白海濤++王亞鴿++劉亞棟

摘 要：文中針對(duì)軍工企業(yè)集中管控需求，結(jié)合信息化技術(shù)的發(fā)展趨勢(shì)，并考慮國(guó)家主管部門(mén)的保密要求，借助遠(yuǎn)程接入技術(shù)，部署ERP、網(wǎng)站等管理系統(tǒng)，設(shè)計(jì)了集中式信息化平臺(tái)方案，力圖為軍工企業(yè)信息化建設(shè)提供參考。

關(guān)鍵詞：軍工企業(yè)；信息化；集中；遠(yuǎn)程；保密

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2016）12-0-02

0 引 言

隨著軍工企業(yè)的迅速發(fā)展，外地子公司增多，由此帶來(lái)了信息不暢、溝通不便、協(xié)同困難等問(wèn)題，如公司高層管理者希望實(shí)時(shí)、便捷地掌握每個(gè)子公司的第一手經(jīng)營(yíng)數(shù)據(jù)，外地子公司希望能夠及時(shí)瀏覽集團(tuán)公文等信息。另外，國(guó)家涉密信息系統(tǒng)（以下簡(jiǎn)稱(chēng)“內(nèi)網(wǎng)”）分級(jí)保護(hù)標(biāo)準(zhǔn)使涉密計(jì)算機(jī)的應(yīng)用成本過(guò)高，使用過(guò)于復(fù)雜，嚴(yán)重阻礙了信息化的應(yīng)用。

1 涉密計(jì)算機(jī)需要配置的安全產(chǎn)品和成本預(yù)算

為了滿(mǎn)足以上需求和減少信息化應(yīng)用的安全保密成本，讓信息化能夠?yàn)檐姽て髽I(yè)發(fā)揮更大作用，本文提出了建立一個(gè)立足互聯(lián)網(wǎng)，以公司園區(qū)總部為核心，服務(wù)于所有外地子公司的信息化平臺(tái)方案。表1所列為按照國(guó)家頒布的安全保密標(biāo)準(zhǔn)，一臺(tái)涉密計(jì)算機(jī)需要配置的安全產(chǎn)品和成本預(yù)算。

2 方案設(shè)計(jì)

2.1 總體設(shè)計(jì)

本方案首先借助先進(jìn)的遠(yuǎn)程接入技術(shù)，將分散于各地的子公司進(jìn)行通信互聯(lián)，形成基于互聯(lián)網(wǎng)的集團(tuán)外網(wǎng)基礎(chǔ)平臺(tái)。

（1）參照企業(yè)內(nèi)網(wǎng)中的ERP管理系統(tǒng)，在該平臺(tái)建立集團(tuán)ERP管理系統(tǒng)，實(shí)現(xiàn)對(duì)外地各子公司財(cái)務(wù)、業(yè)務(wù)的實(shí)時(shí)管理，進(jìn)而為集團(tuán)公司的決策提供數(shù)據(jù)支持；

（2）搭建集團(tuán)外網(wǎng)Web平臺(tái)，使得集團(tuán)內(nèi)部的各種公文、通知、管理經(jīng)營(yíng)信息能夠快速有效地傳遞到外地子公司，進(jìn)而傳遞到集團(tuán)全體員工處。

（3）考慮到因?yàn)楸Ｃ芏黾拥某杀?，將盡量減少集團(tuán)園區(qū)內(nèi)網(wǎng)用戶(hù)數(shù)量，將用戶(hù)限制為參與軍工研發(fā)生產(chǎn)的相關(guān)人員，堅(jiān)決剝離與軍品無(wú)關(guān)的用戶(hù)，將此部分用戶(hù)遷移至集團(tuán)外網(wǎng)。

根據(jù)以上需求，我們?cè)O(shè)計(jì)了集團(tuán)集中式信息化平臺(tái)，其架構(gòu)如圖1所示。

2.2 詳細(xì)設(shè)計(jì)

2.2.1 剝離內(nèi)網(wǎng)計(jì)算機(jī)終端

本著先易后難的原則，先將集團(tuán)園區(qū)內(nèi)子公司、分廠和非涉密部門(mén)的內(nèi)網(wǎng)終端計(jì)算機(jī)整體剝離，遷移至集團(tuán)外網(wǎng)。

2.2.2 調(diào)整網(wǎng)絡(luò)拓?fù)?/p>

集團(tuán)公司園區(qū)原外網(wǎng)拓?fù)淙鐖D2所示。路由器充當(dāng)網(wǎng)關(guān)，提供路由功能，而隨后的防火墻采用橋模式，卻未設(shè)置相應(yīng)的安全策略與規(guī)則。在本方案中，將去掉路由器，使防火墻運(yùn)行在路由模式下，因?yàn)榉阑饓ν耆梢蕴娲酚善魍瓿陕酚扇蝿?wù)，并啟用合適的安全策略與管理規(guī)則，不僅節(jié)省了成本，更提高了整個(gè)外網(wǎng)的安全系數(shù)。

由于大量計(jì)算機(jī)終端遷移至外網(wǎng)，因此需增加部分交換機(jī)，改變了原拓?fù)?。調(diào)整后的新拓?fù)鋱D如圖3所示。

2.2.3 應(yīng)用建設(shè)

在外網(wǎng)中心機(jī)房增設(shè)4臺(tái)服務(wù)器，其中1臺(tái)部署天翼系統(tǒng)，提供遠(yuǎn)程接入服務(wù)；1臺(tái)安裝Apache、MySQL、PHP組件，搭建Web平臺(tái)，提供公文等信息瀏覽功能，并部署郵件系統(tǒng)，為集團(tuán)外網(wǎng)用戶(hù)文件傳輸提供服務(wù)；2臺(tái)服務(wù)器分別部署ERP系統(tǒng)的中間層與應(yīng)用服務(wù)，搭建ERP管理系統(tǒng)，將外地子公司的財(cái)務(wù)、庫(kù)房、生產(chǎn)、計(jì)劃、銷(xiāo)售等納入集團(tuán)集中管理。

由于集團(tuán)內(nèi)網(wǎng)與外網(wǎng)進(jìn)行了物理隔離，故內(nèi)網(wǎng)中的公文、通知等最新信息需手工導(dǎo)出導(dǎo)入，以維護(hù)外網(wǎng)信息。對(duì)于由Apache+MySQL+PHP架構(gòu)的Web平臺(tái)，其數(shù)據(jù)分以下兩部分存放：

（1）PDF等非結(jié)構(gòu)化數(shù)據(jù)存放于PHP主目錄下；

（2）HTM網(wǎng)頁(yè)等結(jié)構(gòu)化數(shù)據(jù)存放于MySQL數(shù)據(jù)庫(kù)中。

在具體的數(shù)據(jù)維護(hù)時(shí)，借助Windows系統(tǒng)中的NtBackup工具設(shè)置定時(shí)、增量等備份策略，實(shí)現(xiàn)每個(gè)工作日非結(jié)構(gòu)化數(shù)據(jù)的自動(dòng)增量備份。對(duì)于MySQL數(shù)據(jù)庫(kù)，可編寫(xiě)如下所示的增量備份腳本：

@echo off

set PATH=C：＼Program Files＼Winrar；%PATH%

set MYSQLPATH= C：＼Program Files＼MySQL＼MySQL Server 5.0

set BAKPATH=e：＼mysql_bak

set USERNAME=root

set PASSWORD=1234567890

mkdir %BAKPATH%＼data

%MYSQLPATH%＼bin＼mysqladmin –u%USERNAME% -p%PASSWORD% flush-logs

xcopy /e /c /h /y %MYSQLPATH% ＼data＼mysql.* %BAKPATH% ＼data

rar a–ag %BAKPATH% ＼diff＼ %BAKPATH% ＼data ＼mysql-bin.*

rmdir /s /q %BAKPATH% ＼data＼

@echo %data% %time% dIncremental backup finish >> c：/mysqlbackup.log

借助Windows系統(tǒng)的計(jì)劃任務(wù)功能自動(dòng)執(zhí)行腳本，進(jìn)行增量備份，最后將兩部分備份發(fā)送至外網(wǎng)Web平臺(tái)，進(jìn)行相應(yīng)恢復(fù)處理。

2.2.4 終端管理

為節(jié)省天翼系統(tǒng)的購(gòu)置費(fèi)用，并考慮到安全管理的需要，根據(jù)授權(quán)訪問(wèn)資源的不同，外地子公司計(jì)算機(jī)可以被劃分為四種類(lèi)型，如表2所列。

其中，A類(lèi)計(jì)算機(jī)僅接入集團(tuán)外網(wǎng)系統(tǒng)，可使用郵件系統(tǒng)、共享等；D類(lèi)計(jì)算機(jī)主要分布在集團(tuán)園區(qū)外網(wǎng)網(wǎng)吧，為員工集中提供互聯(lián)網(wǎng)服務(wù)。

在集團(tuán)外網(wǎng)系統(tǒng)中，主要有三種技術(shù)手段能夠控制終端計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)行為，它們的組合使用可以滿(mǎn)足表3的訪問(wèn)需求：

（1）在網(wǎng)絡(luò)層，通過(guò)配置防火墻的ACL（訪問(wèn)控制列表）可以授權(quán)特定的終端訪問(wèn)集團(tuán)外網(wǎng)、集團(tuán)Web、集團(tuán)ERP、互聯(lián)網(wǎng)。

（2）通過(guò)天翼系統(tǒng)，基于IP、MAC、賬戶(hù)的控制，可以授權(quán)特定的終端在邏輯上訪問(wèn)ERP系統(tǒng)或集團(tuán)Web。

（3）通過(guò)ERP系統(tǒng)自身的安全管理功能，可以授權(quán)特定的賬戶(hù)連接ERP服務(wù)器。

由于本方案的安全防護(hù)策略基本都基于客戶(hù)端IP，因此要求外網(wǎng)中客戶(hù)端的IP地址必須是可控的，用戶(hù)未經(jīng)審批無(wú)法更改。為實(shí)現(xiàn)此目標(biāo)，考慮到管理成本與資金問(wèn)題，原則上收回終端的管理員權(quán)限，由網(wǎng)絡(luò)管理部門(mén)授權(quán)控制。

3 方案實(shí)施

此方案的實(shí)施涉及面廣，包括服務(wù)器的軟硬件、網(wǎng)絡(luò)設(shè)備的配置調(diào)整、終端計(jì)算機(jī)狀態(tài)的調(diào)整、上層應(yīng)用系統(tǒng)的部署與配置。為盡可能減少對(duì)用戶(hù)正常工作的影響，保證實(shí)施的順利進(jìn)行，可按以下順序推進(jìn)部署工作：

（1）去掉路由器，配置防火墻參數(shù)，保證集團(tuán)園區(qū)外網(wǎng)系統(tǒng)的正常運(yùn)行。

（2）調(diào)整防火墻與服務(wù)器配置，部署遠(yuǎn)程接入系統(tǒng)。

（3）搭建集團(tuán)外網(wǎng)Web平臺(tái)及ERP系統(tǒng)。

（4）將需剝離的終端計(jì)算機(jī)及交換機(jī)整體遷入外網(wǎng)，包括計(jì)算機(jī)和交換機(jī)配置的調(diào)整。

（5）根據(jù)管理需要與安全防護(hù)的要求，全面配置交換機(jī)、防火墻與極通遠(yuǎn)程接入系統(tǒng)的安全策略，保證外網(wǎng)系統(tǒng)安全、順暢的運(yùn)行。

4 結(jié) 語(yǔ)

本文設(shè)計(jì)的軍工企業(yè)集中式信息化平臺(tái)方案極大地滿(mǎn)足了用戶(hù)需求，在保證網(wǎng)絡(luò)系統(tǒng)順暢運(yùn)行的同時(shí)，提高了網(wǎng)絡(luò)安全，減少了對(duì)用戶(hù)正常工作的影響，具有廣闊的應(yīng)用前景。

參考文獻(xiàn)

[1]Julie C. Meloni. PHP、MySQL和Apache入門(mén)經(jīng)典（第五版）[M].北京：人民郵電出版社，2013.

[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)簡(jiǎn)明教程[M].北京：電子工業(yè)出版社，2007.

[3]秦鳳梅，丁允超.MySQL網(wǎng)絡(luò)數(shù)據(jù)庫(kù)設(shè)計(jì)與開(kāi)發(fā)[M].北京：電子工業(yè)出版社，2014.

[4]鄧洋，徐海林.云計(jì)算服務(wù)監(jiān)獄信息化之探索[J].物聯(lián)網(wǎng)技術(shù)，2014，4（12）：82-83.

[5]夏勇，金衛(wèi)健.企業(yè)信息管理平臺(tái)的研究[J].計(jì)算機(jī)與信息技術(shù)，2009（10）：82-84.

[6]方登建，劉木易，劉奇.物聯(lián)網(wǎng)技術(shù)在軍械保障中的應(yīng)用需求分析[J].物聯(lián)網(wǎng)技術(shù)，2014，4（4）：63-65.

[7]劉玉軍，秦睿堅(jiān)，石朋.大型集團(tuán)式軍工企業(yè)信息化建設(shè)及核心一體化物流平臺(tái)信息化建設(shè)方案設(shè)想[J].中國(guó)電子商務(wù)，2012（19）：43-46.

[8]王瑩慧.淺談軍工企業(yè)信息化平臺(tái)中內(nèi)部網(wǎng)站的構(gòu)建與研究[J].企業(yè)技術(shù)開(kāi)發(fā)月刊，2010，29（3）：94-95.