筑牢下一代互联网安全防线 —IPv6 网络安全白皮书 中国信息通信研究院 2019年9月 版权声明 本白皮书版权属于中国信息通信研究院,并受法律保 护。转载、摘编或利用其它方式使用本白皮书文字或者观 点的,应注明“来源:中国信息通信研究院”。违反上述 声明者,本院将追究其相关法律责任。 前 言 当前,网络信息技术加速引领新一轮科技革命,以前所 未有的广度和深度引发经济社会多方位、全领域、深层次的 技术创新和产业变革。在 5G、物联网、工业互联网等新兴领 域蓬勃发展,人人互联加速向万物互联迈进的时代趋势下, 网络空间传统 IPv4 地址资源紧缺等问题日益凸显,以 IPv6 为代表的下一代互联网技术应运而生。IPv6 凭借其海量地址 空间、内嵌安全能力等技术优势,为泛在融合、大连接的新 形势下网络信息技术的创新发展提供基础网络资源支撑,已 成为促进生产生活数字化、网络化、智能化发展的核心要素, 吸引世界发达国家的广泛关注和大力投入。 近年来,我国紧抓全球网络信息技术加速创新变革、信 息基础设施快速演进升级的历史机遇,全力推进下一代互联 网部署应用,为经济社会发展和网络强国建设提供有力支撑。 然而,IPv4 向 IPv6 网络的升级演进是一个长期、持续的过 程,现阶段已部署上线的 IPv6 业务仍相对有限,IPv6 部署 应用过程中的网络安全风险尚未完全显现。此种客观情况对 IPv6 新环境下的网络安全防御工作而言是挑战也是机遇,与 传统网络安全防御攻击方更为被动的形势相比,在 IPv6 环境 中,攻防双方正处于同一起跑线上。我们更应高度重视下一 代互联网演进升级中存在的安全风险,加快提升 IPv6 网络安 全防护能力,构建形成 IPv6 网络安全防护主动局面。 我院联合安天科技股份有限公司、北京蓝汛通信技术有 限责任公司、北京天融信网络安全技术有限公司、北京知道 创宇信息技术股份有限公司、北京神州绿盟信息安全科技股 份有限公司、华为技术有限公司、杭州安恒信息技术股份有 限公司、奇安信科技集团股份有限公司、上海观安信息技术 股份有限公司、深信服科技股份有限公司、深圳市腾讯计算 机系统有限公司、网宿科技股份有限公司、亚信科技(成都) 有限公司、中国电信集团有限公司、中国联合网络通信集团 有限公司、中国移动通信集团有限公司1共同推出《筑牢下一 代互联网安全防线—IPv6 网络安全白皮书》。本白皮书从网 络安全视角,客观审视 IPv6 发展和网络安全工作现状,分析 探讨下一代互联网升级演进过程中的安全风险和应对举措, 梳理现有网络安全工作急需,挖掘 IPv6 安全产品和服务重点 发展方向,希望与业界分享,共同推动保障下一代互联网安 全、有序发展。 1 注:按首字母排序,排名不分先后 目 录 一、相关背景 ............................................. 1 (一)IPv6 改造稳步推进,基本形成市场驱动良性环境 ......... 1 1、网络基础设施 IPv6 升级改造基本完成 ..................... 1 2、应用基础设施已具备 IPv6 服务能力 ....................... 3 3、互联网应用 IPv6 活跃用户数稳步提升 ..................... 4 (二)IPv6 安全风险开始显现,挑战下一代互联网安全保障能力 . 5 1、IPv6 网络攻击数量剧增,攻击范围逐渐扩大 ................ 6 2、IPv6 安全漏洞客观存在,影响覆盖系统、应用等各相关层面 .. 7 二、我国下一代互联网建设安全工作现状 ..................... 8 (一)贯彻落实国家战略,加强 IPv6 安全工作部署 ............ 8 1、工信部:明确 IPv6 安全工作阶段性目标 ................... 9 2、广电总局:细化 IPv6 安全指导和安全测试验证要求 ......... 9 3、教育部:强调 IPv6 安全保障体系总体目标 ................ 10 4、央行:同步落实 IPv6 发展和安全工作 .................... 11 (二)加快 IPv6 安全科研布局,强化 IPv6 安全技术储备 ...... 11 1、强化 IPv6 安全核心要素和基础资源安全管理创新 .......... 12 2、开展 IPv6 安全风险研究,构建 IPv6 安全应对体系 ......... 13 3、推动 IPv6 源地址认证和网络攻击追踪溯源研究 ............ 14 (三)推动 IPv6 安全实践,强化 IPv6 安全创新 .............. 16 1、加快 IPv6 安全标准制修订,强化 IPv6 安全指导 ........... 16 2、加强 IPv6 安全产品和服务探索,助力安全能力提升 ........ 17 3、探索 IPv6 安全解决方案,强化 IPv6 安全风险应对 ......... 18 三、我国下一代互联网建设仍面临的安全挑战 ................ 20 (一)IPv4/IPv6 长期并存,过渡机制持续叠加安全风险 ....... 20 1、双栈机制:IPv4/IPv6 网络安全暴露面倍增 ................ 21 2、隧道机制:内置安全功能缺失,安全影响范围扩大 ......... 22 3、翻译机制:机制内在特性仍面临传统网络攻击威胁 ......... 23 (二)协议新特性挑战现有安全手段,融合场景风险持续扩大 .. 25 1、IPv6 地址标识复杂性骤增,挑战基于地址资源安全防护手段 . 25 2、IPv6 协议新特性引入新安全问题,网络安全风险此消彼长 ... 27 3、IPv6 融合场景放大新技术安全隐患,加剧安全防御被动局面 . 30 (三)IPv6 网络安全需求能力“剪刀差”亟需弥合 ............ 31 1、IPv6 安全产品发展尚在起步,远滞后安全能力需求 ......... 31 2、IPv6 安全问题未充分暴露,制约安全服务发展步伐 ......... 33 3、 “IPv6+网络安全”复合型专业技术人才缺失 ............... 34 四、保障下一代互联网安全有序发展的建议 .................. 34 (一)主动布局 IPv6 安全产品服务和安全实践推广 ........... 35 (二)按需求、分场景落实 IPv6 安全产品服务部署 ........... 39 (三)构建 IPv6 安全创新机制,强化 IPv6 风险防范能力建设 .. 43 (四)强化 IPv6 安全知识技能培训,弥合 IPv6 安全人才差距 .. 44 中国信息通信研究院 筑牢下一代互联网安全防线—IPv6 网络安全白皮书 一、相关背景 近年来,我国紧抓全球信息通信技术加速创新变革、信息基础设 施快速演进升级的历史机遇,在国家层面出台《推进互联网协议第六 版(IPv6)规模部署行动计划》 (以下简称《行动计划》) ,提出“一条 主线、三个阶段、五项任务”总体目标,全力推进互联网演进升级和 健康创新发展,如图 1.1 所示。 图 1.1 我国下一代互联网建设总体目标 目前,我国下一代互联网建设第一阶段目标任务全面完成,网络 设施全面就绪、应用改造逐步推进、活跃用户稳步提升的局面已经形 成。但随着下一代互联网网络和业务环境逐步成熟,IPv6 网络安全风 险开始逐渐浮出水面,IPv6 网络安全事件时有发生。 (一)IPv6 改造稳步推进,基本形成市场驱动良性环境 1、网络基础设施 IPv6 升级改造基本完成 目前,我国固网、LTE 网络已大规模分配 IPv6 地址,基本具备 IPv6 业务承载能力2。截止 2019 年 7 月,LTE 网络方面,全国 30 省3 2 3 数据来源:本节数据如无特别说明,均统计自推进 IPv6 规模部署专家委员会。 数据统计范围不包括香港、澳门、台湾、新疆。 1 筑牢下一代互联网安全防线—IPv6 网络安全白皮书 中国信息通信研究院 的 LTE 网络已完成 IPv6 升级改造;固定网络方面,基础电信企业骨 干网设备已全部支持 IPv6,13 个骨干网直联点已全部实现 IPv6 互联 互通, 全国 30 个省城域网 IPv6 改造已经全面完成; 国际出入口方面, 基础电信企业已开通 IPv6 国际出入口带宽 100Gbps,扩建工作不断 加快。IPv6 网络流量现状如图 1.2 所示。 图 1.2 IPv6 流量现状 随着网络基础设施 IPv6 升级改造工作的持续推进,IPv6 网络相 关用户数稳步增长。截止 2019 年 7 月,全国已有 12.78 亿用户获得 IPv6 地址,其中,LTE 网络用户共 11.29 亿,固定网络用户 1.49 亿, 相比 2018 年初增长超过 10 倍,如图 1.3 所示。 图 1.3 IPv6 用户数现状 2 中国信息通信研究院 筑牢下一代互联网安全防线—IPv6 网络安全白皮书 2、应用基础设施已具备 IPv6 服务能力 我国应用基础设施改造速度不断加快,已具备全国范围内对外提 供服务的能力。DNS 方面,我国国家顶级域名服务系统早在 2012 年 的 CNGI4二期工程中已完成 IPv6 升级改造。截止 2019 年 7 月,基础 电信企业递归域名服务器已全部完成 IPv6 升级改造,全面支持 IPv6 地址解析。IDC 方面,基础电信企业超大型/大型/中小型 IDC5升级改 造全面完成,世纪互联等企业已完成大型 IDC 升级改造,正加快推动 中小型 IDC 升级改造进度,如图 1.4 所示。 图 1.4 IDC 升级改造现状 CDN 方面,我国 CDN 企业全部机房 IPv6 覆盖能力已达 100%, 已具备面向全国提供 IPv6 相关业务加速能力,省级 CDN 节点本地部 署已超过 60%,如图 1.5 所示。 CNGI:China's Next Generation Internet,中国下一代互联网。 以功率为 2.5 千瓦的标准机架为换算单位,超大型数据中心是指规模大于等于 10000 个标准机架的数据 中心;大型数据中心是指规模大于等于 3000 个标准机架小于 10000 个标准机架的数据中心;中小型数据中 心是指规模小于 3000 个标准机架的数据中心。 4 5 3 筑牢下一代互联网安全防线—IPv6 网络安全白皮书 中国信息通信研究院 图 1.5 CDN 升级改造现状 云平台方面,阿里云、百度云、腾
信通院 筑牢下一代互联网安全防线—IPv6网络安全白皮书
文档预览
中文文档
51 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共51页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-11 12:27:33上传分享