商業銀行IPv6應用現狀及展望

王屾

[摘 要]近年來，隨著信息技術的快速發展，互聯網普及程度不斷提高。而商業銀行作為信息技術高度敏感行業，同時也是基礎服務類行業，在我國大力推進IPv6應用的當下，必然需要對自身各類網絡應用進行IPv6改造。文章從IPv6協議應用現狀出發，探討了其在商業銀行應用的可行性及必要性，簡要分析了其在推廣過程中面臨的技術及管理方面問題，并對其應用前景進行了展望。

[關鍵詞]商業銀行;物理隔離;IPv6

[中圖分類號]TP393.04;F832.33

互聯網的高度發達給人們帶來了“幸福的煩惱”，設備太多，地址太少。IPv4協議定義的地址總量受限，在世界范圍內分配不均勻，我國地質總量不足4億。另外，IPv4地址段已經分配完成，這顯然與當前互聯網發展需求不相匹配，IPv6替代IPv4勢在必行。IPv6協議的起源可以追溯到20世紀90年代初，隨著相關標準、規范不斷成熟，IPv6逐漸成形。最近十多年，隨著IPv4地址資源耗盡、安全性不足等方面問題越發突出，IPv6發展及應用情況受到了更廣泛的關注。

1 我國IPv6應用情況

截至 2018年6月，手機網民規模達7.88億。顯然，數量有限的IPv4網絡地址遠遠無法滿足我國網絡發展需求，進一步擴展IPv6應用場景的緊迫性和必要性可見一斑。我國是全球較早開展IPv6技術研究和標準制定的國家，目前我國IPv6地址分配總數居全球第二位。但是，與歐美發達國家相比，我國IPv6整體發展仍相對滯后，國內IPv6用戶數占全體網民的比例仍然較低，IPv6應用普及程度有待提高。2016年12月國務院印發《“十三五”國家信息化規劃》，明確提出“2020年互聯網全面演進升級至IPv6”;2017年11月中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版（IPv6）規模部署行動計劃》，進一步明確了我國IPv6推廣工作的主要目標、重點工作及實施步驟。

2 商業銀行IPv6應用情況

近些年來，我國商業銀行發展迅速，作為基礎服務性行業的相關特性越發顯現，信息技術對其發展的重要性同樣有目共睹，無論從行業性質出發，還是從技術應用需求出發，逐步推廣IPv6應用已是必然。但是，基于對自身業務需求、系統改造復雜性及運營成本等多方面的綜合考慮，目前商業銀行在IPv6推廣方面仍處于探索研究階段，改造進程較為緩慢。針對商業銀行IPv6推廣使用現狀，2019年1月10日，人民銀行會同銀保監會、證監會聯合發布了《關于金融行業貫徹〈推進互聯網協議第六版（IPv6）規模部署行動計劃〉的實施意見》（以下簡稱《意見》），《意見》明確了商業銀行在互聯網應用方面IPv6推廣任務及完成時間節點，總體要求是2020年年底前商業銀行完成面向公眾服務的互聯網應用系統支持IPv6改造工作，并在完成上述工作后，持續開展網絡、應用等層面IPv6的推廣工作。

3 商業銀行IPv6推廣工作面臨的問題

我國商業銀行現有網絡架構較為明晰，網絡構成大體分為互聯網、業務網（或稱生產網）、辦公網等，不同網絡間普遍實現物理隔離，即各網絡均屬于獨立網絡，彼此之間一般無法直接通信。另外，大型商業銀行出于安全性及設備成本考慮，普遍對其下轄機構的互聯網出口進行限制，其基層機構一般不具有獨立的門戶網站，相關互聯網訪問需求一般集中在其總行層面，基層機構的互聯網絡主要為日常辦公提供服務，架構相對簡單。在《意見》中，涉及改造的主要是其面向客戶提供服務的門戶網站、網銀、手機銀行等互聯網應用，對于商業銀行而言改造工作相對集中，實施難度不大。但是，對于涉及更多內部管理層面的業務網、辦公網等“內部”網絡的改造工作，過程則會相對復雜，且面臨一定困難。

第一，現有內部網絡架構較為成熟，改造緊迫性不足。由于采用物理隔離的網絡架構，商業銀行內部網絡不受IPv4地址分配規則限制，理論上IPv4協議地址段均可應用于內部網絡，對于其有限的終端數量而言，地址“取之不盡、用之不竭”，不存在地址資源耗盡問題。另外，同樣基于其網絡物理隔離的原因，內部網絡安全性顯然遠高于互聯網，而IPv4協議存在的無加密數據傳輸等安全性問題，可以通過軟、硬件設施進行彌補，且一般還會使用防火墻、入侵檢測等安全設備防范內部網絡可能存在的攻擊行為。同時，采用統一的安全策略加固終端，IPv6相對IPv4的安全性提升不夠突出。同理，在內部網絡應用中，相較于IPv4協議，IPv6在路由表、QoS方面的優勢體現同樣不夠明顯。[1]

第二，改造工作任務量大，成本較高。網絡設備層面，雖然目前商業銀行使用的絕大多數網絡設備均支持IPv6協議，但在實際網絡改造過程中，多數網絡設備需要進行版本升級或相應配置調整操作，同時涉及基礎配置命令的改變，科技人員對相關技術要有一定了解，對設備配置命令需要進行重新學習。在防火墻等安全設備中，針對IPv4協議設置的安全策略需要進行相應調整。應用層面，各類核心系統、管理系統需要進行有針對性地改造，涉及相關軟硬件升級以及部分組成模塊或程序的重新開發。改造工作任務繁重，人員、資金投入等限制因素同樣突出。另外，若商業銀行選擇集中式升級，則可能存在一定安全風險。

第三，現有手段不再適用，管理方式需要改變。在商業銀行現有基于IPv4的內部網絡終端管理方面，管理體系較為成熟，地址申請與規劃相對簡單，終端普遍使用固定IP地址，采用IP與MAC地址綁定等管理模式，或基于IP地址進行權限管理等。系統管理方面，多采用基于源或者目的地址的訪問控制策略等形式，允許特定終端或地址段對相關應用進行訪問。用戶、IP地址、終端MAC地址具有一定對應關系，限制未授權終端接入網絡或非法訪問系統、服務器的同時，發生問題時能夠快速定位出現問題的終端設備及使用人。若進行IPv6改造，則現有的管理手段可能不再適用，管理模式及策略均需要進行調整。同時，相關的網絡設備、安全設備管理配置需要進行同步更新。雖然設備廠商大多設計了有針對性的管理方案，但目前缺乏成熟應用案例，其可行性及應用效果仍有待驗證。

4 金融行業IPv6發展建議

第一，強化制度保障，發揮政策引領作用。目前，我國IPv6應用仍然處于推廣初始階段，相關管理部門可以結合推廣過程中的經驗和遇到的問題，進一步完善各類方案，有針對性地制訂下一步發展規劃[2]，不斷強化政策引領作用，推動制定IPv6協議相關安全和管理行業標準，為商業銀行IPv6推廣工作提供政策保障。

第二，統籌規劃，分步實施，安全有序推進。商業銀行各類系統較多，建議綜合考慮系統重要性，區分業務與管理系統類別，結合各類系統改造難易程度，統籌規劃IPv6改造進程，通過建立模擬測試專網測試、分級機構試點部署、分批次推廣實現等步驟，在不影響現有服務、確保各類系統安全穩定運行的基礎上，實現IPv6改造過程的有序推進。

第三，加強學習培訓，提升知識儲備水平。IPv6協議雖然出現較早，但在實際應用中仍算“新鮮事物”，商業銀行科技人員對相關技術的理解和掌握程度可能存在差異。建議進一步加強對科技人員的專業培訓工作，不斷提升科技人員的技術水平，為IPv6推廣做好知識和技術儲備。

5 展 望

隨著IPv6應用領域逐漸擴大，實施方案逐漸成熟，商業銀行內部網絡的IPv6改造工作將提速。目前商業銀行各層級機構間多采用專線連接方式，而IPv6協議應用帶來的數據傳輸安全性提升，為商業銀行探索減少專線租賃、使用公用網絡辦公提供了可能，也為其基層人員移動辦公、現場營銷等工作模式提供了技術支持。IPv6協議的應用可能會令商業銀行內部辦公網與互聯網之間的物理邊界越來越模糊，在不降低商業銀行網絡安全性的同時，減少其在網絡硬件設備方面的投入。

參考文獻：

[1]李嘉偉，魏金俠，龍春.IPv6下一代互聯網安全問題探討及對策[J].科研信息化技術與應用，2018（1）：38-48.

[2]程東亮.金融業IPv6遷移過渡技術與策略探析[J].金融電子化，2018（6）：71-72.