紀德偉：中石油建成全國最大IPv6生產網

在“2019中國IPv6發展論壇”上，中石油IPv6生產網項目經理紀德偉發表演講。他指出，首先應該分清IPv6改造重點，做好IPv6的合規化，對現有的IPv4信息化基礎設施做好前期評估工作，并在此基礎上制定好IPv6演進和改造的方案。

已建成全國最大的IPv6工業生產專網

中國石油IPv6部署工作在央企中開展較早，早在2012年就開始了IPv6相關研究和探索，探索方向主要在工業領域，即IPv6在工業生產領域能夠給中國石油提供怎樣的價值，最近幾年主要做了以下幾方面的工作。

一是經過三年多的建設，建成了全國最大的IPv6工業生產專網，建立了基于IPv6的網絡安全防護體系，完成了信息安全等級保護三級系統安全防護要求的測評和風險評估相關工作。整個IPv6生產專網，覆蓋了油田、采油廠、69個作業區以及800多個小廠，為大慶油田9148個大型的油氣生產設施和數據采集，提供了基于IPv6的接入。

二是構建了一套基于IPv6的可視化體系。該體系在IPv4環境下已經應用多年，中國石油進行了大量的技術攻關，使得該體系在IPv6環境下能夠發揮和IPv4環境下一樣的防護水平。

三是在工業協議方面，對地址轉換技術進行了探索，在專網區域內，增加了專網的數字化轉化。

四是對建設經驗進行總結，形成了16項標準。從2015年起，中國石油就致力于IPv6前瞻課題的探索，例如IPv6專網的流量分析、業務應用、關鍵業務保護方法等研究。中國石油早在2013年就組建了IPv6地址申請小組，同年9月就完成了IPv6地址申請。從目前發展來看，中國石油IPv6的應用在國內生產領域走在前列。

五是實現IPv4和IPv6的互通，未來將重點考慮安全領域的探索和實踐。中國石油與公安部、清華大學合作，做了大量有針對性的基于IPv6網絡安全方面的實驗。同時，實現了IPv6網絡溯源和真實地址驗證，每個終端都可以獲得唯一一個安全的地址，中國石油采用三維立體驗證平臺，解決了IPv6主機安全合法接入問題。由于中國石油整個生產環境與普通互聯網環境有所不同，通過這樣的方式可以把不同業務進行有效區分和歸類，保證業務系統的普遍性和安全性。

六是加強了IPv6網絡的安全，通過技術攻關在轉換系統中增加了介入和分析的功能，實現了網絡認知水平，增加了多轉換區域的支持能力，從而避免沒有轉換需求的終端暴露在轉換區域之內，增強用戶的安全特性。

七是設計了工業環境的IPv6安全協議，中國石油采用了業界領先的IPv4和IPv6平臺技術，實現了對企業門戶網站和加油站管理系統的IPv6改造。

加快推進IPv6生產網的規模部署

作為大型央企，中國石油將在下一個階段的IPv6部署工作中跟緊步伐，積極落實國家的各項政策和最終要求的各項任務。

下一步的工作重點主要有以下七個方面：第一，做好頂層設計，加強IPv6的統一管理和規劃。第二，規劃部署企業的IPv6運營服務，這里的運營主要是指在整個生產網中做好IPv6標識的解析以及對IPv6追蹤溯源進行統籌。第三，加快推進IPv6生產網的規模部署，滿足中國石油油氣生產業務的需求。第四，建設IPv6和IPv4的網絡部署環境，實現資源的互聯互通。第五，構建IPv6的安全防護體系。第六，加快企業系統IPv6部署改造，深化IPv6的業務。第七，加快IPv6相關企業標準的規劃和研究。