政務(wù)云建設(shè)應(yīng)為IPv6升級早做準(zhǔn)備

編者按：2019年是政務(wù)云系統(tǒng)與政府網(wǎng)站IPv6升級的關(guān)鍵一年，也是一個改造疊加期。完成政府網(wǎng)站的政務(wù)云遷移同時應(yīng)綜合考慮IPv6的配置，提高財政資金使用效益。

政務(wù)云建設(shè)應(yīng)為IPv6升級早做準(zhǔn)備

■ 張澤明

2019年，IPv6（互聯(lián)網(wǎng)協(xié)議第6版）推進(jìn)工作將駛?cè)肟燔嚨?。IPv6逐步普及的過程，正與各地政務(wù)云建設(shè)時間疊加。由于IPv6的引入將引發(fā)政務(wù)云部署配置的重大變化，相關(guān)單位在進(jìn)行政務(wù)云建設(shè)時應(yīng)統(tǒng)籌規(guī)劃，協(xié)調(diào)做好云系統(tǒng)建設(shè)與IPv6地址升級工作，把握好政務(wù)云建設(shè)的節(jié)奏，提高財政資金使用效益，避免云系統(tǒng)重復(fù)建設(shè)形成資金浪費(fèi)，或后引入IPv6導(dǎo)致預(yù)算超支，最大限度保證云業(yè)務(wù)的平穩(wěn)遷移。

升級迫在眉睫

IP version 6 (IPv6)是IP協(xié)議（Internet Protocol）的最新版本，設(shè)計(jì)作為IP version 4 (IPv4)的繼任版本。IP協(xié)議是互聯(lián)網(wǎng)網(wǎng)絡(luò)層的基本協(xié)議。相對于IPv4，IPv6有哪些變化？

筆者認(rèn)為，改變主要有以下幾方面：一是擴(kuò)展地址容量，解決目前IPv4地址不足的情況，使用IPv6將保證每個設(shè)備都能分配到公網(wǎng)地址。二是簡化了IP頭字段格式。三是改進(jìn)了報文擴(kuò)展字段和選項(xiàng)，使轉(zhuǎn)發(fā)更靈活高效。四是提供流標(biāo)簽功能。五是增強(qiáng)了認(rèn)證和隱私功能。

IPv4地址的日漸枯竭，使其交易價格不斷攀升，且對終端設(shè)備接入網(wǎng)絡(luò)造成嚴(yán)重阻礙。同時，隨著5G、物聯(lián)網(wǎng)技術(shù)的不斷成熟，萬物互聯(lián)時代即將到來，隨之而來的是海量的終端設(shè)備接入需求，目前的IPv4地址空間不足以支撐未來發(fā)展要求。

有鑒于此，2017年11月26日，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計(jì)劃》，2018年5月2日，工信部印發(fā)《貫徹落實(shí)<推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計(jì)劃>的通知》，按照這兩個文件精神，我國的IPv6推進(jìn)工作有了明確的“落地時間表”。

各行業(yè)加速IPv6落地

按照兩辦及工信部IPv6規(guī)模部署行動計(jì)劃，各行業(yè)均已按照“落地時間表”加速推進(jìn)部署。

在云服務(wù)平臺IPv6改造上，到2018年末，中國電信、中國移動、中國聯(lián)通面向公眾提供服務(wù)的云服務(wù)平臺完成50%云產(chǎn)品IPv6改造，阿里云、騰訊云、金山云、UCloud、華為云、華云、迅達(dá)云、百度云、京東云、青云等云服務(wù)平臺企業(yè)完成50%云產(chǎn)品IPv6改造。到2020年末，上述企業(yè)完成全部云產(chǎn)品IPv6改造。鼓勵云服務(wù)企業(yè)面向用戶提供IPv6技術(shù)咨詢、網(wǎng)站改造等服務(wù)。

在域名系統(tǒng)的IPv6改造上，到2018年末，中國電信、中國移動、中國聯(lián)通完成遞歸域名解析服務(wù)器的IPv6改造，萬網(wǎng)、新網(wǎng)互聯(lián)、中國互聯(lián)網(wǎng)信息中心（CNNIC）、政府和公益機(jī)構(gòu)域名注冊管理中心（CONAC）、西部數(shù)碼、三五互聯(lián)、易名中國、中國數(shù)據(jù)、愛名網(wǎng)、聯(lián)動天下、商務(wù)中國、時代互聯(lián)完成IPv6改造，構(gòu)建域名注冊、解析、管理全鏈條IPv6支持能力。

在政府網(wǎng)站IPv6改造上，到2018年末，工業(yè)和信息化部完成門戶網(wǎng)站IPv6改造；到2019年末，部屬各單位、部屬各高校及各省、自治區(qū)、直轄市通信管理局完成門戶網(wǎng)站IPv6改造。

電信運(yùn)營商方面，中國電信全網(wǎng)設(shè)備已基本完成升級改造，具備全網(wǎng)開通能力。中國聯(lián)通目標(biāo)是2018年完成基礎(chǔ)設(shè)施改造，部分重點(diǎn)城市完成網(wǎng)絡(luò)改造。中國移動已完成4G、骨干網(wǎng)和10省的升級改造。

政務(wù)云IPv6改造應(yīng)早做規(guī)劃

2019年是政務(wù)云系統(tǒng)與政府網(wǎng)站IPv6升級的關(guān)鍵一年，也是一個改造疊加期。按照“落地時間表”，工信部部屬各單位、部屬各高校及各省、自治區(qū)、直轄市通信管理局應(yīng)在2019年末完成門戶網(wǎng)站IPv6改造，市地級以上政府外網(wǎng)網(wǎng)站系統(tǒng)的IPv6改造應(yīng)在2020年前完成。因此，2019年各地政府網(wǎng)站的IPv6改造可謂箭在弦上，完成政府網(wǎng)站的政務(wù)云遷移同時綜合考慮IPv6的配置，已經(jīng)是必須要完成的工作。

同時，工信部也有完善相關(guān)電信業(yè)務(wù)管理要求，要求數(shù)據(jù)中心（含云服務(wù)）、內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）等運(yùn)營企業(yè)在提交年報時，提供支持IPv6相關(guān)情況；修訂電信設(shè)備進(jìn)網(wǎng)檢測的相關(guān)規(guī)定，明確網(wǎng)絡(luò)及終端設(shè)備進(jìn)網(wǎng)中有關(guān)IPv6的檢測要求。

應(yīng)該看到，政務(wù)云系統(tǒng)要進(jìn)行IPv6改造，不是一個一蹴而就的過程，筆者認(rèn)為，采購人在近期進(jìn)行政務(wù)云建設(shè)時應(yīng)該有如下幾層考慮。

一是保持新網(wǎng)絡(luò)意識。IPv6升級是整個網(wǎng)絡(luò)的系統(tǒng)工程，一個單位的云系統(tǒng)，既不能置身“網(wǎng)”外獨(dú)善其身，也不可能特立獨(dú)行先人一步。故而在進(jìn)行政務(wù)云設(shè)計(jì)時，一定要始終保有IPv6的新網(wǎng)絡(luò)意識，政務(wù)云的建設(shè)要以最終保持平滑過渡到IPv6為使命，要堅(jiān)信IPv6升級是一個逐步加速且不可逆的過程。在進(jìn)行政務(wù)云建設(shè)時，既要保持IPv6能力，又要與整個中國互聯(lián)網(wǎng)的IPv6建設(shè)同步，確保投資精準(zhǔn)，效益顯著。

二是防止出現(xiàn)重復(fù)建設(shè)。IPv6各地的推動進(jìn)程有差異，政務(wù)云系統(tǒng)的IPv6升級既與云供應(yīng)商的技術(shù)能力相關(guān)，又與當(dāng)?shù)氐木W(wǎng)絡(luò)運(yùn)營商的網(wǎng)絡(luò)環(huán)境提供密切相關(guān)。目前，IPv6的運(yùn)營商端環(huán)境初見成果，運(yùn)營商推進(jìn)IPv6的時間表也很清晰。政務(wù)云的建設(shè)單位務(wù)必要保持云供應(yīng)商、運(yùn)營商、網(wǎng)絡(luò)監(jiān)管部門之間良好的配合關(guān)系，保障政務(wù)云系統(tǒng)建設(shè)能同當(dāng)?shù)氐木W(wǎng)絡(luò)IPv6改造有機(jī)融合，最大限度防止IPv4政務(wù)云剛剛落地又推倒重來的重復(fù)建設(shè)情況。

三是統(tǒng)籌規(guī)劃與時俱進(jìn)。由于政務(wù)云的IPv6遷移與當(dāng)?shù)剡\(yùn)營商提供的網(wǎng)絡(luò)環(huán)境密切相關(guān)，因此，在IPv4向IPv6的過渡期內(nèi)，在政務(wù)云建設(shè)時搞清楚政務(wù)云使用的運(yùn)營商線路就格外重要。采購人可以根據(jù)當(dāng)?shù)匾?guī)劃與自身實(shí)際，統(tǒng)籌規(guī)范運(yùn)營商線路采購與政務(wù)云系統(tǒng)采購，保證政務(wù)云的建設(shè)能同所選取運(yùn)營商線路的實(shí)現(xiàn)匹配。同時，在采購文件中，應(yīng)該提出政務(wù)云系統(tǒng)的IPv6演進(jìn)需求，無論是采用IPv4/v6雙協(xié)議棧形式也好，還是直接做好IPv6模塊也罷，采購人都要把政務(wù)云系統(tǒng)適配IPv6的需求非常堅(jiān)定地明示給云服務(wù)商，讓他們在建設(shè)之初就做好相應(yīng)準(zhǔn)備。

四是不必刻意求大求全。政務(wù)云的IPv6升級工作牽涉眾多，涉及云操作系統(tǒng)、虛擬地址池配置、客戶端等軟件改造問題，又涉及交換機(jī)、路由器、DNS、云服務(wù)器、存儲等硬件設(shè)備的IPv6適配，推動移動辦公地區(qū)還涉及移動端的IPv6匹配等，牽涉網(wǎng)絡(luò)運(yùn)營商、云服務(wù)商、網(wǎng)絡(luò)監(jiān)管機(jī)構(gòu)等多方，任何一個環(huán)節(jié)任何一個方面出現(xiàn)問題，都會延緩政務(wù)云IPv6適配的進(jìn)程。因此，采購人必須保持清醒頭腦，首先從門戶網(wǎng)站的IPv6政務(wù)云適配開始，根據(jù)當(dāng)?shù)鼐W(wǎng)絡(luò)演進(jìn)情況與自身業(yè)務(wù)需求，壓茬推進(jìn)各政務(wù)系統(tǒng)上云工作。要保持耐心與定力，保持系統(tǒng)成熟一個改造一個，避免一哄而上，重速度不重效益的問題，穩(wěn)妥做好政務(wù)云建設(shè)與IPv6升級適配工作。

安全問題不容忽視

工信部在《2018年第一季度網(wǎng)絡(luò)安全威脅態(tài)勢分析與工作綜述》指出，由于英特爾處理器芯片被曝光存在“崩潰”（Meltdown）和“幽靈”(Spectre)兩個安全漏洞，導(dǎo)致可被攻擊者利用越權(quán)讀取用戶敏感數(shù)據(jù)。這樣的底層硬件漏洞波及范圍廣、修復(fù)難度大。如果云服務(wù)器采用了這些芯片，后果將不堪設(shè)想。

工信部《2018年第二季度網(wǎng)絡(luò)安全威脅態(tài)勢分析與工作綜述》指出，非法“挖礦”嚴(yán)重威脅互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。騰訊云監(jiān)測發(fā)現(xiàn)，隨著“云挖礦”的興起，云主機(jī)成為挖取門羅幣、以利幣等數(shù)字貨幣的主要利用對象，而盜用云主機(jī)計(jì)算資源進(jìn)行“挖礦”的情況也顯著增多；知道創(chuàng)宇安全團(tuán)隊(duì)監(jiān)測發(fā)現(xiàn)，“爭奪礦機(jī)”已成為僵尸網(wǎng)絡(luò)擴(kuò)展的重要目的之一。政務(wù)云主機(jī)的大量上線，顯然會成為不法分子覬覦的對象。

工信部《2018年第三季度網(wǎng)絡(luò)安全威脅態(tài)勢分析與工作綜述》指出，云計(jì)算平臺相繼發(fā)生故障，其安全性仍待加強(qiáng)。第三季度前后，國內(nèi)外多家云計(jì)算平臺相繼發(fā)生故障，出現(xiàn)大規(guī)模用戶訪問異常、用戶數(shù)據(jù)丟失等問題，暴露出云計(jì)算平臺在管理、運(yùn)維、防護(hù)等方面仍存在諸多不足。

云系統(tǒng)的這些安全風(fēng)險，政務(wù)云同樣不能幸免。云系統(tǒng)的安全問題不僅可能來自底層設(shè)備，更可能來自云服務(wù)商的網(wǎng)絡(luò)管理與配置等方面，加之IPv6升級過程中政府內(nèi)外網(wǎng)的重新改造，采購人應(yīng)對政務(wù)云IPv6升級過程中的安全問題保持高度警惕，不僅要在采購需求中明確安全要求，必要時候也要購買安全審計(jì)服務(wù)，最大限度降低政務(wù)云系統(tǒng)的安全風(fēng)險。

（作者單位：大連海關(guān)）

本報擁有此文版權(quán)，若需轉(zhuǎn)載或復(fù)制，請注明來源于中國政府采購報，標(biāo)注作者，并保持文章的完整性。否則，將追究法律責(zé)任。