金融业IPv6部署和应用评估方法探索研究报告

方法探索研究报告I版权声明本报告版权属于北京金融科技产业联盟，并受法律保护。转违反上述声明者，将被追究相关法律责任。编制委员会编委会成员：聂丽琴张海燕编写组成员：赵春华李红曼张倩倩马超徐晓宇陈耿傅正李洪波王晨张强程锋章平庆瑞叶官青编审：黄本涛周豫齐参编单位：北京金融科技产业联盟秘书处北京国家金融科技认证中心有限公司中国农业银行股份有限公司华为技术有限公司网联清算有限公司新华三技术有限公司北京凝思软件股份有限公司锐捷网络股份有限公司中钞信用卡产业发展有限公司推动IPv6规模部署是建设网络强国的重要国家战略。在中国人民银行等金融管理部门的统筹指导下，金融行业IPv6规模部署和应用创新取得了显著成效，IPv6支持率持续提升，创新应用不断涌现。中国人民银行发布的《金融科技发展规划（2022—2025年）》提出“架设安全泛在的金融网络”的重点任务，明确“全面推进互联网协议第六版（IPv6）技术创新与融合应用，实现从能用向好用转变、从数量到质量转变、从外部推动向内生驱动转变”的任务目标。为匹配跟踪IPv6最新政策要求和技术发展方向，积极研究新技术对评估认证技术和方法提出的新课题，特编制本研究报告，以期为金融机构持续深入推进IPv6及IPv6+发展提供参考。本报告首先对IPv6评估验证体系现状进行回顾，随后围绕IPv6规模部署和应用创新两个维度，系统化分析关键评估指标体系，并对评估实施方法进行探讨，最后对未来研究方向进行展望。 （二）IPv6金融认证服务已在行业落地 （一）总体要求 2 17 1一、IPv6评估验证体系现状概述《关于金融行业贯彻〈推进互联网协议第六版（IPv6）规模部署行动计划〉的实施意见》（银发〔2018〕343号以下简称《实施意见》）中明确提出，金融服务机构面向公众服务的互联网应用系统和门户网站要支持IPv6链接访问。为贯彻落实《实施意见》要求，中国人民银行从全局着眼，统筹规划IPv6评估验证方法体系并积极实践，稳步推进IPv6规模部署和应用。（一）IPv6规模部署已初步具备验证指标体系2019年11月，中国人民银行科技司印发《金融行业IPv6规模部署技术验证指标体系V1.0》，提出涵盖应用、网络、安全、保障措施和运维五大类11个验证项58个验证指标，全面覆盖了IPv6规模部署的场景，奠定了金融业IPv6指标体系的基石，为金融服务机构自查和总结提供了参照。北京国家金融科技认证中心有限公司（以下简称“北京国金支持评测指标》，覆盖金融互联网应用系统、安全、运维以及管理制度等7大模块，细化多个量化考核指标，并根据评测得分将认证结果分为不同级别，形成差异化、阶梯化的评估体系，以树立标杆，推进行业示范。（二）IPv6金融认证服务已在行业落地中国人民银行建设金融行业IPv6发展监测平台。监测平台从网站2IPv6改造度、网站IPv6和IPv4的一致性、网站二三级链接IPv6支持率等7个方面对金融机构网站和应用进行动态监测，通过分地区、分类型的展示功能为全面客观掌握IPv6规模部署和改造情况提供支撑。第三方检测认证专业机构积极协助政策落地。北京国金认证推出IPv6金融认证服务和国推认证服务，覆盖门户网站、面向公众服务的互联网应用系统和金融APP。（三）IPv6行业标准研制规范验证方法2022年《金融标准化“十四五”发展规划》提出制定IPv6应用推广、检测评价等配套标准的目标，产业上下游进一步凝聚共识。中国人民银行组织研制的IPv6技术金融应用行业标准，面向金融服务机构门户网站、APP、B/SWeb应用及C/SAPP应用，从应用、网络、安全、保障措施和运维五大类方面，对IPv6连接访问的支持度和网络质量进行验证，针对IPv6环境下路由协议、地址、NAT等网络安全防护能力制定明确的验证指标。二、新阶段IPv6部署和应用评估指标体系研究（一）总体要求当前IPv6评估指标体系重点面向互联网应用系统，覆盖应用、网络、安全、保障措施和运维等多层面，有效支撑金融服务机构自评估、第三方机构评估、行业监测等工作开展。新阶段金融业加快推进IPv6规模部署和应用、实现从能用向好用演进的目标要求，对现有的IPv6评估指标体系也提出了新的要求。3一是对IPv6验证对象和范围会进一步扩展。在金融机构门户网站和业务系统相关指标基础上，IPv6的验证对象会从针对网络和应用向网络、终端、应用及安全多维度扩展，其中IPv6网络范围会包括广域网、分支机构网络、数据中心等多个领域。二是对IPv6技术体系支持度会进一步细化。随着IPv6+创新技术，例如分段路由、随流检测、网络切片等技术的演进及加速部署，针对该新技术领域的部署实施情况需完善相应的评估手段和评估标准。（二）IPv6规模部署关键评估指标研究围绕“深入推进金融机构广域网、分支机构网络、数据中心的IPv6改造，持续提高金融服务机构面向公众服务的互联网应用系统IPv6支持能力”的总目标，基于量质并重、分级分类原则，全面设计新阶段IPv6评估指标体系。一方面是指标覆盖网络范围扩展，另一方面新增指标定义项，涵盖了IPv6覆盖度、IPv6活跃度、IPv6网络质量、IPv6网络可靠性、IPv6安全防护能力和IPv6运维支撑体系。1.信息基础设施的IPv6覆盖度指标本指标用于评估各类金融信息基础设施IPv6部署的总体完成情况，具体指标如表1所示。4部署IPv6/IPv4双栈的网络设备数量/说明：（1）终端与应用系统的IPv6部署度，可通过IPv6活跃度指标进行有效评估。（2）评估过程建议与《实施意见》中演进路线相匹配，具体如下：（a）自阶段一起，新采购信息基础设施均需满足IPv6支持度要求。（b）在阶段一和阶段二期间，新部署的网络及安全设备优5选IPv6单栈方式部署，如需与IPv4存量适配，须通过IPv6/IPv4双栈方式部署，以逐步提升IPv6占比。（c）至阶段三实现IPv6单栈全面部署的目标。2.网络基础设施的IPv6活跃度指标本指标用于评估各网络领域IPv6业务流量的占比情况，以间接评估终端和应用系统的IPv6部署情况。具体指标如表2所示。6说明：（1）IPv6业务流量占比计算公式如下：业务流量+IPv6出业务流量）。（b）IPv6入业务流量占比=IPv6入业务流量/（IPv4入业务流量+IPv6出业务流量）。（2）计算公式适用于广域骨干网络、广域分支网络、数据中心网络、园区网络。其中出流量可体现IPv6业务连接情况及活跃度，入流量可体现IPv6业务被访问及应用状态。（3）评估过程建议与《实施意见》中实施步骤相匹配，具体如下：（a）在阶段一和阶段二期间，本指标数据逐步提升。（b）至阶段三各领域网络IPv6活跃度数据全面提升，以实现IPv6单栈全面部署的目标。本指标通过时延、抖动、丢包等关键业务指标，以综合评估IPv6部署后网络总体质量，指导达成“网络好用”的发展目标。具体指标如表3所示。7量量量量综合评估网络质量。说明：（1）IPv6网络质量通过IPv6业务相比IPv4业务在时延、抖动、丢包综合劣化的结果进行呈现，计算公式如下：（a）IPv6业务时延劣化结果=（IPv6业务时延-IPv4业务时延）/IPv4业务时延，若小于0则取用结果0。IPv6业务时延=检测网络中N个IPv6业务时延之和/N。IPv4业务时延=检测网络中N个IPv4业务时延之和/N。8（b）IPv6业务丢包结果=（IPv6业务丢包率率）/IPv4业务丢包率，若小于0则取用结果0。IPv6业务丢包率=检测网络中N个IPv6业务丢包率之和/N。IPv4业务丢包率=检测网络中N个IPv4业务丢包率之和/N。（c）IPv6业务抖动结果=（IPv6业务抖动-IPv4业务抖动）/IPv4业务抖动，若小于0则取用结果0。IPv6业务抖动=检测网络中N个IPv6业务抖动之和/N。IPv4业务抖动=检测网络中N个IPv4业务抖动之和/N。（d）IPv6网络质量=IPv6业务时延劣化结果*权重30%+IPv6业务丢包结果*权重40%+IPv6业务抖动结果*权重30%。（2）IPv6网络质量指标是IPv6规模部署演进中一个重要的衡量标准，在三个演进阶段均需关注参考。（3）IPv6转换技术NAT64、NAT66的质量情况通过转换成功率进行计算衡量，即：IPv6转换技术质量=检测网络中IPv6NAT转换成功数/网络NAT转换总数。4.网络基础设施的IPv6网络可靠性指标本指标通过对IPv6网络可靠性进行综合评估，支撑IPv6业务连续不中断的目标达成。具体指标如表4所示。9性说明：（1）网络可靠性通过网络基础设施的链路及设备冗余化部署得到支撑，本指标判定链路或设备冗余化部署是否满足。（2）基础设施的IPv6网络可靠性，是IPv6规模部署演进中的基础衡量标准，在三个演进阶段均需关注参考。5.信息基础设施的IPv6安全防护能力指标本指标用于评估IPv6业务端到端的安全体系化能力，与前述IPv6覆盖度指标中IPv6安全能力指标互为补充。以是否部署为判定条件，具体能力要求可根据总体评估目标详细设定。具体指标如表5所示。护级说明：本指标是IPv6规模部署演进中最重要的衡量标准之一，在三个演进阶段均需关注参考。6.网络基础设施的IPv6运维支撑体系健全度指标本指标用于评估网络运维支撑的综合能力，实现IPv6更高效、智能的管理，指导达成“网络好用”的发展目标。以是否部署为判定条件，具体能力要求可根据总体评估目标详细设定。具体指标如表6所示。撑说明：本指标是IPv6规模部署演进中必不可少的衡量标准。评估建议如下：（1）在阶段一，网络运维系统、网络监控系统作为IPv6运维基础要求，相关指标均应满足。（2）从阶段二至阶段三，需逐步达成网络分析系统和开放可编程的对应指标，以满足IPv6单栈全面部署的目标达成后的运维支撑要求。（三）IPv6技术和应用创新关键评估指标研究IPv6+技术体系为金融业IPv6融合应用创新奠定了基础，也是金融业IPv6部署演进的重要课题。新阶段的IPv6评估指标体系应匹配技术创新演进的方向和节奏，充分验证新技术引入能力和部署规模和实施效果，验证IPv6网络“从能用向好用转变”的能力水平。1.面向IPv6演进阶段一，深入推进SRv6技术创新，评估金融机构骨干网及分支网络设备的IPv6+网络可编程能力。具体指标如表7所示。用2.面向IPv6演进阶段二，加强网络切片、随流检测、新型组播等创新技术应用，评估金融机构骨干网及分支网络设备的IPv6+业务体验保障水平。具体指标如表8所示。用支持iFIT的网络设备数目/域内所部署iFIT的网络设备数目/域内所是否支持通过控制器实现iFIT业是否支持通过iFIT方式实现VPN、是否支持通过iFIT方式对业务时支持切片的网络设备/域内所有网部署切片的网络设备/域内所有网切片网络业务时延与承诺时延的支持Bierv6的网络设备/域内所有部署Bierv6的网络设备/域内所有3.面向IPv6演进阶段三，推进应用驱动网络APN6技术应用部署，实现应用感知和网络自治，评估金融机构相关网络领域内网络设备的IPv6+应用感知水平。具体指标如表9所示。用三、新阶段IPv6评估实施方法探索金融业IPv6部署和应用评估指标的不断丰富，对具体的评估验证方法、技术、工具、环境、平台、机制等多方面也提出了新的课题，需要在发展中深入研究。围绕各阶段的目标要求，通过多种创新技术和方法逐步落地。新阶段IPv6评估验证主要提出两方面要求：一方面，IPv6的评估验证范围更广泛，即从原有针对数据中心出口网络及应用的IPv6监测，扩展到数据中心网络（外网及DMZ、内网）、安全、终端及应用，广域网络及安全，园区网络、安全及终端。另一方面，IPv6评估验证的指标更全面，包括从IPv6覆盖度、活跃度、网络质量、可靠性、安全、运维等部署程度评估指标，以及多种应用创新技术指标。上述要求对IPv6监测数据的采集、评估和呈现等全流程均提（一）IPv6监测数据采集多维度的IPv6指标需要采取差异化、创新性的监测技术和手段实现。需要结合指标要求、业务特点、场景差异等因素综合考虑。以IPv6网络质量指标为例，针对广域网络的监测和数据中心网络的监测，数据采集过程中可能采用不同的技术。例如，数据中心网络可以考虑采用镜像、拨测等技术，广域网络可以考虑采用NetStream、Telemetry等数据采集上报技术。同时，可以采用更多的创新监测手段。例如，针对网络设备和终端、应用系统，可以针对数据采集的数据类别、取样时间、取样范围、取样频度等尝试更多创新性的采集方法。新阶段IPv6评估验证数据采集的范围、数据内容、数据量、工作量都将不断增长。同时，为提升监测质量及结果准确性，需要提高数据采集频度。然而，传统数据采集以部分工具采样为基础、人工核查作为补充，这种方式将面临新的挑战。因此，同样需要推动IPv6数据采集在工具化、自动化方面的技术创新，以解决数据采集覆盖范围扩大带来的效率和准确性的平衡性问题。数据采集方法需要探针、采集、筛选等工具或平台支持。当前相关研究仍处于起步阶段，尚有大量课题需要深入研究。对于采集到的原始数据，需要进行大量的数据量化和分析，并进行是否达标的判定，以提供商业机构自测自检，以及金融管理部门管理监测。在研究IPv6监测数据采集的基础上，可进一步探索IPv6监测结果评估的工具化和自动化。数据分析和评估可借助大数据分析、人工智能等创新性技术，以提升评估结果的准确性和时效性。探索金融管理部门和商业机构的采集评估工具进行双向协同，以充分释放金融数字化转型技术红利。现有的监测数据结果的呈现能力不断提升，进一步优化和完善金融业多领域网络、安全、终端扩展呈现范围到全IPv6网络领域、安全等。同时进一步完善呈现类别，例如IPv6可靠性、IPv6体验等。其次，实现监测平台数据来源自动化。在IPv6监测数据采集及IPv6监测结果评估均实现工具化、自动化的基础上，监测平台可根据标准化要求与采集、评估工具对接，周期性进行数据自动化获取及呈现。四、未来研究方向当前，IPv6及IPv6+在金融网络的应用，仍是技术创新研究的重要方向，对于评估验证体系也需要与时俱进，匹配国家和金融行业IPv6及IPv6+的整体发展目标和技术能力，进行更完善同时，IPv6及IPv6+部署和应用评估验证，仍面临着新的研究课题，需要打破网络通信层的边界，进行更广泛深入的研究。一方面，在信息基础设施的IPv6覆盖度指标评估方面