News新聞中心
政策法規 熱點信息 公司新聞 活動預告

金融業IPv6改造安全合規落地

TIME:2019-12-03 ? click: 52 次
2019年11月15日,由陜西省地方金融監管局與人民銀行西安分行、陜西省委網信辦、中國銀行保險監督管理委員會陜西監管局共同主辦的“數字化時代金融與科技融合發展”西部金融科技峰會,在陜西西安隆重舉行。深信服作為專注于企業級安全、云計算和基礎架構的產品和服務供應商,深耕金融行業多年,受邀出席本次大會,并向與會嘉賓深度分享了深信服在金融業IPv6建設上的實踐經驗。
鑒于金融行業應用系統復雜度高,IPv6改造涉及到的內容和設施非常多,如基礎設施改造、DNS服務器改造、業務系統改造等,同時IPv6改造必須滿足“IPv6不低于IPv4線路現有的安全防護能力”的政策要求。
深信服金融事業部方案規劃總監徐省委在以《共筑網絡安全,金融行業IPv6建設最佳實踐》為主題的分享中表示,IPv6改造升級整體方案應秉承復雜度低、安全性高和業務影響小的改造原則,遵循“網絡先行”、“多場景兼容”、“平滑演進”、“可用性、安全性高”四大原則。
1.網絡先行
由于網絡設備相對來說都是通用的,不需要再去改應用的代碼,改造工作相對簡單,技術比較成熟,所以建議金融機構優先對網絡進行改造。
2.多場景兼容
目前來說,客戶端網絡存在三種形式:IPv4-only、IPv6-only以及IPv4/IPv6共用的用戶。由于改造周期較長,期間需要三種業務網絡共存,其兼容性問題需要重點關注。例如三大運營商在2019年5月已在手機端實現IPv4/IPv6部署,一旦改造移動端應用,流量將優先使用IPv6線路。
3.平滑演進
改造時要保障“從IPv4到IPv4/IPv6再到IPv6”的演進過程,保障用戶數據不丟失,業務不中斷地進行平滑過渡。
4.可用性、安全性高
需確認每個演進階段,從網絡到應用,再到系統三個層面的安全性。IPv6網絡環境高可用、高安全,不出現全局性、大范圍業務異常和安全訪問漏洞。
徐省委表示,2019年,金融服務機構對門戶網站進行改造時,是通過直接改造現有IPv4網絡,對已有出口進行改造,屬于設備利舊,優勢是成本可控,缺點是維護風險加倍。例如:增加設備/系統的暴露面、策略管理復雜度加倍、防護被穿透的機會加倍;雙棧系統的復雜性也會增加網絡節點的數據轉發負擔,導致網絡節點的故障率增加。
2020年金融生產業務系統進入IPv6規模階段,建議更換方案,保持使用IPv4網絡,新建IPv6網絡平面,這種方案屬于設備新建方案,缺點是成本較高,優勢是維護風險可控,故障類可控,可實現業務平滑上線和遷移,同時可以避免運行雙棧的業務系統影響其他只運行IPv4的業務系統。
加快推進IPv6規模部署工作,是金融業今年乃至今后一段時期的重點工作,深信服下一代防火墻AF、下一代入侵防御系統IPS、Web應用防火墻WAF、應用交付AD(負載均衡)、SSL安全網關(SSL卸載)等產品均已支持IPv6協議。目前,深信服已經在金融、政府、央企等行業幫助多家用戶完成各類網站和互聯網系統等向IPv6的平滑過渡與快速改造。
十九年創新,十九年沉淀,深信服現已服務了超過80%的銀行/證券/保險等金融用戶,并且為中國銀行、中國工商銀行、中國建設銀行、中國農業銀行、交通銀行、郵儲銀行、中信證券、海通證券、國泰君安、廣發證券、中國人壽、中國人保、平安保險、太平保險等金融用戶提供了可信賴的安全保障。未來,深信服將繼續提供與時代前沿相契合的行業整體解決方案,推動金融業數字化轉型升級,為中國金融機構提供堅實的支撐和犀利的洞見,助力構建金融科技新生態,把脈趨勢,為實現智慧金融、科技金融獻力獻策。

天天快报领红包真的吗