劳动和社会保障行业解决方案

劳动与社会保障网络解决方案 华为 3COM服务金保工程 构建和谐社会的基础 社会保障制度是构建和谐社会的基础 ,是社会稳定的重要“安全阀”。必须通过建立和完善社会保障制度 ,切实保障所有社会成员能够分享到改革发展的成果。 养老保险、医疗保险、失业保险、工伤保险、生育保险是五大基本社会保障制度，借助网络信息技术，推动五保合一，贯彻党的方针政策，构建和谐社会，既是党和政府的既定方针，同样也是华为 3COM公司的意愿。 介 绍 提 纲 劳动和社会保障业务特点 安全可靠的数据中心 经典高效的广域网 高效、安全一体化局域网 视频、语音、安全解决方案 IP存储解决方案 劳动与社会保障网络成功案例 劳动和社会保障体系 部级就业服务机构 部级社会保险经办机构 省级就业服务机构 省级社会保险经办机构 市级就业服务机构 市级社会保险经办机构 县级就业服务机构 县级社会保险经办机构 省劳动保障厅 市级劳动保障局 县级劳动保障局 劳动与社会保障部 劳动和社会保障系统业务介绍 内部办公业务 社会保障业务管理 横向业务协作管理 对外公众服务业务 内部办公网 业务经办点 横向政府机构 12333服务热线、网上便民服务等 劳动和社会保障系统网络体系介绍 劳动保障网络系统 业务专网系统功能 办公网系统功能 公众服务网系统功能 办公管理信息系统 劳动保障部门与相关政府部门信息交换 社会保险管理信息系统 劳动保障系统内部 IP电话系统 劳动保障系统内部视频会议系统 劳动保障系统内部信息服务系统 其他劳动保障应用系统 与公安、财政等相关部门信息交换 与医院、药店、银行等相关单位信息交换 向社会公众提供信息服务 金保工程总体目标 一个工程： 覆盖全国、统一规划、信息共享的劳动和社会保障电子政务工程。 两大系统： 劳动力市场信息系统和社会保险信息系统。 三层结构： 市、省、中央三层数据分布和管理结构。 四大功能： 业务经办、公众服务、基金监管和宏观决策。 金保工程的核心 数据平台 应用平台 网络平台 以三级数据中心为依托 以劳动 99软件为依托 稳定、高效、安全、三网合一 金保工程现状 金保工程一级骨干网已经建设完毕。 32个省级单位已经实现部省联网，部分省已经实现省内二、三级广域网的建设，目前还省 16个省没有实现省、市联网。 部分省已经自建了劳动保障二、三级广域网以及二、三级数据中心，全国还有近 300个城市没有建设数据中心。 劳动部视频会议系统已经启用，个别省份已经完成二、三级视频会议系统的建设。 金保工程网络建设需求与华为 3COM公司解决方案对应表 省、市、县联网 数据中心 局域网 四级以下网络 广域网解决方案 数据中心解决方案 局域网解决方案、 EAD安全方案 特色 VPN解决方案、分支网点管理方案 金保工程需求 华为 3COM解决方案 视频会议、 VoIP 存储系统 V2oIP解决方案 IP SAN存储解决方案 介 绍 提 纲 劳动和社会保障业务特点 安全可靠的数据中心 经典高效的广域网 高效、安全一体化局域网 视频、语音、安全解决方案 IP存储解决方案 劳动与社会保障网络成功案例 劳动与社会保障数据中心逻辑结构图 省直业务 资源库 业务 资源库 交换 资源库 交换 资源库 交换 资源库 宏观决策 资源库 宏观决策 资源库 宏观决策 资源库 统计分析 统计分析 统计分析 经办 窗口 工作库 社区、公众 查询 生产区 交换区 决策区 中央 省 市 区县 Internet 政务外网 横向数据共享 数据中心的建设要求 各级数据中心是劳动社会保障系统的核心，是各项业务能够正常开展的数据基础，数据中心的设计是整个劳动社会保障信息系统能否正常运行的关键。 各级数据中心的建设应该从以下三个方面进行考虑： 高性能、高可靠、强管理 合理的安全区划分 灾难备份 劳动社会保障数据中心安全建议方案 交换区 Application Server 生产区 DB Server 安全区安全级别上升 宏观决策区 DB/Application Server 系统管理区 Management Server 灾难备份中心 DB Server 社保广域网 互联网出口区 对外信息服务区 Web Server 数据中心安全区划分策略 通过核心交换机上配置专业防火墙模块，提供更多的防火墙接口，减少了设备与防火墙之间、防火墙与安全区之间过多的线路连接，实现一体化安全策略。 分级安全区域划分，划分 7个等级的安全区：生产区、交换区、决策区、对外服务区、 Internet出口区、社保专网区、系统管理区。 其中各安全区的互访必须经过核心交换机上的防火墙模块安全检查，交换区的数据来源必须由生产区提供、决策区的数据必须由交换区提供，三个区域之间顺序访问不能跨区域访问，提高数据中心的访问安全。外部用户只能访问对外服务区，不能直接访问数据中心其他安全区，而对外服务区的数据来源与交换区并且只能来源于交换区。 各级数据中心的差异化 部、省、市三级数据中心在部署上存在客观差异，这是由各级数据中心的功能定位不同所造成的。 劳动部数据中心 省数据中心 市数据中心 无对外服务区、无生产区，只有交换区和决策区，主要进行宏观决策分析与政策制定。 对外服务区可选，有生产区、交换区和决策区。 有对外服务区，有生产区、交换区和决策区，是社保业务经办与统计数据的来源。 介 绍 提 纲 劳动和社会保障业务特点 安全可靠的数据中心 经典高效的广域网 高效、安全一体化局域网 视频、语音、安全解决方案 IP存储解决方案 劳动与社会保障网络成功案例 劳动与社会保障系统二、三级网参考模式 N 2M N 64K 千兆互联 NE 40 NE 08E AR 2800 Quidview 网管平台 省中心核心 省市二级网节点 AR 2800 AR 2800 AR 2800 R3680-RPS R3680-RPS 部省一级网节点 市县三级网核心 AR 4600 AR 4600 AR 4600 AR 4600 市中心核心 各级网络分级建设，按网络层次进行网络维护管理 设备选型采用省中心采用高端路由器、地市中心采用中端、县级中心采用低端路由器进行组合建网 连接线路采用 SDH专线为主，其他方式为辅 强调可用性、可靠性、多业务能力 统一网络管理，强调易用性 劳动与社会保障系统二、三级网组网要素 可用性、稳定性第一位 劳动与社会保障系统四级网参考模式 FE/GE AR 4600 SecPath 100V/1000 SecPath 10 Quidview 网管平台 地市中心 / 省数据中心 社保经办点 Internet SecPath 10 SecPath 10 SecPath 10 VPN隧道 BIMS inside 地市 /省数据大集中 设备选型采用低端 VPN网关为主，其他产品为辅 设备级连通过 Internet建立 VPN隧道实现 强调低成本、可用性、安全性 统一网络管理，强调可管理性 劳动与社会保障系统四级网组网要素 强调可管理、低成本 劳动与社会保障网络面临的管理难题 如何保证网点配置策略一致性，业务的批量部署？ 网管软件太昂贵，能不能有一套价格低又符合网点使用的网管呢？ NAT、 DHCP后设备多，动态IP地址接入设备多，传统SNMP管理不到，分支网点无法纳入全网管理！ 经办点技术人员少或没有专职人员，如何利用现有技术力量，实现集中的管理团队？ 经办点区域分散，设备数量多，要投入巨额的日常维护费用和人力，真的吃不消！ BIMS方案采取了设备主动联系网管的方式，解决了对动态获取 IP地址的设备、位于 NAT网关后面的设备的批量管理问题。 对于业务与应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时， BIMS会极大提高管理的效率，大大节约管理成本。 BIMS作为 Quidview网管的一个可选组件，使得 Quidview网管实现了对全网设备的统一管理。 社保经办点特色网络管理方案 BIMS 适用于采用 VPN方式接入的 四、五级网络节点管理 BIMS网管侧与设备侧之间通过 HTTP协议进行通讯，可方便的穿透防火墙，而且协议简单、易扩展； 连接由设备主动发起，设备 IP地址变化不会对连接的建立产生阻碍。 中心 Server采用专业的 Web Server，保证了系统可靠和可扩展； 为劳动与社会保障用户提供管理 Server的图形化接口，提高系统易用性。 NAT网关 Firewall Http协议 web server 设备发起请求 server响应配置 预部署的设备配置 设备实现 BIMS客户端 管理中心侧实现 BIMS服务器 BIMS实现思路 BIMS解决方案的功能介绍 支持对批量设备的配置文件和设备软件进行自动更新 支持对批量设备进行配置修改 支持对设备历史配置文件的保存 支持设备升级历史记录的保存 支持对设备升级进度的监控 支持对设备运行状态的监控 支持对设备配置变化的监控 通过 HTTPs、 SSL，对消息体进行加密来保证通讯安全 介 绍 提 纲 劳动和社会保障业务特点 安全可靠的数据中心 经典高效的广域网 高效、安全的一体化局域网 视频、语音、安全解决方案 IP存储解决方案 劳动与社会保障网络成功案例 S8500 S8500 CAMS DHCP Server 网管中心 万兆到楼层 S6500 S6500 万兆接口 网络接入层 网络核心层 网络管理层 FE S6500 采用万兆级连、千兆到桌面的方式提高网络性能； 采用交换机内置防火墙模块提升网络安全性； 采用 EAD方案增强用户接入管理 中端产品到桌面 S6500 S6500 高性能局域网拓扑图 防火墙模块 S8500 S5648 S8500 CAMS 网管中心 S5648 万兆接口 网络接入层 网络核心层 网络管理层 FE 高性能局域网拓扑图 采用万兆级连、千兆到桌面的方式提高网络性能； 采用低端产品堆叠实现千兆接入 采用 EAD方案增强用户接入管理 S5648 S5648 S5648 低端产品堆叠 防火墙模块 DHCP Server 千兆三层到桌面的优点 网络带宽高 整体性能高 用户安全高 端点准入防御系统（ EAD）带来的革命 被动防御 单点防御 分散管理 以网络为中心 主动防御 系统自愈 全面防御 多点联动 集中策略管理 统一审计 以用户为中心 管理优先 现状 需求 方案特点 与防病毒软件联动防御 隔离防御能力脆弱的用户终端 及时更新系统补丁，提高抵抗力 提高用户终端的主动防御能力 身份认证与防御能力认证结合 与专业防病毒系统联动 多重权限控制 (VLAN/ACL/QoS) 多种安全部件的联动防御 用户安全接入策略的统一管理 组织级安全策略的强制实施 用户安全状态的集中审计 集中策略实施与管理 事前：用户身份和防御能力认证 事中：用户安全状态和行为的监控 事后：用户安全状态和行为的审计 以用户为中心的全程管理 主动防御 全面防御 集中策略管理 以用户为中心 提升网络安全的利器 EAD基本功能 检查 隔离 修复 监控 管理 检查客户端的安全状态和防御能力 操作系统版本、补丁（ HotFix） 防病毒软件版本、病毒库版本 病毒检查 安全配置检查 隔离不符合安全策略、防御力低的终端 通过 802.1x 、 VPN、 Portal认证阻断非法用户 通过 VLAN、 ACL限制“危险”用户的访问权限（ 隔离区 ） 高强度 身份验证 防止交叉感染 防止病毒爆发 确保用户合法 具有抵抗力 强制修复系统补丁、升级防病毒软件 通知用户修复系统漏洞 安全策略实施 自动或强制手工进行补丁、病毒库的升级 提高抵抗力 增强安全性 实时监控用户的安全状态 定时病毒扫描 定时检查安全配置 全程安全监控 掌握安全状态 安全事件实时上报 及时隔离“危险”用户 集中、统一的用户管理 接入策略 服务策略 可控的安全 可视的安全 安全策略 集中监控 日志分析 端 点 准 入 防 御 早发现、早隔离、早治疗 介 绍 提 纲 劳动和社会保障业务特点 安全可靠的数据中心 经典高效的广域网 高效、安全一体化局域网 视频、语音、安全解决方案 IP存储解决方案 劳动与社会保障网络成功案例 V2oIP总体解决方案 VP8620 VP8630系列 会议调度系统 StreamManager 流媒体管理中心 一张网络 一套系统 多种业务 数据承载网 PSTN 内部电话 LAN 桌面视讯通信 LAN CAMS综合访问管理服务器 内部电话 LAN Ephone VG系列语音网关 内部呼叫 外部呼叫 VP8620E LAN LAN 分部 会议室视讯会议 VP8066 VP8036 分部 总部 分部 VP8220 可视电话 OpenEye 视频软件终端 VG系列语音网关 Ephone XE系列呼叫服务器 VP8069 VP8039 华为 3COM语音、视频解决方案优势 数据网络基础 IP语音 IP视讯 统 一 网 管 业界唯一能够提供三网合一全套产品与解决方案 IP视频与 IP语音业务整合 V2oIP 华为 3Com“安全渗透网络 ” 基础安全功能 成为网络的一部分 从端点开始进行 安全行为的管理 深入到应用和业务内容进行保护 网络设备安全特征 基础 安全 功能 基本 网络 安全 设备 防火墙 VPN 端点准入防御（ EAD） 端点 安全 深度检测和抵御 威胁 抵御 安全渗透网络 华为 3Com威胁抵御方案概览 财经 研发 供应链 DMZ区 SMTP POP3 WEB Other Server OA File Server 劳动与社会保障数据中心 SecEngine IPS： 抵御 DDoS攻击 保护网络基础设施 SecEngine IPS： 抵御内网攻击 保护核心数据与资产 SecEngine IPS： 抵御内网攻击 抑制非核心流量 保护性能 华为 3COM安全解决方案优势 五证齐全的专业安全厂家 包括防火墙、 IDS、 IPS在内的丰富的系列产品 一体化网络安全解决方案，实现安全产品与网络基础设施的有机联动 提供以太网交换机上插卡式的安全产品，组网方式灵活高效 端点准入防御系统（ EAD）提供边缘的安全控制 介 绍 提 纲 劳动和社会保障业务特点 安全可靠的数据中心 经典高效的广域网 高效、安全一体化局域网 视频、语音、安全解决方案 IP存储解决方案 劳动与社会保障网络成功案例 劳动与社会保障系统数据中心 所面临的问题 数据量增长快，已有的存储空间不能满足日益增长的数据存储需求 各厂家基于 FC SAN体系结构的存储系统互通存在很大困难，系统扩容成本高，难度大 越来越多的网上查询业务、大量个人参保信息的录入对存储系统的 IO能力要求越来越高 常规 FC SAN产品体系结构 Fan Fan Fan Power supply Power supply BBU Exp Exp Exp Exp Exp Exp Heart Beat RAID Controller RAID Controller BBU FC or GE Cache Memory FC FC Embedded OS RAID Engine FC or GE Cache Memory FC FC Embedded OS RAID Engine 华为 3Com基于 IP万兆交换技术推出的 海量 IP存储系统 华为 3Com Neocean IX5000企业级存储系统 从单控制器到八个控制器动态负载均衡扩展。 最大 IOPS:600,000，大大高于业界主流存储产品（一般在 100， 000-200， 000） 单台最大容量可达 256TB，是目前世界上单台容量最大的存储产品。 适应性：适合社保对数据量大、增长迅速、 IP标准化易于管理、高性能低成本的要求。 远程容灾解决方案 FC/IP 网络 IP 网络 DiskSafe P P DB Agent FS Agent R R PIT3 PIT1 PIT2 C： D： C： D： C： D： PIT1 PIT2 PIT3 同步复制、异步复制、增量 PIT复制 IX5000 数据库服务器 文件服务器 DAS设备 备用服务器 备用服务器 FC存储系统 IX5000 适应社保要求： 1、对各种异构平台均可进行数据容灾，不受任何厂商限制。（无论是 IBM、 HP、SUN、 Windows平台均可） 2、对各种存储系统均可实施（无论现在使用的是 EMC、 IBM、 HP还是普通 SCSI甚至机内存储，均可进行基于 IP的统一远程数据容灾。 3、支持同步 /异步 /增量等各种远程复制模式并可根据网络状况进行动态模式切换。支持存储虚拟化 华为 3Com远程容灾解决方案 基于 IP网络进行数据复制，无须网关设备； 支持异构存储设备之间的数据复制； 支持同步、异步和增量 PIT方式的数据复制； 支持 DAS（ Host） to SAN的数据复制； 先进的快照技术和丰富的快照代理，可严格保证数据的一致性； 独特的 TimeMark技术可有效应对软故障（病毒攻击、误操作）对数据的破坏； 支持 Delta复制，每次只复制更新的数据到备份中心 支持数据的压缩和加密传输，节省链路带宽，保证数据安全 支持断点续传 存储虚拟化和系统整合 需求描述 DAS具有扩展能力差、管理复杂、以及资源利用率低等缺点，阻碍了企业业务的发展 FC-SAN跨厂商数据和设备管理困难，需要统一整合。 用户需要消除信息孤岛，整合信息系统，以简化基础架构，实现资源的统一管理 快捷的数据迁移过程，更短的停机时间 存储虚拟化和系统整合 LAN LAN IP SAN 不连续的信息孤岛 连续的集中化信息系统 1 2 3 N 1 2 3 N 1 3 DAS FC DAS FC 功能模块 IX5000 Server Server Server Server Server Server Server Server 用户可以选择在集