《劳动和社会保障行业解决方案.ppt》由会员分享,可在线阅读,更多相关《劳动和社会保障行业解决方案.ppt(62页珍藏版)》请在三一办公上搜索。
1、劳动与社会保障网络解决方案 华为3COM服务金保工程,构建和谐社会的基础,社会保障制度是构建和谐社会的基础,是社会稳定的重要“安全阀”。必须通过建立和完善社会保障制度,切实保障所有社会成员能够分享到改革发展的成果。养老保险、医疗保险、失业保险、工伤保险、生育保险是五大基本社会保障制度,借助网络信息技术,推动五保合一,贯彻党的方针政策,构建和谐社会,既是党和政府的既定方针,同样也是华为3COM公司的意愿。,介 绍 提 纲,劳动和社会保障业务特点安全可靠的数据中心经典高效的广域网高效、安全一体化局域网视频、语音、安全解决方案IP存储解决方案劳动与社会保障网络成功案例,劳动和社会保障体系,部级就业服
2、务机构,部级社会保险经办机构,省级就业服务机构,省级社会保险经办机构,市级就业服务机构,市级社会保险经办机构,县级就业服务机构,县级社会保险经办机构,省劳动保障厅,市级劳动保障局,县级劳动保障局,劳动与社会保障部,劳动和社会保障系统业务介绍,内部办公业务,社会保障业务管理,横向业务协作管理,对外公众服务业务,内部办公网,业务经办点,横向政府机构,12333服务热线、网上便民服务等,劳动和社会保障系统网络体系介绍,劳动保障网络系统,业务专网系统功能,办公网系统功能,公众服务网系统功能,办公管理信息系统,劳动保障部门与相关政府部门信息交换,社会保险管理信息系统,劳动保障系统内部IP电话系统,劳动保
3、障系统内部视频会议系统,劳动保障系统内部信息服务系统,其他劳动保障应用系统,与公安、财政等相关部门信息交换,与医院、药店、银行等相关单位信息交换,向社会公众提供信息服务,金保工程总体目标,一个工程:覆盖全国、统一规划、信息共享的劳动和社会保障电子政务工程。两大系统:劳动力市场信息系统和社会保险信息系统。三层结构:市、省、中央三层数据分布和管理结构。四大功能:业务经办、公众服务、基金监管和宏观决策。,金保工程的核心,数据平台,应用平台,网络平台,以三级数据中心为依托,以劳动99软件为依托,稳定、高效、安全、三网合一,金保工程现状,金保工程一级骨干网已经建设完毕。32个省级单位已经实现部省联网,部
4、分省已经实现省内二、三级广域网的建设,目前还省16个省没有实现省、市联网。部分省已经自建了劳动保障二、三级广域网以及二、三级数据中心,全国还有近300个城市没有建设数据中心。劳动部视频会议系统已经启用,个别省份已经完成二、三级视频会议系统的建设。,金保工程网络建设需求与华为3COM公司解决方案对应表,省、市、县联网,数据中心,局域网,四级以下网络,广域网解决方案,数据中心解决方案,局域网解决方案、EAD安全方案,特色VPN解决方案、分支网点管理方案,金保工程需求,华为3COM解决方案,视频会议、VoIP,存储系统,V2oIP解决方案,IP SAN存储解决方案,介 绍 提 纲,劳动和社会保障业务
5、特点安全可靠的数据中心经典高效的广域网高效、安全一体化局域网视频、语音、安全解决方案IP存储解决方案劳动与社会保障网络成功案例,劳动与社会保障数据中心逻辑结构图,省直业务资源库,业务资源库,交换资源库,交换资源库,交换资源库,宏观决策资源库,宏观决策资源库,宏观决策资源库,统计分析,统计分析,统计分析,经办窗口,工作库,社区、公众查询,生产区,交换区,决策区,中央,省,市,区县,Internet,政务外网,横向数据共享,数据中心的建设要求,各级数据中心是劳动社会保障系统的核心,是各项业务能够正常开展的数据基础,数据中心的设计是整个劳动社会保障信息系统能否正常运行的关键。各级数据中心的建设应该从
6、以下三个方面进行考虑:高性能、高可靠、强管理合理的安全区划分灾难备份,劳动社会保障数据中心安全建议方案,交换区,Application Server,生产区,DB Server,安全区安全级别上升,宏观决策区,DB/Application Server,系统管理区,Management Server,灾难备份中心,DB Server,社保广域网,Internet,互联网出口区,对外信息服务区,Web Server,数据中心安全区划分策略,通过核心交换机上配置专业防火墙模块,提供更多的防火墙接口,减少了设备与防火墙之间、防火墙与安全区之间过多的线路连接,实现一体化安全策略。分级安全区域划分,划分
7、7个等级的安全区:生产区、交换区、决策区、对外服务区、Internet出口区、社保专网区、系统管理区。其中各安全区的互访必须经过核心交换机上的防火墙模块安全检查,交换区的数据来源必须由生产区提供、决策区的数据必须由交换区提供,三个区域之间顺序访问不能跨区域访问,提高数据中心的访问安全。外部用户只能访问对外服务区,不能直接访问数据中心其他安全区,而对外服务区的数据来源与交换区并且只能来源于交换区。,各级数据中心的差异化,部、省、市三级数据中心在部署上存在客观差异,这是由各级数据中心的功能定位不同所造成的。,劳动部数据中心,省数据中心,市数据中心,无对外服务区、无生产区,只有交换区和决策区,主要进
8、行宏观决策分析与政策制定。,对外服务区可选,有生产区、交换区和决策区。,有对外服务区,有生产区、交换区和决策区,是社保业务经办与统计数据的来源。,介 绍 提 纲,劳动和社会保障业务特点安全可靠的数据中心经典高效的广域网高效、安全一体化局域网视频、语音、安全解决方案IP存储解决方案劳动与社会保障网络成功案例,劳动与社会保障系统二、三级网参考模式,N2M,N64K,千兆互联,NE 40,NE 08E,AR 2800,Quidview 网管平台,省中心核心,省市二级网节点,AR 2800,AR 2800,AR 2800,R3680-RPS,R3680-RPS,部省一级网节点,市县三级网核心,AR 4
9、600,AR 4600,AR 4600,AR 4600,市中心核心,各级网络分级建设,按网络层次进行网络维护管理设备选型采用省中心采用高端路由器、地市中心采用中端、县级中心采用低端路由器进行组合建网连接线路采用SDH专线为主,其他方式为辅强调可用性、可靠性、多业务能力统一网络管理,强调易用性,劳动与社会保障系统二、三级网组网要素,可用性、稳定性第一位,劳动与社会保障系统四级网参考模式,FE/GE,AR 4600,SecPath 100V/1000,SecPath 10,Quidview 网管平台,地市中心/省数据中心,社保经办点,SecPath 10,SecPath 10,SecPath 10
10、,VPN隧道,BIMS inside,地市/省数据大集中,设备选型采用低端VPN网关为主,其他产品为辅设备级连通过Internet建立VPN隧道实现强调低成本、可用性、安全性统一网络管理,强调可管理性,劳动与社会保障系统四级网组网要素,强调可管理、低成本,劳动与社会保障网络面临的管理难题,经办点技术人员少或没有专职人员,如何利用现有技术力量,实现集中的管理团队?,BIMS方案采取了设备主动联系网管的方式,解决了对动态获取IP地址的设备、位于NAT网关后面的设备的批量管理问题。对于业务与应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时,BIMS会极大提高管理的效率,大大节约管理成本。B
11、IMS作为Quidview网管的一个可选组件,使得Quidview网管实现了对全网设备的统一管理。,社保经办点特色网络管理方案BIMS,适用于采用VPN方式接入的四、五级网络节点管理,BIMS网管侧与设备侧之间通过HTTP协议进行通讯,可方便的穿透防火墙,而且协议简单、易扩展;连接由设备主动发起,设备IP地址变化不会对连接的建立产生阻碍。中心Server采用专业的Web Server,保证了系统可靠和可扩展;为劳动与社会保障用户提供管理Server的图形化接口,提高系统易用性。,NAT网关,Firewall,web server,预部署的设备配置,设备实现BIMS客户端,管理中心侧实现BIMS
12、服务器,BIMS实现思路,BIMS解决方案的功能介绍,支持对批量设备的配置文件和设备软件进行自动更新支持对批量设备进行配置修改支持对设备历史配置文件的保存支持设备升级历史记录的保存支持对设备升级进度的监控支持对设备运行状态的监控支持对设备配置变化的监控通过HTTPs、SSL,对消息体进行加密来保证通讯安全,介 绍 提 纲,劳动和社会保障业务特点安全可靠的数据中心经典高效的广域网高效、安全的一体化局域网视频、语音、安全解决方案IP存储解决方案劳动与社会保障网络成功案例,S8500,S8500,CAMS,DHCP Server,网管中心,万兆到楼层,S6500,S6500,万兆接口,网络接入层,网
13、络核心层,网络管理层,FE,S6500,万兆链路,采用万兆级连、千兆到桌面的方式提高网络性能;采用交换机内置防火墙模块提升网络安全性;采用EAD方案增强用户接入管理,中端产品到桌面,S6500,S6500,高性能局域网拓扑图,防火墙模块,S8500,S5648,S8500,CAMS,网管中心,S5648,万兆接口,网络接入层,网络核心层,网络管理层,FE,高性能局域网拓扑图,万兆主干链路,采用万兆级连、千兆到桌面的方式提高网络性能;采用低端产品堆叠实现千兆接入采用EAD方案增强用户接入管理,S5648,S5648,S5648,千兆备份链路,低端产品堆叠,S5648,防火墙模块,DHCP Ser
14、ver,千兆三层到桌面的优点,网络带宽高,整体性能高,用户安全高,端点准入防御系统(EAD)带来的革命,被动防御,单点防御,分散管理,以网络为中心,主动防御系统自愈,全面防御多点联动,集中策略管理统一审计,以用户为中心管理优先,现状,需求,方案特点,与防病毒软件联动防御隔离防御能力脆弱的用户终端及时更新系统补丁,提高抵抗力,提高用户终端的主动防御能力,身份认证与防御能力认证结合与专业防病毒系统联动多重权限控制(VLAN/ACL/QoS),多种安全部件的联动防御,用户安全接入策略的统一管理组织级安全策略的强制实施用户安全状态的集中审计,集中策略实施与管理,事前:用户身份和防御能力认证事中:用户安
15、全状态和行为的监控事后:用户安全状态和行为的审计,以用户为中心的全程管理,主动防御,全面防御,集中策略管理,以用户为中心,提升网络安全的利器,EAD基本功能,检查,隔离,修复,监控,管理,检查客户端的安全状态和防御能力,操作系统版本、补丁(HotFix)防病毒软件版本、病毒库版本,病毒检查安全配置检查,隔离不符合安全策略、防御力低的终端,通过802.1x、VPN、Portal认证阻断非法用户通过VLAN、ACL限制“危险”用户的访问权限(隔离区),高强度身份验证,防止交叉感染防止病毒爆发,确保用户合法具有抵抗力,强制修复系统补丁、升级防病毒软件,通知用户修复系统漏洞 安全策略实施自动或强制手工
16、进行补丁、病毒库的升级,提高抵抗力增强安全性,实时监控用户的安全状态,定时病毒扫描定时检查安全配置,全程安全监控掌握安全状态,安全事件实时上报及时隔离“危险”用户,集中、统一的用户管理,接入策略服务策略,可控的安全可视的安全,安全策略,集中监控日志分析,端点准入防御,早发现、早隔离、早治疗,介 绍 提 纲,劳动和社会保障业务特点安全可靠的数据中心经典高效的广域网高效、安全一体化局域网视频、语音、安全解决方案IP存储解决方案劳动与社会保障网络成功案例,V2oIP总体解决方案,VP8620,VP8630系列,会议调度系统,StreamManager流媒体管理中心,一张网络一套系统多种业务,数据承载
17、网,PSTN,内部电话,LAN,桌面视讯通信,LAN,CAMS综合访问管理服务器,内部电话,LAN,Ephone,VG系列语音网关,内部呼叫,外部呼叫,VP8620E,LAN,LAN,分部,会议室视讯会议,VP8066VP8036,分部,总部,分部,VP8220 可视电话,OpenEye视频软件终端,VG系列语音网关,Ephone,XE系列呼叫服务器,VP8069VP8039,华为3COM语音、视频解决方案优势,数据网络基础,IP语音,IP视讯,统一网管,业界唯一能够提供三网合一全套产品与解决方案,IP视频与IP语音业务整合,V2oIP,华为3Com“安全渗透网络”,基础安全功能成为网络的一部
18、分,从端点开始进行安全行为的管理,深入到应用和业务内容进行保护,安全渗透网络,华为3Com威胁抵御方案概览,财经,研发,供应链,DMZ区,SMTP,POP3,WEB,Other Server,OA,File Server,劳动与社会保障数据中心,SecEngine IPS:抵御DDoS攻击保护网络基础设施,SecEngine IPS:抵御内网攻击保护核心数据与资产,SecEngine IPS:抵御内网攻击抑制非核心流量保护性能,华为3COM安全解决方案优势,五证齐全的专业安全厂家包括防火墙、IDS、IPS在内的丰富的系列产品一体化网络安全解决方案,实现安全产品与网络基础设施的有机联动提供以太网
19、交换机上插卡式的安全产品,组网方式灵活高效端点准入防御系统(EAD)提供边缘的安全控制,介 绍 提 纲,劳动和社会保障业务特点安全可靠的数据中心经典高效的广域网高效、安全一体化局域网视频、语音、安全解决方案IP存储解决方案劳动与社会保障网络成功案例,劳动与社会保障系统数据中心所面临的问题,数据量增长快,已有的存储空间不能满足日益增长的数据存储需求各厂家基于FC SAN体系结构的存储系统互通存在很大困难,系统扩容成本高,难度大越来越多的网上查询业务、大量个人参保信息的录入对存储系统的IO能力要求越来越高,常规FC SAN产品体系结构,Power supply,Power supply,BBU,E
20、xp,Exp,Exp,Exp,Exp,Exp,Heart Beat,RAID Controller,RAID Controller,BBU,华为3Com基于IP万兆交换技术推出的海量IP存储系统,华为3Com Neocean IX5000企业级存储系统从单控制器到八个控制器动态负载均衡扩展。最大IOPS:600,000,大大高于业界主流存储产品(一般在100,000-200,000)单台最大容量可达256TB,是目前世界上单台容量最大的存储产品。适应性:适合社保对数据量大、增长迅速、IP标准化易于管理、高性能低成本的要求。,远程容灾解决方案,FC/IP 网络,IP 网络,DiskSafe,P,
21、P,DB Agent,FS Agent,R,C:D:,C:D:,C:D:,PIT1,PIT2,PIT3,同步复制、异步复制、增量PIT复制,IX5000,数据库服务器,文件服务器,DAS设备,备用服务器,备用服务器,FC存储系统,IX5000,适应社保要求:1、对各种异构平台均可进行数据容灾,不受任何厂商限制。(无论是IBM、HP、SUN、Windows平台均可)2、对各种存储系统均可实施(无论现在使用的是EMC、IBM、HP还是普通SCSI甚至机内存储,均可进行基于IP的统一远程数据容灾。3、支持同步/异步/增量等各种远程复制模式并可根据网络状况进行动态模式切换。支持存储虚拟化,华为3Com
22、远程容灾解决方案,基于IP网络进行数据复制,无须网关设备;支持异构存储设备之间的数据复制;支持同步、异步和增量PIT方式的数据复制;支持DAS(Host)to SAN的数据复制;先进的快照技术和丰富的快照代理,可严格保证数据的一致性;独特的TimeMark技术可有效应对软故障(病毒攻击、误操作)对数据的破坏;支持Delta复制,每次只复制更新的数据到备份中心 支持数据的压缩和加密传输,节省链路带宽,保证数据安全 支持断点续传,存储虚拟化和系统整合,需求描述DAS具有扩展能力差、管理复杂、以及资源利用率低等缺点,阻碍了企业业务的发展FC-SAN跨厂商数据和设备管理困难,需要统一整合。用户需要消除
23、信息孤岛,整合信息系统,以简化基础架构,实现资源的统一管理快捷的数据迁移过程,更短的停机时间,存储虚拟化和系统整合,LAN,LAN,IP SAN,不连续的信息孤岛,连续的集中化信息系统,1,2,3,N,1,2,3,N,1,3,DAS,FC,DAS,FC,功能模块,IX5000,Server,Server,Server,Server,Server,Server,Server,Server,用户可以选择在集中化的信息系统中保留原有的DAS、FC设备。DAS设备中的存储资源与IX 5000的存储资源统一管理,并支持数据在异构存储设备之间的迁移、复制,华为3Com存储虚拟化和系统整合方案优点,服务器可
24、利用“普通网卡iSCSI Initiator驱动”来连接IP SAN系统,避免了硬件安装带来的服务器停机数据迁移在后台进行,不影响当前应用,大幅缩减停机时间;兼容用户已有存储设备(如DAS、FC),保护用户投资;对用户数据资产进行统一管理。独特的Services Enabler功能保证了在对已有数据的存储资源进行虚拟化管理时,数据的完整性不会被破坏;华为3Com在IP领域丰富的产品及服务可以帮助用户轻松解决系统整合带来的网络整合问题。,磁带备份方案的问题,备份速度慢,无法应对备份窗口不断缩小的应用环境;恢复速度慢,不足备份速度的1/2;经常由于机械臂故障或磁带介质失效而导致备份/恢复失败;管理
25、困难,不能集中管理存储资源,难以分区和共享磁带库;远程储藏过程(磁带复制卡车运输保存)具有潜在的风险。,VTL(虚拟磁盘库)方案典型组网,备份/恢复数据流,导入/导出数据流,远程复制数据流,IX5000,IX5000,磁带库,磁带库,IX5000,VTL模块,VTL模块,备份服务器,主数据中心,从数据中心,华为3Com VTL解决方案优点,无缝融入用户当前环境,无须更新备份软件或改变备份策略,保护用户已有投资;更高的性能,备份速度可提高3060,恢复速度可提高90,轻松应对备份窗口的不断缩减;更高的可靠性,消除了机械臂故障和磁带介质的失效,可利用RAID策略对备份数据进行保护;备份资源集中管理
26、,磁带库、驱动器和磁带数量可平滑扩展;虚拟磁带的容量按需自动扩展,提高了资源利用率;备份数据可策略性地导出到物理磁带上离线存储;支持远程数据复制,磁带远程储藏过程更轻松。,介 绍 提 纲,劳动和社会保障业务特点安全可靠的数据中心经典高效的广域网高效、安全一体化局域网视频、语音解决方案IP存储解决方案劳动与社会保障网络成功案例,全国养老保险联网网络拓扑,劳动保障部中心,辽宁省级劳动保障部门,天津劳动保障部门,NE08E,R3680E-RPS,E1,4*BRI,155M CPOS,R3680E-RPS,E1,2*PRI,R3680E-RPS,电话公网,E1,PBX,Quidview 网管,4*BR
27、I,ISDN,SDH,视频会议系统,MCU,视频会议终端,视频会议终端,视频会议终端,新疆社保全疆广域网拓扑,NE16E,NE16E,2M,R3640E,100M,县市社保,2M,2M,GE,2M,地州社保,自治区社保中心机房,26系列,2M,Quidview 网管,FE,S6506R,S6506R,R3640E,S3026E,GE,S3026E,R3640E,2M,26系列,S3026E,FE,FE,FE,FE,独立地州市,直联地州市,主城九区高新区劳动保障局共36个接入点,主城九区的街、镇、社区共120个接入点,其他区县劳动保障局共31个接入点,政务网,业务协作网,S8512,S6506R
28、,拨号网,AR4640,NE40-8,NE40-8,AR2840,S3026C,S3050,AR2809,AR2830,AR2809,S2008EI,入侵检测,应用流量控制器,应用流量控制器,S8512,应用服务器集群,备份中心路由器,拨号路由器AR2880,应急备援中心,大中型定点医院、定点门诊、定点药店等,宏观决策区,宏观决策数据库服务器,宏观决策应用服务器,系统管理区,服务器群组,物理隔离网闸,公共服务区,物理隔离网闸,数据交换服务器,劳动保障数据扫描专网,扫描数据库服务器,劳动社会保障部,数据交换区,漏洞扫描,网络防病毒,重庆社保网,IDC区,防火墙,防火墙,防火墙,山东社保数据网拓扑
29、,国家劳动部,R2631E,济南省中心,R2631E,R2631E,R2631E,R2631E,R2631E,R2631E,R2631E,R2631E,R2631E,R2631E,ISDN,SDH 2M,R3680E,NE16E,FE,GE,S8505,S8505,S3026E,S3026E,千兆服务器,R2631E,聊城金保工程网络拓扑,市业务专网数据中心,市核心路由器,2M,省劳保,省网路由器,市直、区县劳保机关,市直、区县劳保机关,市直、区县劳保机关,市直、区县劳保机关,S3050C,S8505,R2631E,防火墙,DMZ,NE20-8,市核心交换机,GE,FE,GE,2M,2M,2M
30、,AR28-40,烟台金保工程网络拓扑,中心机房,AR4680,S8505,GE,GE,S3026,S8505,2*GE trunk,GE,GE,GE,GE,1000M服务器群,GE,GE,GE,市直、区县劳保机关,ATM/DDN/SDH 2M专线,PSTN备份,省网路由器R2631E,S3528,S3026,Secpath 1000,医院、药店、社区经办点,VPN,Quidway NE05,业务服务器,S6506,广域网,淄博社保网拓扑,市网络中心,S2008,市级相关机构,银行,小型定点医疗机,网管,S3026E,办公,城区/县/区级社保局,Internet,小型定点医疗机构,大中型定点医
31、疗机构,市就业局、劳动局,大中型定点医疗机构,S2026,市内定点医疗机构,失业保险科市劳动局医保处,就业局/劳动局/失业保险科,WWW/EMAIL,PSTN,R2620,Eudemon 200,FE,Quidway S8512,840主机,大连市就业局信息中心,庄河/金州等,Quidway NE40-8,Eudemon100,S3526,Quidway S3526,市人才中心/长海县等,中山、西岗,Eudemon100,Quidway S3526,Quidway S3526,Quidview,2M E1/ADSL,570主机,QuidwayNE20-8,医院网1-N,就业服务中心市内34个街
32、道/五个区县市,2M E1/ADSL,就业服务中心/医保中心/职介中心,Quidway65062,Quidway AR2810,Quidway S3526,职介中心市内四区,Quidway S3526,Quidway S3526,Quidway AR2810,Quidway AR2810,Quidway AR2810,Quidway AR2810,Quidway AR2810,千兆百兆租用线路,QuidwayNE20-8,S3552G,S3552G,大连社保广域网,10/10MB,千兆光纤,ISDN链路,两兆光纤,2M光纤,ISDN,州(市)计算中心,州(市)计算中心,省厅信息中心,WEB/中间件服务器,数据库服务器,主路由器R3640E,备份路由器R3640E,WEB/中间件服务器,数据库服务器,主路由器R3640E,备份路由器R3640E,核心交换机S3526,核心交换机S3526,主路由器NE16E,备份路由器R3680E,防火墙,数据库服务器p650,WEB服务器,接入路由器,防火墙,INTERNET,前置机,前置机,管理工作站 IBM 170,磁盘阵列FAStT600,磁带库IBM 3582,IBM光纤存储交换机,共五台应用服务器,共17个地市,湖北省就业再就业信息服务系统网络拓扑结构图,核心交换机2台S6506,
