【动画】带你了解，何为网络安全“攻击面管理”******

　　【2022年国家网络宣传周系列科普】

　　近年来，新兴技术迅速发展带动了网络资产边界快速拓展，也增加了企业资产暴露面，而基于供应链的新型攻击则大大降低了攻击成本。在多重因素的驱动下，网络安全防御策略也在与时俱进，攻击面管理也开始被行业所关注。让我们一起了解一下攻击面管理的小知识吧。

　　什么是攻击面？

　　近日发布的《中国攻击面管理市场研究报告》（以下简称研究报告）指出，攻击面是指未经授权即能访问和利用企业数字资产的所有潜在入口的总和。

　　其中，包括未经授权的可访问的硬件、软件、云资产和数据资产等，同样也包括人员管理、技术管理、业务流程存在的安全弱点和缺陷等，即存在可能会被攻击者利用并造成损失的潜在风险。

　　但不是所有资产暴露面都可以成为攻击面，只有可利用暴露面叠加攻击向量才形成了攻击面。

　　什么是攻击面管理？

　　攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。

　　主要包含外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）、数字风险保护服务（DRPS）等内容。

　　什么是攻击面管理框架体系？

　　攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景。基础技术为支撑攻击面管理的技术能力集合，多种技术组合形成攻击面管理的能力体系，根据不同的业务场景需求采用不同的能力组合，形成不同的应用场景下的攻击面管理解决方案，为用户提供有针对性的攻击面闭环管理能力。

　　什么是攻击面管理成熟度模型？

　　研究报告中还提到了建立攻击面管理的成熟度模型，主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级；提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域，从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的29个能力子项，从子能力的具备和完善情况来评价攻击面管理的有效性。

　　发展前景怎么看？

　　目前，国内外厂商如华云安、360政企安全、Mandiant、CyCoginito、等一大批传统网络安全团队，正在进入攻击面管理创新领域。未来攻击面管理将从传统场景扩展到新兴技术场景，并提供跨领域、跨技术平台的数字资产及其攻击面管理能力，更关注企业内部业务风险和第三方风险的管理，为用户提供统一的攻击面管理入口，并提供一致的安全运营体验。

　　光明网、华云安 联合出品

　　监制：张宁、李政葳策划：孔繁鑫制作/配音：雷渺鑫

诺奖问答| 2022 年诺贝尔化学奖授予点击化学和生物正交化学，有哪些信息值得关注？******

　　相比起今年诺贝尔生理学或医学奖、物理学奖的高冷，今年诺贝尔化学奖其实是相当接地气了。

　　你或身边人正在用的某些药物，很有可能就来自他们的贡献。

　　2022 年诺贝尔化学奖因「点击化学和生物正交化学」而共同授予美国化学家卡罗琳·贝尔托西、丹麦化学家莫滕·梅尔达、美国化学家巴里·夏普莱斯（第5位两次获得诺贝尔奖的科学家）。

　　一、夏普莱斯：两次获得诺贝尔化学奖

　　2001年，巴里·夏普莱斯因为「手性催化氧化反应[1] [2] [3]」获得诺贝尔化学奖，对药物合成（以及香料等领域）做出了巨大贡献。

　　今年，他第二次获奖的「点击化学」，同样与药物合成有关。

　　1998年，已经是手性催化领军人物的夏普莱斯，发现了传统生物药物合成的一个弊端。

　　过去200年，人们主要在自然界植物、动物，以及微生物中能寻找能发挥药物作用的成分，然后尽可能地人工构建相同分子，以用作药物。

　　虽然相关药物的工业化，让现代医学取得了巨大的成功。然而随着所需分子越来越复杂，人工构建的难度也在指数级地上升。

　　虽然有的化学家，的确能够在实验室构造出令人惊叹的分子，但要实现工业化几乎不可能。

　　有机催化是一个复杂的过程，涉及到诸多的步骤。

　　任何一个步骤都可能产生或多或少的副产品。在实验过程中，必须不断耗费成本去去除这些副产品。

　　不仅成本高，这还是一个极其费时的过程，甚至最后可能还得不到理想的产物。

　　为了解决这些问题，夏普莱斯凭借过人智慧，提出了「点击化学（Click chemistry）」的概念[4]。

　　点击化学的确定也并非一蹴而就的，经过三年的沉淀，到了2001年，获得诺奖的这一年，夏普莱斯团队才完善了「点击化学」。

　　点击化学又被称为“链接化学”，实质上是通过链接各种小分子，来合成复杂的大分子。

　　夏普莱斯之所以有这样的构想，其实也是来自大自然的启发。

　　大自然就像一个有着神奇能力的化学家，它通过少数的单体小构件，合成丰富多样的复杂化合物。

　　大自然创造分子的多样性是远远超过人类的，她总是会用一些精巧的催化剂，利用复杂的反应完成合成过程，人类的技术比起来，实在是太粗糙简单了。

　　大自然的一些催化过程，人类几乎是不可能完成的。

　　一些药物研发，到了最后却破产了，恰恰是卡在了大自然设下的巨大陷阱中。

　　　夏普莱斯不禁在想，既然大自然创造的难度，人类无法逾越，为什么不还给大自然，我们跳过这个步骤呢？

　　大自然有的是不需要从头构建C-C键，以及不需要重组起始材料和中间体。

　　在对大型化合物做加法时，这些C-C键的构建可能十分困难。但直接用大自然现有的，找到一个办法把它们拼接起来，同样可以构建复杂的化合物。

　　其实这种方法，就像搭积木或搭乐高一样，先组装好固定的模块（甚至点击化学可能不需要自己组装模块，直接用大自然现成的），然后再想一个方法把模块拼接起来。

　　诺贝尔平台给三位化学家的配图，可谓是形象生动[5] [6]：

　　夏普莱斯从碳-杂原子键上获得启发，构想出了碳-杂原子键（C-X-C）为基础的合成方法。

　　他的最终目标，是开发一套能不断扩展的模块，这些模块具有高选择性，在小型和大型应用中都能稳定可靠地工作。

　　「点击化学」的工作，建立在严格的实验标准上：

　　反应必须是模块化，应用范围广泛

　　具有非常高的产量

　　仅生成无害的副产品

　　反应有很强的立体选择性

　　反应条件简单(理想情况下，应该对氧气和水不敏感)

　　原料和试剂易于获得

　　不使用溶剂或在良性溶剂中进行(最好是水)，且容易移除

　　可简单分离，或者使用结晶或蒸馏等非色谱方法，且产物在生理条件下稳定

　　反应需高热力学驱动力（>84kJ/mol）

　　符合原子经济

　　夏尔普莱斯总结归纳了大量碳-杂原子，并在2002年的一篇论文[7]中指出，叠氮化物和炔烃之间的铜催化反应是能在水中进行的可靠反应，化学家可以利用这个反应，轻松地连接不同的分子。

　　他认为这个反应的潜力是巨大的，可在医药领域发挥巨大作用。

　　二、梅尔达尔：筛选可用药物

　　夏尔普莱斯的直觉是多么地敏锐，在他发表这篇论文的这一年，另外一位化学家在这方面有了关键性的发现。

　　他就是莫滕·梅尔达尔。

　　梅尔达尔在叠氮化物和炔烃反应的研究发现之前，其实与“点击化学”并没有直接的联系。他反而是一个在“传统”药物研发上，走得很深的一位科学家。

　　为了寻找潜在药物及相关方法，他构建了巨大的分子库，囊括了数十万种不同的化合物。

　　他日积月累地不断筛选，意图筛选出可用的药物。

　　在一次利用铜离子催化炔与酰基卤化物反应时，发生了意外，炔与酰基卤化物分子的错误端（叠氮）发生了反应，成了一个环状结构——三唑。

　　三唑是各类药品、染料，以及农业化学品关键成分的化学构件。过去的研发，生产三唑的过程中，总是会产生大量的副产品。而这个意外过程，在铜离子的控制下，竟然没有副产品产生。

　　2002年，梅尔达尔发表了相关论文。

　　夏尔普莱斯和梅尔达尔也正式在“点击化学”领域交汇，并促使铜催化的叠氮-炔基Husigen环加成反应（Copper-Catalyzed Azide–Alkyne Cycloaddition），成为了医药生物领域应用最为广泛的点击化学反应。

　　三、贝尔托齐西：把点击化学运用在人体内

　　不过，把点击化学进一步升华的却是美国科学家——卡罗琳·贝尔托西。

　　虽然诺奖三人平分，但不难发现，卡罗琳·贝尔托西排在首位，在“点击化学”构图中，她也在C位。

　　诺贝尔化学奖颁奖时，也提到，她把点击化学带到了一个新的维度。

　　她解决了一个十分关键的问题，把“点击化学”运用到人体之内，这个运用也完全超出创始人夏尔普莱斯意料之外的。

　　这便是所谓的生物正交反应，即活细胞化学修饰，在生物体内不干扰自身生化反应而进行的化学反应。

　　卡罗琳·贝尔托西打开生物正交反应这扇大门，其实最开始也和“点击化学”无关。

　　20世纪90年代，随着分子生物学的爆发式发展，基因和蛋白质地图的绘制正在全球范围内如火如荼地进行。

　　然而位于蛋白质和细胞表面，发挥着重要作用的聚糖，在当时却没有工具用来分析。

　　当时，卡罗琳·贝尔托西意图绘制一种能将免疫细胞吸引到淋巴结的聚糖图谱，但仅仅为了掌握多聚糖的功能就用了整整四年的时间。

　　后来，受到一位德国科学家的启发，她打算在聚糖上面添加可识别的化学手柄来识别它们的结构。

　　由于要在人体中反应且不影响人体，所以这种手柄必须对所有的东西都不敏感，不与细胞内的任何其他物质发生反应。

　　经过翻阅大量文献，卡罗琳·贝尔托西最终找到了最佳的化学手柄。

　　巧合是，这个最佳化学手柄，正是一种叠氮化物，点击化学的灵魂。通过叠氮化物把荧光物质与细胞聚糖结合起来，便可以很好地分析聚糖的结构。

　　虽然贝尔托西的研究成果已经是划时代的，但她依旧不满意，因为叠氮化物的反应速度很不够理想。

　　就在这时，她注意到了巴里·夏普莱斯和莫滕·梅尔达尔的点击化学反应。

　　她发现铜离子可以加快荧光物质的结合速度，但铜离子对生物体却有很大毒性，她必须想到一个没有铜离子参与，还能加快反应速度的方式。

　　大量翻阅文献后，贝尔托西惊讶地发现，早在1961年，就有研究发现当炔被强迫形成一个环状化学结构后，与叠氮化物便会以爆炸式地进行反应。

　　2004年，她正式确立无铜点击化学反应（又被称为应变促进叠氮-炔化物环加成），由此成为点击化学的重大里程碑事件。

　　贝尔托西不仅绘制了相应的细胞聚糖图谱，更是运用到了肿瘤领域。

　　在肿瘤的表面会形成聚糖，从而可以保护肿瘤不受免疫系统的伤害。贝尔托西团队利用生物正交反应，发明了一种专门针对肿瘤聚糖的药物。这种药物进入人体后，会靶向破坏肿瘤聚糖，从而激活人体免疫保护。

　　目前该药物正在晚期癌症病人身上进行临床试验。

　　不难发现，虽然「点击化学」和「生物正交化学」的翻译，看起来很晦涩难懂，但其实背后是很朴素的原理。一个是如同卡扣般的拼接，一个是可以直接在人体内的运用。

「　　点击化学」和「生物正交化学」都还是一个很年轻的领域，或许对人类未来还有更加深远的影响。（宋云江）

　　参考

　　https://www.nobelprize.org/prizes/chemistry/2001/press-release/

　　Pfenninger, A. Asymmetric Epoxidation of Allylic Alcohols: The Sharpless Epoxidation[J]. Synthesis, 1986, 1986(02):89-116.

　　Rao A S . Addition Reactions with Formation of Carbon–Oxygen Bonds: (i) General Methods of Epoxidation - ScienceDirect[J]. Comprehensive Organic Synthesis, 1991, 7:357-387.

　　Kolb HC, Finn MG, Sharpless KB. Click Chemistry: Diverse Chemical Function from a Few Good Reactions. Angew Chem Int Ed Engl. 2001 Jun 1;40(11):2004-2021.

　　https://www.nobelprize.org/uploads/2022/10/popular-chemistryprize2022.pdf

　　https://www.nobelprize.org/uploads/2022/10/advanced-chemistryprize2022.pdf

　　Demko ZP, Sharpless KB. A click chemistry approach to tetrazoles by Huisgen 1,3-dipolar cycloaddition: synthesis of 5-acyltetrazoles from azides and acyl cyanides. Angew Chem Int Ed Engl. 2002 Jun 17;41(12):2113-6. PMID: 19746613.