电信IPv6网络安全保障体系研究

（2）动态安全运营体系

在网络安全生命周期中，静态安全防护体系的建设固然重要，但由于网络安全的相对性和时效性，后续动态的网络安全运营才是确保网络安全水平持续提升的关键。对于电信运营商来说，提高网络安全运营效率的关键在于运营体系的标准化、流程化和专业化，通过专业的、专职的运营队伍来确保网络安全运营工作的各流程、各环节落实到人并得以有效处理，配套流程化的闭环处理机制和流程以及标准化的制度和规范来提高网络安全运营工作效率，同时通过安全事件监控、检测、响应等安全基础设施的建设，持续提升电信级大规模安全事件的检测、预警、响应、应急、恢复能力。电信IPv6网络在层次架构上依然遵循IPv4网络的传统架构，因此IPv6网络同样可针对终端、接入网、核心网、业务网络、支撑系统等各层面的安全特点和需求部署相应安全运营措施，从而实现闭环风险控制。同时，通过配套专业化的安全组织体系和标准化的安全策略体系，提高IPv6网络安全运营的效率。另外，应积极开展安全业务，通过前后端业务运营队伍和运营机制、流程的配套建设，提高电信安全业务服务质量，在加强客户网络安全性的同时提升电信网络的安全性。

在动态运营体系的技术层面，电信运营商可采取如下措施。

· 在终端层面，为加强对客户的可管可控，电信运营商可开展基于IPv6的M2M安全业务，通过建设统一的M2M安全业务平台，向客户提供诸如家庭网络安全接入、监控、企业终端安全管理、安全代维等安全服务。

· 在接入网层面，电信运营商可通过统一的接入身份认证和鉴权管理、基于IPv6的真实地址技术等来加强接入网的安全管理。

· 在核心网层面，电信运营商可通过异常流量管理、DDoS攻击防御、垃圾邮件处理、非法路由监测等手段来防范IPv6网络中占主导地位的流量类攻击，并加强对于路由安全问题引起的网络异常波动的管理，同时加强对双栈设备的安全监控。

· 在业务网络层面，电信运营商可通过终端安全管理、安全域划分、防病毒、访问认证授权、数据安全保护、漏洞扫描、安全审计、集中用户管理等手段来保护业务网络的安全稳定运行，提高电信业务服务质量。这可通过IPv4环境下的安全设备或手段升级提供对IPv6协议的支持实现。

· 在支撑系统层面，电信运营商可通过DNS安全监控管理、终端安全管理、安全域划分、远程安全管理、防病毒、恶意代码防护、安全审计、集中用户管理等手段的建设和部署加强支撑系统的安全性，提高IPv6网络运营管理的稳定性。

4 电信IPv6网络安全保障体系构建策略

既然IPv6与IPv4网络在安全架构上并未有质的不同，那么在目前IPv4网络向IPv6网络过渡的时期，电信运营商应采取哪些策略来构建IPv6网络安全保障体系，从而营造更安全可信的下一代网络呢？

第一，在原有IPv4网络环境下安全措施改进的基础上，加强对IPv6特定安全问题的防范以及对过渡技术安全问题的防范。

· 加强支撑系统安全，利用现有技术保障DNS系统安全。IPv6网络环境下针对DNS系统的攻击仍将猖獗，由于在IPv4/6过渡时期，IPv4/6往往采用一套DNS体系，因此仍可采用在IPv4网络环境下的DNS安全防护技术，但须提供对IPv6协议的支持。

· 提升承载网安全可用性，加强路由安全，防范异常流量。配置路由协议认证，采用可靠的路由认证机制，其中由于OSPFv3协议不提供认证功能，而是使用IPv6的安全机制来保证自身报文的合法性，因此采用OSPFv3协议的设备建议配置IPSec。同时，合理配置访问控制策略，以防止非法流量对路由器进行拒绝服务攻击。另外，结合异常流量检测和控制技术对网络流量进行监控。

· 同步规划和部署统一网络安全运营管理支撑平台。可利用现有平台提供对IPv6协议的支持，通过将IPv6网元和安全设备纳入管控，以提供对过渡时期IPv4/6网络的全方位安全管理支撑。

· 结合应用的开展推进IPv6 IPSec的实施。可以安全业务的形式按需部署实施IPSec，进行配套系统的部署。

· 防范过渡技术引起的安全问题，避免IPv4网络安全问题对IPv6网络的整体安全造成影响。双栈技术的使用将降低设备性能，更易发生DoS/DDoS攻击，需采用高性能设备作为双栈设备，以满足链路带宽冗余的需求，同时采用rACL、CBAC、CoPP等方式加强对双栈设备的安全保护。

第二，利用IPv6协议安全特性研究新的安全技术增强网络安全。目前业界针对IPv6网络中IP地址的真实可靠性提出了一些新的技术，如真实源地址技术、标签网技术等，但这些技术应用在电信网络环境下如何避免对网络性能和开销造成影响还需进一步研究。另外，在IPv6网络环境下自配置属性的引入也为终端安全状态检测、准入控制等安全措施的实现提供了便利，可进一步研究利用这一属性进行统一的安全策略检查和实施。

第三，在配套IPv6防范和运行管理技术实施建设的同时，加强安全管理组织体系和流程的建设，保障安全基础设施效能的充分发挥。

第四，积极拓展IPv6安全业务，利用IPv6安全特性提升业务和应用的安全性。由于网络安全特性在IPv6网络环境下的持续性，IPv4网络环境的可管理安全（MSS）体系在IPv6网络环境中将保持同等的生命力。同时，随着信息化技术的发展，可重点考虑针对家庭网络用户的基于身份认证的保密传输和安全防护、传感器网络安全接入和保密通信、移动IPv6接入安全等安全应用。此外，还可结合云计算技术、物联网应用等开展基于IPv6的电信安全业务。

第五，积极应对IPv6安全产品缺失的现状，促进IPv6网络安全设备的成熟。 IPv6网络同样需要部署常规的如防火墙、IDS/IPS、漏洞扫描、异常流量检测和过滤、VPN、防病毒网关等网络安全设备，这些安全设备需要提供对IPv6协议的支持，同时在实现方式上需要根据IPv6协议的特性进行改进。电信运营商可结合IPv6网络建设的进度和应用的需求推动厂商尽快推出成熟产品。

5 结语

随着IPv6网络安全研究和迁移工作的深入，电信运营商对于IPv6网络建设以及过渡时期的安全问题日益重视。在这一背景下，本文针对电信IPv6网络建设和过渡时期可能面临的网络安全风险的分析，提出了电信IPv6网络安全保障体系的基本架构，并给出了现阶段电信运营商IPv6网络安全保障体系的构建策略。采用本文所述的框架进行电信IPv6网络安全保障体系的构建，通过静态安全保障以及动态安全运营手段的结合，配套完善的安全组织和策略体系，并积极拓展以IPv6为基础的网络安全业务，不仅可以提升电信IPv6网络整体安全水平，达到网络安全纵深防御的目标，形成安全可管可控的电信可信IPv6网络架构，推动下一代网络安全应用的发展。

来源：电信科学