文 / 中国人民银行青岛市分行 王富全 鞠卫华 曹希真 周肖
当前,物联网、人工智能等信息技术日新月异,基于互联网协议第四版(IPv4)的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约性问题。相比之下,互联网协议第六版(IPv6)以其充足的网络地址和广阔的创新空间,成为实现万物互联,促进生产生活数字化、网络化、智能化发展的关键要素,是全球公认的下一代互联网应用解决方案。大力发展基于IPv6的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的迫切需求。
在此背景下,中共中央办公厅和国务院办公厅于2017年印发《推进互联网协议第六版(IPv6)规模部署行动计划》,要求抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,加强统筹谋划,加快推进IPv6规模部署,构建高速率、广普及、全覆盖、智能化的下一代互联网。
在金融管理部门的指导下,金融行业积极行动,推动IPv6规模部署工作始终走在全国前列。人民银行青岛市分行牢固树立新发展理念,按照“统筹规划、应用先行、重点突破、创新发展”的思路,以推进IPv6规模部署为主线,强化基于IPv6的特色应用创新,以典型应用改造和特色应用创新为突破口,积极推进辖区金融机构互联网向IPv6演进升级,组织辖内20家金融机构完成了80个面向互联网应用系统IPv6规模部署工作任务。本文以青岛辖区金融行业为例,介绍了IPv6规模部署的工作经验,并提出了可能存在的安全挑战及应对方式的思考。
中国人民银行青岛市分行
党委委员、副行长 王富全
IPv6推进经验
1.高度重视,建立组织协调机制。2018年底,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会共同发布了《关于金融行业贯彻<推进互联网协议第六版(IPv6)规模部署行动计划>的实施意见》,为做好该项工作,人民银行青岛市分行将“IPv6规模部署”列为2019—2021年辖区金融行业重点工作任务,成立IPv6专项工作小组,明确了IPv6规模部署工作计划和预期目标,每季度召开专题会议研究部署进展工作进展,有力推动了辖区金融机构IPv6规模部署工作。
2.多措并举,健全考核督导机制。为切实推动IPv6改造进度,人民银行青岛市分行深入调研互联网基础软硬件设施情况、互联网应用现状,指导相关金融机构合理制定IPv6改造“时间表”“路线图”,建立“月调度、季总结”的工作机制,加强跟踪监测,及时了解工作进度和痛点难点。定期通过微信、电话等方式,对改造情况进行反馈、提醒,帮助各金融机构及时排除困难,加快改造进展。连续两年积极开展IPv6规模部署专项摸排工作,结合辖区实际情况,邀请专业技术公司对改造结果各项指标进行详细解读,并搭建摸排技术环境,深入查找改造过程中存在的问题,为工作顺利完成奠定坚实基础。
3.精选标杆,强化典型案例借鉴引领。针对中小金融机构改造方案、技术人员不足等问题,人民银行青岛市分行组织开展多次专项培训,邀请专业技术人员对IPv6改造工作要求、基础知识、部署方式、改造方案等进行多次重点介绍,按照“优中选优、资源整合”的原则深入发掘辖内金融机构IPv6改造先进经验和典型案例,选取青岛银行CDN技术在网站IPv6建设中的应用案例、青岛农商银行物联网IPv6部署应用案例进行经验交流分享,为各机构开展相关工作提供了切实可行的方案和有益借鉴。
4.查缺补漏,推进改造效果验证提升。为确保改造取得实效,人民银行青岛市分行秉持“全方位、全覆盖”的目标,针对辖区需改造应用系统的改造情况进行逐一核实和测试验证。在金融行业IPv6发展监测平台上线之初,自主搭建IPv6网络访问平台,实现了对IPv6网络环境的即时访问,弥补了金融行业IPv6发展监测平台监测时间间隔较长的问题,确保辖内Web类应用系统IPv6改造监测的针对性、灵活性和时效性明显改善,验证效果显著提升。自主搭建安卓和IOS监测验证环境,针对辖内所有App类应用系统全面实施对应环境的安装,并利用IPv6流量监控工具自主进行监测验证。通过上述措施,及时发现并反馈了已改造系统存在的访问不稳定、无法访问等问题50余项,确保改造过程总体稳定、改造质效持续提升。
取得成效
1.改造任务提前完成。在IPv6改造工作中,辖区各金融机构按要求坚持“稳中求进”工作原则和“创新发展”理念,结合自身实际情况,制定切实可行的改造方案。在时间紧、任务重的情况下,辖区20家金融机构的80个面向公众互联网应用系统均提前完成了IPv6系统改造工作任务。
2.改造质量稳定可靠。通过监测发现,辖区部分系统在改造工作完成后,仍存在IPv6环境访问不稳定、时延大等问题。针对这些问题,人民银行青岛市分行与各相关机构共同进行问题排查,全面测试迁移后系统功能及兼容性,做好问题记录,提出解决方案,确保IPv6系统上线后稳定运行,达到IPv6监测指标的各项要求。
3.改造过程平稳安全。辖区各金融机构在IPv6规模部署工作中,均能按照相关工作要求,坚持发展与安全并重,充分测试,稳健实施,利用非工作时间进行新版本系统的上线切换,保障了IPv6规模部署实施过程中网络和应用系统的安全稳定运行。
4.改造结果未来可期。改造工作初步完成后,人民银行青岛市分行以保障系统安全稳定运行为前提,推动辖区金融机构深入推进广域网、分支机构网络、数据中心的IPv6改造,积极拓展“IPv6+”技术在手机银行、网络银行、存汇款等业务场景的创新应用,探索实现“IPv6+”技术与业务新模式、新业态融合,不断提升IPv6应用的深度和广度。辖内青岛农商银行在生产网络高可用建设项目中,采用IPv6+创新技术,建设了高可用和智能化的下一代金融网络,为金融业务的连续性提供了坚实的技术支撑。
风险应对思考
1.及时跟进安全架构。IPv6规模部署工作复杂性高、时间线长,未来几年将面临IPv6和IPv4协议长期双栈运行的新常态。如何升级改造当前的网络安全架构,提升IPv6与IPv4并存下的网络安全将是一项长期且艰巨的任务。为应对该挑战,在进行IPv6网络改造的同时,应同步对网络安全进行规划建设,升级改造现有防火墙、入侵检测系统、安全审计系统等网络安全软硬件设施,确保应用系统全面支持IPv6地址和网络协议;同时,应关注IPv6环境下可能出现的新型安全威胁,如针对IPv6地址的攻击扫描等,提前规划安全防护手段,部署防御措施,切实保障IPv6网络安全。
2.做实做细风险管理。IPv6具有地址空间庞大、无需进行地址转换等特点,这对传统的最小粒度访问控制、地址转换等安全运维要求提出了挑战。应结合传统安全运维经验,做好IPv6网络风险控制,加强IPv6地址规划,确保地址分配准确、完整、合理、安全,加强地址备案管理,保障IPv6地址的可追溯性;结合自身网络结构、安全系统及生产系统特点做实做细IPv6改造方案,全面测试迁移后系统功能的有效性、安全性及兼容性,做好问题记录并针对性提出解决方案。同时,要健全和完善网络过渡阶段的应急保障体系和应急响应机制,持续提升对IPv6网络环境的支持能力,确保IPv6规模部署期间网络安全可靠、业务平稳连续。
3.充足保障资金和人员。IPv6规模部署工作需要较大的资金和人员投入,据了解,中小型地方性银行机构仅完成门户网站的软硬件改造预计需要200万至上千万不等,且改造结果不会为该机构带来明显的收益。各改造机构应深刻领会IPv6对国家发展的重要战略意义,提高政治站位,合理规划软硬件设备购置、技术研发、人员培训等资金预算,克服困难,全力以赴推进IPv6改造工作,为下一代互联网网络安全贡献力量。
(此文刊发于《金融电子化》2024年11月下半月刊)
滑动查看公告详情
新媒体中心
主任 / 邝源
编辑 / 姚亮宇 傅甜甜 张珺 邰思琪
