马英会 张兴 史诗

摘要：文章介绍了移动应用产生的必要性，分别从三层安全架构、移动加密机、安全接入、安全整合等方面讲述了移动应用平台的总体设计，继而讲述了移动应用开发、迁移的方法，探讨了移动办公的应用及管理，最后讲述了移动应用的应用价值。

关键词：移动安全接入；三权分立； M-task框架；移动审批

中图分类号：G633 文献标识码：A 文章编号：1009-5039（2014）20-6031-04

Abstract： The article presents the necessity of mobile application， respectively from three layers of security architecture， mobile encryption machine， security access， security integration aspects about the overall design of a mobile application platform， and then tells of a mobile application development， the migration method， probes into the application and management of mobile office， finally tells the application value of mobile applications.

Key words： the mobile security access； tripartite political system； M-task frame； mobile approval

1 概述

移动办公是高速发展的通信业与IT业交融的产物，随着第三代移动通信3G的普及，Wi-Fi日趋覆盖，4G通信也已开始试点，网络无处不在，都为实现移动办公应用铺平了道路，伴随着智能手机和移动互联网的流行，用户使用手机访问网络资源的习惯正在逐渐形成，它将通信业在沟通上的便捷、与IT业在软件应用上的成熟、在业务内容上的丰富，完美结合到了一起，它使得办公变得随心、轻松，高效迅捷地开展工作，对于突发性事件的处理、应急性事件的部署有极为重要的意义。

2 移动应用平台总体设计

在网络安全威胁日益严重的今天，移动办公系统的安全更是一个不容忽视的重要问题。为了规避安全风险，企业移动应用采用集中统一的移动安全接入平台，集中部署和管理移动安全接入网关。采用安全接入认证网关和移动加密机，建立“一次一密”的加密链路，融合统一身份认证，采用反向代理、逐层通信的方式访问移动应用平台，为移动应用平台构建了三层安全技术防护架构，实现“严格分层、逐层通信、不可越界、确保安全”的防护理念，满足主流移动操作系统和移动终端的安全接入，符合国家信息系统安全等级保护三级的基本要求，从终端、通讯、应用和管理四个方面实现企业移动应用的安全建设。

2.1 移动安全接入

移动接入软件采用Dock及Lighting接口移动加密机，采用万兆吞吐的接入认证网关，解决了跨网连接、闪断等无线网不可控因素，加密带宽不再是传输瓶颈。支持Dock、Lightning、 Micro USB等智能终端接口，支持标准PKI体系，符合iOS系统和Android、以及微软等操作系统系统接口规范，内部生成公私钥对，并实现数字签名。通过建设密码服务区，为企业移动应用平台提供密码安全服务的基础环境。

2.2移动应用安全整合

移动安全接入与管控系统相整合，通过移动安全接入网关，借助安全接入客户端，保障在互联网环境安全的访问企业移动应用平台，完全兼容Windows8、Android2.0版本以上移动操作系统，兼容主流平板和智能手机，支持Wi-Fi和3G网络，实现由“简单-复杂-简单”的转变，移动应用与中国石油统一身份系统相整合，从用户视角看企业移动应用平台是“四个一” ，即：一个加密机、一个移动终端、一个入口、一个PIN码。SDK是移动应用过程中保证安全的关键性服务程序，移动应用系统与密码服务系统之间的耦合接口，可以对多种密码设备进行集中调用和调度，基于国产密码技术建立加密链路，保障移动应用的全过程安全。

在保持现有桌面应用完整的前提下，以良好的用户体验，将各种信息系统推送到移动终端上，满足员工随时随地的访问需求。在数据完整性、信息的保密性、网络的安全性以及信息处理的每一个步骤均作了周密的设计，既保证了移动政务应用高安全性，又实现了移动应用的高效性和方便性。

3 企业移动管控平台建设

建设集中统一的移动应用管控平台，管控后台进行移动终端管理、移动应用管理、移动安全管理以及个人助理等功能，通过空中推送（OTA，Over The Air）方式，实现对软硬件、设备、接口、应用、服务的全生命周期管控。按照管控平台标准，将应用客户端打包，将应用系统整合到移动管控平台上，确定认证标识后在移动管控平台上进行发布，由移动管控平台进行其版本周期管理、权限设置等日常操作。

3.1移动应用开发

移动应用开发采用MCP框架，MCP基于PHONEGAP、JQUERY MOBILE等客户端组件，支持跨平台移动应用开发，EAP提供移动开发中的常用功能。支持快速进行跨平台应用开发，移动应用IOS平台使用统一的企业级开发证书，支持与应用大厅交互，实现单点登录。

移动应用平台采用整体风格一致的图标设计，通用的手势操作，支持终端的方向变化，移动应用提供了应用管理、移动终端、移动加密机等接口并进行管理，满足安全等级三级要求，统一申请安全端口。通过业务系统定义、业务类别定义、数据接口定义、业务表单定义、数据同步任务配置等后台系统配置，完成了企业流程审批类业务系统的移动化。

3.2移动应用系统迁移

移动应用系统采用mTask框架，mTask基于EAP和MCP企业移动应用平台开发，同时支持Oracle和 SQL SERVER數据库，mTask框架兼容iOS、安卓平台，分为移动审批服务端和客户端，服务端可对业务系统、业务类别、业务表单进行后台配置，结合EAP中的数据集成组件，定义同步任务和同步活动，实现移动服务端与原业务系统的数据同步。企业移动大厅是使用移动应用的客户端界面，在大厅中安装企业诸如信息门户系统、电子邮件系统、电子公文OA、合同管理系统、集中报销系统等移动应用系统。客户端支持跨平台操作，通过服务端的相关配置，将现有业务系统的审批流程快速移动化，完成客户端移动应用系统的移动审核、审批。

4 移动应用平台的应用及管理

企业移动应用平台协助移动终端与部署在计算机上的应用服务快速搭建起通信，通过提供可复用的通信模块、基础服务模块，使远程服务调用、信息推送、数据抓取、即时通讯等功能快速实施起来，使其能为移动终端应用提供访问入口。

4.1移动应用平台的应用

登录移动应用平台后可看见已经安装的应用和准备安装的应用，在企业诸如电子公文、合同管理、集中报销的测试环境（PC端）中提交待办数据，在移动客户端对提交的数据进行审批，使此项业务在移动客户端完成。完成差旅申请及报销的审批移动化工作，对电子公文系统中单一出口环节收文、发文待办的移动审批、传阅件的查看，发文环节签发的手写签名可用“移动审批”，满足用户在任何地点，任何时间、任何网络状态下，查看流程审批信息。

当审批类移动应用看不到待办或者没有收到已有待办时，用手指进行屏幕下拉刷新操作，主动去服务器获取最新待办数据，当移动应用出现不可预知的异常情况时，“双击home键”或“四指触屏向上推”强制终止应用，并从应用大厅重新打开应用，可以使应用恢复到正常状态。

4.2 移动应用平台的管理

移动平台管控后台实行三权分立，系统管理、业务管理员、审计管理员各司其职。 系统管理员登录移动平台管控后台，进行组织机构、系统用户、系统角色的管理。

新申请的应用系统帐号，通过身份认证平台进行创建，并推送到应用系统中，用户再通过移动设备和移动加密机访问移动应用大厅，查询、确认用户的员工编号，生成移动身份。 通过记录服务端和客户端的接口调用日志，同步处理日志，便于进行系统监控和运维，快速进行异常情况定位。

5 结束语

各级管理者借助移动智能终端可以访问公司门户网站随时获取信息；可以签批和处理非涉密电子公文、审核网上报销单据、审批业务合同、参加视频会议、处理应急事件等，这样能够有效突破传统办公的时间与空间限制，无论是出差还是休假、白天还是晚上，只要是在移动网络覆盖到的地方，都能随时随地完成办公、处理业务，有效整合时间碎片，大幅提高工作效率，为企业管理者提供了极大便利，为企业的信息化建设提供了全新的思路和方向。