简体中文  |  English
等保专题
IPv6新环境下对信息安全等级保护的思考和实践

   发布时间:2013-07-29 11:47:47 

当前,我国信息化发展正进入全面深化的新阶段。信息安全在IPv6、大数据、虚拟化、BYOD、云计算等新技术新应用的环境下面对前所未有的挑战。其中,IPv6概念提出时间长,但由于私网地址(NAT技术)等技术暂时缓解了IPv4地址空间不足的难题,IPv4以比较迟缓的爬坡态势发展了近二十年。但是这些暂时性的缓解措施都伴随着负面影响,并不能从根本上解决以上危机。2011年IPv4地址空间耗尽,IPv6发展趋势迅猛,整体环境呈现出IPv4和 IPv6协议共存,而IPv6在大量技术推动下呈上扬态势发展,传统终端IP化、物联网应用、数据中心建设等都在推动IPv6加速规模化、商用化。但在信息化建设实际部署中,因为用户原有的安全体系是在IPv4背景下规划设计的,在IPv6环境下,各类层出的安全威胁在不断挑战着信息安全体系的防护能力、防护深度、防护范围。信息系统安全等级保护工作也面临着新的挑战。
  根据国家等级保护《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008 )的规定,基本安全要求中的基本技术要求包括物理安全、网络安全、主机安全、应用安全和数据安全五个层面。IPv6环境下的安全威胁在多个层面上都有存在。大致分类如下:
 

 IPv6自身可能带来的安全威胁
          IPv6和IPv4传输数据报的基本机制没有发生改变,IPv4网络中除IP层以外的其他四层中出现的攻击在IPv6网络中依然会存在。

 IPv6协议本身存在着安全隐患
         1.2.1攻击者可能利用IPv6报文的扩展报头(可选且有多种扩展报头) ,通过自制畸形(违背IPv6标准报文格式)或者特定格式的恶意数据包来攻击路由器和主机。
        1.2.2攻击者还可能利用邻居发现协议发送错误的路由器宣告和重定向消息等让IP数据流向不确定的方向,进而达到拒绝服务、拦截和修改数据的目的。
        1.2.3无状态地址自动分配可能使非授权用户可以更容易的接入和使用网络。无状态自动配置允许任何启用IPv6的设备与在同一LAN上的其他支持IPv6的设备和服务进行通信。通过IPv6 NDP(Neighbor Discovery Protocol)可在网络中告知自己的存在以及位置。但如果不加以管理,NDP(Neighbor Discovery Protocol)可能会将邻近的计算机设备暴露给那些想收集有网络内部信息和想要进行攻击的人。更严重的是将设备本身被接管或将设备变成“僵尸”。
  IPv6的地址扩展虽然能够解决网络地址的紧缺问题,但是它的规模也为安全检测带来了难题,如海量地址的查询变得更加复杂。这使得安全防护面临挑战。

 IPv4和IPv6并存引发的安全问题

2.1  攻击者可以利用双栈机制中两种协议间存在的安全漏 洞或过渡协议的问题来逃避安全监测乃至实施攻击行为。   

2.2隧道机制对任何来源的数据包只进行简单的封装和解封,并不对IPv4和IPv6地址的关系做严格的检查。因此,造成防火墙可能轻易被“穿透”。
  例如:黑客可以使用IPv6非法访问采用了IPv4和例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源,攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。

物联网、云安全等新技术新应用带来的安全威胁
      业内专家预计到2020年,全球将有超过500亿智能终端连接在互联网上。随着移动智能终端、物联网和移动互联网的快速发展, IPv6面向大量移动终端的地址分配和管理将是一个庞大而复杂的工程。终端安全问题也为IPv6的安全策略制定、网络安全监管等带来新挑战。
    
  作为对信息安全保护有深刻理解并有着丰富服务经验的厂商,网神信息技术认为:在IPv6新环境下开展等级保护工作,对整个信息安全产业的发展都起到巨大的推动作用。
  对于各民族IT厂商而言,需要加快技术攻关,加强关键核心技术、产品服务的竞争力。2012年3月,发改委、工信部、教育部、科技部等7部门印发的《关于下一代互联网“十二五”发展建设的意见》。《意见》明确,在2013年年底前开展IPv6网络小规模商用试点,形成成熟的商业模式和技术演进路线;2014年至2015年实现互联网普及率达45%以上,推动实现三网融合,IPv6宽带接入用户数超过2500万,实现IPv4和IPv6主流业务互通。发改委专项明确,申报的产品必须同时支持IPv4和IPv6环境,符合IPv6相关规范要求,能够满足IPv6环境下各种场景的网络信息安全需求。这对在下一代互联网建设中占据核心地位的网络安全产品的发展提出了明确的要求。
  2012年10月,网神顺利通过国家发改委组织的针对下一代IPv6网络环境的高性能高端万兆IPv6防火墙测评。同年分别获得防火墙IPV6 Ready 金牌资质认证及IPS IPV6 Ready 金牌资质认证。
  
  对于行业来说,要更好地规划该行业信息安全。特别是电信、银行、电力、税务等国家重要行业部门,要用信息系统业务安全的视角审视整体安全体系建设,将信息系统等级保护建设的要求真正落实到业务系统安全建设中,使得等级保护制度在信息系统生命周期中持续开展并发挥重大作用。
  今年4月,中国电信作为下一代互联网试点规模最大运营商,制定了详细的IPv6计划。整个计划分两个阶段,第一个阶段是从2012年到2013年的商用试点阶段,这一阶段中国电信主要承接国家下一代互联网的专项工作,推进IPv6技术和网络的覆盖。同时对中国电信现有的网络进行升级改造,完成中东部重点省份支撑系统部分的城域网改造,以承载IPv6业务。推进IPv6商用部署、实现IPv6接入、完成相应城市的网络升级改造,基本上实现IPv6覆盖。期间工作中,要重点解决IPv6部署中的问题:一是在过渡中IPv6与IPv4在共存背景下的市场策略问题,二是IPv6和IPv4应用的互联互通问题,三是大量终端和业务平台向IPv6迁移的问题。
    国家相关领导部门更要领导、组织和协调各方资源,加大推动力度,把IPv6的安全防护体系纳入到信息安全统筹建设当中,提高各行业、重要信息系统、乃至国家的网络安全防护水平和能力;建立、维护国家信息安全的长效机制。

关于我们 | 法律声明 | 隐私条款 | 联系我们 | 网站地图
网神信息技术(北京)股份有限公司 版权所有 Copyright Legendsec Technology Co.Ltd all rights reserved