3月 082018
 

案 由:关于在推进IPv6应用中做好安全保障工作的提案
审查意见:建议中央网络安全和信息化领导小组办公室、工信部等研究办理
提案人:严望佳
主题词:IPv6、安全保障
提案形式:个人提案
内 容:
问题及原因分析

互联网是关系国民经济和社会发展的重要基础设施,互联网协议则是互联网能够互联互通、正常运行的基石。当前广泛使用的互联网协议第四版(IPv4)面临网络地址消耗殆尽、服务质量难以保证等问题,以物联网为代表的新应用又对地址空间、服务质量提出了更高的要求,采用新的互联网体系架构已经迫在眉睫。在此背景下,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,是一项明智的举措,必将产生积极而深远的影响。

然而,相比较已经产生和运行了40多年的IPv4,IPv6还是一项新生事物。我国虽然通过在教育科研网络中的大规模试用、联合发起“雪人计划”等积累了大量的IPv6使用经验,但可以预料的是,在全面推进IPv6应用中仍然会出现一系列的问题,安全问题就是其中特别需要关注的一环。从现实情况来看,推进IPv6可能会产生的安全问题主要体现在以下几点:

应用IPv6协议给网络架构带来新变化,产生新的安全风险。IPv6协议的组播方式、地址自动配置、邻居发现协议等都与现有的IPv4存在较大差异,且存在一定的安全隐患。此外,由于IPv6巨大的地址空间,使得内网地址转换(NAT)成为一项不必要的技术,更多的设备会直接连接在互联网上,增大了网络攻击的暴露面。

新的IPv6协议栈软件存在的安全漏洞。安全漏洞是软件开发过程中普遍存在的安全问题,现有的IPv4协议栈已经大规模使用了数十年,仍然会在不同类型、不同版本操作系统的协议栈软件中发现新的安全漏洞。在推进IPv6应用过程中,发现与IPv6协议栈软件相关、能够引发严重问题的安全漏洞是大概率事件。

缺乏对IPv6协议有深入了解的安全人员。从IPv4到IPv6,不是简单的升级,而是全新的替换。现有安全人员的知识和经验,很难直接应用到IPv6网络环境中;IPv6下的网络攻击行为也会呈现出新的特点。因此一旦在IPv6环境中出现网络安全问题或网络攻击行为,目前的安全人员将很难有效处置。

缺少能够直接应用到IPv6环境中的网络安全设备。由于IPv6协议在制定过程中,大量的安全机制从强制降级为推荐,这使得在协议层面,IPv6本身并不比IPv4更安全。现有的IPv4环境中产生了防火墙、入侵检测系统、漏洞扫描工具等一系列的安全设备,能够在一定程度上消除特定的安全风险。由于IPv6协议格式的差异,现有的网络安全设备应用到IPv6环境中,需要进行协议栈的替换和大量测试工作,无法直接应用。

对于上述安全风险,如果不提前采取风险防范措施和应对工作,就有可能在部署IPv6应用中产生一系列的安全问题,成为阻碍IPv6应用落地的绊脚石。

具体建议

我建议在推进IPv6应用中,要充分考虑新网络体系架构带来的潜在安全风险,政府在政策和制度层面制定相应的措施,提前做好风险防范和应对工作。具体建议如下:

加强对部署IPv6应用机构的风险评估工作。风险评估是发现已知安全漏洞和威胁的重要手段,对于采用了新的IPv6网络架构的用户,要对其业务系统进行充分的风险评估,及早排除安全隐患。

鼓励安全企业和个人对IPv6协议栈的漏洞挖掘。漏洞挖掘是加快新软件未知漏洞发现过程的重要手段,建议鼓励安全企业和个人提交与IPv6协议栈相关的零日漏洞,使得IPv6协议栈的安全性能够尽快得到完善。

加强IPv6安全人才培训教育。人是安全对抗中最重要的环节,建议通过对安全人员的培训和教育,使得安全人员尽快掌握IPv6环境下的安全运维技能,增强对新环境下的安全问题处置能力。

推动现有网络安全设备尽快过渡到IPv6环境。在新的IPv6环境中,仍然需要部署使用网络安全设备。建议采取措施,推进现有安全设备在IPv6环境中的兼容和落地,避免出现运行在IPv6下的业务系统缺少必要的安全防护措施的局面。

 回复

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>