背景

為響應(yīng)國務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)第六版IPv6部署的行動(dòng)計(jì)劃》通知，2018年中國聯(lián)通已完成大部分的IPv6改造，對(duì)基礎(chǔ)設(shè)施從城域網(wǎng)、骨干網(wǎng)、傳輸網(wǎng)、國際互聯(lián)網(wǎng)等全面支持IPv6，實(shí)現(xiàn)骨干網(wǎng)/國際IPv6互聯(lián)互通，業(yè)務(wù)/網(wǎng)絡(luò)支撐系統(tǒng)、總部大數(shù)據(jù)平臺(tái)、新增核心數(shù)據(jù)中心內(nèi)系統(tǒng)支持IPv6。

隨著互聯(lián)網(wǎng)+戰(zhàn)略的不斷深化，各行各業(yè)對(duì)于網(wǎng)絡(luò)和信息技術(shù)的依賴度不斷提升，數(shù)字資產(chǎn)的重要性越來越高，因此，網(wǎng)絡(luò)和信息安全已經(jīng)成為產(chǎn)業(yè)發(fā)展不可忽視和回避的重要問題。

IPv6 DDoS流量清洗服務(wù)

北京聯(lián)通高度重視網(wǎng)絡(luò)安全能力建設(shè)，建立了較為完善的安全研究、運(yùn)維和服務(wù)體系，在終端加密、網(wǎng)絡(luò)防御、數(shù)據(jù)保護(hù)、應(yīng)用審計(jì)等方面提供了多項(xiàng)安全服務(wù)。在大力推進(jìn)IPv6建設(shè)的進(jìn)程中，北京聯(lián)通在新型網(wǎng)絡(luò)的演進(jìn)過程中積極探索相關(guān)安全解決方案，構(gòu)建了基于IPv6的流量清洗系統(tǒng)并正式商用運(yùn)營，成為全國首家支持IPv6 DDoS流量清洗服務(wù)的運(yùn)營商。

自2014年北京聯(lián)通流量分析清洗平臺(tái)上線以來，為各個(gè)行業(yè)客戶提供了專業(yè)的IPv4安全監(jiān)控與DDoS流量清洗服務(wù)，上線4年實(shí)現(xiàn)了對(duì)客戶清洗流量的"0"誤殺，得到近70家行業(yè)客戶的一致好評(píng)。在推進(jìn)全網(wǎng)IPv6部署計(jì)劃的過程中，為了最大化保護(hù)客戶與自身網(wǎng)絡(luò)的安全平穩(wěn)運(yùn)營，北京聯(lián)通流量分析清洗平臺(tái)率先完成了IPv6升級(jí)改造，實(shí)現(xiàn)了對(duì)IPv6網(wǎng)絡(luò)流量的分析與清洗能力的支持，具備了 IPv4和IPv6雙棧的流量分析清洗服務(wù)的能力。

流量清洗服務(wù)主要包括三款產(chǎn)品：流量清洗、流量壓制以及流量黑洞。

流量清洗：通過將受攻擊的客戶流量引流至清洗中心，根據(jù)分析系統(tǒng)提供的反饋，精確清洗攻擊流量，并將清洗后的"干凈"流量回注至客戶網(wǎng)絡(luò)。

流量壓制：當(dāng)分析系統(tǒng)監(jiān)測(cè)到了攻擊流量之后，流量壓制系統(tǒng)便可以將用戶流量中的攻擊流量限制到一定的帶寬，在不中斷業(yè)務(wù)的情況下最小化攻擊造成的影響。

流量黑洞：當(dāng)分析系統(tǒng)檢測(cè)到了攻擊流量之后，通過流量清洗平臺(tái)對(duì)攻擊流量進(jìn)行封堵。

北京聯(lián)通流量分析清洗平臺(tái)優(yōu)勢(shì)主要體現(xiàn)在以下幾點(diǎn)：

1、?流量清洗自服務(wù)平臺(tái)滿足客戶自助式防護(hù)需求，達(dá)到自助發(fā)現(xiàn)、自助清洗、自助回注、自助計(jì)費(fèi)等功能，打造出業(yè)界唯一的用戶自助服務(wù)流量清洗產(chǎn)品；

2、?流量分析清洗一體化，通過對(duì)全網(wǎng)的Netflow數(shù)據(jù)進(jìn)行監(jiān)測(cè)，可快速發(fā)現(xiàn)異常流量，實(shí)現(xiàn)秒級(jí)告警，將流量監(jiān)測(cè)與流量清洗兩項(xiàng)服務(wù)有機(jī)結(jié)合，實(shí)現(xiàn)"查打一體"，實(shí)現(xiàn)行業(yè)領(lǐng)先的"秒級(jí)"響應(yīng)；

3、?基于運(yùn)營商獨(dú)有的流量黑洞處置能力，可以做到精細(xì)化的分方向封堵，封堵能力無上限；

4、?流量清洗能力方面，輕松應(yīng)對(duì)大流量攻擊，用戶無需任何配置和改造，流量原路徑回注；

5、?流量壓制能力方面，在對(duì)現(xiàn)有業(yè)務(wù)影響最小的情況下，實(shí)現(xiàn)大流量的精準(zhǔn)壓制，實(shí)現(xiàn)業(yè)務(wù)服務(wù)"0"抖動(dòng)；

6、?服務(wù)報(bào)表方面，提供豐富的服務(wù)報(bào)表與數(shù)據(jù)支撐，為客戶內(nèi)部擴(kuò)容、策略調(diào)整、攻擊溯源等提供強(qiáng)有力的支持；

7、?在服務(wù)支撐方面，北京聯(lián)通配備了7*24運(yùn)維團(tuán)隊(duì)，提供攻防演練、自動(dòng)防護(hù)、分析報(bào)告等多項(xiàng)專家級(jí)服務(wù)。

嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)：

12月11日，疑似匿名者（Anonymous）黑客組織成員在推特上號(hào)召發(fā)起針對(duì)全球中央銀行網(wǎng)站的代號(hào)為"OpIcarus 2018（OpIcarus 2.0）" 的新一輪攻擊行動(dòng)，攻擊名單中多個(gè)國內(nèi)銀行赫然在列。面對(duì)這樣的公開威脅，我們可以根據(jù)實(shí)際的防護(hù)場(chǎng)景，選用適合情境的解決方案，針對(duì)性地制定對(duì)策來緩解攻擊造成的威脅與影響。未來，安全態(tài)勢(shì)將會(huì)隨著技術(shù)與市場(chǎng)的進(jìn)步而更加嚴(yán)峻，主要體現(xiàn)在以下幾點(diǎn)：

1、信息系統(tǒng)的地位不斷提高，規(guī)模響應(yīng)逐漸體現(xiàn)，給系統(tǒng)的全面防護(hù)帶來難度。

大量的經(jīng)濟(jì)社會(huì)活動(dòng)、戰(zhàn)略性基礎(chǔ)資源都架構(gòu)在全球互聯(lián)互通的網(wǎng)絡(luò)之上，網(wǎng)絡(luò)中生產(chǎn)、傳輸和存儲(chǔ)的數(shù)據(jù)資產(chǎn)越來越重要，受到的攻擊也越來越多，而且多樣的終端類型、復(fù)雜的網(wǎng)絡(luò)架構(gòu)、海量的數(shù)據(jù)規(guī)模、融合的業(yè)務(wù)場(chǎng)景，都增加了安全防護(hù)的難度，任何一個(gè)環(huán)節(jié)出現(xiàn)漏洞，都可能導(dǎo)致整個(gè)網(wǎng)絡(luò)的失陷或癱瘓。

2、攻擊方式發(fā)生變化，攻擊手段不斷升級(jí)，實(shí)時(shí)響應(yīng)處置難度加大。

目前，攻擊模式已經(jīng)從單打獨(dú)斗的個(gè)人炫技向團(tuán)隊(duì)作戰(zhàn)的黑色產(chǎn)業(yè)轉(zhuǎn)化，攻擊工具日趨武器化和工程化，操作門檻進(jìn)一步降低，基于社會(huì)工程學(xué)的APT攻擊方法越來越隱蔽，分布式攻擊的規(guī)模越來越龐大，一旦爆發(fā)預(yù)埋或者0 day攻擊，很難進(jìn)行提前預(yù)警和快速響應(yīng)。

3、未來新型網(wǎng)絡(luò)以及新技術(shù)空前發(fā)展，將會(huì)為傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)帶來沖擊。

隨著5G、SDN等新技術(shù)的快速發(fā)展，IT、CT技術(shù)與行業(yè)應(yīng)用深度融合，驅(qū)動(dòng)網(wǎng)絡(luò)架構(gòu)深刻變革，導(dǎo)致網(wǎng)絡(luò)邊界進(jìn)一步模糊，網(wǎng)絡(luò)協(xié)議更加通用，業(yè)務(wù)邏輯更加復(fù)雜，而新技術(shù)的標(biāo)準(zhǔn)體系和演進(jìn)路線都沒有最終確定，現(xiàn)網(wǎng)應(yīng)用不夠充分，因此對(duì)于其安全可靠性還需要進(jìn)一步驗(yàn)證。

我們時(shí)刻準(zhǔn)備好

作為國內(nèi)首家支持IPv6流量清洗服務(wù)的運(yùn)營商，我們不僅著眼當(dāng)下，更將為未來的技術(shù)演進(jìn)以及市場(chǎng)發(fā)展做出前瞻性的探索。自從平臺(tái)上線以來，我們不斷跟進(jìn)前沿技術(shù)，打造先進(jìn)的安全防護(hù)產(chǎn)品；貼近終端用戶，有機(jī)結(jié)合運(yùn)營商與行業(yè)用戶的特點(diǎn)，提供行業(yè)定制化的解決方案；擁有眾多的行業(yè)客戶，自2014年平臺(tái)投入商用以來，積累了豐富的服務(wù)經(jīng)驗(yàn)；快速演進(jìn)迭代，實(shí)時(shí)響應(yīng)安全動(dòng)態(tài)，為快速變化的安全態(tài)勢(shì)時(shí)刻準(zhǔn)備著。