【动画】带你了解，何为网络安全“攻击面管理”******

　　【2022年国家网络宣传周系列科普】

　　近年来，新兴技术迅速发展带动了网络资产边界快速拓展，也增加了企业资产暴露面，而基于供应链的新型攻击则大大降低了攻击成本。在多重因素的驱动下，网络安全防御策略也在与时俱进，攻击面管理也开始被行业所关注。让我们一起了解一下攻击面管理的小知识吧。

　　什么是攻击面？

　　近日发布的《中国攻击面管理市场研究报告》（以下简称研究报告）指出，攻击面是指未经授权即能访问和利用企业数字资产的所有潜在入口的总和。

　　其中，包括未经授权的可访问的硬件、软件、云资产和数据资产等，同样也包括人员管理、技术管理、业务流程存在的安全弱点和缺陷等，即存在可能会被攻击者利用并造成损失的潜在风险。

　　但不是所有资产暴露面都可以成为攻击面，只有可利用暴露面叠加攻击向量才形成了攻击面。

　　什么是攻击面管理？

　　攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。

　　主要包含外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）、数字风险保护服务（DRPS）等内容。

　　什么是攻击面管理框架体系？

　　攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景。基础技术为支撑攻击面管理的技术能力集合，多种技术组合形成攻击面管理的能力体系，根据不同的业务场景需求采用不同的能力组合，形成不同的应用场景下的攻击面管理解决方案，为用户提供有针对性的攻击面闭环管理能力。

　　什么是攻击面管理成熟度模型？

　　研究报告中还提到了建立攻击面管理的成熟度模型，主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级；提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域，从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的29个能力子项，从子能力的具备和完善情况来评价攻击面管理的有效性。

　　发展前景怎么看？

　　目前，国内外厂商如华云安、360政企安全、Mandiant、CyCoginito、等一大批传统网络安全团队，正在进入攻击面管理创新领域。未来攻击面管理将从传统场景扩展到新兴技术场景，并提供跨领域、跨技术平台的数字资产及其攻击面管理能力，更关注企业内部业务风险和第三方风险的管理，为用户提供统一的攻击面管理入口，并提供一致的安全运营体验。

　　光明网、华云安 联合出品

　　监制：张宁、李政葳策划：孔繁鑫制作/配音：雷渺鑫

受益于社会，更须回报社会！网信企业负责人谈社会责任******

　　12月27日至29日，由中央网信办、国家市场监督管理总局、国家广播电视总局、天津市人民政府指导，中国网络空间研究院、天津市委网信办、中共天津市滨海新区委员会、天津市滨海新区人民政府主办，《网络传播》杂志、北京大学新媒体研究院承办的2021网信企业发展和社会责任论坛在京举行。期间，网信企业围绕“强化使命担当，践行社会责任，推动网信企业规范健康发展”主题，分享了各自实践。

　　让技术更有温度

　　截至2021年6月，我国互联网上市企业总市值达18.8万亿元，较2020年底增长3.9%。一年多来，我国网信企业在弘扬主流价值、共享信息资源、引领产业发展、促进经济转型、推动技术创新、服务改善民生等方面，发挥了重要作用。

　　“互联网的蓬勃发展，不断拓展人类的认知边界，有效助力经济社会高效发展。发展并不代表无序扩张，技术迭代也不是野马脱缰。新时代下，互联网企业的社会责任尤为重要。”新浪微博首席执行官王高飞说。

　　云账户(天津)共享经济信息咨询有限公司董事长杨晖介绍，云账户利用数字技术赋能，坚持科技向善，实现了“秒批办照”“秒级到账”“无工不保”。

　　腾讯集团副总裁陈勇认为，责任的升级推动着腾讯对社会责任理解的进化。腾讯正在“科技向善”的牵引下，探索以“三个统一”来推动可持续社会价值创新——企业发展与社会价值的统一，向上升级与向下扎根的统一，立足当下和着眼未来的统一。

　　压实平台主体责任

　　在主论坛上，中国网络空间研究院党委副书记宣兴章宣介了《中国网信企业发展和社会责任报告(2021)》。网信企业代表宣读了《中国网信企业发展和社会责任倡议书》。

　　爱奇艺创始人、首席执行官龚宇认为，企业的发展要坚持经济效益和社会效益相统一，要更好地承担起社会责任和道德责任。他表示，近期文娱领域乱象频出，对网络文明空间造成了一定冲击，为此开展的综合治理工作则为文娱行业扫除积弊和网信企业的健康发展指明方向。

　　“京东现有近20万一线小哥，大多来自农村地区，京东全部签订正式劳动合同，缴纳五险一金，并提供学习成长空间。京东于去年启动乡村振兴‘奔富计划’，计划用三年时间带动乡村万亿产值增长。”京东集团副总裁曾晨说。

　　将安全理念融入网络

　　当前，数字化已经成为国家经济社会发展的核心驱动力，融入经济社会发展的各领域全过程，网络安全是数字化发展的前提、基础和保障，与经济社会发展紧密相关。

　　奇安信集团总裁吴云坤表示，网络安全已成为国家安全的重要组成部分，网络安全企业必须承担起保卫国家网络安全的责任，发展自己的安全能力来支撑和支持国家安全能力建设。

　　“企业发展受益于社会，企业也必须积极回报社会，发展和责任不是对立的两面，而是相互缠绕形成的企业‘DNA’，一家企业只有勇于承担社会责任，才能获得更好的发展。”吴云坤说。

　　杭州安恒信息技术股份有限公司高级副总裁段平霞也认为，企业的健康、高质量发展是企业践行社会责任的基础，要善用自身优势，在最能发挥价值的地方作出贡献。

　　她还提到，做好人才培养，是企业践行社会责任的最佳路径；坚定网络安全为人民，是网络安全企业践行社会责任的永恒灯塔。（记者 黎梦竹 李政葳）