一、网络安全挂图作战来源与定义

1、网络安全挂图作战的来源

网络安全挂图作战的概念源于传统军事作战中的“挂图作战”，即通过地图来指挥和协调作战行动。在网络空间安全领域，这一概念被引入并发展为一种新的网络安全管理和防御策略。其灵感来自于地理学中的“人地”关系理论，通过将网络空间的要素与地理空间相结合，构建网络空间地图。

在2020年7月，网络安全专家郭启全等在《中国科学院院刊》上发表了《发展网络空间可视化技术支撑网络安全综合防控体系建设》研究文章，论述了网络空间“挂图作战”的基本理念和发展愿景。

同年公安部印发《贯彻落实网络安全等保制度和关保制度的指导意见》（公网安[2020]1960号），明确提出“要加强网络新技术研究和应用，研究绘制网络空间地理信息图谱(网络地图)，实现挂图作战”。

2、网络安全挂图作战的定义

挂图作战： 按计划、按目标、按进度、按要求实施的一种作战方式或工作方法。
网络安全挂图作战的核心思想：将攻击者的攻击路径和影响范围以图形化方式展现，帮助防守方更直观、全面地理解攻击者的行为以及对组织资产的影响，从而更有效地进行威胁检测、分析、响应等动作。

网络安全挂图作战是一种通过可视化技术将网络安全态势、资产、威胁等信息以图形化方式展示出来的方法。其核心在于通过构建网络空间地图，实现对网络安全事件的全过程展示和管理，通过“看、管、防、控”一体化实现主动防御的工作模式。

其核心价值在于：
● 攻防视角可视化：将攻击者的路径、手段及影响范围图形化呈现，辅助防守方快速定位薄弱点。
● 全生命周期管理：覆盖威胁检测、分析、响应、复盘的全流程闭环。
● 协同作战能力：整合多部门、多工具数据，打破信息孤岛，提升响应效率。

具体来说，挂图作战包括以下几个方面：

1. 可视化展示：将网络环境中的各个要素（如资产、漏洞、威胁等）以图形化的方式呈现，提高网络安全的可视化程度。
2. 态势感知与分析：通过挂图作战平台，实时监测和感知网络安全态势，及时发现和分析安全威胁。
3. 决策支持：为安全决策提供直观的数据支持，帮助安全团队更好地研判和处置安全事件。
4. 协同作战：支持多方协同作战，整合不同安全工具和平台的信息，提高安全事件的响应速度和处理效率。

通过这些功能，网络安全挂图作战能够有效地提升网络安全防护的效率和准确性，帮助组织更好地应对复杂的网络安全挑战。

二、挂图作战关键技术

1. 网络空间测绘技术
   ● 资产指纹库：通过主动扫描（如端口探测、协议解析）和被动流量分析（如流量镜像），识别网络中的设备、服务、应用及版本信息。
   ● 拓扑自动发现：利用路由追踪、SNMP协议等，绘制网络节点间的连接关系和通信路径。
2. 动态可视化引擎
   ● 图数据库（Neo4j、GraphX）：存储复杂的资产关系与攻击链路，支持快速查询和路径分析。
   ● 威胁热力图：根据攻击频率、漏洞严重性等参数生成风险热区，直观标注高危区域。
3. 攻击链建模（Cyber Kill Chain）
   ● MITRE ATT&CK框架集成：将攻击者的TTPs（战术、技术、过程）映射到网络地图中，预判攻击路径。
   ● 攻击模拟推演：基于红队工具（如Cobalt Strike）模拟攻击行为，验证防御策略有效性。
4. 自动化响应编排（SOAR）
   ● 剧本（Playbook）驱动：当检测到攻击时，自动触发防火墙封禁、隔离主机、下发补丁等动作。
   ● 人机协同：高风险操作需人工确认，避免误拦截影响业务。
5. 多源数据融合
   ● 跨平台集成：对接EDR、SIEM、漏洞扫描器等工具，聚合日志、告警和资产数据。
   ● 威胁情报联动：接入外部威胁情报（如恶意IP库、漏洞库），实时更新攻击特征。

三、挂图作战与传统态势感知的差异

对比维度	传统态势感知	挂图作战
核心目标	被动监控全网安全状态	主动防御，聚焦攻击路径阻断与协同响应
数据粒度	宏观指标（如告警数量、风险等级）	微观到单个资产、漏洞、攻击链节点的精准定位
可视化方式	仪表盘（Dashboard）与统计图表	交互式网络地图，支持攻击链路动态推演
响应模式	人工研判后分步处置	自动化剧本执行 + 跨团队指令同步
适用场景	日常监控与合规报告	实战攻防（如HW行动）、应急响应、红蓝对抗
技术重心	大数据分析与告警聚合	攻击链建模、可视化指挥、自动化编排

四、挂图作战主要场景

1. 关键基础设施防护
   ● 场景痛点：能源、交通等行业的OT系统（工控网络）存在大量老旧设备，难以实时监控。
   ● 挂图方案：
   ○ 绘制OT网络拓扑，标注PLC、SCADA系统的物理位置与逻辑连接。
   ○ 当检测到异常指令（如未授权的参数修改）时，地图自动定位受影响设备并隔离。
2. 重大活动安保
   ● 场景痛点：活动期间网络访问激增，需防范DDoS、网页篡改等针对性攻击。
   ● 挂图方案：
   ○ 构建“活动专属作战地图”，集成CDN节点、票务系统、直播平台等核心资产。
   ○ 实时标注攻击源IP（如来自特定国家的扫描行为），联动云WAF自动封禁。
3. 供应链攻击防御
   ● 场景痛点：第三方软件或服务漏洞可能成为攻击跳板（如SolarWinds事件）。
   ● 挂图方案：
   ○ 标注供应链厂商的接入点及权限范围，监控异常横向移动。
   ○ 当某供应商账号异常登录时，地图高亮关联资产并触发权限回收。
4. 红蓝对抗演练
   ● 场景痛点：传统攻防演练中防守方难以快速定位攻击入口。
   ● 挂图方案：
   ○ 红队攻击路径实时映射到地图，蓝队可追溯攻击者从外网渗透到内网提权的全过程。
   ○ 演练结束后生成攻击路径复盘报告，优化防御策略。
5. 零日漏洞应急响应
   ● 场景痛点：漏洞爆发后（如Log4j），企业需快速定位受影响资产。
   ● 挂图方案：
   ○ 输入漏洞特征（如JNDI调用），地图自动标记存在漏洞的服务实例。
   ○ 联动补丁管理系统，按业务优先级分批修复。

五、未来趋势

1. 数字孪生融合：结合数字孪生技术，实现网络空间与物理世界的1:1映射。
2. AI辅助决策：通过大语言模型（LLM）生成自然语言防御建议，降低操作门槛。
3. 跨域协同：与国土安全、城市应急系统联动，构建国家级网络空间地图。

结语

“挂图作战”标志着网络安全从“被动告警”迈向“主动防御”的范式转变。通过将虚拟攻击映射为可视化的“战场”，企业不仅能看清自身防御盲区，更能在攻防对抗中抢占先机。随着技术的演进，未来的网络安全指挥中心或许将如军事作战室一般，通过一张动态地图掌控全局。