为深入贯彻落实党中央决策部署,有效应对数字时代的业务挑战,加速推动政务外网IPv6发展,国家电子政务外网管理中心组织力量撰写了《政务外网IPv6演进技术白皮书(2021)》(以下简称“白皮书”),并于近期在广西南宁召开的“智慧政务峰会2021”上正式发布。
IPv6是互联网升级演进的必然趋势,是网络技术创新的重要方向,也是网络强国建设的基础支撑。2017年,以习近平同志为核心的党中央作出推进IPv6规模部署行动的战略决策。“十四五”时期,我国将加快数字化发展,大力推进数字政府建设。政务大数据、城市治理、专网融合、移动办公等来自制度、技术、场景的变革要素正在加速涌现,持续挑战政务外网IPv4服务能力。为贯彻落实党中央决策部署,有效应对数字时代的业务挑战,需要加快政务外网IPv6演进。
《白皮书》旨在为政务外网全面向IPv6演进提供分析和指导,给出基于IPv6的新一代政务外网建设思路和演进路径,为地方政务外网IPv6改造提供参考。
白皮书指出,新的业务场景的出现,对政务外网的网络覆盖、安全防御、体验保障均提出了新的要求,IPv4地址不足、运营管理难度大、安全防护不全面等问题成为制约政务外网发展的瓶颈。据估计,目前尚有30%-40%的政务部门未接入政务外网,IP地址量严重制约政务部门开展信息系统建设和数据共享。IP网络的发展是由业务和应用驱动的,随着新的业务模式的不断出现,全局地址的需求量不断增加,同时精细化运营和精准溯源要求每个终端具备唯一可寻址的IP地址,全局地址短缺严重影响了政务业务持续创新。
在网络安全防护方面,IPV4主要存在私有地址重复,安全监测和溯源难度大,公网地址错误私用等安全防护问题。
对于政务公共业务,政务部门经过NAT后进入政务外网,或者各省的流量经过NAT后进入中央级政务外网,由于多个用户共用一个IP地址,当安全监测平台监测到攻击后,并不能精准定位到是具体哪台主机进行取证。在政务外网承载政务部门专网VPN(VirtualPrivate Network,虚拟专用网)的场景下,由于VPN内私有地址重叠,针对同一个IP地址,安全监测平台可能监测到大量重复IP地址的告警,由于安全监测平台按照五元组进行呈现,不能监测到具体是哪个业务,哪个政务部门的哪台终端出了问题,造成溯源排查困难,难以实施进一步的阻断策略。
随着虚拟化和物联网技术的发展,网络规模越来越大,子网数量激增,政务业务对全局地址和地方地址需求量越来越大。IPv4地址不足时,有些地方可能会把其他组织已申请,但未启用或非私网的IP地址,作为私有地址使用,例如172.0.0.0/8网段。这些地址一旦后续在公网重新启用,由于内网已经使用该地址,导致内网用户根据私网路由无法正常访问公网启用的相应服务;同时,当内网业务路由发生变化(不可达等),可能将数据包按照默认路由转发到外网,造成内部信息泄漏。
政务外网安全等级保护的目标是通过推进安全等级保护工作,加强政务外网整体的安全防护能力,确保国家电子政务外网全网的安全性、可靠性和一致性,保证所承载的各级政务部门电子政务业务的畅通和安全。
中央、省、地(市)政务外网均应达到安全等级保护2.0(GB/T 22239-2019)第三级要求,并每年开展等保测评工作。政务外网安全等级保护首先是网络防护,保证所承载各级政务部门信息系统的网络畅通,抵御病毒和人为的攻击。在所管辖的网络边界范围内,管理好统一的互联网出入口、安全接入平台,并做好各部门政务外网接入边界的访问控制,具备跨区域数据安全交换能力,确保跨部门数据在安全的前提下进行共享交换。
另外,政务外网还需要具备统一的安全监测、分析和预警能力。统一安全监测依托安全监测平台,平台采用中央、省二级架构,每级单位单独建设安全监测平台,具备完整的数据采集预处理、数据分析、展示与应用等功能,各级平台可按照本级安全监测需求来建设专项监测。
白皮书指出,基于IPV6的安全优势,能够为构建下一代电子政务外网提供精准的安全管控和溯源能力。
首先,政务外网接入的终端类型和数量在不断增加,在出现威胁时,需要做到精准的溯源和阻断。全网终端具有唯一的IPv6地址,通过安全监测分析平台,实时检测网络威胁,当发现威胁后,可以通过IPv6地址精准溯源到终端位置,对异常终端进行阻断。结合网安协同机制,可以同时在网络设备上阻断威胁,实现近源阻断,杜绝异常外联及跨网攻击的发生。
其次,政务外网需要对接入的终端进行准入认证,认证通过的用户才可以访问政务外网。为部门政务外网的终端统一分配唯一的IPv6地址,接入政务外网时不需要进行NAT转换,不需要考虑NAT穿越的问题,可以通过免客户端的Portal认证方式进行准入认证,增加了认证的灵活性和便捷性。利用IPv6地址丰富的扩展字段,可以携带用户ID等信息,网络和安全设备通过用户ID等信息,对用户进行精准的认证和威胁防护。
京公网安备 11010802033237号
