人力资源与社会保障行业网络系统技术白皮书

汉柏科技有限公司客服热线：400-706-8366人力资源与社会保障网络系统技术白皮书人力资源与社会保障网络系统技术白皮书人力资源与社会保障行业网络系统技术白皮书目录TOC＼o＂1－3＂\h\z＼ｕＨＹPERLＩNＫ\ｌ”_Toc３011８1492"人力资源与社会保障行业网络系统技术ﻩPAGEREF＿Toc3０１1８1４9２＼ｈ2HYＰERLＩNＫ＼l＂＿Ｔoc3011８149３＂白皮书ﻩPAGEＲEＦ_Tｏc３0１1８１４９3\h2ＨYPＥＲLINK\l＂_Toｃ3０11８１４94”第一章前言ﻩPAGEREF_Ｔｏc30１181４9４\ｈ４HYPＥRLINK\ｌ"_Toc301181495"１．1ﻩ人力资源和社会保障部组织构成ﻩPAGERＥF_Tｏc3０１1８１４95＼h4HYPＥRLＩNK\l＂＿Tｏc30１1８149６”1。2ﻩ金保工程概述 PＡGＥＲEF_Ｔoc30１1814９６\ｈ4ＨYPＥRLIＮＫ\l”_Ｔｏc3０1181497＂1。３ﻩ新农保概述 PAＧEREF_Ｔｏｃ3０1１81４97\ｈ5HYPEＲLINＫ＼l”_Toc３０1１81498＂2。1 行业纵向网络ﻩPAGEREＦ_Toc3０1181498＼ｈ7ＨYPＥRＬIＮK＼ｌ＂_Toc301181499”２。1.1ﻩ纵向部省市三级网络划分 ＰAGＥRＥF_Toc3０１18149９\h7HYPERＬＩＮK\l”_Toｃ３0１１81500”2。１．２ﻩ三级网络联网方式 PAＧERＥF_Toc３０１181500\h8HYPERLＩＮK＼ｌ＂＿Tｏc301１8150１＂2.1。3 路由策略ﻩＰＡGEREF_Toc3011８1501\h8ＨＹPERＬINK\l”_Ｔoc3０118１５０２”2.1.４ ＩP地址规划 ＰＡGEREF_Toc3011８1502＼h１0HYPＥＲLＩNK\ｌ"_Ｔｏc301１81５03"２。1.5ﻩQos策略ﻩPAGＥＲEF＿Tｏc3０11８150３\ｈ1０ＨYPEＲLINＫ\l”_Toc301181504”２．2 本地横向网络ﻩＰAＧEＲＥF_Toｃ３01181504\h11ＨYＰＥＲLＩＮＫ\ｌ”_Tｏｃ３01１81５０５”2。2.１ﻩ功能划分ﻩＰAGEREF＿Tｏｃ３０１１81505＼h１1HYPＥＲＬINK＼l"_Toc３01１81５０6”２。2．2ﻩ数据中心业务系统 ＰAGEＲEＦ_Tｏｃ3０1181５06\h1１HＹPERLIＮＫ＼l”_Tｏc３０１1８15０7"第三章数据中心局域网解决方案ﻩＰAＧEREF_Tｏc30118１５0７\ｈ1４HYPERLＩＮＫ＼l＂＿Toc30１18１５0８"3．１ﻩ数据中心网络建设目标ﻩＰAGＥREF_Ｔoｃ3011815０８\h14HYPＥRLIＮK3．2 数据中心网络建设拓扑 ＰＡGEＲEＦ_Toc301181５09\h１5HＹPERＬINＫ\ｌ"_Ｔｏc3０1１81510"3。3ﻩ方案说明ﻩＰAＧEREF_Toc３０11８１5１０\h15ＨYPERLＩNＫ\l”＿Tｏc3０118１511＂3。４ 方案特点ﻩPAＧEＲEF_Ｔoc3０11815１１＼h1８ＨYＰERLINK\l＂_Tｏc3０118１512”第四章市级广域网互联解决方案ﻩPAGEＲＥF_Ｔｏc3０１181512\h19HYPEＲLIＮK\l”＿Toc3０118151３"４。1ﻩ带宽计算ﻩPＡＧEREＦ_Toc301１8１５１３＼ｈ19HYPＥRLINK\l”＿Ｔoc3０１1815１４”4.１.1ﻩ市数据中心与区县数据传输带宽ﻩPＡGＥＲＥF＿Ｔoc3011８15１4＼ｈ１9HYPＥRＬＩNK\l＂＿Tｏc３０1１815１5＂4．1．２ﻩ与社会服务机构间数据传输带宽ﻩPＡGEREF_Toc３０1１８151５\h２0HＹPＥRLＩNK\ｌ＂＿Toｃ3０１18１５１６”4。1．3ﻩ相关部门间数据传输带宽ﻩPＡＧEREＦ_Ｔoｃ3011８１５1６\h２１ＨＹPERＬINK\ｌ"_Toｃ３0１18１5１７"４.2ﻩ市级广域网解决方案ﻩPＡGＥREF＿Toc3011815１７＼h22HＹＰＥRLINＫ＼l＂＿Ｔoｃ3０１１８１518＂４．2．1 专线互联ﻩPAGERＥＦ_Ｔoc3０11８15１８\h23HYPEＲＬIＮＫ＼ｌ”_Tｏc30１181５１9"４.2。2ﻩVＰＮ互联ﻩＰＡＧERＥF_Ｔoc30１18１５１9\h２3HYＰＥRLIＮK\l"_Tｏc3011８1520＂4．２.3 边界安全防护 ＰAGEREF_Ｔｏc30１１8１５20\h２4汉柏科技有限公司客服热线：400-706-8366

第一章前言人力资源和社会保障部组织构成中华人民共和国人力资源和社会保障部是依据2008年第十一届全国人民代表大会的决议在人事部和劳动和社会保障部的基础上建立的.另外还下设机构：新组建的国家公务员局外国专家局金保工程概述金保工程最早源于劳动与社会保障部，于2003年8月,经国务院同意，全国整体正式立项。金保工程是利用先进的信息技术，以中央、省、市三级网络为依托，支持劳动和社会保障业务经办、公共服务、基金监管和宏观决策等核心应用，覆盖全国的统一的劳动和社会保障电子政务工程。其内涵可以简要概括为“一二三四”四个字：“一”是一个工程,指在全国范围建设一个统一规划、统筹建设、网络共用、信息共享、覆盖各项劳动和社会保障业务的电子政务工程;“二”是两大系统,指建设社会保险子系统和劳动力市场子系统；“三”是三级结构,指由中央(人力保障部）、省、市三层数据分布和管理结构组成；“四”是四项功能，指具备业务经办、公共服务、基金监管和宏观决策四项功能.金保工程基本采用“数据向上集中”的方式,在部、省、市三级建立数据中心,市以下不再建数据中心.（个别省份例外）.网络服务于应用，为此我们必须对人保行业信息化应用特点有所了解：１、“大社保"建设推动社保核心业务系统的本地化实施根据中央“大社保”发展要求，各地社保核心业务系统本地化的进程将得到进一步推进。尚未建立社保业务系统的地区正在加快推进核心业务系统的本地化实施，目前已经取得一定成效，预计未来一些以省为单位进行统一软件本地化实施的地区,将会实现统一软件的全面普及。各地已建业务系统中尚未采用统一应用软件的,也纷纷制定了向统一应用软件的升级计划。随着全国的非现场监督和宏观分析需求日益强烈,异地业务系统试点推进工作正在进行，基金监管、联网监测、宏观决策等纵向数据采集及监管、分析软件将得到联动推进和统一部署。2、核心业务系统的全国联网是社保信息化工作重点对已启动社保核心业务系统全国联网的地区应用，基于新指标的养老保险监测数据上传工作、监测指标的增加、调整、以及基于新指标的监测软件的部署工作等都是未来工作的重点与难点。随着数据上传工作的顺利进行，２011年失业登记和失业保险监测数据将覆盖90％以上的失业人员。除社保核心系统之间的联网应用,与其他系统之间的联网也将是未来的工作重点。社保核心业务系统全国联网的进程直接关系到社保部门公共服务水平的提高程度。通过网络进行异地业务办理是全国联网工作的最重要目标.值得注意的是，统一的安全信任体系在纵向全国联网体系中的应用，是提高联网应用安全防护能力的保障，社保机构需重视此项工作的开展。3、社保应用系统的统一要求加强社保标准规范建设随着社保核心系统统一推进工作的进行，标准规范建设工作迫在眉睫。根据人力资源和社会保障部2０09年工作重点，未来标准规范建设重点集中在几个方面：结合统一应用软件开发和部署,修订或制定社会保险等主要业务系统指标体系,制定异地业务系统接口规范,优化业务流程;结合各项联网监测应用的开展，制定和完善交换区数据标准、决策区数据标准;制定全国统一的人力保障安全信任体系、人力保障短消息服务、人力保障电话咨询服务标志、域名等相关标准，修订社会保障(个人)卡规范；加大各项统一标准规范的执行力度，确保人力保障相关业务系统中各类业务代码的标准、规范和统一,为各业务系统之间、各地区之间的信息共享奠定基础。人保信息化为中国社保制度的改革和社保行业的快速发展奠定了坚实基础.“十五”期间，金保工程和金卡工程的稳步实施，使劳动和社会保障信息化得到了长足的发展.据调查数据表明，人力资源与社会保障部的各项系统建设在２004年已基本趋于成熟。“十一五”期间社保信息化将呈多样化发展，在保持良好发展势头的同时,社保行业将从传统行业向医院、药品监督系统、铁路医保等分支行业延伸.另外，社保信息化的省市级需求将继续呈现上升趋势.新农保概述2009年９月４日，国务院办公厅公布了《关于开展新型农村社会养老保险试点的指导意见》（以下简称《“新农保”指导意见》),按照《“新农保”指导意见》的计划，“新农保”的落地需要建立完善的管理体系，同时,需要建立一套完备、统一的管理信息系统。而这对现今的农保管理和信息化基础，却如平地起高楼，而复杂、人员流动性强的农村信息化特性也给“新农保”系统的建立提出了挑战。依据人力资源与社会保障部发布的《新型农村社会养老保险信息系统建设参考技术方案》,新农保信息系统的总体建设内容是:根据金保工程统一规划，基于金保工程一期建设成果进一步将部－省－市三级业务专网下延到区县、街道、社区、乡镇等窗口，并与银行、邮政、公安、民政、计生、残联等相关部门实现信息共享；进一步完善数据中心建设,提高对新农保业务的支撑和保障能力,逐步推进电子认证系统和社会保障卡系统建设，并同步进行数据和系统的容灾建设,提高新农保系统的安全保障水平；根据新农保业务需求,在省级集中部署支撑新农保业务经办和公共服务的应用系统,在金保一期成果上完善形成新农保基金监管、宏观决策等应用系统,实现各业务系统间的信息共享,逐步实现面向农村居民各项社会保险事务的有效衔接,逐步实现新农保系统与城镇社会保险系统的有效对接，逐步提高社会保障全局业务的对外服务能力和决策支撑能力。作为信息系统的基础设施，网络是新农保信息系统完善的基础,也是新农保近期的建设重点之一人力资源与社会保障部对于新农保网络系统建设的要求是：在业务专网已连通到部、省、地市、区县的基础上,进一步实现业务专网向街道、社区、乡镇的连接,根据业务量需要扩展带宽,加强网络安全搞防护，并达到上下网络的有效贯通，形成可支撑实时业务需要的业务专网.适当扩展省级数据中心互联网出带宽.有条件的地区可将网络进一步向行政村延伸。2００9年试点覆盖面为全国１０％的县(市、区、旗)，以后逐步扩大试点,在全国普遍实施，20２0年之前基本实现对农村适龄居民的全覆盖。

第二章金保工程网络现状行业纵向网络纵向部省市三级网络划分人保行业信息系统网络纵向采用部、省、市三级网络拓扑结构形成内部网络系统，横向与政府相关部门（公安、财政、地税等）和其他相关单位（医院、药店、银行、邮局等)等网络连接。全国总体逻辑结构图办公网和业务专网之间按照国家电子政务内网的相关安全标准进行物理隔离,业务专网和公众服务网、Iｎteｒnet网之间逻辑隔离.系统办公网分级建设,暂不进行互联；公众服务网可通过Ｉnteｒｎet网进行联接。业务专网采用中央、省、市三级网络拓扑结构，纵向为人力保障系统内部网络，包括联接中央、省两级节点的全国广域主干网，联接省、市两级节点的省级广域主干网，联接市级节点及下属各业务经办点、终端延伸到街道（社区)的市域网;横向为外部网络，包括以各级节点为中心，向外辐射，联接公安、财政、地税等相关政府部门和医院、药店、银行、邮局等相关单位的网络。中央级网覆盖人力资源和社会保障部、部属事业单位，连接省级网等。网络中心节点为人力资源和社会保障部，也是中央数据中心节点。省级网覆盖省人力保障厅、省社保机构、省就业机构等省属事业单位,连接省内市级网等。省级网络中心节点也是省级数据中心节点，设在省人力保障厅。市级网覆盖市区县人力保障局、市区县社保经办机构、就业服务机构等市属事业单位。市级网络中心节点也是市级数据中心节点，设在市人力保障局。三级网络联网方式人力保障信息系统业务专网主要依托国家电子政务外网统一平台,部分省份根据自身实际情况,也可考虑依托公共通信网络平台.国家电子政务外网统一平台主要是为各级政府提供一个网络共享和信息共享的平台。各级政府部门通过接入国家电子政务外网统一平台，可以实现中央与地方的连接,实现政府部门间的连接和信息交换.如下图所示：三级网络互联示意图路由策略人力保障信息网络纵向采用部、省、市三级网络拓扑结构形成内部网络系统,横向与政府相关部门和Ｉnｔｅｒｎｅt外部网络连接。系统路由区域规划如下图所示：路由区域规划（1）内部网络路由策略部省广域网采用的路由协议为OＳPF与静态路由相结合的模式。根据人力保障系统网络结构的特点，OSＰＦ域划分为两级，部中心节点到省级网络为骨干域(０)，各省中心节点到市级网络为一个二级子域，使用省会城市长途区号作为域的标识。（2）部省广域网络系统在部省两端主路由器的广域网接口、局域网接口、备份路由器的局域网接口上启用OSPF,并纳入OSPＦ（0）区域。同时分别在部省两端备份路由器的广域网接口上启用静态路由,作为OSPＦ的备份。设置备份路由的优先级低于OSPＦ路由条目的优先级,在主线路发生故障时,路由器自动切换到备份路由，以保证网络畅通。(3)省市广域网络系统省中心节点与市级网络的联接方式如下:在省中心节点接入区中增加路由器，联接市级网络。在省市两端主路由器的局域网接口、备份路由器的局域网接口上启用OSＰF,并纳入OＳＰF(0）区域。在省市两端主路由器的广域网接口上启用OSＰＦ,并纳入OSPF二级子域.同时在省市两端备份路由器的广域网接口上启用静态路由，作为OSPF的备份.在省中心节点路由器中对其下级市级网络路由表进行路由汇聚，将汇聚后的路由条目加入到部省联网路由系统内，减少网络核心区域路由表的数量，提高网络的性能。(4）外部网络连接路由策略Iｎternet出口路由。在Ｉｎｔernet出口处的路由设计有两种方式：一是动态路由方式。申请自治系统号，用BＧP协议与ISP互连.BGＰ协议功能强大，可以充分利用冗余线路，实现灵活的备份策略、负载均衡策略和路径选择策略.但ＢＧＰ协议复杂，运行维护难度较大。二是缺省路由加静态路由方式.用缺省路由实现备份,用静态路由优化路径选择.Eｘtｒanｅｔ出口路由。Exｔｒａnｅt出口主要指与国家电子政务外网的连接,将遵循国务院信息办的相关规定。IＰ地址规划IP地址规划是网络互联的基础，人力保障部在征求国家信息化办公室的意见后印发了《人力保障业务专网IP地址规划方案》.政府信息网络统一平台IＰ地址规划出台后,将对人力保障业务专网ＩP地址进行必要的调整.人力保障信息系统内部网络的IP地址采用IＮTERNET上保留的Ａ类地址１0．０。０．0.内部网络与Ｉnteｒｎeｔ的接口以及对外信息服务应用使用Iｎternet的公用地址,其IP地址由Iｎterｎeｔ接入服务提供者分配。内部网络与相关单位网的接口以及对相关单位信息服务应用的IＰ地址，使用与相关单位协商的地址，可以是人力保障系统或相关单位分配的地址。部信息中心负责分配部、部属事业单位局域网IP地址范围；分配省（自治区、直辖市)、市(地区、自治州、盟）网络IP地址总范围;分配部与部属事业单位,与省以及有可能直接与部级网相连节点所构成的广域网IＰ地址范围。省人力保障部门负责分配省人力保障厅局及其所属事业单位局域网ＩＰ地址范围;分配省与省属事业单位，与省辖市级网以及有可能直接与省级网相连节点所构成的广域网ＩP地址范围。市人力保障部门负责分配市人力保障局及其所属事业单位和区县(县、市辖区、县级市）单位局域网IＰ地址范围；分配市与市属单位，与市内区县以及有可能直接与市级网相连节点所构成的广域网IP地址范围。Qoｓ策略人力保障部省广域网需要传输数据、视频和语音信息,是个多业务融合网络。为保证各类信息的传输质量，使用ＣQ（定制队列）技术，为数据、视频和语音信息分配适当比例的带宽。在网络拥塞的时候，每种信息流都有正常带宽传输的保障；在网络流量不大的时候，每种信息流自由分配带宽.本地横向网络功能划分人力保障信息系统网络从功能上划分为办公系统、业务系统、公众服务系统,其系统功能构成见下图。人力保障信息系统网络功能构成图数据中心业务系统人力保障部门数据中心业务系统由若干应用功能区域构成。其构成包括生产区、交换区、决策区、网络基础服务区、人力保障系统内部资源区、相关单位资源区(与公安、财政、地税等相关部门的数据交换、资源共享和信息服务区)、对外信息服务应用区、ＩP电话和视频会议区、网络管理区、安全应用支撑服务区等生产区生产区包括社会保险应用区和劳动就业应用区。其逻辑构成见下图。生产区逻辑构成图社会保险应用区提供社会保险经办业务服务,需要高性能的数据库服务器,存储、管理养老保险、医疗保险、失业保险、工伤保险、生育保险应用数据,需要相应的应用服务器处理相应的社会保险应用。劳动就业应用区提供就业等应用服务。交换区交换区服务器用于支持社会保险关系异地转移、离退休人员异地数据交换、异地就医人员数据交换等异地经办业务,用于暂存死亡信息、用于存储公共服务信息和基金监管信息、用于与本地其他部门横向交换信息等,用于支持上级网络扫描式的宏观决策数据采集。交换区服务器由数据库服务器和应用服务器构成.决策区决策支持应用区提供数据采集、整理、汇总及其分析等应用服务.这些应用需要数据库服务器，用于存储、管理宏观决策数据库和方法库、模型库；需要相应的应用服务器进行数据采集、整理、汇总及其分析。另外,要为分析人员提供SAS、SPSS、ＯＬAP工具、数据挖掘工具、经济模型等分析手段,进行统计信息常规分析、预测、预警分析等,以指导政策制定。为业务人员提供查询工具、OLＡP工具，对政策执行状况进行监测和分析.网络基础服务区网络基础服务区由邮件服务器、ＦＴＰ和文件服务器、目录服务器、DＮＳ服务器、全文检索服务器等构成，全部采用PC服务器。邮件服务器用于实现人力保障系统内部以及外部基于邮件的信息交换服务。FTＰ和文件服务器用于提供人力保障部门内部的信息服务。DNＳ服务器用于提供人力保障部门内部和人力保障部系统内部的域名服务.全文检索服务器用于法律法规信息的管理，用于人力保障部门内部、人力保障系统以及广大公众的信息服务.人力保障系统内部资源区人力保障系统内部资源区提供人力保障系统内部的数据交换、资源共享和信息服务。需要数据库服务器、ＦＴP服务器和信息服务前置机，全部采用PC服务器。相关部门或单位资源区相关部门或单位资源区提供人力保障部门与公安、财政、地税等相关部门和相关单位的数据交换、资源共享和信息服务.需要数据库服务器、ＦTP服务器和信息服务前置机,全部采用PC服务器。对外信息服务应用区对外信息服务应用区提供包括信息发布、网上查询、网上办事、网上调查等应用服务。信息发布包括各业务管理系统、宏观决策支持系统综合数据和分析预测报告等多种信息的发布;网上查询包括人力保障政策法规及其他相关政策法规查询,人力保障业务、办事程序查询,人力保障统计资料查询，劳动力市场信息查询,社会保险有关信息查询等;网上办事应用包括劳动力市场服务,社会保险登记、申报,职业技能培训教育等。公开访问WEB服务器、受控访问ＷＥＢ服务器、内容索引和检索服务器，全部采用PC服务器。IP电话和视频会议区随着多媒体技术的推广、网络技术的进步，“三网合一"技术已经被广泛采用.人力保障网络系统建设中也采用该技术，通过“三网合一”的建设,实现系统内部通过ＩＰ电话的联系、通过网络视频会议系统的交流,以节省办公经费.IＰ电话区由支持IP电话服务的语音关守和语音网关等构成。语音网关与原有的人力保障部门机关程控交换机连接或直接与电话机连接，即可实现IＰ电话功能。视频会议区由支持视频会议系统的会议室型的视频会议终端设备、多点会议控制设备（MＣU）、视频关守等设备构成。安全应用支撑服务区安全应用支撑服务区提供证书认证服务、证书审核注册服务、证书查询验证服务、授权服务和密码服务等。证书认证服务系统和证书审核注册服务、证书查询验证服务系统间进行相应的逻辑隔离。

第三章数据中心局域网解决方案数据中心网络建设目标１、从人力资源和社会保障系统的应用角度建设统一的数据中心。建立以社会保险系统和劳动力市场信息化管理系统为基础的核心生产系统，建立与其它各级数据中心,以及相关单位进行数据交换的交换系统，建立对领导做决策提供数据依据的决策分析系统。2、建立以向社会提供便捷、丰富的社会化服务为目的的公共服务系统。建立向Internet用户提供便捷的网上查询和网上业务办理的网站系统，建立向电话用户提供便捷服务的“１2333”语音咨询系统，建立大屏显示系统和触摸屏查询系统等.３、建立完善的配套网络。建立市—省、市—区县之间的广域网连接（主、备），建立与医院药店、街道社区、财政银行、公安民政以及劳动保障所之间的广域网连接,改造数据中心的局域网连接，清理数据中心与各业务经办部门之建的局域网连接。4、建立完善的网络安全管理体系。建立一整套完善的安全管理体制，确保管理人员职能分明,建立一套完善的安全控制体系,包括内网安全管理系统，安全访问控制系统以及高效的防病毒体系等.数据中心网络建设拓扑数据中心网络拓扑方案说明根据人保行业信息化工作规划，各级数据中心的建设和维护，需要严格遵循国家信息安全等级保护的要求进行.为此汉柏提供的数据中心局域网建设解决方案,充分依据《国家信息安全等级保护实施指南》、《信息系统安全等级保护基本要求》等标准的要求，以构建一个合规的、安全的数据中心为目标。 1、网络基础架构区局域网方案中，核心互连技术建议选用万兆或多千兆捆绑以太网络技术，所有的帧格式全部选用以太网格式。根据上述总体设计中的思路,主要设计如下：局域网网络主干选用万兆或多千兆捆绑以太网在各楼层可设置本楼三层汇聚后再上联核心的标准三级结构局域网通过Vlａn实现全网按智能部门划分子网，并定制合理访问策略局域网网关可设在汇聚交换机上，通过安全策略部署、ｖｌaｎ及网段的划分避免广播风暴及病毒传播对核心交换机的冲击。汇聚交换机与核心交换机间可运行动态路由协议进行动态路由计算及链路负载分担,保证网络的动态愈合、高效、可管理。局域网通过高性能核心层强大的三层交换功能实现全网的集中式路由；汇聚交换机进行分布路由局域网整体采用星型双归属架构，从接入交换机、汇聚交换机到核心交换机,具备很高的可靠性，同时提高了网络的整体性能建议局域网核心层设计采用2台汉柏PT—66００系列万兆路由交换机;局域网汇聚层采用汉柏PＴ－3５60G系列汇聚交换机;局域网接入层采用汉柏ＰT－296０系列智能接入交换机,可提供802．1x认证及ARP动态防御功能.接入交换机通过千兆线路连接到汇聚交换机,并由汇聚交换机万兆或千兆链路捆绑双归属上联两台核心交换机。核心层与汇聚层间采用双链路全冗余连接,保证汇聚到核心的高可靠性，以增强整体网络的容错和故障隔离能力。网络核心处建议部署入侵监测系统和漏洞扫描系统。入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用，对网络入侵事件实施主动防御。通过在网络平台上部署入侵检测系统,可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能，能够防止恶意入侵事件的发生。漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具，使用户了解网络的安全配置和运行的应用服务,及时发现安全漏洞，并客观评估网络风险等级。漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞,并为用户提供网络系统弱点、漏洞、隐患情况报告和解决方案,帮助用户实现网络系统统一的安全策略,确保网络系统安全有效地运行。ﻩ2、网络与安全管理区安全管理区建议部署全局安全管理系统,认证及地址管理系统，网络管理系统。认证及地址管理系统：１)基于主机的统一身份认证终端系统通过安装８02。1X认证客户端，在连接到内网之前,首先需要通过认证及地址管理系统的身份认证,方能打开交换机端口，使用网络资源。2）全局地址管理根据政务网地址规模灵活划分地址池固定用户地址下发与永久绑定漫游用户地址下发与临时绑定、自动回收接入交换机端口安全策略自动绑定。客户端地址获取方式无关性全局安全管理系统：1）安全认证。安全认证系统定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等.2）用户管理。不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制.安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。3）安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制.４)日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态提供依据.3、客户机区建议办公区各主机安装与全局安全管理系统配合使用的内网安全管理系统代理。安全管理系统代理，可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括：1)提供802。1x、pｏｒtal等多种认证方式,可以与交换机、路由器配合实现接入层、汇聚层以及ＶPN的端点准入控制.2）主机桌面安全防护，检查用户终端的安全状态,包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息.这些信息将被传递到认证服务器，执行端点准入的判断与控制。3)安全策略实施，接收认证服务器下发的安全策略并强制用户终端执行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。4)实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计.５）实时监控终端用户的行为，实现用户上网行为可审计。4、外网边界防御区建议网络边界处部署PA—55０0系列统一安全网关。统一安全网关集合集成了包括防火墙、VPN、病毒过滤、入侵防御、Weｂ安全、数据泄漏防护以及终端安全扫描在内的多种安全功能，同时提供丰富的应用管理和控制，在不以安全为妥协以及充分满足用户便利性的前提下，为用户创造了前所未有的安全体验。5、对外信息服务应用区ﻩ对外信息服务应用区多为对外提供服务的ＷEB服务器,对网页防篡改功能要求高,因此建议部署网页防篡改服务器.详细等级保护达标对比参见《电子政务办公局域网网络安全等级保护（三级）达标建议书(1．0）》方案特点高性能:支持大数据传输量,支持万兆交换；高可用性：避免单点故障，最大能力达到快速、可预计的收敛时间；高扩展性：不改变基础架构的情况下,允许改变和增加信息节点数量；方便增加新的服务和支持大量主机;简单性：事前确定主、备流量路径，提供可预测的流量通道和错误恢复通道；安全性：避免与恶意设备交换协议信息,阻止非法用户接入到网络，本方案的设计严格遵循国家信息安全等级保护相关文档设计。具体有以下安全措施:1）识别敌我:从系统的角度解决了广大主机的防护。８0％的网络安全风险来自内部，一方面,众多PC个人终端自身的安全需要最大限度得到保障，另一方面，已经“中毒”的设备能够迅速被自动识别和隔离，保障网络系统整体的稳定运行;２）资源防护：服务器资源的防护等同于更高级别的主机设备,仍然可以额外采用第三方为用户订制的解决方案;３）问题隔离:解决了网络传输设备的防护。“问题”主机设备的自动识别和隔离，可以确保网络传输设备的各项功能稳定、持续发挥。4）身份认证：进入到网络中的用户不再是匿名用户,而必须是通过身份认证的用户。事实证明匿名用户访问办公网是造成网络安全威胁的最大隐患。通过这种方式，我们可以将非法的、未经过授权的用户拒绝在网络之外.５）行为控制：可以切断已经进入到网络中的用户，并且对用户不同应用业务的带宽、流量、上网时间段进行控制。同时具有对用户的实时网络短消息通知机制等。ﻬ第四章市级广域网互联解决方案带宽计算根据对城市内部数据传输量的总体分析,结合实际网络连接、各类城市、机构规模，考虑应用界面传输量(按每页面１０KＢ计算）、TCP/ＩP封装效率(带宽利用率按70%计算）等因素,计算和确定市与区县、街道经办机构间、与行业经办机构间通信带宽。市数据中心与区县数据传输带宽建设目标的集中式数据库方式市与每个区县(或街道）经办机构间、省与每个行业经办机构间峰值带宽（Kｂｐs)为：（人均社会保险业务处理量/业务环节数+应用界面传输量）×经办机构并行处理终端数/响应时间／带宽利用率×8位=(２0KB/1１+10ＫB）×经办机构并行处理终端数/5/7０%×8.经办机构并行处理终端数为每个区县、街道或行业所有经办业务终端数量＊并发概率系数。下面结合本市各种规模县市平均区县经办人员数、来估算经办机构并行处理终端数,估算市与每个区县经办机构间、省与每个行业经办机构间带宽(Kbps)：表４—１市与区县经办机构间通信带宽(集中式数据库）经办机构规模并行处理终端数带宽(Kbps）XXＸ市2０５40．3ＸXX市15４0５.2XXX市15４0５。２XXX市15４０5.２XXX市1５405。2XXX市１54０5.2在集中式数据库方式中,所有的业务操作都必须与中心数据库服务器系统连接,要求通信系统具有较高的可靠性和实时性.如果社会保险业务应用软件采用B/S结构，应根据以上计算的带宽来确定市与各区县、街道经办机构间通信带宽。如果社会保险业务应用软件采用C/S结构,市与区县业务经办机构间通信带宽至少要保障１Mｂps,市与仅有单终端的经办机构间通信带宽至少要保障５6Kｂps。过渡方案的分布式数据库方式在分布式数据库方式中,区县经办机构每月向市经办机构传输一次数据。假设传输时间为n小时（n取２4小时,可按带宽和传输时间的容忍度来调整)，市与每个区县经办机构间通信带宽(Kｂps）为：人均社会保险业务处理量×独立经办机构服务的参保人数×1.5倍/带宽利用率×8位/传输时间独立经办机构服务的参保人数=城市平均参保人口×区县独立经办业务比例/区县经办机构数.表4－2市与区县经办机构间通信带宽(分布式数据库)城市规模区县经办机构数平均参保人口区县独立经办业务比例市与区县经办机构间通信带宽（Kbps）XX５1４５６0％３0２。6ＸX11６６０%33．４XX1２0６0％4１．７XX12360%48XＸ１1760％３5．５XX1３2６0%6６.8ＸX与社会服务机构间数据传输带宽根据对城市内部数据传输量的总体分析,结合实际网络连接、各类城市、机构规模,考虑ＴＣP／ＩＰ封装效率等因素(带宽利用率为７０％），计算和确定社会保险经办机构与社会服务机构间数据传输带宽。社会保险经办机构与养老金代发放机构间通信带宽养老金社会化发放工作需由社会保险经办机构与银行、邮局代理发放机构交换数据，每月传输一次。假设传输时间为ｎ小时(n取2小时，可按带宽和传输时间的容忍度来调整),社会保险经办机构与代发放机构间通信带宽（Ｋbps)为：个人信息量×最大离退休人数×代发放机构发放比例/带宽利用率×8位／传输时间=0。０７ＫB×平均离退休人数×1。5倍×代发放机构发放比例/70％×8位/（n×3600)各地按本省市实际情况确定相关参数，下表按照参保人口的２4％估算平均离退休人数,估算社会保险经办机构与代发放机构间通信带宽.表4-3社会保险经办机构与养老金代发放机构间通信带宽代发放机构城市规模平均参保人口发放比例领取养老保险占参保人口比例带宽（Ｋbpｓ）银行Xxx1459０%21%４8。0Xxx１6９０%２1％5．3Xxｘ２090％21%6.６Ｘxx2390％21%７．6Xxx3２90％２1％10.6Ｘxx1７90％２1%5.６邮局Xxｘ14510％21％5。3Xxｘ１６10%２１%０.58Xｘｘ２0１0％21%０．７3Xxｘ２310%21％0．84Ｘxx3２10%２１％1。17Xxx1710%2１％0.６2根据以上计算带宽并为应用发展预留一定空间来确定社会保险经办机构与养老保险代发放机构间通信带宽，采用不高于６4Kｂps。社会保险经办机构与医疗服务机构间通信带宽医疗保险结算工作需由社会保险经办机构与定点医疗机构、定点药店交换数据，传输的数据量与医疗机构服务的参保人数相关，采用的传输方式基本为实时传输就诊数据。在实时交换就诊信息情况下,假设生病高峰期每天医院就诊的参保人员数量为参保规模的5％，而医院就诊的高峰期发生在上午的９点～11点,在这2个小时内传输一般门(急)诊信息所需带宽应为社会保险经办机构与不同规模医疗机构间保证的最小通信带宽，为：（一般门（急)诊个人就诊数据量×交易系数×医疗机构服务的参保人数×就诊频率＋住院个人就诊数据量×交易系数×医疗机构服务的参保人数×就诊频率+个人参保数据量×医疗机构服务的参保人数）／带宽利用率×８位/传输时间=（1.5K/人次×３×医疗机构服务的参保人数×０.42次/月／22日+３Ｋ/人次×3×医疗机构服务的参保人数×0.0４次／月/２2日+０.0５K/人次×医疗机构服务的参保人数）／70％×8/（Ｎ×36０0）按医疗服务机构服务参保人数的规模(8万人以下、8万－16万人、１6万-3３万人)，计算非实时和实时传输就诊数据需要的带宽，见下表。表4－４社会保险经办机构与医疗服务机构间通信带宽服务的参保人数非实时带宽（Kｂｐｓ)实时交易系数实时带宽(Kbｐｓ）XＸX4４.0５3126。43ＸＸX21．３6３61．30XXX１0．68330。65在实时传输情况下,根据计算带宽并适当考虑每月传输一次参保人员名单和黑名单等信息所需要的带宽.与大型医疗机构(服务参保人数的规模1６万－33万人)的通信带宽采用１28Kbps，中型医疗机构（服务参保人数的规模8万－1６万人）的通信带宽采用６４Kｂps,小型医疗机构（服务参保人数的规模８万人以下)的通信带宽采用５6Kbps.相关部门间数据传输带宽社会保险经办机构与地税、财政等相关部门进行信息交换。与地税部门的通讯带宽在税务代为征缴的模式下，社保机构需要将每个月的征缴计划发给地税部门,地税部门根据征缴报告对企业和个人进行社会保险费用的收缴，然后形成实际缴纳报告再返还给社保部门。建议采用不高于2５６ＫB带宽.与财政等部门的通讯带宽与财政等相关部门交换的信息一般属于宏观决策类信息，传输量相对较少，传输频率和所需带宽较低，建议采用的带宽为12８KB。通过以上分析，市级金保网络广域网互联带宽需求为:市局与区县局、市级经办机构间通信带宽,至少要保障２Mｂps；社会保险经办机构与养老保险代发放机构间通信带宽，不低于１2８Ｋbps;与大型医疗机构（服务参保人数的规模１６万—3３万人)的通信带宽采用不低于256Ｋｂpｓ;中型医疗机构(服务参保人数的规模8万—１6万人）的通信带宽采用不低于128Kｂps；小型医疗机构(服务参保人数的规模8万人以下）的通信带宽采用不低于6４Kbｐｓ；社会保险经办机构与地税部门的通信带宽,采用不低于２5６KＢ带宽；社会保险经办机构与财政等部门的通讯带宽为不低于12８KB。市级广域网解决方案广域网络：建设依托电子政务外网或公共通信网络平台，连接市、县节点的市级广域网以及县域网,并上联省级网络中心，在信息交流和共享的同时，确保信息的安全。相关单位连接：建立市社保部门与政府相关部门(公安、财政等)和其他相关单位(医院、药店、银行、邮局等）的网络连接,实现信息交换和共享。Ｉnterｎet连接：建立市社保部门网络与Inｔernet的连接,实现社会保险信息对公众服务的同时确保内部网络的安全,实现与Ｉntｅrnet网络的隔离等.具体建议拓扑图如下:市级广域网互联拓扑根据各个互联单位的数据流量大小，和地理位置的远近,可以选择专线或者VPN的方式接入市数据中心。专线互联市级广域网覆盖市区县劳动保障局、市区县社保经办机构、就业服务机构等市属事业单位，市级网络中心节点也是市级数据中心节点，设在市劳动保障局网络中心.建议采用星型网络结构，特点为简单，便于设计,线路成本相对较低，网络扩展性好.ＶPＮ互联远程办公、临时出差的移动用户，及市级网络延伸到社区、街道,综合考虑租用专线的成本和实时通讯量的关系，或者比较偏远的药店、街道、社区无专线接入的条件时建议采用汉柏安全VＰＮ解决方案。核心网络部署PＡ—55００统一安全网关，其它节点采取PE—380０等系列接入路由器,通过ＶＰN的方式互联.边界安全防护人保行业信息系统与其他全国性信息系统相比，具