金保工程交换区部分应用软件

金保工程交换区部分应用软件 集成部署 人力资源和社会保障部信息中心 二??八年九月 目 录 一、建设目标 ................................................................. 1 二、软件总体描述 ............................................................. 1 (一)软件总体结构 ....................................................... 1 (二)联网软件 ........................................................... 4 (三)财务交换库软件 ..................................................... 6 (四)基金报表软件 ....................................................... 8 (五)基金监管软件 ...................................................... 11 (六)异地总线 .......................................................... 11 (七)认证软件包 ........................................................ 12 三、网络系统方案 ............................................................ 12 (一)主机系统设备命名 .................................................. 15 (二)主机系统地址分配 .................................................. 16 (三)边界防火墙部署 .................................................... 17 四、应用系统方案 ............................................................ 22 (一)软件运行环境要求 .................................................. 22 (二)数据库要求 ........................................................ 27 (三)支撑软件配置要求 .................................................. 37 五、安全保障体系 ............................................................ 38 (一)安全保障策略 ...................................................... 38 (二)安全保障要求 ...................................................... 39 六、系统部署建议 ............................................................ 40 (一)软件独立部署方案建议 .............................................. 40 (二)软件集成部署方案建议 .............................................. 41 (三)软件集中部署方案建议 .............................................. 42 七、系统实施内容和要求 ...................................................... 44 (一)集成实施工作内容 .................................................. 44 (二)集成实施工作要求 .................................................. 45 一、建设目标 根据金保工程统一规划～基于金保工程部、省、市三级业务专网～在各省级节点的数据中心交换区实现金保工程联网数据管理信息系统,以下简称联网软件,、社会保险基金财务数据采集管理信息系统,以下简称财务交换库软件,、社会保险基金报表管理信息系统,以下简称基金报表软件,、社会保险基金监管信息系统,以下简称基金监管软件,等全国统一应用软件～异地业务服务总线,以下简称异地总线,、认证服务支撑软件包,以下简称认证软件包,等支撑软件的集成～使各金保工程应用软件形成有机整体～在全国范围内搭建有效的数据交换和应用平台～确保各项部省联网应用的有效开展。 部里将先期组织联网软件、财务交换库软件、基金报表软件、异地总线、认证软件包在各省级节点的统一集成实施工作。基金监管软件将根据数据上报情况以及基金监督工作需要另行安排。 二、软件总体描述 ,一,软件总体结构 根据金保工程总体规划～联网软件、财务交换库软件、基金报表软件、基金监管软件应在数据中心交换区统一部署～并基于金保工程业务专网联网运行。异地总线、认证软件包作为支撑性软件～将在同一区域统一部署。这些软件在金保工程应用系统总体布局中的关系构成～如图1所示。从全国范围看～联网软件、财务交换库软件、基金报表软件、基金监管软件的数据流向～如 —1— 图2所示。从单一节点看,以省级节点为例,～联网软件、财务交换库软件、基金报表软件、基金监管软件、异地总线、认证软件包的关系如图3所示。 生产区交换区决策区 异地业务 财统基联基宏办务计金网金观公异异异部交报报系监决系地地地换表表统管策统退转就库管移医 财统基联基宏办务计金网金观公省交报报系监决系换表表统管策统库 12333社会财网核财财社联基宏办统基劳保务上心务务区网金观公计金市电动障交99服平接管平系监决系报报话卡换务台口理台统管策统表表服管库务理 注: 表示物理隔离 省本级直接经办业务的，参照市级部署相关应用系统 图1 全国金保工程应用系统分布示意图 —2— 数据数据基金报表财务交换库基金监管联网软件部软件软件软件 数数数查数据据据询据信信信信信息息息息息流流流流流 数据基金监管基金报表财务交换库数据联网软件省软件软件软件 数查数数数据询据据据信信信信信息息息息息流流流流流 数据基金报表财务交换库基金监管数据联网软件市软件软件软件 交换区数据访问信息流 查询信息流图2 金保工程交换区软件数据流图 数据传输信息流 …………异地总线认证中心部级交换区 上传下载同步 异地总线认证软件包 联网软件基金监管软件财务交换库软件基金报表软件转换业务监管财务财务报表统计库业务生产库交换库数据库交换库数据库转换财务生产库 同步上传下载省本级生产区省级交换区 异地总线认证软件包 市级交换区………… 注:认证软件包部署在需进行认证服务的服务器上，包括联网软件、基金监管软件、异地总线。 图3 金保工程交换区软件关系图 —3— ,二,联网软件 联网软件采用B/S/S架构～在部、省、市级分别部署～有条件的地区可在省级做本省范围的集中部署。系统功能为～从城市一级获取本市各统筹地区的养老保险、失业登记和失业保险、医疗保险、工伤保险、生育保险各类业务基础数据,业务交换库数据,、分析表数据并逐级上传～支持业务数据的质量检查、统计和查询定制、统计、查询～支持联网和数据上报情况统计。 从业务上～可分为横向和纵向两个方面。横向即同级数据采集统计流程～每月各地市、省本级通过本地开发的数据转换程序～从本级生产库提取数据并更新交换库～利用联网软件对交换库数据进行检查并生成数据质量检查表～对交换库数据进行筛选并进而统计生成基础分析表～数据质量检查表和基础分析表入同级统计库。纵向即部、省、市三级数据报送流程～每月地市利用联网软件向省级数据中心报送交换库和统计库数据～各省利用联网软件生成全省统计库数据,含全省数据质量检查表和基础分析表,～然后向部级数据中心报送交换库和统计库数据。流程见图4。 —4— 数据统计部交换库部统计库部级 数据提取或上报数据上报 省本级省级省交换库数据提取数据统计省统计库生产库 数据提取或上报数据上报 数据提取市级数据统计市级生产库市交换库市统计库 生产区交换区 图4 金保工程联网软件数据上报流程图 联网软件各模块功能如表1。 表1 联网软件功能模块列表 序号 一级模块 功能描述 对本级数据库表和指标(字段)进行维护操作，各级部 门只能维护本级的业务表和业务指标。查询交换库业务代码交换库管1 表，若确实需要修改或者增加，必须首先上报上级审批，获理 准后同步手工修改。对下级交换库的指标扩展进行检查，和 部颁指标对比。 进行数据库连通监测，实时监控各下级机构与本级之间2 连通管理 的数据库连通情况和数据库运行情况，并生成各地数据库连 通情况报表。 数据上报检查各险种、各地区的交换库数据和统计库数据上报情3 情况检查 况，包括对上报量、完整性、覆盖情况的检查。 —5— 完成不同等级的部门之间的数据交互。数据传输根据自 动化程度可分为自动传输和手动传输，根据执行的主动性可 分为数据上报和数据提取。数据传输的内容可分为交换库传 数据传输输、统计库传输和质量检查方案传输。其中交换库传输包括4 管理 交换库表和指标的下发、接收，交换库数据的上报、接收和 提取;统计库传输包括统计表的下发、注销和接收，统计库 数据的上报和接收;质量检查方案传输包括质量检查方案的 下发、注销和接收。 管理报表业务数据源，根据业务数据源建立统计项目和 统计表设设计报表，对各级部门建立的报表进行分类管理，通过把报5 计 表的读写权限分别赋予的各个用户、角色来保证报 表的安全性。 根据地区、期别和展现形式对固定报表、临时报表进行6 统计查询 单表、多表和批量统计。按照地区、期别等维度对统计表进 行过录、汇总、分析等。 可以对本级和远程的交换库进行查询，使用固定条件或交换库查7 者复杂条件的方式进行，也可以支持直接输入SQL的方式进询 行灵活查询。 制定质量检查指标、质量检查条件、质量检查方案，各数据质量8 级部门根据制定的质量检查条件、质量检查方案对本地的业检查 务数据进行检查、筛选，并对检查结果进行分析。 完成角色管理、用户管理、权限管理、代码管理、数据9 系统管理 源配置信息、日志管理、数据备份、数据恢复、系统更新、 任务管理等。 ,三,财务交换库软件 财务交换库软件采用C/S架构～在部、省、市级分别部署。系统功能为～从各统筹地区的基金财务系统提取各项社会保险基金财务基础数据,财务交换库数据,～由城市一级开始逐级上传～支持生产库到交换库的数据转换方案定制、数据转换、数据质量检查～支持联网和数据上报情况统计。 该软件的数据流程如图5所示。财务交换库软件对主流的用友财务软件,R9、U8系列,预设了参考的数据转换方案～对第三方财务软件提供了数据转换的定义和配臵功能。市县级经办机构可利用此部分功能辅助进行财务生产库到财务交换库的数据 —6— 转换。如果市县级经办机构与市级数据中心网络连通～则转换后的数据可直接入财务交换库。如果网络不通～则通过生成加密的标准交换文件进行传递。部、省、市数据中心间～通过异地总线进行财务交换库数据的传输。财务交换库软件支持了数据入库过程中的检查～及入库后数据的检查和查询。 财务交换库软件部 级 部级财务 交换库 财务交换库软件 财务交换库软件 数据转换模块联网省本级财务省 级省级财务其他数据生产库标准交换文件交换库断网转换工具 财务交换库软件市本级财务市 级财务交换库软件生产库 数据转换模块联网市级财务其他数据标准交换文件交换库断网转换工具区 县区县级财务 生产库 交换区生产区 图5 财务交换库软件数据流向图 财务交换库软件各模块功能如表2。 表2 财务交换库软件功能模块列表 序号 功能模块 功能描述 1 数据库初始化 建立并且初始化财务交换数据库。 2 用户登录 用户登录功能，避免非法用户登录系统。 3 参数查询 3.1 代码管理 用于查看、打印代码表信息。 3.2 会计科目 用于查看、打印会计科目信息。 —7— 4 数据转换设置 定义转换的方法以及具体的转换对象。 4.1 软件产品资料 定义财务生产库使用的财务软件产品及其数据结构。 定义软件产品与交换库之间进行转换的SQL语句，财4.2 转换模板管理 务交换库软件通过这些SQL语句，进行转换工作。 用于定义转换方案。通过该功能，可以定义出需要把 某台服务器上的某一个(些)财务账套的数据导入到4.3 转换方案管理 财务交换库中。需要特别说明的是，此处只是定义， 具体转换工作在[财务数据转换]功能中。 用于管理财务交换库的财务数据。包括将财务生产库5 财务数据管理 中的数据转换到财务交换库，实现财务交换库的导 入、导出、删除等。 执行转换操作，完成财务生产库数据向财务交换库的5.1 财务数据转换 转换。 5.2 财务数据导入 将标准交换文件导入到财务交换库。 5.3 财务数据导出 用于将财务交换库中的数据导出到标准交换文件。 5.4 财务数据删除 用于删除财务交换库中的数据。 6 查询 6.1 报送管理 用于查询下级单位财务交换库报送以及漏报的功能。 测试网内多台交换库服务器之间的连通情况，支持连6.2 连通情况测试 通情况统计并且导出到Excel表格。 6.3 交换库凭证查询 查询交换库的凭证信息。 6.4 交换库余额表 查询交换库的余额信息。 6.5 操作日志 查询用户操作日志。 7 权限管理 设置用户对财务交换库的操作权限。 8 系统管理 8.1 修改密码 用于登录系统的用户修改密码。 8.2 退出系统 退出财务交换库软件。 9 帮助 9.1 帮助主题 9.2 关于 10 数据库维护 提供常用的数据库管理工具。 10.1 备份与恢复 对交换库系统的后台数据库进行备份和恢复。 当财务交换库系统使用多年，财务交换库数据量比较 大时，用户可以建立一个财务交换历史库，然后通过10.2 数据转移 数据转移功能，将当前数据转移到新建立的财务交换 历史库中。数据转移功能，提供在两个财务交换库之 间进行数据的转移。 数据升级维护工负责财务交换库数据升级包的维护以及数据升级工11 具 作 ,四,基金报表软件 基金报表软件采用B/S/S架构～在部、省、市级分别部署,如 —8— 采用分级部署方式～基金财务系统分布在区县级的地区～需在区县级另行部署,～有条件的地区应在省级做本省范围的集中部署。系统功能为～从各统筹地区的基金财务系统,支持主流的用友财务软件R9、U8系列,提取社会保险基金报表数据并逐级上传～支持基金报表定制、任务分配、数据统计、催报等工作。数据传输模式有两种～一是联网模式下～直接登录上级系统完成数据上传,二是未联网模式下～下级系统先导出文件～再由到上级系统导入文件。系统业务流程如图6～系统功能列表如表3。 采集任务下达逐级数据上报 定义表样领导查询指标公式 区县数据定义采集查询部任务 复审单位权限抽查统计分析用户定义 指标查询 统计分析接受、增加复审省指标查询下达任务抽查 统计分析接受、下达监控、查漏市指标查询任务报、催报 填报、取计算、审区县数、导入核、上报 图6 基金报表软件业务流程图 —9— 表3 基金报表软件功能模块列表 序号 功能模块 功能描述 1 系统初始 1.1 登录 登录到基金报表软件系统 1.2 主功能界面 基金报表软件系统主功能界面 1.3 公告栏 信息显示和信息发布 2 系统设置 系统级的参数和业务逻辑设置 2.1 参数设置 设置相关系统参数 2.2 代码设置 根据需要定义和管理代码 2.3 单位设置 设置单位结构和建立单位组织结构树 2.4 权限设置 进行角色权限管理 2.5 用户管理 建立用户并给用户分配权限 2.6 传输参数设置 为不同服务器设置数据传输参数 3 报表设计 报表格式定义和设计 3.1 报表设计 报表管理、定义指标、设计报表格式 4 任务管理 4.1 任务管理 任务管理、任务定义和分配、任务包导出 4.2 我的任务 查看分配到本单位的任务、数据授权 5 报表填报 5.1 报表填写 在线数据录入 5.2 报表查询 查询已录入的报表数据、舍位平衡 对当前任务已经上报的数据进行审核，并且查看5.3 报表审核 审核结果 5.4 报表汇总 根据定义的汇总条件进行汇总 5.5 上报确认 数据确认，不再修改 5.6 报送管理 报送情况查询和分析、催报 6 查询分析 6.1 发布查询 查看其他用户发布给自己的数据 6.2 指标查询 定义条件，查询当前任务中的指标数据 6.3 分析报表 设计和管理分析表、生成分析表数据 7 上传下发 7.1 任务下达 将任务所包括全部内容导出任务文件包 7.2 任务接收 接收上级下达的任务文件包 7.3 数据上报 将数据上传至上级单位服务器或打包 7.4 数据接收 接收打包数据 8 系统监控 8.1 在线用户查询 监控在线用户数量，查看在线用户上机日志 8.2 报表计算监控 监视各报表计算情况 8.3 日志 查询用户登录信息、用户功能访问情况 —10— ,五,基金监管软件 基金监管软件采用B/S/S架构～在部、省、市级分别部署～有条件的地区可在省级做本省范围的集中部署。系统功能为～基于业务交换库、社会保险基金财务交换库和财务报表数据、监督人员手工录入和导入数据等～支持部、省、市、县四级基金监督机构对同级和上级对下级的非现场监督工作～支持部、省、市、县纵向监督业务和监督办公信息的交互。 基金监管软件包括监督信息、监督业务、监督办公、政策法规四类子系统。监督信息为监督人员提供对社会保险基金及监督工作的全面了解功能。监督业务为监督人员提供对养老、失业、医疗、工伤、生育等各项社会保险的财务、业务数据的深入分析、明细查看功能～发现威胁基金安全的潜在问题。监督办公提供上下级间纵向的监督电子工作渠道。政策法规提供监督工作相关的政策法规录入查询功能～并可以在上下级间进行政策法规的上传下发。 ,六,异地总线 异地总线是部、省、市各联网应用系统共用的基础数据传输平台。异地总线通过统一接入的方式对需要进行部、省、市三级数据交换的相关应用系统提供统一的数据传输服务～以有效利用金保工程业务专网的带宽资源～提高各类联网应用系统数据传输方面的安全性和可靠性～节约软、硬件资源～并进一步提高信息交换的效率和质量。 —11— 在技术实现上～异地总线单独部署于部、省、市各级数据中心的前臵服务器上,部、省两级部署异地总线服务端软件、地市级仅部署异地总线客户端软件,。所有需要跨地区交换数据的联网应用系统～通过统一的数据传输协议～将需要交换的信息以文件形式传递到本级异地总线服务器上。本级异地总线根据指定的目的地～将待传输文件传输到目的地。目的地联网应用系统据此取得所需数据～或将其再次转发至其他目的地。 ,七,认证软件包 认证软件包主要包括认证服务程序库和证书注销列表文件,CRL列表,～以程序组件的形式与应用系统进行集成～为应用系统提供身份认证、签名/验签、数据加密/解密、责任认定等安全认证服务。 认证服务程序库分为动态链接库和JAVA程序库两种类型。基于C技术的应用系统调用动态链接库～基于JAVA技术的应用系统调用JAVA程序库。应用系统通过加载认证服务程序库～调用程序库中的函数～实现安全认证功能。认证服务程序库作为应用系统的一个程序文件～同应用系统一起部署～无需单独安装。 证书注销列表文件用于标记不再被信任证书,即废止证书,的列表信息～以文件形式部署在应用服务器端～由认证服务程序库函数读取分析～以验证证书的有效性。 三、网络系统方案 联网软件、财务交换库软件、基金报表软件、基金监管软件、 —12— 异地总线、认证软件包基于金保工程业务专网联网运行。有关金保工程业务专网的网络连接方式、网络设臵、路由设备命名、网关主机等设备的配臵情况、广域网、路由配臵、防火墙管理等～按照《关于金保工程部省联网线路调整和部省市网络互联有关事项的》,劳社信息函〔2008〕1号,规定执行。部省市三级业务专网总体网络结构见图7。下文重点陈述与前述软件直接相关的网络配臵调整内容。 —13— 内部网 内部网 部部部部生生灾灾资源区 资源资源区 资源产产备备中中中中灾备线路 心心心心节节节节点点点 点 VOIP 备份路由器 主路由器 广域网 资源区 资源区 视频终端 视频终端 省省省省中中中中心心心心节节节节点点点点 内部网 内部网 广域网 广域网 市市市市市市市市中中中中中中中中心心心心心心心心节节节节节节节节点点点点 点 点 点 点 资源区 资源区 资源区 资源区 内部网 内部网 内部网 内部网 图7 人力资源和社会保障系统部省市三级网络结构 —14— ,一,主机系统设备命名 互联主机设备的命名为Sx～其全域名遵循下列原则: 1(部级网络主机设备命名:Sx.MOHRSS 2(省级网络主机设备命名:Sx.省级地名缩写 3(市级网络主机设备命名:Sx.市级地名缩写.省级地名缩写 x为主机应用和用途缩写。应用缩写～联网软件为HRSIND～财务交换库软件为SIFFDA～基金报表软件为SIFRF～基金监管软件为SIFS～异地总线为RDTB。如果两个及以上应用部署在同一主机系统上～以“-”连接～如HRSIND-SIFFDA。用途缩写～如数据库服务器取DB～应用服务器取AS～前臵机,总线,服务器取APP～当数据库与应用合用一台机器时取AD～如果应用与前臵合用一台机器时取AA～如果数据库、应用与前臵合用一台机器时不需要填写用途。主机应用和用途间以“-”连接～如HRSIND-SIFFDA-DB。 省级和市级地名缩写按照《中华人民共和国行政区划代码》,GB/T2260-2002,命名。详见劳社信息函〔2008〕1号文件附表1-1省级行政区划名和市级行政区划名缩写表。市级行政区划有变化的～请将变化情况报部信息中心～由部信息中心商国家质检总局确定缩写名。另外～新疆生产建设兵团地名缩写采用BT。 例如～辽宁省联网软件应用服务器主机命名为 SHRSIND-AS.LN～辽宁省联网软件数据库、财务交换库软件数据库合用一台机器的主机命名为SHRSIND-SIFFDA-DB.LN。 —15— ,二,主机系统地址分配 部省联网省端网络联接方式见图8所示。原则上～前臵机,异地总线,放到资源区～基于异地总线进一步联网传输数据的应用服务器、数据库服务器放到内部网。在联网模式下上传数据时～基金报表系统采用通过下级客户端登录访问上级应用服务器的方案～其上级应用服务器应放到资源区。应用服务器包括联网软件、财务交换库、基金报表、基金监管等系统的应用服务器～数据库服务器包括联网软件、财务交换库、基金报表、基金监管等系统的数据库服务器。 省市广域网 部省广域网 X.X.X.122/30X.X.X.126/30 X.X.X.121/30 备份路由器 主路由器 备份路由器 主路由器 X.X.X.125/30 X.X.X.253/25 X.X.X.247/25 X.X.X.252/25 X.X.X.246/25 VRRP VRRP X.X.X.248/25 X.X.X.254/25 接入区 电话 X.X.X.249/25 视频设备 (X.X.X.128/25) x.x.x.62/26 防火墙 前置机(异地总线) 应用、数据库服务器 地址:Y.Y.Y.Y/N X.X.X.8/26 网关:Y.Y.Y.Y/N 资源区 内部网 (X.X.X.0/26) 图8 省端设备的连接方式 —16— 各省、自治区和直辖市已从省本级地址空间中为广域网的接入分配了1个C类地址空间,x.x.x.1-x.x.x.255/24,。接入区,防火墙外网段,分配其中1/2个C类地址空间,x.x.x.128-x.x.x.255/25,～资源区,防火墙DMZ网段,分配其中1/4个C类地址空间,x.x.x.0-x.x.x.63/26,。主机地址从小到大分配～如果采用双机～虚地址使用低地址～实地址使用高地址。本次部署应用系统的主机地址规划见表4: 表4 相关应用系统主机地址规划 位置 地址范围 地址分配 资源区(防火墙x.x.x.0-x.x.x.63/26 防火墙VRRP地址:x.x.x.62/26 DMZ网段) 网段:x.x.x.0/26 防火墙双机地址1:x.x.x.61/26 防火墙双机地址2:x.x.x.60/26 异地总线前置机:x.x.x.8/26 基金报表应用服务器:x.x.x.9/26 省级系统集中部署的，在资源区确定 其他应用服务器地址、掩码及其服务 器网关地址。 内部网(内部网交访问业务专网的所省级系统分散部署的，在内部网确定换机各网段) 有内部网的网段 其他应用服务器的地址、掩码及其服 务器网关地址; 在内部网确定各应用的数据库服务器 的地址、掩码及其服务器网关地址。 ,三,边界防火墙部署 1(应用软件端口 异地总线占用TCP端口～主映射端口,固定端口,统一为5000～动态映射端口,浮动端口,建议设为8000-8010中的部分端口,具体端口数与各省所辖地市连接规模有关,。浮动端口如果与各地现有端口用途有冲突～可由各地与部协商后调整～并报部备案。端口调整时需同时修改异地总线配臵文件。 —17— 联网软件、财务交换库软件、基金监管软件为实现应用服务器向异地总线传递数据的过程～需占用异地总线前臵机TCP端口～端口资源为FTP 应用的20和21端口。 联网软件为实现上级应用访问下级数据库的过程～需使用下级Oracle的1521和1526端口。供用户访问使用HTTP服务的80端口。 财务交换库软件需要从财务生产库提取并转换数据～对财务生产库的访问需要开放ORACLE的1521端口,对应ORACLE版的财务系统,～SQL SERVER的1433端口,对应SQL SERVER版的财务系统,。财务交换库软件的连通测试功能～需要上下级内部网之间开通1521端口。 基金报表软件需要从财务生产库提取并转换数据～对财务生产库的访问需要开放ORACLE的1521端口,对应ORACLE版的财务系统,～SQL SERVER的1433端口,对应SQL SERVER版的财务系统,。基金报表软件的功能需要开放供同级和下级用户访问的HTTP服务的80端口。 基金监管软件占用的TCP端口为Oracle应用的1521端口,连接对象包括基金监管数据库服务器、联网软件数据库服务器、财务交换库软件数据库服务器、基金报表软件数据库服务器,。供用户访问使用HTTP服务的80端口。 认证软件包需要从上级目录服务器下载证书注销列表更新信息～需要开放访问上级目录服务器的3890端口。 —18— 2(业务流向 ,1,异地总线传输业务流向: 省前臵机?部前臵机:TUXEDO ,端口5000、8000-8010, 市前臵机?省前臵机:TUXEDO ,端口5000、8000-8010, ,2,联网软件业务流向: 部端应用服务器?部前臵机:FTP,端口20、21, 部端应用服务器?部端数据库服务器:JDBC,端口1521、1526, 部端应用服务器?省端数据库服务器: JDBC,端口1521、1526, 部端数据库服务器?省端数据库服务器:Oracle SQL Net,端口1521、1526, 部端客户机,最终浏览用户,?部端应用服务器:HTTP,端口80, 省端应用服务器?省前臵机:FTP,端口20、21, 省端应用服务器?省端数据库服务器:JDBC,端口1521、1526, 省端应用服务器?市端数据库服务器: JDBC,端口1521、1526, 省端数据库服务器?市端数据库服务器:Oracle SQL Net,端口1521、1526, 省端客户机,最终浏览用户,?省端应用服务器:HTTP,端 —19— 口80, 市端应用服务器?市前臵机:FTP,端口20、21, 市端应用服务器?市端数据库服务器:JDBC,端口1521、1526, 市端客户机,最终浏览用户,?市端应用服务器:HTTP,端口80, 系统在省级集中部署的情况下:市端客户机?省端应用服务器:HTTP,端口80, ,3,财务交换库软件业务流向: 部端客户机?部前臵机:FTP,端口20、21, 部端客户机?部端数据库服务器:Oracle SQL Net,端口1521, 部端客户机?省端数据库服务器:Oracle SQL Net,端口1521, 省端客户机?省前臵机:FTP,端口20、21, 省端客户机?省数据库服务器:Oracle SQL Net,端口1521, 省端客户机?市端数据库服务器:Oracle SQL Net,端口1521, 市端客户机?市前臵机:FTP,端口20、21, 市端客户机?市端数据库服务器:Oracle SQL Net,端口1521, 市端客户机?市财务软件数据库服务器:Oracle SQL Net,端 —20— 口1521,～或SQL SERVER,端口1433, ,4,基金报表软件业务流向: 部端客户机?部端应用服务器:HTTP,端口80, 部端应用服务器?部端数据库服务器:JDBC,端口1521, 省端客户机、应用服务器?部端应用服务器:HTTP,端口80, 省端客户机?省端应用服务器:HTTP,端口80, 省端应用服务器?省端数据库服务器:JDBC,端口1521, 市端客户机?市财务软件数据库服务器:Oracle SQL Net,端口1521,～或SQL SERVER,端口1433, 系统在省级集中部署的情况下:市端客户机?省端应用服务器:HTTP,端口80, ,5,基金监管软件业务流向: 部端应用服务器?部前臵机:FTP,端口20、21, 部端应用服务器?部端数据库服务器:JDBC,端口1521, 部端应用服务器?部端联网软件、财务交换库、财务报表数据库服务器:JDBC,端口1521, 部端客户机,最终浏览用户,?部端应用服务器:HTTP,端口80, 省端应用服务器?省前臵机:FTP,端口20、21, 省端应用服务器?省端数据库服务器:JDBC,端口1521, 省端应用服务器?省端联网软件、财务交换库、财务报表数 —21— 据库服务器:JDBC,端口1521, 省端客户机,最终浏览用户,?省端应用服务器:HTTP,端口80, 市端应用服务器?市前臵机:FTP,端口20、21, 市端应用服务器?市端数据库服务器:JDBC,端口1521, 市端应用服务器?市端联网软件、财务交换库、财务报表数据库服务器:JDBC,端口1521, 市端客户机,最终浏览用户,?市端应用服务器:HTTP,端口80, 系统在省级集中部署的情况下:市端客户机?省端应用服务器:HTTP,端口80, ,6,认证软件包业务流向: 省、市有认证软件包的应用服务器?部业务专网目录服务器:LDAP,端口3890, 部业务专网目录服务器?省、市有认证软件包的应用服务器:LDAP,端口3890, 四、应用系统方案 ,一,软件运行环境要求 各项联网应用的省端实施软硬件设备环境由各省自行准备～包括联网软件、财务交换库软件、基金报表软件、基金监管软件等系统的应用中间件、数据库、应用服务器、数据库服务器、客户机～异地总线的传输前臵机等。联网软件、财务交换库软件、 —22— 基金报表软件、基金监管软件、异地总线、认证软件包由部里统 一免费提供。 针对不同的参保规模1200万、600万、200万、50万～提 出如下服务器配臵建议。 1(数据库服务器配臵 表5 应用系统数据库服务器配置建议 1200万 600万 200万 50万 小型机配置: 小型机配置: 小型机配置: RISC CPU，4 CPU，RISC CPU，4 CPU，RISC CPU，2 CPU， 8G RAM，内置硬盘8G RAM，内置硬盘4G RAM，内置硬盘 160G以上。阵列1T500G以上。网络接200G以上。网络接 以上。网络接口:口:1000M网卡。口:1000M网卡。 1000M网卡。64位64位Uinx操作系64位Uinx操作系 Uinx操作系统。 统。 统。 联网PC服务器配置: PC服务器配置: PC服务器配置: PC服务器配置: 软件 Intel， 4 CPU， 8G Intel，4 CPU， 8G Intel，2 CPU， 4G Intel，2 CPU， 4G RAM，硬盘1000GRAM，硬盘500GRAM，硬盘200GRAM，硬盘80G以以上。网络接口:以上。网络接口:以上。网络接口:上。网络接口: 1000M网卡。1000M网卡。 1000M网卡。1000M网卡。Windows Server Windows Server Windows Server Windows Server 2003 X64或以上版2003 X64或以上版2003或以上版本操2003或以上版本操本操作系统。 本操作系统。 作系统。 作系统。 小型机配置: 小型机配置: 小型机配置: RISC CPU，4 CPU，RISC CPU，4 CPU，RISC CPU，2 CPU， 4G RAM，内置硬盘4G RAM，内置硬盘2G RAM，内置硬盘 150G以上。磁盘阵300G以上。网络接120G以上。网络接 列300G。网络接口:口:1000M网卡。口:1000M网卡。 1000M网卡。64位64位Uinx操作系64位Uinx操作系 财务Uinx操作系统。 统。 统。 交换PC服务器配置: PC服务器配置: PC服务器配置: PC服务器配置: 库软Intel， 4 CPU， 4G Intel， 4 CPU， 4G Intel，2 CPU， 2G Intel，2CPU， 2G 件 RAM， 硬盘500 GRAM， 硬盘300GRAM，硬盘120GRAM，硬盘70G以以上。网络接口:以上。网络接口:以上。网络接口:上。网络接口: 1000M网卡。1000M网卡。1000M网卡。1000M网卡。Windows Server Windows Server Windows Server Windows Server 2003或以上版本操2003或以上版本操2003或以上版本操2003或以上版本操作系统。 作系统。 作系统。 作系统。 —23— 小型机配置: 小型机配置: 小型机配置: RISC CPU，4 CPU，RISC CPU，4 CPU，RISC CPU，2 CPU， 4G RAM，内置硬盘4G RAM，内置硬盘2G RAM，内置硬盘 150G以上。磁盘阵300G以上。网络接120G以上。网络接 列300G。网络接口:口:1000M网卡。口:1000M网卡。 1000M网卡。64位64位Uinx操作系64位Uinx操作系 基金Uinx操作系统。 统。 统。 报表PC服务器配置: PC服务器配置: PC服务器配置: PC服务器配置: 软件 Intel， 4 CPU， 4G Intel， 4 CPU， 4G Intel，2 CPU， 2G Intel，2CPU，2G RAM， 硬盘500GRAM， 硬盘300GRAM，硬盘120GRAM，硬盘70G以 以上。网络接口:以上。网络接口:以上。网络接口:上。网络接口: 1000M网卡。1000M网卡。1000M网卡。1000M网卡。 Windows Server Windows Server Windows Server Windows Server 2003或以上版本操2003或以上版本操2003或以上版本操2003或以上版本操 作系统。 作系统。 作系统。 作系统。 小型机配置: 小型机配置: 小型机配置: RISC CPU，4 CPU，RISC CPU，2 CPU，RISC CPU，2 CPU， 8G RAM， 内置硬8G RAM， 内置硬4G RAM， 内置硬 盘200G以上。磁盘盘200G以上。磁盘盘100G以上。磁盘 阵列1T以上。网络阵列500G以上。网阵列200G以上。网 接口:1000M网卡。络接口:1000M网络接口:1000M网 64位Uinx操作系卡。64位Uinx操作卡。64位Uinx操作 基金统。 系统。 系统。 监管PC服务器配置: PC服务器配置: PC服务器配置: 软件 Intel Xeon MP Intel Xeon MP Intel Xeon MP CPU， 2 CPU，8G CPU， 2 CPU，4G CPU，2 CPU， 4G RAM， 硬盘700GRAM， 硬盘300GRAM， 硬盘100G 以上。网络接口:以上。网络接口:以上。网络接口: 1000M网卡。1000M网卡。1000M网卡。 Windows Server Windows Server Windows Server 2003 X64或以上版2003或以上版本操2003 或以上版本 本操作系统。 作系统。 操作系统。 2(数据库服务器相关软件 表6应用系统数据库服务器软件配置列表 数据库软件 联网软件 Oracle9i Release2或以上版本，采用ZHS16GBK字符集。 财务交换库软件 Oracle9i Release2或以上版本，采用ZHS16GBK字符集。 基金报表软件 Oracle9i Release2或以上版本，采用ZHS16GBK字符集。 基金监管软件 Oracle9i Release2或以上版本，采用ZHS16GBK字符集。 3(应用服务器配臵 —24— 联网软件、基金报表、基金监管软件是B/S/S系统～应用服务器、web服务器需分别部署在一个物理服务器上～则统称应用服务器～主要用途是安装应用程序、存放报表结构及临时文件。财务交换库是C/S系统～在大数据量的情况下～可考虑配臵应用服务器～应用服务器的功能与客户机相同。 表7 应用系统应用服务器配置建议 1200万 600万 200万 50万 小型机配置: 小型机配置: 小型机配置: RISC CPU，2 CPU，RISC CPU，2 CPU，RISC CPU，2 CPU， 4G RAM，内置硬盘4G RAM，内置硬盘2G RAM，内置硬盘 120G以上。网络接80G以上。网络接40G以上。网络接 口:1000M网卡。口:1000M网卡。口:1000M网卡。 64位Uinx操作系64位Uinx操作系64位Uinx操作系 统。安装中文语言统。安装中文语言统。安装中文语言 联网包。 包。 包。 软件 PC服务器配置: PC服务器配置: PC服务器配置: PC服务器配置: Intel ， 2 CPU， 4G Intel，2 CPU，4G Intel，2 CPU， 2G Intel，2CPU，2G RAM，硬盘120GRAM，硬盘80G以RAM，硬盘40G以RAM，硬盘40G以 以上。网络接口:上。网络接口:上。网络接口:上。网络接口: 1000M网卡。1000M网卡。1000M网卡。1000M网卡。 Windows2003或以Windows2003或以Windows2003或以Windows2003或以 上版本操作系统。 上版本操作系统。 上版本操作系统。 上版本操作系统。 PC服务器配置: PC服务器配置: PC服务器配置: PC服务器配置: Intel，2 CPU， 2G Intel，2 CPU， 2G Intel，2 CPU， 2G Intel，2 CPU， 2G 财务RAM，硬盘40G以RAM，硬盘40G。RAM，硬盘40G。RAM，硬盘40G。交换上。网络接口:网络接口:1000M网络接口:1000M网络接口:1000M库软1000M网卡。网卡。Windows2003网卡。Windows2003网卡。Windows2003件 Windows2003或以或以上版本操作系或以上版本操作系或以上版本操作系 上版本操作系统。 统。 统。 统。 PC服务器配置: PC服务器配置: PC服务器配置: PC服务器配置: Intel，4 CPU， 4G Intel，4 CPU， 4G Intel，2 CPU， 2G Intel，2 CPU， 2G 基金RAM，硬盘40G。RAM，硬盘40G。RAM，硬盘40G。RAM，硬盘40G。报表网络接口:1000M网络接口:1000M网络接口:1000M网络接口:1000M软件 网卡。Windows2003网卡。Windows2003网卡。Windows2003网卡。Windows2003 或以上版本操作系或以上版本操作系或以上版本操作系或以上版本操作系 统。 统。 统。 统。 —25— 小型机配置: 小型机配置: 小型机配置: RISC CPU，4 CPU，RISC CPU，2 CPU，RISC CPU，2 CPU， 8G RAM， 内置硬4G RAM， 内置硬4G RAM， 内置硬 盘200G。网络接口:盘120G。网络接口:盘50G。网络接口: 1000M网卡。64位1000M网卡。64位1000M网卡。64位 Uinx操作系统，安Uinx操作系统，安Uinx操作系统，安 装中文语言包或者装中文语言包或者装中文语言包或者 基金安装中文字体。 安装中文字体。 安装中文字体。 监管PC服务器配置: PC服务器配置: PC服务器配置: PC服务器配置: 软件 Intel Xeon MP Intel Xeon MP Intel Xeon MP Intel Xeon DP CPU， 4 CPU， 8G CPU， 2 CPU， 4G CPU， 2 CPU， 4G CPU， 2 CPU， 4G RAM， 硬盘200G。RAM， 硬盘120G。RAM， 硬盘50G。RAM， 硬盘30G。 网络接口:1000M网络接口:1000M网络接口:1000M网络接口:1000M 网卡。Windows2003 网卡。Windows2003 网卡。Windows2003 网卡。Windows2003 Server X64中文版Server中文版或以Server中文版或以Server中文版或以 或以上版本操作系上版本操作系统。 上版本操作系统。 上版本操作系统。 统。 4(应用服务器相关软件 表8 应用系统应用服务器软件配置列表 应用服务器相关软件 与数据库服务器同版本的数据库客户端软件。 联网软件 Weblogic8.1.6或以上版本。 JDK1.4.2或以上版本。 财务交换库软件 与数据库服务器同版本的数据库客户端软件。 与数据库服务器同版本的数据库客户端软件。 基金报表软件 JDK1.4.2或以上版本。 Weblogic8.1.6或以上版本。 基金监管软件 JDK1.4.2或以上版本。 5(前臵机,异地总线服务器,配臵 前臵机用于联网软件、财务交换库软件、基金监管软件部省间、省市间数据传输。 服务器配臵要求:PC服务器～2 CPU～ 2G RAM～硬盘500G以上～网络接口1000M网卡～Windows Server 2003 或以上版本操作系统。 6(客户机配臵 —26— 客户机为本地最终浏览用户访问各应用的前端设备～采用PC机。 联网软件:CPU为主频1.6G或以上,内存为512M以上～建议1G以上,操作系统为Windows2000 SP4或以上版本～Windows XP SP2或以上版本,浏览器IE6.0或IE7.0～分辨率为1024×768,安装Excel2000或以上版本,推荐使用～图表显示效果更好,。 财务交换库软件:CPU为P4主频2.0G或以上～内存1G或以上～硬盘空闲容量20G或以上～操作系统为Windows2000 SP4 或以上版本～Windows XP SP2或以上版本～安装Excel2000或以上版本。 基金报表软件:CPU为P4主频2.0G或以上～内存1G或以上～硬盘空闲容量20G或以上～操作系统为Windows2000 SP4 或以上版本～Windows XP SP2或以上版本,浏览器为IE6.0或IE7.0,安装Excel2000或以上版本。 基金监管软件:CPU为主频1.6G或以上,内存为512M以上～建议1G以上,操作系统为Windows2000 SP4或以上版本～Windows XP SP2或以上版本,浏览器为IE6.0或IE7.0,安装Word2000及Excel2000或以上版本。 ,二,数据库要求 1(联网软件数据库 ,1,数据库用户 —27— 用户名 权限 表空间 用途 TJK connect,resource TJK 存储统计表数据 JHK connect,resource JHK 存储各险业务交换库数据 JHKLS connect,resource JHKLS 存储各险业务交换库历史数据 为基金监管等应用提供数据只YWJHK connect,resource JHK、TJK 读访问，此用户的表由JHK、 JHKLS和TJK进行授权访问 JHK用户访问TJK用户相关数据表的授权脚本如下: Grant select,delete,update,insert on TJK.WE17 to JHK; Grant select,delete,update,insert on TJK.WE 26 to JHK; Grant select,delete,update,insert on TJK.WE 42 to JHK; Grant select on TJK.WE 04 to JHK; Grant select on TJK.WE 09 to JHK; Grant select on TJK.WE 14 to JHK; Grant select on TJK.WE 16 to JHK; Grant select on TJK.WE 29 to JHK; Grant select on TJK.WAX05 to JHK; Grant select on TJK.AA10 to JHK; Grant select on TJK.WAJ04 to JHK; JHKLS用户访问JHK用户相关数据表的授权脚本如下: Grant select on JHK.IY01 to JHKLS; Grant select on JHK.IY02 to JHKLS; Grant select on JHK.IY03 to JHKLS; Grant select on JHK.IY04 to JHKLS; Grant select on JHK.IY05 to JHKLS; Grant select on JHK.IY06 to JHKLS; Grant select on JHK.IY07 to JHKLS; Grant select on JHK.IY08 to JHKLS; YWJHK用户访问JHK用户相关数据表的授权脚本如下: Grant select on JHK.IY01 to YWJHK; Grant select on JHK.IY02 to YWJHK; Grant select on JHK.IY03 to YWJHK; Grant select on JHK.IY04 to YWJHK; Grant select on JHK.IY05 to YWJHK; Grant select on JHK.IY06 to YWJHK; Grant select on JHK.IY07 to YWJHK; Grant select on JHK.IY08 to YWJHK; YWJHK用户访问TJK用户相关数据表的授权脚本如下: Grant select on TJK.V_WE42 to YWJHK; Grant select on TJK.V_WE48 to YWJHK; —28— YWJHK用户访问JHKLS用户相关数据表的授权脚本如下: Grant select on JHKLS.IY01 to YWJHK; Grant select on JHKLS.IY02 to YWJHK; Grant select on JHKLS.IY03 to YWJHK; Grant select on JHKLS.IY04 to YWJHK; Grant select on JHKLS.IY05 to YWJHK; Grant select on JHKLS.IY06 to YWJHK; Grant select on JHKLS.IY07 to YWJHK; Grant select on JHKLS.IY08 to YWJHK; ,2,接口数据表 目前～在JHK用户下～已确定的养老保险交换库数据表包括IY01、IY02、IY03、IY04、IY05、IY06、IY07、IY08～详见人社部函〔2008〕118号。同时～每表均增加字段:AAE401筛选标志～值为1表示异常数据～值为0表示合格数据。在JHKLS用户下～数据表同JHK用户下数据表。 基金监管等应用通过YWJHK用户可以访问各险的业务交换库数据,含当期和历史,、交换库数据量表和数据质量报告表。YWJHK用户下的交换库表名同JHK、JHKLS用户下的表名～交换库数据量表和数据质量报告表的表名及具体表结构如下所示: 交换库数据量表 V_WE42 指标指标代码序号 指标名称 指标编码 指标释义 类型 长度 标识 1 Y 险种类型 AAE140 C 6 业务险种的类别 2 Y 行政区划代码 AAB301 C 6 行政区划代码 3 数据期别 AAE043 C 6 上报数据的年度和月份 4 业务表代码 AAE004 C 50 交换库业务表编码 交换库业务表中数据记5 总数据量 AWE105 N 12 录条数 —29— 数据质量报告表 V_WE48 指标指标代码序号 指标名称 指标编码 指标释义 类型 长度 标识 1 C Y 险种类型 AAE140 6 业务险种的类别 2 C Y 行政区划代码 AAB301 6 行政区划代码 3 C 数据期别 AAE043 6 上报数据的年度和月份 4 业务表代码 AAE004 C 50 交换库业务表编码 5 C Y 结果类型 AWE141 6 1为检查，2为筛选 其中序号999998指对应 表中重复数据总量，序号6 条件序号 AWE133 N 6 999999指对应表中非法 数据总量 数据质量检查、筛选的7 C 条件sql AWE028 512 sql条件 数据质量检查、筛选条件8 C 条件描述 AWE029 128 的释义 数据质量检查、筛选条件9 C 条件指标 AWE027 20 对应的业务表指标 交换库业务表中数据记10 总数据量 AWE105 N 12 录总条数 对应检查、筛选条件的异11 错误数据量 AWE009 N 12 常数据总量 ,3,存储规划建议 为确保应用的有效开展～建议业务交换库存储各年年末期别数据,支持年度数据比较,～最近一年各月期别数据,13期～支持与上年同期数据比较,。为确保查询统计效率～将当期、历史期别数据分数据库用户存放。 JHK表空间主要存储当期的交换库业务数据～即只保留一期。按180个养老保险联网指标估算～100万参保规模需要数据表空间1G～索引表空间一般为数据表空间30%～UNDO表空间一般为数据表空间的20%～临时表空间和UNDO表空间一致即可。按单险,养老,估算存储表空间如下: —30— 参保规模 数据表空间 索引表空间 UNDO表空间 TEMP表空间 合计 1200万 12G 3.6G 2.4G 2.4G 20.4G 600万 6G 0.9G 0.6G 0.6G 8.1G 200万 2G 0.3G 0.2G 0.2G 2.7G 50万 0.5G 0.75G 0.05G 0.05G 1.35G 五险数据的存储表空间可按养老保险五倍估算～具体如下: 参保规模 数据表空间 索引表空间 UNDO表空间 TEMP表空间 合计 1200万 60G 18G 12G 12G 102G 600万 30G 4.5G 3G 3G 40.5G 200万 10G 1.5G 1G 1G 13.5G 50万 2.5G 3.75G 0.25G 0.25G 6.75G JHKLS表空间主要存储交换库的历史数据。需对历史期别的数据进行分区、建索引～数据表空间、索引表空间可依据存储期别,n期,成倍扩充即可。UNDO表空间、TEMP表空间可按单期存储空间的2倍估算。 按存储最近五年数据,最近13期月度数据+3期历史年末期数据,估算～五险数据的存储表空间具体如下: 参保规模 数据表空间 索引表空间 UNDO表空间 TEMP表空间 合计 1200万 960G 288G 24G 24G 1296G 600万 480G 72G 6G 6G 564G 200万 160G 24G 2G 2G 188G 50万 40G 60G 0.5G 0.5G 101G TJK表空间主要存储各期统计表数据,含数据质量检查表、基础分析表等,～表空间为5G即可。 2(财务交换数据库 ,1,数据库用户 用户名 权限 默认表空间 用途 connect,resource,其他GRPJHK GRPJHK 财务交换库 权限(见下) 财务交换库中间库，向基connect,resource，其CWJHK GRPJHK 金监管等应用提供数据只他权限(见下) 读访问 —31— 由于需要使用GRPJHK用户进行数据加工操作～因此GRPJHK需要如下权限,运行脚本,: Grant analyze any to GRPJHK; Grant create any index to GRPJHK; Grant create any table to GRPJHK; Grant create any type to GRPJHK; Grant create any view to GRPJHK; Grant drop any table to GRPJHK; Grant drop any index to GRPJHK; Grant drop any type to GRPJHK; Grant execute any operator to GRPJHK; Grant execute any procedure to GRPJHK; Grant execute any program to GRPJHK; Grant insert any table to GRPJHK; Grant update any table to GRPJHK; Grant select any table to GRPJHK; Grant unlimited tablespace to GRPJHK; Grant select any sequence to GRPJHK; 由于CWJHK用户需要查询GRPJHK用户的相关数据表～因此CWJHK还需要如下权限,运行脚本,: Grant select on GRPJHK.AY01 to CWJHK; Grant select on GRPJHK.AY02 to CWJHK; Grant select on GRPJHK.AE01 to CWJHK; Grant select on GRPJHK.AE02 to CWJHK; Grant select on GRPJHK.AE03 to CWJHK; ,2,接口数据表 在GRPJHK用户下～表AY01、AY02存储财务交换库数据～表内指标项见劳社厅函〔2008〕82号。基金监管等应用通过CWJHK用户可以访问各险的财务交换库数据～表名同GRPJHK用户下的表名。CWJHK用户下～同时向基金监管等应用提供财务交换库上报情况表的只读访问～其表名及表结构如下: —32— 财务交换库上报情况表Dc_sbsj 指标指标代码序号 指标名称 指标编码 指标释义 类型 长度 标识 1 主键 ID Int 2 行政区划代码 AAB301 C 6 Y 3 账套类别 AAD080 C 4 Y 4 上报时间 SBSJ D 8 上报数据时的系统时间 5 会计年度 AADO81 C 4 6 会计期间 AAD082 C 2 7 标识 BZ C 2 Y 00:删除;01:上报 ,3,存储规划建议 财务交换库数据应至少存储两年。数据表空间受参保规模影响～与凭证笔数直接相关。索引表空间约占数据表空间的30%～TEMP表空间、UNDO表空间可配臵相同的容量。 这里按存储两年五险13个账套的财务交换库数据估算如下: 参保规模 数据表空间 索引表空间 UNDO表空间 TEMP表空间 合计 1200万 200G 60G 6G 6G 272G 600万 120G 40G 4G 4G 168G 200万 40G 10G 1G 1G 52G 50万 20G 10G 1G 1G 32G 3(基金报表数据库 ,1,数据库用户 用户名 权限 默认表空间 用途 connect,resource,其他GRPCAS GRPJHK 财务报表数据库 权限(见下) 财务报表中间库，本表由财 务报表系统加载数据，并向CWBB connect,resource GRPJHK 基金监管等应用提供数据 只读访问。 由于需要使用GRPCAS用户进行数据加工操作～因此GRPCAS需要如下权限,运行脚本,: —33— Grant analyze any to GRPCAS; Grant create any index to GRPCAS; Grant create any table to GRPCAS; Grant create any type to GRPCAS; Grant create any view to GRPCAS; Grant drop any table to GRPCAS; Grant drop any index to GRPCAS; Grant drop any type to GRPCAS; Grant execute any operator to GRPCAS; Grant execute any procedure to GRPCAS; Grant execute any program to GRPCAS; Grant insert any table to GRPCAS; Grant update any table to GRPCAS; Grant select any table to GRPCAS; Grant unlimited tablespace to GRPCAS; Grant select any sequence to GRPCAS; ,2,接口数据表 基金报表软件向基金监管等应用提供CWBB用户下基金报表数据表的只读数据访问。其表名及表结构如下: 基金报表数据表CWBB_Report_Data 序指标 指标代码指标名称 指标编码 指标释义 号 类型 长度 标识 前6位是上报单位所在的 行政区划代码，省本级或 市本级的行政区划码，5-61 单位编码 UNITCODE C 8 位用99或01顶位;后2 位是险种类别，11企业养 老、12医疗、13机关养老、 14工伤、15生育、16失业 报表编制单位的名称，与2 单位名称 UNITNAME C 64 报表内的“编制单位”一致 报表的上报周期，包括年3 任务名称 TASKNAME C 64 报，半年报，季报，月报， 不定期报表等 报表的上报周期，包括:4 期间种类 TIMETYPE C 10 年、半年、季度、月 用期间的最后一天代表报5 数据期别 TIMECODE C 10 表的期别，yyyy-mm-dd —34— 使用XML格式内容保存该报表数据6 XMLCONTENT BLOB 任务一套报表的所有指标内容 数据 Excel格式的报表内容，以报表Excel正式报表的样式显示此报7 EXCELCONTENT BLOB 文件 表的内容，每个sheet页是 一张报表 指报表最后一次上报到交8 上报时间 CREATETIME C 20 换库的时间，yyyy-mm-dd hh:mm:ss ,3,存储规划建议 基金报表软件应至少存储两年。数据表空间受参保规模影响很小。索引表空间约占数据表空间的30%～TEMP表空间、UNDO表空间可配臵相同的容量。 这里按存储两年一定数量经办机构的月报、季报、年报数据估算如下: 经办机构 数据表空间 索引表空间 UNDO表空间 TEMP表空间 合计 4000家 100G 30G 3G 3G 136G 300家 10G 3G 1G 1G 15G 30家 2G 0.5G 0.5G 0.5G 3.5G 4(基金监管数据库 ,1,数据库用户 用户名 权限 默认表空间 用途 RONE connect,resource JJJG 系统平台 connect,resource，其他DATACTR JJJG 数据中心 权限(见下) JJJG connect,resource JJJG 监督应用 connect,resource,其他用来存储、运行数JJJG_DATA JJJG_DATA 权限(见下) 据加工 DATACTR用户访问JJJG用户相关数据表的授权脚本如下: Grant select on AA10 to DATACTR; Grant select on PA50 to DATACTR; 由于需要使用JJJG_DATA用户进行数据加工操作～因此 —35— JJJG_DATA还需要如下权限: Grant analyze any to JJJG_DATA; Grant create any index to JJJG_DATA; Grant create any table to JJJG_DATA; Grant create any type to JJJG_DATA; Grant create any view to JJJG_DATA; Grant drop any table to JJJG_DATA; Grant drop any index to JJJG_DATA; Grant drop any type to JJJG_DATA; Grant execute any operator to JJJG_DATA; Grant execute any procedure to JJJG_DATA; Grant execute any program to JJJG_DATA; Grant insert any table to JJJG_DATA; Grant update any table to JJJG_DATA; Grant select any table to JJJG_DATA; Grant unlimited tablespace to JJJG_DATA; Grant select any sequence to JJJG_DATA; ,2,接口数据表 基金监管系统不对外提供接口数据库表～但需使用业务交换库、财务交换库、财务报表数据库的接口数据表采集和访问有关数据。 ,3,存储规划建议 基金监管系统使用如下两个表空间。 名称 用途 JJJG 用来存储运行应用程序以及加工结果数据和索引 JJJG_DATA 用来存储历史数据以及监督分析K表数据、监督评估数据和索引 按照存储5年的全部基金监管汇总分析及监督业务、办公数据计算～建议以上两个表空间,包括数据和索引表空间,每1万参保人员五险监管业务数据配臵1G存储容量。UNDO表空间根据参保人数不同～按照50万规模10G～200万规模20G～600万规模30G～1200万规模40G配臵。TEMP表空间建议配臵与 —36— UNDO表空间相同的容量。 按存储五年五险监管业务数据估算如下: 数据表空间+ 参保规模 UNDO表空间 TEMP表空间 合计 索引表空间 1200万 1200G 40G 40G 1280G 600万 600G 30G 30G 660G 200万 200G 20G 20G 240G 50万 50G 10G 10G 70G ,三,支撑软件配置要求 1(异地总线 异地总线的传输目录按应用,系统简称,划分～目录下存放 各应用发起或接收的传输文件～具体目录包括: $系统简称/output/down:本级待下发文件的存放目录。 $系统简称/output/up:本级待上传文件的存放目录。 $系统简称/input/down:下级上传至本级文件的存放目录。 $系统简称/input/up:上级下发至本级文件的存放目录。 总线目录下的文件被接收或发送走后～即时自动删除。 系统简称描述如下: 联网系统:HRSIND 财务交换库系统:SIFFDA 基金监管系统:SIFS 2(认证软件包 认证软件包与应用系统集成部署时～将在应用服务器操作系 统下部署两个文件～路径如下: ,1,安全运行程序包的运行配臵文件 —37— Windows环境:C:/Program Files/hrssca/Config/ Unix环境:/usr/local/hrssca/Config/ ,2,证书注销列表的配臵文件 Windows环境:C:/Program Files/hrssca/CRL/ Unix环境:/usr/local/hrssca/CRL/ 证书注销列表文件与上级目录服务器同步的时间周期为～每8小时进行一次自动同步更新。如果采用手动更新证书注销列表文件的方式～请24小时进行一次同步更新。 五、安全保障体系 ,一,安全保障策略 1(采取积极有效防御措施 在保证联网软件、财务交换库软件、基金报表软件、基金监管软件、异地总线、认证软件包稳定、安全运行情况下～采取基础、必需的安全措施～积极主动进行自身业务系统安全防范～建立系统维护日志、系统管理日志等记录工作机制～做好系统服务器安全工作。做好系统整体运行过程中数据交换、传输方面的安全管理。保证数据仅由获得授权的人员在授权范围内依法使用～保证系统运行过程网络、应用配臵等信息的安全。借助CA技术提高系统防御能力。 2(建立综合安全防御措施 严格制定系统管理和操作维护工作的规程～建立相应的工作工作流程～结合有关安全管理技术手段和设备～全面考 —38— 虑防御措施～建立综合系统安全管理保障。 3(不断强化安全防御措施 充分考虑现业务应用系统特点～找到紧急安全保障点～结合有限的成本～集中保证重点保障点的安全防御。随着应用的深化和发展～不断加大安全方面投资～加强安全手段～强化安全防御措施。 ,二,安全保障要求 1(网络安全保障要求 联网软件、财务交换库软件、基金报表软件、基金监管软件、异地总线、认证软件包要按照金保规划要求部署在金保工程业务专网上～并确保上下级、同级相关部门的安全访问。生产区应用要与联网系统、财务交换库系统、基金报表系统、基金监管系统等交换区应用间实现逻辑隔离。生产区和交换区网络间～通过专用的通讯协议进行预先设定的数据交换～避免对生产区应用的非法访问。 2(应用系统安全保障要求 通过用户权限管理机制～有效控制联网系统、财务交换库系统、基金报表系统、基金监管系统的访问。联网系统、基金监管系统通过人员数字证书实现对操作人员的有效身份认证～从而确保对系统的安全访问。上下级主机设备通过设备数字证书实现对上下级联网设备的有效身份认证～确保上下级联网设备间的安全访问。根据实际工作需要～严格做好用户、权限的管理和分配工 —39— 作～做好用户和密码的管理工作～特别是要做好超级用户的管理和备案～保证操作系统级权限的安全管理。严格做好CA证书的申请发放管理工作～做好证书载体的登记和保管。 3(数据安全保障要求 提升各联网应用数据库的安全管理。做好系统日志管理维护工作～合理规划、分配、管理用户角色～对于数据库管理员等关键用户的口令要定期更换密码～防止密码外露。针对数据交换等方面的需要建立专门的数据库用户～设臵只读权限用于对外数据交换。做好数据交换过程中的安全防护～凡是脱离系统以文件方式交换的环节～必须采用加密文件方式进行传递。确定历史数据的存储期别和备份策略～根据工作需要及时清除或备份历史数据～确保系统效率和数据安全。对数据存储使用情况进行有效监控～做好数据存储增长变化的情况记录。已完成交换的要及时做好数据存储的清理。 六、系统部署建议 ,一,软件独立部署方案建议 在经济条件允许的情况下～建议采用独立部署的方式配臵交换区设备～即将各应用系统的应用服务器和数据库服务器分别配臵～各应用之间根据数据共享的要求～以数据访问权限的方式获取所需数据。联网软件、财务交换库软件、基金监管软件通过统一的异地总线实现对业务专网其他节点的数据传输。各应用系统通过FTP协议访问异地总线服务器～异地总线服务器通过配臵 —40— TUXEDO服务端口段来实现与部省市业务专网之间的访问。在联网模式下～基金报表软件下级客户端直接访问上级应用服务器完成数据传输。认证软件包随各应用系统分别安装部署在各自的应用服务器上～根据各应用系统要求选择安装动态链接库或JAVA程序库。证书注销列表文件安装在各应用服务器的指定文件目录下。设备配臵建议参见第四节应用系统方案。独立部署示意图见图9。 部省市业务专网 基金报表软件异地总线服务器TUXEDO应用服务器私有协议FTP协议认证软件包 LDAP协议LDAP协议HTTP协议 联网软件财务交换库软件基金监管软件认证软件包认证软件包 业务交换库基金监管数据库财务交换库财务报表库 图9 金保工程交换区应用系统独立部署示意图 ,二,软件集成部署方案建议 如果实际部署环境中存在软、硬件资源限制～可以考虑将几项应用服务器、几项数据库服务器分别归并～即联网软件、财务交换库软件、基金报表软件、基金监管软件共同安装在同一台,或几台,应用服务器设备上～通过不同的用户和权限访问统一的数 —41— 据库服务器。数据库服务器通过不同用户和数据权限的划分～在多个实例中建立业务交换库、财务交换库、财务报表库、监管数据库以及相关应用所需要的系统表。该方案从数量上减少了硬件和系统软件的投入～节约了开支。但考虑到系统负载不会因为软、硬件的合并而减少～因此～集成部署的软硬件环境要高于独立部署的软硬件环境要求～具体可参照比独立部署更高一档次的设备配臵建议。认证软件包随各应用系统一起安装部署在共享的应用服务器上～根据各应用系统要求选择安装动态链接库或JAVA程序库。证书注销列表文件安装在同一共享应用服务器的指定文件目录下。集成部署示意图见图10。 部省市业务专网 基金报表软件异地总线服务器TUXEDO应用服务器认证软件包 私有协议FTP协议LDAP协议LDAP协议HTTP协议 历史交库换统库计库 业务交换库联网软件 财务交换库财务交换库软件 基金报表库基金监管软件 监管数据库认证软件包 图10 金保工程交换区应用系统集成部署示意图 ,三,软件集中部署方案建议 联网软件、基金报表软件、基金监管软件均存在省一级集中 —42— 部署、支持全省应用的方案。各省应根据本省的省内网络情况、省级服务器能力等因素～确定本省集中或分布的部署方案。在选择集中部署方案时～应注意以下几个环节: 省集中部署的服务器访问压力将增大～其配臵需提高～相关系统参数需同步调整。配臵建议按高一档次的设备配备～对于数据量较大的省份～也可按双机集群方案进行负载均衡。 集中部署的省级应用服务器～应放在资源区～以便于地市向上连接访问。并同时注意打开地市访问所需使用的网络端口。详细要求参见第三节网络系统方案。 联网软件承载的上传数据量较大～在选择省集中部署方案时～需考虑在地市一级部署上传库及数据导出程序。各地市先将从本地生产系统转换后的数据存储在上传库中～然后利用数据导出程序将上传库的数据送至异地服务总线～进而统一上传至省级。数据导出程序由部里免费提供。 地市不再部署应用服务器～则无须部署应用程序所需的认证软件包。异地总线设备认证所需的认证软件包尚需部署在异地总线服务器上。 因基金监管需要获取业务交换库、财务交换库和财务报表数据～从降低系统衔接复杂度方面考虑～建议同步考虑联网软件、基金报表软件、基金监管软件的集中部署～即三个软件或者都在省级集中部署～或者都在省级、地市级两层部署。 —43— 七、系统实施内容和要求 ,一,集成实施工作内容 根据先期完成联网软件、财务交换库软件、基金报表软件、异地总线、认证软件包的统一集成实施的工作范围～省级节点的具体集成实施内容如下: 在省级节点数据中心交换区,服务器端,完成异地总线和认证软件包的安装、配臵。完成联网软件、财务交换库软件、基金报表软件的安装部署～数据库的创建、配臵。完成防火墙等网络设备配臵的配合调整。 在省级最终用户,客户端,环节完成财务交换库客户端软件、数字证书驱动程序等的安装～交付数字证书载体。 进行省级节点内部的软件联调～包括异地总线与联网软件、财务交换库软件应用接口的联调测试～认证软件包、证书载体与联网软件应用接口的联调测试～财务交换库软件、基金报表软件与本地财务系统,仅限用友R9、U8系列财务软件,的联调测试～保证本级节点内应用的互连互通。 进行部、省两级异地总线间、认证系统间、联网系统间、财务交换库系统间、基金报表系统间的应用连通测试～保证上、下级节点间应用的互连互通。 在各省级节点的实施现场～由实施商对各省级节点用户提供应用系统维护培训～主要内容包括软件基本操作流程、参数配臵说明、维护性工作知识,建立索引、数据备份等,、数字证书使 —44— 用说明、常见问题排查方法等。 另外～部里将统一组织对各省级节点用户的应用系统操作培训～主要内容包括软件总体设计思想、详细操作流程、系统基本维护流程、常见问题排查方法等。 ,二,集成实施工作要求 1(实施准备要求 按照全国统一软件部署的要求～根据本省的数据量、业务访问量、经济能力～确定省内的软件集成部署方案～包括省级节点系统连接拓扑结构、数据库空间规划、系统参数设臵和省内软件部署模式等。 遵循金保工程部省联网规定～确保业务专网的稳定运行。尚未完成与全部地市联网的省份～要在统一软件实施前完成～并切实保证部,省,市三级网络贯通。省市两级数据中心要务必保证与社会保险经办机构、基金监督部门、工伤认定部门、劳动能力鉴定机构等相关部门的联网～切实保障各项应用的开展。 做好软硬件环境的准备工作。要根据本省软件集成部署方案～选择小型机、PC Server等设备～搭建应用服务器、数据库服务器、异地总线服务器等～配备相应的操作系统、数据库、应用中间件等基础软件。充分利用现有设备资源和基础软件～整合、调剂使用。现有设备能力不足的～要抓紧采购。 做好向业务交换库、财务交换库的数据转换～对照部里下发的数据采集标准～准确定义数据转换口径～完成数据转换程序开 —45— 发～检查数据质量。 各省、自治区还应根据全国统一要求～组织好辖区内各地市的统一软件实施工作。省内实施所需费用、省级及省内软硬件设备费用、生产到交换数据转换程序等开发费用～应纳入当地金保工程项目预算。 2(系统实施要求 制定科学合理的实施方案～按照规范的流程和要求开展实施工作～严格遵循部省联网规定～执行统一的数据采集标准。做好实施工作记录～准确记录网络、主机、应用软件、数据库等方面的配臵参数。要充分重视系统联调工作～做好省内各节点及部省间的软件联调。对涉及本地网络和系统的调整问题～协调本地系统集成商配合完成。组织相关业务人员和技术人员参加实施商的现场培训～了解系统基本操作流程～掌握系统运行维护常识。保证运行维护人员的相对稳定～确保系统长期稳定运行。所有实施工作完成后～应对实施系统和实施文档做认真检查～并在实施记录上签字确认。在系统上线初期～加强系统巡查～确保应用系统的平稳运行。 3(系统运行要求 本次启动的几项应用均属于联网性应用～部署关系复杂～涉及上下节点和网络、安全等底层系统～要做好网络、应用软件、数据库等方面的系统维护工作～确保各类系统的有效衔接～确保上下级数据中心间、数据中心与应用部门间的网络畅通～确保应 —46— 用的有效开展。做好各种基础安全防护～加强用户管理～确保系统安全。规范系统日常维护工作流程～做好维护工作情况记录。维护人员发生变动时～要做好人员交接。对于系统运行中的重大问题～要向部里及时报告。 业务部门和技术部门要紧密配合～有效沟通～共同做好数据上报工作。同时～要按照各联网应用的文件要求～业务部门重点做好相关应用开展工作～技术部门重点做好与应用相关的技术支持工作。 要积极推动联网软件、财务交换库软件、基金报表软件的使用～通过培训等手段熟练掌握软件操作～充分利用采集的业务财务数据和软件提供的查询分析功能～支持监督、分析等工作～为科学决策提供依据。 数据是应用有效开展的核心基础～特别是本次启动的几项应用～有很紧密的数据逻辑关联。要充分利用技术手段～从数据生产源头做好数据质量的控制～从数据应用效果检查数据质量的不足。 作为地区,机构,的唯一标识～联网软件、财务交换库软件、基金报表软件采用同一套行政区划代码。具体行政区划代码参见人社部函〔2008〕118号附件2。要做好行政区划代码的维护工作～如有变动请及时与部里沟通～经部里确认后再同步更新本地系统中的代码。部里将定期向各地发布更新的行政区划代码表。 —47— —48—