大型局域网安全盲区探析.pdf

1、学术论文DOl:10.12379/j.issn.2096-1057.2024.04.07ResearchPapers大型局域网安全盲区探析刘建兵（上海北信源信息技术有限公司上海2 0 0 12 7）(fqy-)Analysis of Security Blind Area of Large LAN王振欣Liu Jianbing and Wang Zhenxin(Shanghai VRV Software Co.,Ltd.,Shanghai 200127)Abstract This paper proposes the concepts of network blind area,asset b

2、lind area and securityblind area as they pretain to the security of large local area networks(LAN).It analyzes thereasons behind the emergence of these three blind area,describes their forms,and points out theirimpacts on the security of large LAN.This paper proposes a new perspective for solving th

3、esecurity issues associated with large LAN.Key words large LAN;network blind area;asset blind area;security blind area;network security摘要提出了大型局域网安全相关的网络盲区、资产盲区和安全盲区，分析了3个盲区产生的原因，阐述了3个盲区的形态，指出了3个盲区对大型局域网安全的影响，为解决大型局域网的安全问题提供了新的角度。关键词大型局域网；网络盲区；资产盲区；安全盲区；网络安全中图法分类号TP393.1；T P39 3.2；T P39 3.8对于遍布政府和企业的

4、大型局域网来说，网络安全是长期困扰的问题.尽管法规不断升级 1，技术不断进步，投人不断增加，网络安全部门和运维队伍不断扩大，甚至一些大企业建立了自已的攻防团队 2 ，但总体的效果并不明显，网络安全事件层出不穷，甚至出现网络安全形势日益严峻的局面，问题的根源是值得探讨的.本文认为，大型局域网中长期存在的3个盲区是影响网络安全突破瓶颈的关键，而大型局域网在业务需要的情况下也会通过组织专门建设的互联网出口进行互联网的访问，与互联网的连接增大了网络安全风险.大收稿日期：2 0 2 3-0 8-30引用格式：刘建兵，王振欣.大型局域网安全盲区探析 J.信息安全研究，2 0 2 4，10（4）：335-3

5、39型局域网安全防护的提升只有从根本上解决3个盲区的问题，才能从根本和实质上提升大型局域网的安全防护水平。从容纳节点数量和结构完整性的角度衡量，大型局域网拥有完整的3层架构，且接入节点数在数百以上，而中小型局域网一般没有完整的3层结构，但所有规模的局域网3层架构的接入层都是不可少的.本文仅就大规模局域网进行讨论，中小型局域网暂不考虑.之所以暂不讨论中小型局域网的网络安全问题，主要原因是中小型局域网的网络安全尚未受到足够的重视。网址http:/1335信息安全研究第10 卷第4期2 0 2 4年4月Journalot Informatien Security ResearchVol.10No.4

6、Apr.2024大型局域网的3个盲区23个盲区成因分析与形态所谓盲区是相对于明区来说的，视线所至为明区，视线未至为盲区.众多领域都存在明区和盲区，本文所称盲区限定在大型局域网领域，是从管理的角度审视大型局域网网络资产安全的结果.大型局域网存在着网络盲区”“资产盲区”“安全盲区”1.1网络盲区何谓“网络盲区”，本文所说的网络盲区是指大型局域网的接人层区域，在网络3层架构 3 中，接人层是最下层的网络结构，是网络端口数量最大的结构层，其负责接入的网络设备数量也是最大的，之所以称之为“网络盲区”是因为这是网络3层架构中管理控制最薄弱甚至是完全自由的区域。大型局域网网络的网管部门一般只管理网络的核心层

7、和汇聚层，接人层是不管的，这是网管领域长期形成的默契.接入层网络设备可以自由扩展，变动情况企业是不清楚的，也是看不到的，甚至是无视的，因此形成接入层网络盲区，一些接人层设备可能是临时的，某种需要消失后网络设备也可能消失，因而网络盲区是动态的.1.2资产盲区大型局域网资产是通常意义资产概念的子集，不仅包含在资产台账的记录中，也包含在财务账本的数字里，其特征是通过企业局域网连接起来的可进行网络通信的节点设备，也就是出现在大型局域网上具有2 层或3层地址的所有联网设备.所谓资产盲区是指大型局域网资产的盲区，资产管理者以当前技术和方法无法发现的资产集合组成“资产盲区”，不同时间长度游离于管理者视野之外

8、的资产也属于资产盲区。1.3安全盲区所谓安全盲区是指大型局域网安全管理者的安全措施不能抵达的局域网资产集合，这种不能抵达或因目标资产未被发现，或因技术和管理措施的无能为力.安全盲区是多维度的，其维度和安全的风险种类相对应，由资产的安全属性决定，并随着对安全认识程度的加深维度相应增加.对于一个大型局域网来说，安全的维度是和安全风险直接相联系的，每个安全风险类型构成一个安全维度，每一个维度上都可能存在安全盲区，33612.1网络盲区成因与形态大型局域网的技术特性是网络盲区产生和持续的首要原因.以太网的开放性决定了网络设备间互联的便利化，在标准3层模型4的各个层次上都没有互联管控能力，这给轻易改变网

9、络物理拓扑、增减网络设备提供了机会.3层架构中复杂的网络配置，如链路穴余、多重路由、访问控制、VLAN划分等主要配置在核心层和汇聚层，而接人层除了设备地址是必须的之外，很少有复杂的配置，使得接入层增减网络设备非常容易，且不会对网络整体产生影响.实际上，接人层设备增减对于大型局域网是无关紧要的.这种便利性被随意使用造成了接入层管理失控，于是产生了网络盲区。网管模式的传统习惯是网络盲区产生并持续的又一原因，虽无明文但网管人员长期以来形成了默契：认为网络接人层不是网管系统的管理范围.因为网络的规模化和复杂化，网络标准模型的上层包括核心层和汇聚层逐渐被网管系统管理起来，但是接入层极少被纳入网管管理（技

10、术上，接人层是可以纳入网管系统的），即使有少数大型局域网将网络接入层设备纳入网管系统管理，也仅仅是对接入层网络设备运行状态和链路作运维监视管理，对于接入层设备入网的身份鉴别、接入控制和访问控制仍然是放任的.这种习惯造成网管系统倾向于管控核心层和汇聚层，放任了接人层管理，使网络接入层成为管理盲区。网络盲区存在的第3个原因是人力和资源限制.网络管理一方面受限于网管系统人力和能力，另一方面受限于网管系统的容量和投资，往往造成网管系统对网络接入层视而不见，网管人员对于接人层的频繁变动缺乏有效的控制手段，接人层的频繁变化让网管人员疲于管理。没有包括接入层的完整网络拓扑图对于大型局域网来说是十分普遍的现象

11、.少数具有网管系统的大型局域网网管部门的拓扑图仅限于核心和汇聚的所谓“骨干网”或“主干网”，不包含接入层；大量的网络即使有拓扑图，也不是网管系统基于拓扑算法产生的精确拓扑，而是人工绘制的，在这类拓扑图上接入层只是示意性的.这就造成了管理部学术论文.ResearchPapers门长期搞不清网络接入层到底有多少网络接人设备、接入层到底接人了多少泛终端设备，仅仅知道个大概的数字估计，至于变化情况的实时掌握根本谈不上.网络盲区大规模长期存在。网络盲区和管理力度密切相关，随着网管范围和力度的不同，盲区存在的形态和规模亦是变化的.全盲：当网管对接入层完全不管理的情况下，接入层对于管理部门是全盲的，接入层网

12、络设备的任何变动管理部门都无感知.半盲：网管对接入层有一定的管理，关心接入层设备运行状态和接人层的链路状态，能够发现和关注接人层设备异常情况，如链路中断.这种情况下，网管仅能了解已知设备的信息，对于在接入层新接入或者临时出现的未知设备不能感知。对于大型局域网来说，接人层几乎等同于网络盲区，虽然有些网络在接人层采取了IP绑定或MAC绑定等措施，其作用也是十分有限的，甚至是无效的，对于采用了传统身份认证架构的网络准入系统对接入层依然是无效的，只有8 0 2.1x系统能够对接入层有一定的控制作用，但仅限于计算机类安装了客户端的设备，哑终端无能为力.在标准的未采取任何安全措施的大型局域网接人层等同于网

13、络盲区。2.2资产盲区成因与形态大型局域网接入层失控和接人层接人控制能力弱以及缺乏中心化的管理技术是资产盲区产生和持续的原因之一。网管部门放弃对接人层的管理致使网络盲区长期存在，接人层网络设备的变动长期被忽略导致网络设备资产的历史信息丢失；存续的接人层网络未对接人的各种设备进行实时管控和信息记录，也失去了当前和历史信息；实时产生的接人设备资产信息网络没有实行集中的记录和存储，致使管理部门无从了解占全网绝大部分资产的当前、历史信息以及变动情况；至于细粒度的资产信息，如终端接人状态和变化情况、数量和类型以及相关的身份信息、资产的在线数量和变动情况以及历史痕迹等属性更谈不上，资产盲区得以形成和持续。

14、现有的资产管理技术缺陷是资产盲区产生和持续的另一原因.资产是大型局域网安全的一个重要范畴，网络并不关心资产，安全才关注资产，资产是安全最具底色的背景，一切安全都是落实在资产上的，安全属性也是体现在资产上的.但是从安全的层面看，资产管理的现实手段相对于管理要求是落后的.业界流行的资产发现技术 5 是通过扫描探测和指纹比对实现的，其基础是资产分类的既有认知信息，这种技术实现的产品存在众多因素而不能达到百分百的资产信息获取；一方面是扫描探测直接与防火墙类技术措施相冲突，防火墙策略可以不响应扫描探测而使其失效，另一方面资产识别的准确性不仅受指纹 6 数量影响，同时存在不能分辨同类设备个体区别的本质缺陷

15、，造成相当数量设备特别是在资产使用者采取了一定的对抗技术的情况下不能被发现出来，而形成资产盲区；同时扫描技术对于网络性能有很大的影响 7,因而扫描的频度不能太高，对于大型局域网来说其发现资产的速度是很慢的.一些基于数据分析的资产管理系统，发现新资产的时间甚至需要数小时以至数天，这对于安全意义上的资产发现已经毫无价值.资产盲区随不同应用的需要呈现多维视角形态.资产是以资产属性来分辨的，网络上的资产属性包括本体属性和附加属性，本体属性包括MAC地址、IP地址、类型、系统、功能等，附加属性包括部门、使用人、位置、用途等。现行管理架构中并没有大型局域网资产的专门管理部门，资产属性在不同的系统中是根据各

16、自的业务需要运用的，涉及的属性不完全相同.所涉属性不能被发现被管控就是该系统视角的资产盲区.以网管和防病毒系统为例，网管所关注的资产属性主要是IP和MAC地址，通过该属性统计资产，这些属性在网络数据交换和路由中被使用，但并未作集中的记录、展示和管理控制，特别是接人层的这些属性信息在路由表和MAC表中是随时产生、随时消失的，并不以资产的视角呈现，这就是网管系统的资产盲区；而防病毒系统目标是为全网的计算机提供病毒查杀服务，那么尚未安装或卸载或外来的计算机无法被防病毒系统发现，就是该防病毒系统的资产盲区.二者关注的资产属性不同、目标范围不同，因而其资产盲区的范围也不同.网址http:/1337信息安

17、全研究第10 卷第4期2 0 2 4年4月Journalot Informatien Security ResearchVol.10No.4Apr.20242.3安安全盲区成因与形态网络盲区和资产盲区的持续存在是导致安全盲区的原因之一.实际运维中网络盲区给不安全设备提供了进出网络的自由，如前所述的资产盲区导致资产信息未被及时准确掌握，进而造成资产盲区让安全技术和手段失去目标或找不到目标.各个维度的安全措施覆盖度不能被计算或不完整，安全盲区由此产生。安全技术和产品特性缺乏工程完整性是安全盲区持续存在的又一原因.现实的安全技术和产品在工程实践和运维中的完整性缺陷允许安全盲区持续存在.很多安全产品如

18、防病毒、补丁分发、DLP等，其安全功能的前提是工程部署完整性，而其自身并不具备保证工程部署完整性的机制，于是留下相应维度上的安全盲区.举例来说，防病毒客户端部署不到的计算机就没有防病毒的能力，而一些不想安装防病毒软件的计算机，防病毒系统本身并无控制能力，只能依赖网络准人系统的帮助推动安装，而准人的不彻底造成防病毒的部署完整性不能实现.又如补丁分发、DLP等所有依靠客户端软件的安全系统统统存在同类问题，都会造成安全盲区的长期存在.另外一类基于数据分析的安全系统，分析结果依赖于采集的数据完整性，而实际上数据完整性是根本无法保证的，比如数据探针只能部署在网络的少数特定位置 8 ，不可能探测到所有的网

19、络数据，其分析结果差强人意甚至南北辙就是必然的；再如，基于数据镜像的数据分析系统，其输入的镜像数据也是不完整的，不可能做到把全网数据输出给数据分析系统 ，在不完整数据支持下产生的分析结果也只能是局部的、片面的，必然留下安全盲区，网络安全方案的碎片化是第3个原因：业界当前流行的方案都是碎片化的，与各种标准的思路也是一脉相承的.相关标准 10 1按5个维度将网络安全完整性分解为各个细节的技术要求，成为网络安全方案的模型.实际落地的网络方案受多种因素影响并不能面面俱到地对应标准，而是选择性地重点实施用户认为重要的方面，造成完整性受损.另一方面，相关标准给出的要求虽然足够详细，但仍然是定性的要求，没有

20、定量和结构化的要求，据此产生的网络安全方案仍然是不完整的，必然存在安全盲区。3381应该特别指出的是，网络安全界意识到内网接人控制的重要性，发展了多种网络准入技术，主要以8 0 2.1x型 111和网关型准入系统为代表，这些准入系统的致命问题是，其准入目的不是提供本身的局域网安全能力，而是间接推动其他安全组件的安装，因而准入不彻底，如：8 0 2.1x主要面向计算机类终端，对哑终端采取了放行的态度，留下大量的盲区和容易的仿冒漏洞；而网关型的准入系统，其作用机制在网络核心层或汇聚层，实际效果是对接入层完全没有准人能力，泛终端在接人层的人网行为和访问行为完全没有受到任何影响所以即使采取了现有的内网

21、准入安全措施，依然无法从根本上消除安全盲区。安全盲区和资产盲区类似，随着不同的安全业务关注的属性和目标不同呈现多维形态.如补丁分发系统关注的资产属性是通用计算机系统，目标是为全网计算机提供补丁升级服务，那些因不在线、未安装客户端软件或技术原因不能完成升级的计算机就形成了补丁分发的盲区；再如漏洞扫描系统关注的资产属性是全部网络资产，目标是发现网络中所有设备的漏洞，而那些设置了防火墙对扫描不响应或者扫描期间不在线的设备，就构成了该系统的安全盲区；再如网关型网络准人系统，其关注的资产属性是接入设备合规性，目标是强迫终端计算机安装要求的安全软件，但是在终端设备的数据包不经过网关作东西向访问期间，这些设

22、备就是准人系统的安全盲区，这些终端可在接入层长时间存在而不被准入系统发现。33个盲区对网络安全的影响3.1对安全完整性的影响信息安全理论 12 1指出，完整性是安全的重要因素，3个盲区的存在破坏了安全的完整性.由于3个盲区的存在，当下的点、条状安全技术措施在工程上都难以实现横向到边覆盖全部大型局域网和资产范围，造成工程的完整性不能实现.正如前述防病毒的示例，大型局域网中的防病毒软件安装率永远达不到10 0%，曾经实际运维多年的大型能源企业，统计的安装率在8 2%左右而成为难以突破的瓶颈，受资产盲区影响甚至统计出来的安装率不真实。学术论文.ResearchPapers3.2对安全技术措施有效性的

23、影响安全完整性对安全技术措施的有效性影响极大.当下流行的大型局域网安全逻辑普遍是以各种点、条、块形式的安全措施堆砌在网络上，头痛医头脚痛医脚，在可见的资产上补充各种安全功能，期望达到安全的目的，这些技术措施局限在可见资产的范围，忽略了3个盲区中的资产和相应的安全风险，实际效果事倍功半，甚至收效甚微.3.3隐藏安全风险的重灾区3个盲区是安全技术措施管理不到地方，是安全防护的最薄弱部分，是攻击者最容易突破的缺口，最容易成为安全风险和安全威胁的藏身之地和攻击之源.众多发生的安全事件表明，3个盲区存在不仅对安全防护措施有严重影响，对于安全事件处理和溯源追踪影响也很大，一些安全事件的线索一旦进人3个盲区

24、就很难再追踪到事件最初源头。这些安全盲区必然带来各种长期性或临时性的风险和威胁，甚至攻击和破坏，而这些设备不能被实时发现和阻止访问，既是安全的重大威胁，安全盲区的风险一旦成为现实，全部安全投人的价值可能被瞬间全部抵消.4 结 语网络安全内容快速变化和发展使其治理面临着严峻挑战.大型局域网是企业、政府以及其他大型组织普遍使用的网络架构和技术，其安全领域已有众多的技术和管理方法，但都无法从根本上有效解决大型局域网的各种安全问题，不能实质提升大型局域网安全防护水平，究其原因主要是未能抓住根因，解决大型局域网安全根本上的网络盲区、资产盲区和安全盲区等关键问题.本文基于大型局域网3个盲区的探究和分析，力

25、图从新的视角研判大型局域网安全的完整性，尝试突破大型局域网安全业已达到的天花板，为构建国家网络安全综合防控体系实践提供一个新视角和理论基础.同时，本文对3个盲区的认识和探讨是初步的和肤浅的，特别是对于安全盲区的认识维度、划分原则、识别方法、消除技术尚有待进一步研究。参考文献1常青.论保护信息网络安全的技术性和管理性法规 J.网络安全技术与应用，2 0 2 2（3）：16 8-17 02钱成伟，赵宝筑，张淑莹，等.从护网行动反思网络安全问题J.数码设计（上），2 0 2 0，9（8）：2 2-2 33段煜晖.基于三层交换的网络规划与设计.网络安全技术与应用，2 0 16（1)：6 0-6 2雷鸣

26、，何旸，刘毅娟，等二层网络与三层网络的对比.山东工业技术，2 0 15（11)：12 8-12 85王宸东，郭渊博，甄帅辉，等。网络资产探测技术研究.计算机科学，2 0 18，45（12）：2 4-316颜昭治.网络资产测绘系统的实现J.电信工程技术与标准化，2 0 2 2，35（7）：19-2 27罗强，段梦军.网络空间资产探测关键技术研究.通信技术，2 0 2 1，54(9）：2 2 35-2 2 418孙瑜.网络流量探针的关键技术探析J.信息记录材料，2020,21(11):153-1549胡显成，任新，向涛。网络端口镜像获取流量分析数据源C】/2 0 13年第十七届网络新技术与应用年会论文集。2013:212-21410 全国信息安全标准化技术委员会.GB/T222392019信息安全技术网络安全等级保护基本要求 S.北京：中国标准出版社，2 0 1911王小敏.网络安全模型及其优化J.软件导刊，2 0 15，14(11):166-16812朱晓伟.基于8 0 2.1X身份认证系统的研究 D.上海：上海交通大学，2 0 15刘建兵硕士，教授级高级工程师.主要研究方向为网络安全、工控安全。fqy-王振欣硕士，高级工程师.主要研究方向为网络安全、工控安全，网址http:/1339