2019年1月，中國(guó)人民銀行聯(lián)合中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)、中國(guó)證券監(jiān)督管理委員會(huì)印發(fā)了《關(guān)于金融行業(yè)貫徹〈推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃〉的實(shí)施意見》，提出了金融行業(yè)IPv6規(guī)模部署的規(guī)劃和推進(jìn)路徑，金融行業(yè)IPv6規(guī)模部署工作穩(wěn)步有序推進(jìn)。

目前，已有部分機(jī)構(gòu)的部分系統(tǒng)實(shí)現(xiàn)了IPv4向IPv6的平滑過(guò)渡。

進(jìn)入后IPv4時(shí)代的金融行業(yè)網(wǎng)絡(luò)安全亟待加強(qiáng)。

　　安全挑戰(zhàn)　　IPv6是數(shù)據(jù)包交換互聯(lián)網(wǎng)絡(luò)的網(wǎng)絡(luò)層協(xié)議，由互聯(lián)網(wǎng)工程任務(wù)小組設(shè)計(jì)用來(lái)替代IPv4協(xié)議，主要用于尋址和路由。

作為下一代網(wǎng)絡(luò)協(xié)議，IPv6在安全性方面較IPv4具有明顯的優(yōu)勢(shì)。

有巨大的地址空間；由多播代替廣播；具有IPSec加密系統(tǒng)。

但是任何一項(xiàng)協(xié)議都不是絕對(duì)安全的。

隨著金融行業(yè)IPv6的規(guī)模部署，新的安全挑戰(zhàn)出現(xiàn)。

從網(wǎng)絡(luò)協(xié)議角度，IPv6作為IPv4的下一代，與IPv4同屬于網(wǎng)絡(luò)層的傳輸協(xié)議，其原理是相似的，必然要面對(duì)從IPv4繼承來(lái)的一些安全問(wèn)題。

同時(shí)在IPv4向IPv6的改造過(guò)程中，各種過(guò)渡技術(shù)與方案的安全隱患也不容忽視。

　　（一）IPv6新增安全問(wèn)題。

IPv6報(bào)文結(jié)構(gòu)中引入的新字段、IPv6協(xié)議族中引入的新協(xié)議都將可能引發(fā)新的安全問(wèn)題。

一是利用擴(kuò)展頭進(jìn)行拒絕服務(wù)攻擊。

為了提高路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的效率，IPv6設(shè)計(jì)了擴(kuò)展報(bào)頭取代了IPv4的選項(xiàng)。

但是IPv6數(shù)據(jù)包可以支持任意數(shù)量的擴(kuò)展頭，而且不限長(zhǎng)度。

IPv6路由器在處理包含IPv6擴(kuò)展頭的數(shù)據(jù)包的過(guò)程中，唯一要處理的就是逐跳選項(xiàng)擴(kuò)展報(bào)頭。

如果此時(shí)攻擊者發(fā)送大量的擴(kuò)展頭，那么路由器就會(huì)花費(fèi)大量的時(shí)間和速率來(lái)處理擴(kuò)展頭，導(dǎo)致性能下降，產(chǎn)生拒絕服務(wù)攻擊行為。

二是地址欺騙攻擊。

IPv6使用的是鄰居發(fā)現(xiàn)協(xié)議(NS)來(lái)發(fā)現(xiàn)其他節(jié)點(diǎn)和相應(yīng)地址。

在節(jié)點(diǎn)之間進(jìn)行初次適配時(shí)會(huì)發(fā)送NS報(bào)文，此時(shí)的NS報(bào)文中包含有節(jié)點(diǎn)對(duì)應(yīng)的地址。

攻擊者如果在這個(gè)時(shí)候偽造對(duì)應(yīng)的NS報(bào)文，并返回此地址已經(jīng)被使用的報(bào)文給發(fā)送節(jié)點(diǎn)，那么節(jié)點(diǎn)將會(huì)被迫更換地址。

通過(guò)持續(xù)攻擊，節(jié)點(diǎn)將無(wú)法完成地址適配，從而無(wú)法進(jìn)行正常通信。

三是IPSec漏洞攻擊。

在部署有IPSec的設(shè)備之間通信時(shí)，內(nèi)容在整個(gè)傳輸過(guò)程中是透明的，沒(méi)有密鑰是無(wú)法獲知內(nèi)容的。

而一旦竊聽者通過(guò)某種途徑獲取了密碼時(shí)，那么這個(gè)時(shí)候傳輸數(shù)據(jù)將被順利獲取，對(duì)信息安全造成威脅。

四是IPv6分片攻擊。

IPv6在在處理數(shù)據(jù)的過(guò)程中會(huì)丟棄小于1280字節(jié)的數(shù)據(jù)包，同時(shí)引入入侵檢測(cè)系統(tǒng)，此舉可以有效避免可能進(jìn)行的分片攻擊。

但是攻擊者仍然可以在數(shù)據(jù)進(jìn)行分片時(shí)進(jìn)行重組然后打亂，此時(shí)監(jiān)測(cè)系統(tǒng)就不會(huì)識(shí)別出正確順序，攻擊數(shù)據(jù)將會(huì)趁機(jī)而入。

攻擊者也可以故意不發(fā)送數(shù)據(jù)包中的一部分分片包或者故意發(fā)送多個(gè)分片包，從而耗盡內(nèi)存資源導(dǎo)致系統(tǒng)崩潰。

　　（二）IPv4向IPv6過(guò)渡期安全問(wèn)題。

當(dāng)前金融行業(yè)正逐步實(shí)施由IPv4向IPv6的過(guò)渡，IPv4將在一段時(shí)期內(nèi)與IPv6共存。

金融行業(yè)在過(guò)渡時(shí)期采用的技術(shù)方案主要有雙棧技術(shù)、隧道技術(shù)和NAT地址轉(zhuǎn)換，這三種技術(shù)也為金融行業(yè)網(wǎng)絡(luò)安全帶來(lái)新的問(wèn)題。

雙棧技術(shù)同時(shí)運(yùn)行IPv4和IPv6兩個(gè)邏輯通道，增加了系統(tǒng)的暴露面，需要在防火墻等安全設(shè)備配置雙棧策略，維護(hù)風(fēng)險(xiǎn)加倍，網(wǎng)絡(luò)防火策略更加復(fù)雜，網(wǎng)絡(luò)被侵入的可能性加倍。

隧道技術(shù)缺乏內(nèi)置認(rèn)證、完整性和加密等安全功能，僅對(duì)數(shù)據(jù)包進(jìn)行簡(jiǎn)單的封裝與解封操作，內(nèi)置認(rèn)證不足，缺乏安全保障，不會(huì)對(duì)IPv4及IPv6的地址關(guān)系進(jìn)行嚴(yán)格檢查，導(dǎo)致隧道報(bào)文容易泄露，并通過(guò)對(duì)內(nèi)層及外層地址的偽造，以合法用戶的形式向隧道注入流量。

NAT地址轉(zhuǎn)換的應(yīng)用使IP流在不同協(xié)議間轉(zhuǎn)換，涉及載荷轉(zhuǎn)換，易形成NAT設(shè)備地址池消耗殆盡等問(wèn)題，導(dǎo)致DDoS攻擊問(wèn)題。

出口邊緣的翻譯設(shè)備作為IPv6與IPv4互連節(jié)點(diǎn)，成為NAT的安全瓶頸，一旦被攻擊可能導(dǎo)致網(wǎng)絡(luò)癱瘓。

　　應(yīng)對(duì)措施　　IPv6設(shè)計(jì)了一系列安全機(jī)制，促使網(wǎng)絡(luò)安全性得到了提升。

但在認(rèn)識(shí)到IPv6安全性優(yōu)勢(shì)的同時(shí)，金融行業(yè)還應(yīng)關(guān)注IPv6存在的安全問(wèn)題，深入研究IPv6的技術(shù)特點(diǎn)，針對(duì)各種可能的安全威脅，改進(jìn)完善技術(shù)手段，建立健全防范機(jī)制，繼而提升IPv6在經(jīng)濟(jì)金融領(lǐng)域深度融合的安全保障能力。

　　（一）提高安全意識(shí)。

金融行業(yè)要強(qiáng)化風(fēng)險(xiǎn)控制意識(shí)，堅(jiān)持發(fā)展與安全并舉，推進(jìn)IPv6規(guī)模部署與網(wǎng)絡(luò)安全同步規(guī)劃、同步建設(shè)、同步運(yùn)行。

統(tǒng)籌考量基礎(chǔ)設(shè)施層、應(yīng)用層和業(yè)務(wù)層的安全防護(hù)，強(qiáng)化縱深防御體系，在各平面采取措施加強(qiáng)安全漏洞管理，防范IPv6升級(jí)改造引發(fā)的安全生產(chǎn)風(fēng)險(xiǎn)。

　　（二）加強(qiáng)行業(yè)溝通。

通過(guò)金融行業(yè)之間、金融行業(yè)與信息產(chǎn)業(yè)之間的聯(lián)合發(fā)力，及時(shí)掌握IPv6技術(shù)動(dòng)態(tài)與行業(yè)、產(chǎn)業(yè)發(fā)展?fàn)顩r，分享IPv6改造防護(hù)經(jīng)驗(yàn)，借助優(yōu)秀企業(yè)的技術(shù)實(shí)力，不斷學(xué)習(xí)、吸收先進(jìn)的防護(hù)技術(shù)和理念。

分工開展各類IPv6軟硬件基礎(chǔ)設(shè)施在金融行業(yè)的測(cè)試工作，降低金融行業(yè)IPv6產(chǎn)品應(yīng)用重復(fù)試錯(cuò)成本。

　　（三）保障經(jīng)費(fèi)投入。

金融行業(yè)要?jiǎng)潛軐ｍ?xiàng)費(fèi)用用于網(wǎng)絡(luò)設(shè)備升級(jí)換代，采購(gòu)相應(yīng)的防護(hù)服務(wù)。

確保路由器、防火墻和入侵檢測(cè)系統(tǒng)軟硬件功能、性能適應(yīng)IPv6的安全需要。

同時(shí)經(jīng)費(fèi)投入要滿足針對(duì)IPv6網(wǎng)絡(luò)開展的網(wǎng)絡(luò)安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等工作的需要。

　　（四）做好技術(shù)防護(hù)。

金融行業(yè)對(duì)于引入IPv6后網(wǎng)絡(luò)安全領(lǐng)域出現(xiàn)的新問(wèn)題，有針對(duì)性地采用靜態(tài)配置隧道、密碼生成地址、擴(kuò)展頭合法性檢查、網(wǎng)絡(luò)層加密、關(guān)閉不必要服務(wù)端口、細(xì)化邊界設(shè)備過(guò)濾規(guī)則、防范翻譯設(shè)備DDoS攻擊等策略、方式確保業(yè)務(wù)連續(xù)性能力和安全保護(hù)能力不低于原有水平。