1、 筑牢筑牢下一代互聯網安全防線下一代互聯網安全防線 IPv6 網絡安全白皮書網絡安全白皮書 中國信息通信研究院中國信息通信研究院 2019年年9月月 前前 言言 當前，網絡信息技術加速引領新一輪科技革命，以前所未有的廣度和深度引發經濟社會多方位、全領域、深層次的技術創新和產業變革。在 5G、物聯網、工業互聯網等新興領域蓬勃發展，人人互聯加速向萬物互聯邁進的時代趨勢下，網絡空間傳統 IPv4 地址資源緊缺等問題日益凸顯，以 IPv6為代表的下一代互聯網技術應運而生。IPv6 憑借其海量地址空間、內嵌安全能力等技術優勢，為泛在融合、大連接的新形勢下網絡信息技術的創新發展提供基礎網絡資源支撐，已成為

2、促進生產生活數字化、網絡化、智能化發展的核心要素，吸引世界發達國家的廣泛關注和大力投入。近年來，我國緊抓全球網絡信息技術加速創新變革、信息基礎設施快速演進升級的歷史機遇，全力推進下一代互聯網部署應用，為經濟社會發展和網絡強國建設提供有力支撐。然而，IPv4 向 IPv6 網絡的升級演進是一個長期、持續的過程，現階段已部署上線的 IPv6 業務仍相對有限，IPv6 部署應用過程中的網絡安全風險尚未完全顯現。此種客觀情況對IPv6 新環境下的網絡安全防御工作而言是挑戰也是機遇，與傳統網絡安全防御攻擊方更為被動的形勢相比，在 IPv6 環境中，攻防雙方正處于同一起跑線上。我們更應高度重視下一代互聯網

3、演進升級中存在的安全風險，加快提升 IPv6 網絡安 全防護能力，構建形成 IPv6 網絡安全防護主動局面。我院聯合安天科技股份有限公司、北京藍汛通信技術有限責任公司、北京天融信網絡安全技術有限公司、北京知道創宇信息技術股份有限公司、北京神州綠盟信息安全科技股份有限公司、華為技術有限公司、杭州安恒信息技術股份有限公司、奇安信科技集團股份有限公司、上海觀安信息技術股份有限公司、深信服科技股份有限公司、深圳市騰訊計算機系統有限公司、網宿科技股份有限公司、亞信科技（成都）有限公司、中國電信集團有限公司、中國聯合網絡通信集團有限公司、中國移動通信集團有限公司1共同推出筑牢下一代互聯網安全防線IPv6

4、網絡安全白皮書。本白皮書從網絡安全視角，客觀審視 IPv6 發展和網絡安全工作現狀，分析探討下一代互聯網升級演進過程中的安全風險和應對舉措，梳理現有網絡安全工作急需，挖掘 IPv6 安全產品和服務重點發展方向，希望與業界分享，共同推動保障下一代互聯網安全、有序發展。1 注：按首字母排序，排名不分先后 目目 錄錄 一、相關背景.1（一）IPv6 改造穩步推進，基本形成市場驅動良性環境.1 1、網絡基礎設施 IPv6 升級改造基本完成.1 2、應用基礎設施已具備 IPv6 服務能力.3 3、互聯網應用 IPv6 活躍用戶數穩步提升.4（二）IPv6 安全風險開始顯現，挑戰下一代互聯網安全保障能力.

5、5 1、IPv6 網絡攻擊數量劇增，攻擊范圍逐漸擴大.6 2、IPv6 安全漏洞客觀存在，影響覆蓋系統、應用等各相關層面.7 二、我國下一代互聯網建設安全工作現狀.8（一）貫徹落實國家戰略，加強 IPv6 安全工作部署.8 1、工信部：明確 IPv6 安全工作階段性目標.9 2、廣電總局：細化 IPv6 安全指導和安全測試驗證要求.9 3、教育部：強調 IPv6 安全保障體系總體目標.10 4、央行：同步落實 IPv6 發展和安全工作.11（二）加快 IPv6 安全科研布局，強化 IPv6 安全技術儲備.11 1、強化 IPv6 安全核心要素和基礎資源安全管理創新.12 2、開展 IPv6 安

6、全風險研究，構建 IPv6 安全應對體系.13 3、推動 IPv6 源地址認證和網絡攻擊追蹤溯源研究.14（三）推動 IPv6 安全實踐，強化 IPv6 安全創新.16 1、加快 IPv6 安全標準制修訂，強化 IPv6 安全指導.16 2、加強 IPv6 安全產品和服務探索，助力安全能力提升.17 3、探索 IPv6 安全解決方案，強化 IPv6 安全風險應對.18 三、我國下一代互聯網建設仍面臨的安全挑戰.20（一）IPv4/IPv6 長期并存，過渡機制持續疊加安全風險.20 1、雙棧機制：IPv4/IPv6 網絡安全暴露面倍增.21 2、隧道機制：內置安全功能缺失，安全影響范圍擴大.22

7、 3、翻譯機制：機制內在特性仍面臨傳統網絡攻擊威脅.23（二）協議新特性挑戰現有安全手段，融合場景風險持續擴大.25 1、IPv6 地址標識復雜性驟增，挑戰基于地址資源安全防護手段.25 2、IPv6 協議新特性引入新安全問題，網絡安全風險此消彼長.27 3、IPv6 融合場景放大新技術安全隱患，加劇安全防御被動局面.30（三）IPv6 網絡安全需求能力“剪刀差”亟需彌合.31 1、IPv6 安全產品發展尚在起步，遠滯后安全能力需求.31 2、IPv6 安全問題未充分暴露，制約安全服務發展步伐.33 3、“IPv6+網絡安全”復合型專業技術人才缺失.34 四、保障下一代互聯網安全有序發展的建議

8、.34（一）主動布局 IPv6 安全產品服務和安全實踐推廣.35（二）按需求、分場景落實 IPv6 安全產品服務部署.39（三）構建 IPv6 安全創新機制，強化 IPv6 風險防范能力建設.43（四）強化 IPv6 安全知識技能培訓，彌合 IPv6 安全人才差距.44 中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 1 一、相關背景 近年來，我國緊抓全球信息通信技術加速創新變革、信息基礎設施快速演進升級的歷史機遇，在國家層面出臺推進互聯網協議第六版（IPv6）規模部署行動計劃（以下簡稱行動計劃），提出“一條主線、三個階段、五項任務”總體目標，全力推進互聯網演進升級和健康

9、創新發展，如圖 1.1 所示。圖圖 1.1 我國我國下一代互聯網建設總體目標下一代互聯網建設總體目標 目前，我國下一代互聯網建設第一階段目標任務全面完成，網絡設施全面就緒、應用改造逐步推進、活躍用戶穩步提升的局面已經形成。但隨著下一代互聯網網絡和業務環境逐步成熟，IPv6 網絡安全風險開始逐漸浮出水面，IPv6 網絡安全事件時有發生。（一）（一）IPv6 改造穩步推進，改造穩步推進，基本形成基本形成市場驅動良性環境市場驅動良性環境 1、網絡基礎設施、網絡基礎設施 IPv6 升級改造基本完成升級改造基本完成 目前，我國固網、LTE 網絡已大規模分配 IPv6 地址，基本具備IPv6 業務承載能力

10、2。截止 2019 年 7 月，LTE 網絡方面，全國 30 省3 2 數據來源：本節數據如無特別說明，均統計自推進 IPv6 規模部署專家委員會。3 數據統計范圍不包括香港、澳門、臺灣、新疆。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 2 的 LTE 網絡已完成 IPv6 升級改造；固定網絡方面，基礎電信企業骨干網設備已全部支持 IPv6，13 個骨干網直聯點已全部實現 IPv6 互聯互通，全國30 個省城域網IPv6改造已經全面完成；國際出入口方面，基礎電信企業已開通 IPv6 國際出入口帶寬 100Gbps，擴建工作不斷加快。IPv6 網絡流量現狀如圖 1.2

11、所示。圖圖 1.2 IPv6 流量現狀流量現狀 隨著網絡基礎設施 IPv6 升級改造工作的持續推進，IPv6 網絡相關用戶數穩步增長。截止 2019 年 7 月，全國已有 12.78 億用戶獲得IPv6 地址，其中，LTE 網絡用戶共 11.29 億，固定網絡用戶 1.49 億，相比 2018 年初增長超過 10 倍，如圖 1.3 所示。圖圖 1.3 IPv6 用戶數現狀用戶數現狀 中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 3 2、應用基礎設施、應用基礎設施已具備已具備 IPv6 服務能力服務能力 我國應用基礎設施改造速度不斷加快，已具備全國范圍內對外提供服務的能力

12、。DNS 方面，我國國家頂級域名服務系統早在 2012 年的 CNGI4二期工程中已完成 IPv6 升級改造。截止 2019 年 7 月，基礎電信企業遞歸域名服務器已全部完成 IPv6 升級改造，全面支持 IPv6地址解析。IDC 方面，基礎電信企業超大型/大型/中小型 IDC5升級改造全面完成，世紀互聯等企業已完成大型 IDC 升級改造，正加快推動中小型 IDC 升級改造進度，如圖 1.4 所示。圖圖 1.4 IDC 升級改造現狀升級改造現狀 CDN 方面，我國 CDN 企業全部機房 IPv6 覆蓋能力已達100%，已具備面向全國提供 IPv6 相關業務加速能力，省級 CDN 節點本地部署已

13、超過 60%，如圖 1.5 所示。4 CNGI：Chinas Next Generation Internet，中國下一代互聯網。5 以功率為 2.5 千瓦的標準機架為換算單位，超大型數據中心是指規模大于等于 10000 個標準機架的數據中心；大型數據中心是指規模大于等于 3000 個標準機架小于 10000 個標準機架的數據中心；中小型數據中心是指規模小于 3000 個標準機架的數據中心。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 4 圖圖 1.5 CDN 升級改造現狀升級改造現狀 云平臺方面，阿里云、百度云、騰訊云等知名云服務平臺持續推進云服務產品 IPv6 升級

14、改造。目前，負載均衡、對象存儲、域名解析等不同種類云服務產品已完成 IPv6 升級改造，平均改造率已超過60%，如圖 1.6 所示。圖圖 1.6 云平臺升級改造現狀云平臺升級改造現狀 3、互聯網互聯網應用應用 IPv6 活躍用戶數活躍用戶數穩步提升穩步提升 隨著網絡及應用基礎設施 IPv6 升級改造的持續推進，IPv6 網絡和應用能力穩步提升，IPv6 相關業務開始逐步上線，購物、視頻、新中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 5 聞等各類互聯網應用 IPv6 活躍用戶數穩步提升。截止 2019 年 7 月，我國主要互聯網應用活躍用戶數已達 2.01 億，如圖 1

15、.7 所示。圖圖 1.7 2019 年我國年我國 IPv6 活躍用戶數增長情況活躍用戶數增長情況 此外，截止 2019 年 7 月，我國政府、央企、央媒、商業6等各類網站 IPv6 升級改造也已取得積極進展，如圖 1.8 所示。圖圖 1.8 各類網站升級改造現狀各類網站升級改造現狀（二）（二）IPv6 安全風險開始顯現，安全風險開始顯現，挑戰挑戰下一代互聯網下一代互聯網安全安全保障能力保障能力 早在 2018 年 3 月，美國安全廠商 Neustar 已發現業內第一起基 6 統計維度為排名前 50 的商業網站。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 6 于 IPv

16、6 協議的 DDoS 攻擊，攻擊對象為存儲 1900 個 IPv6 地址的 DNS服務器7。近年來，隨著我國 IPv6 網絡和業務開始上線，IPv6 網絡攻擊事件也開始出現，IPv6 網絡安全問題相繼浮出水面，我國下一代互聯網建設正面臨客觀安全挑戰。1、IPv6 網絡攻擊數量劇增，攻擊范圍逐漸擴大網絡攻擊數量劇增，攻擊范圍逐漸擴大 隨著 IPv6 網絡開始投入使用，IPv6 網絡攻擊8數量急劇增加，影響范圍也呈現出向各行業領域擴大趨勢。據國內安全廠商統計，2019年上半年共監測發現超過 9 萬起 IPv6 網絡攻擊，其中，攻擊對象覆蓋政府部門、事業單位、教育機構等單位9，如圖 1.9 所示。圖

17、圖 1.9 2019 年上半年政企事業單位遭受年上半年政企事業單位遭受 IPv6 攻擊情況攻擊情況 在 2019 年 3 月，國內安全廠商攔截到攻擊源為 IPv6 地址的網絡攻擊 8000 萬起10；在針對 283 家政府部門、教育機構、中央企業云托管網站來自 IPv6 網絡的攻擊中，目錄遍歷攻擊、WEB Shell 攻擊、SQL 注入等典型 WEB 攻擊超過 90%11，如圖 1.10 所示。7 IPv6 環境下需要 DNS 存儲海量地址，導致 DNS 極易被攻擊者選為攻擊的關鍵對象。8 IPv6 網絡攻擊包括攻擊源為 IPv6 地址的攻擊，以及利用 IPv6 網絡或安全問題發起的各類攻擊。

18、9 數據來源：據神州綠盟整理統計。10 數據來源：據知道創宇整理統計。11 數據來源：據深信服整理統計。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 7 圖圖 1.10 283 家云托管網站網絡攻擊情況家云托管網站網絡攻擊情況 2、IPv6 安全漏洞客觀存在，影響安全漏洞客觀存在，影響覆蓋覆蓋系統、應用等系統、應用等各各相關相關層面層面 盡管 IPv6 相關技術概念早在 1996 年已經提出，但直到近年來才開始引起各界的廣泛關注和投入，相關硬件終端、操作系統、軟件應用等仍處部署應用初期階段，尚不具備較為完善的安全機制，IPv6 安全漏洞客觀存在。截止 2019 年 7

19、月，CVE 漏洞庫中已收錄 IPv6 相關漏洞 381 條，覆蓋系統漏洞、應用漏洞、硬件漏洞、協議漏洞等不同層面，如圖 1.11 所示。圖圖 1.11 IPv6 相關漏洞情況相關漏洞情況（保留四舍五入統計誤差保留四舍五入統計誤差）其中，CVSS12評分超過 7 的高危漏洞占比超過 50%，如圖 1.12所示。12 CVSS：Common Vulnerability Scoring System，通用漏洞評分系統。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 8 圖圖 1.12 不同威脅程度不同威脅程度漏洞漏洞分布分布情況情況 二、我國下一代互聯網建設安全工作現狀 自行動

20、計劃發布以來，我國政產學研各界貫徹落實國家重大戰略要求，從工作部署、科研工作、產品服務、安全實踐等方面全面強化下一代互聯網安全布局，持續加強我國下一代互聯網安全保障。（一）貫徹落實國家戰略，加強（一）貫徹落實國家戰略，加強 IPv6 安全工作部署安全工作部署 近年來，我國各政府部門立足自身職責分工，在政策方面頻頻發力，出臺部門相關政策文件，同步強化各行業領域 IPv6 發展和安全工作部署，如圖 2.1 所示。圖圖 2.1 我國政府部門我國政府部門 IPv6 相關政策文件相關政策文件 中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 9 1、工信部：、工信部：明確明確 IPv

21、6 安全工作安全工作階段階段性性目標目標 工信部連續兩年發布相關政策文件，分階段細化IPv6安全要求。2018 年 5 月，發布關于貫徹落實的通知，從安全管理、保障措施、安全能力三個維度提出 IPv6 安全總體要求，包括同步升級 IPv6 安全保障系統、強化新興技術領域安全能力建設等；2019 年 4 月，發布 關于開展 2019年 IPv6 網絡就緒專項行動的通知，提出 2019 年末 IPv6 安全主要目標，強化落實 IPv6 網絡安全保障，如圖 2.2 所示。圖圖 2.2 2019 年末年末 IPv6 安全主要目標安全主要目標 2、廣電總局：細化、廣電總局：細化 IPv6 安全指導安全指

22、導和安全和安全測試驗證測試驗證要求要求 廣電總局在 2018 年 3 月發布的 廣電有線網絡 IPv6 規模部署及推進實施指南 中明確細化 IPv6 發展和安全實施指導。其中，在 IPv6安全方面，該指南從網絡攻擊、口令攻擊、病毒攻擊等 9 種 IPv6 安全威脅入手，分析網絡側和業務側兩個方面的 IPv6 安全防護能力，針對終端安全、網絡安全、業務安全三個方面，明確提出 IPv6 安全防護策略，如圖 2.3 所示。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 10 圖圖 2.3 實施指南相關實施指南相關 IPv6 安全防護策略安全防護策略 此外，該指南明確提出在 IP

23、v6 部署過程中同步開展支持能力測試，要求 IPv6 升級改造后的系統應符合國家安全相關標準和行業標準，相關系統上線前應開展安全評測等。3、教育部：、教育部：強調強調 IPv6 安全安全保障體系保障體系總體目標總體目標 2018 年 8 月，教育部發布教育部辦公廳關于貫徹落實的通知，明確到 2020 年末基于 IPv6 的安全保障體系基本形成的總體目標，從安全管理、安全設備等方面，強調優化 IPv6 網絡安全管理和防護，如圖 2.4 所示。圖圖 2.4 教育部教育部 IPv6 安全工作部署安全工作部署 中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 11 4、央行：同步、

24、央行：同步落實落實 IPv6 發展和安全工作發展和安全工作 央行因其主管的金融服務機構業務特殊性，長期以來十分重視網絡安全工作。在 2019 年 1 月發布的 關于金融行業貫徹的實施意見中更是強調金融服務機構 IPv6 升級改造以保障系統安全穩定運行為前提，堅持發展與安全并舉，并從主要目標、實施步驟等方面明確提出，按照“初期階段、規模推廣階段、持續建設階段”同步推進 IPv6 安全工作。在 IPv6 網絡安全保障方面，提出構筑有效防范 IPv6 安全風險且不低于現有 IPv4 同等防護能力的安全防護體系，新增 IPv6 互聯網接入線路具備訪問控制、入侵檢測、流量清洗等安全功能。此外，國資委在關

25、于做好互聯網協議第六版（IPv6）部署應用有關工作的通知中，要求各中央企業制定 IPv6 相關任務清單，制定詳細工作計劃，明確中央企業網站和系統改造計劃完成時間，開展IPv6 環境下移動互聯網、物聯網、工業互聯網等新興技術研究與應用，同步強化網絡安全保障工作的同時，從強化組織領導、保障資金投入、加大扶持力度等方面同步推動 IPv6 發展和安全相關工作。（二）加快（二）加快 IPv6 安全科研布局，強化安全科研布局，強化 IPv6 安全技術儲安全技術儲備備 為防范下一代互聯網建設過程中一系列安全風險，我國政產學研各界圍繞 IPv6 基礎資源安全管理、安全風險應對等問題，開展了一系列 IPv6 安

26、全相關基礎科研工作，旨在強化 IPv6 安全技術儲備，推動下一代互聯網安全演進。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 12 1、強化、強化 IPv6 安全核心要素和安全核心要素和基礎資源安全管理基礎資源安全管理創新創新 為強化 IPv6 風險應對技術儲備，我國高校、企業、科研機構協同合作，依托科技部國家重點研發計劃“寬帶通信和新型網絡”重點專項，重點開展了 IPv6 環境下基礎資源管理核心技術研究，以 IPv6地址真實性作為網絡基礎設施的信任錨點，通過互聯網體系架構中編制語義、路由控制等核心要素創新，實現大規模網絡實體和網絡行為關聯要素可驗證、可管理、可追溯，如

27、圖 2.5 所示。圖圖 2.5 項目組織架構項目組織架構 該項目針對主干網、接入網等不同 IPv6 真實地址部署場景，兼顧開放互通和安全管控，研究提出網絡實體、身份、行為的關聯機制，從編制語義、路由控制等角度研究實體編址與用戶身份、網絡行為間的關聯關系的同時，構建大規模試驗驗證和應用示范平臺，對自主技術體系、設備系統結構等開展全場景、一體化的驗證，強化提升 IPv6環境下針對 IPv6 地址資源的安全管理能力，如圖 2.6 所示。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 13 圖圖 2.6 項目研究框架項目研究框架 2、開展、開展 IPv6 安全風險研究，構建安全風

28、險研究，構建 IPv6 安全應對體系安全應對體系 隨著下一代互聯網安全問題的逐漸顯現，基礎電信企業作為我國推動 IPv6 規模部署工作的重要主體，在加快推動網絡基礎設施、應用基礎設施等 IPv6 升級改造的同時，從升級網絡安全防護手段、開展 IPv6 網絡安全風險研究等方面同步推動 IPv6 網絡安全保障工作。其中，中國電信于 2017 年開展 IPv6 網絡安全風險相關研究工作，從網絡安全防護體系、基礎安全風險等方面，梳理 IPv6 安全風險對網絡安全防護體系帶來的安全挑戰，分析過渡技術安全風險、IPv6 新增風險等 IPv6 網絡安全相關風險，以及 IPv6 協議機制對自身安全性的影響，形

29、成 IPv6 安全風險框架，如圖 2.7 所示。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 14 圖圖 2.7 中國電信中國電信 IPv6 安全風險框架安全風險框架 基于該框架中對 IPv6 安全風險的研究分析，針對其各業務場景安全需求，從安全管理、過渡技術、安全設備、訪問控制等方面，形成涵蓋邊界防護、資產管理、威脅情報等內容的 IPv6 安全策略部署建議，如圖 2.8 所示。圖圖 2.8 中國電信中國電信 IPv6 安全策略部署建議安全策略部署建議 3、推動推動 IPv6 源地址認證和源地址認證和網絡攻擊追蹤溯源網絡攻擊追蹤溯源研究研究 清華大學早在 2003 年依

30、托 CNGI 提出真實 IPv6 源地址驗證體系結構（SAVA）13，旨在通過域間、域內等網絡層級的源地址識別和驗 13 真實 IPv6 源地址驗證體系結構：Source Address Validation Architecture，SAVA。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 15 證，對偽造源地址的分組進行過濾，保證網絡中所有分組源 IPv6 地址的全網唯一性，進而通過在接入網內和其他不同網絡層級上建立不同顆粒度的 IPv6 地址到其他類型標識的綁定關系，將 IPv6 地址逐級定位到網絡實體，實現網絡攻擊行為的可溯源性14，如圖 2.9 所示。圖圖 2.

31、9 真實真實 IPv6 源地址驗證體系結構源地址驗證體系結構體系結構體系結構 近年來，清華大學同樣依托科技部國家重點研發計劃“寬帶通信和新型網絡”重點專項，持續開展下一代互聯網安全相關科研工作，提出“一體化融合網絡體系結構和關鍵技術研究”研究項目，旨在依托 IPv6 網絡體系結構，針對空間信息網、廣播電視網、移動互聯網等多種異構網絡的安全高效互聯互通面臨的技術難題，研究大規?？蓴U展、時空大尺度、多維高性能、真實安全可信、開放互聯融合的一體化新型網絡體系結構及其協議關鍵技術，為未來新型網絡的發展奠定理論和技術基礎。其中，在下一代互聯網安全方面，該項目旨在研究一體化融合網絡真實安全可信技術，實現源

32、地址認證、用戶身份認證、路由信息認證等功能，構建安全可信的未來一體化融合網絡。14 參考文獻：李杰，吳建平，徐恪，自治域間真實源地址驗證方法及技術實現。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 16（三）（三）推動推動 IPv6 安全實踐，安全實踐，強化強化 IPv6 安全安全創新創新 1、加快、加快 IPv6 安全標準制修訂，強化安全標準制修訂，強化 IPv6 安全指導安全指導 從國家標準、行業標準等不同層面，我國標準化組織全面啟動IPv6 安全標準制修訂工作，從 IPv6 安全防護、標準體系等方面持續強化 IPv6 安全指導，如圖 2.10 所示。圖圖 2.10

33、 IPv6 安全相關標準工作安全相關標準工作 國家標準方面，TC26015的WG616聚焦IPv6網絡安全標準化工作，從國內外 IPv6 發展現狀入手，在分析 IPv6 網絡安全風險的基礎上，研究提出涵蓋應用層、網絡層、終端層等不同層次的 IPv6 網絡安全體系框架，并從基礎、技術、管理等方面研究提出 IPv6 網絡安全標準化路線圖。行業標準方面，CCSA17主要聚焦 IPv6 環境下多種業務場景網絡安全防護要求，以及 IPv6 地址實名制等安全新問題，開展標準制修訂工作。其中，TC818的 WG319強化 IPv6 地址申請、分配、備案等安全管理，加快推進IPv6地址實名制管理系列標準制定工

34、作。15 TC260：全國信息安全標準化技術委員會。16 WG6：通信安全標準工作組。17 CCSA：中國通信標準化協會。18 TC8：網絡與信息安全。19 WG3：安全管理組。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 17 目前，IPv6 地址實名制管理總體要求、備案信息核查系統技術要求等5 項標準均已完成報批稿，進入報批審核階段。NTC420根據 IPv6 環境下引入的網絡安全風險，加快推進 IDC、CDN、DNS 等多種業務場景網絡安全防護要求標準修訂工作。目前，互聯網數據中心安全防護相關標準已進入征求意見階段。2、加強、加強 IPv6 安全產品和服務探索，助

35、力安全能力提升安全產品和服務探索，助力安全能力提升 從下一代互聯網安全需求看，IPv6 環境下協議類型轉變、海量地址空間等特性給安全產品功能提出新的要求。一方面，IPv4 向 IPv6網絡升級演進是長期、持續的過程，網絡安全產品同時支持 IPv4 和IPv6 已經成為其部署應用的關鍵要素。另一方面，基于 IPv6 的下一代互聯網自身具有浩瀚的地址空間，也將為網絡安全產品帶來新的挑戰。例如，漏洞掃描類網絡安全產品難以在 IPv6 環境下實施遍歷式掃描，導致其產品自身基于網絡節點掃描發現系統、網絡、應用漏洞的工作模式難以高效進行。此外，IPSec 作為 IPv6 環境下可選拓展安全功能，提供端到端

36、加密數據通信機制的同時，也為攻擊者規避防火墻、IPS 等網絡安全產品的深度分析和檢查提供可趁之機。因此，IPv6安全產品和服務作為下一代互聯網安全防線的核心組成部分，加快其研發、推廣、部署已成為保障下一代互聯網安全發展的關鍵。我國安全企業加快發力，加快研發升級現有安全產品的 IPv6 支持能力，以及開展 IPv6 環境安全新產品探索。目前，我國已有 231 款 20 NTC4：網絡安全防護特設組。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 18 安全產品通過 IPv6 支持認證21，實現對 IPv6 協議層面的支持，產品類型覆蓋防火墻、IDS/IPS、UTM、WAF

37、等，如圖 2.11 所示。圖圖 2.11 我國通過我國通過 IPv6 支持認證的安全產品情況支持認證的安全產品情況 在 IPv6 安全服務方面，由于 IPv6 網絡中傳輸介質、通信鏈路、應用系統等關鍵組成部分與 IPv4 網絡基本相同，代碼審計、漏洞挖掘等傳統安全服務仍將適用于 IPv6 環境。在下一代互聯網升級演進過程中，我國安全企業也針對 IPv6 環境相繼推出特有安全服務。例如，部分安全企業推出 IPv6 安全改造服務，針對網絡和應用基礎設施、互聯網應用等不同對象，提供 IPv6 安全改造咨詢、方案設計等。3、探索、探索 IPv6 安全解決方案，強化安全解決方案，強化 IPv6 安全風險

38、應對安全風險應對 隨著我國下一代互聯網建設的持續推進，各類 IPv6 安全事件的出現給下一代互聯網安全發展敲響警鐘，IPv6 安全問題逐漸引起各界的廣泛關注。為提高 IPv6 安全風險防范能力，我國企業從網絡基礎設施、應用基礎設施、基礎資源管理等方面，加快開展 IPv6 安全實踐和探索，推動 IPv6 安全技術創新和應用，如圖 2.12 所示。21 數據來源：下一代互聯網國家工程中心2018-2019 全球 IPv6 支持度白皮書。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 19 圖圖 2.12 我國我國 IPv6 安全相關實踐安全相關實踐 網絡基礎設施方面，賽爾網絡

39、基于 CERNET2 主節點流量采集和分析，優化升級教育網 IPv6 態勢監測系統，實現 IPv6 環境下網絡攻擊監測發現、網絡流量分析與監測、安全態勢感知等監測預警功能，建設面向云計算與大數據應用的云網一體化安全平臺，結合蜜罐態勢監測、漏洞自動掃描等網絡安全防護系統，實現資產安全管理、數據保護、漏洞檢測和防御等網絡安全防護功能，保障教育網主干網和純IPv6 云平臺的云網一體化安全。應用基礎設施方面，亞信安全針對IPv6環境下DNS面臨的DDoS攻擊、域名安全威脅等問題，提出 DNS 自適應安全架構，依托企業自身威脅情報庫中 IPv6 地址黑名單，結合 DNS 流量監測分析系統，對訪問 DNS

40、 的源 IP 以及域名解析 IP 實施預測分析，同時按照 DNS安全策略，通過安全防護設備實施深度檢測并阻斷非法 IP 訪問，形成預測、防御、檢測、響應的 DNS 安全防御閉環。阿里云針對 IPv6環境下 IDC 開展 DDoS 防護安全實踐，采用分布式計算、全鏈路雙棧等技術，構建 IPv6 環境下 DDoS 防御系統，以及 SaaS 化的 DDoS筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 20 防御產品，保障企業自身業務安全的同時，可為互聯網企業提供 IPv6環境下 DDoS 安全防護產品和服務?；A資源管理方面，神州綠盟等企業針對 IPv6 海量互聯網資產難以實

41、施高效的掃描、監測等問題，加快構建 IPv6 環境下互聯網資產發現、識別、管理等安全能力，結合大數據分析等網絡安全技術，滿足 IPv6 環境下互聯網資產安全監測、風險評估、威脅預警、應急處置等安全需求，切實提升 IPv6 環境下互聯網資產網絡安全管理能力。值得注意的是，由于我國互聯網應用 IPv6 升級改造進度相對滯后，目前針對互聯網應用的 IPv6 安全實踐屈指可數。未來隨著互聯網應用 IPv6 升級改造進度的不斷提升和需求市場的逐步擴大，可以預見將有更多企業針對互聯網應用開展 IPv6 安全相關創新實踐。三、我國下一代互聯網建設仍面臨的安全挑戰 IPv6 憑借其浩瀚的網絡地址空間，能夠有效

42、解決當前全球互聯網面臨的網絡地址消耗殆盡等網絡發展瓶頸問題。然而，IPv4 向 IPv6網絡升級演進是一個長期、持續的過程，IPv4/IPv6 過渡機制以及 IPv6協議新特性帶來的客觀安全問題不容忽視。此外，目前已部署上線的IPv6 業務相對有限，IPv6 安全產品和服務發展、IPv6 安全保障能力的建設也相對滯后，我國下一代互聯網建設仍面臨現實安全挑戰。（一）（一）IPv4/IPv6 長期長期并存并存，過渡機制，過渡機制持續疊加持續疊加安全風險安全風險 如前所述，在下一代互聯網建設過程中，IPv4 網絡和 IPv6 網絡中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書

43、21 將長期并存，為保障 IPv4 和 IPv6 網絡間的相互通信，通常采用雙棧、隧道、翻譯等過渡機制實現向純 IPv6 網絡的平穩升級。然而，部分過渡機制自身存在安全缺陷，或將引入新的安全隱患，導致下一代互聯網建設過渡期安全風險持續疊加。1、雙棧機制：、雙棧機制：IPv4/IPv6 網絡安全暴露面倍增網絡安全暴露面倍增 雙棧機制是指網絡節點同時具備 IPv4 和 IPv6 兩種協議棧，具備兩種協議的支持能力。在雙棧環境下，源節點根據目的節點協議棧類型選擇不同的協議棧封裝和發送報文，網絡設備根據接收到的報文協議類型，選擇不同的協議棧對報文進行處理和轉發，如圖 3.1 所示。圖圖 3.1 雙棧機

44、制原理雙棧機制原理 在雙棧環境下，采取 IPv4 和 IPv6 并存的通信模式，因 IPv4、IPv6 中任何一種協議安全漏洞等問題引發的不良影響將會以網絡設備等為據點，在 IPv4 和 IPv6 網絡中雙向滲透傳播，無形中增加網絡節點的安全暴露面。例如，攻擊者可利用 IPv6 協議棧漏洞，針對雙棧環境下網絡設備發起 DDoS 攻擊，進而影響網絡設備正常工作，引發 IPv4 和 IPv6 網絡均無法正常訪問，如圖 3.2 所示。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 22 圖圖 3.2 雙棧機制安全風險雙棧機制安全風險 2、隧道機制：內置安全功能缺失，安全影響范圍

45、擴大、隧道機制：內置安全功能缺失，安全影響范圍擴大 隧道機制可實現 IPv6 數據包在 IPv4 網絡中傳輸，其核心在于將IPv6 數據包封裝在 IPv4 數據包中，以自動、手動等多種隧道配置方式，保障被 IPv4 網絡隔離開的局部 IPv6 網絡間相互通信。以 IPv6 to IPv4 和 IPv6 over IPv4 為例，地址格式如圖 3.3 所示。圖圖 3.3 常見隧道機制地址格式常見隧道機制地址格式 在隧道環境下，部分隧道機制僅要求隧道出入口節點對報文進行簡單的封裝和解封，缺乏內置認證、加密等安全功能，導致攻擊者可能截取隧道報文，偽造用戶地址并偽裝成合法用戶發起攻擊。以 IPv6 o

46、ver IPv4 為例，攻擊者可偽造內層、外層地址發起仿冒攻擊等安全風險。此外，由于部分隧道機制未采取對隧道封裝內容的檢查，攻擊者中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 23 可通過隧道封裝攻擊報文，導致攻擊流量可通過隧道向其他網絡輻射，形成隧道化的攻擊模式，如圖 3.4 所示。圖圖 3.4 隧道機制安全風險隧道機制安全風險 3、翻譯機制：機制內在特性、翻譯機制：機制內在特性仍仍面臨面臨傳統傳統網絡攻擊威脅網絡攻擊威脅 IPv4/IPv6 過渡期通常采用網絡地址轉換（NAT）22技術實現 IPv4和 IPv6 地址間的相互轉換。與 IPv4 環境下23不同，在 I

47、Pv4/IPv6 過渡期，NAT 技術可實現 IPv4 地址和 IPv6 地址間的雙向映射，通過翻譯節點實現 IPv4 和 IPv6 地址間的相互轉換。由于 IPv4 地址緊缺的現象仍客觀存在，IPv4 地址與 IPv6 地址間的一對一映射將造成 IPv4 地址資源的浪費，目前主流的技術方案通常采用 IPv4 地址和端口號與IPv6 地址間映射的方式24，在節約 IPv4 地址資源的同時，保障 IPv4和 IPv6 網絡間相互訪問，如圖 3.5 所示。22 網絡地址轉換：Network Address Translation，NAT。23 在 IPv4 環境下，通常采用 NAT 技術將一個公有

48、 IPv4 地址映射為多個 IPv4 內網地址，實現外網與內網間 IPv4 地址相互轉換。24 因 IP 端口號共有 216個，故一個 IPv4 地址最大支持映射 216個 IPv6 地址。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 24 圖圖 3.5 翻譯機制原理翻譯機制原理 目前，由于 IPv6 相關業務尚未大規模部署上線，仍存在大量主機通過翻譯機制訪問 IPv4 網絡資源。盡管翻譯機制在 IPv4/IPv6 過渡期與在 IPv4 環境中作用不同，但機制特性仍未發生改變，同樣面臨地址池耗盡等常見 DDoS 攻擊威脅，攻擊者可通過偽造大量 IPv6 地址向翻譯節點發

49、起地址轉換請求，消耗地址池 IPv4 資源，同時導致合法用戶無法獲取 IPv4 地址，進而引發 IPv4 網絡無法正常訪問，如圖 3.6 所示。圖圖 3.6 翻譯機制安全風險翻譯機制安全風險 總體來看，在 IPv4 網絡向 IPv6 網絡升級演進期間，雙棧、隧道等過渡機制均需針對機制特性，配備針對性的網絡安全防護機制。值得注意的是，翻譯機制在 IPv4 環境中已形成相對成熟、可沿襲的網絡安全防護機制，且在真實網絡環境已經過較長時間的有效性驗證，中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 25 僅需針對翻譯節點設備部署源地址認證等安全防護策略，如圖 3.7 所示。因此，

50、相對堅實的安全保障基礎使得翻譯機制或將成為 IPv4/IPv6過渡機制的首選。圖圖 3.7 IPv4/IPv6 過渡機制過渡機制安全性安全性對比分析對比分析（二）協議新特性挑戰現有安全手段，融合場景（二）協議新特性挑戰現有安全手段，融合場景風險風險持持續擴大續擴大 1、IPv6 地址標識復雜性地址標識復雜性驟增驟增，挑戰挑戰基于地址資源安全基于地址資源安全防護手段防護手段 網絡地址標識泛指網絡節點協議類型、地址格式等各類標志信息。盡管 IPv6 能夠有效解決全球互聯網地址緊缺問題，但協議類型、地址空間、地址格式、掩碼格式等網絡地址標識的變化，也導致 IPv6 網絡中網絡地址標識相對于IPv4網

51、絡地址標識而言，復雜性急劇增加，如圖 3.7 所示。圖圖 3.7 網絡地址標識復雜性對比網絡地址標識復雜性對比 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 26 在 IPv6 網絡地址標識復雜性持續疊加的情況下，流量清洗、數據包過濾、入侵檢測等以各類網絡地址標識解析為核心的傳統安全防護手段將面臨嚴峻安全挑戰。復雜網絡地址標識和海量流量帶來的雙重壓力使得 DPI25、防火墻、IDS/IPS26等傳統安全設備壓力急劇增加，難以以 IPv4 環境下相同時間完成復雜網絡地址標識解析和規則匹配等安全防御工作，如表 3.1 所示。表表 3.1 IPv6 網絡地址標識對安全防護手段

52、的影響網絡地址標識對安全防護手段的影響 安全技術 影響設備 主要部署場景 安全影響 流量解析 DPI、抗 DDoS CDN、IDC 防護等 影響對攻擊流量實時清洗能力 數據包過濾 防火墻 云、CDN、IDC防護等 存在虛假數據包跨越的可能 標識解析 和規則匹配 IDS、IPS、WAF 云、CDN、IDC、網站防護等 影響對入侵事件識別和發現效率 具體包括：流量解析：流量解析和清洗是針對 DDoS 攻擊的重要安全防御手段之一，可基于網絡關鍵點報文報頭中協議類型、目標地址等網絡地址標識，實現對異常攻擊流量的識別、過濾、清洗等功能。IPv6 環境下，由于網絡地址標識復雜程度持續疊加，原本針對 IPv

53、4 環境下相對簡單的網絡地址標識的流量清洗，需轉變為對海量攻擊流量中復雜地址標識的解析和匹配工作，導致現有相關安全設備工作耗時劇增，難以進行實時/準實時的分析和清洗。數據包過濾：數據包過濾作為包過濾型防火墻的主要功能，通過對數據包內各類網絡地址標識的檢測，可識別和丟棄具有欺騙性源 25 DPI：Deep Packet Inspection，深度報文檢測。26 IDS/IPS：Intrusion Detection Systems/Intrusion Protection Systems，入侵檢測系統/入侵防御系統。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 27 IP

54、 地址的數據包。IPv6 環境下，包過濾型防火墻需在短時間內根據各類數據包中復雜網絡地址標識進行準確分析和判斷，而網絡地址標識復雜性的變化，導致防火墻設備壓力劇增，尤其是防火墻需建立針對海量地址空間中 IPv6 地址前綴的訪問黑名單等，一旦存在遺失遺漏的情況，可能引發虛假數據包穿透防火墻，進而造成不良影響。標識解析和規則匹配：IDS/IPS 等設備往往根據安全策略定義，基于網絡地址標識等報文信息的檢測分析，實現對網絡攻擊事件的識別和發現。IPv6 環境下，要求 IDS/IPS 設備在短時間內根據報文信息中復雜的網絡地址標識對網絡攻擊入侵事件進行準確分析和判斷，而網絡地址、協議類型等網絡地址標識

55、的變化，導致報文信息收集和分析時間劇增，可能因復雜的網絡地址標識引發網絡攻擊入侵事件難以準確判斷，影響對網絡攻擊入侵事件的有效識別和發現。2、IPv6 協議新特性協議新特性引入新引入新安全問題，網絡安全風險此安全問題，網絡安全風險此消彼長消彼長 IPv6 協議引入報文擴展頭、地址自動配置等新特性，在提高網絡服務質量的同時，也引入組播通信、MTU27路徑發現等新特性，可有效應對廣播風暴、分片攻擊等部分網絡安全風險。然而，由于部分協議新特性未配備適當的安全機制，可能引發擴展頭攻擊、NDP 攻擊等新型網絡攻擊威脅，導致 IPv6 環境下網絡安全風險此消彼長，具體包括：擴展頭攻擊：IPv6 協議通過引

56、入報文擴展頭，通過將 IPv6 協 27 MTU：Maximum Transmission Uni，最大傳輸單元。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 28 議選項字段集中在擴展頭中，使得轉發設備可根據選項字段選擇性處理報文，有效提高報文轉發效率。但協議中未限制報文擴展頭總數和同類型擴展頭出現次數，攻擊者可通過構造包含異常數量擴展頭的報文，對網絡中防火墻、路由器等節點發起 DoS 甚至 DDoS 攻擊，迫使相關節點耗費大量資源解析異常數量的擴展頭，如圖 3.8 所示。圖圖 3.8 擴展頭攻擊擴展頭攻擊 NDP 攻擊：IPv6 網絡中采用 NDP28取代 IPv4

57、 網絡中 ARP 和ICMPv4 部分控制功能，通過在網絡節點間交換信息報文實現鏈路層地址發現、地址自動配置、路由前綴發現等功能。但是，由于 NDP 未配備有效的源節點安全認證機制，可引發仿冒攻擊、泛洪攻擊等安全威脅，如圖 3.9 所示。圖圖 3.9 NDP 攻擊攻擊 28 NDP：Neighbor Discovery Protocol，鄰居發現協議。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 29 DAD29攻擊：DAD 是指網絡節點配置 IPv6 地址時，依托 NDP中 NA30、NS31報文，預先進行地址重復性檢測，以保障該節點獲取的IPv6 地址的唯一性。然而

58、，DAD 過程未配備 NA 報文合法性驗證機制，攻擊者可監聽 DAD 過程，在監聽到 NS 報文時，偽造并發送 NA報文，宣稱該 IPv6 地址已被占用，影響 IPv6 地址正常配置過程，進而導致合法節點無法正常訪問網絡，如圖 3.10 所示。圖圖 3.10 DAD 攻擊攻擊 前綴欺騙攻擊：在 IPv6 地址自動配置過程32中，網絡節點可監聽 RA 報文33，根據 RA 報文中路由前綴與自身接口 ID 生成 IPv6 地址，提高 IPv6 地址配置效率。該過程未對源地址進行安全認證機制，攻擊者可通過偽造并發送虛假 RA 報文，影響合法節點獲取有效 IPv6地址；也可結合 DAD 攻擊，在阻礙節

59、點正常獲取 IPv6 地址的同時，偽裝成鏈路默認路由，實施中間人攻擊等攻擊手段，如圖 3.11 所示。29 DAD：Duplicate Address Detection，重復地址檢測。30 NS：Neighbor Solicitation，鄰節點請求。31 NA：Neighbor Announcement，鄰節點公告。32 另一種地址自動配置方式通過路由請求報文（Router Solicitation，RS）獲取路由前綴。33 RA：Router Advertisement，路由廣播。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 30 圖圖 3.11 前綴欺騙攻擊前綴

60、欺騙攻擊 MLD34攻擊：MLD 具有組成員管理功能，是實現 IPv6 組播高效數據交互的基礎。路由節點可依托 MLD 協議識別和發現鏈路組成員，記錄和維護組播信息。但是，MLD 缺少安全認證機制，攻擊者可冒充組播源，偽造和發送虛假組播數據，或偽裝成組成員，向組播源發送大量虛假的組成員報告報文，消耗組播源內部資源，影響組成員間正常數據交互。3、IPv6 融合場景放大新技術安全隱患，融合場景放大新技術安全隱患，加劇加劇安全防御安全防御被動局面被動局面 當前，5G、物聯網、工業互聯網等新一代信息通信技術和新業態的快速發展應用，在未來構建物物互聯的泛在連接場景中，將與 IPv6地址緊密綁定、與 IP

61、v6 技術深度融合，可能放大新技術新業態本身及應用過程中存在的安全隱患，加大網絡安全管理難度。從網絡安全防御方看，為保障海量互聯網資產安全，網絡安全防御方需將各類終端、設備等海量互聯網資產全面納入網絡安全管理范疇，面對急劇擴張的攻擊暴露面，確保海量復雜地址標識的解析、識別和安全分析等 34 MLD：Multicast Listener Discovery，組播偵聽發現。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 31 工作萬無一失。而從網絡攻擊方看，僅需在偌大的攻擊面中發現一個或多個脆弱點作為突破口，即可發起針對性的攻擊并向更深更廣的范圍滲透。防守方需“知其全貌”而攻

62、擊方只需“知其一二”的攻防不對稱的局面進一步加劇。例如，在 IPv6 與 5G、物聯網等新技術融合應用的海量機器類通信（mMTC）場景中，數以百億計的各類物聯網終端、設備等資產將直接暴露在互聯網上。由于物聯網資產本身存在的安全漏洞、數據泄露、非授權接入等安全風險不可避免，若未對所有資產實施恰當的安全管理，攻擊者嗅探發現其一二進而入侵利用后，可構造規?；脑O備僵尸網絡并發起新型高容量 DDoS 攻擊，導致安全威脅向用戶應用和核心網絡雙向輻射，如圖 3.12 所示。圖圖 3.12 IPv6 與與 5G 融合場景安全風險融合場景安全風險（三）（三）IPv6 網絡安全需求能力“剪刀差”亟需彌合網絡安全

63、需求能力“剪刀差”亟需彌合 1、IPv6 安全產品發展安全產品發展尚在起步尚在起步，遠滯后遠滯后安全安全能力需求能力需求 隨著 IPv6 相關網絡安全問題逐漸引起重視，國內安全企業同步加快 IPv6 安全產品的研發推廣。但就現階段 IPv6 相關安全產品的研發應用情況來看，目前市場對 IPv6 安全產品發展的驅動效應尚未全筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 32 面顯現，我國 IPv6 安全產品仍處于起步發展階段，如圖 3.13 所示。圖圖 3.13 IPv6 安全安全產品發展產品發展和成熟度象限和成熟度象限 IPv6 安全產品起步階段：少量安全產品在功能上可

64、支持 IPv6協議，包括支持 IPv6 地址解析、IPv6 報文分析等，但未付諸實際部署應用過程，在IPv6環境下的安全防護性能和防護效果未得到驗證。IPv6 安全產品發展階段：市場驅動的良性發展效應初顯，主流安全產品基本支持 IPv6 協議，以防火墻、WAF 等為代表的典型安全產品可在 IPv6 環境下具備相對良好的安全性能。IPv6 安全產品完善階段：安全產品全面支持 IPv6 協議，并在IPv6 環境下得到部署應用，安全產品防護性能和防護效果可滿足IPv6環境下的安全防護要求。IPv6 安全產品發展成熟階段：IPv6 安全產品具備相對完善的功能性能，并與大數據分析、人工智能等安全賦能技術

65、深度融合，實現安全產品核心技術創新突破和防護效能質的提升?？傮w來看，現階段盡管我國以防火墻、WAF、IDS/IPS 等為代表的安全產品已加緊支持 IPv6 協議解析等基本功能，但在支持產品功能多樣性、產品性能等方面，仍滯后于 IPv6 環境下的安全能力需求，中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 33 特定類型的安全產品缺失也將對下一代互聯網建設過程中的安全保障帶來深遠影響，如表 3.2 所示。表表 3.2 常見安全產品缺失常見安全產品缺失對對 IPv6 安全保障工作的安全保障工作的影響影響 安全產品 缺失影響 防火墻 基礎防御屏障缺失 抗 DDoS 高容量 DD

66、oS 攻擊應對能力不足 IDS/IPS 無法有效識別、響應、處置 IPv6 攻擊入侵事件 WAF 網絡應用安全難以保障，難以防御典型 Web 攻擊 身份識別與訪問控制 無法實施有效的用戶身份識別和網絡信息管理 漏洞掃描 缺乏自動化的漏洞識別和發現能力 安全審計 難以有效追蹤發現 IPv6 異常事件 2、IPv6 安全問題未充分暴露安全問題未充分暴露，制約安全服務發展步伐，制約安全服務發展步伐 在 IPv4 環境下，依托代碼審計、漏洞挖掘等網絡安全服務能有效發現和識別企業業務開發、運維等各環節存在的安全隱患，助力企業安全能力提升。目前，我國基礎網絡、政企和商業網站等已具備各項 IPv6 業務支持

67、能力，但 IPv6 網絡和應用仍未大規模投入使用，導致 IPv6 安全問題未充分暴露，現有網絡安全服務 IPv6 驗證環境的缺失也將導致 IPv6 應用代碼缺陷、安全漏洞等安全問題不能得到全面和深入的驗證，如表 3.3 所示。表表 3.3 常見安全服務缺失常見安全服務缺失對對 IPv6 安全保障工作安全保障工作影響影響 安全服務 缺失影響 安全集成 系統工程建設過程中違規行為無法發現，埋下未知安全隱患 運維服務 難以發現 IPv6 網絡、應用、設備中可能存在安全管理風險 維保服務 難以發現 IPv6 設備安全管理風險 代碼審計 難以發現 IPv6 相關應用中可能存在代碼設計缺陷 教育培訓 相關

68、工作人員 IPv6 安全知識技能難以得到有效提升 滲透測試 難以有效識別和發現 IPv6 相關資產潛在安全漏洞等隱患 漏洞挖掘 風險評估 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 34 3、“IPv6+網絡安全網絡安全”復合型”復合型專業技術人才缺失專業技術人才缺失 當前，我國網絡安全學科教育年度培養規模約 1 萬人左右，且普遍存在從業人員知識儲備、技能等方面短板，重要行業和領域網絡安全運維保障、監管執法等人才短缺等現實問題35。在網絡安全人才緊缺的大背景下，一方面，IPv6 新環境下網絡安全專業人員正面臨嚴峻挑戰。IPv6 環境下引入擴展頭攻擊、NDP 攻擊等安全

69、新威脅，給企業安全技術人員帶來新的挑戰。安全專業人員的IPv6知識儲備不足，將引發無法充分認識和理解 IPv6 安全問題，無法有效應對 IPv6 安全防護需求等現實問題。另一方面，大量運維人員缺乏 IPv6 安全相關知識和經驗。盡管我國早在 2003 年已將 IPv6 發展提上日程，但早期對 IPv6 的研究多集中在教育網等相對封閉的環境中，企業運維人員未能第一時間接觸 IPv6 業務運營、維護等實際業務環境，現有 IPv4安全知識和經驗難以直接應用到 IPv6 環境中，導致 IPv6 相關業務的運維工作存在安全隱患，大量弱防甚至不設防的 IPv6 協議棧成為攻擊者實施網絡攻擊的新突破口。四、

70、保障下一代互聯網安全有序發展的建議 我們正處于全球信息通信技術加速創新變革、信息基礎設施加速演進升級的戰略機遇期。加快推進 IPv6 規模部署，構建高速率、廣普及、全覆蓋、智能化的下一代互聯網，已成為我國實現網絡技術突破、基礎設施升級和應用服務創新的關鍵舉措。我國在大力推動下一 35 參考文獻：網絡安全產業白皮書（2018）。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 35 代互聯網建設的同時，已同步開展 IPv6 網絡安全保障工作。盡管 IPv6網絡安全風險逐漸顯現，但我國下一代互聯網建設新環境下網絡安全攻防也大體處于同一起跑線，IPv6 安全挑戰和機遇并存的局面已

71、經形成。因此，未來應高度重視下一代互聯網的演進升級過程中出現的安全新挑戰，加快構建各方參與、有機互補的協同工作機制，聯合我國政產學研多方力量，加快推動 IPv6 安全產品和服務研發、推廣、部署、應用，為筑牢下一代互聯網安全防線提供核心能力保障，建立創新發展機制、加強專業人才實力，加快形成下一代互聯網安全防御閉環，切實保障下一代互聯網安全、有序發展，如圖 4.1 所示。圖圖 4.1 IPv6 網絡網絡安全協同工作機制安全協同工作機制（一）主動布局（一）主動布局 IPv6 安全產品服務安全產品服務和和安全實踐推廣安全實踐推廣 有效、可靠的安全產品和服務是筑牢下一代互聯網安全防線的關鍵基石。安全企業

72、應加快主動布局 IPv6 安全產品服務，推動 IPv6 安全實踐研發推廣，針對性地強化 IPv6 安全保障能力，如表 4.1 所示。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 36 表表 4.1 加快研發推廣的加快研發推廣的 IPv6 安全產品和服務清單安全產品和服務清單 類別 細分類別 產品/服務 IPv6 環境下安全功能升級 安全產品安全產品 安全防護安全防護 防火墻 支持 IPv6 安全策略配置，IPv6 數據量監測、分析和過濾，IPv6 網絡內部結構、運行狀況信息屏蔽等 IDS/IPS 識別和防御 IPv6 網絡攻擊入侵事件 WAF IPv6 數據包分析校驗，

73、用戶請求掃描過濾，異常數據包阻斷隔離等 漏洞掃描 IPv6 安全漏洞自動化識別和發現 抗 DDoS IPv6 網絡攻擊流量的識別和過濾 安全服務安全服務 安全集成安全集成 安全集成服務 一站式 IPv6 安全升級改造服務 安全運維安全運維 運維服務 IPv6 安全評估、監控和安全響應等 維保服務 IPv6 安全設備的故障排除、隱患排查和組件更換等 滲透測試 IPv6 網絡、系統、應用等漏洞的探測挖掘 安全咨詢安全咨詢 教育培訓 針對 IPv6 的安全知識和技能培訓 在安全產品方面，防火墻：作為 IPv6 環境下基礎安全屏障，是下一代互聯網安全防線的核心組成部分。防火墻可借助軟硬件作用于 IPv

74、6 網絡間，通過監測、限制、處置跨越防火墻的數據流，對內根據安全策略配置過濾 IPv6 環境下非法數據流，實現對風險連接的訪問阻斷，對外屏蔽 IPv6 網絡內部結構、運行狀況等信息，保障 IPv6 環境下內部網絡與外部網絡、專用網絡與公共網絡間隔離和安全。此外，IPv4/IPv6 過渡期翻譯機制成熟的安全防護策略也需依托防火墻配置，實現過渡期安全防護相關功能。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 37 IDS/IPS：面臨 IPv6 網絡攻擊事件時，對攻擊入侵活動的識別和防御尤為重要。IDS/IPS 可對網絡活動進行實時監測，在從網絡關鍵節點收集網絡、系統、用戶

75、等相關信息的基礎上，通過模式匹配、統計分析等技術手段對收集到的信息進行分析，發現和識別已知 IPv6攻擊入侵活動等異常網絡行為，進而中斷、隔離異常網絡行為，具備入侵防護、流量控制等多種安全功能的同時，可根據異常網絡行為的性質、類型等特征，做出相應的告警、響應、處置等。WAF：海量行業網站是 IPv6 升級改造的重要對象，在全面支持 IPv6 訪問的同時，也對 IPv6 環境下網站安全防護提出新需求。WAF 作為網站應用安全防護屏障，可通過特征提取和分塊檢索技術進行特征匹配，提供針對 HTTP/HTTPS 訪問 Web 應用等安全防護功能，在用戶請求到達 Web 服務器前，進行掃描和過濾，分析校

76、驗相關數據包，對異常數據包進行阻斷或隔離，確保每個用戶請求有效且安全，可有效防范 IPv6 環境下 Web 應用攻擊、DDoS 攻擊等。漏洞掃描：基于漏洞數據庫、特征庫等，通過遠程、本地等掃描方式，對網站、主機、端口、應用等安全脆弱性進行檢測，發現和識別已知安全漏洞，指導針對網絡和系統單元快速掌握安全狀態、修復相關漏洞。隨著 IPv6 相關業務的相繼部署上線，IPv6 安全漏洞也將呈現出逐漸增多的趨勢，對 IPv6 安全漏洞的自動化掃描和修復，將成為識別發現潛在網絡安全隱患、切實提高網絡安全防護能力關鍵?？?DDoS：盡管防火墻、IDS/IPS 等安全設備自身已具備 DDoS攻擊安全防護功能，

77、但多通過控制數據訪問速率、隨機丟棄數據包等筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 38 形式，存在因設備負荷壓力劇增導致無法正常工作的可能。未來，隨著 IPv6 業務的相繼部署上線，IPv6 網絡攻擊事件逐漸顯現的同時，IPv6 網絡攻擊流量將持續增長，抗 DDoS 安全產品本身具備強負荷環境下高效的 DDoS 攻擊防范能力，在面對 IPv6 環境下高容量 DDoS攻擊時具有天然的安全防護優勢。在安全服務方面，安全集成服務：采用技術整合、功能整合、數據整合、模式整合、業務整合等技術手段，將各個分離的設備、軟件和信息數據等要素集成到相互關聯的網絡信息系統中，使系統安

78、全功能和性能符合使用要求，實現集中、高效、便利的安全管理。隨著 IPv6 規模部署工作的持續推進，系統集成服務相關機構可提供一站式 IPv6 安全升級改造服務，助力海量網站和系統加快開展 IPv6 升級改造工作。運維服務：對委托安全運維服務的企業涉及的網絡、應用、設備等不同主體進行安全管理，主要包括安全評估、監控、安全響應等，以降低安全隱患發生可能性，提高安全事件應急響應能力?，F階段，由于企業運維人員相對缺乏 IPv6 安全知識和技能，選擇合適的 IPv6安全運維服務或將在一段時間內成為企業保障IPv6業務安全的關鍵。維保服務：企業購買維保服務后，通過遠程、駐場等方式對維保期內的網絡和安全設備

79、涉及的軟硬件提供技術支持，服務主要內容包括故障解除、隱患排查、組件更換等，降低設備故障對業務的影響，滿足設備高效、穩定的運行需求。在企業開展 IPv6 升級改造過程中，新部署應用的網絡和安全設備具備支持 IPv6 的能力的同時，也將為中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 39 IPv6 網絡和安全設備的維保服務發展帶來契機。滲透測試：滲透測試是依托第三方服務機構的安全技術人員，針對服務網絡和系統進行入侵事件進行模擬演練的一種網絡安全服務形式。隨著 IPv6 相關網絡和系統的相繼上線，滲透測試可通過模擬攻擊行為對新上線的 IPv6 網絡和系統進行探測和挖掘，識別和

80、發現安全隱患，測試和驗證安全防護能力，形成滲透測試結果，助力提升 IPv6 環境下網絡和系統安全能力。教育培訓：主要包括安全技術教育培訓、安全管理教育培訓等多種形式，旨在提升相關工作人員網絡安全知識水平和技術能力，規范企業業務開發、運行、維護流程，降低發生網絡安全事件的可能的同時，強化各類安全事件技術應對能力，尤其是針對現階段 IPv6 專業技術人才缺失現狀，IPv6 安全教育培訓已經成為提升相關人員安全知識技能不可或缺的環節。（二）（二）按需求、分場景落實按需求、分場景落實 IPv6 安全產品服務部署安全產品服務部署 企業應結合自身網絡和業務場景的 IPv6 安全需求，加快 IPv6 安全產

81、品和服務部署應用，落實按需求、分場景的精細化 IPv6 安全防護體系，如圖 4.2 所示。安全產品和服務類別 典型業務場景典型業務場景 融合應用場景融合應用場景 骨干網絡 LTE 網絡 IDC CDN DNS 云 5G 融合 物聯網融合 安全產品 防火墻 IDS/IPS WAF 漏洞掃描 抗 DDoS 身份識別與訪問控制 安全審計 安全服務 安全集成服務 運維服務 維保服務 滲透測試 風險評估 代碼審計 漏洞挖掘 教育培訓 圖例：增強安全防護措施 基本安全防護措施 可選安全防護措施 圖圖 4.2 場景化場景化 IPv6 安全防護措施落實表安全防護措施落實表中國信息通信研究院 筑牢下一代互聯網安

82、全防線IPv6 網絡安全白皮書 41 其中，IPv6 環境典型業務場景重點安全需求包括：骨干網業務場景：作為承載各項互聯網業務的動脈，骨干網絡由路由、網關等各類硬件設備組成。當前，骨干網 IPv6 安全防護能力仍處于同步建設階段，一旦硬件設備遭受網絡攻擊或存在安全問題，將直接影響 IPv6 相關業務的安全開展，可能引發“一點突破、全網皆失”的嚴重后果，硬件設備安全已成為保障骨干網絡安全核心因素。LTE 網絡業務場景：與骨干網絡類似，目前針對 LTE 網絡的IPv6 升級改造依托核心網相關設備進行，硬件設備安全同樣是保障LTE 網絡安全的關鍵。此外，LTE 網絡存在海量移動終端，由于無線通信鏈路

83、的脆弱性，可能存在非法接入、仿冒攻擊等安全風險，應同樣重視因移動終端安全隱患引發的 LTE 網絡安全風險的防范和應對。IDC 業務場景：隨著 IPv6 升級改造工作持續推動，IDC 數據信息海量化、存儲服務集約化等特點也將逐漸向 IPv6 環境遷移。同時，作為海量數據存儲、交互的中心，IPv6 環境下 IDC 可能面臨來自內部和外部的網絡攻擊，尤其需要對 DDoS 攻擊、Web 類應用被掛馬、蠕蟲病毒入侵，以及由于對 IDC 網絡進行維護不恰當等原因導致的安全風險進行重點應對。CDN 業務場景：隨著互聯網應用相繼完成 IPv6 升級改造，視頻、直播等大流量業務逐步部署上線，CDN 憑借其靜態、

84、動態內容加速服務功能，可保障大流量業務的高效開展。在 IPv6 環境下，系統部署防入侵防攻擊措施不到位，可能導致攻擊者從外網滲透進內網系筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 42 統；請求路由系統的域名解析安全機制缺陷，也可能引發 CDN 分發信息被劫持或重定向等。此外，動態內容通常仍由源服務器存儲，在傳輸過程中由于缺乏適當的安全機制，可能被注入攻擊流量，應著重強化針對 CDN 的流量型攻擊應對能力。DNS 業務場景：在 IPv6 環境下，DNS 在向用戶主機返回域名解析結果的同時，也會在日志中記錄存儲海量用戶主機/聯網終端的真實 IPv6 地址36，因此，攻擊

85、者若想獲得用戶地址，將選擇 DNS 作為 IP 地址掃描探測的首選目標37，對其實施入侵破解、DDoS 攻擊、DNS 緩存投毒等針對性的攻擊手段。云平臺業務場景：目前，各行業領域存在海量網站依托云托管的模式開展 IPv6 升級改造工作。隨著云托管網站 IPv6 升級改造工作的相繼完成，云平臺面臨的來自應用、網絡等層面的安全威脅將逐漸凸顯，其安全問題也將持續輻射延伸，造成云托管網站無法正常訪問等不良影響，云平臺安全能力已成為新環境下保障網站安全的關鍵。典型新技術融合場景安全需求具體包括：5G 融合應用場景：5G 應用場景中，硬件、應用、網絡等層面本身存在安全風險，例如，海量終端設備存在的安全認證

86、風險、多種傳輸模式帶來的網絡攻擊風險、業務開放能力引發的隱私保護風險等。IPv6 與 5G 的融合應用，也將放大各類 5G 安全風險，應根據 5G 安全風險類型，重點強化網絡、數據、設備等層面安全能力。36 IPv4 環境，DNS 僅需存儲公有地址。37 IPv6 環境下，原有對全球 IPv4 地址進行全量掃描的方法已經失效，攻擊者主要通過攻擊遞歸 DNS 服務獲取互聯網資產情報，進而實施精準的地址掃描、網絡攻擊等。中國信息通信研究院 筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 43 物聯網融合應用場景：IPv6 與物聯網融合場景下，海量物聯網終端直接暴露在互聯網下。部分物聯網終端本身存

87、在安全漏洞、非法接入等安全隱患，與 IPv6 的融合應用將導致現有物聯網終端安全風險持續擴大。未來，應重點強化各類物聯網終端安全防護能力，以及因終端安全隱患引發的各類安全問題的應對能力。（三）構建（三）構建 IPv6 安全創新機制，強化安全創新機制，強化 IPv6 風險防范能風險防范能力建設力建設 一是推動建設聯合創新中心，強化IPv6融合場景安全技術應對。聯合產學研各界力量，推動成立 IPv6 安全聯合創新中心，促進產學研用有機聯動，深入挖掘 5G、物聯網等新技術與 IPv6 融合場景下存在的未知安全風險，持續開展 IPv6 融合場景下安全風險應對技術研究，強化 IPv6 融合場景安全技術儲

88、備。二是加快 IPv6 核心安全技術研究，構建下一代互聯網安全體系架構。根據 IPv6 升級改造情況，加快開展 IPv6 環境下編址語義、路由控制等基礎資源管理核心技術研究，強化 IPv6 源地址管控、攻擊溯源等網絡安全手段探索研究，探索 IPv6 上網日志留存、數據報文解析等網絡安全手段，進一步構建完善下一代互聯網安全體系架構。三是加快構建 IPv6 安全產品測試環境，強化 IPv6 安全產品孵化。綜合考慮 IPv6 安全產品發展現狀，堅持“企業主體、多方合作”的工作原則，推動構建 IPv6 安全產品孵化平臺和測試環境，加快在研 IPv6 安全產品孵化，優先孵化一批下一代互聯網緊缺的 IPv

89、6 安全產品的同時，驗證當前 IPv6 安全產品應用性能。筑牢下一代互聯網安全防線IPv6 網絡安全白皮書 中國信息通信研究院 44（四）強化（四）強化 IPv6 安全知識技能培訓，彌安全知識技能培訓，彌合合 IPv6 安全安全人人才差距才差距 一是加強 IPv6 安全知識和技能培訓，提升 IPv6 相關工作人員安全能力。依托安全大會、安全培訓等方式，重點面向政府、高校、中央企業、中央媒體等 IPv6 相關工作人員，加快開展 IPv6 網絡安全教育和培訓，助力 IPv6 環境下安全能力提升。二是開展 IPv6 網絡安全攻防競賽，強化 IPv6 網絡安全人員實戰能力。根據 IPv6 業務發展情況，鼓勵相關科研機構搭建 IPv6 實際業務運行環境，開展 IPv6 環境下重點行業和領域網絡安全攻防競賽，提升網絡安全人員實戰能力。三是強化 IPv6 網絡安全專業人才培養，滿足新環境下人才需求。建立健全多層次人才培養，著力加強 IPv6 網絡安全研究、管理、服務、工程等環節安全專業人才培養，彌補 IPv6 新業務、新場景下網絡安全專業人才缺口。