目的本政策的目的是按照管理和预算办公室(OMB)备忘录M-21-07“完成向互联网协议版本6(IPv6)的过渡”(2020年11月19日)的规定,在2025年前将所有商务部(DOC)信息系统和服务过渡到互联网协议版本六(IPv6)。这是该政策的首次发布。 范围本政策适用于所有现有的DOC信息系统,包括由承包商、其他机构或代表DOC的其他组织使用、管理或操作的信息系统。正在开发的系统必须符合联邦IPv6采购指南,所有新DOC使用互联网协议(IP)采购信息技术(IT)产品或服务也必须符合该指南。 背景OMB备忘录M-21-07(日期:2020年11月19日)概述了联邦政府的战略任务,即仅使用IPv6提供信息服务、运营网络和访问其他人的服务。该备忘录为联邦机构在所有联邦信息系统和服务中完成IPv6的操作部署提供了具体要求。该备忘录有助于机构识别并克服阻碍其迁移到仅支持IPv6的网络环境的障碍。 权威本政策适用的行政命令、国家政策和公共法律包括以下内容:首席信息官委员会,“美国政府内部采用IPv6的规划指南/路线图”,2012年7月 datatracker.ietf.org上的企业IPv6部署指南 FAR第39部分-信息技术收购,https://网址:www。一c(c)quisition.gov/sites/default/files/current/far/html/FARTOCP39.html FAR第11.002(g)部分-描述机构需求–政策 FAR第39部分-信息技术收购 FAR第11.002(g)部分-描述机构需求–政策 《联邦收购条例》(FAR)第11.002(g)部分《2014年联邦信息安全现代化法案》(FISMA 2014)第113-283号公法 IAB关于IPv6的声明,互联网架构委员会,2016年11月 IPv6企业网络场景https://datatracker.ietf.org/doc/rfc4057/ IPv6 FAR要求:《联邦公报》第74卷第236期(2009年12月10日,星期四)(govinfo.gov) IPv6过渡/共存安全注意事项https://datatracker.ietf.org/doc/rfc4942/ OMB备忘录,M-21-07,“完成向互联网协议的过渡 版本6(IPv6),”2020年11月19日 OMB通告A-130,“将信息作为战略资源管理” OMB备忘录M-05-22,“互联网协议版本6(IPv6)的过渡规划”,2005年8月2日 OMB、执行部门首席信息官备忘录和 机构,过渡到IPv6,2010年9月28日 OMB通告A-130,“将信息作为战略资源进行管理” 安全注意事项https://datatracker.ietf.org/doc/rfc4942/ “USGv6简介”,国家标准与技术研究所(NIST)特别出版物500-267B第1版 “USGv6测试程序指南”,NIST特别出版物(NIST SP)-500-281A,第1版,2020年11月 “USGv6供应商符合性声明”,NIST特别出版物(NIST SP),500-281Ar1,2020年11月 “USGv6能力表”,NIST特别出版物(NIST SP),500-267Br1s,2020年11月。 “USGv6测试方法:一般说明和验证”,NIST特别出版物(NIST SP),500-281Br12002年11月 “IPv6安全部署指南”,NIST特别出版物(SP)800-1192010年12月 “信息系统和组织的安全和隐私控制”,NIST SP 800-53 Rev.5 DOC过渡到Internet协议版本6(IPv6)2021年7月 政策本政策实施了OMB备忘录M-21-07中关于将现有联邦网络、系统和服务过渡到IPv6和联邦采购条例(FAR)第11.002(g)部分要求的规定,以采购所有新的网络化IT产品或服务。DOC将在2025财年结束前逐步淘汰所有系统使用IPv4。要实现这一点:所有新收购的联网联邦信息系统应在部署时启用IPv6,以确保不迟于2023财年满足仅IPv6的要求。 将确定IPv6试点的机会,到2021财年末,将至少完成一个仅支持IPv6的操作系统试点。一经要求,将向OMB提供结果报告。 将在2021财年末制定IPv6实施计划,以更新所有联网的联邦信息系统(以及与这些系统相关的支持IP的资产),从而完全启用本机IPv6操作。DOC信息资源管理(IRM)战略计划将根据需要进行更新。IPv6实施计划应描述机构过渡过程,并包括以下里程碑和行动:到2023财年末,联邦网络上至少有20%的支持IP的资产在仅支持IPv6的环境中运行。 到2024财年末,联邦网络上至少50%的IP支持资产在仅支持IPv6的环境中运行。 到2025财年末,联邦网络上至少80%的IP支持资产在仅支持IPv6的环境中运行。 将确定所有无法转换为使用IPv6的联邦信息系统,并证明调查结果的合理性,并提供更换或淘汰这些系统的时间表。 所有外部合作伙伴将确定与联网联邦信息系统接口的系统,并制定计划,将所有此类网络接口迁移到使用IPv6。 公共/面向外部的服务器和服务(例如,web、电子邮件、域名系统(DNS)和入侵防御系统(ISP)服务)、与公共互联网服务通信的内部客户端应用程序以及支持企业网络操作性使用本机IPv6的升级将尽快完成。 遵守联邦IPv6收购政策要求DOC应确保网络信息技术的所有未来采购包括2009年12月发布的FAR委员会修正案中规定的IPv6要求,除非DOC CIO或指定人员放弃该要求。DOC,使用互联网协议获取信息技术的各局应制定需求文件,包括参考美国政府第6版(USGv6)概要、国家标准与技术研究所(NIST特别出版物(SP)中定义的适当技术能力500-267和USGv6测试程序中定义的相应一致性声明。DOC COP应确保联邦IT系统能够利用IPv6的技术和经济效益,并在适当时最终迁移到仅支持IPv6的环境。根据现有FAR要求,DOC应:在购买网络信息技术和服务时,继续使用USGv6配置文件来定义机构或采购方对IPv6功能的特定要求,并指定硬件和软件能够在仅支持IPv6的环境中运行的要求。 继续要求潜在供应商通过USGv6测试计划记录遵守此类IPv6要求声明的情况;和 在极少数情况下,如果需要经过验证的IPv6功能,会给收购行动带来不必要的负担,请为DOC首席信息官提供一个流程,让其根据具体情况放弃这一要求。在这种情况下,采购机构应要求供应商提供文件,详细说明将IPv6功能纳入其产品的明确计划(例如时间表)。DOC局或办公室中寻求使用IP采购IT产品或服务的请求者必须与其签约官(CO)合作,以确保以下文件中包含适当的IPv6需求语言: 采购请求(PR), 高级采购计划(APP), 工作说明书(SOW), 招标书,以及 授予的合同 制定USGv6计划政策要求NIST将继续更新和扩展USGv6计划,并定期更新USGv6Profile,以纳入与IPv6技术相关的最新互联网工程任务组(IETF)规范。DOC应继续监控USGv6计划的更新,以确保DOC及其组成局与其他政府机构的IPv6变更保持一致,并根据FISMA的要求继续监控并遵守NIST的更新。DOC应执行以下政策要求:通过利用USGv6测试程序进行商业产品的基本一致性和通用互操作性测试,避免任何不必要的通用测试要求重复。 确保采办特定测试侧重于USGv6测试项目中未涵盖的特定系统集成、性能和信息保证测试。 确保足够的安全性为了帮助确保IPv6为所有联邦机构带来的安全利益,DOC应确保所有DOC信息系统满足以下要求:在IT安全计划、体系结构和收购中包括全面支持生产IPv6服务的计划。 验证支持网络操作或企业安全服务的所有系统(例如,身份和访问管理系统、防火墙和入侵检测/保护系统、端点安全系统、安全事件和事件管理系统、访问控制和策略执行系统、威胁情报和声誉系统)支持IPv6,并且可以在仅限IPv6的环境中运行。 遵循适用的联邦指南并酌情利用行业最佳实践来安全部署和操作IPv6网络。 确保所有安全和隐私政策评估、授权和监控流程都充分解决了IPv6在联邦信息系统中的生产使用问题。 产品和服务采购请求以下是DOC员工要求采购IT产品和服务时应遵循的要求:在公关和APP中包含适当的IPv6需求语言。 与CO合作,确保工作说明书(SOW)、RFP和授予的合同中包含适当的IPv6需求语言。 填写IPv6 IT采购清单并发送给CO。 分析项目需求、IPv6需求和供应商符合性声明(SDoC)中捕获的产品能力,并将分析提交给CO。 如果通过联邦时间表、唯一来源或信用卡采购,则从供应商处获得SDoC并将SDoC提交给CO。 通知CO所有不符合为IPv6提供完整功能的合同规范 签约高管DOC企业服务公司应审查APP,以确定IPv6要求对其收购的适用性。CO应确保APP和支持文件符合FAR 11.002(g)IPv6要求,包括:招标中的指示,要求报价人通知签约官员任何不符合为IPv6提供完整功能的合同规范。 招标书中的合同要求声明,明确规定使用互联网协议的产品和服务在仅IPv6环境中提供完整功能,符合NIST USGv6测试计划。 IPv6要求声明应与FERC合同书写模板和IPv6 IT采购清单中提供的声明基本相同。 供应商供应商应完成并签署供应商符合性声明(SDoC),该声明规定并证明产品的IPv6能力,以便与建议书一起提交。 政策合规性只有DOC的CIO或指定人员可以放弃IPv6要求,并且必须以书面形式这样做。DOC或其下属机构的请求者寻求豁免保留不符合OMB-M-21-07、FAR 11.002(g)中规定的IPv6合规性要求的IT产品或服务,并且在本政策中,必须以备忘录格式向DOC的CIO提交一份已签署的请求。所有不符合联邦和DOC IPv6要求的IT硬件、软件和服务都需要首席信息官的书面签字批准。 角色和责任副秘书长(副秘书长) 确保整个机构OMB IPv6过渡的合规性和一致性;和 为IPv6实施提供代理范围的指导。 首席信息官(CIO) 按照联邦法律、法规和政策的要求履行联邦机构首席信息官的职责; 领导网络安全基础设施和运营并制定战略; 指定首席信息安全官(CISO)履行首席信息官的网络安全和IT账户管理职责; 指定解决方案和服务交付DCIO(OSCIO)来操作和维护信息系统和基础设施; 有权制定全机构的IT政策,包括IT治理的所有领域,如企业架构和标准、IT资本规划和投资管理、IT资产管理、IT预算和收购、IT绩效管理、风险管理、IT员工管理、IT安全和运营,信息安全;和 批准或不批准此策略的所有IPv6合规豁免。 首席信息安全官(CISO) 根据2014年《联邦信息安全现代化法案》(FISMA)履行首席信息官的安全职责,并担任首席信息官与组织信息系统所有者和信息系统安全官员的主要联络人; 根据FISMA的要求,领导一个具有任务和资源的办公室,协助组织实现更安全的信息和信息系统;和 批准所有IPv6升级和新购买。 信息系统所有者(ISO) 提供信息系统的采购、开发、集成、修改、操作、维护和处置; 提供用户群体的操作兴趣(即需要访问信息系统以满足任务、业务或操作要求的用户); 提供安全计划的开发和维护,并确保系统的部署和操作符合约定的安全控制; 负责决定谁有权访问系统(以及拥有何种特权或访问权限),并确保系统用户和支持人员接受必要的安全培训(例如,行为规则指导);和 审查安全控制评估员的安全评估结果。 信息系统安全官员(ISSO) 维护其信息系统所有组件的库存; 持续监控和检查信息系统所有非标准组件的安全警报、咨询和指令; 确保对非标准IT资源进行适当的优先补救; 通过在规定的时间范围内采取适当的补救行动,响应与信息系统组件相关的警报、咨询和指令; 报告与补救措施应用相关的任何问题; 指派个人测试信息系统组件的修复; 根据需要培训被指派测试信息系统组件的人员; 维护警报、建议和指令的分发列表; 根据需要向信息系统用户分发警报、建议和指令; 仔细考虑为信息系统组件定制开发的错误消息的结构和内容; 配置信息系统以防止非特权用户规避恶意代码保护功能;和 配置信息系统以防止非特权用户规避入侵检测和预防功能。 DOC网络安全和风险管理部(CSRM) 协助信息系统所有者和管理者履行职责;和 协助验证补救措施是否成功。 附件 大小 2021年更新的互联网协议版本6(IPv6)策略 372.74 KB