筑牢下一代互联网安全防线—IPv6网络安全白皮书.pdf

上传人:恋****泡 文档编号:1041805 上传时间:2019-09-18 格式:PDF 页数:51 大小:5.45MB
返回 下载 相关 举报
筑牢下一代互联网安全防线—IPv6网络安全白皮书.pdf_第1页
第1页 / 共51页
筑牢下一代互联网安全防线—IPv6网络安全白皮书.pdf_第2页
第2页 / 共51页
点击查看更多>>
资源描述

《筑牢下一代互联网安全防线—IPv6网络安全白皮书.pdf》由会员分享,可在线阅读,更多相关《筑牢下一代互联网安全防线—IPv6网络安全白皮书.pdf(51页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 筑牢筑牢下一代互联网安全防线下一代互联网安全防线 IPv6 网络安全白皮书网络安全白皮书 中国信息通信研究院中国信息通信研究院 2019年年9月月 版权声明版权声明 本白皮书本白皮书版权属于版权属于中国信息通信研究院中国信息通信研究院,并受法律保,并受法律保护护。转载、摘编或利用其它方式使用转载、摘编或利用其它方式使用本白皮书文字或者观本白皮书文字或者观点的,应点的,应注明注明“来源:来源:中国信息通信研究院”中国信息通信研究院”。违反上述。违反上述声明者,本声明者,本院院将追究其相关法律责任。将追究其相关法律责任。 前前 言言 当前,网络信息技术加速引领新一轮科技革命,以前所未有的广度和深

2、度引发经济社会多方位、全领域、深层次的技术创新和产业变革。在 5G、物联网、工业互联网等新兴领域蓬勃发展,人人互联加速向万物互联迈进的时代趋势下,网络空间传统 IPv4 地址资源紧缺等问题日益凸显,以 IPv6为代表的下一代互联网技术应运而生。IPv6 凭借其海量地址空间、内嵌安全能力等技术优势,为泛在融合、大连接的新形势下网络信息技术的创新发展提供基础网络资源支撑,已成为促进生产生活数字化、 网络化、 智能化发展的核心要素,吸引世界发达国家的广泛关注和大力投入。 近年来,我国紧抓全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,全力推进下一代互联网部署应用,为经济社会发展和网

3、络强国建设提供有力支撑。然而,IPv4 向 IPv6 网络的升级演进是一个长期、持续的过程,现阶段已部署上线的 IPv6 业务仍相对有限,IPv6 部署应用过程中的网络安全风险尚未完全显现。此种客观情况对IPv6 新环境下的网络安全防御工作而言是挑战也是机遇,与传统网络安全防御攻击方更为被动的形势相比, 在 IPv6 环境中,攻防双方正处于同一起跑线上。我们更应高度重视下一代互联网演进升级中存在的安全风险, 加快提升 IPv6 网络安全防护能力,构建形成 IPv6 网络安全防护主动局面。 我院联合安天科技股份有限公司、北京蓝汛通信技术有限责任公司、北京天融信网络安全技术有限公司、北京知道创宇信

4、息技术股份有限公司、北京神州绿盟信息安全科技股份有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、上海观安信息技术股份有限公司、深信服科技股份有限公司、深圳市腾讯计算机系统有限公司、 网宿科技股份有限公司、 亚信科技 (成都)有限公司、中国电信集团有限公司、中国联合网络通信集团有限公司、中国移动通信集团有限公司1共同推出筑牢下一代互联网安全防线IPv6 网络安全白皮书 。本白皮书从网络安全视角, 客观审视 IPv6 发展和网络安全工作现状, 分析探讨下一代互联网升级演进过程中的安全风险和应对举措,梳理现有网络安全工作急需, 挖掘 IPv6 安全产品和服务重点

5、发展方向,希望与业界分享,共同推动保障下一代互联网安全、有序发展。1 注:按首字母排序,排名不分先后 目目 录录 一、相关背景 . 1 (一)IPv6 改造稳步推进,基本形成市场驱动良性环境 . 1 1、网络基础设施 IPv6 升级改造基本完成 . 1 2、应用基础设施已具备 IPv6 服务能力 . 3 3、互联网应用 IPv6 活跃用户数稳步提升 . 4 (二)IPv6 安全风险开始显现,挑战下一代互联网安全保障能力 . 5 1、IPv6 网络攻击数量剧增,攻击范围逐渐扩大 . 6 2、IPv6 安全漏洞客观存在,影响覆盖系统、应用等各相关层面 . 7 二、我国下一代互联网建设安全工作现状

6、. 8 (一)贯彻落实国家战略,加强 IPv6 安全工作部署 . 8 1、工信部:明确 IPv6 安全工作阶段性目标 . 9 2、广电总局:细化 IPv6 安全指导和安全测试验证要求 . 9 3、教育部:强调 IPv6 安全保障体系总体目标 . 10 4、央行:同步落实 IPv6 发展和安全工作 . 11 (二)加快 IPv6 安全科研布局,强化 IPv6 安全技术储备 . 11 1、强化 IPv6 安全核心要素和基础资源安全管理创新 . 12 2、开展 IPv6 安全风险研究,构建 IPv6 安全应对体系 . 13 3、推动 IPv6 源地址认证和网络攻击追踪溯源研究 . 14 (三)推动

7、IPv6 安全实践,强化 IPv6 安全创新 . 16 1、加快 IPv6 安全标准制修订,强化 IPv6 安全指导 . 16 2、加强 IPv6 安全产品和服务探索,助力安全能力提升 . 17 3、探索 IPv6 安全解决方案,强化 IPv6 安全风险应对 . 18 三、我国下一代互联网建设仍面临的安全挑战 . 20 (一)IPv4/IPv6 长期并存,过渡机制持续叠加安全风险 . 20 1、双栈机制:IPv4/IPv6 网络安全暴露面倍增 . 21 2、隧道机制:内置安全功能缺失,安全影响范围扩大 . 22 3、翻译机制:机制内在特性仍面临传统网络攻击威胁 . 23 (二)协议新特性挑战现

8、有安全手段,融合场景风险持续扩大 . 25 1、IPv6 地址标识复杂性骤增,挑战基于地址资源安全防护手段 . 25 2、IPv6 协议新特性引入新安全问题,网络安全风险此消彼长 . 27 3、IPv6 融合场景放大新技术安全隐患,加剧安全防御被动局面 . 30 (三)IPv6 网络安全需求能力“剪刀差”亟需弥合 . 31 1、IPv6 安全产品发展尚在起步,远滞后安全能力需求 . 31 2、IPv6 安全问题未充分暴露,制约安全服务发展步伐 . 33 3、 “IPv6+网络安全”复合型专业技术人才缺失 . 34 四、保障下一代互联网安全有序发展的建议 . 34 (一)主动布局 IPv6 安全

9、产品服务和安全实践推广 . 35 (二)按需求、分场景落实 IPv6 安全产品服务部署 . 39 (三)构建 IPv6 安全创新机制,强化 IPv6 风险防范能力建设 . 43 (四)强化 IPv6 安全知识技能培训,弥合 IPv6 安全人才差距 . 44 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 1 一、相关背景 近年来,我国紧抓全球信息通信技术加速创新变革、信息基础设施快速演进升级的历史机遇,在国家层面出台推进互联网协议第六版(IPv6)规模部署行动计划 (以下简称行动计划 ) ,提出“一条主线、三个阶段、五项任务”总体目标,全力推进互联网演进升级和健康创新发展

10、,如图 1.1 所示。 图图 1.1 我国我国下一代互联网建设总体目标下一代互联网建设总体目标 目前,我国下一代互联网建设第一阶段目标任务全面完成,网络设施全面就绪、应用改造逐步推进、活跃用户稳步提升的局面已经形成。 但随着下一代互联网网络和业务环境逐步成熟, IPv6 网络安全风险开始逐渐浮出水面,IPv6 网络安全事件时有发生。 (一)(一)IPv6 改造稳步推进,改造稳步推进,基本形成基本形成市场驱动良性环境市场驱动良性环境 1、网络基础设施、网络基础设施 IPv6 升级改造基本完成升级改造基本完成 目前,我国固网、LTE 网络已大规模分配 IPv6 地址,基本具备IPv6 业务承载能力

11、2。截止 2019 年 7 月,LTE 网络方面,全国 30 省32 数据来源:本节数据如无特别说明,均统计自推进 IPv6 规模部署专家委员会。 3 数据统计范围不包括香港、澳门、台湾、新疆。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 2 的 LTE 网络已完成 IPv6 升级改造;固定网络方面,基础电信企业骨干网设备已全部支持 IPv6,13 个骨干网直联点已全部实现 IPv6 互联互通, 全国30 个省城域网IPv6改造已经全面完成; 国际出入口方面,基础电信企业已开通 IPv6 国际出入口带宽 100Gbps,扩建工作不断加快。IPv6 网络流量现状如图 1

12、.2 所示。 图图 1.2 IPv6 流量现状流量现状 随着网络基础设施 IPv6 升级改造工作的持续推进,IPv6 网络相关用户数稳步增长。截止 2019 年 7 月,全国已有 12.78 亿用户获得IPv6 地址,其中,LTE 网络用户共 11.29 亿,固定网络用户 1.49 亿,相比 2018 年初增长超过 10 倍,如图 1.3 所示。 图图 1.3 IPv6 用户数现状用户数现状 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 3 2、应用基础设施、应用基础设施已具备已具备 IPv6 服务能力服务能力 我国应用基础设施改造速度不断加快, 已具备全国范围内对外提

13、供服务的能力。DNS 方面,我国国家顶级域名服务系统早在 2012 年的 CNGI4二期工程中已完成 IPv6 升级改造。截止 2019 年 7 月,基础电信企业递归域名服务器已全部完成 IPv6 升级改造,全面支持 IPv6地址解析。IDC 方面,基础电信企业超大型/大型/中小型 IDC5升级改造全面完成, 世纪互联等企业已完成大型 IDC 升级改造, 正加快推动中小型 IDC 升级改造进度,如图 1.4 所示。 图图 1.4 IDC 升级改造现状升级改造现状 CDN 方面, 我国 CDN 企业全部机房 IPv6 覆盖能力已达100%,已具备面向全国提供 IPv6 相关业务加速能力, 省级

14、CDN 节点本地部署已超过 60%,如图 1.5 所示。 4 CNGI:Chinas Next Generation Internet,中国下一代互联网。 5 以功率为 2.5 千瓦的标准机架为换算单位,超大型数据中心是指规模大于等于 10000 个标准机架的数据中心;大型数据中心是指规模大于等于 3000 个标准机架小于 10000 个标准机架的数据中心;中小型数据中 心是指规模小于 3000 个标准机架的数据中心。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 4 图图 1.5 CDN 升级改造现状升级改造现状 云平台方面,阿里云、百度云、腾讯云等知名云服务平台持续

15、推进云服务产品 IPv6 升级改造。目前,负载均衡、对象存储、域名解析等不同种类云服务产品已完成 IPv6 升级改造,平均改造率已超过60%,如图 1.6 所示。 图图 1.6 云平台升级改造现状云平台升级改造现状 3、互联网互联网应用应用 IPv6 活跃用户数活跃用户数稳步提升稳步提升 随着网络及应用基础设施 IPv6 升级改造的持续推进,IPv6 网络和应用能力稳步提升,IPv6 相关业务开始逐步上线,购物、视频、新中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 5 闻等各类互联网应用 IPv6 活跃用户数稳步提升。截止 2019 年 7 月,我国主要互联网应用活跃用

16、户数已达 2.01 亿,如图 1.7 所示。 图图 1.7 2019 年我国年我国 IPv6 活跃用户数增长情况活跃用户数增长情况 此外,截止 2019 年 7 月,我国政府、央企、央媒、商业6等各类网站 IPv6 升级改造也已取得积极进展,如图 1.8 所示。 图图 1.8 各类网站升级改造现状各类网站升级改造现状 (二)(二)IPv6 安全风险开始显现,安全风险开始显现,挑战挑战下一代互联网下一代互联网安全安全保障能力保障能力 早在 2018 年 3 月,美国安全厂商 Neustar 已发现业内第一起基6 统计维度为排名前 50 的商业网站。 筑牢下一代互联网安全防线IPv6 网络安全白皮

17、书 中国信息通信研究院 6 于 IPv6 协议的 DDoS 攻击, 攻击对象为存储 1900 个 IPv6 地址的 DNS服务器7。近年来,随着我国 IPv6 网络和业务开始上线,IPv6 网络攻击事件也开始出现, IPv6 网络安全问题相继浮出水面, 我国下一代互联网建设正面临客观安全挑战。 1、IPv6 网络攻击数量剧增,攻击范围逐渐扩大网络攻击数量剧增,攻击范围逐渐扩大 随着 IPv6 网络开始投入使用,IPv6 网络攻击8数量急剧增加,影响范围也呈现出向各行业领域扩大趋势。据国内安全厂商统计,2019年上半年共监测发现超过 9 万起 IPv6 网络攻击,其中,攻击对象覆盖政府部门、事业

18、单位、教育机构等单位9,如图 1.9 所示。 图图 1.9 2019 年上半年政企事业单位遭受年上半年政企事业单位遭受 IPv6 攻击情况攻击情况 在 2019 年 3 月, 国内安全厂商拦截到攻击源为 IPv6 地址的网络攻击 8000 万起10;在针对 283 家政府部门、教育机构、中央企业云托管网站来自 IPv6 网络的攻击中,目录遍历攻击、WEB Shell 攻击、SQL 注入等典型 WEB 攻击超过 90%11,如图 1.10 所示。 7 IPv6 环境下需要 DNS 存储海量地址,导致 DNS 极易被攻击者选为攻击的关键对象。 8 IPv6 网络攻击包括攻击源为 IPv6 地址的攻

19、击,以及利用 IPv6 网络或安全问题发起的各类攻击。 9 数据来源:据神州绿盟整理统计。 10 数据来源:据知道创宇整理统计。 11 数据来源:据深信服整理统计。 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 7 图图 1.10 283 家云托管网站网络攻击情况家云托管网站网络攻击情况 2、IPv6 安全漏洞客观存在,影响安全漏洞客观存在,影响覆盖覆盖系统、应用等系统、应用等各各相关相关层面层面 尽管 IPv6 相关技术概念早在 1996 年已经提出, 但直到近年来才开始引起各界的广泛关注和投入,相关硬件终端、操作系统、软件应用等仍处部署应用初期阶段, 尚不具备较为完

20、善的安全机制, IPv6 安全漏洞客观存在。 截止 2019 年 7 月, CVE 漏洞库中已收录 IPv6 相关漏洞 381 条,覆盖系统漏洞、应用漏洞、硬件漏洞、协议漏洞等不同层面,如图 1.11 所示。 图图 1.11 IPv6 相关漏洞情况相关漏洞情况(保留四舍五入统计误差保留四舍五入统计误差) 其中,CVSS12评分超过 7 的高危漏洞占比超过 50%,如图 1.12所示。 12 CVSS:Common Vulnerability Scoring System,通用漏洞评分系统。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 8 图图 1.12 不同威胁程度不

21、同威胁程度漏洞漏洞分布分布情况情况 二、我国下一代互联网建设安全工作现状 自行动计划发布以来,我国政产学研各界贯彻落实国家重大战略要求,从工作部署、科研工作、产品服务、安全实践等方面全面强化下一代互联网安全布局,持续加强我国下一代互联网安全保障。 (一)贯彻落实国家战略,加强(一)贯彻落实国家战略,加强 IPv6 安全工作部署安全工作部署 近年来,我国各政府部门立足自身职责分工,在政策方面频频发力,出台部门相关政策文件,同步强化各行业领域 IPv6 发展和安全工作部署,如图 2.1 所示。 图图 2.1 我国政府部门我国政府部门 IPv6 相关政策文件相关政策文件 中国信息通信研究院 筑牢下一

22、代互联网安全防线IPv6 网络安全白皮书 9 1、工信部:、工信部:明确明确 IPv6 安全工作安全工作阶段阶段性性目标目标 工信部连续两年发布相关政策文件, 分阶段细化IPv6安全要求。2018 年 5 月,发布关于贯彻落实的通知 ,从安全管理、保障措施、安全能力三个维度提出 IPv6 安全总体要求,包括同步升级 IPv6 安全保障系统、强化新兴技术领域安全能力建设等; 2019 年 4 月, 发布 关于开展 2019年 IPv6 网络就绪专项行动的通知 ,提出 2019 年末 IPv6 安全主要目标,强化落实 IPv6 网络安全保障,如图 2.2 所示。 图图 2.2 2019 年末年末

23、IPv6 安全主要目标安全主要目标 2、广电总局:细化、广电总局:细化 IPv6 安全指导安全指导和安全和安全测试验证测试验证要求要求 广电总局在 2018 年 3 月发布的 广电有线网络 IPv6 规模部署及推进实施指南 中明确细化 IPv6 发展和安全实施指导。 其中, 在 IPv6安全方面,该指南从网络攻击、口令攻击、病毒攻击等 9 种 IPv6 安全威胁入手,分析网络侧和业务侧两个方面的 IPv6 安全防护能力,针对终端安全、网络安全、业务安全三个方面,明确提出 IPv6 安全防护策略,如图 2.3 所示。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 10 图

24、图 2.3 实施指南相关实施指南相关 IPv6 安全防护策略安全防护策略 此外,该指南明确提出在 IPv6 部署过程中同步开展支持能力测试,要求 IPv6 升级改造后的系统应符合国家安全相关标准和行业标准,相关系统上线前应开展安全评测等。 3、教育部:、教育部:强调强调 IPv6 安全安全保障体系保障体系总体目标总体目标 2018 年 8 月,教育部发布教育部办公厅关于贯彻落实的通知 , 明确到 2020 年末基于 IPv6 的安全保障体系基本形成的总体目标,从安全管理、安全设备等方面,强调优化 IPv6 网络安全管理和防护,如图 2.4 所示。 图图 2.4 教育部教育部 IPv6 安全工作

25、部署安全工作部署 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 11 4、央行:同步、央行:同步落实落实 IPv6 发展和安全工作发展和安全工作 央行因其主管的金融服务机构业务特殊性, 长期以来十分重视网络安全工作。在 2019 年 1 月发布的 关于金融行业贯彻的实施意见中更是强调金融服务机构 IPv6 升级改造以保障系统安全稳定运行为前提,坚持发展与安全并举,并从主要目标、实施步骤等方面明确提出,按照“初期阶段、规模推广阶段、持续建设阶段”同步推进 IPv6 安全工作。在 IPv6 网络安全保障方面,提出构筑有效防范 IPv6 安全风险且不低于现有 IPv4 同等防

26、护能力的安全防护体系,新增 IPv6 互联网接入线路具备访问控制、入侵检测、流量清洗等安全功能。 此外,国资委在关于做好互联网协议第六版(IPv6)部署应用有关工作的通知中,要求各中央企业制定 IPv6 相关任务清单,制定详细工作计划,明确中央企业网站和系统改造计划完成时间,开展IPv6 环境下移动互联网、 物联网、 工业互联网等新兴技术研究与应用,同步强化网络安全保障工作的同时, 从强化组织领导、 保障资金投入、加大扶持力度等方面同步推动 IPv6 发展和安全相关工作。 (二)加快(二)加快 IPv6 安全科研布局,强化安全科研布局,强化 IPv6 安全技术储安全技术储备备 为防范下一代互联

27、网建设过程中一系列安全风险, 我国政产学研各界围绕 IPv6 基础资源安全管理、安全风险应对等问题,开展了一系列 IPv6 安全相关基础科研工作,旨在强化 IPv6 安全技术储备,推动下一代互联网安全演进。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 12 1、强化、强化 IPv6 安全核心要素和安全核心要素和基础资源安全管理基础资源安全管理创新创新 为强化 IPv6 风险应对技术储备,我国高校、企业、科研机构协同合作,依托科技部国家重点研发计划“宽带通信和新型网络”重点专项,重点开展了 IPv6 环境下基础资源管理核心技术研究,以 IPv6地址真实性作为网络基础设施

28、的信任锚点, 通过互联网体系架构中编制语义、路由控制等核心要素创新,实现大规模网络实体和网络行为关联要素可验证、可管理、可追溯,如图 2.5 所示。 图图 2.5 项目组织架构项目组织架构 该项目针对主干网、接入网等不同 IPv6 真实地址部署场景,兼顾开放互通和安全管控, 研究提出网络实体、 身份、 行为的关联机制,从编制语义、路由控制等角度研究实体编址与用户身份、网络行为间的关联关系的同时,构建大规模试验验证和应用示范平台,对自主技术体系、设备系统结构等开展全场景、一体化的验证,强化提升 IPv6环境下针对 IPv6 地址资源的安全管理能力,如图 2.6 所示。 中国信息通信研究院 筑牢下

29、一代互联网安全防线IPv6 网络安全白皮书 13 图图 2.6 项目研究框架项目研究框架 2、开展、开展 IPv6 安全风险研究,构建安全风险研究,构建 IPv6 安全应对体系安全应对体系 随着下一代互联网安全问题的逐渐显现, 基础电信企业作为我国推动 IPv6 规模部署工作的重要主体,在加快推动网络基础设施、应用基础设施等 IPv6 升级改造的同时,从升级网络安全防护手段、开展 IPv6 网络安全风险研究等方面同步推动 IPv6 网络安全保障工作。其中,中国电信于 2017 年开展 IPv6 网络安全风险相关研究工作,从网络安全防护体系、基础安全风险等方面,梳理 IPv6 安全风险对网络安全

30、防护体系带来的安全挑战, 分析过渡技术安全风险、 IPv6 新增风险等 IPv6 网络安全相关风险,以及 IPv6 协议机制对自身安全性的影响,形成 IPv6 安全风险框架,如图 2.7 所示。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 14 图图 2.7 中国电信中国电信 IPv6 安全风险框架安全风险框架 基于该框架中对 IPv6 安全风险的研究分析,针对其各业务场景安全需求,从安全管理、过渡技术、安全设备、访问控制等方面,形成涵盖边界防护、资产管理、威胁情报等内容的 IPv6 安全策略部署建议,如图 2.8 所示。 图图 2.8 中国电信中国电信 IPv6 安

31、全策略部署建议安全策略部署建议 3、推动推动 IPv6 源地址认证和源地址认证和网络攻击追踪溯源网络攻击追踪溯源研究研究 清华大学早在 2003 年依托 CNGI 提出真实 IPv6 源地址验证体系结构(SAVA)13,旨在通过域间、域内等网络层级的源地址识别和验13 真实 IPv6 源地址验证体系结构:Source Address Validation Architecture,SAVA。 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 15 证,对伪造源地址的分组进行过滤,保证网络中所有分组源 IPv6 地址的全网唯一性, 进而通过在接入网内和其他不同网络层级上建立不

32、同颗粒度的 IPv6 地址到其他类型标识的绑定关系,将 IPv6 地址逐级定位到网络实体,实现网络攻击行为的可溯源性14,如图 2.9 所示。 图图 2.9 真实真实 IPv6 源地址验证体系结构源地址验证体系结构体系结构体系结构 近年来,清华大学同样依托科技部国家重点研发计划“宽带通信和新型网络”重点专项,持续开展下一代互联网安全相关科研工作,提出“一体化融合网络体系结构和关键技术研究”研究项目,旨在依托 IPv6 网络体系结构,针对空间信息网、广播电视网、移动互联网等多种异构网络的安全高效互联互通面临的技术难题, 研究大规模可扩展、时空大尺度、多维高性能、真实安全可信、开放互联融合的一体化

33、新型网络体系结构及其协议关键技术, 为未来新型网络的发展奠定理论和技术基础。其中,在下一代互联网安全方面,该项目旨在研究一体化融合网络真实安全可信技术,实现源地址认证、用户身份认证、路由信息认证等功能,构建安全可信的未来一体化融合网络。 14 参考文献:李杰,吴建平,徐恪, 自治域间真实源地址验证方法及技术实现 。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 16 (三)(三)推动推动 IPv6 安全实践,安全实践,强化强化 IPv6 安全安全创新创新 1、加快、加快 IPv6 安全标准制修订,强化安全标准制修订,强化 IPv6 安全指导安全指导 从国家标准、行业标准

34、等不同层面,我国标准化组织全面启动IPv6 安全标准制修订工作,从 IPv6 安全防护、标准体系等方面持续强化 IPv6 安全指导,如图 2.10 所示。 图图 2.10 IPv6 安全相关标准工作安全相关标准工作 国家标准方面, TC26015的WG616聚焦IPv6网络安全标准化工作,从国内外 IPv6 发展现状入手,在分析 IPv6 网络安全风险的基础上,研究提出涵盖应用层、网络层、终端层等不同层次的 IPv6 网络安全体系框架,并从基础、技术、管理等方面研究提出 IPv6 网络安全标准化路线图。行业标准方面,CCSA17主要聚焦 IPv6 环境下多种业务场景网络安全防护要求,以及 IP

35、v6 地址实名制等安全新问题,开展标准制修订工作。其中,TC818的 WG319强化 IPv6 地址申请、分配、备案等安全管理, 加快推进IPv6地址实名制管理系列标准制定工作。15 TC260:全国信息安全标准化技术委员会。 16 WG6:通信安全标准工作组。 17 CCSA:中国通信标准化协会。 18 TC8:网络与信息安全。 19 WG3:安全管理组。 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 17 目前, IPv6 地址实名制管理总体要求、 备案信息核查系统技术要求等5 项标准均已完成报批稿,进入报批审核阶段。NTC420根据 IPv6 环境下引入的网络安全

36、风险, 加快推进 IDC、 CDN、 DNS 等多种业务场景网络安全防护要求标准修订工作。目前,互联网数据中心安全防护相关标准已进入征求意见阶段。 2、加强、加强 IPv6 安全产品和服务探索,助力安全能力提升安全产品和服务探索,助力安全能力提升 从下一代互联网安全需求看, IPv6 环境下协议类型转变、 海量地址空间等特性给安全产品功能提出新的要求。一方面,IPv4 向 IPv6网络升级演进是长期、持续的过程,网络安全产品同时支持 IPv4 和IPv6 已经成为其部署应用的关键要素。另一方面,基于 IPv6 的下一代互联网自身具有浩瀚的地址空间, 也将为网络安全产品带来新的挑战。例如,漏洞扫

37、描类网络安全产品难以在 IPv6 环境下实施遍历式扫描,导致其产品自身基于网络节点扫描发现系统、网络、应用漏洞的工作模式难以高效进行。此外,IPSec 作为 IPv6 环境下可选拓展安全功能,提供端到端加密数据通信机制的同时,也为攻击者规避防火墙、 IPS 等网络安全产品的深度分析和检查提供可趁之机。 因此, IPv6安全产品和服务作为下一代互联网安全防线的核心组成部分, 加快其研发、推广、部署已成为保障下一代互联网安全发展的关键。 我国安全企业加快发力,加快研发升级现有安全产品的 IPv6 支持能力, 以及开展 IPv6 环境安全新产品探索。 目前, 我国已有 231 款20 NTC4:网络

38、安全防护特设组。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 18 安全产品通过 IPv6 支持认证21,实现对 IPv6 协议层面的支持,产品类型覆盖防火墙、IDS/IPS、UTM、WAF 等,如图 2.11 所示。 图图 2.11 我国通过我国通过 IPv6 支持认证的安全产品情况支持认证的安全产品情况 在 IPv6 安全服务方面,由于 IPv6 网络中传输介质、通信链路、应用系统等关键组成部分与 IPv4 网络基本相同,代码审计、漏洞挖掘等传统安全服务仍将适用于 IPv6 环境。在下一代互联网升级演进过程中,我国安全企业也针对 IPv6 环境相继推出特有安全服务

39、。例如,部分安全企业推出 IPv6 安全改造服务,针对网络和应用基础设施、 互联网应用等不同对象, 提供 IPv6 安全改造咨询、 方案设计等。 3、探索、探索 IPv6 安全解决方案,强化安全解决方案,强化 IPv6 安全风险应对安全风险应对 随着我国下一代互联网建设的持续推进,各类 IPv6 安全事件的出现给下一代互联网安全发展敲响警钟, IPv6 安全问题逐渐引起各界的广泛关注。为提高 IPv6 安全风险防范能力,我国企业从网络基础设施、应用基础设施、基础资源管理等方面,加快开展 IPv6 安全实践和探索,推动 IPv6 安全技术创新和应用,如图 2.12 所示。 21 数据来源:下一代

40、互联网国家工程中心2018-2019 全球 IPv6 支持度白皮书 。 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 19 图图 2.12 我国我国 IPv6 安全相关实践安全相关实践 网络基础设施方面, 赛尔网络基于 CERNET2 主节点流量采集和分析,优化升级教育网 IPv6 态势监测系统,实现 IPv6 环境下网络攻击监测发现、网络流量分析与监测、安全态势感知等监测预警功能,建设面向云计算与大数据应用的云网一体化安全平台, 结合蜜罐态势监测、漏洞自动扫描等网络安全防护系统,实现资产安全管理、数据保护、漏洞检测和防御等网络安全防护功能,保障教育网主干网和纯IPv6

41、 云平台的云网一体化安全。 应用基础设施方面, 亚信安全针对IPv6环境下DNS面临的DDoS攻击、域名安全威胁等问题,提出 DNS 自适应安全架构,依托企业自身威胁情报库中 IPv6 地址黑名单,结合 DNS 流量监测分析系统,对访问 DNS 的源 IP 以及域名解析 IP 实施预测分析,同时按照 DNS安全策略,通过安全防护设备实施深度检测并阻断非法 IP 访问,形成预测、防御、检测、响应的 DNS 安全防御闭环。阿里云针对 IPv6环境下 IDC 开展 DDoS 防护安全实践,采用分布式计算、全链路双栈等技术,构建 IPv6 环境下 DDoS 防御系统,以及 SaaS 化的 DDoS筑牢

42、下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 20 防御产品, 保障企业自身业务安全的同时, 可为互联网企业提供 IPv6环境下 DDoS 安全防护产品和服务。 基础资源管理方面,神州绿盟等企业针对 IPv6 海量互联网资产难以实施高效的扫描、监测等问题,加快构建 IPv6 环境下互联网资产发现、识别、管理等安全能力,结合大数据分析等网络安全技术,满足 IPv6 环境下互联网资产安全监测、风险评估、威胁预警、应急处置等安全需求,切实提升 IPv6 环境下互联网资产网络安全管理能力。 值得注意的是,由于我国互联网应用 IPv6 升级改造进度相对滞后,目前针对互联网应用的 IP

43、v6 安全实践屈指可数。未来随着互联网应用 IPv6 升级改造进度的不断提升和需求市场的逐步扩大,可以预见将有更多企业针对互联网应用开展 IPv6 安全相关创新实践。 三、我国下一代互联网建设仍面临的安全挑战 IPv6 凭借其浩瀚的网络地址空间, 能够有效解决当前全球互联网面临的网络地址消耗殆尽等网络发展瓶颈问题。然而,IPv4 向 IPv6网络升级演进是一个长期、 持续的过程, IPv4/IPv6 过渡机制以及 IPv6协议新特性带来的客观安全问题不容忽视。此外,目前已部署上线的IPv6 业务相对有限,IPv6 安全产品和服务发展、IPv6 安全保障能力的建设也相对滞后,我国下一代互联网建设

44、仍面临现实安全挑战。 (一)(一) IPv4/IPv6 长期长期并存并存, 过渡机制, 过渡机制持续叠加持续叠加安全风险安全风险 如前所述,在下一代互联网建设过程中,IPv4 网络和 IPv6 网络中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 21 将长期并存, 为保障 IPv4 和 IPv6 网络间的相互通信, 通常采用双栈、 隧道、翻译等过渡机制实现向纯 IPv6 网络的平稳升级。然而,部分过渡机制自身存在安全缺陷,或将引入新的安全隐患,导致下一代互联网建设过渡期安全风险持续叠加。 1、双栈机制:、双栈机制:IPv4/IPv6 网络安全暴露面倍增网络安全暴露面倍增

45、双栈机制是指网络节点同时具备 IPv4 和 IPv6 两种协议栈,具备两种协议的支持能力。在双栈环境下,源节点根据目的节点协议栈类型选择不同的协议栈封装和发送报文, 网络设备根据接收到的报文协议类型,选择不同的协议栈对报文进行处理和转发,如图 3.1 所示。 图图 3.1 双栈机制原理双栈机制原理 在双栈环境下,采取 IPv4 和 IPv6 并存的通信模式,因 IPv4、IPv6 中任何一种协议安全漏洞等问题引发的不良影响将会以网络设备等为据点,在 IPv4 和 IPv6 网络中双向渗透传播,无形中增加网络节点的安全暴露面。例如,攻击者可利用 IPv6 协议栈漏洞,针对双栈环境下网络设备发起 DDoS 攻击,进而影响网络设备正常工作,引发 IPv4 和 IPv6 网络均无法正常访问,如图 3.2 所示。 筑牢下一代互联网安全防线IPv6 网络安全白皮书

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 研究报告 > 其他报告

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知得利文库网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号-8 |  经营许可证:黑B2-20190332号 |   黑公网安备:91230400333293403D

© 2020-2023 www.deliwenku.com 得利文库. All Rights Reserved 黑龙江转换宝科技有限公司 

黑龙江省互联网违法和不良信息举报
举报电话:0468-3380021 邮箱:hgswwxb@163.com