劉建兵 王振欣

(上海北信源信息技術(shù)有限公司 上海 200127)

對于遍布政府和企業(yè)的大型局域網(wǎng)來說,網(wǎng)絡(luò)安全是長期困擾的問題.盡管法規(guī)不斷升級[1],技術(shù)不斷進(jìn)步,投入不斷增加,網(wǎng)絡(luò)安全部門和運維隊伍不斷擴大,甚至一些大企業(yè)建立了自己的攻防團(tuán)隊[2],但總體的效果并不明顯,網(wǎng)絡(luò)安全事件層出不窮,甚至出現(xiàn)網(wǎng)絡(luò)安全形勢日益嚴(yán)峻的局面,問題的根源是值得探討的.本文認(rèn)為,大型局域網(wǎng)中長期存在的3個盲區(qū)是影響網(wǎng)絡(luò)安全突破瓶頸的關(guān)鍵,而大型局域網(wǎng)在業(yè)務(wù)需要的情況下也會通過組織專門建設(shè)的互聯(lián)網(wǎng)出口進(jìn)行互聯(lián)網(wǎng)的訪問,與互聯(lián)網(wǎng)的連接增大了網(wǎng)絡(luò)安全風(fēng)險.大型局域網(wǎng)安全防護(hù)的提升只有從根本上解決3個盲區(qū)的問題,才能從根本和實質(zhì)上提升大型局域網(wǎng)的安全防護(hù)水平.

從容納節(jié)點數(shù)量和結(jié)構(gòu)完整性的角度衡量,大型局域網(wǎng)擁有完整的3層架構(gòu),且接入節(jié)點數(shù)在數(shù)百以上,而中小型局域網(wǎng)一般沒有完整的3層結(jié)構(gòu),但所有規(guī)模的局域網(wǎng)3層架構(gòu)的接入層都是不可少的.本文僅就大規(guī)模局域網(wǎng)進(jìn)行討論,中小型局域網(wǎng)暫不考慮.之所以暫不討論中小型局域網(wǎng)的網(wǎng)絡(luò)安全問題,主要原因是中小型局域網(wǎng)的網(wǎng)絡(luò)安全尚未受到足夠的重視.

1 大型局域網(wǎng)的3個盲區(qū)

所謂盲區(qū)是相對于明區(qū)來說的,視線所至為明區(qū),視線未至為盲區(qū).眾多領(lǐng)域都存在明區(qū)和盲區(qū),本文所稱盲區(qū)限定在大型局域網(wǎng)領(lǐng)域,是從管理的角度審視大型局域網(wǎng)網(wǎng)絡(luò)資產(chǎn)安全的結(jié)果.大型局域網(wǎng)存在著“網(wǎng)絡(luò)盲區(qū)”“資產(chǎn)盲區(qū)”“安全盲區(qū)”.

1.1 網(wǎng)絡(luò)盲區(qū)

何謂“網(wǎng)絡(luò)盲區(qū)”,本文所說的網(wǎng)絡(luò)盲區(qū)是指大型局域網(wǎng)的接入層區(qū)域,在網(wǎng)絡(luò)3層架構(gòu)[3]中,接入層是最下層的網(wǎng)絡(luò)結(jié)構(gòu),是網(wǎng)絡(luò)端口數(shù)量最大的結(jié)構(gòu)層,其負(fù)責(zé)接入的網(wǎng)絡(luò)設(shè)備數(shù)量也是最大的,之所以稱之為“網(wǎng)絡(luò)盲區(qū)”是因為這是網(wǎng)絡(luò)3層架構(gòu)中管理控制最薄弱甚至是完全自由的區(qū)域.

大型局域網(wǎng)網(wǎng)絡(luò)的網(wǎng)管部門一般只管理網(wǎng)絡(luò)的核心層和匯聚層,接入層是不管的,這是網(wǎng)管領(lǐng)域長期形成的默契.接入層網(wǎng)絡(luò)設(shè)備可以自由擴展,變動情況企業(yè)是不清楚的,也是看不到的,甚至是無視的,因此形成接入層網(wǎng)絡(luò)盲區(qū).一些接入層設(shè)備可能是臨時的,某種需要消失后網(wǎng)絡(luò)設(shè)備也可能消失,因而網(wǎng)絡(luò)盲區(qū)是動態(tài)的.

1.2 資產(chǎn)盲區(qū)

大型局域網(wǎng)資產(chǎn)是通常意義資產(chǎn)概念的子集,不僅包含在資產(chǎn)臺賬的記錄中,也包含在財務(wù)賬本的數(shù)字里,其特征是通過企業(yè)局域網(wǎng)連接起來的可進(jìn)行網(wǎng)絡(luò)通信的節(jié)點設(shè)備,也就是出現(xiàn)在大型局域網(wǎng)上具有2層或3層地址的所有聯(lián)網(wǎng)設(shè)備.所謂資產(chǎn)盲區(qū)是指大型局域網(wǎng)資產(chǎn)的盲區(qū),資產(chǎn)管理者以當(dāng)前技術(shù)和方法無法發(fā)現(xiàn)的資產(chǎn)集合組成“資產(chǎn)盲區(qū)”,不同時間長度游離于管理者視野之外的資產(chǎn)也屬于資產(chǎn)盲區(qū).

1.3 安全盲區(qū)

所謂安全盲區(qū)是指大型局域網(wǎng)安全管理者的安全措施不能抵達(dá)的局域網(wǎng)資產(chǎn)集合,這種不能抵達(dá)或因目標(biāo)資產(chǎn)未被發(fā)現(xiàn),或因技術(shù)和管理措施的無能為力.安全盲區(qū)是多維度的,其維度和安全的風(fēng)險種類相對應(yīng),由資產(chǎn)的安全屬性決定,并隨著對安全認(rèn)識程度的加深維度相應(yīng)增加.對于一個大型局域網(wǎng)來說,安全的維度是和安全風(fēng)險直接相聯(lián)系的,每個安全風(fēng)險類型構(gòu)成一個安全維度,每一個維度上都可能存在安全盲區(qū).

2 3個盲區(qū)成因分析與形態(tài)

2.1 網(wǎng)絡(luò)盲區(qū)成因與形態(tài)

大型局域網(wǎng)的技術(shù)特性是網(wǎng)絡(luò)盲區(qū)產(chǎn)生和持續(xù)的首要原因.以太網(wǎng)的開放性決定了網(wǎng)絡(luò)設(shè)備間互聯(lián)的便利化,在標(biāo)準(zhǔn)3層模型[4]的各個層次上都沒有互聯(lián)管控能力,這給輕易改變網(wǎng)絡(luò)物理拓?fù)洹⒃鰷p網(wǎng)絡(luò)設(shè)備提供了機會.3層架構(gòu)中復(fù)雜的網(wǎng)絡(luò)配置,如鏈路冗余、多重路由、訪問控制、VLAN劃分等主要配置在核心層和匯聚層,而接入層除了設(shè)備地址是必須的之外,很少有復(fù)雜的配置,使得接入層增減網(wǎng)絡(luò)設(shè)備非常容易,且不會對網(wǎng)絡(luò)整體產(chǎn)生影響.實際上,接入層設(shè)備增減對于大型局域網(wǎng)是無關(guān)緊要的.這種便利性被隨意使用造成了接入層管理失控,于是產(chǎn)生了網(wǎng)絡(luò)盲區(qū).

網(wǎng)管模式的傳統(tǒng)習(xí)慣是網(wǎng)絡(luò)盲區(qū)產(chǎn)生并持續(xù)的又一原因,雖無明文但網(wǎng)管人員長期以來形成了默契:認(rèn)為網(wǎng)絡(luò)接入層不是網(wǎng)管系統(tǒng)的管理范圍.因為網(wǎng)絡(luò)的規(guī)模化和復(fù)雜化,網(wǎng)絡(luò)標(biāo)準(zhǔn)模型的上層包括核心層和匯聚層逐漸被網(wǎng)管系統(tǒng)管理起來,但是接入層極少被納入網(wǎng)管管理(技術(shù)上,接入層是可以納入網(wǎng)管系統(tǒng)的),即使有少數(shù)大型局域網(wǎng)將網(wǎng)絡(luò)接入層設(shè)備納入網(wǎng)管系統(tǒng)管理,也僅僅是對接入層網(wǎng)絡(luò)設(shè)備運行狀態(tài)和鏈路作運維監(jiān)視管理,對于接入層設(shè)備入網(wǎng)的身份鑒別、接入控制和訪問控制仍然是放任的.這種習(xí)慣造成網(wǎng)管系統(tǒng)傾向于管控核心層和匯聚層,放任了接入層管理,使網(wǎng)絡(luò)接入層成為管理盲區(qū).

網(wǎng)絡(luò)盲區(qū)存在的第3個原因是人力和資源限制.網(wǎng)絡(luò)管理一方面受限于網(wǎng)管系統(tǒng)人力和能力,另一方面受限于網(wǎng)管系統(tǒng)的容量和投資,往往造成網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)接入層視而不見,網(wǎng)管人員對于接入層的頻繁變動缺乏有效的控制手段,接入層的頻繁變化讓網(wǎng)管人員疲于管理.

沒有包括接入層的完整網(wǎng)絡(luò)拓?fù)鋱D對于大型局域網(wǎng)來說是十分普遍的現(xiàn)象.少數(shù)具有網(wǎng)管系統(tǒng)的大型局域網(wǎng)網(wǎng)管部門的拓?fù)鋱D僅限于核心和匯聚的所謂“骨干網(wǎng)”或“主干網(wǎng)”,不包含接入層;大量的網(wǎng)絡(luò)即使有拓?fù)鋱D,也不是網(wǎng)管系統(tǒng)基于拓?fù)渌惴óa(chǎn)生的精確拓?fù)?而是人工繪制的,在這類拓?fù)鋱D上接入層只是示意性的.這就造成了管理部門長期搞不清網(wǎng)絡(luò)接入層到底有多少網(wǎng)絡(luò)接入設(shè)備、接入層到底接入了多少泛終端設(shè)備,僅僅知道個大概的數(shù)字估計,至于變化情況的實時掌握根本談不上.網(wǎng)絡(luò)盲區(qū)大規(guī)模長期存在.

網(wǎng)絡(luò)盲區(qū)和管理力度密切相關(guān),隨著網(wǎng)管范圍和力度的不同,盲區(qū)存在的形態(tài)和規(guī)模亦是變化的.

全盲:當(dāng)網(wǎng)管對接入層完全不管理的情況下,接入層對于管理部門是全盲的,接入層網(wǎng)絡(luò)設(shè)備的任何變動管理部門都無感知.

半盲:網(wǎng)管對接入層有一定的管理,關(guān)心接入層設(shè)備運行狀態(tài)和接入層的鏈路狀態(tài),能夠發(fā)現(xiàn)和關(guān)注接入層設(shè)備異常情況,如鏈路中斷.這種情況下,網(wǎng)管僅能了解已知設(shè)備的信息,對于在接入層新接入或者臨時出現(xiàn)的未知設(shè)備不能感知.

對于大型局域網(wǎng)來說,接入層幾乎等同于網(wǎng)絡(luò)盲區(qū),雖然有些網(wǎng)絡(luò)在接入層采取了IP綁定或MAC綁定等措施,其作用也是十分有限的,甚至是無效的,對于采用了傳統(tǒng)身份認(rèn)證架構(gòu)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)對接入層依然是無效的,只有802.1x系統(tǒng)能夠?qū)尤雽佑幸欢ǖ目刂谱饔?但僅限于計算機類安裝了客戶端的設(shè)備,啞終端無能為力.在標(biāo)準(zhǔn)的未采取任何安全措施的大型局域網(wǎng)接入層等同于網(wǎng)絡(luò)盲區(qū).

綜上，針對老年2型糖尿病患者采用家庭同步健康教育，可有效改善其負(fù)性情緒，提高生活質(zhì)量，效果理想，故值得推廣。

2.2 資產(chǎn)盲區(qū)成因與形態(tài)

大型局域網(wǎng)接入層失控和接入層接入控制能力弱以及缺乏中心化的管理技術(shù)是資產(chǎn)盲區(qū)產(chǎn)生和持續(xù)的原因之一.

網(wǎng)管部門放棄對接入層的管理致使網(wǎng)絡(luò)盲區(qū)長期存在,接入層網(wǎng)絡(luò)設(shè)備的變動長期被忽略導(dǎo)致網(wǎng)絡(luò)設(shè)備資產(chǎn)的歷史信息丟失;存續(xù)的接入層網(wǎng)絡(luò)未對接入的各種設(shè)備進(jìn)行實時管控和信息記錄,也失去了當(dāng)前和歷史信息;實時產(chǎn)生的接入設(shè)備資產(chǎn)信息網(wǎng)絡(luò)沒有實行集中的記錄和存儲,致使管理部門無從了解占全網(wǎng)絕大部分資產(chǎn)的當(dāng)前、歷史信息以及變動情況;至于細(xì)粒度的資產(chǎn)信息,如終端接入狀態(tài)和變化情況、數(shù)量和類型以及相關(guān)的身份信息、資產(chǎn)的在線數(shù)量和變動情況以及歷史痕跡等屬性更談不上,資產(chǎn)盲區(qū)得以形成和持續(xù).

現(xiàn)有的資產(chǎn)管理技術(shù)缺陷是資產(chǎn)盲區(qū)產(chǎn)生和持續(xù)的另一原因.資產(chǎn)是大型局域網(wǎng)安全的一個重要范疇,網(wǎng)絡(luò)并不關(guān)心資產(chǎn),安全才關(guān)注資產(chǎn),資產(chǎn)是安全最具底色的背景,一切安全都是落實在資產(chǎn)上的,安全屬性也是體現(xiàn)在資產(chǎn)上的.但是從安全的層面看,資產(chǎn)管理的現(xiàn)實手段相對于管理要求是落后的.業(yè)界流行的資產(chǎn)發(fā)現(xiàn)技術(shù)[5]是通過掃描探測和指紋比對實現(xiàn)的,其基礎(chǔ)是資產(chǎn)分類的既有認(rèn)知信息,這種技術(shù)實現(xiàn)的產(chǎn)品存在眾多因素而不能達(dá)到百分百的資產(chǎn)信息獲取;一方面是掃描探測直接與防火墻類技術(shù)措施相沖突,防火墻策略可以不響應(yīng)掃描探測而使其失效,另一方面資產(chǎn)識別的準(zhǔn)確性不僅受指紋[6]數(shù)量影響,同時存在不能分辨同類設(shè)備個體區(qū)別的本質(zhì)缺陷,造成相當(dāng)數(shù)量設(shè)備特別是在資產(chǎn)使用者采取了一定的對抗技術(shù)的情況下不能被發(fā)現(xiàn)出來,而形成資產(chǎn)盲區(qū);同時掃描技術(shù)對于網(wǎng)絡(luò)性能有很大的影響[7],因而掃描的頻度不能太高,對于大型局域網(wǎng)來說其發(fā)現(xiàn)資產(chǎn)的速度是很慢的.一些基于數(shù)據(jù)分析的資產(chǎn)管理系統(tǒng),發(fā)現(xiàn)新資產(chǎn)的時間甚至需要數(shù)小時以至數(shù)天,這對于安全意義上的資產(chǎn)發(fā)現(xiàn)已經(jīng)毫無價值.

資產(chǎn)盲區(qū)隨不同應(yīng)用的需要呈現(xiàn)多維視角形態(tài).資產(chǎn)是以資產(chǎn)屬性來分辨的,網(wǎng)絡(luò)上的資產(chǎn)屬性包括本體屬性和附加屬性,本體屬性包括MAC地址、IP地址、類型、系統(tǒng)、功能等,附加屬性包括部門、使用人、位置、用途等.

現(xiàn)行管理架構(gòu)中并沒有大型局域網(wǎng)資產(chǎn)的專門管理部門,資產(chǎn)屬性在不同的系統(tǒng)中是根據(jù)各自的業(yè)務(wù)需要運用的,涉及的屬性不完全相同.所涉屬性不能被發(fā)現(xiàn)被管控就是該系統(tǒng)視角的資產(chǎn)盲區(qū).以網(wǎng)管和防病毒系統(tǒng)為例,網(wǎng)管所關(guān)注的資產(chǎn)屬性主要是IP和MAC地址,通過該屬性統(tǒng)計資產(chǎn),這些屬性在網(wǎng)絡(luò)數(shù)據(jù)交換和路由中被使用,但并未作集中的記錄、展示和管理控制,特別是接入層的這些屬性信息在路由表和MAC表中是隨時產(chǎn)生、隨時消失的,并不以資產(chǎn)的視角呈現(xiàn),這就是網(wǎng)管系統(tǒng)的資產(chǎn)盲區(qū);而防病毒系統(tǒng)目標(biāo)是為全網(wǎng)的計算機提供病毒查殺服務(wù),那么尚未安裝或卸載或外來的計算機無法被防病毒系統(tǒng)發(fā)現(xiàn),就是該防病毒系統(tǒng)的資產(chǎn)盲區(qū).二者關(guān)注的資產(chǎn)屬性不同、目標(biāo)范圍不同,因而其資產(chǎn)盲區(qū)的范圍也不同.

2.3 安全盲區(qū)成因與形態(tài)

網(wǎng)絡(luò)盲區(qū)和資產(chǎn)盲區(qū)的持續(xù)存在是導(dǎo)致安全盲區(qū)的原因之一.實際運維中網(wǎng)絡(luò)盲區(qū)給不安全設(shè)備提供了進(jìn)出網(wǎng)絡(luò)的自由,如前所述的資產(chǎn)盲區(qū)導(dǎo)致資產(chǎn)信息未被及時準(zhǔn)確掌握,進(jìn)而造成資產(chǎn)盲區(qū)讓安全技術(shù)和手段失去目標(biāo)或找不到目標(biāo).各個維度的安全措施覆蓋度不能被計算或不完整,安全盲區(qū)由此產(chǎn)生.

網(wǎng)絡(luò)安全方案的碎片化是第3個原因:業(yè)界當(dāng)前流行的方案都是碎片化的,與各種標(biāo)準(zhǔn)的思路也是一脈相承的.相關(guān)標(biāo)準(zhǔn)[10]按5個維度將網(wǎng)絡(luò)安全完整性分解為各個細(xì)節(jié)的技術(shù)要求,成為網(wǎng)絡(luò)安全方案的模型.實際落地的網(wǎng)絡(luò)方案受多種因素影響并不能面面俱到地對應(yīng)標(biāo)準(zhǔn),而是選擇性地重點實施用戶認(rèn)為重要的方面,造成完整性受損.另一方面,相關(guān)標(biāo)準(zhǔn)給出的要求雖然足夠詳細(xì),但仍然是定性的要求,沒有定量和結(jié)構(gòu)化的要求,據(jù)此產(chǎn)生的網(wǎng)絡(luò)安全方案仍然是不完整的,必然存在安全盲區(qū).

應(yīng)該特別指出的是,網(wǎng)絡(luò)安全界意識到內(nèi)網(wǎng)接入控制的重要性,發(fā)展了多種網(wǎng)絡(luò)準(zhǔn)入技術(shù),主要以802.1x型[11]和網(wǎng)關(guān)型準(zhǔn)入系統(tǒng)為代表,這些準(zhǔn)入系統(tǒng)的致命問題是,其準(zhǔn)入目的不是提供本身的局域網(wǎng)安全能力,而是間接推動其他安全組件的安裝,因而準(zhǔn)入不徹底,如:802.1x主要面向計算機類終端,對啞終端采取了放行的態(tài)度,留下大量的盲區(qū)和容易的仿冒漏洞;而網(wǎng)關(guān)型的準(zhǔn)入系統(tǒng),其作用機制在網(wǎng)絡(luò)核心層或匯聚層,實際效果是對接入層完全沒有準(zhǔn)入能力,泛終端在接入層的入網(wǎng)行為和訪問行為完全沒有受到任何影響.所以即使采取了現(xiàn)有的內(nèi)網(wǎng)準(zhǔn)入安全措施,依然無法從根本上消除安全盲區(qū).

安全盲區(qū)和資產(chǎn)盲區(qū)類似,隨著不同的安全業(yè)務(wù)關(guān)注的屬性和目標(biāo)不同呈現(xiàn)多維形態(tài).如補丁分發(fā)系統(tǒng)關(guān)注的資產(chǎn)屬性是通用計算機系統(tǒng),目標(biāo)是為全網(wǎng)計算機提供補丁升級服務(wù),那些因不在線、未安裝客戶端軟件或技術(shù)原因不能完成升級的計算機就形成了補丁分發(fā)的盲區(qū);再如漏洞掃描系統(tǒng)關(guān)注的資產(chǎn)屬性是全部網(wǎng)絡(luò)資產(chǎn),目標(biāo)是發(fā)現(xiàn)網(wǎng)絡(luò)中所有設(shè)備的漏洞,而那些設(shè)置了防火墻對掃描不響應(yīng)或者掃描期間不在線的設(shè)備,就構(gòu)成了該系統(tǒng)的安全盲區(qū);再如網(wǎng)關(guān)型網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),其關(guān)注的資產(chǎn)屬性是接入設(shè)備合規(guī)性,目標(biāo)是強迫終端計算機安裝要求的安全軟件,但是在終端設(shè)備的數(shù)據(jù)包不經(jīng)過網(wǎng)關(guān)作東西向訪問期間,這些設(shè)備就是準(zhǔn)入系統(tǒng)的安全盲區(qū),這些終端可在接入層長時間存在而不被準(zhǔn)入系統(tǒng)發(fā)現(xiàn).

3 3個盲區(qū)對網(wǎng)絡(luò)安全的影響

3.1 對安全完整性的影響

信息安全理論[12]指出,完整性是安全的重要因素,3個盲區(qū)的存在破壞了安全的完整性.由于3個盲區(qū)的存在,當(dāng)下的點、條狀安全技術(shù)措施在工程上都難以實現(xiàn)橫向到邊覆蓋全部大型局域網(wǎng)和資產(chǎn)范圍,造成工程的完整性不能實現(xiàn).正如前述防病毒的示例,大型局域網(wǎng)中的防病毒軟件安裝率永遠(yuǎn)達(dá)不到100%,曾經(jīng)實際運維多年的大型能源企業(yè),統(tǒng)計的安裝率在82%左右而成為難以突破的瓶頸,受資產(chǎn)盲區(qū)影響甚至統(tǒng)計出來的安裝率不真實.

3.2 對安全技術(shù)措施有效性的影響

安全完整性對安全技術(shù)措施的有效性影響極大.當(dāng)下流行的大型局域網(wǎng)安全邏輯普遍是以各種點、條、塊形式的安全措施堆砌在網(wǎng)絡(luò)上,頭痛醫(yī)頭腳痛醫(yī)腳,在可見的資產(chǎn)上補充各種安全功能,期望達(dá)到安全的目的,這些技術(shù)措施局限在可見資產(chǎn)的范圍,忽略了3個盲區(qū)中的資產(chǎn)和相應(yīng)的安全風(fēng)險,實際效果事倍功半,甚至收效甚微.

3.3 隱藏安全風(fēng)險的重災(zāi)區(qū)

3個盲區(qū)是安全技術(shù)措施管理不到地方,是安全防護(hù)的最薄弱部分,是攻擊者最容易突破的缺口,最容易成為安全風(fēng)險和安全威脅的藏身之地和攻擊之源.眾多發(fā)生的安全事件表明,3個盲區(qū)存在不僅對安全防護(hù)措施有嚴(yán)重影響,對于安全事件處理和溯源追蹤影響也很大,一些安全事件的線索一旦進(jìn)入3個盲區(qū)就很難再追蹤到事件最初源頭.

這些安全盲區(qū)必然帶來各種長期性或臨時性的風(fēng)險和威脅,甚至攻擊和破壞,而這些設(shè)備不能被實時發(fā)現(xiàn)和阻止訪問,既是安全的重大威脅,安全盲區(qū)的風(fēng)險一旦成為現(xiàn)實,全部安全投入的價值可能被瞬間全部抵消.

4 結(jié) 語

網(wǎng)絡(luò)安全內(nèi)容快速變化和發(fā)展使其治理面臨著嚴(yán)峻挑戰(zhàn).大型局域網(wǎng)是企業(yè)、政府以及其他大型組織普遍使用的網(wǎng)絡(luò)架構(gòu)和技術(shù),其安全領(lǐng)域已有眾多的技術(shù)和管理方法,但都無法從根本上有效解決大型局域網(wǎng)的各種安全問題,不能實質(zhì)提升大型局域網(wǎng)安全防護(hù)水平,究其原因主要是未能抓住根因,解決大型局域網(wǎng)安全根本上的網(wǎng)絡(luò)盲區(qū)、資產(chǎn)盲區(qū)和安全盲區(qū)等關(guān)鍵問題.本文基于大型局域網(wǎng)3個盲區(qū)的探究和分析,力圖從新的視角研判大型局域網(wǎng)安全的完整性,嘗試突破大型局域網(wǎng)安全業(yè)已達(dá)到的天花板,為構(gòu)建國家網(wǎng)絡(luò)安全綜合防控體系實踐提供一個新視角和理論基礎(chǔ).同時,本文對3個盲區(qū)的認(rèn)識和探討是初步的和膚淺的,特別是對于安全盲區(qū)的認(rèn)識維度、劃分原則、識別方法、消除技術(shù)尚有待進(jìn)一步研究.