VPN技術(shù)在煤礦企業(yè)信息化建設(shè)中的應(yīng)用

摘要：現(xiàn)代煤礦企業(yè)信息化建設(shè)已全面展開，經(jīng)濟(jì)、合理、安全的網(wǎng)絡(luò)環(huán)境搭建至關(guān)重要，VPN技術(shù)因而成為眾企業(yè)首選方案，文章介紹了VPN技術(shù)的概念、特點(diǎn)、關(guān)鍵技術(shù)、原理和應(yīng)用案例，以期對企業(yè)信息化建設(shè)提供理論支持。

關(guān)鍵詞：煤礦企業(yè)；信息化；VPN

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）36-8628-03

近年來，隨著網(wǎng)絡(luò)、尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)信息化建設(shè)越來越被重視，從生產(chǎn)到銷售、從管理運(yùn)營到設(shè)備跟蹤維護(hù)，企業(yè)內(nèi)各個角落無不與數(shù)字化、信息化相聯(lián)系。煤礦企業(yè)作為民生企業(yè)和工業(yè)能源基礎(chǔ)，也隨著時代的脈搏爭相轉(zhuǎn)變經(jīng)營和管理理念，加快信息化建設(shè)步伐，紛紛建設(shè)自己的網(wǎng)絡(luò)系統(tǒng)。但在實(shí)際建設(shè)過程中，卻因?yàn)榈V區(qū)多、辦事處分散、相互間距離較遠(yuǎn)等因素，為網(wǎng)絡(luò)平臺的搭建帶來諸多不便，比如耗資金多、網(wǎng)絡(luò)維護(hù)困難及專業(yè)人才的匱乏等。VPN技術(shù)的應(yīng)用，恰好解決了這些問題，不但實(shí)現(xiàn)了遠(yuǎn)程連接，而且可以節(jié)省大量的資金，同時很好地實(shí)現(xiàn)了數(shù)據(jù)信息的安全傳輸和企業(yè)信息化建設(shè)問題，因此VPN技術(shù)逐漸在各個煤礦企業(yè)的網(wǎng)絡(luò)系統(tǒng)中得以應(yīng)用。

1 VPN技術(shù)概述

1.1 VPN的概念

VPN（英文Virtual Private Network的縮寫），即虛擬專用網(wǎng)絡(luò)，指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其定義尚無統(tǒng)一標(biāo)準(zhǔn)，有說是“建立在實(shí)際網(wǎng)絡(luò)（或物理網(wǎng)絡(luò)）基礎(chǔ)上的一種功能性網(wǎng)絡(luò)”，也有說是“通過公用網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程用戶或遠(yuǎn)程LAN之間互連，但仍具有專網(wǎng)化點(diǎn)的一種技術(shù)”。IETF（Internet工程任務(wù)組）將其定義為：借助于公用Internet和專用IP網(wǎng)而建立的虛擬廣域網(wǎng)[1]。

之所以稱其為虛擬網(wǎng)，主要是因?yàn)檎麄€VPN網(wǎng)絡(luò)的任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺，如Internet、ATM（異步傳輸模式）、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。

1.2 VPN的功能和關(guān)鍵技術(shù)

因?yàn)閂PN的主要功能就是通過公用網(wǎng)絡(luò)傳輸私有信息，其原理是：需要進(jìn)行機(jī)密數(shù)據(jù)傳輸?shù)膬蓚€端點(diǎn)均連接在公共通信網(wǎng)上，當(dāng)需要進(jìn)行機(jī)密數(shù)據(jù)傳輸時，通過端點(diǎn)上的 VPN 設(shè)備在公共網(wǎng)上建立一條虛擬的專用通信通道，并且所有數(shù)據(jù)均經(jīng)過加密后再在網(wǎng)上傳輸，這樣就保證了機(jī)密數(shù)據(jù)的安全傳輸。通過 VPN，授權(quán)的業(yè)務(wù)伙伴就可以在授權(quán)范圍內(nèi)使用單位內(nèi)部的數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)的安全交換[2]。因此數(shù)據(jù)安全性是用戶關(guān)心的首要問題，目前VPN主要通過四項(xiàng)關(guān)鍵技術(shù)來保證數(shù)據(jù)傳遞的安全，即隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。

1） 隧道技術(shù)

隧道技術(shù)是 VPN 的基本技術(shù)，其實(shí)質(zhì)就是在公網(wǎng)上建立虛信道，讓私有數(shù)據(jù)包通過這條信道實(shí)現(xiàn)安全、高速地傳輸。此信道即被稱為“隧道”，是一種邏輯上存在、由一種協(xié)議傳輸另一種協(xié)議的技術(shù)，可以建立在鏈路層和網(wǎng)絡(luò)層，隧道協(xié)議來實(shí)現(xiàn)。第二層隧道主要是PPP連接，如PPTP，L2TP，其特點(diǎn)是協(xié)議簡單，易于加密，適合遠(yuǎn)程撥號用戶；第三層隧道是IPinIP，如IPSec，其可靠性及擴(kuò)展性優(yōu)于第二層隧道，但沒有前者簡單直接。

2） 加解密技術(shù)

為了保證私有數(shù)據(jù)在傳輸過程中不被非法用戶竊取或篡改，必須進(jìn)行數(shù)據(jù)信息在發(fā)送者傳輸之前的加密和接收方接收之后的解密過程，這是VPN技術(shù)的核心內(nèi)容之一。加密算法主要分為對稱加密算法和不對稱加密算法兩種。在對稱加密算法中，加密、解密使用同一個密鑰，即通信雙方共享一個密鑰，發(fā)送方使用該密鑰將明文加密成密文，接收方使用相同的密鑰將密文還原成明文，它的好處就是運(yùn)算速度快。在不對稱加密算法中，加密、解密使用不同的密鑰；一個是只有發(fā)送方知道的密鑰，另一個則是與之對應(yīng)的公開密鑰，公開密鑰不需保密。在通信過程中，發(fā)送方用接收方的公開密鑰加密消息，并且可以用發(fā)送方的秘密密鑰對消息的某一部分或全部加密，進(jìn)行數(shù)字簽名。接收方收到消息后，用自己的秘密密鑰解密消息，并使用發(fā)送方的公開密鑰解密數(shù)字簽名，驗(yàn)證發(fā)送方身份[3]。

3） 密鑰管理技術(shù)

為了使密鑰能在公用網(wǎng)上安全地傳輸，VPN使用了密鑰管理技術(shù)，其主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用[4]。

4） 身份認(rèn)證技術(shù)

身份認(rèn)證是VPN 中又一重要技術(shù)，這可以鑒別用戶或設(shè)備是否具有合法的身份和操作權(quán)限、級別，系統(tǒng)由此來決定是否對其開放“隧道”以及確認(rèn)其可以訪問哪些資源。使用者與設(shè)備認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

1.3 VPN技術(shù)原理

VPN系統(tǒng)的安裝與設(shè)置，實(shí)現(xiàn)了分布在不同地域的專用網(wǎng)絡(luò)或企業(yè)內(nèi)部網(wǎng)在不可信任的公共網(wǎng)絡(luò)（即internet）上能夠安全通信。經(jīng)分析，VPN系統(tǒng)的主要技術(shù)原理可分為以下步驟：

1） VPN系統(tǒng)通過網(wǎng)絡(luò)運(yùn)營商或企業(yè)網(wǎng)絡(luò)管理員進(jìn)行相關(guān)的規(guī)則設(shè)置，在數(shù)據(jù)發(fā)送方發(fā)出數(shù)據(jù)之前，VPN設(shè)備確定是否需要對數(shù)據(jù)進(jìn)行加密，還是讓數(shù)據(jù)直接通過。

2） 對于需要加密的數(shù)據(jù)信息，VPN 設(shè)備將對整個數(shù)據(jù)包采取加密措施，并且附以數(shù)字簽名，以提高數(shù)據(jù)包在公網(wǎng)上傳輸?shù)陌踩浴?/p>

3） VPN設(shè)備對數(shù)據(jù)包加上新的數(shù)據(jù)包頭，其中包括目標(biāo)（數(shù)據(jù)接收方）VPN設(shè)備需要的安全信息和一些初始化參數(shù)[5]。

4） VPN 設(shè)備對加密后的數(shù)據(jù)、鑒別包以及源 IP 地址、目標(biāo) VPN 設(shè)備 IP 地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過由隧道協(xié)議架設(shè)的虛擬“專用通道”（也稱隧道）在公網(wǎng)上傳輸。endprint

5） 當(dāng)數(shù)據(jù)包到達(dá)目標(biāo) VPN 設(shè)備時，對目標(biāo)VPN設(shè)備對其進(jìn)行解封裝，并且在數(shù)字簽名核對無誤后，對數(shù)據(jù)包解密，還原出真實(shí)數(shù)據(jù)。

1.4 VPN技術(shù)的特點(diǎn)和優(yōu)勢

首先，關(guān)于VPN技術(shù)的特點(diǎn)，可歸納如下幾條：

1） 安全保障。VPN通過建立虛擬化的“隧道”，利用加密技術(shù)對傳輸數(shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有性和安全性。

2） 服務(wù)質(zhì)量保證。VPN可以為不同要求的用戶提供不同等級的服務(wù)質(zhì)量保證。

3） 可擴(kuò)充、靈活性。VPN支持通過Internet和Extranet的任何類型的數(shù)據(jù)流。

4） 可管理性。VPN可以從用戶和運(yùn)營商角度方便進(jìn)行管理。

其次，對于VPN技術(shù)的實(shí)際應(yīng)用和配置，還具有以下優(yōu)點(diǎn)：

1） VPN能夠讓移動員工、遠(yuǎn)程員工、商務(wù)合作伙伴和其他人利用本地可用的高速寬帶網(wǎng)連接（如DSL、有線電視或者WiFi網(wǎng)絡(luò)）連接到企業(yè)網(wǎng)絡(luò)。此外，高速寬帶網(wǎng)連接提供一種成本效率高的連接遠(yuǎn)程辦公室的方法。

2） 設(shè)計良好的寬帶VPN是模塊化的和可升級的。這種技術(shù)能夠讓應(yīng)用者使用一種很容易設(shè)置的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，讓新的用戶迅速和輕松地添加到這個網(wǎng)絡(luò)[1]。這種能力意味著企業(yè)不用增加額外的基礎(chǔ)設(shè)施就可以提供大量的容量和應(yīng)用。

3） VPN能提供高水平的安全，使用高級的加密和身份識別協(xié)議保護(hù)數(shù)據(jù)避免受到窺探，阻止數(shù)據(jù)竊賊和其他非授權(quán)用戶接觸這種數(shù)據(jù)。

2 煤礦企業(yè)與VPN 技術(shù)相結(jié)合

2.1 VPN在煤礦企業(yè)中的應(yīng)用

現(xiàn)代煤礦企業(yè)的規(guī)模不斷擴(kuò)大，往往有不只一個生產(chǎn)礦區(qū)，并且除了公司總部以外，還會在國內(nèi)各地設(shè)置辦事處。由于各個礦區(qū)、辦事處與總部之間路途遙遠(yuǎn)、交通不便，使得相互間的信息溝通非常不便，往往因?yàn)椴荒芗皶r獲取信息和相關(guān)數(shù)據(jù)而成為孤島；此外，出差在外在業(yè)務(wù)人員，如果想方便的訪問企業(yè)內(nèi)部信息就不容易了。因此，煤礦企業(yè)一方面要引進(jìn)先進(jìn)的采煤技術(shù)、采煤工藝和和采煤方法，另一方面也要加快信息化建設(shè)步伐，基于公共網(wǎng)絡(luò)和 VPN 技術(shù)，結(jié)合企業(yè)的自動控制技術(shù)建成現(xiàn)代化通訊網(wǎng)絡(luò)。只有這樣，才能加強(qiáng)煤礦企業(yè)生產(chǎn)信息的管理，通過對信息資源的合理開發(fā)和利用，及時地為企業(yè)的決策提供準(zhǔn)確而有效的信息、提高經(jīng)營管理水平，從而最終提高煤礦企業(yè)的經(jīng)營效益[6]。

VPN 技術(shù)滿足了企業(yè)的需求，在實(shí)際的組網(wǎng)方式中，根據(jù)應(yīng)用的不同，又可以分為以下三種類型：。

1） Access VPN（遠(yuǎn)程接入VPN），即客戶端到網(wǎng)關(guān)模式。對于煤礦企業(yè)，這正適合出差和外派人員，因?yàn)閂PN允許使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量。

2） Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN），即網(wǎng)關(guān)到網(wǎng)關(guān)模式。適用于企業(yè)內(nèi)部不同礦區(qū)以及各個異地辦事處與總部之間的局域網(wǎng)互連，從而組建真正的企業(yè)網(wǎng)，實(shí)現(xiàn)企業(yè)的信息化。

3） Extranet VPN（外聯(lián)網(wǎng)VPN），即與合作伙伴企業(yè)網(wǎng)構(gòu)成 Extranet模式。也屬于網(wǎng)關(guān)到網(wǎng)關(guān)的連接，將一個公司與另一個公司的資源進(jìn)行連接。適合煤礦企業(yè)與經(jīng)銷商或合作伙伴之間相互通信，但要考慮設(shè)備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問題，選擇 IPSec 協(xié)議是明智之舉[1]。

2.2 煤礦企業(yè)利用VPN技術(shù)的優(yōu)點(diǎn)

1） 使用VPN可降低成本。通過公用網(wǎng)來建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)WAN（廣域網(wǎng)）設(shè)備和遠(yuǎn)程訪問設(shè)備。

2） 傳輸數(shù)據(jù)安全可靠。虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

3） 連接方便靈活。用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可。

4） 完全控制。虛擬專用網(wǎng)使用戶可以利用ISP的設(shè)施和服務(wù)，同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。

3 煤礦企業(yè)應(yīng)用VPN技術(shù)舉例

3.1 企業(yè)概況

假設(shè)有某大型煤礦企業(yè)，總部在內(nèi)蒙古，機(jī)構(gòu)設(shè)置有辦公室、生產(chǎn)技術(shù)部、安全監(jiān)察部、審計稽核部、財務(wù)部、網(wǎng)絡(luò)部等部門；有兩個生產(chǎn)礦區(qū)，分別為礦區(qū)A和礦區(qū)B；另外，在河北省還有一個常駐辦事處。目前，總部各部門之間，以及各礦區(qū)和辦事處，已經(jīng)分別組建了本地局域網(wǎng)，但由于相互間距離遠(yuǎn)，建設(shè)專線投資巨大，所以尚未實(shí)現(xiàn)全企業(yè)的內(nèi)部聯(lián)系。

3.2 需求分析

面臨現(xiàn)代管理的挑戰(zhàn)，企業(yè)欲完善信息化建設(shè)，全面實(shí)現(xiàn)企業(yè)總部與各礦區(qū)、辦事處之間的“內(nèi)網(wǎng)化”聯(lián)接，主要需求如下：

1） 各異地機(jī)構(gòu)間能夠相互訪問企業(yè)內(nèi)部數(shù)據(jù)。

2） 保證數(shù)據(jù)傳輸?shù)陌踩院捅Ｃ苄浴?/p>

3） 外派出差人員也可以通過移動設(shè)備訪問企業(yè)內(nèi)網(wǎng)，像在公司內(nèi)一樣。

4） 盡量減少投入，在原有網(wǎng)絡(luò)基礎(chǔ)上建設(shè)完成。

3.3 利用VPN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)

根據(jù)上述需求，企業(yè)總部到各礦區(qū)之間的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

圖1 VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

利用 VPN 技術(shù)進(jìn)入網(wǎng)絡(luò)搭建設(shè)與配置，由于有了隧道技術(shù)和加密解密技術(shù)以及密鑰管理和身份認(rèn)證技術(shù)的多重保障，使得整個煤礦企業(yè)內(nèi)各地人員的用戶IP 地址在公網(wǎng)上不會泄露，同時也保證了相互間傳輸數(shù)據(jù)不會被截獲和篡改。

3.4 具體VPN網(wǎng)絡(luò)配置

根據(jù)該公司的需求，實(shí)際配置可采取 ISA Server VPN企業(yè)級安全方案。因?yàn)檫@樣的解決方案，既具有簡單實(shí)用、安全可靠的特點(diǎn)，又能讓企業(yè)減少成本投入的同時獲取更高的效率。具體地，首先需要在企業(yè)總部的內(nèi)網(wǎng)服務(wù)器上安裝 ISA Server 服務(wù)器端軟件，并根據(jù)需要進(jìn)行相關(guān)用戶配置；其次在礦區(qū)A和礦區(qū)B及辦事處和出差人員的電腦上，安裝Web代理客戶端或 Microsoft Firewall Client 軟件，進(jìn)行與服務(wù)器的相關(guān)配置，并將防火墻或路由器設(shè)置為允許 VPN協(xié)議，這樣就可以實(shí)現(xiàn)遠(yuǎn)程訪問總部網(wǎng)絡(luò)了，出差人員甚至可采用移動終端進(jìn)行無線上網(wǎng)[7]。這樣一來，不論是礦區(qū)和辦事處的有線上網(wǎng)還是出差人員的無線上網(wǎng)，和總部人員訪問企業(yè)網(wǎng)幾乎是一樣的。

4 結(jié)束語

VPN技術(shù)的應(yīng)用，使得企業(yè)內(nèi)部員工實(shí)現(xiàn)了遠(yuǎn)程和跨地域虛擬內(nèi)部通信，在保障了數(shù)據(jù)通信的安全性的前提下，有效地解決了企業(yè)信息化建設(shè)中的各種困難，對于企業(yè)的生產(chǎn)和管理發(fā)揮了積極作用?？傊琕PN技術(shù)目前已經(jīng)發(fā)展較為成熟，是企業(yè)信息化建設(shè)中經(jīng)濟(jì)、實(shí)惠的不二選擇。

參考文獻(xiàn)：

[1] 張莉.虛擬專用網(wǎng)VPN技術(shù)及其企業(yè)應(yīng)用[J].中國新通信，2013（3）：59.

[2] 朱曉靜.基于VPN技術(shù)的校園網(wǎng)安全防護(hù)[J].計算機(jī)安全，2013（4）：86-89

[3] 胡蓓蓓. VPN 技術(shù)及其在鐵路視訊系統(tǒng)的應(yīng)用[J].中國新技術(shù)新產(chǎn)品，2012（18）：24.

[4] 羅昌劍.VPN技術(shù)在多校區(qū)圖書館中的應(yīng)用[J].電子制作，2012（11）：7.

[5] 董靖超. VPN技術(shù)與應(yīng)用[J].電腦與電信，2012（7）：42-44，49.

[6] 王彥慶.VPN技術(shù)在煤炭企業(yè)網(wǎng)絡(luò)構(gòu)建中的應(yīng)用[J].煤炭技術(shù)，2013（6）：274-275.

[7] 陳延?xùn)|.基于VLAN與VPN技術(shù)的企業(yè)網(wǎng)安全架構(gòu)設(shè)計[J].煤炭技術(shù)，2012（9）：139-139.

5） 當(dāng)數(shù)據(jù)包到達(dá)目標(biāo) VPN 設(shè)備時，對目標(biāo)VPN設(shè)備對其進(jìn)行解封裝，并且在數(shù)字簽名核對無誤后，對數(shù)據(jù)包解密，還原出真實(shí)數(shù)據(jù)。

1.4 VPN技術(shù)的特點(diǎn)和優(yōu)勢

首先，關(guān)于VPN技術(shù)的特點(diǎn)，可歸納如下幾條：

1） 安全保障。VPN通過建立虛擬化的“隧道”，利用加密技術(shù)對傳輸數(shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有性和安全性。

2） 服務(wù)質(zhì)量保證。VPN可以為不同要求的用戶提供不同等級的服務(wù)質(zhì)量保證。

3） 可擴(kuò)充、靈活性。VPN支持通過Internet和Extranet的任何類型的數(shù)據(jù)流。

4） 可管理性。VPN可以從用戶和運(yùn)營商角度方便進(jìn)行管理。

其次，對于VPN技術(shù)的實(shí)際應(yīng)用和配置，還具有以下優(yōu)點(diǎn)：

1） VPN能夠讓移動員工、遠(yuǎn)程員工、商務(wù)合作伙伴和其他人利用本地可用的高速寬帶網(wǎng)連接（如DSL、有線電視或者WiFi網(wǎng)絡(luò)）連接到企業(yè)網(wǎng)絡(luò)。此外，高速寬帶網(wǎng)連接提供一種成本效率高的連接遠(yuǎn)程辦公室的方法。

2） 設(shè)計良好的寬帶VPN是模塊化的和可升級的。這種技術(shù)能夠讓應(yīng)用者使用一種很容易設(shè)置的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，讓新的用戶迅速和輕松地添加到這個網(wǎng)絡(luò)[1]。這種能力意味著企業(yè)不用增加額外的基礎(chǔ)設(shè)施就可以提供大量的容量和應(yīng)用。

3） VPN能提供高水平的安全，使用高級的加密和身份識別協(xié)議保護(hù)數(shù)據(jù)避免受到窺探，阻止數(shù)據(jù)竊賊和其他非授權(quán)用戶接觸這種數(shù)據(jù)。

2 煤礦企業(yè)與VPN 技術(shù)相結(jié)合

2.1 VPN在煤礦企業(yè)中的應(yīng)用

現(xiàn)代煤礦企業(yè)的規(guī)模不斷擴(kuò)大，往往有不只一個生產(chǎn)礦區(qū)，并且除了公司總部以外，還會在國內(nèi)各地設(shè)置辦事處。由于各個礦區(qū)、辦事處與總部之間路途遙遠(yuǎn)、交通不便，使得相互間的信息溝通非常不便，往往因?yàn)椴荒芗皶r獲取信息和相關(guān)數(shù)據(jù)而成為孤島；此外，出差在外在業(yè)務(wù)人員，如果想方便的訪問企業(yè)內(nèi)部信息就不容易了。因此，煤礦企業(yè)一方面要引進(jìn)先進(jìn)的采煤技術(shù)、采煤工藝和和采煤方法，另一方面也要加快信息化建設(shè)步伐，基于公共網(wǎng)絡(luò)和 VPN 技術(shù)，結(jié)合企業(yè)的自動控制技術(shù)建成現(xiàn)代化通訊網(wǎng)絡(luò)。只有這樣，才能加強(qiáng)煤礦企業(yè)生產(chǎn)信息的管理，通過對信息資源的合理開發(fā)和利用，及時地為企業(yè)的決策提供準(zhǔn)確而有效的信息、提高經(jīng)營管理水平，從而最終提高煤礦企業(yè)的經(jīng)營效益[6]。

VPN 技術(shù)滿足了企業(yè)的需求，在實(shí)際的組網(wǎng)方式中，根據(jù)應(yīng)用的不同，又可以分為以下三種類型：。

1） Access VPN（遠(yuǎn)程接入VPN），即客戶端到網(wǎng)關(guān)模式。對于煤礦企業(yè)，這正適合出差和外派人員，因?yàn)閂PN允許使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量。

2） Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN），即網(wǎng)關(guān)到網(wǎng)關(guān)模式。適用于企業(yè)內(nèi)部不同礦區(qū)以及各個異地辦事處與總部之間的局域網(wǎng)互連，從而組建真正的企業(yè)網(wǎng)，實(shí)現(xiàn)企業(yè)的信息化。

3） Extranet VPN（外聯(lián)網(wǎng)VPN），即與合作伙伴企業(yè)網(wǎng)構(gòu)成 Extranet模式。也屬于網(wǎng)關(guān)到網(wǎng)關(guān)的連接，將一個公司與另一個公司的資源進(jìn)行連接。適合煤礦企業(yè)與經(jīng)銷商或合作伙伴之間相互通信，但要考慮設(shè)備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問題，選擇 IPSec 協(xié)議是明智之舉[1]。

2.2 煤礦企業(yè)利用VPN技術(shù)的優(yōu)點(diǎn)

1） 使用VPN可降低成本。通過公用網(wǎng)來建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)WAN（廣域網(wǎng)）設(shè)備和遠(yuǎn)程訪問設(shè)備。

2） 傳輸數(shù)據(jù)安全可靠。虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

3） 連接方便靈活。用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可。

4） 完全控制。虛擬專用網(wǎng)使用戶可以利用ISP的設(shè)施和服務(wù)，同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。

3 煤礦企業(yè)應(yīng)用VPN技術(shù)舉例

3.1 企業(yè)概況

假設(shè)有某大型煤礦企業(yè)，總部在內(nèi)蒙古，機(jī)構(gòu)設(shè)置有辦公室、生產(chǎn)技術(shù)部、安全監(jiān)察部、審計稽核部、財務(wù)部、網(wǎng)絡(luò)部等部門；有兩個生產(chǎn)礦區(qū)，分別為礦區(qū)A和礦區(qū)B；另外，在河北省還有一個常駐辦事處。目前，總部各部門之間，以及各礦區(qū)和辦事處，已經(jīng)分別組建了本地局域網(wǎng)，但由于相互間距離遠(yuǎn)，建設(shè)專線投資巨大，所以尚未實(shí)現(xiàn)全企業(yè)的內(nèi)部聯(lián)系。

3.2 需求分析

面臨現(xiàn)代管理的挑戰(zhàn)，企業(yè)欲完善信息化建設(shè)，全面實(shí)現(xiàn)企業(yè)總部與各礦區(qū)、辦事處之間的“內(nèi)網(wǎng)化”聯(lián)接，主要需求如下：

1） 各異地機(jī)構(gòu)間能夠相互訪問企業(yè)內(nèi)部數(shù)據(jù)。

2） 保證數(shù)據(jù)傳輸?shù)陌踩院捅Ｃ苄浴?/p>

3） 外派出差人員也可以通過移動設(shè)備訪問企業(yè)內(nèi)網(wǎng)，像在公司內(nèi)一樣。

4） 盡量減少投入，在原有網(wǎng)絡(luò)基礎(chǔ)上建設(shè)完成。

3.3 利用VPN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)

根據(jù)上述需求，企業(yè)總部到各礦區(qū)之間的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

圖1 VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

利用 VPN 技術(shù)進(jìn)入網(wǎng)絡(luò)搭建設(shè)與配置，由于有了隧道技術(shù)和加密解密技術(shù)以及密鑰管理和身份認(rèn)證技術(shù)的多重保障，使得整個煤礦企業(yè)內(nèi)各地人員的用戶IP 地址在公網(wǎng)上不會泄露，同時也保證了相互間傳輸數(shù)據(jù)不會被截獲和篡改。

3.4 具體VPN網(wǎng)絡(luò)配置

根據(jù)該公司的需求，實(shí)際配置可采取 ISA Server VPN企業(yè)級安全方案。因?yàn)檫@樣的解決方案，既具有簡單實(shí)用、安全可靠的特點(diǎn)，又能讓企業(yè)減少成本投入的同時獲取更高的效率。具體地，首先需要在企業(yè)總部的內(nèi)網(wǎng)服務(wù)器上安裝 ISA Server 服務(wù)器端軟件，并根據(jù)需要進(jìn)行相關(guān)用戶配置；其次在礦區(qū)A和礦區(qū)B及辦事處和出差人員的電腦上，安裝Web代理客戶端或 Microsoft Firewall Client 軟件，進(jìn)行與服務(wù)器的相關(guān)配置，并將防火墻或路由器設(shè)置為允許 VPN協(xié)議，這樣就可以實(shí)現(xiàn)遠(yuǎn)程訪問總部網(wǎng)絡(luò)了，出差人員甚至可采用移動終端進(jìn)行無線上網(wǎng)[7]。這樣一來，不論是礦區(qū)和辦事處的有線上網(wǎng)還是出差人員的無線上網(wǎng)，和總部人員訪問企業(yè)網(wǎng)幾乎是一樣的。

4 結(jié)束語

VPN技術(shù)的應(yīng)用，使得企業(yè)內(nèi)部員工實(shí)現(xiàn)了遠(yuǎn)程和跨地域虛擬內(nèi)部通信，在保障了數(shù)據(jù)通信的安全性的前提下，有效地解決了企業(yè)信息化建設(shè)中的各種困難，對于企業(yè)的生產(chǎn)和管理發(fā)揮了積極作用?？傊?，VPN技術(shù)目前已經(jīng)發(fā)展較為成熟，是企業(yè)信息化建設(shè)中經(jīng)濟(jì)、實(shí)惠的不二選擇。

參考文獻(xiàn)：

[1] 張莉.虛擬專用網(wǎng)VPN技術(shù)及其企業(yè)應(yīng)用[J].中國新通信，2013（3）：59.

[2] 朱曉靜.基于VPN技術(shù)的校園網(wǎng)安全防護(hù)[J].計算機(jī)安全，2013（4）：86-89

[3] 胡蓓蓓. VPN 技術(shù)及其在鐵路視訊系統(tǒng)的應(yīng)用[J].中國新技術(shù)新產(chǎn)品，2012（18）：24.

[4] 羅昌劍.VPN技術(shù)在多校區(qū)圖書館中的應(yīng)用[J].電子制作，2012（11）：7.

[5] 董靖超. VPN技術(shù)與應(yīng)用[J].電腦與電信，2012（7）：42-44，49.

[6] 王彥慶.VPN技術(shù)在煤炭企業(yè)網(wǎng)絡(luò)構(gòu)建中的應(yīng)用[J].煤炭技術(shù)，2013（6）：274-275.

[7] 陳延?xùn)|.基于VLAN與VPN技術(shù)的企業(yè)網(wǎng)安全架構(gòu)設(shè)計[J].煤炭技術(shù)，2012（9）：139-139.

5） 當(dāng)數(shù)據(jù)包到達(dá)目標(biāo) VPN 設(shè)備時，對目標(biāo)VPN設(shè)備對其進(jìn)行解封裝，并且在數(shù)字簽名核對無誤后，對數(shù)據(jù)包解密，還原出真實(shí)數(shù)據(jù)。

1.4 VPN技術(shù)的特點(diǎn)和優(yōu)勢

首先，關(guān)于VPN技術(shù)的特點(diǎn)，可歸納如下幾條：

1） 安全保障。VPN通過建立虛擬化的“隧道”，利用加密技術(shù)對傳輸數(shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有性和安全性。

2） 服務(wù)質(zhì)量保證。VPN可以為不同要求的用戶提供不同等級的服務(wù)質(zhì)量保證。

3） 可擴(kuò)充、靈活性。VPN支持通過Internet和Extranet的任何類型的數(shù)據(jù)流。

4） 可管理性。VPN可以從用戶和運(yùn)營商角度方便進(jìn)行管理。

其次，對于VPN技術(shù)的實(shí)際應(yīng)用和配置，還具有以下優(yōu)點(diǎn)：

1） VPN能夠讓移動員工、遠(yuǎn)程員工、商務(wù)合作伙伴和其他人利用本地可用的高速寬帶網(wǎng)連接（如DSL、有線電視或者WiFi網(wǎng)絡(luò)）連接到企業(yè)網(wǎng)絡(luò)。此外，高速寬帶網(wǎng)連接提供一種成本效率高的連接遠(yuǎn)程辦公室的方法。

2） 設(shè)計良好的寬帶VPN是模塊化的和可升級的。這種技術(shù)能夠讓應(yīng)用者使用一種很容易設(shè)置的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，讓新的用戶迅速和輕松地添加到這個網(wǎng)絡(luò)[1]。這種能力意味著企業(yè)不用增加額外的基礎(chǔ)設(shè)施就可以提供大量的容量和應(yīng)用。

3） VPN能提供高水平的安全，使用高級的加密和身份識別協(xié)議保護(hù)數(shù)據(jù)避免受到窺探，阻止數(shù)據(jù)竊賊和其他非授權(quán)用戶接觸這種數(shù)據(jù)。

2 煤礦企業(yè)與VPN 技術(shù)相結(jié)合

2.1 VPN在煤礦企業(yè)中的應(yīng)用

現(xiàn)代煤礦企業(yè)的規(guī)模不斷擴(kuò)大，往往有不只一個生產(chǎn)礦區(qū)，并且除了公司總部以外，還會在國內(nèi)各地設(shè)置辦事處。由于各個礦區(qū)、辦事處與總部之間路途遙遠(yuǎn)、交通不便，使得相互間的信息溝通非常不便，往往因?yàn)椴荒芗皶r獲取信息和相關(guān)數(shù)據(jù)而成為孤島；此外，出差在外在業(yè)務(wù)人員，如果想方便的訪問企業(yè)內(nèi)部信息就不容易了。因此，煤礦企業(yè)一方面要引進(jìn)先進(jìn)的采煤技術(shù)、采煤工藝和和采煤方法，另一方面也要加快信息化建設(shè)步伐，基于公共網(wǎng)絡(luò)和 VPN 技術(shù)，結(jié)合企業(yè)的自動控制技術(shù)建成現(xiàn)代化通訊網(wǎng)絡(luò)。只有這樣，才能加強(qiáng)煤礦企業(yè)生產(chǎn)信息的管理，通過對信息資源的合理開發(fā)和利用，及時地為企業(yè)的決策提供準(zhǔn)確而有效的信息、提高經(jīng)營管理水平，從而最終提高煤礦企業(yè)的經(jīng)營效益[6]。

VPN 技術(shù)滿足了企業(yè)的需求，在實(shí)際的組網(wǎng)方式中，根據(jù)應(yīng)用的不同，又可以分為以下三種類型：。

1） Access VPN（遠(yuǎn)程接入VPN），即客戶端到網(wǎng)關(guān)模式。對于煤礦企業(yè)，這正適合出差和外派人員，因?yàn)閂PN允許使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量。

2） Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN），即網(wǎng)關(guān)到網(wǎng)關(guān)模式。適用于企業(yè)內(nèi)部不同礦區(qū)以及各個異地辦事處與總部之間的局域網(wǎng)互連，從而組建真正的企業(yè)網(wǎng)，實(shí)現(xiàn)企業(yè)的信息化。

3） Extranet VPN（外聯(lián)網(wǎng)VPN），即與合作伙伴企業(yè)網(wǎng)構(gòu)成 Extranet模式。也屬于網(wǎng)關(guān)到網(wǎng)關(guān)的連接，將一個公司與另一個公司的資源進(jìn)行連接。適合煤礦企業(yè)與經(jīng)銷商或合作伙伴之間相互通信，但要考慮設(shè)備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問題，選擇 IPSec 協(xié)議是明智之舉[1]。

2.2 煤礦企業(yè)利用VPN技術(shù)的優(yōu)點(diǎn)

1） 使用VPN可降低成本。通過公用網(wǎng)來建立VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安裝和維護(hù)WAN（廣域網(wǎng)）設(shè)備和遠(yuǎn)程訪問設(shè)備。

2） 傳輸數(shù)據(jù)安全可靠。虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。

3） 連接方便靈活。用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可。

4） 完全控制。虛擬專用網(wǎng)使用戶可以利用ISP的設(shè)施和服務(wù)，同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用ISP提供的網(wǎng)絡(luò)資源，對于其它的安全設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。

3 煤礦企業(yè)應(yīng)用VPN技術(shù)舉例

3.1 企業(yè)概況

假設(shè)有某大型煤礦企業(yè)，總部在內(nèi)蒙古，機(jī)構(gòu)設(shè)置有辦公室、生產(chǎn)技術(shù)部、安全監(jiān)察部、審計稽核部、財務(wù)部、網(wǎng)絡(luò)部等部門；有兩個生產(chǎn)礦區(qū)，分別為礦區(qū)A和礦區(qū)B；另外，在河北省還有一個常駐辦事處。目前，總部各部門之間，以及各礦區(qū)和辦事處，已經(jīng)分別組建了本地局域網(wǎng)，但由于相互間距離遠(yuǎn)，建設(shè)專線投資巨大，所以尚未實(shí)現(xiàn)全企業(yè)的內(nèi)部聯(lián)系。

3.2 需求分析

面臨現(xiàn)代管理的挑戰(zhàn)，企業(yè)欲完善信息化建設(shè)，全面實(shí)現(xiàn)企業(yè)總部與各礦區(qū)、辦事處之間的“內(nèi)網(wǎng)化”聯(lián)接，主要需求如下：

1） 各異地機(jī)構(gòu)間能夠相互訪問企業(yè)內(nèi)部數(shù)據(jù)。

2） 保證數(shù)據(jù)傳輸?shù)陌踩院捅Ｃ苄浴?/p>

3） 外派出差人員也可以通過移動設(shè)備訪問企業(yè)內(nèi)網(wǎng)，像在公司內(nèi)一樣。

4） 盡量減少投入，在原有網(wǎng)絡(luò)基礎(chǔ)上建設(shè)完成。

3.3 利用VPN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)

根據(jù)上述需求，企業(yè)總部到各礦區(qū)之間的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

圖1 VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

利用 VPN 技術(shù)進(jìn)入網(wǎng)絡(luò)搭建設(shè)與配置，由于有了隧道技術(shù)和加密解密技術(shù)以及密鑰管理和身份認(rèn)證技術(shù)的多重保障，使得整個煤礦企業(yè)內(nèi)各地人員的用戶IP 地址在公網(wǎng)上不會泄露，同時也保證了相互間傳輸數(shù)據(jù)不會被截獲和篡改。

3.4 具體VPN網(wǎng)絡(luò)配置

根據(jù)該公司的需求，實(shí)際配置可采取 ISA Server VPN企業(yè)級安全方案。因?yàn)檫@樣的解決方案，既具有簡單實(shí)用、安全可靠的特點(diǎn)，又能讓企業(yè)減少成本投入的同時獲取更高的效率。具體地，首先需要在企業(yè)總部的內(nèi)網(wǎng)服務(wù)器上安裝 ISA Server 服務(wù)器端軟件，并根據(jù)需要進(jìn)行相關(guān)用戶配置；其次在礦區(qū)A和礦區(qū)B及辦事處和出差人員的電腦上，安裝Web代理客戶端或 Microsoft Firewall Client 軟件，進(jìn)行與服務(wù)器的相關(guān)配置，并將防火墻或路由器設(shè)置為允許 VPN協(xié)議，這樣就可以實(shí)現(xiàn)遠(yuǎn)程訪問總部網(wǎng)絡(luò)了，出差人員甚至可采用移動終端進(jìn)行無線上網(wǎng)[7]。這樣一來，不論是礦區(qū)和辦事處的有線上網(wǎng)還是出差人員的無線上網(wǎng)，和總部人員訪問企業(yè)網(wǎng)幾乎是一樣的。

4 結(jié)束語

VPN技術(shù)的應(yīng)用，使得企業(yè)內(nèi)部員工實(shí)現(xiàn)了遠(yuǎn)程和跨地域虛擬內(nèi)部通信，在保障了數(shù)據(jù)通信的安全性的前提下，有效地解決了企業(yè)信息化建設(shè)中的各種困難，對于企業(yè)的生產(chǎn)和管理發(fā)揮了積極作用。總之，VPN技術(shù)目前已經(jīng)發(fā)展較為成熟，是企業(yè)信息化建設(shè)中經(jīng)濟(jì)、實(shí)惠的不二選擇。

參考文獻(xiàn)：

[1] 張莉.虛擬專用網(wǎng)VPN技術(shù)及其企業(yè)應(yīng)用[J].中國新通信，2013（3）：59.

[2] 朱曉靜.基于VPN技術(shù)的校園網(wǎng)安全防護(hù)[J].計算機(jī)安全，2013（4）：86-89

[3] 胡蓓蓓. VPN 技術(shù)及其在鐵路視訊系統(tǒng)的應(yīng)用[J].中國新技術(shù)新產(chǎn)品，2012（18）：24.

[4] 羅昌劍.VPN技術(shù)在多校區(qū)圖書館中的應(yīng)用[J].電子制作，2012（11）：7.

[5] 董靖超. VPN技術(shù)與應(yīng)用[J].電腦與電信，2012（7）：42-44，49.

[6] 王彥慶.VPN技術(shù)在煤炭企業(yè)網(wǎng)絡(luò)構(gòu)建中的應(yīng)用[J].煤炭技術(shù)，2013（6）：274-275.

[7] 陳延?xùn)|.基于VLAN與VPN技術(shù)的企業(yè)網(wǎng)安全架構(gòu)設(shè)計[J].煤炭技術(shù)，2012（9）：139-139.