大型局域網安全盲區探析

劉建兵 王振欣

(上海北信源信息技術有限公司 上海 200127)

對于遍布政府和企業的大型局域網來說,網絡安全是長期困擾的問題.盡管法規不斷升級[1],技術不斷進步,投入不斷增加,網絡安全部門和運維隊伍不斷擴大,甚至一些大企業建立了自己的攻防團隊[2],但總體的效果并不明顯,網絡安全事件層出不窮,甚至出現網絡安全形勢日益嚴峻的局面,問題的根源是值得探討的.本文認為,大型局域網中長期存在的3個盲區是影響網絡安全突破瓶頸的關鍵,而大型局域網在業務需要的情況下也會通過組織專門建設的互聯網出口進行互聯網的訪問,與互聯網的連接增大了網絡安全風險.大型局域網安全防護的提升只有從根本上解決3個盲區的問題,才能從根本和實質上提升大型局域網的安全防護水平.

從容納節點數量和結構完整性的角度衡量,大型局域網擁有完整的3層架構,且接入節點數在數百以上,而中小型局域網一般沒有完整的3層結構,但所有規模的局域網3層架構的接入層都是不可少的.本文僅就大規模局域網進行討論,中小型局域網暫不考慮.之所以暫不討論中小型局域網的網絡安全問題,主要原因是中小型局域網的網絡安全尚未受到足夠的重視.

1 大型局域網的3個盲區

所謂盲區是相對于明區來說的,視線所至為明區,視線未至為盲區.眾多領域都存在明區和盲區,本文所稱盲區限定在大型局域網領域,是從管理的角度審視大型局域網網絡資產安全的結果.大型局域網存在著“網絡盲區”“資產盲區”“安全盲區”.

1.1 網絡盲區

何謂“網絡盲區”,本文所說的網絡盲區是指大型局域網的接入層區域,在網絡3層架構[3]中,接入層是最下層的網絡結構,是網絡端口數量最大的結構層,其負責接入的網絡設備數量也是最大的,之所以稱之為“網絡盲區”是因為這是網絡3層架構中管理控制最薄弱甚至是完全自由的區域.

大型局域網網絡的網管部門一般只管理網絡的核心層和匯聚層,接入層是不管的,這是網管領域長期形成的默契.接入層網絡設備可以自由擴展,變動情況企業是不清楚的,也是看不到的,甚至是無視的,因此形成接入層網絡盲區.一些接入層設備可能是臨時的,某種需要消失后網絡設備也可能消失,因而網絡盲區是動態的.

1.2 資產盲區

大型局域網資產是通常意義資產概念的子集,不僅包含在資產臺賬的記錄中,也包含在財務賬本的數字里,其特征是通過企業局域網連接起來的可進行網絡通信的節點設備,也就是出現在大型局域網上具有2層或3層地址的所有聯網設備.所謂資產盲區是指大型局域網資產的盲區,資產管理者以當前技術和方法無法發現的資產集合組成“資產盲區”,不同時間長度游離于管理者視野之外的資產也屬于資產盲區.

1.3 安全盲區

所謂安全盲區是指大型局域網安全管理者的安全措施不能抵達的局域網資產集合,這種不能抵達或因目標資產未被發現,或因技術和管理措施的無能為力.安全盲區是多維度的,其維度和安全的風險種類相對應,由資產的安全屬性決定,并隨著對安全認識程度的加深維度相應增加.對于一個大型局域網來說,安全的維度是和安全風險直接相聯系的,每個安全風險類型構成一個安全維度,每一個維度上都可能存在安全盲區.

2 3個盲區成因分析與形態

2.1 網絡盲區成因與形態

大型局域網的技術特性是網絡盲區產生和持續的首要原因.以太網的開放性決定了網絡設備間互聯的便利化,在標準3層模型[4]的各個層次上都沒有互聯管控能力,這給輕易改變網絡物理拓撲、增減網絡設備提供了機會.3層架構中復雜的網絡配置,如鏈路冗余、多重路由、訪問控制、VLAN劃分等主要配置在核心層和匯聚層,而接入層除了設備地址是必須的之外,很少有復雜的配置,使得接入層增減網絡設備非常容易,且不會對網絡整體產生影響.實際上,接入層設備增減對于大型局域網是無關緊要的.這種便利性被隨意使用造成了接入層管理失控,于是產生了網絡盲區.

網管模式的傳統習慣是網絡盲區產生并持續的又一原因,雖無明文但網管人員長期以來形成了默契:認為網絡接入層不是網管系統的管理范圍.因為網絡的規模化和復雜化,網絡標準模型的上層包括核心層和匯聚層逐漸被網管系統管理起來,但是接入層極少被納入網管管理(技術上,接入層是可以納入網管系統的),即使有少數大型局域網將網絡接入層設備納入網管系統管理,也僅僅是對接入層網絡設備運行狀態和鏈路作運維監視管理,對于接入層設備入網的身份鑒別、接入控制和訪問控制仍然是放任的.這種習慣造成網管系統傾向于管控核心層和匯聚層,放任了接入層管理,使網絡接入層成為管理盲區.

網絡盲區存在的第3個原因是人力和資源限制.網絡管理一方面受限于網管系統人力和能力,另一方面受限于網管系統的容量和投資,往往造成網管系統對網絡接入層視而不見,網管人員對于接入層的頻繁變動缺乏有效的控制手段,接入層的頻繁變化讓網管人員疲于管理.

沒有包括接入層的完整網絡拓撲圖對于大型局域網來說是十分普遍的現象.少數具有網管系統的大型局域網網管部門的拓撲圖僅限于核心和匯聚的所謂“骨干網”或“主干網”,不包含接入層;大量的網絡即使有拓撲圖,也不是網管系統基于拓撲算法產生的精確拓撲,而是人工繪制的,在這類拓撲圖上接入層只是示意性的.這就造成了管理部門長期搞不清網絡接入層到底有多少網絡接入設備、接入層到底接入了多少泛終端設備,僅僅知道個大概的數字估計,至于變化情況的實時掌握根本談不上.網絡盲區大規模長期存在.

網絡盲區和管理力度密切相關,隨著網管范圍和力度的不同,盲區存在的形態和規模亦是變化的.

全盲:當網管對接入層完全不管理的情況下,接入層對于管理部門是全盲的,接入層網絡設備的任何變動管理部門都無感知.

半盲:網管對接入層有一定的管理,關心接入層設備運行狀態和接入層的鏈路狀態,能夠發現和關注接入層設備異常情況,如鏈路中斷.這種情況下,網管僅能了解已知設備的信息,對于在接入層新接入或者臨時出現的未知設備不能感知.

對于大型局域網來說,接入層幾乎等同于網絡盲區,雖然有些網絡在接入層采取了IP綁定或MAC綁定等措施,其作用也是十分有限的,甚至是無效的,對于采用了傳統身份認證架構的網絡準入系統對接入層依然是無效的,只有802.1x系統能夠對接入層有一定的控制作用,但僅限于計算機類安裝了客戶端的設備,啞終端無能為力.在標準的未采取任何安全措施的大型局域網接入層等同于網絡盲區.

綜上，針對老年2型糖尿病患者采用家庭同步健康教育，可有效改善其負性情緒，提高生活質量，效果理想，故值得推廣。

2.2 資產盲區成因與形態

大型局域網接入層失控和接入層接入控制能力弱以及缺乏中心化的管理技術是資產盲區產生和持續的原因之一.

網管部門放棄對接入層的管理致使網絡盲區長期存在,接入層網絡設備的變動長期被忽略導致網絡設備資產的歷史信息丟失;存續的接入層網絡未對接入的各種設備進行實時管控和信息記錄,也失去了當前和歷史信息;實時產生的接入設備資產信息網絡沒有實行集中的記錄和存儲,致使管理部門無從了解占全網絕大部分資產的當前、歷史信息以及變動情況;至于細粒度的資產信息,如終端接入狀態和變化情況、數量和類型以及相關的身份信息、資產的在線數量和變動情況以及歷史痕跡等屬性更談不上,資產盲區得以形成和持續.

現有的資產管理技術缺陷是資產盲區產生和持續的另一原因.資產是大型局域網安全的一個重要范疇,網絡并不關心資產,安全才關注資產,資產是安全最具底色的背景,一切安全都是落實在資產上的,安全屬性也是體現在資產上的.但是從安全的層面看,資產管理的現實手段相對于管理要求是落后的.業界流行的資產發現技術[5]是通過掃描探測和指紋比對實現的,其基礎是資產分類的既有認知信息,這種技術實現的產品存在眾多因素而不能達到百分百的資產信息獲取;一方面是掃描探測直接與防火墻類技術措施相沖突,防火墻策略可以不響應掃描探測而使其失效,另一方面資產識別的準確性不僅受指紋[6]數量影響,同時存在不能分辨同類設備個體區別的本質缺陷,造成相當數量設備特別是在資產使用者采取了一定的對抗技術的情況下不能被發現出來,而形成資產盲區;同時掃描技術對于網絡性能有很大的影響[7],因而掃描的頻度不能太高,對于大型局域網來說其發現資產的速度是很慢的.一些基于數據分析的資產管理系統,發現新資產的時間甚至需要數小時以至數天,這對于安全意義上的資產發現已經毫無價值.

資產盲區隨不同應用的需要呈現多維視角形態.資產是以資產屬性來分辨的,網絡上的資產屬性包括本體屬性和附加屬性,本體屬性包括MAC地址、IP地址、類型、系統、功能等,附加屬性包括部門、使用人、位置、用途等.

現行管理架構中并沒有大型局域網資產的專門管理部門,資產屬性在不同的系統中是根據各自的業務需要運用的,涉及的屬性不完全相同.所涉屬性不能被發現被管控就是該系統視角的資產盲區.以網管和防病毒系統為例,網管所關注的資產屬性主要是IP和MAC地址,通過該屬性統計資產,這些屬性在網絡數據交換和路由中被使用,但并未作集中的記錄、展示和管理控制,特別是接入層的這些屬性信息在路由表和MAC表中是隨時產生、隨時消失的,并不以資產的視角呈現,這就是網管系統的資產盲區;而防病毒系統目標是為全網的計算機提供病毒查殺服務,那么尚未安裝或卸載或外來的計算機無法被防病毒系統發現,就是該防病毒系統的資產盲區.二者關注的資產屬性不同、目標范圍不同,因而其資產盲區的范圍也不同.

2.3 安全盲區成因與形態

網絡盲區和資產盲區的持續存在是導致安全盲區的原因之一.實際運維中網絡盲區給不安全設備提供了進出網絡的自由,如前所述的資產盲區導致資產信息未被及時準確掌握,進而造成資產盲區讓安全技術和手段失去目標或找不到目標.各個維度的安全措施覆蓋度不能被計算或不完整,安全盲區由此產生.

網絡安全方案的碎片化是第3個原因:業界當前流行的方案都是碎片化的,與各種標準的思路也是一脈相承的.相關標準[10]按5個維度將網絡安全完整性分解為各個細節的技術要求,成為網絡安全方案的模型.實際落地的網絡方案受多種因素影響并不能面面俱到地對應標準,而是選擇性地重點實施用戶認為重要的方面,造成完整性受損.另一方面,相關標準給出的要求雖然足夠詳細,但仍然是定性的要求,沒有定量和結構化的要求,據此產生的網絡安全方案仍然是不完整的,必然存在安全盲區.

應該特別指出的是,網絡安全界意識到內網接入控制的重要性,發展了多種網絡準入技術,主要以802.1x型[11]和網關型準入系統為代表,這些準入系統的致命問題是,其準入目的不是提供本身的局域網安全能力,而是間接推動其他安全組件的安裝,因而準入不徹底,如:802.1x主要面向計算機類終端,對啞終端采取了放行的態度,留下大量的盲區和容易的仿冒漏洞;而網關型的準入系統,其作用機制在網絡核心層或匯聚層,實際效果是對接入層完全沒有準入能力,泛終端在接入層的入網行為和訪問行為完全沒有受到任何影響.所以即使采取了現有的內網準入安全措施,依然無法從根本上消除安全盲區.

安全盲區和資產盲區類似,隨著不同的安全業務關注的屬性和目標不同呈現多維形態.如補丁分發系統關注的資產屬性是通用計算機系統,目標是為全網計算機提供補丁升級服務,那些因不在線、未安裝客戶端軟件或技術原因不能完成升級的計算機就形成了補丁分發的盲區;再如漏洞掃描系統關注的資產屬性是全部網絡資產,目標是發現網絡中所有設備的漏洞,而那些設置了防火墻對掃描不響應或者掃描期間不在線的設備,就構成了該系統的安全盲區;再如網關型網絡準入系統,其關注的資產屬性是接入設備合規性,目標是強迫終端計算機安裝要求的安全軟件,但是在終端設備的數據包不經過網關作東西向訪問期間,這些設備就是準入系統的安全盲區,這些終端可在接入層長時間存在而不被準入系統發現.

3 3個盲區對網絡安全的影響

3.1 對安全完整性的影響

信息安全理論[12]指出,完整性是安全的重要因素,3個盲區的存在破壞了安全的完整性.由于3個盲區的存在,當下的點、條狀安全技術措施在工程上都難以實現橫向到邊覆蓋全部大型局域網和資產范圍,造成工程的完整性不能實現.正如前述防病毒的示例,大型局域網中的防病毒軟件安裝率永遠達不到100%,曾經實際運維多年的大型能源企業,統計的安裝率在82%左右而成為難以突破的瓶頸,受資產盲區影響甚至統計出來的安裝率不真實.

3.2 對安全技術措施有效性的影響

安全完整性對安全技術措施的有效性影響極大.當下流行的大型局域網安全邏輯普遍是以各種點、條、塊形式的安全措施堆砌在網絡上,頭痛醫頭腳痛醫腳,在可見的資產上補充各種安全功能,期望達到安全的目的,這些技術措施局限在可見資產的范圍,忽略了3個盲區中的資產和相應的安全風險,實際效果事倍功半,甚至收效甚微.

3.3 隱藏安全風險的重災區

3個盲區是安全技術措施管理不到地方,是安全防護的最薄弱部分,是攻擊者最容易突破的缺口,最容易成為安全風險和安全威脅的藏身之地和攻擊之源.眾多發生的安全事件表明,3個盲區存在不僅對安全防護措施有嚴重影響,對于安全事件處理和溯源追蹤影響也很大,一些安全事件的線索一旦進入3個盲區就很難再追蹤到事件最初源頭.

這些安全盲區必然帶來各種長期性或臨時性的風險和威脅,甚至攻擊和破壞,而這些設備不能被實時發現和阻止訪問,既是安全的重大威脅,安全盲區的風險一旦成為現實,全部安全投入的價值可能被瞬間全部抵消.

4 結 語

網絡安全內容快速變化和發展使其治理面臨著嚴峻挑戰.大型局域網是企業、政府以及其他大型組織普遍使用的網絡架構和技術,其安全領域已有眾多的技術和管理方法,但都無法從根本上有效解決大型局域網的各種安全問題,不能實質提升大型局域網安全防護水平,究其原因主要是未能抓住根因,解決大型局域網安全根本上的網絡盲區、資產盲區和安全盲區等關鍵問題.本文基于大型局域網3個盲區的探究和分析,力圖從新的視角研判大型局域網安全的完整性,嘗試突破大型局域網安全業已達到的天花板,為構建國家網絡安全綜合防控體系實踐提供一個新視角和理論基礎.同時,本文對3個盲區的認識和探討是初步的和膚淺的,特別是對于安全盲區的認識維度、劃分原則、識別方法、消除技術尚有待進一步研究.