王奕钧(公安部第一研究所信息安全部)

随着互联网信息技术、5G网络、物联网应用的飞速发展,网络空间已经和人们的日常活动结合得越来越紧密,并且相互影响,逐渐融合.网络空间现已成为人们生产、生活的“第二类活动空间”,是继陆、海、空、太空之后人类的第五大行动领域.人们在享受互联网信息技术、5G网络、物联网应用发展所带来的成果的同时,网络空间的安全风险也在以更快、更多、更隐蔽的方式威胁着人们的正常生活和城市的稳定安全.2015年12月,黑客对乌克兰电网发动的网络攻击造成乌克兰西部大规模停电.2017年爆发的勒索病毒直接攻击了全球150多个国家地区的23万多台计算机,我国也有多个行业多家单位受到影响.另外,不法分子经常利用漏洞后门、木马软件、邮件钓鱼、DDoS软件等手段对我国互联网空间中的服务器、终端、应用发起攻击,以达到盗窃数据、诈骗勒索、打击竞争对手的目的.根据国家计算机网络应急技术处理协调中心2022年1月披露的数据,我国境内感染木马或僵尸网络恶意程序的终端达446万余个,较2021年12月增加40.0%;境内被篡改网站数量共4327个,其中被篡改政府网站数量为24个;被植入后门的网站数量为1812个,其中包含政府网站2个;针对境内网站的仿冒页面数量为187个.同时,国家信息安全漏洞共享平台(CNVD)共协调处置了3568起涉及我国政府部门、银行、民航、电信、传媒、公共卫生、教育等行业的漏洞事件.由此可见,我国网络空间中的政府网站、重要信息系统等关键信息基础设施以及各类终端面对的网络威胁居高不下,遭受的网络攻击日益增加.

为了更好地治理我国网络空间,应对网络安全风险,2021年,我国发布了《关键信息基础设施安全保护条例》《网络产品安全漏洞管理规定》《中华人民共和国数据安全法》等法规,旨在进一步加强我国网络空间的安全保护、保卫和保障,提升我国网络空间安全保障的整体水平,维护国家网络安全和国家安全.同年12月中央网络安全和信息化委员会印发的《“十四五”国家信息化规划》高度重视网络安全建设,把基础能力、战略前沿、民生保障等摆在了优先位置.网络空间地理学是研究网络空间表达的新兴研究领域,是一套全新的、系统的、可用于认知网络空间、维护网络空间安全的基础科学理论方法.利用网络空间地理学相关理论基础构建网络空间地理知识图谱,将网络空间与现实空间相互映射关联,以可视化的方式解析和描述网络空间与现实空间的格局和演变,是构建城市网络安全综合防控体系,提升城市网络安全防护和动态管控能力,推动城市网络安全防控向主动、协同和高效方向发展的新路径.

1 网络空间地理图谱

网络空间地理学的提出为网络空间要素刻画提供了新的视角和思路.传统地理学以“人地”关系描述现实空间,但随着信息技术的快速发展,网络空间已与现实空间相互融合,因此,网络空间地理学基于“人 地 网”关系展开研究.在“人 地 网”纽带关系的理论指导下,参考传统地理学中对地理要素的分类标准,网络空间地理学将网络空间自下而上划分为地理环境层、网络环境层、行为主体层和业务环境层,每个图层包含多个与此图层内容表达相关的图层.利用层次化的图层可视化表达网络空间要素,最终形成描述网络空间的网络地图,其层次模型如下图所示.

图 网络空间层次模型

城市网络安全综合管控中的网络空间地理图谱是利用网络资产测绘技术和手段,根据城市网络空间领域知识的特点,结合知识图谱丰富直观的知识表达方式,以网络安全综合管控业务为指导建立的知识图谱.网络空间地理图谱构建主要由网络空间地理图谱要素与模型定义、网络空间地理图谱建模、网络空间地理图谱数据清洗及自动化构建3部分组成.

1.1 网络空间地理图谱要素与模型定义

1.1.1 网络空间地理图谱要素定义

1) 网络空间资产知识要素定义

网络空间资产知识要素包括计算机网络中所使用的各种资产设备以及基于这些资产设备的设备属性特征和设备通信指纹信息特征所形成的知识.网络空间资产设备主要包括路由器、交换机等网络设备;防火墙、IDS、IPS、WAF、网闸等安全设备;PC终端、服务器、智能手机等计算设备;传感器、控制器等传感控制设备.资产知识的构建还包括资产在信息安全三要素机密性、完整性和可用性上等级赋值的综合运算.

2) 网络空间风险知识要素定义

网络空间风险知识要素包括同类网络空间资产中发生过的已知安全事件,以及基于这些已知安全事件描述、安全事件分类、信息安全特征等安全风险数据所形成的知识.

3) 网络空间脆弱性知识要素定义

网络空间脆弱性知识要素包括在网络空间资产中发现的系统、资产、业务、应用方面的漏洞及逻辑层面的脆弱性信息,主要包含脆弱性(或漏洞)内容描述、脆弱性特征、脆弱性造成的危害等内容.

4) 网络空间威胁知识要素定义

网络空间威胁知识要素包括在网络空间中发现的已知及潜在的威胁行为.主要包含威胁事件描述、威胁访问时间、威胁访问行为特征、威胁访问源、威胁访问目标等内容.

5) 网络空间状态知识要素定义

网络空间状态知识要素包括在网络空间中的资产所表现的状态信息,以及基于各种资产在不同网络空间环境、不同状态下表现的状态集合所形成的知识,主要包含资产类型、所处网络空间环境、资产状态集等内容.

6) 网络空间访问知识要素定义

网络空间访问知识要素包括在网络空间中的资产所发生的网络访问行为信息以及系统基于对资产发生网络访问行为的动态特征所形成的知识,主要包含访问行为特征、访问行为属性(发起、被动)、访问者访问特征、被访者访问特征、访问源及访问目标资产属性等内容.以网络爬虫扫描爬取网页行为为例,在对访问爬取网页信息行为进行采集识别过程中,首先提取爬虫的访问行为信息,然后对访问行为信息进行预处理,将爬取行为通过变换转译成统一的访问行为描述,同时提取出访问行为信息识别过程中的异常识别特征,对异常识别进行建模并利用相关算法对其进行优化.

1.1.2 网络空间地理图谱模型定义

通过对网络空间中资产、风险、脆弱性、威胁、状态、动向数据的收集和清洗,将这些数据加工成适合进行网络空间地理图谱模型构建的结构化数据.这些数据经过对网络空间相关信息属性的网络空间地理图谱生成运算过程后,将关键数据沉淀下来形成网络空间各类相关信息属性的知识.基于这些知识及历史网络空间地理图谱生成运算过程所构建的模型即为网络空间地理图谱模型.

1.2 网络空间地理图谱建模

构建网络空间地理图谱至少需要包含数据预处理、自然语言处理、知识融合、知识存储、知识计算、业务应用等功能模块,支持对非结构化数据、半结构化数据以及结构化数据的处理、抽取、识别分析、融合、存储、推理、计算、输出和展示.图谱建模可以划分成概念建模、规则知识建模、事件知识建模、时空知识建模等部分.

1.2.1 概念建模方法

概念建模是对网络空间的一次抽象,是将网络空间中的客观对象抽象为某一种信息结构的过程.构建网络空间地理图谱可以采用本体概念建模的方法.本体概念建模分为自底向上建模和自顶向下建模2种模式.对于开放域知识图谱的本体概念建模通常用自底向上的建模方式,从知识图谱中抽取建模所需的概念、概念间关系、概念层级等.由于开放世界太过复杂,采用自顶向下的方法无法考虑周全,并且随着现实世界的变化,相应的客观对象和概念不断增加.因此,网络空间地理图谱可采用自顶向下的方法构建本体概念:一方面,相对于开放域知识图谱,网络空间地理图谱涉及的概念和范围都是固定或者可控的;另一方面,对于由网络安全业务牵引的网络空间地理图谱,自顶向下建模可满足较高的精度要求.通过对静态的网络空间元素本体和动态的网络空间时空变化本体2个部分进行分析描述,结合网络安全综合管控业务需求分析,总结出语义层面上的概念模型,使用本体描述语言和建模工具将概念模型进行图形化的表达,形成具体的功能模型.本体概念建模可以增强系统模型的语义表达能力,解决同名异义及异名同义等问题,进而消除语义差异.本体概念建模还可以描述概念间的相互关系,配合推理机应用发掘出一些数据间蕴含的关系.

1.2.2规则知识建模方法

规则知识建模中的规则包括规则头和规则主体.利用规则知识建模可以使网络空间地理图谱具有很强的语义表达能力,能够表达知识图谱中大多数语义定理,包括属性的近义定理、逆向定理、属性链定理等.并且还可以使用规则增强的方法从知识图谱中挖掘、推理得到新的关系和知识.因此,通过将新的关系和知识添加到原始学习模型中,可以帮助原始模型训练间接得到属性链定理,从而使该模型具有定理预测的能力.

1.2.3事件知识建模方法

事件知识建模是以事件知识作为事件本体的建模方法:将时间类动作要素属性、状态要素属性、语言表现要素属性作为数据要素属性的子属性;将时间类和事件类之间的关系作为事件本体的子属性进行构建,如分类关系、组成关系、并发关系、因果关系、伴随关系等.事件本体中下层事件类用类演绎方法关联到对应的上层事件类中.下层事件类中的时间要素、地点要素、对象要素通过属性抽象方法关联到对应的上层概念中.事件知识建模描述1个完整的事件,除了能表达事件的时间、地点、动作、对象等要素外,还具有丰富的语义内涵.

1.2.4时空知识建模方法

时空知识建模方法是面向对应的业务应用,根据对网络空间的认识,以数字数据的形式建立对网络世界的模拟系统的方法.时空知识模型是对网络空间的数据、变化进行客观抽象和形式的描述,采用基于事件的时空数据模型(eventbased spatialtemporal data model, ESTDM),将某一空间区域的每次状态变化视为1个事件,用1维时间轴上的事件序列表示时空变化过程.该模型同时集成矢量和栅格数据结构,通过处理事件或状态对空间、时间和时空进行查询,用以提高时空数据查询效率.

1.3 网络空间地理图谱数据清洗及自动化构建

由于构建网络空间地理图谱需要针对海量数据进行清洗、抽取、运算和构建,因此对网络空间数据进行清洗、地理图谱构建的效率决定了网络空间地理图谱的可用性和实用性.为保证网络空间地理图谱的有效构建,需要对网络空间基础数据开展自动化清洗、对地理图谱概念实例进行自动化识别与分类、对地理图谱实例属性及关系进行自动化抽取、对事件及事件关系和时空知识开展自动化抽取、对知识规则进行自动化挖掘.

1.3.1 网络空间基础数据自动化清洗

对于网络空间地理图谱构建所需的扫描日志、探测数据、报警信息等原始日志数据的清洗需要经过数据预处理、校验方法、工具和归档等步骤.数据预处理是数据清洗的初始化阶段,数据通过预处理过滤缺失值、判断格式和清除垃圾数据.清洗方法根据业务需求、清洗标准和数据格式进行设计,包括:

1) 带缺失数据的处理方法.基于概率统计理论,通过相关数据的平均值、最大值、最小值或其他概率估计的方式分析缺失数据值.

2) 错误值的检测及解决方法.采用偏差分析、回归性处理等方法识别数据错误.

3) 重复记录的检测及消除方法.通过比较相同字段的属性值是否相等,或在决策信息表中比较条件属性值与决策属性值判定是否冗余,从而进行相应的合并或者清除.

4) 数据不一致性的检测及消除方法.与重复数据记录清洗类似,在决策信息表中亦可通过条件属性值相同的情况下是否会得出不同的决策属性值,如果存在则此条数据存在错误.

一般情况下,数据通过上述步骤处理之后就基本完成了数据清洗工作.但为了进一步优化清洗方案,还原数据,提高清洗效率,可利用模式识别法检测冗余数据对数据进行分析处理.模式识别法广泛使用在数据挖掘和机器学习领域,其中基于距离的聚类方法经常用于检测冗余数据.按照粗糙集理论,针对冗余数据的清洗方法可以通过属性依赖度及其重要性进行约简.

1.3.2 网络空间地理图谱概念实例识别与分类

对于网络空间地理图谱可以采用有监督的方法对本体概念实例进行识别与分类,目前这类有监督的方法已广泛应用于自然语言处理、信息处理、机器学习和人工智能等领域.为了提高地理图谱中本体概念实例识别分类的准确度,降低训练样本的歧义性,需要利用本体中的概念对训练样本进行标记,再根据上层业务需求对数据集进行标注,使用训练样本训练出支持向量机分类模型,最后利用分类模型对新的样本进行分析处理,从中抽取出本体概念实例.

1.3.3 网络空间地理图谱实例属性及关系自动抽取

网络空间地理图谱基于机器学习抽取关系,抽取过程可以分为学习过程和预测过程,机器学习使用的样本包括训练样本和测试样本,学习过程使用训练样本得出关系抽取模型,预测过程使用测试样本利用关系抽取模型得出关系预测抽取结果.其流程如下:

1) 预处理.网络空间地理图谱面对的语料数据格式多种多样,可能是扫描探测得到的网络资产信息,也可能是业务部门掌握的登记备案数据,因此关系抽取过程需要先去除语料文本中存在的一些干扰信息标签,将语料文本清洗成纯文本格式,以便后续直接抽取纯文本文件中的文本特征.

2) 文本分析.文本分析是对网络空间地理图谱中的文本表示及其特征进行抽取.通过对文本中多层次的资产特征进行抽取,并对其量化,建立网络空间地理图谱的数学模型,从而将文本从一个原始的、无结构的网络空间地理信息数据转化为一个支撑知识图谱的结构化数据.

3) 关系表达.关系表达是对网络空间地理图谱中的实体关系的语义表达.关系表达通过筛选、融合网络空间地理图谱中各层次关系特征,实现对归属、访问、攻击、包含等关系的精准和精炼表达.网络空间地理图谱采用基于特征向量的关系表达和基于结构特征的关系表达2种方式,能很好地满足表达网络空间中元素实体之间各种关系的需要.

4) 关系抽取模型.目前的关系抽取模型主要是基于关系表达的分类模型.网络空间地理图谱通过预先定义好的目标关系类型,训练得到基于各种分类原理的分类器,并使用多种抽取算法相结合的方式进行关系抽取.

1.3.4 事件及事件关系自动抽取

网络空间地理图谱为了支撑网络安全相关业务应用,需要从文本中抽取事件.首先需要识别事件描述语句,并采用启发式算法过滤非事件描述语句,然后从事件描述语句中抽取事件的各个角色.事件识别的方法是:在标注了事件描述和事件角色的训练样本中统计词语在事件描述语句中出现的频率,根据统计得到的频率进行事件描述特征识别;对于待识别的语句,根据其中特征词的出现情况确定该语句是否为非事件描述语句、是否需要将其过滤掉.

1.3.5知识规则自动挖掘

知识规则自动挖掘可以采用CARMA这种适用于多源数据快速计算的算法,CARMA算法流程如下图所示:

图 CARMA算法流程图

1.3.6时空知识自动抽取

对于网络空间地理图谱模型需要的时空知识可以采用以下时空数据信息抽取算法框架进行自动化抽取:

算法1. 时空信息抽取算法(spatiotemporal information extraction algorithm, SEA).

Step1. 输入句子Stime_site{wt1,…,wtm}.

1) 若句子中包含1个时间和1个地点,则转到Step2;

2) 若句子中包含多个时间和多个地点,则转到Step4;

3) 若句子中只包含地点,则转到Step5;

4) 若句子没有时间和地点,则执行Step1.

Step2. 执行规则1,输出时空对{wttime,wtsite}.若规则1条件不满足,则转到Step3.

Step3. 若句子中存在介词短语,执行规则4,输出时空对{wttime,wtsite},否则执行规则2.

Step4. 执行规则3,输出时空对{wttime,wtsite}.

Step5. 执行规则5,输出时空对{wttime,wtsite}.

Step6. 若文本结束,算法终止;否则转到Step1.

规则1. 如果当前句子中包含地名和时间,此时地名与时间中间包含介词,并且地名后包含动词,则认定时间地点匹配成功.

规则2. 首先判断时间地点是否在同一个短句中,如果在则认为时间地点匹配成功;如果不在则判断时间地点是否在1个句子中,如果在同1个句子中则认定时间地点匹配成功.

规则3. 如果多个时间多个地点同时出现在1个句子中,则统计时间和地点之间词的数量,词数量少的认定时间地点匹配成功.

规则4. 如果时间和地点同时出现在1个介词短语中,则认定时间地点匹配成功.

规则5. 如果句子中只包含地点没有时间信息,则将当前时间减去2年得到的时间与句子中的地点匹配. 如果句子中只包含地点和模糊的时间信息(如春末夏初),则利用时间字典表映射的时间与句子中的地点匹配.

2 城市网络安全综合管控体系应用

2.1 城市网络安全综合管控现状

近年来,国内各地政府网站、重要信息系统等关键信息基础设施因遭受攻击而导致的经济损失日益增大,且呈现逐年增加的态势.习近平总书记在2018年4月召开的全国网络安全和信息化工作会议上,着重强调“要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然”.

目前,各地区已初步形成了对辖区网络资产和威胁事件监控预警体系,但在利用网络空间认知表达技术方面存在明显的不足.发现的网络安全事件只能提取孤立的可疑IP或域名线索,缺少线索背后攻击者画像,发动攻击的精确地理位置,遭受攻击的相关资产属性、脆弱性等信息.无法对城市网络安全进行高效的安全防控、监测预警、态势感知、指挥调度等.因此,需要利用网络空间地理图谱,将地理、资产、事件情报进行大数据融合、分析与可视化呈现,使事件发现更加精确、威胁定位更加准确、威胁分析更加智能、威胁溯源更加自动,使城市网络安全综合管控实现智能化、自动化、可视化的“挂图作战”.

2.2城市网络安全综合管控体系建设

城市网络安全综合管控体系建设以网络空间资产测绘数据为基础,基于IP资产测绘数据、域名资产测绘数据、IP注册信息、域名注册信息、系统备案信息以及其他监管部门业务数据,提取TLSSSL证书内容、标题内容、网页内容、图标、主机名、责任单位、运维单位等网络空间地理图谱构建时可能使用的各类信息线索;分析重要行业的资产数据特征、重要行业下属机构的资产数据特征;进而结合资产测绘数据和行业资产数据特征,关联识别出重要行业的网络资产,构建所辖城市的网络空间地理图谱.同时,在城市网络空间重要节点部署监测探针,采集城市网络空间中的扫描探测、欺骗钓鱼、病毒木马、DDoS等网络攻击行为,并将网络攻击行为数据与网络空间地理图谱进行碰撞、分析、研判,实时监测城市网络空间安全态势.最后,结合监管职能部门的业务需求和重要行业部门的安全防护需求,将网络空间地理图谱的分析研判结果应用到城市网络安全的实时监测、态势感知、通报预警、指挥调度中.城市网络安全综合防管体系架构如下图所示.

图 城市网络安全综合防管体系架构

城市网络安全综合防控体系中的网络空间地理图谱针对非结构化数据、半结构化数据和结构化数据进行实体关联、语义分析、特征提取等自然语言处理,并将预处理后的数据与监管职能部门的业务数据利用大数据技术进行知识融合,形成中间数据.这些中间数据经过知识图谱模型与规则的计算分析形成知识图谱预测结果.最后根据监管职能部门的监管业务需求和重要行业部门的防护业务需求形成相应的管控预警功能.城市网络安全综合管控技术框架如下图所示:

图 城市网络安全综合管控技术框架

2.3 城市网络安全综合管控业务支撑

根据城市网络安全综合管控的业务需求,网络空间地理图谱可支撑实时监测、态势感知、通报预警、指挥调度等业务.

2.3.1 网络攻击实时监测

实时监测将全市各类网络资产、实时攻击等数据动态持续接入网络空间地理图谱.在实时发现网络攻击、异常流量的同时,利用网络空间地理图谱发现城市网络中的关键网络节点和分析隐藏在海量网络流量中的网络攻击事件.

可利用网络空间地理图谱分析城市网络空间中的网络关键节点,从而实现对网络关键节点的重点保护.网络关键节点发现方法主要为社会网络分析法,依据网络节点的拓扑位置、连通性、带宽、延迟、与关键信息基础设施和重要系统的相关程度等属性,统计和计算这些属性的相对定量,从而分析出该网络节点在城市网络中的重要程度.网络节点在城市网络中的关键性指标主要分为中心性和声望2类.度量方法主要包括节点的度指标、介数指标、接近度指标以及特征向量指标等.其中,度指标反映网络节点直接相连的其他节点数目;介数指标反映网络中所有节点对之间通过该节点的最短路径条数;接近度指标反映该节点与相连网络节点在网络空间的距离;特征向量指标以网络节点的地位或声望为切入点,将网络节点的声望看作是所有其他网络节点的声望的线性组合,通过计算线性方程组最大特征值所对应的特征向量,从而得到节点的重要性指标.

可利用网络空间地理图谱分析隐藏在海量网络流量中的网络攻击事件.在网络攻击过程中,攻击者通常会通过执行多个攻击步骤达到其攻击目的.因此,可利用网络空间地理图谱中网络资产的互联属性、业务属性、归属属性等信息,使用基于网络攻击因果关系分析的技术手段对告警日志之间的关联关系进行挖掘.网络攻击因果关系是进行告警事件关联分析、攻击场景识别的研判依据.监管工作中积累的因果关系可整理、抽象成为因果知识库.在日常监管中通过匹配因果知识库中的知识与网络流量特征即可判断城市网络中正在发生的网络攻击类型.通过分析网络访问请求之间的因果关系,实现对网络安全事件的监测与追踪.

2.3.2 网络安全态势感知

态势感知基于多维态势可视化技术,对网络空间地理图谱中相关的网络流量、告警事件、资产信息、安全信息等数据进行汇聚融合,形成针对人、物、地、事、关系的多维度、可视化的感知业务图层.将复杂、动态的网络安全事件按照行为主体、客体和影响等进行关联,发现网络空间隐藏的信息,智能分析网络安全事件发生的驱动因素及内部机理,实现对网络攻击未知链路的预测和对网络安全事件的态势推演.

网络攻击链路预测包含对未知链路的预测和对外来链接的预测2方面.通过已知的网络节点以及网络结构等信息预测城市网络中尚未相互访问过的2个网络节点间产生连接的可能性.通过链路预测可以实现对城市中网络攻击的预警感知,链路预测包括无监督算法和有监督算法.通过对大量现实网络进行观察,发现网络中2个节点的相似性越大,它们之间存在链接的概率也就越大.利用网络空间地理图谱中的节点属性、网络结构信息,结合似然分析算法综合刻画节点相似性,可以得到很好的预测效果,进而预测网络攻击可以传播的未知链路.

网络安全态势推演是在网络空间地理图谱的基础上,结合城市网络中发生的网络安全事件和监控到的网络访问行为,还原城市网络安全场景,对网络安全事件过程基于数学模型、真实环境、仿真场景等进行模拟推演,观察分析网络安全事件的发展过程.同时,结合网络安全事件和网络空间地址知识等不同空间、不同维度下的多种要素相互碰撞进行分析,采用多源数据融合、大数据、人工智能等技术手段,预测评估事件发生的可能性、影响范围和危害程度,帮助监管职能部门、重要行业部门了解潜在威胁.

2.3.3安全风险通报预警

在实时监测、态势感知的基础上,根据分析掌握的态势、趋势、攻击、威胁、风险、隐患、问题等情况,结合网络空间地理图谱对网络安全风险进行汇总、分析和研判,将网络安全风险预警落实到具体责任单位.根据网络空间地理图谱中单位的下级单位、技术支撑单位、第三方供应链等相关单位评估通报预警范围,落实通报处置过程中各单位的责任与任务.查询监管职能部门在地理空间中的实时分布,形成网站的通报预警处置链条,对通报下发、接收、处置、反馈的全流程进行管理,确保各单位及时接收信息、快速响应沟通并采取措施,最大程度控制和降低事件所带来的负面影响.

2.3.4 挂图化指挥调度

在重大活动安保中,利用网络空间地理图谱,通过大屏地图的方式全面展示各行业资产分布情况、案事件的详细信息、安全防护单位以及关联人员的分布情况.针对网络安全案事件的特性,组合监管资源、社会资源、保障资源等资源图层,形成针对网络安全事件场景的处置调度方案,同时根据需要继续添加其他业务资源图层,动态调整处置调度方案.在地图上实时显示具有实时位置信息的资源,对于被调度的资源的位置信息进行追踪显示.

3 结束语

网络空间逐渐成为和陆、海、空、太空并重的新型战略空间,监管部门对于城市安全的综合管控必然向网络空间拓展和延伸.与对地理空间和社会空间的管控一样,对城市网络空间的综合管控也需要了解和掌控网络空间中各类元素和主体的基本信息、各类元素和主体在时空上的发展变化,相关元素和主体之间的关联关系.因此,构建网络空间地理图谱是城市网络安全综合管控的基础.利用网络空间地理图谱,实现网络空间、地理空间和社会空间的相互映射,将多维、虚拟、动态的网络空间绘制成一幅实时、精确、可靠的网络时空地图.以实时监测、态势感知、通报预警、指挥调度等业务图层定制各图层内容与功能,为监管职能部门、重要行业部门提供有价值的综合管控战略战术情报,是实现“挂图作战”式城市网络综合管控的必要手段.此外,如何更高效、更准确地采集网络空间资产及其变化,如何将人工智能更广泛、更深层次地接入地理图谱的构建.如何将地理图谱与城市网络安全综合管控业务更紧密、更有效地融合,将是科研领域和业务部门共同面临的挑战.

【作者简介】

王奕钧,硕士,副研究员.主要研究方向为网络安全防护、网络资产测绘.

(本文刊载在《信息安全研究》2022年第8卷第8期,为便于阅读做了适当精简)

声明:本文来自信息安全研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。