您好,欢迎访问三七文档
当前位置:首页 > IT计算机/网络 > 网络安全 > 信通院筑牢下一代互联网安全防线IPv6网络安全白皮书2019951页
筑牢下一代互联网安全防线—IPv6网络安全白皮书中国信息通信研究院2019年9月版权声明本白皮书版权属于中国信息通信研究院,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国信息通信研究院”。违反上述声明者,本院将追究其相关法律责任。前言当前,网络信息技术加速引领新一轮科技革命,以前所未有的广度和深度引发经济社会多方位、全领域、深层次的技术创新和产业变革。在5G、物联网、工业互联网等新兴领域蓬勃发展,人人互联加速向万物互联迈进的时代趋势下,网络空间传统IPv4地址资源紧缺等问题日益凸显,以IPv6为代表的下一代互联网技术应运而生。IPv6凭借其海量地址空间、内嵌安全能力等技术优势,为泛在融合、大连接的新形势下网络信息技术的创新发展提供基础网络资源支撑,已成为促进生产生活数字化、网络化、智能化发展的核心要素,吸引世界发达国家的广泛关注和大力投入。近年来,我国紧抓全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,全力推进下一代互联网部署应用,为经济社会发展和网络强国建设提供有力支撑。然而,IPv4向IPv6网络的升级演进是一个长期、持续的过程,现阶段已部署上线的IPv6业务仍相对有限,IPv6部署应用过程中的网络安全风险尚未完全显现。此种客观情况对IPv6新环境下的网络安全防御工作而言是挑战也是机遇,与传统网络安全防御攻击方更为被动的形势相比,在IPv6环境中,攻防双方正处于同一起跑线上。我们更应高度重视下一代互联网演进升级中存在的安全风险,加快提升IPv6网络安全防护能力,构建形成IPv6网络安全防护主动局面。我院联合安天科技股份有限公司、北京蓝汛通信技术有限责任公司、北京天融信网络安全技术有限公司、北京知道创宇信息技术股份有限公司、北京神州绿盟信息安全科技股份有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、上海观安信息技术股份有限公司、深信服科技股份有限公司、深圳市腾讯计算机系统有限公司、网宿科技股份有限公司、亚信科技(成都)有限公司、中国电信集团有限公司、中国联合网络通信集团有限公司、中国移动通信集团有限公司1共同推出《筑牢下一代互联网安全防线—IPv6网络安全白皮书》。本白皮书从网络安全视角,客观审视IPv6发展和网络安全工作现状,分析探讨下一代互联网升级演进过程中的安全风险和应对举措,梳理现有网络安全工作急需,挖掘IPv6安全产品和服务重点发展方向,希望与业界分享,共同推动保障下一代互联网安全、有序发展。1注:按首字母排序,排名不分先后目录一、相关背景.............................................1(一)IPv6改造稳步推进,基本形成市场驱动良性环境.........11、网络基础设施IPv6升级改造基本完成.....................12、应用基础设施已具备IPv6服务能力.......................33、互联网应用IPv6活跃用户数稳步提升.....................4(二)IPv6安全风险开始显现,挑战下一代互联网安全保障能力.51、IPv6网络攻击数量剧增,攻击范围逐渐扩大................62、IPv6安全漏洞客观存在,影响覆盖系统、应用等各相关层面..7二、我国下一代互联网建设安全工作现状.....................8(一)贯彻落实国家战略,加强IPv6安全工作部署............81、工信部:明确IPv6安全工作阶段性目标...................92、广电总局:细化IPv6安全指导和安全测试验证要求.........93、教育部:强调IPv6安全保障体系总体目标................104、央行:同步落实IPv6发展和安全工作....................11(二)加快IPv6安全科研布局,强化IPv6安全技术储备......111、强化IPv6安全核心要素和基础资源安全管理创新..........122、开展IPv6安全风险研究,构建IPv6安全应对体系.........133、推动IPv6源地址认证和网络攻击追踪溯源研究............14(三)推动IPv6安全实践,强化IPv6安全创新..............161、加快IPv6安全标准制修订,强化IPv6安全指导...........162、加强IPv6安全产品和服务探索,助力安全能力提升........173、探索IPv6安全解决方案,强化IPv6安全风险应对.........18三、我国下一代互联网建设仍面临的安全挑战................20(一)IPv4/IPv6长期并存,过渡机制持续叠加安全风险.......201、双栈机制:IPv4/IPv6网络安全暴露面倍增................212、隧道机制:内置安全功能缺失,安全影响范围扩大.........223、翻译机制:机制内在特性仍面临传统网络攻击威胁.........23(二)协议新特性挑战现有安全手段,融合场景风险持续扩大..251、IPv6地址标识复杂性骤增,挑战基于地址资源安全防护手段.252、IPv6协议新特性引入新安全问题,网络安全风险此消彼长...273、IPv6融合场景放大新技术安全隐患,加剧安全防御被动局面.30(三)IPv6网络安全需求能力“剪刀差”亟需弥合............311、IPv6安全产品发展尚在起步,远滞后安全能力需求.........312、IPv6安全问题未充分暴露,制约安全服务发展步伐.........333、“IPv6+网络安全”复合型专业技术人才缺失...............34四、保障下一代互联网安全有序发展的建议..................34(一)主动布局IPv6安全产品服务和安全实践推广...........35(二)按需求、分场景落实IPv6安全产品服务部署...........39(三)构建IPv6安全创新机制,强化IPv6风险防范能力建设..43(四)强化IPv6安全知识技能培训,弥合IPv6安全人才差距..44中国信息通信研究院筑牢下一代互联网安全防线—IPv6网络安全白皮书1一、相关背景近年来,我国紧抓全球信息通信技术加速创新变革、信息基础设施快速演进升级的历史机遇,在国家层面出台《推进互联网协议第六版(IPv6)规模部署行动计划》(以下简称《行动计划》),提出“一条主线、三个阶段、五项任务”总体目标,全力推进互联网演进升级和健康创新发展,如图1.1所示。图1.1我国下一代互联网建设总体目标目前,我国下一代互联网建设第一阶段目标任务全面完成,网络设施全面就绪、应用改造逐步推进、活跃用户稳步提升的局面已经形成。但随着下一代互联网网络和业务环境逐步成熟,IPv6网络安全风险开始逐渐浮出水面,IPv6网络安全事件时有发生。(一)IPv6改造稳步推进,基本形成市场驱动良性环境1、网络基础设施IPv6升级改造基本完成目前,我国固网、LTE网络已大规模分配IPv6地址,基本具备IPv6业务承载能力2。截止2019年7月,LTE网络方面,全国30省32数据来源:本节数据如无特别说明,均统计自推进IPv6规模部署专家委员会。3数据统计范围不包括香港、澳门、台湾、新疆。筑牢下一代互联网安全防线—IPv6网络安全白皮书中国信息通信研究院2的LTE网络已完成IPv6升级改造;固定网络方面,基础电信企业骨干网设备已全部支持IPv6,13个骨干网直联点已全部实现IPv6互联互通,全国30个省城域网IPv6改造已经全面完成;国际出入口方面,基础电信企业已开通IPv6国际出入口带宽100Gbps,扩建工作不断加快。IPv6网络流量现状如图1.2所示。图1.2IPv6流量现状随着网络基础设施IPv6升级改造工作的持续推进,IPv6网络相关用户数稳步增长。截止2019年7月,全国已有12.78亿用户获得IPv6地址,其中,LTE网络用户共11.29亿,固定网络用户1.49亿,相比2018年初增长超过10倍,如图1.3所示。图1.3IPv6用户数现状中国信息通信研究院筑牢下一代互联网安全防线—IPv6网络安全白皮书32、应用基础设施已具备IPv6服务能力我国应用基础设施改造速度不断加快,已具备全国范围内对外提供服务的能力。DNS方面,我国国家顶级域名服务系统早在2012年的CNGI4二期工程中已完成IPv6升级改造。截止2019年7月,基础电信企业递归域名服务器已全部完成IPv6升级改造,全面支持IPv6地址解析。IDC方面,基础电信企业超大型/大型/中小型IDC5升级改造全面完成,世纪互联等企业已完成大型IDC升级改造,正加快推动中小型IDC升级改造进度,如图1.4所示。图1.4IDC升级改造现状CDN方面,我国CDN企业全部机房IPv6覆盖能力已达100%,已具备面向全国提供IPv6相关业务加速能力,省级CDN节点本地部署已超过60%,如图1.5所示。4CNGI:China'sNextGenerationInternet,中国下一代互联网。5以功率为2.5千瓦的标准机架为换算单位,超大型数据中心是指规模大于等于10000个标准机架的数据中心;大型数据中心是指规模大于等于3000个标准机架小于10000个标准机架的数据中心;中小型数据中心是指规模小于3000个标准机架的数据中心。筑牢下一代互联网安全防线—IPv6网络安全白皮书中国信息通信研究院4图1.5CDN升级改造现状云平台方面,阿里云、百度云、腾讯云等知名云服务平台持续推进云服务产品IPv6升级改造。目前,负载均衡、对象存储、域名解析等不同种类云服务产品已完成IPv6升级改造,平均改造率已超过60%,如图1.6所示。图1.6云平台升级改造现状3、互联网应用IPv6活跃用户数稳步提升随着网络及应用基础设施IPv6升级改造的持续推进,IPv6网络和应用能力稳步提升,IPv6相关业务开始逐步上线,购物、视频、新中国信息通信研究院筑牢下一代互联网安全防线—IPv6网络安全白皮书5闻等各类互联网应用IPv6活跃用户数稳步提升。截止2019年7月,我国主要互联网应用活跃用户数已达2.01亿,如图1.7所示。图1.72019年我国IPv6活跃用户数增长情况此外,截止2019年7月,我国政府、央企、央媒、商业6等各类网站IPv6升级改造也已取得积极进展,如图1.8所示。图1.8各类网站升级改造现状(二)IPv6安全风险开始显现,挑战下一代互联网安全保障能力早在2018年3月,美国安全厂商Neustar已发现业内第一起基6统计维度为排名前50的商业网站。筑牢下一代互联网安全防线—IPv6网络安全白皮书中国信息通信研究院6于IPv6协议的DDoS攻击,攻击对象为存储1900个IPv6地址的DNS服务器7。近年来,随着我国IPv6网络和业务开始上线,IPv6网络攻击事件也开始出现,IPv6网络安全问题相继浮出水面,我国下一代互联网建设正面临客观安全挑战。1、IPv6网络攻击数量剧增,攻击范围逐渐扩大随着IPv6网络开始投入使用,IPv6网络攻击8数量急剧增加,影响范围也呈现出向各行业领域扩大趋势。据国内安全厂商统计,2019年上半年共监测发现超过9万起IPv6网络攻击,其中,攻击对象覆盖政府部门、事业单位、教育机构等单位9,如图1.9所示。图1.92019年上半年政企事业单位遭受IPv6攻击情况在2019年3月,国内安全厂商拦截到攻击源为IPv6地址的网络攻击8000万起10;在针对283家政府部门、教育机构、中央企业云托管网站来自IPv6网络的攻击中,目录遍历攻击、WEBShell攻击、SQL注入等典型WEB攻击超过90%11,如图1.10所示。7IPv6环境下需要DNS存储海量地址,导致DNS极易被攻击者选为攻击的关键对象。8IPv6网络攻击包括攻击源为IPv6地址的攻击,以及利用IPv6网络或安全问题发起的各类攻击
本文标题:信通院筑牢下一代互联网安全防线IPv6网络安全白皮书2019951页
链接地址:https://www.777doc.com/doc-6811258 .html