HW行動臨近，企業的暴露面收斂工作刻不容緩。在數字化時代，企業IT管理者承擔著全網暴露面管理的艱巨重任。從各類應用（API、Web應用、移動應用、微信小程序等），到系統（供應鏈系統、合作伙伴接口等），從網絡層面（IP、域名、開放端口）再到數據泄露潛在點（GitHub代碼庫、網盤文件），每個環節皆可能淪為黑客入侵的切入點。面對復雜多變的網絡環境與不斷翻新的攻擊手段，如何在保障業務正常運轉的同時，精準發現并有效收斂潛在攻擊入口，搶占網絡安全先機，成為企業在數字化浪潮中穩健前行的關鍵。

一、傳統防入侵安全思路的局限性

自2016年國家頒布《網絡安全法》并開展HW行動以來，安全事件依舊頻發。某工業大學遭受境外網絡攻擊，某證監局通報某券商OA系統被攻擊致移動辦公嚴重受阻。企業IT管理者并非未采取防護舉措，防火墻、IPS、終端安全管控等設施紛紛部署，漏洞修復工作也持續推進，但安全事件仍屢禁不止。根源在于傳統安全思路難以契合當下網絡安全需求。

傳統防入侵思路旨在發現全部網絡資產、排查所有漏洞、修復每一處漏洞，并借助持續行為監測察覺入侵行為。然而，資產動態變化頻繁，難以及時全面掌握；新漏洞不斷涌現，安全團隊疲于應對；0day漏洞因未知且高危，無法及時修復，極易被黑客利用；同時，監測成本高昂且偏事后追溯。可見，傳統防入侵思路的防護投入產出比（ROI）較低。

但安全并非無計可施。以蘋果OS手機為例，全球數億用戶中，鮮少有人安裝殺毒或其他安全軟件，但其感染病毒和木馬的比例極低。原因在于蘋果AppStore實現了APP來源的統一管理，其操作系統為有限多任務系統，僅屏幕正上方應用可獲取CPU資源，還對APP資源占用進行集中監控管理。這種從源頭上把控風險的方式，遠比單純的漏洞修復和行為監測更為有效。

又如，安全行業有云：“沒有攻不破的系統。”但網絡交換機、路由器、防火墻被直接攻破的案例卻極為罕見。原因是這些設備采用專有精簡OS，漏洞少，且極少開通易被利用的Web服務、高危端口，公開暴露面小，風險隨之降低，并且會定期審查管理暴露面。黑客更多采用“社會工程”手段入侵，而非直接攻擊防火墻，這也側面凸顯了收斂暴露面的重要性。

由此可見，安全對抗本質上是做好多層容錯控制，收斂業務漏洞、網絡錯誤配置、數據暴露等各類暴露面，盡可能減少系統、網絡和應用中動態變化的攻擊路徑，嚴格做好訪問權限控制。

▲傳統安全防御過于復雜、成本高、不解決問題

二、基于多層容錯式和權限控制收斂暴露面

企業IT管理者若要有效收斂業務、系統、網絡和數字資產的暴露面，降低攻擊風險，可采用分層容錯式和權限控制思路，具體從以下四個方面著手：

（一）隱藏漏洞和高危端口

借助網絡隔離手段，將業務或系統的漏洞與高危端口隱匿于安全訪問網關之后。安全網關運用單包敲門技術，僅向合法授權用戶開放，黑客攻擊包將被直接丟棄，只有認證通過的合法用戶方可訪問網關反向代理的業務，以此最大程度減少攻擊面。

▲傳統防護思路VS暴露面收斂思路

（二）優化網絡設備配置

運用安全策略管理工具，梳理防火墻、交換機等設備策略，及時察覺并修正錯誤配置與高危路徑，規避因配置不當引發的網絡安全風險，保障網絡設備安全。

（三）管理敏感數字資產

黑客可能通過應用安全測試或竊取敏感文件中的賬號口令入侵系統。因此，企業需利用攻擊面管理工具，及時發現并下架GitHub、網盤中的敏感代碼庫和文件。在合法取數場景中，為實現跨網跨域攻擊面管理，企業需具備IP協議棧隔離和IP通信阻斷、數據與指令通道分離、被交換數據安全性檢測、多域交換和方向可控的能力。

（四）防范社會工程攻擊

針對黑客通過釣魚郵件、網絡釣魚等誘導員工安裝惡意軟件的攻擊手段，除了部署郵件安全網關、EDR等設施之外，企業應借助軟件管理收斂暴露面，具體措施如下：

1. 所有軟件必須來自官方渠道，經過安全驗證，并通過應用商店安裝。

2. 阻斷來自郵件、即時通信、U盤的軟件安裝。

3. 建立違規監控機制，對違規行為予以處罰，降低因員工安全意識薄弱導致的安全風險。

通過上述措施，企業能夠在不影響業務的前提下，切實減少暴露面，降低遭受攻擊的風險。

三、零信任≠安全：全網暴露面管理的最佳實踐

全網暴露面管理的核心在于精準發現并有效收斂暴露面，其中收斂暴露面尤為關鍵。傳統方法如漏洞修復、關閉高危端口、虛擬補丁等，常導致業務中斷，影響企業運營，且對0day漏洞束手無策。零信任等新方法雖有一定成效，但仍存在業務效率受影響、收斂不徹底等問題。因此，企業IT管理者需全面考量內/外網業務、數據、網絡配置、終端惡意軟件植入等多方面的暴露面收斂問題，選取不影響業務的技術手段，提升投資回報率（ROI）。

▲全網暴露面管理

以下為具體最佳實踐：

（一）內/外網資產安全管理

企業務必及時發現內外網的影子資產、漏洞及配置缺陷，實現統一安全管理。在實際落地過程中，傳統掃描和流量分析方法受NAT等技術限制，難以全面發現資產。因此，發現手段能否適配網絡環境并具備多種實現技術，成為決定內外網資產安全管理成效的關鍵因素。例如，是否支持網絡拓撲發現、高危路徑發現以及NAT環境下基于Agent的資產發現技術等。

（二）互聯網暴露面收斂

互聯網暴露面廣泛，涵蓋PC和移動業務系統漏洞、高危端口、企微/釘釘/飛書H5應用、微信小程序/公眾號等。傳統VPN網關因自身存在暴露面且缺乏反向代理技術來隱藏業務暴露面，正逐漸被軟件定義訪問技術取代。然而，許多企業在收斂PC端暴露面時，忽視了移動業務和外部取數等高危端口。從實戰經驗來看，互聯網暴露面是黑客重點攻擊入口，企業IT管理者需結合實際情況，從業務、網絡、數據等多層面采用容錯方式，最大程度收斂互聯網暴露面，減少攻擊面。具體措施如下：

1. PC C/S業務：采用軟件定義邊界（SDP）技術。

2. 移動業務：采用移動管理技術（EMM）。

3. 企微/釘釘/飛書H5應用和微信小程序/公眾號：通過Web安全網關收斂暴露面。

4. 網絡安全配置：利用網絡安全策略管理工具梳理策略。

5. 外部取數：采用基于協議隔離的數據安全交換系統。

（三）內網暴露面收斂

從近期HW行動情況可知，互聯網邊界防護能力逐步提升，但黑客攻擊手段也在不斷演變，更多采用社會工程學（社工）攻擊，通過釣魚郵件、網絡釣魚等利用內網員工安全意識薄弱的漏洞，入侵內網并提權，進而發起橫向攻擊，還可能借助U盤等物理介質入侵內網。在此情形下，內網，尤其是邏輯上與互聯網連接的內網，安全風險已與互聯網相當，企業必須重視內網暴露面收斂工作。

內網暴露面收斂首要考慮分區分域，建議企業將內網劃分為核心業務域、業務備份域、管理域、終端接入域、供應鏈接入域等獨立安全域，通過分區分域有效隔離不同業務和功能模塊，減少攻擊面。

1. 終端接入控制：采用802.1x端口級控制技術。傳統暴露面控制主要針對終端接入，常采用網絡準入控制技術（如NACC）收斂暴露面，但難以有效遏制勒索病毒在內網的橫向移動。推薦采用802.1x端口級控制技術，可精確控制網絡端口訪問權限，有效防范勒索病毒橫向傳播。

2. 業務暴露面收斂：靈活運用多種技術。在不同安全域之間，許多單位已部署防火墻、網閘等設備實現邏輯隔離，但仍存在核心業務對內的漏洞和高危端口暴露、跨域雙向IP協議打通、數據交換過程中缺乏安全性檢查導致病毒跨域傳播等問題。針對這些問題，建議采取以下措施：

    - 核心業務漏洞和高危端口暴露：根據業務實際，靈活采用軟件定義邊界（SDP）、應用安全網關（API）、Web安全網關（WSG）收斂業務暴露面。

    - 網絡安全策略管理：通過網絡安全策略管理工具，梳理防火墻和交換機策略，及時發現并修正錯誤配置，收斂暴露面。

- 跨域數據交換安全：采用數據安全擺渡系統，防止病毒跨域傳播，同時保障不同安全域之間客戶與客戶、業務與業務的數據高效交換。

（四）軟件暴露面收斂

針對終端被釣魚或私接熱點安裝惡意軟件問題，采用軟件白名單控制，確保所有軟件來自軟件商城或云軟倉等合規安裝途徑，減少盜版軟件使用，提升運維效率。

（五）網絡暴露面收斂

利用網絡安全策略管理工具梳理網絡策略，收斂高危路徑，解決配置錯誤和多條高危路徑問題。

（六）統一漏洞管理

結合多維數據評估漏洞風險等級，實現精準防護，降低安全隱患。同時，支持多平臺、多系統漏洞管理，靈活對接各種環境。

全網暴露面管理是企業網絡安全的核心環節。通過上述最佳實踐，企業可在不影響業務的前提下，全面收斂暴露面，減少攻擊路徑，降低被攻擊風險。

綜上，企業IT管理員在進行全網暴露面管理時，應兼顧互聯網和內網暴露面管理。內外網均需從業務、系統、網絡多層容錯角度考量，在選擇收斂方式時，應盡量降低對運行業務的影響，盡可能收斂暴露面，減少系統、網絡和應用中的各類攻擊路徑，如漏洞、錯誤配置、代碼缺陷、社會工程等，暴露越少，被攻擊可能性越低，風險越小。同時，事前在軟件開發時應考慮原生安全和安全配套，事中定期持續審查和管理暴露面，摒棄一次性管理方式；在防護規則上遵循最小權限原則，僅開放必要端口和服務，限制不必要暴露面，實施強身份驗證和授權機制，確保只有授權用戶可訪問授權范圍內的業務或數據。