胡飛飛+徐鍵+洪丹軻+黃昱

【摘要】 近年來由于IT和移動通訊技術的進一步融合，移動互聯(lián)網(wǎng)產業(yè)得到了迅猛發(fā)展，正逐漸滲透到人們生活、工作的各個領域。隨著移動通信網(wǎng)絡的優(yōu)化完善，智能手機及平板電腦市場的空前繁榮，基于IOS和Android等主流操作系統(tǒng)的智能終端設備具有普及程度高，計算能力強，存儲容量大的特點，利用智能終端設備訪問企業(yè)IT系統(tǒng)進行移動辦公成為市場潮流。未來，越來越多的企業(yè)員工將擺脫辦公室的約束，通過智能手機等移動終端設備來處理日常事務。

【關鍵詞】 移動互聯(lián)網(wǎng) 智能終端

一、移動設備管理平臺簡介

1.1解決方案概述

本文提出的移動管理平臺是管理企業(yè)移動智能終端的跨平臺解決方案，提供了iOS、Android平臺下的移動設備管理（MDM）、移動應用管理（MAM）和移動內容管理（MCM）功能，解決企業(yè)移動智能終端的安全問題、應用管理問題、統(tǒng)一配置問題、文檔共享問題。整個平臺分為四大組成部分⑴MDM客戶端：提供移動設備管理和移動應用管理功能；⑵MCM客戶端：提供移動內容管理功能；⑶自服務平臺：供移動終端用戶管理自己的設備；⑷管理平臺：供系統(tǒng)管理員使用。

1.2整體架構

1.2.1應用架構圖

設備客戶端通過TCP長連接服務端，獲取數(shù)據(jù)、信息，發(fā)送客戶端狀態(tài)。服務器端由MDM連接服務接受客戶端的TCP請求，通過指令引擎解析指令，發(fā)送到MDM管理模塊。具體結構圖如下圖1。平臺入口為負載均衡服務器，具有很好的可擴展性、可伸縮性。當服務器配置無法滿足日益增長的需求時，可通過擴展MDM連接服務、MDM管理服務等節(jié)點，可以實現(xiàn)無縫擴展服務器配置，來迅速增加服務器的處理能力，且不需要修改代碼。

1.2.2硬件架構圖

整套硬件按用戶設備10萬臺為基準：

由2臺高配置的IBM System x3850 X6 4U機架式服務器和共享存儲組成：

硬件系統(tǒng)包括服務器、共享存儲、安全設備、網(wǎng)絡設備，并應具備基于vmware實時遷移技術，防止單點故障。

實時處理要求高，需要7X24小時不間斷服務支持和計算密集型應用可使用本方案。參考圖如下：

二、移動設備管理平臺功能

2.1設備管理

本文提出的移動管理平臺提供完整的移動設備生命周期管理。具體分為用戶及設備管理，配置管理，安全管理，資產管理等。

2.2用戶管理

2.2.1用戶及設備批量注冊

管理平臺提供批量用戶及設備導入功能，包括如下兩種方式：

⑴從模板文件導入。系統(tǒng)提供標準模板文件下載，管理員按照模板填寫用戶、用戶組及設備信息，一次性完成大量用戶和設備的注冊。

⑵從LDAP/AD導入。管理員可將企業(yè)LDAP/AD服務器中的用戶導入管理平臺某個用戶組中，然后按照用戶組、用戶名關鍵字進行選擇性導入。

2.2.2用戶及設備詳情查詢

通過管理平臺能對所有用戶及設備進行查詢。

用戶詳情展現(xiàn)用戶基本信息、帳號信息、權限信息、配置/策略信息、注冊/激活/淘汰設備的記錄，設備信息等。可支持Dashboard儀表盤顯示。

設備詳情展現(xiàn)已激活設備的詳細信息，包括設備基本信息、硬件信息、運營商信息、流量信息、應用程序信息、配置/策略信息、用戶信息等?？闪私庠O備型號、OS及版本、是否受控在線、上次在線時間、是否越獄、SIM卡變更信息、設備漫游信息、下發(fā)的配置文件和策略列表及其狀態(tài)等。可支持Dashboard儀表盤顯示。

2.2.3用戶禁用及刪除

如員工離職，管理員可將用戶從管理平臺中禁用并刪除。支持單個刪除和基于組織結構、搜索結果的批量禁用刪除。用戶刪除后，淘汰的設備能形成資產變更歷史。

2.2.4通訊錄同步

用戶可通過客戶端或自服務平臺設置通訊錄自動同步功能，并能夠顯示上次同步時間。通訊錄發(fā)生變化時，同一用戶的多個設備能保持通訊錄聯(lián)系人一致。

2.3配置管理

在企業(yè)內部存在不同的組織，需要對他們進行差異化配置管理。通過預定義好的配置文件，在設備激活后自動向設備下發(fā)配置信息，并可通過修改配置文件在線對已激活的設備進行配置信息修改。

2.3.1WIFI熱點批量配置

WLAN作為移動網(wǎng)絡的有效補充，企業(yè)內部通常部署了多個WiFi熱點，手工配置繁瑣。通過將WiFi熱點的參數(shù)加到配置文件中，管理平臺統(tǒng)一下發(fā)到移動終端，達到迅速開通WLAN的目的。支持個人級Wi-Fi設置，采用WEP或WPA安全鑒定方式。

2.3.2電子郵件自動設置

移動管理平臺可以幫助企業(yè)用戶自動設置電子郵件，每個配置文件中可以包含多個電子郵件配置信息，配置內容包括SMTP、POP、IMAP郵件帳戶信息等。對于采用Microsoft Exchange服務器的企業(yè)，每個配置文件中可包含多個Microsoft Exchange服務器配置信息。

2.3.3VPN網(wǎng)絡配置

企業(yè)用戶可以配置多個VPN網(wǎng)絡，每個配置文件中可以包含多個VPN配置信息。支持L2TP、PPTP、自定義SSLVPN多種方式。

2.3.4APN網(wǎng)絡配置

可配置運營商移動網(wǎng)絡APN接入信息，包括接入點名稱、接入點用戶名/密碼、代理服務器地址及其端口等。

三、安全管理

3.1管理設備

如果需要找回含有企業(yè)數(shù)據(jù)的丟失設備，可采用自服務平臺提供的設備定位功能。定位結果通過地圖進行展現(xiàn)并形成文字形式地理位置摘要，地圖支持多個設備的同時展現(xiàn)。

設備丟失或暫時找不到時，為防止企業(yè)數(shù)據(jù)被他人獲取，通過自服務平臺向設備發(fā)送消息鎖定設備，從而保護企業(yè)數(shù)據(jù)的安全。

用戶可在自服務平臺進行設備刪除，淘汰設備必須提供設備擦除選項（全部擦除、選擇性擦除）并填寫備注信息，淘汰后的設備脫離與企業(yè)MDM平臺的關系。

3.2數(shù)據(jù)擦除

設備確認丟失后，可通過自服務平臺進行設備所有信息清除，使設備恢復出廠設置并格式化存儲卡，防止企業(yè)數(shù)據(jù)泄漏。

當員工離職需要帶走含有私人信息的設備時，可通過自服務平臺發(fā)送指令，在設備上僅擦除與企業(yè)相關數(shù)據(jù)。企業(yè)數(shù)據(jù)包括：MDM配置及策略文件信息；企業(yè)郵件；已安裝企業(yè)內部應用及其運行數(shù)據(jù)。

為防止不法分子試探密碼，可設置最多允許失敗次數(shù)：確定嘗試輸入密碼失敗超過指定次數(shù)之后設備會被擦除。

3.3密碼強制設定

移動設備的密碼設定是安全保護最簡單有效的方式。管理平臺可設置一種策略，移動設備會被要求在規(guī)定時間內設置密碼，如果超時沒有設置密碼，設備將會被鎖定，只有設置密碼后，才能繼續(xù)使用。

當用戶忘記設備鎖定密碼時，可通過自服務平臺進行密碼重置。

3.4數(shù)據(jù)加密策略

設置設備數(shù)據(jù)加密功能的開啟狀態(tài)及加密內容。（1）內置存儲器加密（2）SD卡加密

3.5限制相機，截屏等功能

對于禁止拍照攝像的工作場所，或是為防止人員對設備上的企業(yè)辦公系統(tǒng)進行屏幕捕捉而泄密，可應用相應策略關閉終端相機，截屏等功能。

3.8數(shù)據(jù)備份及恢復

管理平臺硬件故障導致數(shù)據(jù)丟失，可通過將備份文件導入新設備后快速恢復服務。支持手動和定期自動備份方式。

3.9應用安全管理

惡意軟件是公共移動應用商店存在的一個大問題，企業(yè)移動應用商店同樣可能受到這些惡意軟件的攻擊，例如來自心懷不滿的員工的內部攻擊，或者來自內部企業(yè)應用程序捆綁的第三方軟件和服務包。

為防止企業(yè)移動移動應用商店含有惡意軟件，提供對上架前的應用軟件進行安全掃描服務功能。有安全隱患的應用由管理員決定是否上架。

四、設備管理

資產管理人員需要對企業(yè)下發(fā)的移動設備進行統(tǒng)一管理，可通過資產列表了解設備相關信息，對某個設備維護備注信息，能夠導出設備資產報表。

設備管理提供如下功能：設備列表：顯示設備基本信息，設備組別，設備在線狀態(tài)，綁定SIM卡UIM號，所連接集群服務器地址。設備分組：對不同用戶使用設備進行分組，從后臺可調整設備組別。設備篩選、排序、查找：根據(jù)設備不同狀態(tài)，在線狀態(tài)，設備組別，設備MEID號，集群服務器地址等條件進行篩選、排序與查找。設備添加：需要輸入設備MEID，設備分組，設備綁定SIM卡UIM號，可批量導入。

五、應用管理

本文提出的移動管理平臺方案提供創(chuàng)新的企業(yè)移動應用商店，同時支持iOS和Andriod移動平臺，能有效地、安全地為企業(yè)提供進行移動應用管理。主要功能包括應用安全檢測、分類管理、內外部應用管理、策略管理、統(tǒng)計及日志管理等。

1、應用安全。惡意軟件（例如木馬應用程序）是公共移動應用商店存在的一個大問題，企業(yè)移動應用商店同樣可能受到這些惡意軟件的攻擊，例如來自心懷不滿的員工的內部攻擊，或者來自內部企業(yè)應用程序捆綁的第三方軟件和服務包。為防止企業(yè)移動移動應用商店含有惡意軟件，提供對上架前的應用軟件進行安全掃描服務功能。對于返回有安全隱患的應用由管理員決定是否上架。

2、應用分類。本文提出的移動管理平臺方案為便于應用搜索和管理，企業(yè)可自定義應用分類，供添加應用時選擇，一個應用可于多個分類。支持一級分類管理，管理員可以新建、刪除、修改分類信息。

六、黑白名單

本文提出的移動管理平臺方案提供企業(yè)內部應用的添加、更新、刪除、修改、列表、詳情查看、搜索功能?？舍槍τ脩?用戶組進行分發(fā)，分發(fā)方式可使用推送安裝包、推送消息、不推送等?？蓪眠M行黑、白名單的歸類。

七、公共應用

企業(yè)管理員可以在此放置推薦員工安裝的第三方應用。提供蘋果應用軟件商店、第三方應用軟件商店應用、拿到安裝包的第三方應用的添加、更新、刪除、修改、列表、詳情查看、搜索、分發(fā)功能。可針對用戶/用戶組進行分發(fā)，分發(fā)方式可使用推送安裝包、推送消息、不推送等。

八、MDM遷移方案

新平臺上線后，為保證新舊系統(tǒng)平滑切換，將實施如下步驟完成新舊平臺切換：（1）將舊系統(tǒng)數(shù)據(jù)全量遷移到新平臺。（2）部署新平臺，舊平臺不下線，新舊平臺雙軌并行。（3）舊平臺給所有設備分批推送新版本客戶端?？紤]到推送后客戶端升級帶來的網(wǎng)絡帶寬壓力，每批次推送建議不多于2000臺設備。具體情況以實際情況為準。（4）設備安裝新版客戶端后，訪問新平臺。（5）所有設備的客戶端均已升級到新版本客戶端后，舊平臺才可下線。（6）舊平臺下線后，將舊系統(tǒng)數(shù)據(jù)增量遷移到新平臺，遷移完成。

九、定制化支持

為便于未來針對MDM系統(tǒng)進行定制化功能擴展，系統(tǒng)從設計及實現(xiàn)上考慮，提供靈活的擴展API。

9.1擴展定制接口

接口說明：該接口主要定義MDM系統(tǒng)管理端的擴展規(guī)范。

接口定義：業(yè)務擴展接口（JSGap）業(yè)務集成接口（webPortal）

（1）業(yè)務擴展接口（JSGap）是基于JavaScript構建的一套完整的業(yè)務服務擴展引擎，它提供一系列的接口適配、組裝能力，可用于為移動端、后端業(yè)務提供數(shù)據(jù)服務。

它提供的部分通用接口規(guī)范如下所示：

（2）業(yè)務集成接口（webPortal）是一個完整的門戶解決方案，基于J2EE的架構，前臺界面部分使用Spring MVC框架，作為企業(yè)業(yè)務系統(tǒng)的統(tǒng)一入口和接入平臺，提供了登錄管理，鑒權驗證，資源、菜單管理，應用集成及內容管理等功能，主要是實現(xiàn)對現(xiàn)有業(yè)務系統(tǒng)的整合。它提供的主要接口如下：

9.2統(tǒng)一認證接口

接口說明：該接口主要定義MDM系統(tǒng)中認證接口的統(tǒng)一規(guī)范。

接口定義：authToken

9.3消息推送接口

接口說明：該接口主要定義MDM系統(tǒng)中的消息推送服務的統(tǒng)一調用接口規(guī)范。

接口定義：pushMsg

9.4應用發(fā)布接口

接口說明：該接口定義MDM客戶端的應用商店API接口規(guī)范。

接口定義：ApplicationStore Open API

十、MD 系統(tǒng)升級規(guī)則

MDM系統(tǒng)針對升級兼容問題，從技術架構設計、接口設計、數(shù)據(jù)模型設計等各個環(huán)節(jié)綜合考慮，主要及關鍵的機制如下：

（1）接口版本號：。所有接口設計，添加嚴格的版本號兼容控制機制，根據(jù)版本號的不同做針對性響應。如果是非強制性的升級導致的版本號差異，則原則上盡可能保證低版本的系統(tǒng)可以正常運行。如MDM客戶端與MDM管理端間的接口規(guī)范定義。

（2）API兼容。API的兼容設計，主要是考慮MDM客戶端的版本升級的自身功能、數(shù)據(jù)、設置等的兼容問題，如果是正常的應用升級覆蓋的前提，則原則上盡可能保證升級后的應用可用性、原始數(shù)據(jù)狀態(tài)正常。比如客戶端上的嵌入式數(shù)據(jù)庫的升級API設計，數(shù)據(jù)存儲的API設計，新版本增加使用的新功能的API兼容等。

（3）協(xié)議兼容。協(xié)議的兼容設計，主要是考慮MDM客戶端與MDM連接服務端間的兼容問題，主要包括的是基于TCP鏈路上的消息協(xié)議的兼容問題，比如新增加擴展的協(xié)議，一定不影響原有的協(xié)議正常使用。

結論與展望

本文提出的移動管理平臺解決方案：一方面提供智能終端設備、應用、內容的統(tǒng)一管理，另一方面提供全面的安全防護。通過部署本移動管理平臺，可在不影響現(xiàn)有企業(yè)信息系統(tǒng)的前提下解決上述難題，實現(xiàn)如下三方面的價值：（一）大幅提升企業(yè)生產效率。實現(xiàn)員工在任何時間、任何地點進行無線辦公，采用Push通知第一時間精準分發(fā)企業(yè)應用和文檔，使企業(yè)在激烈競爭的信息時代贏得市場先機。（二）全面降低企業(yè)成本。多操作系統(tǒng)移動設備、應用、內容統(tǒng)一管理，降低IT管理費用；利用員工的設備實現(xiàn)移動辦公，降低公司在設備資產方面的開支；監(jiān)控智能手機消費行為，引導合理套餐設定以節(jié)約話費。（三）充分保證企業(yè)數(shù)據(jù)及應用商店的安全。設備定位、鎖定及數(shù)據(jù)擦除保護企業(yè)信息不外漏，采用全球最大移動安全知識庫讓企業(yè)應用商店遠離病毒干擾。如通過統(tǒng)一下發(fā)策略配置保證設備強制密碼設定，防止設備非法越獄，限制部分應用、文檔的使用權限等。

參 考 文 獻

[1]湯瑪士.戴文坡.ERP進階實務[M].商周出版，2011，12.

[2]吉爾伯特.托平，菲奧娜.切爾尼亞夫斯卡.企業(yè)咨詢[M].東北財經大學出版社，2008，4.

[3]大島祥譽.麥肯錫工作法[M].中信出版社，2014，5.

[4]維克托.邁爾-舍恩伯格，肯尼思.庫克耶.大數(shù)據(jù)時代[M].浙江人民出版社，2013，1.

[5]Oracle Method CDM Quick Tour， Release 2.0.0， February， 2000.

[6] Oracle Method Application Implementation Method Handbook Release 3.0.0， August， 1999.

[7] Oracle Method Project Managemnt Method Handbook Release 2.6.0， March， 1999.

[8]曾躍.Oracle ERP實施方法論及其在通訊企業(yè)的應用[D].碩士學位論文，西南交通大學，2004.

[9]徐寧.基于BPR的SR物流公司ERP系統(tǒng)構建與實施研究[D].碩士學位論文，燕山大學，2012.

[10]趙志芳.基于xSimple的業(yè)務流程優(yōu)化研究[D].碩士學位論文，首都經濟貿易大學，2008.

[11]李士強.xSimple系統(tǒng)規(guī)劃與實施[D].碩士學位論文，南京理工大學，2013.

[12]羅永勝.CZ公司xSimples實施方法體系研究[D].碩士學位論文，廣東工業(yè)大學，2013.

[13]劉華.PCB行業(yè)Oracle ERP實施方案的改進研究[D].碩士學位論文，電子科技大學，2012.

[14]白燕梅.中小企業(yè)實施ERP過程及方法的研究[D].碩士學位論文，吉林大學，2005.

[15]周玲.咨詢公司ERP咨詢項目實施風險評估與對策研究[D].碩士學位論文，西安理工大學，2007.

[16]溫和.用友公司xSimple實施方法體系研究[D].碩士學位論文，吉林大學，2011.

[17]徐學軍.鄒明信.xSimple實施方法論研究[J].中國管理信息化，2006，7.

[18]丁正新.對我國中小企業(yè)xSimpless實施的研究[J].經管空間，2014.

[19]崔錦杰.企業(yè)成功實施xSimple的實踐總結[J].信息與電腦.2014.

[20]盛如龍.ASAP實施方法論及其在奇華頓項目中的應用[D].碩士學位論文，大連理工大學，2009

[21]張玉權.xSimple實施過程控制方法及其在T集團的應用研究[D].碩士學位論文，北京郵電大學，2010

[22]汪曉華.Oracle ERP實施和估算方法的改進研究與應用[D].碩士學位論文，上海交通大學，2009

[23]史英杰.中國本土咨詢業(yè)發(fā)展研究[D].碩士學位論文，天津大學，2002

[24]趙靜怡.中國管理咨詢公司發(fā)展對策研究[D].碩士學位論文，復旦大學，2002

[25]吳亞軍.基于ERP實施影響因素的協(xié)同機制研究[D].碩士學位論文，西安科技大學，2006