AIGC革命已来,如何在企业场景落地?如何选择模型、怎样应用RAG、需要哪些组织流程配套? 了解详情
写点什么

中国信通院发布《IPv6 网络安全白皮书》(附下载)

  • 2019-09-20
  • 本文字数:2275 字

    阅读完需:约 7 分钟

中国信通院发布《IPv6网络安全白皮书》(附下载)

9 月 18 日,中国信息通信研究院(简称“中国信通院”)在第六届国家网络安全宣传周电信日主题论坛上发布《筑牢下一代互联网安全防线——IPv6 网络安全白皮书》。



白皮书指出,在 5G、物联网、工业互联网等新兴领域蓬勃发展,人人互联加速向万物互联迈进的时代趋势下,网络空间传统 IPv4 地址资源紧缺等问题日益凸显,以 IPv6 为代表的下一代互联网技术应运而生。


IPv6 凭借其海量地址空间、内嵌安全能力等技术优势,为泛在融合、大连接的新形势下网络信息技术的创新发展提供基础网络资源支撑,已成为促进生产生活数字化、网络化、智能化发展的核心要素,吸引世界发达国家的广泛关注和大力投入。



截至 2019 年 7 月,全国已有 12.78 亿用户获得 IPv6 地址,其中,LTE 网络用户共 11.29 亿,固定网络用户 1.49 亿,相比 2018 年初增长超过 10 倍。


随着我国 IPv6 网络和业务开始上线,IPv6 网络攻击事件也开始出现。

1.IPv6 网络攻击数量剧增,攻击范围逐渐扩大

据国内安全厂商统计,2019 年上半年共监测发现超过 9 万起 IPv6 网络攻击,其中,攻击对象覆盖政府部门、事业单位、教育机构等单位。

2.IPv6 安全漏洞客观存在,影响覆盖系统、应用等各相关层面

鉴于相关硬件终端、操作系统、软件应用等仍处部署应用初期阶段,尚不具备较为完善的安全机制,IPv6 安全漏洞客观存在。。截止 2019 年 7 月,CVE 漏洞库中已收录 IPv6 相关漏洞 381 条,覆盖系统漏洞、应用漏洞、硬件漏洞、协议漏洞等不同层面。



白皮书深刻指出,IPv4 向 IPv6 网络升级演进是一个长期、持续的过程,IPv4/IPv6 过渡机制以及 IPv6 协议新特性带来的客观安全问题不容忽视。此外,目前已部署上线的 IPv6 业务相对有限,IPv6 安全产品和服务发展、IPv6 安全保障能力的建设也相对滞后,我国下一代互联网建设仍面临现实安全挑战。

(一)IPv4/IPv6 长期并存,过渡机制持续叠加安全风险

1.双栈机制:IPv4/IPv6 网络安全暴露面倍增

双栈机制是指网络节点同时具备 IPv4 和 IPv6 两种协议栈,具备两种协议的支持能力。



在双栈环境下,采取 IPv4 和 IPv6 并存的通信模式,因 IPv4、IPv6 中任何一种协议安全漏洞等问题引发的不良影响将会以网络设备等为据点,在 IPv4 和 IPv6 网络中双向渗透传播,无形中增加网络节点的安全暴露面。

2.隧道机制:内置安全功能缺失,安全影响范围扩大

隧道机制可实现 IPv6 数据包在 IPv4 网络中传输,其核心在于将 IPv6 数据包封装在 IPv4 数据包中,以自动、手动等多种隧道配置方式,保障被 IPv4 网络隔离开的局部 IPv6 网络间相互通信。



在隧道环境下,部分隧道机制仅要求隧道出入口节点对报文进行简单的封装和解封,缺乏内置认证、加密等安全功能,导致攻击者可能截取隧道报文,伪造用户地址并伪装成合法用户发起攻击。

3.翻译机制:机制内在特性仍面临传统网络攻击威胁

尽管翻译机制在 IPv4/IPv6 过渡期与在 IPv4 环境中作用不同,但机制特性仍未发生改变,同样面临地址池耗尽等常见 DDoS 攻击威胁,攻击者可通过伪造大量 IPv6 地址向翻译节点发起地址转换请求,消耗地址池 IPv4 资源,同时导致合法用户无法获取 IPv4 地址,进而引发 IPv4 网络无法正常访问。



白皮书认为,“相对坚实的安全保障基础使得翻译机制或将成为 IPv4/IPv6 过渡机制的首选。 ”


(二)协议新特性挑战现有安全手段,融合场景风险持续扩大

1、IPv6 地址标识复杂性骤增,挑战基于地址资源安全防护手段

尽管 IPv6 能够有效解决全球互联网地址紧缺问题,但协议类型、地址空间、地址格式、掩码格式等网络地址标识的变化,也导致 IPv6 网络中网络地址标识相对于 IPv4 网络地址标识而言,复杂性急剧增加。



在 IPv6 网络地址标识复杂性持续叠加的情况下,流量清洗、数据包过滤、入侵检测等以各类网络地址标识解析为核心的传统安全防护手段将面临严峻安全挑战。

2、IPv6 协议新特性引入新安全问题,网络安全风险此消彼长

IPv6 协议引入报文扩展头、地址自动配置等新特性,在提高网络服务质量的同时,也引入组播通信、MTU27 路径发现等新特性,可有效应对广播风暴、分片攻击等部分网络安全风险。


具体包括:


扩展头攻击


NDP 攻击


DAD 攻击


前缀欺骗攻击


MLD 攻击

3、IPv6 融合场景放大新技术安全隐患,加剧安全防御被动局面


当前,5G、物联网、工业互联网等新一代信息通信技术和新业态的快速发展应用,在未来构建物物互联的泛在连接场景中,将与 IPv6 地址紧密绑定、与 IPv6 技术深度融合,可能放大新技术新业态本身及应用过程中存在的安全隐患,加大网络安全管理难度。

(三)IPv6 网络安全需求能力“剪刀差”亟需弥合

1、IPv6 安全产品发展尚在起步,远滞后安全能力需求


就现阶段 IPv6 相关安全产品的研发应用情况来看,目前市场对 IPv6 安全产品发展的驱动效应尚未全面显现,我国 IPv6 安全产品仍处于起步发展阶段。


2、IPv6 安全问题未充分暴露,制约安全服务发展步伐

目前,我国基础网络、政企和商业网站等已具备各项 IPv6 业务支持能力,但 IPv6 网络和应用仍未大规模投入使用,导致 IPv6 安全问题未充分暴露,现有网络安全服务 IPv6 验证环境的缺失也将导致 IPv6 应用代码缺陷、安全漏洞等安全问题不能得到全面和深入的验证。

3、“IPv6+网络安全”复合型专业技术人才缺失

白皮书指出,当前,我国网络安全学科教育年度培养规模约 1 万人左右,且普遍存在从业人员知识储备、技能等方面短板,重要行业和领域网络安全运维保障、监管执法等人才短缺等现实问题。


这样的大背景下,一方面,,IPv6 新环境下网络安全专业人员正面临严峻挑战;另一方面,大量运维人员缺乏 IPv6 安全相关知识和经验。


白皮书下载地址:


《筑牢下一代互联网安全防线—IPv6网络安全白皮书》


2019-09-20 11:332060

评论

发布
暂无评论
发现更多内容

【Spring Boot 16】常用注解介绍及使用,内含福利

Java 程序员 后端

【Spring Boot 7】RabbitMQ基础知识总结,Java学习笔记在互联网上火了

Java 程序员 后端

【Spring Boot 15】启动类原理解析,mysql主从复制原理面试

Java 程序员 后端

【Spring Boot 4】如何优雅的使用 Mybatis,linux内核深度解析

Java 程序员 后端

【实习之T100开发】Genero FGL (TIPTOP4GL) 学习笔记,2021金九银十

Java 程序员 后端

【新】虚拟机深层系列,java底层实现原理

Java 程序员 后端

【深度思考】JDK8中日期类型该如何使用,java面试题百度网盘

Java 程序员 后端

【源码分析设计模式 10】SpringMVC中的建造者模式,mybatis技术原理pdf

Java 程序员 后端

【Spring AOP】静态代理设计模式,大牛带你直击优秀开源框架灵魂

Java 程序员 后端

【并发编程】深入了解volatile(1),linux操作系统教程海南师范大学

Java 程序员 后端

【计算机网络】局域网原理与技术,一次哔哩哔哩面试经历

Java 程序员 后端

【设计模式】代理模式,java面试官常问的问题

Java 程序员 后端

【PyQt5】designer 页面点击按钮跳转页面,华为面试笔试题java

Java 程序员 后端

【ShardingSphere 技术专题】,qt图形界面编程入门课后答案

Java 程序员 后端

【全栈最全Java框架总结】SSH,java线程池面试问题

Java 程序员 后端

【并发编程】深入了解volatile,nginx负载均衡架构

Java 程序员 后端

【Spring Cloud 8】熔断与限流Sentinel,java常见面试题

Java 程序员 后端

【Spring 持久层】Spring 事务开发,nginx原理及应用

Java 程序员 后端

【备战秋招】30道Spring IOC经典面试题,kafka消息中间件原理

Java 程序员 后端

【数据结构与算法 9】谁发明的八皇后,mysql教程视频百度云

Java 程序员 后端

【牛客】从青铜到王者01,java基础入门第二版第二章答案

Java 程序员 后端

【Spring Boot 26】分别在SpringBoot和Vue中解决跨域问题

Java 程序员 后端

【Spring 工厂】反转控制与依赖注入,成功收获美团,小米offer

Java 程序员 后端

50道Linux基础命令题目及其解答 | Linux命令

Regan Yue

Linux 10月月更

【程序猿历程】2020年总结,java高级课程视频

Java 程序员 后端

【Spring Boot 7】RabbitMQ基础知识总结(1),java开发面试宝典

Java 程序员 后端

【Spring5,贼厉害

Java 程序员 后端

【数据库实验】,springboot视频教程迅雷

Java 程序员 后端

【数据结构与算法 12】二分查找,java大数据分析技术栈

Java 程序员 后端

【线程】,东软集团Java笔试题

Java 程序员 后端

【自我感悟&&致学弟学妹】大三上的感悟,linux学习教程

Java 程序员 后端

中国信通院发布《IPv6网络安全白皮书》(附下载)_安全_万佳_InfoQ精选文章