文 / 山东省农村信用社联合社 庄欠满 晁玉忠 刘亚军
近年来,山东省联社在中国人民银行的科学指导下,按照《关于金融行业贯彻的实施意见》(银发〔2018〕343号)等要求,加强组织领导,建立健全工作机制,逐步推进软硬件基础设施升级,顺利完成了所有互联网应用系统IPv6改造,金融行业IPv6发展监测平台评分均为满分。在此基础上,山东省联社不断推进IPv6规模部署和创新应用,IPv6应用场景不断扩大。
科学规划,
合理确定改造方案
山东省联社IPv6规模部署坚持“规划先行、稳步实施”的原则,通过率先制定规划、明确改造方案,使相关工作有章可循。
1.编制IPv6地址规划。相比IPv4地址,IPv6地址的长度、表示方法、分类等均不相同,需重新进行IPv6地址规划。山东省联社IPv6地址规划遵循以下3个原则,一是层次化原则,减少网络地址碎片,增强路由聚合能力,提高网络路由效率。二是安全性原则,同一业务种类划分同一段地址空间,方便后续安全策略设计和安全管理。三是可扩展性原则,前期IPv6地址主要在互联网分区使用,但随着IPv6规模部署持续推进,将逐步向内网推广,因此IPv6地址规划要具有充分的可扩展性。山东省联社基于上述原则编制完成了全局IPv6地址规划,具备全网扩展能力,不仅适用当前互联网应用系统IPv6改造,也能够向后续内网改造平滑过渡。
2.科学确定改造方案。山东省联社通过与外部厂商以及同业交流,认真分析了“NAT64转换”“双栈”“新建互联网分区”等各种方案的优缺点,结合自身互联网出口、应用系统等情况,最终选择“网络链路双栈+应用双栈”方式进行IPv6改造。网络链路方面,现有互联网出口链路接入子区的路由器、交换机等网络设备,以及抗DDOS、防火墙、上网行为管理、SSL网关、IPS、WAF等安全设备,全部IPv6/IPv4双栈运行,使IPv6流量与IPv4流量具有相同的访问路径。互联网应用方面,对其进行改造,使之能够正常响应用户的IPv6请求,返回与IPv4请求一样的结果;为避免改造产生较大风险,改造深度方面只进行DMZ区前置改造,暂不涉及应用服务器和数据库。
选择双栈方案的好处包括,一是IPv6/IPv4将长期共存,相比于IPv6、IPv4分别单栈运行,能够节省新建IPv6网络出口的成本,也能减少后期维护工作量。二是采用双栈方式,IPv6与IPv4流量运行在同样的网络设备、安全设备上,能够确保IPv6具有与IPv4同样的安全防护能力。三是相比于NAT64方式,双栈能够更好进行终端地址溯源。
3.制定IPv6技术标准。制定了IPv6改造技术规范,一是明确IPv6规模部署的基本原则,要与运维保障、网络安全工作等同步规划、同步建设、同步运行。二是提出进行网络链路和应用系统双栈改造过程中的具体技术要求,包含设备替换、开发、测试、上线等。三是提出开展IPv6规模部署的安全要求,IPv6网络环境下的安全防护标准应不低于现有IPv4网络。四是提出运维管理要求,实现对IPv6相关网络、系统和应用信息的监控,监控的指标、监控的阈值、监控的告警设置等不低于IPv4标准。
创新应用,
促进“IPv6+”与业务融合
2024年,山东省联社启动了电子银行数字化运营平台项目,将“IPv6+”与大数据存储、数据智能分析等技术相结合,持续拓展业务场景应用,满足金融业务发展需要。
1.项目主要目标。一是业务方面,适应数字化转型需要,通过数据埋点工具,采集电子银行客户行为数据,智能分析线上客群属性特点对客户进行分层分类及分群,实现面向不同客群推送营销信息、活动和权益等,并跟踪转化成果,不断提升线上服务营销精准性和成效性。二是技术方面,运用数据建模、数据可视化等技术手段,对海量多样化多维度数据资源进行价值挖掘和关联分析,释放数据要素潜能。平台规划支持电子银行用户数约5000万,日活跃用户数约200万,支持Pv4/IPv6双栈连接,优先采用IPv6连接访问,带动IPv6流量提升。IPv6网络环境下的安全防护标准不低于现有IPv4网络,用户点击页面链接到该页面完全加载完毕所需的时间不超过2秒钟。
2.采用关键技术。平台融合应用IPv6、大数据存储、数据智能分析等金融科技手段,加强客户数据获取和挖掘使用,满足数字化时代客户对金融服务的需求。
(1)IPv6适配。基于已有IPv6规划和双栈改造方案,项目建设过程无需再进行网络、安全等基础软硬件的IPv6改造,关注应用自身适配即可。一是重点分析电子银行数字化运营平台是否需要记录终端源地址,由于IPv6地址相比于IPv4地址从32位增长至128位,需要修改相应的数据库字段以及程序;除平台自身外,也需要对上下游的数据分析类系统进行分析。二是平台IPv6适配完成后,需进行业务验证测试,涵盖纯IPv4、纯IPv6、IPv4/IPv6混合3种场景。同时,需使用不同终端设备(平板、手机等),不同操作系统(MACOS、IOS、Android等)进行访问验证,确保平台应用在IPv6环境下具备与IPv4同样的业务响应处理能力。三是作为一项新的应用技术,IPv6自身也会带来新的安全威胁,包括扩展首部威胁、ICMPv6协议威胁、邻居发现协议(NDP)威胁等,因此在项目建设过程中应高度重视IPv6安全防护。
(2)大数据存储技术。电子银行数字化运营平台应用场景涉及关系型与非关系型数据库混合计算,综合考虑计算性能、安全可控及产品迭代多方面因素,基于Hadoop生态框架进行大数据处理。一是使用Kudu存储用户数据及临时事件数据,Kudu是一种开源的存储引擎,以列式存储作为数据在磁盘上的组织方式,可以同时提供低延迟的随机读写和高效的在线数据分析能力。二是使用HDFS存储事件数据,HDFS是Hadoop框架下的用于存储和处理大规模数据集的分布式文件系统,通过结合使用Kudu和HDFS,能够更好适应不同类型的数据处理需求,提高数据分析的效率和准确性。
(3)智能分析技术。建立事件分析、漏斗分析、留存分析、分布分析、间隔分析等智能分析模型,提供用户特征构建能力,实现用户识别、聚类与细分,借助用户埋点数据的采集和分析,实时追踪用户行为特征的变化。借助特征标签的精细加工与生成,用户特征的深度分析,以及灵活高效的客群圈选管理,更加准确地理解用户需求,针对性地优化产品和服务。
稳步推进,
确保项目按期投产
目前,电子银行数字化运营平台建设项目处于开发测试阶段,后续山东省联社将加强项目管理,确保项目按计划上线,实现“IPv6+”与互联网业务场景融合的同时,不断提高电子银行精细化运营水平。
1.加强项目管理。省联社按月召开项目建设联席会,调度项目建设情况,共同研究解决项目建设过程中存在的困难问题,凝聚共识,协同配合。同时,按月对项目建设进度进行跟踪督导,强化项目建设进度把控;按季对项目建设情况进行量化考核,重点从信息科技项目建设的进度、质量和工作量投入等方面设置考核指标,发挥导向作用,提高项目建设质效。
2.项目预期成效。一是带动IPv6流量提升。电子银行数字化营销平台采集用户行为数据进行分析,基于分析结果向用户推送精准金融产品和服务营销信息,形成了“用户-平台-用户”的闭环,能够扩大IPv6应用场景,带动IPv6流量有效提升。二是实现客群营销精准触达。平台建设省联社、农商银行两级业务运营的可视化数据看板,农商银行结合当地客群拓展情况自主进行客群设置、营销配置,并将电子银行数字化运营平台与电子渠道平台、信息交互平台等行内系统对接,使营销活动精准触达。三是降低系统建设成本。项目更加注重发挥在中后台的系统支持作用,避免省联社、农商银行两级运营重复建设,降低系统开发及后期运维的成本,有效缩短系统对接开发时间,为农商银行运营提供有力支撑。
(此文刊发于《金融电子化》2024年11月下半月刊)
