4   电信IPv6网络安全保障体系构建策略

　　既然IPv6与IPv4网络在安全架构上并未有质的不同，那么在目前IPv4网络向IPv6网络过渡的时期，电信运营商应采取哪些策略来构建IPv6网络安全保障体系，从而营造更安全可信的下一代网络呢？

　　第一，在原有IPv4网络环境下安全措施改进的基础上，加强对IPv6特定安全问题的防范以及对过渡技术安全问题的防范。

　　· 加强支撑系统安全，利用现有技术保障DNS系统安全。IPv6网络环境下针对DNS系统的攻击仍将猖獗，由于在IPv4/6过渡时期，IPv4/6往往采用一套DNS体系，因此仍可采用在IPv4网络环境下的DNS安全防护技术，但须提供对IPv6协议的支持。

　　· 提升承载网安全可用性，加强路由安全，防范异常流量。配置路由协议认证，采用可靠的路由认证机制，其中由于OSPFv3协议不提供认证功能，而是使用IPv6的安全机制来保证自身报文的合法性，因此采用OSPFv3协议的设备建议配置IPSec。同时，合理配置访问控制策略，以防止非法流量对路由器进行拒绝服务攻击。另外，结合异常流量检测和控制技术对网络流量进行监控。

　　· 同步规划和部署统一网络安全运营管理支撑平台。可利用现有平台提供对IPv6协议的支持，通过将IPv6网元和安全设备纳入管控，以提供对过渡时期IPv4/6网络的全方位安全管理支撑。

　　· 结合应用的开展推进IPv6 IPSec的实施。可以安全业务的形式按需部署实施IPSec，进行配套系统的部署。

　　· 防范过渡技术引起的安全问题，避免IPv4网络安全问题对IPv6网络的整体安全造成影响。双栈技术的使用将降低设备性能，更易发生DoS/DDoS攻击，需采用高性能设备作为双栈设备，以满足链路带宽冗余的需求，同时采用rACL、CBAC、CoPP等方式加强对双栈设备的安全保护。

　　第二，利用IPv6协议安全特性研究新的安全技术增强网络安全。目前业界针对IPv6网络中IP地址的真实可靠性提出了一些新的技术，如真实源地址技术、标签网技术等，但这些技术应用在电信网络环境下如何避免对网络性能和开销造成影响还需进一步研究。另外，在IPv6网络环境下自配置属性的引入也为终端安全状态检测、准入控制等安全措施的实现提供了便利，可进一步研究利用这一属性进行统一的安全策略检查和实施。

　　第三，在配套IPv6防范和运行管理技术实施建设的同时，加强安全管理组织体系和流程的建设，保障安全基础设施效能的充分发挥。

　　第四，积极拓展IPv6安全业务，利用IPv6安全特性提升业务和应用的安全性。由于网络安全特性在IPv6网络环境下的持续性，IPv4网络环境的可管理安全（MSS）体系在IPv6网络环境中将保持同等的生命力。同时，随着信息化技术的发展，可重点考虑针对家庭网络用户的基于身份认证的保密传输和安全防护、传感器网络安全接入和保密通信、移动IPv6接入安全等安全应用。此外，还可结合云计算技术、物联网应用等开展基于IPv6的电信安全业务。

　　第五，积极应对IPv6安全产品缺失的现状，促进IPv6网络安全设备的成熟。 IPv6网络同样需要部署常规的如防火墙、IDS/IPS、漏洞扫描、异常流量检测和过滤、VPN、防病毒网关等网络安全设备，这些安全设备需要提供对IPv6协议的支持，同时在实现方式上需要根据IPv6协议的特性进行改进。电信运营商可结合IPv6网络建设的进度和应用的需求推动厂商尽快推出成熟产品。

　　5   结语

　　随着IPv6网络安全研究和迁移工作的深入，电信运营商对于IPv6网络建设以及过渡时期的安全问题日益重视。在这一背景下，本文针对电信IPv6网络建设和过渡时期可能面临的网络安全风险的分析，提出了电信IPv6网络安全保障体系的基本架构，并给出了现阶段电信运营商IPv6网络安全保障体系的构建策略。采用本文所述的框架进行电信IPv6网络安全保障体系的构建，通过静态安全保障以及动态安全运营手段的结合，配套完善的安全组织和策略体系，并积极拓展以IPv6为基础的网络安全业务，不仅可以提升电信IPv6网络整体安全水平，达到网络安全纵深防御的目标，形成安全可管可控的电信可信IPv6网络架构，推动下一代网络安全应用的发展。

　　来源：电信科学