福建紫金礦業(yè)股份有限公司于2000年9月成立�,2003年12月在香港H股成功上市,2004年6月公司更名為紫金礦業(yè)集團股份有限公司,是國內(nèi)知名的黃金礦業(yè)企業(yè)���、國家大型企業(yè)����、國家重點高新技術企業(yè)����。2003年產(chǎn)金10.754噸,在全球黃金企業(yè)中排名第25名���。公司以金礦等有色金屬開發(fā)為主���,核心企業(yè)紫金山金礦近幾年已成為國內(nèi)單體礦山可利用儲量最大、采選規(guī)模最大�、黃金產(chǎn)量最高、礦石入選品位最高���、單位礦石處理成本最低���、經(jīng)濟效益最好的黃金礦山��。公司所屬的黃金冶煉廠成為上海黃金交易所首批確認的可提供一級品的國內(nèi)10家合格黃金精煉廠之一�����,其采����、選生產(chǎn)流程通過了“IS09001:2000國際標準認證”和“ISO14000:1996環(huán)境管理體系”認證����。公司未來的發(fā)展目標是把紫金礦業(yè)建設成為高技術���、高效益型國際著名礦業(yè)集團��。
一����、紫金礦業(yè)信息化背景
隨著信息技術的進步和市場競爭的加劇��,各行各業(yè)紛紛結(jié)合自身條件加快信息化的進程�,礦山行業(yè)也不例外�。然而���,受地理環(huán)境�����、發(fā)展環(huán)境等因素的制約���,礦山行業(yè)的信息化步伐相對其他行業(yè)來說要小得多、慢得多�。對于礦業(yè)集團來說,分布在各地的礦山企業(yè)間的信息溝通是一大問題����,最突出的便是數(shù)據(jù)通訊問題。
紫金礦業(yè)集團股份有限公司(以下簡稱“紫金礦業(yè)”)先后在國內(nèi)投資組建了十余家下屬公司�����,并且規(guī)模還在繼續(xù)發(fā)展����。
企業(yè)大了,如何有效處理好企業(yè)集團的管理�、協(xié)作��、信息交流與發(fā)展的關系呢����?自然而然����,我們想到了信息技術。要用信息技術解決問題��,必須要先解決網(wǎng)絡的問題�。
二、打造“紫金礦業(yè)”的黃金信息通道
(一)紫金礦業(yè)信息化的實施步驟
紫金礦業(yè)本著“總體規(guī)劃����、分步實施���、重點突破���、效益驅(qū)動”的思想,首先實施了一些簡單�、見效快的項目,解決一些相對容易的瓶頸問題��,再逐步優(yōu)化、提高��,從完善企業(yè)內(nèi)部信息管理入手����,依托互聯(lián)網(wǎng)有效管理企業(yè)集團。實施信息化大體可分為以下三個階段:
第一階段完成企業(yè)母公司和子公司間基于互聯(lián)網(wǎng)的信息溝通渠道建設���,相互之間形成有機結(jié)合的一個整體��;
第二階段完成整個企業(yè)集團內(nèi)的網(wǎng)絡系統(tǒng)的構建�,實現(xiàn)基于網(wǎng)絡的各種應用��。如子公司與母公司間數(shù)據(jù)的上傳下達�,采取VoIP、 視頻會議���、遠程辦公�����、遠程培訓考核�、遠程共享資源等方式,為企業(yè)����、員工提供服務;
第三階段完善企業(yè)集團和行業(yè)內(nèi)外的合作伙伴的信息共享與交換����。
(二)VPN網(wǎng)絡建設
1. 為何選擇VPN
紫金礦業(yè)下屬的十幾個企業(yè)都有局域網(wǎng)���,都通過寬帶上網(wǎng)�,有訪問總部數(shù)據(jù)庫的需求�����,各個子公司之間也需要互相訪問�����。對于這么龐大的集團網(wǎng)絡來說�,要以信息數(shù)據(jù)的形式及時反映各企業(yè)的活動和相應的資金狀況����,真正實現(xiàn)物流���、資金流、信息流的實時、集成�����、同步的反饋�����,利用Internet/Intranet建立網(wǎng)絡聯(lián)系是理想的實現(xiàn)手段����,這對信息網(wǎng)絡的建設特別是網(wǎng)絡的安全保證提出了更高的要求��。針對這些特點�,公司選擇了VPN�����,它的特點是:建設簡便易行�����、性能價格比高��、實用性和安全性強。
2. VPN的主要技術特點
VPN����,即虛擬專用網(wǎng)絡(VPN-VIRTUAL PRIVATE NETWORK)���,指的是在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺(如INTERNET,ATM,幀中繼FRAME RELAY等)之上建立專用邏輯鏈路的網(wǎng)絡�����。VPN采用隧道技術以及加密�����、身份認證等方法����,在公共網(wǎng)絡(Internet)上構建企業(yè)私有的專用網(wǎng)絡,數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡中傳遞�����。它實現(xiàn)了企業(yè)內(nèi)部信息在公共信息網(wǎng)中的安全傳輸,就如同在茫茫的互聯(lián)網(wǎng)中為企業(yè)建立了一條“虛擬”專線��。對于企業(yè)來講�����,公共網(wǎng)絡起到了“專用”的作用��,參見圖1�����。
可以說����,只要有互聯(lián)網(wǎng)的地方,就可以建立VPN����。這一點對于組建礦業(yè)行業(yè)的信息網(wǎng)絡特別有意義,利用VPN構筑紫金礦業(yè)的黃金信息通道的設想是正確的���。
在開放的���、不設防的����、覆蓋全球的公用Internet上����,架構虛擬專用網(wǎng)(VPN)來建立自己的內(nèi)聯(lián)網(wǎng)(Intranet)或外聯(lián)網(wǎng)(Extranet)����,利用在Internet或其他與之互聯(lián)的公網(wǎng)中形成的虛擬專用鏈路,與原有的企業(yè)網(wǎng)連接���,在網(wǎng)上傳送IP數(shù)據(jù)包��,這種VPN一般稱為Internet-VPN或IP-VPN�。
在IP-VPN 上�����,企業(yè)可建立安全認證機制�����,劃分不同的業(yè)務等級(CoS)����,某些IP-VPN解決方案還可提供網(wǎng)絡服務質(zhì)量(QoS)保證����。如此���,通信服務(特別是遠程訪問)的成本可大幅度下降�。 國內(nèi)外不少廠商��,如CISCO�����、 NetScreen�、華為、東軟�����、天融信等���,都先后開發(fā)并推出了各種IP-VPN解決方案及相關的產(chǎn)品和協(xié)議�。IP-VPN可分為專用的IP-VPN和撥號的IP-VPN(即IP-VPDN)兩大類。專用的IP-VPN主要利用公用Internet的物理網(wǎng)絡資源�,也可利用與Internet互連的、主要由NSP�����、ISP提供的具有非連接特征的網(wǎng)絡(如IP網(wǎng)�����、X.25網(wǎng)等)的物理資源���。撥號IP-VPN(IP-VPDN)則常常利用公用電話網(wǎng)(PSTN)和窄帶綜合業(yè)務數(shù)字網(wǎng)(N-ISDN)的物理資源。大多數(shù)IP-VPN(包括IP-VPDN)的解決方案均集中于建立IP隧道(IP Channeling)����,在紫金礦業(yè)VPN方案中也不例外。
隧道技術使用“點對點”通信協(xié)議代替交換連接�,IP隧道的建立,不但具有空間的特征����,也具有時間的特征。從空間上說���,IP隧道終止不再向前延伸是出于安全原因����,一般終止于企業(yè)內(nèi)部網(wǎng)“防火墻”之外或內(nèi)、外“防火墻”之間���。從時間上說�����,其生成和終止具有“按需建立��、用完取消”的特征�����,而且IP隧道的路徑選擇從總體上說是隨機的�����。因此IP隧道的生成通常不需占用預定的通信信道�,其網(wǎng)絡服務費用自然要比租用DDN專線低得多���。IP隧道一般是可控的信道�,也可以說,IP-VPN是可控或管理型的網(wǎng)絡����,提供了對權限以及優(yōu)先級業(yè)務進行高質(zhì)量控制的安全機制。IP-VPN也可建立在與Internet互聯(lián)的幀中繼網(wǎng)或ATM網(wǎng)上���。這時���,在傳送IP數(shù)據(jù)包時需采用IP Over ATM技術或標記交換技術(利用標記交換技術可實現(xiàn)網(wǎng)絡第二層與第三層的集成)。IP-VPN也可在DDN網(wǎng)上建立���,由網(wǎng)絡端口的若干個用戶共享DDN線路資源,而不同于某一用戶單獨租用DDN專線的方式��。(參見圖2 VPN中的隧道結(jié)構示意圖)
3. VPN的安全保障
Internet是開放的��、公用的����,在安全上是不設防的。而在Internet上建立的IP-VPN是專用的(如Intranet)���,或按規(guī)定的訪問權限只開放給特定的對象使用(如Extranet)�����,對訪問者要進行鑒別和過濾���,在安全上可提供用戶身份鑒定��,保證數(shù)據(jù)完整性��,以及具有公證�����、加密����、授權等安全機制�。
VPN安全保障的關鍵是認證策略的設計和規(guī)范。在紫金礦業(yè)的VPN中,各子公司針對本單位具體情況制定出安全認證策略�,合理選用VPN技術中的密鑰技術,選擇適當?shù)募用芊椒ê兔荑€長度�,以達到安全性和網(wǎng)絡負載之間的平衡選擇。此外�,公司對于安全認證體系進行嚴格的管理,對于哪些部門的互聯(lián)是可授權的�,哪些部門是非授權的都有完整的設定�����。
4. VPN 實施中需注意一些具體問題
現(xiàn)在不同的網(wǎng)絡廠商推出的VPN產(chǎn)品在具體設計中選擇了不同的算法,融入了特殊的性能。因此在不同廠商的網(wǎng)絡設備之間建立VPN就有可能出現(xiàn)銜接的性能不良或根本無法實施����。此外一些廠商為了提高VPN的數(shù)據(jù)交換能力,推出了VPN交換機產(chǎn)品,用隧道交換技術可以將訪問直接導向相應的隧道終端���,使不同的網(wǎng)絡用戶可以進入不同的網(wǎng)段���,而這樣做如果沒有規(guī)劃好安全策略�,很可能引發(fā)安全問題����。
在紫金礦業(yè)VPN中,采用某知名廠商的專用VPN設備��,在集團公司總部部署一個中心網(wǎng)關�,在下屬企業(yè)設置分支網(wǎng)關���,均啟用“防火墻”功能��。同時使用專用客戶端軟件提供移動用戶遠程訪問�����,一些下屬企業(yè)使用的分支網(wǎng)關同時也允許移動用戶連接他們的網(wǎng)絡,參見圖3:公司網(wǎng)絡拓撲圖�。
(三)紫金礦業(yè)的VPN應用舉例
1. IP電話
假設通話的雙方中A在福建��,另一方B在新疆����,可以實現(xiàn)以下的功能:
(1) 內(nèi)部電話���、傳真���。 A與B在上班時通話,因為用的是Internet���,所以通話是免費的���。這種通訊不只限于兩地之間,可以在若干個企業(yè)之間同時�����、高質(zhì)量、免費的通話�����。
(2) 異地長途變?yōu)槠胀ㄊ性?。下班后?SPAN lang=EN-US>B發(fā)現(xiàn)還有事情和A商量,他就用他的電話撥打一個特殊號碼然后再撥A的住宅電話或手機�。這時實際上他撥打的是本地單位的電話然后通過Internet撥打在異地的A的電話。
2. 實時視頻會議
可以構建一個基于TCP/IP協(xié)議的網(wǎng)絡�����,任何基于該協(xié)議族和符合H.323����、H.324視頻會議規(guī)格的產(chǎn)品都可以用。網(wǎng)絡視頻會議特別適用于距離較遠的企業(yè)間��、出差在外的員工���,以及企業(yè)與合作伙伴間�。由于參加會議的各方相距甚遠,大量的差旅費用和旅行所耗費的時間會造成極大的浪費��,通過遠程會議���,可以為企業(yè)節(jié)省大量的人力、財力�����,提高了企業(yè)的運營效率��,同時為企業(yè)的信息化建設樹立新的形象�����。
3. 支持OA和物流等管理信息系統(tǒng)的應用
通過VPN設備��,一旦建立起虛擬網(wǎng)絡����,就可以實現(xiàn)遠程實時運行財務、OA等管理信息化系統(tǒng)��。在實際使用中�����,公司的OA及其他系統(tǒng)在整個虛擬網(wǎng)絡中運轉(zhuǎn)良好。事實證明VPN有如下一些優(yōu)點:
(1) 采用VPN產(chǎn)品可以在短時間內(nèi)組建整個企業(yè)的網(wǎng)絡信息平臺���;
(2) 整個過程中���,現(xiàn)有系統(tǒng)的硬件和網(wǎng)絡設施幾乎無需改動;
(3) 可以支持登陸到遠程的域控制器����;
(4) 直接使用C/S模式運行,無需做任何改動��,如果是B/S模式則更為方便��;
(5) 支持多種上網(wǎng)方式�����,無需專線連接�。
4. 支持安全移動辦公應用
在筆記本電腦中配備無線上網(wǎng)設備,公司員工在任何地方�����,通過CDMA或GPRS接入到Internet后,都可以通過VPN客戶端軟件與相應的中心網(wǎng)關建立連接���,實現(xiàn)安全移動辦公��,符合企業(yè)集團未來發(fā)展的要求����。
三����、紫金礦業(yè)信息化的效益分析
(一)直接經(jīng)濟效益
因礦山企業(yè)所在地大多是鄉(xiāng)鎮(zhèn)����、縣城,當?shù)啬荛_通的數(shù)據(jù)通訊業(yè)務相對較少�����,而隨著寬帶業(yè)務如ADSL的發(fā)展�,通過Internet-VPN和DDN專線的比較,可以得出以下結(jié)論:使用VPN組網(wǎng)是目前性價比最高的一種聯(lián)網(wǎng)方案�����。為方便比較��,我們假設專線聯(lián)網(wǎng)方式中,各分支機構的DDN都以256K計算�,總部需要2M DDN。VPN聯(lián)網(wǎng)方式中��,各分支機構選用ADSL�����,總部選用2M專線上網(wǎng)�����。按福建電信2004年的資費標準����,我們可以測算,用DDN連接���,初期設備投資16萬元��,使用DDN專線費用約8000元/月����;用VPN連接的初期設備投資6萬元,使用ADSL專線費用約2000元/月���。(注:設備為同一品牌)
從以上分析可以看出����,使用VPN組網(wǎng)方式,初期投資即節(jié)省10萬元,每月還可節(jié)省的線路租金6000 元,隨著連接點的增加����,費用差別更加明顯�。
(二)間接效益
紫金礦業(yè)VPN實施至今已進入第二階段�,信息技術應用初見成效���。內(nèi)部網(wǎng)站等可以隨時隨地提供安全快捷的訪問。紫金礦業(yè)集團總部與各地下屬企業(yè)中存在的信息溝通不暢和數(shù)據(jù)利用不充分的狀況得到改變�����,集團總部與子公司間的上傳下達多了一條“信息高速公路”�����。集團總部與子公司成為有機整體��、協(xié)調(diào)發(fā)展�,在行業(yè)發(fā)展中變被動為主動��,使紫金礦業(yè)的群體優(yōu)勢得以充分發(fā)揮。從Internet獲取黃金礦業(yè)的市場信息���、科技信息等數(shù)據(jù)成為輔助企業(yè)發(fā)展的有效手段����,為集團公司優(yōu)化供應鏈���、提高信息化水平打下基礎,也建立了與行業(yè)內(nèi)外的緊密聯(lián)系�。
VPN技術使紫金礦業(yè)的內(nèi)部信息可以跨越公共網(wǎng)絡進行安全傳輸����,架起眾多的虛擬專用的“黃金”信息通道�,它眾多的優(yōu)點在礦業(yè)信息網(wǎng)絡的建設中必將有廣闊的應用前景。
本文作者 紫金礦業(yè)集團股份有限公司信息技術部經(jīng)理 李國斌
