胡飛飛+徐鍵+洪丹軻+黃昱
【摘要】 近年來由于IT和移動通訊技術的進一步融合,移動互聯(lián)網(wǎng)產業(yè)得到了迅猛發(fā)展,正逐漸滲透到人們生活、工作的各個領域。隨著移動通信網(wǎng)絡的優(yōu)化完善,智能手機及平板電腦市場的空前繁榮,基于IOS和Android等主流操作系統(tǒng)的智能終端設備具有普及程度高,計算能力強,存儲容量大的特點,利用智能終端設備訪問企業(yè)IT系統(tǒng)進行移動辦公成為市場潮流。未來,越來越多的企業(yè)員工將擺脫辦公室的約束,通過智能手機等移動終端設備來處理日常事務。
【關鍵詞】 移動互聯(lián)網(wǎng) 智能終端
一、移動設備管理平臺簡介
1.1解決方案概述
本文提出的移動管理平臺是管理企業(yè)移動智能終端的跨平臺解決方案,提供了iOS、Android平臺下的移動設備管理(MDM)、移動應用管理(MAM)和移動內容管理(MCM)功能,解決企業(yè)移動智能終端的安全問題、應用管理問題、統(tǒng)一配置問題、文檔共享問題。整個平臺分為四大組成部分⑴MDM客戶端:提供移動設備管理和移動應用管理功能;⑵MCM客戶端:提供移動內容管理功能;⑶自服務平臺:供移動終端用戶管理自己的設備;⑷管理平臺:供系統(tǒng)管理員使用。
1.2整體架構
1.2.1應用架構圖
設備客戶端通過TCP長連接服務端,獲取數(shù)據(jù)、信息,發(fā)送客戶端狀態(tài)。服務器端由MDM連接服務接受客戶端的TCP請求,通過指令引擎解析指令,發(fā)送到MDM管理模塊。具體結構圖如下圖1。平臺入口為負載均衡服務器,具有很好的可擴展性、可伸縮性。當服務器配置無法滿足日益增長的需求時,可通過擴展MDM連接服務、MDM管理服務等節(jié)點,可以實現(xiàn)無縫擴展服務器配置,來迅速增加服務器的處理能力,且不需要修改代碼。
1.2.2硬件架構圖
整套硬件按用戶設備10萬臺為基準:
由2臺高配置的IBM System x3850 X6 4U機架式服務器和共享存儲組成:
硬件系統(tǒng)包括服務器、共享存儲、安全設備、網(wǎng)絡設備,并應具備基于vmware實時遷移技術,防止單點故障。
實時處理要求高,需要7X24小時不間斷服務支持和計算密集型應用可使用本方案。參考圖如下:
二、移動設備管理平臺功能
2.1設備管理
本文提出的移動管理平臺提供完整的移動設備生命周期管理。具體分為用戶及設備管理,配置管理,安全管理,資產管理等。
2.2用戶管理
2.2.1用戶及設備批量注冊
管理平臺提供批量用戶及設備導入功能,包括如下兩種方式:
⑴從模板文件導入。系統(tǒng)提供標準模板文件下載,管理員按照模板填寫用戶、用戶組及設備信息,一次性完成大量用戶和設備的注冊。
⑵從LDAP/AD導入。管理員可將企業(yè)LDAP/AD服務器中的用戶導入管理平臺某個用戶組中,然后按照用戶組、用戶名關鍵字進行選擇性導入。
2.2.2用戶及設備詳情查詢
通過管理平臺能對所有用戶及設備進行查詢。
用戶詳情展現(xiàn)用戶基本信息、帳號信息、權限信息、配置/策略信息、注冊/激活/淘汰設備的記錄,設備信息等。可支持Dashboard儀表盤顯示。
設備詳情展現(xiàn)已激活設備的詳細信息,包括設備基本信息、硬件信息、運營商信息、流量信息、應用程序信息、配置/策略信息、用戶信息等??闪私庠O備型號、OS及版本、是否受控在線、上次在線時間、是否越獄、SIM卡變更信息、設備漫游信息、下發(fā)的配置文件和策略列表及其狀態(tài)等。可支持Dashboard儀表盤顯示。
2.2.3用戶禁用及刪除
如員工離職,管理員可將用戶從管理平臺中禁用并刪除。支持單個刪除和基于組織結構、搜索結果的批量禁用刪除。用戶刪除后,淘汰的設備能形成資產變更歷史。
2.2.4通訊錄同步
用戶可通過客戶端或自服務平臺設置通訊錄自動同步功能,并能夠顯示上次同步時間。通訊錄發(fā)生變化時,同一用戶的多個設備能保持通訊錄聯(lián)系人一致。
2.3配置管理
在企業(yè)內部存在不同的組織,需要對他們進行差異化配置管理。通過預定義好的配置文件,在設備激活后自動向設備下發(fā)配置信息,并可通過修改配置文件在線對已激活的設備進行配置信息修改。
2.3.1WIFI熱點批量配置
WLAN作為移動網(wǎng)絡的有效補充,企業(yè)內部通常部署了多個WiFi熱點,手工配置繁瑣。通過將WiFi熱點的參數(shù)加到配置文件中,管理平臺統(tǒng)一下發(fā)到移動終端,達到迅速開通WLAN的目的。支持個人級Wi-Fi設置,采用WEP或WPA安全鑒定方式。
2.3.2電子郵件自動設置
移動管理平臺可以幫助企業(yè)用戶自動設置電子郵件,每個配置文件中可以包含多個電子郵件配置信息,配置內容包括SMTP、POP、IMAP郵件帳戶信息等。對于采用Microsoft Exchange服務器的企業(yè),每個配置文件中可包含多個Microsoft Exchange服務器配置信息。
2.3.3VPN網(wǎng)絡配置
企業(yè)用戶可以配置多個VPN網(wǎng)絡,每個配置文件中可以包含多個VPN配置信息。支持L2TP、PPTP、自定義SSLVPN多種方式。
2.3.4APN網(wǎng)絡配置
可配置運營商移動網(wǎng)絡APN接入信息,包括接入點名稱、接入點用戶名/密碼、代理服務器地址及其端口等。
三、安全管理
3.1管理設備
如果需要找回含有企業(yè)數(shù)據(jù)的丟失設備,可采用自服務平臺提供的設備定位功能。定位結果通過地圖進行展現(xiàn)并形成文字形式地理位置摘要,地圖支持多個設備的同時展現(xiàn)。
設備丟失或暫時找不到時,為防止企業(yè)數(shù)據(jù)被他人獲取,通過自服務平臺向設備發(fā)送消息鎖定設備,從而保護企業(yè)數(shù)據(jù)的安全。
用戶可在自服務平臺進行設備刪除,淘汰設備必須提供設備擦除選項(全部擦除、選擇性擦除)并填寫備注信息,淘汰后的設備脫離與企業(yè)MDM平臺的關系。
3.2數(shù)據(jù)擦除
設備確認丟失后,可通過自服務平臺進行設備所有信息清除,使設備恢復出廠設置并格式化存儲卡,防止企業(yè)數(shù)據(jù)泄漏。
當員工離職需要帶走含有私人信息的設備時,可通過自服務平臺發(fā)送指令,在設備上僅擦除與企業(yè)相關數(shù)據(jù)。企業(yè)數(shù)據(jù)包括:MDM配置及策略文件信息;企業(yè)郵件;已安裝企業(yè)內部應用及其運行數(shù)據(jù)。
為防止不法分子試探密碼,可設置最多允許失敗次數(shù):確定嘗試輸入密碼失敗超過指定次數(shù)之后設備會被擦除。
3.3密碼強制設定
移動設備的密碼設定是安全保護最簡單有效的方式。管理平臺可設置一種策略,移動設備會被要求在規(guī)定時間內設置密碼,如果超時沒有設置密碼,設備將會被鎖定,只有設置密碼后,才能繼續(xù)使用。
當用戶忘記設備鎖定密碼時,可通過自服務平臺進行密碼重置。
3.4數(shù)據(jù)加密策略
設置設備數(shù)據(jù)加密功能的開啟狀態(tài)及加密內容。(1)內置存儲器加密(2)SD卡加密
3.5限制相機,截屏等功能
對于禁止拍照攝像的工作場所,或是為防止人員對設備上的企業(yè)辦公系統(tǒng)進行屏幕捕捉而泄密,可應用相應策略關閉終端相機,截屏等功能。
3.8數(shù)據(jù)備份及恢復
管理平臺硬件故障導致數(shù)據(jù)丟失,可通過將備份文件導入新設備后快速恢復服務。支持手動和定期自動備份方式。
3.9應用安全管理
惡意軟件是公共移動應用商店存在的一個大問題,企業(yè)移動應用商店同樣可能受到這些惡意軟件的攻擊,例如來自心懷不滿的員工的內部攻擊,或者來自內部企業(yè)應用程序捆綁的第三方軟件和服務包。
為防止企業(yè)移動移動應用商店含有惡意軟件,提供對上架前的應用軟件進行安全掃描服務功能。有安全隱患的應用由管理員決定是否上架。
四、設備管理
資產管理人員需要對企業(yè)下發(fā)的移動設備進行統(tǒng)一管理,可通過資產列表了解設備相關信息,對某個設備維護備注信息,能夠導出設備資產報表。
設備管理提供如下功能:設備列表:顯示設備基本信息,設備組別,設備在線狀態(tài),綁定SIM卡UIM號,所連接集群服務器地址。設備分組:對不同用戶使用設備進行分組,從后臺可調整設備組別。設備篩選、排序、查找:根據(jù)設備不同狀態(tài),在線狀態(tài),設備組別,設備MEID號,集群服務器地址等條件進行篩選、排序與查找。設備添加:需要輸入設備MEID,設備分組,設備綁定SIM卡UIM號,可批量導入。
五、應用管理
本文提出的移動管理平臺方案提供創(chuàng)新的企業(yè)移動應用商店,同時支持iOS和Andriod移動平臺,能有效地、安全地為企業(yè)提供進行移動應用管理。主要功能包括應用安全檢測、分類管理、內外部應用管理、策略管理、統(tǒng)計及日志管理等。
1、應用安全。惡意軟件(例如木馬應用程序)是公共移動應用商店存在的一個大問題,企業(yè)移動應用商店同樣可能受到這些惡意軟件的攻擊,例如來自心懷不滿的員工的內部攻擊,或者來自內部企業(yè)應用程序捆綁的第三方軟件和服務包。為防止企業(yè)移動移動應用商店含有惡意軟件,提供對上架前的應用軟件進行安全掃描服務功能。對于返回有安全隱患的應用由管理員決定是否上架。
2、應用分類。本文提出的移動管理平臺方案為便于應用搜索和管理,企業(yè)可自定義應用分類,供添加應用時選擇,一個應用可于多個分類。支持一級分類管理,管理員可以新建、刪除、修改分類信息。
六、黑白名單
本文提出的移動管理平臺方案提供企業(yè)內部應用的添加、更新、刪除、修改、列表、詳情查看、搜索功能??舍槍τ脩?用戶組進行分發(fā),分發(fā)方式可使用推送安裝包、推送消息、不推送等??蓪眠M行黑、白名單的歸類。
七、公共應用
企業(yè)管理員可以在此放置推薦員工安裝的第三方應用。提供蘋果應用軟件商店、第三方應用軟件商店應用、拿到安裝包的第三方應用的添加、更新、刪除、修改、列表、詳情查看、搜索、分發(fā)功能。可針對用戶/用戶組進行分發(fā),分發(fā)方式可使用推送安裝包、推送消息、不推送等。
八、MDM遷移方案
新平臺上線后,為保證新舊系統(tǒng)平滑切換,將實施如下步驟完成新舊平臺切換:(1)將舊系統(tǒng)數(shù)據(jù)全量遷移到新平臺。(2)部署新平臺,舊平臺不下線,新舊平臺雙軌并行。(3)舊平臺給所有設備分批推送新版本客戶端??紤]到推送后客戶端升級帶來的網(wǎng)絡帶寬壓力,每批次推送建議不多于2000臺設備。具體情況以實際情況為準。(4)設備安裝新版客戶端后,訪問新平臺。(5)所有設備的客戶端均已升級到新版本客戶端后,舊平臺才可下線。(6)舊平臺下線后,將舊系統(tǒng)數(shù)據(jù)增量遷移到新平臺,遷移完成。
九、定制化支持
為便于未來針對MDM系統(tǒng)進行定制化功能擴展,系統(tǒng)從設計及實現(xiàn)上考慮,提供靈活的擴展API。
9.1擴展定制接口
接口說明:該接口主要定義MDM系統(tǒng)管理端的擴展規(guī)范。
接口定義:業(yè)務擴展接口(JSGap)業(yè)務集成接口(webPortal)
(1)業(yè)務擴展接口(JSGap)是基于JavaScript構建的一套完整的業(yè)務服務擴展引擎,它提供一系列的接口適配、組裝能力,可用于為移動端、后端業(yè)務提供數(shù)據(jù)服務。
它提供的部分通用接口規(guī)范如下所示:
(2)業(yè)務集成接口(webPortal)是一個完整的門戶解決方案,基于J2EE的架構,前臺界面部分使用Spring MVC框架,作為企業(yè)業(yè)務系統(tǒng)的統(tǒng)一入口和接入平臺,提供了登錄管理,鑒權驗證,資源、菜單管理,應用集成及內容管理等功能,主要是實現(xiàn)對現(xiàn)有業(yè)務系統(tǒng)的整合。它提供的主要接口如下:
9.2統(tǒng)一認證接口
接口說明:該接口主要定義MDM系統(tǒng)中認證接口的統(tǒng)一規(guī)范。
接口定義:authToken
9.3消息推送接口
接口說明:該接口主要定義MDM系統(tǒng)中的消息推送服務的統(tǒng)一調用接口規(guī)范。
接口定義:pushMsg
9.4應用發(fā)布接口
接口說明:該接口定義MDM客戶端的應用商店API接口規(guī)范。
接口定義:ApplicationStore Open API
十、MD 系統(tǒng)升級規(guī)則
MDM系統(tǒng)針對升級兼容問題,從技術架構設計、接口設計、數(shù)據(jù)模型設計等各個環(huán)節(jié)綜合考慮,主要及關鍵的機制如下:
(1)接口版本號:。所有接口設計,添加嚴格的版本號兼容控制機制,根據(jù)版本號的不同做針對性響應。如果是非強制性的升級導致的版本號差異,則原則上盡可能保證低版本的系統(tǒng)可以正常運行。如MDM客戶端與MDM管理端間的接口規(guī)范定義。
(2)API兼容。API的兼容設計,主要是考慮MDM客戶端的版本升級的自身功能、數(shù)據(jù)、設置等的兼容問題,如果是正常的應用升級覆蓋的前提,則原則上盡可能保證升級后的應用可用性、原始數(shù)據(jù)狀態(tài)正常。比如客戶端上的嵌入式數(shù)據(jù)庫的升級API設計,數(shù)據(jù)存儲的API設計,新版本增加使用的新功能的API兼容等。
(3)協(xié)議兼容。協(xié)議的兼容設計,主要是考慮MDM客戶端與MDM連接服務端間的兼容問題,主要包括的是基于TCP鏈路上的消息協(xié)議的兼容問題,比如新增加擴展的協(xié)議,一定不影響原有的協(xié)議正常使用。
結論與展望
本文提出的移動管理平臺解決方案:一方面提供智能終端設備、應用、內容的統(tǒng)一管理,另一方面提供全面的安全防護。通過部署本移動管理平臺,可在不影響現(xiàn)有企業(yè)信息系統(tǒng)的前提下解決上述難題,實現(xiàn)如下三方面的價值:(一)大幅提升企業(yè)生產效率。實現(xiàn)員工在任何時間、任何地點進行無線辦公,采用Push通知第一時間精準分發(fā)企業(yè)應用和文檔,使企業(yè)在激烈競爭的信息時代贏得市場先機。(二)全面降低企業(yè)成本。多操作系統(tǒng)移動設備、應用、內容統(tǒng)一管理,降低IT管理費用;利用員工的設備實現(xiàn)移動辦公,降低公司在設備資產方面的開支;監(jiān)控智能手機消費行為,引導合理套餐設定以節(jié)約話費。(三)充分保證企業(yè)數(shù)據(jù)及應用商店的安全。設備定位、鎖定及數(shù)據(jù)擦除保護企業(yè)信息不外漏,采用全球最大移動安全知識庫讓企業(yè)應用商店遠離病毒干擾。如通過統(tǒng)一下發(fā)策略配置保證設備強制密碼設定,防止設備非法越獄,限制部分應用、文檔的使用權限等。
參 考 文 獻
[1]湯瑪士.戴文坡.ERP進階實務[M].商周出版,2011,12.
[2]吉爾伯特.托平,菲奧娜.切爾尼亞夫斯卡.企業(yè)咨詢[M].東北財經大學出版社,2008,4.
[3]大島祥譽.麥肯錫工作法[M].中信出版社,2014,5.
[4]維克托.邁爾-舍恩伯格,肯尼思.庫克耶.大數(shù)據(jù)時代[M].浙江人民出版社,2013,1.
[5]Oracle Method CDM Quick Tour, Release 2.0.0, February, 2000.
[6] Oracle Method Application Implementation Method Handbook Release 3.0.0, August, 1999.
[7] Oracle Method Project Managemnt Method Handbook Release 2.6.0, March, 1999.
[8]曾躍.Oracle ERP實施方法論及其在通訊企業(yè)的應用[D].碩士學位論文,西南交通大學,2004.
[9]徐寧.基于BPR的SR物流公司ERP系統(tǒng)構建與實施研究[D].碩士學位論文,燕山大學,2012.
[10]趙志芳.基于xSimple的業(yè)務流程優(yōu)化研究[D].碩士學位論文,首都經濟貿易大學,2008.
[11]李士強.xSimple系統(tǒng)規(guī)劃與實施[D].碩士學位論文,南京理工大學,2013.
[12]羅永勝.CZ公司xSimples實施方法體系研究[D].碩士學位論文,廣東工業(yè)大學,2013.
[13]劉華.PCB行業(yè)Oracle ERP實施方案的改進研究[D].碩士學位論文,電子科技大學,2012.
[14]白燕梅.中小企業(yè)實施ERP過程及方法的研究[D].碩士學位論文,吉林大學,2005.
[15]周玲.咨詢公司ERP咨詢項目實施風險評估與對策研究[D].碩士學位論文,西安理工大學,2007.
[16]溫和.用友公司xSimple實施方法體系研究[D].碩士學位論文,吉林大學,2011.
[17]徐學軍.鄒明信.xSimple實施方法論研究[J].中國管理信息化,2006,7.
[18]丁正新.對我國中小企業(yè)xSimpless實施的研究[J].經管空間,2014.
[19]崔錦杰.企業(yè)成功實施xSimple的實踐總結[J].信息與電腦.2014.
[20]盛如龍.ASAP實施方法論及其在奇華頓項目中的應用[D].碩士學位論文,大連理工大學,2009
[21]張玉權.xSimple實施過程控制方法及其在T集團的應用研究[D].碩士學位論文,北京郵電大學,2010
[22]汪曉華.Oracle ERP實施和估算方法的改進研究與應用[D].碩士學位論文,上海交通大學,2009
[23]史英杰.中國本土咨詢業(yè)發(fā)展研究[D].碩士學位論文,天津大學,2002
[24]趙靜怡.中國管理咨詢公司發(fā)展對策研究[D].碩士學位論文,復旦大學,2002
[25]吳亞軍.基于ERP實施影響因素的協(xié)同機制研究[D].碩士學位論文,西安科技大學,2006