在信息安全領域，什么是攻擊面(In Information Security, the Attack Surface)？

信息安全中的攻擊面是指未經身份驗證的用戶可以運行或向系統輸入代碼的任何區域。這分為三個區域：網絡、軟件和人為攻擊面。雖然表面技術上只是未經身份驗證的用戶如何訪問系統的一種度量手段，另一種攻擊可能來自受信任...

信息安全中的攻擊面是指未經身份驗證的用戶可以運行或向系統輸入代碼的任何區域。這分為三個區域：網絡、軟件和人為攻擊面。雖然表面技術上只是未經身份驗證的用戶如何訪問系統的一種度量手段，另一種攻擊可能來自受信任的員工。有一些方法可以減少攻擊，例如減少用戶可以添加代碼的函數，通常使用較少的代碼，將這些函數拆分，以便只有受信任的用戶才能訪問它們。減少攻擊面并不能減少攻擊可能造成的損害，只是攻擊會發生。

手持計算機在處理程序、網絡和網站時，總是會成為攻擊面。有些面可以減少或消除，但有些面對程序的成功至關重要。例如，允許用戶編寫消息的輸入表單被視為安全威脅。同時，如果有程序或網站需要收集用戶的信息，用戶需要手動輸入信息，輸入字段是實現這一點的唯一方法。攻擊面分為三類：網絡攻擊面位于網絡中，主要由開放的端口或套接字引起，或者在網絡中鉆隧道，有時很難找到隧道，因為它們看起來像是網絡上的常規流量軟件攻擊面是用戶可以使用的程序中的任何區域或功能，而不考慮位置或身份驗證。人的攻擊面與其他兩個不同，因為網絡和軟件表面是基于未經認證的用戶。人的表面涉及到不滿或不道德的員工竊取或銷毀數據。如果員工離開公司，新員工必須獲得數據訪問權，這也被視為安全威脅，因為目前還不清楚新員工的信任程度。減少攻擊面會有所不同，具體取決于減少的區域。對于網絡表面，應將所有可信任的接口有效地限制在少數幾個可信任的接口上，而非所有的用戶都應能有效地減少其表面的代碼量通過給予新員工最低限度的自由來執行職能，直到他或她被信任的數據。