【導(dǎo)讀】河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng)。河源市人力資源和社會(huì)保障局

　　

【正文】 網(wǎng)絡(luò)平臺(tái)是往后所有信息系統(tǒng)的基礎(chǔ)支撐，其中 6 個(gè)縣區(qū)和人力資源與社會(huì)保障信息中心采用專線互聯(lián)， 103 個(gè)鄉(xiāng)鎮(zhèn)和數(shù) 十家醫(yī)療機(jī)構(gòu)是采用遠(yuǎn)程 VPN 接入方式。網(wǎng)絡(luò)平臺(tái)預(yù)留和橫向政府部門單位的擴(kuò)展接入能力，同時(shí)考慮社保實(shí)現(xiàn)與銀行的結(jié)算能力，網(wǎng)絡(luò)平臺(tái)還應(yīng)考慮具有和銀行接入的能力。 河源市人力資源與社會(huì)保障信息系統(tǒng)公共網(wǎng)絡(luò)平臺(tái)應(yīng)采用數(shù)據(jù)中心端到端網(wǎng)絡(luò)設(shè)計(jì)原則：分區(qū)、分層和分級(jí)來進(jìn)行設(shè)計(jì)。 河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng) 需求規(guī)格說明書 第 15 頁 /共 204 頁 網(wǎng)絡(luò)安全平臺(tái)總體架構(gòu)設(shè)計(jì) 結(jié)構(gòu)設(shè)計(jì) 結(jié)構(gòu)設(shè)計(jì)策略 按照數(shù)據(jù)中心的結(jié)構(gòu)，本方案采用以下策略設(shè)計(jì)： 1) 高可靠的設(shè)計(jì)思想融合在結(jié)構(gòu)設(shè)計(jì)、路由設(shè)計(jì)、應(yīng)用服務(wù)設(shè)計(jì)的各個(gè)層面； 2) 針對(duì)業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用需求實(shí)施全模塊化分區(qū)設(shè)計(jì)； 3) 依照工作重點(diǎn)和結(jié)構(gòu)分工的整網(wǎng)分層體系結(jié) 構(gòu)； 分區(qū)模塊設(shè)計(jì) 根據(jù)河源市人力資源與社會(huì)保障信息系統(tǒng)實(shí)際情況按照業(yè)務(wù)應(yīng)用需求，劃分為以下主要功能區(qū)： 1) 五縣一區(qū)市直單位接入?yún)^(qū) 2) 原社保網(wǎng)接入?yún)^(qū) 3) 網(wǎng)絡(luò)核心接入?yún)^(qū) 4) 安全管理區(qū) 5) 數(shù)據(jù)交換區(qū) 6) 生產(chǎn)區(qū) 7) 辦公樓內(nèi)網(wǎng)區(qū) 8) 互聯(lián)網(wǎng)接入?yún)^(qū) 9) 政務(wù)網(wǎng) 10) 前置服務(wù)器區(qū) 11) 辦公樓外網(wǎng)區(qū) 分層設(shè)計(jì) 為順應(yīng)數(shù)據(jù)中心的發(fā)展趨勢(shì)，構(gòu)建扁平化組網(wǎng)，適應(yīng)數(shù)據(jù)中心內(nèi)部流量突增的需求，本項(xiàng)目按照減化網(wǎng)絡(luò)層次來對(duì)網(wǎng)絡(luò)中心平臺(tái)進(jìn)行優(yōu)化，減化網(wǎng)絡(luò)層次，按照網(wǎng)絡(luò)核心和接入的模型對(duì)數(shù)據(jù)中心以及之內(nèi)的每一個(gè)功能區(qū)域按照層次化結(jié)構(gòu)模型進(jìn)行劃分： 核心層 河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng) 需求規(guī)格說明書 第 16 頁 /共 204 頁 構(gòu)成整個(gè)數(shù)據(jù) 中心生產(chǎn)局域網(wǎng)的高速交換核心，為各個(gè)功能分區(qū)提供高可靠高穩(wěn)定和支持快速愈合的第三層接入服務(wù)。在核心層設(shè)計(jì)以高可靠，高速交換為主要原則； 接入層 在各個(gè)分區(qū)主機(jī)和服務(wù)器的接入，具有高密度的接入能力。支持基于主機(jī)端口的訪問控制，并針對(duì)接入的數(shù)據(jù)流進(jìn)行標(biāo)記工作，便于傳輸過程中逐級(jí)實(shí)現(xiàn)針對(duì)流量的 QoS 控制策略。 網(wǎng)絡(luò)中心平臺(tái)總體拓?fù)涫疽鈭D 河源市人力資源和社會(huì)保障局 網(wǎng)絡(luò)平臺(tái)將按照如下架構(gòu)進(jìn)行設(shè)計(jì)，滿足用戶未來業(yè)務(wù)發(fā)展的需要，以下是總體拓?fù)涫疽鈭D： 方案中核心層由 2 臺(tái)核心交換機(jī)構(gòu)成， 2 臺(tái)交換機(jī)之間采用鏈路捆綁 的方式實(shí)現(xiàn)高速互聯(lián)，通過虛擬化技術(shù)實(shí)現(xiàn)核心設(shè)備的快速切換，保障核心設(shè)備出河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng) 需求規(guī)格說明書 第 17 頁 /共 204 頁 現(xiàn)故障時(shí)的快速切換，實(shí)現(xiàn)數(shù)據(jù)流的高速，高可靠線速轉(zhuǎn)發(fā)；核心層實(shí)現(xiàn)與數(shù)據(jù)中心和接入層的扁平直接高速互聯(lián)，互聯(lián)網(wǎng)接入、廣域網(wǎng)接入、及橫向網(wǎng)互聯(lián)均采用安全可靠可控的互聯(lián)方式直接和核心鏈接。 方案在生產(chǎn)區(qū)配置 2 臺(tái)高性能的帶負(fù)載均衡功能的專用交換機(jī)，該交換機(jī)內(nèi)置負(fù)載均衡模塊，實(shí)現(xiàn)服務(wù)器負(fù)載均衡， 2 臺(tái)交換機(jī)相互之間冗余備份。 在前置服務(wù)器區(qū)配置 2 臺(tái)高性能模塊化交換機(jī)，為該區(qū)服務(wù)器提供高速接入服務(wù)。 方案在辦公大樓各樓層配置 5 臺(tái)辦公內(nèi)網(wǎng)接入交換機(jī)，作 為內(nèi)網(wǎng)辦公用戶訪問網(wǎng)絡(luò)的訪問點(diǎn)，為用戶提供網(wǎng)絡(luò)訪問能力其主要功能包括：為用戶訪問提供共享帶寬；為用戶訪問提供交換帶寬；為用戶提供地址分配，地址轉(zhuǎn)換等地址服務(wù)功能 ； 為了實(shí)現(xiàn)各樓層、部門之間的隔離，接入層交換機(jī)應(yīng)能夠支持VLAN的劃分和 VLAN TRUNK協(xié)議。 每臺(tái)辦公內(nèi)網(wǎng)交換機(jī)均有獨(dú)立千兆光纖鏈路上連至核心交換機(jī)，接入交換機(jī)采用光纖上聯(lián)到內(nèi)網(wǎng)核心交換機(jī)，連接方式采用雙遞歸方式，保證鏈路的冗余性。辦公用戶接入采用 1000M 全雙工到桌面，為日后網(wǎng)絡(luò)的升級(jí)提供預(yù)留。 配置 5 臺(tái)辦公外網(wǎng)接入交換機(jī)，作為互聯(lián)網(wǎng)接入交換機(jī) 。 為保證所有外聯(lián)單位的高速互聯(lián)，在網(wǎng)絡(luò)中心部署 2 臺(tái)高性能萬兆核心轉(zhuǎn)發(fā)路由器作為外網(wǎng)的核心路由器。 配置一套網(wǎng)管系統(tǒng)，對(duì)全網(wǎng)的網(wǎng)絡(luò)設(shè)備進(jìn)行管理和控制，系統(tǒng)內(nèi)置操作日志以及報(bào)表，對(duì)收集的數(shù)據(jù)進(jìn)行相應(yīng)的報(bào)表呈現(xiàn)，幫助網(wǎng)管人員分析網(wǎng)絡(luò)狀況，為網(wǎng)絡(luò)健康管理和決策提供了數(shù)據(jù)依據(jù)，從而大大降低管理員的維護(hù)強(qiáng)度和難度。 主要網(wǎng)絡(luò)設(shè)備 設(shè)備名稱 配置要求 數(shù)量 1 核心路由器 主機(jī)：千兆以太網(wǎng)電口接口≥ 16， 2 個(gè)10/100/1000M WAN 端口 (RJ45 and SFP Combo)，雙引擎，雙電源 ， 2 河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng) 需求規(guī)格說明書 第 18 頁 /共 204 頁 2 核心交換機(jī) 千兆電接口 =48,千兆光接口 =48，萬兆接口 =4，雙電源，雙引擎，千兆多模光模塊 =24，萬兆光模塊 =2 2 3 接入?yún)R聚交換機(jī) 可用千兆電接口數(shù)量≥ 24；千兆光接口數(shù)量≥ 4；交換容量 ≥ 192Gbps；轉(zhuǎn)發(fā)性能≥ 36Mpps 5 4 負(fù)載均衡交換機(jī) 千兆電接口 (RJ45) =24（其中 4 個(gè)可光電復(fù)用），千兆負(fù)載均衡業(yè)務(wù)模塊，雙電源， CF 存儲(chǔ)卡 =512MB，多模光模塊 =2 個(gè) 2 5 服務(wù)器前置區(qū)交換機(jī) 最大可用萬兆接口數(shù)量≥ 8，支持 SFP+接口；最大可用千兆接 口數(shù)量≥ 44，最大可用千兆 SFP 接口≥ 20；交換容量≥ 360G；轉(zhuǎn)發(fā)性能≥ 156Mpps 2 6 網(wǎng)絡(luò)接入CA 認(rèn)證系統(tǒng) 安全應(yīng)用支撐服務(wù)器 1套； PKI 安全服務(wù)中間件1套；證書載體 400 個(gè)； 1 7 接入交換機(jī) 24 個(gè) 10/100BaseT,2 個(gè) 10/100/1000BaseT 與1000BaseX SFP COMBO 5 8 辦公外網(wǎng) 接入?yún)R聚交換機(jī) 24GE+4SFP Combo+2Slots 1 9 邊界路由器 包轉(zhuǎn)發(fā)率 ≥ 250kpps 2 網(wǎng)絡(luò)中心安全技術(shù)總體設(shè)計(jì) 安全區(qū)域規(guī)劃 結(jié)合河源 社保信息系統(tǒng)的現(xiàn)狀，參照國家信息安全系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)，將本次建設(shè)的網(wǎng)絡(luò)系統(tǒng)劃分為不同安全風(fēng)險(xiǎn)級(jí)別的安全區(qū)域： 安全分級(jí)設(shè)計(jì) 河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng) 需求規(guī)格說明書 第 19 頁 /共 204 頁 網(wǎng)絡(luò)中心安全平臺(tái)詳細(xì)設(shè)計(jì) 安全技術(shù)設(shè)計(jì) 根據(jù)前述安全區(qū)域規(guī)劃，河源社保信息系統(tǒng)的網(wǎng)絡(luò)支撐平臺(tái)劃分為生產(chǎn)區(qū)、數(shù)據(jù)交換區(qū)、安全管理區(qū)、原社保網(wǎng)絡(luò)、五縣一市直單位接入?yún)^(qū)、辦公內(nèi)網(wǎng)區(qū)、辦公外網(wǎng)區(qū)、前置服務(wù)器區(qū)、核心接入?yún)^(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、政務(wù)網(wǎng)接入?yún)^(qū)等安全區(qū)域。 為了保護(hù)整個(gè)網(wǎng)絡(luò)的整體安全，本期網(wǎng)絡(luò)安全規(guī)劃拓?fù)鋱D如下： 河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng) 需求規(guī)格說明書 第 20 頁 /共 204 頁 政務(wù)網(wǎng) — 互聯(lián)網(wǎng)接入?yún)^(qū) — 辦公外網(wǎng)安全設(shè)計(jì) 在辦公外網(wǎng)、互聯(lián)網(wǎng)與政務(wù)網(wǎng) 接入處部署高性能防火墻，實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)、政務(wù)網(wǎng)的安全隔離和訪問權(quán)限的控制，對(duì)來自外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的各種攻擊進(jìn)行防范。通過在防火墻上配置不同權(quán)限的安全策略，保護(hù)本局外部接入的網(wǎng)絡(luò)安全，限制外網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)訪問。 在辦公外網(wǎng)、互聯(lián)網(wǎng)與政務(wù)網(wǎng)接入處部署入侵防御系統(tǒng)（ IPS）對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控，捕捉可疑的網(wǎng)絡(luò)活動(dòng)，進(jìn)行實(shí)施響應(yīng)和報(bào)警并實(shí)現(xiàn)和防火墻的聯(lián)動(dòng)，對(duì)惡意網(wǎng)絡(luò)活動(dòng)進(jìn)行阻斷；檢測(cè)和防御惡意網(wǎng)絡(luò)攻擊，過濾二到七層的網(wǎng)絡(luò)攻擊和病毒，全面保障內(nèi)網(wǎng)服務(wù)器和數(shù)據(jù)的安全。 通過在互聯(lián)網(wǎng)與政務(wù)網(wǎng)接入處連接的 核心路由器上接一套專業(yè) VPN，對(duì)來訪社保業(yè)務(wù)系統(tǒng)的外部用戶傳輸?shù)男畔⑦M(jìn)行加密通信，防止機(jī)密信息的外泄。 河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng) 需求規(guī)格說明書 第 21 頁 /共 204 頁 在互聯(lián)網(wǎng)與政務(wù)網(wǎng)接入鏈路中架設(shè)兩臺(tái)帶寬優(yōu)化設(shè)備進(jìn)行流量控制，對(duì)外部訪問的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，滿足三級(jí)信息系統(tǒng) QoS 服務(wù)需求，為關(guān)鍵數(shù)據(jù)業(yè)務(wù)提供優(yōu)先數(shù)據(jù)帶寬、流量保障，同時(shí)限制惡意占用帶寬導(dǎo)致信息系統(tǒng)服務(wù)的有效性降低，保障內(nèi)網(wǎng)帶寬、外網(wǎng)鏈路及骨干網(wǎng)絡(luò)環(huán)境保持良好的狀態(tài)。 前置服務(wù)器區(qū)安全設(shè)計(jì) 在前置服務(wù)器區(qū)部署安全應(yīng)用支撐服務(wù)器（ CA 身份認(rèn)證服務(wù)器），通過GDCA PKI 安全服務(wù)中間件確定登陸應(yīng)用系統(tǒng)用戶的合 法身份，采用自建 CA 認(rèn)證中心的方式進(jìn)行用戶接入身份驗(yàn)證，確保接入用戶合法，避免各類竊取、偽裝用戶身份等非法接入導(dǎo)致的安全隱患。在前置服務(wù)器區(qū)部署網(wǎng)頁防 篡改保護(hù)系統(tǒng) ，實(shí)現(xiàn)對(duì)網(wǎng)頁訪問進(jìn)行保護(hù)，防止惡意掃描、非法網(wǎng)頁請(qǐng)求、 SQL 注入攻擊和關(guān)鍵字過濾等功能。在前置服務(wù)器區(qū)部署兩臺(tái)防火墻，通過在防火墻上配置不同權(quán)限的安全策略，保護(hù)本局外部接入的網(wǎng)絡(luò)安全。 生產(chǎn)區(qū)、數(shù)據(jù)交換服務(wù)器區(qū)安全設(shè)計(jì) 在該區(qū)部署兩臺(tái)以負(fù)載均衡模式熱備份的防火墻，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)與外部的安全隔離和訪問權(quán)限的控制，對(duì)來自外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的 各種攻擊進(jìn)行防范。通過在防火墻上配置不同權(quán)限的安全策略，保護(hù)數(shù)據(jù)中心接入的網(wǎng)絡(luò)安全，限制其它接入?yún)^(qū)的網(wǎng)絡(luò)訪問。 辦公內(nèi)網(wǎng)、原社保、五縣一區(qū)市直單位網(wǎng)絡(luò)接入?yún)^(qū)安全設(shè)計(jì) 在核心接入?yún)^(qū)部署入侵防御系統(tǒng)（ IPS）對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控，捕捉可疑的網(wǎng)絡(luò)活動(dòng)，進(jìn)行實(shí)施響應(yīng)和報(bào)警并實(shí)現(xiàn)和防火墻的聯(lián)動(dòng)，對(duì)惡意網(wǎng)絡(luò)活動(dòng)進(jìn)行阻斷；檢測(cè)和防御惡意網(wǎng)絡(luò)攻擊，過濾二到七層的網(wǎng)絡(luò)攻擊和病毒，全面保障內(nèi)網(wǎng)服務(wù)器和數(shù)據(jù)的安全。在辦公內(nèi)網(wǎng)接入?yún)^(qū)、核心接入?yún)^(qū)各部署兩臺(tái)防火墻，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)與外部的安全隔離和訪問權(quán)限的控制，對(duì)來自 外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的各種攻擊進(jìn)行防范。通過在核心防火墻上配置不同權(quán)限的安全策略，保護(hù)數(shù)據(jù)中心接入的網(wǎng)絡(luò)安全，限制其它接入?yún)^(qū)的網(wǎng)絡(luò)訪問。 河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng) 需求規(guī)格說明書 第 22 頁 /共 204 頁 安全管理區(qū)安全設(shè)計(jì) 為了 對(duì) IP 網(wǎng)絡(luò)進(jìn)行 管理 ， 包括 對(duì) 路由器 、 交換機(jī) 、 防火墻 、 應(yīng)用服務(wù)器等設(shè)備能夠 進(jìn)行有效地管理，在安全管理區(qū)部署一套網(wǎng)絡(luò)管理系統(tǒng)和一套安全管理軟件，來協(xié)助運(yùn)維管理人員實(shí)現(xiàn)安全事件管理、安全策略管理、安全組織管理、安全運(yùn)作管理和安全技術(shù)框架的中心樞紐，統(tǒng)一對(duì)系統(tǒng)內(nèi)安全設(shè)備進(jìn)行集中管控。 為了對(duì)本局內(nèi)部的服務(wù)器和 PC 終端進(jìn)行病毒防護(hù)，部署一套防病毒系統(tǒng)軟件。 安 全設(shè)備配置 序號(hào) 設(shè)備名稱 配置要求 數(shù)量 1 核心防火墻1 端口數(shù)： 4個(gè) 10/100/1000M 電口， 4個(gè)千兆光口；吐量（ Mbps）≥ ； VPN 性能≥ 1G；最大并發(fā)會(huì)話≥ 5,000,000；每秒新建會(huì)話≥ 50,000 4 2 核心防火墻2 端口數(shù)： 4*10/100/1000M 電口， 4*千兆光口，吞吐量（ Mbps）≥ ， VPN 性能 ≥ 2G， 最大并發(fā)會(huì)話 ≥ 5,120,000， 每秒新建會(huì)話 ≥ 70,000 2 3 防火墻 端口數(shù)： 4*10/100/1000M 電口， 4*千兆光口 ； 吞吐量（ Mbps）≥ ； VPN 性能≥ 800Mbps； 最大并發(fā)會(huì)話≥ 2,000,000； 每秒新建會(huì)話 ≥ 30,000 4 4 帶寬優(yōu)化網(wǎng)關(guān) 接口 : 3 個(gè) 10/100/1000 BaseTX； 4 個(gè)10/100/1000 BaseSX， 1個(gè) 10/100/1000 BaseTX管理口； QOS 帶寬管理≥ 1G(雙向 )；最大并發(fā)連接≥ 8,000,000；吞吐量≥ 2 5 入侵防御系統(tǒng) 并發(fā)連接數(shù)目 =3,000， 000； 每秒新建連接數(shù)目 =30， 000； 4 河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng) 需求規(guī)格說明書 第 23 頁 /共 204 頁 網(wǎng)絡(luò)處理能力 =； 1*10/100/1000M 管理口， 7*10/100/1000M 檢測(cè)口（ 4 光口 3電口） ； 6 安全管理中心軟件 開放式設(shè)計(jì)：平臺(tái)化設(shè)計(jì)，功能模塊插件化，買方可以自主選擇需要的功能模塊，或在現(xiàn)有平臺(tái)上進(jìn)行客戶化定制；分布組件：各功能組件之間采用網(wǎng)絡(luò)方式進(jìn)行通訊，各組件可以分布安裝在不同的機(jī)器上，以支持大規(guī)模和靈活的部署；采用業(yè)界主流的 B/S 方式，不需要安裝客戶端 1 7 網(wǎng)頁防篡改軟件 SQL 防注入模塊： IIS: , , ； Apache：, , ； eblogic/Websphere 1 8 網(wǎng)管軟件 要求資源拓?fù)?、告警、性能等功能組件支持多服務(wù)器負(fù)載分擔(dān)部署，保證各網(wǎng)管組件性能 通過分級(jí)管理，建立其區(qū)域化、層次化的管理體制，并且分散了大規(guī)模網(wǎng)絡(luò)的管理壓力 ,突破了單網(wǎng)管站點(diǎn)的資源管理能力和性能壓力。 1 9 SSL VPN 并發(fā)會(huì)話數(shù)目： ≥ 10000, 加密吞吐速度： ≥ 600M bps 1 存儲(chǔ)設(shè)計(jì) 河源市用社會(huì)保險(xiǎn)業(yè)務(wù)系統(tǒng)數(shù)據(jù)存儲(chǔ)由人力資源和社會(huì)保障局統(tǒng)一規(guī)劃建設(shè)的。系統(tǒng)核心存儲(chǔ)設(shè)備為華為 S6800T，詳細(xì)配置為： 華為 S6800T 詳細(xì)配置 雙控制器， 48GB Cache（最大 192GB）， 8Gb FC 主機(jī)接口 8 個(gè)（滿河源市城鄉(xiāng)居民醫(yī)療保險(xiǎn)管理信息系統(tǒng) 需求規(guī)格說明書 第 24 頁 /共 204 頁 配光模塊），且 1