社保一卡通安全解决方案

　　一、行业背景及需求 

　　人力资源和社会保障“一卡通”工程，就是在全国范围内建立统一、高效、简便、实用的劳动和社会保障信息系统，覆盖劳动保障领域主要业务，实现本地业务和服务的规范化、异地业务和服务的现代化、基金监管和宏观决策的科学化，是一个大型化、系统化、规模化的信息工程，是关系国计民生的头等大事。

　　对于“一卡通”系统来说，核心就是社会劳动保障信息化建设。网络科学技术和计算机应用技术的飞速发展，带来了信息化和网络化的热潮，加上电子政务的大旗已经举起，这些是推动社会保障“一卡通”工程的外因。但是，真正主导“一卡通”系统的核心推动力是来自于社会劳动保障的内因，即社会劳动保障自身业务发展的需要。

　　现在社会经济快速发展，人员流动频繁，跨区域的社会劳动保障业务受理越来越频繁，这对社会劳动保障信息化提出了新要求；同时为了适应新的市场需要，社会劳动保障提出了"五保合一"的业务建设需求，新的业务需求也促使社会劳动保障信息化进一步发展。

　　随着各项社会保险参保人的不断扩大，以及社会保险基金收入的急剧增长，一卡通业务需求越来越广泛，对整体办公网络提出了新的要求： 

　　■ 高可靠高性能要求
　　一卡通网络数据量庞大，核心设备需要达到百G处理能力，需支持各种万兆接口，满足后续业务发展需要。 

　　■ 对外门户网站的安全需求
　　对外门户网站关乎国家以及部门形象，针对WEB的攻击层出不穷，如何更好的杜绝对网站的非法篡改和对各种网络攻击的防范是目前的难题。 

　　■ 内网准入控制和行为审计
　　研究表明百分之七十的攻击来自于内网，如何有效地控制内部的网络行为和外来的非法接入，如何有效地修复内网漏洞,是网管人员最头疼的事情。 

　　■ 缺乏整体管理
　　全网设备分散且数目多，运维成本高，故障处理滞后，影响工作效率。

　　二、迪普解决之道 

　　迪普科技针对“一卡通”系统的业务实际情况，分别在核心区、外网发布区、内网核心数据库区和办公区进行了全面安全防御设计，采用了业界先进架构的安全设备。具体部署方式如下：
　　图1 

　　在核心区域部署2台DPtech DPX8000深度业务网关设备进行双机热备，实现核心接入区的高可用性。DPX8000深度业务交换网关融合防火墙、入侵防御、应用交付(负载均衡+应用优化)、综合审计及流控等功能，不仅从根本上解决了各类安全威胁，同时也简化了设备管理的复杂性;互联网边界采用DPtech防火墙设备进行安全接入访问控制；网页防篡改系统对外网发布区的上网申报服务器进行逻辑隔离、安全防御和网站防护;在办公区中，为了避免业务终端的非法联网和外来用户的非法接入，部署了DPtech TAC终端接入控制系统，对办公用户的所有操作进行实施监控，彻底杜绝了终端用户的安全威胁。

　　整体安全管理体系中，通过部署DPtech UMC统一管理中心对全网安全设备进行统一安全管理，通过部署DPtech漏洞扫描系统对整个网络进行实时的安全评估。

　　三、为什么选择迪普 

　　■ L2-L7层的全面安全防护
　　迪普科技防火墙、入侵检测、应用交付、综合审计等设备提供了完善的L2-L7层一体化安全防护。 

　　■ 网络级的性能
　　迪普科技相关产品基于APP-X硬件平台，可以在吞吐量、并发、新建连接、接口扩展等方面提供网络级的性能，使性能扩展不成为网络瓶颈，满足后期业务发展的需求。 

　　■ 完善的高可靠性保障 
　　融合化的部署模式，减少单点故障；业务模块间的全状态备份，正常情况下业务流量负载分担、性能叠加，故障情况下可实现毫秒级的故障切换；设备关键部件支持冗余以及热插拔，支持对设备的在线升级和维护。 

　　■ 统一安全策略部署
　　迪普科技的统一管理和策略部署平台，提供了简便的统一安全策略部署方案，实现设备状态集中监控、配置策略集中下发、业务日志集中收集与可视化分析，网络管理变得更加简单。