昨天文章的谜底就是号称可以为全世界的每一粒沙子编上一个网址的——IPv6。那应用IPv6协议将给网络架构带来哪些新变化?产生哪些新的安全风险呢?不妨看看严望佳委员的提案。
关于在推进IPv6应用中做好安全保障工作的提案
案 由:关于在推进IPv6应用中做好安全保障工作的提案
审查意见:建议中央网络安全和信息化领导小组办公室、工信部等研究办理
提案人:严望佳
主题词:IPv6、安全保障
提案形式:个人提案
内 容:
问题及原因分析
互联网是关系国民经济和社会发展的重要基础设施,互联网协议则是互联网能够互联互通、正常运行的基石。当前广泛使用的互联网协议第四版(IPv4)面临网络地址消耗殆劲服务质量难以保证等问题,以物联网为代表的新应用又对地址空间、服务质量提出了更高的要求,采用新的互联网体系架构已经迫在眉睫。在此背景下,印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,是一项明智的举措,必将产生积极而深远的影响。
然而,相比较已经产生和运行了40多年的IPv4,IPv6还是一项新生事物。我国虽然通过在教育科研网络中的大规模试用、联合发起“雪人计划”等积累了大量的IPv6使用经验,但可以预料的是,在全面推进IPv6应用中仍然会出现一系列的问题,安全问题就是其中特别需要关注的一环。从现实情况来看,推进IPv6可能会产生的安全问题主要体现在以下几点:
应用IPv6协议给网络架构带来新变化,产生新的安全风险。IPv6协议的组播方式、地址自动配置、邻居发现协议等都与现有的IPv4存在较大差异,且存在一定的安全隐患。此外,由于IPv6巨大的地址空间,使得内网地址转换(NAT)成为一项不必要的技术,更多的设备会直接连接在互联网上,增大了网络攻击的暴露面。
新的IPv6协议栈软件存在的安全漏洞。安全漏洞是软件开发过程中普遍存在的安全问题,现有的IPv4协议栈已经大规模使用了数十年,仍然会在不同类型、不同版本操作系统的协议栈软件中发现新的安全漏洞。在推进IPv6应用过程中,发现与IPv6协议栈软件相关、能够引发严重问题的安全漏洞是大概率事件。
缺乏对IPv6协议有深入了解的安全人员。从IPv4到IPv6,不是简单的升级,而是全新的替换。现有安全人员的知识和经验,很难直接应用到IPv6网络环境中;IPv6下的网络攻击行为也会呈现出新的特点。因此一旦在IPv6环境中出现网络安全问题或网络攻击行为,目前的安全人员将很难有效处置。
缺少能够直接应用到IPv6环境中的网络安全设备。由于IPv6协议在制定过程中,大量的安全机制从强制降级为推荐,这使得在协议层面,IPv6本身并不比IPv4更安全。现有的IPv4环境中产生了防火墙、入侵检测系统、漏洞扫描工具等一系列的安全设备,能够在一定程度上消除特定的安全风险。由于IPv6协议格式的差异,现有的网络安全设备应用到IPv6环境中,需要进行协议栈的替换和大量测试工作,无法直接应用。
对于上述安全风险,如果不提前采取风险防范措施和应对工作,就有可能在部署IPv6应用中产生一系列的安全问题,成为阻碍IPv6应用落地的绊脚石。
具体建议
我建议在推进IPv6应用中,要充分考虑新网络体系架构带来的潜在安全风险,政府在政策和制度层面制定相应的措施,提前做好风险防范和应对工作。具体建议如下:
加强对部署IPv6应用机构的风险评估工作。风险评估是发现已知安全漏洞和威胁的重要手段,对于采用了新的IPv6网络架构的用户,要对其业务系统进行充分的风险评估,及早排除安全隐患。
鼓励安全企业和个人对IPv6协议栈的漏洞挖掘。漏洞挖掘是加快新软件未知漏洞发现过程的重要手段,建议鼓励安全企业和个人提交与IPv6协议栈相关的零日漏洞,使得IPv6协议栈的安全性能够尽快得到完善。
加强IPv6安全人才培训教育。人是安全对抗中最重要的环节,建议通过对安全人员的培训和教育,使得安全人员尽快掌握IPv6环境下的安全运维技能,增强对新环境下的安全问题处置能力。
推动现有网络安全设备尽快过渡到IPv6环境。在新的IPv6环境中,仍然需要部署使用网络安全设备。建议采取措施,推进现有安全设备在IPv6环境中的兼容和落地,避免出现运行在IPv6下的业务系统缺少必要的安全防护措施的局面。
明天将发布严望佳委员的第四份提案,这是一个之前没有涉及过的话题,还是一如既往的期待吧!
(责任编辑:admin) |