养老保险网上申报系统总体技术方案2012.doc

河南电力社保招标－技术响应文件 第  PAGE 33 页 总体技术方案 系统需求 河南电力养老保险网上申报系统目前处在河南电力专网中，拥有1个省社保中心，38个分支社保中心。利用河南电力专网，社保业务点向所属分支社保中心进行数据传输，分支社保中心向省社保中心进行数据传输。 河南电力养老保险系统目前的网络示意图如下：  SKIPIF 1 0  河南电力养老保险系统网络示意图 如上图，利用河南电力专网，各分支机构实时向省社保中心的养老保险系统服务器传输数据。目前，大部分分支机构点局域网已经连入到河南电力专网中，但仍然有部分业务点没有网络，使用电话线拨号或通过ADSL接到河南电力拨号接入服务器，从而连接到河南电力专网。 从安全方面考虑，电信提供的DDN传输平台没有经过任何加密处理，重要数据和信息均是以明文在网上传???，如果别有用心的人利用Sniffer等网络监听分析工具，极易篡改、窃取甚至破坏业务数据，给业务造成不可估量的损失；由于传输平台没有认证功能，企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏，都会对整个社保系统的信息和数据造成很大的威胁；由于传输平台没有访问控制和安全隔离的功能，给外部非法人员提供了入侵的机会，非法人员可以通过专用的黑客程序（此类工具在Internet上可以免费下载），或者盗取授权员工的访问权限，进入企业网络系统内部，让“网络巨人折戟沉沙，使系统安全溃于蚁穴的”。由于社保系统服务器数据非常关键，一旦通过计算机终端社保系统服务器，后果将不堪设想。 从管理方面考虑，河南电力养老保险系统拥有众多的分支机构，面临最紧迫的问题就是信息的汇总和计算机终端的集中管理。DDN组网方式由于本身的技术限制，不可能提供强大的管理平台，也不可能解决大规模的应用和管理问题。 从经营角度考虑，河南电力社保系统需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台，来满足社保系统信息频繁传输的需要。 设计原则和设计思想 对河南省电力公司养老保险中心的VPN网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、可靠性、安全型、前瞻性、扩展性”建设系统。具体的我们遵循了以下原则： 安全性原则 我公司坚持以高度安全性为基本原则，有效地防止网络的非法侵入和信息的泄露，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。 可靠性原则 这套网络安全系统是河南省电力公司养老保险中心的基础平台。它的稳定可靠关系重大，信息平台的运行不稳定甚至瘫痪将严重影响业务和办公的正常运作。因此可靠性是平台运行的首要保证。 我公司将采用相应的手段保证系统、网络和数据的稳定可靠性，关键节点采用负载均衡、平台备份就是其中的重要策略。 先进性原则 在系统建设方案，具有相当的先进性，并能够通过对VPN设备和软件的不断升级，确保系统的技术领先性和持续发展性。 实用性原则 系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面，又采用国际上最先进的技术，使系统完成后，保持一定时期的领先地位。 实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能与实用性相结合。 可扩展性原则 系统建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性，使系统能够方便的扩展。 可推广性原则 该方案具有很强的推广性，能够将本期的建设经验和建设方法逐步进行推广，可以使河南省电力公司养老保险中心随着业务的需要，根据实际情况逐步扩展网点数量。 易管理性原则 网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性，为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。 我公司提供“安全网管平台”对VPN安全网关、移动客户进行统一管理。 兼容性原则 VPN系统是网络层安全设备，对各种网络应用透明；我公司的VPN安全网关遵循标准的Ipsec和IKE协议，在网络层对IP数据包进行加密，对网络中的数据流做基于五元组的访问控制，因此，对于应用系统是完全透明的。同时依靠我公司强大的研发能力，能够为用户提供特殊的定制性需求。 系统设计 总部系统设计 在河南省电力公司养老保险中心，通过“双机热备”部署高性能VPN安全网关SGW25C+，实现总部网络本身的安全性和健壮性，并要实现总部和地市分支机构的VPN安全连接。 下面主要从功能、性能两方面来对系统作全方面阐述。 网络部署 在总部网络出口处如上图所述，部署两台高性能SGW25C+型VPN安全网关（安全网关综合利用了隧道技术、加密技术、认证技术来保护河南省电力公司养老保险中心总部和下属机构内网的安全通讯、安全传输），实现“双机热备系统”。