（计算机应用技术专业论文）社会劳动保险信息化建设方案的研究与应用.pdf

摘要 金融机构的特殊性质决定了其对数据安全的要求极为严格。但随着i n t e r n e t 和电子 商务的迅速发展，以完全封闭性的业务来赢得安全已经不能满足需求，与外界互联并发 展网上业务势在必行。 论文通过设计社会保险的综合网络信息系统，较好地解决了公司在新形势下面临的 一系列网络安全问题，并重点研究了虚拟专用网技术及其具体实现方法。文中给出了大 连市劳动保险分布式数据库系统的建立方案，完成了该系统的多副本一致性处理和同步 更新，解决了社会保险全市统筹、异地调转等困难问题。文章着重研究了最小生成树算 法，并针对大连市劳动保险分句式数据库系统的实际情况，将此算法做了相应修改，经 简化后应用到系统之中，提高了分布式数据库的查询处理速度。此外，本文还设计出了 社会保险电子商务的大致框架。 相比于1 9 9 7 年版的社会保险管理信息系统，此次“大连市社会保险信息系统改造 与扩展”的工作重点侧重于信息化建设。本论文正是以此项目为背景，对社会劳动保险 的信息化建设进行了研究，并将研究结果应用到实际之中。文中所述各系统大部分都己 投入大连劳动保险公司的日常运行。 论文所述信息化建设的方案对其他同类金融机构也具有一一定的参考意义。 关键词：网络安全虚拟专用网分布式数据库电子商务 a b s t r a c t t ok e e pd a t as e c u r ei so n eo ft h em o s ti m p o r t a n tt h i n g sf o ri n s u r a n c ec o m p a n i e s ， b u tw i t ht h er a p i dd e v e l o p m e n to fi n t e r n e ta n de c o m m e r c e ，t h em e t h o do fk e e p i n g d a t as e c u r eb yi s o l a t i n gt h eo p e r a t i o nn e t w o r kf r o mt h ei n t e r n e ti sn ol o n g e rf e a s i b l e a n db e h i n dt h et i m e s i ti si m p e r a t i v eu n d e rt h ec o n d i t i o nt or e l a t ew i t ht h eo u t s i d ea n d d e v e l o pb u s i n e s s e sc o n c e r n i n gn e t w o r k as e r i e so fs e c u r i t yp r o b l e m st h ec o m p a n yh a sb e e nc o n f r o n t e du n d e rt h en e w c i r c u m s t a n c e sh a v eb e e nt a c k l e dt h r o u g ht h ec o n s t r u c t i o no fi n t e g r a t e di n f o r m a t i o n n e t w o r ks y s t e ma n d p a r t i c u l a r l y t h et e c h n o l o g yo fv p na n dt h er e a l i z a t i o no fi ti nt h e c o m p a n ya r ed i s c u s s e da i m i n ga ts e t t l i n gt h ep r o b l e m so ft h et r a n s f e r r i n g o f c u s t o m e r sa n do ft h em u n i c i p a ip l a na saw h o l eo ft h es o c i a ii n s u r a n c e ap l a no f d d b m si sg i v e nt h ei n t e g r i t yo ft h ed d b m sa n dt h ec o n s i s t e n c yo fm u l t i p l ec o p i e s a r ea c c o m p l i s h e dw h a t sm o r ea na l g o r i t h mo fd i s t r i b u t e dq u e r ya n di t sr e a | i z a t i o nj n t h ed a l l a ni n s u r a n c ec o m p a n yi sp u tf o r w a r d a tl a s tt h em a i nf r a m eo ft h e e c o m m e r c eo ft h ec o m p a n yi sg i v e no u t c o m p a r e dw i t ht h es o c i a ii n s u r a n c em a n a g e m e n ti n f o r m a t i o ns y s t e mo f19 9 7 t h ee m p h a s i so f “t h er e c o n s t r u c t i o na n de x t e n s i o no fd a l l a ns o c i a l ln s u r a n c e m a n a g e m e n t ”i sf o c u s e do nt h ei n f o m a t i o n a l i z a t i o no ft h ec o m p a n yt h i sp a p e r o r i g i n a t e sf r o mt h ee x p e r i e n c e so ft h ew o r ko fl a s ty e a ri n t h ec o m p a n ya n dt h e r e c o n s t r u c t i o na n de x t e n s i o no ft h ei n s u r a n c eo p e r a t i o n s m o s to ft h es c h e m e s b r o u g h tf o r w a r di nt h ep a p e rf o rt h ed a l i a ni n s u r a n c ec o m p a n ya r er e a l i z e di nt h e c o m p a n y b e c a u s eo ft h ef a m i l i a r i z a t i o no fa l it h es o c i a | i n s u r a n c ec o m p a n i e si h ep a p e rh a s s o m er e f e r e n c ev a l u ef o ro t h e rc o m p a n i e so ft h es a m ek l n d r e d k e y w o r d s ： n e t w o r ks e c u r i t yv p nd d b m se - c o m m e r c e 社会劳动保险信息化建设方案的研究与应用 0 前言 社会保险事业作为国家立法，政府实施的一种保障制度，是社会发展的重要保障， 己成为现代社会的。个重要组成部分，与国计民生息息相关。目前，我国的社会保险事 业正处于快速发展时期，不仅业务量迅速增长，而且社会作用也越来越重要。要建立统 一、规范、完善的社会保障体系，除了理顺分配关系和部门职责分工外，还必须依靠现 代化的计算机管理手段。 建立高效完各的与劳动和社会保障事业发展相适应、与围家经济信息系统相衔接的 大连市社会保险综合信息系统，是满足大连市社会保障体系业务发展的需要。 大连劳动保险公司一共包括市公司、旅顺、金州、普兰店、瓦房店、庄河、开发区、 保税区和长海县等上十个县市区公司。市公司是业务最频繁、保险数据量最大的公司， 直接领导其他各县市区公司。公司主要经营大连市各县市区职工的养老、t ：伤、医疗、 生育和失业等保险业务。 0 1 引言 早在1 9 9 6 年，大连劳动保险公司就在大连理工大学的帮助下，在国内奎先建立起 了一套计算机管理信息系统，用了当时先进的客户机n 务器模式( c s 模式) ，为大连的 社会保险事业做出了巨大的贡献。随后，由于业务需要，又将市公司与各县区的数据库 服务器通过帧中继的方式进行了互连，网络带宽为1 9 2 k 。 但是，随着业务的不断发展，参保人数和历史数据不断增加。现有保险业务覆盖了 大连各县市区几百万职工，历史数据累计达到1 0 g 。规模的逐渐庞大，导致原有的软硬 件业务体系不堪重负，暴露出很多问题。 ( i ) 市公司和各县区保险公司的业务规则完全相同，但前台业务程序却运行于不同 的操作系统平台，造成维护和管理的诸多不便，且容易产生错误。 ( 2 ) 、i k 务网的网络带宽不够，市公司与各县区公司在开展业务的时候需要进行频繁 的文件传输，但传输速度却极为低下。在进行大文件的传输时，只能靠效率低 下的人工方式来进行，即由县区负责人卸下硬盘到市公司进行拷贝。 ( 3 )业务尚未接入i n t e m e t ，与上级部门( 劳动局) 之间的信息传递以及单位职工上 网均采用拨号方式，给公司管理带来了不便，也造成了安全隐患。 ( 4 )数据备份体系不够完备。受当时技术条件的限制，热备份所需时间较氏，存存 着一定的延迟。 ( 5 )虽然各县市区的业务规则完全相同，但市公司的数据库服务器和各县区的数掘 社会劳z 力保险信息化建发方案的研究与鹿剧 库服务器相互独克，造成公司在进行保险信息的查询统计时极不方便。 ( 6 )职工在各县市区保险公司之问的调转，按理应属于同一个大连市社会保险范畴。 但受限于原有的业务体系，用户不得不先在原单位所在县市区保险公司办理“撤 保”手续，然后蒋在新单位所在县市区重新建立相应档案。 ( 7 )数据库运行效率较低，进行查询统计时需要耗费较长的时间。 ( 8 )电子商务在普及，越来越多的用户希望借助于i n t e r n e t 完成尽量多的“投保 手续，公司也可以通过电子商务的实施来实现网上缴费、银行划拨等功能。 ( 9 )数据的查询统计只停留在表面，不能进行深入挖掘，无法得到蕴藏着的更多有 用信息。 0 2 本文所做的工作 本文源于大连劳动保险公司的实际项目研发经验，项目所及工作包括原有业务体系 的升级、现有业务网络的改造、新建数字信息网络、分布式数据库的设计与查询优化、 电子商务平台的搭建等多个方面。 文中重点阐述了大连劳动保险公司的网络及安全问题的解决方案、社会保险全市统 筹与异地调转等问题的解决方案以及电子商务的设计方案，并结合实际运用，就虚拟专 用网、分布式数据库及其查询优化等问题进行了较为深入的研究。 ( 1 )将原有市公司基于a s 4 0 05 3 s 的社会保险管理信息系统全面升级到了8 4 0 的生 产枫，将市公司基于w i n d o w s 3 1 的业务平台升级到了w i n d e w s 9 8 ，将部分县 区保险公司的s q ls e r v e r 数据库服务器更换成d b 2 4 0 0 ，完成了业务程序和数 据库的移植，统一了各县市区保险公司的业务平台。 ( 2 )将原有业务网体系进行拓展，设计并组建了数字网，组成社会保险的综合信息 网络。通过防火墙、内外网分离、冷热备份、分布式数据管理等技术来保证了 网络安全问题，并通过“文件通道”解决了内外网之间的安全通信。在保证、【p 务安全的基础之上，使用在l i n u x 平台上实现的基于t p s e c 的虚拟专用网技术， 实现了长海县、度假区等与市保险公司的互联，从而使这两个保险公司可以直 接使用市公司的数据库服务器来操作业务。 ( 3 )构建了各县市区之间统一的分布式数据库系统，按照两阶段提交协议，设计和 实现了该系统的各个县市区站点之间的同步更新与多副本一致性，解决了全市 统篱和异地倜转等困难问题。在最小生成树算法的基础上为增加查询并纷陛， 对其做出适当修改，并根据大连劳动保险公司网络体系的特点，简化运用到查 询系统中，大大缩短了分布式查询的耗费时间。 f 4 )设计出了电子商务的大致框架，并实现了银行划拨等功能。 2 社会劳动保险信息化建设方案的研究与应用 1 理论基础 社会保险的信息化建设问题是一个多学科综合问题，它可能包括网络、数据传输与 安全、数据库、算法、电子商务、甚至数据仓库等方面的内容，会是一个长期而不断发 展与完善的过程。 本章概述了大连市社会劳动保险信息化建设中用到的一些基本理论，包括网络安 全、虚拟专用网技术、分布式数据库和电子商务等。 1 1 网络安全及3 d e s 加密技术 网络的安全问题主要是由网络的开放性、无边界性、自由性造成的。保证信息网络 的安全，最基本的手段就是防火墙技术和加密技术。 g o密钥” l 密铜k 1 图l 三重d e s 加密 利用防火墙，可以实现内部网( 信任网络) 与外部不可信任网络( 如 n t e r n e t ) 之阿或内部网不同网络安仝域的隔离与访问控制，保证网络系统及网络服务的可用性。 防火墙总的说来分两类，即包过滤防火墙和应用级防火墙。 包过滤防火墙又称网络级防火墙，脚为它是工作在网络层。它一般是通过检查单个 包的地址、i 办议、端朋等信息来决定是否允许此数据包通过。信息过滤规则是以其所收 到的数据包头信息为基石： i ，比如i p 数据包源地址、i p 数据包目的地址、封装! j j 、i _ ； 类型 ( t c p 、u d p 、i c m p 等) 、t c p i p 源端口号、t c p ：p 目的端口号、i c m p 报文类型等。当 一个数据包满足过滤规则，则允许此数据包通过，否则拒绝此包通过。 社会劳动保险信息化建没方案的研究与应用 应用级防火墙，又称代理( p r o x y ) ，它由两部分组成：代理服务器和筛选路山器。 它是把筛选路由器技术和软件代理技术结合在一起，由筛选路由器负责网络的互联，进 行严格的数据选择，应用代理则提供应用层服务的控制，代理服务器起到了外部网络向 内部网络申请服务时中间转接作用。 最常用的保密密钥或对称密钥加密算法是d e s ( d a t ae n c r y p t i o ns t a n d a r d ) 。但d e s 的缺点是密钥长度相对比较短，采用三重d e s 可以解决其长度问题。用两个密钥对明 文进行三次加密，假设两个密钥是k 1 和k 2 ，其算法的步骤如图1 所示：( 1 ) 用密钥 k i 进行d e s 加密；( 2 ) 用k 2 对步骤( 1 ) 的结果进行d e s 解密；( 3 ) 用步骤( 2 ) 的 结果使用密钥k 1 进行d e s 加密。经过这个过程密钥长度将达到1 1 2 位”。 1 2 v p n 虚拟专用网( v i r t u a lp r i v a t en e t w o r k ，简称v p n ) 是一个被加密或封装的通信过程， 该过程把数据安全地由一端传到另一端。这里数据的安全性由可靠的加密技术束保障， 而数据是在一个开放的、没有安全保障的、经过路由传递的网络上传输的。所谓“虚拟”， 指的是v p n 能通过公网的网络资源连接公用网，能够到达任何位置；所谓“专用”，指 的是v p n 能提供对用户透明的安全与保密性。 虚拟专用网是对企业内部网的扩展。v p n 一般有以下几种结构： ( 1 ) 作为企业网的v p n 这种v p n 允许公司的职员从远程的办公室连接到内部的某一台服务器上( 例如： l a n 到l a n 的企业网) 。 ( 2 ) 远程访问v p n 这种v p n 允许公司出差的职员在旅途中连接到内部服务器上( 例如：拨号到当地 的某个i s p ，然后建立一条通往公司的隧道) 。 ( 3 ) 外部网v p n 外部的客户、供应商和销售商通过使用这种v p n 来建立通往某台受保护的服务器 的隧道( 例如：电子商务) 。 由于传输的是私有信息，v p n 用户对数据的安全性都比较关心。安全是虚拟专用 网的关键问题。 v p n 主要采用四项技术来保证安全，这四项技术分别是隧道技术( t u n n e l i n g ) 、加 解密技术( e n q r y p t i o n & d e c r y p t i o n ) 、密钥管理技术( k e ym a n a g e m e n t ) 、使用者与设 备身份认证技术( a u t h e n t i c a t i o n ) f “。 ( 1 ) 隧道技术是v p n 的基本技术，类似于点对点连接技术，它在公用网巾建立一 条数据通道( 隧道) ，、止数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第 二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到p p p 中，再把整个数 据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层 4 一盐叁苎垫堡堕笪星些壁堂垄壅塑型塑兰些旦一一 隧道仂议有l 2 f 、p p t p 、l 2 t p 等。第三层隧道f 办议是把各种网络叻、议直接装入隧道协 议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有v t p 、i p s e c 等。 ( 2 ) 加解密技术是数据通信中一项较成熟的技术，v p n 可直接利用现有技术。 ( 3 ) 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。 现行密钥管理技术分为s k i p 与i s a k m p o a k l e y 两种。s k i p 主要是利用 d i f f i e h e l l m a n 的演算法则，在网络上传输密钥。在i s a k m p 中，双方都有两把密钥， 分别用于公用、私用。 ( 4 ) 身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 为了保证数据流的安全传输，必须对在隧道中传输数据提供一定的安全保证，如认 证、授权、加密等。 1 3 分布式数据库 分布式数据库技术是分布式技术与数据库技术的结合，在数据库研究领域中已有多 年的历史。从概念上讲，分布式数据库是物理上分散在计算机网络各结点上，而逻辑上 属于同一个系统的数据集合。它具有数据的分布性和数据库间的协调性两大特点。系统 强浏结点的自治性而不强调系统的集中控制，且系统应保持数据的分布透明性，使应用 程序编写时可完全不考虑数据的分布情况。 在分布式数据库系统中数据独立性概念也同样重要，然而增加了一个新的概念，就 是分布式透明性。所渭分布式透明性就是在编写程序时好像数据没有被分布一样，因此 把数据进行转移不会影响程序的正确性。 数据冗余在分布式系统中有着重要的意义，其原因在丁：首先，如果在需要的节点 复制数据，则可以提高局部的应用性。其次，当某节点发生故障时，可以操作其它节点 上的复制数据，因此这可以增加系统的有效性。当然，在分布式系统中对最佳冗余度的 评价是很复杂的。 在分布式数据库中，数据存储通过以下四种途径实现 3 j ： 复制：系统维护关系的几个完全相同的副本，这些副本存储在不同的结点巴。 分片：关系被划分为几个片段，各个片段存储在不同的结点上。 复制+ 分片：关系被划分为几个片段，系统为每个片段维护几个副本。 分片移动：数据从一个分片移动到另一个分片。 社会劳动保险信息化建设方案的硎f 究与应用 1 4 保险电子商务 1 4 1 商业保险与社会保险的电子商务 当前剧际上比较成熟的保险电子商务网站的营运模式主要有三种【4 j 。一种是中介模 式，即网站和众多保险公司签订代理或合作协议，并和许多网站合作，吸引客户访问网 站。它通过庞大的网络辐射能力获取大批的潜在理想客户。站点的设计原则为追求简洁 清晰且功能强大，客户在网上输入相应的资料，网站会根据资料自动地在各家会员保险 公司的产品问进行比较分析，然后将比较结果反馈给客户，客户将获得购买保险的建议。 这种模式一般不适合于带有国家强制色彩的社会保险。 另一种是网上直销模式。它一般由保险公司创建，即保险公司在网站上直接推销自 己的保险商品。它以专业化为特征，宣传保险公司的发展历史、组织结构、保险产品等 专有信息，同时兼顾行业动态、保险法规宣传，基本实现了信息查询、保单签订、自动 转账、客户z 服务等功能，成为保险公司组织体系的一部分。 还有一些是交互式保险电子商务网站，以政策宣传、保险知识普及等为主，该类网 站大多由保险行业组织创办或协助创办，属于保险行业的“公益性”网站。 社会保险的电子商务与一般的商业保险有着明显的区别，比如人寿保险、平安保险、 太平洋保险等。社会保险的电子商务除了要实现网上投保、呼叫中心、投诉处理等功能 之外，还重点包括网上缴费、网上划拨等功能，其目的是更好地服务于保户。社会保险 的电子商务可以适当借鉴直销模式的商业保险电子商务。 1 4 2 保险电子商务的现状与存在问题 我国的保险电子商务还不成熟，网上保险业务丌展得很不充分。主要问题有： 以营销宣传为主，无可操作性，实际服务或服务种类少。有的是因为技术支持的问 题，但更多的是因为建站时无全盘或长远考虑。 大环境制约了保险电子商务的展开。个人信用体系尚未建立，电子支付手段的普及 有待时日，电子商务的法律法规亟待完善。 中介型保险电子商务网站尚不发达，是保险电子商务网站的“弱势群体”。 盈利状况不佳，难以找到稳定的利润增长点。 对于社会保险而言，阻碍其电子商务发展的困难主要是技术力量薄弱、大环境不成 熟、和电子商务系统本身的复杂性等因素。 6 社会劳动保险信息化建设方案的研究与应用 2a s 4 0 0 与帧中继 大连劳动保险各县区保险公司的生产主机和开发备份机均采用i b ma s 4 0 0 的各种 机型，数据库服务器使用d b 2 4 0 0 ，对数据库的访问通过o d b c ( o p e nd a t a b a s e c o n n e c t i v i t y ) 接口进行。各主要县市区保险公司通过帧中继互联方式构成封闭的业务 网络体系。 本章简单介绍公司业务的主要使用平台i b ma s n 0 0 ，县市区保险公司之间的主要 业务联网方式帧中继的相关特性。 2 1a s 4 0 0 及数据库 a s 4 0 0 是美国i b m 公司生产的一种中小型商用计算机系统。它诞生 二美国中西部 明尼苏达州的r o c h e s t e rl a b 。它的前身是s y s t e m 3 6 和s y s t e m 3 8 两种机型。1 9 8 8 年5 月，i b m 公司发布a s 4 0 0 ( a p p l i c a t i o ns y s t e m 4 0 0 ) 。 2 1 1a s 4 0 0 系统的特点 所谓系统的特点，便是从集成性、开放性、可移植性、兼容性、可连接性、j 支付 性、可扩充性等方面来考察系统胪1 。 a s 4 0 0 是一个集成的计算机系统，它把数据库、通讯、安全等功能全部集成在操 作系统中，最大限度地实现了各功能之问的兼容性。 a s n 0 0 是一种开放性的系统。它支持s n a 、t c p f l p 、o s i 等各种通讯协议。数据 库d b 2 4 0 0 是一个开放性的关系型数据库系统，可以与i b m 其它数据库系统以及其它 厂家的数据库系统互联，支持许多丌放数据库标准( 如m i c r o s o f to d b c ) 。由于对o d b c 的支持，使得w i n d o w s 用户通过o d b c 驱动模块可以直接访问d b 2 4 0 0 中的数据。 可移植性是指不同：1 ：作平台上的应用软件和数据相互移植。对于c s 结构开发的系 统，应用软件在客户机_ j ，a s n 0 0 所需的移植是数据库中的数据，容易做到。 a s 4 0 0 在系统兼容性方而可谓卓有成效。在a s n 0 0 中有一一层独立于技术的机器界 面t i m i ( t e c l l i l o l u g yi n d e p e n d e n tm a c h i n ei n t c r l 。a c e ) ，将操作系统、应用软件与底层的 软、硬件技术隔离开来，使得底层软、硬件技术的更新对上层软件的冲击完全被独立于 技术的机器界面t i m i 吸收，不会影响上层的应用。不仅如此，a s n 0 0 还做到r 应用程 序独立于操作系统。 7 j = 干= 会劳动保险信息化建设方案的研究与脚用 可连接性是指用户可以任意选择工作平台和界面。a s 4 0 0 通过软件产品c l i e n t a c c e s s 4 0 0 可以将p c 机与a s 4 0 0 连接起来，形成客户机服务器的计算环境，从而使 p c 机用户可以通过图形界面( g u i ) 方便地访问到a s 4 0 0 的所有功能。 可支付性指计算机系统的总拥有成本。由于a s n 0 0 的高度集成性，使得a s n 0 0 的后期投入少。 2 1 2c l i e m s e r v e r 环境 a s 4 0 0 从主机中心系统转变为分布式客户机服务器结构系统，关键在于t i m i 6 1 ( 如图2 所示) 。 幽2a s 4 0 0 的t i m f 在a b i 4 0 0 上，支持c l i e n t s e r v e r 计算的主要产品是c l i e n ta c c e s s1 4 0 0 。它是一个集 成的软件包，提供以下服务：与协议无关的连接支持、5 2 5 0 仿真器、打印机服务器、 e m a i l 服务、安全管理、系统管理、数据库访问和应用程序接口c a 4 0 0 ，能工作在多 神操作系统环境下，是一个开放的系统，它能与众多前端数据库连接。 社会劳动保险信息化建设方案的研究与心用 2 1 ，3a s 4 0 0 适于商业计算机系统 商务处理环境要求一个计算机系统能完善处理大量的中央处理器、硬盘和终端之间 的信息传递。系统应对用户做出快速响应，而且总体系统不会因为其它对资源的要求而 造成瓶颈。a s n 0 0 采用i n t e l 、m o t o r o l a 以及r i s cp o w e r p c 等各种微处理器。 系统从主处理授权给某个专门的1 1 0 处理器，这些处理器各自完成小同的功能，使得主 处理器可以处理更多的应用程序工作，用户响应时间和系统吞吐率被大大提高。 a s 4 0 0 采用了6 4 位r j s c 技术的p o w e r p c 微处理器( 7 1 ，为客户提供了强大的功 能。r i s c 微处理器同样被用于专门的i o 处理器以减轻中央处理器的工作负荷，从而 提高系统的总吞吐量。 2 1 4 数据库服务器d b 2 4 0 0 d b 2 4 0 0 是一个集成的关系型数据库管理系统8 1 ，它的安全、通讯、数据管理、备 份和恢复等各个部分都已集成为a s n 0 0 的操作系统o s 4 0 0 的一部分。也就是说，数 据库的数据存取是通过操作系统本身来实现的。其中许多功能是由系统底层甚至是由硬 件直接来完成的。因此d b 2 4 0 0 具有很高的效率，它可以通过r p g 访问，也可以使用 标准s q l 。 2 1 5 开放数据库互连o d b c 开放数据库互连( o p e nd a t a b a s ec o n n e c t i v i t y ，简称o d b c ) 是一个用于访问数掘 库的统一界面标准。它实际匕是一个数据库访问库，可以使应用程序直接操纵数据库中 的数据，可以消除应用程序随数据库的改变而改变的痛苦。 o d b c 通过使用驱动程序( d r i v e r ) 来提供数据库独立性。驱动程序与具体的数据 库有关，是一个用以支持o d b c 函数调用的模块( 通常是一个d l l ) 。应用程序通过调 用驱动程序所支持的函数来操纵数据库。若想使应用程序操作不同类型的数据库，就要 动态的链接到不同的驱动程序上。0 d b c 的另一个组件是驱动程序管理器( d r i v e r m a n a g e r ) 。驱动程序管理器包含在o d b c d l l 中，可链接到所有的o d b c 应用程序中， 负责管理应用程序中o d b c 函数与d l l 中函数的绑定( b i n d i n g ) 。 一 值得注意的是，针对大型的客户服务器数据库管理系统，其所支持的o d b c 驱动 程序并不直接访问数据库。大型数据库的驱动程序实际是数据库用于远程操作的网络通 信协议的一个界面【9 1 。 9 社会劳动保险信息化建设方案的研究与应用 2 2 帧中继 帧中继( f r a m er e l a y - - f r ) 技术是在用户和网络接口之间提供用户信息流的双向 传递，并保持原顺序不变的技术。用户信息流以帧为单位在网络内传送，用户一网络接 _ ： 之问以虚电路进行连接，对用户信息流进行统计复用。 2 2 1 帧中继的帧格式 帧中继的帧格式如图3 所示【1 。 拧制翱擅息0 鐾丧嫠翟警避州伴蝙 fcs c r c l f l sb 图3 帧中继的帧格式 f i g ，3 f r a m ef o r m a to f f r a m er e l a y 帧中继是一个可变长度的帧结构，和h d l c 相比最主要的区别是没有控制字段。 帧的头尾各有一个帧的标志字节，接着是2 4 个字节的帧地址段，中间为数据段，长 度不限，但采用零插入技术以后仍应保持为字节的整数倍。帧尾还有2 个字节的帧校验 序列。数据区中内容可以是用户数据，但也可以是呼叫控制报文。缺省的帧地址是2 个字节长，如图3 所示，其中d l c i 数据链路连接标识符和x 2 5 中虚电路号是一样的， 标识一条链路复用成多条逻辑电路时的虚电路号，在建立虚电路时由系统统一分配的。 二字节地址段d l c i 共1 0 位，表示一条物理链路可以复用成1 0 2 4 条逻辑电路。其中 e a 为地址扩展，若e a 位为0 ，则表示后面还有地址字节，若e a 为1 ，则表示地址段 的最后一个字节。如果前两个字节的e a 段为0 ，则有第三个地址字节，该字节中前7 位都是d l c i ，最后一位是e a ；若它为l ，则只有三字节的地址段，若为0 则还有第四 个地址字节，这时d i ，c i 总共2 4 位。 地址段中的c r 位表示是命令还是响应，供高层协议使用。其余f e c n ( 前向显示 拥塞通知) 、b e c n ( 后向显示拥塞通知) 、d e ( 可丢弃标志位) 都足用于网络拥塞控制 的。 o 社会劳动保险信息化建设方案的研究与应用 2 2 2 帧中继的体系结构 帧中继技术是在分组交换( x2 5 ) 技术上发展起来的一种快速分组交换技术1 。 x 2 5 通常执行o s l 的下三层协议，且从源点到终点每一步都要进行数据帧的建克、拆 装、数据存储和转发、路由选择和控制、信息帧的差错校验、恢复蕈发等一系列处理过 程。与x 2 5 相比，帧中继位于o s i 参考模型的第二层，即数据链路层上，用简化方式 传送和交换数据帧，把路由功能从第三层( 网络层) 移至第二层( 链路层) ，舍弃了x 2 5 的流量控制和差错控制等处理，从而加速了数据帧的传输速度，提高了网络的传输效率。 2 2 3 帧中继的特点 由于帧中继技术简化了数据链路层协议，因此具有以下几个特点： 高效性。为用户提供高吞吐量、低时延的数据电路，适合突发数据业务。 经济性。用户入网时，需要与网络约定用户信息速率( c i r ) 。在正常情况下，网 络向用户保证这个约定的用户信息速率。由于帧中继采用虚电路复用，当其他用户不占 用带宽时，该用户可以超过约定速率发送数据且只支付约定带宽的费用，而不必对多用 的带宽付费。因此，对用户来说，使用帧中继业务可谓是“物超所值”。对网络来说， 可以吸引更多的用户入网，提高整个网络的效益。 可靠性。高质量的传输线路，高智能的用户终端，以及网络本身的阻塞管理和永久 虚电路( p v c ) 管理等都保证了帧中继网络的可靠性。 灵活性。对用户来说，接入简便灵活；对网络来说，组网方式灵活并提供各种灵活 、业务。 社会劳动保险信息化建设方案的研究与应用 综合网络系统的设计与实现 大连市社会保险讣算机网络的构建，无沦从资金投入、质量要求，还是从社会责任 等方面来看，都足一项高投入、高指标、长周期、十分复杂的系统工程。m 络初期投资 1 0 0 0 万，可i 胃投资巨大，而且以储存和管理职工个人帐户为主体的社会保险网络系统， 还必须具有较大的可拓展空问。此外，社会保险计算机网络与其他社会性或商业性计算 机网络相比，在信息、数据存取的时问、周期要求上都有很大差别。一般计算机网络的 数据存取以月或年为时间周期，因此，易于维护处理。而社会保险计算机网络中的数据 往往要伴随职工的一生，这些数据的存储期甚至比职工的寿命还要长，仅此一项指标就 对计算机网络的社会责任提出了很高的要求。 网络的安全性和先进性始终是构建大连社会保险网络体系两大最基本的要求。网络 先进性是指采用先进的模式，如c l i e n t s e r v e r 模式或b r o w e r s e r v e r 模式；主机、网络、 应用均采用符合国际标准的开放式结构与设计，保证系统的完整与一致，便于未来与社 会其它相关系统互联。安全性主要指保险业务的安全运行、防止数据被非法盗用和流失i 防止病毒和黑客侵入；网络应用部分、数据库部分和应用各系统的权限管理等i 1 2 】。 3 1 原有业务网络体系及存在的问题 大连劳动保险公司包括市公司和多个县区保险公司。市公司设有各种行政管理机构 和研发中心等，业务密集，数据量大。市公司与各县区通过帧中继构成广域网，网络带 宽为1 9 2 k 。在各县市区均设本地网数据库服务器。这样，各县市区的程序访问本地数 据可获得较高的运行速度和可扩展性。各县区定期向市公司上交数据报表，由市公司进 行统一汇总。市公司与各县区保险公司之间不定期地进行大文件传递操作，以更新各县 市区的前台业务程序。长海县由于地理位置的原因，沿用手工作业方式。 市公司采用一台a s 4 0 05 3 s 作为生产机，另一台5 3 s 作为开发机。各县区的生产 机为a s 4 0 02 7 0 。市公司业务前台程序运行于w i n d o w s3 1 平台，而各县区公司的业务 前台程宇运行于w i n d o w s9 8 平台。市公司的业务网络如图4 所示。两台5 3 s 的机器通 过两台i b m 的8 2 7 1 交换机构成套冗余备份系统，但己因故停止使用。 由于参保历史数据的不断增加，保险业务又不断发展，公司现有的业务网络体系暴 露出较多的问题： 业务操作响应缓慢。前台查询往往需要较长的等待时间而号门进行的查询统计耗 费时间更长。 业务网络规模不断发展，图4 中的i b m8 2 7 1 交换机为1 0 m8 口，成了网络瓶颈 2 社会劳动保险信息化建设方案的研究与应用 图4 公司原有业务网络拓扑图 f i g4 t h et o p o l o g yo f f o r m e ro p e r a t i o nn e t w o r k 影响业务操作的响应速度。另外，图中的1 b m 8 2 2 4h u b 也在一定程度卜影响了业务操 1 3 社会劳动保险信息化建设万案的研筑与应用 作的速度。 各县市区之间文件和数据交换频繁，但又受限于原有的网络带宽。市公司与各县区 之问进行的大文件( 1 m ) 传送不得不依赖手工方式进行，即各县区公司的负责人卸下 自己机器的硬盘，到市公司相关部门直接考取文件，然后带回自己所在县区。这给整个 公司业务的正常运行造成了极大的不便。 从图4 可以看出，现有网络尚未接入i n t e m e t 。在有实际需要的时候，公司职工通 过拨号上网。这对金触机构来说，是一大禁忌。因为拨号上网是在任何防火墙之外的， 檄容易造成病毒的入侵和黑客的攻击，带来灾难性的后果。现阶段公司业务网络内已经 潜伏大量病毒，出现安全隐患。 3 2 主要设备的选择 3 2 1 主机和数据库服务器 为了满足大连市社会保险事业的日益发展，并保证数据存储的安全，主机和数据库 服务器的选择显得尤为关键。选择i b m 公司的a s 4 0 0 作为主机，集成在o s 4 0 0 中的 d b 2 4 0 0 作为数据库服务器，主要是基于它以下优点： 集成性 a s 4 0 0 是一个集成的计算机系统，它把计算机系统通常包含的数据库、网络通信、 安全性等功能全部集成在操作系统中。用户可以用单一的方法对整个系统进行统一维护 和管理。 安全性 a s 4 0 0 安全体系融贯于整个计算机系统。从外部硬件到内部系统，从用户登录到 用户使用的每一界面、访问的任何资源，安全检查一直处于活跃状态。因此在诸多层次 上对数掘进行保护，免遭破坏和非法访问。a s 4 0 0 可以达到c 2 级安全标准。 3 2 2 主要交换机和路由器 为保证网络的稳定工作和业务的币常进行，作为网络核心设备的交换机和路由器的 选择同样非常重要。选择c i s c o3 6 0 0 系列的路由器作为边界路由器，c a t a l y s t6 5 0 9 交换 机作为数字网的核心交换机，两台c a t a l y s t5 5 0 0 交换机作为业务网的核心交换机。 4 社会劳动保险信息化建设方案的研究与应用 3 2 3 防火墙 作为像大连_ 巾劳动保险这样的金融机构，存放了大连市上百万职工的参保数据，任 何形式的文件破坏和数据丢失都是非常可怕的。因此，对安全性的要求显得更加苛刻， 而防火墙的选择就显得尤为重要。据i d c 的最近统计，f i r e w a l l 1 防火墙在市场占有率 上己超过4 4 ，具有较高的性能。所以选用了f i r e w a i l 1 防火墙产。品并主要加载以下模 块： 状态检测模块( i n s p e c t i o nm o d u l e ) ，提供访问控制、客户机认证、会话认证、地址 翻译和审计功能； 防火墙模块( f i r e w a l im o d u l e ) ，包含一个状态检测模块，另外提供用户认证、内 容安全和多防火墙同步功能； 管理模块( m a n a g e m e n tm o d u l e ) ，对一个或多个安全策略执行点提供集中的、图形 化的安全管理功能； 路由器安全管理模块( r o u t e rs e c u r i t ym a n a g e m e n t ) ，提供通过防火墙管理工作站 配置、维护3 c o m ，c i s c o ，b a y 等路由器的安全规则； 日志查看器，查看经过防火墙的连接，识别并阻断攻击【1 。 3 3 组网及安全设计 3 3 1 网络拓扑设计 网络是一把“双刃剑”，它的开放同时带来了安全上的漏洞。剥金融机构而言，网 络安全显得尤为关键。 业务的处理需要满足实时、高效，地理e 的分散又决定了网络的分布，养老保险的 全市统筹和各县市区之间的调转只有在一定的集中基础下才能快捷进行，与外单位之i t 白j 的互联又要求建立企业之间的外部网( 主要是利用虚拟专用网，即v p n 技术) 。基于以 上要求，大连市劳动保险的网络设计方案是一个“分布式数据管理”加一集中式数据处理” 的大型实时联网系统，如图5 所示。它由社会保险业务专用网络、数字信息网和办公自 动化( o a ) 网络等几穴部分构成，其网络用户为遍布全市的上百个医疗定点单位、社 会保险分支管理机构、大型企事业参保单位、税务局、公安局、市人才、社区以及通过 i n t r a n e t i n t e r i l e t 上网的各类用户。 社会劳动保险信息化建设方案的研究与应用 蚓5 人连市社会保险综合网络拓扑图 f i g 5 t h ei n t e g r a t e dn e t w o r kt o p o l o g yo fd a a ni n s u r a n c ec o m p a n y 6 社会劳动保险信息化建设方案的研究与应用 3 3 2 网络安全方案设计 将公司主干网络化分为两个功能不同的子网，即业务专用网和数字信息网，在逻辑 和物理上进行分离。业务网进行业务处理，数字网联入i n t e r n e t ，并发展电子商务。、业 务网构成一个与外界隔离的系统，在业务网内只能进行保险业务操作。业务网内的机器 在任何情况下都不能与外界发生任何的关系，包括拨号上网、从w a n 外拷入数据、白 带软盘、光盘、硬盘等等。因为业务网稳定才是关键，故采用“双核”结构。所渭“双 核”是指核心交换机采用两个同样的交换机构成冗余连路，当主交换机在出现故障的情 况下自动切换到备份交换机，从而不至于中断保险业务的正常进行。 防火墙设计 利用c h e c k p o i n t 的防火墙在数字网与i n t e r n e t 的接口处建立防火墙，关闭除w e b 服务以外的所有服务。利用网络地址转换( n e t w o r k a d d r e s s t r a n s l a t i o n n a t ) 隐藏内部 网络的真实地址。 安全通道 由于不可避免的仍然要在数字网和业务网之间传输数据，比如更新业务程序等。这 就需要在两个不同性质的网络之间建立一个安全的数据管道。这个唯一通道是通过分别 处于两个不同性质的网络内的两台文件服务器相连来实现的。出于安全考虑，这两台文 件服务器都建立在l i n u x 的平台。数字网的文件服务器用于文件的上传，然后再发送到 业务网的文件发布服务器。业务网的文件发布服务器接收到来自数字网的文件之后可自 动将文件发布到所有业务p c 机。在数字网内的文件服务器上安装防病毒软件a