網(wǎng)絡(luò)安全的“命門”由誰來掌握
掃描二維碼
隨時隨地手機(jī)看文章
如果IPv4是一顆雞蛋,那么IPv6就是整個地球。由于擁有幾乎無限的地址空間,IPv6給我國整個網(wǎng)絡(luò)強國建設(shè)帶來機(jī)遇。
不久前,工信部發(fā)布關(guān)于貫徹落實《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》的通知(以下簡稱通知),大力推進(jìn)IPv6部署,加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用基礎(chǔ)設(shè)施升級步伐,促進(jìn)下一代互聯(lián)網(wǎng)與經(jīng)濟(jì)社會各領(lǐng)域的融合創(chuàng)新。
其中,網(wǎng)絡(luò)安全提升被列為重要任務(wù)。通知明確要求從網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全保障措施升級改造、網(wǎng)絡(luò)安全能力建設(shè)三個方面強化IPv6網(wǎng)絡(luò)安全保障。
那么,下一代互聯(lián)通信網(wǎng)絡(luò)部署在即,IPv6安全防護(hù)真的準(zhǔn)備好了嗎?
海量地址提供溯源手段
當(dāng)前,“線上”網(wǎng)絡(luò)和“線下”生活正在深度融合,虛擬網(wǎng)絡(luò)世界和現(xiàn)實社會生活相互交織。人們在互聯(lián)網(wǎng)上變成了“透明人”,個人的一舉一動都被互聯(lián)網(wǎng)“記錄在案”,導(dǎo)致人們在網(wǎng)絡(luò)空間越來越缺乏安全感。
北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心主任田麗談到,網(wǎng)絡(luò)安全和信息安全問題在互聯(lián)網(wǎng)時代更加凸顯,大數(shù)據(jù)收集和人工智能分析的泛濫,給個人信息保護(hù)帶來不小的挑戰(zhàn)。特別是在“IPv4網(wǎng)+”上,現(xiàn)有技術(shù)無法檢查傳輸中的任何一個數(shù)據(jù)的源地址,很多網(wǎng)絡(luò)安全隱患由此產(chǎn)生。
“由于IPv4地址的不足,導(dǎo)致私有地址大量使用,NAT(地址翻譯)破壞了端對端的透明性,給網(wǎng)絡(luò)安全事件溯源帶來了困難,假冒地址橫行,網(wǎng)絡(luò)攻擊等安全事件泛濫?!敝袊こ淘涸菏苦w賀銓此前在網(wǎng)絡(luò)空間戰(zhàn)略論壇上指出。
互聯(lián)網(wǎng)是個開放的網(wǎng)絡(luò),在這樣開放的網(wǎng)絡(luò)中,所有訪問是不可信的,每一個分組的訪問,都不會對源地址進(jìn)行驗證。如果能解決這個問題,互聯(lián)網(wǎng)的安全等級會大大提高。
IPv6則為解決網(wǎng)絡(luò)空間安全問題提供了一個非常好的機(jī)遇。鄔賀銓表示,IPv6海量的地址為固定分配地址和建立上網(wǎng)實名制奠定了基礎(chǔ),在IPv6地址中通過算法嵌入可擴(kuò)展的用戶網(wǎng)絡(luò)身份標(biāo)識信息,與真實用戶的身份關(guān)聯(lián),可構(gòu)建IPv6地址生成、管理、分配和溯源的一體化IPv6地址管理和溯源系統(tǒng),實現(xiàn)了與自治域相關(guān)聯(lián)的IP地址前綴級粒度的真實源地址驗證。
另外,鄔賀銓認(rèn)為,IPv6充足的地址空間可嚴(yán)格按照區(qū)域和業(yè)務(wù)類型甚至用戶類型進(jìn)行地址分配,可以實現(xiàn)對特定IP地址溯源、按業(yè)務(wù)類型精細(xì)服務(wù),或?qū)μ囟ǚ?wù)類型進(jìn)行區(qū)域管理、精細(xì)化監(jiān)控與安全偵測及防護(hù)等,這種基于IP地址對網(wǎng)絡(luò)流量的控制與安全管理效率高、成本低。
海量的地址空間還可有效防止通過地址掃描的攻擊。眾所周知,網(wǎng)絡(luò)攻擊者通過地址掃描識別用戶的地理位置發(fā)現(xiàn)漏洞并入侵,目前的技術(shù)可在45分鐘內(nèi)掃描IPv4的全部地址空間,而每一個IPv6地址是128位,假設(shè)網(wǎng)絡(luò)前綴為64位,那么在一個子網(wǎng)中就會存在264個地址,假設(shè)攻擊者以每秒百萬地址的速度掃描,需要50萬年才能遍歷所有的地址,無疑將顯著提升網(wǎng)站與用戶終端設(shè)備的安全。
“但這并不妨礙政府監(jiān)管部門用掃描技術(shù)發(fā)現(xiàn)違法網(wǎng)站,在完善的IPv6地址登記和備案制度下,監(jiān)管部門能夠知道哪些地址是已經(jīng)分配的,只掃描已分配的地址空間而不是全部IPv6地址空間,因此并不會給主動掃描帶來太大麻煩。”鄔賀銓說。
升級仍面臨安全挑戰(zhàn)
不過,從IPv4向IPv6過渡,仍然會面臨安全挑戰(zhàn)。鄔賀銓表示,從IPv4向IPv6過渡將要持續(xù)一段時間,過渡與互通方案也會帶來新的安全問題,攻擊者可以利用過渡協(xié)議的安全漏洞來逃避安全監(jiān)測乃至實施攻擊行為。
鄔賀銓表示,IPv4 over IPv6或IPv6 over IPv4的隧道機(jī)制對任何來源的數(shù)據(jù)包只進(jìn)行簡單的封裝和解封,沒有內(nèi)置認(rèn)證、完整性和加密等安全功能,并不對IPv4和IPv6地址的關(guān)系做嚴(yán)格的檢查,攻擊者可以隨意截取隧道報文,通過偽造外層和內(nèi)層地址偽裝成合法用戶向隧道中注入攻擊流量,防火墻可能形同虛設(shè)。
中國大數(shù)據(jù)技術(shù)與應(yīng)用聯(lián)盟副理事長王安平也對記者指出,互聯(lián)網(wǎng)升級IPv6是一項專業(yè)性強、涉及面廣、情況復(fù)雜的系統(tǒng)工程,國家有關(guān)部門強力推進(jìn),但由于目前市場上各企業(yè)技術(shù)實力參差不齊,導(dǎo)致一些國家部委機(jī)關(guān)、央企、省級政府、媒體以及互聯(lián)網(wǎng)企業(yè)在網(wǎng)站、云服務(wù)平臺、數(shù)據(jù)中心升級IPv6過程中,網(wǎng)站、云服務(wù)平臺、數(shù)據(jù)中心出現(xiàn)天窗、亂碼、宕機(jī)、癱瘓和停服等現(xiàn)象。
“當(dāng)前互聯(lián)網(wǎng)升級IPv6一定要回歸IPv6的本質(zhì),要精心設(shè)計、穩(wěn)妥推進(jìn),把握好升級的主線和關(guān)鍵,互通是根本,安全是基礎(chǔ),演進(jìn)是生命。”王安平表示,IPv4、IPv6屬于兩個平行網(wǎng)絡(luò)空間,升級IPv6就是要實現(xiàn)兩個網(wǎng)絡(luò)空間的互聯(lián)互通,從純IPv4時代邁向純IPv6時代是一個漫長的過程,這期間必須用好IPv4和IPv6之間的翻譯技術(shù)。
“安全是基礎(chǔ),要確保現(xiàn)有網(wǎng)絡(luò)安全,離開了網(wǎng)絡(luò)信息安全,升級IPv6就失去了意義?!蓖醢财綇娬{(diào),當(dāng)前互聯(lián)網(wǎng)升級IPv6,一定要確保網(wǎng)絡(luò)安全,過渡期具有同樣的安全性,另外要保持網(wǎng)絡(luò)的開放性和互通性,要符合IETF標(biāo)準(zhǔn),采用國際主流技術(shù)。
工業(yè)和信息化部黨組成員、總工程師張峰也表示,下一步還需要著力突破網(wǎng)絡(luò)端到端貫通、網(wǎng)絡(luò)與應(yīng)用協(xié)同推進(jìn)等關(guān)鍵環(huán)節(jié)。要強化安全保障,實施IPv6網(wǎng)絡(luò)安全提升計劃,加強IPv6網(wǎng)絡(luò)安全能力建設(shè),嚴(yán)格落實IPv6網(wǎng)絡(luò)地址編碼規(guī)劃方案。另外還要完善監(jiān)測體系,組織建設(shè)IPv6發(fā)展監(jiān)測平臺,加強對網(wǎng)絡(luò)、應(yīng)用、終端、用戶、流量等關(guān)鍵發(fā)展指標(biāo)的實時監(jiān)測與分析。