为贯彻落实中共中央办公厅、国务院办公厅印发的《推进互联网协议第六版( IPv6)规模部署行动计划》(以下简称《行动计划》)要求,加快推进基于IPv6的下一代互联网在金融行业规模部署,促进互联网演进升级与金融领域的融合创新,结合金融行业实际,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会提出如下实施意见。
一、总体要求
(一)指导思想
坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大、十九届二中、三中全会和全国金融工作会议精神,全面贯彻落实习近平总书记关于网络强国的重要思想,坚持稳中求进工作总基调和新发展理念,抓住全球网络信息技术加速创新变革机遇,加快金融行业软硬件基础设施和应用系统更新步伐,完成金融领域公共管理、民生公益等服务平台IPv6改造,促进互联网与金融行业的深度融合,为经济强国建设奠定坚实基础。
(二)基本原则
按《行动计划》要求,以IPv6规模部署为主线,以典型应用改造和特色应用创新为方向,始终坚持“一个前提,两个结合”三项基本原则推进金融行业IPv6 规模部署工作。
1.以保障系统安全稳定运行为前提
加强顶层设计,统筹谋划,充分论证,稳健实施,坚持发展与安全并举,实现网络、应用、安全的协同,稳步推进金融行业IPv6规模部署。IPv6 改造与运维保障、网络安全工作同步规划、同步建设、同步运行,确保IPv6规模部署实施过程中网络和系统安全稳定运行。
2.应用系统改造与软硬件基础设施升级相结合
协同推进应用系统和软硬件基础设施IPv6 改造工作,以应用系统支持IPv6连接访问为主攻方向,同步加快软硬件基础设施支持IPv6协议升级改造步伐。统筹考虑应用系统和软硬件基础设施的改造实施计划,防范集中式升级改造引发的安全生产风险。
3.递进式推进与增量式推进相结合
优先选择风险可控、代表性强的存量应用系统先行开展IPv6改造工作,在总结试点经验基础上,探索符合本单位实际,具有可操作性的IPv6 改造实施方案,安全快速推进存量应用系统改造,最终实现全部应用系统均支持IPv6连接访问的远期目标。
新增软硬件基础设施的,明确提出支持IPv6 协议的具体需求。新开发的应用系统,实现支持IPv4/IPv6双栈连接功能。在IPv4/IPv6双栈连接情况下,优先采用IPv6 连接访问。
(三)主要目标
1.到2019年底,金融服务机构(详见相关术语说明,附件1 )门户网站支持IPv6连接访问。基于IPv6安全特点,金融行业针对IPv6网络构筑既能有效防范IPv6安全风险,又不低于现有IPv4网络同等防护能力的安全防护体系。
2.到2020年底,金融服务机构面向公众服务的互联网应用系统支持IPv6连接访问,并具备与IPv6改造前同等的业务连续性保障能力。
3. 2021年起,在做好金融行业面向公众服务的互联网应用系统IPv6改造基础上,持续推进IPv6规模部署,逐步构建高速率、广普及、全覆盖、智能化的下一代互联网。
二、实施步骤
(一)初期阶段(截至2019年底)
1.金融服务机构应认真研究落实《行动计划》相关要求,完成对面向公众服务的互联网应用系统的全面梳理,形成《互联网应用系统信息反馈表》(附件2),及时按要求反馈。
2.结合《互联网应用系统信息反馈表》,金融服务机构应完成与应用系统相关的软硬件基础设施摸排验证,梳理各类软硬件基础设施对IPv6协议的支持情况。
3.对无法全面支持IPv6协议的软硬件基础设施,金融服务机构制定详细的升级改造工作计划。
4.金融服务机构完成互联网相关全部域名解析设备升级改造,支持同时发布A记录和AAAA记录,并重点提升域名解析设备的安全防护能力。
5.金融服务机构完成本单位总部及下辖机构门户网站IPv6改造工作,并在其首页标示该网站已支持IPv6。除有用户权限登录控制的定制应用系统外,门户网站主域名内全部静态页面、动态页面、多媒体资源和第三方应用插件等,均支持IPv6连接访问; 页面链接的全部子域名网站均完成IPv6 改造。
6.金融服务机构新增IPv6互联网接入线路,具备既能有效防范IPv6安全风险,又不低于IPv4线路现有的安全防护能力,如访问控制功能、入侵检测防御功能、流量分析清洗功能、WEB应用防护功能等。
7. IPv6 改造行业示范机构至少选择一个活跃用户规模在本机构内排名前3位(含)的移动APP应用系统,使其支持IPv6连接访问,并在其首页标示该应用已支持IPv6。
(二)规模推广阶段(截至2020年底)
1.金融服务机构完成所有面向公众服务的互联网应用系统相关软硬件基础设施的升级改造工作,所有软硬件基础设施均支持IPv6协议。
2.金融服务机构互联网相关全部域名解析设备能支持IPv4/IPv6双栈技术,同时具有IPv4 和IPv6访问地址。
3.金融服务机构所有面向公众服务的互联网应用系统,全部支持IPv6连接访问,并在其首页标示该应用已支持IPv6。
4. IPv6改造行业示范机构至少全面完成一个面向公众服务的互联网应用系统的IPv4/IPv6 双栈改造工作。
5.金融服务机构所有面向公众服务的互联网应用系统,保证在IPv6和IPv4环境下,具备同等的业务连续性保障能力。
(三)持续建设阶段(自2021年起)
金融服务机构在做好面向公众服务的互联网应用系统IPv6改造工作基础.上,及时总结经验,持续开展网络、应用、终端的IPv6升级改造工作,不断健全IPv6 监控运维体系和完善网络安全管理制度与能力,稳步推进金融行业信息化体系向下一代网络的平滑演进升级。
三、保障措施
(一)加强组织领导。金融服务机构要成立由主要领导担任组长的专项工作领导组,组织制定IPv6 改造工作计划和实施方案,强化相关部门间沟通协作,明确责任分工,监督具体措施切实落地。
(二)夯实主体责任。金融服务机构要充分发挥主体能动性,积极推动软硬件基础设施升级改造、应用系统改造、安全保障和技术创新等工作有序开展,将IPv6相关工作任务完成情况纳入总部科技部门及下辖机构的工作考核中,确保各项目标任务按期完成。
(三)落实资金保障。根据实施步骤安排,提前编制IPv6改造预算资金,纳入年度财务预决算,确保资金投入,合理使用预算资金,专款专用,切实保障IPv6规模部署各阶段资金需求。
(四)加强人才队伍建设。加快IPv6改造专业人才培养,有计划地培养一批业务强、技术精的IPv6 人才队伍,快速提升IPv6环境下系统建设运维和安全保障能力。
(五)强化督查考核。中国人民银行将会同中国银行保险监督管理委员会、中国证券监督管理委员会,组织中国互联网金融协会、中国支付清算协会等相关行业协会联合成立IPv6规模部署推进督查工作组,研究制定金融行业推进IPv6 规模部署相关任务完成情况的考核标准,并定期组织开展专项督查工作,跟踪金融行业IPv6 规模部署工作进度,加强行业沟通协调,保障金融行业IPv6规模部署工作稳步有序推进。请中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行,各银保监局,证监会各派出机构将本意见转发至辖区内相关机构。
附件1:相关术语说明
一、金融服务机构。金融服务机构是指依法设立的从事金融业务的政策性银行、商业银行、农村合作银行、农村信用社、村镇银行、证券公司、期货公司、基金管理公司、保险集团(控股)公司、保险公司、保险资产管理公司、保险专业代理公司、保险经纪公司、信托公司、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、贷款公司;中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会各直属企事业单位和相关单位;中国互联网金融协会、中国支付清算协会等相关行业协会确定的依托互联网应用系统,面向公众提供金融属性服务,且应用系统活跃用户规模排名业务领域前列的各类互联网金融企业。
二、IPv6改造行业示范机构。IPv6改造行业示范机构包括国家开发银行、中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信银行、中国光大银行、中国民生银行、招商银行、兴业银行、广发银行、浦发银行、中国邮政储蓄银行、浙商银行、上海银行16家银行,中国人寿保险、中国平安保险、中国人保、太平洋保险4家保险机构,上交所、深交所、上期所、郑商所、大商所、中金所6家交易所,国泰君安、中信证券、广发证券了家证券公司,南华期货、上海东证期货、华西期货3家期货公司,中国银联1家清算机构,度小满金融、蚂蚁金服、财付通、京东金融4家互联网金融企业。
三、软硬件基础设施。软硬件基础设施是指支撑互联网应用系统的所有基础软件和硬件设备的集合。基础软件包括操作系统、数据库软件、中间件等;硬件设备包括路由器、交换机等网络设备,防火墙、入侵检测等安全设备和大小型机、服务器、存储阵列等计算存储设备。
四、面向公众服务的互联网应用系统。面向公众服务的互联网应用系统是指社会公众直接通过互联网连接访问的网站类、桌面类及移动类应用系统。
五、支持IPv6连接访问。支持IPv6连接访问是指通过IPv6/IPv4双协议栈、隧道和网络地址协议转换等技术手段,实现用户可通过IPv6协议对目标应用系统的正常访问。
附件2:互联网应用系统信息反馈表
