第1章网络空间和网络空间测绘_网络空间测绘技术与实践：让互联网情报服务于网络安全-QQ阅读男生轻小说网

书名：网络空间测绘技术与实践：让互联网情报服务于网络安全
作者名：赵伟杨冀龙等
本章字数：11082字
更新时间：2023-02-23 16:30:37

第1章网络空间和网络空间测绘

近年来，伴随计算机网络技术的迅速发展，网络空间成为人类生产生活的第二类生存空间。其中包含的软硬件系统、信息、数据等都是国家重要的战略资源，关乎国家安全、支撑着经济发展，影响着世界局势。网络空间被认为是继陆、海、空、天之后，代表国家网络主权的“第五空间”，已经成为世界各国竞相争夺的又一战略制高点。

当前，我国正处于计算机网络和信息化发展的关键时期，经济和社会发展对计算机网络和信息化的依赖程度越来越高，网络空间面临的安全威胁也越来越大。2017年，我国发布的《网络空间国际合作战略》中，明确提出“中国将进一步加快网络空间力量建设，提高网络空间态势感知、网络防御、支援国家网络空间行动和参与国际合作的能力，遏控网络空间重大危机，保障国家网络安全，维护国家安全和社会安定。”这是我国首次强调网络空间国防力量。网络安全已然超越技术范畴，成为国家安全战略方针的新领域和新载体。

网络空间测绘技术通过对网络空间资产进行探测识别、实体定位、深度关联和层级映射，绘制出网络空间地图，基于网络空间资产安全检测机制，对高效管理网络空间、快速应对突发安全事件、维护国家网络空间秩序具有重要作用，也是各国不断加大投入和关注的重要技术之一。

1.1 网络空间的定义

20世纪80年代初，美国科幻作家威廉·吉布森在他的小说中创造了“网络空间”（Cyberspace）一词—在这个广袤的空间里，看不到高山荒野，也看不到城镇乡村，只有庞大的三维信息库和各种信息在高速流动。对比现实社会，计算机及网络信息技术不断发展，小说中描述的大量场景已经变成现实。

随着网络技术的持续发展，网络空间的内涵和外延在不断发生变化。当前，网络空间已经成为由计算机和计算机网络构成的数字化社会的代名词。中国工程院院士方滨兴认为网络空间的组成要素包括载体、资源、主体和操作。

1）载体是网络空间的软硬件设施，是提供信息通信的系统层面的集合。

2）资源是在网络空间流转的数据内容，包括人类用户及机器能够理解、识别和处理的信号状态。

3）主体是互联网用户，包括传统互联网中的人类用户以及未来物联网中的机器和设备。

4）操作是对信息的创造、存储、改变、使用、传输、展示等活动。

基于上述要素，网络空间可以被理解为构建在信息通信基础设施之上的人造空间，支持人们开展信息通信相关活动，兼有物理属性和社会属性。

网络空间资产主要是指网络空间的载体及信息，如图1-1所示。载体一般是物理形态的，比如个人终端、工业设备、服务器、网络设备等，信息主要是指这些载体提供的业务及服务，比如Web服务、视频服务、邮件服务、FTP服务等。

图1-1 网络空间资产

1.2 网络空间面临的安全问题

随着云计算、大数据、物联网、工业互联网、人工智能等新技术、新应用的大规模发展，互联网上承载的数据和信息越来越丰富，与国家和民生的关系也越发紧密。这些数据和信息资源已经成为国家重要战略资源和新生产要素，与经济发展、国家治理、社会稳定、人民生活息息相关。与此同时，安全漏洞、数据泄露、网络诈骗、勒索病毒、APT攻击等网络安全威胁日益凸显，有组织、有目的的网络攻击频频出现，网络空间面临的安全威胁非常严峻。而随着当前生产和生活对网络信息系统依赖性增强，网络攻击事件数量将不断增多，影响范围也将更加广泛。相关公开数据显示，在2015年至2025年，网络攻击引发的全球潜在经济损失可能高达2940亿美元。

金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全防护的重中之重，也是最可能遭到重点攻击的目标。在百年未有之大变局下，网络安全已然上升到国家安全的高度，网络战已经成为国家之间对抗的新战场。针对国资国企的网络威胁已经不是传统的DDoS攻击、病毒木马等单点威胁，而是大规模的体系攻击，攻击者通过策划组织、武器构建、渗透植入、持续控制等环节对国有数字资产、特别是关键信息基础设施形成多层次的杀伤链。这样的网络安全攻击需要从国家战略层面集聚力量和资源全面应对。

与此同时，全球网络对抗态势进一步升级，网络空间已经成为国际上争夺的重要战略资源。各国采取多种措施不断谋求增强网络防御和对抗能力，导致网络空间对抗态势不断加剧。国家互联网应急中心发布的《2020年我国互联网网络安全态势综述》总结了我国当前互联网网络安全状况。

1）APT组织利用社会热点投递钓鱼邮件、攻击供应链等方式持续对我国重要行业实施攻击，随着远程办公需求的增加，导致攻击面不断扩大，同时将网络攻击工具长期隐藏在我国重要机构的设备中。

2）App违法违规收集个人信息的现象依然存在，非法售卖个人信息的情况仍较为严重，联网数据库和微信小程序数据泄露风险较为突出。

3）历史重大漏洞被重复利用的风险仍然较大，网络安全产品自身漏洞被利用的风险增加。

4）勒索病毒攻击手段不断升级，恶意程序传播与治理对抗性加剧。

5）社会热点容易被网络黑产利用，以社会热点为标题的网页仿冒事件频发。

6）工业控制系统互联网侧安全防护环节薄弱，安全风险高。

而网络空间的多样性、动态性、复杂性，导致安全防护工作面临严峻挑战。

1）安全问题从早期的静态化发展为动态化。网络环境是动态的，网络要素是动态的，网络事件也是动态发生的，甚至很多时候是不能重现的。这些问题给网络空间安全防护工作带来极大挑战。

2）网络空间安全问题是整体的。许多网络威胁由点辐射到面或由面渗透到点，涉及网络空间的各个层面。

3）网络安全防护需要高成本投入。任何解决方案都是相对的，无法应对不同网络安全场景和需求。如何平衡在网络安全防护方面的投入和收益，是迫切需要思考的问题。

4）安全威胁随着网络空间资产增加而加剧，安全漏洞越来越多，安全事件愈演愈烈，攻击对手越来越强。

5）安全边界越来越大。IT基础设施云化、办公移动化，固有的安全边界逐渐消失、模糊。

6）业务变化快、IT架构复杂，安全建设总是在救火赶场，无法一步到位。

7）网络安全管理的设备、系统越来越多，安全告警处置越来越复杂，安全团队超负荷运转。

8）法律法规虽然陆续出台，监管力度也逐步加大，但安全事件仍时有发生，无法根除。

1.3 网络空间安全需求

从国家到个人都面临着网络安全问题的威胁，随之产生各种各样的网络空间安全需求。

（1）国家需要提升网络安全防御和威慑能力

要落实网络安全责任制，制定网络安全标准，明确保护对象、保护层级、保护措施。要建设高素质的网络安全和信息化人才队伍，向着网络基础设施普及、自主创新、信息经济全面发展、网络安全保障有力的目标不断前进。

（2）政府监管机构需要感知网络安全态势

感知网络安全态势是政府监管机构最基本、最基础的工作。要全面加强网络安全检查、摸清家底、认清风险、找出漏洞、通报结果、督促整改。要建立统一高效的网络安全风险告警机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制，充分利用企业掌握的大量网络安全信息。

（3）企业自身需要加强安全管理和防护

将安全制度做到常态化、流程化，积极响应国家组织的安全演练，不断提高安全防范、安全应急能力。

（4）个人安全意识需要不断提升

不断提高网络安全意识和甄别网络信息技能，避免遭受网络诈骗及其他利用网络进行的非法行为和活动而使财产、人身安全受到损害。

1.4 国家推动改善网络空间安全

互联网的发展已经超过半个世纪，全球互联网普及率已近三分之二，并进入数字文明新时代和数字经济发展新阶段，网络空间日渐成为现实世界的平行世界，现实世界中的各类问题已映射到网络空间。

信息化、数字化迅猛发展，使得网络空间安全成为国家安全和社会安全的重要组成部分。网络空间是虚拟的，但运用网络空间的主体是现实的，因此网络空间不是“法外之地”。各国纷纷颁布保障网络安全、信息安全、数据安全等方面的法律法规，明确了各方权利与义务。近年来，我国也相继实施和发布了多项法律法规、标准规范等，比较有代表性的如下。

（1）2017年6月1日起施行的《中华人民共和国网络安全法》（以下简称“《安全法》”）

该《安全法》作为我国网络空间安全管理的基本法律，框架性地构建了多项法律制度和要求，重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。

（2）2017年6月1日起施行的《网络产品和服务安全审查办法（试行）》（以下简称“《办法》”）

该《办法》提出关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查。

（3）2017年6月1日起施行的《互联网新闻信息服务管理规定》（以下简称“《规定》”）

该《规定》进一步加强了网络空间法治建设，促进互联网新闻信息服务健康有序发展，对互联网新闻信息服务许可管理、网信管理体制、互联网新闻信息服务提供者主体责任等做出了规定。

（4）2017年6月1日起施行的《互联网信息内容管理行政执法程序规定》（以下简称“《规定》”）

该《规定》旨在规范和保障互联网信息内容管理部门依法履行行政执法职责，正确实施行政处罚，保护公民、法人和其他组织的合法权益，促进互联网信息服务健康有序发展。

（5）2018年11月1日起施行的《公安机关互联网安全监督检查规定》（以下简称“《规定》”）

根据该《规定》，公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况，对互联网服务提供者和联网使用单位开展监督检查。

（6）2019年5月13日起施行的《信息安全技术网络安全等级保护基本要求》（等保2.0）（以下简称“《基本要求》”）

该《基本要求》将基础信息网络（广电网、电信网等）、信息系统（采用传统技术的系统）、云计算平台、大数据平台、移动互联、物联网和工业控制系统等作为等级保护对象（网络和信息系统），在原有通用安全要求的基础上新增了安全扩展要求。安全扩展要求主要针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求，进一步完善了信息安全保护工作的标准。

（7）2020年1月1日起施行的《中华人民共和国密码法》（以下简称“《密码法》”）

该《密码法》是我国密码领域的第一部法律，旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平，是我国密码领域的综合性、基础性法律。

（8）2020年3月1日起施行的《网络信息内容生态治理规定》（以下简称“《规定》”）

该《规定》以网络信息内容为主要治理对象，以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标，突出了“政府、企业、社会、网民”等多元主体参与网络生态治理的主观能动性，重点规范网络信息内容生产者、网络信息内容服务平台、网络信息内容服务使用者以及网络行业组织在网络生态治理中的权利与义务。这是我国网络信息内容生态治理法治领域的里程碑事件，而且以“网络信息内容生态”作为网络空间治理立法的目标，这在全球也属首创。

（9）2020年6月1日起施行的《网络安全审查办法》（以下简称“《办法》”）

关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度，目的是通过网络安全审查这一举措，及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。该《办法》的出台为我国开展网络安全审查工作提供了重要的制度保障。

（10）2021年9月1日起施行的《中华人民共和国数据安全法》（以下简称“《安全法》”）

该《安全法》明确数据安全主管机构的监管职责，建立健全数据安全协同治理体系，提高数据安全保障能力，促进数据出境安全和自由流动，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，让数据安全有法可依、有章可循，为数字化经济的安全健康发展提供了有力支撑。

（11）2021年9月1日起施行的《关键信息基础设施安全保护条例》（以下简称“《保护案例》”）

该《保护条例》建立了专门保护制度，明确各方责任，提出保障促进措施，保障关键信息基础设施安全及维护网络安全。国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。

（12）2021年11月1日起施行的《中华人民共和国个人信息保护法》（以下简称“《保护法》”）

该《保护法》是一部保护个人信息的法律条款，涉及法律名称的确立、立法模式问题、立法的意义和重要性、立法现状以及立法依据、法律的适用范围、法律的适用例外及其规定方式、个人信息处理的基本原则、与政府信息公开条例的关系、对政府机关与其他个人信息处理者的不同规制方式及其效果、协调个人信息保护与促进信息自由流动的关系、个人信息保护法在特定行业的适用问题、关于敏感个人信息问题、法律的执行机构、行业自律机制、信息主体权利、跨境信息交流问题、刑事责任问题，对个人及行业有着很大的作用。

（13）2022年2月15日起施行的《网络安全审查办法（修订版）》（以下简称“《办法》”）

该《办法》明确，对掌握超过100万用户个人信息的网络平台运营者赴国外上市，施行强制性网络安全审查。

1.5 网络空间测绘的定义及重要性

合理、有序地开展网络空间安全相关工作需要深入了解所处网络环境所包含网络空间资产的状态、各类信息系统现状和受攻击可能性等大量信息。所有信息的收集整理和分析提炼都需要通过网络空间测绘技术来完成。

网络空间测绘技术从地理测绘技术延伸而来。地理测绘是对地理环境中实体对象的空间结构特征进行概括和抽象，并对其空间位置进行测量和绘制，是物理空间地图绘制的基本手段。而网络空间测绘借鉴了地理测绘的理论、技术和方法，对网络空间中各种资产及其信息进行主动或被动地探测、采集与分析，并辅以信息科学技术，绘制实时、可靠、有效的网络空间地图。

网络空间测绘技术是识别和控制网络空间要素，防范网络威胁，维护网络安全的有效手段。通过绘制的网络空间全息地图，我们可以达成网络空间要素发现和识别、网络安全风险监测、网络目标定位与追踪、网络违规外联预警、数据泄露隐患发现、网络空间资产管理评估、网络空间反欺诈等目标，实现网络空间安全态势精准感知与有效控制，为开展反渗透、反窃密等行动提供支撑。

网络空间测绘的主要对象是网络空间组成要素中的载体及资源，我们也称之为网络空间资产。网络空间资产具有四大特点。

1）范畴广：应用于各行各业、各种领域，使用范围大、用途广。

2）数量大：可以使用超过42亿的IPv4地址空间、用之不竭的IPv6地址空间和域名，数量极其庞大。

3）种类多：涉及软件、硬件、服务、数据等多种形态，比如业务系统、工控设备、终端、应用软件等。

4）变化快：涉及IP变化、端口变化、域名变化、服务变化、资产变化、存活性变化、属主变化等。

这些特点导致网络违法成本低、监管难、防范难等问题出现。所以针对上述特点，我们在进行网络空间测绘时，一定要先解决5W问题。

1）What：比如，这是什么资产，提供什么服务？对应资产用途和类别问题。

2）Who：比如，这是属于谁的资产，现在谁在用？对应资产归属问题。

3）Where：比如，这是哪儿的资产，如何精准定位，还有哪些同类资产？对应资产定位、资产分布以及挖掘同类资产问题。

4）When：比如，这是什么时候出现的资产，发生过什么变化？对应资产起源和变化规律问题。

5）Why：比如，为什么提供这个服务，为什么开放这么多端口，有什么目的？对应资产情报问题。

网络空间测绘使用到的关键技术通常包括网络探测扫描技术、资产识别技术、IP定位技术、拓扑测绘技术、流量解析技术、漏洞扫描与验证技术、大数据分析与存储技术、网络可视化技术等，是一个系统化的大工程。

确保网络安全需要充分运用多学科知识构建立体网络安全防护体系。网络空间测绘则是网络安全能力建设的基础性工作。因此，加强对网络空间测绘的研究和实施，对于保障网络空间安全具有切实的作用和价值。

1.6 网络空间测绘在网络安全领域的应用

随着网络技术和信息数字化不断发展，网络空间面临的安全问题引起了广泛关注。网络空间测绘为解决日益严峻的网络安全难题提供了新的视角和思路，衍生出了广泛的应用场景。

（1）网络安全检查

网络安全检查是网络空间测绘技术的重要应用场景之一。通过对网络空间资产进行不间断测绘，得到庞大的、丰富的网络空间资产地图数据；利用网络空间测绘搜索引擎及时对关注的网络空间资产进行盘点、对账，找出暗资产；结合常见的设备漏洞信息，梳理出资产威胁暴露面，并及时整改，做到防微杜渐，最终形成以摸清家底、认清风险、找出漏洞、通报结果、督促整改为工作思路的流程化工作方式。用户类型不同，网络安全检查的相关工作内容也有所不同，如表1-1所示。

表1-1 网络安全检查工作

（续）

（2）互联网业务安全防护

随着互联网的普及，网络诈骗、网络赌博、钓鱼网站、数据泄露等新型互联网犯罪事件层出不穷。我们可以通过网络空间测绘搜索引擎来检索数据库类型的网络空间资产，及时对没有进行配置口令认证的资产进行安全加固；通过域名和特征检索钓鱼网站、含有敏感或非法信息的网页，及时向用户发起安全提示并通报给监管和安全职能部门，协助其对网站进行关停和查办等执法行为。

（3）网络安全态势研究

正所谓“聪者听于无声，明者见于未形”，看得见、看得清，才能防得住。感知网络安全态势是最基本、最基础的工作，也是网络空间测绘技术的重要应用场景之一。我们利用网络空间测绘技术可以进行安全领域的科学研究，观察高危漏洞爆发时网络空间资产受到的影响，以及资产所有者对该漏洞的修复情况。通过分析网络空间资产的分布情况及增量趋势，我们可以观测到全球网络安全建设情况等。

一方面，随着思维升级、理论知识积累，我们最终可做到准确把握网络安全风险发生的规律、动向、趋势。另一方面，加强网络安全宣传，可以进一步提升全民网络安全意识和技能，促进网络安全人才培养和技术创新。

（4）网络空间作战中的沙盘推演

在传统军事作战中，作战地图是分析地形地貌、判断双方态势、实施兵力部署和辅助指挥决策制定的重要工具。当下，网络空间已经成为大国政治的新竞技场，网络空间测绘在网络空间作战中被赋予新的使命和意义。而要在网络空间形成一招制胜的攻击能力或构筑超强防御能力，则需要对网络空间有全局的洞察能力和深层信息的刺探能力。

通过对网络空间进行测绘，对国家之间、组织之间网络中的信息中枢、关键基础设施、防御要塞、可用资源等进行深度感知和有效标识，进而构建网络空间全景地图，可以为沙盘推演、排兵布阵、态势掌控、指挥作战等提供重要支撑。

（5）互联网安全监管中的“挂图作战”

“挂图作战”是通过直观的图表形式将计划的实施方案、工作流程和执行进度等呈现出来，以指导计划具体实施。其具备直观性和客观性，方便任务进展跟踪，因此被一些重大项目（例如，灾害防治、环保监测等）采用，在趋势研判和指挥调度中成效显著。近年来，随着信息化、网络化全面推广，网络监管和安全保障越来越重要，各地相关部门纷纷开始构建用于互联网安全监管的挂图作战指挥平台。

通过网络空间测绘对全局资产的信息采集及网络安全态势的展现与挂图作战思路不谋而合，这为其在互联网安全监管业务中的应用提供了广阔舞台。在绘制出的网络空间地图中，资产标识、漏洞分布、安全影响一目了然。一旦爆发安全漏洞或攻击，监管部门便能及时收到预警，看到相关被攻击目标和位置坐标，并据此迅速展开应急响应。

（6）网络空间资产管理

网络空间资产是指计算设备、信息系统、网络、软件、虚拟计算平台以及相关软硬件等。资产管理的核心是跟踪、审计和监控资产全生命周期状态。不同于静态的物理资产，信息资产在整个生命周期中的状态通常在不断变化，而且形态多样。仅依靠人工统计，显然跟不上信息资产的变化速度。对于网络空间资产规模庞大且部署分散的组织，资产管理难度很大，特别是对国家关键基础设施的监管更是一个大的工程挑战。

基于网络空间测绘勾勒出的信息资产全息样貌，决策者可以从全局视角把握资产属性、运行状态和发展趋势，减少资产管理决策活动的不确定性。同时，绘制出的网络空间地图还可以与相关安全系统做深度整合，充分发挥其对动态信息资产的跟踪能力，及时捕捉信息资产在全生命周期任一阶段出现的异常情况，辅助开展资产的脆弱性管理和风险控制，并最终实现资产的安全运营。

（7）数字孪生及智慧城市感知与运营

作为城市信息化高级形态，智慧城市基于精细化和动态管理，极大地提升了城市运营效率，改善了市民生活质量。智慧城市是由数据驱动的，其建设与运营依托互联网、物联网、云计算、大数据等新一代IT技术。

通过网络空间测绘绘制出的城市级网络空间地图，可以成为智慧城市运营的基础。其主要作用如下。

1）保证信息资产的能见度。智慧城市中不断增加的托管资产和物联网设备是管理难题。网络空间地图可以帮助识别环境中的所有资产，以便了解它们当前所处的生命周期阶段，进而帮助管控风险，提升安全防护能力。

2）有助于制订资产管理计划。网络空间地图可以提高智慧城市的运营效率，便于跟踪和展示网络空间资产，并为漏洞发现、威胁感知、事件响应、故障排除等提供解决方案支撑。管理者可以基于网络空间地图获取相关状态信息来推进资产管理。

3）有助于保证合规性。网络空间地图可以帮助管理者审核软件和硬件是否经授权，从而有效降低法律风险。

4）有助于控制成本。网络空间地图提供的资产数据有助于资产利用率分析和预算规划，以便最大限度地提高现有资产利用率，优化资产使用并控制资产采购。

当然，网络空间测绘技术可以落地的远不止上述这些应用场景，更多的可能性等待人们去挖掘和探索。

1.7 国内外的研究成果

网络空间作为人类的第二类生存空间、一个国家的全新战略领域，给世界带来四大变化。

1）科技的作用发生突变：从拓展人类社会实体空间活动范围转变为构造虚拟生存空间。

2）边界概念出现突破：从固化的实体空间边界线转变为弹性的网络新边疆。

3）国家主权概念发生变化：从陆海空天实体空间的主权延伸到对虚拟空间的管辖。

4）国防力量的承载体正在扩展：从传统的“飞船巨舰”加速向网络空间信息武器映射。

因此，国与国之间未来可能发生的碰撞必然始于网络空间，终于网络空间。只有及早进行全球范围的不间断、持续的网络空间测绘、研究和积累，我们才能在时间和空间上占据主动，才能打赢网络空间保卫战。

美国网络空间战略发展过程见表1-2。在1998年克林顿政府发布的《克林顿政府对关键基础设施保护的政策》中明确提出保护国家关键信息基础设施，开启相关防御体系建设。在这几十年发展过程中，美国在网络空间战略的重心有着很明显的变化，并实施了多项重量级计划，将网络空间战略从本土扩展到了全球。总体来说，美国网络空间战略发展经历了4个阶段。

1）第一阶段（1998—2002年）：网络安全态势感知体系发展、基本组件构建阶段，倡导建立基本防御体系。

2）第二阶段（2005—2010年）：基本能力构建阶段，目标是建立完备的数据获取、分析能力，建立国家级信息安全运营中心等。

3）第三阶段（2010—2015年）：扩展能力构建阶段，掌握全球形势，形成主动探测能力快速响应和作战能力，开始了3个重量级计划，即藏宝图计划、SHINE计划、X计划。

4）第四阶段（2011—2018年）：溯源反制能力构建阶段，倡导建立主动防御、溯源反制能力，并不断进行扩展和延伸，从积极防御转变为攻击威慑。

表1-2 美国网络空间战略发展过程

（续）

（1）藏宝图计划

美国国家安全局（NSA）在2012年提出的“藏宝图计划”，是通过建立大规模互联网映射、探测和分析引擎系统，绘制近实时的交互式全球互联网地图，目的是掌握任何时间点互联网上任何地点的任何设备。它主要用于网络空间安全的态势感知，计算机攻击、漏洞利用环境的准备，以及网络侦查、作战有效性的测量等。它涉及的范围很广，探测目标是全球IPv4地址空间和部分IPv6地址空间，涵盖地理空间、网络空间、社会空间这3个空间的5个层次（见图1-2），分别是地理层、物理网络层、逻辑网络层、网络角色层、人物角色层，主要聚焦于物理网络层中路由信息的收集和自治域系统（Autonomous System，AS）的测绘。

藏宝图的数据来源非常丰富，包括互联网的开源情报，学术界研究成果、开源工具和数据集，通信情报，商业渠道购买的应用数据，以及针对自有资产的信息梳理数据等。数据种类也很丰富，包括BGP路由数据、Traceroute路由数据、用户注册表数据、域名数据、操作系统指纹特征数据等。

图1-2 藏宝图计划

（2）SHINE计划

美国国土资源部（DHS）在2012年提出的“SHINE计划”（Shodan Intelligence Extraction），旨在定期监测本土关键基础设施网络组件的安全状态，通过网络空间扫描引擎对本土网络空间地址进行探测和安全态势感知，保证关键基础设施的网络安全。它的核心组件就是网络空间测绘搜索引擎Shodan（见图1-3）。

图1-3 网络空间测绘搜索引擎Shodan

Shodan通过分布在世界各地的服务器不间断地对全网设备进行扫描，并且维护着一个相当大的数据库，通过各个设备返回的服务信息识别互联网上的服务器、摄像头、打印机、路由器等，并将这些网络设备信息存储在数据库中，便于查找、分析。

（3）X计划

美国国防部高级研究计划局（DAPRA）在2012年提出的“X计划”，旨在通过快速描绘网络战场地图，为生成作战计划提供辅助，从而推动网络作战效率和能力的提升，为网络空间内的士兵打造通用性作战规划。

X计划主要包括流程和技术使用两大方面，具体包括网络安全工作和作战流程、网络工具、数据模型、建立行动课程4个方面。

1）在网络安全工作和作战流程方面，军方士兵将利用其设计的工作流程完成各项作战任务并实现边界防御。构建边界防御是X计划的核心关注点之一。

2）在网络工具方面，X计划为网络防御人员提供多种网络实战应用软件，将原本需要网络信息技术专业知识的工具以应用软件和应用商店的形式呈现，使其更易于使用。

3）在数据模型方面，X计划网络战项目所建立的数据模型严格定义了网络空间中的技术与对象，例如互联网协议地址、介质访问控制地址、网络接口或者软件片段，同时协助构建网络威胁信息共享机制。

4）在建立行动课程方面，X计划允许作战人员打造适合自身需求的可视化与图形化行动课程，并通过应用商店进行交付。这套编程模型与抽象方案已经凭借出色的可视化机制成为战场空间的重要焦点，进一步降低美国在网络战方面的操作难度，提升作战效率。

近年来，我国在网络空间测绘领域，也涌现出一批有代表性的网络安全企业和产品。2013年正式上线的“钟馗之眼”（ZoomEye）（见图1-4）是我国第一款网络空间测绘搜索引擎，作为示例入选了普通高等教育网络空间安全系列教材《网络空间测绘》。

华顺信安在2015年推出了网络空间资产搜索引擎FOFA。近年来，360、奇安信等安全厂商也发布了类似产品。这些产品各有特色、功能各有侧重。

图1-4 网络空间测绘搜索引擎“钟馗之眼”

在IP定位方面也有不少表现出色的厂商和产品。埃文科技专注于刻画网络空间、地理空间和社会空间的映射关系，通过绘制三维一体的网络空间地图，为网络安全、业务安全、网络优化和精准营销等领域提供高精准的网络空间IP定位技术服务。天特信科技（IPIP.NET）专注于IP地理位置以及IP画像数据的研究、整理与发行，在广告行业、网络安全行业、电商行业、娱乐行业、金融行业等细分领域有着不俗的表现。

网络安全的本质在于对抗，对抗的本质在于攻防两端能力的较量。对于目前中国网络空间测绘技术来说，未来发展任重道远。我国要制定网络安全标准，落实网络安全责任制，明确保护对象、保护层级、保护措施，需要科研单位、企业及社会各界人士齐心协力，攻坚克难，占据网络空间安全保障战役的制高点。