《金融业IPv6部署和应用评估方法探索研究报告》

金融业IPv6部署和应用评估方法探索研究报告 北京金融科技产业联盟2024年7月 编制委员会 编委会成员：聂丽琴张海燕编写组成员： 赵春华李红曼张倩倩马超徐晓宇陈耿傅正李洪波王晨张强程锋章平庆瑞叶官青 编审： 黄本涛周豫齐 参编单位： 北京金融科技产业联盟秘书处 北京国家金融科技认证中心有限公司中国农业银行股份有限公司 华为技术有限公司网联清算有限公司新华三技术有限公司 北京凝思软件股份有限公司锐捷网络股份有限公司 中钞信用卡产业发展有限公司 前言 推动IPv6规模部署是建设网络强国的重要国家战略。在中国人民银行等金融管理部门的统筹指导下，金融行业IPv6规模部署和应用创新取得了显著成效，IPv6支持率持续提升，创新应用不断涌现。中国人民银行发布的《金融科技发展规划（2022—2025年）》提出“架设安全泛在的金融网络”的重点任务，明确“全面推进互联网协议第六版（IPv6）技术创新与融合应用，实现从能用向好用转变、从数量到质量转变、从外部推动向内生驱动转变”的任务目标。 为匹配跟踪IPv6最新政策要求和技术发展方向，积极研究新 技术对评估认证技术和方法提出的新课题，特编制本研究报告，以期为金融机构持续深入推进IPv6及IPv6+发展提供参考。本报告首先对IPv6评估验证体系现状进行回顾，随后围绕IPv6规模部署和应用创新两个维度，系统化分析关键评估指标体系，并对评估实施方法进行探讨，最后对未来研究方向进行展望。 目录 一、IPv6评估验证体系现状概述1 （一）IPv6规模部署已初步具备验证指标体系1 （二）IPv6金融认证服务已在行业落地1 （三）IPv6行业标准研制规范验证方法2 二、新阶段IPv6部署和应用评估指标体系研究2 （一）总体要求2 （二）IPv6规模部署关键评估指标研究3 （三）IPv6技术和应用创新关键评估指标研究12 三、新阶段IPv6评估实施方法探索15 （一）IPv6监测数据采集15 （二）IPv6监测数据评估和呈现16 四、未来研究方向17 缩略语18 参考文献19 一、IPv6评估验证体系现状概述 《关于金融行业贯彻〈推进互联网协议第六版（IPv6）规模部署行动计划〉的实施意见》（银发〔2018〕343号）（以下简称《实施意见》）中明确提出，金融服务机构面向公众服务的互联网应用系统和门户网站要支持IPv6链接访问。为贯彻落实《实施意见》要求，中国人民银行从全局着眼，统筹规划IPv6评估验证方法体系并积极实践，稳步推进IPv6规模部署和应用。 （一）IPv6规模部署已初步具备验证指标体系 2019年11月，中国人民银行科技司印发《金融行业IPv6规模部署技术验证指标体系V1.0》，提出涵盖应用、网络、安全、保障措施和运维五大类11个验证项58个验证指标，全面覆盖了IPv6规模部署的场景，奠定了金融业IPv6指标体系的基石，为金融服务机构自查和总结提供了参照。 北京国家金融科技认证中心有限公司（以下简称“北京国金认证”）制定《金融服务机构面向公共服务的互联网应用系统IPv6支持评测指标》，覆盖金融互联网应用系统、安全、运维以及管理制度等7大模块，细化多个量化考核指标，并根据评测得分将认证结果分为不同级别，形成差异化、阶梯化的评估体系，以树立标杆，推进行业示范。 （二）IPv6金融认证服务已在行业落地 为推动“定期开展企业、行业、区域应用情况评测”的工作，中国人民银行建设金融行业IPv6发展监测平台。监测平台从网站 IPv6改造度、网站IPv6和IPv4的一致性、网站二三级链接IPv6支持率等7个方面对金融机构网站和应用进行动态监测，通过分地区、分类型的展示功能为全面客观掌握IPv6规模部署和改造情况提供支撑。 第三方检测认证专业机构积极协助政策落地。北京国金认证推出IPv6金融认证服务和国推认证服务，覆盖门户网站、面向公众服务的互联网应用系统和金融APP。 （三）IPv6行业标准研制规范验证方法 2022年《金融标准化“十四五”发展规划》提出制定IPv6应用推广、检测评价等配套标准的目标，产业上下游进一步凝聚共识。中国人民银行组织研制的IPv6技术金融应用行业标准，面向金融服务机构门户网站、APP、B/SWeb应用及C/SAPP应用，从应用、网络、安全、保障措施和运维五大类方面，对IPv6连接访问的支持度和网络质量进行验证，针对IPv6环境下路由协议、地址、NAT等网络安全防护能力制定明确的验证指标。 二、新阶段IPv6部署和应用评估指标体系研究 （一）总体要求 当前IPv6评估指标体系重点面向互联网应用系统，覆盖应用、网络、安全、保障措施和运维等多层面，有效支撑金融服务机构自评估、第三方机构评估、行业监测等工作开展。新阶段金融业加快推进IPv6规模部署和应用、实现从能用向好用演进的目标要求，对现有的IPv6评估指标体系也提出了新的要求。 一是对IPv6验证对象和范围会进一步扩展。在金融机构门户 网站和业务系统相关指标基础上，IPv6的验证对象会从针对网络和应用向网络、终端、应用及安全多维度扩展，其中IPv6网络范围会包括广域网、分支机构网络、数据中心等多个领域。 二是对IPv6技术体系支持度会进一步细化。随着IPv6+创新 技术，例如分段路由、随流检测、网络切片等技术的演进及加速部署，针对该新技术领域的部署实施情况需完善相应的评估手段和评估标准。 （二）IPv6规模部署关键评估指标研究 围绕“深入推进金融机构广域网、分支机构网络、数据中心的IPv6改造，持续提高金融服务机构面向公众服务的互联网应用系统IPv6支持能力”的总目标，基于量质并重、分级分类原则，全面设计新阶段IPv6评估指标体系。一方面是指标覆盖网络范围扩展，另一方面新增指标定义项，涵盖了IPv6覆盖度、IPv6活跃度、IPv6网络质量、IPv6网络可靠性、IPv6安全防护能力和IPv6运维支撑体系。 1.信息基础设施的IPv6覆盖度指标 本指标用于评估各类金融信息基础设施IPv6部署的总体完成情况，具体指标如表1所示。 表1金融信息基础设施IPv6覆盖度指标 维度 指标定义 指标说明 IPv6网络能力 IPv6协议支持度 支持IPv6协议的网络设备数量/占比。 IPv6双栈部署度 部署IPv6/IPv4双栈的网络设备数量/占比。 IPv6单栈部署度 部署IPv6单栈的网络设备数量/占比。 IPv6终端能力 IPv6支持度 办公终端支持IPv6的设备数量/占比。生产终端支持IPv6的设备数量/占比。物联终端支持IPv6的设备数量/占比。 IPv6应用系统能力 IPv6支持度 操作系统支持IPv6的占比。数据库支持IPv6的占比。系统软件支持IPv6的占比。 IPv6安全能力 IPv6协议支持度 支持IPv6协议的安全设备数量/占比。 IPv6双栈部署度 部署了IPv6/IPv4双栈的安全设备数量/占比。 IPv6单栈部署度 部署了IPv6单栈的安全设备数量/占比。 说明： （1）终端与应用系统的IPv6部署度，可通过IPv6活跃度指标进行有效评估。 （2）评估过程建议与《实施意见》中演进路线相匹配，具体如下： （a）自阶段一起，新采购信息基础设施均需满足IPv6支持度要求。 （b）在阶段一和阶段二期间，新部署的网络及安全设备优 选IPv6单栈方式部署，如需与IPv4存量适配，须通过IPv6/IPv4双栈方式部署，以逐步提升IPv6占比。 （c）至阶段三实现IPv6单栈全面部署的目标。2.网络基础设施的IPv6活跃度指标 表2金融网络基础设施IPv6活跃度指标 本指标用于评估各网络领域IPv6业务流量的占比情况，以间接评估终端和应用系统的IPv6部署情况。具体指标如表2所示。 维度 指标定义 指标说明 广域骨干网络IPv6承载业务流量占比 广域骨干网络中IPv6出入业务流量占骨干网络总出入业务流量占比。 广域分支网络IPv6承载业务流量占比 广域分支网络中IPv6出入业务流量占分支网络总出入业务流量占比。数据中心网络中外网（包括互联 IPv6活跃度 网、外联网及DMZ等面向外部及三方的多种分区网络基础设施） 数据中心网络IPv6承载 IPv6出入业务流量占各分区网 业务流量占比 络总出入业务流量占比。数据中心网络中内网（业务区域网络）IPv6出入业务流量占数据中心网络总出入业务流量占比。 园区网络IPv6承载业务流量占比 分析获取园区网络中IPv6出入业务流量占园区网络总出入业务流量占比。 说明： （1）IPv6业务流量占比计算公式如下： （a）IPv6出业务流量占比=IPv6出业务流量/（IPv4出业务流量+IPv6出业务流量）。 （b）IPv6入业务流量占比=IPv6入业务流量/（IPv4入业务流量+IPv6出业务流量）。 （2）计算公式适用于广域骨干网络、广域分支网络、数据中心网络、园区网络。其中出流量可体现IPv6业务连接情况及活跃度，入流量可体现IPv6业务被访问及应用状态。 （3）评估过程建议与《实施意见》中实施步骤相匹配，具体如下： （a）在阶段一和阶段二期间，本指标数据逐步提升。 （b）至阶段三各领域网络IPv6活跃度数据全面提升，以实现IPv6单栈全面部署的目标。 3.网络基础设施的IPv6网络质量指标 本指标通过时延、抖动、丢包等关键业务指标，以综合评估IPv6部署后网络总体质量，指导达成“网络好用”的发展目标。具体指标如表3所示。 表3金融网络基础设施IPv6网络质量指标 维度 指标定义 指标说明 IPv6网络质量 广域骨干IPv6网络质量 通过验证IPv6广域骨干网络承载的业务指标，综合评估网络质量。 广域分支IPv6网络质量 通过验证IPv6广域分支网络承载的业务指标，综合评估网络质量。 数据中心IPv6网络质量 通过验证IPv6数据中心网络中外网（包括互联网、外联网及DMZ等面向外部及三方的多种分区网络基础设施）承载的业务指标，综合评估网络质量。通过验证IPv6数据中心网络中内网（业务区域网络）承载的业务指标，综合评估网络质量。验证金融数据中心外网及内网IPv6转换技术NAT64、NAT66的质量。 园区IPv6网络质量 通过验证IPv6园区网络承载的业务指标，综合评估网络质量。 说明： （1）IPv6网络质量通过IPv6业务相比IPv4业务在时延、抖动、丢包综合劣化的结果进行呈现，计算公式如下： （a）IPv6业务时延劣化结果=（IPv6业务时延-IPv4业务时延）/IPv4业务时延，若小于0则取用结果0。 IPv6业务时延=检测网络中N个IPv6业务时延之和/N。IPv4业务时延=检测网络中N个IPv4业务时延之和/N。 （b）IPv6业务丢包结果=（IPv6业务丢包率-IPv4业务丢包率）/IPv4业务丢包率，若小于0则取用结果0。 IPv6业务丢包率=检测网络中N个IPv6业务丢包率之和/N。IPv4业务丢包率=检测网络中N个IPv4业务丢包率之和/N。 （c）IPv6业务抖动结果=（IPv6业务抖动-IPv4业务抖动） /IPv4业务抖动，若小于0则取用结果0。 IPv6业务抖动=检测网络中N个IPv6业务抖动之和/N。IPv4业务抖动=检测网络中N个IPv4业务抖动之和/N。 （d）IPv6网络质量=IPv6业务时延劣化结果*权重30%+IPv6业务丢包结果*权重40%+IPv6业务抖动结果*权重30%。 （2）IPv6网络质量指标是IPv6规模部署演进中一个重要的衡量标准，在三个演进阶段均需关注参考。 （3）IPv6转换技术NAT64、NAT66的质量情况通过转换成功率进行计算衡量，即： IPv6转换技术质量=检测网络中IPv6NAT转换成功数/网络NAT转换总数。 4.网络基础设施的IPv6网络可靠性指标 本指标通过对IPv6网络可靠性进行综合评估，支撑IPv6业务连续不中断的目标达成。具体指标如表4所示。 表4金融网络基础设施I