白海濤++王亞鴿++劉亞棟

摘 要：文中針對軍工企業(yè)集中管控需求，結(jié)合信息化技術(shù)的發(fā)展趨勢，并考慮國家主管部門的保密要求，借助遠程接入技術(shù)，部署ERP、網(wǎng)站等管理系統(tǒng)，設(shè)計了集中式信息化平臺方案，力圖為軍工企業(yè)信息化建設(shè)提供參考。

關(guān)鍵詞：軍工企業(yè)；信息化；集中；遠程；保密

中圖分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2016）12-0-02

0 引 言

隨著軍工企業(yè)的迅速發(fā)展，外地子公司增多，由此帶來了信息不暢、溝通不便、協(xié)同困難等問題，如公司高層管理者希望實時、便捷地掌握每個子公司的第一手經(jīng)營數(shù)據(jù)，外地子公司希望能夠及時瀏覽集團公文等信息。另外，國家涉密信息系統(tǒng)（以下簡稱“內(nèi)網(wǎng)”）分級保護標準使涉密計算機的應(yīng)用成本過高，使用過于復(fù)雜，嚴重阻礙了信息化的應(yīng)用。

1 涉密計算機需要配置的安全產(chǎn)品和成本預(yù)算

為了滿足以上需求和減少信息化應(yīng)用的安全保密成本，讓信息化能夠為軍工企業(yè)發(fā)揮更大作用，本文提出了建立一個立足互聯(lián)網(wǎng)，以公司園區(qū)總部為核心，服務(wù)于所有外地子公司的信息化平臺方案。表1所列為按照國家頒布的安全保密標準，一臺涉密計算機需要配置的安全產(chǎn)品和成本預(yù)算。

2 方案設(shè)計

2.1 總體設(shè)計

本方案首先借助先進的遠程接入技術(shù)，將分散于各地的子公司進行通信互聯(lián)，形成基于互聯(lián)網(wǎng)的集團外網(wǎng)基礎(chǔ)平臺。

（1）參照企業(yè)內(nèi)網(wǎng)中的ERP管理系統(tǒng)，在該平臺建立集團ERP管理系統(tǒng)，實現(xiàn)對外地各子公司財務(wù)、業(yè)務(wù)的實時管理，進而為集團公司的決策提供數(shù)據(jù)支持；

（2）搭建集團外網(wǎng)Web平臺，使得集團內(nèi)部的各種公文、通知、管理經(jīng)營信息能夠快速有效地傳遞到外地子公司，進而傳遞到集團全體員工處。

（3）考慮到因為保密而增加的成本，將盡量減少集團園區(qū)內(nèi)網(wǎng)用戶數(shù)量，將用戶限制為參與軍工研發(fā)生產(chǎn)的相關(guān)人員，堅決剝離與軍品無關(guān)的用戶，將此部分用戶遷移至集團外網(wǎng)。

根據(jù)以上需求，我們設(shè)計了集團集中式信息化平臺，其架構(gòu)如圖1所示。

2.2 詳細設(shè)計

2.2.1 剝離內(nèi)網(wǎng)計算機終端

本著先易后難的原則，先將集團園區(qū)內(nèi)子公司、分廠和非涉密部門的內(nèi)網(wǎng)終端計算機整體剝離，遷移至集團外網(wǎng)。

2.2.2 調(diào)整網(wǎng)絡(luò)拓撲

集團公司園區(qū)原外網(wǎng)拓撲如圖2所示。路由器充當(dāng)網(wǎng)關(guān)，提供路由功能，而隨后的防火墻采用橋模式，卻未設(shè)置相應(yīng)的安全策略與規(guī)則。在本方案中，將去掉路由器，使防火墻運行在路由模式下，因為防火墻完全可以替代路由器完成路由任務(wù)，并啟用合適的安全策略與管理規(guī)則，不僅節(jié)省了成本，更提高了整個外網(wǎng)的安全系數(shù)。

由于大量計算機終端遷移至外網(wǎng)，因此需增加部分交換機，改變了原拓撲。調(diào)整后的新拓撲圖如圖3所示。

2.2.3 應(yīng)用建設(shè)

在外網(wǎng)中心機房增設(shè)4臺服務(wù)器，其中1臺部署天翼系統(tǒng)，提供遠程接入服務(wù)；1臺安裝Apache、MySQL、PHP組件，搭建Web平臺，提供公文等信息瀏覽功能，并部署郵件系統(tǒng)，為集團外網(wǎng)用戶文件傳輸提供服務(wù)；2臺服務(wù)器分別部署ERP系統(tǒng)的中間層與應(yīng)用服務(wù)，搭建ERP管理系統(tǒng)，將外地子公司的財務(wù)、庫房、生產(chǎn)、計劃、銷售等納入集團集中管理。

由于集團內(nèi)網(wǎng)與外網(wǎng)進行了物理隔離，故內(nèi)網(wǎng)中的公文、通知等最新信息需手工導(dǎo)出導(dǎo)入，以維護外網(wǎng)信息。對于由Apache+MySQL+PHP架構(gòu)的Web平臺，其數(shù)據(jù)分以下兩部分存放：

（1）PDF等非結(jié)構(gòu)化數(shù)據(jù)存放于PHP主目錄下；

（2）HTM網(wǎng)頁等結(jié)構(gòu)化數(shù)據(jù)存放于MySQL數(shù)據(jù)庫中。

在具體的數(shù)據(jù)維護時，借助Windows系統(tǒng)中的NtBackup工具設(shè)置定時、增量等備份策略，實現(xiàn)每個工作日非結(jié)構(gòu)化數(shù)據(jù)的自動增量備份。對于MySQL數(shù)據(jù)庫，可編寫如下所示的增量備份腳本：

@echo off

set PATH=C：＼Program Files＼Winrar；%PATH%

set MYSQLPATH= C：＼Program Files＼MySQL＼MySQL Server 5.0

set BAKPATH=e：＼mysql_bak

set USERNAME=root

set PASSWORD=1234567890

mkdir %BAKPATH%＼data

%MYSQLPATH%＼bin＼mysqladmin –u%USERNAME% -p%PASSWORD% flush-logs

xcopy /e /c /h /y %MYSQLPATH% ＼data＼mysql.* %BAKPATH% ＼data

rar a–ag %BAKPATH% ＼diff＼ %BAKPATH% ＼data ＼mysql-bin.*

rmdir /s /q %BAKPATH% ＼data＼

@echo %data% %time% dIncremental backup finish >> c：/mysqlbackup.log

借助Windows系統(tǒng)的計劃任務(wù)功能自動執(zhí)行腳本，進行增量備份，最后將兩部分備份發(fā)送至外網(wǎng)Web平臺，進行相應(yīng)恢復(fù)處理。

2.2.4 終端管理

為節(jié)省天翼系統(tǒng)的購置費用，并考慮到安全管理的需要，根據(jù)授權(quán)訪問資源的不同，外地子公司計算機可以被劃分為四種類型，如表2所列。

其中，A類計算機僅接入集團外網(wǎng)系統(tǒng)，可使用郵件系統(tǒng)、共享等；D類計算機主要分布在集團園區(qū)外網(wǎng)網(wǎng)吧，為員工集中提供互聯(lián)網(wǎng)服務(wù)。

在集團外網(wǎng)系統(tǒng)中，主要有三種技術(shù)手段能夠控制終端計算機的網(wǎng)絡(luò)訪問行為，它們的組合使用可以滿足表3的訪問需求：

（1）在網(wǎng)絡(luò)層，通過配置防火墻的ACL（訪問控制列表）可以授權(quán)特定的終端訪問集團外網(wǎng)、集團Web、集團ERP、互聯(lián)網(wǎng)。

（2）通過天翼系統(tǒng)，基于IP、MAC、賬戶的控制，可以授權(quán)特定的終端在邏輯上訪問ERP系統(tǒng)或集團Web。

（3）通過ERP系統(tǒng)自身的安全管理功能，可以授權(quán)特定的賬戶連接ERP服務(wù)器。

由于本方案的安全防護策略基本都基于客戶端IP，因此要求外網(wǎng)中客戶端的IP地址必須是可控的，用戶未經(jīng)審批無法更改。為實現(xiàn)此目標，考慮到管理成本與資金問題，原則上收回終端的管理員權(quán)限，由網(wǎng)絡(luò)管理部門授權(quán)控制。

3 方案實施

此方案的實施涉及面廣，包括服務(wù)器的軟硬件、網(wǎng)絡(luò)設(shè)備的配置調(diào)整、終端計算機狀態(tài)的調(diào)整、上層應(yīng)用系統(tǒng)的部署與配置。為盡可能減少對用戶正常工作的影響，保證實施的順利進行，可按以下順序推進部署工作：

（1）去掉路由器，配置防火墻參數(shù)，保證集團園區(qū)外網(wǎng)系統(tǒng)的正常運行。

（2）調(diào)整防火墻與服務(wù)器配置，部署遠程接入系統(tǒng)。

（3）搭建集團外網(wǎng)Web平臺及ERP系統(tǒng)。

（4）將需剝離的終端計算機及交換機整體遷入外網(wǎng)，包括計算機和交換機配置的調(diào)整。

（5）根據(jù)管理需要與安全防護的要求，全面配置交換機、防火墻與極通遠程接入系統(tǒng)的安全策略，保證外網(wǎng)系統(tǒng)安全、順暢的運行。

4 結(jié) 語

本文設(shè)計的軍工企業(yè)集中式信息化平臺方案極大地滿足了用戶需求，在保證網(wǎng)絡(luò)系統(tǒng)順暢運行的同時，提高了網(wǎng)絡(luò)安全，減少了對用戶正常工作的影響，具有廣闊的應(yīng)用前景。

參考文獻

[1]Julie C. Meloni. PHP、MySQL和Apache入門經(jīng)典（第五版）[M].北京：人民郵電出版社，2013.

[2]謝希仁.計算機網(wǎng)絡(luò)簡明教程[M].北京：電子工業(yè)出版社，2007.

[3]秦鳳梅，丁允超.MySQL網(wǎng)絡(luò)數(shù)據(jù)庫設(shè)計與開發(fā)[M].北京：電子工業(yè)出版社，2014.

[4]鄧洋，徐海林.云計算服務(wù)監(jiān)獄信息化之探索[J].物聯(lián)網(wǎng)技術(shù)，2014，4（12）：82-83.

[5]夏勇，金衛(wèi)健.企業(yè)信息管理平臺的研究[J].計算機與信息技術(shù)，2009（10）：82-84.

[6]方登建，劉木易，劉奇.物聯(lián)網(wǎng)技術(shù)在軍械保障中的應(yīng)用需求分析[J].物聯(lián)網(wǎng)技術(shù)，2014，4（4）：63-65.

[7]劉玉軍，秦睿堅，石朋.大型集團式軍工企業(yè)信息化建設(shè)及核心一體化物流平臺信息化建設(shè)方案設(shè)想[J].中國電子商務(wù)，2012（19）：43-46.

[8]王瑩慧.淺談軍工企業(yè)信息化平臺中內(nèi)部網(wǎng)站的構(gòu)建與研究[J].企業(yè)技術(shù)開發(fā)月刊，2010，29（3）：94-95.