社會保障卡管理信息系統功能介紹復習課程

1、社會保障卡管理信息系統功能介紹社?？〝祿杉碜酉到y數據是社會保障卡系統建設的基礎，確保卡內數據的完整性、正確性和唯 一性是保證整個項目成功的關鍵。個人化數據采集制卡數據采集功能指通過信息系統的接口或通過人工采集方式收集制卡所 需的數據。根據四川省的現狀，應該先由各市、區(qū)縣人社局根據四川省社會保 障卡制卡數據規(guī)范及當地的實際情況采集符合制卡要求的個人化數據，并將數 據通過特定的接口提交給省人保廳，由省人保廳進行匯總，與公安部門人口信 息數據進行比對后存入數據庫供制卡之用。制卡數據采集功能要求如下：采集制卡所需的用戶基礎信息數據和業(yè)務系統中的業(yè)務數據；對社會保障卡系統原有用戶基礎信息數據的準確

2、性和真實性進行核對， 采用人工參與方式在制卡數據生成前完成；比對數據由卡系統通過接口反饋給業(yè)務系統。為省人保廳提交制卡所需個人化數據文件時。四川省可通過各市、區(qū)（縣）、街道、鄉(xiāng)（鎮(zhèn)）社會保障服務指導中心 進行數據的采集、核對、錄入等。數據采集流程如圖所示：與現有儂韻碗行此對. 海拒無a后受*公安系埼 衣期二代肺皿(含獻D 研關題據.當公支部n人口后m顆幫詵 行比對，整合錢退回的題品xb不合格敷據返回業(yè)務系綻數據庫數據比對.校驗致據網步一卡通系統 數據庫整合制卡數據箱卡中心進行制卡個人化數據生成制卡數據生成功能是指系統根據系統所采集的制卡所需數據，依據社會保 障卡系統規(guī)范中定義的參數，生成用于與

3、卡片相關的全部數據，包括基本應用 數據、公共應用數據、業(yè)務應用數據等。在此基礎上生成用于卡商/制卡中心所需的制卡數據文件。制卡數據生成功能要求如下：按照社會保障卡規(guī)范統一要求的數據格式，生成制卡數據。管理員可設定數據生成規(guī)則，生成用于制卡的其他所有參數。對生成的制卡數據的準確性進行核對，確保其與轉換前的個人化數據的一 致性。社?？ㄉa子系統制卡方式的選擇卡管理中心可以根據經費預算、制卡數量、制卡速度等需求，選購 1-2臺中型制卡機和20-30余臺小型機制卡機，每臺制卡機均需通過控制PC機連接到系 統網絡。中型制卡機，具制卡效率較高，速度快，適用于省級卡中心大批量制卡， 且在集中發(fā)卡后也可進行批

4、量的補、換卡工作；小型制卡機可適用于地市零星 補、換卡工作的進行?？紤]數據安全性及制卡成本、印相效果、工作量等多方面因素，可先由制 卡廠商統一印制社會保障卡的裸卡，包括卡面公共信息和圖案，再由卡中心完 成卡面?zhèn)€性信息的印制和卡內信息的寫入工作，并最終完成信封封裝和下發(fā)。如需要在短期內大量發(fā)卡，也可以考慮將批量制發(fā)卡工作外包給卡商完 成。制卡與卡發(fā)放流程設計為充分保證數據信息的安全性，四川省在進行社會保障卡制卡過程中擬采 用先印刷卡面再向卡內寫入數據的流程。城鎮(zhèn)居民、離退休人員申領的社會保 障卡，由四川省卡管理中心（專門管理機構）統一管理卡的制作，各市、區(qū)（縣） 社會保障局根據省廳統一規(guī)定，將卡

5、下發(fā)至各街（道）、鄉(xiāng)（鎮(zhèn)）社會保障服務 指導中心，再發(fā)放到各申領人手中；單位從業(yè)人員申領的社會保障卡，由四川 省卡管理中心（專門管理機構）統一管理卡的制作，由用人單位發(fā)放到各申領人 手中。制卡與卡發(fā)放流程如圖所示：卡片初始化該過程實現對卡片出廠初始化操作。卡片經過封裝后，卡芯片此時并不能 進行創(chuàng)建卡結構及灌注密鑰等操作，需要經過一系列的初始化操作，寫入卡片 歷史字節(jié)等要素，完成卡片從封裝過程到卡片個人化過程的過渡。該過程還將完成卡片傳輸密鑰的灌注操作，以保證卡片在運輸過程中的安 全性?？ㄆ瑐€人化通常個人化內容包括：UG（平面印刷）、彩照印刷（如有相片）、燙色、IC 個人化、寫磁等。IC卡個人化

6、主要是IC卡從個人化設備接受個人化指令和相關數據，并依照 個人化指令創(chuàng)建相關的應用、必須的文件結構以及部分數據，以便為下一步的 個人化做好準備?？ㄆb由貨產品保安人員負責卡片的包裝發(fā)貨保安檢查?？ㄆ\輸商必須是通過公司的安全資格審查并共同簽訂安全運輸合同，要求其安全運輸并對運輸過程 內容保密。制卡統計四川省人社廳信息中心應對每次制卡情況予以詳細的記錄，并保存歸檔， 以便日后能根據統計分析情況改進制卡的質量和效率。記錄的對象應針對制卡 設備、制卡數量、用卡地區(qū)情況而進行。記錄的內容可分批次保存。記錄制卡設備的使用情況：應統計每個制卡設備的已制卡數量、出錯日 志，以便日后分析設備的性能、利用效率

7、、磨損程度等指標，并根據指標對制 卡設備及時做出維護或調整。制卡數量統計：應統計出每次制卡量。用卡情況統計：應統計出制卡批次、 COS廠商信息、制卡開始日期、制卡 完成日期等信息，發(fā)卡類型。社保卡發(fā)放子系統發(fā)卡系統主要完成社會保障卡的發(fā)放、注銷以及業(yè)務指標擴充、數據結構 修改等功能。由于四川省發(fā)卡人數多，為了統一管理，采取以下步驟：由各服務網點通過人工采集和公共基礎數據庫相結合的方式完成數據 采集工作。由省人保廳按照社會保障卡要求生成制卡數據文件。制卡數據文件生成后，導入中央發(fā)卡系統，并由發(fā)卡系統將數據加載 到卡片當中?？ㄏ到y網絡結構在發(fā)卡過程中，發(fā)卡系統通過網絡IP地址授權、操作員網絡授權、

8、實現發(fā) 卡系統對加密機或PSAM卡的訪問和從而完成四川省社保卡個人化發(fā)卡?；緫媚Ｊ饺缦聢D所示：發(fā)卡流程社保卡應用子系統整個社會保障卡系統的具體使用及經辦需通過應用系統進行，應用系統須 滿足制卡、卡的發(fā)放、卡系統數據維護、卡信息管理和日?？I(yè)務管理等功能，卡管理信息系統的功能結構示意如下社會保障卡管理信息系統管理子系統應用子系統制卡管理密鑰管理應用服務卡片維護終端管理添 加密 鑰P S A M 卡 管 理鑒 別 認 證 服 務異?？ㄌ幚砗诿麊喂芾懋惖赜每ü芾砜ㄆ瑨焓c解掛應用系統建設內容(1)應用服務卡片應用前，必須對其進行有效性識別，有效性識別包括以下內容： 卡片是否是社會保障卡?？ㄆ欠?/p>

9、支持該初始化機構編號，即判斷該卡是否是本地卡；卡片是否支持“卡的類別”所代表的卡類型；卡片是否支持“規(guī)范版本”所代表的應用版本；卡是否在有效期內；卡片是否支持終端的應用；卡片是否支持從IC卡回送的應用版本號所代表的應用版本；該卡是否在終端存儲的黑名單卡之列；如果以上任一條件不滿足，交易將不能開始。此外交易執(zhí)行過程中還必須 提供外部認證、MAC認證及交易結束后的TAC認證等服務，以保證交易數據 的完整性、準確性、不可抵賴性及不可被偽造。(2)異?？ㄌ幚斫灰走^程中若用戶卡內數據與數據庫數據不一致，則表明該卡出現了異 常，此時業(yè)務端應停止交易，并將該異?？ㄋ屯ü芾碇行模▽ｉT管理機構）進行處理?？ü?/p>

10、理中心（專門管理機構）應從數據中心提取數據與異?？ǖ目▋葦?據進行比對，以確定卡片出錯的原因。（3）黑名單管理省卡管理中心（專門管理機構）必須對卡黑名單進行統一、集中管理，以保 證用卡時的校驗需求。黑名單管理主要是指對黑名單的收集、分發(fā)、存儲、檢 索和更新等的處理。收集：各市業(yè)務經辦網點將其每天產生的黑名單匯總到省卡管理中心（專門管理機構）的過程。（4）異地用卡管理異地用卡采用“異地申請聯網應用”的方式來處理?？ㄆS護（1）用戶個人密碼（PIN）維護PIN修改。用戶輸入舊PIN及新PIN,在舊PIN認證通過后將其替換為 新 PIN。PIN重裝。當用戶忘記了個人密碼后，管理人員在受權的情況下可重

11、裝 PIN,即將用戶卡內原有密碼替換為用戶指定的新密碼。PIN解鎖。當用戶認證PIN多次出錯誤后,IC卡內的PIN會被置為鎖定 狀態(tài)，不允許用戶再次認證，此時管理人員在授權的情況下可以解鎖 PIN,即將卡內PIN從鎖定狀態(tài)變?yōu)樵试S認證狀態(tài)，使客戶可以再次執(zhí) 行PIN認證。（2）卡片掛失/解掛持卡人丟失卡片，需要及時向卡管理中心 （專門管理機構）掛失，系統接受 口頭（電話）掛失和當面掛失。但口頭掛失后，需持有效證件在 7天內辦理當面 掛失，否則系統自動解掛。持卡人找到已掛失的卡片，要到卡管理中心 （專門管 理機構）辦理解掛失手續(xù)。（3）補卡持卡人將卡片丟失后，需持相關證件到卡管理中心（專門管理機

12、構）辦理補卡業(yè)務。業(yè)務經辦人員核對持卡人相關證件，若合法，則將持卡人原卡號放入 黑名單并補發(fā)新卡。補卡時系統從數據中心讀取持卡人個人信息、單位信息及 其他基本信息，同時將持卡人的當前賬戶余額寫入卡片內。補卡不補交易明細 記錄。（4）換卡卡片發(fā)生損壞或其他原因卡片不能使用，需持壞卡及相關證件到卡管理中 心（專門管理機構）辦理換卡業(yè)務。業(yè)務經辦人員需先將壞卡收回，之后另換新 卡。換卡時，系統從數據中心讀取持卡人個人信息、單位信息及其他基本信 息，同時將持卡人的當前賬戶余額寫入卡片內。換卡不補交易明細記錄。換卡完成后，收回的壞卡必須在一定條件下銷毀，防止密鑰外泄。終端管理卡管理中心（專門管理機構）應

13、對所有的 IC卡讀寫器進行統一的管理和備 案。為保證卡片的全國通用，所有用于社會保障卡業(yè)務處理的讀寫器，應符合社會保障（個人）卡規(guī)范一一終端規(guī)范的要求。讀寫器的權限由 PSAM卡 決定，PSAM卡由卡管理中心（專門管理機構）統一發(fā)放。PSAM卡與終端讀寫 機具一一對應，不可互換。與其他業(yè)務系統應用接口與其他業(yè)務系統的接口軟件是社會保障卡應用管理系統的非常重要的一部 分。通過各類接口軟件，實現社會保障卡、卡片應用管理系統、制卡系統與社 會保障業(yè)務系統以及與民政，財政，衛(wèi)生，金融，公安等部門業(yè)務系統之間的 數據交換和數據共享。包括與社會保險系統、勞動就業(yè)系統、人事人才系統， 社區(qū)服務系統，定點醫(yī)療

14、機構系統以及民政系統，財政系統，衛(wèi)生系統，公安 系統，銀行金融應用等接口軟件。方式一：數據庫接口數據庫接口方式主要應用與社會保障內部社會保障卡管理系統與社會保險 系統，城鄉(xiāng)居民養(yǎng)老保險系統，勞動就業(yè)系統，人事人才系統以及12333系統等的數據交換（1）接口完成功能社會保障卡管理系統通過接口從社會保障業(yè)務系統采集制卡所需要的用戶 基礎信息數據和用戶業(yè)務數據。社會保障卡管理系統通過接口將核對后的用戶 基礎信息數據反饋給社會保障業(yè)務管理信息系統。（2）接口實現方式接口可采用TCP/IP、FTP、Socket等協議作為底層承載協議和通信協議。 社會保障卡管理系統與勞動和社會保障管理信息系統間接口實現方

15、式如下：在社會保障卡管理系統與業(yè)務信息系統間建立數據庫表單對應關系。社會保障卡管理系統建設系統調試完畢后，將制卡所需的業(yè)務系統用 戶基礎信息數據一次性導入社會保障卡管理系統。制卡前，社會保障卡管理系統通過其它采集方式（如人工采集，或者公安系統對比）對用戶基礎信息數據進行核對，將核對結果通過接口反饋 給業(yè)務系統。系統間的少量數據交互更新，如卡用戶基礎資料更新（由卡管理系統完 成）、卡用戶業(yè)務資料更新（由業(yè)務系統完成）通過數據庫表單對應表 進行同步。數據更新內容生成后，數據采集根據兩個系統間接口約定，可采用等 待對方系統自己來采集，也可采用送到對方系統中，由對方系統接收 的方式。方式一：Socke

16、t接口Socket接口主要應用于與指定銀行業(yè)務軟件的聯接，實現社會保障卡的金 融查詢、支付等功能。社會保障卡與銀行業(yè)務結合，通過卡面印刷銀行暗磁 條，將銀行的磁條信息印刷在社會保障卡卡面的下面，磁條內即為持卡人在銀 行開立賬戶的信息。根據業(yè)務需要，可將銀行卡號信息存放于社會保障卡芯片 中。最終實現社會保障卡與銀行卡合二為一。首先在后臺對社會保障卡和銀行帳戶進行綁定，形成一一的映射關系。通 過銀行對該后臺授以相應的權限，可使用該帳戶進行金融應用，銀行方面提供 pos功能的動態(tài)庫。社會保障數據中心的業(yè)務應用軟件與銀行提供的pos動態(tài)庫進行銜接。當需要通過銀行卡進行費用支付時，比如醫(yī)療費用的個人支付

17、，通 過醫(yī)保定點端的費用結算系統將銀行pos動態(tài)庫嵌入進來，這樣當需要個人支付費用且個人同意后，系統通過社會保障卡判定綁定的銀行賬戶以及是哪家銀 行，然后將該請求分發(fā)調用已有的銀行pos動態(tài)庫，從而實現銀行卡消費支付。以上闡述可以看出，事實上在終端并沒有真正的pos機存在，但是通過軟pos的機制，實現了社會保障卡與銀行二者之間的業(yè)務一體化，對服務對象而 言，方便、快捷。方式二： WebService 接口WebService接口基于異構系統的應用集成，應用支撐平臺設計采用封裝成 WebService接口的形式進行功能服務的集成與整合。主要應用于財政，民政， 衛(wèi)生，公安等部門之間的數據交換和交易

18、請求。在卡中心建立集中的 WebService服務，分析各種業(yè)務可能，根據實際需求 定義WebService交易請求，并將交易請求整理后統一對外發(fā)布。外部門需要使 用卡中心業(yè)務的，可以通過審批后通過自身的業(yè)務系統發(fā)起交易請求，卡中心 針對交易請求提供服務。以上是卡中心應用過程中主要涉及的三種模式，針對具體的業(yè)務或部門要 求可提供組合服務。比如針對社會保險管理系統，可以提供數據庫接口和 WebService接口服務；針對金融功能需要，可提供 Socket接口和 WebService接 口服務；針對財政，民政，衛(wèi)生等部門，也可以根據實際的需要提供多種接口 服務。社?？ń涌谧酉到y基本要求ic卡接口應

19、符合勞動和社會保障部社會保障（個人）卡規(guī)范和安 全要求。IC卡接口的設計和工程質量應符合國家、地方政府相應的法律、法 規(guī)，以及國家、行業(yè)的標準、規(guī)范或者行業(yè)內部的慣例?？ɑ拘畔?SSSE.EF05,SSSE.EF0必讀取時間及SAM卡鑒權的總時間 不超過0.5秒。配合全密鑰的社會保障SAM卡，16K卡片的社會保障基本應用(SSSE,DF01/2/3/4準部數據寫入時間應小于12秒。配合全密鑰的社會保障SAM卡，16K卡片的社會保障基本應用(SSSE,DF01/2/3/4準部數據讀出時間應小于 6秒。IC卡接口每次從卡片取出的字節(jié)數，一次取出數據域的最大可達到 256 字節(jié)；并支持循環(huán)取出后續(xù)

20、的數據，支持對大文件的分塊快速讀出?？ㄗx寫總體架構IC卡讀寫接口總體架構示意圖如下所示:后取謖修就與*醫(yī)療作除雁作卡生W停險攤作*勞動M業(yè)嫌作卡共泣癡城tftlV士養(yǎng)老依感嫌作臉皿卡M法號謂聿豪本口 立片上電篝同設備打開設&J應用禧g程口/f讀卡設備與業(yè)務系統的接口卡前端應用接口是以卡廠商提供 Driver、底層接口函數、應用讀寫接口為底層基礎進行開發(fā)的，向業(yè)務系統 /查詢終端提供標準的接口函數。業(yè)務系統/查詢終端根據標準接口函數進行基礎應用和高級應用編程， 實行業(yè)務系統/查詢終端與卡終端/卡的交互。接口函數定義應根據勞動和社會保障部發(fā)布的社會保障卡（個人）卡 規(guī)范所描述的，由社會保障卡系統卡

21、廠商、勞動和社會保障卡系統開 發(fā)商共同約定及定義。前端應用接口模塊應用由業(yè)務系統開發(fā)商提出需求，卡廠商配合完成開發(fā)、對接測試。為了便于業(yè)務系統的快速開發(fā)，卡商應提供以下應用讀寫接口函數：1）打開設備2）關閉設備3）卡片上電4）卡基本命令（便于后期擴展）5）讀卡基本信息（讀卡片社會保障基本信息）6）驗證個人密碼（持卡人輸入密碼驗證合法性）7）驗證卡合法性（卡與SAM交互驗證）8）卡養(yǎng)老保險數據操作9）卡失業(yè)保險數據操作卡勞動就業(yè)數據操作卡工傷保險數據操作卡生育保險數據操作卡醫(yī)療保險數據操作獲取設備狀態(tài)獲取SA”信息獲取版本等接口函數適用于幾乎所有 Windows的語言開發(fā)軟件調用。包括VC,VB

22、,JAVASCRIPT,PB,DELPHI,C+ builder 等等，業(yè)務系統開發(fā)商通 過調用接口函數，讀取卡片信息到本地業(yè)務系統，實現卡與業(yè)務系統 的對接。1.5.4數據交換平臺省級數據中心縱聯中央、地市數據中心，橫聯財政、民政、衛(wèi)生、金融機構等相關部門，系統結構復雜、涉及的單位多、地域廣。交換平臺按照“立足應用、高于應用、投入應用”的思路，以解決當前人保與其他部門數據共享、應用協同的難題。以人保數據為基礎，搭建數據交換平臺，建立與其他相關部門的數據接口，將各個部門的系統聯系起來，實現各部門的數據交換、比對。實現社?？ā耙豢ㄍㄓ谩?。數據交換平臺示意圖如下:社保業(yè)務系統二、糧行+文止金發(fā)的卵M美老全彩故之舶* )財的系統一失業(yè)登發(fā)的照卸，新農合補貼記錄一衛(wèi)生系統#1/樽Lj平教組十,劃財始果/q信息譴1|L1.6社保卡安全子系統1.6.1卡系統中心的安全(1)網絡平臺安全網絡平臺安全主要是防范非法的網絡路由接入，阻止非法者竊聽、竊取、篡改網絡數據，防范通過遠程訪問非法接