市民卡一卡通技术解决方案.doc

市民一卡通平台技术解决方案目录1市民卡概述52总体规划52.1建设原则52.2总体目标62.3阶段目标63系统核心能力73.1身份安全识别73.2信息存储与交换73.3专用账户电子支付73.4通用金融电子支付84业务功能设计84.1概述84.2市民卡资源管理94.2.1客户管理94.2.2关系管理94.3多账户资金管理94.4支付和消费管理104.5营销积分管理104.6数据审计管理104.7统计分析管理114.8开放服务管理115市民卡介质设计115.1卡介质115.2卡面设计135.3卡信息135.4卡应用安全145.5卡终端155.5.1现有卡终端分析155.5.2卡终端改造方案156业务系统对接设计156.1业务描述156.2劳动与社会保障系统对接举例167商业应用系统设计177.1市民卡用户认证177.2小额支付177.3实时支付177.4查询交易187.5对帐187.6结算188服务网点功能设计188.1市民卡发放188.2市民卡日常管理198.3市民卡其他服务198.4呼叫中心设计199应用软件整体设计209.1系统总体结构209.2核心组件219.3接入网关219.4应用网关219.5数据交换中心229.6银行网关2210物理系统设计方案2310.1主机架构2310.2网络架构2511业务安全设计2611.1数据安全2611.2应用安全2711.3网络安全271 市民卡概述市民卡是市政府授权发放给市民用于办理个人有关事务和享受公共服务的集成电路卡。 市民卡具有信息服务和交易支付等基本功能。其中信息服务包括机关、企事业单位内部的信息服务和社会公共信息服务；交易支付是指可在市民卡内设置银行电子钱包、银行卡借记功能、银行卡贷记功能，并以此进行机关、企事业单位内部以及商业、社会公共领域的定额和非定额小额支付。市民卡平台是实现市民卡功能，通过市民卡终端，获取金融业务服务和有关信息，并在金融机构之间进行信息交换的服务系统和增值系统。2 总体规划2.1 建设原则n 统一性技术方案统一规划，按照国家、地方和行业相关标准和技术规范设计，避免重复投资或资金浪费。打造统一的操作系统平台，尽量减少异构平台的使用，降低系统得复杂性，减少集成、开发、维护和培训的成本。n 兼容性项目方案设计上既要充分考虑兼容性、更要体现主要行业应用的兼容。n 扩展性项目的启动和建设分阶段实施，遵守“并存过渡和逐渐取代”的原则。n 安全性 既要考虑信息资源的充分共享，又要注意信息的保护和隔离，针对不同的应用和网络通信环境区别对待。u2.2 总体目标统一规划，分期建设，逐步推广，为市民提供政府服务，以及消费、电子支付的应用平台和管理服务平台，一期发卡量达到100万张。2.3 阶段目标第一步：根据本市实际情况，先易后难，从小到大，整合数字电视、公共汽车、教育、出租车客运、交警、通讯等部门资源，纳入市民卡体系，建设市民卡信息系统。将市民收看电视、出行、就学、通讯和小额购物消费等方面作为切入点进行建设，使市民卡用于上述几个方面时具备有关支付和信息服务功能。具体包括电视收视消费有关的支付和信息服务；乘坐公交车和出租车、停车、交纳车辆养路费和交通违章罚款等出行有关的支付和信息服务；交纳基础教育、成人教育费用及在校日常生活消费等支付，提供学校教育、教学、后勤管理等信息服务；通讯消费有关的支付和信息服务；在便利店等商业场所小额购物有关的支付和信息服务等。其中，市民收看电视、出行、就学方面有关的支付和信息服务，先行纳入市民卡信息系统，以确保市民卡工程建设快速启动和顺利实施。第二步：将政府提供的公共服务，包括劳动与社会保障、卫生、文化、旅游、城管等有关部门的公共服务项目纳入市民卡体系，通过市民卡实现支付结算、信息查询和其他增值服务，使市民在就诊、医保、公园、门票等支付领域广泛应用，达到一卡多能。各有关部门和单位涉及为市民缴纳的福利资金（包括医疗保险、养老保险、工伤保险、生育保险、住房公积金、低保补助等）、涉及向市民收取产品和服务费用的有关接受财政补助的行业及服务项目，应逐步纳入市民卡体系，通过市民卡支付结算，并提供相应信息服务。第三步：将全大市其他有关公共服务与商业服务纳入市民卡体系。各有关机关、企事业单位根据自身情况，在市民卡上进行应用叠加，实现市民卡的“一卡多用”。3 系统核心能力3.1 身份安全识别作为存储了持卡人基本身份信息的，由市政府发行的市民卡，权威的身份标识作用是其最主要的功能。市民卡以电子加密方式安全存储了个人基本身份信息，结合个人密码、个人生物特征识别信息、个人CA数字证书等安全认证技术手段，可以满足信息系统对办事对象个人身份识别的要求，起到连接现实世界中的持卡人与虚拟电子世界的信息系统的桥梁作用。3.2 信息存储与交换需要市民卡支持的多种应用提出了不同程度的卡内信息存储要求。我们定位市民卡在信息存储方面作为一张广义身份标识卡，市民卡首先需要存储相当数量的全面反映个人基本状况的各类属性信息，例如姓名、性别、身份证号码、生物特征（指纹、照片等）、健康状况、通信方式、家庭住址、社会保障、劳动就业、治安管理、。其次，为了实现某些业务，可能需要在卡内记录某些状态，以方便在相关的其他业务环节中使用。相关业务环节可能跨越部门和单位，信息系统甚至没有直接的网络连接交换，这样利用市民卡上信息的交换可能达到信息系统互连的另一种方式，从而起到一个个人信息的交换平台作用。尤其是需要脱机使用的环境，可能需要市民卡存储更多的相关信息。3.3 专用账户电子支付政府应用中，医保等应用需要专用帐户的电子支付功能。例如，市民可以持市民卡在医院就诊、药店买药，同时使用市民卡中的医保个人帐户，按照个人相应的医保待遇政策支付费用。除了政府应用，目前市在公共交通、公园门票等领域已经形成了比较完整的用卡环境，流通的专用支付卡有数十万张。作为便民服务的体现，市民卡必须支持主要几个专用领域的电子支付。3.4 通用金融电子支付市民卡应该支持加载金融规范应用，实现通用电子支付，包括小额电子钱包支付和电子存折类的支付功能，进一步方便市民。4 业务功能设计4.1 概述通过市民卡平台，为客户建立终身唯一的身份标识，提供个性化的服务；通过身份认证使市民卡具有电子身份识别功能，可广泛应用于各政府职能部门的办事流程中，同时也为电子政务和电子商务提供了身份识别的基础。通过统一支付管理，为客户提供业务的统一的支付和结算平台；通过业务关联，向行业应用提供小额支付业务、代理代办代收费业务、在线数据交易业务；通过灵活的营销管理，开展企业间、业务之间联合营销、复合营销的功能。业务功能主要有：4.2 市民卡资源管理卡号资源管理是负责市民卡卡号的登记、发放及回收等功能的模块。市民卡的卡号是用来标示客户的全局唯一性的号码。l4.2.1 客户管理市民卡平台的基础资源是对客户信息的管理，包括客户资源管理、客户身份的认证、卡间关系的管理以及客户信息的查询。客户只有通过市民卡平台的认证，才可以在平台中使用和办理关键的业务。4.2.2 关系管理在整个业务网络中，使得客户可以一处认证，处处安全使用的一个核心处理就是客户关系管理。客户关系管理定义了客户和外部系统之间的关系，它可以在应用平台中绑定多个客户在外部系统中的业务号码，以及相关的操作属性。如绑定多个银行，或者一个银行中绑定多个帐号；绑定社会福利号等等。同样，通过客户关系管理还可以定制符合自己服务特性的信息，比如：计费系统对固定电话客户提供每月自动扣费、寄送对账单等服务。4.3 多账户资金管理市民卡业务中客户主要存放的信息就是资金的信息。市民卡平台系统中资金的信息包括了公用账户、专用账户、透支限额、赠送金额、积分等账项，对不同账户支持不同的使用规则、有效时间、资金进入、资金流出的限制。在市民卡平台系统中，充值及续费的过程支持以现金、银行转账、充值卡充值等其他方式进行，体现服务的便捷性。市民卡平台系统支持卡间转账，即将市民卡账户中的金额转移到其他市民卡的对应账户中去。系统允许根据转账操作所需要的安全认证的级别不同，使用高级密码或权限授权进行安全转账。为了更方便的使用资金，系统提供了客户信用等级的设置，根据信用等级在客户进行消费的过程允许在预先控制的限额内进行一定的透支消费。4.4 支付和消费管理客户在经过一点认证后，即可享受整个业务网络中的由各个应用服务系统提供的服务。市民卡平台支持多种支付方式：l 预支付：如充值卡支付l 后支付：如固定电话的支付l 实时支付：如实时账单的支付市民卡平台提供许多支付配置，如支付顺序、限定消费金额、定向消费等等。通过综合服务网站，还向客户提供统一的消费交易信息查询，包括充值、缴费的信息查询、统计、分析，使得客户能够了解和随时监控自己的消费情况。4.5 营销积分管理市民卡平台支持平台业务管理中心以及接入的各个应用系统，可以发布本企业的各种优惠促销市场营销手段。如：对积极使用自己业务的客户进行积分，顺应体验经济的潮流，刺激消费者的购买欲望和消费行为，扩大市场营销成果，增长自己的利益点。市民卡平台还支持企业和联盟企业之间的捆绑营销。4.6 数据审计管理安全审计是确保资金流动安全、正确的一个重要环节，也是本系统的一个重要功能。确保在发生交易的过程中，发现其中有问题或有嫌疑的交易。市民卡平台通过多种功能组合检查、监控、记录这些交易过程。安全审计主要通过三种方式进行：第一种是交易进行中的审计。如，在客户进行交易时，系统对该笔业务所涉及的金额的阀值进行检查。第二种是交易完成后的审计。通过设定各种数据查询条件，将其中有问题或疑问的交易记录检索出来。第三种是平台和外部系统间对帐。通过对帐获得该时间段的所有交易清单和统计数据。4.7 统计分析管理在进行数据整理后，系统可以向不同层次的客户（持卡客户、业务操作、业务管理员、决策领导）提供客户的使用信息、业务的运行状况等其他及时、科学、有效的分析报告。同时帮助电信运营商开展主动营销业务、保留原有客户发展潜在客户、预测新业务发展方向，为提高市场竞争力做出有力支持。市民卡平台的业务报表也是采用插入方式，可以方便地进行修改和添加，随时获取业务数据和统计结果。报表插件可以通过网络即时发布，快速跟上业务变化的需求。4.8 开放服务管理开放接口和接入系统是市民卡平台为了体现平台的开放性和适应不断变化的业务需求而制定的一个允许第三方服务提供商向市民卡平台客户提供服务的开放标准。通过开放服务的管理，允许外部系统接入到市民卡系统内，向客户提供各种服务。比如收取服务费用，提供资金清算等功能。5 市民卡介质设计5.1 卡介质市民卡市一个综合性的应用项目，涉及在多个行业的多种政府和商业应用，对系统的安全性要求很高。作为应用的基础，市民卡卡介质的选择对于系统的安全性有决定性的影响。传统的磁条卡由于信息有限，而且缺少数据的保护机制，容易被伪造，因此不适用于本系统。而IC卡因其存储量大、对数据的保护和读写控制、抗干扰性强、使用寿命较长、防伪能力高等特性成为系统应用的理想介质。从采用芯片的不同区分，IC卡可分为非加密存储卡、加密存储卡和CPU卡和超级智能卡等。非加密存储卡由于对卡上数据的保护只是某些信息的写保护，不具备信息保密功能，在本系统中不适用；加密存储卡通过访问存储区域之前核对密码实现对卡上信息的保护，虽具备了一定的保密性，但还达不到本系统的要求；cpu卡内嵌芯片相当于一个特殊的单片机，通过内部的控制器、存储器、时序控制逻辑以及特定的算法单元和操作系统，可以通过加密算法对卡上信息的存储进行控制，保证了数据和应用的安全，适用于本系统；至于在卡上集成了MPU、键盘、液晶显示屏和电源以及其他外设的超级智能卡，由于成本以及应用级别的原因，不在本系统的考虑之内。按照数据读写方式，IC卡又可分为接触式IC卡和非接触式IC卡两大类。接触式IC卡通过读写设备的触点和卡片上的触点相接触，进行数据读写（国标ISO7816）；接触式IC卡的应用已经比较成熟，建设的成本相对较低。非接触式IC卡（国标ISO10536）与读写设备没有电路接触，通过射频收发电路与读写设备通信；与接触式IC卡比较，非接触式IC卡的成本较高，但是也具备许多优点：非接触式IC卡表面没有裸露的芯片，避免了芯片的磨损，使用的寿命更长，可靠性更好；读写设备在一定的距离范围内可以从任意方向对卡片进行操作，使用更方便；读写设备具有防冲突机制，可以同时处理多张智能卡，提高了系统的性能；非接触式IC卡在处理前要与读写器进行三次相互认证，在通讯过程中所有数据都加密，保证了系统的安全性。考虑到市民卡的商业应用，对卡介质使用的便捷性以及处理速度有较高的要求，采用非接触式cpu卡比较合适；但考虑到市民卡作为政府应用，需要与原有的各类系统进行兼容，为减少设备的重复投资，需要考虑采用接触式cpu卡。为解决上述的矛盾，建议采用双界面卡，即同时具备接触式IC卡的触点电路和非接触式IC卡的射频电路的cpu卡，卡内部由同一个cpu控制，访问同样的存储空间。由于双界面cpu卡的成本较高，也可采用如下的方案：政府应用采用接触式IC卡，商业应用采用非接触式IC卡，两者独立发行；对于不需要利用商业应用的市民，可以只领取接触式IC卡。5.2 卡面设计卡反面5.3 卡信息卡上的信息分为以下几类：一系统信息系统信息是由IC卡的芯片和卡片制造商在制造时写在存储器系统区上的不可更改的信息，如IC芯片、IC卡的制造商代码和生产序列号。市民卡的发行机构在系统区也写入市民卡的系统信息。二用户信息下表中为卡芯片中需要纪录的用户信息，这些信息相对稳定，一般不需更改。数据字典名称个人基本信息主键市民卡编号索引证件编号数据项备注市民卡编号唯一标示用户编号；姓名用户姓名证件类型代码，根据业务要求支持使用身份证或他证件进行登记；证件编号如身份证号码；民族代码，表示民族信息；性别1=男，0=女；出生地原籍信息；出生日期出生日期信息；户籍地当前户籍地信息；通讯地址当前通讯地址信息；婚姻情况当前婚姻情况；就业信息表示：在就业、无业、离退休等状态；就业单位信息当前就业单位信息工资信息当前工资信息；三应用信息在IC卡上存储的应用相关的信息主要是一些可能在脱机环境下进行的应用的信息，如商业应用中的小额支付可能在流动的脱机环境下进行，因此需要在IC卡上建立一个小额支付的账户。其他的所有应用，相关的信息都在网络环境下的数据库中保存，在IC卡芯片中不再存储账户等信息。四 安全认证信息指密钥管理系统分配的密钥。5.4 卡应用安全通过采用内建加密逻辑的cpu智能卡，可以保证市民卡以及系统的安全。通过系统统一管理的密钥，可以实现卡与读写设备的相互验证，从而避免盗卡和伪卡的出现。同时，在系统的各个操作平台，要求操作员以IC卡提供相关的密钥，从而确认操作员的身份以及操作的权限，保证用户IC卡信息的安全。5.5 卡终端5.5.1 现有卡终端分析以医疗保险为例，现有终端设置点在各区、市社会保险服务局、定点医疗机构、定点药店。终端类型为简单的磁条卡读写器，完成医保卡的卡内信息读取和系统信息读写。5.5.2 卡终端改造方案简单的磁条卡读写器不能满足IC卡读写的功能，也不存在升级改造的可能。设计在市社会保险服务局采用IC卡读写器，配合办事处的PC机系统，同时配置圈存机满足圈存功能。在定点医疗机构和定点药店同样采用IC卡读写器配合缴费点的PC机系统，同时配置圈存机满足圈存功能。基于医保帐户存放在其自身系统的数据库中，设计所有的终端均采用联机交易的方式，医保帐户消费需要采取接触式卡终端，当市民采用电子钱包支付时需要采用非接触式卡终端。因此在各区、市社会保险服务局服务窗口只需配备接触式卡终端和圈存机，在定点医疗机构和定点药店均需配备双接口卡终端。在市民卡项目的实施过程中，医保系统原有的磁条卡终端将在一定时期内和市民卡终端并存，当市民卡发放到每个参加医保的市民手上后，将由市民卡完全取代原有磁条医疗保险卡，同时将淘汰所有的医保磁条卡终端。6 业务系统对接设计6.1 业务描述在目前的状况下，政府职能部门的信息化仅以本部门本系统为单位进行信息化建设，如劳动保障局的养老保险系统、医疗保险系统，住房公积金中心的住房公积金系统，公安部门的公安业务系统等。虽然这些业务管理系统在本部门内良好运作，取得了较好的管理效果和社会效益，但是根据政府信息中心调研结果显示，到目前为止，各个部门的信息化建设基本处于相对独立和分散的状况，各个业务系统之间的信息沟通很少或者没有沟通。在政府职能部门的信息化建设规划中，都将不同程度的要求实现信息互通。如，民政业务系统，在规划的要求中指出民政信息化建设的主要任务是实施完成“数字民政”工程。在民政的业务系统中，民政系统保存了市民的婚姻、最低生活保障等信息，而这些信息是公安系统、公积金系统、卫生系统所需要的信息。同样，民政系统也需要其他政务系统的信息，如公安部门的市民户籍信息，劳动保障系统的失业人员信息，来源于教育系统的信息等等。另一方面，当市民卡用户持卡在民政系统中进行一些业务处理，如婚姻登记。这些关键信息相应的在市民卡的数据中心中已经登记了，或者其他的政务系统，如公安系统在处理业务时也将需要这些信息的最新数据。民政如何将这些最新数据通知相关的部门？通过建立数据交换系统，将解决信息的孤岛问题。6.2 劳动与社会保障系统对接举例在劳动与社会保障系统中，对持卡市民以市民卡为凭证，通过对市民卡的认证确定该用户的合法性。只有通过身份确认后，才允许持卡市民查询、维护他（她）的各种业务信息。市民卡身份认证模块是通过“市民卡身份认证”的数据交换协议，通过数据交换中心处理，在数据中心进行市民的合法认证。根据市民卡业务规划，市民卡将代替目前在使用的磁卡，作为市民基本医疗保险参加人员就医、使用个人账户和结算医疗费用的电子凭证。主要功能包括：支持使用市民卡接入系统进行办事：参加、推出、转移基本医疗保险的时候，可以使用市民卡进行操作；支持使用市民卡接入系统进行就医：在参加医疗保险的市民卡用户到定点医疗机构就医时，可以使用市民卡进行操作；支持使用市民卡接入系统进行结算：在参加医疗保险的市民卡用户到定点医疗机构就医配药时，可以使用市民卡进行付费、结账；支持使用市民卡接入系统进行报销：在市民卡用户到有关部门报销医药费用时，可以使用市民卡进行操作；等等。7 商业应用系统设计7.1 市民卡用户认证每个市民卡用户如果需要使用市民卡系统的数据、使用数据中心中账户、使用外部商业银行都必须通过个人身份认证，在提供市民卡号码、密码通过认证后才可以使用业务服务，以确保服务的安全性。如果市民卡用户使用Ic卡进行小额支付时，商务系统可以不进行市民身份认证。 7.2 小额支付小额支付应用是指市民持市民卡可以在公交、出租、停车场等各个安装有小额支付设备的地方进行支付。小额支付的账户余额直接存储在市民卡的IC卡芯片中，支付时支付设备直接读取并修改小额支付账户。7.3 实时支付非小额支付也可以通过商务系统和商务中心的实时连接进行支付。市民卡持卡用户在实时支付之前和实时支付之后，都可以对市民卡账户内的资金进行查询。7.4 查询交易为了能更好的了解交易对象、交易过程，可以通过查询该商务系统上所有发生的业务服务纪录，以及根据该纪录进行统计、分析等等。7.5 对帐在商业应用服务系统过程中，为了确保商务系统方的交易数据和商业应用服务中心的交易数据匹配，可以通过对帐来核对数据。7.6 结算如果市民卡用户根据IC卡内的电子钱包，在商务系统上进行小额支付，这时商务系统没有和商业应用服务中心实时连接。另外一种情况下，市民卡用户可以持卡在其他业务网点使用该商务系统，即支付费用由市民卡系统账户代收。商务系统可以通过结算功能，根据业务管理办法指定一定的条件进行结算。8 服务网点功能设计8.1 市民卡发放市民卡的发放工作主要由各发卡网点负责，发卡网点负责收集用户的资料，并对用户资料进行审核；发卡中心配合发卡网点制作市民卡；发卡网点还需要把市民卡送交用户对于现场制作的市民卡直接提交给用户，对于由发卡中心批量制作的市民卡由发卡网点通知用户领卡或上门送卡。发卡网点可设在各街道的办事处。8.2 市民卡日常管理对于市民卡的换卡、挂失、补卡以及账户充值等日常管理工作，由各发卡网点负责接待和处理，发卡中心进行配合。其中除了换卡、补卡等必须提供卡介质的管理内容，系统同时以Web网站等方式提供服务。8.3 市民卡其他服务市民卡各类信息的查询，以Web网站等方式提供自助服务，同时在发卡网点的系统中提供服务功能。对于冻结的卡或账户（因系统审计时发现异常的操作以及消费行为而自动冻结），用户必须到发卡网点提交身份证明后才能解冻。8.4 呼叫中心设计电话作为市民日常进行沟通的重要工具之一，具有分布范围广、应用普及等特点。呼叫中心正是利用这一便利工具向市民提供方便、快捷、直接的服务，增加用户满意度。呼叫中心的建立还能节约与市民沟通成本。自动服务：系统引导用户选择服务内容和输入电话事务所需的数据，并接受用户在电话拨号键盘输入的信息，实现对计算机数据库等信息资料的交互式访问，然后通过语音、传真、电子邮件等方式回复市民。系统提供7x24小时服务。人工坐席：人工坐席将向广大市民提供市民卡系统所包含的各业务系统的信息查询、建议、投诉等，人工坐席是系统向市民提供人性化服务的手段、给市民以亲切感，缩短与市民的距离。各业务信息主要有：1)养老及保险信息。2)医疗保险信息3)劳动就业信息4)住房公基金信息5)公安信息6)民政信息9 应用软件整体设计9.1 系统总体结构市民卡项目是个内容庞大、结构复杂的系统工程项目。在项目分析、规划、设计时，需要采取“分而治之”的系统工程方法将整个系统分解为分系统、子系统、子模块进行处理，但同时在“分而治之”进行处理的时候，又需要时刻将其作为一个完整的系统进行考虑，以确保在项目建设实施时不会出现各分系统、子系统相互冲突矛盾、不能协调工作的问题。政府为民服务、公共服务和便民服务的服务主体和服务内容、方式不同，对系统和信息安全的要求各异，因此在系统总体设计上将系统划分成中心、政府应用、公共服务、便民应用等不同的部分，相互之间相对独立，又互联互通，既保证了系统的安全性，又保证了各部分的协同工作。9.2 核心组件核心组件提供市民卡系统的所有业务功能，包括市民卡的用户管理、关系管理、支付管理、账户管理、结算、统计分析、业务处理等功能。核心组件由数据存储和应用服务器两个部分组成。数据存储包括市民卡的基本数据、商业数据、关系数据和各种操作以及交易的日志。应用服务器提供对市民卡的全业务的功能，所有接入系统都通过应用服务器访问数据。9.3 接入网关接入网关负责各个受理点、网站、语音平台的接入。 短信网关：和移动进行连接，向市民卡中登记了移动电话号码的用户发送短信信息，短信信息包括收费信息和免费信息，任何一种短信信息的发送都必须得到接受者的许可。Email网关：通过Email向市民卡用户发送各类通知、账单、消息等。邮寄网关：通过输出格式数据到邮政，由邮政代为打印、封装、寄送各类信函。9.4 应用网关应用网关负责和其他政府职能部门进行连接。应用网关负责两个部分的功能：1、市民卡系统查询或调用相关职能部门的数据或服务，2、相关职能部门调用市民卡系统的认证、支付等功能。每个职能部门都需要设置一个应用网关，应用网关一般放置在相关职能部门的中心机房中，以保证应用网关访问相关职能部门的安全性，应用网关和核心功能间的通讯安全由市民卡系统来统一规划。9.5 数据交换中心数据交换中心负责个职能部门提供的数据提供服务的注册、登记、撤销等服务，是数据交换的控制中心。数据提供部门将其数据提供的内容、访问格式等信息注册到数据交换中心，对于通知数据，由数据交换中心通知其他相关部门来市民卡系统读取信息；对于非通知数据，其他需要调用该数据的部门首先到交换中心读取数据提供列表，并获得相应的数据访问信息，通过交换中心向提供数据的应用网关读取信息。 9.6 银行网关银行网关将市民卡系统和银行连接起来，使得帐务处理能够电子化。市民卡系统和银行连接的方式有两种：如果银行一卡通工程能够实时连接个银行，则通过一卡通和各商业银行连接；如果还没有实时连接的一卡通，则需要和每个商业银行建立连接。 充值代理点和小额支付代理点可以通过固定电话拨号网络、移动网络接入到市民卡系统中。拨号服务器可以使用电信和移动现有的设备，由电信和移动负责将这些连接通过VPN连接到市民卡系统中。对于象公交公司、出租公司这样的小额支付应用单位，由于原来已经有小额支付的网络，可以通过该公司原有的系统直接和市民卡系统进行连接，实现结算功能。商场和超市通过专线接入到市民卡系统中，将超市和商场的信息系统与市民卡系统进行连接，商场和超市中的POS机则通过本地的信息系统读取市民卡的信息以及相关的会员信息。随着医疗保险网络的建设，医院一般已经和医疗保险系统进行连接，所以，医院和市民卡系统的连接完全可以通过该网络和市民卡系统连接。10 物理系统设计方案10.1 主机架构主机系统包括：1. 数据中心主机，提供市民卡系统的核心功能，由于系统采用三层结构，应包含数据库服务器、应用服务器，各自采用集群模式。2. 接入网关主机，为受理点和多媒体接入配置网关服务器，采用集群模式。3. 数据交换控制主机，是市民卡系统中心服务器与8家政府部门应用交互的接口设备4. 数据网关主机，为商业应用中各企业应用与市民卡系统数据交互的接口，物理上的连接方式与应用网关主机相同。5. 电子商务、电子政务网关主机，向电子商务、电子政务网站提供认证和支付服务，作为认证服务器和支付接口服务器，采用集群模式。6. 消息网关主机，为市民卡系统通过Internet向外部发送消息（如短消息）提供接口。10.2 网络架构市民卡系统的网络架构图如下所示：网络分为核心区、安全区、接入区三个层次：核心区：核心区逻辑上采用双星型结构。双星型结构的中心采用两台千兆级的主干交换机做为网络的核心，提供核心区所有网络设备的接入和所有VLAN间的路由转发。核心交换机之间采用Fast EtherChannel或Gigabit EtherChannel连接，保证负载均衡及线路备份。与安全区的防火墙通过GE连接。安全区：配备两台高端的千兆级防火墙设备形成双机备份系统，支持防火墙之间的热切换。同一设备同时提供防火墙和VPN接入的功能。设立专门的DMZ区，外界用户如需要访问市民卡的数据库，首先访问DMZ区的接口机或者Web Server,防火墙不开放允许外界直接访问核心区数据的策略。接入区的网络流量访问核心区必须先通过安全区，这样增加了安全的屏障，可以实施多层的安全控制。接入区：实现市民卡总体结构中数据网关，应用网关，接入网关，银行网关，电子政务和电子商务网关的功能。两条不同ISP的100M Internet线路通过负载均衡器实现相互备份，防火墙的端口具备向千兆过渡的能力。各个市民卡专用受理点、多媒体自助服务站, 充值代理点和小额支付代理通过Modem拨号（拨号到网络中心特定接入号）访问网络中心。也可以通过VPN的方式访问网络中心，各运行商负责将用户的连接通过VPN转接到市民卡网络中心的防火墙,这样能利用各ISP原有的拨号网络，节省了网络建设大成本。Web用户通过所在运营商的Internet网络访问网络中心的DMZ区，路由各运营商之间负责实现互通。商业单位和政府职能部门的网络通过SDH专线（SDH 155M或者SDH 2M）的方式与网络中心互联。11 业务安全设计11.1 数据安全数据是整个系统中非常关键的、甚至是最重要的因素。在市民卡的数据安全设计中，主要采用以下机制保证数据的安全：磁盘阵列：市民卡系统设计采用RAID5阵列，保障数据的安全。双机容错：采用双机容错系统。数据分等级管理：某些重要数据采用加密保护，在数据库中不用明文显示。日志管理：在程序中，对数据的各种操作利用日志进行记录。11.2 应用安全通过密码算法和密钥的协商，建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息。 在数据交换平台中提供令牌管理以实现各个接入系统的权限控制。11.3 网络安全病毒防范：在网络的多个层次上设置全面保护措施。填补漏洞：利用专业工具进行扫描，发现漏洞，并及时填补漏洞。通过虚拟局域网（VLAN）的划分加强网络安全等。