首頁 > 關于我們 > 新聞動態 > 公司新聞

【兩會提案】看嚴望佳委員對在推進IPv6應用中做好安全保障工作的提案

發布時間 2018-03-07


昨天文章的謎底就是號稱可以為全世界的每一粒沙子編上一個網址的——IPv6。那應用IPv6協議將給網絡架構帶來哪些新變化?產生哪些新的安全風險呢?不妨看看嚴望佳委員的提案。
 
關于在推進IPv6應用中
做好安全保障工作的提案

◆ 案 由:關于在推進IPv6應用中做好安全保障工作的提案

◆ 審查意見:建議中央網絡安全和信息化領導小組辦公室、工信部等研究辦理

◆ 提案人:嚴望佳

◆ 主題詞:IPv6、安全保障

◆ 提案形式:個人提案

 ◆ 內 容:

 

一、問題及原因分析

 

互聯網是關系國民經濟和社會發展的重要基礎設施,互聯網協議則是互聯網能夠互聯互通、正常運行的基石。當前廣泛使用的互聯網協議第四版(IPv4)面臨網絡地址消耗殆盡、服務質量難以保證等問題,以物聯網為代表的新應用又對地址空間、服務質量提出了更高的要求,采用新的互聯網體系架構已經迫在眉睫。在此背景下,中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版(IPv6)規模部署行動計劃》,是一項明智的舉措,必將產生積極而深遠的影響。


然而,相比較已經產生和運行了40多年的IPv4,IPv6還是一項新生事物。我國雖然通過在教育科研網絡中的大規模試用、聯合發起“雪人計劃”等積累了大量的IPv6使用經驗,但可以預料的是,在全面推進IPv6應用中仍然會出現一系列的問題,安全問題就是其中特別需要關注的一環。從現實情況來看,推進IPv6可能會產生的安全問題主要體現在以下幾點:

 

(1) 應用IPv6協議給網絡架構帶來新變化,產生新的安全風險。

 

IPv6協議的組播方式、地址自動配置、鄰居發現協議等都與現有的IPv4存在較大差異,且存在一定的安全隱患。此外,由于IPv6巨大的地址空間,使得內網地址轉換(NAT)成為一項不必要的技術,更多的設備會直接連接在互聯網上,增大了網絡攻擊的暴露面。

 

(2) 新的IPv6協議棧軟件存在的安全漏洞。

 

安全漏洞是軟件開發過程中普遍存在的安全問題,現有的IPv4協議棧已經大規模使用了數十年,仍然會在不同類型、不同版本操作系統的協議棧軟件中發現新的安全漏洞。在推進IPv6應用過程中,發現與IPv6協議棧軟件相關、能夠引發嚴重問題的安全漏洞是大概率事件。

 

(3) 缺乏對IPv6協議有深入了解的安全人員。

從IPv4到IPv6,不是簡單的升級,而是全新的替換?,F有安全人員的知識和經驗,很難直接應用到IPv6網絡環境中;IPv6下的網絡攻擊行為也會呈現出新的特點。因此一旦在IPv6環境中出現網絡安全問題或網絡攻擊行為,目前的安全人員將很難有效處置。

 

(4) 缺少能夠直接應用到IPv6環境中的網絡安全設備。

 

由于IPv6協議在制定過程中,大量的安全機制從強制降級為推薦,這使得在協議層面,IPv6本身并不比IPv4更安全?,F有的IPv4環境中產生了防火墻、入侵檢測系統、漏洞掃描工具等一系列的安全設備,能夠在一定程度上消除特定的安全風險。由于IPv6協議格式的差異,現有的網絡安全設備應用到IPv6環境中,需要進行協議棧的替換和大量測試工作,無法直接應用。

對于上述安全風險,如果不提前采取風險防范措施和應對工作,就有可能在部署IPv6應用中產生一系列的安全問題,成為阻礙IPv6應用落地的絆腳石。


二、 具體建議

 

我建議在推進IPv6應用中,要充分考慮新網絡體系架構帶來的潛在安全風險,政府在政策和制度層面制定相應的措施,提前做好風險防范和應對工作。具體建議如下:

 

(1) 加強對部署IPv6應用機構的風險評估工作。

 

風險評估是發現已知安全漏洞和威脅的重要手段,對于采用了新的IPv6網絡架構的用戶,要對其業務系統進行充分的風險評估,及早排除安全隱患。

 

(2) 鼓勵安全企業和個人對IPv6協議棧的漏洞挖掘。

 

漏洞挖掘是加快新軟件未知漏洞發現過程的重要手段,建議鼓勵安全企業和個人提交與IPv6協議棧相關的零日漏洞,使得IPv6協議棧的安全性能夠盡快得到完善。

 

(3) 加強IPv6安全人才培訓教育。

 

人是安全對抗中最重要的環節,建議通過對安全人員的培訓和教育,使得安全人員盡快掌握IPv6環境下的安全運維技能,增強對新環境下的安全問題處置能力。

 

(4) 推動現有網絡安全設備盡快過渡到IPv6環境。

 

在新的IPv6環境中,仍然需要部署使用網絡安全設備。建議采取措施,推進現有安全設備在IPv6環境中的兼容和落地,避免出現運行在IPv6下的業務系統缺少必要的安全防護措施的局面。
 

明天將發布嚴望佳委員的第四份提案,還是一如既往的期待吧!


 

上一篇 下一篇