軍工企業集中式信息化平臺方案研究

白海濤++王亞鴿++劉亞棟

摘 要：文中針對軍工企業集中管控需求，結合信息化技術的發展趨勢，并考慮國家主管部門的保密要求，借助遠程接入技術，部署ERP、網站等管理系統，設計了集中式信息化平臺方案，力圖為軍工企業信息化建設提供參考。

關鍵詞：軍工企業；信息化；集中；遠程；保密

中圖分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2016）12-0-02

0 引 言

隨著軍工企業的迅速發展，外地子公司增多，由此帶來了信息不暢、溝通不便、協同困難等問題，如公司高層管理者希望實時、便捷地掌握每個子公司的第一手經營數據，外地子公司希望能夠及時瀏覽集團公文等信息。另外，國家涉密信息系統（以下簡稱“內網”）分級保護標準使涉密計算機的應用成本過高，使用過于復雜，嚴重阻礙了信息化的應用。

1 涉密計算機需要配置的安全產品和成本預算

為了滿足以上需求和減少信息化應用的安全保密成本，讓信息化能夠為軍工企業發揮更大作用，本文提出了建立一個立足互聯網，以公司園區總部為核心，服務于所有外地子公司的信息化平臺方案。表1所列為按照國家頒布的安全保密標準，一臺涉密計算機需要配置的安全產品和成本預算。

2 方案設計

2.1 總體設計

本方案首先借助先進的遠程接入技術，將分散于各地的子公司進行通信互聯，形成基于互聯網的集團外網基礎平臺。

（1）參照企業內網中的ERP管理系統，在該平臺建立集團ERP管理系統，實現對外地各子公司財務、業務的實時管理，進而為集團公司的決策提供數據支持；

（2）搭建集團外網Web平臺，使得集團內部的各種公文、通知、管理經營信息能夠快速有效地傳遞到外地子公司，進而傳遞到集團全體員工處。

（3）考慮到因為保密而增加的成本，將盡量減少集團園區內網用戶數量，將用戶限制為參與軍工研發生產的相關人員，堅決剝離與軍品無關的用戶，將此部分用戶遷移至集團外網。

根據以上需求，我們設計了集團集中式信息化平臺，其架構如圖1所示。

2.2 詳細設計

2.2.1 剝離內網計算機終端

本著先易后難的原則，先將集團園區內子公司、分廠和非涉密部門的內網終端計算機整體剝離，遷移至集團外網。

2.2.2 調整網絡拓撲

集團公司園區原外網拓撲如圖2所示。路由器充當網關，提供路由功能，而隨后的防火墻采用橋模式，卻未設置相應的安全策略與規則。在本方案中，將去掉路由器，使防火墻運行在路由模式下，因為防火墻完全可以替代路由器完成路由任務，并啟用合適的安全策略與管理規則，不僅節省了成本，更提高了整個外網的安全系數。

由于大量計算機終端遷移至外網，因此需增加部分交換機，改變了原拓撲。調整后的新拓撲圖如圖3所示。

2.2.3 應用建設

在外網中心機房增設4臺服務器，其中1臺部署天翼系統，提供遠程接入服務；1臺安裝Apache、MySQL、PHP組件，搭建Web平臺，提供公文等信息瀏覽功能，并部署郵件系統，為集團外網用戶文件傳輸提供服務；2臺服務器分別部署ERP系統的中間層與應用服務，搭建ERP管理系統，將外地子公司的財務、庫房、生產、計劃、銷售等納入集團集中管理。

由于集團內網與外網進行了物理隔離，故內網中的公文、通知等最新信息需手工導出導入，以維護外網信息。對于由Apache+MySQL+PHP架構的Web平臺，其數據分以下兩部分存放：

（1）PDF等非結構化數據存放于PHP主目錄下；

（2）HTM網頁等結構化數據存放于MySQL數據庫中。

在具體的數據維護時，借助Windows系統中的NtBackup工具設置定時、增量等備份策略，實現每個工作日非結構化數據的自動增量備份。對于MySQL數據庫，可編寫如下所示的增量備份腳本：

@echo off

set PATH=C：＼Program Files＼Winrar；%PATH%

set MYSQLPATH= C：＼Program Files＼MySQL＼MySQL Server 5.0

set BAKPATH=e：＼mysql_bak

set USERNAME=root

set PASSWORD=1234567890

mkdir %BAKPATH%＼data

%MYSQLPATH%＼bin＼mysqladmin –u%USERNAME% -p%PASSWORD% flush-logs

xcopy /e /c /h /y %MYSQLPATH% ＼data＼mysql.* %BAKPATH% ＼data

rar a–ag %BAKPATH% ＼diff＼ %BAKPATH% ＼data ＼mysql-bin.*

rmdir /s /q %BAKPATH% ＼data＼

@echo %data% %time% dIncremental backup finish >> c：/mysqlbackup.log

借助Windows系統的計劃任務功能自動執行腳本，進行增量備份，最后將兩部分備份發送至外網Web平臺，進行相應恢復處理。

2.2.4 終端管理

為節省天翼系統的購置費用，并考慮到安全管理的需要，根據授權訪問資源的不同，外地子公司計算機可以被劃分為四種類型，如表2所列。

其中，A類計算機僅接入集團外網系統，可使用郵件系統、共享等；D類計算機主要分布在集團園區外網網吧，為員工集中提供互聯網服務。

在集團外網系統中，主要有三種技術手段能夠控制終端計算機的網絡訪問行為，它們的組合使用可以滿足表3的訪問需求：

（1）在網絡層，通過配置防火墻的ACL（訪問控制列表）可以授權特定的終端訪問集團外網、集團Web、集團ERP、互聯網。

（2）通過天翼系統，基于IP、MAC、賬戶的控制，可以授權特定的終端在邏輯上訪問ERP系統或集團Web。

（3）通過ERP系統自身的安全管理功能，可以授權特定的賬戶連接ERP服務器。

由于本方案的安全防護策略基本都基于客戶端IP，因此要求外網中客戶端的IP地址必須是可控的，用戶未經審批無法更改。為實現此目標，考慮到管理成本與資金問題，原則上收回終端的管理員權限，由網絡管理部門授權控制。

3 方案實施

此方案的實施涉及面廣，包括服務器的軟硬件、網絡設備的配置調整、終端計算機狀態的調整、上層應用系統的部署與配置。為盡可能減少對用戶正常工作的影響，保證實施的順利進行，可按以下順序推進部署工作：

（1）去掉路由器，配置防火墻參數，保證集團園區外網系統的正常運行。

（2）調整防火墻與服務器配置，部署遠程接入系統。

（3）搭建集團外網Web平臺及ERP系統。

（4）將需剝離的終端計算機及交換機整體遷入外網，包括計算機和交換機配置的調整。

（5）根據管理需要與安全防護的要求，全面配置交換機、防火墻與極通遠程接入系統的安全策略，保證外網系統安全、順暢的運行。

4 結 語

本文設計的軍工企業集中式信息化平臺方案極大地滿足了用戶需求，在保證網絡系統順暢運行的同時，提高了網絡安全，減少了對用戶正常工作的影響，具有廣闊的應用前景。

參考文獻

[1]Julie C. Meloni. PHP、MySQL和Apache入門經典（第五版）[M].北京：人民郵電出版社，2013.

[2]謝希仁.計算機網絡簡明教程[M].北京：電子工業出版社，2007.

[3]秦鳳梅，丁允超.MySQL網絡數據庫設計與開發[M].北京：電子工業出版社，2014.

[4]鄧洋，徐海林.云計算服務監獄信息化之探索[J].物聯網技術，2014，4（12）：82-83.

[5]夏勇，金衛健.企業信息管理平臺的研究[J].計算機與信息技術，2009（10）：82-84.

[6]方登建，劉木易，劉奇.物聯網技術在軍械保障中的應用需求分析[J].物聯網技術，2014，4（4）：63-65.

[7]劉玉軍，秦睿堅，石朋.大型集團式軍工企業信息化建設及核心一體化物流平臺信息化建設方案設想[J].中國電子商務，2012（19）：43-46.

[8]王瑩慧.淺談軍工企業信息化平臺中內部網站的構建與研究[J].企業技術開發月刊，2010，29（3）：94-95.