2019年1月，中國人民銀行聯合中國銀行保險監督管理委員會、中國證券監督管理委員會印發了《關于金融行業貫徹〈推進互聯網協議第六版（IPv6）規模部署行動計劃〉的實施意見》，提出了金融行業IPv6規模部署的規劃和推進路徑，金融行業IPv6規模部署工作穩步有序推進。

目前，已有部分機構的部分系統實現了IPv4向IPv6的平滑過渡。

進入后IPv4時代的金融行業網絡安全亟待加強。

　　安全挑戰　　IPv6是數據包交換互聯網絡的網絡層協議，由互聯網工程任務小組設計用來替代IPv4協議，主要用于尋址和路由。

作為下一代網絡協議，IPv6在安全性方面較IPv4具有明顯的優勢。

有巨大的地址空間；由多播代替廣播；具有IPSec加密系統。

但是任何一項協議都不是絕對安全的。

隨著金融行業IPv6的規模部署，新的安全挑戰出現。

從網絡協議角度，IPv6作為IPv4的下一代，與IPv4同屬于網絡層的傳輸協議，其原理是相似的，必然要面對從IPv4繼承來的一些安全問題。

同時在IPv4向IPv6的改造過程中，各種過渡技術與方案的安全隱患也不容忽視。

　　（一）IPv6新增安全問題。

IPv6報文結構中引入的新字段、IPv6協議族中引入的新協議都將可能引發新的安全問題。

一是利用擴展頭進行拒絕服務攻擊。

為了提高路由器轉發數據包的效率，IPv6設計了擴展報頭取代了IPv4的選項。

但是IPv6數據包可以支持任意數量的擴展頭，而且不限長度。

IPv6路由器在處理包含IPv6擴展頭的數據包的過程中，唯一要處理的就是逐跳選項擴展報頭。

如果此時攻擊者發送大量的擴展頭，那么路由器就會花費大量的時間和速率來處理擴展頭，導致性能下降，產生拒絕服務攻擊行為。

二是地址欺騙攻擊。

IPv6使用的是鄰居發現協議(NS)來發現其他節點和相應地址。

在節點之間進行初次適配時會發送NS報文，此時的NS報文中包含有節點對應的地址。

攻擊者如果在這個時候偽造對應的NS報文，并返回此地址已經被使用的報文給發送節點，那么節點將會被迫更換地址。

通過持續攻擊，節點將無法完成地址適配，從而無法進行正常通信。

三是IPSec漏洞攻擊。

在部署有IPSec的設備之間通信時，內容在整個傳輸過程中是透明的，沒有密鑰是無法獲知內容的。

而一旦竊聽者通過某種途徑獲取了密碼時，那么這個時候傳輸數據將被順利獲取，對信息安全造成威脅。

四是IPv6分片攻擊。

IPv6在在處理數據的過程中會丟棄小于1280字節的數據包，同時引入入侵檢測系統，此舉可以有效避免可能進行的分片攻擊。

但是攻擊者仍然可以在數據進行分片時進行重組然后打亂，此時監測系統就不會識別出正確順序，攻擊數據將會趁機而入。

攻擊者也可以故意不發送數據包中的一部分分片包或者故意發送多個分片包，從而耗盡內存資源導致系統崩潰。

　　（二）IPv4向IPv6過渡期安全問題。

當前金融行業正逐步實施由IPv4向IPv6的過渡，IPv4將在一段時期內與IPv6共存。

金融行業在過渡時期采用的技術方案主要有雙棧技術、隧道技術和NAT地址轉換，這三種技術也為金融行業網絡安全帶來新的問題。

雙棧技術同時運行IPv4和IPv6兩個邏輯通道，增加了系統的暴露面，需要在防火墻等安全設備配置雙棧策略，維護風險加倍，網絡防火策略更加復雜，網絡被侵入的可能性加倍。

隧道技術缺乏內置認證、完整性和加密等安全功能，僅對數據包進行簡單的封裝與解封操作，內置認證不足，缺乏安全保障，不會對IPv4及IPv6的地址關系進行嚴格檢查，導致隧道報文容易泄露，并通過對內層及外層地址的偽造，以合法用戶的形式向隧道注入流量。

NAT地址轉換的應用使IP流在不同協議間轉換，涉及載荷轉換，易形成NAT設備地址池消耗殆盡等問題，導致DDoS攻擊問題。

出口邊緣的翻譯設備作為IPv6與IPv4互連節點，成為NAT的安全瓶頸，一旦被攻擊可能導致網絡癱瘓。

　　應對措施　　IPv6設計了一系列安全機制，促使網絡安全性得到了提升。

但在認識到IPv6安全性優勢的同時，金融行業還應關注IPv6存在的安全問題，深入研究IPv6的技術特點，針對各種可能的安全威脅，改進完善技術手段，建立健全防范機制，繼而提升IPv6在經濟金融領域深度融合的安全保障能力。

　　（一）提高安全意識。

金融行業要強化風險控制意識，堅持發展與安全并舉，推進IPv6規模部署與網絡安全同步規劃、同步建設、同步運行。

統籌考量基礎設施層、應用層和業務層的安全防護，強化縱深防御體系，在各平面采取措施加強安全漏洞管理，防范IPv6升級改造引發的安全生產風險。

　　（二）加強行業溝通。

通過金融行業之間、金融行業與信息產業之間的聯合發力，及時掌握IPv6技術動態與行業、產業發展狀況，分享IPv6改造防護經驗，借助優秀企業的技術實力，不斷學習、吸收先進的防護技術和理念。

分工開展各類IPv6軟硬件基礎設施在金融行業的測試工作，降低金融行業IPv6產品應用重復試錯成本。

　　（三）保障經費投入。

金融行業要劃撥專項費用用于網絡設備升級換代，采購相應的防護服務。

確保路由器、防火墻和入侵檢測系統軟硬件功能、性能適應IPv6的安全需要。

同時經費投入要滿足針對IPv6網絡開展的網絡安全等級保護、風險評估等工作的需要。

　　（四）做好技術防護。

金融行業對于引入IPv6后網絡安全領域出現的新問題，有針對性地采用靜態配置隧道、密碼生成地址、擴展頭合法性檢查、網絡層加密、關閉不必要服務端口、細化邊界設備過濾規則、防范翻譯設備DDoS攻擊等策略、方式確保業務連續性能力和安全保護能力不低于原有水平。