加强金融行业网络安全. 2019-11-08
2019年1月,中国人民银行联合中国银行保险监督管理委员会、中国证券监督管理委员会印发了《关于金融行业贯彻〈推进互联网协议第六版(IPv6)规模部署行动计划〉的实施意见》,提出了金融行业IPv6规模部署的规划和推进路径,金融行业IPv6规模部署工作稳步有序推进。目前,已有部分机构的部分系统实现了IPv4向IPv6的平滑过渡。进入后IPv4时代的金融行业网络安全亟待加强。
安全挑战
IPv6是数据包交换互联网络的网络层协议,由互联网工程任务小组设计用来替代IPv4协议,主要用于寻址和路由。作为下一代网络协议,IPv6在安全性方面较IPv4具有明显的优势。有巨大的地址空间;由多播代替广播;具有IPSec加密系统。但是任何一项协议都不是绝对安全的。随着金融行业IPv6的规模部署,新的安全挑战出现。从网络协议角度,IPv6作为IPv4的下一代,与IPv4同属于网络层的传输协议,其原理是相似的,必然要面对从IPv4继承来的一些安全问题。同时在IPv4向IPv6的改造过程中,各种过渡技术与方案的安全隐患也不容忽视。
(一)IPv6新增安全问题。IPv6报文结构中引入的新字段、IPv6协议族中引入的新协议都将可能引发新的安全问题。一是利用扩展头进行拒绝服务攻击。为了提高路由器转发数据包的效率,IPv6设计了扩展报头取代了IPv4的选项。但是IPv6数据包可以支持任意数量的扩展头,而且不限长度。IPv6路由器在处理包含IPv6扩展头的数据包的过程中,唯一要处理的就是逐跳选项扩展报头。如果此时攻击者发送大量的扩展头,那么路由器就会花费大量的时间和速率来处理扩展头,导致性能下降,产生拒绝服务攻击行为。二是地址欺骗攻击。IPv6使用的是邻居发现协议(NS)来发现其他节点和相应地址。在节点之间进行初次适配时会发送NS报文,此时的NS报文中包含有节点对应的地址。攻击者如果在这个时候伪造对应的NS报文,并返回此地址已经被使用的报文给发送节点,那么节点将会被迫更换地址。通过持续攻击,节点将无法完成地址适配,从而无法进行正常通信。三是IPSec漏洞攻击。在部署有IPSec的设备之间通信时,内容在整个传输过程中是透明的,没有密钥是无法获知内容的。而一旦窃听者通过某种途径获取了密码时,那么这个时候传输数据将被顺利获取,对信息安全造成威胁。四是IPv6分片攻击。IPv6在在处理数据的过程中会丢弃小于1280字节的数据包,同时引入入侵检测系统,此举可以有效避免可能进行的分片攻击。但是攻击者仍然可以在数据进行分片时进行重组然后打乱,此时监测系统就不会识别出正确顺序,攻击数据将会趁机而入。攻击者也可以故意不发送数据包中的一部分分片包或者故意发送多个分片包,从而耗尽内存资源导致系统崩溃。
(二)IPv4向IPv6过渡期安全问题。当前金融行业正逐步实施由IPv4向IPv6的过渡,IPv4将在一段时期内与IPv6共存。金融行业在过渡时期采用的技术方案主要有双栈技术、隧道技术和NAT地址转换,这三种技术也为金融行业网络安全带来新的问题。双栈技术同时运行IPv4和IPv6两个逻辑通道,增加了系统的暴露面,需要在防火墙等安全设备配置双栈策略,维护风险加倍,网络防火策略更加复杂,网络被侵入的可能性加倍。隧道技术缺乏内置认证、完整性和加密等安全功能,仅对数据包进行简单的封装与解封操作,内置认证不足,缺乏安全保障,不会对IPv4及IPv6的地址关系进行严格检查,导致隧道报文容易泄露,并通过对内层及外层地址的伪造,以合法用户的形式向隧道注入流量。NAT地址转换的应用使IP流在不同协议间转换,涉及载荷转换,易形成NAT设备地址池消耗殆尽等问题,导致DDoS攻击问题。出口边缘的翻译设备作为IPv6与IPv4互连节点,成为NAT的安全瓶颈,一旦被攻击可能导致网络瘫痪。
应对措施
IPv6设计了一系列安全机制,促使网络安全性得到了提升。但在认识到IPv6安全性优势的同时,金融行业还应关注IPv6存在的安全问题,深入研究IPv6的技术特点,针对各种可能的安全威胁,改进完善技术手段,建立健全防范机制,继而提升IPv6在经济金融领域深度融合的安全保障能力。
(一)提高安全意识。金融行业要强化风险控制意识,坚持发展与安全并举,推进IPv6规模部署与网络安全同步规划、同步建设、同步运行。统筹考量基础设施层、应用层和业务层的安全防护,强化纵深防御体系,在各平面采取措施加强安全漏洞管理,防范IPv6升级改造引发的安全生产风险。
(二)加强行业沟通。通过金融行业之间、金融行业与信息产业之间的联合发力,及时掌握IPv6技术动态与行业、产业发展状况,分享IPv6改造防护经验,借助优秀企业的技术实力,不断学习、吸收先进的防护技术和理念。分工开展各类IPv6软硬件基础设施在金融行业的测试工作,降低金融行业IPv6产品应用重复试错成本。
(三)保障经费投入。金融行业要划拨专项费用用于网络设备升级换代,采购相应的防护服务。确保路由器、防火墙和入侵检测系统软硬件功能、性能适应IPv6的安全需要。同时经费投入要满足针对IPv6网络开展的网络安全等级保护、风险评估等工作的需要。
(四)做好技术防护。金融行业对于引入IPv6后网络安全领域出现的新问题,有针对性地采用静态配置隧道、密码生成地址、扩展头合法性检查、网络层加密、关闭不必要服务端口、细化边界设备过滤规则、防范翻译设备DDoS攻击等策略、方式确保业务连续性能力和安全保护能力不低于原有水平。
转自中国金融新闻网