大型局域网安全盲区探析

刘建兵 王振欣

(上海北信源信息技术有限公司 上海 200127)

对于遍布政府和企业的大型局域网来说,网络安全是长期困扰的问题.尽管法规不断升级[1],技术不断进步,投入不断增加,网络安全部门和运维队伍不断扩大,甚至一些大企业建立了自己的攻防团队[2],但总体的效果并不明显,网络安全事件层出不穷,甚至出现网络安全形势日益严峻的局面,问题的根源是值得探讨的.本文认为,大型局域网中长期存在的3个盲区是影响网络安全突破瓶颈的关键,而大型局域网在业务需要的情况下也会通过组织专门建设的互联网出口进行互联网的访问,与互联网的连接增大了网络安全风险.大型局域网安全防护的提升只有从根本上解决3个盲区的问题,才能从根本和实质上提升大型局域网的安全防护水平.

从容纳节点数量和结构完整性的角度衡量,大型局域网拥有完整的3层架构,且接入节点数在数百以上,而中小型局域网一般没有完整的3层结构,但所有规模的局域网3层架构的接入层都是不可少的.本文仅就大规模局域网进行讨论,中小型局域网暂不考虑.之所以暂不讨论中小型局域网的网络安全问题,主要原因是中小型局域网的网络安全尚未受到足够的重视.

1 大型局域网的3个盲区

所谓盲区是相对于明区来说的,视线所至为明区,视线未至为盲区.众多领域都存在明区和盲区,本文所称盲区限定在大型局域网领域,是从管理的角度审视大型局域网网络资产安全的结果.大型局域网存在着“网络盲区”“资产盲区”“安全盲区”.

1.1 网络盲区

何谓“网络盲区”,本文所说的网络盲区是指大型局域网的接入层区域,在网络3层架构[3]中,接入层是最下层的网络结构,是网络端口数量最大的结构层,其负责接入的网络设备数量也是最大的,之所以称之为“网络盲区”是因为这是网络3层架构中管理控制最薄弱甚至是完全自由的区域.

大型局域网网络的网管部门一般只管理网络的核心层和汇聚层,接入层是不管的,这是网管领域长期形成的默契.接入层网络设备可以自由扩展,变动情况企业是不清楚的,也是看不到的,甚至是无视的,因此形成接入层网络盲区.一些接入层设备可能是临时的,某种需要消失后网络设备也可能消失,因而网络盲区是动态的.

1.2 资产盲区

大型局域网资产是通常意义资产概念的子集,不仅包含在资产台账的记录中,也包含在财务账本的数字里,其特征是通过企业局域网连接起来的可进行网络通信的节点设备,也就是出现在大型局域网上具有2层或3层地址的所有联网设备.所谓资产盲区是指大型局域网资产的盲区,资产管理者以当前技术和方法无法发现的资产集合组成“资产盲区”,不同时间长度游离于管理者视野之外的资产也属于资产盲区.

1.3 安全盲区

所谓安全盲区是指大型局域网安全管理者的安全措施不能抵达的局域网资产集合,这种不能抵达或因目标资产未被发现,或因技术和管理措施的无能为力.安全盲区是多维度的,其维度和安全的风险种类相对应,由资产的安全属性决定,并随着对安全认识程度的加深维度相应增加.对于一个大型局域网来说,安全的维度是和安全风险直接相联系的,每个安全风险类型构成一个安全维度,每一个维度上都可能存在安全盲区.

2 3个盲区成因分析与形态

2.1 网络盲区成因与形态

大型局域网的技术特性是网络盲区产生和持续的首要原因.以太网的开放性决定了网络设备间互联的便利化,在标准3层模型[4]的各个层次上都没有互联管控能力,这给轻易改变网络物理拓扑、增减网络设备提供了机会.3层架构中复杂的网络配置,如链路冗余、多重路由、访问控制、VLAN划分等主要配置在核心层和汇聚层,而接入层除了设备地址是必须的之外,很少有复杂的配置,使得接入层增减网络设备非常容易,且不会对网络整体产生影响.实际上,接入层设备增减对于大型局域网是无关紧要的.这种便利性被随意使用造成了接入层管理失控,于是产生了网络盲区.

网管模式的传统习惯是网络盲区产生并持续的又一原因,虽无明文但网管人员长期以来形成了默契:认为网络接入层不是网管系统的管理范围.因为网络的规模化和复杂化,网络标准模型的上层包括核心层和汇聚层逐渐被网管系统管理起来,但是接入层极少被纳入网管管理(技术上,接入层是可以纳入网管系统的),即使有少数大型局域网将网络接入层设备纳入网管系统管理,也仅仅是对接入层网络设备运行状态和链路作运维监视管理,对于接入层设备入网的身份鉴别、接入控制和访问控制仍然是放任的.这种习惯造成网管系统倾向于管控核心层和汇聚层,放任了接入层管理,使网络接入层成为管理盲区.

网络盲区存在的第3个原因是人力和资源限制.网络管理一方面受限于网管系统人力和能力,另一方面受限于网管系统的容量和投资,往往造成网管系统对网络接入层视而不见,网管人员对于接入层的频繁变动缺乏有效的控制手段,接入层的频繁变化让网管人员疲于管理.

没有包括接入层的完整网络拓扑图对于大型局域网来说是十分普遍的现象.少数具有网管系统的大型局域网网管部门的拓扑图仅限于核心和汇聚的所谓“骨干网”或“主干网”,不包含接入层;大量的网络即使有拓扑图,也不是网管系统基于拓扑算法产生的精确拓扑,而是人工绘制的,在这类拓扑图上接入层只是示意性的.这就造成了管理部门长期搞不清网络接入层到底有多少网络接入设备、接入层到底接入了多少泛终端设备,仅仅知道个大概的数字估计,至于变化情况的实时掌握根本谈不上.网络盲区大规模长期存在.

网络盲区和管理力度密切相关,随着网管范围和力度的不同,盲区存在的形态和规模亦是变化的.

全盲:当网管对接入层完全不管理的情况下,接入层对于管理部门是全盲的,接入层网络设备的任何变动管理部门都无感知.

半盲:网管对接入层有一定的管理,关心接入层设备运行状态和接入层的链路状态,能够发现和关注接入层设备异常情况,如链路中断.这种情况下,网管仅能了解已知设备的信息,对于在接入层新接入或者临时出现的未知设备不能感知.

对于大型局域网来说,接入层几乎等同于网络盲区,虽然有些网络在接入层采取了IP绑定或MAC绑定等措施,其作用也是十分有限的,甚至是无效的,对于采用了传统身份认证架构的网络准入系统对接入层依然是无效的,只有802.1x系统能够对接入层有一定的控制作用,但仅限于计算机类安装了客户端的设备,哑终端无能为力.在标准的未采取任何安全措施的大型局域网接入层等同于网络盲区.

综上，针对老年2型糖尿病患者采用家庭同步健康教育，可有效改善其负性情绪，提高生活质量，效果理想，故值得推广。

2.2 资产盲区成因与形态

大型局域网接入层失控和接入层接入控制能力弱以及缺乏中心化的管理技术是资产盲区产生和持续的原因之一.

网管部门放弃对接入层的管理致使网络盲区长期存在,接入层网络设备的变动长期被忽略导致网络设备资产的历史信息丢失;存续的接入层网络未对接入的各种设备进行实时管控和信息记录,也失去了当前和历史信息;实时产生的接入设备资产信息网络没有实行集中的记录和存储,致使管理部门无从了解占全网绝大部分资产的当前、历史信息以及变动情况;至于细粒度的资产信息,如终端接入状态和变化情况、数量和类型以及相关的身份信息、资产的在线数量和变动情况以及历史痕迹等属性更谈不上,资产盲区得以形成和持续.

现有的资产管理技术缺陷是资产盲区产生和持续的另一原因.资产是大型局域网安全的一个重要范畴,网络并不关心资产,安全才关注资产,资产是安全最具底色的背景,一切安全都是落实在资产上的,安全属性也是体现在资产上的.但是从安全的层面看,资产管理的现实手段相对于管理要求是落后的.业界流行的资产发现技术[5]是通过扫描探测和指纹比对实现的,其基础是资产分类的既有认知信息,这种技术实现的产品存在众多因素而不能达到百分百的资产信息获取;一方面是扫描探测直接与防火墙类技术措施相冲突,防火墙策略可以不响应扫描探测而使其失效,另一方面资产识别的准确性不仅受指纹[6]数量影响,同时存在不能分辨同类设备个体区别的本质缺陷,造成相当数量设备特别是在资产使用者采取了一定的对抗技术的情况下不能被发现出来,而形成资产盲区;同时扫描技术对于网络性能有很大的影响[7],因而扫描的频度不能太高,对于大型局域网来说其发现资产的速度是很慢的.一些基于数据分析的资产管理系统,发现新资产的时间甚至需要数小时以至数天,这对于安全意义上的资产发现已经毫无价值.

资产盲区随不同应用的需要呈现多维视角形态.资产是以资产属性来分辨的,网络上的资产属性包括本体属性和附加属性,本体属性包括MAC地址、IP地址、类型、系统、功能等,附加属性包括部门、使用人、位置、用途等.

现行管理架构中并没有大型局域网资产的专门管理部门,资产属性在不同的系统中是根据各自的业务需要运用的,涉及的属性不完全相同.所涉属性不能被发现被管控就是该系统视角的资产盲区.以网管和防病毒系统为例,网管所关注的资产属性主要是IP和MAC地址,通过该属性统计资产,这些属性在网络数据交换和路由中被使用,但并未作集中的记录、展示和管理控制,特别是接入层的这些属性信息在路由表和MAC表中是随时产生、随时消失的,并不以资产的视角呈现,这就是网管系统的资产盲区;而防病毒系统目标是为全网的计算机提供病毒查杀服务,那么尚未安装或卸载或外来的计算机无法被防病毒系统发现,就是该防病毒系统的资产盲区.二者关注的资产属性不同、目标范围不同,因而其资产盲区的范围也不同.

2.3 安全盲区成因与形态

网络盲区和资产盲区的持续存在是导致安全盲区的原因之一.实际运维中网络盲区给不安全设备提供了进出网络的自由,如前所述的资产盲区导致资产信息未被及时准确掌握,进而造成资产盲区让安全技术和手段失去目标或找不到目标.各个维度的安全措施覆盖度不能被计算或不完整,安全盲区由此产生.

网络安全方案的碎片化是第3个原因:业界当前流行的方案都是碎片化的,与各种标准的思路也是一脉相承的.相关标准[10]按5个维度将网络安全完整性分解为各个细节的技术要求,成为网络安全方案的模型.实际落地的网络方案受多种因素影响并不能面面俱到地对应标准,而是选择性地重点实施用户认为重要的方面,造成完整性受损.另一方面,相关标准给出的要求虽然足够详细,但仍然是定性的要求,没有定量和结构化的要求,据此产生的网络安全方案仍然是不完整的,必然存在安全盲区.

应该特别指出的是,网络安全界意识到内网接入控制的重要性,发展了多种网络准入技术,主要以802.1x型[11]和网关型准入系统为代表,这些准入系统的致命问题是,其准入目的不是提供本身的局域网安全能力,而是间接推动其他安全组件的安装,因而准入不彻底,如:802.1x主要面向计算机类终端,对哑终端采取了放行的态度,留下大量的盲区和容易的仿冒漏洞;而网关型的准入系统,其作用机制在网络核心层或汇聚层,实际效果是对接入层完全没有准入能力,泛终端在接入层的入网行为和访问行为完全没有受到任何影响.所以即使采取了现有的内网准入安全措施,依然无法从根本上消除安全盲区.

安全盲区和资产盲区类似,随着不同的安全业务关注的属性和目标不同呈现多维形态.如补丁分发系统关注的资产属性是通用计算机系统,目标是为全网计算机提供补丁升级服务,那些因不在线、未安装客户端软件或技术原因不能完成升级的计算机就形成了补丁分发的盲区;再如漏洞扫描系统关注的资产属性是全部网络资产,目标是发现网络中所有设备的漏洞,而那些设置了防火墙对扫描不响应或者扫描期间不在线的设备,就构成了该系统的安全盲区;再如网关型网络准入系统,其关注的资产属性是接入设备合规性,目标是强迫终端计算机安装要求的安全软件,但是在终端设备的数据包不经过网关作东西向访问期间,这些设备就是准入系统的安全盲区,这些终端可在接入层长时间存在而不被准入系统发现.

3 3个盲区对网络安全的影响

3.1 对安全完整性的影响

信息安全理论[12]指出,完整性是安全的重要因素,3个盲区的存在破坏了安全的完整性.由于3个盲区的存在,当下的点、条状安全技术措施在工程上都难以实现横向到边覆盖全部大型局域网和资产范围,造成工程的完整性不能实现.正如前述防病毒的示例,大型局域网中的防病毒软件安装率永远达不到100%,曾经实际运维多年的大型能源企业,统计的安装率在82%左右而成为难以突破的瓶颈,受资产盲区影响甚至统计出来的安装率不真实.

3.2 对安全技术措施有效性的影响

安全完整性对安全技术措施的有效性影响极大.当下流行的大型局域网安全逻辑普遍是以各种点、条、块形式的安全措施堆砌在网络上,头痛医头脚痛医脚,在可见的资产上补充各种安全功能,期望达到安全的目的,这些技术措施局限在可见资产的范围,忽略了3个盲区中的资产和相应的安全风险,实际效果事倍功半,甚至收效甚微.

3.3 隐藏安全风险的重灾区

3个盲区是安全技术措施管理不到地方,是安全防护的最薄弱部分,是攻击者最容易突破的缺口,最容易成为安全风险和安全威胁的藏身之地和攻击之源.众多发生的安全事件表明,3个盲区存在不仅对安全防护措施有严重影响,对于安全事件处理和溯源追踪影响也很大,一些安全事件的线索一旦进入3个盲区就很难再追踪到事件最初源头.

这些安全盲区必然带来各种长期性或临时性的风险和威胁,甚至攻击和破坏,而这些设备不能被实时发现和阻止访问,既是安全的重大威胁,安全盲区的风险一旦成为现实,全部安全投入的价值可能被瞬间全部抵消.

4 结 语

网络安全内容快速变化和发展使其治理面临着严峻挑战.大型局域网是企业、政府以及其他大型组织普遍使用的网络架构和技术,其安全领域已有众多的技术和管理方法,但都无法从根本上有效解决大型局域网的各种安全问题,不能实质提升大型局域网安全防护水平,究其原因主要是未能抓住根因,解决大型局域网安全根本上的网络盲区、资产盲区和安全盲区等关键问题.本文基于大型局域网3个盲区的探究和分析,力图从新的视角研判大型局域网安全的完整性,尝试突破大型局域网安全业已达到的天花板,为构建国家网络安全综合防控体系实践提供一个新视角和理论基础.同时,本文对3个盲区的认识和探讨是初步的和肤浅的,特别是对于安全盲区的认识维度、划分原则、识别方法、消除技术尚有待进一步研究.