筑牢下一代互联网安全防线—IPv6网络安全白皮书.pdf
《筑牢下一代互联网安全防线—IPv6网络安全白皮书.pdf》由会员分享,可在线阅读,更多相关《筑牢下一代互联网安全防线—IPv6网络安全白皮书.pdf(51页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 筑牢筑牢下一代互联网安全防线下一代互联网安全防线 IPv6 网络安全白皮书网络安全白皮书 中国信息通信研究院中国信息通信研究院 2019年年9月月 版权声明版权声明 本白皮书本白皮书版权属于版权属于中国信息通信研究院中国信息通信研究院,并受法律保,并受法律保护护。转载、摘编或利用其它方式使用转载、摘编或利用其它方式使用本白皮书文字或者观本白皮书文字或者观点的,应点的,应注明注明“来源:来源:中国信息通信研究院”中国信息通信研究院”。违反上述。违反上述声明者,本声明者,本院院将追究其相关法律责任。将追究其相关法律责任。 前前 言言 当前,网络信息技术加速引领新一轮科技革命,以前所未有的广度和深
2、度引发经济社会多方位、全领域、深层次的技术创新和产业变革。在 5G、物联网、工业互联网等新兴领域蓬勃发展,人人互联加速向万物互联迈进的时代趋势下,网络空间传统 IPv4 地址资源紧缺等问题日益凸显,以 IPv6为代表的下一代互联网技术应运而生。IPv6 凭借其海量地址空间、内嵌安全能力等技术优势,为泛在融合、大连接的新形势下网络信息技术的创新发展提供基础网络资源支撑,已成为促进生产生活数字化、 网络化、 智能化发展的核心要素,吸引世界发达国家的广泛关注和大力投入。 近年来,我国紧抓全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,全力推进下一代互联网部署应用,为经济社会发展和网
3、络强国建设提供有力支撑。然而,IPv4 向 IPv6 网络的升级演进是一个长期、持续的过程,现阶段已部署上线的 IPv6 业务仍相对有限,IPv6 部署应用过程中的网络安全风险尚未完全显现。此种客观情况对IPv6 新环境下的网络安全防御工作而言是挑战也是机遇,与传统网络安全防御攻击方更为被动的形势相比, 在 IPv6 环境中,攻防双方正处于同一起跑线上。我们更应高度重视下一代互联网演进升级中存在的安全风险, 加快提升 IPv6 网络安全防护能力,构建形成 IPv6 网络安全防护主动局面。 我院联合安天科技股份有限公司、北京蓝汛通信技术有限责任公司、北京天融信网络安全技术有限公司、北京知道创宇信
4、息技术股份有限公司、北京神州绿盟信息安全科技股份有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、上海观安信息技术股份有限公司、深信服科技股份有限公司、深圳市腾讯计算机系统有限公司、 网宿科技股份有限公司、 亚信科技 (成都)有限公司、中国电信集团有限公司、中国联合网络通信集团有限公司、中国移动通信集团有限公司1共同推出筑牢下一代互联网安全防线IPv6 网络安全白皮书 。本白皮书从网络安全视角, 客观审视 IPv6 发展和网络安全工作现状, 分析探讨下一代互联网升级演进过程中的安全风险和应对举措,梳理现有网络安全工作急需, 挖掘 IPv6 安全产品和服务重点
5、发展方向,希望与业界分享,共同推动保障下一代互联网安全、有序发展。1 注:按首字母排序,排名不分先后 目目 录录 一、相关背景 . 1 (一)IPv6 改造稳步推进,基本形成市场驱动良性环境 . 1 1、网络基础设施 IPv6 升级改造基本完成 . 1 2、应用基础设施已具备 IPv6 服务能力 . 3 3、互联网应用 IPv6 活跃用户数稳步提升 . 4 (二)IPv6 安全风险开始显现,挑战下一代互联网安全保障能力 . 5 1、IPv6 网络攻击数量剧增,攻击范围逐渐扩大 . 6 2、IPv6 安全漏洞客观存在,影响覆盖系统、应用等各相关层面 . 7 二、我国下一代互联网建设安全工作现状
6、. 8 (一)贯彻落实国家战略,加强 IPv6 安全工作部署 . 8 1、工信部:明确 IPv6 安全工作阶段性目标 . 9 2、广电总局:细化 IPv6 安全指导和安全测试验证要求 . 9 3、教育部:强调 IPv6 安全保障体系总体目标 . 10 4、央行:同步落实 IPv6 发展和安全工作 . 11 (二)加快 IPv6 安全科研布局,强化 IPv6 安全技术储备 . 11 1、强化 IPv6 安全核心要素和基础资源安全管理创新 . 12 2、开展 IPv6 安全风险研究,构建 IPv6 安全应对体系 . 13 3、推动 IPv6 源地址认证和网络攻击追踪溯源研究 . 14 (三)推动
7、IPv6 安全实践,强化 IPv6 安全创新 . 16 1、加快 IPv6 安全标准制修订,强化 IPv6 安全指导 . 16 2、加强 IPv6 安全产品和服务探索,助力安全能力提升 . 17 3、探索 IPv6 安全解决方案,强化 IPv6 安全风险应对 . 18 三、我国下一代互联网建设仍面临的安全挑战 . 20 (一)IPv4/IPv6 长期并存,过渡机制持续叠加安全风险 . 20 1、双栈机制:IPv4/IPv6 网络安全暴露面倍增 . 21 2、隧道机制:内置安全功能缺失,安全影响范围扩大 . 22 3、翻译机制:机制内在特性仍面临传统网络攻击威胁 . 23 (二)协议新特性挑战现
8、有安全手段,融合场景风险持续扩大 . 25 1、IPv6 地址标识复杂性骤增,挑战基于地址资源安全防护手段 . 25 2、IPv6 协议新特性引入新安全问题,网络安全风险此消彼长 . 27 3、IPv6 融合场景放大新技术安全隐患,加剧安全防御被动局面 . 30 (三)IPv6 网络安全需求能力“剪刀差”亟需弥合 . 31 1、IPv6 安全产品发展尚在起步,远滞后安全能力需求 . 31 2、IPv6 安全问题未充分暴露,制约安全服务发展步伐 . 33 3、 “IPv6+网络安全”复合型专业技术人才缺失 . 34 四、保障下一代互联网安全有序发展的建议 . 34 (一)主动布局 IPv6 安全
9、产品服务和安全实践推广 . 35 (二)按需求、分场景落实 IPv6 安全产品服务部署 . 39 (三)构建 IPv6 安全创新机制,强化 IPv6 风险防范能力建设 . 43 (四)强化 IPv6 安全知识技能培训,弥合 IPv6 安全人才差距 . 44 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 1 一、相关背景 近年来,我国紧抓全球信息通信技术加速创新变革、信息基础设施快速演进升级的历史机遇,在国家层面出台推进互联网协议第六版(IPv6)规模部署行动计划 (以下简称行动计划 ) ,提出“一条主线、三个阶段、五项任务”总体目标,全力推进互联网演进升级和健康创新发展
10、,如图 1.1 所示。 图图 1.1 我国我国下一代互联网建设总体目标下一代互联网建设总体目标 目前,我国下一代互联网建设第一阶段目标任务全面完成,网络设施全面就绪、应用改造逐步推进、活跃用户稳步提升的局面已经形成。 但随着下一代互联网网络和业务环境逐步成熟, IPv6 网络安全风险开始逐渐浮出水面,IPv6 网络安全事件时有发生。 (一)(一)IPv6 改造稳步推进,改造稳步推进,基本形成基本形成市场驱动良性环境市场驱动良性环境 1、网络基础设施、网络基础设施 IPv6 升级改造基本完成升级改造基本完成 目前,我国固网、LTE 网络已大规模分配 IPv6 地址,基本具备IPv6 业务承载能力
11、2。截止 2019 年 7 月,LTE 网络方面,全国 30 省32 数据来源:本节数据如无特别说明,均统计自推进 IPv6 规模部署专家委员会。 3 数据统计范围不包括香港、澳门、台湾、新疆。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 2 的 LTE 网络已完成 IPv6 升级改造;固定网络方面,基础电信企业骨干网设备已全部支持 IPv6,13 个骨干网直联点已全部实现 IPv6 互联互通, 全国30 个省城域网IPv6改造已经全面完成; 国际出入口方面,基础电信企业已开通 IPv6 国际出入口带宽 100Gbps,扩建工作不断加快。IPv6 网络流量现状如图 1
12、.2 所示。 图图 1.2 IPv6 流量现状流量现状 随着网络基础设施 IPv6 升级改造工作的持续推进,IPv6 网络相关用户数稳步增长。截止 2019 年 7 月,全国已有 12.78 亿用户获得IPv6 地址,其中,LTE 网络用户共 11.29 亿,固定网络用户 1.49 亿,相比 2018 年初增长超过 10 倍,如图 1.3 所示。 图图 1.3 IPv6 用户数现状用户数现状 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 3 2、应用基础设施、应用基础设施已具备已具备 IPv6 服务能力服务能力 我国应用基础设施改造速度不断加快, 已具备全国范围内对外提
13、供服务的能力。DNS 方面,我国国家顶级域名服务系统早在 2012 年的 CNGI4二期工程中已完成 IPv6 升级改造。截止 2019 年 7 月,基础电信企业递归域名服务器已全部完成 IPv6 升级改造,全面支持 IPv6地址解析。IDC 方面,基础电信企业超大型/大型/中小型 IDC5升级改造全面完成, 世纪互联等企业已完成大型 IDC 升级改造, 正加快推动中小型 IDC 升级改造进度,如图 1.4 所示。 图图 1.4 IDC 升级改造现状升级改造现状 CDN 方面, 我国 CDN 企业全部机房 IPv6 覆盖能力已达100%,已具备面向全国提供 IPv6 相关业务加速能力, 省级
14、CDN 节点本地部署已超过 60%,如图 1.5 所示。 4 CNGI:Chinas Next Generation Internet,中国下一代互联网。 5 以功率为 2.5 千瓦的标准机架为换算单位,超大型数据中心是指规模大于等于 10000 个标准机架的数据中心;大型数据中心是指规模大于等于 3000 个标准机架小于 10000 个标准机架的数据中心;中小型数据中 心是指规模小于 3000 个标准机架的数据中心。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 4 图图 1.5 CDN 升级改造现状升级改造现状 云平台方面,阿里云、百度云、腾讯云等知名云服务平台持续
15、推进云服务产品 IPv6 升级改造。目前,负载均衡、对象存储、域名解析等不同种类云服务产品已完成 IPv6 升级改造,平均改造率已超过60%,如图 1.6 所示。 图图 1.6 云平台升级改造现状云平台升级改造现状 3、互联网互联网应用应用 IPv6 活跃用户数活跃用户数稳步提升稳步提升 随着网络及应用基础设施 IPv6 升级改造的持续推进,IPv6 网络和应用能力稳步提升,IPv6 相关业务开始逐步上线,购物、视频、新中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 5 闻等各类互联网应用 IPv6 活跃用户数稳步提升。截止 2019 年 7 月,我国主要互联网应用活跃用
16、户数已达 2.01 亿,如图 1.7 所示。 图图 1.7 2019 年我国年我国 IPv6 活跃用户数增长情况活跃用户数增长情况 此外,截止 2019 年 7 月,我国政府、央企、央媒、商业6等各类网站 IPv6 升级改造也已取得积极进展,如图 1.8 所示。 图图 1.8 各类网站升级改造现状各类网站升级改造现状 (二)(二)IPv6 安全风险开始显现,安全风险开始显现,挑战挑战下一代互联网下一代互联网安全安全保障能力保障能力 早在 2018 年 3 月,美国安全厂商 Neustar 已发现业内第一起基6 统计维度为排名前 50 的商业网站。 筑牢下一代互联网安全防线IPv6 网络安全白皮
17、书 中国信息通信研究院 6 于 IPv6 协议的 DDoS 攻击, 攻击对象为存储 1900 个 IPv6 地址的 DNS服务器7。近年来,随着我国 IPv6 网络和业务开始上线,IPv6 网络攻击事件也开始出现, IPv6 网络安全问题相继浮出水面, 我国下一代互联网建设正面临客观安全挑战。 1、IPv6 网络攻击数量剧增,攻击范围逐渐扩大网络攻击数量剧增,攻击范围逐渐扩大 随着 IPv6 网络开始投入使用,IPv6 网络攻击8数量急剧增加,影响范围也呈现出向各行业领域扩大趋势。据国内安全厂商统计,2019年上半年共监测发现超过 9 万起 IPv6 网络攻击,其中,攻击对象覆盖政府部门、事业
18、单位、教育机构等单位9,如图 1.9 所示。 图图 1.9 2019 年上半年政企事业单位遭受年上半年政企事业单位遭受 IPv6 攻击情况攻击情况 在 2019 年 3 月, 国内安全厂商拦截到攻击源为 IPv6 地址的网络攻击 8000 万起10;在针对 283 家政府部门、教育机构、中央企业云托管网站来自 IPv6 网络的攻击中,目录遍历攻击、WEB Shell 攻击、SQL 注入等典型 WEB 攻击超过 90%11,如图 1.10 所示。 7 IPv6 环境下需要 DNS 存储海量地址,导致 DNS 极易被攻击者选为攻击的关键对象。 8 IPv6 网络攻击包括攻击源为 IPv6 地址的攻
19、击,以及利用 IPv6 网络或安全问题发起的各类攻击。 9 数据来源:据神州绿盟整理统计。 10 数据来源:据知道创宇整理统计。 11 数据来源:据深信服整理统计。 中国信息通信研究院 筑牢下一代互联网安全防线IPv6 网络安全白皮书 7 图图 1.10 283 家云托管网站网络攻击情况家云托管网站网络攻击情况 2、IPv6 安全漏洞客观存在,影响安全漏洞客观存在,影响覆盖覆盖系统、应用等系统、应用等各各相关相关层面层面 尽管 IPv6 相关技术概念早在 1996 年已经提出, 但直到近年来才开始引起各界的广泛关注和投入,相关硬件终端、操作系统、软件应用等仍处部署应用初期阶段, 尚不具备较为完
20、善的安全机制, IPv6 安全漏洞客观存在。 截止 2019 年 7 月, CVE 漏洞库中已收录 IPv6 相关漏洞 381 条,覆盖系统漏洞、应用漏洞、硬件漏洞、协议漏洞等不同层面,如图 1.11 所示。 图图 1.11 IPv6 相关漏洞情况相关漏洞情况(保留四舍五入统计误差保留四舍五入统计误差) 其中,CVSS12评分超过 7 的高危漏洞占比超过 50%,如图 1.12所示。 12 CVSS:Common Vulnerability Scoring System,通用漏洞评分系统。 筑牢下一代互联网安全防线IPv6 网络安全白皮书 中国信息通信研究院 8 图图 1.12 不同威胁程度不
21、同威胁程度漏洞漏洞分布分布情况情况 二、我国下一代互联网建设安全工作现状 自行动计划发布以来,我国政产学研各界贯彻落实国家重大战略要求,从工作部署、科研工作、产品服务、安全实践等方面全面强化下一代互联网安全布局,持续加强我国下一代互联网安全保障。 (一)贯彻落实国家战略,加强(一)贯彻落实国家战略,加强 IPv6 安全工作部署安全工作部署 近年来,我国各政府部门立足自身职责分工,在政策方面频频发力,出台部门相关政策文件,同步强化各行业领域 IPv6 发展和安全工作部署,如图 2.1 所示。 图图 2.1 我国政府部门我国政府部门 IPv6 相关政策文件相关政策文件 中国信息通信研究院 筑牢下一
22、代互联网安全防线IPv6 网络安全白皮书 9 1、工信部:、工信部:明确明确 IPv6 安全工作安全工作阶段阶段性性目标目标 工信部连续两年发布相关政策文件, 分阶段细化IPv6安全要求。2018 年 5 月,发布关于贯彻落实的通知 ,从安全管理、保障措施、安全能力三个维度提出 IPv6 安全总体要求,包括同步升级 IPv6 安全保障系统、强化新兴技术领域安全能力建设等; 2019 年 4 月, 发布 关于开展 2019年 IPv6 网络就绪专项行动的通知 ,提出 2019 年末 IPv6 安全主要目标,强化落实 IPv6 网络安全保障,如图 2.2 所示。 图图 2.2 2019 年末年末
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 下一代 互联网 安全 防线 IPv6 网络安全 白皮书
限制150内