网络安全挂图作战之总体设计

新时代网络安全的显著特征是技术对抗。为了大力提升网络安全技术对抗能力，需要建设网络安全保护平台，建设网络安全智慧大脑，利用大数据和人工智能等技术将网络安全业务上图，实施挂图作战。本文节选了《网络安全保护平台建设应用与挂图作战》相关内容，供网络安全保护工作相关单位、网络运营者和网络安全从业者们学习参考。

随着企业“云改数转”的进一步加速，企业上云、互联网化越来越普遍，网络安全已成为企业和组织无法忽视的重要议题。网络与信息资产互联是企业的典型特征，恶意黑客、网络犯罪团伙以及其他潜在威胁者不断演变和进化攻击手段，在企业内部快速移动寻求突破口，找到获利目标，从而严重地挑战了组织的信息资产和隐私安全。在这种背景下，防守方迫切需要一种高效而有力的方式来应对不断变化的网络威胁，精准地识别并描述攻击活动，并组织防守方进行及时响应和阻止风险。

然而，安全团队面对网络安全威胁行为者不断创新，形成的更为隐蔽和复杂的攻击往往措手不及，难以理解复杂的攻击过程，并且缺少有效手段进行人工定位和分析。因此，安全团队不能再局限于单一的事件或威胁，并受困于杂乱无序的攻击告警中，而是应当以整体攻击路径为导向，实施全局性的威胁检测、分析和响应动作。

什么是“挂图作战”？

挂图作战是按计划、按目标、按进度、按要求实施的一种作战方式或工作方法，整个过程有具体的执行方案、明确的目标设计以及完善的保障措施，工作流程、完成情况、最新进展等重要信息通过图表清单都能一目了然。

挂图作战同样是一种在网络安全领域中应用的防御策略和战术思想，其核心思想是将攻击者的攻击路径和影响范围以图形化方式展现，帮助防守方更直观、全面地理解攻击者的行为以及对组织资产的影响，从而更有效地进行威胁检测、分析、响应等动作。

挂图作战，提供的是方法与路径。凡事预则立，不预则废。推进一项工作，必须有计划性、目的性，必须做到目标明确、方向清晰。挂图作战的优势在于它能够以简明的形式呈现复杂的信息和关系，提高沟通和理解的效率。挂图作战能够使管理者和执行者更好地把握全局，清晰地了解任务和目标，并能够更好地安排和协调工作。此外，挂图作战还可以帮助发现问题、规避风险，提高决策的准确性和精度。

挂图作战整体设计

网络安全的重要性日益凸显，网络安全保护由辅助支撑工作逐渐发展成中央行业部门、中央企业的一项重要战略任务。因为攻防双方实际存在，且随着事态演进不断争夺资源、发动攻击或防守反制，所以，网络安全保护在某种意义上带有作战的意味。和其他领域的战争需要地图来指挥作战相似，网络空间的业务实战也需要网络空间地图、图谱、图形，以支持业务人员依托平台基础设施，指挥内部、下级、第三方联合团队实施作战，保护以关键信息基础设施为重点的网络空间安全。

网络安全挂图作战以直观的地图、图形的形式代替原有的文本呈现方式，让海量网络安全保护数据变得直观、可读，使业务场景信息的展示简明扼要，且可层层递进、级联扩展，为网络安全保护业务的开展提供支撑。如图①所示，计算机、网络信息技术领域可视化图形设计一般包括页面的总体结构、页面及其组件的色调风格、时空信息映射（时空结合）、关联关系展示（关系可视），各部分的设计都与信息、数据的特征和特点密切相关。

总体结构设计需要考虑业务需求、场景演化、页面框架、图层关联、与其他页面的关联等；色调风格设计需要考虑展示要素的信息特征、点状呈现、线状呈现、动态呈现、静态呈现等；时空结合设计需要考虑时序数据分类、空间数据分级等；关系可视设计更为复杂，涉及关系呈现的点、线、图及其组合，以及关系的方向、关系的内涵等。可以说，可视化图形设计需要充分梳理数据、信息、可视化表达要素的特征和特点，设计出符合人类思维逻辑且内容丰富的图形，并根据人类大脑的思维习惯不断拓展，直至能够依据相关信息作出判断。

图①　可视化图形设计

网络安全保护的传统业务工作多以文本、图表等方式进行查询与显示，由于网络空间信息数量大、种类繁多、表现形式复杂，且难以体现网络空间与地理空间的映射关系，所以，无法直观表达网络空间信息的多维特性，难以多角度、全方位地提供清晰明确的信息支持。网络安全挂图作战对地理、网络链路、网络资产、网络安全事件、威胁情报、虚拟主体等网络时空大数据进行融合分析，基于可视化表达技术进行数据上图、要素上图和业务上图，使网络安全保护工作向智能化、自动化和可视化迈进。在一定程度上，网络安全挂图作战的可视化图形设计离不开分类清晰、关系明确的网络安全保护大数据的支持，需要通过图层映射，在图层要素提取插件的帮助下，将数据及其代表的信息重组，从而直观、形象地呈现网络安全业务场景所需的组合图形。

如图②所示为场景（网络安全保护业务）驱动的网络安全挂图作战设计总体思路，即从网络安全保护业务场景出发，基于网络安全保护平台数据资源进行挂图作战图形的设计。在具体设计过程中，首先对挂图业务进行梳理，详细了解业务运作过程、业务关注的要素、要素的轮廓，从而确定网络安全保护业务上图的主逻辑，并在主逻辑的约束下，确定上图要素可能的表达维度、配套模型，以及同一要素多槽面表达之间、不同要素不同槽面表达之间的关联，进而确定挂图图形总体架构和关联关系。

然后，进行业务数据和要素数据闭包提取。不管是图形上的业务表达，还是要素表达，在确定表达的主体逻辑之后，围绕业务流程、流程环节、环节配套数据，从平台数据资源中抽取相关信息并关联至业务。同样，从数据资源中抽取要素表达所需数据，进行数据所表达信息与图层的映射，构建业务所需的图层要素、要素轮廓呈现所需的数据、数据蕴含的要素，形成业务场景所需的图层及图层要素。

最后，基于业务场景静态呈现和动态呈现的需要，进行图层叠加和要素级别对应，引入可视化表达技术以确定图形设计、分级上图策略、业务交换策略和视图转换策略。至此，基本完成面向某项实战业务的挂图作战图形设计。

图②　场景驱动的网络安全挂图作战设计总体思路

考虑当前网络安全保护业务开展的实际情况，重要行业部门、中央企业在平台建设过程中，应重点围绕等级保护、关键信息基础设施安全保护、安全监测、通报预警、应急处置、技术对抗、安全检查、威胁情报、追踪溯源、指挥调度等业务进行挂图作战图形设计。

小结

实施网络安全挂图作战，必须从网络安全保护业务的实际需求出发，依托平台基础设施，通过面向分类业务的图层映射、要素提取与场景绘图，构建概览图、分级下钻图、解释图（涵盖流程图、关系图、逻辑图和各级地图），以丰富的图形展现网络安全保护平台信息数据，赋予作战“指挥官”判断、决策、指挥能力，支撑网络安全保护工作中等级保护、关键信息基础设施安全保护、安全监测、通报预警、应急处置、技术对抗、安全检查、威胁情报、追踪溯源、侦查打击、指挥调度等业务的开展。