“无事生非”?——美国政府IPv6过渡政策和计划
邱实 牟承晋
“无事生非”(Much Ado about Nothing):是莎士比亚创作的一部喜剧。其中,“Nothing”意指的是八卦、谣言和流言,成为贯穿于该喜剧的诡计与行为。
在过去的16年中,美国3届政府的行政管理与预算办公室(OMB)发出3份“过渡IPv6”备忘录:
2021年6月29日,美国“联邦政府新闻网络”(Federal News Network)发表一篇署名文章:IPv6是否像是20世纪70年代的石油危机?无事生非。(Is IPv6 like the oil crisis of the 1970s? Much ado about nothing.)
● 该文披露:OMB 应在未来几周内下达新的过渡IPv6备忘录,并且废除之前的备忘录(M-05-22);而以“完成过渡IPv6”为主题的第4份备忘录在2020年3月之前就已经开始起草了。
● 该文指出:(OMB 制定的)IPv6过渡截止日期一而再地被变更;工作组成立了,然后悄悄地就消失了;供应商和会议召集者加入了过渡IPv6的“热潮”,然后很快地就退出了。
● 该文强调:就像上世纪70年代的石油危机,当时我们都被告知石油最终会耗尽,不得不转向电动或天然气驱动的汽车。然而,IPv4地址在2015年耗尽,但至今仍然是大多数政府网络架构的基础。
△ 第一次石油危机:1973年10月第四次中东战争爆发,国际石油输出国组织(OPEC)为了打击以色列及支持以色列的国家,宣布石油禁运,暂停出口,造成国际油价上涨。
● 该文质疑:仍有待回答的问题是,过渡到具有更好的安全性、几乎无限的IP地址和其他潜在好处的IPv6,现在是时候了吗?
● 该文告诫:域名支持IPv6只是一个方面,而完全废弃IPv4是一个更大的挑战。
● 该文呼吁:OMB 必须弄清楚什么是重点,使过渡IPv6不再是“纸上谈兵”。
因此,该文称:在未来12至18个月,将再次证明政府各部门是否认真对待(OMB)过渡IPv6的最新最后期限。
一、美国国防部过渡IPv6的状态
2020年6月,美国政府问责办公室(GAO)发布一份报告:“国防部需要改进IPv6过渡计划”。其中建议:国防部长应指令国防部首席信息官运用IP兼容的设备和技术,以有助于IPv6过渡的规划工作和需求制定。
对该建议,国防部明确表示“不赞同”(Nonconcur),书面的回复(2020-3-26)如下:
“行政管理和预算办公室(OMB)起草了一份更新关于IPv6的备忘录,‘完成过渡IPv6’(Completing the Transition to Internet Protocol Version 6)。该备忘录将废除OMB在2005年8月2日的备忘录(M-05-22),并可以作为是对GAO建议的前提条件。正如GAO的报告中指出的那样,国防部认为,鉴于国防部的规模及其各部门中IP兼容设备的数量(甚至在不断变化中),执行如此规模的过渡IPv6任务是不切实际的。自2009年联邦政府IPv6采购条例(48 CFR 11.02(g))颁布以来,国防部一直是通过确保隶属各部门只采购支持IPv6的IT设备来降低设备库存的风险,以支持以IPv6的产品替换在用的不支持IPv6设备,并且最大程度地提高IPv6设备就绪的其他办法,例如将客户端操作系统升级到Windows 10和确保基础设施设备支持IPv6的软件维护及更新。”
事实上,至今美国国防部的IPv6过渡已经是“三起二落一滞后”(滞后的主要原因是“执行如此规模的过渡IPv6任务是不切实际的”):
2017年4月,美国国防部重启IPv6过渡;2019年2月发布过渡IPv6的指令(35项行动任务,参见附件)。但是,截至2020年3月,既定的19项任务中仅完成了7项(另12项任务逾期未完成)。
二、美国政府部门过渡IPv6的状态
已知,域名与IP地址捆绑,IPv6能否普及应用,在很大程度上取决于域名(包括域名系统DNS,邮件系统和网站系统)是否支持IPv6。美国政府的互联网(Internet,下同)专用顶级域名是“.GOV”,截至7月1日,“.GOV”注册的域名数量为4,784个。
根据美国国家标准及技术研究院(NIST)的抽样统计,在1,272个域名中,支持IPv6的域名占比41.90%,IPv6过渡中的域名占比46.54%,过渡IPv6没有行动的域名占比11.56%。
三、观点与启示
以上状况和状态不是说美国国防部和政府部门在过渡IPv6方面没有取得进展;相反,在其再三经历过渡IPv6的背后,16年的“跌宕起伏”,必然存在深层次的原因与问题以及经验和教训。毕竟,美国(国防部)是互联网的创造者以及数字化发展的主要引领者。
2019年2月,美国国防部发布的过渡IPv6行动指令,是在之前反复两次过渡IPv6行动的基础上,又经过2年准备所制定的规划和计划,其中的35项行动任务(后取消2项)显然是通过层层筛选的“重中之重”。
显而易见,过渡IPv6的先决或必要条件是:安全性,包括全面和系统地考量及评估平滑过渡的投资成本、技术差距和人员能力。
从行动任务、责任人职能的角度所规定的35项行动任务,可以划分为三个相互关联的过渡IPv6执行层次,进而落实在过渡IPv6过程中,成为各级指挥和控制的目标及目的。
1)战术:自上而下地制定扩展和关联且具体的战略性框架指南以及系统性集约要求,责任人是国防部的首席信息官(CIO)。
2)技术:点面结合地监测、分析、评估覆盖面和应用点的安全影响与依赖条件、存在差距与统一管理、产品采购与人员培训等,责任人是国防部的国防信息系统局(DISA)和国家安全局(NSA)。
3)过程:内外有别地加强对信息和通信技术及服务(ICTS)供应链的安全管控,细化到商业化托管的面向公众且不受限制的业务(数据)和服务(接口),责任人是国防部的各单位和海岸警卫队。
尽管这35项过渡IPv6的行动任务并没有得到有效落实,而且不排除将会修正或出台新的行动任务,但是,至少可以得出一个结论:过渡或全面部署IPv6,绝非是“以点带面”或“一哄而上”,更不可能是“一厢情愿”和“一蹴而就”,或“一呼百应”的“举国”举措。
如果说,美国目前在网信空间占据“顶级”优势,其优势的关键基础在于:鼓励创新、探索思考、科学求证,并确保对实施任何项目的系统性、关联性、一致性、延续性和积累性。业内戏谑美国在科技领域是“老司机”,其主要特点是:不盲从、不迎合、不护短,实事求是。从美国“联邦政府新闻网络”指称过渡IPv6的三道“圣旨”是否“无事生非”?可见一斑。
还必须注意到在上述35项过渡IPv6的行动任务中:
● 美国过渡IPv6有两个场景,
1)纯IPv6(或专网内网);
2)IPv4/IPv6并存(面向公共或公共互联网),而并非“一刀切”。
● 在其过渡IPv6的过程中,将更新和维护IPv6的标准(协议);这将对商用IPv6标准(及其协议族)的影响有多大,尚须持续密切关注。
● 对IPv6的人员培训之所以重要,直接关系到建设长期的战略生态,不仅是面向技术和工程人员,而且包括管理人员和培训机构。
综上,对于美国国防部及政府部门的IPv6过渡过程,应该对标的重点是:转型的战略和战术以及科学的方式和方法。换言之,打破封锁、缓解垄断的有效途径是:加强或打造坚实的基础(“底座”),以在互联互通中形成有效的适应力和抗衡力以及提升对等的威慑力。请注意,面对数字化信息时代的演进以及已全球化的供应链,虽然构建一个独立(或封闭)的公众网络系统相对容易,但是必将缺乏生命力!
四、附件:2019年2月,美国国防部制定的过渡IPv6行动任务及其实施状态(截至2020年3月)
其中的负责人:CIO,国防部首席信息官;DISA,国防部国防信息系统局;NSA,国家安全局;Cybercom,美军网战司令部。
(邱实是网络信息安全技术专家,牟承晋是昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任,2021年7月3日整理)
声明:本文来自战略前沿技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。