1 前言
酒泉钢铁(集团)有限责任公司(以下简称酒钢集团)始建于1958年,是国家“一五”期间重点建设项目之一。在形成“采、选、烧”,“铁、钢、材”完整配套的钢铁工业生产体系基础上,以钢铁业为主,延伸兼营资源开发、煤电联产、机械制造、建筑安装、房产开发、建材制品、焊接材料、铁合金、酿酒、种植养殖等多种产业,是西北地区具有较大影响力的钢铁联合企业之一。自1985年起进入中国500家最大工业企业行列,2000年12月,“酒钢宏兴”股票上市交易,2006年完成了股权分置改革。2001年通过ISO14001环境管理体系认证,2004年被国家旅游总局确定为306个“全国工农业旅游示范点”之一。通过“十五”以来大幅度调整产品结构和快速建设发展,形成了嘉峪关本部、兰州榆中和山西翼城三大钢铁生产基地,集团公司铁、钢、材综合产能达到800万吨/年(其中不锈钢60万吨),技术装备水平进入国内同行业先进行列。截止2008年年底,集团公司资产总额570亿元,员工总数3.78万人。下属二级单位50余个,其中控股分、子公司30余家。营销实体分布在嘉峪关、兰州、西安、银川、西宁、乌鲁木齐、奎屯、库尔勒、太原、郑州、天津、成都、上海、无锡、佛山等地市。为充分利用国外资源,在南非、菲律宾和蒙古国设有办事机构。
酒钢集团目前已经建设了OA系统,于2019年正式上线使用,全面支持B/S结构,系统能够“主动的”把相关的信息传递到办理人员处,体现了“以人为本,信息找人”的基本原则,极大的提高了公司协同办公功能,提高了工作效率。但由于企业大部分管理者、分子公司、市场销售人员经常在外办公,为更好的利用信息化系统,很有必要实现移动办公应用,无论用户在机场、火车上、轮船上、行走中,都可以通过手机高速、稳定、安全的访问内网OA系统,随时随地处理公文、收发邮件、查询信息,使工作变得更加轻松、便捷。
另外,据互联网数据中心(IDC)2019年12月的一份预测报告显示,今年全球移动办公人员的数量将达到10亿,2012年预计将增至12亿,占全球员工总数1/3以上 。亚太区(不含日本)移动办公的总人口数最大,在2008年接近5.5亿,而到2013年则会超过7.3亿,占据该地区总劳动力的37.4%。届时,亚太移动办公人员数量将占到全球移动办公人员数量的62%,并且应用需求越来越明显。国内随着3G业务逐渐开始普及,移动办公应用越来越广泛,需求也越来越强烈,目前多数集团型企业都有移动办公的需求,可见移动办公已成为必然趋势。
2 需求分析
随着企业的发展,面临着员工分布广泛、分支机构和办事处众多的局面,需要一种便捷、灵活和具有跨地域性的办公方案,使员工无论身在何处,都能实现员工与员工之间,企业与业务伙伴之间的相互交流和沟通。尤其是单位领导及管理工作人员,他们日常工作的移动性极大,大部分时间都在非办公环境下工作,而领导及管理人员的工作内容关系到单位工作是否能正常运行,因此如何解决非办公环境下的移动办公就显得至关重要。
ü 市场人员业务比较繁忙,经常出差,希望在外地也可以很方便地登录内部办公系统,及时呈报问题,调取资料,总结合作;
ü 管理人员外联事务繁多,随时需要查看、调用、审批内部的资料文档,对公司事务进行管理,需要一种在任何场合、任何地点都能访问内部办公系统的解决方案;
ü 快节奏的社会,免不了有一些突发和意外情况的发生,需要有一套解决方案,可以不受客观条件制约,能在事件发生的最短事件内,将事情上报、传达给内部的相关人员;相关人员和领导层能不受客观情况限制,快速及时对反映情况作出指示和决定。
ü 面对企业信息系统,要通过公网访问这些核心信息资源,就面临着非法访问、信息窃取等越来越多的来自外部的安全威胁,有必要实施适当的信息安全策略,在严格防止企业信息资源被非法窃取的同时,对合法的访问要提供方便。因此,在开放这些应用系统时,必须要保障关键应用在开放网络环境中的安全,同时还需尽量降低实施和维护成本。
2.1 功能需求
移动办公系统将是现有OA系统的一个扩展,使各级用户可以通过公网使用目前OA系统中的大部分核心功能,从而进一步提高办公效率、提升核心竞争力。
移动OA需求:
ü 用户身份验证:移动办公与现有OA系统的用户统一。手机办公通过用户帐号(或者手机号)建立起和原OA系统用户的一一映射关系,保证同一用户从不同渠道登入OA系统时身份的一致性;实现与OA系统的统一登录,手机办公系统的密码保持与OA系统中的密码一致。
ü 待办事宜:通过手机查看“待办事宜”中的各项待办工作,并可以随时处理各项待办事宜。
ü 通讯录:酒钢电话实现集团内部通讯录功能,用户可以快速查找内部员工的联系方式,同时通信录还可以和本地手机通信录进行同步,直接拨打电话。实现个人通信录一致,简化操作、提高效率。
ü 移动邮件:邮件服务是最通用、直接、简单易用的办公需求,并且需要将此应用延伸到手机终端上,通过手机终端将更方便、更快速。
ü 提供用户查看国内新闻、酒钢新闻和即时信息功能,实时了解公司动态。
ü 管理和配置功能。包括客户端和服务器端。用户可在客户端对各项参数进行设置。系统管理员能在服务器端对用户和权限进行管理,对日志进行查看、管理和统计。
2.2 技术需求
移动办公系统需要遵循的技术需求如下:
ü 使用高容错的系统架构,保证系统的高可靠性和好的故障恢复能力,出现意外时,应能隔离故障区、保护重要数据、通知管理人员做人工干预,避免灾难性后果发生。
ü 系统采用开放和标准的系统架构,保证系统的可维护性,确保应用系统的软件可读、可修改、可测试性。
ü 由于企业办公业务数据都保存在平台上,因此对系统和终端安全性有更高的要求,需要保证用户身份认证、网络接入、传输保密性等方面的安全。
ü 终端系统将充分考虑应用实用性,真正为工作带来便利。
2.3 管理需求
根据我们的实施经验,通常移动办公系统需要实现的系统管理需求如下:
ü 实现移动办公业务方便的开通;
ü 实现移动办公业务使用的操作日志管理;
ü 实现移动办公系统的使用统计;
ü 实现移动办公系统的实时监控;
ü 实现移动办公客户端程序的自动更新和升级。
2.4 安全需求
通过公网访问新闻采编等业务系统,面临着非法访问、信息窃取等越来越多的来自外部和内部的安全威胁,有必要实施适当的信息安全策略,在严格防止企业信息资源被非法窃取的同时,对合法的访问要提供方便。因此,在构建这些应用系统时,必须要保障关键应用在开放网络环境中的安全,同时还需尽量降低实施和维护成本。
遇到的安全威胁概括如下:
1) 身份被冒充:病毒木马肆意横行,目前破解14位的诸如N73k-a7…的口令只需要短短2分钟即可,可见用户名口令方式已经极不安全,并且需要管理的口令过多,容易忘记。
2) 敏感信息失窃:由于数据信息在互联网上以明文传输,容易被窃取,并且经常是内部人员所为,如系统管理员可轻易获取一些机密信息。
3) 信息被篡改:网上传输的信息容易被黑客篡改,并进行重传,会给用户造成巨大的经济损失。
4) 行为抵赖:非法用户闯入内网后,系统很难保存合法有效的证据,造成举证困难。
必须解决上述的安全问题,才能保护新闻这种极其敏感的信息资源。
3 设计原则
充分考虑酒钢集团未来技术发展和办公应用发展的变化要求(如Web 2.0类应用层出不穷),为酒钢集团搭建有效的互联网工作平台,因此对这两类系统的设计需要遵循不同的系统设计原则:
l 规范性原则
中国联通的软件设计严格执行国家有关软件工程和行业标准,保证系统质量。
l 开放性原则
整个系统遵循开放性架构的设计要求,采用标准开放的接口协议与开发平台,为用户提供统一的、开放的各种能力调用。并且整个业务的维护与发展不依赖于设备厂商,可以保证在现有系统上对业务进行持续升级和发展。系统建设中充分考虑了“标准和开放”的原则,要支持各种相应的软硬件接口,使之具有灵活性和延展性。
l 互不影响性原则
任何一个政府与企业的IT系统建设都是一个长期及宠大的过程,系统建设之后的维护与保障也是对整个单位有着重要的影响,因此一套优秀的、正确的系统应当是与原系统互不影响,能够在独立运行的情况下也能够保证与原系统进行业务交互。移动办公产品通过优秀的架构设计,可以通过多种数据交互方式与原系统的接驳,让原系统在尽量不改造的情况下实现移动办公业务。
l 安全性原则
移动办公是一个无线业务,与传统互联网业务的安全机制略有不同。中国联通有完全的安全体系,包括了终端数据安全、无线网络传输数据加密、服务器数据安全等,内含几十种安全技术,如SSL、炸弹消息等,能够全方位的保证系统的安全。
l 成熟性原则
移动办公系统是一套成熟稳定的系统,拥有众多移动办公成功案例的证明,并且通过多数级运营实例的证明,能够保证在系统的运行期间内可以稳定的运行,保障系统的正常运行。
l 易用性原则
移动办公需要通过手机终端来操作才能体现出优越性,对于大部的客户来说,手机终端的操作并非一开始就能够适应。移动办公产品通过专业的团队研究设计人机交互界面UI,我们努力做到让用户可以在最短的时间内完成各种操作,让新上手的用户(特别是一些领导)在最短的时间内掌握系统的使用方法,让用户在使用中的疑问与投诉降低最低。
4 方案描述
基于联通WCDMA 3G高速网络和PKI/CA数字认证技术,为客户提供办公系统的移动化应用。只要在WCDMA 3G网络覆盖的地方,用户都可以通过手机高速、稳定、安全的访问OA、邮件等办公系统,随时随地处理公文、收发邮件、查询信息。
4.1 概述
采用手机适配技术实现移动化应用,这种技术通过接口开发、页面抓取分析、格式转换等技术,将客户的业务系统适配到手机上,重新排版,使系统界面在用户手机上完美展现。
基本功能:
l 办公系统移动化:将现有业务系统操作流程移植到手机上,使手机替代电脑成为移动办公终端。
l 增强型功能:根据用户的个性化需求,可提供附件查看编辑、统一信息推送、智能更新等功能。
体验效果:
方案部署:
1) 手机适配服务器部署在企业侧网络中,通过应用集成接口与企业办公系统整合,实现办公系统应用向移动终端的延伸。手机适配服务器完成应用接入适配、手机接入适配、用户管理、日志管理、客户端软件更新管理和客户端数字证书管理等工作。
2) 在用户手机终端上安装手机客户端软件,实现用户身份认证、办公页面展现、流程处理、数据压缩、数据加密、附件查看编辑等功能。
3) 在企业侧部署SSL VPN网关,并为手机用户签发软证书,或e盾卡硬件证书,确保终端用户身份认证安全,并实现SSL通道加密功能。
网络接入
该方案有两种网络接入方式,第一种是基于公网结合SSL通道加密和数字证书的网络方案,另一种是基于APN专网接入技术的网络方案,手机终端都是通过WCDMA网络接入客户内网,实现移动办公应用。
方案特点:
客户体验好:定制客户端界面,显示效果好,易操作。
适用终端广:支持目前各大品牌的智能手机,也支持具有JAVA扩展功能的非智能手机。
按需定制:可为您量身定制,满足您的个性化需求。
安全性高:采用PKI/CA、SSL VPN、联通CA证书等安全技术手段,确保移动办公使用过程的安全可靠,并采用联通CA中心的数字签名作为有效的法律凭证,受《电子签名法》的保护。
支持的手机终端:
移动办公支持目前各大品牌的智能手机,也支持具有JAVA扩展功能的非智能手机。以下为各手机品牌的代表型号:
1.1 手机适配服务器功能
(一) 应用接入适配
应用接入适配模块实现将复杂的Web页面或应用页面,进行智能的抓取、过滤、重排、优化和内容调整,以便用户可以在移动终端上进行快速的浏览,并得到最佳的浏览效果。
应用适配的功能是以HTML语法分析为基础的,其实现主要原理包括以下步骤:
1) 通过页面分析得到HTML页面中所有的数据元素,然后使用屏幕渲染技术就能模拟出原页面显示的效果来。
2) 通过对数据元素的比较和分析,可以得到数据元素与页面显示板块之间的对应关系。
3) 通过对多个页面的数据元素进行横向比较和分析,可以进一步分析出这个页面的“模板”和“数据”。模板是指在构造此页面时相对不变化的部分,而数据则是页面中的变化部分。例如,在一个天气预报的网页中,其框架结构是模板,而阴晴雨雪等信息则是数据。
4) 通过辅助工具,可以为每个页面书写一个对应的剪裁脚本,将页面中不需要的数据元素自动剪裁掉,仅剩下关键的数据元素。
5) 然后再通过一套HTML模板引擎,将得到的页面数据元素按照需要重新排版和输出。从而得到内容简练、适合手机显示和操作的页面来。
在整个适配过程中,主要的技术思路是:通过人工智能和互动辅助技术,让开发人员可以快速的分辨出关键信息的特征。并提供一种HTML数据元素的自动识别和分拣机制,使这个分拣过程能自动完成。
(二) 手机接入适配
1) 解析页面:因手机终端硬件的限制,传统的HTML页面难以在手机终端本地进行HTML语法分析、语法容错处理、页面元素提取、CSS语法解析等操作。手机接入适配模块帮助手机客户端软件,将一些对CPU、内存资源要求较高的操作和运算,在服务器端进行预分析操作,然后将处理好的页面内容发送到手机客户端软件端进行本地的解析和展现。
2) 数据压缩:数据在手机接入适配模块发送给手机客户端软件前,会先进行数据流的压缩操作,客户端软件在手机终端接收到数据流后,也会进行对应的数据解压动作。
3) 数据加解密:手机接入适配模块的数据加解密操作主要和手机客户端软件的数据加解密操作对应。支持高强度的加密算法(例如DES、RSA),以便进行安全的数据连接和传送。
(三) 统一推送
手机的便携性使得公司领导和员工可以随身携带着,可以随时通过移动OA来访问内部的OA系统,但如果当OA系统有新公文、新信息、新通知等传达时,不能让领导及时的得知,就不能体现手机移动OA的优越性,领导无法及时处理各类紧急事件,即使是通过手机来办公却不能大大改善现状。
UAPS-Uni All Push Service统一推送服务,最优越的推送技术。当OA系统有新公文、新通知、新邮件、新消息时,移动OA系统会第一时间内获取响应,并将新公文、新通知、新邮件、新消息推送到手机终端上。
对于新的信息产生时,UAPS还会自动选择最快速、最节省用户费用的方式来推送信息:
l IP Push:当网络连接时,通过Socket双向流由服务器推送消息
l EMN Push:当用户的手机端程序关闭时,则执行EMN Push,EMN到达手机端后会激活原本关闭的程序,通知其获取新任务,实现Push。(EMN是OMA组织定义的一种特殊的二进制短消息,可以由服务器主动激活客户端程序以实现Push。)
基于UAPS,还可以实现其它消息的推送,如配置消息、软件更新通知等。
(四) 客户端智能更新
用户在使用客户端的过程中,系统自动监测原客户端软件的版本,若需要升级,则会通过客户端上“升级通知”告知用户,若用户选择升级,手机适配服务器会推送这个新版本的客户端软件,下载完成后会自动安装和覆盖原应用程序,原应用程序中已有的相关数据可以继续使用。
(五) 文档解析
由于目前手机的性能还远不及PC机的处理能力,在手机终端使用任何软件都存在一定的局限,例如在手机上查看Word、Excel、PPT、Tiff、PDF等文件还是很理想,并且并不是所有的手机都可以查看这些常用办公文档,因此,为了解决用户可以在任何手机上都可以查看、及时浏览这些文档,就要对系统进行适当的优化,以解决各种文件的查看问题。
从移动办公系统第一代开始,中国联通就深刻地了解通过手机上来查看各类文件(文档、图片、压缩文件、政府/企业专用文件等)是移动OA的关键技术环节,因此独立研发了UDPS-Uni Document Parse Service,文档解析服务。经过不断,目前已经可以解析多达30多种文档文件格式,而且还在增加格式数量。
各种表单、各种公文、各种数据,只要用户需要,中国联通都可为用户进行解析。
以下截图为常用办公文档:
(六) 网络优化
由于无线网络速度有限,不如PC机的互联网速度,并且无线网络存在一定的盲区,可能会造成信号不稳定等问题,所以在通过手机连接互联网时,为了最大发挥无线网络的速度及改善联网特性,必须进行网络优化。
中国联通经过多年研究与改进,开发了一套专用于改善无线网络的问题的协议-USFP,让手机在使用移动OA系统时可以更快、更稳、更小流量。
USFP全称Uni Simple File Protocol,是一套网络快速传输、压缩、解析、加密、校稳的协议。它在一定程度上解决了无线网络速度慢、稳定性差、费用高三大难题,对于手机应用的推广和普及有重大意义,是降低用户使用门槛的利器。其先进性在国内处于领先地位。
l USFP技术使得系统的联网操作速度大大加快。
l USFP技术使用户的流量费用大大减少,数据压缩率最高可以达到6% 。
l USFP技术使系统网络状态更加稳定,不丢包、可断线重拨、断点续传。
l USFP支持多网络线程并发,最多三条Socket通道同时进行网络通讯。相同类型任务的多个任务按队列处理,可支持100个排队任务。
这里举几个例子:
l 我们经常进出电梯等无信号的场所,如果在进去之前正在传输数据,结果进去后没信号了。这时很有可能造成程序异常,网络通讯中断,导致用户不得不重启程序。可是用户走来走去,怎么知道何时程序坏掉?所以拥有断网提醒及自动重拨功能的USFP对于用户非常重要。
l 用户在传输大数据时一旦断线,如果没有断点续传,用户不得不面对从头重传带来的大量流量的浪费和时间的浪费。不管是数据上行还是下行,我们都做了断点续传。无线网路数据的上行没有下行稳定,尤其是上行断点续传,具有非常重要的意义。
无线信号在传输时受信号等因素的影响,偶尔会发生丢包或包紊乱。如果没有优秀的数据校验,商用业务会受到非常大的影响。USFP的数据校验非常优秀,能够准确识别丢包现象并迅速重新请求丢失的包数据。USFP还能有效抵抗紊乱包对系统稳定性的影响,不会因包紊乱而导致程序挂起。
(七) 用户管理
系统的管理级别分为企业管理员和用户。
管理员:企业创建和维护的一级管理帐号,对其企业的业务、用户等进行相关的管理,他可以再创建更低一级的帐号和分配权限;
用户:即使用本企业平台的用户,由管理员创建和维护,可以进行相关办公操作、日志查询等。
(八) 日志管理
用户通过客户端软件访问业务过程中,系统会把用户的访问日志信息记录入库,企业管理员可以查询本公司各用户的日志使用情况,包括导出和清除。
(九) 客户端数字证书管理
无论是企业管理员或是员工,都需要申请联通的CA实名制数字证书,数字证书作为用户唯一身份标示,登录平台使用各项服务,并通过密码保护数字证书的自身安全。并且使用联通CA第三方权威电子认证服务机构作为安全保障,可作为合法有效的法律凭证,受国家《电子签名法》的保护,具有法律效力。适配服务器负责接受客户端软件的数字证书更新申请,发放数字证书,以及客户端数字证书的注销等工作。
1.2 客户端软件功能
客户端软件通过HTTPS的方式向适配服务器提交请求,再通过接入适配模块请求目标服务器,获取页面信息后,应用服务器会根据客户端的具体配置(包括移动终端屏幕大小,手机色彩度,终端应用配置等)进行相应的数据解析、转换和压缩后再传回给客户端,最后由客户端负责页面内容的显示以及提供人机交互。
(一) 页面展现
可支持HTML4.0、WML1.3、XHTML1.0页面语法在手机终端的快速展现,针对使用触摸屏的手机,支持通过触摸笔的方式直接操作和点击屏幕上的相应页面元素和控件。
(二) 用户身份认证
可通过用户帐号、口令、数字证书、手机设备号、手机号等多重绑定的方式保证用户身份安全。
(三) 数据加解密
定制浏览器可嵌入不同的加解密算法,并根据数据的重要性,提供相应的密钥强度。例如,针对用户登陆密码使用非对称密钥RSA算法进行加密。
(四) 数据解压
将数据压缩后在网络传送,不仅能够大大加快应用的访问效率,还能降低网络数据流量,为用户节省使用费用。定制浏览器拥有适用于手机终端的轻量级解压技术,可将服务器发送的经压缩后数据流在本地进行高速的解压。
1.3 移动办公功能示例
以下为几类典型业务的功能举例,供客户参考。最终需要根据客户需求适配不同功能模块,客户端界面也可按照客户要求进行定制开发。
1.3.1 系统登录和权限
登录时连接移动办公系统进行数字证书身份验证,用户也可选择不用证书方式登录。
1.3.2 首页
手机终端通过客户端登录后的首页,提供了移动办公中使用的两大模块:邮件系统、办公系统。
1.3.3 移动邮件
移动邮件有两种方式,可直接通过手机上自带的邮件系统完成手机邮件基本功能,也可使用移动办公客户端中自有的移动邮件功能。在移动邮件系统中,可以支持pop3、domino、exchange等多种邮件协议、支持HTML邮件格式,具备写邮件、收件箱、已发邮件、草稿箱、已删除邮件等基本功能,并支持多种附件查看、上传/下载附件、抄送/密送、优先级设定等附加功能。
手机自带邮件客户端 移动OA邮件客户端
1.3.4 会议管理
会理管理功能通过接入企业原OA系统,功能包括会议提交及已发布会议。让用户可以在手机终端上即时掌握会议信息。
1.3.5 通讯录
手机客户端通讯录与企业OA系统通讯录保持同步,可按部门逐层查找,也可根据姓名检索。通讯录中的联系方式可直接拨打,极大方便了手机用户。
1.3.6 国内新闻
酒钢集团信息化部通过筛选,从各类信息媒体中同步具有社会热点的新闻实时展现在手机终端。
1.3.7 酒钢新闻
实时报道酒钢集团的发展及相关子公司、分支机构的动态。
1.3.8 即时信息
与酒钢集团员工生活、学习、娱乐密切相关的各类信息。
1.3.9 其他功能
如公文管理、日程安排、费用报销等,都可以按照客户要求适配到手机终端进行展现和操作
1.3.10 信息推送
当用户收到新消息时,移动办公平台会主动推送该消息给用户,保证信息流转的畅通。
。
1.4 安全保障
本项目中的安全保障方案设计,将以保障业务安全为目标,通过各个环节的安全机制和安全措施,包括系统安全、网络安全、应用安全、运行安全、终端安全等,描述如下:
1.4.1 系统安全
平台通过系统漏洞扫描、系统加固、系统防病毒、多级访问权限控制、安全审计等保证系统安全可靠。
1.4.2 网络安全
通过边界防火墙、VPN网关、IPS、网络防病毒等安全手段的有效组合,保证网络层的安全。另外还可通过APN专网方式接入,确保只有特定的手机号才能接入手机办公应用,保证了用户接入网络的安全性。
另外可将手机适配服务器放置于DMZ区中,对外只开放手机访问端口,同时服务器到内网应用系统的访问,通过SSL VPN来完成。这样,即使服务器出现问题,也不会影响到内网应用系统。
1.4.3 应用安全
1. 多因素身份认证
无论是平台管理员或是企业员工,都可以申请联通的CA实名制数字证书,数字证书做为用户唯一身份标示,登录平台使用各项服务,并通过证书保护口令确保数字证书的自身安全。并且使用联通CA第三方权威电子认证服务机构作为安全保障,可作为合法有效的法律凭证,受国家《电子签名法》的保护,具有法律效力。
如果用户不采用数字证书机制,可通过手机设备、手机号和用户名口令的多重绑定机制,保证用户身份认证安全。即使有人获得用户名口令,还必须使用特定的唯一一个手机号和唯一一个手机才能登录。
2. 数据安全传输
在平台与移动终端客户端之间,用户可选择基于数字证书的SSL 通道加密或256位AES 数据传输加密,保证了数据传输安全。
3. 硬件加密
终端系统还提供了基于PKI体系的e盾卡(安全SD卡)和安全SIM卡的加密方式,卡内存有用户密钥,并且密钥无法导出,系统传输的每一条数据都要经过硬件卡的加密处理,保证了高强度的数据加密,硬件加密在加密效率和安全级别上都要比软件加密更高一筹。
4. 统一认证、单点登录
不同用户登录平台,使用平台提供的各种业务,用户数字证书作为身份唯一标识,用户只需要一次登录,即可使用授权的各种业务服务,实现统一认证和单点登录。
5. 用户密码安全
移动办公服务器不直接存储用户的密码信息,而是存储用户的密码的摘要信息,每次用户登录时进行摘要匹配,保证用户的密码不会被解密取得。
6. 分级权限管理
新增、删除、编辑用户信息,用户的权限分配。
1.4.4 运行安全
l 独立崩溃模式
对于安全性和稳定性要求都比较高的企业位,采用各个服务器模块独立部署的方案,使得其中一个模块因为故障崩溃时,不会影响其他模块的正常运作。
尤其重要的是,用户不必担心引入移动信息系统会对原有IT系统的稳定性造成影响。
l 冗余部署
对于移动办公繁忙,同时对安全性和稳定性要求较高,可以采用双机热备方式的冗余部署方案,使得系统某一个模块发生故障时,可以由替代模块马上继续接入系统工作,保证系统的持续运行和高可靠性。
l 冗余系统环境
热插拔磁盘阵列系统。网络系统(包括网络服务,例如:DNS)。
硬件厂商提供24小时硬件快速替换服务,例如:主板,CUP等或整机替换。提供至少2块备用硬盘。
操作系统及应用程序的备份(用来快速恢复软件环境)–使用软件环境的镜像(GHOST)备份等手段。
l 断电保护
应尽量采用长延时UPS,建议8小时。
断电时UPS启动后,隔一定时间发现还没有恢复电,将自动关机,以便保护整个操作系统和数据库。
当突然来电所有系统能自动启动进入工作状态.所有工作不需要人为干预。
l 数据备份策略
数据库运行日至归档模式,系统数据和业务数据可联机备份、联机恢复,恢复的数据保持与原业务数据的完整性和一致性
提供主数据库的备用数据库服务器(BACKUP DATABASE)–备用数据库服务器尽量与主数据库服务器硬件性能相当,磁盘的逻辑配置应一致。
系统支持脱机备份,每周六凌晨6:00做一次全库冷备份,此备份在主服上保留一个,同时通过网络往在备服上拷贝一个(自动执行) 。
每两天一次备份控制文件、在线日志组和归档日志,上午下班后一次,半夜1:00一次,同样在主服务器上保留一个拷贝(另一块物理磁盘),在备用服务器上保留一个拷贝(自动执行)。
系统支持每次配置信息修改后的自动备份,并保存最近3次的历史配置信息。
每周三做备用服务器同步。
l 数据恢复策略
在系统失效情况下,利用备份记录可恢复系统,恢复时间小于2小时。
数据库失败的恢复:直接在主服务器上用冷备份加归档日志恢复 。
操作系统级崩溃的恢复:启用备份服务器,在主服务器上用冷备份加归档日志恢复 。
磁盘失败:依靠磁盘阵列恢复。
1.4.5 终端安全
目前针对不同类型的手机终端,采取的安全方案也有所不同,简述如下:
iPhone手机:适合采用多重校验或软证书方式保证安全,但不适合采用APN专网方式接入。
Windows Mobile手机:适合采用多重校验、软证书、硬证书、以及APN专网方式保证安全。
Symbian手机:适合采用多重校验方式和APN专网方式保证安全。
2 方案特点
l 高速稳定、世界漫游
联通移动办公采用国际最通行的WCDMA 3G网络,上下行速度最高可达5.76Mbps/14.4 Mbps,可在全球100多个国家和地区进行漫游。
l 终端丰富、全面支持
联通移动办公业务可使用基于iPhone OS、Windows Mobile、Symbian、Android等各种操作系统的WCDMA智能手机作为移动办公终端。
l 安全认证、合法保障
采用CA数字签名技术,实现移动办公的身份认证、数据加密、抗抵赖等功能,联通数字证书具备法律效力,受国家《电子签名法》的保护。
l 传输加密、安全可靠
采用APN、AAA认证等技术,实现业务数据在WCDMA或Internet网络中的加密传输,并且只有预先设定的手机号才能接入用户内网,进一步提升了移动办公产品的安全性。
l 多场景应用、使用面广
用户通过WCDMA等无线或有线上网方式,使用智能手机实现多种场景下的移动办公。
l 快速部署、无缝衔接
无需对原有系统进行任何改造,只要通过标准化的软硬件部署和对接,用户就可以快速享受到便捷的移动办公服务。
3 其他相关介绍
附1:联通CA中心介绍
中网威信电子安全服务有限公司是由中国联通集团公司独家投资成立的全资国有企业。公司主要从事数字证书的签发、管理和认证工作,并向社会各方提供安全咨询、安全集成和安全管理服务等全面的安全服务。
中网威信数字证书认证中心(简称联通CA中心)成立于2005年,并逐渐形成了以吉林中国联通集团CA中心为核心、以河北CA中心为集团容灾备份中心,在北方10个省(北京、天津、河南、河北、山东、山西、内蒙古、黑龙江、吉林、辽宁)和南方4省(广东、上海、浙江、江苏)建设了实体RA中心,其他省份以虚拟RA方式接入的全国性CA系统。
联通CA中心于2006年4月23日通过了由国家密码管理局组织的安全性审查,并于2006年8月7日获得由国家密码管理局颁发的关于批准中网威信数字证书认证系统通过安全性审查的通知文件(国密局字[2006]341号)。2008年3月获得信息产业部颁发的《电子认证服务许可证》【证书编号ECP 11030208028】, 联通CA中心是中国联通的一项重要安全基础设施,是可以信赖的、专业的信息安全服务机构。
联通CA中心通过对数字认证和安全服务的有效经营,在数字认证领域已成为权威、可信的第三方认证机构,在安全服务领域成为具有社会公信力的一流的综合安全服务提供商。
联通CA中心目前在应用上能够全面支持互联网上的网上证券、网上报税、网上保险、电子商务、电子政务等多种应用,应用模式包括B2B、B2C、B2G等,能够支持行业内的业务和不同行业间的互连互通,技术上符合国际通用标准及国内相关标准。
中国联通CA中心优势:
(1) 完善的运营资质
1) 《电子认证服务许可证》 【证书编号ECP 11030208028】
2) 《电子认证服务密码使用密码许可证》 【证书编号0028】
3) 国家密码管理局安全性审查通过 【国密局字[2006]341号】
4) 涉及国家秘密的计算机信息系统集成(甲级)资质证书
5) 信息安全服务资质(安全工程类一级)证书
6) 商用密码产品销售许可证
7) 高新技术企业批准证书
8) 软件企业认定证书
9) 高新技术企业
(2) 强大运营品牌及规模优势
联通CA中心拥有中国联通的品牌优势和强大的用户基础,是可信任的、长期的战略合作伙伴的最佳选择。
(3) 完善的服务体系
CA证书是提供信息安全服务的,其服务体系是否完备,响应是否快速,服务团队的质量这些因素会直接影响到CA证书服务的业务。联通CA依托联通遍布全国的服务体系,可以为最终客户提供及时、高效的响应服务。
(4) 强大的产品和技术支撑能力
联通CA中心具有完善的自主知识产权,拥有强大的研发团队和售前、售后技术支撑团队,可以为客户提供全方位、一站式的技术支撑服务。
(5) 拥有强大的用户基础,经过了用户实际应用的检验
联通CA中心目前以及服务于河北报税、山东报税、吉林宽带商务、吉林电子政务、江苏宽带商务等众多领域,服务的直接用户超过100万,并通过了用户实际应用的考验。
(6) 成熟、完善、可靠的CA系统
联通CA中心,经过4年的建设和应用,逐渐形成了以吉林中国联通集团CA中心为核心、以河北CA中心为集团容灾备份中心的,以北京、天津、河南、河北、山东、山西、内蒙古、黑龙江、吉林、辽宁、广东、上海、浙江、江苏等地实体RA中心和集团虚拟RA中心为外围等完整的安全基础设施。
附2:名词解析
ü 数字证书:是联通CA为企业移动办公员工签发的包含员工实名身份信息的电子文件。
ü 软证书:为文件证书,可以保存到用户手机终端上,并有口令保护,确保用户身份安全。
ü 硬证书:用户证书和密钥
ü SSL协议: SSL是Secure Socket Layer的缩写,即安全套接层协议。是由网景(Netscape)公司推出的一种安全通信协议,它能够对个人信息提供较强的保护。
ü WCDMA网络:是新一代中国联通的3G网络,数据上下行速率分别是5.76Mbps/14.4 Mbps,在国内三大运营商中,是带宽最高、应用性能最稳定,技术最为成熟的3G网络。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。