公告 更多

　　一、勞動和社會保障行業網絡情況簡介

　　勞動保障網絡系統從功能上分為辦公網、業務專網、公眾服務網。辦公網是支撐勞動保障部門建立的公文流轉、部門內部辦公應用的網絡。勞動保障部門辦公網主要為本部門辦公服務，還將與國家電子政務內網連接，實現政府部門間的信息交換和共享。電子政務內網屬涉密網絡，因此辦公網應按涉密網絡進行建設和管理。業務專網將支撐勞動保障業務應用系統的運行,是依托國家電子政務外網平臺/公共通信網絡平臺,覆蓋全國各級勞動保障部門、經辦機構或業務代辦點的網絡，實現數據、語音和視頻信息的傳遞，并通過與政府相關部門(公安、財政等)和其他相關單位(醫院、藥店、銀行、郵局等)的連接，實現相關信息的交換和共享。公眾服務網是各級勞動保障部門利用互聯網或電話咨詢服務中心，面向公眾提供政策咨詢、業務查詢、網上職介、網上參保登記和網上申報服務等的外部網絡。

　　辦公網和業務專網之間物理隔離，業務專網和公眾服務網、互聯網之間邏輯隔離。在國家電子政務外網平臺建成之前，勞動保障業務專網利用公共通信網絡平臺進行建設。

　　勞動保障系統辦公網分級建設，暫不進行互聯;公眾服務網可通過互聯網或業務專網進行連接;業務專網縱向連接部、省、市勞動保障部門和各業務經辦單位,橫向連接相關部門和單位。

　　勞動和社會保障業務專網分為三級網絡，分別是：

　　國干網絡一一為實現勞動和社會保障部與各省勞動保障部門進行業務互聯建立的覆蓋全國31個省的國干網絡，目前該網絡已由華為公司承建完畢。

　　省干網絡——為實現省勞動保障廳與各地市勞動保障部門互聯而建立的覆蓋全省所有地市的省干網絡

　　地市城域網絡——以地市為中心，覆蓋所有市內機關和各區縣機關以及勞動保障直屬業務經辦網點及稅務、工商、醫院、藥店和企業等第三方單位的城域網絡。

　　在地市城域網絡中，各邊緣節點與中心節點互連方式除少數采用光纖以太網接入方式和電信專線接入方式外，大部分邊緣節點均釆用VPN的方式接入中心節點,來組成INTRANET或EXTRANET。

　　華為3COM公司勞動和社會保障行業有以下兩種VPN解決方案：

　　1、勞動和社會保障行業分支機構和業務合作單位VPN連接解決方案部署模式如下圖所示：

　　組網說明：

　　1)、在匯聚層部署SecPath1000或者Secpath100VVPN網關，通過VPN將社區業務經辦點、企業、醫院和藥店等單位接入到勞動保障專網。由于接入到勞動保障業務專網的網點數量眾多、類別不一,因此需要多臺VPN網關按照不同類別將用戶接入到勞動保障專網,如按照業務區分的養老保險、工傷保險、醫療保險、勞動力市場VPN網關等。

　　2)、在接入層，視網點規模大小部署SecPath100VPN網關或者SecPath10F網關，通過VPN接入到地市勞動保障城域網。

　　2、勞動和社會保障行業廣域網專線VPN備份解決方案如下圖所示：

　　顧名思義，備份VPN是指將VPN作為鏈路備份的手段。由于VPN組網價格低廉,因此用VPN鏈路作為專線鏈路的備份鏈路是一個非常不錯的選擇，這是VPN銷售的另外一個機會點。

　　在上圖中，專線作為主要鏈路用來連接分支機構和社保中心，當專線發生故障時，流量自動切換到VPN隧道上，從而實現了鏈路備份;當專線恢復的時候，流量自動從VPN隧道切換回專線鏈路。

　　但是為了實現上述自動鏈路切換，必須能夠實現動態路由協議穿透VPN隧道，這往往需要借助于GREVPN技術。華為3ComSecPath系列VPN產品很好的解決了這個問題,通過“動態路由協議+GRE隧道+IPSECVPN”技術，動態路由協議可以自動的適應鏈路的變化進行選路。這個技術特點也是我司VPN解決方案的一個特點。

　　相比于撥號或ISDN的備份鏈路,VPN組網保證了線路帶寬，給用戶以專線般的感受;相比于專線的備份鏈路，VPN組網避免了線路的帶寬和租金的浪費。

　　二、勞動和社會保障行業VPN組網優點說明

　　地市勞動保障城域網絡建設，也就是地市金保工程，往往包含地市金保數據中心建設和地市金保城市網絡建設(城市WAN和MAN)。使用VPN組網方式代替專線/撥號的方式來組建勞動保障城域網，主要有下面的優點?

　　★性價比高

　　傳統的勞動保障城域網點有兩種方式進入社保業務網絡，

　　★采用PSTN的撥號方式點對點的接入到社保專用業務網絡。此方式按需撥入，易于實現，物理鏈路接入，安全性高，費用較低，但線路帶寬較低。

　　★通過租用電信運營商提供的物理或邏輯專線方式實現最終社保相關單位的接入。此方式用戶永久在線，租用線路費用較高，運營商的VPN無法實現隧道的IPSEC加密，但線路帶寬可按需租用。

　　VPN組網實現了上面兩種組網優點。遠程VPN網關只需接入當地的Internet,然后通過和地市金保數據中心建立VPN隧道，就可以接入地稅金保數據中心。由于各種寬帶接入技術的普及，使得寬帶Internet接入的月租費十分便宜，而且加密/解密的時耗，速度也比撥號要快很多。因此VPN組網既可以大幅度減少專線組網的費用，也可以使用戶感受到類似專線的通信速度。

　　★組網靈活，覆蓋面廣

　　和VPN相比，專線組網不靈活。DDN鏈路和SDH鏈路等都需要電信運營商有相應的網絡資源在申請專線的企業分支機構的附近，才能較快的開通;否則的話，需要有較長的調度周期。對于某些通信設施沒有到達的地方，甚至可能DDN線路/SDH線路根本無法覆蓋。相比之下，由于自前Internet的普及,寬帶基礎設施覆蓋面則廣的多，也更容易組網。由于勞動和社會保障城域網點分布范圍十分廣，包括:社區業務經辦點、工商、企業、醫院和藥店等單位，VPN組網方式比專網吏加合適。

　　★擴充性好

　　用VPN組網，總部只需一臺高性能的VPN網關(有時考慮到高可靠性,可能需要兩臺)。通過配置，一臺中心的VPN網關可以和上百個遠程分支機構建立VPN隧道。如果是專線組網，則由于接口數目的限制，可能需要隨著分支機構的增多，要不斷的增加中心的網絡設備。由于勞動和社會保障城域網點可能隨著業務的增加有較多的新網點接入，因此,VPN組網在擴充性上較好。

　　★高安全

　　IPSECVPN技術實際上是下面一系列技術的集合：

　　★隧道技術:IPSEC、L2TP等等

　　★加密技術:DES、3DES、AES等等

　　★消息完整性技術:MD5、SHA-1等等

　　★認證技術:RSA數字證書認證、Pre-sharedKey認證等等

　　通過上面幾種技術的集合，可以保證數據在公網傳輸時的私密性(加密技術)、不可篡改(消息完整性技術)和發送方的不可否認(認證技術),另外隧道技術保證了Intranet拓撲在Internet的透傳。如果采取了較強的加密算法，如3DES和AES,以及較強的消息認證算法，如SHA-1，我們可以認為VPN可以達到和專線一樣的安全性。