政務(wù)云建設(shè)應(yīng)為IPv6升級(jí)早做準(zhǔn)備

編者按：2019年是政務(wù)云系統(tǒng)與政府網(wǎng)站IPv6升級(jí)的關(guān)鍵一年，也是一個(gè)改造疊加期。完成政府網(wǎng)站的政務(wù)云遷移同時(shí)應(yīng)綜合考慮IPv6的配置，提高財(cái)政資金使用效益。

政務(wù)云建設(shè)應(yīng)為IPv6升級(jí)早做準(zhǔn)備

■ 張澤明

2019年，IPv6（互聯(lián)網(wǎng)協(xié)議第6版）推進(jìn)工作將駛?cè)肟燔嚨馈Pv6逐步普及的過(guò)程，正與各地政務(wù)云建設(shè)時(shí)間疊加。由于IPv6的引入將引發(fā)政務(wù)云部署配置的重大變化，相關(guān)單位在進(jìn)行政務(wù)云建設(shè)時(shí)應(yīng)統(tǒng)籌規(guī)劃，協(xié)調(diào)做好云系統(tǒng)建設(shè)與IPv6地址升級(jí)工作，把握好政務(wù)云建設(shè)的節(jié)奏，提高財(cái)政資金使用效益，避免云系統(tǒng)重復(fù)建設(shè)形成資金浪費(fèi)，或后引入IPv6導(dǎo)致預(yù)算超支，最大限度保證云業(yè)務(wù)的平穩(wěn)遷移。

升級(jí)迫在眉睫

IP version 6 (IPv6)是IP協(xié)議（Internet Protocol）的最新版本，設(shè)計(jì)作為IP version 4 (IPv4)的繼任版本。IP協(xié)議是互聯(lián)網(wǎng)網(wǎng)絡(luò)層的基本協(xié)議。相對(duì)于IPv4，IPv6有哪些變化？

筆者認(rèn)為，改變主要有以下幾方面：一是擴(kuò)展地址容量，解決目前IPv4地址不足的情況，使用IPv6將保證每個(gè)設(shè)備都能分配到公網(wǎng)地址。二是簡(jiǎn)化了IP頭字段格式。三是改進(jìn)了報(bào)文擴(kuò)展字段和選項(xiàng)，使轉(zhuǎn)發(fā)更靈活高效。四是提供流標(biāo)簽功能。五是增強(qiáng)了認(rèn)證和隱私功能。

IPv4地址的日漸枯竭，使其交易價(jià)格不斷攀升，且對(duì)終端設(shè)備接入網(wǎng)絡(luò)造成嚴(yán)重阻礙。同時(shí)，隨著5G、物聯(lián)網(wǎng)技術(shù)的不斷成熟，萬(wàn)物互聯(lián)時(shí)代即將到來(lái)，隨之而來(lái)的是海量的終端設(shè)備接入需求，目前的IPv4地址空間不足以支撐未來(lái)發(fā)展要求。

有鑒于此，2017年11月26日，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，2018年5月2日，工信部印發(fā)《貫徹落實(shí)<推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃>的通知》，按照這兩個(gè)文件精神，我國(guó)的IPv6推進(jìn)工作有了明確的“落地時(shí)間表”。

各行業(yè)加速IPv6落地

按照兩辦及工信部IPv6規(guī)模部署行動(dòng)計(jì)劃，各行業(yè)均已按照“落地時(shí)間表”加速推進(jìn)部署。

在云服務(wù)平臺(tái)IPv6改造上，到2018年末，中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通面向公眾提供服務(wù)的云服務(wù)平臺(tái)完成50%云產(chǎn)品IPv6改造，阿里云、騰訊云、金山云、UCloud、華為云、華云、迅達(dá)云、百度云、京東云、青云等云服務(wù)平臺(tái)企業(yè)完成50%云產(chǎn)品IPv6改造。到2020年末，上述企業(yè)完成全部云產(chǎn)品IPv6改造。鼓勵(lì)云服務(wù)企業(yè)面向用戶提供IPv6技術(shù)咨詢、網(wǎng)站改造等服務(wù)。

在域名系統(tǒng)的IPv6改造上，到2018年末，中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通完成遞歸域名解析服務(wù)器的IPv6改造，萬(wàn)網(wǎng)、新網(wǎng)互聯(lián)、中國(guó)互聯(lián)網(wǎng)信息中心（CNNIC）、政府和公益機(jī)構(gòu)域名注冊(cè)管理中心（CONAC）、西部數(shù)碼、三五互聯(lián)、易名中國(guó)、中國(guó)數(shù)據(jù)、愛(ài)名網(wǎng)、聯(lián)動(dòng)天下、商務(wù)中國(guó)、時(shí)代互聯(lián)完成IPv6改造，構(gòu)建域名注冊(cè)、解析、管理全鏈條IPv6支持能力。

在政府網(wǎng)站IPv6改造上，到2018年末，工業(yè)和信息化部完成門戶網(wǎng)站IPv6改造；到2019年末，部屬各單位、部屬各高校及各省、自治區(qū)、直轄市通信管理局完成門戶網(wǎng)站IPv6改造。

電信運(yùn)營(yíng)商方面，中國(guó)電信全網(wǎng)設(shè)備已基本完成升級(jí)改造，具備全網(wǎng)開(kāi)通能力。中國(guó)聯(lián)通目標(biāo)是2018年完成基礎(chǔ)設(shè)施改造，部分重點(diǎn)城市完成網(wǎng)絡(luò)改造。中國(guó)移動(dòng)已完成4G、骨干網(wǎng)和10省的升級(jí)改造。

政務(wù)云IPv6改造應(yīng)早做規(guī)劃

2019年是政務(wù)云系統(tǒng)與政府網(wǎng)站IPv6升級(jí)的關(guān)鍵一年，也是一個(gè)改造疊加期。按照“落地時(shí)間表”，工信部部屬各單位、部屬各高校及各省、自治區(qū)、直轄市通信管理局應(yīng)在2019年末完成門戶網(wǎng)站IPv6改造，市地級(jí)以上政府外網(wǎng)網(wǎng)站系統(tǒng)的IPv6改造應(yīng)在2020年前完成。因此，2019年各地政府網(wǎng)站的IPv6改造可謂箭在弦上，完成政府網(wǎng)站的政務(wù)云遷移同時(shí)綜合考慮IPv6的配置，已經(jīng)是必須要完成的工作。

同時(shí)，工信部也有完善相關(guān)電信業(yè)務(wù)管理要求，要求數(shù)據(jù)中心（含云服務(wù)）、內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）等運(yùn)營(yíng)企業(yè)在提交年報(bào)時(shí)，提供支持IPv6相關(guān)情況；修訂電信設(shè)備進(jìn)網(wǎng)檢測(cè)的相關(guān)規(guī)定，明確網(wǎng)絡(luò)及終端設(shè)備進(jìn)網(wǎng)中有關(guān)IPv6的檢測(cè)要求。

應(yīng)該看到，政務(wù)云系統(tǒng)要進(jìn)行IPv6改造，不是一個(gè)一蹴而就的過(guò)程，筆者認(rèn)為，采購(gòu)人在近期進(jìn)行政務(wù)云建設(shè)時(shí)應(yīng)該有如下幾層考慮。

一是保持新網(wǎng)絡(luò)意識(shí)。IPv6升級(jí)是整個(gè)網(wǎng)絡(luò)的系統(tǒng)工程，一個(gè)單位的云系統(tǒng)，既不能置身“網(wǎng)”外獨(dú)善其身，也不可能特立獨(dú)行先人一步。故而在進(jìn)行政務(wù)云設(shè)計(jì)時(shí)，一定要始終保有IPv6的新網(wǎng)絡(luò)意識(shí)，政務(wù)云的建設(shè)要以最終保持平滑過(guò)渡到IPv6為使命，要堅(jiān)信IPv6升級(jí)是一個(gè)逐步加速且不可逆的過(guò)程。在進(jìn)行政務(wù)云建設(shè)時(shí)，既要保持IPv6能力，又要與整個(gè)中國(guó)互聯(lián)網(wǎng)的IPv6建設(shè)同步，確保投資精準(zhǔn)，效益顯著。

二是防止出現(xiàn)重復(fù)建設(shè)。IPv6各地的推動(dòng)進(jìn)程有差異，政務(wù)云系統(tǒng)的IPv6升級(jí)既與云供應(yīng)商的技術(shù)能力相關(guān)，又與當(dāng)?shù)氐木W(wǎng)絡(luò)運(yùn)營(yíng)商的網(wǎng)絡(luò)環(huán)境提供密切相關(guān)。目前，IPv6的運(yùn)營(yíng)商端環(huán)境初見(jiàn)成果，運(yùn)營(yíng)商推進(jìn)IPv6的時(shí)間表也很清晰。政務(wù)云的建設(shè)單位務(wù)必要保持云供應(yīng)商、運(yùn)營(yíng)商、網(wǎng)絡(luò)監(jiān)管部門之間良好的配合關(guān)系，保障政務(wù)云系統(tǒng)建設(shè)能同當(dāng)?shù)氐木W(wǎng)絡(luò)IPv6改造有機(jī)融合，最大限度防止IPv4政務(wù)云剛剛落地又推倒重來(lái)的重復(fù)建設(shè)情況。

三是統(tǒng)籌規(guī)劃與時(shí)俱進(jìn)。由于政務(wù)云的IPv6遷移與當(dāng)?shù)剡\(yùn)營(yíng)商提供的網(wǎng)絡(luò)環(huán)境密切相關(guān)，因此，在IPv4向IPv6的過(guò)渡期內(nèi)，在政務(wù)云建設(shè)時(shí)搞清楚政務(wù)云使用的運(yùn)營(yíng)商線路就格外重要。采購(gòu)人可以根據(jù)當(dāng)?shù)匾?guī)劃與自身實(shí)際，統(tǒng)籌規(guī)范運(yùn)營(yíng)商線路采購(gòu)與政務(wù)云系統(tǒng)采購(gòu)，保證政務(wù)云的建設(shè)能同所選取運(yùn)營(yíng)商線路的實(shí)現(xiàn)匹配。同時(shí)，在采購(gòu)文件中，應(yīng)該提出政務(wù)云系統(tǒng)的IPv6演進(jìn)需求，無(wú)論是采用IPv4/v6雙協(xié)議棧形式也好，還是直接做好IPv6模塊也罷，采購(gòu)人都要把政務(wù)云系統(tǒng)適配IPv6的需求非常堅(jiān)定地明示給云服務(wù)商，讓他們?cè)诮ㄔO(shè)之初就做好相應(yīng)準(zhǔn)備。

四是不必刻意求大求全。政務(wù)云的IPv6升級(jí)工作牽涉眾多，涉及云操作系統(tǒng)、虛擬地址池配置、客戶端等軟件改造問(wèn)題，又涉及交換機(jī)、路由器、DNS、云服務(wù)器、存儲(chǔ)等硬件設(shè)備的IPv6適配，推動(dòng)移動(dòng)辦公地區(qū)還涉及移動(dòng)端的IPv6匹配等，牽涉網(wǎng)絡(luò)運(yùn)營(yíng)商、云服務(wù)商、網(wǎng)絡(luò)監(jiān)管機(jī)構(gòu)等多方，任何一個(gè)環(huán)節(jié)任何一個(gè)方面出現(xiàn)問(wèn)題，都會(huì)延緩政務(wù)云IPv6適配的進(jìn)程。因此，采購(gòu)人必須保持清醒頭腦，首先從門戶網(wǎng)站的IPv6政務(wù)云適配開(kāi)始，根據(jù)當(dāng)?shù)鼐W(wǎng)絡(luò)演進(jìn)情況與自身業(yè)務(wù)需求，壓茬推進(jìn)各政務(wù)系統(tǒng)上云工作。要保持耐心與定力，保持系統(tǒng)成熟一個(gè)改造一個(gè)，避免一哄而上，重速度不重效益的問(wèn)題，穩(wěn)妥做好政務(wù)云建設(shè)與IPv6升級(jí)適配工作。

安全問(wèn)題不容忽視

工信部在《2018年第一季度網(wǎng)絡(luò)安全威脅態(tài)勢(shì)分析與工作綜述》指出，由于英特爾處理器芯片被曝光存在“崩潰”（Meltdown）和“幽靈”(Spectre)兩個(gè)安全漏洞，導(dǎo)致可被攻擊者利用越權(quán)讀取用戶敏感數(shù)據(jù)。這樣的底層硬件漏洞波及范圍廣、修復(fù)難度大。如果云服務(wù)器采用了這些芯片，后果將不堪設(shè)想。

工信部《2018年第二季度網(wǎng)絡(luò)安全威脅態(tài)勢(shì)分析與工作綜述》指出，非法“挖礦”嚴(yán)重威脅互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。騰訊云監(jiān)測(cè)發(fā)現(xiàn)，隨著“云挖礦”的興起，云主機(jī)成為挖取門羅幣、以利幣等數(shù)字貨幣的主要利用對(duì)象，而盜用云主機(jī)計(jì)算資源進(jìn)行“挖礦”的情況也顯著增多；知道創(chuàng)宇安全團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn)，“爭(zhēng)奪礦機(jī)”已成為僵尸網(wǎng)絡(luò)擴(kuò)展的重要目的之一。政務(wù)云主機(jī)的大量上線，顯然會(huì)成為不法分子覬覦的對(duì)象。

工信部《2018年第三季度網(wǎng)絡(luò)安全威脅態(tài)勢(shì)分析與工作綜述》指出，云計(jì)算平臺(tái)相繼發(fā)生故障，其安全性仍待加強(qiáng)。第三季度前后，國(guó)內(nèi)外多家云計(jì)算平臺(tái)相繼發(fā)生故障，出現(xiàn)大規(guī)模用戶訪問(wèn)異常、用戶數(shù)據(jù)丟失等問(wèn)題，暴露出云計(jì)算平臺(tái)在管理、運(yùn)維、防護(hù)等方面仍存在諸多不足。

云系統(tǒng)的這些安全風(fēng)險(xiǎn)，政務(wù)云同樣不能幸免。云系統(tǒng)的安全問(wèn)題不僅可能來(lái)自底層設(shè)備，更可能來(lái)自云服務(wù)商的網(wǎng)絡(luò)管理與配置等方面，加之IPv6升級(jí)過(guò)程中政府內(nèi)外網(wǎng)的重新改造，采購(gòu)人應(yīng)對(duì)政務(wù)云IPv6升級(jí)過(guò)程中的安全問(wèn)題保持高度警惕，不僅要在采購(gòu)需求中明確安全要求，必要時(shí)候也要購(gòu)買安全審計(jì)服務(wù)，最大限度降低政務(wù)云系統(tǒng)的安全風(fēng)險(xiǎn)。

（作者單位：大連海關(guān)）

本報(bào)擁有此文版權(quán)，若需轉(zhuǎn)載或復(fù)制，請(qǐng)注明來(lái)源于中國(guó)政府采購(gòu)報(bào)，標(biāo)注作者，并保持文章的完整性。否則，將追究法律責(zé)任。