1 前言

酒泉鋼鐵（集團）有限責任公司（以下簡稱酒鋼集團）始建于1958年，是國家“一五”期間重點建設項目之一。在形成“采、選、燒”，“鐵、鋼、材”完整配套的鋼鐵工業生產體系基礎上，以鋼鐵業為主，延伸兼營資源開發、煤電聯產、機械制造、建筑安裝、房產開發、建材制品、焊接材料、鐵合金、釀酒、種植養殖等多種產業，是西北地區具有較大影響力的鋼鐵聯合企業之一。自1985年起進入中國500家最大工業企業行列，2000年12月，“酒鋼宏興”股票上市交易，2006年完成了股權分置改革。2001年通過ISO14001環境管理體系認證，2004年被國家旅游總局確定為306個“全國工農業旅游示范點”之一。通過“十五”以來大幅度調整產品結構和快速建設發展，形成了嘉峪關本部、蘭州榆中和山西翼城三大鋼鐵生產基地，集團公司鐵、鋼、材綜合產能達到800萬噸/年（其中不銹鋼60萬噸），技術裝備水平進入國內同行業先進行列。截止2008年年底，集團公司資產總額570億元，員工總數3.78萬人。下屬二級單位50余個，其中控股分、子公司30余家。營銷實體分布在嘉峪關、蘭州、西安、銀川、西寧、烏魯木齊、奎屯、庫爾勒、太原、鄭州、天津、成都、上海、無錫、佛山等地市。為充分利用國外資源，在南非、菲律賓和蒙古國設有辦事機構。

酒鋼集團目前已經建設了OA系統，于2019年正式上線使用，全面支持B/S結構，系統能夠“主動的”把相關的信息傳遞到辦理人員處，體現了“以人為本，信息找人”的基本原則，極大的提高了公司協同辦公功能，提高了工作效率。但由于企業大部分管理者、分子公司、市場銷售人員經常在外辦公，為更好的利用信息化系統，很有必要實現移動辦公應用，無論用戶在機場、火車上、輪船上、行走中，都可以通過手機高速、穩定、安全的訪問內網OA系統，隨時隨地處理公文、收發郵件、查詢信息，使工作變得更加輕松、便捷。

另外，據互聯網數據中心（IDC）2019年12月的一份預測報告顯示，今年全球移動辦公人員的數量將達到10億，2012年預計將增至12億，占全球員工總數1/3以上 。亞太區（不含日本）移動辦公的總人口數最大，在2008年接近5.5億，而到2013年則會超過7.3億，占據該地區總勞動力的37.4%。屆時，亞太移動辦公人員數量將占到全球移動辦公人員數量的62%，并且應用需求越來越明顯。國內隨著3G業務逐漸開始普及，移動辦公應用越來越廣泛，需求也越來越強烈，目前多數集團型企業都有移動辦公的需求，可見移動辦公已成為必然趨勢。

2 需求分析

隨著企業的發展，面臨著員工分布廣泛、分支機構和辦事處眾多的局面，需要一種便捷、靈活和具有跨地域性的辦公方案，使員工無論身在何處，都能實現員工與員工之間，企業與業務伙伴之間的相互交流和溝通。尤其是單位領導及管理工作人員，他們日常工作的移動性極大，大部分時間都在非辦公環境下工作，而領導及管理人員的工作內容關系到單位工作是否能正常運行，因此如何解決非辦公環境下的移動辦公就顯得至關重要。

ü 市場人員業務比較繁忙，經常出差，希望在外地也可以很方便地登錄內部辦公系統，及時呈報問題，調取資料，總結合作；

ü 管理人員外聯事務繁多，隨時需要查看、調用、審批內部的資料文檔，對公司事務進行管理，需要一種在任何場合、任何地點都能訪問內部辦公系統的解決方案；

ü 快節奏的社會，免不了有一些突發和意外情況的發生，需要有一套解決方案，可以不受客觀條件制約，能在事件發生的最短事件內，將事情上報、傳達給內部的相關人員；相關人員和領導層能不受客觀情況限制，快速及時對反映情況作出指示和決定。

ü 面對企業信息系統，要通過公網訪問這些核心信息資源，就面臨著非法訪問、信息竊取等越來越多的來自外部的安全威脅，有必要實施適當的信息安全策略，在嚴格防止企業信息資源被非法竊取的同時，對合法的訪問要提供方便。因此，在開放這些應用系統時，必須要保障關鍵應用在開放網絡環境中的安全，同時還需盡量降低實施和維護成本。

2.1 功能需求

移動辦公系統將是現有OA系統的一個擴展，使各級用戶可以通過公網使用目前OA系統中的大部分核心功能，從而進一步提高辦公效率、提升核心競爭力。

移動OA需求：

ü 用戶身份驗證：移動辦公與現有OA系統的用戶統一。手機辦公通過用戶帳號（或者手機號）建立起和原OA系統用戶的一一映射關系，保證同一用戶從不同渠道登入OA系統時身份的一致性；實現與OA系統的統一登錄，手機辦公系統的密碼保持與OA系統中的密碼一致。

ü 待辦事宜：通過手機查看“待辦事宜”中的各項待辦工作，并可以隨時處理各項待辦事宜。

ü 通訊錄：酒鋼電話實現集團內部通訊錄功能，用戶可以快速查找內部員工的聯系方式，同時通信錄還可以和本地手機通信錄進行同步，直接撥打電話。實現個人通信錄一致，簡化操作、提高效率。

ü 移動郵件：郵件服務是最通用、直接、簡單易用的辦公需求，并且需要將此應用延伸到手機終端上，通過手機終端將更方便、更快速。

ü 提供用戶查看國內新聞、酒鋼新聞和即時信息功能，實時了解公司動態。

ü 管理和配置功能。包括客戶端和服務器端。用戶可在客戶端對各項參數進行設置。系統管理員能在服務器端對用戶和權限進行管理，對日志進行查看、管理和統計。

2.2 技術需求

移動辦公系統需要遵循的技術需求如下：

ü 使用高容錯的系統架構，保證系統的高可靠性和好的故障恢復能力，出現意外時，應能隔離故障區、保護重要數據、通知管理人員做人工干預，避免災難性后果發生。

ü 系統采用開放和標準的系統架構，保證系統的可維護性，確保應用系統的軟件可讀、可修改、可測試性。

ü 由于企業辦公業務數據都保存在平臺上，因此對系統和終端安全性有更高的要求，需要保證用戶身份認證、網絡接入、傳輸保密性等方面的安全。

ü 終端系統將充分考慮應用實用性，真正為工作帶來便利。

2.3 管理需求

根據我們的實施經驗，通常移動辦公系統需要實現的系統管理需求如下：

ü 實現移動辦公業務方便的開通；

ü 實現移動辦公業務使用的操作日志管理；

ü 實現移動辦公系統的使用統計；

ü 實現移動辦公系統的實時監控；

ü 實現移動辦公客戶端程序的自動更新和升級。

2.4 安全需求

通過公網訪問新聞采編等業務系統，面臨著非法訪問、信息竊取等越來越多的來自外部和內部的安全威脅，有必要實施適當的信息安全策略，在嚴格防止企業信息資源被非法竊取的同時，對合法的訪問要提供方便。因此，在構建這些應用系統時，必須要保障關鍵應用在開放網絡環境中的安全，同時還需盡量降低實施和維護成本。

遇到的安全威脅概括如下：

1) 身份被冒充：病毒木馬肆意橫行，目前破解14位的諸如N73k-a7…的口令只需要短短2分鐘即可，可見用戶名口令方式已經極不安全，并且需要管理的口令過多，容易忘記。

2) 敏感信息失竊：由于數據信息在互聯網上以明文傳輸，容易被竊取，并且經常是內部人員所為，如系統管理員可輕易獲取一些機密信息。

3) 信息被篡改：網上傳輸的信息容易被黑客篡改，并進行重傳，會給用戶造成巨大的經濟損失。

4) 行為抵賴：非法用戶闖入內網后，系統很難保存合法有效的證據，造成舉證困難。

必須解決上述的安全問題，才能保護新聞這種極其敏感的信息資源。

3 設計原則

充分考慮酒鋼集團未來技術發展和辦公應用發展的變化要求（如Web 2.0類應用層出不窮），為酒鋼集團搭建有效的互聯網工作平臺，因此對這兩類系統的設計需要遵循不同的系統設計原則：

l 規范性原則

中國聯通的軟件設計嚴格執行國家有關軟件工程和行業標準，保證系統質量。

l 開放性原則

整個系統遵循開放性架構的設計要求，采用標準開放的接口協議與開發平臺，為用戶提供統一的、開放的各種能力調用。并且整個業務的維護與發展不依賴于設備廠商，可以保證在現有系統上對業務進行持續升級和發展。系統建設中充分考慮了“標準和開放”的原則，要支持各種相應的軟硬件接口，使之具有靈活性和延展性。

l 互不影響性原則

任何一個政府與企業的IT系統建設都是一個長期及寵大的過程，系統建設之后的維護與保障也是對整個單位有著重要的影響，因此一套優秀的、正確的系統應當是與原系統互不影響，能夠在獨立運行的情況下也能夠保證與原系統進行業務交互。移動辦公產品通過優秀的架構設計，可以通過多種數據交互方式與原系統的接駁，讓原系統在盡量不改造的情況下實現移動辦公業務。

l 安全性原則

移動辦公是一個無線業務，與傳統互聯網業務的安全機制略有不同。中國聯通有完全的安全體系，包括了終端數據安全、無線網絡傳輸數據加密、服務器數據安全等，內含幾十種安全技術，如SSL、炸彈消息等，能夠全方位的保證系統的安全。

l 成熟性原則

移動辦公系統是一套成熟穩定的系統，擁有眾多移動辦公成功案例的證明，并且通過多數級運營實例的證明，能夠保證在系統的運行期間內可以穩定的運行，保障系統的正常運行。

l 易用性原則

移動辦公需要通過手機終端來操作才能體現出優越性，對于大部的客戶來說，手機終端的操作并非一開始就能夠適應。移動辦公產品通過專業的團隊研究設計人機交互界面UI，我們努力做到讓用戶可以在最短的時間內完成各種操作，讓新上手的用戶（特別是一些領導）在最短的時間內掌握系統的使用方法，讓用戶在使用中的疑問與投訴降低最低。

4 方案描述

基于聯通WCDMA 3G高速網絡和PKI/CA數字認證技術，為客戶提供辦公系統的移動化應用。只要在WCDMA 3G網絡覆蓋的地方，用戶都可以通過手機高速、穩定、安全的訪問OA、郵件等辦公系統，隨時隨地處理公文、收發郵件、查詢信息。

4.1 概述

采用手機適配技術實現移動化應用，這種技術通過接口開發、頁面抓取分析、格式轉換等技術，將客戶的業務系統適配到手機上，重新排版，使系統界面在用戶手機上完美展現。

基本功能：

l 辦公系統移動化：將現有業務系統操作流程移植到手機上，使手機替代電腦成為移動辦公終端。

l 增強型功能：根據用戶的個性化需求，可提供附件查看編輯、統一信息推送、智能更新等功能。

體驗效果：

方案部署：

1) 手機適配服務器部署在企業側網絡中，通過應用集成接口與企業辦公系統整合，實現辦公系統應用向移動終端的延伸。手機適配服務器完成應用接入適配、手機接入適配、用戶管理、日志管理、客戶端軟件更新管理和客戶端數字證書管理等工作。

2) 在用戶手機終端上安裝手機客戶端軟件，實現用戶身份認證、辦公頁面展現、流程處理、數據壓縮、數據加密、附件查看編輯等功能。

3) 在企業側部署SSL VPN網關，并為手機用戶簽發軟證書，或e盾卡硬件證書，確保終端用戶身份認證安全，并實現SSL通道加密功能。

網絡接入

該方案有兩種網絡接入方式，第一種是基于公網結合SSL通道加密和數字證書的網絡方案，另一種是基于APN專網接入技術的網絡方案，手機終端都是通過WCDMA網絡接入客戶內網，實現移動辦公應用。

方案特點：

客戶體驗好：定制客戶端界面，顯示效果好，易操作。

適用終端廣：支持目前各大品牌的智能手機，也支持具有JAVA擴展功能的非智能手機。

按需定制：可為您量身定制，滿足您的個性化需求。

安全性高：采用PKI/CA、SSL VPN、聯通CA證書等安全技術手段，確保移動辦公使用過程的安全可靠，并采用聯通CA中心的數字簽名作為有效的法律憑證，受《電子簽名法》的保護。

支持的手機終端:

移動辦公支持目前各大品牌的智能手機，也支持具有JAVA擴展功能的非智能手機。以下為各手機品牌的代表型號：

1.1 手機適配服務器功能

(一) 應用接入適配

應用接入適配模塊實現將復雜的Web頁面或應用頁面，進行智能的抓取、過濾、重排、優化和內容調整，以便用戶可以在移動終端上進行快速的瀏覽，并得到最佳的瀏覽效果。

應用適配的功能是以HTML語法分析為基礎的，其實現主要原理包括以下步驟：

1) 通過頁面分析得到HTML頁面中所有的數據元素，然后使用屏幕渲染技術就能模擬出原頁面顯示的效果來。

2) 通過對數據元素的比較和分析，可以得到數據元素與頁面顯示板塊之間的對應關系。

3) 通過對多個頁面的數據元素進行橫向比較和分析，可以進一步分析出這個頁面的“模板”和“數據”。模板是指在構造此頁面時相對不變化的部分，而數據則是頁面中的變化部分。例如，在一個天氣預報的網頁中，其框架結構是模板，而陰晴雨雪等信息則是數據。

4) 通過輔助工具，可以為每個頁面書寫一個對應的剪裁腳本，將頁面中不需要的數據元素自動剪裁掉，僅剩下關鍵的數據元素。

5) 然后再通過一套HTML模板引擎，將得到的頁面數據元素按照需要重新排版和輸出。從而得到內容簡練、適合手機顯示和操作的頁面來。

在整個適配過程中，主要的技術思路是：通過人工智能和互動輔助技術，讓開發人員可以快速的分辨出關鍵信息的特征。并提供一種HTML數據元素的自動識別和分揀機制，使這個分揀過程能自動完成。

(二) 手機接入適配

1) 解析頁面：因手機終端硬件的限制，傳統的HTML頁面難以在手機終端本地進行HTML語法分析、語法容錯處理、頁面元素提取、CSS語法解析等操作。手機接入適配模塊幫助手機客戶端軟件，將一些對CPU、內存資源要求較高的操作和運算，在服務器端進行預分析操作，然后將處理好的頁面內容發送到手機客戶端軟件端進行本地的解析和展現。

2) 數據壓縮：數據在手機接入適配模塊發送給手機客戶端軟件前，會先進行數據流的壓縮操作，客戶端軟件在手機終端接收到數據流后，也會進行對應的數據解壓動作。

3) 數據加解密：手機接入適配模塊的數據加解密操作主要和手機客戶端軟件的數據加解密操作對應。支持高強度的加密算法（例如DES、RSA），以便進行安全的數據連接和傳送。

(三) 統一推送

手機的便攜性使得公司領導和員工可以隨身攜帶著，可以隨時通過移動OA來訪問內部的OA系統，但如果當OA系統有新公文、新信息、新通知等傳達時，不能讓領導及時的得知，就不能體現手機移動OA的優越性，領導無法及時處理各類緊急事件，即使是通過手機來辦公卻不能大大改善現狀。

UAPS－Uni All Push Service統一推送服務，最優越的推送技術。當OA系統有新公文、新通知、新郵件、新消息時，移動OA系統會第一時間內獲取響應，并將新公文、新通知、新郵件、新消息推送到手機終端上。

對于新的信息產生時，UAPS還會自動選擇最快速、最節省用戶費用的方式來推送信息：

l IP Push：當網絡連接時，通過Socket雙向流由服務器推送消息

l EMN Push：當用戶的手機端程序關閉時，則執行EMN Push，EMN到達手機端后會激活原本關閉的程序，通知其獲取新任務，實現Push。（EMN是OMA組織定義的一種特殊的二進制短消息，可以由服務器主動激活客戶端程序以實現Push。）

基于UAPS，還可以實現其它消息的推送，如配置消息、軟件更新通知等。

(四) 客戶端智能更新

用戶在使用客戶端的過程中，系統自動監測原客戶端軟件的版本，若需要升級，則會通過客戶端上“升級通知”告知用戶，若用戶選擇升級，手機適配服務器會推送這個新版本的客戶端軟件，下載完成后會自動安裝和覆蓋原應用程序，原應用程序中已有的相關數據可以繼續使用。

(五) 文檔解析

由于目前手機的性能還遠不及PC機的處理能力，在手機終端使用任何軟件都存在一定的局限，例如在手機上查看Word、Excel、PPT、Tiff、PDF等文件還是很理想，并且并不是所有的手機都可以查看這些常用辦公文檔，因此，為了解決用戶可以在任何手機上都可以查看、及時瀏覽這些文檔，就要對系統進行適當的優化，以解決各種文件的查看問題。

從移動辦公系統第一代開始，中國聯通就深刻地了解通過手機上來查看各類文件（文檔、圖片、壓縮文件、政府/企業專用文件等）是移動OA的關鍵技術環節，因此獨立研發了UDPS－Uni Document Parse Service，文檔解析服務。經過不斷，目前已經可以解析多達30多種文檔文件格式，而且還在增加格式數量。

各種表單、各種公文、各種數據，只要用戶需要，中國聯通都可為用戶進行解析。

以下截圖為常用辦公文檔：

(六) 網絡優化

由于無線網絡速度有限，不如PC機的互聯網速度，并且無線網絡存在一定的盲區，可能會造成信號不穩定等問題，所以在通過手機連接互聯網時，為了最大發揮無線網絡的速度及改善聯網特性，必須進行網絡優化。

中國聯通經過多年研究與改進，開發了一套專用于改善無線網絡的問題的協議－USFP，讓手機在使用移動OA系統時可以更快、更穩、更小流量。

USFP全稱Uni Simple File Protocol，是一套網絡快速傳輸、壓縮、解析、加密、校穩的協議。它在一定程度上解決了無線網絡速度慢、穩定性差、費用高三大難題，對于手機應用的推廣和普及有重大意義，是降低用戶使用門檻的利器。其先進性在國內處于領先地位。

l USFP技術使得系統的聯網操作速度大大加快。

l USFP技術使用戶的流量費用大大減少，數據壓縮率最高可以達到6% 。

l USFP技術使系統網絡狀態更加穩定，不丟包、可斷線重撥、斷點續傳。

l USFP支持多網絡線程并發，最多三條Socket通道同時進行網絡通訊。相同類型任務的多個任務按隊列處理，可支持100個排隊任務。

這里舉幾個例子：

l 我們經常進出電梯等無信號的場所，如果在進去之前正在傳輸數據，結果進去后沒信號了。這時很有可能造成程序異常，網絡通訊中斷，導致用戶不得不重啟程序。可是用戶走來走去，怎么知道何時程序壞掉？所以擁有斷網提醒及自動重撥功能的USFP對于用戶非常重要。

l 用戶在傳輸大數據時一旦斷線，如果沒有斷點續傳，用戶不得不面對從頭重傳帶來的大量流量的浪費和時間的浪費。不管是數據上行還是下行，我們都做了斷點續傳。無線網路數據的上行沒有下行穩定，尤其是上行斷點續傳，具有非常重要的意義。

無線信號在傳輸時受信號等因素的影響，偶爾會發生丟包或包紊亂。如果沒有優秀的數據校驗，商用業務會受到非常大的影響。USFP的數據校驗非常優秀，能夠準確識別丟包現象并迅速重新請求丟失的包數據。USFP還能有效抵抗紊亂包對系統穩定性的影響，不會因包紊亂而導致程序掛起。

(七) 用戶管理

系統的管理級別分為企業管理員和用戶。

管理員：企業創建和維護的一級管理帳號，對其企業的業務、用戶等進行相關的管理，他可以再創建更低一級的帳號和分配權限；

用戶：即使用本企業平臺的用戶，由管理員創建和維護，可以進行相關辦公操作、日志查詢等。

(八) 日志管理

用戶通過客戶端軟件訪問業務過程中，系統會把用戶的訪問日志信息記錄入庫，企業管理員可以查詢本公司各用戶的日志使用情況，包括導出和清除。

(九) 客戶端數字證書管理

無論是企業管理員或是員工，都需要申請聯通的CA實名制數字證書，數字證書作為用戶唯一身份標示，登錄平臺使用各項服務，并通過密碼保護數字證書的自身安全。并且使用聯通CA第三方權威電子認證服務機構作為安全保障，可作為合法有效的法律憑證，受國家《電子簽名法》的保護，具有法律效力。適配服務器負責接受客戶端軟件的數字證書更新申請，發放數字證書，以及客戶端數字證書的注銷等工作。

1.2 客戶端軟件功能

客戶端軟件通過HTTPS的方式向適配服務器提交請求，再通過接入適配模塊請求目標服務器，獲取頁面信息后，應用服務器會根據客戶端的具體配置（包括移動終端屏幕大小，手機色彩度，終端應用配置等）進行相應的數據解析、轉換和壓縮后再傳回給客戶端，最后由客戶端負責頁面內容的顯示以及提供人機交互。

(一) 頁面展現

可支持HTML4.0、WML1.3、XHTML1.0頁面語法在手機終端的快速展現，針對使用觸摸屏的手機，支持通過觸摸筆的方式直接操作和點擊屏幕上的相應頁面元素和控件。

(二) 用戶身份認證

可通過用戶帳號、口令、數字證書、手機設備號、手機號等多重綁定的方式保證用戶身份安全。

(三) 數據加解密

定制瀏覽器可嵌入不同的加解密算法，并根據數據的重要性，提供相應的密鑰強度。例如，針對用戶登陸密碼使用非對稱密鑰RSA算法進行加密。

(四) 數據解壓

將數據壓縮后在網絡傳送，不僅能夠大大加快應用的訪問效率，還能降低網絡數據流量，為用戶節省使用費用。定制瀏覽器擁有適用于手機終端的輕量級解壓技術，可將服務器發送的經壓縮后數據流在本地進行高速的解壓。

1.3 移動辦公功能示例

以下為幾類典型業務的功能舉例，供客戶參考。最終需要根據客戶需求適配不同功能模塊，客戶端界面也可按照客戶要求進行定制開發。

1.3.1 系統登錄和權限

登錄時連接移動辦公系統進行數字證書身份驗證，用戶也可選擇不用證書方式登錄。

1.3.2 首頁

手機終端通過客戶端登錄后的首頁，提供了移動辦公中使用的兩大模塊：郵件系統、辦公系統。

1.3.3 移動郵件

移動郵件有兩種方式，可直接通過手機上自帶的郵件系統完成手機郵件基本功能，也可使用移動辦公客戶端中自有的移動郵件功能。在移動郵件系統中，可以支持pop3、domino、exchange等多種郵件協議、支持HTML郵件格式，具備寫郵件、收件箱、已發郵件、草稿箱、已刪除郵件等基本功能，并支持多種附件查看、上傳/下載附件、抄送/密送、優先級設定等附加功能。

手機自帶郵件客戶端 移動OA郵件客戶端

1.3.4 會議管理

會理管理功能通過接入企業原OA系統，功能包括會議提交及已發布會議。讓用戶可以在手機終端上即時掌握會議信息。

1.3.5 通訊錄

手機客戶端通訊錄與企業OA系統通訊錄保持同步，可按部門逐層查找，也可根據姓名檢索。通訊錄中的聯系方式可直接撥打，極大方便了手機用戶。

1.3.6 國內新聞

酒鋼集團信息化部通過篩選，從各類信息媒體中同步具有社會熱點的新聞實時展現在手機終端。

1.3.7 酒鋼新聞

實時報道酒鋼集團的發展及相關子公司、分支機構的動態。

1.3.8 即時信息

與酒鋼集團員工生活、學習、娛樂密切相關的各類信息。

1.3.9 其他功能

如公文管理、日程安排、費用報銷等，都可以按照客戶要求適配到手機終端進行展現和操作

1.3.10 信息推送

當用戶收到新消息時，移動辦公平臺會主動推送該消息給用戶，保證信息流轉的暢通。

。

1.4 安全保障

本項目中的安全保障方案設計，將以保障業務安全為目標，通過各個環節的安全機制和安全措施，包括系統安全、網絡安全、應用安全、運行安全、終端安全等，描述如下：

1.4.1 系統安全

平臺通過系統漏洞掃描、系統加固、系統防病毒、多級訪問權限控制、安全審計等保證系統安全可靠。

1.4.2 網絡安全

通過邊界防火墻、VPN網關、IPS、網絡防病毒等安全手段的有效組合，保證網絡層的安全。另外還可通過APN專網方式接入，確保只有特定的手機號才能接入手機辦公應用，保證了用戶接入網絡的安全性。

另外可將手機適配服務器放置于DMZ區中，對外只開放手機訪問端口，同時服務器到內網應用系統的訪問，通過SSL VPN來完成。這樣，即使服務器出現問題，也不會影響到內網應用系統。

1.4.3 應用安全

1. 多因素身份認證

無論是平臺管理員或是企業員工，都可以申請聯通的CA實名制數字證書，數字證書做為用戶唯一身份標示，登錄平臺使用各項服務，并通過證書保護口令確保數字證書的自身安全。并且使用聯通CA第三方權威電子認證服務機構作為安全保障，可作為合法有效的法律憑證，受國家《電子簽名法》的保護，具有法律效力。

如果用戶不采用數字證書機制，可通過手機設備、手機號和用戶名口令的多重綁定機制，保證用戶身份認證安全。即使有人獲得用戶名口令，還必須使用特定的唯一一個手機號和唯一一個手機才能登錄。

2. 數據安全傳輸

在平臺與移動終端客戶端之間，用戶可選擇基于數字證書的SSL 通道加密或256位AES 數據傳輸加密，保證了數據傳輸安全。

3. 硬件加密

終端系統還提供了基于PKI體系的e盾卡（安全SD卡）和安全SIM卡的加密方式，卡內存有用戶密鑰，并且密鑰無法導出，系統傳輸的每一條數據都要經過硬件卡的加密處理，保證了高強度的數據加密，硬件加密在加密效率和安全級別上都要比軟件加密更高一籌。

4. 統一認證、單點登錄

不同用戶登錄平臺，使用平臺提供的各種業務，用戶數字證書作為身份唯一標識，用戶只需要一次登錄，即可使用授權的各種業務服務，實現統一認證和單點登錄。

5. 用戶密碼安全

移動辦公服務器不直接存儲用戶的密碼信息，而是存儲用戶的密碼的摘要信息，每次用戶登錄時進行摘要匹配，保證用戶的密碼不會被解密取得。

6. 分級權限管理

新增、刪除、編輯用戶信息，用戶的權限分配。

1.4.4 運行安全

l 獨立崩潰模式

對于安全性和穩定性要求都比較高的企業位，采用各個服務器模塊獨立部署的方案，使得其中一個模塊因為故障崩潰時，不會影響其他模塊的正常運作。

尤其重要的是，用戶不必擔心引入移動信息系統會對原有IT系統的穩定性造成影響。

l 冗余部署

對于移動辦公繁忙，同時對安全性和穩定性要求較高，可以采用雙機熱備方式的冗余部署方案，使得系統某一個模塊發生故障時，可以由替代模塊馬上繼續接入系統工作，保證系統的持續運行和高可靠性。

l 冗余系統環境

熱插拔磁盤陣列系統。網絡系統（包括網絡服務，例如：DNS）。

硬件廠商提供24小時硬件快速替換服務，例如：主板，CUP等或整機替換。提供至少2塊備用硬盤。

操作系統及應用程序的備份（用來快速恢復軟件環境）–使用軟件環境的鏡像（GHOST）備份等手段。

l 斷電保護

應盡量采用長延時UPS，建議8小時。

斷電時UPS啟動后，隔一定時間發現還沒有恢復電，將自動關機，以便保護整個操作系統和數據庫。

當突然來電所有系統能自動啟動進入工作狀態.所有工作不需要人為干預。

l 數據備份策略

數據庫運行日至歸檔模式，系統數據和業務數據可聯機備份、聯機恢復，恢復的數據保持與原業務數據的完整性和一致性

提供主數據庫的備用數據庫服務器（BACKUP DATABASE）–備用數據庫服務器盡量與主數據庫服務器硬件性能相當，磁盤的邏輯配置應一致。

系統支持脫機備份，每周六凌晨6:00做一次全庫冷備份，此備份在主服上保留一個，同時通過網絡往在備服上拷貝一個(自動執行) 。

每兩天一次備份控制文件、在線日志組和歸檔日志，上午下班后一次，半夜1：00一次，同樣在主服務器上保留一個拷貝(另一塊物理磁盤)，在備用服務器上保留一個拷貝（自動執行）。

系統支持每次配置信息修改后的自動備份，并保存最近3次的歷史配置信息。

每周三做備用服務器同步。

l 數據恢復策略

在系統失效情況下，利用備份記錄可恢復系統，恢復時間小于2小時。

數據庫失敗的恢復：直接在主服務器上用冷備份加歸檔日志恢復 。

操作系統級崩潰的恢復：啟用備份服務器，在主服務器上用冷備份加歸檔日志恢復 。

磁盤失敗：依靠磁盤陣列恢復。

1.4.5 終端安全

目前針對不同類型的手機終端，采取的安全方案也有所不同，簡述如下：

iPhone手機：適合采用多重校驗或軟證書方式保證安全，但不適合采用APN專網方式接入。

Windows Mobile手機：適合采用多重校驗、軟證書、硬證書、以及APN專網方式保證安全。

Symbian手機：適合采用多重校驗方式和APN專網方式保證安全。

2 方案特點

l 高速穩定、世界漫游

聯通移動辦公采用國際最通行的WCDMA 3G網絡，上下行速度最高可達5.76Mbps／14.4 Mbps，可在全球100多個國家和地區進行漫游。

l 終端豐富、全面支持

聯通移動辦公業務可使用基于iPhone OS、Windows Mobile、Symbian、Android等各種操作系統的WCDMA智能手機作為移動辦公終端。

l 安全認證、合法保障

采用CA數字簽名技術，實現移動辦公的身份認證、數據加密、抗抵賴等功能，聯通數字證書具備法律效力，受國家《電子簽名法》的保護。

l 傳輸加密、安全可靠

采用APN、AAA認證等技術，實現業務數據在WCDMA或Internet網絡中的加密傳輸，并且只有預先設定的手機號才能接入用戶內網，進一步提升了移動辦公產品的安全性。

l 多場景應用、使用面廣

用戶通過WCDMA等無線或有線上網方式，使用智能手機實現多種場景下的移動辦公。

l 快速部署、無縫銜接

無需對原有系統進行任何改造，只要通過標準化的軟硬件部署和對接，用戶就可以快速享受到便捷的移動辦公服務。

3 其他相關介紹

附1：聯通CA中心介紹

中網威信電子安全服務有限公司是由中國聯通集團公司獨家投資成立的全資國有企業。公司主要從事數字證書的簽發、管理和認證工作，并向社會各方提供安全咨詢、安全集成和安全管理服務等全面的安全服務。

中網威信數字證書認證中心（簡稱聯通CA中心）成立于2005年，并逐漸形成了以吉林中國聯通集團CA中心為核心、以河北CA中心為集團容災備份中心，在北方10個?。ū本⑻旖?、河南、河北、山東、山西、內蒙古、黑龍江、吉林、遼寧）和南方4省（廣東、上海、浙江、江蘇）建設了實體RA中心，其他省份以虛擬RA方式接入的全國性CA系統。

聯通CA中心于2006年4月23日通過了由國家密碼管理局組織的安全性審查，并于2006年8月7日獲得由國家密碼管理局頒發的關于批準中網威信數字證書認證系統通過安全性審查的通知文件（國密局字[2006]341號）。2008年3月獲得信息產業部頒發的《電子認證服務許可證》【證書編號ECP 11030208028】， 聯通CA中心是中國聯通的一項重要安全基礎設施，是可以信賴的、專業的信息安全服務機構。

聯通CA中心通過對數字認證和安全服務的有效經營，在數字認證領域已成為權威、可信的第三方認證機構，在安全服務領域成為具有社會公信力的一流的綜合安全服務提供商。

聯通CA中心目前在應用上能夠全面支持互聯網上的網上證券、網上報稅、網上保險、電子商務、電子政務等多種應用，應用模式包括B2B、B2C、B2G等，能夠支持行業內的業務和不同行業間的互連互通，技術上符合國際通用標準及國內相關標準。

中國聯通CA中心優勢：

(1) 完善的運營資質

1) 《電子認證服務許可證》 【證書編號ECP 11030208028】

2) 《電子認證服務密碼使用密碼許可證》 【證書編號0028】

3) 國家密碼管理局安全性審查通過 【國密局字[2006]341號】

4) 涉及國家秘密的計算機信息系統集成（甲級）資質證書

5) 信息安全服務資質（安全工程類一級）證書

6) 商用密碼產品銷售許可證

7) 高新技術企業批準證書

8) 軟件企業認定證書

9) 高新技術企業

(2) 強大運營品牌及規模優勢

聯通CA中心擁有中國聯通的品牌優勢和強大的用戶基礎，是可信任的、長期的戰略合作伙伴的最佳選擇。

(3) 完善的服務體系

CA證書是提供信息安全服務的，其服務體系是否完備，響應是否快速，服務團隊的質量這些因素會直接影響到CA證書服務的業務。聯通CA依托聯通遍布全國的服務體系，可以為最終客戶提供及時、高效的響應服務。

(4) 強大的產品和技術支撐能力

聯通CA中心具有完善的自主知識產權，擁有強大的研發團隊和售前、售后技術支撐團隊，可以為客戶提供全方位、一站式的技術支撐服務。

(5) 擁有強大的用戶基礎，經過了用戶實際應用的檢驗

聯通CA中心目前以及服務于河北報稅、山東報稅、吉林寬帶商務、吉林電子政務、江蘇寬帶商務等眾多領域，服務的直接用戶超過100萬，并通過了用戶實際應用的考驗。

(6) 成熟、完善、可靠的CA系統

聯通CA中心，經過4年的建設和應用，逐漸形成了以吉林中國聯通集團CA中心為核心、以河北CA中心為集團容災備份中心的，以北京、天津、河南、河北、山東、山西、內蒙古、黑龍江、吉林、遼寧、廣東、上海、浙江、江蘇等地實體RA中心和集團虛擬RA中心為外圍等完整的安全基礎設施。

附2：名詞解析

ü 數字證書：是聯通CA為企業移動辦公員工簽發的包含員工實名身份信息的電子文件。

ü 軟證書：為文件證書，可以保存到用戶手機終端上，并有口令保護，確保用戶身份安全。

ü 硬證書：用戶證書和密鑰

ü SSL協議： SSL是Secure Socket Layer的縮寫，即安全套接層協議。是由網景（Netscape）公司推出的一種安全通信協議，它能夠對個人信息提供較強的保護。

ü WCDMA網絡：是新一代中國聯通的3G網絡，數據上下行速率分別是5.76Mbps／14.4 Mbps，在國內三大運營商中，是帶寬最高、應用性能最穩定，技術最為成熟的3G網絡。