王屾

[摘 要]近年來，隨著信息技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)普及程度不斷提高。而商業(yè)銀行作為信息技術(shù)高度敏感行業(yè)，同時也是基礎服務類行業(yè)，在我國大力推進IPv6應用的當下，必然需要對自身各類網(wǎng)絡應用進行IPv6改造。文章從IPv6協(xié)議應用現(xiàn)狀出發(fā)，探討了其在商業(yè)銀行應用的可行性及必要性，簡要分析了其在推廣過程中面臨的技術(shù)及管理方面問題，并對其應用前景進行了展望。

[關鍵詞]商業(yè)銀行;物理隔離;IPv6

[中圖分類號]TP393.04;F832.33

互聯(lián)網(wǎng)的高度發(fā)達給人們帶來了“幸福的煩惱”，設備太多，地址太少。IPv4協(xié)議定義的地址總量受限，在世界范圍內(nèi)分配不均勻，我國地質(zhì)總量不足4億。另外，IPv4地址段已經(jīng)分配完成，這顯然與當前互聯(lián)網(wǎng)發(fā)展需求不相匹配，IPv6替代IPv4勢在必行。IPv6協(xié)議的起源可以追溯到20世紀90年代初，隨著相關標準、規(guī)范不斷成熟，IPv6逐漸成形。最近十多年，隨著IPv4地址資源耗盡、安全性不足等方面問題越發(fā)突出，IPv6發(fā)展及應用情況受到了更廣泛的關注。

1 我國IPv6應用情況

截至 2018年6月，手機網(wǎng)民規(guī)模達7.88億。顯然，數(shù)量有限的IPv4網(wǎng)絡地址遠遠無法滿足我國網(wǎng)絡發(fā)展需求，進一步擴展IPv6應用場景的緊迫性和必要性可見一斑。我國是全球較早開展IPv6技術(shù)研究和標準制定的國家，目前我國IPv6地址分配總數(shù)居全球第二位。但是，與歐美發(fā)達國家相比，我國IPv6整體發(fā)展仍相對滯后，國內(nèi)IPv6用戶數(shù)占全體網(wǎng)民的比例仍然較低，IPv6應用普及程度有待提高。2016年12月國務院印發(fā)《“十三五”國家信息化規(guī)劃》，明確提出“2020年互聯(lián)網(wǎng)全面演進升級至IPv6”;2017年11月中共中央辦公廳、國務院辦公廳印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，進一步明確了我國IPv6推廣工作的主要目標、重點工作及實施步驟。

2 商業(yè)銀行IPv6應用情況

近些年來，我國商業(yè)銀行發(fā)展迅速，作為基礎服務性行業(yè)的相關特性越發(fā)顯現(xiàn)，信息技術(shù)對其發(fā)展的重要性同樣有目共睹，無論從行業(yè)性質(zhì)出發(fā)，還是從技術(shù)應用需求出發(fā)，逐步推廣IPv6應用已是必然。但是，基于對自身業(yè)務需求、系統(tǒng)改造復雜性及運營成本等多方面的綜合考慮，目前商業(yè)銀行在IPv6推廣方面仍處于探索研究階段，改造進程較為緩慢。針對商業(yè)銀行IPv6推廣使用現(xiàn)狀，2019年1月10日，人民銀行會同銀保監(jiān)會、證監(jiān)會聯(lián)合發(fā)布了《關于金融行業(yè)貫徹〈推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃〉的實施意見》（以下簡稱《意見》），《意見》明確了商業(yè)銀行在互聯(lián)網(wǎng)應用方面IPv6推廣任務及完成時間節(jié)點，總體要求是2020年年底前商業(yè)銀行完成面向公眾服務的互聯(lián)網(wǎng)應用系統(tǒng)支持IPv6改造工作，并在完成上述工作后，持續(xù)開展網(wǎng)絡、應用等層面IPv6的推廣工作。

3 商業(yè)銀行IPv6推廣工作面臨的問題

我國商業(yè)銀行現(xiàn)有網(wǎng)絡架構(gòu)較為明晰，網(wǎng)絡構(gòu)成大體分為互聯(lián)網(wǎng)、業(yè)務網(wǎng)（或稱生產(chǎn)網(wǎng)）、辦公網(wǎng)等，不同網(wǎng)絡間普遍實現(xiàn)物理隔離，即各網(wǎng)絡均屬于獨立網(wǎng)絡，彼此之間一般無法直接通信。另外，大型商業(yè)銀行出于安全性及設備成本考慮，普遍對其下轄機構(gòu)的互聯(lián)網(wǎng)出口進行限制，其基層機構(gòu)一般不具有獨立的門戶網(wǎng)站，相關互聯(lián)網(wǎng)訪問需求一般集中在其總行層面，基層機構(gòu)的互聯(lián)網(wǎng)絡主要為日常辦公提供服務，架構(gòu)相對簡單。在《意見》中，涉及改造的主要是其面向客戶提供服務的門戶網(wǎng)站、網(wǎng)銀、手機銀行等互聯(lián)網(wǎng)應用，對于商業(yè)銀行而言改造工作相對集中，實施難度不大。但是，對于涉及更多內(nèi)部管理層面的業(yè)務網(wǎng)、辦公網(wǎng)等“內(nèi)部”網(wǎng)絡的改造工作，過程則會相對復雜，且面臨一定困難。

第一，現(xiàn)有內(nèi)部網(wǎng)絡架構(gòu)較為成熟，改造緊迫性不足。由于采用物理隔離的網(wǎng)絡架構(gòu)，商業(yè)銀行內(nèi)部網(wǎng)絡不受IPv4地址分配規(guī)則限制，理論上IPv4協(xié)議地址段均可應用于內(nèi)部網(wǎng)絡，對于其有限的終端數(shù)量而言，地址“取之不盡、用之不竭”，不存在地址資源耗盡問題。另外，同樣基于其網(wǎng)絡物理隔離的原因，內(nèi)部網(wǎng)絡安全性顯然遠高于互聯(lián)網(wǎng)，而IPv4協(xié)議存在的無加密數(shù)據(jù)傳輸?shù)劝踩詥栴}，可以通過軟、硬件設施進行彌補，且一般還會使用防火墻、入侵檢測等安全設備防范內(nèi)部網(wǎng)絡可能存在的攻擊行為。同時，采用統(tǒng)一的安全策略加固終端，IPv6相對IPv4的安全性提升不夠突出。同理，在內(nèi)部網(wǎng)絡應用中，相較于IPv4協(xié)議，IPv6在路由表、QoS方面的優(yōu)勢體現(xiàn)同樣不夠明顯。[1]

第二，改造工作任務量大，成本較高。網(wǎng)絡設備層面，雖然目前商業(yè)銀行使用的絕大多數(shù)網(wǎng)絡設備均支持IPv6協(xié)議，但在實際網(wǎng)絡改造過程中，多數(shù)網(wǎng)絡設備需要進行版本升級或相應配置調(diào)整操作，同時涉及基礎配置命令的改變，科技人員對相關技術(shù)要有一定了解，對設備配置命令需要進行重新學習。在防火墻等安全設備中，針對IPv4協(xié)議設置的安全策略需要進行相應調(diào)整。應用層面，各類核心系統(tǒng)、管理系統(tǒng)需要進行有針對性地改造，涉及相關軟硬件升級以及部分組成模塊或程序的重新開發(fā)。改造工作任務繁重，人員、資金投入等限制因素同樣突出。另外，若商業(yè)銀行選擇集中式升級，則可能存在一定安全風險。

第三，現(xiàn)有手段不再適用，管理方式需要改變。在商業(yè)銀行現(xiàn)有基于IPv4的內(nèi)部網(wǎng)絡終端管理方面，管理體系較為成熟，地址申請與規(guī)劃相對簡單，終端普遍使用固定IP地址，采用IP與MAC地址綁定等管理模式，或基于IP地址進行權(quán)限管理等。系統(tǒng)管理方面，多采用基于源或者目的地址的訪問控制策略等形式，允許特定終端或地址段對相關應用進行訪問。用戶、IP地址、終端MAC地址具有一定對應關系，限制未授權(quán)終端接入網(wǎng)絡或非法訪問系統(tǒng)、服務器的同時，發(fā)生問題時能夠快速定位出現(xiàn)問題的終端設備及使用人。若進行IPv6改造，則現(xiàn)有的管理手段可能不再適用，管理模式及策略均需要進行調(diào)整。同時，相關的網(wǎng)絡設備、安全設備管理配置需要進行同步更新。雖然設備廠商大多設計了有針對性的管理方案，但目前缺乏成熟應用案例，其可行性及應用效果仍有待驗證。

4 金融行業(yè)IPv6發(fā)展建議

第一，強化制度保障，發(fā)揮政策引領作用。目前，我國IPv6應用仍然處于推廣初始階段，相關管理部門可以結(jié)合推廣過程中的經(jīng)驗和遇到的問題，進一步完善各類方案，有針對性地制訂下一步發(fā)展規(guī)劃[2]，不斷強化政策引領作用，推動制定IPv6協(xié)議相關安全和管理行業(yè)標準，為商業(yè)銀行IPv6推廣工作提供政策保障。

第二，統(tǒng)籌規(guī)劃，分步實施，安全有序推進。商業(yè)銀行各類系統(tǒng)較多，建議綜合考慮系統(tǒng)重要性，區(qū)分業(yè)務與管理系統(tǒng)類別，結(jié)合各類系統(tǒng)改造難易程度，統(tǒng)籌規(guī)劃IPv6改造進程，通過建立模擬測試專網(wǎng)測試、分級機構(gòu)試點部署、分批次推廣實現(xiàn)等步驟，在不影響現(xiàn)有服務、確保各類系統(tǒng)安全穩(wěn)定運行的基礎上，實現(xiàn)IPv6改造過程的有序推進。

第三，加強學習培訓，提升知識儲備水平。IPv6協(xié)議雖然出現(xiàn)較早，但在實際應用中仍算“新鮮事物”，商業(yè)銀行科技人員對相關技術(shù)的理解和掌握程度可能存在差異。建議進一步加強對科技人員的專業(yè)培訓工作，不斷提升科技人員的技術(shù)水平，為IPv6推廣做好知識和技術(shù)儲備。

5 展 望

隨著IPv6應用領域逐漸擴大，實施方案逐漸成熟，商業(yè)銀行內(nèi)部網(wǎng)絡的IPv6改造工作將提速。目前商業(yè)銀行各層級機構(gòu)間多采用專線連接方式，而IPv6協(xié)議應用帶來的數(shù)據(jù)傳輸安全性提升，為商業(yè)銀行探索減少專線租賃、使用公用網(wǎng)絡辦公提供了可能，也為其基層人員移動辦公、現(xiàn)場營銷等工作模式提供了技術(shù)支持。IPv6協(xié)議的應用可能會令商業(yè)銀行內(nèi)部辦公網(wǎng)與互聯(lián)網(wǎng)之間的物理邊界越來越模糊，在不降低商業(yè)銀行網(wǎng)絡安全性的同時，減少其在網(wǎng)絡硬件設備方面的投入。

參考文獻：

[1]李嘉偉，魏金俠，龍春.IPv6下一代互聯(lián)網(wǎng)安全問題探討及對策[J].科研信息化技術(shù)與應用，2018（1）：38-48.

[2]程東亮.金融業(yè)IPv6遷移過渡技術(shù)與策略探析[J].金融電子化，2018（6）：71-72.