看严望佳委员对在推进IPv6应用中做好安全保障工作的提案

本篇文章1754字，读完约4分钟

昨天文章的答案是ipv6，它声称能够为世界上的每一粒沙子建立一个网站。ipv6的应用会给网络架构带来什么新变化？新的安全风险是什么？让我们来看看严专员对的建议。

关于做好安全工作推进ipv6应用的建议

案例:关于做好推进ipv6应用安全保障工作的建议

审查意见:建议由中央网络安全与信息化领导小组办公室和工业和信息化部研究处理

主办:闫

关键词:ipv6，安全性

提案形式:个人提案

内容:

问题及原因分析

互联网是关系到国民经济和社会发展的重要基础设施，互联网协议是互联网互联和正常运行的基石。目前广泛使用的互联网协议版本4 (ipv4)面临着网络地址耗尽、服务质量难以保证等问题。以物联网为代表的新应用对地址空和服务质量提出了更高的要求。采用新的互联网架构迫在眉睫。在此背景下，中共中央办公厅、国务院办公厅发布了《推进ipv6大规模部署行动计划》，这是一个明智之举，将产生积极而深远的影响。

然而，与已经生产和运营了40多年的ipv4相比，ipv6仍然是一个新事物。虽然中国通过教育科研网的大规模试点和“雪人工程”的联合启动，积累了大量使用ipv6的经验，但可以预见，在全面推广ipv6应用的过程中，仍然会出现一系列的问题，安全性是其中一个需要特别关注的问题。从现实来看，ipv6推广可能带来的安全问题主要体现在以下几点:

ipv6协议的应用给网络架构带来了新的变化和新的安全风险。ipv6协议的组播模式、地址自动配置和邻居发现协议与现有的ipv4协议有很大不同，存在一定的安全风险。此外，由于ipv6中的巨大地址空，nat成为一种不必要的技术，更多的设备将直接连接到互联网，这增加了网络攻击的风险。

新ipv6协议栈软件中的安全漏洞。安全漏洞是软件开发过程中常见的安全问题。现有的ipv4协议栈已经大规模使用了几十年，在不同类型和版本的操作系统的协议栈软件中仍然会发现新的安全漏洞。在推广ipv6应用的过程中，发现与ipv6协议栈软件相关的安全漏洞是一件很有可能引发严重问题的事件。

缺乏对ipv6协议有深刻理解的安全人员。从ipv4到ipv6，这不是简单的升级，而是全新的替代。现有安全人员的知识和经验难以直接应用于ipv6网络环境。ipv6下的网络攻击行为也将呈现出新的特点。因此，一旦ipv6环境中出现网络安全问题或网络攻击，当前的安全人员将难以有效应对。

缺乏可直接应用于ipv6环境的网络安全设备。在制定ipv6协议的过程中，大量的安全机制已经从强制降级变为推荐，这使得ipv6本身在协议层面上并不比ipv4安全。在现有的ipv4环境下，产生了一系列的安全设备，如防火墙、入侵检测系统和漏洞扫描工具等，在一定程度上消除了特定的安全风险。由于ipv6协议格式的不同，现有的网络安全设备在应用于ipv6环境时需要更换协议栈并做大量的测试工作，因此不能直接应用。

对于上述安全风险，如果不提前采取风险防范措施和对策，ipv6应用部署中可能会出现一系列安全问题，这将成为ipv6应用落地的绊脚石。

具体建议

我建议在推广ipv6应用时，要充分考虑新网络架构带来的潜在安全风险，政府要在政策和制度层面制定相应措施，提前防范和应对风险。具体建议如下:

加强ipv6应用机构的风险评估。风险评估是发现已知安全漏洞和威胁的重要手段。对于采用新的ipv6网络架构的用户，应该对其业务系统进行全面的风险评估，尽早消除潜在的安全风险。

鼓励安全企业和个人利用ipv6协议栈中的漏洞。漏洞挖掘是加快新软件中未知漏洞发现过程的重要手段。建议鼓励安全企业和个人提交与ipv6协议栈相关的零日漏洞，以尽快提高ipv6协议栈的安全性。

加强ipv6安全人才的培养和教育。人是安全对抗中最重要的一环。建议通过对安全人员的培训和教育，使安全人员尽快掌握ipv6环境下的安全操作和维护技能，增强其应对新环境下安全问题的能力。

尽快推进现有网络安全设备向ipv6环境的过渡。在新的ipv6环境中，部署和使用网络安全设备仍然是必要的。建议采取措施促进ipv6环境下现有安全设备的兼容和登陆，避免运行在ipv6下的业务系统缺乏必要的安全保护措施。

严委员的第四个建议将于明天公布，这是一个以前从未涉及的话题。让我们一如既往地期待吧！

来源：央视线