烟草专卖局推动行业信息化发展

中国烟草行业实行统一领导，垂直管理和专卖专营的专卖管理体制。国家烟草专卖局（中国烟草总公司）主管全国的烟草专卖工作及统一管理和经营全国烟草行业的产供销、人财物、内外贸业务。

从2003年开始，烟草行业以工商分立为突破口，积极推进内部管理体制、卷烟工业企业联合重组和取消县级公司法人资格的改革调整工作，市场化水平明显提高。

目前，烟草行业的信息化发展快步前进，业务系统已趋于完善，整个烟草专卖局是自上而下的管理模式，从国家局到省局，再到地市和县，掌管着卷烟的全国销售和烟叶的收购工作，配合中烟公司的生产，形成了一个烟叶收购（专卖局）---卷烟生产（中烟公司）---卷烟销售（专卖局）的一条龙经营体系。

烟草行业的网建经历了从农网向城网，从网点延伸到全面访销、集中配送，从最早“三网合一”的南通模式、武汉的“访送分离”模式、“四经一纬”的成都模式到上海的“现代流通”模式、江苏“全省网建学上海”，中国烟草积极推动从传统商业向现代流通的转变。在体制改革方面，从工商分开到订单供货，中国烟草发展进入一个全新的阶段，并同时面临着新的挑战。

随着信息化建设的不断深入，电子商务、电子政务和管理决策三大应用体系将是烟草企业发展的主要任务；语音技术、视频会议等多媒体业务的运用，使以前简单的数据通信逐渐丰富；数字监控系统的使用，使网络的承载要求增高；无线接入的应用，与外界系统的数据交流，使安全防护困难度增大。目前从烟草行业信息化平台建设的情况来看，存在着一些发展的阻碍因素。

1. 数据大集中的设计理念，对现有网络资源要求高，保障业务的不间断运行，需要以网络设备的可靠性和网络技术为基础，实现数据实时的传输。

2. 视频会议的应用，节约了企业运营的成本，同时对网络的实时传输提出了更高的要求，大数据量的传输，给网络带来了新的压力。

3. 物流的分离，监控系统的大量采用，不仅保证了安全，而且监控系统与GPS全球定位的结合，对卷烟的监控扩大到了运输的每个环节。

4. 病毒、蠕虫、间谍软件无时无刻不在威胁着数据的安全，网络的不断扩建和不断延伸，造成威胁源的不断增多，新的攻击不断出现，安全防范需要不断深入和更加严格的控制。

5. 网络的管理控制功能薄弱，单纯设备级的网络管理已经不能满足烟草用户对业务可靠性的要求，还需要依赖于服务器和数据存储等多种技术组合。

3. 烟草专卖局信息化解决方案

烟草专卖局发展的今天，需要一个可靠、安全、高效、集成的网络平台，保障各个业务的稳定、高效的运行。H3C基于对烟草专卖局充分理解的基础上，针对其特点和未来发展的趋势，提出了“数字化烟草”多业务承载的网络建设模式。

实现“数字化烟草”，建设多业务的网络平台，就是要针对烟草专卖局业务系统对网络的要求，结合未来发展的可控网络的思想，实现一个可控的、安全的、可靠的网络平台，来承载烟草多业务的应用。

烟草专卖局信息化解决方案主要在烟草数据大集中的模式下，以地市为中心的营运模式进行部署。考虑烟草信息系统应用的要求，和用户对网络可靠性的需要，建议采用双设备、双链路的广域网方式进行组网，从省SR系列---市MSR50系列---县MSR30系列，逐步部署。方案涉及网络、安全、存储、视频、语音等方面的设计，结合H3C的IRF技术、IPS、V2OIP等多种技术，为烟草专卖局建设一个可靠、安全、多业务承载的网络平台。

3.1. 业务系统的平稳运行----可靠的网络设计

自工商分离以来，烟草专卖局主要以商业经营为主，经过多年的发展，已形成电话订货、电子结算、网上配货、现代物流的运作模式。但过分的依赖信息系统，造成网络的可靠性要求增大，需要稳定、可靠的网络平台作为保障。

网络的冗余设计

—备份网络的建设保证信息化平稳运行

烟草网络的建设，是保障业务系统的稳定运行和不间断的通信，烟草专卖局是以“市集中”或“省集中”为销售模式，数据集中在省或市，物流中心和县级单位每天都要进行数据的上传和查询，由于业务的增多，数据流量的增大，原有的拨号备份网络已无法完全承载。

为了完善烟草专卖局广域网的设计，提高可靠性，为烟草专卖局的业务系统提供稳定、可靠的网络平台，就需要实现冗余备份的网络架构。冗余的网络架构不仅靠设备的可靠性和双设备、双链路的网络设计作为保证，而且需要相应的网络技术加以实现，保证网络在出现故障的同时，快速切换，实现业务平稳运行。

H3C公司的SR系列路由器具有电信级的可靠性，可靠性达到99.999%，作为省干核心路由器，与原有路由器形成冗余，利用OSPF国际标准协议，实现等价路由，同时合理利用备份网络的资源，将数据分流，保证关键业务的传输。

资源利用，高效承载

—IRF技术构建业务系统网络可靠平台

营销管理信息系统是烟草专卖局运营的关键，大量的基础信息都来源于此，业务运转、管理决策、信息统计等使其更加关键。从订单的输入到订单的审核，再到物流的分拣，最后配送，一条龙式的运转，将用户的最初需求和卷烟的发送过程的原始数据记录下来，成为其它系统的数据主要来源。

因此根据烟草营销管理信息系统可靠性要求高、信息交互频繁的特点，对业务系统的网络承载要求99.999%的高可靠性。

在选择高可靠核心设备的同时，H3C公司强烈建议在业务系统的重要服务器的接入上采用双归属的高可靠的设计，利用H3C公司的IRF技术，实现冗余接入，保障接入的可靠性。

IRF智能弹性框架技术是H3C的专有技术，可实现多达8台交换机设备的统一管理，与传统堆叠技术不同，IRF可实现堆叠设备之间的三层路由信息共享，和跨设备的链路聚合。在应用中，服务器的双千兆链路接入工作在链路捆绑模式，而不是主备模式，这不仅使网络带宽增加了一倍，而且提升了服务器接入的可靠性。

3.2. 优质的服务、效率的提高—语音、视频、监控系统的应用

随着烟草专卖局网络建设的完备性，多种业务的应用成为可能。以往手工/手持POS访销模式已完全被呼叫中心取代，节省了人力，提高了效率，同时提供了过去运营模式中无法实现的功能，极大方便了销售和管理工作。视频的大量应用满足了烟草专卖局频繁的会议，使工作效率得到了提高，同时也提高了服务质量。

人性化的服务

—H

3C

Call Center的解决方案

访销一直是烟草销售的手段，手工/手持POS访销、电话访销（Call Center）、电子商务三种模式也是烟草商业运作发展的三个阶段。由于信息化的发展，手工/手持POS访销模式已不能满足数字化烟草发展的需要；同时由于经销户IT方面的整体水平不高，电子商务的应用目前使用比较少，而呼叫中心正是由于它的灵活性，既能满足烟草信息化的管理，又能提高烟草经销户的满意度，因此Call Center的访销模式得到了烟草专卖局的大力推广。

H3C的NBX网络电话系统，是基于IP架构的电话系统，通过提供开放的API接口，与各种厂家的系统对接，提供例如交互式语音应答系统 （NV_IVR）、自动话务排队系统 （NV_ACD）、班长坐席管理系统等丰富的功能。

利用H3C公司的NBX系统建立烟草专卖的呼叫中心，它可以作为连接卷烟经销户和烟草专卖局服务的桥梁，烟草专卖局管理窗口的延伸，烟草专卖局对卷烟经销户进行电子化服务的门户。呼叫中心主动与烟草经销户拨打电话，让座席员在系统的指导下像一个老练的销售员一样接待客户。卷烟经销户可以利用电话、传真、电子邮件、手机、短消息等多种接入手段，随时拨打呼叫中心特别服务号码，接受包括查询卷烟/价格/限额/新品种、卷烟经营规范制度/卷烟专卖政策法规咨询、通报最近畅销卷烟的限额情况/通报最近增加的新品种/烟草专卖局召集的活动通知、投诉和举报违法经销行为、卷烟预订、电话访销、满意度调查等多项服务。烟草专卖局的配送中心根据客服中心采集到来自直接用户的第一手销售信息，组织卷烟销售配送，管理库存；同时供烟草专卖局了解和调整业务。

高效的工作，近距离的沟通

—H

3C

的视频会议系统

随着网络技术的发展，网络承载能力的增强，多媒体的技术在网上得到了广泛的应用；烟草专卖局全国、全省的网络平台已初步建成，视频会议系统部署成为可能。为了提高工作效率，增加上下级沟通，减少运营成本，并进一步发挥网络的效能，视频会议系统得到了广泛的应用。

H3C向用户提供全系列的视频产品，包括在计算机上使用的软件终端、桌面可视电话、会议室大型终端等，通过在会议上的使用，拉近了沟通的距离，使上级精神的传达和下级问题的解决得到及时的响应。而且通过视频系统的双流，双视等功能，使业务人员的培训更加生动、灵活。

安全保障

----物流配送中心的监控系统

烟草物流配送中心是将卷烟仓储、分拣、再配送到烟草经销户手中的中转站，是整个烟草商业体系的重要一环；由于烟草的专营体制，防止烟草在运输和仓储过程中出现问题，保护烟草生产和销售领域的利益，因此在物流配送中心安装监控系统成为必然。

H3C根据烟草行业物流的特点，提出了视频监控“All-in-One”理念，并发布了“集成”的IVS3000监控解决方案。方案以ISC（Integrated Surveillance Center，集成监控中心）3000/3100为核心，创造性地将监控中心监控管理各项功能集成在同一设备上，实现了系统管理、日常监控、网络存储和自我防护等功能“四合一”，解决了用户建设和应用视频监控系统时遇到的各种难题，使得监控系统的结构更加简单，成本更加合理，应用更为简便。H3C监控案如下：

整个系统借助于网络平台，前端编码器将视频转化成数据流，通过ISC3000控制器进行调度，经过解码器将数据流转化成视频信号，显示在电视墙上。整个监控系统完全通过IP方式传输，不仅可通过网络将信号传输到远端烟草专卖局，而且可以实现二级监控和分级控制，方便管理人员使用。

H3C 提出了开放体系架构的理念，针对在运输过程中车辆的监控，向第三方提供SDK基于C# 的接口，将GIS和卫星定位系统等功能融合到监控系统中，灵活进行调用。

3.3. 立体化的安全防护----H3C整体安全防护

H

3C

的

IPS安全解决方案

由于业务的需要，与外界系统的信息互访（与银行系统的连接），烟草专卖局网络有多个外部网络连接，例如Internet连接、专卖局的专网连接、外部单位专线连接等。由于烟草专卖数据的关键性，安全防护摆在了烟草专卖局的面前，如何保证系统的稳定运行，数据不被窃取和破坏？如何保证内网用户不会遭到网上欺骗，造成信息的丢失？如何保证与外界的信息交互安全有效的进行？是烟草专卖局需要重点考虑的。

安全产品在很早就在烟草专卖局网络上开始部署，防火墙、IDS等设备的使用，使烟草专卖局的安全得到了加强，由于目前安全模型的改变，在越来越多可以穿越防火墙的流量中，夹带着攻击，即面向应用的攻击，在大多数情况下，防火墙是无法有效阻击入侵行为的，因为常见的防火墙主要是用来防御直接的可疑流量——比如在安全策略没有授权的情况下，拒绝访问者访问到一台保护设备上——如telnet服务，或者允许某些数据流通过——如Web服务器通信。

当然，有些用户使用IDS来监视系统安全，并希望通过与防火墙联动来防范入侵。不过前提是，只有当入侵者使用2800bps的网络速度入侵企业网络的时候，IDS才有足够的反应时间来调度其他安全设施配合！缓慢的时间戳根本无法阻止类似“Slammer”、“Blaster”等高速繁殖带来的灾难。

针对防火墙和IDS的不足，需要有新的安全设备与之配合，这就是IPS――入侵防御系统，IPS可以完成其所不能提供的深度内容分析和攻击检测和在线防范的能力。可以这么解释IPS在网络安全上的重要性，将一个需要保护的网络比作一间密封的大屋子，传统的防火墙相当于在屋子的墙上开了几个窗口，让空气和光线可以进来，而IPS相当于给这些窗口装上纱窗、玻璃和窗帘，以挡风遮雨，同时防范苍蝇、蚊子、灰尘等进入屋子。

H3C的IPS产品自发布以来，已迅速成为提供基于网络的入侵防御系统的领先厂商。H3C的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，H3C的入侵防御系统能够在发生损失之前阻断恶意流量。利用H3C提供的数字疫苗服务，入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。

用户端的安全保护——H3C EAD解决方案

客户端的保护，对于任何企业来说是一个非常困难的事，烟草专卖局计算机普及率广，数量大，终端一旦染毒，就成为一个攻击点，再加上大多数从业者的计算机水平普遍不高，这就造成终端的安全防护不够，木马程序肆意泛滥，成为烟草专卖局最为头疼的问题。如何管理终端？如何保护终端不受侵害？

据权威机构对用户的调查分析，大多安全问题主要集中在病毒和系统自身漏洞方面，H3C公司依据多年的经验和先进的网络技术，结合用户的需求，推出EAD端点准入防御系统，与交换机、路由器和安全设备配合，彻底保护网络安全。

EAD系统在用户接入网络前，强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果，强制实施用户接入控制策略，对不符合企业安全标准的用户进行“隔离，并强制用户进行病毒库升级、系统补丁安装等操作；在保证用户终端具备自防御能力并安全接入的前提下，设置不同用户的访问策略，合理控制用户的网络行为，提升整网的安全防御能力。

与传统的网络安全产品的不同之处——“被动防御，事后补救”，H3C端点准入防御（EAD，Endpoint Admission Defense）解决方案则从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。

3.4. 统一网络管理-----H3C IMC智能管理中心

随着网络的发展，网络管理已从通常意义上的网络设备管理，逐渐向统一网络管理转变，传统的网络管理已不能满足多变的网络系统，具体如下：

n 面向功能，而不是面向业务，无法通过业务拉动IT资源的调配和使用；

n IT资源功能独立、各自为政，IT资源间缺少有机的融合和联动；

n 系统间缺乏开放，造成管理冗余，随着功能的增加日益复杂，造成IT管理、维护成本据高不下。

针对烟草专卖局从国家到市县的四级网络，不仅网络设备众多，而且各种业务的管理也众多，因此更需要一套能够综合管理整套网络的系统，以提供给管理员清晰而准确的信息，方便管理。

为了能够系统的解决目前网络维护、管理存在的问题，杭州华三通信技术有限公司凭借多年网络管理产品的研发经验和对网络管理的深刻理解，推出了新一代的网络管理产品——H3C智能管理中心（Intelligent Management Center），iMC以业务管理和业务流程模型为核心，采用面向服务（SOA）的设计思想，按需装配的组件化结构，为客户提供网络业务、资源和用户的融合管理解决方案，帮助客户实现网络业务的端到端管理。通过iMC 能够灵活组织功能组件，形成直接面向客户需求的业务流解决方案，从根本上解决多业务融合管理的复杂性。

H3C iMC通过预定的业务流程，分布计算和处理，同时通过统一的集中管理平台实现业务部署、监控和运维。

H3C IMC从根本上颠覆了传统网络管理软件的设计思想，将网络管理工作从繁杂的、相互独立的管理工具中解脱出来，以业务融合和业务流为主旨思想，实现用户、资源和业务三大网络要素的融合管理，其主要特点有：

1. 面向服务的架构

采用Web Service 技术框架，通过松耦合、分布式、易扩展的开放管理平台，提升业务融合能力；以资源虚拟化屏蔽底层设备差异，通过面向服务的接口和调度框架，实现以业务流程为中心的端到端管理。

2. 基础资源管理

基于全网的QoS、ACL、VLAN、QinQ等策略的统一部署、管理和调配；实现集群HGMP管理，IPv6设备管理，路由器、交换机、安全、语音、存储、SOHO等公司全线产品的网元管理以及桌面和网络资产的统一管理；为业务融合、资源调度和自动化协同响应提供必要手段。

3. 身份与接入管理

支持LAN、WAN、WLAN、VPN认证接入，实现接入业务的统一、集中管理；支持智能卡、证书、RSA双因素密码等强认证功能，支持多种方式的端点准入控制和基于身份的网络服务，实现用户与资源和业务的融合管理。

4. 端点安全准入管理

在身份接入基础上，支持终端安全准入控制，支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等，预防因未打补丁、病毒泛滥、ARP攻击、异常流量、非法软件安装和运行等因素可能带来的安全威胁，并可根据终端的安全状态实现终端下线、隔离、提醒、监控等多种控制策略。从端点接入上保证每一个接入网络的终端的安全，从而保证网络安全。

5. VPN管理

封装不同VPN业务底层协议，实现对MPLS VPN、IPSec+L2TP VPN、SSL VPN的统一管理，融合端点安全、用户接入和应用分析，实现从VPN业务部署、用户接入到业务监视的全流程管理。

6. 网络智能分析

通过故障根源分析、SLA分析等基于规则和策略的深度分析，直观展示网络运行状态，快速定位故障源，协助优化网络结构；通过流量异常检测、网络安全事件的集中管理和基于资源管理平台的协同响应，提高风险识别的准确度、快速响应安全威胁。

数字化烟草给烟草专卖局、乃至整个烟草行业带来了信息化的革命，决策分析系统的应用，增强了决策的科学性，为烟草未来发展的前途开创了光明的道路。H3C面对烟草专卖局信息化的迅猛发展，立志于为烟草专卖局提供一个稳定、可靠、安全的多业务网络承载平台，配合烟草专卖局信息化建设的不断发展，让H3C真正成为您身边的好网络。