福建紫金矿业股份有限公司于2000年9月成立，2003年12月在香港H股成功上市，2004年6月公司更名为紫金矿业集团股份有限公司,是国内知名的黄金矿业企业、国家大型企业、国家重点高新技术企业。2003年产金10.754吨，在全球黄金企业中排名第25名。公司以金矿等有色金属开发为主，核心企业紫金山金矿近几年已成为国内单体矿山可利用储量最大、采选规模最大、黄金产量最高、矿石入选品位最高、单位矿石处理成本最低、经济效益最好的黄金矿山。公司所属的黄金冶炼厂成为上海黄金交易所首批确认的可提供一级品的国内10家合格黄金精炼厂之一，其采、选生产流程通过了“IS09001：2000国际标准认证”和“ISO14000：1996环境管理体系”认证。公司未来的发展目标是把紫金矿业建设成为高技术、高效益型国际著名矿业集团。

一、紫金矿业信息化背景

随着信息技术的进步和市场竞争的加剧，各行各业纷纷结合自身条件加快信息化的进程，矿山行业也不例外。然而，受地理环境、发展环境等因素的制约，矿山行业的信息化步伐相对其他行业来说要小得多、慢得多。对于矿业集团来说，分布在各地的矿山企业间的信息沟通是一大问题，最突出的便是数据通讯问题。

紫金矿业集团股份有限公司（以下简称“紫金矿业”）先后在国内投资组建了十余家下属公司，并且规模还在继续发展。

企业大了，如何有效处理好企业集团的管理、协作、信息交流与发展的关系呢？自然而然，我们想到了信息技术。要用信息技术解决问题，必须要先解决网络的问题。

二、打造“紫金矿业”的黄金信息通道

(一)紫金矿业信息化的实施步骤

紫金矿业本着“总体规划、分步实施、重点突破、效益驱动”的思想，首先实施了一些简单、见效快的项目，解决一些相对容易的瓶颈问题，再逐步优化、提高，从完善企业内部信息管理入手，依托互联网有效管理企业集团。实施信息化大体可分为以下三个阶段：

第一阶段完成企业母公司和子公司间基于互联网的信息沟通渠道建设，相互之间形成有机结合的一个整体；

第二阶段完成整个企业集团内的网络系统的构建，实现基于网络的各种应用。如子公司与母公司间数据的上传下达，采取VoIP、 视频会议、远程办公、远程培训考核、远程共享资源等方式，为企业、员工提供服务；

第三阶段完善企业集团和行业内外的合作伙伴的信息共享与交换。

(二)VPN网络建设

1. 为何选择VPN

紫金矿业下属的十几个企业都有局域网，都通过宽带上网，有访问总部数据库的需求，各个子公司之间也需要互相访问。对于这么庞大的集团网络来说，要以信息数据的形式及时反映各企业的活动和相应的资金状况，真正实现物流、资金流、信息流的实时、集成、同步的反馈，利用Internet/Intranet建立网络联系是理想的实现手段，这对信息网络的建设特别是网络的安全保证提出了更高的要求。针对这些特点，公司选择了VPN，它的特点是：建设简便易行、性能价格比高、实用性和安全性强。

2. VPN的主要技术特点

VPN，即虚拟专用网络（VPN-VIRTUAL PRIVATE NETWORK），指的是在公用网络服务商所提供的网络平台（如INTERNET，ATM，帧中继FRAME RELAY等）之上建立专用逻辑链路的网络。VPN采用隧道技术以及加密、身份认证等方法，在公共网络（Internet）上构建企业私有的专用网络，数据通过安全的“加密管道”在公共网络中传递。它实现了企业内部信息在公共信息网中的安全传输，就如同在茫茫的互联网中为企业建立了一条“虚拟”专线。对于企业来讲，公共网络起到了“专用”的作用，参见图1。

可以说，只要有互联网的地方，就可以建立VPN。这一点对于组建矿业行业的信息网络特别有意义，利用VPN构筑紫金矿业的黄金信息通道的设想是正确的。

在开放的、不设防的、覆盖全球的公用Internet上，架构虚拟专用网（VPN）来建立自己的内联网（Intranet）或外联网（Extranet），利用在Internet或其他与之互联的公网中形成的虚拟专用链路，与原有的企业网连接，在网上传送IP数据包，这种VPN一般称为Internet-VPN或IP-VPN。

在IP-VPN 上，企业可建立安全认证机制，划分不同的业务等级（CoS），某些IP-VPN解决方案还可提供网络服务质量（QoS）保证。如此，通信服务（特别是远程访问）的成本可大幅度下降。 国内外不少厂商，如CISCO、 NetScreen、华为、东软、天融信等，都先后开发并推出了各种IP-VPN解决方案及相关的产品和协议。IP-VPN可分为专用的IP-VPN和拨号的IP-VPN（即IP-VPDN）两大类。专用的IP-VPN主要利用公用Internet的物理网络资源，也可利用与Internet互连的、主要由NSP、ISP提供的具有非连接特征的网络（如IP网、X.25网等）的物理资源。拨号IP-VPN（IP-VPDN）则常常利用公用电话网（PSTN）和窄带综合业务数字网（N-ISDN）的物理资源。大多数IP-VPN（包括IP-VPDN）的解决方案均集中于建立IP隧道（IP Channeling），在紫金矿业VPN方案中也不例外。

隧道技术使用“点对点”通信协议代替交换连接，IP隧道的建立，不但具有空间的特征，也具有时间的特征。从空间上说，IP隧道终止不再向前延伸是出于安全原因，一般终止于企业内部网“防火墙”之外或内、外“防火墙”之间。从时间上说，其生成和终止具有“按需建立、用完取消”的特征，而且IP隧道的路径选择从总体上说是随机的。因此IP隧道的生成通常不需占用预定的通信信道，其网络服务费用自然要比租用DDN专线低得多。IP隧道一般是可控的信道，也可以说，IP-VPN是可控或管理型的网络，提供了对权限以及优先级业务进行高质量控制的安全机制。IP-VPN也可建立在与Internet互联的帧中继网或ATM网上。这时，在传送IP数据包时需采用IP Over ATM技术或标记交换技术（利用标记交换技术可实现网络第二层与第三层的集成）。IP-VPN也可在DDN网上建立，由网络端口的若干个用户共享DDN线路资源，而不同于某一用户单独租用DDN专线的方式。（参见图2 VPN中的隧道结构示意图）

3. VPN的安全保障

Internet是开放的、公用的，在安全上是不设防的。而在Internet上建立的IP-VPN是专用的（如Intranet），或按规定的访问权限只开放给特定的对象使用（如Extranet），对访问者要进行鉴别和过滤，在安全上可提供用户身份鉴定，保证数据完整性，以及具有公证、加密、授权等安全机制。

VPN安全保障的关键是认证策略的设计和规范。在紫金矿业的VPN中,各子公司针对本单位具体情况制定出安全认证策略，合理选用VPN技术中的密钥技术，选择适当的加密方法和密钥长度，以达到安全性和网络负载之间的平衡选择。此外，公司对于安全认证体系进行严格的管理，对于哪些部门的互联是可授权的，哪些部门是非授权的都有完整的设定。

4. VPN 实施中需注意一些具体问题

现在不同的网络厂商推出的VPN产品在具体设计中选择了不同的算法，融入了特殊的性能。因此在不同厂商的网络设备之间建立VPN就有可能出现衔接的性能不良或根本无法实施。此外一些厂商为了提高VPN的数据交换能力，推出了VPN交换机产品，用隧道交换技术可以将访问直接导向相应的隧道终端，使不同的网络用户可以进入不同的网段，而这样做如果没有规划好安全策略，很可能引发安全问题。

在紫金矿业VPN中，采用某知名厂商的专用VPN设备，在集团公司总部部署一个中心网关，在下属企业设置分支网关，均启用“防火墙”功能。同时使用专用客户端软件提供移动用户远程访问，一些下属企业使用的分支网关同时也允许移动用户连接他们的网络，参见图3：公司网络拓扑图。

(三)紫金矿业的VPN应用举例

1. IP电话

假设通话的双方中A在福建，另一方B在新疆，可以实现以下的功能：

（1） 内部电话、传真。 A与B在上班时通话，因为用的是Internet，所以通话是免费的。这种通讯不只限于两地之间，可以在若干个企业之间同时、高质量、免费的通话。

（2） 异地长途变为普通市话。下班后，B发现还有事情和A商量，他就用他的电话拨打一个特殊号码然后再拨A的住宅电话或手机。这时实际上他拨打的是本地单位的电话然后通过Internet拨打在异地的A的电话。

2. 实时视频会议

可以构建一个基于TCP/IP协议的网络，任何基于该协议族和符合H.323、H.324视频会议规格的产品都可以用。网络视频会议特别适用于距离较远的企业间、出差在外的员工，以及企业与合作伙伴间。由于参加会议的各方相距甚远，大量的差旅费用和旅行所耗费的时间会造成极大的浪费，通过远程会议，可以为企业节省大量的人力、财力，提高了企业的运营效率，同时为企业的信息化建设树立新的形象。

3. 支持OA和物流等管理信息系统的应用

通过VPN设备，一旦建立起虚拟网络，就可以实现远程实时运行财务、OA等管理信息化系统。在实际使用中，公司的OA及其他系统在整个虚拟网络中运转良好。事实证明VPN有如下一些优点：

（1） 采用VPN产品可以在短时间内组建整个企业的网络信息平台；

（2） 整个过程中，现有系统的硬件和网络设施几乎无需改动；

（3） 可以支持登陆到远程的域控制器；

（4） 直接使用C/S模式运行，无需做任何改动，如果是B/S模式则更为方便；

（5） 支持多种上网方式，无需专线连接。

4. 支持安全移动办公应用

在笔记本电脑中配备无线上网设备，公司员工在任何地方，通过CDMA或GPRS接入到Internet后，都可以通过VPN客户端软件与相应的中心网关建立连接，实现安全移动办公，符合企业集团未来发展的要求。

三、紫金矿业信息化的效益分析

(一)直接经济效益

因矿山企业所在地大多是乡镇、县城，当地能开通的数据通讯业务相对较少，而随着宽带业务如ADSL的发展，通过Internet-VPN和DDN专线的比较，可以得出以下结论：使用VPN组网是目前性价比最高的一种联网方案。为方便比较，我们假设专线联网方式中，各分支机构的DDN都以256K计算，总部需要2M DDN。VPN联网方式中，各分支机构选用ADSL，总部选用2M专线上网。按福建电信2004年的资费标准，我们可以测算，用DDN连接，初期设备投资16万元，使用DDN专线费用约8000元／月；用VPN连接的初期设备投资6万元，使用ADSL专线费用约2000元／月。（注：设备为同一品牌）

从以上分析可以看出，使用VPN组网方式，初期投资即节省10万元，每月还可节省的线路租金6000 元，随着连接点的增加，费用差别更加明显。

(二)间接效益

紫金矿业VPN实施至今已进入第二阶段，信息技术应用初见成效。内部网站等可以随时随地提供安全快捷的访问。紫金矿业集团总部与各地下属企业中存在的信息沟通不畅和数据利用不充分的状况得到改变，集团总部与子公司间的上传下达多了一条“信息高速公路”。集团总部与子公司成为有机整体、协调发展，在行业发展中变被动为主动，使紫金矿业的群体优势得以充分发挥。从Internet获取黄金矿业的市场信息、科技信息等数据成为辅助企业发展的有效手段，为集团公司优化供应链、提高信息化水平打下基础，也建立了与行业内外的紧密联系。

VPN技术使紫金矿业的内部信息可以跨越公共网络进行安全传输，架起众多的虚拟专用的“黄金”信息通道，它众多的优点在矿业信息网络的建设中必将有广阔的应用前景。

本文作者 紫金矿业集团股份有限公司信息技术部经理 李国斌