【动画】带你了解，何为网络安全“攻击面管理”******

　　【2022年国家网络宣传周系列科普】

　　近年来，新兴技术迅速发展带动了网络资产边界快速拓展，也增加了企业资产暴露面，而基于供应链的新型攻击则大大降低了攻击成本。在多重因素的驱动下，网络安全防御策略也在与时俱进，攻击面管理也开始被行业所关注。让我们一起了解一下攻击面管理的小知识吧。

　　什么是攻击面？

　　近日发布的《中国攻击面管理市场研究报告》（以下简称研究报告）指出，攻击面是指未经授权即能访问和利用企业数字资产的所有潜在入口的总和。

　　其中，包括未经授权的可访问的硬件、软件、云资产和数据资产等，同样也包括人员管理、技术管理、业务流程存在的安全弱点和缺陷等，即存在可能会被攻击者利用并造成损失的潜在风险。

　　但不是所有资产暴露面都可以成为攻击面，只有可利用暴露面叠加攻击向量才形成了攻击面。

　　什么是攻击面管理？

　　攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。

　　主要包含外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）、数字风险保护服务（DRPS）等内容。

　　什么是攻击面管理框架体系？

　　攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景。基础技术为支撑攻击面管理的技术能力集合，多种技术组合形成攻击面管理的能力体系，根据不同的业务场景需求采用不同的能力组合，形成不同的应用场景下的攻击面管理解决方案，为用户提供有针对性的攻击面闭环管理能力。

　　什么是攻击面管理成熟度模型？

　　研究报告中还提到了建立攻击面管理的成熟度模型，主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级；提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域，从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的29个能力子项，从子能力的具备和完善情况来评价攻击面管理的有效性。

　　发展前景怎么看？

　　目前，国内外厂商如华云安、360政企安全、Mandiant、CyCoginito、等一大批传统网络安全团队，正在进入攻击面管理创新领域。未来攻击面管理将从传统场景扩展到新兴技术场景，并提供跨领域、跨技术平台的数字资产及其攻击面管理能力，更关注企业内部业务风险和第三方风险的管理，为用户提供统一的攻击面管理入口，并提供一致的安全运营体验。

　　光明网、华云安 联合出品

　　监制：张宁、李政葳策划：孔繁鑫制作/配音：雷渺鑫

让真正的科学火起来******

　　【科学随笔】

　　作者：崔兴毅、张辰龙（均系南京航空航天大学博士）

　　当下，科普很热，伪科普也很热。

　　一面是追着新冠跑、比疫情更难防的伪科学。诸如“吃大蒜可治新冠”“我家自来水阳了”等视频流传网络；诸如可抵御病毒、预防新冠的花式商品在网店热卖。它们中，有的打着“高科技”旗号，有的则是人们熟悉的“老面孔”。

　　一面是科普盛宴“出圈”，“好玩”的科学“圈粉”无数。在中科院联合抖音举办的2023跨年科学演讲中，诺贝尔奖得主、院士学者分享了大脑信号、航空航天、黑土地保护、电磁学等前沿科技，抖音直播间观看人次突破2500万。

　　科学热中真与假的对撞，反映的正是公众对科学知识的渴望。当人们信息获取的需求通过移动终端被大量释放后，科普方式就应及时“换挡升级”。在公众科普的语境中，更加立体、全面的体系正在被构建，更新潮、更便利的方式极大缓解了科普“不平衡、不充分”的矛盾。还有在跨年晚会云集的平台中突围出的一场跨年科学演讲，以知识的普及辞旧迎新，显然是令人欣喜的现象。

　　不可否认，当下有效知识的供给依旧不足，这直接影响着人们对知识的获取。由于科学暂时无法满足人们的所有需要，伪科学便可乘虚而入。一些网络博主，为博眼球聘请所谓“专家”，编造“科学流言”，迎合公众猎奇心理；有的蓄意炒作，制造“健康焦虑”，让产品营销披上健康科普的外衣。这些依靠情感赢得信赖的虚假信息，又借助社交媒体的熟人效应，在公众舆论场如石子投湖般一圈一圈传播开去，让公众感觉更加混乱——即便同一个主题和话题，也可能看到各种不同甚至有些彼此矛盾的解读。

　　事实上，科学本身就是一种进程。在对物质世界的探索中，科学家们往往会得到很多不同的结论，有些甚至是对立的。这些并不是“伪科学”，而是需要在不断地研究中去伪存真。这种学术观点之争并不是我们本篇文章讨论的内容。

　　很多虚假信息的传播，是大量依靠“俘获”受众情感，而并非以事实为基础。当然，在科学传播中，事实与情感并非截然对立，或者说不需要情感的力量。现在，半数以上的移动端用户具备一定教育背景，科普的受众呈现出年轻化、高学历的特点，覆盖人群也已拓展到白领、大学生、企业管理者、人文学者等。他们排斥枯燥无味的灌输式科普、说教式科普，对有趣有料的科普，更加喜闻乐见。这种受众多元化、异质性的特点，决定着科普必须与时俱进，一方面专家得“懂行”，另一方面内容得“好玩”。

　　那么，作为非科技工作者该如何分辨这种信息呢？这很难，需要学校和社会同时发力，提升全民科学素养需要一个比较长的时间尺度，并非一日之功。

　　在现阶段，科普首先能做的是丰富内涵——不仅仅是科学知识，还应该包括科学精神、科学思想和科学方法等。现在社会上伪科学传播很快，恰恰表明当下公众的科学方法、思维、知识还没有那么高、那么好。以此次新冠疫情为镜，折射出的正是一些公众科学素养亟待提升的现实。包括“冷核聚变”“基因编辑婴儿”等事件，一定程度上没能让公众更加理解科学，反而会让他们更加质疑科学。所以，如果希望通过科普培养公众的科学理性，让人们掌握科学方法，理解科学精神，那么就需要把科普从“解释科学是什么”转向“科学为什么”上。因为“科学的精髓是其方法”，如果只向公众讲解科学的成果和发现，而不讲解严格的科学方法，那么人们何以区分什么是科学，什么是伪科学。

　　科学实验中的曲折有时比科学成果本身更吸引公众。科学就是在试错的过程中发展起来的。科学往往是先设立假说，然后针对这些假说进行试验。科学在探寻真相的征途上探索着，踉踉跄跄地蹒跚前行。当一种假说被证伪时，假说的提出者当然会很沮丧，但是，这种证伪恰被认为是科学事业的精髓所在。

　　广大科技工作者在进行科普时，不妨用一种引人入胜的方式来讲述他们走过的路，陈述成果，也呈现探索曲折的过程；点明结论，也聊聊千百次试验运用的方法。只有在真诚沟通中传递科学精神的内核，提高人们对科学类流言的“免疫力”，才能让公众拥抱一个温暖而不是冷冰冰的科学。

　　《光明日报》（ 2023年01月12日 16版）