随着网络安全威胁的日益严峻和攻击面的不断扩大,各国政府和行业组织都加大了对网络安全的监管力度,出台了一 系列安全合规要求和标准,强调了攻击面管理的重要性,要求企业和组织应识别和评估其所有攻击面,并采取相应的措施 进行保护和监控。
在国际范围内,尽管“攻击面管理”这一概念并未在多数政策、法规和标准中以独立名词的形式明确提出,但许多国 外的网络安全法规、标准和指导原则已对与攻击面管理密切相关的实践(如资产识别、脆弱性管理、持续监控、风险评估 与处置等)提出了要求。这些政策和标准为组织构建和完善攻击面管理体系提供了监管和合规层面的依据。以下是一些主 要的国外政策、法规及标准示例:
美国(U.S.)相关法规、政策与框架
联邦信息安全管理法案(FISMA)。要求美国联邦机构建立全面的网络安全计划,包括持续监控、资产识别及风险管理, 这为攻击面管理奠定了基础。 ✓ NIST 网络安全框架(NISTCybersecurityFramework,CSF)。由美国国家标准与技术研究院(NIST)推出的自 愿性框架,为识别、保护、检测、响应和恢复安全能力提供指导。其中资产管理(ID.AM)和漏洞管理(PR.IP) 相关措施为攻击面管理实践提供直接参照。 ✓ NIST 特别出版物系列(如 NISTSP800-53、NISTSP800-37)。对信息系统及组织层面的安全与隐私控制、风险 管理流程进行标准化。SP800-53 中对持续监控、资产配置管理、脆弱性评估的要求可辅助建立系统化的攻击面 管控策略。
美国网络安全与基础设施安全局(CISA)相关指令。CISA 发布的绑定操作指令(BOD),如 BOD23-01,要求 美国联邦民用部门执行持续漏洞扫描与清点资产,以减少可被利用的攻击面。 ✓ 行政命令(EO14028)“提升国家网络安全”。强调软件供应链安全及持续安全监测,与攻击面管理中常涉及的 供应链资产识别、验证及风险管理直接相关。 ✓ CMMC(CybersecurityMaturityModelCertification)。美国国防部推出的供应链安全成熟度模型,要求承包商 明确资产清单、持续评估网络脆弱性,这一要求与攻击面管理的基础环节高度契合。
欧盟(EU)及欧洲相关法规与标准
网络与信息安全指令(NISDirective)及 NIS2。要求成员国关键基础设施提供商与数字服务商加强网络安全风险 管理,包括风险识别、持续监控与漏洞管理,这实际推动了攻击面管理相关实践的落地。 ✓ 欧洲网络安全法(EUCybersecurityAct)及欧洲网络与信息安全局(ENISA)指导文件。ENISA 发布的网络威胁 分析报告和最佳实践指南涵盖了资产识别、风险识别及缓解策略,为攻击面管理提供参考。 ✓ 通用数据保护条例(GDPR)。尽管 GDPR 重点关注个人数据保护,但其对数据处理安全性的要求鼓励企业重视 对攻击面的识别与保护,从而减少潜在数据泄露风险。 ✓ ISO/IEC27001 与 27002 系列国际标准。这些标准为信息安全管理体系(ISMS)提供整体框架,对资产管理、漏 洞管理、持续监控及风险评估均有明确要求。尤其是 ISO/IEC27002 中细化了安全控制措施,对攻击面管理实践 给予方向性指导。
英国及其他欧洲国家措施
英国国家网络安全中心(NCSC)最佳实践与指南。NCSC 的指导文件(如“TenStepstoCyberSecurity”)强调 资产可见性、漏洞管理与持续监控,对于建立攻击面管理机制具有借鉴意义。 ✓ 英国“网络安全基础认证 (CyberEssentials)”。要求组织具备基础的安全防护措施,包括安全配置、持续补丁和 风险处理,为小型企业实施初级的攻击面管理能力提供参考。
行业标准与框架
CIS 控制(CISControls)。由国际非营利组织 CenterforInternetSecurity 发布的安全控制指南在最新版本中强 调准确的资产清点、持续漏洞扫描和风险优先级管理,为企业构建攻击面管理体系提供可操作的参考控制项。 ✓ PCI-DSS(PaymentCardIndustryDataSecurityStandard)。对支付行业组织提出严格的数据安全要求,包括定 期扫描、漏洞修复与风险管理,这些要求在本质上也是对攻击面的持续管理与收敛。MITREATT&CK 框架。虽然不是法规,但该知识库为组织理解攻击者技术和策略提供结构化参考,有助于组织识 别潜在攻击路径,进而辅助组织优化攻击面管理策略。
云与供应链安全相关标准与准则
CloudSecurityAlliance(CSA)指南。CSA 对云计算环境下的安全控制提出标准化建议,涵盖持续监测、资产识 别与配置管理,为云环境中的攻击面管理提供参考模型。 ✓ 供应链安全标准与法规(如美国 EO14028 中对软件供应链安全的强调)。要求组织在供应链层面做到资产和组 件清单的透明化,进而减小供应链攻击面。
国内在网络安全和数据安全方面,从战略、法律、条例、规定和标准等多个层面提出了明确的要求,并强调了积极防御、 主动发现、及时处置和持续改进的重要性。
国内相关网络安全政策法规如下: • 国家信息化政策。我国 2016 年发布了国家信息化发展战略纲要,作为规范和指导未来 10 年国家信息化发展的纲 领性文件,要求树立正确的网络安全观,坚持积极防御、有效应对,增强网络安全防御能力和威慑能力,切实维 护国家网络空间主权、安全、发展利益。 • 网络安全相关法律。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息 保护法》等法律推动了网络安全风险防控的重视,要求企业不仅要保护关键信息基础设施,还要保护个人信息和 数据安全,减少因资产暴露面过大而带来的安全风险。如《中华人民共和国网络安全法》第二十一条要求网络运 营者应保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:第二十五条 网络运营者应及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。如《中华人民共和国数据安全法》要 求数据处理者采取必要措施保障数据安全,防止数据泄露、篡改和破坏。如《中华人民共和国个人信息保护法》 要求个人信息处理者采取必要措施保护个人信息安全,防止个人信息泄露、滥用和非法交易。
《关键信息基础设施安全保护条例》。该条例于 2021 年 9 月生效,要求关键信息基础设施运营者采取必要措施 保障关键信息基础设施安全,包括识别和管理关键信息基础设施攻击面,防止网络攻击和数据泄露。 • 《关键信息基础设施安全保护要求》(GB/T39204-2022)。该标准于 2023 年 5 月 1 日正式实施,对关键信息 基础设施的安全保护提出了明确要求,包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六 个方面,提出应提升关键信息基础设施应对网络攻击能力。如针对发生的网络安全事件或发现的网络安全威胁, 提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高主动发现攻击能力。以应对攻击 行为的监测发现为基础,主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作, 提升对网络威胁与攻击行为的识别、分析和主动防御能力。
《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)。该标准提出应能够在统一安全策略下防护免 受恶意攻击所造成的资源损害,能够及时发现安全漏洞、发现、监测攻击行为和处置安全事件。 如应在关键网络 节点处检测、防止或限制从内部发起的网络攻击行为;应采取技术措施对网络行为进行分析,实现对网络攻击特 别是新型网络攻击行为的分析;当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目标、攻击时间,在发生 严重入侵事件时应提供报警。
工业和信息化部、公安部等主管部门根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民 共和国个人信息保护法》《中华人民共和国国家安全法》等法律法规,陆续发布了一系列数据安全的管理办法、细则等要求。 • 2022 年 12 月 8 日,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》,对数据安全管理, 保障数据安全进行了明确的要求,如第三十四条,行业监管部门及其委托的数据安全评估机构工作人员对在履行 职责中知悉的个人信息和商业秘密等,应当严格保密,不得泄露或者非法向他人提供。 • 2023 年 11 月 30 日,公安机关强调要高度重视“两高一弱”的问题,即高度重视高危漏洞和高危端口,这是“两 高”“一弱”就是弱口令这样的问题,加强防火墙和安全软件管理,合理分配员工权限,升级多层次的密码保护, 加强软件和设备防护,防止黑客入侵系统。 • 2023 年 11 月 23 日,工业和信息化部网络安全管理局发布《工业和信息化领域数据安全行政处罚裁量指引(试行)》 (征求意见稿),制定了数据处理活动监管处罚的规定。
2024 年 5 月 10 日,工业和信息化部发布了《工业和信息化领域数据安全风险评估实施细则(试行)》,要求开 展数据安全风险评估,重点评估以下内容:(六)发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法 利用等安全事件,对国家安全、公共利益的影响范围、程度等风险。 • 2024 年 10 月 29 日,工业和信息化部印发《工业和信息化领域数据安全事件应急预案(试行)》,要求建立健 全数据安全事件应急组织体系和工作机制,提高数据安全事件综合应对能力,确保及时有效地控制、减轻和消除 数据安全事件造成的危害和损失。
国内网络安全技术规范标准虽未对“攻击面管理”进行专门定义,但其核心理念和要求已在多个标准中有所体现。 ◈ 信息安全管理体系相关标准 ✓ GB/T22080(等同采用 ISO/IEC27001)及 GB/T22081(等同采用 ISO/IEC27002)中对资产管理、风险评估、 漏洞管理、持续改进有明确要求。这些要求与攻击面管理在识别、分析和处置安全风险的流程中有高度重合。 ✓ 风险评估与漏洞管理标准:GB/T20984《信息安全技术信息安全风险评估规范》:提供风险识别与评估的方法论, 其中资产清点与脆弱点识别是实现攻击面可视化与管控的核心环节。 ✓ GB/T30284《信息安全技术漏洞管理要求》:强调对系统、应用等进行持续性漏洞监测、分析与修复,是对攻击 面中脆弱节点的直接管理手段。
安全运营与应急响应相关标准。 GB/T29246《信息安全技术信息安全能力成熟度模型》:鼓励组织持续提升安全管理与技术能力,包括对资产及 弱点进行动态监测与改进。 ✓ GB/T20988《信息安全技术网络安全应急处置指南》:要求对网络安全事件进行有效检测与快速响应,而有效的 攻击面管理能帮助提前发现潜在攻击路径,减少应急响应难度。
