在信息安全领域，什么是攻击面(In Information Security, the Attack Surface)？

信息安全中的攻击面是指未经身份验证的用户可以运行或向系统输入代码的任何区域。这分为三个区域：网络、软件和人为攻击面。虽然表面技术上只是未经身份验证的用户如何访问系统的一种度量手段，另一种攻击可能来自受信任...

信息安全中的攻击面是指未经身份验证的用户可以运行或向系统输入代码的任何区域。这分为三个区域：网络、软件和人为攻击面。虽然表面技术上只是未经身份验证的用户如何访问系统的一种度量手段，另一种攻击可能来自受信任的员工。有一些方法可以减少攻击，例如减少用户可以添加代码的函数，通常使用较少的代码，将这些函数拆分，以便只有受信任的用户才能访问它们。减少攻击面并不能减少攻击可能造成的损害，只是攻击会发生。

手持计算机在处理程序、网络和网站时，总是会成为攻击面。有些面可以减少或消除，但有些面对程序的成功至关重要。例如，允许用户编写消息的输入表单被视为安全威胁。同时，如果有程序或网站需要收集用户的信息，用户需要手动输入信息，输入字段是实现这一点的唯一方法。攻击面分为三类：网络攻击面位于网络中，主要由开放的端口或套接字引起，或者在网络中钻隧道，有时很难找到隧道，因为它们看起来像是网络上的常规流量软件攻击面是用户可以使用的程序中的任何区域或功能，而不考虑位置或身份验证。人的攻击面与其他两个不同，因为网络和软件表面是基于未经认证的用户。人的表面涉及到不满或不道德的员工窃取或销毁数据。如果员工离开公司，新员工必须获得数据访问权，这也被视为安全威胁，因为目前还不清楚新员工的信任程度。减少攻击面会有所不同，具体取决于减少的区域。对于网络表面，应将所有可信任的接口有效地限制在少数几个可信任的接口上，而非所有的用户都应能有效地减少其表面的代码量通过给予新员工最低限度的自由来执行职能，直到他或她被信任的数据。