OODA循环在网络安全运营平台建设中的应用

OODA循环最早用于信息战领域，在空对空武装冲突敌对双方互相较量时，看谁能更快更好地完成“观察—调整—决策—行动”的循环程序。

双方都从观察开始，观察自己、观察环境和敌人。基于观察，获取相关的外部信息，根据感知到的外部威胁，及时调整系统，做出应对决策，并采取相应行动。

一、OODA循环网络安全应用情景假设

通过OODA循环的定义就可以看出，它同样适用于有着“对抗”特征的网络安全领域，尤其适合进入主动安全防御阶段的组织重点考虑。因为主动防御阶段本身就是以实时安全分析为中心，以持续快速响应为驱动，通过内外部情报驱动的决策与行动以对抗威胁，并动态适应调整安全策略。

我们假设场景要素包括航空母舰、战斗机、飞行员，场景是飞行员正在驾驶战斗机机动巡航作战。想象一下是不是很刺激？行动的目标呢？当然是要在战斗中取胜，凭实力取胜，干净利落的凭实力取胜。

在战场上你死活我的较量中，谁都想干掉对方取得胜利，但重要的不是想而是如何做到？在瞬息万变的空战中取胜的要领就是：要能发现敌人，要能快速发现敌人，要能快速发现敌人的行为意图，在了解自我、了解敌人、了解环境态势的同时，作出有利于自己的调整，进行快速准确的决策，采取针对性的行动一招制敌。

二、OODA循环网络安全运营平台建设应用

OODA循环分为观察Observe-调整Orient-决策Decide-行动Act四个阶段，我们按这四个阶段来描述它在网络安全运营平台建设中的具体应用。

2.1观察Observe阶段

观察Observe包括对对自己的观察、对敌人的观察、对环境的观察三部分，在网络安全中，对自己的观察包括资产管理、漏洞管理，对敌人的观察包括各种威胁分析与检测技术应用，对环境的观察包括整体网络安全态势感知与可视化。

对自己的观察就像飞机的仪表盘，可以看到自己的飞行高度、飞行速度、所剩燃料等各种飞行状态。在网络安全中一方面是信息资产的管理，包括资产识别盘点、资产重要性赋值、资产管理基线与变动、资产与网络拓扑展示等；另一方面是漏洞管理，包括运营平台对接漏洞扫描工具、威胁情报预警、行业漏洞通报、漏洞风险评估与展示等。

对敌人的观察就像飞机的机载雷达，可以快速检测、定位敌人位置以及敌人的活动状态。在网络安全中对应的是各种威胁分析与检测技术，包括网络流量分析、用户行为分析、沙箱、蜜罐、威胁情报等等，并且能够通过各种关联分析规则，来提高检测的效果（深度、异常）和检测效率（快速），解决传统设备误报、漏报的问题，发现各种未知威胁。

对环境的观察就像飞机的光电分布式孔径系统，能对飞机所处的环境进行高分辨率动态成像，提供高分别率成像预警，提高战场态势感知能力。在网络安全中对应的是整体安全态势、外部攻击态势、内部安全态势、资产与风险态势的感知与展示，并提供各种监控仪表盘及自动报表报告。

2.2调整Orient阶段

调整阶段的前提与基础是观察阶段的成果，观察阶段越深入、越精确，调整阶段的活动就越有效。反之，如果观察阶段出现偏差与问题，调整活动也可能会出现问题。战斗过程中的调整包括战斗策略的调整，这部分主要由飞行员（一线人员）根据情况进行调整。除此之外，还包含两个后方的调整活动，分别是后方情报中心调整、后方指挥中心的调整。

对应到网络安全中，战斗策略的调整是事前防御措施，包括定时漏洞扫描、打补丁、安全配置基线、黑白名单调整等；后方情报中心相当于威胁情报平台（TIP），包括多源威胁情报数据聚合、威胁情报多系统共享、威胁情报数据更新、威胁情报预警等；后方指挥中心相当于优化实时安全分析引擎（雷达），包括新增安全分析场景、调整安全规则与机器学习算法等。