政務云建設應為IPv6升級早做準備

編者按：2019年是政務云系統與政府網站IPv6升級的關鍵一年，也是一個改造疊加期。完成政府網站的政務云遷移同時應綜合考慮IPv6的配置，提高財政資金使用效益。

政務云建設應為IPv6升級早做準備

■ 張澤明

2019年，IPv6（互聯網協議第6版）推進工作將駛入快車道。IPv6逐步普及的過程，正與各地政務云建設時間疊加。由于IPv6的引入將引發政務云部署配置的重大變化，相關單位在進行政務云建設時應統籌規劃，協調做好云系統建設與IPv6地址升級工作，把握好政務云建設的節奏，提高財政資金使用效益，避免云系統重復建設形成資金浪費，或后引入IPv6導致預算超支，最大限度保證云業務的平穩遷移。

升級迫在眉睫

IP version 6 (IPv6)是IP協議（Internet Protocol）的最新版本，設計作為IP version 4 (IPv4)的繼任版本。IP協議是互聯網網絡層的基本協議。相對于IPv4，IPv6有哪些變化？

筆者認為，改變主要有以下幾方面：一是擴展地址容量，解決目前IPv4地址不足的情況，使用IPv6將保證每個設備都能分配到公網地址。二是簡化了IP頭字段格式。三是改進了報文擴展字段和選項，使轉發更靈活高效。四是提供流標簽功能。五是增強了認證和隱私功能。

IPv4地址的日漸枯竭，使其交易價格不斷攀升，且對終端設備接入網絡造成嚴重阻礙。同時，隨著5G、物聯網技術的不斷成熟，萬物互聯時代即將到來，隨之而來的是海量的終端設備接入需求，目前的IPv4地址空間不足以支撐未來發展要求。

有鑒于此，2017年11月26日，中共中央辦公廳、國務院辦公廳印發了《推進互聯網協議第六版（IPv6）規模部署行動計劃》，2018年5月2日，工信部印發《貫徹落實<推進互聯網協議第六版（IPv6）規模部署行動計劃>的通知》，按照這兩個文件精神，我國的IPv6推進工作有了明確的“落地時間表”。

各行業加速IPv6落地

按照兩辦及工信部IPv6規模部署行動計劃，各行業均已按照“落地時間表”加速推進部署。

在云服務平臺IPv6改造上，到2018年末，中國電信、中國移動、中國聯通面向公眾提供服務的云服務平臺完成50%云產品IPv6改造，阿里云、騰訊云、金山云、UCloud、華為云、華云、迅達云、百度云、京東云、青云等云服務平臺企業完成50%云產品IPv6改造。到2020年末，上述企業完成全部云產品IPv6改造。鼓勵云服務企業面向用戶提供IPv6技術咨詢、網站改造等服務。

在域名系統的IPv6改造上，到2018年末，中國電信、中國移動、中國聯通完成遞歸域名解析服務器的IPv6改造，萬網、新網互聯、中國互聯網信息中心（CNNIC）、政府和公益機構域名注冊管理中心（CONAC）、西部數碼、三五互聯、易名中國、中國數據、愛名網、聯動天下、商務中國、時代互聯完成IPv6改造，構建域名注冊、解析、管理全鏈條IPv6支持能力。

在政府網站IPv6改造上，到2018年末，工業和信息化部完成門戶網站IPv6改造；到2019年末，部屬各單位、部屬各高校及各省、自治區、直轄市通信管理局完成門戶網站IPv6改造。

電信運營商方面，中國電信全網設備已基本完成升級改造，具備全網開通能力。中國聯通目標是2018年完成基礎設施改造，部分重點城市完成網絡改造。中國移動已完成4G、骨干網和10省的升級改造。

政務云IPv6改造應早做規劃

2019年是政務云系統與政府網站IPv6升級的關鍵一年，也是一個改造疊加期。按照“落地時間表”，工信部部屬各單位、部屬各高校及各省、自治區、直轄市通信管理局應在2019年末完成門戶網站IPv6改造，市地級以上政府外網網站系統的IPv6改造應在2020年前完成。因此，2019年各地政府網站的IPv6改造可謂箭在弦上，完成政府網站的政務云遷移同時綜合考慮IPv6的配置，已經是必須要完成的工作。

同時，工信部也有完善相關電信業務管理要求，要求數據中心（含云服務）、內容分發網絡（CDN）等運營企業在提交年報時，提供支持IPv6相關情況；修訂電信設備進網檢測的相關規定，明確網絡及終端設備進網中有關IPv6的檢測要求。

應該看到，政務云系統要進行IPv6改造，不是一個一蹴而就的過程，筆者認為，采購人在近期進行政務云建設時應該有如下幾層考慮。

一是保持新網絡意識。IPv6升級是整個網絡的系統工程，一個單位的云系統，既不能置身“網”外獨善其身，也不可能特立獨行先人一步。故而在進行政務云設計時，一定要始終保有IPv6的新網絡意識，政務云的建設要以最終保持平滑過渡到IPv6為使命，要堅信IPv6升級是一個逐步加速且不可逆的過程。在進行政務云建設時，既要保持IPv6能力，又要與整個中國互聯網的IPv6建設同步，確保投資精準，效益顯著。

二是防止出現重復建設。IPv6各地的推動進程有差異，政務云系統的IPv6升級既與云供應商的技術能力相關，又與當地的網絡運營商的網絡環境提供密切相關。目前，IPv6的運營商端環境初見成果，運營商推進IPv6的時間表也很清晰。政務云的建設單位務必要保持云供應商、運營商、網絡監管部門之間良好的配合關系，保障政務云系統建設能同當地的網絡IPv6改造有機融合，最大限度防止IPv4政務云剛剛落地又推倒重來的重復建設情況。

三是統籌規劃與時俱進。由于政務云的IPv6遷移與當地運營商提供的網絡環境密切相關，因此，在IPv4向IPv6的過渡期內，在政務云建設時搞清楚政務云使用的運營商線路就格外重要。采購人可以根據當地規劃與自身實際，統籌規范運營商線路采購與政務云系統采購，保證政務云的建設能同所選取運營商線路的實現匹配。同時，在采購文件中，應該提出政務云系統的IPv6演進需求，無論是采用IPv4/v6雙協議棧形式也好，還是直接做好IPv6模塊也罷，采購人都要把政務云系統適配IPv6的需求非常堅定地明示給云服務商，讓他們在建設之初就做好相應準備。

四是不必刻意求大求全。政務云的IPv6升級工作牽涉眾多，涉及云操作系統、虛擬地址池配置、客戶端等軟件改造問題，又涉及交換機、路由器、DNS、云服務器、存儲等硬件設備的IPv6適配，推動移動辦公地區還涉及移動端的IPv6匹配等，牽涉網絡運營商、云服務商、網絡監管機構等多方，任何一個環節任何一個方面出現問題，都會延緩政務云IPv6適配的進程。因此，采購人必須保持清醒頭腦，首先從門戶網站的IPv6政務云適配開始，根據當地網絡演進情況與自身業務需求，壓茬推進各政務系統上云工作。要保持耐心與定力，保持系統成熟一個改造一個，避免一哄而上，重速度不重效益的問題，穩妥做好政務云建設與IPv6升級適配工作。

安全問題不容忽視

工信部在《2018年第一季度網絡安全威脅態勢分析與工作綜述》指出，由于英特爾處理器芯片被曝光存在“崩潰”（Meltdown）和“幽靈”(Spectre)兩個安全漏洞，導致可被攻擊者利用越權讀取用戶敏感數據。這樣的底層硬件漏洞波及范圍廣、修復難度大。如果云服務器采用了這些芯片，后果將不堪設想。

工信部《2018年第二季度網絡安全威脅態勢分析與工作綜述》指出，非法“挖礦”嚴重威脅互聯網網絡安全。騰訊云監測發現，隨著“云挖礦”的興起，云主機成為挖取門羅幣、以利幣等數字貨幣的主要利用對象，而盜用云主機計算資源進行“挖礦”的情況也顯著增多；知道創宇安全團隊監測發現，“爭奪礦機”已成為僵尸網絡擴展的重要目的之一。政務云主機的大量上線，顯然會成為不法分子覬覦的對象。

工信部《2018年第三季度網絡安全威脅態勢分析與工作綜述》指出，云計算平臺相繼發生故障，其安全性仍待加強。第三季度前后，國內外多家云計算平臺相繼發生故障，出現大規模用戶訪問異常、用戶數據丟失等問題，暴露出云計算平臺在管理、運維、防護等方面仍存在諸多不足。

云系統的這些安全風險，政務云同樣不能幸免。云系統的安全問題不僅可能來自底層設備，更可能來自云服務商的網絡管理與配置等方面，加之IPv6升級過程中政府內外網的重新改造，采購人應對政務云IPv6升級過程中的安全問題保持高度警惕，不僅要在采購需求中明確安全要求，必要時候也要購買安全審計服務，最大限度降低政務云系統的安全風險。

（作者單位：大連海關）

本報擁有此文版權，若需轉載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。