版权归原作者所有,如有侵权,请联系我们

[科普中国]-攻击表面

科学百科
原创
科学百科为用户提供权威科普内容,打造知识科普阵地
收藏

攻击表面(英语:attack surface),也称攻击面攻击层面,它是指软件环境中可以被未授权用户(攻击者)输入或提取数据而受到攻击的点位(攻击矢量)。

攻击矢量例子攻击矢量的示例包括:用户输入字段、协议、接口和服务等。1

减少表面减少攻击表面的基本策略是减少运行中的软件总量,减少非信任用户可使用的入口点,以及消除用户很少使用的服务。改进信息安全的方法之一就是减少系统与软件的攻击表面。因为关闭不必要的功能,可以避免它们带来的安全风险。减少未授权操作者可调用的代码有助避免安全事故。虽然减少攻击表面有助于防止安全事故,但它不能减少一旦攻击者发现漏洞后可能造成的损害程度。1

接口接口(英语:interface),台湾译为介面,中介之面的意思;大陆译作界面,也译作接口,但“port”大陆也是译作接口。接口泛指实体把自己提供给外界的一种抽象化物(可以为另一实体),用以由内部操作分离出外部沟通方法,使其能被修改内部而不影响外界其他实体与其交互的方式,就如面向对象编程提供的多重抽象化。接口可能也提供某种意义上的在讲不同语言的实体之间的翻译,诸如人类与电脑之间。因为接口是一种间接手段,所以相比起直接沟通,会引致些额外负担。

人类与电脑等信息机器或人类与程序之间的接口称为用户界面。电脑等信息机器硬件组件间的接口叫硬件接口。电脑等信息机器软件组件间的接口叫软件接口。1

信息安全信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。

政府、军队、公司、金融机构、医院、私人企业积累了大量的有关他们的雇员、顾客、产品、研究、金融数据的机密信息。绝大多数此类的信息现在被收集、产生、存储在电子计算机内,并通过网络传送到别的计算机。

万一诸如一家企业的顾客、财政状况、新产品线的机密信息落入了其竞争对手的掌握,这种安全性的丧失可能会导致经济上的损失、法律诉讼甚至该企业的破产。保护机密的信息是商业上的需求,并且在许多情况中也是道德和法律上的需求。

对于个人来说,信息安全对于其个人隐私具有重大的影响,但这在不同的文化中的看法差异相当大。

信息安全的领域在最近这些年经历了巨大的成长和进化。有很多方式进入这一领域,并将之作为一项事业。它提供了许多专门的研究领域,包括:安全的网络和公共基础设施、安全的应用软件和数据库、安全测试、信息系统评估、企业安全规划以及数字取证技术等等。

为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。2

计算机安全隐患计算机安全隐患(英语:Vulnerability),俗称安全漏洞(英语:Security hole),指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性、访问控制和监测机制等面临威胁。

许多安全漏洞是程序错误导致的,此时可叫做程序安全错误(Security bug),但并不是所有的安全隐患都是程序安全错误导致的。1

本词条内容贡献者为:

王沛 - 副教授、副研究员 - 中国科学院工程热物理研究所