政務云建設應為IPv6升級早做準備

編者按：2019年是政務云系統(tǒng)與政府網(wǎng)站IPv6升級的關鍵一年，也是一個改造疊加期。完成政府網(wǎng)站的政務云遷移同時應綜合考慮IPv6的配置，提高財政資金使用效益。

政務云建設應為IPv6升級早做準備

■ 張澤明

2019年，IPv6（互聯(lián)網(wǎng)協(xié)議第6版）推進工作將駛?cè)肟燔嚨馈Pv6逐步普及的過程，正與各地政務云建設時間疊加。由于IPv6的引入將引發(fā)政務云部署配置的重大變化，相關單位在進行政務云建設時應統(tǒng)籌規(guī)劃，協(xié)調(diào)做好云系統(tǒng)建設與IPv6地址升級工作，把握好政務云建設的節(jié)奏，提高財政資金使用效益，避免云系統(tǒng)重復建設形成資金浪費，或后引入IPv6導致預算超支，最大限度保證云業(yè)務的平穩(wěn)遷移。

升級迫在眉睫

IP version 6 (IPv6)是IP協(xié)議（Internet Protocol）的最新版本，設計作為IP version 4 (IPv4)的繼任版本。IP協(xié)議是互聯(lián)網(wǎng)網(wǎng)絡層的基本協(xié)議。相對于IPv4，IPv6有哪些變化？

筆者認為，改變主要有以下幾方面：一是擴展地址容量，解決目前IPv4地址不足的情況，使用IPv6將保證每個設備都能分配到公網(wǎng)地址。二是簡化了IP頭字段格式。三是改進了報文擴展字段和選項，使轉(zhuǎn)發(fā)更靈活高效。四是提供流標簽功能。五是增強了認證和隱私功能。

IPv4地址的日漸枯竭，使其交易價格不斷攀升，且對終端設備接入網(wǎng)絡造成嚴重阻礙。同時，隨著5G、物聯(lián)網(wǎng)技術的不斷成熟，萬物互聯(lián)時代即將到來，隨之而來的是海量的終端設備接入需求，目前的IPv4地址空間不足以支撐未來發(fā)展要求。

有鑒于此，2017年11月26日，中共中央辦公廳、國務院辦公廳印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，2018年5月2日，工信部印發(fā)《貫徹落實<推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃>的通知》，按照這兩個文件精神，我國的IPv6推進工作有了明確的“落地時間表”。

各行業(yè)加速IPv6落地

按照兩辦及工信部IPv6規(guī)模部署行動計劃，各行業(yè)均已按照“落地時間表”加速推進部署。

在云服務平臺IPv6改造上，到2018年末，中國電信、中國移動、中國聯(lián)通面向公眾提供服務的云服務平臺完成50%云產(chǎn)品IPv6改造，阿里云、騰訊云、金山云、UCloud、華為云、華云、迅達云、百度云、京東云、青云等云服務平臺企業(yè)完成50%云產(chǎn)品IPv6改造。到2020年末，上述企業(yè)完成全部云產(chǎn)品IPv6改造。鼓勵云服務企業(yè)面向用戶提供IPv6技術咨詢、網(wǎng)站改造等服務。

在域名系統(tǒng)的IPv6改造上，到2018年末，中國電信、中國移動、中國聯(lián)通完成遞歸域名解析服務器的IPv6改造，萬網(wǎng)、新網(wǎng)互聯(lián)、中國互聯(lián)網(wǎng)信息中心（CNNIC）、政府和公益機構域名注冊管理中心（CONAC）、西部數(shù)碼、三五互聯(lián)、易名中國、中國數(shù)據(jù)、愛名網(wǎng)、聯(lián)動天下、商務中國、時代互聯(lián)完成IPv6改造，構建域名注冊、解析、管理全鏈條IPv6支持能力。

在政府網(wǎng)站IPv6改造上，到2018年末，工業(yè)和信息化部完成門戶網(wǎng)站IPv6改造；到2019年末，部屬各單位、部屬各高校及各省、自治區(qū)、直轄市通信管理局完成門戶網(wǎng)站IPv6改造。

電信運營商方面，中國電信全網(wǎng)設備已基本完成升級改造，具備全網(wǎng)開通能力。中國聯(lián)通目標是2018年完成基礎設施改造，部分重點城市完成網(wǎng)絡改造。中國移動已完成4G、骨干網(wǎng)和10省的升級改造。

政務云IPv6改造應早做規(guī)劃

2019年是政務云系統(tǒng)與政府網(wǎng)站IPv6升級的關鍵一年，也是一個改造疊加期。按照“落地時間表”，工信部部屬各單位、部屬各高校及各省、自治區(qū)、直轄市通信管理局應在2019年末完成門戶網(wǎng)站IPv6改造，市地級以上政府外網(wǎng)網(wǎng)站系統(tǒng)的IPv6改造應在2020年前完成。因此，2019年各地政府網(wǎng)站的IPv6改造可謂箭在弦上，完成政府網(wǎng)站的政務云遷移同時綜合考慮IPv6的配置，已經(jīng)是必須要完成的工作。

同時，工信部也有完善相關電信業(yè)務管理要求，要求數(shù)據(jù)中心（含云服務）、內(nèi)容分發(fā)網(wǎng)絡（CDN）等運營企業(yè)在提交年報時，提供支持IPv6相關情況；修訂電信設備進網(wǎng)檢測的相關規(guī)定，明確網(wǎng)絡及終端設備進網(wǎng)中有關IPv6的檢測要求。

應該看到，政務云系統(tǒng)要進行IPv6改造，不是一個一蹴而就的過程，筆者認為，采購人在近期進行政務云建設時應該有如下幾層考慮。

一是保持新網(wǎng)絡意識。IPv6升級是整個網(wǎng)絡的系統(tǒng)工程，一個單位的云系統(tǒng)，既不能置身“網(wǎng)”外獨善其身，也不可能特立獨行先人一步。故而在進行政務云設計時，一定要始終保有IPv6的新網(wǎng)絡意識，政務云的建設要以最終保持平滑過渡到IPv6為使命，要堅信IPv6升級是一個逐步加速且不可逆的過程。在進行政務云建設時，既要保持IPv6能力，又要與整個中國互聯(lián)網(wǎng)的IPv6建設同步，確保投資精準，效益顯著。

二是防止出現(xiàn)重復建設。IPv6各地的推動進程有差異，政務云系統(tǒng)的IPv6升級既與云供應商的技術能力相關，又與當?shù)氐木W(wǎng)絡運營商的網(wǎng)絡環(huán)境提供密切相關。目前，IPv6的運營商端環(huán)境初見成果，運營商推進IPv6的時間表也很清晰。政務云的建設單位務必要保持云供應商、運營商、網(wǎng)絡監(jiān)管部門之間良好的配合關系，保障政務云系統(tǒng)建設能同當?shù)氐木W(wǎng)絡IPv6改造有機融合，最大限度防止IPv4政務云剛剛落地又推倒重來的重復建設情況。

三是統(tǒng)籌規(guī)劃與時俱進。由于政務云的IPv6遷移與當?shù)剡\營商提供的網(wǎng)絡環(huán)境密切相關，因此，在IPv4向IPv6的過渡期內(nèi)，在政務云建設時搞清楚政務云使用的運營商線路就格外重要。采購人可以根據(jù)當?shù)匾?guī)劃與自身實際，統(tǒng)籌規(guī)范運營商線路采購與政務云系統(tǒng)采購，保證政務云的建設能同所選取運營商線路的實現(xiàn)匹配。同時，在采購文件中，應該提出政務云系統(tǒng)的IPv6演進需求，無論是采用IPv4/v6雙協(xié)議棧形式也好，還是直接做好IPv6模塊也罷，采購人都要把政務云系統(tǒng)適配IPv6的需求非常堅定地明示給云服務商，讓他們在建設之初就做好相應準備。

四是不必刻意求大求全。政務云的IPv6升級工作牽涉眾多，涉及云操作系統(tǒng)、虛擬地址池配置、客戶端等軟件改造問題，又涉及交換機、路由器、DNS、云服務器、存儲等硬件設備的IPv6適配，推動移動辦公地區(qū)還涉及移動端的IPv6匹配等，牽涉網(wǎng)絡運營商、云服務商、網(wǎng)絡監(jiān)管機構等多方，任何一個環(huán)節(jié)任何一個方面出現(xiàn)問題，都會延緩政務云IPv6適配的進程。因此，采購人必須保持清醒頭腦，首先從門戶網(wǎng)站的IPv6政務云適配開始，根據(jù)當?shù)鼐W(wǎng)絡演進情況與自身業(yè)務需求，壓茬推進各政務系統(tǒng)上云工作。要保持耐心與定力，保持系統(tǒng)成熟一個改造一個，避免一哄而上，重速度不重效益的問題，穩(wěn)妥做好政務云建設與IPv6升級適配工作。

安全問題不容忽視

工信部在《2018年第一季度網(wǎng)絡安全威脅態(tài)勢分析與工作綜述》指出，由于英特爾處理器芯片被曝光存在“崩潰”（Meltdown）和“幽靈”(Spectre)兩個安全漏洞，導致可被攻擊者利用越權讀取用戶敏感數(shù)據(jù)。這樣的底層硬件漏洞波及范圍廣、修復難度大。如果云服務器采用了這些芯片，后果將不堪設想。

工信部《2018年第二季度網(wǎng)絡安全威脅態(tài)勢分析與工作綜述》指出，非法“挖礦”嚴重威脅互聯(lián)網(wǎng)網(wǎng)絡安全。騰訊云監(jiān)測發(fā)現(xiàn)，隨著“云挖礦”的興起，云主機成為挖取門羅幣、以利幣等數(shù)字貨幣的主要利用對象，而盜用云主機計算資源進行“挖礦”的情況也顯著增多；知道創(chuàng)宇安全團隊監(jiān)測發(fā)現(xiàn)，“爭奪礦機”已成為僵尸網(wǎng)絡擴展的重要目的之一。政務云主機的大量上線，顯然會成為不法分子覬覦的對象。

工信部《2018年第三季度網(wǎng)絡安全威脅態(tài)勢分析與工作綜述》指出，云計算平臺相繼發(fā)生故障，其安全性仍待加強。第三季度前后，國內(nèi)外多家云計算平臺相繼發(fā)生故障，出現(xiàn)大規(guī)模用戶訪問異常、用戶數(shù)據(jù)丟失等問題，暴露出云計算平臺在管理、運維、防護等方面仍存在諸多不足。

云系統(tǒng)的這些安全風險，政務云同樣不能幸免。云系統(tǒng)的安全問題不僅可能來自底層設備，更可能來自云服務商的網(wǎng)絡管理與配置等方面，加之IPv6升級過程中政府內(nèi)外網(wǎng)的重新改造，采購人應對政務云IPv6升級過程中的安全問題保持高度警惕，不僅要在采購需求中明確安全要求，必要時候也要購買安全審計服務，最大限度降低政務云系統(tǒng)的安全風險。

（作者單位：大連海關）

本報擁有此文版權，若需轉(zhuǎn)載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。