商业银行IPv6应用现状及展望
2019-06-13王屾
王屾
[摘 要]近年来,随着信息技术的快速发展,互联网普及程度不断提高。而商业银行作为信息技术高度敏感行业,同时也是基础服务类行业,在我国大力推进IPv6应用的当下,必然需要对自身各类网络应用进行IPv6改造。文章从IPv6协议应用现状出发,探讨了其在商业银行应用的可行性及必要性,简要分析了其在推广过程中面临的技术及管理方面问题,并对其应用前景进行了展望。
[关键词]商业银行;物理隔离;IPv6
[中图分类号]TP393.04;F832.33
互联网的高度发达给人们带来了“幸福的烦恼”,设备太多,地址太少。IPv4协议定义的地址总量受限,在世界范围内分配不均匀,我国地质总量不足4亿。另外,IPv4地址段已经分配完成,这显然与当前互联网发展需求不相匹配,IPv6替代IPv4势在必行。IPv6协议的起源可以追溯到20世纪90年代初,随着相关标准、规范不断成熟,IPv6逐渐成形。最近十多年,随着IPv4地址资源耗尽、安全性不足等方面问题越发突出,IPv6发展及应用情况受到了更广泛的关注。
1 我国IPv6应用情况
截至 2018年6月,手机网民规模达7.88亿。显然,数量有限的IPv4网络地址远远无法满足我国网络发展需求,进一步扩展IPv6应用场景的紧迫性和必要性可见一斑。我国是全球较早开展IPv6技术研究和标准制定的国家,目前我国IPv6地址分配总数居全球第二位。但是,与欧美发达国家相比,我国IPv6整体发展仍相对滞后,国内IPv6用户数占全体网民的比例仍然较低,IPv6应用普及程度有待提高。2016年12月国务院印发《“十三五”国家信息化规划》,明确提出“2020年互联网全面演进升级至IPv6”;2017年11月中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,进一步明确了我国IPv6推广工作的主要目标、重点工作及实施步骤。
2 商业银行IPv6应用情况
近些年来,我国商业银行发展迅速,作为基础服务性行业的相关特性越发显现,信息技术对其发展的重要性同样有目共睹,无论从行业性质出发,还是从技术应用需求出发,逐步推广IPv6应用已是必然。但是,基于对自身业务需求、系统改造复杂性及运营成本等多方面的综合考虑,目前商业银行在IPv6推广方面仍处于探索研究阶段,改造进程较为缓慢。针对商业银行IPv6推广使用现状,2019年1月10日,人民银行会同银保监会、证监会联合发布了《关于金融行业贯彻〈推进互联网协议第六版(IPv6)规模部署行动计划〉的实施意见》(以下简称《意见》),《意见》明确了商业银行在互联网应用方面IPv6推广任务及完成时间节点,总体要求是2020年年底前商业银行完成面向公众服务的互联网应用系统支持IPv6改造工作,并在完成上述工作后,持续开展网络、应用等层面IPv6的推广工作。
3 商业银行IPv6推广工作面临的问题
我国商业银行现有网络架构较为明晰,网络构成大体分为互联网、业务网(或称生产网)、办公网等,不同网络间普遍实现物理隔离,即各网络均属于独立网络,彼此之间一般无法直接通信。另外,大型商业银行出于安全性及设备成本考虑,普遍对其下辖机构的互联网出口进行限制,其基层机构一般不具有独立的门户网站,相关互联网访问需求一般集中在其总行层面,基层机构的互联网络主要为日常办公提供服务,架构相对简单。在《意见》中,涉及改造的主要是其面向客户提供服务的门户网站、网银、手机银行等互联网应用,对于商业银行而言改造工作相对集中,实施难度不大。但是,对于涉及更多内部管理层面的业务网、办公网等“内部”网络的改造工作,过程则会相对复杂,且面临一定困难。
第一,现有内部网络架构较为成熟,改造紧迫性不足。由于采用物理隔离的网络架构,商业银行内部网络不受IPv4地址分配规则限制,理论上IPv4协议地址段均可应用于内部网络,对于其有限的终端数量而言,地址“取之不尽、用之不竭”,不存在地址资源耗尽问题。另外,同样基于其网络物理隔离的原因,内部网络安全性显然远高于互联网,而IPv4协议存在的无加密数据传输等安全性问题,可以通过软、硬件设施进行弥补,且一般还会使用防火墙、入侵检测等安全设备防范内部网络可能存在的攻击行为。同时,采用统一的安全策略加固终端,IPv6相对IPv4的安全性提升不够突出。同理,在内部网络应用中,相较于IPv4协议,IPv6在路由表、QoS方面的优势体现同样不够明显。[1]
第二,改造工作任务量大,成本较高。网络设备层面,虽然目前商业银行使用的绝大多数网络设备均支持IPv6协议,但在实际网络改造过程中,多数网络设备需要进行版本升级或相应配置调整操作,同时涉及基础配置命令的改变,科技人员对相关技术要有一定了解,对设备配置命令需要进行重新学习。在防火墙等安全设备中,针对IPv4协议设置的安全策略需要进行相应调整。应用层面,各类核心系统、管理系统需要进行有针对性地改造,涉及相关软硬件升级以及部分组成模块或程序的重新开发。改造工作任务繁重,人员、资金投入等限制因素同樣突出。另外,若商业银行选择集中式升级,则可能存在一定安全风险。
第三,现有手段不再适用,管理方式需要改变。在商业银行现有基于IPv4的内部网络终端管理方面,管理体系较为成熟,地址申请与规划相对简单,终端普遍使用固定IP地址,采用IP与MAC地址绑定等管理模式,或基于IP地址进行权限管理等。系统管理方面,多采用基于源或者目的地址的访问控制策略等形式,允许特定终端或地址段对相关应用进行访问。用户、IP地址、终端MAC地址具有一定对应关系,限制未授权终端接入网络或非法访问系统、服务器的同时,发生问题时能够快速定位出现问题的终端设备及使用人。若进行IPv6改造,则现有的管理手段可能不再适用,管理模式及策略均需要进行调整。同时,相关的网络设备、安全设备管理配置需要进行同步更新。虽然设备厂商大多设计了有针对性的管理方案,但目前缺乏成熟应用案例,其可行性及应用效果仍有待验证。
4 金融行业IPv6发展建议
第一,强化制度保障,发挥政策引领作用。目前,我国IPv6应用仍然处于推广初始阶段,相关管理部门可以结合推广过程中的经验和遇到的问题,进一步完善各类方案,有针对性地制订下一步发展规划[2],不断强化政策引领作用,推动制定IPv6协议相关安全和管理行业标准,为商业银行IPv6推广工作提供政策保障。
第二,统筹规划,分步实施,安全有序推进。商业银行各类系统较多,建议综合考虑系统重要性,区分业务与管理系统类别,结合各类系统改造难易程度,统筹规划IPv6改造进程,通过建立模拟测试专网测试、分级机构试点部署、分批次推广实现等步骤,在不影响现有服务、确保各类系统安全稳定运行的基础上,实现IPv6改造过程的有序推进。
第三,加强学习培训,提升知识储备水平。IPv6协议虽然出现较早,但在实际应用中仍算“新鲜事物”,商业银行科技人员对相关技术的理解和掌握程度可能存在差异。建议进一步加强对科技人员的专业培训工作,不断提升科技人员的技术水平,为IPv6推广做好知识和技术储备。
5 展 望
随着IPv6应用领域逐渐扩大,实施方案逐渐成熟,商业银行内部网络的IPv6改造工作将提速。目前商业银行各层级机构间多采用专线连接方式,而IPv6协议应用带来的数据传输安全性提升,为商业银行探索减少专线租赁、使用公用网络办公提供了可能,也为其基层人员移动办公、现场营销等工作模式提供了技术支持。IPv6协议的应用可能会令商业银行内部办公网与互联网之间的物理边界越来越模糊,在不降低商业银行网络安全性的同时,减少其在网络硬件设备方面的投入。
参考文献:
[1]李嘉伟,魏金侠,龙春.IPv6下一代互联网安全问题探讨及对策[J].科研信息化技术与应用,2018(1):38-48.
[2]程东亮.金融业IPv6迁移过渡技术与策略探析[J].金融电子化,2018(6):71-72.