面向IPv6的运营商安全保障体系重构研究

规模部署IPv6（互联网协议第六版），是加快网络强国建设、赢得未来国际竞争新优势的紧迫要求。加快重构现有的安全保障体系以支持IPv6，具有重要现实意义。运营商IPv6网络建设和安全运维与互联网有所不同。本文首先分析运营商IPv6网络面临的风险以及对网络的影响，从多角度分析现有安全保障手段不足，指出重构安全保障体系的具体方向，对保障体系中的安全能力状态检查、常态化运营安全系统、工程建设三同步等重点任务和所需的地址探测、意图驱动等关键技术进行了展望。

加快推进IPv6规模部署，构建高速率、广普及、全覆盖、智能化的下一代互联网和通信网，是关键基础设施演进升级的必然趋势，也是加快网络强国建设、赢得未来国际竞争新优势的紧迫要求。现有的安全保障体系是根据通信网和基于IPv4的互联网而设计，在IPv6规模部署和应用后，IPv6的流量快速增加，风险也在快速加大。因此，重构现有的安全保障体系以支持IPv6迫在眉睫，加强IPv6网络安全保障工作的重要性日益突出。

IPv6的巨大地址空间、端到端互联、语义化编码等特性，引入了新的安全风险，简单平移传统防护手段难以解决问题。由于运营商建设并运营的基础通信网络和互联网，都需要做IPv6的规模部署和流量提升，网络的建设模式、开放程度、可靠性要求、业务复杂度存在差异，在安全保障方面需要分别进行考量和规划。

近年来，国内外IPv6新特性导致的安全事件频发，如2018年Neustar公司发生首次有记录的基于IPv6的DDos攻击，2022年日本NTT公司网络IPv6单栈割接引发大规模服务中断，国内黑产团伙利用IPv6代理漏洞进行欺诈投毒等网络安全事件等。但更常见的是勒索病毒、僵尸网络、木马蠕虫、移动恶意程序、Web攻击等传统攻击手段在IPv6网络环境的再现。

信息安全保障体系的建设，需要从制度、技术、知识等多个方面统筹规划，运营商的安全保障体系要满足相关国家安全保障体系规划的要求，充分考虑IPv6新环境下跨域、跨国协同的治理需求和监管政策趋势，结合运营商在IT系统、IP网络以及物联网安全保障方面的规划和已有工作基础，充分利用IPv4安全保障体系的经验和IPv6特有攻击类型的技术特征，完成安全保障体系的重构和能力提升。

结合国家政策的指引、运营商网络和业务的安全现状以及相关的研究成果，笔者认为目前运营商的安全保障体系在IPv6方面面临的主要挑战包括：现有安全能力存在IPv6特性支持不足，升级改造带来新风险，防护对象形态不固定等，导致技术手段被动、滞后，建设和运营缺少统一规划和指导。

经过多年的管理制度、技术手段、应急机制和人才队伍的建设，目前运营商基本上都已经具备了完备的网络安全保障体系，对IP承载网、IT系统、基础网络和平台分别提升了监测、响应、处置和管理能力，同时建立了统一的安全管理平台和制度，对接国家和省监管机构，落实相关监管要求。

然而，一方面，引入IPv6后，网络架构演进变化，业务系统跨域连接，各IT系统和平台将融合、归并，运维体系也将跟随调整，从而带来安全域扩大、防护边界模糊、安全等级差异的业务混合部署等问题，目前通过堆砌安全设备的保障手段无法满足需求。另一方面，随着IPv6的应用，用户的设备将具备信息发布能力，且大量暴露在互联网，缺少有效防护手段，现有的安全保障体系无法发现和应对用户资产大规模受攻击、终端被恶意利用以及用户违法发布信息等安全事件。

针对以上两个方向，笔者认为，现有安全保障体系在技术、管理、人员以及知识方面都存在不足。

为加强IPv6安全保障能力，充分应对IPv6与IPv4的差异，需要从多个维度进行风险分析，同时结合运营商安全实践做出取舍，再对具体风险做出应对，总结出安全保障体系重构和优化建议。

1.IPv6协议和基础技术方面

运营商IPv6网络已经建成多年，基础协议层的问题都已经显现并做了防护，目前主要是在用户接入以及单双栈切换过程中容易发生攻击行为。

如IPv6地址分配机制变化，新引入基于组播的NDP、DHCPv6、ICMPv6等协议，协议中缺少默认安全机制，目前已发现ICMPv6扫描攻击、ICMPv6地址欺骗、重复地址检测等攻击方式，会导致服务不可用或终端地址被仿冒。双栈部署模式下，基于IPv4安全策略对IPv6进行安全配置，涉及到广播风暴防护、基于IP的网络尝试攻击防护等防护手段可能失效，对业务可用性和一致性带来风险。在IPv6发展的不同阶段，需应用IPv4与IPv6双向转换的代理产品。但作为过渡产品，这些代理产品应用周期短、市场份额小，缺少主流厂商参与，缺少必要的安全测试，目前已发现利用代理进行投毒、中间人攻击等安全事件，将对用户的数据和网络安全带来风险。

2.安全建设和运营方面

早期建设的IPv6网络缺乏监测防护能力。随着数据中心、城域网内IPv6流量快速增加，近年来运营商已完成监测防护能的协议适配升级改造，但未经过大流量验证，存在漏报、误报等安全事件处置不当风险。IPv6升级改造后，网络、平台和系统暴露面加倍，风险同步增加。支持IPv6的安全设备型号、架构、部署模式参差不齐，IPv6防护能力和性能未经实际验证，大规模开启后安全防护能力可能存在短板。

3.合规和法律要求方面

现有合规相关技术手段不适应IPv6特性。用户终端接入IPv6后暴露于互联网，用户可搭建服务发布信息，与现有的个人信息发布和监管备案制度冲突。另外，IPv6地址空间大，分配使用方式更加灵活，存在跨域跨国使用场景，监管机构对地址实名制管理有更强的需求，需要紧密跟踪。

4.安全管理和人才培养方面

安全管理手段和人才知识体系滞后。IPv6隔离、防护手段与IPv4有差异，现有的溯源、暴露面认定和监管要求存在不适用的风险，安全管理细则应对IPv6的安全管理可能失效。IPv6的新型攻击手段不断产生，且开启IPv6后互联网暴露面增大，易发生大规模安全事件，缺少针对IPv6事件的处置机制，不能及时作出有效响应。IPv6相关的漏洞和防护手段不断发展变化，安全人员缺乏IPv6安全保障所需的体系化培训和实践，无法有效应对处置IPv6安全事件。

5.IPv6+新场景安全方面

IPv6是数字化升级的组成部分和基础，与云网融合、5G、物联网等技术和新业态深度融合后，为各个场景赋能海量、泛在的连接，同时将放大应用过程中存在的安全隐患。随着国家推进IPv6+的业务创新，更多运用IPv6网络新特性，新的网络拓扑形式、业务形态都将涌现出来，传统的防护、监管方式无法保障业务安全发展。

综上所述，目前业界比较多的IPv6相关安全事件主要集中在网络暴露面管理和资产探测识别两个方面，运营商的防护相对成熟，更多的是需要加强客户网络的安全保障和服务工作。运营商自身相关的安全风险主要是各类安全能力、平台的兼容性升级和后续IPv6+新产品新场景带来的新的安全挑战的应对。

运营商现有的安全保障体系基本完备，但每个环节都需要做适当的补充和提升，才能满足未来IPv6持续演进过程的保障需求。必须在管理、建设运营、合规、技术和应用安全保障五个方面做出重构：在管理上加强做细；人员技能方面加强协作和培训；建设运营查缺补漏；合规接应及时跟进；技术创新要紧扣差异点。按照细分场景应对IPv6+新应用，具体如图1所示。

图1 运营商IPv6安全保障框架

1.加强做细安全管理，建强队伍专业能力

结合IPv6引入暴露面增加的风险，以及内部信息系统改造需求，应围绕定级备案、风险评估、通报预警、灾难备份及恢复、互联网暴露面、IPv6环境漏洞监测发现与处置、IPv6地址溯源等方面对管理细则进行修订完善或补充。同时加强跨专业、跨部门协同，针对IPv6可能发生的安全事件，完善现有应急响应机制。组织专业培训和演练，培训中增加IPv6安全技术和管理内容，提升IPv6安全队伍技能。组织参与网络攻防演练中IPv6相关科目，如态势研判、实战攻防、沙盘推演等，对IPv6网络安全隐患开展排查整改。加强自有地址管理，理清内外部网络的关系、IPv6地址和安全资产数据的关系。

2.加强安全建设和运营，升级监测处置能力

在对各类安全系统的IPv6配套升级工作中，既要做好IPv6流量支持的改造工作，又要扩展IPv6相关的威胁特征，在完成升级后，要开展常态化运营监测。流量类平台应努力实现IPv6全流量监测防护，加强工业互联网、物联网等客户网络中IPv6应用的安全保障。

对需要改造支持IPv6的内部系统，如办公网、内部运营管理等，在改造过程中坚持三同步原则，同步做好安全保障，在完成改造的同时，安全防护设备要100%支持并按需开启IPv6防护能力。在城域网、家庭网关、物联网、视联网、5G网络、定制网等基础设施网络上试点适用于IPv6的防火墙、网关访问控制、IPS等防护手段，减少用户资产被攻击、恶意利用的风险。

3.落实合规接应，依法治理合规风险

等级保护中的定级备案和其他要求未针对IPv6制定细则，在执行过程中容易出现格式和标准不一致问题。内部安全检查中应加入IPv6相关检查项，对发现的薄弱环节和风险进行整改，并重新进行风险评估和符合性测评，依据结果进行定级备案。强化网络安全等级保护备案管理，增加IPv6相关的安全评测选项，做好自评、自查、自改，按要求做好等级保护备案和周期性评测工作。

国家主管部门正在积极探索IPv6的实名制、隐私保护、地址管理技术，运营商应结合行业标准要求和企业内部需要，试点IP地址分配、管理、备案和安全监管系统的改造。积极探索实现IPv6实名制的方法和路径，为后续业务安全合规开展提供保障，减少后期改造带来的业务中断或重复投资。

4.掌控IPv6安全技术，服务国家重大战略

随着IPv6应用范围的加大和流量的提升，安全技术也在不断演进。运营商应积极跟进IPv6安全研究，针对其地址空间大的特点，从基础协议、双栈协同、地址管理和代理机制等方面分析风险，展开研究并制定安全策略和安全解决方案；应积极承担流量监测分析、安全防护、溯源、合规监管等方面标准研制工作，参与国家、行业标准规范制定、评审和发布，在产品开发、建设、运营、使用中遵从使用；积极推动IPv6安全核心技术创新和能力自主掌控，在流量监测和安全防护类急用先行方向进行攻关，如SRv6智选专线深度威胁检测、SRv6控制平面防护，利用SRv6进行安全资源编排等。

5.保障应用安全，推动安全产品研发

运营商的网络安全产品应做好升级改造，做好产业链协同。研究IPv6新场景业务类型、流量模型、暴露面和监管需求，分析新场景对运营商安全保障体系带来的挑战，给出具体应对策略，并利用自主可控安全能力保障安全；针对IPv6的特性和安全需求，对网络空间资产测绘、威胁深度检测、安全能力管理平台、安全处置与自动化响应等安全技术产品进行研发和应用，推动国家和行业IPv6网络安全保障能力建设；积极参与国家创新试点项目申报, 在IPv6安全建设运营实践中思考研究和创新应用，踊跃申报各类创新比赛和试点示范项目。

通过对安全保障体系的分析，结合《电信行业IPv6演进路线和实施指南》，建议运营商近期重点从科技创新、内部网络系统升级保障、安全设备按需开启和检测平台常态化运营几个方面展开工作。科技创新是对现有安全能力产品进行升级，并做好前瞻技术研究和战略研究，为未来的演进提供指引；内部网络系统升级是为了保障改造的网络和系统不出现防护盲区；安全设备和平台的升级和常态化运营是为了加强IPv6安全事件的及时发现和安全能力的验证。

随着IPv6+应用的丰富和流量的持续快速提升，未来运营商的安全保障框架将面临诸多挑战，需要构建一套具备内生安全、纵深防御特性的能应用于内部各业务系统的统一的IPv6安全防护框架，并在地址探测、安全能力语义化软件化、意图驱动安全等方向进行核心技术开展研发实现技术突破，为国家IPv6安全战略做出贡献。

来源：《网络安全和信息化》杂志

作者：中国电信集团有限公司  呼博文  刘亚天  张建宇  王井龙