广东省社会保障卡管理中心信息系统技术方案书模板.doc

《广东省社会保障卡管理中心信息系统技术方案书模板.doc》由会员分享，可在线阅读，更多相关《广东省社会保障卡管理中心信息系统技术方案书模板.doc（107页珍藏版）》请在咨信网上搜索。

1 广东省社会保障卡管理中心信息系统技术方案书 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。1 广广广广东东东东省省省省社社社社会会会会保保保保障障障障卡卡卡卡管管管管理理理理中中中中心心心心 信信信信息息息息系系系系统统统统工工工工程程程程(一一一一期期期期)项项项项目目目目 技技技技术术术术方方方方案案案案书书书书 版本号版本号:1.0:1.0 上海华腾软件系统有限公司ShanghaiHuatengSoftwareSystemsCo.,Ltd.二二年四月 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。I 目录目录 1.1.总论总论 .6 6 1.1 工程概述.6 1.2 公司简介.7 1.3 我们的优势.11 1.4 术语规范.14 1.4.1 术语定义.14 1.4.2 标准规范.16 2.2.业务需求分析业务需求分析 .2020 2.1 系统概述.20 2.1.1 系统建设目标.21 2.1.2 系统建设思路.22 2.1.3 卡管理中心与各业务部门的职能.24 2.2 业务功能.26 2.2.1 保障卡的技术规范.27 2.2.2 保障卡卡内的信息.27 2.2.3 密钥和 PSAM 卡的管理.27 2.2.4 保障卡个人信息管理.28 2.2.5 代理发卡业务.28 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。II 2.2.6 与外界接口.29 2.3 业务处理流程.29 2.3.1 卡信息管理.29 2.3.2 发卡.30 2.3.3 卡状态修改和黑名单管理.31 2.4 系统建设原则.32 2.5 技术指标.34 3.3.系统总体设计系统总体设计 .3636 3.1 概述.36 3.2 数据库及应用服务器的设计及配置.36 3.3 网络及安全设备的配置.39 3.4 中间件设计及配置.41 3.5 数据库系统的设计及配置.42 3.6 控制台设备配置说明.43 3.7 备份、容错方案.44 4.4.应用系统应用系统 .4646 4.1 密钥管理子系统.46 4.1.1 设计目标及原则.46 4.1.2 密钥的安全体系结构.47 4.1.3 设计实现的三级结构.51 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。III 4.2 发卡子系统.53 4.2.1 设计目标及原则.53 4.2.2 发卡子系统的体系结构.54 4.2.3 社会保障卡初始化生产制作流程.56 4.3 卡管理子系统.58 4.3.1 卡交易的管理.58 4.4 基本数据管理子系统.59 4.4.1 信息交换子系统.59 4.4.2 数据备份与恢复子系统.62 4.5 仓库管理子系统.62 4.5.1 设计目标及原则.62 4.5.2 子系统的功能组成.63 4.5.3 仓库管理子系统的设计结构.64 5.5.系统安全系统安全 .6767 5.1 网络安全.68 5.1.1 对外的防护体系的构建防火墙.68 5.1.2 构建内部网络的监控及防护体系.69 5.1.3 防病毒体系的构建.70 5.2 重点服务器的保护.70 5.3 数据传输安全.70 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。IV 5.4 访问控制.72 5.5 安全设计.73 6.6.工程实施工程实施 .7676 6.1 项目实施策略.76 6.2 人员及组织结构.76 6.3 任务总结.79 6.4 质量管理与控制.82 6.5 项目进程.82 6.5.1 进度报告.82 6.5.2 工程实施说明.83 6.6 系统验收.87 6.7 资料和技术文件.87 7.7.支持维护支持维护 .8989 7.1 培训.89 7.1.1 培训计划的实施.90 7.1.2 培训内容.91 7.2 服务支持.92 7.2.1 服务组织机构.92 7.2.2 支持及服务组织架构.93 7.2.3 系统安装服务.94 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。V 7.2.4 应用系统支持服务.95 8.8.附录附录 A A 上海市社会保障卡系统简介上海市社会保障卡系统简介 .9797 8.1 背景.97 8.2 总体网络架构.97 8.3 系统功能.98 8.4 当前运行状况.100 9.9.附录附录 B B 上海市金融上海市金融 ICIC 卡工程简介卡工程简介 .100100 10.10.附录附录 C C 上海城市公共交通一卡通工程简介上海城市公共交通一卡通工程简介 .102102 10.1 背景.102 10.2 系统指标.103 10.3 网络架构.103 10.4 应用系统.104 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。6 1.总论总论 上海华腾软件系统有限公司非常荣幸能有机会参加广东省社会保障卡管理中心信息系统工程项目(一期)的投标工作。作为国内具有一定规模、并在社会保障卡建设中具有实践经验的应用软件开发和系统集成厂商,我们愿意以最大的努力为广东省的社保卡建设尽我们的菲薄之力。我们渴望能有机会与广东省社会保障卡管理中心进行合作,共享我们的业务和系统建设经验。1.1 工程概述工程概述 中国社会保障体制的改革事关广大人民群众的切身利益,党和政府各级领导部门十分重视这场意义重大、影响深远的改革。作为改革开放最前沿的广东省,非常重视社会保障信息系统的建设。近几年已在一些地市建立了包括社会保险业务、劳动业务、民政业务等在内的社会保障信息系统。在此基础上,广东省政府提出建立全省统一的社会保障信息系统,用以建立包括社会保险业务、劳动业务、民政业务在内的全省统一的社会保障体系,实现全省社会保障管理的现代化。为此,广东省政府专门成立了社会保障信息系统建设项目管理办公室(简称项目办),项目办统一组织协调各有关建设单位,共同建设全省统一的社会保障信息系统。按照项目办制定并由广资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。7 东省政府颁布的总体规划,广东省社会保障信息系统建设的总体目标是:到,建成由统一网络支持的全省统一的大型社会保障信息系统,形成省级社会保障体系。建成后的社会保障信息系统功能完善、相关规范统一、管理模式先进;同时该社会保障信息系统的数据将为各级政府部门提供强有力的宏观决策服务,各社会保障职能部门能够经过该系统进行现代化的管理,增强业务透明度;而且该系统将面向全社会,为公众提供方便、快捷、安全的社会保障服务。由于广东省社会保障的对象多,覆盖面广,按照广东省社会保障信息系统建设总体设计要求,为了加强对社会保障卡的发行和使用的监管,决定建立广东省社会保障卡管理中心(简称省卡管理中心)来管理与卡发行和使用相关的事务,省卡管理中心面向全省持卡人,提供社会保障卡的统一管理,协调劳动和社会保险、民政等部门关系。1.2 公司简介公司简介 上海华腾软件系统有限公司是一家全国闻名的专业从事软件开发和系统集成的高新技术企业,公司注册资金超过 万美元。公司总部设在上海,在北京、广州、新加坡设立分公司,用户遍及全球和全国各地。公司拥有一支经验丰富、技术雄厚、吃苦耐劳、开拓进取的技术队伍。这支超过300人的专业技术队伍包括资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。8 了一个成功的系统集成商所要求的各方面专家及专业知识:行业知识、网络及系统规划、项目管理、培训、质量管理控制、最新计算机技术、技术支持、人员培训、系统上线、以及上述各方面丰富的经验。公司自成立之初就一直致力于推进中国信息化建设,在社会保障卡信息系统、邮政储汇网络建设(绿卡工程)、全国邮政电子汇兑系统、金融银行卡联网联合(金卡工程)、金融IC卡应用系统、银行综合业务、银行清算系统、海外银行业务、综合资信管理系统、城市交通一卡通系统、电子商务、证券、消费卡、以及计算机系统集成等方面均取得了丰硕的成绩,并在国内占有领先的市场份额,是上海首家营业额超亿元的软件公司。华腾软件自一九九三年成立以来就坚持”技术领先、自有品牌、全球市场”的发展方向;依托一流的技术、一流的人才、一流的管理和一流的设备,不断开拓市场并继续保持着公司在金融电子化、社会信息化和电子商务等领域中市场占有率的领先优势,为海内外二百多家客户提供了行业解决方案、系统集成服务。在 底,发布了集多年行业经验和技术优势的自有品牌产品-TOPS系列套装软件产品。在竞争激烈的信息产业市场中大显身手,华腾赢得了自己的一片天地,创下令人瞩目的业绩,受到了客户的高度赞扬。多年来华腾在国内软件业创造了多个”第一”的辉煌成就,包括:第一个金卡交换中心,第一个个人信用联合征信资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。9 系统,第一个城市级的电子商务支付网关,第一个银行金融智能卡交换清算系统,第一个城市交通一卡通清算系统,第一个部级电子商务示范工程-电子邮政支付系统。特别值得一提的是,华腾除了在国内市场拥有极高的市场占有率外,还打入海外市场,建设了大量的海外项目,客户面涉及银行、证券、零售业等诸多行业。在创造卓越成绩的同时,华腾软件始终十分注重软件产品和项目自身的质量管理水平和技术创新。公司已经过ISO9001质量管理认证;全面实施了企业资源管理计划(ERP);并于 2月荣获上海市颁发的第0001号”软件企业认定证书”;另外,中国软件评测中心于 4月在公司进行了集成资质的现场认证,并出具了合格认证报告。几年来,公司在国内、外成功地建设了多项大型系统项目,受到广泛的好评和赞誉。以下罗列了其中的部分项目:上海市社会保障卡一卡通工程 广东省邮政绿卡清算中心 广东省邮政10个城市中心 深圳证券交易所天腾主机维护 上海市城市公共交通一卡通工程 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。10 上海市金融IC卡一卡通工程 上海市个人信用联合征信服务系统 中国光大银行阳光卡大集中综合业务系统 英国壳牌石油公司信用卡超级POS零售系统 全国邮政金融总交换中心工程 上海市ATM/POS交换中心 全国银行卡网络工程 中国人民银行杭州分行信贷管理系统 四川乐山产权交易所联机交易系统 美国DELUXE公司信用管理及商户清算系统 美国MITECH公司商户清算系统 美国SUNGARD公司证券商管理系统 美国大通银行医疗保险系统 日本富士银行电话银行系统 上海城市合作银行综合业务系统 石家庄市城市合作银行综合业务系统 上海城市合作银行通汇对帐系统 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。11 1.3 我们的优势我们的优势 大型信息管理系统及网络工程建设实施的经验和能力 华腾公司自成立以来,作为国内知名的集成商和软件开发商,承建了大量大型信息管理系统及网络工程项目,这其中包括许多全国性的项目和工程规模庞大的项目。每一个大型项目的建设都是对华腾技术实力、管理能力及人员素质的全面考验。而随之而来地每一次成功告捷,无疑都是对华腾价值的有力证明。社会保障卡管理中心信息系统的项目经验和相关技术 1999 年 6 月华腾公司承建了上海市社会保障卡一卡通工程,该工程与广东省社会保障卡管理中心信息系统一期工程建设有很多相通之处,华腾在社会保障卡管理中心信息系统项目上的成功解决方案将为广东省社会保障卡管理中心信息系统一期工程的快速建设提供最佳的项目经验和技术保证,华腾将更为准确的掌握系统需求,更为科学的设计系统方案,同时也更为高效的进行项目实施管理,在系统上线后,协助省卡管理中心进行运行管理,为省卡管理中心未来的业务运营带来价值。严格的项目管理 华腾公司于 9 月经过 ISO9001 资格认证,严格按照资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。12 ISO9001 的标准对项目进行管理。在国外专家的帮助下,随着一批重大项目的成功实施,华腾公司已形成了一套严密的项目质量管理体系。从项目的可行性研究、用户需求分析、设计、一直到编程、测试、维护,都有明确的方法和规范,并有专门的管理小组对所有的项目进行监督和管理。这一系列基于软件生命周期法的规定和开发规范,已为国内外众多客户所接受。强大的本地技术力量 多年来,华腾公司广东分公司形成了一支具有行业经验,技术能力,与用户配合成熟的开发队伍,她们不可是技术开发力量,还是强大的技术支持和维护力量。公司特别重视对员工的技术技能培训,内部培训和外部培训并重,保证我们的技术人员能随时掌握最新的技术动态,具备最新的技术能力,这些都是为客户提供强大的技术支持的保证和基础。公司内具备各种主流主机和操作系统的开发环境和测试环境,技术人员不但能经过这些资源进行实践培训和内部开发,而且,能模拟客户端环境为在公司内为客户提供技术支持。另外值得一提的是,在公司企业文化和企业精神的熏陶资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。13 下,我们的技术人员都具有吃苦耐劳、精益求精的工作精神,能够克服各种不利因素,保证项目按时、按需完成。与第三方产品供应商的密切关系 华腾的价值和实力不但吸引了大量的客户,同时也为诸多国际 IT 厂商所认可,纷纷与华腾签订合作协议,结为合作伙伴。华腾公司每年都会派出若干名工程师到合作伙伴公司接收最新的技术培训,并获取最新的技术资料和信息。华腾的合作伙伴包括:BEA、BMC、COMPAQ、HP、IBM、INFORMIX、MICROSOFT、MOTOROLA、ORACLE、SUN、TURBOLUNIX 等.这对于一个系统集成商和客户来说,都是极大的优势。华腾公司不但有足够的能力能够集成诸多第三方产品,而且能够利用双方的合作协议从合作伙伴公司获得强有力的技术支持。完善的售后服务 我们完善的售后服务是基于公司健全的支持服务体系和专业经验。华腾公司立足国内,有一整套健全的支持服务体系,从根本上保障客户能够得到完善满意的售后服务。华腾在北京、广州等地设立分公司和办事处,与客资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。14 户保持紧密的联系,及时了解和满足客户各方面的需求,并随时提供相应的技术支持。华腾公司的技术支持工程师在专业领域的经验能确保售后服务的有效性。在金融领域大型工程的售后服务中,我们的工程师已多次成功地为客户提供技术支持和服务,如系统运行维护和定期检测、故障的现场或远程诊断、分析和排除、主机操作系统和数据库管理系统版本的现场升级、硬件扩充升级或改型之后的应用系统切换和版本升级以及各种技术咨询等。1.4 术语规范术语规范 1.4.1 术语定义术语定义 本文档定义的术语说明,以免读者产生歧义,供翻阅参考。数据加密 社会保障卡管理系统中使用的加密方法有 RSA、DES、3DES、SHA-1 等算法,这些算法能够采用硬件加密的方式,硬件加密机采用经国家权威部门审查批准,并符合国务院颁发的商用密码管理条例规定的指定生产机构生产的产品。数字签名 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。15 数字签名是用来保证当事人事后不能否认其提出的并已完成的交易请求。数字签名具有唯一性和不可抵赖性。公共密钥 一个实体的非对称密钥对中能够公开的密钥,在数字签名模式中,公共密钥用于验证功能。私有密钥 一个实体的非对称密钥对中仅供实体自身使用的密钥,在数字签名模式中,私有密钥用于签名功能。CA 中心 CA(CertificationAuthority)中心是交易的权威性、可信赖性及公正性的第三方机构。它为交易环境中各个实体颁发电子证书,以证明各实体的真实性,并负责交易中交易各方数字证书的检验和管理,同时负责 CRL 列表的维护和更新。RA 中心 在广东省社会保障信息系统中,CA 中心并不直接面对证书申请者,CA 需要借助于注册机构(RA)来为证书用户服务。有关证书的申请、撤消、废止等管理操作是在受理点资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。16 办理的,有关证书申请者的信息是经过 RA 中心传递到 CA 中心的。证书废止列表 证书废止列表(CRL)也称证书黑名单。认证机构签署的证书在有效期内有可能需要作废,因此,在使用证书时,除了验证认证机构对该证书的签名外,还要确保该证书是可信的。PSAM 卡 PSAM 卡用于嵌入各类 POS 设备中,完成交易的安全控制。接口设备(InterfaceDevice)也称作读写器(缩写 IFD),是 IC 卡与 PC 之间的通信的物理设备。JOB 工作方式 在制卡过程中,按照保障对象的区域和卡种,定义同一批次卡,完成这一批次卡的卡片个人化、印刷、邮封、分拣等任务,这样便于对社保卡的生产过程进行集中管理。1.4.2 标准规范标准规范 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。17 本文档使用了以下的一些标准规范,供翻阅参考。广东省社会保障卡技术标准与接口规范遵循的规范和要求有:1)个人计算机与智能卡国际互操作性规范(PC/SC1.0);2)中国金融集成电路(IC)卡规范(V1.0);3)劳动和社会保障部社会保障(个人)卡规范;4)劳动和社会保障部社会保障(个人)卡安全要求;5)劳动和社会保障部社会保障卡建设总体规划;6)广东省社会保障信息系统建设总体规划;7)广东省社会保障信息系统总体设计方案;8)广东省社会保障卡第1部分:个人卡(DB44119.1-);9)GB/T1988-1998(信息技术信息交换用七位编码字符集);10)GB/T15273(信 息 处 理 八 位 单 字 节 编 码 图 型 字 符 集(ISO8859:1987);11)国家商用密码管理条例;广东省社会保障卡系统软件设计和开发遵循的标准规范罗列如下:资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。18 1)GB1526-89信息处理数据流程图、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定;2)GB8567-88计算机软件产品开发软件编制指南;3)GB9385-88计算机软件需求说明编制指南;4)GB9386-88计算机软件测试文件编制标准;5)GB8566-88计算机软件开发规范;6)GB/T11457-1995软件工程术语;7)GB/T12504-90计算机软件质量保证计划规范;8)GB/T12505-90计算机软件配置管理计划规范;9)GB/T14079-93软件维护指南;10)GB/T14085-93信息处理系统计算机系统配置图符号及规定;11)GB/T15532-1995计算机软件单元测试;12)GB/T16260-1996信息技术软件产品评价质量特性及其使用指南;13)GB/T16680-1996软件文档管理指南;资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。19 14)GB/T19001质量体系设计/开发、生产、安装和服务的质量保证模式;15)ISO/IEC9126-1991信息技术软件产品评估质量特征及其应用指南;16)ISO9003-87最终检验和试验的质量保证模式;资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。20 2.业务需求分析业务需求分析 2.1 系统概述系统概述 广东省社会保障信息系统从内容上能够分为业务,数据,应用,网络,安全,社会保障卡等部分,从层次上能够分为省,地市,区县三个层次。业务系统 业务系统主要包括社会保险业务,劳动业务和民政业务等社会保障的三大核心业务,以及相关的接口业务。数据系统 数据系统主要包括三大核心业务数据库(社会保险,劳动和民政业务),用于跨业务部门及跨地域的共享数据库,用于与相关业务交换数据的接口数据文件系统,支持服务的公共服务数据库,支持决策的宏观决策数据库。应用系统 应用系统是指在基本业务系统基础上建立的计算机应用软件系统,主要包括实现基本业务功能的业务处理系统(社会保险,劳动业务,民政业务及相关业务)。网络系统 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。21 网络系统由通信网络,主机和终端设备等构成,它与社会保障卡系统一起构成了整个系统的技术环境支撑平台。社会保障卡系统 社会保障卡系统主要包括社会保障卡数据规范,业务规范,物理规范,管理规范和安全机制。安全体系 安全体系用于保障系统安全可靠地运行。广东省社会保障卡管理中心信息系统是广东省社会保障信息系统重要的组成部分,它贯穿于全省的社会保障信息系统之中。具体来说广东省社会保障卡管理中心信息系统包括:硬件上包括网络平台、业务终端、POS机、IC卡等,软件上包括数据库、平台软件、通讯软件和密钥系统等。考虑到投资规模,同时结合整个广东省社会保障信息系统建设,广东省社会保障卡管理中心信息系统分成两期工程来建设。一期工程主要能够满足广东省部分试点地市(广州、顺德、南海和珠海)及其它部分地市发行社会保障(个人)卡的需要,二期工程将满足广东省各地市发行社会保障(个人)卡的需要。2.1.1 系统建设目标系统建设目标 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。22 广东省社会保障卡管理中心信息系统一期工程作为广东省社会保障信息系统的一部分,它主要的建设目标是:实现密钥管理、个人卡初始化、数据校验和管理、PSAM 卡发行等任务。保证各试点地市能按计划发行社会保障卡。建立面向全省的、包括社保、劳动和民政等与群众切身利益密切相关的、政府各部门紧密联系的、网卡结合的社会保障系统。实现各业务部门和业务网点与保障对象及单位的社保数据交易。实现对全省社会保障卡的发行、管理、控制、使用、清算和安全保障。为参保个人和单位提供社会化服务。2.1.2 系统建设思路系统建设思路 按照广东省社会保障信息系统总体设计规划,建设广东省社会保障卡系统必须坚持”统一规划、统一标准、充分利用、联合共建”的主导思想。保证一期建设工程顺利完成,确保后续资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。23 工程的顺利衔接,为实现广东省社会保障业务一卡通,并为全国的社保业务一卡通打下基础。统一规划 制定全省社会保障卡系统总体规划。参与系统建设的各部门和各地区要在省总体规划的统一指导下进行社会保障卡系统的建设。统一标准 全省社会保障卡系统建设在标准方面要做到四个统一。即采用统一的业务标准规范、统一的计算机技术标准规范、统一的网络互联技术标准规范、统一的IC卡系统标准规范。充分利用 充分利用已有的计算机设备和网络设施,在基础通信方面,要充分利用已有的公共基础线路,充分利用全省统一网络互联大平台。联合共建 各社会保障职能部门一方面要负责各自业务系统的建设,另一方面要从全局出发,对于系统中互相联系的部分要密切配合,共同建设好大系统,以省政府信息网络为基础进行建设。资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。24 以上述指导思想为基础,充分合理利用智能卡资源,方便保障对象及单位使用,按照劳动社保部社会保障卡规范,使得全省各地社会保障业务一卡通,实现社会保障业务省内异地数据交易。2.1.3 卡管理中心与各业务部门的职能卡管理中心与各业务部门的职能 2.1.3.1 卡管理中心职能卡管理中心职能 卡管理中心基本职能包括社会保障卡的采购、洗卡、制作、发行、安全管理、仓库管理、持卡人基本信息管理等。卡管理中心分为两种类型:省级卡管理中心和地市级卡管理中心。省卡管理中心主要是管理功能,二期工程会加入交易功能,地市卡管理中心功能则偏向于个性化、地方化。省卡管理中心的职能包括:社会保障卡管理卡的制作生成、管理发放及发行使用 社会保障卡管理卡和个人卡的采购和制作 社会保障卡个人卡的洗卡 社会保障卡个人卡的发行,初始化和个人化 受地市级卡管理中心委托发行社会保障卡个人卡 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。25 完成对基本数据的完整性和一致性检查 地市级卡管理中心职能包括:发行本地社会保障卡个人卡,个人化 管理本地区的黑名单、控制交易安全 采集本地区用户的基本数据资料并保存,并将采集信息上传到省卡管理中心 社保卡密钥的安全控制和管理 2.1.3.2 各业务部门职能各业务部门职能 各业务部门有两种情况:业务指导部门、业务经办部门。业务指导部门:省劳动和社保厅、省民政厅等相关业务省厅单位负责对本省各地市业务部门进行业务指导并经办相关业务。省扩充部份由相关业务部门提供密钥分散因子给省卡管理中心,是密钥源头之一。业务经办部门:包括各地市社保局、劳动局、民政局以及社会保障体系涉及的多个地市相关业务部门。各地市的业务部门则负责在省业务主管单位的统一指导下办理业务。由于社会保障卡预留了扩充空间,各地能够在省的统一规划下,添加本地区的特资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。26 色业务。其中由于社保、劳动、民政在社会保障体系中占业务上的主导,增加了下列与社会保障卡发行和安全管理的业务项:社会保障卡的卡申请业务 卡挂失解挂业务 销卡业务 黑名单查询 其它相关业务部门由于业务和安全的需要,也增加了下列与社会保障卡发行和安全管理的业务项:卡挂失解挂业务 销卡业务 黑名单查询 2.2 业务功能业务功能 广东省社会保障卡管理中心信息系统具有以下功能:密钥和 PSAM 卡的管理 保障卡个人信息的管理 代理发卡业务功能 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。27 与其它系统的接口 2.2.1 保障卡的技术规范保障卡的技术规范 参见广东省社会保障卡第1部分:个人卡,广东省质量技术监督局负责制定。2.2.2 保障卡卡内的信息保障卡卡内的信息 社会保障卡是保障对象自身参保情况及数据的载体,保障卡为接触式的CPU卡。卡的芯片内数据与卡面信息参见广东省社会保障卡第1部分:个人卡。2.2.3 密钥和密钥和PSAMPSAM卡的管理卡的管理 一期工程中从密钥和管理卡的角度,主要实现的功能职责是:管理全省的密钥系统、为各地市准备发行的空白卡进行初始化、制作发行全省的PSAM卡、数据校验和管理。密钥管理 负责省级密钥的生成和管理,地市密钥的分散,加密机的制作、发行和管理。初始化程序 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。28 为各地市准备发行的空白卡进行初始化,将厂商的生产密钥替换为广东省的密钥,建立个人卡文件结构,保证全省的通读通写。PSAM 卡发行 根据各地市的申请,审批、制作和发行PSAM卡,供各地市的社会保障业务网点和定点医疗机构使用。数据校验和管理 对各地市卡中心上报的供校验的个人基本数据进行合法性、唯一性校验,并对有效数据进行备份和管理。2.2.4 保障卡个人信息管理保障卡个人信息管理 社会保障卡作为保障对象在各个社会保障业务中合法身份识别的依据,保障卡管理中心将保存用于卡片个人化的基本信息、公共消息、照片及来自社会保险业务系统,劳动业务系统,民政业务系统等分系统的专用信息。专用信息将同时保留在各分系统数据库内,在发生变化时将变化部分及时上送至管理中心。2.2.5 代理发卡业务代理发卡业务 代理发卡业务是指省卡管理中心受到地市级卡管理中心委托协助条件欠缺的地区发行社保个人卡,各地市用于发行的社保个人资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。29 卡必须经过省卡管理中心洗卡,地市级卡管理中心只负责卡的个人化。2.2.6 与外界接口与外界接口 中心在规划时将考虑并留有接口,以便将来顺利实现保障网络与外界网络的通讯,例如:其它地区网络(全国保障卡管理中心,或外省管理中心);政府业务部门信息网络;上级机关信息网络等等;2.3 业务处理流程业务处理流程 社会保障卡管理中心负责社会保障卡的管理和发行。卡管理中心存放社会保障卡基本资料、黑名单资料、卡片领用记录、卡片作废记录、网点情况记录等公共资料。2.3.1 卡信息管理卡信息管理 以各种方式采集来的个人资料信息数据(手工录入、指定格式的文本读入以及交易包的读入,指纹采集、照片摄像和扫描等),经过数据加工进行必要的过滤、清洗和整合,插入卡中心资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。30 社会保障卡资料库,完成数据准备,并可对卡的所有信息做查询和修改。2.3.2 发卡发卡 从卡中心资料库中抽取数据,进行卡片个人化、印刷、邮封、分拣、回执,整个制卡过程均采用JOB工作方式,从仓库领取白卡到半成品卡、成品卡和废卡在每一过程都有记录,这样能够对整个发卡过程做到可追溯,可管理,可调度,便于整个发卡过程的操作、控制和卡片管理。生成 JOB 能够任意组合条件,自定义JOB人数,生成JOB流水。区域:具体到市(县)、区、街道、居委 卡种:不同颜色、不同种类、不同人群 卡片个人化 个人化设备能够分不同的组选取不同JOB流水号,完成卡片个人化。卡片个人化包括洗卡和发卡两个环节,能够一起或分步完成。洗卡:将生厂商提供的白卡经过制造密钥认证卡将生产主控密钥替换为广东省社会保障卡主控密钥。资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。31 发卡:由加密机向社保个人卡写入密钥。发卡系统将社保个人卡按照社会保障卡数据标准规定格式划分各应用区,同时写入卡的基本数据和公用信息文件。印刷 选取JOB流水号,读取芯片,从资料库获取照片等信息印刷到卡片上。邮封 选取JOB流水号,读取芯片,包装入信封。分拣 选取JOB流水号,根据设定的分拣原则收集入箱,登记出库。回执 收到卡片后本人签字确认,回执信息(纸单)能够单笔或批量送到卡中心,完成卡片的生产周期。2.3.3 卡状态修改和黑名单管理卡状态修改和黑名单管理 对丢失卡的挂失(解挂),损坏、过期和流动(死亡)人口卡的注销以及补新卡等一系列卡的管理业务。挂失 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。32 审核必要的信息,经确认无误后置为挂失卡,添加到黑名单。对挂失超过一定时间期限的卡置为注销卡,修改黑名单。解挂 审核必要的信息并原为挂失卡,经确认无误后置为有效卡,修改黑名单。注销 审核必要的信息,经确认无误后置为注销卡,填加或修改黑名单。补卡 已申领过卡的人,由于某些原因(挂失、注销等)老卡已无效,重新补办新卡的业务。黑名单管理 对资料库中的黑名单可进行查询、修改、和删除等操作。2.4 系统建设原则系统建设原则 一卡通设计 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。33 发卡地区的社会保障部门对某类对象只发行一张社会保障卡,即单位一户一卡,劳动者个人一人一卡。该卡作为行业性IC卡应用,在异地通读的基础上逐步实现全国通用。高起点,一步到位 为保证卡内信息的安全性、可扩充性,同时在国家更大范围合并用卡之前,如无特殊情况社会保障部门不再轻易换卡,社会保障卡在开始使用时就采用性能较高的IC卡。低门槛,滚动发展 社会保障(个人)卡可先从最成熟、最急需的业务着手发卡,再根据业务需求情况和信息系统建设状况逐步扩大应用业务和地区范围,在统一规划下滚动发展。安全性高 社会保障卡在成本控制范围内,应选择能抗击多种硬件手段攻击的芯片,芯片制造过程中要进行安全控制。社会保障卡采用符合国家标准的加密算法,并建立严格的密钥管理体系,既可保护社会保障卡的防伪性与卡中信息的安全性,并可充分利用IC卡的信息识别和安全认证功能提高系统安全性。可靠性高 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。34 社会保障卡中的信息可存放 以上,且不易被伪造。先进性与实用性并重 社会保障卡的设计充分考虑发放对象的不同,卡的功能与应用的差别,既考虑技术的先进性,又考虑卡的实用性,针对发放给不同对象的卡进行分类,并对每一类卡分别进行设计,在保证需求能够得到充分满足的前提下,选择适用的产品。可扩充性好 在社会保障卡的设计中,遵循国家社会保障部和劳动部的有关要求,应充分考虑今后业务的扩展需求,确立扩展的原则与方法,随着业务、需求的变化发展,能够方便快捷地在卡中进行相应的扩充。业务管理独立 社会保障卡设计中应充分考虑系统建设的可操作性及管理的独立性原则,设计社会保障卡管理中心子系统,既可作为独立子系统运转,也可与其它业务子系统有机结合为一个整体进行运转;同时,在设计时设计完整的应用接口与数据接口,使之具有良好的开放性。2.5 技术指标技术指标 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。35 一期工程应满足 100 万参保人员基本数据处理的需要;要求发卡机支持 210 张/时的发卡速度;社会保障卡中心的信息可存放 以上,且不易被伪造;系统需 7x24 小时连续运行;资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。36 3.系统总体设计系统总体设计 3.1 概述概述 本章对省卡管理中心的硬件及系统软件的设计及配置提供说明,包括数据库及应用服务器、网络接入及交换设备、业务处理中间件等。本方案的系统软硬件采用的是技术成熟、性价比高、运行安全稳定、扩展性良好的主流产品。下面是卡管理中心生产网络概图:图3.1 广东省社会保障卡管理中心生产网络概图 3.2 数据库及应用服务器的设计及配置数据库及应用服务器的设计及配置 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。37 根据广东省社会保障卡管理中心信息系统的业务特点,结合我们在多年生产实践中的经验,建议本系统采用数据库及应用服务器双机互备方式运行,以保障业务系统不间断地运行,服务器能够从厂商或集成商处租赁。系统要求的发卡能力为 100 万张。根据我们的经验这样的发卡系统高峰日应承受至少 5 万张的日发卡能力,而高峰时段可能会处理这个量的 35%。卡管理中心在处理发卡的同时还承担来自各地市系统的大数据量信息交换,而由于个人信息涉及照片等大的二进制对象数据(BLOB),处理一次完整的发卡过程其访问数据库的频度及数据量相当于 20 笔标准 TPCC 值,我们分析本系统对主机的 TPCC 要求至少是(50000*0.35)/60)*20)*2=11700tpmc。从处理器运算角度分析,这个值如果配置 HP/9000 L 系列服务器,要求至少 2 个 440MHz 的 PA8500 处理器,如果配置 IBM RS/6000 H 或 F 系列服务器,要求至少 2 个 450MHz 的 RS3 型 PowerPC 处理器,由于要求处理大量的 BLOB 型数据对象,数据库服务器必须配置足够的内存数量,并配置合理的内存板以提高内存带宽,使处理器能分享足够宽的内存访问通道,具体的就是 2 路内存板,根据上述服务器的设计规格每路内存板最佳配置为 1GB 容量,故内存至少配 2GB;从数据的存储角度分析,每秒峰值交易数折合标准值是 11700/60=195tps,根据测试每笔 tpcc 交易在现在主流数据库平台下引起 4 次左右物理的 IO 读写操作,这要求磁盘阵列的资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。38 IOTPS 值为 1000 左右,HP 公司的 VA7100 或 FC60,IBM 公司的SSA320 满足这一要求,满足这一要求的磁盘阵列一般至少具备512M 高速缓存,在满足应用数据容量的基础上,至少配置 10 个硬盘并采用纯 RAID1+0 方式,以满足批量数据传输中对磁盘阵列后端的访问速率要求。在条件局限的情况下,数据库服务器和应用服务器能够在一台物理主机上运行。本方案对数据容量的推算为:100 万*每个人 30K 字节=30GB,再加上交易明细及管理信息至少 20GB,加上操作系统及数据库系统对磁盘的一系列格式化开销再增加 30%的空间,磁盘阵列RAID10 方式再增加一倍的磁盘量,磁盘实际应配置 130GB,为同时满足性能及容量上的需求,我们建议磁盘阵列实际配置为双控制器,512Mcache,10 个 36GB 硬盘。主机端配置双 100MB 光纤通道卡或 SSA 适配卡。在本方案中我们建议二台主机用群集软件如 HP 的 MC/SG 或IBM 的 HACMP 配成双机互备服务器系统,配置二个 36GB 的系统盘供操作系统及应用软件之用。主机与磁盘阵列的连接最好采用光纤交换方式,以满足灵活性及速度的需要。以上配置方案是运行我们卡管理软件并实施 100 万张卡系统管理及信息交换的基本要求,也是生产系统稳定运行的最低保资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。39 障。