军工企业集中式信息化平台方案研究

白海涛++王亚鸽++刘亚栋

摘 要：文中针对军工企业集中管控需求，结合信息化技术的发展趋势，并考虑国家主管部门的保密要求，借助远程接入技术，部署ERP、网站等管理系统，设计了集中式信息化平台方案，力图为军工企业信息化建设提供参考。

关键词：军工企业；信息化；集中；远程；保密

中图分类号：TP393 文献标识码：A 文章编号：2095-1302（2016）12-0-02

0 引 言

随着军工企业的迅速发展，外地子公司增多，由此带来了信息不畅、沟通不便、协同困难等问题，如公司高层管理者希望实时、便捷地掌握每个子公司的第一手经营数据，外地子公司希望能够及时浏览集团公文等信息。另外，国家涉密信息系统（以下简称“内网”）分级保护标准使涉密计算机的应用成本过高，使用过于复杂，严重阻碍了信息化的应用。

1 涉密计算机需要配置的安全产品和成本预算

为了满足以上需求和减少信息化应用的安全保密成本，让信息化能够为军工企业发挥更大作用，本文提出了建立一个立足互联网，以公司园区总部为核心，服务于所有外地子公司的信息化平台方案。表1所列为按照国家颁布的安全保密标准，一台涉密计算机需要配置的安全产品和成本预算。

2 方案设计

2.1 总体设计

本方案首先借助先进的远程接入技术，将分散于各地的子公司进行通信互联，形成基于互联网的集团外网基础平台。

（1）参照企业内网中的ERP管理系统，在该平台建立集团ERP管理系统，实现对外地各子公司财务、业务的实时管理，进而为集团公司的决策提供数据支持；

（2）搭建集团外网Web平台，使得集团内部的各种公文、通知、管理经营信息能够快速有效地传递到外地子公司，进而传递到集团全体员工处。

（3）考虑到因为保密而增加的成本，将尽量减少集团园区内网用户数量，将用户限制为参与军工研发生产的相关人员，坚决剥离与军品无关的用户，将此部分用户迁移至集团外网。

根据以上需求，我们设计了集团集中式信息化平台，其架构如图1所示。

2.2 详细设计

2.2.1 剥离内网计算机终端

本着先易后难的原则，先将集团园区内子公司、分厂和非涉密部门的内网终端计算机整体剥离，迁移至集团外网。

2.2.2 调整网络拓扑

集团公司园区原外网拓扑如图2所示。路由器充当网关，提供路由功能，而随后的防火墙采用桥模式，却未设置相应的安全策略与规则。在本方案中，将去掉路由器，使防火墙运行在路由模式下，因为防火墙完全可以替代路由器完成路由任务，并启用合适的安全策略与管理规则，不仅节省了成本，更提高了整个外网的安全系数。

由于大量计算机终端迁移至外网，因此需增加部分交换机，改变了原拓扑。调整后的新拓扑图如图3所示。

2.2.3 应用建设

在外网中心机房增设4台服务器，其中1台部署天翼系统，提供远程接入服务；1台安装Apache、MySQL、PHP组件，搭建Web平台，提供公文等信息浏览功能，并部署邮件系统，为集团外网用户文件传输提供服务；2台服务器分别部署ERP系统的中间层与应用服务，搭建ERP管理系统，将外地子公司的财务、库房、生产、计划、销售等纳入集团集中管理。

由于集团内网与外网进行了物理隔离，故内网中的公文、通知等最新信息需手工导出导入，以维护外网信息。对于由Apache+MySQL+PHP架构的Web平台，其数据分以下两部分存放：

（1）PDF等非结构化数据存放于PHP主目录下；

（2）HTM网页等结构化数据存放于MySQL数据库中。

在具体的数据维护时，借助Windows系统中的NtBackup工具设置定时、增量等备份策略，实现每个工作日非结构化数据的自动增量备份。对于MySQL数据库，可编写如下所示的增量备份脚本：

@echo off

set PATH=C：＼Program Files＼Winrar；%PATH%

set MYSQLPATH= C：＼Program Files＼MySQL＼MySQL Server 5.0

set BAKPATH=e：＼mysql_bak

set USERNAME=root

set PASSWORD=1234567890

mkdir %BAKPATH%＼data

%MYSQLPATH%＼bin＼mysqladmin –u%USERNAME% -p%PASSWORD% flush-logs

xcopy /e /c /h /y %MYSQLPATH% ＼data＼mysql.* %BAKPATH% ＼data

rar a–ag %BAKPATH% ＼diff＼ %BAKPATH% ＼data ＼mysql-bin.*

rmdir /s /q %BAKPATH% ＼data＼

@echo %data% %time% dIncremental backup finish >> c：/mysqlbackup.log

借助Windows系统的计划任务功能自动执行脚本，进行增量备份，最后将两部分备份发送至外网Web平台，进行相应恢复处理。

2.2.4 终端管理

为节省天翼系统的购置费用，并考虑到安全管理的需要，根据授权访问资源的不同，外地子公司计算机可以被划分为四种类型，如表2所列。

其中，A类计算机仅接入集团外网系统，可使用邮件系统、共享等；D类计算机主要分布在集团园区外网网吧，为员工集中提供互联网服务。

在集团外网系统中，主要有三种技术手段能够控制终端计算机的网络访问行为，它们的组合使用可以满足表3的访问需求：

（1）在网络层，通过配置防火墙的ACL（访问控制列表）可以授权特定的终端访问集团外网、集团Web、集团ERP、互联网。

（2）通过天翼系统，基于IP、MAC、账户的控制，可以授权特定的终端在逻辑上访问ERP系统或集团Web。

（3）通过ERP系统自身的安全管理功能，可以授权特定的账户连接ERP服务器。

由于本方案的安全防护策略基本都基于客户端IP，因此要求外网中客户端的IP地址必须是可控的，用户未经审批无法更改。为实现此目标，考虑到管理成本与资金问题，原则上收回终端的管理员权限，由网络管理部门授权控制。

3 方案实施

此方案的实施涉及面广，包括服务器的软硬件、网络设备的配置调整、终端计算机状态的调整、上层应用系统的部署与配置。为尽可能减少对用户正常工作的影响，保证实施的顺利进行，可按以下顺序推进部署工作：

（1）去掉路由器，配置防火墙参数，保证集团园区外网系统的正常运行。

（2）调整防火墙与服务器配置，部署远程接入系统。

（3）搭建集团外网Web平台及ERP系统。

（4）将需剥离的终端计算机及交换机整体迁入外网，包括计算机和交换机配置的调整。

（5）根据管理需要与安全防护的要求，全面配置交换机、防火墙与极通远程接入系统的安全策略，保证外网系统安全、顺畅的运行。

4 结 语

本文设计的军工企业集中式信息化平台方案极大地满足了用户需求，在保证网络系统顺畅运行的同时，提高了网络安全，减少了对用户正常工作的影响，具有广阔的应用前景。

参考文献

[1]Julie C. Meloni. PHP、MySQL和Apache入门经典（第五版）[M].北京：人民邮电出版社，2013.

[2]谢希仁.计算机网络简明教程[M].北京：电子工业出版社，2007.

[3]秦凤梅，丁允超.MySQL网络数据库设计与开发[M].北京：电子工业出版社，2014.

[4]邓洋，徐海林.云计算服务监狱信息化之探索[J].物联网技术，2014，4（12）：82-83.

[5]夏勇，金卫健.企业信息管理平台的研究[J].计算机与信息技术，2009（10）：82-84.

[6]方登建，刘木易，刘奇.物联网技术在军械保障中的应用需求分析[J].物联网技术，2014，4（4）：63-65.

[7]刘玉军，秦睿坚，石朋.大型集团式军工企业信息化建设及核心一体化物流平台信息化建设方案设想[J].中国电子商务，2012（19）：43-46.

[8]王莹慧.浅谈军工企业信息化平台中内部网站的构建与研究[J].企业技术开发月刊，2010，29（3）：94-95.