社保全网网络安全解决方案

社保全网网络安全解决方案

金保工程建设背景

金保工程，就是在全国范围内建立统一、高效、简便、实用的劳动和社会保障信息系统，覆

盖劳动保障领域主要业务，实现本地业务和服务的规范化、异地业务和服务的现代化、基金

监管和宏观决策的科学化，是一个大型化、系统化、规模化的信息工程，是关系国计民生的

头等大事。

而对于金保工程来说，其核心就是社会劳动保障信息化建设，伴随着网络科学技术和计算机

应用技术的飞速发展，带来了信息化和网络化的热潮，并且电子政务的大旗已经举起，而这

些也是推动金保工程的外因。

但是，真正主导金保工程的核心推动力却是来自于社会劳动保障的内因，来自于社会劳动保

障自身业务发展的需要，进而导致了金保工程的发展。那么，究竟有哪些自身业务需求驱动

着金保工程的不断发展呢？

首先，现在社会经济快速发展，人员流动频繁，进而导致跨区域的社会劳动保障业务受理也

越来越频繁，因此对社会劳动保障信息化提出了新要求；

其次，社会管理和宏观经济分析需要对大量社会劳动保障数据的汇总分析，这也对社会劳动

保障信息化提出了新要求；

此外，社会劳动保障要求对劳动和社会保险业务实行现代化管理，而现代化管理必然是网络

化、信息化的，因此也对社会劳动保障信息化提出了新要求；

再次，为了适应新的市场需要，社会劳动保障提出了”五保合一”的业务需求，新的业务需求

也促使社会劳动保障信息化的发展；

最后，需要对社会劳动保障基金进行监督，真正做到社会劳动保障基金”取之于民，用之于

民”，因此为了适应基金监督的需要，也需要社会劳动保障信息化的发展。

综上所述，外因内需都客观地要求社会劳动保障实现信息化，完成金保工程。而金保工程的

体系结构如图1-1所示：

图1-1金保工程体系结构

分析以上金保工程的体系结构，属于典型的宝塔式结构，在最底层属于基础网络平台，由办

公OA网、社会保障信息网、劳动力市场信息网组成，在基础网络平台上承载了社会劳动保

障信息系统，包括社会保障信息系统和劳动力市场信息系统等，以上信息系统完成了多种劳

动保障业务，包括五保合一、农村养老保险、社会劳动保障异地转移、社会劳动保障基金监

督、决策分析等，并通过一张社会劳动保障卡的方式来实现劳动保障服务。

那么，对于劳动保障业务的受理来说，实际上是数据交互、数据共享的过程，而数据交互与

数据共享的规划结构如图1-2所示：

图1-2金保工程数据交互和共享规划体系结构

在以上数据共享和数据交互体系中，生产区数据库存放各类劳动和社会保险业务经办信息，

并支持本地的前台业务办理；交换区数据库是对生产数据库中结果性数据的备份，同时支持

本地的数据分析和宏观决策，而且支持与本地其它部门的横向数据交换，并支持社会公众查

询的公共服务和上级的”网络扫描”；决策区数据库是借助现代信息技术，通过统计、调查以

及”网络扫描”等手段，重构全国劳动和社会保险信息采集体系，对原始信息经过汇总、整理、

交换和分析等加工处理，形成宏观决策数据库，并在此基础上，利用宏观决策模型库和方法

库，通过统计、分析、预测、预警等手段，为政策制定提供支持，对政策执行情况进行监测，

为完善政策提供服务。

以上数据共享和交互体系具有以下特点：首先数据是分散存储并是从下到上逐级汇总，数据

交换只在标准化的交换区数据库中进行，而且数据交互具有周期性，带宽利用不均衡，数据

共享要求比较，数据需要严格的安全和备份。

金保工程业务与需求分析

那么在明了了金保工程数据共享和交互体系结构以后，在这个机构中包含了社会劳动保障多

项业务，以下我们对这些社会劳动保障业务进行分析，得出建设金保工程网络的需求：

1.社会劳动保障的”五保合一”业务

五保合一，就是在一个安全、可靠、可扩展的基础网络平台上，将医疗保险数据平台、养老

保险数据平台、失业保险数据平台合并成一个社保核心业务软件平台，再利用这个统一的社

保业务核心平台，结合财政部门、民政部门、就业服务部门、银行、地税、医院药店、统计

局、社保代办机构等部门，实现统一建帐、统一给付、信息共享，并且五种基本社会保险一

卡通，其业务数据流向如图1-3所示：

图1-3”五保合一”业务数据流向示意图

因此，对于”五保合一”业务来说，要求社保基本承载网络覆盖多个相关部门，但是社会劳动

保障部门是一个非运营的政府福利部门，不是实现盈利的商业机构，因此如果全部租用专线，

势必每年承担昂贵的专线租赁费用，那么对于社会劳动保障部门来说是一个沉重的负担，因

此选择一种廉价的公共网络资源和合适的技术是金保工程的首要问题，此外为了能够实现”

五保合一”，需要多业务和终端的接入方式，并且具有实时和非实时数据的区别，要考虑对

不同数据流实现区分服务。

2.社会劳动保障的异地转移和受理业务

目前，社会经济快速发展，人员流动频繁，进而导致跨区域的社会劳动保障业务的异地转移

和受理也越来越频繁，因此这也是金保工程网络建设必须考虑的重要因素之一，其异地转移

和受理业务流向如图1-4所示：

图1-4异地转移和受理业务流向示意图

那么，由于在社会劳动保障业务中引入了异地转移和受理的业务，因此需要实现全国整体的

联网，但是涉及生产业务又必须保证生产的安全，实现网络的隔离，因此引入了生产区和交

换区的概念，因此在网络设计中必须有效解决生产区和交换区的隔离问题。

3.基金监督业务的非现场监督的实现

目前社会劳动保障基金总金额达到4900亿，资金的庞大就引发了基金监督问题，如何防止

恶意侵占基金或者”良性”违规造成基金流失，就成为了一个社会劳动保障面临的重大问题，

因此必须建立科学规范有效的体系，保证基金的安全。

那么，为了有效保证社保基金的安全，首先建立一个高效安全的网络基础和智能化信息平台，

保证信息安全畅通，避免信息不对等造成资金流不规范，并且能够进行智能的分析，实现业

务的保密性、可追溯性、不可抵赖性；其次要建立科学的基金管理体制，实现金融机构、财

政机构、社保机构共同监管；最后要实现现场监督和非现场监督并举，现场监督就是定期上

级部门到下级部门进行财务和基金流向检查，而非现场监督则是通过有效的数据采集，形成

基金监管数据库，并通过强大的数据校核和分析工具，对社会保险基金运行的征收、管理、

存放、支付四个环节进行全面的监管，主要是通过”网络扫描”的方式来完成。

“网络扫描”是一种宏观数据采集手段，指上级部门对下级交换区的交换资源数据库和宏观决

策数据库进行定期或不定期的扫描，由系统直接查询和提取原始数据、统计数据，或由原始

数据生成统计数据上报，其目的是建立一个有效的、全国性的劳动保障信息采集体系，克服

传统报表统计准确性低、时效性差，不够灵活，信息量小等弱点。网络扫描采取非实时方式

进行，频度适中，执行统一数据标准。

因此，在进行”网络扫描”的过程中，首先必须进行数据加密传输，此外数据接收方须对上报

文件的来源进行合法性检查后，方能进行解密，数据校验通过后方能存入数据库，并向发送

方反馈确认信息，这样才能准确判断上报文件的来源，最后由于通信指令的标准化，有利于

数据伪造和欺骗，因此网络设计必须考虑抗数据伪造和欺骗，利用数字证书确定身份。

4.实现社会劳动保障的社会公众服务

社会劳动保障是一项社会福利工程，因此离不开社会公众，必须提供社会公众服务，要求建

立门户网站并连入公共互联网，在门户网站上为社会公众提供政策信息查询、个人参保信息

查询、劳动保障业务咨询、用工或参保投诉、业务受理等，并承担起下岗失业人员再就业和

退休人员管理、服务工作的责任，进行网上职介、网上申报、网上查询、就业信息发布等。

5.实现与相关部门的横向联系

由于要实现社会劳动保障的社会公众服务，因此社保网络的横向联系之一就是在每级连入公

共互联网；其次由于要求劳动保障部门提供与公安、财政等相关部门和相关单位的数据交换、

资源共享和信息服务，因此社保网络的横向联系之二就是与电子政务网络对接；此外由于要

求劳动保障部门与其他相关单位（医院、药店、银行、邮局等）连接，进行数据交换和工作

协同，因此社保网络的横向联系之三就是与这些单位进行网络连接，具体如图1-5所示：

图1-5社保网络横向联系示意图

因此，要实现以上社保网络的横向联系，由于横向联系的部门众多并且必须接入公共互联网

和电子政务网，因此必须考虑网络的成本性和网络安全性；此外，还得必须考虑和以上相关

部门连接之后的网络隔离等问题。

6.社会信息的采集、统计与分析决策

其中，社会信息的采集和统计是通过前面所述的”网络扫描”完成的，而社会信息的分析决策

则是将数据信息采集上来以后在数据中心的分析决策区完成，并且采用分布数据库分析计算

的办法可以缓解单一数据库的压力。

但是由于采用分部数据库分析计算的方法，如果其中某一部分由于网络故障造成分析计算失

败，则整个数据分析计算就失败，因此必须考虑网络可靠性设计，降低网络运行风险。

7.农村养老保险业务

由于我国的城镇中的非农业人口越来越大，而农业人口人均土地占有率也逐年下降，传统的

农村土地养老方式已经不利于社会保障的整体需求，因此必须考虑农村养老保险。

但是由于农村目前网络的不完善，那么农村养老保险是否能够实现信息化，是农村养老保险

业务全面开展的关键所在，所以如何在网络资源有限的情况下，解决社会劳动保障到乡村的

问题，是网络设计的关键需求。

8.劳动力市场信息与社会劳动保障信息系统融合

如果将劳动力市场信息系统和社会劳动保障信息系统从物理上相分离，那么一则线路投资非

常大，而且维护管理两套网络，网络管理不统一，因此从社保网络设计上来讲应该让劳动力

市场信息系统和社会劳动保障信息系统在物理上进行融合，但是，由于劳动力市场信息系统

和社会劳动保障信息系统业务范围不一样，因此必须考虑两套系统物理融合基础上的逻辑隔

离。

综合以上社会劳动保障业务分析，我们可以通过业务分析得出社会劳动保障网的网络需求：

1.要求社会劳动保障网具有高性价比、高扩展性；

2.要求社会劳动保障网的数据传输具有安全性和不可否认性；

3.要求社会劳动保障网在决策分析过程中具有高可用性保证；

4.要求社会劳动保障网能够实现实时和非实时数据的区分服务。

那么，以上四个网络需求就组成了一个社会劳动保障网建设的基本原则，在建设金保工程的

过程中，为了使得社会劳动保障网能够更好的适应业务发展的需求，更好的推动社会劳动保

障信息化，就得必须遵循以上建网的基本原则。

迈普通信社会劳动保障网全网解决方案

迈普通信作为新一代高性能安全网络的倡导者、实践者和领航者，多年以来一直致力于对用

户实际业务进行研究，并立足于用户业务引导出来的真正网络需求，凭借自身的网络技术和

安全技术优势，利用自主研发的路由交换、网络安全、IP语音、网络管理等设备和产品，

为用户提供真正切合业务需求实际的网络解决方案，成为国内最完全、最领先、最贴近的网

络解决方案提供商。

对于社会劳动保障网，迈普通信基于以上对社会劳动保障业务最深入的了解和分析，提出了

以下社会劳动保障网全网解决方案，如图1-6所示：

图1-6迈普通信社保网络全网解决方案示意图

在上述方案中，首先来看纵向结构，纵向结构中采用以专线传输线路为主，迈普通信提供了

全网完整的端到端解决方案，在每个层次都提供了相应路由和交换产品来满足网络建设的需

求：在国家数据中心采用骨干核心路由器MP8616，核心交换机采用MyPower S6808，省级

分支机构采用企业核心汇聚路由器MP7200系列，核心交换机采用MyPower S4196E，市级

分支机构采用大型边缘汇聚设备MP3700系列，核心交换机采用MyPower S4196E，县级分

支机构采用可用于接入也可用于小型汇聚路由设备MP269X和MP176X系列，核心交换机

采用MyPower S3150G，设备采用的相应结构层次清晰。

其次在各级分支机构的横向结构中，采用物理隔离的方式将生产区和交换区隔离，生产区与

交换区数据的交换采用定期磁盘倒入的方式，生产区中社会劳动保障信息系统和劳动力市场

信息系统利用迈普专业防火墙MPSec FW520独有的双DMZ口来进行逻辑隔离，交换区中

将门户网站服务器放在迈普防火墙MPSec FW520的DMZ区来提供社会公众服务，而生产

区和交换区分别与业务网点和相关进行横向联系单位的连接都采用廉价的公共网络线路（比

如ADSL线路），采用了VP技术实现虚拟专网，通过高强度的加密来保证数据传输的安

全，在网点接入一级可根据需要采用迈普通信专业VP网关MPSec VP30XX系列或者带

IPSec加密芯片的安全接入路由器设备，并且在各级分支机构中，设计了IP语音系统和网络

管理系统，有效实现网络增值和网络管理。

最后在乡镇一级下端农村社保网点接入同样采用在廉价的公共网络线路利用VP技术实现

虚拟专网方式来满足农村养老保险业务需求，同样既可以采用迈普通信SOHO级VP网关

MPSec VP3005B，也可以采用带IPSec加密芯片的SOHO级安全路由器MP801。

迈普通信社会劳动保障网全网解决方案关键点解析

通过如上网络方案的设计，使得如上网络方案具有以下特点：

1.实现了业务融合，由于在方案设计当中融合了IP语音、融合了网络安全，加上迈普路由

器提供独有的”传输路由一体化”技术，将DD数字基带Modem、频带Modem、ISD等传

输设备做成路由器的模块直接内置于路由器，实现了语音与数据的融合、网络与安全的融合、

路由与传输的融合；

2.由于方案中采用了使用了廉价的Internet接入线路（比如ADSL线路），利用VP技术在

公共网络上架设虚拟专网来取代了昂贵的物理专线，节约了线路投资成本，保证了网络具有

高性价比。虚拟专网的概念举一个形象的例子，就像一个石油管道，信息就象石油，通过

VP技术保证这个石油通过这个管道在公共网络上安全的从一端传输到另外一端，由于中

间运用了公钥加密机制，高达128位的高强度加密，信息不会在传输的过程中泄漏，具有高

安全性。此外由于下端社保业务网点采用ADSL线路，新增加或者拆除一个业务网点都不

需要更改配置和增加设备投资，组网非常灵活，加上ADSL线路申请、安装、拆除都非常

方便，以及迈普VP设备具有”傻瓜式”的操作和安装，因此还具有扩展非常容易的特点；

3.社会劳动保障信息网和劳动力市场信息网通过迈普防火墙独特的双DMZ设计以及VP的

虚拟安全域技术，有效的实现了逻辑隔离，并且不需要购买两套网络设备，不需要维护两套

网络，极大节约了网络成本，体现了高性价比的设计理念。此外利用迈普通信IPSec VP

技术，每一个业务办理者都必须系统合法证书，使用带有数字证书的USB KEY来进行业务

办理，加上办理业务的帐号和密码就形成”双因子认证”，证书的目的是为了将用户与他们各

自经办的每一笔业务唯一地、可靠地联系在一起，使得经办业务具有不可否认性和可追溯性，

这样融合了极高的网络安全，保证了整个方案具有高安全性；

4.由于方案中设计了双机热备份机制，备份线路机制，产品本身对关键部件提供了冗余备份

以及业务板卡热插拔等功能，此外迈普通信的网络设备又提供了丰富的Qos机制，支持关

于集成服务的RSVP协议、关于带宽管理的CAR、关于拥塞避免的WRED或者RED以及

关于拥塞管理的包括PQ、FIFQ、CQ、FQ、CBWFQ、LLQ等排队机制，保证了网络的高

可靠性；

5.其次，由于方案使用的设备秉承了迈普路由器高性能的特点，具有丰富的接入模块和较高

的端口密度，保证了网络的高扩展性，并且在方案中提供了分级的网络管理系统，使得整个

网络具有可网管性；

6.最后，在方案中可以在移动PC上安装迈普VP客户端软件VRC，只要在能够接入到互

联网的地方利用数字证书认证以后，都能通过VRC软件形成VP安全加密隧道接入到社

会劳动保障网中的生产区或者交换区，实现让服务无处不在的移动办公，使得整个网络具有

可移动性。

综上所述，迈普通信秉承社会劳动保障网的建网基本原则，立足于用户的业务需求，利用自

身”十年磨一剑”的技术优势，愿意为”金保工程”这一关系着国计民生的伟大工程出谋划策，

贡献自己的力量！