勞動與社會保障網絡解決方案 華為 3COM服務金保工程 構建和諧社會的基礎 社會保障制度是構建和諧社會的基礎 ,是社會穩(wěn)定的重要“安全閥”。必須通過建立和完善社會保障制度 ,切實保障所有社會成員能夠分享到改革發(fā)展的成果。 養(yǎng)老保險、醫(yī)療保險、失業(yè)保險、工傷保險、生育保險是五大基本社會保障制度，借助網絡信息技術，推動五保合一，貫徹黨的方針政策，構建和諧社會，既是黨和政府的既定方針，同樣也是華為 3COM公司的意愿。 介 紹 提 綱 勞動和社會保障業(yè)務特點 安全可靠的數(shù)據(jù)中心 經典高效的廣域網 高效、安全一體化局域網 視頻、語音、安全解決方案 IP存儲解決方案 勞動與社會保障網絡成功案例 勞動和社會保障體系 部級就業(yè)服務機構 部級社會保險經辦機構 省級就業(yè)服務機構 省級社會保險經辦機構 市級就業(yè)服務機構 市級社會保險經辦機構 縣級就業(yè)服務機構 縣級社會保險經辦機構 省勞動保障廳 市級勞動保障局 縣級勞動保障局 勞動與社會保障部 勞動和社會保障系統(tǒng)業(yè)務介紹 內部辦公業(yè)務 社會保障業(yè)務管理 橫向業(yè)務協(xié)作管理 對外公眾服務業(yè)務 內部辦公網 業(yè)務經辦點 橫向政府機構 12333服務熱線、網上便民服務等 勞動和社會保障系統(tǒng)網絡體系介紹 勞動保障網絡系統(tǒng) 業(yè)務專網系統(tǒng)功能 辦公網系統(tǒng)功能 公眾服務網系統(tǒng)功能 辦公管理信息系統(tǒng) 勞動保障部門與相關政府部門信息交換 社會保險管理信息系統(tǒng) 勞動保障系統(tǒng)內部 IP電話系統(tǒng) 勞動保障系統(tǒng)內部視頻會議系統(tǒng) 勞動保障系統(tǒng)內部信息服務系統(tǒng) 其他勞動保障應用系統(tǒng) 與公安、財政等相關部門信息交換 與醫(yī)院、藥店、銀行等相關單位信息交換 向社會公眾提供信息服務 金保工程總體目標 一個工程： 覆蓋全國、統(tǒng)一規(guī)劃、信息共享的勞動和社會保障電子政務工程。 兩大系統(tǒng)： 勞動力市場信息系統(tǒng)和社會保險信息系統(tǒng)。 三層結構： 市、省、中央三層數(shù)據(jù)分布和管理結構。 四大功能： 業(yè)務經辦、公眾服務、基金監(jiān)管和宏觀決策。 金保工程的核心 數(shù)據(jù)平臺 應用平臺 網絡平臺 以三級數(shù)據(jù)中心為依托 以勞動 99軟件為依托 穩(wěn)定、高效、安全、三網合一 金保工程現(xiàn)狀 金保工程一級骨干網已經建設完畢。 32個省級單位已經實現(xiàn)部省聯(lián)網，部分省已經實現(xiàn)省內二、三級廣域網的建設，目前還省 16個省沒有實現(xiàn)省、市聯(lián)網。 部分省已經自建了勞動保障二、三級廣域網以及二、三級數(shù)據(jù)中心，全國還有近 300個城市沒有建設數(shù)據(jù)中心。 勞動部視頻會議系統(tǒng)已經啟用，個別省份已經完成二、三級視頻會議系統(tǒng)的建設。 金保工程網絡建設需求與華為 3COM公司解決方案對應表 省、市、縣聯(lián)網 數(shù)據(jù)中心 局域網 四級以下網絡 廣域網解決方案 數(shù)據(jù)中心解決方案 局域網解決方案、 EAD安全方案 特色 VPN解決方案、分支網點管理方案 金保工程需求 華為 3COM解決方案 視頻會議、 VoIP 存儲系統(tǒng) V2oIP解決方案 IP SAN存儲解決方案 介 紹 提 綱 勞動和社會保障業(yè)務特點 安全可靠的數(shù)據(jù)中心 經典高效的廣域網 高效、安全一體化局域網 視頻、語音、安全解決方案 IP存儲解決方案 勞動與社會保障網絡成功案例 勞動與社會保障數(shù)據(jù)中心邏輯結構圖 省直業(yè)務 資源庫 業(yè)務 資源庫 交換 資源庫 交換 資源庫 交換 資源庫 宏觀決策 資源庫 宏觀決策 資源庫 宏觀決策 資源庫 統(tǒng)計分析 統(tǒng)計分析 統(tǒng)計分析 經辦 窗口 工作庫 社區(qū)、公眾 查詢 生產區(qū) 交換區(qū) 決策區(qū) 中央 省 市 區(qū)縣 Internet 政務外網 橫向數(shù)據(jù)共享 數(shù)據(jù)中心的建設要求 各級數(shù)據(jù)中心是勞動社會保障系統(tǒng)的核心，是各項業(yè)務能夠正常開展的數(shù)據(jù)基礎，數(shù)據(jù)中心的設計是整個勞動社會保障信息系統(tǒng)能否正常運行的關鍵。 各級數(shù)據(jù)中心的建設應該從以下三個方面進行考慮： 高性能、高可靠、強管理 合理的安全區(qū)劃分 災難備份 勞動社會保障數(shù)據(jù)中心安全建議方案 交換區(qū) Application Server 生產區(qū) DB Server 安全區(qū)安全級別上升 宏觀決策區(qū) DB/Application Server 系統(tǒng)管理區(qū) Management Server 災難備份中心 DB Server 社保廣域網 互聯(lián)網出口區(qū) 對外信息服務區(qū) Web Server 數(shù)據(jù)中心安全區(qū)劃分策略 通過核心交換機上配置專業(yè)防火墻模塊，提供更多的防火墻接口，減少了設備與防火墻之間、防火墻與安全區(qū)之間過多的線路連接，實現(xiàn)一體化安全策略。 分級安全區(qū)域劃分，劃分 7個等級的安全區(qū)：生產區(qū)、交換區(qū)、決策區(qū)、對外服務區(qū)、 Internet出口區(qū)、社保專網區(qū)、系統(tǒng)管理區(qū)。 其中各安全區(qū)的互訪必須經過核心交換機上的防火墻模塊安全檢查，交換區(qū)的數(shù)據(jù)來源必須由生產區(qū)提供、決策區(qū)的數(shù)據(jù)必須由交換區(qū)提供，三個區(qū)域之間順序訪問不能跨區(qū)域訪問，提高數(shù)據(jù)中心的訪問安全。外部用戶只能訪問對外服務區(qū)，不能直接訪問數(shù)據(jù)中心其他安全區(qū)，而對外服務區(qū)的數(shù)據(jù)來源與交換區(qū)并且只能來源于交換區(qū)。 各級數(shù)據(jù)中心的差異化 部、省、市三級數(shù)據(jù)中心在部署上存在客觀差異，這是由各級數(shù)據(jù)中心的功能定位不同所造成的。 勞動部數(shù)據(jù)中心 省數(shù)據(jù)中心 市數(shù)據(jù)中心 無對外服務區(qū)、無生產區(qū)，只有交換區(qū)和決策區(qū)，主要進行宏觀決策分析與政策制定。 對外服務區(qū)可選，有生產區(qū)、交換區(qū)和決策區(qū)。 有對外服務區(qū)，有生產區(qū)、交換區(qū)和決策區(qū)，是社保業(yè)務經辦與統(tǒng)計數(shù)據(jù)的來源。 介 紹 提 綱 勞動和社會保障業(yè)務特點 安全可靠的數(shù)據(jù)中心 經典高效的廣域網 高效、安全一體化局域網 視頻、語音、安全解決方案 IP存儲解決方案 勞動與社會保障網絡成功案例 勞動與社會保障系統(tǒng)二、三級網參考模式 N 2M N 64K 千兆互聯(lián) NE 40 NE 08E AR 2800 Quidview 網管平臺 省中心核心 省市二級網節(jié)點 AR 2800 AR 2800 AR 2800 R3680-RPS R3680-RPS 部省一級網節(jié)點 市縣三級網核心 AR 4600 AR 4600 AR 4600 AR 4600 市中心核心 各級網絡分級建設，按網絡層次進行網絡維護管理 設備選型采用省中心采用高端路由器、地市中心采用中端、縣級中心采用低端路由器進行組合建網 連接線路采用 SDH專線為主，其他方式為輔 強調可用性、可靠性、多業(yè)務能力 統(tǒng)一網絡管理，強調易用性 勞動與社會保障系統(tǒng)二、三級網組網要素 可用性、穩(wěn)定性第一位 勞動與社會保障系統(tǒng)四級網參考模式 FE/GE AR 4600 SecPath 100V/1000 SecPath 10 Quidview 網管平臺 地市中心 / 省數(shù)據(jù)中心 社保經辦點 Internet SecPath 10 SecPath 10 SecPath 10 VPN隧道 BIMS inside 地市 /省數(shù)據(jù)大集中 設備選型采用低端 VPN網關為主，其他產品為輔 設備級連通過 Internet建立 VPN隧道實現(xiàn) 強調低成本、可用性、安全性 統(tǒng)一網絡管理，強調可管理性 勞動與社會保障系統(tǒng)四級網組網要素 強調可管理、低成本 勞動與社會保障網絡面臨的管理難題 如何保證網點配置策略一致性，業(yè)務的批量部署？ 網管軟件太昂貴，能不能有一套價格低又符合網點使用的網管呢？ NAT、 DHCP后設備多，動態(tài)IP地址接入設備多，傳統(tǒng)SNMP管理不到，分支網點無法納入全網管理！ 經辦點技術人員少或沒有專職人員，如何利用現(xiàn)有技術力量，實現(xiàn)集中的管理團隊？ 經辦點區(qū)域分散，設備數(shù)量多，要投入巨額的日常維護費用和人力，真的吃不消！ BIMS方案采取了設備主動聯(lián)系網管的方式，解決了對動態(tài)獲取 IP地址的設備、位于 NAT網關后面的設備的批量管理問題。 對于業(yè)務與應用基本相同、數(shù)量龐大并且分布廣泛的網絡終端設備進行管理時， BIMS會極大提高管理的效率，大大節(jié)約管理成本。 BIMS作為 Quidview網管的一個可選組件，使得 Quidview網管實現(xiàn)了對全網設備的統(tǒng)一管理。 社保經辦點特色網絡管理方案 BIMS 適用于采用 VPN方式接入的 四、五級網絡節(jié)點管理 BIMS網管側與設備側之間通過 HTTP協(xié)議進行通訊，可方便的穿透防火墻，而且協(xié)議簡單、易擴展； 連接由設備主動發(fā)起，設備 IP地址變化不會對連接的建立產生阻礙。 中心 Server采用專業(yè)的 Web Server，保證了系統(tǒng)可靠和可擴展； 為勞動與社會保障用戶提供管理 Server的圖形化接口，提高系統(tǒng)易用性。 NAT網關 Firewall Http協(xié)議 web server 設備發(fā)起請求 server響應配置 預部署的設備配置 設備實現(xiàn) BIMS客戶端 管理中心側實現(xiàn) BIMS服務器 BIMS實現(xiàn)思路 BIMS解決方案的功能介紹 支持對批量設備的配置文件和設備軟件進行自動更新 支持對批量設備進行配置修改 支持對設備歷史配置文件的保存 支持設備升級歷史記錄的保存 支持對設備升級進度的監(jiān)控 支持對設備運行狀態(tài)的監(jiān)控 支持對設備配置變化的監(jiān)控 通過 HTTPs、 SSL，對消息體進行加密來保證通訊安全 介 紹 提 綱 勞動和社會保障業(yè)務特點 安全可靠的數(shù)據(jù)中心 經典高效的廣域網 高效、安全的一體化局域網 視頻、語音、安全解決方案 IP存儲解決方案 勞動與社會保障網絡成功案例 S8500 S8500 CAMS DHCP Server 網管中心 萬兆到樓層 S6500 S6500 萬兆接口 網絡接入層 網絡核心層 網絡管理層 FE S6500 采用萬兆級連、千兆到桌面的方式提高網絡性能； 采用交換機內置防火墻模塊提升網絡安全性； 采用 EAD方案增強用戶接入管理 中端產品到桌面 S6500 S6500 高性能局域網拓撲圖 防火墻模塊 S8500 S5648 S8500 CAMS 網管中心 S5648 萬兆接口 網絡接入層 網絡核心層 網絡管理層 FE 高性能局域網拓撲圖 采用萬兆級連、千兆到桌面的方式提高網絡性能； 采用低端產品堆疊實現(xiàn)千兆接入 采用 EAD方案增強用戶接入管理 S5648 S5648 S5648 低端產品堆疊 防火墻模塊 DHCP Server 千兆三層到桌面的優(yōu)點 網絡帶寬高 整體性能高 用戶安全高 端點準入防御系統(tǒng)（ EAD）帶來的革命 被動防御 單點防御 分散管理 以網絡為中心 主動防御 系統(tǒng)自愈 全面防御 多點聯(lián)動 集中策略管理 統(tǒng)一審計 以用戶為中心 管理優(yōu)先 現(xiàn)狀 需求 方案特點 與防病毒軟件聯(lián)動防御 隔離防御能力脆弱的用戶終端 及時更新系統(tǒng)補丁，提高抵抗力 提高用戶終端的主動防御能力 身份認證與防御能力認證結合 與專業(yè)防病毒系統(tǒng)聯(lián)動 多重權限控制 (VLAN/ACL/QoS) 多種安全部件的聯(lián)動防御 用戶安全接入策略的統(tǒng)一管理 組織級安全策略的強制實施 用戶安全狀態(tài)的集中審計 集中策略實施與管理 事前：用戶身份和防御能力認證 事中：用戶安全狀態(tài)和行為的監(jiān)控 事后：用戶安全狀態(tài)和行為的審計 以用戶為中心的全程管理 主動防御 全面防御 集中策略管理 以用戶為中心 提升網絡安全的利器 EAD基本功能 檢查 隔離 修復 監(jiān)控 管理 檢查客戶端的安全狀態(tài)和防御能力 操作系統(tǒng)版本、補?。?HotFix） 防病毒軟件版本、病毒庫版本 病毒檢查 安全配置檢查 隔離不符合安全策略、防御力低的終端 通過 802.1x 、 VPN、 Portal認證阻斷非法用戶 通過 VLAN、 ACL限制“危險”用戶的訪問權限（ 隔離區(qū) ） 高強度 身份驗證 防止交叉感染 防止病毒爆發(fā) 確保用戶合法 具有抵抗力 強制修復系統(tǒng)補丁、升級防病毒軟件 通知用戶修復系統(tǒng)漏洞 安全策略實施 自動或強制手工進行補丁、病毒庫的升級 提高抵抗力 增強安全性 實時監(jiān)控用戶的安全狀態(tài) 定時病毒掃描 定時檢查安全配置 全程安全監(jiān)控 掌握安全狀態(tài) 安全事件實時上報 及時隔離“危險”用戶 集中、統(tǒng)一的用戶管理 接入策略 服務策略 可控的安全 可視的安全 安全策略 集中監(jiān)控 日志分析 端 點 準 入 防 御 早發(fā)現(xiàn)、早隔離、早治療 介 紹 提 綱 勞動和社會保障業(yè)務特點 安全可靠的數(shù)據(jù)中心 經典高效的廣域網 高效、安全一體化局域網 視頻、語音、安全解決方案 IP存儲解決方案 勞動與社會保障網絡成功案例 V2oIP總體解決方案 VP8620 VP8630系列 會議調度系統(tǒng) StreamManager 流媒體管理中心 一張網絡 一套系統(tǒng) 多種業(yè)務 數(shù)據(jù)承載網 PSTN 內部電話 LAN 桌面視訊通信 LAN CAMS綜合訪問管理服務器 內部電話 LAN Ephone VG系列語音網關 內部呼叫 外部呼叫 VP8620E LAN LAN 分部 會議室視訊會議 VP8066 VP8036 分部 總部 分部 VP8220 可視電話 OpenEye 視頻軟件終端 VG系列語音網關 Ephone XE系列呼叫服務器 VP8069 VP8039 華為 3COM語音、視頻解決方案優(yōu)勢 數(shù)據(jù)網絡基礎 IP語音 IP視訊 統(tǒng) 一 網 管 業(yè)界唯一能夠提供三網合一全套產品與解決方案 IP視頻與 IP語音業(yè)務整合 V2oIP 華為 3Com“安全滲透網絡 ” 基礎安全功能 成為網絡的一部分 從端點開始進行 安全行為的管理 深入到應用和業(yè)務內容進行保護 網絡設備安全特征 基礎 安全 功能 基本 網絡 安全 設備 防火墻 VPN 端點準入防御（ EAD） 端點 安全 深度檢測和抵御 威脅 抵御 安全滲透網絡 華為 3Com威脅抵御方案概覽 財經 研發(fā) 供應鏈 DMZ區(qū) SMTP POP3 WEB Other Server OA File Server 勞動與社會保障數(shù)據(jù)中心 SecEngine IPS： 抵御 DDoS攻擊 保護網絡基礎設施 SecEngine IPS： 抵御內網攻擊 保護核心數(shù)據(jù)與資產 SecEngine IPS： 抵御內網攻擊 抑制非核心流量 保護性能 華為 3COM安全解決方案優(yōu)勢 五證齊全的專業(yè)安全廠家 包括防火墻、 IDS、 IPS在內的豐富的系列產品 一體化網絡安全解決方案，實現(xiàn)安全產品與網絡基礎設施的有機聯(lián)動 提供以太網交換機上插卡式的安全產品，組網方式靈活高效 端點準入防御系統(tǒng)（ EAD）提供邊緣的安全控制 介 紹 提 綱 勞動和社會保障業(yè)務特點 安全可靠的數(shù)據(jù)中心 經典高效的廣域網 高效、安全一體化局域網 視頻、語音、安全解決方案 IP存儲解決方案 勞動與社會保障網絡成功案例 勞動與社會保障系統(tǒng)數(shù)據(jù)中心 所面臨的問題 數(shù)據(jù)量增長快，已有的存儲空間不能滿足日益增長的數(shù)據(jù)存儲需求 各廠家基于 FC SAN體系結構的存儲系統(tǒng)互通存在很大困難，系統(tǒng)擴容成本高，難度大 越來越多的網上查詢業(yè)務、大量個人參保信息的錄入對存儲系統(tǒng)的 IO能力要求越來越高 常規(guī) FC SAN產品體系結構 Fan Fan Fan Power supply Power supply BBU Exp Exp Exp Exp Exp Exp Heart Beat RAID Controller RAID Controller BBU FC or GE Cache Memory FC FC Embedded OS RAID Engine FC or GE Cache Memory FC FC Embedded OS RAID Engine 華為 3Com基于 IP萬兆交換技術推出的 海量 IP存儲系統(tǒng) 華為 3Com Neocean IX5000企業(yè)級存儲系統(tǒng) 從單控制器到八個控制器動態(tài)負載均衡擴展。 最大 IOPS:600,000，大大高于業(yè)界主流存儲產品（一般在 100， 000-200， 000） 單臺最大容量可達 256TB，是目前世界上單臺容量最大的存儲產品。 適應性：適合社保對數(shù)據(jù)量大、增長迅速、 IP標準化易于管理、高性能低成本的要求。 遠程容災解決方案 FC/IP 網絡 IP 網絡 DiskSafe P P DB Agent FS Agent R R PIT3 PIT1 PIT2 C： D： C： D： C： D： PIT1 PIT2 PIT3 同步復制、異步復制、增量 PIT復制 IX5000 數(shù)據(jù)庫服務器 文件服務器 DAS設備 備用服務器 備用服務器 FC存儲系統(tǒng) IX5000 適應社保要求： 1、對各種異構平臺均可進行數(shù)據(jù)容災，不受任何廠商限制。（無論是 IBM、 HP、SUN、 Windows平臺均可） 2、對各種存儲系統(tǒng)均可實施（無論現(xiàn)在使用的是 EMC、 IBM、 HP還是普通 SCSI甚至機內存儲，均可進行基于 IP的統(tǒng)一遠程數(shù)據(jù)容災。 3、支持同步 /異步 /增量等各種遠程復制模式并可根據(jù)網絡狀況進行動態(tài)模式切換。支持存儲虛擬化 華為 3Com遠程容災解決方案 基于 IP網絡進行數(shù)據(jù)復制，無須網關設備； 支持異構存儲設備之間的數(shù)據(jù)復制； 支持同步、異步和增量 PIT方式的數(shù)據(jù)復制； 支持 DAS（ Host） to SAN的數(shù)據(jù)復制； 先進的快照技術和豐富的快照代理，可嚴格保證數(shù)據(jù)的一致性； 獨特的 TimeMark技術可有效應對軟故障（病毒攻擊、誤操作）對數(shù)據(jù)的破壞； 支持 Delta復制，每次只復制更新的數(shù)據(jù)到備份中心 支持數(shù)據(jù)的壓縮和加密傳輸，節(jié)省鏈路帶寬，保證數(shù)據(jù)安全 支持斷點續(xù)傳 存儲虛擬化和系統(tǒng)整合 需求描述 DAS具有擴展能力差、管理復雜、以及資源利用率低等缺點，阻礙了企業(yè)業(yè)務的發(fā)展 FC-SAN跨廠商數(shù)據(jù)和設備管理困難，需要統(tǒng)一整合。 用戶需要消除信息孤島，整合信息系統(tǒng)，以簡化基礎架構，實現(xiàn)資源的統(tǒng)一管理 快捷的數(shù)據(jù)遷移過程，更短的停機時間 存儲虛擬化和系統(tǒng)整合 LAN LAN IP SAN 不連續(xù)的信息孤島 連續(xù)的集中化信息系統(tǒng) 1 2 3 N 1 2 3 N 1 3 DAS FC DAS FC 功能模塊 IX5000 Server Server Server Server Server Server Server Server 用戶可以選擇在集