可视化交互分析方向战略—“挂图作战”

“挂图作战”是按计划、按目标、按进度、按要求实施的一种作战方式或工作方法，是一种可视化的战略性工作规划，那么，应用到我们的网络世界，挂图作战有着怎么样的定义呢？

其实，在2020年7月网络安全专家、公安部网络安全保卫局一级巡视员、副局长郭启全等在《中国科学院院刊》上发表了《发展网络空间可视化技术支撑网络安全综合防控体系建设》研究文章，论述了网络空间“挂图作战”的基本理念和发展愿景，提出网络空间可视化手段还停留在初级层次；同年，贯彻落实网络安全等保制度和关保制度的指导意见》（公网安[2020]1960号）发布，旨在加强国家国计民生等重要线上业务网络安全防护能力。指导意见明确提出“研究绘制网络空间地理信息图谱（网络地图），实现挂图作战”。

由此，“挂图作战”这一可视化的环境分析方向战略正式引入行业的发展理念中，并开始了战略性的研究与发展，下面我们一起来看一下“挂图作战”的具体表现形式以及现状分析。

在大家的传统观念里，网络空间被普遍当作地、海、空、天之后的第五维空间，传统的这4个空间均是连续的三维物理空间，可以描述具有惯性、满足物理动力学理论的实体，而网络空间是一个离散、高维的空间，描绘的对象虚拟且不具惯性的，目前还未形成一套完整地关于网络空间定量描述方法构建网络空间地图理论体系，仅是结合地理地图的经纬度坐标，以较粗粒度的IP地理定位实现地域宏观资产服务、事件或告警统计。

“挂图作战”实质上仅将网络空间向经纬度上进行了投影，没有反映互联网独特的IP层网络层（拓扑关系）所包涵连接逻辑、连接流量和连接可靠性特征。其中连接逻辑包括但不限于网络互联政策和意图、网络服务、网络设备、虚拟账号、网络链路等要素。

在多个要素的综合影响下，难免会滋生一些问题，影响着“挂图作战”的发展进度，最主要的两点就是“感而不知”和“感而不为”

一：由于缺乏在中微观层面对各类网络事件的描述和进行适于理解的结构化组织与聚合呈现，所以难以支持网安分析运营人员对威胁行为做出有效理解，只能“感而不知”；

二：由于缺乏支撑分析运营人员对疑似安全事件进行甄别核实所需的可视交互分析环境，以及高级决策人员制定决策并开展响应行动所需的交互操作环境，所以难以真正有效满足各种防御角色的态势感知需求，更无法有效指挥积极防御工作，只能“感而不为”。

以上通过对当前网络空间可视化的低层次现状分析，得出了相当有意义的价值性信息，只要能突破这个低层次的现状，不仅是实现网络空间“挂图作战”的战略性发展的一大步，更是对网络空间可视化环境发展战略的高度提升！

“挂图作战”与地理空间的“相生”关系

在传统的地理空间，地图作为描绘地理现象的重要载体，自古以来就是指挥作战不可或缺的工具；如今在网络空间，也迫切需要能够全面展示网络空间信息的网络空间地图，从而建立起网络空间与地理空间的关联。依托网络安全态势感知平台，将网络空间地图与平台智慧大脑有机结合，实现网络空间的“挂图作战”。

网络空间具有高度的复杂性，并与地理空间高度关联，共同构成了人类活动的现实空间。要绘制一组能够实时、动态、真实反应网络空间并将其与地理空间统一融合的网络空间地图，需要多种技术相融合。

网络空间地理学的核心命题是“人物—地理—网络”关系的研究：

1，地理空间环境是网络空间要素依附的载体，强调网络要素的地理属性，如网络基础设施和网络行为主体的地理位置、空间分布和区域特性，涉及距离、尺度、区域、边界、空间映射等概念。

2，网络空间环境比地理环境的接点链路更多，还可分为物理环境和逻辑环境，包含各种网络设备、网络应用、软件、数据、IP地址、协议端口等。

3，网络空间的行为主体含有虚拟角色，关注网络行为主体（即实体角色或虚拟角色）的交互行为及其社会关系，包括信息流动、虚拟社区、公共活动空间等，而地理环境行为主体只有实体角色。

4，业务环境重点是网络安全的虚拟主体，主要包括业务部门重点关注的各类网络安全事件（案件）、网络安全服务主体、网络安全保护对象等。

网络空间地理学是地理学的分支学科，是地理学研究内容从现实空间向虚拟空间的延伸，集中探讨网络空间和地理空间的映射关系，揭示网络空间安全运行机理与保障路径。作为地理学研究的重要方向与学术前沿，网络空间地理学的创建既是保障国家网络安全的战略需求，也是加快地理学学科建设的时代需求，其中还包含以下几大因素，在“挂图作战”中起着举足轻重的作用。

①地理空间要素

绘制网络空间地图，基于GIS地图展示网络基础设施和网络行为主体的地理位置、空间分布和区域特性，进行街道、楼宇3D立体展示。

②网络空间关系要素

以网络空间地图可视化为基础，融入网络空间关系、网络空间资产数据、、网络安全隐患、网络安全事件、从单位、资产、系统、事件等维度丰富可视化表达，全面展示和描述网络空间资源的分布和属性，实现网络空间要素的可视化表达。

③网络空间业务要素

将网络安全事件在网络空间地图上进行画像和过程展示，按照行为主体、客体和影响等进行处置反馈，跟踪事件发起、取证、处置、追溯状态，及时掌握处置情况。

④行为主体要素

关注网络行为主体（即实体角色或虚拟角色）交互行为及其社会关系，包括信息流动、虚拟社区、公共活动空间等，如在网络空间地图上进行人员画像及分布展示，包括人员基本信息、人员标签、网络身份、归属单位信息以及所管理的系统风险信息。

⑤可视化分析要素

网络挂图分析是指将复杂、动态的网络安全事件按照行为主体、客体和影响等要素分解，分析网络安全事件发生的驱动因素及内部机理，结合空间图、网络图的形式集中表达网络安全事件分析的全过程，实现网络安全事件多维分析；结合AILPHA人工智能和大数据分析技术，对攻击事件及攻击者、攻击手段等进行画像；对网络空间要素、模型运算和应急处置进行全生命周期的场景展示。

挂图作战以地理空间可视化为样本，融入网络空间要素和网络安全事件，从要素、关系、事件、业务等维度丰富可视化表达内容，绘制网络空间地图，实现网络空间各类事件全过程展示，实现网络空间的具象化与数字化。

浅析“挂图作战”在现实领域的发展历程

挂图作战”这一战略概念提出后，因为网络空间地理学是地理学的分支学科，在此期间，人们也对这一概念做出更加深入的研究和推进，也是有着一定的发展历程，研究时间来支撑“挂图作战”在现实生活中的推进。

① 2020年7网络安全专家、公安部网安局郭启全等发表了文章《发展网络空间可视化技术支撑网络安全综合防控体系建设》对网络空间地图进行了构想，折射出“挂图作战”的基本理念。

② 2020年9月11日，公安部发布了《贯彻落实网络安全等保制度和关保制度的指导意见》（以下简称《指导意见》），其中测绘方面要求加强网络新技术研究和应用，研究绘制网络空间地理信息图谱（网络空间地图），为挂图作战打下坚实数据基础。

③ 2021年3月27日,由中国信息协会信息安全专业委员会主办，PCSA安全能力者联盟、数世咨询承办的关键信息基础设施“挂图作战”解决方案与最佳实践技术大会在万寿宾馆召开，华顺信安、微步在线、埃文科技等数十家系“挂图作战”系列平台及解决方案提供商出席会议。PCSA和安全联盟成员首次推出“挂图作战”共生系列解决方案三库三平台建设，确保“资产清晰化、风险动态化、能力生态化”，满足“动态防御，主动防御，纵深防御，精准防护，整体防护，联防联控”的安全保障需求，实现一体化安全管理运营与指挥协同挂图作战。

在此期间，不仅是概念和指导性文件的落实，还有很多优秀的企业在以实际行动推进“挂图作战”的战略计划，厂商企业也做出了实质性的推进工作，下面我们一起来盘点一下都有哪些企业：

1，钟馗之眼-知道创宇

ZoomEye 是一个检索网络空间节点的搜索引擎。通过后端的分布式爬虫引擎对全球节点的分析，对每个节点的所拥有的特征进行判别，从而获得设备类型、固件版本、分布地点、开放端口服务等信息，ZoomEye能够发现未知的公开资产，检测外部相关联的关键信息，并将所发现的信息整理成可行性情报。

ZoomEye目前主要的应用场景，但是实际上还有很多其他应用场景，包括在APT、僵尸网络、攻击框架等方向上的主动测绘应用、在网络数据泄露上的探测应用，甚至还有脱离传统网络安全上的应用。

2，奇安信-全球鹰

奇安信全球鹰多年来持续投入力量，致力于网络空间测绘技术攻关，将地理、资产、事件、情报等大数据进行融合分析，目前已经能够在3D大屏上将地理、网络、行为进行关联化呈现，并提供针对性的安全服务及专项。

奇安信全球鹰网络空间测绘系统已完成全球范围内约4亿个IP地址的资产探测，发现IP资产2亿+、Web资产2700万+，为各类行业测绘资产地图提供数据支撑，对近百万网络资产进行细粒度行业运营分类;对数十万黑白灰网站进行分析研网络资产与安全风险综合管控(网探D01)判，为执法机构依法打击网络犯罪提供数据支撑;累计完成20+个重点漏洞暴露面分析，协助多个省市开展P2P资产专项普查、Struts2漏洞专项探测、城市重点IDC相关Web资产普查和漏洞扫描;共计为公安、网信、教育、卫生等十个行业数百个客户提供资产探测、资产运营、资产管理服务。

3，埃文科技-捕风者和擎天神

捕风者是全球超高精度IP实时定位系统，IP定位，返回IP的定位结果信息；逆IP定位功能，通过搜索关键字和在地图上指定区域的方式，显示指定地理范围内的IP分布信息和IP段的上层拓扑信息；IP 应用场景，提供20种IP应用场景，例如住宅用户、企业专线、数据中心、学校单位等；IP 周边，提供IP定位范围内的POI信息；IP 域名，提供IP对应的域名信息。

擎天神是全球网络拓扑测绘系统，结合使用多模式的联邦探测技术、大规模路由器别名精准识别技术、基于路由器位置与时延的POP汇聚技术和基于互联网经济模型的AS连接类型划分技术，完成IP接口级、路由器级、POP级和AS级的网络拓扑测绘，实现自顶向下的、多层级的全球网络拓扑测绘。系统通过不同级别不同颗粒度的网络拓扑可视化功能，展示全球互联网的网络拓扑，包含全球、国家间、国家内、AS域间、AS域内的三维地理拓扑和二维逻辑拓扑。

4，Norse

Norse公司通过搜集全球40个国家的将近150个数据中心的数据，每天要处理130TB数据。Norse的大多数数据来自Norse公司所有并监视的800万台“蜜罐”计算机，这些计算机通过运行多达6000多种伪程序，吸引全球的网络攻击，伪程序包括ATM程序和公司电子邮箱

5，安恒深入研究网络空间地理学理论，围绕网络空间测绘与资产分析、地理资源和网络空间数据模型构建，研究绘制网络空间地理信息图谱，有机融入关键信息基础设施安全保卫平台，实现挂图作战，协助监管部门开展关键信息基础设施安全的保卫工作。

当然，除了以上举例的厂商企业，还有很多企业也在用实际行动，为“挂图作战”的实质性推进做了自己力所能及的一份力量，比如也有很多厂商被纳入首批PCSA挂图作战系列平台及解决方案授权提供商，包含：

北京圣博润高新技术股份有限公司

北京安博通科技股份有限公司

成都科来网络技术有限公司

北京升鑫网络科技公司（青藤云安全）

北京中睿天下信息技术有限公司

北京华顺信安科技有限公司（白帽汇）

北京华云安信息技术有限公司

北京微步在线科技有限公司

太极计算机股份有限公司

北京国信新网通讯技术有限公司

福建中信网安信息科技有限公司

网络安全界基于知识的识别和映射提出网络空间资源分类明细

随着网络空间的迅速发展，现有许多基于用户位置的应用（例如生活或出行类产品）,帮助人们更智能化地实时利用周边的网络信息和资源，与此同时，也有的工作往往只去考虑对具体任务的具体解决,但缺乏整体的视角去评估位置资源和网络空间的隔离问题。因而网络安全界提出网络空间资源需要对位置语义进行基于知识的识别和映射,其中识别包括位置语义的理解与构建、位置与网络空间文本和知识的融合与计算,映射包括文本资源、应用数据信息如何与人的位置进行映射,适用于推荐等应用。

网络空间地理学是地理学的分支学科，是地理学研究内容从现实空间向虚拟空间的延伸，集中探讨网络空间和地理空间的映射关系，揭示网络空间安全运行机理与保障路径。作为地理学研究的重要方向与学术前沿，网络空间地理学的创建既是保障国家网络安全的战略需求，也是加快地理学学科建设的时代需求。

网络空间地理学的核心命题是“人物—地理—网络”关系的研究，主要包含三大类内容：

① “人物—地理—网络”相互作用机制。

② 网络空间与现实空间的映射关系。

③ 网络空间的逻辑结构与要素体系。

同时，也包含了网络空间地理学的技术路径、网络空间的多层次可视化表达以及网络安全事件模拟预测，如下图所示：

网络空间地理学技术路径

网络空间的多层次可视化表达

网络安全事件模拟预测示意图

受传统地理学“人地”关系理论启发，建立了网络空间“人-地-网”新型纽带关系，认为这是实现网络空间地图采用的基本技术思想。根据网络空间要素自身的结构和特点，并结合网络安全业务需求，将网络空间要素划分为地理环境、网络环境、行为主体和业务环境4个层次：

1，地理环境层。它是各类网络空间要素依附的载体，强调网络空间要素的地理属性，如网络基础设施和网络行为主体的地理位置、空间分布和区域特性，涉及距离、尺度、区域、边界、空间映射等概念。

2，网络环境层。主要是各类网络空间要素形成的节点和链路，即逻辑拓扑关系，又可分为物理环境和逻辑环境，包含各种网络设备、网络应用、软件、数据、IP地址、协议端口等。

3，行为主体层。包含实体角色和虚拟角色，关注网络行为主体（即实体角色或虚拟角色）的交互行为及其社会关系，包括信息流动、虚拟社区、公共活动空间等。

4，业务环境层。主要包括业务部门重点关注的各类网络安全事件（案件）、网络安全服务主体、网络安全保护对象等。地理环境层、网络环境层、行为主体层和业务环境层 4 个层次的要素之间相互联系、相互影响，共同构成网络空间要素体系。

网络空间“挂图”主要是指网络空间要素可视化表达、网络空间关系可视化描述和网络安全事件可视化分析等；“作战”是指能够支撑业务，使资产底数更清楚、事件发现更精确、威胁定位更准确、威胁分析更智能、威胁溯源更自动，有效辅助超大规模社会协同与海量网络安全事件场景下的指挥决策，如图：

网络空间具有高度的复杂性，并与地理空间高度关联，共同构成了人类活动的现实空间。要绘制一组能够实时、动态、真实反应网络空间并将其与地理空间统一融合的网络空间地图，需要多种技术相融合。

①以地理空间可视化为基础，融入网络安全事件和网络空间资产数据，从地理、资产、事件维度丰富可视化表达，全面展示和描述网络空间资源的分布和属性，实现网络空间要素的可视化表达。

②在网络空间要素表达基础上，探讨社会人、网络、地理空间与数字化信息数据间的相互关联和影响，将网络拓扑关系映射到地理空间，实现网络关系的可视化。

③ 以事件为触发条件，通过图形快速串联事件、资产和地理要素，明晰各要素之间的互动关系，形成一组动态、实时、可靠、有效的网络空间作战指挥地图，提高业务部门在事件发现、取证定位、追踪溯源方面的能力和效率，使职能部门工作更加智能化、自动化、可视化。

在挂图作战中，我们将网络空间中的防护对象和防护措施可视化，从而打造全局视角，完善整体防护、纵深防御和主动防御体系。同时，融合空间地图、安全数据和安全能力，形成基于战术级地形分析的动态防御、联防联控和精准防护作战体系。

战略决策协同指挥平台以精准高效的决策指挥+快速有效的协同共享为目标，在体系化对抗中“平战结合”场景下，总览实时攻击、实时防御情况，全天候全方位感知网络安全态势，综合推理研判攻击意图，综合推理研判攻击意图，站在战略高度决策协同指挥，即时发布预警信息与通报情况，实现上下一体化信息共享。

“战时”响应“监测-响应-预测-防御“的体系化工作，实现安全对抗智能化，在实战化场景实现智慧化决策，从而达到平战结合一体化！

部分资料来源于网络，如有涉及请联系删除