloud-security-framework

CM

Consent Manager

许可管理

从 2018 年 5 月 25 日开始，欧盟的《一般数据保护条例》(GDPR) 要求全球所有组织必须征得每个欧盟公民的同意后方可处理其个人数据。通过 Consent Management，可以根据 GDPR 或其他任何数据保护法规的要求来捕获和管理同意。可以管理每个人对存储在 InfoSphere® MDM 内部或外部的活动或非活动记录的同意。

Consent Management 功能可以配置为管理其概要文件信息位于 InfoSphere MDM 或外部源中的数据主体的同意数据。可以管理存储在以下源中的概要文件的同意：

l 物理 MDM - 同意项与在 InfoSphere MDM 中管理的物理 MDM 参与方相关联。用户可以使用基于属性的搜索来查找物理 MDM 概要文件。

l 虚拟 MDM - 同意项与 InfoSphere MDM 中的虚拟 MDM 记录（任何成员类型）相关联。在 MDM Consent 用户界面中，还会为包含关联记录的实体显示同意项。用户可以使用基于属性的搜索来查找虚拟 MDM 概要文件，也可以使用记录标识来查找这些概要文件。

l 外部源 - 同意项与外部标识相关联。由于 InfoSphere MDM 无权访问存储在外部系统中的概要文件信息，因此 MDM Consent 用户界面只能显示外部概要文件的同意项。与此类似，MDM Consent 用户界面仅支持基于外部标识进行查找，因此用户必须知道外部系统中数据主体的标识。

根据组织的需求和许可证，可以将 MDM Consent 用户界面配置为使用上述一种、两种或全部三种数据源类型。

Security Continuous Monitoring

安全持续监控

持续安全监控（CSM）是一种威胁情报方法，可自动监控信息安全控制、漏洞和其他网络威胁，以支持组织风险管理决策。

组织需要实时了解其基础架构和网络中的漏洞、安全配置错误和漏洞的指标。

防火墙、防病毒软件和渗透测试等传统安全控制已不足以抵御复杂的攻击者。即使您的基础设施相对稳定（这不太可能），攻击者也会发现新的零日漏洞，研究人员每天都会分享常见漏洞和风险（CVE）的漏洞。

根据Verizon的数据，即使您的信息安全政策是世界级的，也有81%的数据泄露通过使用弱密码或被盗密码来规避传统的安全控制。这就是为什么公司越来越多地转向持续监控解决方案，这些解决方案提供安全信息，但也可以在开放、深度和黑暗的网络（如UpGuard BreachSight）上发现泄露的凭证和暴露的数据。

为什么持续安全监控很重要？

持续安全监控非常重要，因为它使组织能够持续评估其总体安全体系结构，以确定其是否每天都遵守内部信息安全策略，以及何时发生变化。

在当今环境中，许多组织（如果不是所有组织）都依赖技术来执行关键任务功能，因此管理这项技术并确保其机密性、完整性和可用性的能力也是关键任务。

四个趋势增加了持续安全监控的重要性：

l 敏感数据的日益数字化：世界各地的组织越来越多地将其存储的敏感数据数字化，无论是客户个人身份信息（PII）还是员工保护的健康信息（PHI）。

l 一般数据保护法：世界各国政府都遵循了欧盟的GDPR，并引入了自己的一般数据保护法律，如巴西的LGPD、纽约的Shield法案或加利福尼亚的CCPA。

l 数据泄露通知法：除了这些一般数据保护法外，政府越来越多地要求报告数据泄露，这大大增加了安全事件的声誉影响。

l 外包、采购和分包：组织经常希望将其业务的非关键部分外包给第三方供应商，而第三方又可能将其外包给自己的供应商，从而大大增加了您的攻击面以及第三方和第四方风险。

https://www.upguard.com/blog/continuous-security-monitoring

Configuration Management

配置管理

配置管理是一种应用于产品生命周期的管理规程，旨在提供对性能、功能和物理特性变化的可见性和控制。此外，根据SAE电子工业联盟（EIA）649B，不当的配置管理可能导致发布不正确、无效和/或不安全的产品。因此，为了保护和确保NASA产品的完整性，NASA已批准实施SAE/EIA-649-2《NASA企业配置管理要求》中定义的五项配置管理功能和相关37项基本原则。

这些标准共同解决了要进行哪些配置管理活动、在产品生命周期中何时进行以及需要哪些规划和资源。配置管理是一项关键的系统工程实践，当正确实施时，通过控制对基线配置的更改并跟踪这些更改，可以提供产品真实表示的可见性，并实现产品的完整性。配置管理确保产品的配置是已知的，并反映在产品信息中，任何产品更改都是有益的，不会产生不利后果，并且对更改进行管理。

CM通过确保正确的产品配置来降低技术风险，区分产品版本，确保产品和产品信息的一致性，并避免利益相关者不满和投诉的尴尬成本。一般而言，NASA采用SAE/EIA 649B《构型管理标准》中定义的构型管理原则，以及NASA构型管理专业人员定义并经NASA管理层批准的实施。

当应用于复杂技术项目的设计、制造/组装、系统/子系统测试、集成以及运营和维持活动时，构型管理代表企业结构的“主干”。它灌输纪律，并保持产品属性和文档的一致性。CM使技术工作中的所有利益相关者能够在产品生命周期的任何给定时间使用相同的数据进行开发活动和决策。CM原则用于保持文件与批准产品一致，并确保产品符合批准设计的功能和物理要求。

https://www.nasa.gov/seh/6-5-configuration-management

CMA

Competition and Markets Authority (U.K.)

竞争与市场管理局（英国）

竞争与市场管理局（CMA）是英国的竞争监管机构。它是英国的一个非部长级政府部门，负责加强商业竞争，预防和减少反竞争活动。

https://www.gov.uk/government/organisations/competition-and-markets-authority/about

CMC

(Cisco) Chassis Management Controller

（Cisco）机箱管理控制器

Chassis Management Controller（CMC）位于位于5100系列刀片机箱内部的2100系列结构扩展模块中。CMC、UCS管理器和刀片BMC协同工作，管理UCS机箱中最多八个处理刀片的组。从总体UCS架构的角度来看，CMC本身不是一个独立的管理点；相反，CMC按照UCS管理器的指示行事。

CMC执行各种任务，包括：

a） 机箱发现。

b） 机箱电源和热管理。

c） 热插拔功能支持风扇、电源、刀片等。

d） 机箱、风扇和光纤扩展器LED控制。

e） 开机自检和在线健康监测。

f） 访问机箱SEEPROM以实现读/写功能。

g） 本地群集管理。

CMC功能概述

CMC运行自己的软件，并通过IPMI向UCS管理器报告错误消息和其他信息。UCS机箱通电后，CMC立即开始运行。如果UCS机箱中只有一个结构扩展器模块，则该结构扩展器上的CMC将拥有整个UCS机箱的所有权。如果UCS机箱中有两个结构扩展器，则所有权以先到先得为基础；但是，如果是平局，则所有权属于插槽1中的结构扩展器。请注意，当6100系列结构扩展器和相应的结构扩展器之间的链路变为活动时，所有权即成立。需要这种轮询，以便确定哪个CMC向UCS管理器计算热状态和功率状态，并可供客户端用于专用硬件控制。

当机箱物理存在并已连接，但您希望将其从配置中临时删除时，将执行机箱停用。由于预计退役机箱将最终重新投入使用，因此Cisco UCS Manager将保留部分机箱信息以供将来使用。从系统中物理卸下机箱时，将执行卸下操作。机箱的物理删除完成后，可以在Cisco UCS Manager中删除该机箱的配置。

CMC在引导阶段控制结构扩展器和机箱运行状况指示灯的行为。结构扩展器健康指示灯在正常操作期间显示绿色；在引导过程中显示琥珀色，并在出现错误时闪烁琥珀色。如果没有错误，机箱故障指示灯熄灭；对于次要错误显示琥珀色，对于主要错误显示闪烁琥珀色。CMC运行内部算法以将机箱中的热量保持在适当的水平。它还运行控制电源的功率控制算法，以根据策略提高功率效率。

https://community.cisco.com/t5/data-center-and-cloud-knowledge-base/what-is-chassis-management-controller-in-ucs/ta-p/3116072

CMDB

Configuration Management Database

配置管理数据库

配置管理数据库 （CMDB） 是充当数据仓库的中央存储库，用于存储有关 IT 环境的信息，并且是专门用于配置管理的数据库。

CMDB 提供了一个用于存储与 IT 资产和配置项 （CI） 关联的数据的常用位置。CMDB的基本构建块是CI。CI 表示处于配置管理之下的项，例如路由器、服务器、应用程序、虚拟机、容器，甚至是逻辑构造（如产品组合）。数据导入工具通常用于识别环境中的 CI，并将其传输到 CMDB。一些IT团队也可能使用手动工具来保持其CMDB更新，但这不是一个好的做法，因为它无法扩展并且会引入错误 - 重复和不必要的CI。一旦收集并统一了所有信息，就必须对其进行准确性和一致性的审查，并应查明和解决任何数据差距。

为了使CMDB以最佳状态运行，它必须保持高度准确，需要不断更新和理想的自动更新。

从本质上讲，CMDB最重要的好处之一是，它获取整个企业运行IT所需的所有孤立数据，并将其全部集中在一个地方，使IT运营部门能够了解企业中的所有IT资源。它可以防止数据分散在多个不同的位置。CMDB以多种方式帮助IT团队，这只是其中的几种方式：它有助于消除中断，显着减少修复中断所需的时间，保持合规性，避免安全性和审计罚款，在做出决策时了解重要的服务环境，这有利于风险评估和报告，并跟踪软件许可证和云成本。

l CMDB 改进了核心 ITSM 实践，包括事件、变更和问题管理。

l CMDB可以通过预测哪些系统和用户可能受到的影响最大来改进变更管理中的风险评估。它还通过帮助团队管理审计跟踪和控制来帮助合规性。

l CMDB 通过识别事件的更改和根本原因并朝着更快的解决方案迈进来影响事件管理。事件记录与其 CI 相关联，这有助于团队结合受事件影响的资产跟踪一段时间内的事件。

l CMDB使问题管理受益匪浅，因为它有助于根本原因分析，从而帮助团队更快地找到问题的根源。它还通过协助团队识别需要升级的资产来支持主动管理，从而降低服务成本和停机时间

https://cloud.tencent.com/developer/article/1984112

CMG

(Nokia) Cloud Mobile Gateway

（诺基亚）云移动网关

诺基亚云移动网关在分组核心网络中执行网关和相关功能。它旨在应对增强型移动宽带的增长，并提供新的uRLLC连接、物联网（IoT）、机器类通信（MTC）和5G服务。

借助云移动网关，您可以获得所需的灵活性、规模、容量和性能，通过许可、非许可或共享无线和固定访问支持更多用户、设备和服务。

云原生设计

云原生设计为解决方案带来了简单性、速度和敏捷性。它提供了精益运营，显著降低了处理能力需求，并提供了基于 Kubernetes 的新自动化水平。

云原生软件设计支持控制/用户平面分离（CUPS）架构、软件分解和状态高效处理。还提供了一个通用数据层，可提高网络功能虚拟化（NFV）的资源利用率并降低总拥有成本（TCO）。

云移动网关支持多种移动网关功能：

l 服务网关 （SGW）

l 分组数据网络网关/网关GPRS支持节点（PGW/GGSN）

l 用于 3GPP2 蜂窝接入的家庭代理 （HA）

l 用户平面转发功能 （UPF）

l 网络功能存储库功能 （NRF）

l 网络切片选择功能

l 非3GPP互通功能（N3IWF）

l 演进分组数据网关 （ePDG），用于非 3GPP （Wi-Fi） 不受信任的访问

l 用于非 3GPP （Wi-Fi） 可信访问的可信无线接入网关 （TWAG）

l 订户服务网关 （SSG）：

l 增强的流量检测功能 （TDF） 和应用感知，实现增值、高接触服务

l 混合接入网关 （HAG），用于跨无线和固定接入的融合服务交付

l 部署灵活性：任何云

云移动网关还可以在预先集成和模块化的基于服务器的设备或云原生虚拟化网络功能（CNF）上实施。它还可以与我们行业领先的PNF移动网关结合使用，为高速服务提供高数据包处理和用户平面转发性能。

所有云移动网关部署选项与诺基亚数据包核心功能共享一个通用的网络管理系统。这使您能够调整部署规模，以满足不同的服务要求和经济性。

云移动网关通过支持非独立和独立部署选项以及基于服务的架构，实现向 5G 核心的演进。它允许您通过专用的核心和网络切片功能将网络资源分配给特定的服务类型或企业。

https://www.nokia.com/networks/core-networks/cloud-mobile-gateway/

CMIA

Cyber Mission Impact Analysis

网络任务影响分析

Musman和Temin实施了网络任务影响分析（CMIA）方法，以模拟在任务环境中对系统应用潜在安全和弹性方法，并对系统进行分析。

CMM

(Nokia) Cloud Mobility Manager

（诺基亚）云移动管理器

诺基亚云移动性管理器是诺基亚云数据包核心网络解决方案的关键控制平面元素，旨在提供极高的性能、可扩展性和灵活性。

诺基亚云数据包核心解决方案的关键控制平面元素，旨在支持移动和企业服务的增长、物联网的可扩展性和各种服务需求，以及向5G的演进。

什么是云移动管理器

诺基亚云移动性管理器（CMM）是3GPP分组网络中的控制平面功能，在5G网络中提供接入和移动性管理功能（AMF），在4G网络中提供移动性管理实体（MME）功能作为虚拟化演进分组核心，在2G/3G网络中提供服务GRPS支持节点（SGSN）功能。

Cloud Mobility Manager的优势

CMM为小型企业部署到大型消费者网络提供了性能、可扩展性、灵活性和高可用性，并满足消费者移动（2G/3G/4G/5G）、固定和物联网/机器类型通信（IoT/MTC）服务不断增长的网络信令负载。

云原生设计

云原生设计为我们的解决方案带来了简单、快速和灵活性。它提供了精益操作，显著减少了处理能力需求，并基于Kubernetes提供了新的自动化水平。CMM使用云原生和经现场验证的应用软件，以确保功能和服务与基于物理、虚拟、容器和设备的产品的一致性：

l 作为虚拟网络功能（VNF）部署在使用OpenStack KVM或VMware vCloud操作环境的标准x86计算硬件上

l 作为云原生网络功能（CNF）部署在使用RedHat OpenShift的Kubernetes的Linux开源容器上，或作为虚拟机（VM）环境中的容器部署

l 作为一种设备部署，为尚未部署任何虚拟化环境的客户提供了替代方案。

https://www.nokia.com/networks/core-networks/cloud-mobility-manager/

CMS

Centers for Medicare and Medicaid Services

医疗保险和医疗补助服务中心

医疗保险和医疗补助服务中心（CMS）是卫生与公众服务部（HHS）的一部分。

医疗保险和医疗补助

1965年7月30日，林登·B·约翰逊总统签署了导致联邦医疗保险和医疗补助的法案，使之成为法律。最初的医疗保险计划包括A部分（医院保险）和B部分（医疗保险）。今天，这两部分被称为“原始医疗保险”。多年来，国会对医疗保险进行了修改：

例如，1972年，联邦医疗保险扩大到包括残疾人、需要透析或肾移植的终末期肾病（ESRD）患者以及选择联邦医疗保险的65岁或65岁以上人群。

提供更多福利，如处方药保险。

起初，医疗补助为获得现金援助的人提供医疗保险。今天，涵盖了一个更大的群体：

l 低收入家庭

l 孕妇

l 所有年龄段的残疾人

l 需要长期护理的人

各州可以调整他们的医疗补助计划，以更好地为本州人民服务，因此所提供的服务种类繁多。

医疗保险D部分处方药福利

2003年《联邦医疗保险处方药改进和现代化法案》（MMA）对该计划进行了38年来最大的改革。根据MMA，由Medicare批准的私人健康计划被称为Medicare Advantage Plan。这些计划有时被称为“C部分”或“MA计划”

MMA还扩大了医疗保险，包括一项可选的处方药福利“D部分”，该福利于2006年生效。

儿童健康保险计划

儿童健康保险计划（CHIP）成立于1997年，旨在为近1100万（即七分之一）未投保的美国儿童提供健康保险和预防性护理。这些孩子中的许多来自没有保险的工薪家庭，他们的收入太高，无法享受医疗补助。所有50个州、哥伦比亚特区和领地都有CHIP计划。

《平价医疗法案》

2010年《平价医疗法案》（ACA）使健康保险市场成为消费者可以申请和注册私人健康保险计划的单一场所。它还为我们设计和测试如何支付和提供医疗保健提供了新的方式。联邦医疗保险和医疗补助也得到了更好的协调，以确保拥有联邦医疗保险的人能够获得优质服务。

https://www.cms.gov/about-cms/agency-information/history

Cryptographic Message Syntax

加密消息语法

加密消息语法用于对任意消息进行数字签名、摘要、验证或加密。

Cryptographic Message Syntax描述了数据保护的封装语法。它支持数字签名、消息验证码和加密。该语法允许多个封装，因此一个封装可以嵌套在另一个封装内。同样，一方可以对一些先前封装的数据进行数字签名。它还允许与消息内容一起签名任意属性（如签名时间），并提供与签名关联的其他属性（如会签）。

Cryptographic Message Syntax可以支持多种基于证书的密钥管理架构，例如PKIX工作组定义的架构。

加密消息语法值是使用ASN.1生成[X.208-88]，使用BER编码[X.209-88]。值通常表示为八位字节字符串。虽然许多系统能够可靠地传输任意八位字节串，但众所周知，许多电子邮件系统不是。本文件未涉及在这种环境中对八位字节字符串进行编码以实现可靠传输的机制。

www.rfc-editor.org/rfc/rfc2630

CMSL

(HP) Client Management Script Library

（HP）客户端管理脚本库

客户机管理脚本库（CMSL）目前包含许多模块，如下所示。其中一些模块可能具有相互依赖性。

64位PowerShell 5.1及更高版本支持客户端管理脚本库。CMSL支持Windows 10版本1809及更高版本，以及Windows 11。客户端管理解决方案网站的下载部分提供了库安装程序。

以下模块当前可用：

BIOS和设备功能

BIOS和设备模块，允许查询客户端属性和操作HP BIOS设置。

SoftPaq功能

SoftPaq管理模块提供用于识别目标系统的SoftPaq以及从互联网下载SoftPaq的功能。

SoftPaq存储库功能

SoftPaq存储库模块扩展SoftPaq管理模块，为一组平台提供SoftPaq储存库，这些平台可以通过单个操作保持同步。

固件功能

固件模块提供对低级固件功能的访问。各平台或各代平台的功能可能有所不同。有关先决条件信息，请查阅各个职能部门的文档。

零售功能

零售模块提供与HP零售系统（如HP Engage Go）交互的功能。

同意功能

许可模块提供了管理HP Analytics许可的功能。

该模块具有IT管理员代表用户从企业环境中的远程管理系统集中管理HP Telemetry隐私设置的功能。

https://developers.hp.com/hp-client-management/doc/client-management-script-library

CMU

Carnegie Mellon University

卡梅隆大学

卡耐基梅隆大学是一所全球性的私立研究型大学，它是世界上最著名的教育机构之一，并设立了自己的课程。从这里开始旅程。

在过去10年中，400多家与债务工具中央结算系统（CMU）相关的创业公司筹集了超过70亿美元的后续资金。这些投资数字特别高，因为匹兹堡不断增长的自动驾驶汽车集群规模庞大，包括优步（Uber）、极光（Aurora）、Waymo和Motional，所有这些都是因为它们与CMU有着密切的联系。

凭借尖端脑科学、突破性表现、创新的创业公司、无人驾驶汽车、大数据、远大抱负、诺贝尔奖和图灵奖、动手学习以及大量机器人，CMU没有想象未来，而是创造了未来。

https://www.cmu.edu/about/index.html

CMVP

Cryptographic Module Validation Program

加密模块验证程序

加密模块验证程序（CMVP）验证加密模块是否符合联邦信息处理标准（FIPS）出版物140-2、加密模块安全要求和其他基于加密的标准。CMVP是NIST和加拿大政府通信安全机构（CSE）之间的共同努力。为保护敏感信息（美国）或指定信息（加拿大），两国联邦机构均接受经验证符合FIPS 140-2的产品。CMVP的目标是促进使用经验证的加密模块，并为联邦机构提供安全度量，以用于采购包含经验证的密码模块的设备。

https://www.nist.gov/publications/cryptographic-module-validation-program-cmvp

CN

Common Name

通用名称

通用名称（CN）也称为完全限定域名（FQDN），是可分辨名称（DN）中的特征值。通常，它由主机域名组成，看起来像“www.digicert.com”或“digicert.com”。“通用名称”字段经常被误解，填写不正确。

CNA

CVE Naming

CVE命名

CNA的全称是“CVE Numbering Authority”中文可以理解为“CVE编号授权机构”顾名思义就是这些CNA有权限分配和管理CVE编号，截止目前为止，共有85个CNA，覆盖14个国家。

www.freebuf.com/news/168362.html

CNC

Computer Numerical Control

计算机数控

计算机数字控制，通常缩写为CNC，是基于工具编程功能的机床操作的概念。特定的编码指令被发送到机床控制系统中所谓的内部微处理器。这个微处理器基本上起到一个可以接收信息的微型计算机的作用。这个内部处理器接受它接收到的信息指令，解释它们是如何实现的，然后在物理上为机器执行所需的功能。CNC的最大好处是，这些预先编码的功能可以比人们用机床手动执行的功能更具体，执行得更精确。

CNCF

Cloud Native Computing Foundation

云本地计算基础

云原生计算基金会（CNCF）托管全球技术基础设施的关键组件。

我们汇集了世界顶尖的开发人员、最终用户和供应商，举办了规模最大的开源开发人员会议。CNCF是非营利性Linux基金会的一部分。

云本机定义

云原生技术使组织能够在现代动态环境（如公共云、私有云和混合云）中构建和运行可扩展应用程序。容器、服务网格、微服务、不可变基础设施和声明性API是这种方法的例证。

这些技术使松散耦合的系统具有弹性、可管理性和可观察性。与强大的自动化相结合，它们允许工程师以最少的工作量频繁和可预测地进行高影响的更改。

云原生计算基金会试图通过培育和维持开源、供应商中立项目的生态系统来推动这一范式的采用。我们将最先进的模式民主化，使每个人都能获得这些创新。

https://www.cncf.io/about/who-we-are/

CNF

Container-Based Network Function

基于容器的网络功能

CNF是VM的演变。容器或云原生网络功能（CNF）是一个独立的轻量级节点，包括它们需要运行的所有内容，例如代码、库、系统工具和框架。它们能够更高效地共享和接收来自主机的数据，这与虚拟机和虚拟机编排中的一些复杂功能相比是有利的。它们采用微服务架构构建，具有动态性、灵活性和易扩展性，是向5G过渡的首选解决方案。

CNF使用微服务架构构建，这为运营商运行云网络提供了许多好处。他们的微服务架构意味着每个CNF都由小型独立进程或元素组成，所有这些进程或元素都相互通信，并支持系统构建的模块化方法。将CNF视为新软件的1.0版本。它很干净，效果很好。随着时间的推移，会有更新和添加，使其更加复杂和繁琐。微服务架构意味着CNF是内置部件，几乎是一个类似乐高的结构，根据需要移除和添加部件，保持其轻巧和敏捷。

1.高效扩展

CNF支持部署自动化网络功能，并以高粒度进行控制，这意味着可以以更高的精度和效率启动服务。随着服务变得更加动态和按需提供，这种扩展将非常关键。

CNF灵活多样，可以随时随地响应网络中的变化，而不必预测趋势并对其作出反应。得益于轻量级的特性，与启动VM所需的时间相比，它们可以在几秒钟内实例化，这意味着运营商可以随时响应变化，这在不断变化的5G环境中至关重要。

2.易于部署

开发持续集成/持续部署（CI/CD）。无论什么应用程序，使用CNF，部署过程都大大简化。这意味着容器的任何新开发都可以在几秒钟内集成和部署，从而实现对网络的快速改进和更新。转向基于云的软件开发将允许运营商快速创新和推出新服务。

3.顺畅的协调和互操作性

尽管CNF还处于起步阶段，但人们认为其管理和配置要求较少，这意味着它们可以很容易地并入公共云以及运营商的私有云环境。已经开发了几种编排解决方案，其中谷歌的Kubernetes（K8）可能是最先进的。Kubernetes控制基于容器的功能，从而实现网络自动化。运营商将面临的挑战是，弄清楚Kubernetes和容器如何融入现有网络，并提供所需的端到端可见性。然而，一旦他们克服了这些挑战，他们将拥有一个动态的软件控制网络，能够提供高级5G服务所需的灵活性。

4.提供全云原生网络

独立的5G核心网络将使用微服务架构和容器化功能构建。这意味着网络能够按需增长，以应对复杂的新用例以及网络容量需求的增长。Rakuten首席技术官Tariq Amin在最近的一篇文章中解释了这一转变，“我们将采用5G核心，一旦构建了所有集装箱化的功能和组件，（我们）将崩溃所有4G功能，我们预计在14到16个月内，我们将在乐天通信平台上拥有一个100%纯云原生功能的单一融合核心。”这个例子显示了CNF将如何在从4G到5G的平稳过渡中发挥关键作用网络，使公司能够在快速节省成本的同时进行创新。

CNF的潜在价值在于其在5G中提供灵活性、可扩展性和自动化的能力。这些是下一代服务保证解决方案的关键价值。

CNSS

Committee on National Security Systems

国家安全系统委员会

“国家安全系统委员会（CNSS）为讨论政策问题提供了一个论坛，并负责为美国制定国家级信息保障政策、指令、指示、操作程序、指南和咨询意见。政府（USG）部门和机构通过CNSS发行系统负责国家安全系统（NSS）的安全。CNSS旨在通过以下方式确保NSS的安全，防止技术利用：对威胁和脆弱性进行可靠和持续的评估，并实施有效的对策；美国政府内部的技术基础，以实现这一安全；以及私营部门的支持，以加强该技术基础，确保信息系统安全产品可用于保障NSS安全。CNSS由一个委员会、一个小组委员会和多个工作组组成。从成员/观察员部门/机构招募的拥护者、主席和主题专家作为委员会和小组委员会的代表以及专注于制定相关IA指导文件的工作组的专家参加。工作组通常创建IA政策、指令和指示（称为“指导文件”），以供CNSS审查、批准和颁布。当今不断变化和复杂的网络环境所固有的日益增长的网络威胁，使得CNSS成员内部以及行业、学术界和我们的外国合作伙伴之间需要加强和持续的协同作用，这是IA指南制定的关键部分。这项联合努力包括CNSS促进联邦NSS、联邦非NSS和非联邦系统所有者之间的网络安全合作。CNSS是IA指导合作努力的基石。”

CNSSI

Committee on National Security Systems Instruction

国家安全系统委员会指令

国家安全系统指令委员会（CNSSI）为特定的国家安全系统问题提供指导并制定技术标准。这些说明包括适用于网络安全的技术或实施指南、限制、原则和程序。所有指示均对美国政府所有部门和机构具有约束力。

CNSSP

Committee on National Security SystemsPolicy

国家安全系统政策委员会

国家安全系统委员会（CNSS）第22号政策（CNSSP）为建立一个综合的、全组织范围的信息保证（IA）风险管理计划提供了指导和责任，以实现和维持拥有、运营或维护国家安全系统（NSS）的组织可接受的IA风险水平。实施IA风险管理计划为决策者提供了一个框架，以评估IA风险以及其他关键风险并确定其优先级，从而确定对这些风险的适当应对措施。此外，组织必须有信心，他们共享的信息将受到接收组织的充分保护。遵守这一政策使组织内的领导者能够做出知情、基于风险的决策，并促进组织间的信任，从而建立共享信息所需的信心。

iassecurity.net/Resources/CNSSP-22.RMF%20for%20NSS.pdf

CO

Communications

沟通

CSF控制子类

COA

Change of Authorization

授权变更

CoA消息用于在活动会话期间更改会话授权属性（如数据过滤器和会话超时设置）。要更改已验证会话的会话超时，CoA请求消息需要使用IEEE会话超时属性。

断开消息（DM）以刷新现有会话。对于基于MAC的身份验证，所有其他会话都保持不变，端口保持正常。对于基于端口的身份验证，仅删除一个会话。

https://docs.fortinet.com/document/fortiswitch/7.2.2/administration-guide/110309/radius-change-of-authorization-coa

COBIT

Control Objectives for Information and Related Technology

信息及相关技术控制目标

1.COBIT 5：前身为信息和相关技术控制目标（COBIT）；现在只在第五次迭代中用作首字母缩写。一个完整的、国际公认的管理和管理企业信息和技术（IT）的框架，支持企业高管和管理层定义和实现业务目标及相关IT目标。COBIT描述了支持企业开发、实施、持续改进和监控良好IT相关治理和管理实践的五个原则和七个使能因素范围，注：早期版本的COBIT侧重于与IT流程、IT流程管理和控制以及IT治理方面相关的控制目标。COBIT框架的采用和使用得到了越来越多的支持产品系列的指导。

2.COBIT 4.1及更早版本：正式名称为信息和相关技术控制目标（COBIT）。一个完整的、国际公认的IT流程框架，通过提供全面的IT治理、管理、控制和保证模型，支持业务和IT高管和管理层定义和实现业务目标及相关IT目标。COBIT描述了IT流程和相关控制目标、管理指南（活动、责任、责任和绩效指标）以及成熟度模型。COBIT支持企业管理层开发、实施、持续改进和监控良好的IT相关实践。范围说明：COBIT框架的采用和使用得到了高管和管理层的指导（第二版IT治理董事会简报）、IT治理实施者（COBIT快速启动，第二版；IT治理实施指南：使用COBIT和Val IT，第二版本；以及COBIT控制实践：实现成功IT治理控制目标的指导）、，以及IT保证和审计专业人员（使用COBIT的IT保证指南）。指南还支持其适用于某些立法和监管要求（例如，萨班斯-奥克斯利法案的IT控制目标、巴塞尔协议II的IT控制目的）及其与信息安全的相关性（COBIT安全基线）。COBIT被映射到其他框架和标准，以说明IT管理生命周期的完整覆盖，并支持其在使用多种IT相关框架和标准的企业中的使用。

https://www.isaca.org/-/media/files/isacadp/project/isaca/resources/glossary/isaca-glossary-english-chinese-simplified_mis_chi_0615.pdf

COF

Ciphering Offset Number

密码偏移量

COF是96位加密偏移号，是主链路密钥的主BD_ADDR和从BD_ADDR的级联，是其他链路密钥的ACO。

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-121r2.pdf

COI

Community of Interest

利益共同体

利益共同体（COI）缩写和同义词：COI显示源定义：一个协作的用户群体，他们为了追求共同的目标、兴趣、使命或业务流程而交换信息，因此他们必须拥有共享的信息词汇表。

https://csrc.nist.gov/glossary/term/community_of_interest

COMSAT

Communications Satellite

通信卫星

通信卫星，也称为comsat，是一种高带宽中继器，用于远距离两点之间的通信。在贸易联盟入侵纳布期间，他们使用从属卫星来放大无人机控制船发出的信号。

starwars.fandom.com/wiki/Communications_satellite

COMSEC

Communications Security

通信安全

信息保障的一个组成部分，负责采取措施和控制措施，拒绝未经授权的人从通信中获取信息，并确保此类通信的真实性。通信安全包括通信安全材料的密码安全、传输安全、防泄漏和物理安全。

https://csrc.nist.gov/glossary/term/communications_security

CONOPS

Concept of Operations

作战概念

CONOPS是指挥官对一项行动或一系列行动的假设或意图的口头或图形陈述。CONOPS经常体现在战役计划和作战计划中，特别是当这些计划涵盖同时和连续作战时。CONOPS提供了作战的总体情况，旨在进一步明确目标。

如JCIDS手册所述，CONOPS描述了联合部队指挥官如何在近期（现在到未来七年）组织和使用部队，以解决当前或新出现的军事问题。这些CONOPS提供了检查和验证当前能力所需的作战环境。此外，赞助商可使用CONOPS检查解决当前或新出现问题所需的新能力和/或拟议能力。

当赞助商使用CONOPS作为基于能力的评估（CBA）的基础时，必须首先得到联合需求监督委员会（JROC）、作战司令部或赞助国防部部门的批准。未通过JROC配备人员以供批准的CONOPS必须作为初始能力文件（ICD）或联合DOTmLPF-P变更请求（DCR）的附录，以便审查人员了解用于识别和评估已识别能力的背景。CONOPS没有严格的格式，但它至少应涵盖以下领域：正在解决的问题、任务、指挥官的意图、作战概述、要执行/实现的功能或效果，以及受影响组织的作用和责任。

https://www.dau.edu/acquipedia/pages/ArticleContent.aspx?itemid=459

CONUS

Continental United States

美国本土

“Contiguous”是指共享一个共同边界；“continental，大陆”是指属于大陆。从最严格的意义上讲，“contiguous United States，毗连的美国”是指北美的48个州（包括哥伦比亚特区），“continental United States，美国大陆”是指49个州（包含阿拉斯加和哥伦比亚特区）。然而，这些术语经常被混淆和使用不一致。

如果使用CONUS，请遵循首字母缩略词规则，但请在首次提及时指定短语所涵盖的州。

https://www.nrel.gov/comm-standards/editorial/contiguous-united-states-continental-united-states-and-conus.html

COO

Chief Operating Officer

首席运营官

首席运营官（COO）是负责监督企业日常行政和运营职能的高级管理人员。首席运营官通常直接向首席执行官（CEO）报告，被认为是指挥链中的第二位。

在一些公司，COO被称为其他术语，如“运营执行副总裁”、“首席运营官”或“运营总监”

关键要点

l 首席运营官（COO）是负责监督企业日常行政和运营职能的高级管理人员。

l 首席运营官通常直接向首席执行官（CEO）报告，被认为是指挥链中的第二位。

l 根据首席执行官的偏好，首席运营官通常处理公司内部事务，而首席执行官则充当公司的公众形象，从而处理所有面向外部的沟通。

l 担任首席运营官所需的技能包括较强的分析、管理、沟通和领导能力。

l 通常有七种不同类型的COO最适合不同的情况和不同的公司。

了解首席运营官（COO）

首席运营官主要专注于根据既定的商业模式执行公司的商业计划，而首席执行官则更关注长期目标和更广泛的公司前景。换句话说，首席执行官制定计划，而首席运营官执行计划。

例如，当一家公司的市场份额下降时，首席执行官可能会要求加强质量控制，以巩固其在客户中的声誉。在这种情况下，首席运营官可以通过指示人力资源部雇佣更多的质量控制人员来执行首席执行官的任务。首席运营官还可以启动新产品线的推出，并同样负责生产、研发和营销。

首席运营官（COO）的角色

根据首席执行官的偏好，首席运营官通常处理公司内部事务，而首席执行官则充当公司的公众形象，从而处理所有面向外部的沟通。

在许多情况下，首席运营官被专门挑选来补充现任首席执行官的技能。在创业环境中，首席运营官通常比创始首席执行官有更多的实践经验，后者可能提出了一个优秀的概念，但缺乏启动公司和管理其早期发展阶段的创业诀窍。

因此，首席运营官通常设计运营策略，向员工传达政策，并帮助人力资源（HR）建立核心团队。

https://www.investopedia.com/terms/c/coo.asp

COOP

Continuity of Operations

运营连续性

灾害和突发公共卫生事件可能对医疗人员和设施产生重大影响。需要制定计划和缓解措施，使医疗设施和提供者能够维持其任务、核心基本功能和为已经接受治疗的患者提供的服务，并在空间、人员配置（包括领导）和设备/供应问题上应对患者的潜在激增。目标是确保业务的连续性，促进业务和财务恢复。

运营连续性规划（COOP）是公共和政府实体所青睐的缓解和规划战略术语，旨在创造韧性，并在面临一系列挑战时继续提供服务。业务连续性规划（BCP）是一个类似的术语，更常用于私营部门，其重点是维护服务交付和接收所提供服务的付款。BCP过去常指计算机系统，但现在适用于所有易受攻击的资源。

https://asprtracie.hhs.gov/technical-resources/17/continuity-of-operations-coop-business-continuity-planning/110

COP

Call Oriented Programming

面向调用编程

面向条件编程（COP）是面向协议编程的子域，是函数式编程和命令式编程的混合方法。做得好，它是你的武器库中的一个工具，用于编写安全、可靠的协议。

gavofyork.medium.com/condition-orientated-programming-969f6ba0161a

COPE

Corporate-Owned Personally-Enabled

公司所有个人启用

公司拥有、个人支持（COPE）是一种IT业务战略，通过该战略，组织购买并提供供员工使用和管理的计算资源和设备。COPE允许组织为员工提供计算设备和服务，这也是大多数组织向员工提供手持或便携式设备/小工具的方式。这些设备可以包括但不限于笔记本电脑/笔记本电脑、智能手机、平板电脑和/或软件服务。

COSO

Committee of Sponsoring Organizations of the Treadway Commission

特雷德韦委员会赞助组织委员会

任务

赞助组织委员会（COSO）的任务是通过发展思想领导力来帮助组织提高绩效，从而加强内部控制、风险管理、治理和欺诈威慑。

愿景

COSO的愿景是成为全球公认的内部控制权威和风险管理、治理和欺诈威慑方面的思想领袖。

历史

COSO于1985年成立，目的是赞助国家欺诈财务报告委员会，这是一个独立的私营部门倡议，研究可能导致欺诈财务报告的因果因素。它还为上市公司及其独立审计师、SEC和其他监管机构以及教育机构制定了建议。

全国委员会由五个主要专业协会联合主办总部设在美国：美国会计协会（AAA）、美国注册会计师协会（AICPA）、国际财务执行官协会（FEI）, 内部审计师协会（IIA）和全国会计师协会（现为管理会计师协会[IMA]）。委员会完全独立于各赞助组织，包括来自行业、公共会计、投资公司和纽约证券交易所的代表。

国家委员会的第一任主席是James C.Treadway，Jr.，Paine Webber Incorporated执行副总裁兼总顾问，以及美国证券交易委员会前委员。因此，“Treadway委员会”这一流行名称应运而生。目前，COSO主席是Paul J.Sobel.

COSO的目标是提供处理三个相互关联的主题的思想领导力：企业风险管理（ERM）、内部控制和欺诈威慑。

关于企业风险管理，2004年，COSO发布了企业风险管理-综合框架。该框架在2017年发布的“企业风险管理——与战略和绩效相结合”中进行了更新，强调了在战略制定过程和推动绩效中考虑风险的重要性。从2009年开始，COSO还发表了几篇与ERM相关的思考论文。这些思想论文可以免费下载.

关于内部控制，1992年，COSO发布了《内部控制-综合框架》。该框架于2013年5月修订并重新发布。自2014年12月15日起，1992年框架被取代，不再可用。1996年，COSO发布了衍生品使用的内部控制问题。2006年，COSO发布了《财务报告内部控制-小型上市公司指南》，随后于2009年发布了《内部控制系统监控指南》。自2014年12月15日起，2006年小型上市公司的指南也被取代，不再可用。

最后，在欺诈威慑领域，COSO发表了两项研究报告。1999年发布的第一项研究题为《欺诈性财务报告：1987-1997》。2010年发布了一项名为《欺诈财务报告：1998-2007》的后续研究。

https://www.coso.org/SitePages/About-Us.aspx

CoT

Chain of Trust

信任链

概述

Taskcluster是多功能的、自助式的，它使开发人员能够在不被其他团队阻止的情况下进行自动化更改。在开发人员测试和调试的情况下，这是非常强大和有效的。在发布自动化的情况下，使用任意配置调度任意任务的能力可能会带来安全问题。

信任链是第二个因素，如果范围受到破坏，它不会自动受到破坏。该链允许我们将任务的请求追溯到树。

高级视图

作用域是Taskcluster如何控制对某些功能的访问。这些权限被授予角色，这些角色被授予用户或LDAP组。

作用域及其关联的Taskcluster凭据不是防漏的。此外，由于其性质，考虑到任何安全敏感范围，更多的人将拥有比您想要的更多的受限范围。例如，如果没有信任链，具有发布签名作用域的人将能够安排任何任意任务，以使用发布密钥对任意二进制文件进行签名。

信任链是第二个因素。工作线程上嵌入的ed25519键要么就是你拥有的，要么就是你所拥有的，这取决于你如何查看任务集群工作线程。

每个启用信任的任务集群工作程序链都会生成并签署信任工件链，这些工件可用于验证每个任务及其工件，并将给定的请求追溯到树。

scriptworker节点是验证点。脚本工作者运行与版本相关的任务，如签名和发布版本。他们验证自己的任务定义，以及为任务生成输入的所有上游任务。链中任何断开的链接都会导致任务异常。

结合其他最佳实践（如角色分离），我们可以减少攻击向量，使渗透尝试更加可见，发布分支上的任务例外。

信任链密钥管理

Ed25519密钥管理是信任链的关键部分。每个worker实现（docker worker、泛型worker和scriptworker）都有有效的ed25519密钥。

可以转换为有效的3级ed25519公钥的Base64编码种子记录在scriptworker中。常量，在DEFAULT_CONFIG['ed2559_public_keys']中。这些是允许关键点旋转的元组。

在某一点上，我们可以添加每个cot项目的公钥集。我们还可以将这些公钥的真实性源移到一个单独的位置，以便在scriptworker之外的其他地方启用cot签名验证。

https://scriptworker.readthedocs.io/en/latest/chain_of_trust.html

COTS

Commercial-Off-the-Shelf

商用现货

COTS（商务现货供应）产品是指使用“不再做修理或改进”的模式出售的商务产品，这种产品设计的原则就是安装简便，并且可以在现有系统部件的条件下运行。平均水平的电脑用户所要买的软件几乎都可以是COTS类别的产品：操作系统、Office产品组合、字处理以及电子邮件程序就是其中的几个例子。COTS软件的最大优点就是它的大量生产以及相对的低成本。

在过去,美国国防采办项目必须使用国防部颁布的军用标准与军用规范。在冷战结束和苏联的解体后,美国国防部改革了采办政策,提出了COTS"商用现成产品"策略,这是美国国防采办政策的重要内容之一。设计及采购人员得到明确指示:只要允许,应该尽可能地在军事装备中采用成熟的民用技术和产品。即"为了满足未来的需求,国防部必须更多地使用民用新技术,并且必须促使具有世界级供应商特点的供应商们也接受这一观点。""转而更多地采用性能规范和性能标准以及商业规范和商业标准。