一、网络安全挂图作战来源与定义
1、网络安全挂图作战的来源
网络安全挂图作战的概念源于传统军事作战中的“挂图作战”,即通过地图来指挥和协调作战行动。在网络空间安全领域,这一概念被引入并发展为一种新的网络安全管理和防御策略。其灵感来自于地理学中的“人地”关系理论,通过将网络空间的要素与地理空间相结合,构建网络空间地图。
在2020年7月,网络安全专家郭启全等在《中国科学院院刊》上发表了《发展网络空间可视化技术支撑网络安全综合防控体系建设》研究文章,论述了网络空间“挂图作战”的基本理念和发展愿景。
同年公安部印发《贯彻落实网络安全等保制度和关保制度的指导意见》(公网安[2020]1960号),明确提出“要加强网络新技术研究和应用,研究绘制网络空间地理信息图谱(网络地图),实现挂图作战”。
2、网络安全挂图作战的定义
挂图作战: 按计划、按目标、按进度、按要求实施的一种作战方式或工作方法。
网络安全挂图作战的核心思想:将攻击者的攻击路径和影响范围以图形化方式展现,帮助防守方更直观、全面地理解攻击者的行为以及对组织资产的影响,从而更有效地进行威胁检测、分析、响应等动作。
网络安全挂图作战是一种通过可视化技术将网络安全态势、资产、威胁等信息以图形化方式展示出来的方法。其核心在于通过构建网络空间地图,实现对网络安全事件的全过程展示和管理,通过“看、管、防、控”一体化实现主动防御的工作模式。
其核心价值在于:
● 攻防视角可视化:将攻击者的路径、手段及影响范围图形化呈现,辅助防守方快速定位薄弱点。
● 全生命周期管理:覆盖威胁检测、分析、响应、复盘的全流程闭环。
● 协同作战能力:整合多部门、多工具数据,打破信息孤岛,提升响应效率。
具体来说,挂图作战包括以下几个方面:
- 可视化展示:将网络环境中的各个要素(如资产、漏洞、威胁等)以图形化的方式呈现,提高网络安全的可视化程度。
- 态势感知与分析:通过挂图作战平台,实时监测和感知网络安全态势,及时发现和分析安全威胁。
- 决策支持:为安全决策提供直观的数据支持,帮助安全团队更好地研判和处置安全事件。
- 协同作战:支持多方协同作战,整合不同安全工具和平台的信息,提高安全事件的响应速度和处理效率。
通过这些功能,网络安全挂图作战能够有效地提升网络安全防护的效率和准确性,帮助组织更好地应对复杂的网络安全挑战。
二、挂图作战关键技术
- 网络空间测绘技术
● 资产指纹库:通过主动扫描(如端口探测、协议解析)和被动流量分析(如流量镜像),识别网络中的设备、服务、应用及版本信息。
● 拓扑自动发现:利用路由追踪、SNMP协议等,绘制网络节点间的连接关系和通信路径。 - 动态可视化引擎
● 图数据库(Neo4j、GraphX):存储复杂的资产关系与攻击链路,支持快速查询和路径分析。
● 威胁热力图:根据攻击频率、漏洞严重性等参数生成风险热区,直观标注高危区域。 - 攻击链建模(Cyber Kill Chain)
● MITRE ATT&CK框架集成:将攻击者的TTPs(战术、技术、过程)映射到网络地图中,预判攻击路径。
● 攻击模拟推演:基于红队工具(如Cobalt Strike)模拟攻击行为,验证防御策略有效性。 - 自动化响应编排(SOAR)
● 剧本(Playbook)驱动:当检测到攻击时,自动触发防火墙封禁、隔离主机、下发补丁等动作。
● 人机协同:高风险操作需人工确认,避免误拦截影响业务。 - 多源数据融合
● 跨平台集成:对接EDR、SIEM、漏洞扫描器等工具,聚合日志、告警和资产数据。
● 威胁情报联动:接入外部威胁情报(如恶意IP库、漏洞库),实时更新攻击特征。
三、挂图作战与传统态势感知的差异
| 对比维度 | 传统态势感知 | 挂图作战 |
|---|---|---|
| 核心目标 | 被动监控全网安全状态 | 主动防御,聚焦攻击路径阻断与协同响应 |
| 数据粒度 | 宏观指标(如告警数量、风险等级) | 微观到单个资产、漏洞、攻击链节点的精准定位 |
| 可视化方式 | 仪表盘(Dashboard)与统计图表 | 交互式网络地图,支持攻击链路动态推演 |
| 响应模式 | 人工研判后分步处置 | 自动化剧本执行 + 跨团队指令同步 |
| 适用场景 | 日常监控与合规报告 | 实战攻防(如HW行动)、应急响应、红蓝对抗 |
| 技术重心 | 大数据分析与告警聚合 | 攻击链建模、可视化指挥、自动化编排 |
四、挂图作战主要场景
- 关键基础设施防护
● 场景痛点:能源、交通等行业的OT系统(工控网络)存在大量老旧设备,难以实时监控。
● 挂图方案:
○ 绘制OT网络拓扑,标注PLC、SCADA系统的物理位置与逻辑连接。
○ 当检测到异常指令(如未授权的参数修改)时,地图自动定位受影响设备并隔离。 - 重大活动安保
● 场景痛点:活动期间网络访问激增,需防范DDoS、网页篡改等针对性攻击。
● 挂图方案:
○ 构建“活动专属作战地图”,集成CDN节点、票务系统、直播平台等核心资产。
○ 实时标注攻击源IP(如来自特定国家的扫描行为),联动云WAF自动封禁。 - 供应链攻击防御
● 场景痛点:第三方软件或服务漏洞可能成为攻击跳板(如SolarWinds事件)。
● 挂图方案:
○ 标注供应链厂商的接入点及权限范围,监控异常横向移动。
○ 当某供应商账号异常登录时,地图高亮关联资产并触发权限回收。 - 红蓝对抗演练
● 场景痛点:传统攻防演练中防守方难以快速定位攻击入口。
● 挂图方案:
○ 红队攻击路径实时映射到地图,蓝队可追溯攻击者从外网渗透到内网提权的全过程。
○ 演练结束后生成攻击路径复盘报告,优化防御策略。 - 零日漏洞应急响应
● 场景痛点:漏洞爆发后(如Log4j),企业需快速定位受影响资产。
● 挂图方案:
○ 输入漏洞特征(如JNDI调用),地图自动标记存在漏洞的服务实例。
○ 联动补丁管理系统,按业务优先级分批修复。
五、未来趋势
- 数字孪生融合:结合数字孪生技术,实现网络空间与物理世界的1:1映射。
- AI辅助决策:通过大语言模型(LLM)生成自然语言防御建议,降低操作门槛。
- 跨域协同:与国土安全、城市应急系统联动,构建国家级网络空间地图。
结语
“挂图作战”标志着网络安全从“被动告警”迈向“主动防御”的范式转变。通过将虚拟攻击映射为可视化的“战场”,企业不仅能看清自身防御盲区,更能在攻防对抗中抢占先机。随着技术的演进,未来的网络安全指挥中心或许将如军事作战室一般,通过一张动态地图掌控全局。
