发布时间:2025-04-09 05:48
互联网和谈第6版(IPv6)的成长是互联网向下一代演进的主要环节,是支持经济高质量成长的支点,也是将来博得国际合作的需要前提。和国务院高度注沉下一代互联网成长,国度“十三五”规划纲要、国度消息化成长计谋纲要等,都把超前结构下一代互联网和全面向IPv6演进升级做为首要使命。2021年,地方网信办、国度成长委、工业和消息化部印发《关于加速推进互联网和谈第六版(IPv6)规模摆设和使用工做的通知》,明白了“十四五”期间深切推进IPv6规模摆设和使用的次要方针、沉点使命和时间表。同年,工业和消息化部、地方网信办印发《IPv6流量提拔三年专项步履打算(2021—2023年)》,提出到2023岁尾,实现挪动收集IPv6流量占比跨越50%,固定收集IPv6流量规模达到2020岁尾的3倍以上等方针。2023年,工业和消息化部、地方网信办、国度成长委、教育部、交通运输部、人平易近银行、国务院国资委、国度能源局等八部分结合印发《关于推进IPv6手艺演进和使用立异成长的实施看法》,提出“建立IPv6演进手艺系统”“强化IPv6演进立异财产根本”“加速IPv6根本设备演进成长”“深化‘IPv6+’行业融合使用”“提拔平安保障能力”等五方面的沉点使命。此文件的发布,标记着我国IPv6规模摆设和使用工做进入到以手艺立异和使用为从的新期间。银行业高度注沉IPv6收集平安扶植,特别门户和面向互联网供给营业办事的使用系统,均已支撑通过IPv6拜候。通过纵深防护系统和平安运营系统的成立取完美,其IPv6收集平安防护能力已大幅提拔。取此同时,银行业机构也面对着一系列新的挑和:各项IPv6防护办法能否无效、能否存正在需要改良提拔的IPv6范畴、若何进一步提拔本身IPv6平安防护实和程度等。
跟着银行业平安运营系统和纵深防御系统扶植日趋完美,平安检测防护系统的复杂度也急剧提拔。平安检测防护系统以各区域的平安监测取防护设备为根本,依赖各设备设置装备摆设的平安策略,以做到对及时监测、恶意流量阻断、及时报警、行为联系关系阐发等。银行业机构表里部营业流程复杂、使用版本更新屡次,已有的测试无法完全对出产的全数架构进行模仿,若是呈现平安策略变动错误、已有防护策略被绕过、设备告警存正在大量误报等环境,不只会导致平安防护策略失效,以至会影响出产营业系统平安不变运转。研究发觉,正在实和化收集平安攻防中,大都未能无效发觉事务的缘由全体归纳为已有平安策略设置装备摆设不妥、平安设备机能不脚、设备告警日记丢失、防护笼盖度不脚等环境,各范畴问题列举如下。银行业外部资产因未及时设置装备摆设或脱漏等缘由,导致不正在平安防护范畴内的环境较为常见,两地三核心或多个机房从备模式下,备用模式无现实防护机制、设备仅具备IPv4无IPv6防护策略、策略变动同步实施不完美,导致绕过平安防护机制的环境多有发生。经调研阐发,行业内存正在收集流量阐发设备NTA、入侵防御设备IPS、Web使用防护设备WAF等,因流量镜像不全导致检测笼盖缺失,如贫乏IPv6的营业流量,或因设备机能不脚导致丢包的现象,如设备对IPv6流量解析存正在不脚,以及加密地道或东西导致流量无法检测婚配的问题,从而存正在径盲区,使得平安运营人员无法及时发觉和阻断者,进而扩大影响。正在银行业的从动化平安运营中,需通过连系恶意行为、谍报等消息对面向互联网的IPv4/IPv6地址进行无效封禁,阻断其恶意行为。因封禁体例(防火墙、旁阻断设备)和两地三核心收集架构的分歧,难以实现封禁策略的全量笼盖,可能存正在封禁时间延迟或IPv4/IPv6封禁失效等问题,如IPv6格局支撑不脚导致的封禁失效。从机入侵检测系统HIDS或雷同产物可能贫乏对内存马的检测能力,或者因为产物设置装备摆设不完美而未诸如反弹shell、号令施行等监测功能,以及可能存正在升级后的检测策略失效的环境。防病毒系统可能因策略设置装备摆设缘由、系统软件功能BUG、云查杀收集欠亨等环境,导致呈现病毒及时监测查杀模块失效、查杀能力降低的环境。邮件平安网关对外部垂钓邮件、垃圾邮件能否有比力完整的检测能力或拦截法则,邮件DLP系统对数据外发能否存正在检测拦截的脱漏,需要正在日常平安运营过程中不竭提拔和加固。因而,若何实现从动化、实和化、常态化的平安策略无效性验证,自动发觉防护策略失效的盲区,特别是IPv6相关的检测取防护策略的无效性,是银行业机构平安运营需关心的主要问题之一。(2)靶机,即被的对象,靶机上无任何实正在出产营业,但摆设有和实正在分歧的平安检测防护软件,通过正在分歧平安区域摆设实正在靶机,用于验证分歧场景下平安策略设置装备摆设的无效性,同时适配Windows、Linux、XC等分歧。(3)办事端,即后台办事节点,正在运管区摆设验证平台办事端,同一对接平安运营办理核心NGSOC或按需间接取平安设备对接。通过设备告警日记和端发送的数据包进行比对,获取验证成功或失败的成果,最初排检验证失败的缘由,并进行问题,以便于消弭风险亏弱点。无效性验证平台摆设架构(如图所示)。正在日常无效性验证中,例如针对互联网接入区的各类平安设备,平安无效性验证平台公网靶机倡议验证使命,收集平安设备对外部IPv4/IPv6流量及时监测,设备发生的告警日记同步发至平安运营办理核心NGSOC,验证平台后端日记解析节点取NGSOC日记办事器对接,通过将倡议的测试用例取收到的设备日记进行比对,构成闭环验证机制,确保验证的精确性、无效性、持续性。
验证场景设想次要包含收集平安、从机平安、终端平安、邮件平安、HW场景等五个范畴,涵盖总分行及各办公园区,场景设想(如表1所示),包含如下。
(1)收集平安验证场景,包含鸿沟防护类设备和旁镜像流量检测类设备两部门;鸿沟防护类设备,包罗如入侵防御设备IPS、Web平安防护设备WAF等;旁镜像流量检测设备,包罗如Web入侵检测设备、高级持续性监测设备APT、全流量阐发设备TSA等。(2)从机平安验证场景,包含从机办事器层面的平安检测取防护类设备,如从机入侵检测系统HIDS、从机防病毒系统等。我行通过摆设基于IPv6的平安策略无效性验证平台,对各类平安设备系统和法则策略开展实和化、常态化、从动化的无效性验证,及时发觉存正在问题,针对性策略调优、完美,逐渐建立事前全面查验平安策略无效性、事中突击查验应急响应措置无效性、过后持续优化改良并进行复合验证的全周期平安防护能力。平安验证使命示例,通过对平安防护能力的持续无效性验证,平安运营人员能够发觉纵深防御系统的亏弱环节及深条理问题(如表2所示),如防护设备未笼盖所有资产、平安设备IPv6策略未同步、IPv6检测模块失效等,被发觉时可能已发生不良后果。
跟着IPv6摆设取系统复杂度的提拔,平安防御系统的办理难度也随之提拔。对于IPv6防御系统的无效性验证,若是没有从动化的验证东西辅帮或持续性的验证,平安防御系统的无效性验证也将成为一个难题。我行基于IPv6的平安策略无效性验证,实现平安设备验证的笼盖面可控、勾当的可持续、过程的可视化。基于行业IPv6摆设现状,目前通过平安无效性验证平台可完成互联网接入区、互联网DMZ等区域的平安设备基于IPv6策略的无效性验证。跟着IPv6摆设工做的持续推进,基于IPv6的平安策略无效性验证将笼盖表里网各个平安区域。无论BAS仍是其他模仿手艺,若何顺应日新月异的手艺取IPv6营业,建立出完整的面向企业现实场景的防御无效性验证,仍需要无数平安人的持续勤奋,我行也会持续跟进将来智能化IPv6无效性验证手艺的成长趋向不竭摸索实施径。
