背景

為響應(yīng)國務(wù)院辦公廳印發(fā)了《推進互聯(lián)網(wǎng)第六版IPv6部署的行動計劃》通知，2018年中國聯(lián)通已完成大部分的IPv6改造，對基礎(chǔ)設(shè)施從城域網(wǎng)、骨干網(wǎng)、傳輸網(wǎng)、國際互聯(lián)網(wǎng)等全面支持IPv6，實現(xiàn)骨干網(wǎng)/國際IPv6互聯(lián)互通，業(yè)務(wù)/網(wǎng)絡(luò)支撐系統(tǒng)、總部大數(shù)據(jù)平臺、新增核心數(shù)據(jù)中心內(nèi)系統(tǒng)支持IPv6。

隨著互聯(lián)網(wǎng)+戰(zhàn)略的不斷深化，各行各業(yè)對于網(wǎng)絡(luò)和信息技術(shù)的依賴度不斷提升，數(shù)字資產(chǎn)的重要性越來越高，因此，網(wǎng)絡(luò)和信息安全已經(jīng)成為產(chǎn)業(yè)發(fā)展不可忽視和回避的重要問題。

IPv6 DDoS流量清洗服務(wù)

北京聯(lián)通高度重視網(wǎng)絡(luò)安全能力建設(shè)，建立了較為完善的安全研究、運維和服務(wù)體系，在終端加密、網(wǎng)絡(luò)防御、數(shù)據(jù)保護、應(yīng)用審計等方面提供了多項安全服務(wù)。在大力推進IPv6建設(shè)的進程中，北京聯(lián)通在新型網(wǎng)絡(luò)的演進過程中積極探索相關(guān)安全解決方案，構(gòu)建了基于IPv6的流量清洗系統(tǒng)并正式商用運營，成為全國首家支持IPv6 DDoS流量清洗服務(wù)的運營商。

自2014年北京聯(lián)通流量分析清洗平臺上線以來，為各個行業(yè)客戶提供了專業(yè)的IPv4安全監(jiān)控與DDoS流量清洗服務(wù)，上線4年實現(xiàn)了對客戶清洗流量的"0"誤殺，得到近70家行業(yè)客戶的一致好評。在推進全網(wǎng)IPv6部署計劃的過程中，為了最大化保護客戶與自身網(wǎng)絡(luò)的安全平穩(wěn)運營，北京聯(lián)通流量分析清洗平臺率先完成了IPv6升級改造，實現(xiàn)了對IPv6網(wǎng)絡(luò)流量的分析與清洗能力的支持，具備了 IPv4和IPv6雙棧的流量分析清洗服務(wù)的能力。

流量清洗服務(wù)主要包括三款產(chǎn)品：流量清洗、流量壓制以及流量黑洞。

流量清洗：通過將受攻擊的客戶流量引流至清洗中心，根據(jù)分析系統(tǒng)提供的反饋，精確清洗攻擊流量，并將清洗后的"干凈"流量回注至客戶網(wǎng)絡(luò)。

流量壓制：當(dāng)分析系統(tǒng)監(jiān)測到了攻擊流量之后，流量壓制系統(tǒng)便可以將用戶流量中的攻擊流量限制到一定的帶寬，在不中斷業(yè)務(wù)的情況下最小化攻擊造成的影響。

流量黑洞：當(dāng)分析系統(tǒng)檢測到了攻擊流量之后，通過流量清洗平臺對攻擊流量進行封堵。

北京聯(lián)通流量分析清洗平臺優(yōu)勢主要體現(xiàn)在以下幾點：

1、?流量清洗自服務(wù)平臺滿足客戶自助式防護需求，達到自助發(fā)現(xiàn)、自助清洗、自助回注、自助計費等功能，打造出業(yè)界唯一的用戶自助服務(wù)流量清洗產(chǎn)品；

2、?流量分析清洗一體化，通過對全網(wǎng)的Netflow數(shù)據(jù)進行監(jiān)測，可快速發(fā)現(xiàn)異常流量，實現(xiàn)秒級告警，將流量監(jiān)測與流量清洗兩項服務(wù)有機結(jié)合，實現(xiàn)"查打一體"，實現(xiàn)行業(yè)領(lǐng)先的"秒級"響應(yīng)；

3、?基于運營商獨有的流量黑洞處置能力，可以做到精細化的分方向封堵，封堵能力無上限；

4、?流量清洗能力方面，輕松應(yīng)對大流量攻擊，用戶無需任何配置和改造，流量原路徑回注；

5、?流量壓制能力方面，在對現(xiàn)有業(yè)務(wù)影響最小的情況下，實現(xiàn)大流量的精準壓制，實現(xiàn)業(yè)務(wù)服務(wù)"0"抖動；

6、?服務(wù)報表方面，提供豐富的服務(wù)報表與數(shù)據(jù)支撐，為客戶內(nèi)部擴容、策略調(diào)整、攻擊溯源等提供強有力的支持；

7、?在服務(wù)支撐方面，北京聯(lián)通配備了7*24運維團隊，提供攻防演練、自動防護、分析報告等多項專家級服務(wù)。

嚴峻的網(wǎng)絡(luò)安全態(tài)勢：

12月11日，疑似匿名者（Anonymous）黑客組織成員在推特上號召發(fā)起針對全球中央銀行網(wǎng)站的代號為"OpIcarus 2018（OpIcarus 2.0）" 的新一輪攻擊行動，攻擊名單中多個國內(nèi)銀行赫然在列。面對這樣的公開威脅，我們可以根據(jù)實際的防護場景，選用適合情境的解決方案，針對性地制定對策來緩解攻擊造成的威脅與影響。未來，安全態(tài)勢將會隨著技術(shù)與市場的進步而更加嚴峻，主要體現(xiàn)在以下幾點：

1、信息系統(tǒng)的地位不斷提高，規(guī)模響應(yīng)逐漸體現(xiàn)，給系統(tǒng)的全面防護帶來難度。

大量的經(jīng)濟社會活動、戰(zhàn)略性基礎(chǔ)資源都架構(gòu)在全球互聯(lián)互通的網(wǎng)絡(luò)之上，網(wǎng)絡(luò)中生產(chǎn)、傳輸和存儲的數(shù)據(jù)資產(chǎn)越來越重要，受到的攻擊也越來越多，而且多樣的終端類型、復(fù)雜的網(wǎng)絡(luò)架構(gòu)、海量的數(shù)據(jù)規(guī)模、融合的業(yè)務(wù)場景，都增加了安全防護的難度，任何一個環(huán)節(jié)出現(xiàn)漏洞，都可能導(dǎo)致整個網(wǎng)絡(luò)的失陷或癱瘓。

2、攻擊方式發(fā)生變化，攻擊手段不斷升級，實時響應(yīng)處置難度加大。

目前，攻擊模式已經(jīng)從單打獨斗的個人炫技向團隊作戰(zhàn)的黑色產(chǎn)業(yè)轉(zhuǎn)化，攻擊工具日趨武器化和工程化，操作門檻進一步降低，基于社會工程學(xué)的APT攻擊方法越來越隱蔽，分布式攻擊的規(guī)模越來越龐大，一旦爆發(fā)預(yù)埋或者0 day攻擊，很難進行提前預(yù)警和快速響應(yīng)。

3、未來新型網(wǎng)絡(luò)以及新技術(shù)空前發(fā)展，將會為傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)帶來沖擊。

隨著5G、SDN等新技術(shù)的快速發(fā)展，IT、CT技術(shù)與行業(yè)應(yīng)用深度融合，驅(qū)動網(wǎng)絡(luò)架構(gòu)深刻變革，導(dǎo)致網(wǎng)絡(luò)邊界進一步模糊，網(wǎng)絡(luò)協(xié)議更加通用，業(yè)務(wù)邏輯更加復(fù)雜，而新技術(shù)的標準體系和演進路線都沒有最終確定，現(xiàn)網(wǎng)應(yīng)用不夠充分，因此對于其安全可靠性還需要進一步驗證。

我們時刻準備好

作為國內(nèi)首家支持IPv6流量清洗服務(wù)的運營商，我們不僅著眼當(dāng)下，更將為未來的技術(shù)演進以及市場發(fā)展做出前瞻性的探索。自從平臺上線以來，我們不斷跟進前沿技術(shù)，打造先進的安全防護產(chǎn)品；貼近終端用戶，有機結(jié)合運營商與行業(yè)用戶的特點，提供行業(yè)定制化的解決方案；擁有眾多的行業(yè)客戶，自2014年平臺投入商用以來，積累了豐富的服務(wù)經(jīng)驗；快速演進迭代，實時響應(yīng)安全動態(tài)，為快速變化的安全態(tài)勢時刻準備著。