2018年中國聯(lián)通已完成大部分的IPv6改造

背景

為響應國務院辦公廳印發(fā)了《推進互聯(lián)網(wǎng)第六版IPv6部署的行動計劃》通知，2018年中國聯(lián)通已完成大部分的IPv6改造，對基礎設施從城域網(wǎng)、骨干網(wǎng)、傳輸網(wǎng)、國際互聯(lián)網(wǎng)等全面支持IPv6，實現(xiàn)骨干網(wǎng)/國際IPv6互聯(lián)互通，業(yè)務/網(wǎng)絡支撐系統(tǒng)、總部大數(shù)據(jù)平臺、新增核心數(shù)據(jù)中心內系統(tǒng)支持IPv6。

隨著互聯(lián)網(wǎng)+戰(zhàn)略的不斷深化，各行各業(yè)對于網(wǎng)絡和信息技術的依賴度不斷提升，數(shù)字資產(chǎn)的重要性越來越高，因此，網(wǎng)絡和信息安全已經(jīng)成為產(chǎn)業(yè)發(fā)展不可忽視和回避的重要問題。

IPv6 DDoS流量清洗服務

北京聯(lián)通高度重視網(wǎng)絡安全能力建設，建立了較為完善的安全研究、運維和服務體系，在終端加密、網(wǎng)絡防御、數(shù)據(jù)保護、應用審計等方面提供了多項安全服務。在大力推進IPv6建設的進程中，北京聯(lián)通在新型網(wǎng)絡的演進過程中積極探索相關安全解決方案，構建了基于IPv6的流量清洗系統(tǒng)并正式商用運營，成為全國首家支持IPv6 DDoS流量清洗服務的運營商。

自2014年北京聯(lián)通流量分析清洗平臺上線以來，為各個行業(yè)客戶提供了專業(yè)的IPv4安全監(jiān)控與DDoS流量清洗服務，上線4年實現(xiàn)了對客戶清洗流量的"0"誤殺，得到近70家行業(yè)客戶的一致好評。在推進全網(wǎng)IPv6部署計劃的過程中，為了最大化保護客戶與自身網(wǎng)絡的安全平穩(wěn)運營，北京聯(lián)通流量分析清洗平臺率先完成了IPv6升級改造，實現(xiàn)了對IPv6網(wǎng)絡流量的分析與清洗能力的支持，具備了 IPv4和IPv6雙棧的流量分析清洗服務的能力。

流量清洗服務主要包括三款產(chǎn)品：流量清洗、流量壓制以及流量黑洞。

流量清洗：通過將受攻擊的客戶流量引流至清洗中心，根據(jù)分析系統(tǒng)提供的反饋，精確清洗攻擊流量，并將清洗后的"干凈"流量回注至客戶網(wǎng)絡。

流量壓制：當分析系統(tǒng)監(jiān)測到了攻擊流量之后，流量壓制系統(tǒng)便可以將用戶流量中的攻擊流量限制到一定的帶寬，在不中斷業(yè)務的情況下最小化攻擊造成的影響。

流量黑洞：當分析系統(tǒng)檢測到了攻擊流量之后，通過流量清洗平臺對攻擊流量進行封堵。

北京聯(lián)通流量分析清洗平臺優(yōu)勢主要體現(xiàn)在以下幾點：

1、?流量清洗自服務平臺滿足客戶自助式防護需求，達到自助發(fā)現(xiàn)、自助清洗、自助回注、自助計費等功能，打造出業(yè)界唯一的用戶自助服務流量清洗產(chǎn)品；

2、?流量分析清洗一體化，通過對全網(wǎng)的Netflow數(shù)據(jù)進行監(jiān)測，可快速發(fā)現(xiàn)異常流量，實現(xiàn)秒級告警，將流量監(jiān)測與流量清洗兩項服務有機結合，實現(xiàn)"查打一體"，實現(xiàn)行業(yè)領先的"秒級"響應；

3、?基于運營商獨有的流量黑洞處置能力，可以做到精細化的分方向封堵，封堵能力無上限；

4、?流量清洗能力方面，輕松應對大流量攻擊，用戶無需任何配置和改造，流量原路徑回注；

5、?流量壓制能力方面，在對現(xiàn)有業(yè)務影響最小的情況下，實現(xiàn)大流量的精準壓制，實現(xiàn)業(yè)務服務"0"抖動；

6、?服務報表方面，提供豐富的服務報表與數(shù)據(jù)支撐，為客戶內部擴容、策略調整、攻擊溯源等提供強有力的支持；

7、?在服務支撐方面，北京聯(lián)通配備了7*24運維團隊，提供攻防演練、自動防護、分析報告等多項專家級服務。

嚴峻的網(wǎng)絡安全態(tài)勢：

12月11日，疑似匿名者（Anonymous）黑客組織成員在推特上號召發(fā)起針對全球中央銀行網(wǎng)站的代號為"OpIcarus 2018（OpIcarus 2.0）" 的新一輪攻擊行動，攻擊名單中多個國內銀行赫然在列。面對這樣的公開威脅，我們可以根據(jù)實際的防護場景，選用適合情境的解決方案，針對性地制定對策來緩解攻擊造成的威脅與影響。未來，安全態(tài)勢將會隨著技術與市場的進步而更加嚴峻，主要體現(xiàn)在以下幾點：

1、信息系統(tǒng)的地位不斷提高，規(guī)模響應逐漸體現(xiàn)，給系統(tǒng)的全面防護帶來難度。

大量的經(jīng)濟社會活動、戰(zhàn)略性基礎資源都架構在全球互聯(lián)互通的網(wǎng)絡之上，網(wǎng)絡中生產(chǎn)、傳輸和存儲的數(shù)據(jù)資產(chǎn)越來越重要，受到的攻擊也越來越多，而且多樣的終端類型、復雜的網(wǎng)絡架構、海量的數(shù)據(jù)規(guī)模、融合的業(yè)務場景，都增加了安全防護的難度，任何一個環(huán)節(jié)出現(xiàn)漏洞，都可能導致整個網(wǎng)絡的失陷或癱瘓。

2、攻擊方式發(fā)生變化，攻擊手段不斷升級，實時響應處置難度加大。

目前，攻擊模式已經(jīng)從單打獨斗的個人炫技向團隊作戰(zhàn)的黑色產(chǎn)業(yè)轉化，攻擊工具日趨武器化和工程化，操作門檻進一步降低，基于社會工程學的APT攻擊方法越來越隱蔽，分布式攻擊的規(guī)模越來越龐大，一旦爆發(fā)預埋或者0 day攻擊，很難進行提前預警和快速響應。

3、未來新型網(wǎng)絡以及新技術空前發(fā)展，將會為傳統(tǒng)網(wǎng)絡安全架構帶來沖擊。

隨著5G、SDN等新技術的快速發(fā)展，IT、CT技術與行業(yè)應用深度融合，驅動網(wǎng)絡架構深刻變革，導致網(wǎng)絡邊界進一步模糊，網(wǎng)絡協(xié)議更加通用，業(yè)務邏輯更加復雜，而新技術的標準體系和演進路線都沒有最終確定，現(xiàn)網(wǎng)應用不夠充分，因此對于其安全可靠性還需要進一步驗證。

我們時刻準備好

作為國內首家支持IPv6流量清洗服務的運營商，我們不僅著眼當下，更將為未來的技術演進以及市場發(fā)展做出前瞻性的探索。自從平臺上線以來，我們不斷跟進前沿技術，打造先進的安全防護產(chǎn)品；貼近終端用戶，有機結合運營商與行業(yè)用戶的特點，提供行業(yè)定制化的解決方案；擁有眾多的行業(yè)客戶，自2014年平臺投入商用以來，積累了豐富的服務經(jīng)驗；快速演進迭代，實時響應安全動態(tài)，為快速變化的安全態(tài)勢時刻準備著。