关于信息安全专业词汇的翻译讨论（转 ）

hbxyz

对于英文词汇的翻译，存在大量不同的翻法，其实有很多是有de facto的翻法，另外也应参考国标的相关翻法。
确实是这方面发展太快词汇表没有办法完全统一
首先先讨论专业词汇字典的专业性问题
几乎每本书都有词汇表，其解释也各自不同，因此首先要确定专业词汇的一个共同的字典和语言解释。
顺序是国际标准（ISO/IEC）-〉RFC-〉De facto标准-〉其他
-ISO/IEC的专业词汇：参考ISO/IEC的JTC1 SC27（信息技术 安全技术子工作组，信息安全的国际标准绝大多数就是这个工作组写的）的“SC 27 Standing Document 6 (SD 6), Glossary of IT Security Terminology”一文的标准IT安全专业词汇词汇表。在这个总表下，然后可以再查找相关具体标准中（15408、15443等）的相关词汇定义和说明。
-RFC 2828：Internet Security Glossary，“Internet安全词汇表”，这个词汇表特别对考什么CISSP之类很有用，例如在密码技术中的EES托管加密标准、KIPJACK等等都有解释。
-De facto的标准词汇表。其中最权威的应该是美国CNSS（国家安全系统委员会，原NSTISSC）的NSTISSI No.4009：国家信息系统安全（INFOSEC）词汇表。
以上都是英文专业词汇解释，这几本词汇表都是比较权威和事实标准的，其他解释可能会不一致，但大家都公认的就有了统一的词汇表，就有统一的语言来谈，这样更具实践性。

上面谈的是英文的专业词汇表。至于中文，事实上现在对信息安全方面并没有什么特别权威的统一说法，因此，主要参考国标的翻译为主。
GB/T 19000-2000质量管理体系
GB/T 9387.2、GB/T 18336
这几个标准就目前的中文翻译而言，应该是最有说服力和权威性的。

下面再具体讨论一些相关容易引起混淆的中英文翻译和说明
C&A-certification and accreditation
这个词组应翻译为认证和认可。技术上的解释参考上面所提到的词汇表就可以了，我从另一个方面来解释这个词汇翻译的含义。认证和认可，特别在信息系统中出现，其含义来源可以参考美国的DITSCAP的C&A。具体实践上两者的区别在于，certification是一种第三方的公正行为，具体到中国而言，就是由认证认监委批准的认证机构根据相应的标准和流程发放的正式认证证书这一行为和过程（例如，很多家都可以进行ISO 9000的咨询，但只有批准的认证机构才能发放证书）。认可是一种行政管理和组织机构自身管理的行为，除了强制认证外，这是组织机构自身及上级主管以及行政主管机构对认证证书的批准和允许，就是说认不认这些证书或者批准这些证书在本单位和行业的有效性，例如在招投标等过程中，现在要求企业需要有9000质量证书以及环保的14001证书作为资格，这就是说企业认可这些证书在本单位及招标活动的有效性。从CISA来看，就是说CISA是一种由ISACA第三方举行的认证行为，企业自己是否需要CISA作为岗位要求等就是一种认可行为（他也可以不认可这个证书或是认可其他证书）。

I&A-Identification and Authentication
翻译为标识和鉴别。authentication在GB/T 9387.2:1989中3.3.7词汇中翻译为鉴别。这个翻译我觉得比较权威和确切。
Identification：就是声明 who you are，
Authentication：就是证明who you are.
至于在其他语境下authentication可以翻译成认证，例如RADIUS的3A中以及双因素认证等等。但作为基本安全机制，I&A还是翻译成标识和鉴别比较妥当。

V&V-Verification and Validation
翻译为验证和确认。Verification和Validation在GB/T 19000中翻译为验证和确认。这种翻译我觉得也是比较权威和确切。
这两个单词相信大家在看英文资料时时常碰到，但是其翻译及其含义可能一直都存在一些混淆。建议去看一下系统工程中的V模型，相信大家对这两个词的区别就会有更多的理解

accountability
翻译为可确认性。在GB/T 9387.2中翻译为可确认性，即这样一种性质, 它确保一个实体的作用可以被独一无二地跟踪到该实体。有人翻译成可记帐性、可追溯性，这些翻译其实都还是理解了这个词的含义，但我觉得可确认性这个翻译还是比较准确，另外这也是国标，大家统一就好。

其他还有大量的翻译中的问题和混淆。这次单词的理解其实不仅仅只是表面的翻译，理解它的含义有时才能体会作者的精妙之处。
IA-Information Assurance
翻译成信息安全保障。
Assurance在GB/T 18336（ISO/IEC 15408）中翻译为保证，但现在的发展其概念已经成为保障。
另外，信息安全保障这个中文说法已经成为政策层面的说法
相信大家在做项目中，特别是大型项目、政府行业中现在应该能够体会到信息安全保障这个词的热度了。

泪远

谢谢楼主