【文章內(nèi)容簡(jiǎn)介】 降低部署成本的基礎(chǔ)上，大力提升全網(wǎng)攻擊防御能力；主動(dòng)防御，對(duì)異常流量的主要來(lái)源之一 Botnet 進(jìn)行監(jiān)控，在其形成危害之前消除。目前業(yè)界主要利用 DPI 和蜜網(wǎng)技術(shù)進(jìn)行 Botnet 檢測(cè)，但蜜網(wǎng)需要在全網(wǎng)分布式部署蜜罐系統(tǒng)，DPI 則需要在省網(wǎng)網(wǎng)絡(luò)出口部署，部署難度及成本均較高。據(jù)此，中國(guó)電信網(wǎng)絡(luò)安全實(shí)驗(yàn)室已提出了一種基于網(wǎng)絡(luò)流量特征和 DNS 分析進(jìn)行僵尸網(wǎng)絡(luò)追溯的方案，部署難度及成本均較低，只需要對(duì)現(xiàn)有 DNS 系統(tǒng)進(jìn)行改造，并與現(xiàn)有的攻擊溯源系統(tǒng)對(duì)接即可。具體步驟如下：通過(guò)攻擊溯源系統(tǒng)得到僵尸主機(jī) IP 地址；第 10 頁(yè) 共 33 頁(yè)中國(guó)電信網(wǎng)絡(luò)安全技術(shù)白皮書(shū)(2010 年版)改造現(xiàn)有的 DNS 系統(tǒng)，使之具備關(guān)聯(lián)查詢和統(tǒng)計(jì)分析功能；將僵尸主機(jī) IP 導(dǎo)入到 DNS 分析系統(tǒng)中，分析僵尸主機(jī) IP 地址所共同訪問(wèn)的域名；找到僵尸域名后，根據(jù) DNS 訪問(wèn)記錄，找出訪問(wèn)僵尸域名的僵尸主機(jī)；根據(jù)僵尸主機(jī) IP 地址進(jìn)行僵尸網(wǎng)絡(luò)的清理工作。. 支撐系統(tǒng)安全支撐系統(tǒng)包括 DNS、CTGMBOSS 等，支撐著中國(guó)電信網(wǎng)絡(luò)和業(yè)務(wù)的正常運(yùn)營(yíng)。CTGMBOSS 處于內(nèi)部專(zhuān)網(wǎng)，一般采用安全域劃分、邊界防護(hù)等方式實(shí)現(xiàn)系統(tǒng)之間的隔離，控制安全風(fēng)險(xiǎn)的影響范圍；采用嚴(yán)格的訪問(wèn)控制策略，防止非授權(quán)用戶的訪問(wèn)，并根據(jù)安全規(guī)范和安全策略，對(duì)設(shè)備進(jìn)行安全管理和加固，實(shí)現(xiàn)設(shè)備層的安全防護(hù)?？偟膩?lái)看，設(shè)備層面的安全風(fēng)險(xiǎn)較低，建議加強(qiáng)內(nèi)控，完善用戶權(quán)限管控和安全審計(jì)工作。DNS 為公眾提供域名解析服務(wù)，發(fā)生故障后的影響范圍較大，因此，需要重點(diǎn)加強(qiáng)安全防護(hù)。目前，DNS 面臨的安全威脅主要有兩類(lèi)：一類(lèi)是域名劫持、緩存中毒等 DNS 欺騙攻擊，將用戶引導(dǎo)到錯(cuò)誤的站點(diǎn)；另一類(lèi)是 DDoS 等異常流量攻擊，使 DNS 服務(wù)器無(wú)法響應(yīng)用戶域名解析請(qǐng)求。DNS 欺騙攻擊源于 DNS 協(xié)議自身設(shè)計(jì)存在安全缺陷，無(wú)法保障 DNS 信息的真實(shí)性。DNS 安全擴(kuò)展協(xié)議（DNSSEC）解決了此問(wèn)題，依靠公鑰技術(shù)對(duì) DNS中的信息進(jìn)行數(shù)字簽名，為 DNS 提供認(rèn)證和信息完整性檢查，其公共密鑰來(lái)源于根域名服務(wù)器。目前，.gov 頂級(jí)域名已經(jīng)開(kāi)始采用 DNSSEC 協(xié)議，瑞典、巴西等國(guó)的頂級(jí)域名也采用了 DNSSEC。但是，DNSSEC 的部署還存在很多問(wèn)題：首先，DNSSEC 增加了多次驗(yàn)證簽名的過(guò)程，對(duì)網(wǎng)絡(luò)及服務(wù)器性能影響較大，同時(shí)，DNSSEC 比 DNS 對(duì)時(shí)間更為敏感，系統(tǒng)時(shí)鐘必須非常準(zhǔn)確；另外，根域名服務(wù)器信任定位點(diǎn)的密鑰不受我們自主控制。因此，DNSSEC 的部署條件尚不成熟，現(xiàn)階段暫不建議大網(wǎng)實(shí)施。對(duì)于異常流量的安全防護(hù)，主要有兩種思路。其一是對(duì)發(fā)往 DNS 節(jié)點(diǎn)的總流量進(jìn)行限速，避免 DNS 系統(tǒng)因流量過(guò)載而癱瘓。由于正常用戶流量被淹沒(méi)在第 11 頁(yè) 共 33 頁(yè)中國(guó)電信網(wǎng)絡(luò)安全技術(shù)白皮書(shū)(2010 年版)異常流量中，總流量限速依然會(huì)影響正常用戶，同時(shí)，其對(duì)于非帶寬占用的 DDoS攻擊無(wú)效。因此，此方法只能作為異常流量防護(hù)的輔助手段。其二是采用 Anycast架構(gòu)，將一個(gè) Anycast 多播地址標(biāo)識(shí)一組提供 DNS 服務(wù)的主機(jī)，訪問(wèn)該地址的DNS 請(qǐng)求報(bào)文將被路由到這一組 DNS 服務(wù)器中路由最近的一臺(tái)主機(jī)上。當(dāng)Anycast 組中某些成員受到攻擊時(shí)，負(fù)責(zé)報(bào)文轉(zhuǎn)發(fā)的路由器根據(jù)各個(gè)組成員的響應(yīng)時(shí)間來(lái)決定報(bào)文應(yīng)該轉(zhuǎn)發(fā)到哪里，從而減輕網(wǎng)絡(luò)擁塞給用戶帶來(lái)的影響，同時(shí)，可以分散 DDoS 攻擊流量，降低 DDoS 攻擊對(duì)網(wǎng)絡(luò)和系統(tǒng)所造成的影響。目前，電信大部分 DNS 系統(tǒng)不是 Anycast 架構(gòu)，整改工作量較大，建議新建 DNS 系統(tǒng)考慮應(yīng)用 Anycast 架構(gòu)。因此，從可行性考慮，目前應(yīng)重點(diǎn)完善 DNS 安全監(jiān)控手段，針對(duì)異常流量以及 DNS 欺騙攻擊的特點(diǎn)， DNS 服務(wù)器健康情況、對(duì)DNS 負(fù)載均衡設(shè)備、DNS系統(tǒng)解析情況等進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)并解決安全問(wèn)題。建議重點(diǎn)進(jìn)行如下安全數(shù)據(jù)分析和告警：DNS 域名穩(wěn)定性分析：是否存在查詢的次數(shù)變化幅度比較大的域名；DNS 域名劫持主動(dòng)和被動(dòng)監(jiān)控：緩存服務(wù)器是否收到不斷變化前綴的NXDOMAIN 域名請(qǐng)求；上層授權(quán)服務(wù)器返回緩存服務(wù)器中 DNS 應(yīng)答記錄中 Additional A 記錄的變化；重點(diǎn)域名是否存在不同的應(yīng)答，包括 A記錄和 NS 記錄；DNS 惡意請(qǐng)求分析：統(tǒng)計(jì)分析單 IP 大量域名請(qǐng)求、不存在域名請(qǐng)求、大量突發(fā)失效域名的查詢。. 應(yīng)用系統(tǒng)安全應(yīng)用系統(tǒng)是電信業(yè)務(wù)的載體，其安全關(guān)系著電信業(yè)務(wù)的正常運(yùn)營(yíng)，重要性不言而喻。在 2009 年應(yīng)用系統(tǒng)抽樣安全檢查中，發(fā)現(xiàn)部分應(yīng)用系統(tǒng)存在嚴(yán)重的Web 應(yīng)用安全漏洞，攻擊者可以利用這些安全漏洞獲取系統(tǒng)數(shù)據(jù)庫(kù)的用戶名和密碼、表結(jié)構(gòu)信息以及用戶的賬號(hào)/密碼/身份證等敏感信息，還可以通過(guò)惡意構(gòu)造的鏈接欺騙用戶或管理員點(diǎn)擊，傳播木馬。應(yīng)用系統(tǒng)安全分為 3 個(gè)層次：主機(jī)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全。主機(jī)層安全和網(wǎng)絡(luò)層安全主要通過(guò)傳統(tǒng)的平面隔離和邊界防護(hù)、實(shí)施嚴(yán)格的訪問(wèn)控制第 12 頁(yè) 共 33 頁(yè)中國(guó)電信網(wǎng)絡(luò)安全技術(shù)白皮書(shū)(2010 年版)策略和防病毒策略、設(shè)備安全加固、規(guī)范以及設(shè)備的安全管理等技術(shù)手段，此處不再贅述，下面將主要從應(yīng)用層角度出發(fā)闡述應(yīng)用系統(tǒng)的安全防護(hù)技術(shù)及建議。應(yīng)用層安全主要分為兩個(gè)方面：業(yè)務(wù)流程安全以及應(yīng)用軟件自身的安全。目前，電信業(yè)務(wù)系統(tǒng)普遍采用賬號(hào)/口令的認(rèn)證方式，安全性依賴于口令的復(fù)雜度，且傳輸過(guò)程普遍未經(jīng)加密傳輸，容易被竊取。建議對(duì)于敏感數(shù)據(jù)實(shí)行加密傳輸，并且采用口令+隨機(jī)短信、口令+接入物理信息、接入物理信息+隨機(jī)短信等雙因素認(rèn)證方式，對(duì)于大客戶資料變更和業(yè)務(wù)辦理等則采用最高安全級(jí)別的USB Key 認(rèn)證方式。應(yīng)用軟件自身安全問(wèn)題本質(zhì)上源于軟件質(zhì)量問(wèn)題。為提升應(yīng)用軟件的安全性，應(yīng)要求軟件開(kāi)發(fā)商在應(yīng)用系統(tǒng)軟件開(kāi)發(fā)生命周期中遵循安全編碼原則，并在系統(tǒng)上線前使用源代碼安全分析工具或者應(yīng)用安全掃描工具等進(jìn)行測(cè)試，及早發(fā)現(xiàn)并消除安全漏洞。對(duì)于已經(jīng)上線的某些業(yè)務(wù)系統(tǒng)，由于其定制化特點(diǎn)決定了沒(méi)有通用補(bǔ)丁可用，而整改代碼則代價(jià)過(guò)大，較難實(shí)行。目前應(yīng)用層防火墻（WAF）可以進(jìn)行協(xié)議解析和編碼還原，對(duì)請(qǐng)求的內(nèi)容進(jìn)行安全性和合法性的檢測(cè)和驗(yàn)證，相對(duì)于傳統(tǒng)防火墻來(lái)說(shuō)，檢測(cè)精度更高，粒度更細(xì)。因此，對(duì)于已上線的應(yīng)用系統(tǒng)建議部署應(yīng)用層防火墻進(jìn)行安全防護(hù)。網(wǎng)頁(yè)“掛馬”是目前比較泛濫的安全問(wèn)題，主要有兩種解決思路。一種是事前防御，防止網(wǎng)頁(yè)被惡意篡改。通過(guò)動(dòng)態(tài)學(xué)習(xí)功能，對(duì)整個(gè)網(wǎng)站的構(gòu)架進(jìn)行學(xué)習(xí)和復(fù)制，將每個(gè)參數(shù)和其對(duì)應(yīng)的值進(jìn)行鎖定，在此基礎(chǔ)上，對(duì)所有的 HTTP 請(qǐng)求進(jìn)行全面掃描，識(shí)別其中包含的惡意命令、惡意腳本，阻斷一切與初始網(wǎng)頁(yè)不匹配的參數(shù)。另一種是健康體檢，及時(shí)發(fā)現(xiàn)并解決問(wèn)題。利用爬蟲(chóng)技術(shù)定期自動(dòng)抓取網(wǎng)站的內(nèi)容，在本地檢測(cè)分析是否存在惡意代碼、木馬鏈接等。這兩種技術(shù)各有千秋，前者實(shí)時(shí)性好，但個(gè)性化強(qiáng)，保護(hù)范圍較?。缓笳呔哂幸欢ǖ臏笮?，但通用性強(qiáng)，可保護(hù)的范圍大。建議在電信內(nèi)部的 Web 應(yīng)用系統(tǒng)前部署 WAF 設(shè)備，實(shí)現(xiàn)防掛馬、防注入等 Web 安全防護(hù)。同時(shí)，可以考慮與專(zhuān)業(yè)安全公司合作，利用爬蟲(chóng)掃描技術(shù)，為中國(guó)電信的客戶提供網(wǎng)站掛馬檢測(cè)服務(wù)。. 安全管理網(wǎng)絡(luò)安全專(zhuān)業(yè)化的趨勢(shì)使網(wǎng)絡(luò)安全管理成為電信運(yùn)營(yíng)商網(wǎng)絡(luò)運(yùn)營(yíng)工作的一第 13 頁(yè) 共 33 頁(yè)中國(guó)電信網(wǎng)絡(luò)安全技術(shù)白皮書(shū)(2010 年版)項(xiàng)重要課題。網(wǎng)絡(luò)安全管理平臺(tái) SOC 作為網(wǎng)絡(luò)安全管理的重要技術(shù)支撐手段，是目前中國(guó)電信網(wǎng)絡(luò)安全工作的重點(diǎn)。SOC 平臺(tái)在國(guó)內(nèi)外有不同的定位。國(guó)外 SOC 平臺(tái)主要定位為安全業(yè)務(wù)運(yùn)營(yíng)平臺(tái)，提供安全外包服務(wù)，國(guó)外電信運(yùn)營(yíng)商（如 ATamp。T、NTT、MCI 等）以及安全廠商（如 IBM、Symantec 等）都已開(kāi)展了基于 SOC 平臺(tái)的安全服務(wù)。國(guó)內(nèi) SOC平臺(tái)主要定位為網(wǎng)絡(luò)運(yùn)維支撐平臺(tái)，面向企業(yè)網(wǎng)或電信大網(wǎng)進(jìn)行統(tǒng)一安全管理，通過(guò)統(tǒng)一的安全風(fēng)險(xiǎn)監(jiān)控、分析、報(bào)警和響應(yīng)，為統(tǒng)一的安全策略管理、安全風(fēng)險(xiǎn)管理、安全預(yù)警管理、安全知識(shí)管理等提供技術(shù)平臺(tái)支撐。但是目前國(guó)內(nèi)廠商推出的 SOC 平臺(tái)更多的適用于企業(yè)網(wǎng)等局域網(wǎng)的安全管理，對(duì)于電信大網(wǎng)的安全管理還不夠成熟，需要廠商與電信運(yùn)營(yíng)商進(jìn)一步溝通與磨合。國(guó)內(nèi) SOC 平臺(tái)主要有以下發(fā)展趨勢(shì)：由面向資產(chǎn)或面向風(fēng)險(xiǎn)的安全管理向面向業(yè)務(wù)的安全管理的方向轉(zhuǎn)變。強(qiáng)調(diào)業(yè)務(wù)流程和業(yè)務(wù)價(jià)值，實(shí)現(xiàn)對(duì)業(yè)務(wù)連續(xù)性的監(jiān)控、業(yè)務(wù)安全性的審計(jì)和業(yè)務(wù)風(fēng)險(xiǎn)的度量；由安全運(yùn)維管理平臺(tái)向安全綜合運(yùn)營(yíng)管理平臺(tái)的轉(zhuǎn)變。在加強(qiáng) SOC 平臺(tái)面向內(nèi)部安全運(yùn)維支撐管理的基礎(chǔ)上，面向外部客戶提供可管理安全業(yè)務(wù)；關(guān)聯(lián)分析技術(shù)向基于業(yè)務(wù)價(jià)值和流程的關(guān)聯(lián)分析發(fā)展。關(guān)聯(lián)分析屬性將更多的基于業(yè)務(wù)價(jià)值和流程，但這需要 SOC 平臺(tái)的廠家結(jié)合不同網(wǎng)絡(luò)需求和業(yè)務(wù)流程進(jìn)行定制，提供豐富的關(guān)聯(lián)規(guī)則模板；與云計(jì)算技術(shù)的結(jié)合。SOC 平臺(tái)可為云計(jì)算服務(wù)提供技術(shù)支撐，成為云計(jì)算、云安全的安全管理后臺(tái)；同時(shí)可利用云計(jì)算技術(shù)對(duì) SOC 平臺(tái)架構(gòu)進(jìn)行優(yōu)化，提高 SOC 平臺(tái)服務(wù)的效率和可靠性、安全性。目前中國(guó)電信 SOC 平臺(tái)定位為中國(guó)電信網(wǎng)絡(luò)安全綜合監(jiān)控、分析、告警和響應(yīng)的專(zhuān)業(yè)化、流程化的安全運(yùn)營(yíng)管理平臺(tái)，面向 IP 承載網(wǎng)、IP 網(wǎng)網(wǎng)絡(luò)和業(yè)務(wù)支撐系統(tǒng)、IP 網(wǎng)所承載的業(yè)務(wù)網(wǎng)絡(luò)、電信內(nèi)部網(wǎng)絡(luò)以及電信內(nèi)部業(yè)務(wù)系統(tǒng)、安全業(yè)務(wù)系統(tǒng)提供統(tǒng)一的安全風(fēng)險(xiǎn)管理、安全服務(wù)管理以及安全策略管理、安全預(yù)警管理、安全考核管理、報(bào)表管理、安全設(shè)備性能管理等安全運(yùn)維管理，并將垃圾郵件處理系統(tǒng)、異常流量管理系統(tǒng)、異常流量監(jiān)控系統(tǒng)、DNS 安全分析系統(tǒng)、第 14 頁(yè) 共 33 頁(yè)中國(guó)電信網(wǎng)絡(luò)安全技術(shù)白皮書(shū)(2010 年版)DDoS 攻擊溯源系統(tǒng)、蜜罐系統(tǒng)、安全態(tài)勢(shì)分析系統(tǒng)、終端安全管理系統(tǒng)、僵尸網(wǎng)絡(luò)監(jiān)控系統(tǒng)等專(zhuān)業(yè)安全子系統(tǒng)的告警信息作為事件源在 SOC 平臺(tái)進(jìn)行集中監(jiān)控、關(guān)聯(lián)、告警和響應(yīng)。中國(guó)電信在 2003 年由集團(tuán)統(tǒng)籌建設(shè)了集團(tuán)、江蘇兩個(gè)試點(diǎn) SOC 平臺(tái)，初步構(gòu)建了二級(jí) SOC 平臺(tái)架構(gòu)，湖南、廣東、福建等省也開(kāi)展了 SOC 平臺(tái)的建設(shè)。其中集團(tuán) SOC 平臺(tái)通過(guò)三期的擴(kuò)容工程建設(shè)，目前已實(shí)現(xiàn)對(duì) IP 承載網(wǎng)、網(wǎng)管網(wǎng)、部分 C 網(wǎng)業(yè)務(wù)系統(tǒng)等的集中安全管理，建設(shè)了部分專(zhuān)業(yè)安全子系統(tǒng)，初步形成了全網(wǎng)安全集中監(jiān)控、分析、處理的流程化安全管理能力。結(jié)合國(guó)內(nèi) SOC 平臺(tái)發(fā)展趨勢(shì)以及中國(guó)電信 SOC 平臺(tái)的現(xiàn)狀，對(duì)中國(guó)電信SOC 平臺(tái)的技術(shù)發(fā)展建議如下：進(jìn)一步深化集團(tuán) SOC 平臺(tái)對(duì)大網(wǎng)的安全管理能力。擴(kuò)充平臺(tái)管轄范圍：實(shí)現(xiàn)對(duì) C 網(wǎng)業(yè)務(wù)系統(tǒng)、C 網(wǎng)分組域、集團(tuán) DCN網(wǎng)等的安全管理，并為向互聯(lián)網(wǎng)接入用戶開(kāi)展安全服務(wù)提供技術(shù)儲(chǔ)備；擴(kuò)展平臺(tái)功能：提高安全態(tài)勢(shì)分析能力，部署安全態(tài)勢(shì)分析系統(tǒng)、蜜罐系統(tǒng)；加強(qiáng)路由安全，增加對(duì)路由的安全監(jiān)測(cè)和分析功能；加強(qiáng)僵尸網(wǎng)絡(luò)監(jiān)控能力，部署僵尸網(wǎng)絡(luò)監(jiān)控系統(tǒng)；提升關(guān)聯(lián)分析能力，以業(yè)務(wù)流程為導(dǎo)向制定關(guān)聯(lián)分析模板；同時(shí)進(jìn)一步提升垃圾郵件處理、DNS 安全分析、DDoS 攻擊防御等專(zhuān)項(xiàng)安全管理能力。以中國(guó)電信 SOC 平臺(tái)定位為導(dǎo)向，推動(dòng)省級(jí) SOC 平臺(tái)發(fā)展。已建 SOC 平臺(tái)的省公司，根據(jù)集團(tuán)規(guī)范要求，對(duì)本省 SOC 平臺(tái)進(jìn)行改造及優(yōu)化，加強(qiáng)路由安全、異常流量管理、基于業(yè)務(wù)流程的關(guān)聯(lián)分析等功能，強(qiáng)化 SOC 平臺(tái)的運(yùn)維及管理職能，加強(qiáng)對(duì)各種安全數(shù)據(jù)、信息的分析、處理能力，解決與集團(tuán) SOC 平臺(tái)的接口問(wèn)題；未建 SOC 平臺(tái)的省公司，根據(jù)集團(tuán)規(guī)范要求，構(gòu)建本省 SOC 平臺(tái)基礎(chǔ)框架，重點(diǎn)面向 IP 承載網(wǎng)以及 IP 網(wǎng)網(wǎng)絡(luò)和業(yè)務(wù)支撐系統(tǒng)實(shí)現(xiàn)安全事件管理、安全脆弱性管理、安全風(fēng)險(xiǎn)管理、安全策略管理、安全預(yù)警、安全響應(yīng)等功能，為日常安全運(yùn)維及管理提供基本的監(jiān)控手段及技術(shù)支撐，并加快對(duì)異常流量管理、DNS 安全分析、垃圾郵件處理等專(zhuān)業(yè)安全子系統(tǒng)的部署和優(yōu)化。第 15 頁(yè) 共 33 頁(yè)中國(guó)電信網(wǎng)絡(luò)安全技術(shù)白皮書(shū)(2010 年版). IPv6 網(wǎng)絡(luò)演進(jìn)目前國(guó)家已經(jīng)確定 IPv6 網(wǎng)絡(luò)作為下一代網(wǎng)絡(luò)發(fā)展的目標(biāo)，中國(guó)電信已在湖南長(zhǎng)沙部署了 IPv6 商用網(wǎng)，實(shí)現(xiàn)了試點(diǎn) IDC 的 IPv6 化及 IPv6 版互聯(lián)星空湖南站的上線，初步采用了以雙棧技術(shù)為主的過(guò)渡策略。網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)建設(shè)的一個(gè)重要方面，須與 IPv6 網(wǎng)絡(luò)進(jìn)行同步規(guī)劃和構(gòu)筑。盡管 IPv6 協(xié)議在設(shè)計(jì)時(shí)考慮了安全問(wèn)題，但與很多人的認(rèn)識(shí)不同，在 IPv6環(huán)境下安全性相較于 IPv4 網(wǎng)絡(luò)并沒(méi)有大的提升：首先，IPv6 網(wǎng)絡(luò)在 IP 層引入了 IPv6 協(xié)議，在網(wǎng)絡(luò)架構(gòu)上采用雙棧等過(guò)渡技術(shù)以 IPv4 網(wǎng)絡(luò)為基礎(chǔ)進(jìn)行逐步演進(jìn)，因此在網(wǎng)絡(luò)安全架構(gòu)上沒(méi)有質(zhì)的改變。其次，IPSec 機(jī)制作為 IPv6 數(shù)據(jù)包頭的一部分內(nèi)嵌到協(xié)議本身，盡管能使IPSec 中間路由過(guò)程加快，但是在 IPSec 部署實(shí)施上與 IPv4 并沒(méi)有明顯不同，同樣需配套 PKI 等體系的建設(shè)。第三，雖然 IPv6 環(huán)境下掃描和分片攻擊類(lèi)的實(shí)施將比 IPv4 環(huán)境變得困難，但溢出類(lèi)和 DDoS 等資源占用類(lèi)攻擊在 IPv6 環(huán)境下實(shí)施并未有難度上的變化，該類(lèi)攻擊在網(wǎng)絡(luò)攻擊危害中仍占據(jù)主導(dǎo)地位，網(wǎng)絡(luò)安全威脅在 IPv6 環(huán)境仍將嚴(yán)峻。第四，IPv6 網(wǎng)絡(luò)同樣需考慮應(yīng)用層、傳輸層、物理層等的安全。因此，在目前中國(guó)電信 IPv4 網(wǎng)絡(luò)向 IPv6 網(wǎng)絡(luò)過(guò)渡的時(shí)期，仍需從多方面考慮安全體系架構(gòu)的建設(shè)和完善，在原有 IPv4 環(huán)境下安全措施改進(jìn)的基礎(chǔ)上，加強(qiáng)對(duì) IPv6 特定安全問(wèn)題的防范以及對(duì)過(guò)渡技術(shù)安全問(wèn)