大型局域网安全盲区探析.pdf
《大型局域网安全盲区探析.pdf》由会员分享,可在线阅读,更多相关《大型局域网安全盲区探析.pdf(5页珍藏版)》请在咨信网上搜索。
1、学术论文DOl:10.12379/j.issn.2096-1057.2024.04.07ResearchPapers大型局域网安全盲区探析刘建兵(上海北信源信息技术有限公司上海2 0 0 12 7)(fqy-)Analysis of Security Blind Area of Large LAN王振欣Liu Jianbing and Wang Zhenxin(Shanghai VRV Software Co.,Ltd.,Shanghai 200127)Abstract This paper proposes the concepts of network blind area,asset b
2、lind area and securityblind area as they pretain to the security of large local area networks(LAN).It analyzes thereasons behind the emergence of these three blind area,describes their forms,and points out theirimpacts on the security of large LAN.This paper proposes a new perspective for solving th
3、esecurity issues associated with large LAN.Key words large LAN;network blind area;asset blind area;security blind area;network security摘要提出了大型局域网安全相关的网络盲区、资产盲区和安全盲区,分析了3个盲区产生的原因,阐述了3个盲区的形态,指出了3个盲区对大型局域网安全的影响,为解决大型局域网的安全问题提供了新的角度。关键词大型局域网;网络盲区;资产盲区;安全盲区;网络安全中图法分类号TP393.1;T P39 3.2;T P39 3.8对于遍布政府和企业的
4、大型局域网来说,网络安全是长期困扰的问题.尽管法规不断升级 1,技术不断进步,投人不断增加,网络安全部门和运维队伍不断扩大,甚至一些大企业建立了自已的攻防团队 2 ,但总体的效果并不明显,网络安全事件层出不穷,甚至出现网络安全形势日益严峻的局面,问题的根源是值得探讨的.本文认为,大型局域网中长期存在的3个盲区是影响网络安全突破瓶颈的关键,而大型局域网在业务需要的情况下也会通过组织专门建设的互联网出口进行互联网的访问,与互联网的连接增大了网络安全风险.大收稿日期:2 0 2 3-0 8-30引用格式:刘建兵,王振欣.大型局域网安全盲区探析 J.信息安全研究,2 0 2 4,10(4):335-3
5、39型局域网安全防护的提升只有从根本上解决3个盲区的问题,才能从根本和实质上提升大型局域网的安全防护水平。从容纳节点数量和结构完整性的角度衡量,大型局域网拥有完整的3层架构,且接入节点数在数百以上,而中小型局域网一般没有完整的3层结构,但所有规模的局域网3层架构的接入层都是不可少的.本文仅就大规模局域网进行讨论,中小型局域网暂不考虑.之所以暂不讨论中小型局域网的网络安全问题,主要原因是中小型局域网的网络安全尚未受到足够的重视。网址http:/1335信息安全研究第10 卷第4期2 0 2 4年4月Journalot Informatien Security ResearchVol.10No.4
6、Apr.2024大型局域网的3个盲区23个盲区成因分析与形态所谓盲区是相对于明区来说的,视线所至为明区,视线未至为盲区.众多领域都存在明区和盲区,本文所称盲区限定在大型局域网领域,是从管理的角度审视大型局域网网络资产安全的结果.大型局域网存在着网络盲区”“资产盲区”“安全盲区”1.1网络盲区何谓“网络盲区”,本文所说的网络盲区是指大型局域网的接人层区域,在网络3层架构 3 中,接人层是最下层的网络结构,是网络端口数量最大的结构层,其负责接入的网络设备数量也是最大的,之所以称之为“网络盲区”是因为这是网络3层架构中管理控制最薄弱甚至是完全自由的区域。大型局域网网络的网管部门一般只管理网络的核心层
7、和汇聚层,接人层是不管的,这是网管领域长期形成的默契.接入层网络设备可以自由扩展,变动情况企业是不清楚的,也是看不到的,甚至是无视的,因此形成接入层网络盲区,一些接人层设备可能是临时的,某种需要消失后网络设备也可能消失,因而网络盲区是动态的.1.2资产盲区大型局域网资产是通常意义资产概念的子集,不仅包含在资产台账的记录中,也包含在财务账本的数字里,其特征是通过企业局域网连接起来的可进行网络通信的节点设备,也就是出现在大型局域网上具有2 层或3层地址的所有联网设备.所谓资产盲区是指大型局域网资产的盲区,资产管理者以当前技术和方法无法发现的资产集合组成“资产盲区”,不同时间长度游离于管理者视野之外
8、的资产也属于资产盲区。1.3安全盲区所谓安全盲区是指大型局域网安全管理者的安全措施不能抵达的局域网资产集合,这种不能抵达或因目标资产未被发现,或因技术和管理措施的无能为力.安全盲区是多维度的,其维度和安全的风险种类相对应,由资产的安全属性决定,并随着对安全认识程度的加深维度相应增加.对于一个大型局域网来说,安全的维度是和安全风险直接相联系的,每个安全风险类型构成一个安全维度,每一个维度上都可能存在安全盲区,33612.1网络盲区成因与形态大型局域网的技术特性是网络盲区产生和持续的首要原因.以太网的开放性决定了网络设备间互联的便利化,在标准3层模型4的各个层次上都没有互联管控能力,这给轻易改变网
9、络物理拓扑、增减网络设备提供了机会.3层架构中复杂的网络配置,如链路穴余、多重路由、访问控制、VLAN划分等主要配置在核心层和汇聚层,而接人层除了设备地址是必须的之外,很少有复杂的配置,使得接入层增减网络设备非常容易,且不会对网络整体产生影响.实际上,接人层设备增减对于大型局域网是无关紧要的.这种便利性被随意使用造成了接入层管理失控,于是产生了网络盲区。网管模式的传统习惯是网络盲区产生并持续的又一原因,虽无明文但网管人员长期以来形成了默契:认为网络接人层不是网管系统的管理范围.因为网络的规模化和复杂化,网络标准模型的上层包括核心层和汇聚层逐渐被网管系统管理起来,但是接入层极少被纳入网管管理(技
10、术上,接人层是可以纳入网管系统的),即使有少数大型局域网将网络接入层设备纳入网管系统管理,也仅仅是对接入层网络设备运行状态和链路作运维监视管理,对于接入层设备入网的身份鉴别、接入控制和访问控制仍然是放任的.这种习惯造成网管系统倾向于管控核心层和汇聚层,放任了接人层管理,使网络接入层成为管理盲区。网络盲区存在的第3个原因是人力和资源限制.网络管理一方面受限于网管系统人力和能力,另一方面受限于网管系统的容量和投资,往往造成网管系统对网络接入层视而不见,网管人员对于接人层的频繁变动缺乏有效的控制手段,接人层的频繁变化让网管人员疲于管理。没有包括接入层的完整网络拓扑图对于大型局域网来说是十分普遍的现象
11、.少数具有网管系统的大型局域网网管部门的拓扑图仅限于核心和汇聚的所谓“骨干网”或“主干网”,不包含接入层;大量的网络即使有拓扑图,也不是网管系统基于拓扑算法产生的精确拓扑,而是人工绘制的,在这类拓扑图上接入层只是示意性的.这就造成了管理部学术论文.ResearchPapers门长期搞不清网络接入层到底有多少网络接人设备、接入层到底接人了多少泛终端设备,仅仅知道个大概的数字估计,至于变化情况的实时掌握根本谈不上.网络盲区大规模长期存在。网络盲区和管理力度密切相关,随着网管范围和力度的不同,盲区存在的形态和规模亦是变化的.全盲:当网管对接入层完全不管理的情况下,接入层对于管理部门是全盲的,接入层网
12、络设备的任何变动管理部门都无感知.半盲:网管对接入层有一定的管理,关心接入层设备运行状态和接人层的链路状态,能够发现和关注接人层设备异常情况,如链路中断.这种情况下,网管仅能了解已知设备的信息,对于在接入层新接入或者临时出现的未知设备不能感知。对于大型局域网来说,接人层几乎等同于网络盲区,虽然有些网络在接人层采取了IP绑定或MAC绑定等措施,其作用也是十分有限的,甚至是无效的,对于采用了传统身份认证架构的网络准入系统对接入层依然是无效的,只有8 0 2.1x系统能够对接入层有一定的控制作用,但仅限于计算机类安装了客户端的设备,哑终端无能为力.在标准的未采取任何安全措施的大型局域网接人层等同于网
13、络盲区。2.2资产盲区成因与形态大型局域网接入层失控和接人层接人控制能力弱以及缺乏中心化的管理技术是资产盲区产生和持续的原因之一。网管部门放弃对接人层的管理致使网络盲区长期存在,接人层网络设备的变动长期被忽略导致网络设备资产的历史信息丢失;存续的接人层网络未对接人的各种设备进行实时管控和信息记录,也失去了当前和历史信息;实时产生的接人设备资产信息网络没有实行集中的记录和存储,致使管理部门无从了解占全网绝大部分资产的当前、历史信息以及变动情况;至于细粒度的资产信息,如终端接人状态和变化情况、数量和类型以及相关的身份信息、资产的在线数量和变动情况以及历史痕迹等属性更谈不上,资产盲区得以形成和持续。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大型 局域网 安全 盲区 探析
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。