加强金融行业网络安全

本篇文章2198字，读完约5分钟

2019年1月，中国人民银行会同中国银行保险监督管理委员会、中国证券监督管理委员会发布了《金融行业实施推进ipv6规模部署行动计划实施意见》，提出了金融行业ipv6规模部署的规划和推进路径，金融行业ipv6规模部署稳步有序推进。目前，一些组织的一些系统已经实现了从ipv4到ipv6的平稳过渡。后ipv4时代金融业的网络安全亟待加强。

安全挑战

Ipv6是分组交换互联网的网络层协议，由互联网工程任务组设计，以取代ipv4协议，主要用于寻址和路由。作为下一代网络协议，ipv6在安全性上明显优于ipv4。空房间里有一个巨大的地址；多播而不是广播；使用ipsec加密系统。但是没有任何协议是绝对安全的。随着ipv6在金融业的大规模部署，新的安全挑战出现了。从网络协议的角度来看，ipv6作为下一代ipv4，与ipv4是同一个网络层的传输协议，其原理是相似的，因此必然会面临一些继承ipv4的安全问题。同时，在从ipv4到ipv6的转换过程中，各种过渡技术和方案的安全风险不容忽视。

(a) ipv6新的安全问题。ipv6消息结构中引入的新领域和ipv6协议家族中引入的新协议可能会导致新的安全问题。一种是使用扩展头来攻击拒绝服务。为了提高路由器转发数据包的效率，ipv6设计了扩展报头而不是ipv4的选项。但是，ipv6数据包可以支持无限长的任意数量的扩展报头。在处理包含ipv6扩展头的数据包的过程中，ipv6路由器只需要处理逐跳选项扩展头。如果攻击者此时发送大量扩展头，路由器将花费大量时间和速度来处理扩展头，从而导致性能下降和拒绝服务攻击。第二，地址欺骗攻击。Ipv6使用邻居发现协议(ns)来发现其他节点和相应的地址。ns消息将在节点之间的初始适配期间发送，此时ns消息包含对应于节点的地址。如果攻击者此时伪造了相应的ns消息，并向发送节点返回该地址已被使用的消息，则该节点将被迫更改该地址。通过不断的攻击，节点将无法完成地址适配，从而无法正常通信。第三，ipsec漏洞攻击。在部署了ipsec的设备之间进行通信时，内容在整个传输过程中是透明的，没有密钥就不可能知道内容。一旦窃听者通过某种方式获得密码，此时传输的数据将会被顺利获取，对信息安全构成威胁。第四是ipv6碎片攻击。在数据处理过程中，ipv6丢弃小于1280字节的数据包，并引入入侵检测系统，可以有效避免可能的碎片攻击。然而，攻击者仍然可以重组，然后在分割时打乱数据。此时，监控系统将无法识别正确的序列，攻击数据将趁机进入。攻击者还可以故意不发送部分分段数据包或发送多个分段数据包，从而耗尽内存资源并导致系统崩溃。

(2)从ipv4到ipv6过渡期间的安全问题。目前，金融业正在逐步实施从ipv4到ipv6的过渡，ipv4将与ipv6共存一段时间。金融业在过渡时期采用的技术方案主要包括双栈技术、隧道技术和nat地址转换，这也给金融业的网络安全带来了新的问题。双栈技术同时运行ipv4和ipv6逻辑信道，这增加了系统的暴露。它需要在防火墙和其他安全设备中配置双栈策略，这使得维护风险加倍，网络防火策略更加复杂，网络入侵的可能性加倍。隧道技术缺乏内置的认证、完整性、加密等安全功能，只对数据包进行简单的封装和解封装操作。内置身份验证不充分，并且没有安全保证。它没有严格检查ipv4和ipv6之间的地址关系，导致隧道消息容易泄漏。通过伪造内部和外部地址，流量以合法用户的形式注入隧道。nat地址转换的应用使得ip流在不同协议之间进行转换，这涉及到负载转换，容易形成nat设备地址池耗尽的问题，导致ddos攻击。作为ipv6和ipv4的互联节点，出口边缘的翻译设备成为nat的安全瓶颈，一旦遭到攻击，可能导致网络瘫痪。

回应

Ipv6设计了一系列的安全机制，提升了网络的安全性。然而，金融业在认识到ipv6安全优势的同时，也应关注ipv6存在的安全问题，深入研究ipv6的技术特点，针对各种可能的安全威胁，改进技术手段，建立健全防范机制，进而提升ipv6在经济和金融领域深度融合的安全保障能力。

(a)提高安全意识。金融业应强化风险控制意识，坚持发展与安全同步，推进ipv6规模部署和网络安全同步规划、建设和运行。要统筹考虑基础设施层、应用层和业务层的安全保护，加强纵深防御体系，采取措施加强各层面的安全漏洞管理，防范ipv6升级带来的安全生产风险。

(二)加强行业沟通。通过金融业、金融业和信息产业的共同努力，我们可以及时了解ipv6技术发展趋势、行业和行业发展状况，分享ipv6改造的保护经验，并以优秀企业的技术实力不断学习和吸收先进的保护技术和理念。分工开展金融行业各种ipv6软硬件基础设施测试，降低金融行业ipv6产品应用的重复试错成本。

(三)确保资金投入。金融业应拨出专项费用用于网络设备升级和购买相应的保护服务。确保路由器、防火墙和入侵检测系统的软硬件功能和性能满足ipv6的安全需求。同时，资金应满足ipv6网络安全等级保护和风险评估的需要。

(4)做好技术保护工作。针对ipv6引入后网络安全领域出现的新问题，金融业采取了隧道静态配置、地址密码生成、扩展头有效性检查、网络层加密、关闭不必要的服务端口、细化边界设备过滤规则、防范翻译设备ddos攻击等策略和方法。确保业务连续性能力和安全保护能力不低于原始水平。