（三）网络环境要求

　　根据金保工程一期建设规划，结合城乡居民社会养老保险信息系统网络建设的要求，在充分利用金保工程一期建设成果基础上，根据可以复用的部分不再新建，可以扩充建设的部分做扩建处理的原则，提出以下网络环境建设要求。

　　1、统筹区局域网络。考虑到本次建设的系统向下延伸，是集中式的业务系统，实时、安全要求高，应做好以下几方面建设：

　　（1）做好业务专网和外网的安全隔离，并通过虚拟子网技术进一步划分核心应用区、网络基础服务区和综合应用区等区域，进行域间的访问控制；

　　（2）部署网络管理系统，实现对关键网络、系统、应用进行性能、事件和报警信息的采集、管理和监控；

　　（3）部署数据备份系统，完成本地关键系统业务数据的备份和恢复。

　　2、统筹区广域网络。金保工程一期网络系统设计中，省市县网络主要用于支撑非实时业务的监测数据和统计数据的采集以及视频会议系统。为支撑城乡居民社会养老保险业务，需做好：

　　（1）根据业务量对原有线路带宽进行适当扩容，调整通信设备的配置，以满足实时性业务要求；

　　（2）增加网络下延的网点数量，包括街道、社区、乡镇（街道）、村（社区），增配基层网络设备；

　　（3）为统筹区节点业务专网出入口配置全冗余设备，增配交换设备、防火墙设备等；

　　（4）增加备份线路。

　　3、业务专网与经办机构联网。省市县三级业务专网已初步形成，对尚未连接入网的乡镇（街道）、村（社区），要抓紧联网。对统筹区数据中心到乡镇（街道）、村（社区）的基层网络，要充分利用当地政府网络资源，优先通过业务专网方式向下延伸。对无条件实现专网连接的地区，可以采用VPN方式实现基层联网。

　　4、扩充互联网出口。适当扩充各统筹区数据中心互联网接入带宽，为查询服务提供相应支撑，并根据实际情况增加链路负载均衡和冗余设备配置。

　　（四）系统安全环境要求

　　1、基础安全防护。根据城乡居民社会养老保险实时业务要求，省市县广域网采用主备线路设计，增加必要的冗余网络设备，提高业务专网数据传输的可用性。在统筹区数据中心，在互联网络边界部署访问控制设备和入侵检测防护系统，以及专网配备网络数据库审计系统；部署主机服务器安全防护的双因素认证系统、主机防病毒和恶意代码防护系统、主机审计系统和网页防篡改系统。对于各网络节点中的计算机终端，配备桌面防病毒软件、补充桌面安全管理许可数。在各网络节点的接入点，配备防火墙系统，对终端进行安全访问控制和网络间的安全隔离。

第 [1] [2] [3] [4] [5] [6] [7] 页 共[8]页