网络安全“挂图作战“及其场景

一、网络安全挂图作战来源与定义

1、网络安全挂图作战的来源

网络安全挂图作战的概念源于传统军事作战中的“挂图作战”，即通过舆图来指挥和和谐作战举措。在网络空间安全范畴，这一概念被引入并发展为一种新的网络安全管理和防御战略。其灵感来自于地理学中的“人地”关系理论，通过将网络空间的要素与地理空间相联合，构建网络空间舆图。
在2020年7月，网络安全专家郭启全等在《中国科学院院刊》上发表了《发展网络空间可视化技术支撑网络安全综合防控体系建设》研究文章，叙述了网络空间“挂图作战”的基本理念和发展愿景。
同年公安部印发《贯彻落实网络安全等保制度和关保制度的指导意见》（公网安[2020]1960号），明确提出“要加强网络新技术研究和应用，研究绘制网络空间地理信息图谱(网络舆图)，实现挂图作战”。
2、网络安全挂图作战的定义

挂图作战： 按计划、按目标、按进度、按要求实行的一种作战方式或工作方法。
网络安全挂图作战的核心思想：将攻击者的攻击路径和影响范围以图形化方式显现，帮助防守方更直观、全面地理解攻击者的活动以及对组织资产的影响，从而更有效地进行威胁检测、分析、响应等动作。
网络安全挂图作战是一种通过可视化技术将网络安全态势、资产、威胁等信息以图形化方式展示出来的方法。其核心在于通过构建网络空间舆图，实现对网络安全事件的全过程展示和管理，通过“看、管、防、控”一体化实现主动防御的工作模式。
其核心价值在于：
● 攻防视角可视化：将攻击者的路径、手段及影响范围图形化呈现，辅助防守方快速定位薄弱点。
● 全生命周期管理：覆盖威胁检测、分析、响应、复盘的全流程闭环。
● 协同作战本领：整合多部门、多工具数据，突破信息孤岛，提升响应服从。
具体来说，挂图作战包括以下几个方面：

• 可视化展示：将网络环境中的各个要素（如资产、漏洞、威胁等）以图形化的方式呈现，进步网络安全的可视化水平。
  
• 态势感知与分析：通过挂图作战平台，实时监测和感知网络安全态势，及时发现和分析安全威胁。
  
• 决策支持：为安全决策提供直观的数据支持，帮助安全团队更好地研判和处理安全事件。
  
• 协同作战：支持多方协同作战，整合差别安全工具和平台的信息，进步安全事件的响应速率和处理服从。
  

通过这些功能，网络安全挂图作战能够有效地提升网络安全防护的服从和正确性，帮助组织更好地应对复杂的网络安全挑战。
二、挂图作战关键技术

• 网络空间测绘技术
  ● 资产指纹库：通过主动扫描（如端口探测、协议解析）和被动流量分析（如流量镜像），识别网络中的设备、服务、应用及版本信息。
  ● 拓扑主动发现：使用路由追踪、SNMP协议等，绘制网络节点间的连接关系和通信路径。
  
• 动态可视化引擎
  ● 图数据库（Neo4j、GraphX）：存储复杂的资产关系与攻击链路，支持快速查询和路径分析。
  ● 威胁热力图：根据攻击频率、漏洞严重性等参数生成风险热区，直观标注高危区域。
  
• 攻击链建模（Cyber Kill Chain）
  ● MITRE ATT&CK框架集成：将攻击者的TTPs（战术、技术、过程）映射到网络舆图中，预判攻击路径。
  ● 攻击模拟推演：基于红队工具（如Cobalt Strike）模拟攻击活动，验证防御战略有效性。
  
• 主动化响应编排（SOAR）
  ● 剧本（Playbook）驱动：当检测到攻击时，主动触发防火墙封禁、隔离主机、下发补丁等动作。
  ● 人机协同：高风险操作需人工确认，克制误拦截影响业务。
  
• 多源数据融合
  ● 跨平台集成：对接EDR、SIEM、漏洞扫描器等工具，聚合日记、告警和资产数据。
  ● 威胁情报联动：接入外部威胁情报（如恶意IP库、漏洞库），实时更新攻击特征。
  

三、挂图作战与传统态势感知的差异

对比维度传统态势感知挂图作战核心目标被动监控全网安全状态主动防御，聚焦攻击路径阻断与协同响应数据粒度宏观指标（如告警数量、风险品级）微观到单个资产、漏洞、攻击链节点的精准定位可视化方式仪表盘（Dashboard）与统计图表交互式网络舆图，支持攻击链路动态推演响应模式人工研判后分步处理主动化剧本执行 + 跨团队指令同步实用场景日常监控与合规报告实战攻防（如HW举措）、应急响应、红蓝对抗技术重心大数据分析与告警聚合攻击链建模、可视化指挥、主动化编排 四、挂图作战主要场景

• 关键基础设施防护
  ● 场景痛点：能源、交通等行业的OT系统（工控网络）存在大量老旧设备，难以实时监控。
  ● 挂图方案：
  ○ 绘制OT网络拓扑，标注PLC、SCADA系统的物理位置与逻辑连接。
  ○ 当检测到异常指令（如未授权的参数修改）时，舆图主动定位受影响设备并隔离。
  
• 庞大活动安保
  ● 场景痛点：活动期间网络访问激增，需防范DDoS、网页窜改等针对性攻击。
  ● 挂图方案：
  ○ 构建“活动专属作战舆图”，集成CDN节点、票务系统、直播平台等核心资产。
  ○ 实时标注攻击源IP（如来自特定国家的扫描活动），联动云WAF主动封禁。
  
• 供应链攻击防御
  ● 场景痛点：第三方软件或服务漏洞大概成为攻击跳板（如SolarWinds事件）。
  ● 挂图方案：
  ○ 标注供应链厂商的接入点及权限范围，监控异常横向移动。
  ○ 当某供应商账号异常登录时，舆图高亮关联资产并触发权限回收。
  
• 红蓝对抗演练
  ● 场景痛点：传统攻防演练中防守方难以快速定位攻击入口。
  ● 挂图方案：
  ○ 红队攻击路径实时映射到舆图，蓝队可追溯攻击者从外网渗透到内网提权的全过程。
  ○ 演练结束后生成攻击路径复盘报告，优化防御战略。
  
• 零日漏洞应急响应
  ● 场景痛点：漏洞爆发后（如Log4j），企业需快速定位受影响资产。
  ● 挂图方案：
  ○ 输入漏洞特征（如JNDI调用），舆图主动标记存在漏洞的服务实例。
  ○ 联动补丁管理系统，按业务优先级分批修复。
  

五、将来趋势

• 数字孪生融合：联合数字孪生技术，实现网络空间与物理天下的1:1映射。
  
• AI辅助决策：通过大语言模子（LLM）生成自然语言防御发起，降低操作门槛。
  
• 跨域协同：与国土安全、城市应急系统联动，构建国家级网络空间舆图。
  

结语

“挂图作战”标志着网络安全从“被动告警”迈向“主动防御”的范式变化。通过将虚拟攻击映射为可视化的“战场”，企业不但能看清自身防御盲区，更能在攻防对抗中抢占先机。随着技术的演进，将来的网络安全指挥中央或许将如军事作战室一样寻常，通过一张动态舆图掌控全局。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。