[科普中國]-攻擊表面

攻擊表面（英語：attack surface），也稱攻擊面、攻擊層面，它是指軟件環(huán)境中可以被未授權(quán)用戶（攻擊者）輸入或提取數(shù)據(jù)而受到攻擊的點位（攻擊矢量）。

攻擊矢量例子攻擊矢量的示例包括：用戶輸入字段、協(xié)議、接口和服務(wù)等。1

減少表面減少攻擊表面的基本策略是減少運(yùn)行中的軟件總量，減少非信任用戶可使用的入口點，以及消除用戶很少使用的服務(wù)。改進(jìn)信息安全的方法之一就是減少系統(tǒng)與軟件的攻擊表面。因為關(guān)閉不必要的功能，可以避免它們帶來的安全風(fēng)險。減少未授權(quán)操作者可調(diào)用的代碼有助避免安全事故。雖然減少攻擊表面有助于防止安全事故，但它不能減少一旦攻擊者發(fā)現(xiàn)漏洞后可能造成的損害程度。1

接口接口（英語：interface），臺灣譯為介面，中介之面的意思；大陸譯作界面，也譯作接口，但“port”大陸也是譯作接口。接口泛指實體把自己提供給外界的一種抽象化物（可以為另一實體），用以由內(nèi)部操作分離出外部溝通方法，使其能被修改內(nèi)部而不影響外界其他實體與其交互的方式，就如面向?qū)ο缶幊烫峁┑亩嘀爻橄蠡?。接口可能也提供某種意義上的在講不同語言的實體之間的翻譯，諸如人類與電腦之間。因為接口是一種間接手段，所以相比起直接溝通，會引致些額外負(fù)擔(dān)。

人類與電腦等信息機(jī)器或人類與程序之間的接口稱為用戶界面。電腦等信息機(jī)器硬件組件間的接口叫硬件接口。電腦等信息機(jī)器軟件組件間的接口叫軟件接口。1

信息安全信息安全，意為保護(hù)信息及信息系統(tǒng)免受未經(jīng)授權(quán)的進(jìn)入、使用、披露、破壞、修改、檢視、記錄及銷毀。

政府、軍隊、公司、金融機(jī)構(gòu)、醫(yī)院、私人企業(yè)積累了大量的有關(guān)他們的雇員、顧客、產(chǎn)品、研究、金融數(shù)據(jù)的機(jī)密信息。絕大多數(shù)此類的信息現(xiàn)在被收集、產(chǎn)生、存儲在電子計算機(jī)內(nèi)，并通過網(wǎng)絡(luò)傳送到別的計算機(jī)。

萬一諸如一家企業(yè)的顧客、財政狀況、新產(chǎn)品線的機(jī)密信息落入了其競爭對手的掌握，這種安全性的喪失可能會導(dǎo)致經(jīng)濟(jì)上的損失、法律訴訟甚至該企業(yè)的破產(chǎn)。保護(hù)機(jī)密的信息是商業(yè)上的需求，并且在許多情況中也是道德和法律上的需求。

對于個人來說，信息安全對于其個人隱私具有重大的影響，但這在不同的文化中的看法差異相當(dāng)大。

信息安全的領(lǐng)域在最近這些年經(jīng)歷了巨大的成長和進(jìn)化。有很多方式進(jìn)入這一領(lǐng)域，并將之作為一項事業(yè)。它提供了許多專門的研究領(lǐng)域，包括：安全的網(wǎng)絡(luò)和公共基礎(chǔ)設(shè)施、安全的應(yīng)用軟件和數(shù)據(jù)庫、安全測試、信息系統(tǒng)評估、企業(yè)安全規(guī)劃以及數(shù)字取證技術(shù)等等。

為保障信息安全，要求有信息源認(rèn)證、訪問控制，不能有非法軟件駐留，不能有未授權(quán)的操作等行為。2

計算機(jī)安全隱患計算機(jī)安全隱患（英語：Vulnerability），俗稱安全漏洞（英語：Security hole），指計算機(jī)系統(tǒng)安全方面的缺陷，使得系統(tǒng)或其應(yīng)用數(shù)據(jù)的保密性、完整性、可用性、訪問控制和監(jiān)測機(jī)制等面臨威脅。

許多安全漏洞是程序錯誤導(dǎo)致的，此時可叫做程序安全錯誤（Security bug），但并不是所有的安全隱患都是程序安全錯誤導(dǎo)致的。1

本詞條內(nèi)容貢獻(xiàn)者為:

王沛 - 副教授、副研究員 - 中國科學(xué)院工程熱物理研究所