上海電信IPV6網(wǎng)絡安全保障體系研究

文/宋景哲

進行網(wǎng)絡發(fā)展的研究都在不斷地探索，國內(nèi)外的相關研究成果層出不窮。例如對于隨著網(wǎng)絡新技術的不斷出現(xiàn)和應用，原有的IPV4地址的研究課題，焦點放在了如何滿足網(wǎng)絡發(fā)展需求，大力發(fā)展新的IPV6協(xié)議巨大的地址空間上，這是建立在新技術安全機制特性上的重要研究，并且通過實踐，在保證網(wǎng)絡健康發(fā)展的前提下，成功完成了各類配套建設工程，通過對網(wǎng)絡架構整體安全性、網(wǎng)絡安全的建設設計等進行了通判的考量，最終將網(wǎng)絡建設和網(wǎng)絡安全同步，并合理分配了網(wǎng)絡資源，改善了IPV6的網(wǎng)絡協(xié)議，從IP層將安全性能加以提升，實現(xiàn)了網(wǎng)絡的應用的便利和靈活的端到端的運行，隨著速度的加快和規(guī)模的擴大，其方便的技術手段，促進安全應用的功能增加，對于網(wǎng)絡安全的重要問題也在不斷進行深入探索。

1 電信IPV6的網(wǎng)絡安全風險

（1）進行電信IPV6網(wǎng)絡安全協(xié)議的互聯(lián)網(wǎng)的安全改善，要從電信運營商的角度出發(fā)，對電信的IPV6的網(wǎng)絡保障體系的架構進行深入的研究，建設IPV6網(wǎng)絡建設脈絡，給出過渡時期的IPV6的網(wǎng)絡安全保障體系建設策略。

電信IPV6的協(xié)議在IPV4的協(xié)議改善方面，緩解和結局了IPV4的部分安全問題，從應用層和鏈路層以及物理層等方面，將IPV6的網(wǎng)絡環(huán)境進行了相應的風險的劃分，然后進行了對應性的改進。

IPV6的協(xié)議的巨大的安全機制和地址空間，在特性上對于提升網(wǎng)絡安全性有一定的作用，在IPV6的獨立性，在IPV4協(xié)議期，就進行了安全信息的封裝和報頭認證，對于IPV6的網(wǎng)絡端到端的加密封裝，提供了基本協(xié)議的基礎上，又進一步提升了業(yè)務應用的安全性。

鏈路層的播出采用重組數(shù)據(jù)包的機制，實施掃描攻擊之后，在廣播風暴產(chǎn)生的基礎上，丟棄在最低下的MTU部分，取了有效的IP地址，從中間的設備的上部進行了分片，IPV6的地址的前綴在分配和指定上，不允許重疊的分片，有效防范了IP碎片包的攻擊，蠕蟲病毒的攻擊就難以實施。IPV6的地址數(shù)量龐大，通過掃描獲進行傳播，經(jīng)過對下游ISP的地址的匯總，實行過濾機制，建立在IPV6的真實源地技術發(fā)展上，落在了入口上，有效地防御了虛假源地址的攻擊，解決了安全問題。

（2）IPV6網(wǎng)絡環(huán)境中，引入安全風險的IPV6的協(xié)議特性論證，發(fā)現(xiàn)大部分的安全風險在IPV6網(wǎng)絡環(huán)境中依然是存在的。發(fā)現(xiàn)異常流量存在的DDOS攻擊，如果鄰居又缺少協(xié)議的報文，針對DNS的攻擊繼續(xù)存在，由于本身機制缺陷，使得黑客在攻擊的同時，引起一定的協(xié)議攻擊，在IPV6的網(wǎng)絡中提供了域名服務，協(xié)議進行了網(wǎng)絡層的安全論證，包括數(shù)據(jù)鏈路層和物理層都存在安全風險。

2 電信IPV6網(wǎng)絡安全保障體系框架

（1）根據(jù)電信網(wǎng)絡的特點，通過安全監(jiān)測和報站體系,實現(xiàn)對網(wǎng)絡安全風險的動態(tài)管理，將網(wǎng)絡的靜態(tài)安全控制措施加以實施，通過IPV6的網(wǎng)絡平面的隔離控制，對電信IPV6的網(wǎng)絡安全體系分為后續(xù)動態(tài)安全運營體系和靜態(tài)安全防護體系，將電信網(wǎng)絡的安全可控與網(wǎng)絡安全管理和組織結合起來，相應的安全基礎設施和流程的配套建設，形成安全可控和可管的IPV6的網(wǎng)絡架構。通過IPV6的網(wǎng)絡安全業(yè)務的開展，延伸為客戶的安全防護的手段，進行網(wǎng)絡持續(xù)的安全保障，經(jīng)過長效目標的改進，

（2）靜態(tài)安全防護體系，為了實現(xiàn)等級化和層次化，從多個方面進根據(jù)端到端的通信系統(tǒng)安全框架的體系建設，網(wǎng)絡分為了業(yè)務層和應用層、設施層，采用多種技術手段進行管控和隔離，使得每個平面都能夠具備訪問鑒別、數(shù)據(jù)保密、控制、通信安全和完整的隱私保護的屬性，電信運營商也可以行靜態(tài)安全防護體系的建設，在每個平面實施相應的安全防護措施，每個網(wǎng)絡層次被劃分為用戶、控制和管理平面。

（3）對于電信運營商來說，動態(tài)安全運營體系，在網(wǎng)絡生命安全周期中，建立有針對性的支撐系統(tǒng)，采用體系建設的方法，確保網(wǎng)絡安全運營工程的流程和環(huán)節(jié)落實到人，在網(wǎng)絡安全的時效性和相對性上，采用安全事件監(jiān)控的方式，確保了網(wǎng)絡安全水平的持續(xù)提升，在流程的配套建設上，提高網(wǎng)絡安全運營效率的關鍵，在配套流程化的閉環(huán)處理上，在于運營體系的流程化和標準化，在恢復能力等方面遵循IPV4的網(wǎng)絡架構，提高IPV6的網(wǎng)絡安全運營認證，后續(xù)動態(tài)的網(wǎng)絡安全運營，通過專業(yè)和專職的運營隊伍，在各個層面進行安全云隱給部署，實現(xiàn)標準化規(guī)范，提高網(wǎng)絡安全運營工作效率，提高電信安全業(yè)務服務質(zhì)量，同時通過安全檢測等安全基礎設施的建設，配套實現(xiàn)安全組織化和標準化，持續(xù)提升電信大規(guī)模安全事件的預警和響應，通過前后端業(yè)務運營機制，強化客戶的網(wǎng)絡安全性。

經(jīng)過動態(tài)運營體系的技術層面的運營，開展建立在在終端層面上的IPV6基礎上的M2M安全業(yè)務，通過建設統(tǒng)一的安全業(yè)務平臺，加強對客戶的管理和控制，向客戶提供家庭網(wǎng)絡安接入、監(jiān)控和終端安全管理，實現(xiàn)接入網(wǎng)層面的接入權限管理和身份認證。

3 安全保障體系構建的注意事項

（1）在原有的IPV4的網(wǎng)絡環(huán)境安全措施改進的基礎上，強化對IPV6特定安全問題的防范，采用過渡技術進行安全問題的解決，通過支撐系統(tǒng)的安全技術的設計，采用路由認證的機制，利用DNS系統(tǒng)安全，保證系統(tǒng)的攻擊能夠控制風險。

（2）在使用IPV6的安全機制上，配置路由協(xié)議認證，提升承載網(wǎng)的安全可用性，保證自身報文的合法性。強化防范異常、路由安全控制。

4 結語

隨著電信技術的過渡期的到來，對于IPV6的遷移工作進行深入的探索，加大對網(wǎng)絡安全研究深入力度，有針對性地分析網(wǎng)絡安全風險，建立過渡時期電信運營商的網(wǎng)絡安全風險控制體系，給出安全保障體系的構建策略，建立電信IPV6的網(wǎng)絡安全保障體系的基本架構，其目標就是提升電信IPV6的網(wǎng)絡整體安全水平，同時對于電信運營商的IPV6的技術實施進行論證，完全達到網(wǎng)絡安全縱深防御目的。