观点丨村镇银行 IPv6 改造过程中的思考建议
欢迎金融科技工作者积极投稿!
各抒己见!
投稿邮箱:
newmedia@fcmag.com.cn
——金融电子化
文 / 中国人民银行宝鸡市中心支行 马毅 辛驰 伦浩斐
宝鸡辖内村镇银行已于2019年至2020年分别完成对IPv6的硬件基础设施、网站域名IPv6支持、申请IPv6链路等相关工作,并搭建IPv6测试平台,目前已实现门户网站IPv6的全面改造,完成部分应用系统IPv6升级,改造项目均符合IPv6技术要求,当前改造效果良好,但仍存在一些问题。
村镇银行IPv6改造技术路线
宝鸡辖内村镇银行在IPv6项目升级改造过程中,考虑其现有业务体量和核心信息系统整体结构等情况,决定采用NAT64方式的IPv6改造方案。
具体步骤如下:一是运营商添加上行IPv6网关;二是新购F5 BIG-IP LTM设备,实现IPv6到IPv4的NAT64转换,同时发布IPv4和IPv6的服务器到互联网;三是新购F5 BIG-IP DNS,实现IPv4的A记录解析和IPv6的AAAA解析;四是复用现有的网络安全设备,所有网络安全设备都需要支持IPv4与IPv6协议;五是从F5BIG-IPLTM以下均采用原有IPv4网络设备;六是内部网络设备替换为全部支持IPv6功能的网络设备。
改造过程中因NAT64方案的技术特性,村镇银行对其整体网络结构改动较小,投入资金少,改造周期短,在较快时间内完成IPv6改造部署上线。IPv6出口链路改造使用运营商ISP直接分配IPv6地址段的方式进行改造,其业务系统出口路由器使用IPv6地址段,其它网络、应用设备使用IPv4地址段。
村镇银行IPv6改造建议
为进一步提升村镇银行IPv6项目升级改造效果,有效落实《推进互联网协议第六版(IPv6)规模部署行动计划》,统筹做好IPv6升级改造指导工作,在村镇银行IPv6改造过程中应重点注意以下几个方面。
一是村镇银行要充分认识IPv6项目建设改造的重要性,深刻领会IPv6建设是互联网演进升级的必然趋势,是网络安全能力强化的迫切需要,是国家网络安全战略的重要基石。树立科技创新推动业务的创新思想,提高IPv6工作的统一协调,加强改造工作的重视程度,完善改造升级技术方案和制定长远的实施规划,对IPv6改造过程中的重大问题进行统一的决策部署。
二是村镇银行要全面制定掌控技术实施方案和改造路线,充分认清第三方信息托管机构仅是信息系统的托管方,在IPv6系统改造建设中不能完全依托托管机构制定技术方案,应从自身角度出发,充分摸清本机构核心信息系统建设情况、网络结构和托管方信息建设架构,并根据情况制定本机构IPv6改造技术实施路线和改造方案;严格要求托管机构按照IPv6改造技术方案实施,针对目前IPv6中NAT64改造方案缺陷,如:“天窗问题”和“溯源问题”等,采用成熟的技术手段予以解决,提高IPv6改造效率,实现全面掌控、持续推进。
三是加强科技队伍建设力度,重视科技人员技术培训,重点学习前沿技术应用、网络发展趋势、网络安全等内容,加强IPv6改造工作中各项文件、规范的学习培训,对IPv6改造的重要意义、技术规范、总体要求和实施步骤重点学习,从多维度提升科技人员知识面,满足当前金融科技发展需要,安排专人负责信息科技工作,有效地充实科技力量,提高整体IPv6改造工作的效率。
四是村镇银行IPv6改造方案中,要进一步升级改造现有网络安全设施,提升感知、溯源、处置、防范能力,强化地址管理,建立地址申请、分配制度,强化针对IPv6特有攻击的防范能力,重新规划建设WEB应用服务器、防火墙、入侵检测防护等设备,预防IPv6协议攻击特有的网络安全风险。
五是村镇银行在IPv6升级改造过程中都应进行业务系统全生命周期IPv6测试工作。在升级改造前,应对业务系统服务器、网络设备、操作系统、数据库等进行IPv6支持程度测试,对支持程度不高的业务系统设备进行优化升级。改造过程中,对改造内容完成逐项测试,确保业务系统改造程度满足IPv6改造各项标准。改造完成后,对改造业务系统所有功能进行IPv6访问量、成功率、访问对话时长、业务系统一致性等全面测试,测试用例应准确、全面、细致,满足IPv6业务系统改造要求。
(点击查看精彩内容)
关于仿冒我刊收费的声明
我刊自创刊以来,从未向投稿人收取过任何费用。任何以刊发文章为名向投稿人收取费用的行为,均属于对投稿人的欺诈行为。
我刊官网地址为 www.fcmag.com.cn。
我刊投稿邮箱为 fcmag@fcmag.com.cn。
对于仿冒我刊网站、网页的违法行为,我社将追究其侵权责任,以维护我社和投稿人的合法权益。仿冒网站、网页举报电话:010-88232443
《金融电子化》新媒体部:主任 / 邝源 编辑 / 潘婧 傅甜甜