在网络安全生命周期中,静态安全防护体系的建设固然重要,但由于网络安全的相对性和时效性,后续动态的网络安全运营才是确保网络安全水平持续提升的关键。对于电信运营商来说,提高网络安全运营效率的关键在于运营体系的标准化、流程化和专业化,通过专业的、专职的运营队伍来确保网络安全运营工作的各流程、各环节落实到人并得以有效处理,配套流程化的闭环处理机制和流程以及标准化的制度和规范来提高网络安全运营工作效率,同时通过安全事件监控、检测、响应等安全基础设施的建设,持续提升电信级大规模安全事件的检测、预警、响应、应急、恢复能力。电信IPv6网络在层次架构上依然遵循IPv4网络的传统架构,因此IPv6网络同样可针对终端、接入网、核心网、业务网络、支撑系统等各层面的安全特点和需求部署相应安全运营措施,从而实现闭环风险控制。同时,通过配套专业化的安全组织体系和标准化的安全策略体系,提高IPv6网络安全运营的效率。另外,应积极开展安全业务,通过前后端业务运营队伍和运营机制、流程的配套建设,提高电信安全业务服务质量,在加强客户网络安全性的同时提升电信网络的安全性。
在动态运营体系的技术层面,电信运营商可采取如下措施。
· 在终端层面,为加强对客户的可管可控,电信运营商可开展基于IPv6的M2M安全业务,通过建设统一的M2M安全业务平台,向客户提供诸如家庭网络安全接入、监控、企业终端安全管理、安全代维等安全服务。
· 在接入网层面,电信运营商可通过统一的接入身份认证和鉴权管理、基于IPv6的真实地址技术等来加强接入网的安全管理。
· 在核心网层面,电信运营商可通过异常流量管理、DDoS攻击防御、垃圾邮件处理、非法路由监测等手段来防范IPv6网络中占主导地位的流量类攻击,并加强对于路由安全问题引起的网络异常波动的管理,同时加强对双栈设备的安全监控。
· 在业务网络层面,电信运营商可通过终端安全管理、安全域划分、防病毒、访问认证授权、数据安全保护、漏洞扫描、安全审计、集中用户管理等手段来保护业务网络的安全稳定运行,提高电信业务服务质量。这可通过IPv4环境下的安全设备或手段升级提供对IPv6协议的支持实现。
· 在支撑系统层面,电信运营商可通过DNS安全监控管理、终端安全管理、安全域划分、远程安全管理、防病毒、恶意代码防护、安全审计、集中用户管理等手段的建设和部署加强支撑系统的安全性,提高IPv6网络运营管理的稳定性。
4 电信IPv6网络安全保障体系构建策略
既然IPv6与IPv4网络在安全架构上并未有质的不同,那么在目前IPv4网络向IPv6网络过渡的时期,电信运营商应采取哪些策略来构建IPv6网络安全保障体系,从而营造更安全可信的下一代网络呢?
第一,在原有IPv4网络环境下安全措施改进的基础上,加强对IPv6特定安全问题的防范以及对过渡技术安全问题的防范。
· 加强支撑系统安全,利用现有技术保障DNS系统安全。IPv6网络环境下针对DNS系统的攻击仍将猖獗,由于在IPv4/6过渡时期,IPv4/6往往采用一套DNS体系,因此仍可采用在IPv4网络环境下的DNS安全防护技术,但须提供对IPv6协议的支持。
· 提升承载网安全可用性,加强路由安全,防范异常流量。配置路由协议认证,采用可靠的路由认证机制,其中由于OSPFv3协议不提供认证功能,而是使用IPv6的安全机制来保证自身报文的合法性,因此采用OSPFv3协议的设备建议配置IPSec。同时,合理配置访问控制策略,以防止非法流量对路由器进行拒绝服务攻击。另外,结合异常流量检测和控制技术对网络流量进行监控。
