戴 磊，汤建忠

（嘉兴市烟草专卖局（公司），浙江 嘉兴 314000）

1 研究背景

伴随网络应用的不断深入，企业的信息化已经发展到相当成熟的阶段，很多业务与日常办公都在内部网络中通过计算机来完成，极大地提高了工作效率，但是新的问题也随之产生。当企业决策人员位于内部网络之外时，许多通过内部办公网络进行的工作就会出现停顿，极大地降低了工作效率。因此，如何访问企业内部网络，保证工作不间断和事务及时处理，真正实现无论何时何地都能办公，已经是许多企业正在考虑的实际问题。移动办公可以使企业员工通过笔记本、PDA以及其他终端设备等在任何时候、任何地点开展工作，使企业与机动人员保持密切的联系，在最大限度上提高企业的工作效率，使组织流程顺畅并节省开支。

2 需求分析

为加强内部管理、提高效率，深化行业改革，规范行业人员的行为，嘉兴烟草需要通过信息化手段，提高办公效率，提高营销、市场工作效率，加大管理力度，改善客户服务，加强内部各类工作人员／资源管理。

嘉兴烟草将要实现移动化的系统有3个：OA系统、三项工作管理系统和销售关系系统。

情况如下：

（1）这三套系统均为Web系统，且OA系统和销售关系系统运行稳定，三项工作管理系统虽然还在改造，但变化不会太大；

（2）三套系统中仅OA系统有文档控件，能够获取到相关文件地址，同时OA厂家驻场，必要时，也可以当面沟通协调；

（3）三套系统均没有使用书生、方正等加密文档，90%为Word文档，因此无需购买书生卡、方正加密狗等硬件加密产品。

3 行业应用解决方案

3.1 设计原则

3.1.1 标准化

移动办公平台从应用功能、内容组织、界面风格、上下互联、网络支撑、安全管理等各个方面，都必须遵照标准化原则，统一规划，规范建设。

3.1.2 安全化

保证系统和数据安全，保证数据不被窃听、篡改、伪造、泄露和破坏。

3.1.3 个性化

移动办公平台实现针对不同类型的用户提供不同的信息展现内容，使用者根据自身对信息的访问要求，迅速获取相关的信息内容，从而充分发挥移动办公平台的渠道、桥梁作用。

3.1.4 实用性

移动办公平台根据实际使用的特点，结合终端所能实现的能力，以特有的机制实现需求，而非整体照搬既有固网办公系统。

3.2 网络架构设计

移动办公系统是以新一代4G移动网络技术为载体，兼容2G、3G网络，将多重业务整合延伸到移动无线终端，形成一个实时、动态的监管平台。移动办公系统作为一个方便、快捷的办公工具，为各级领导管理决策提供信息支持。

当前，嘉兴烟草有两种不同场景下的应用部署方案，可以满足较经济的需求（托管部署）和较放心的需求（独立部署）。

3.2.1 托管部署

托管部署是指适配好的移动化应用部署在第三方移动工作云平台上，而不部署在嘉兴烟草的内部，通过移动网络专线连接至嘉兴烟草内部网络，建立第三方平台到嘉兴烟草的安全网络链接。这种部署方式的优势在于：嘉兴烟草无需自备移动办公服务器，无需改变任何内网网络结构，就可以实现内部应用的移动化。由于无需自备服务器，这种方式比较经济。

3.2.2 独立部署

独立部署是指将适配好的移动化应用部署在企事业单位内部的一种部署模式，为避免外网直接访问到内网，可将移动化应用服务器部署在DMZ区域，用户通过手机或平板使用移动化应用时，先通过网络访问到DMZ区域中的移动化应用服务器，再由移动化应用服务器通过防火墙访问到内网指定的原系统，最终完成了移动化应用的展示。

独立部署的优点是移动化服务器位于嘉兴烟草内部，自行管理，无数据泄露的忧虑，同时，这种方案也可以实现在手机或平板上通过VPN访问单位网络，更大程度地保障了移动化应用的传输安全。

3.3 系统功能介绍

3.3.1 单点登录

嘉兴烟草PC端的办公和业务系统，可以统一使用单点登录门户来实现统一登录。

在手机等移动终端上使用时，启动“嘉兴烟草”应用，进入“登录”界面，选择单位、部门和用户，并输入密码后登录系统，可选择保存用户名或密码。登录成功后显示一级功能模块，包括移动OA、工作管理和销售管理。

3.3.2 移动 OA

嘉兴烟草的OA办公系统比较成熟，同时OA系统开发商也可以提供必要的帮助，因此，移动化开发外部条件较为理想。移动OA中要实现的功能如下：

（1）新闻：可通过手机查看嘉兴烟草单点登录门户上的新闻；

（2）通知公告：可通过手机客户端随时查看企业OA系统最新的通知，包括内部通知和外部通知；

（3）公文办理：要能够在手机上签批公文，包括收文和发文，要能够预览Word格式的附件；

（4）电子邮件：邮件是现在办公的重要手段，办公人员希望不在办公室的时候也能够查看、回复重要邮件；

（5）短信发送：针对嘉兴烟草已有的短信发送Web入口，要在手机上实现其中常用功能的适配，最终实现通过手机即可发送嘉兴烟草专用接入号的短信。

4 安全方案

4.1 网络安全

系统在设计过程中根据不同区域内安全等级的不同采取了相应的安全策略，基于嘉兴烟草的现有或计划新增的安全设备，可以采用防火墙、路由器、前置机等措施隔离内外网数据流实现事前管理，并通过入侵检测软件、系统日志分析等实现事后管理。

4.1.2 防火墙技术

为了保证局域网内部的安全，在政务专网接入处、专业部门VPN专网接入处、社区联系站VPN专网接入处、无线通信运营商光纤网络接入处各放置了防火墙，将来自外部的不安全的信息流隔离在外部网络中。

4.1.3 访问控制

架设外网交换机，将内外网的数据流分开，以达到分担数据流量的目的，并且可以做到对内外网的数据流进行隔离，从而保护网络信息的安全。

4.1.4 入侵检测及网络审计

在系统外网及内网之间选用入侵检测与安全审计系统，监视并记录网络中的各类操作，实时分析出网络中发生的安全事件、外部事件（如外部入侵行为）和内部事件（如内部人员的文件拷贝、信息获取、信息发布、资源变迁等），并根据设置的规则，智能地判断出违规行为，对违规行为进行记录、报警和阻断。

4.1.5 VPN接入

VPN被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

4.2 应用系统安全

4.2.1 权限控制

系统采用单点登录的模式，通过口令对用户登录进行身份验证，并根据用户的权限配置办公界面。保证相应权限的用户只能调度相应的功能模块，防止越权访问。

4.2.2 数据加密

系统对关键敏感信息（如用户口令、数据交换文本等）都进行加密处理，将加密后的密文在网络中传输，并由接收方解密后分析原始数据。

5 嘉兴烟草移动信息化的建设

（1）将移动信息化建设按照用户群和功能紧迫性分期建设；

（2）一期，移动办公：即本文档中描述的需求，用户群为公司领导，实现重要事宜的审批；

（3）二期，移动办公扩容：增加移动化需求较为迫切的移动办公功能，同时将移动办公推广至嘉兴烟草下属分公司；

（4）三期，四员管理：对市场监管员、客户经理、送货员及电访员进行业务流程规范化管理，可以清晰地看出问题症结，提高“四员”工作效率；实现后全市推广；

（5）四期，移动化门户建设：建设嘉兴烟草统一的移动信息化门户，同时融合EMM（包括MDM移动设备管理、MAM移动应用管理、MIM移动信息管理、MCM移动内容管理和MEM移动邮件管理）功能，实现对嘉兴烟草移动化相关设备、应用、新消息、内容和邮件的有效管理；

通过以上分期建设，最终为嘉兴烟草提供便捷的办公、有效的管理和高效的协作。

[1]程宝平.IMS 原理与应用[M].北京：机械工业出版社，2006.

[2]梅玉平.3G 的业务及管理[M].北京：人民邮电出版社，2007.

[3]张智江，等.基于IMS融合、开放的下一代网络[M].北京：人民邮电出版社，2007.

[4]毕厚杰，李秀川.IMS 与下一代网络[M].北京：人民邮电出版社，2006.