公告 更多

　　一、劳动和社会保障行业网络情况简介

　　劳动保障网络系统从功能上分为办公网、业务专网、公众服务网。办公网是支撑劳动保障部门建立的公文流转、部门内部办公应用的网络。劳动保障部门办公网主要为本部门办公服务，还将与国家电子政务内网连接，实现政府部门间的信息交换和共享。电子政务内网属涉密网络，因此办公网应按涉密网络进行建设和管理。业务专网将支撑劳动保障业务应用系统的运行,是依托国家电子政务外网平台/公共通信网络平台,覆盖全国各级劳动保障部门、经办机构或业务代办点的网络，实现数据、语音和视频信息的传递，并通过与政府相关部门(公安、财政等)和其他相关单位(医院、药店、银行、邮局等)的连接，实现相关信息的交换和共享。公众服务网是各级劳动保障部门利用互联网或电话咨询服务中心，面向公众提供政策咨询、业务查询、网上职介、网上参保登记和网上申报服务等的外部网络。

　　办公网和业务专网之间物理隔离，业务专网和公众服务网、互联网之间逻辑隔离。在国家电子政务外网平台建成之前，劳动保障业务专网利用公共通信网络平台进行建设。

　　劳动保障系统办公网分级建设，暂不进行互联;公众服务网可通过互联网或业务专网进行连接;业务专网纵向连接部、省、市劳动保障部门和各业务经办单位,横向连接相关部门和单位。

　　劳动和社会保障业务专网分为三级网络，分别是：

　　国干网络一一为实现劳动和社会保障部与各省劳动保障部门进行业务互联建立的覆盖全国31个省的国干网络，目前该网络已由华为公司承建完毕。

　　省干网络——为实现省劳动保障厅与各地市劳动保障部门互联而建立的覆盖全省所有地市的省干网络

　　地市城域网络——以地市为中心，覆盖所有市内机关和各区县机关以及劳动保障直属业务经办网点及税务、工商、医院、药店和企业等第三方单位的城域网络。

　　在地市城域网络中，各边缘节点与中心节点互连方式除少数采用光纤以太网接入方式和电信专线接入方式外，大部分边缘节点均釆用VPN的方式接入中心节点,来组成INTRANET或EXTRANET。

　　华为3COM公司劳动和社会保障行业有以下两种VPN解决方案：

　　1、劳动和社会保障行业分支机构和业务合作单位VPN连接解决方案部署模式如下图所示：

　　组网说明：

　　1)、在汇聚层部署SecPath1000或者Secpath100VVPN网关，通过VPN将社区业务经办点、企业、医院和药店等单位接入到劳动保障专网。由于接入到劳动保障业务专网的网点数量众多、类别不一,因此需要多台VPN网关按照不同类别将用户接入到劳动保障专网,如按照业务区分的养老保险、工伤保险、医疗保险、劳动力市场VPN网关等。

　　2)、在接入层，视网点规模大小部署SecPath100VPN网关或者SecPath10F网关，通过VPN接入到地市劳动保障城域网。

　　2、劳动和社会保障行业广域网专线VPN备份解决方案如下图所示：

　　顾名思义，备份VPN是指将VPN作为链路备份的手段。由于VPN组网价格低廉,因此用VPN链路作为专线链路的备份链路是一个非常不错的选择，这是VPN销售的另外一个机会点。

　　在上图中，专线作为主要链路用来连接分支机构和社保中心，当专线发生故障时，流量自动切换到VPN隧道上，从而实现了链路备份;当专线恢复的时候，流量自动从VPN隧道切换回专线链路。

　　但是为了实现上述自动链路切换，必须能够实现动态路由协议穿透VPN隧道，这往往需要借助于GREVPN技术。华为3ComSecPath系列VPN产品很好的解决了这个问题,通过“动态路由协议+GRE隧道+IPSECVPN”技术，动态路由协议可以自动的适应链路的变化进行选路。这个技术特点也是我司VPN解决方案的一个特点。

　　相比于拨号或ISDN的备份链路,VPN组网保证了线路带宽，给用户以专线般的感受;相比于专线的备份链路，VPN组网避免了线路的带宽和租金的浪费。

　　二、劳动和社会保障行业VPN组网优点说明

　　地市劳动保障城域网络建设，也就是地市金保工程，往往包含地市金保数据中心建设和地市金保城市网络建设(城市WAN和MAN)。使用VPN组网方式代替专线/拨号的方式来组建劳动保障城域网，主要有下面的优点?

　　★性价比高

　　传统的劳动保障城域网点有两种方式进入社保业务网络，

　　★采用PSTN的拨号方式点对点的接入到社保专用业务网络。此方式按需拨入，易于实现，物理链路接入，安全性高，费用较低，但线路带宽较低。

　　★通过租用电信运营商提供的物理或逻辑专线方式实现最终社保相关单位的接入。此方式用户永久在线，租用线路费用较高，运营商的VPN无法实现隧道的IPSEC加密，但线路带宽可按需租用。

　　VPN组网实现了上面两种组网优点。远程VPN网关只需接入当地的Internet,然后通过和地市金保数据中心建立VPN隧道，就可以接入地税金保数据中心。由于各种宽带接入技术的普及，使得宽带Internet接入的月租费十分便宜，而且加密/解密的时耗，速度也比拨号要快很多。因此VPN组网既可以大幅度减少专线组网的费用，也可以使用户感受到类似专线的通信速度。

　　★组网灵活，覆盖面广

　　和VPN相比，专线组网不灵活。DDN链路和SDH链路等都需要电信运营商有相应的网络资源在申请专线的企业分支机构的附近，才能较快的开通;否则的话，需要有较长的调度周期。对于某些通信设施没有到达的地方，甚至可能DDN线路/SDH线路根本无法覆盖。相比之下，由于自前Internet的普及,宽带基础设施覆盖面则广的多，也更容易组网。由于劳动和社会保障城域网点分布范围十分广，包括:社区业务经办点、工商、企业、医院和药店等单位，VPN组网方式比专网吏加合适。

　　★扩充性好

　　用VPN组网，总部只需一台高性能的VPN网关(有时考虑到高可靠性,可能需要两台)。通过配置，一台中心的VPN网关可以和上百个远程分支机构建立VPN隧道。如果是专线组网，则由于接口数目的限制，可能需要随着分支机构的增多，要不断的增加中心的网络设备。由于劳动和社会保障城域网点可能随着业务的增加有较多的新网点接入，因此,VPN组网在扩充性上较好。

　　★高安全

　　IPSECVPN技术实际上是下面一系列技术的集合：

　　★隧道技术:IPSEC、L2TP等等

　　★加密技术:DES、3DES、AES等等

　　★消息完整性技术:MD5、SHA-1等等

　　★认证技术:RSA数字证书认证、Pre-sharedKey认证等等

　　通过上面几种技术的集合，可以保证数据在公网传输时的私密性(加密技术)、不可篡改(消息完整性技术)和发送方的不可否认(认证技术),另外隧道技术保证了Intranet拓扑在Internet的透传。如果采取了较强的加密算法，如3DES和AES,以及较强的消息认证算法，如SHA-1，我们可以认为VPN可以达到和专线一样的安全性。