3   电信IPv6网络安全保障体系框架

　　根据电信网络特点，可将电信IPv6网络安全保障体系分为当前时间点的静态安全防护体系以及后续动态安全运营体系两个层面。通过IPv6网络各平面的隔离控制以及相应安全保护和控制措施的实施保障网络的静态安全；同时通过安全检测和响应等安全基础设施和相关安全管理组织、制度和流程的配套建设，实现对网络安全风险的动态发现和管理，并通过IPv6网络安全业务的开展将安全防护手段向客户网络延伸，加强电信网络的安全可控。最终实现网络持续安全保障和改进的长效目标，形成安全可管可控的电信可信IPv6网络架构。

　　（1）静态安全防护体系

　　根据ITU-T X.805标准（端到端通信系统安全框架），网络可分为基础设施层、业务层和应用层，每个网络层次又可以划分为管理、控制和用户三个平面。为了实现层次化、等级化的安全防护，电信IPv6网络静态安全防护体系可考虑通过网络设计和优化来保障网络内在的健壮性，同时清晰地划分业务、管理和控制三个平面，采用多种技术手段隔离管控，并在每个平面实施相应安全防护措施，从而使每个平面在安全方面都具备访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私性8个属性。具体来说，电信运营商可从以下两个方面开展静态安全防护体系的建设。

　　一方面清晰界定网络层次，进行合理管控，实现业务平面、信令和控制平面、网络和业务管理平面逻辑分离，在每个平面实施相应安全防护措施（在控制平面实现网元设备之间认证及路由信息安全更新与传递；在业务平面实现用户登录认证、业务授权、业务和网络资源可用性保证、业务安全控制要求；在管理平面实现维护终端的认证与授权，核心的数据、应用、系统、网络平台的保护，各支撑系统的承载方式，以及访问控制要求、系统与外部交互要求的相应控制点、内外部的维护管理要求），并有效利用IPv6协议的PSec特性、源地址过滤技术等加强平面内的安全保护。

　　另一方面合理管控三平面之间的资源互访，在各平面安全域根据各域的特点辅以相应的安全保护和控制措施，在同一物理网络承载不同业务，应实现带宽管理机制，同时业务互访应在应用层进行有限互联，避免网络层直联，并在IPv4/6双栈设备上采用严格的网络过滤和访问控制策略防范IPv4和IPv6安全问题的相互影响。

　　（2）动态安全运营体系

　　在网络安全生命周期中，静态安全防护体系的建设固然重要，但由于网络安全的相对性和时效性，后续动态的网络安全运营才是确保网络安全水平持续提升的关键。对于电信运营商来说，提高网络安全运营效率的关键在于运营体系的标准化、流程化和专业化，通过专业的、专职的运营队伍来确保网络安全运营工作的各流程、各环节落实到人并得以有效处理，配套流程化的闭环处理机制和流程以及标准化的制度和规范来提高网络安全运营工作效率，同时通过安全事件监控、检测、响应等安全基础设施的建设，持续提升电信级大规模安全事件的检测、预警、响应、应急、恢复能力。电信IPv6网络在层次架构上依然遵循IPv4网络的传统架构，因此IPv6网络同样可针对终端、接入网、核心网、业务网络、支撑系统等各层面的安全特点和需求部署相应安全运营措施，从而实现闭环风险控制。同时，通过配套专业化的安全组织体系和标准化的安全策略体系，提高IPv6网络安全运营的效率。另外，应积极开展安全业务，通过前后端业务运营队伍和运营机制、流程的配套建设，提高电信安全业务服务质量，在加强客户网络安全性的同时提升电信网络的安全性。

　　在动态运营体系的技术层面，电信运营商可采取如下措施。

　　· 在终端层面，为加强对客户的可管可控，电信运营商可开展基于IPv6的M2M安全业务，通过建设统一的M2M安全业务平台，向客户提供诸如家庭网络安全接入、监控、企业终端安全管理、安全代维等安全服务。

　　· 在接入网层面，电信运营商可通过统一的接入身份认证和鉴权管理、基于IPv6的真实地址技术等来加强接入网的安全管理。

　　· 在核心网层面，电信运营商可通过异常流量管理、DDoS攻击防御、垃圾邮件处理、非法路由监测等手段来防范IPv6网络中占主导地位的流量类攻击，并加强对于路由安全问题引起的网络异常波动的管理，同时加强对双栈设备的安全监控。

　　· 在业务网络层面，电信运营商可通过终端安全管理、安全域划分、防病毒、访问认证授权、数据安全保护、漏洞扫描、安全审计、集中用户管理等手段来保护业务网络的安全稳定运行，提高电信业务服务质量。这可通过IPv4环境下的安全设备或手段升级提供对IPv6协议的支持实现。

　　· 在支撑系统层面，电信运营商可通过DNS安全监控管理、终端安全管理、安全域划分、远程安全管理、防病毒、恶意代码防护、安全审计、集中用户管理等手段的建设和部署加强支撑系统的安全性，提高IPv6网络运营管理的稳定性。