人力资源与社会保障行业网络系统技术白皮书.docx
《人力资源与社会保障行业网络系统技术白皮书.docx》由会员分享,可在线阅读,更多相关《人力资源与社会保障行业网络系统技术白皮书.docx(25页珍藏版)》请在冰豆网上搜索。
人力资源与社会保障行业网络系统技术白皮书
人力资源与社会保障网络系统技术白皮书
人力资源与社会保障行业网络系统技术
白皮书
目录
人力资源与社会保障行业网络系统技术2
白皮书2
第一章前言4
1.1人力资源和社会保障部组织构成4
1.2金保工程概述4
1.3新农保概述5
2.1行业纵向网络7
2.1.1纵向部省市三级网络划分7
2.1.2三级网络联网方式8
2.1.3路由策略8
2.1.4IP地址规划10
2.1.5Qos策略10
2.2本地横向网络11
2.2.1功能划分11
2.2.2数据中心业务系统11
第三章数据中心局域网解决方案14
3.1数据中心网络建设目标14
3.2数据中心网络建设拓扑15
3.3方案说明15
3.4方案特点18
第四章市级广域网互联解决方案19
4.1带宽计算19
4.1.1市数据中心与区县数据传输带宽19
4.1.2与社会服务机构间数据传输带宽20
4.1.3相关部门间数据传输带宽21
4.2市级广域网解决方案22
4.2.1专线互联23
4.2.2VPN互联23
4.2.3边界安全防护24
第一章前言
1.1人力资源和社会保障部组织构成
中华人民共和国人力资源和社会保障部是依据2008年第十一届全国人民代表大会的决议在人事部和劳动和社会保障部的基础上建立的。
另外还下设机构:
⏹新组建的国家公务员局
⏹外国专家局
1.2金保工程概述
金保工程最早源于劳动与社会保障部,于2003年8月,经国务院同意,全国整体正式立项。
金保工程是利用先进的信息技术,以中央、省、市三级网络为依托,支持劳动和社会保障业务经办、公共服务、基金监管和宏观决策等核心应用,覆盖全国的统一的劳动和社会保障电子政务工程。
其内涵可以简要概括为“一二三四”四个字:
“一”是一个工程,指在全国范围建设一个统一规划、统筹建设、网络共用、信息共享、覆盖各项劳动和社会保障业务的电子政务工程;
“二”是两大系统,指建设社会保险子系统和劳动力市场子系统;
“三”是三级结构,指由中央(人力保障部)、省、市三层数据分布和管理结构组成;
“四”是四项功能,指具备业务经办、公共服务、基金监管和宏观决策四项功能。
金保工程基本采用“数据向上集中”的方式,在部、省、市三级建立数据中心,市以下不再建数据中心。
(个别省份例外)。
网络服务于应用,为此我们必须对人保行业信息化应用特点有所了解:
1、“大社保”建设推动社保核心业务系统的本地化实施
根据中央“大社保”发展要求,各地社保核心业务系统本地化的进程将得到进一步推进。
尚未建立社保业务系统的地区正在加快推进核心业务系统的本地化实施,目前已经取得一定成效,预计未来一些以省为单位进行统一软件本地化实施的地区,将会实现统一软件的全面普及。
各地已建业务系统中尚未采用统一应用软件的,也纷纷制定了向统一应用软件的升级计划。
随着全国的非现场监督和宏观分析需求日益强烈,异地业务系统试点推进工作正在进行,基金监管、联网监测、宏观决策等纵向数据采集及监管、分析软件将得到联动推进和统一部署。
2、核心业务系统的全国联网是社保信息化工作重点
对已启动社保核心业务系统全国联网的地区应用,基于新指标的养老保险监测数据上传工作、监测指标的增加、调整、以及基于新指标的监测软件的部署工作等都是未来工作的重点与难点。
随着数据上传工作的顺利进行,2011年失业登记和失业保险监测数据将覆盖90%以上的失业人员。
除社保核心系统之间的联网应用,与其他系统之间的联网也将是未来的工作重点。
社保核心业务系统全国联网的进程直接关系到社保部门公共服务水平的提高程度。
通过网络进行异地业务办理是全国联网工作的最重要目标。
值得注意的是,统一的安全信任体系在纵向全国联网体系中的应用,是提高联网应用安全防护能力的保障,社保机构需重视此项工作的开展。
3、社保应用系统的统一要求加强社保标准规范建设
随着社保核心系统统一推进工作的进行,标准规范建设工作迫在眉睫。
根据人力资源和社会保障部2009年工作重点,未来标准规范建设重点集中在几个方面:
结合统一应用软件开发和部署,修订或制定社会保险等主要业务系统指标体系,制定异地业务系统接口规范,优化业务流程;结合各项联网监测应用的开展,制定和完善交换区数据标准、决策区数据标准;制定全国统一的人力保障安全信任体系、人力保障短消息服务、人力保障电话咨询服务标志、域名等相关标准,修订社会保障(个人)卡规范;加大各项统一标准规范的执行力度,确保人力保障相关业务系统中各类业务代码的标准、规范和统一,为各业务系统之间、各地区之间的信息共享奠定基础。
人保信息化为中国社保制度的改革和社保行业的快速发展奠定了坚实基础。
“十五”期间,金保工程和金卡工程的稳步实施,使劳动和社会保障信息化得到了长足的发展。
据调查数据表明,人力资源与社会保障部的各项系统建设在2004年已基本趋于成熟。
“十一五”期间社保信息化将呈多样化发展,在保持良好发展势头的同时,社保行业将从传统行业向医院、药品监督系统、铁路医保等分支行业延伸。
另外,社保信息化的省市级需求将继续呈现上升趋势。
1.3新农保概述
2009年9月4日,国务院办公厅公布了《关于开展新型农村社会养老保险试点的指导意见》(以下简称《“新农保”指导意见》),按照《“新农保”指导意见》的计划,“新农保”的落地需要建立完善的管理体系,同时,需要建立一套完备、统一的管理信息系统。
而这对现今的农保管理和信息化基础,却如平地起高楼,而复杂、人员流动性强的农村信息化特性也给“新农保”系统的建立提出了挑战。
依据人力资源与社会保障部发布的《新型农村社会养老保险信息系统建设参考技术方案》,新农保信息系统的总体建设内容是:
根据金保工程统一规划,基于金保工程一期建设成果进一步将部-省-市三级业务专网下延到区县、街道、社区、乡镇等窗口,并与银行、邮政、公安、民政、计生、残联等相关部门实现信息共享;进一步完善数据中心建设,提高对新农保业务的支撑和保障能力,逐步推进电子认证系统和社会保障卡系统建设,并同步进行数据和系统的容灾建设,提高新农保系统的安全保障水平;根据新农保业务需求,在省级集中部署支撑新农保业务经办和公共服务的应用系统,在金保一期成果上完善形成新农保基金监管、宏观决策等应用系统,实现各业务系统间的信息共享,逐步实现面向农村居民各项社会保险事务的有效衔接,逐步实现新农保系统与城镇社会保险系统的有效对接,逐步提高社会保障全局业务的对外服务能力和决策支撑能力。
作为信息系统的基础设施,网络是新农保信息系统完善的基础,也是新农保近期的建设重点之一人力资源与社会保障部对于新农保网络系统建设的要求是:
在业务专网已连通到部、省、地市、区县的基础上,进一步实现业务专网向街道、社区、乡镇的连接,根据业务量需要扩展带宽,加强网络安全搞防护,并达到上下网络的有效贯通,形成可支撑实时业务需要的业务专网。
适当扩展省级数据中心互联网出带宽。
有条件的地区可将网络进一步向行政村延伸。
2009年试点覆盖面为全国10%的县(市、区、旗),以后逐步扩大试点,在全国普遍实施,2020年之前基本实现对农村适龄居民的全覆盖。
第二章金保工程网络现状
2.1行业纵向网络
2.1.1纵向部省市三级网络划分
人保行业信息系统网络纵向采用部、省、市三级网络拓扑结构形成内部网络系统,横向与政府相关部门(公安、财政、地税等)和其他相关单位(医院、药店、银行、邮局等)等网络连接。
全国总体逻辑结构图
办公网和业务专网之间按照国家电子政务内网的相关安全标准进行物理隔离,业务专网和公众服务网、Internet网之间逻辑隔离。
系统办公网分级建设,暂不进行互联;公众服务网可通过Internet网进行联接。
业务专网采用中央、省、市三级网络拓扑结构,纵向为人力保障系统内部网络,包括联接中央、省两级节点的全国广域主干网,联接省、市两级节点的省级广域主干网,联接市级节点及下属各业务经办点、终端延伸到街道(社区)的市域网;横向为外部网络,包括以各级节点为中心,向外辐射,联接公安、财政、地税等相关政府部门和医院、药店、银行、邮局等相关单位的网络。
中央级网覆盖人力资源和社会保障部、部属事业单位,连接省级网等。
网络中心节点为人力资源和社会保障部,也是中央数据中心节点。
省级网覆盖省人力保障厅、省社保机构、省就业机构等省属事业单位,连接省内市级网等。
省级网络中心节点也是省级数据中心节点,设在省人力保障厅。
市级网覆盖市区县人力保障局、市区县社保经办机构、就业服务机构等市属事业单位。
市级网络中心节点也是市级数据中心节点,设在市人力保障局。
2.1.2三级网络联网方式
人力保障信息系统业务专网主要依托国家电子政务外网统一平台,部分省份根据自身实际情况,也可考虑依托公共通信网络平台。
国家电子政务外网统一平台主要是为各级政府提供一个网络共享和信息共享的平台。
各级政府部门通过接入国家电子政务外网统一平台,可以实现中央与地方的连接,实现政府部门间的连接和信息交换。
如下图所示:
三级网络互联示意图
2.1.3路由策略
人力保障信息网络纵向采用部、省、市三级网络拓扑结构形成内部网络系统,横向与政府相关部门和Internet外部网络连接。
系统路由区域规划如下图所示:
路由区域规划
(1)内部网络路由策略
部省广域网采用的路由协议为OSPF与静态路由相结合的模式。
根据人力保障系统网络结构的特点,OSPF域划分为两级,部中心节点到省级网络为骨干域(0),各省中心节点到市级网络为一个二级子域,使用省会城市长途区号作为域的标识。
(2)部省广域网络系统
在部省两端主路由器的广域网接口、局域网接口、备份路由器的局域网接口上启用OSPF,并纳入OSPF(0)区域。
同时分别在部省两端备份路由器的广域网接口上启用静态路由,作为OSPF的备份。
设置备份路由的优先级低于OSPF路由条目的优先级,在主线路发生故障时,路由器自动切换到备份路由,以保证网络畅通。
(3)省市广域网络系统
省中心节点与市级网络的联接方式如下:
在省中心节点接入区中增加路由器,联接市级网络。
在省市两端主路由器的局域网接口、备份路由器的局域网接口上启用OSPF,并纳入OSPF(0)区域。
在省市两端主路由器的广域网接口上启用OSPF,并纳入OSPF二级子域。
同时在省市两端备份路由器的广域网接口上启用静态路由,作为OSPF的备份。
在省中心节点路由器中对其下级市级网络路由表进行路由汇聚,将汇聚后的路由条目加入到部省联网路由系统内,减少网络核心区域路由表的数量,提高网络的性能。
(4)外部网络连接路由策略
Internet出口路由。
在Internet出口处的路由设计有两种方式:
一是动态路由方式。
申请自治系统号,用BGP协议与ISP互连。
BGP协议功能强大,可以充分利用冗余线路,实现灵活的备份策略、负载均衡策略和路径选择策略。
但BGP协议复杂,运行维护难度较大。
二是缺省路由加静态路由方式。
用缺省路由实现备份,用静态路由优化路径选择。
Extranet出口路由。
Extranet出口主要指与国家电子政务外网的连接,将遵循国务院信息办的相关规定。
2.1.4IP地址规划
IP地址规划是网络互联的基础,人力保障部在征求国家信息化办公室的意见后印发了《人力保障业务专网IP地址规划方案》。
政府信息网络统一平台IP地址规划出台后,将对人力保障业务专网IP地址进行必要的调整。
人力保障信息系统内部网络的IP地址采用INTERNET上保留的A类地址10.0.0.0。
内部网络与Internet的接口以及对外信息服务应用使用Internet的公用地址,其IP地址由Internet接入服务提供者分配。
内部网络与相关单位网的接口以及对相关单位信息服务应用的IP地址,使用与相关单位协商的地址,可以是人力保障系统或相关单位分配的地址。
部信息中心负责分配部、部属事业单位局域网IP地址范围;分配省(自治区、直辖市)、市(地区、自治州、盟)网络IP地址总范围;分配部与部属事业单位,与省以及有可能直接与部级网相连节点所构成的广域网IP地址范围。
省人力保障部门负责分配省人力保障厅局及其所属事业单位局域网IP地址范围;分配省与省属事业单位,与省辖市级网以及有可能直接与省级网相连节点所构成的广域网IP地址范围。
市人力保障部门负责分配市人力保障局及其所属事业单位和区县(县、市辖区、县级市)单位局域网IP地址范围;分配市与市属单位,与市内区县以及有可能直接与市级网相连节点所构成的广域网IP地址范围。
2.1.5Qos策略
人力保障部省广域网需要传输数据、视频和语音信息,是个多业务融合网络。
为保证各类信息的传输质量,使用CQ(定制队列)技术,为数据、视频和语音信息分配适当比例的带宽。
在网络拥塞的时候,每种信息流都有正常带宽传输的保障;在网络流量不大的时候,每种信息流自由分配带宽。
2.2本地横向网络
2.2.1功能划分
人力保障信息系统网络从功能上划分为办公系统、业务系统、公众服务系统,其系统功能构成见下图。
人力保障信息系统网络功能构成图
2.2.2数据中心业务系统
人力保障部门数据中心业务系统由若干应用功能区域构成。
其构成包括生产区、交换区、决策区、网络基础服务区、人力保障系统内部资源区、相关单位资源区(与公安、财政、地税等相关部门的数据交换、资源共享和信息服务区)、对外信息服务应用区、IP电话和视频会议区、网络管理区、安全应用支撑服务区等
2.2.2.1生产区
生产区包括社会保险应用区和劳动就业应用区。
其逻辑构成见下图。
生产区逻辑构成图
社会保险应用区提供社会保险经办业务服务,需要高性能的数据库服务器,存储、管理养老保险、医疗保险、失业保险、工伤保险、生育保险应用数据,需要相应的应用服务器处理相应的社会保险应用。
劳动就业应用区提供就业等应用服务。
2.2.2.2交换区
交换区服务器用于支持社会保险关系异地转移、离退休人员异地数据交换、异地就医人员数据交换等异地经办业务,用于暂存死亡信息、用于存储公共服务信息和基金监管信息、用于与本地其他部门横向交换信息等,用于支持上级网络扫描式的宏观决策数据采集。
交换区服务器由数据库服务器和应用服务器构成。
2.2.2.3决策区
决策支持应用区提供数据采集、整理、汇总及其分析等应用服务。
这些应用需要数据库服务器,用于存储、管理宏观决策数据库和方法库、模型库;需要相应的应用服务器进行数据采集、整理、汇总及其分析。
另外,要为分析人员提供SAS、SPSS、OLAP工具、数据挖掘工具、经济模型等分析手段,进行统计信息常规分析、预测、预警分析等,以指导政策制定。
为业务人员提供查询工具、OLAP工具,对政策执行状况进行监测和分析。
2.2.2.4网络基础服务区
网络基础服务区由邮件服务器、FTP和文件服务器、目录服务器、DNS服务器、全文检索服务器等构成,全部采用PC服务器。
邮件服务器用于实现人力保障系统内部以及外部基于邮件的信息交换服务。
FTP和文件服务器用于提供人力保障部门内部的信息服务。
DNS服务器用于提供人力保障部门内部和人力保障部系统内部的域名服务。
全文检索服务器用于法律法规信息的管理,用于人力保障部门内部、人力保障系统以及广大公众的信息服务。
2.2.2.5人力保障系统内部资源区
人力保障系统内部资源区提供人力保障系统内部的数据交换、资源共享和信息服务。
需要数据库服务器、FTP服务器和信息服务前置机,全部采用PC服务器。
相关部门或单位资源区
相关部门或单位资源区提供人力保障部门与公安、财政、地税等相关部门和相关单位的数据交换、资源共享和信息服务。
需要数据库服务器、FTP服务器和信息服务前置机,全部采用PC服务器。
2.2.2.6对外信息服务应用区
对外信息服务应用区提供包括信息发布、网上查询、网上办事、网上调查等应用服务。
信息发布包括各业务管理系统、宏观决策支持系统综合数据和分析预测报告等多种信息的发布;网上查询包括人力保障政策法规及其他相关政策法规查询,人力保障业务、办事程序查询,人力保障统计资料查询,劳动力市场信息查询,社会保险有关信息查询等;网上办事应用包括劳动力市场服务,社会保险登记、申报,职业技能培训教育等。
公开访问WEB服务器、受控访问WEB服务器、内容索引和检索服务器,全部采用PC服务器。
2.2.2.7IP电话和视频会议区
随着多媒体技术的推广、网络技术的进步,“三网合一”技术已经被广泛采用。
人力保障网络系统建设中也采用该技术,通过“三网合一”的建设,实现系统内部通过IP电话的联系、通过网络视频会议系统的交流,以节省办公经费。
IP电话区由支持IP电话服务的语音关守和语音网关等构成。
语音网关与原有的人力保障部门机关程控交换机连接或直接与电话机连接,即可实现IP电话功能。
视频会议区由支持视频会议系统的会议室型的视频会议终端设备、多点会议控制设备(MCU)、视频关守等设备构成。
2.2.2.8安全应用支撑服务区
安全应用支撑服务区提供证书认证服务、证书审核注册服务、证书查询验证服务、授权服务和密码服务等。
证书认证服务系统和证书审核注册服务、证书查询验证服务系统间进行相应的逻辑隔离。
第三章数据中心局域网解决方案
3.1数据中心网络建设目标
1、从人力资源和社会保障系统的应用角度建设统一的数据中心。
建立以社会保险系统和劳动力市场信息化管理系统为基础的核心生产系统,建立与其它各级数据中心,以及相关单位进行数据交换的交换系统,建立对领导做决策提供数据依据的决策分析系统。
2、建立以向社会提供便捷、丰富的社会化服务为目的的公共服务系统。
建立向Internet用户提供便捷的网上查询和网上业务办理的网站系统,建立向电话用户提供便捷服务的“12333”语音咨询系统,建立大屏显示系统和触摸屏查询系统等。
3、建立完善的配套网络。
建立市—省、市—区县之间的广域网连接(主、备),建立与医院药店、街道社区、财政银行、公安民政以及劳动保障所之间的广域网连接,改造数据中心的局域网连接,清理数据中心与各业务经办部门之建的局域网连接。
4、建立完善的网络安全管理体系。
建立一整套完善的安全管理体制,确保管理人员职能分明,建立一套完善的安全控制体系,包括内网安全管理系统,安全访问控制系统以及高效的防病毒体系等。
3.2数据中心网络建设拓扑
数据中心网络拓扑
3.3方案说明
根据人保行业信息化工作规划,各级数据中心的建设和维护,需要严格遵循国家信息安全等级保护的要求进行。
为此汉柏提供的数据中心局域网建设解决方案,充分依据《国家信息安全等级保护实施指南》、《信息系统安全等级保护基本要求》等标准的要求,以构建一个合规的、安全的数据中心为目标。
1、网络基础架构区
局域网方案中,核心互连技术建议选用万兆或多千兆捆绑以太网络技术,所有的帧格式全部选用以太网格式。
根据上述总体设计中的思路,主要设计如下:
⏹局域网网络主干选用万兆或多千兆捆绑以太网
⏹在各楼层可设置本楼三层汇聚后再上联核心的标准三级结构
⏹局域网通过Vlan实现全网按智能部门划分子网,并定制合理访问策略
⏹局域网网关可设在汇聚交换机上,通过安全策略部署、vlan及网段的划分避免广播风暴及病毒传播对核心交换机的冲击。
⏹汇聚交换机与核心交换机间可运行动态路由协议进行动态路由计算及链路负载分担,保证网络的动态愈合、高效、可管理。
⏹局域网通过高性能核心层强大的三层交换功能实现全网的集中式路由;汇聚交换机进行分布路由
⏹局域网整体采用星型双归属架构,从接入交换机、汇聚交换机到核心交换机,具备很高的可靠性,同时提高了网络的整体性能
建议局域网核心层设计采用2台汉柏PT-6600系列万兆路由交换机;局域网汇聚层采用汉柏PT-3560G系列汇聚交换机;局域网接入层采用汉柏PT-2960系列智能接入交换机,可提供802.1x认证及ARP动态防御功能。
接入交换机通过千兆线路连接到汇聚交换机,并由汇聚交换机万兆或千兆链路捆绑双归属上联两台核心交换机。
核心层与汇聚层间采用双链路全冗余连接,保证汇聚到核心的高可靠性,以增强整体网络的容错和故障隔离能力。
网络核心处建议部署入侵监测系统和漏洞扫描系统。
入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用,对网络入侵事件实施主动防御。
通过在网络平台上部署入侵检测系统,可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能,能够防止恶意入侵事件的发生。
漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具,使用户了解网络的安全配置和运行的应用服务,及时发现安全漏洞,并客观评估网络风险等级。
漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞,并为用户提供网络系统弱点、漏洞、隐患情况报告和解决方案,帮助用户实现网络系统统一的安全策略,确保网络系统安全有效地运行。
2、网络与安全管理区
安全管理区建议部署全局安全管理系统,认证及地址管理系统,网络管理系统。
认证及地址管理系统:
1)基于主机的统一身份认证
终端系统通过安装802.1X认证客户端,在连接到内网之前,首先需要通过认证及地址管理系统的身份认证,方能打开交换机端口,使用网络资源。
2)全局地址管理
⏹根据政务网地址规模灵活划分地址池
⏹固定用户地址下发与永久绑定
⏹漫游用户地址下发与临时绑定、自动回收
⏹接入交换机端口安全策略自动绑定。
⏹客户端地址获取方式无关性
全局安全管理系统:
1)安全认证。
安全认证系统定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。
2)用户管理。
不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。
安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
3)安全联动控制。
安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。
通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。
4)日志审计。
安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态提供依据。
3、客户机区
建议办公区各主机安装与全局安全管理系统配合使用的内网安全管理系统代理。
安全管理系统代理,可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:
1)提供802.1x、portal等多种认证方式,可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。
2)主机桌面安全防护,检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。
这些信息将被传递到认证服务器,执行端点准入的判断与控制。
3)安全策略实施,接收认证服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。
不按要求实施安全策略的用户终端将被限制在隔离区。
4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
5)
升级会员 