胡飛飛+徐鍵+洪丹軻+黃昱

【摘要】 近年來由于IT和移動通訊技術(shù)的進(jìn)一步融合，移動互聯(lián)網(wǎng)產(chǎn)業(yè)得到了迅猛發(fā)展，正逐漸滲透到人們生活、工作的各個領(lǐng)域。隨著移動通信網(wǎng)絡(luò)的優(yōu)化完善，智能手機(jī)及平板電腦市場的空前繁榮，基于IOS和Android等主流操作系統(tǒng)的智能終端設(shè)備具有普及程度高，計算能力強(qiáng)，存儲容量大的特點，利用智能終端設(shè)備訪問企業(yè)IT系統(tǒng)進(jìn)行移動辦公成為市場潮流。未來，越來越多的企業(yè)員工將擺脫辦公室的約束，通過智能手機(jī)等移動終端設(shè)備來處理日常事務(wù)。

【關(guān)鍵詞】 移動互聯(lián)網(wǎng) 智能終端

一、移動設(shè)備管理平臺簡介

1.1解決方案概述

本文提出的移動管理平臺是管理企業(yè)移動智能終端的跨平臺解決方案，提供了iOS、Android平臺下的移動設(shè)備管理（MDM）、移動應(yīng)用管理（MAM）和移動內(nèi)容管理（MCM）功能，解決企業(yè)移動智能終端的安全問題、應(yīng)用管理問題、統(tǒng)一配置問題、文檔共享問題。整個平臺分為四大組成部分⑴MDM客戶端：提供移動設(shè)備管理和移動應(yīng)用管理功能；⑵MCM客戶端：提供移動內(nèi)容管理功能；⑶自服務(wù)平臺：供移動終端用戶管理自己的設(shè)備；⑷管理平臺：供系統(tǒng)管理員使用。

1.2整體架構(gòu)

1.2.1應(yīng)用架構(gòu)圖

設(shè)備客戶端通過TCP長連接服務(wù)端，獲取數(shù)據(jù)、信息，發(fā)送客戶端狀態(tài)。服務(wù)器端由MDM連接服務(wù)接受客戶端的TCP請求，通過指令引擎解析指令，發(fā)送到MDM管理模塊。具體結(jié)構(gòu)圖如下圖1。平臺入口為負(fù)載均衡服務(wù)器，具有很好的可擴(kuò)展性、可伸縮性。當(dāng)服務(wù)器配置無法滿足日益增長的需求時，可通過擴(kuò)展MDM連接服務(wù)、MDM管理服務(wù)等節(jié)點，可以實現(xiàn)無縫擴(kuò)展服務(wù)器配置，來迅速增加服務(wù)器的處理能力，且不需要修改代碼。

1.2.2硬件架構(gòu)圖

整套硬件按用戶設(shè)備10萬臺為基準(zhǔn)：

由2臺高配置的IBM System x3850 X6 4U機(jī)架式服務(wù)器和共享存儲組成：

硬件系統(tǒng)包括服務(wù)器、共享存儲、安全設(shè)備、網(wǎng)絡(luò)設(shè)備，并應(yīng)具備基于vmware實時遷移技術(shù)，防止單點故障。

實時處理要求高，需要7X24小時不間斷服務(wù)支持和計算密集型應(yīng)用可使用本方案。參考圖如下：

二、移動設(shè)備管理平臺功能

2.1設(shè)備管理

本文提出的移動管理平臺提供完整的移動設(shè)備生命周期管理。具體分為用戶及設(shè)備管理，配置管理，安全管理，資產(chǎn)管理等。

2.2用戶管理

2.2.1用戶及設(shè)備批量注冊

管理平臺提供批量用戶及設(shè)備導(dǎo)入功能，包括如下兩種方式：

⑴從模板文件導(dǎo)入。系統(tǒng)提供標(biāo)準(zhǔn)模板文件下載，管理員按照模板填寫用戶、用戶組及設(shè)備信息，一次性完成大量用戶和設(shè)備的注冊。

⑵從LDAP/AD導(dǎo)入。管理員可將企業(yè)LDAP/AD服務(wù)器中的用戶導(dǎo)入管理平臺某個用戶組中，然后按照用戶組、用戶名關(guān)鍵字進(jìn)行選擇性導(dǎo)入。

2.2.2用戶及設(shè)備詳情查詢

通過管理平臺能對所有用戶及設(shè)備進(jìn)行查詢。

用戶詳情展現(xiàn)用戶基本信息、帳號信息、權(quán)限信息、配置/策略信息、注冊/激活/淘汰設(shè)備的記錄，設(shè)備信息等。可支持Dashboard儀表盤顯示。

設(shè)備詳情展現(xiàn)已激活設(shè)備的詳細(xì)信息，包括設(shè)備基本信息、硬件信息、運營商信息、流量信息、應(yīng)用程序信息、配置/策略信息、用戶信息等?？闪私庠O(shè)備型號、OS及版本、是否受控在線、上次在線時間、是否越獄、SIM卡變更信息、設(shè)備漫游信息、下發(fā)的配置文件和策略列表及其狀態(tài)等?？芍С諨ashboard儀表盤顯示。

2.2.3用戶禁用及刪除

如員工離職，管理員可將用戶從管理平臺中禁用并刪除。支持單個刪除和基于組織結(jié)構(gòu)、搜索結(jié)果的批量禁用刪除。用戶刪除后，淘汰的設(shè)備能形成資產(chǎn)變更歷史。

2.2.4通訊錄同步

用戶可通過客戶端或自服務(wù)平臺設(shè)置通訊錄自動同步功能，并能夠顯示上次同步時間。通訊錄發(fā)生變化時，同一用戶的多個設(shè)備能保持通訊錄聯(lián)系人一致。

2.3配置管理

在企業(yè)內(nèi)部存在不同的組織，需要對他們進(jìn)行差異化配置管理。通過預(yù)定義好的配置文件，在設(shè)備激活后自動向設(shè)備下發(fā)配置信息，并可通過修改配置文件在線對已激活的設(shè)備進(jìn)行配置信息修改。

2.3.1WIFI熱點批量配置

WLAN作為移動網(wǎng)絡(luò)的有效補充，企業(yè)內(nèi)部通常部署了多個WiFi熱點，手工配置繁瑣。通過將WiFi熱點的參數(shù)加到配置文件中，管理平臺統(tǒng)一下發(fā)到移動終端，達(dá)到迅速開通WLAN的目的。支持個人級Wi-Fi設(shè)置，采用WEP或WPA安全鑒定方式。

2.3.2電子郵件自動設(shè)置

移動管理平臺可以幫助企業(yè)用戶自動設(shè)置電子郵件，每個配置文件中可以包含多個電子郵件配置信息，配置內(nèi)容包括SMTP、POP、IMAP郵件帳戶信息等。對于采用Microsoft Exchange服務(wù)器的企業(yè)，每個配置文件中可包含多個Microsoft Exchange服務(wù)器配置信息。

2.3.3VPN網(wǎng)絡(luò)配置

企業(yè)用戶可以配置多個VPN網(wǎng)絡(luò)，每個配置文件中可以包含多個VPN配置信息。支持L2TP、PPTP、自定義SSLVPN多種方式。

2.3.4APN網(wǎng)絡(luò)配置

可配置運營商移動網(wǎng)絡(luò)APN接入信息，包括接入點名稱、接入點用戶名/密碼、代理服務(wù)器地址及其端口等。

三、安全管理

3.1管理設(shè)備

如果需要找回含有企業(yè)數(shù)據(jù)的丟失設(shè)備，可采用自服務(wù)平臺提供的設(shè)備定位功能。定位結(jié)果通過地圖進(jìn)行展現(xiàn)并形成文字形式地理位置摘要，地圖支持多個設(shè)備的同時展現(xiàn)。

設(shè)備丟失或暫時找不到時，為防止企業(yè)數(shù)據(jù)被他人獲取，通過自服務(wù)平臺向設(shè)備發(fā)送消息鎖定設(shè)備，從而保護(hù)企業(yè)數(shù)據(jù)的安全。

用戶可在自服務(wù)平臺進(jìn)行設(shè)備刪除，淘汰設(shè)備必須提供設(shè)備擦除選項（全部擦除、選擇性擦除）并填寫備注信息，淘汰后的設(shè)備脫離與企業(yè)MDM平臺的關(guān)系。

3.2數(shù)據(jù)擦除

設(shè)備確認(rèn)丟失后，可通過自服務(wù)平臺進(jìn)行設(shè)備所有信息清除，使設(shè)備恢復(fù)出廠設(shè)置并格式化存儲卡，防止企業(yè)數(shù)據(jù)泄漏。

當(dāng)員工離職需要帶走含有私人信息的設(shè)備時，可通過自服務(wù)平臺發(fā)送指令，在設(shè)備上僅擦除與企業(yè)相關(guān)數(shù)據(jù)。企業(yè)數(shù)據(jù)包括：MDM配置及策略文件信息；企業(yè)郵件；已安裝企業(yè)內(nèi)部應(yīng)用及其運行數(shù)據(jù)。

為防止不法分子試探密碼，可設(shè)置最多允許失敗次數(shù)：確定嘗試輸入密碼失敗超過指定次數(shù)之后設(shè)備會被擦除。

3.3密碼強(qiáng)制設(shè)定

移動設(shè)備的密碼設(shè)定是安全保護(hù)最簡單有效的方式。管理平臺可設(shè)置一種策略，移動設(shè)備會被要求在規(guī)定時間內(nèi)設(shè)置密碼，如果超時沒有設(shè)置密碼，設(shè)備將會被鎖定，只有設(shè)置密碼后，才能繼續(xù)使用。

當(dāng)用戶忘記設(shè)備鎖定密碼時，可通過自服務(wù)平臺進(jìn)行密碼重置。

3.4數(shù)據(jù)加密策略

設(shè)置設(shè)備數(shù)據(jù)加密功能的開啟狀態(tài)及加密內(nèi)容。（1）內(nèi)置存儲器加密（2）SD卡加密

3.5限制相機(jī)，截屏等功能

對于禁止拍照攝像的工作場所，或是為防止人員對設(shè)備上的企業(yè)辦公系統(tǒng)進(jìn)行屏幕捕捉而泄密，可應(yīng)用相應(yīng)策略關(guān)閉終端相機(jī)，截屏等功能。

3.8數(shù)據(jù)備份及恢復(fù)

管理平臺硬件故障導(dǎo)致數(shù)據(jù)丟失，可通過將備份文件導(dǎo)入新設(shè)備后快速恢復(fù)服務(wù)。支持手動和定期自動備份方式。

3.9應(yīng)用安全管理

惡意軟件是公共移動應(yīng)用商店存在的一個大問題，企業(yè)移動應(yīng)用商店同樣可能受到這些惡意軟件的攻擊，例如來自心懷不滿的員工的內(nèi)部攻擊，或者來自內(nèi)部企業(yè)應(yīng)用程序捆綁的第三方軟件和服務(wù)包。

為防止企業(yè)移動移動應(yīng)用商店含有惡意軟件，提供對上架前的應(yīng)用軟件進(jìn)行安全掃描服務(wù)功能。有安全隱患的應(yīng)用由管理員決定是否上架。

四、設(shè)備管理

資產(chǎn)管理人員需要對企業(yè)下發(fā)的移動設(shè)備進(jìn)行統(tǒng)一管理，可通過資產(chǎn)列表了解設(shè)備相關(guān)信息，對某個設(shè)備維護(hù)備注信息，能夠?qū)С鲈O(shè)備資產(chǎn)報表。

設(shè)備管理提供如下功能：設(shè)備列表：顯示設(shè)備基本信息，設(shè)備組別，設(shè)備在線狀態(tài)，綁定SIM卡UIM號，所連接集群服務(wù)器地址。設(shè)備分組：對不同用戶使用設(shè)備進(jìn)行分組，從后臺可調(diào)整設(shè)備組別。設(shè)備篩選、排序、查找：根據(jù)設(shè)備不同狀態(tài)，在線狀態(tài)，設(shè)備組別，設(shè)備MEID號，集群服務(wù)器地址等條件進(jìn)行篩選、排序與查找。設(shè)備添加：需要輸入設(shè)備MEID，設(shè)備分組，設(shè)備綁定SIM卡UIM號，可批量導(dǎo)入。

五、應(yīng)用管理

本文提出的移動管理平臺方案提供創(chuàng)新的企業(yè)移動應(yīng)用商店，同時支持iOS和Andriod移動平臺，能有效地、安全地為企業(yè)提供進(jìn)行移動應(yīng)用管理。主要功能包括應(yīng)用安全檢測、分類管理、內(nèi)外部應(yīng)用管理、策略管理、統(tǒng)計及日志管理等。

1、應(yīng)用安全。惡意軟件（例如木馬應(yīng)用程序）是公共移動應(yīng)用商店存在的一個大問題，企業(yè)移動應(yīng)用商店同樣可能受到這些惡意軟件的攻擊，例如來自心懷不滿的員工的內(nèi)部攻擊，或者來自內(nèi)部企業(yè)應(yīng)用程序捆綁的第三方軟件和服務(wù)包。為防止企業(yè)移動移動應(yīng)用商店含有惡意軟件，提供對上架前的應(yīng)用軟件進(jìn)行安全掃描服務(wù)功能。對于返回有安全隱患的應(yīng)用由管理員決定是否上架。

2、應(yīng)用分類。本文提出的移動管理平臺方案為便于應(yīng)用搜索和管理，企業(yè)可自定義應(yīng)用分類，供添加應(yīng)用時選擇，一個應(yīng)用可于多個分類。支持一級分類管理，管理員可以新建、刪除、修改分類信息。

六、黑白名單

本文提出的移動管理平臺方案提供企業(yè)內(nèi)部應(yīng)用的添加、更新、刪除、修改、列表、詳情查看、搜索功能?？舍槍τ脩?用戶組進(jìn)行分發(fā)，分發(fā)方式可使用推送安裝包、推送消息、不推送等。可將應(yīng)用進(jìn)行黑、白名單的歸類。

七、公共應(yīng)用

企業(yè)管理員可以在此放置推薦員工安裝的第三方應(yīng)用。提供蘋果應(yīng)用軟件商店、第三方應(yīng)用軟件商店應(yīng)用、拿到安裝包的第三方應(yīng)用的添加、更新、刪除、修改、列表、詳情查看、搜索、分發(fā)功能?？舍槍τ脩?用戶組進(jìn)行分發(fā)，分發(fā)方式可使用推送安裝包、推送消息、不推送等。

八、MDM遷移方案

新平臺上線后，為保證新舊系統(tǒng)平滑切換，將實施如下步驟完成新舊平臺切換：（1）將舊系統(tǒng)數(shù)據(jù)全量遷移到新平臺。（2）部署新平臺，舊平臺不下線，新舊平臺雙軌并行。（3）舊平臺給所有設(shè)備分批推送新版本客戶端。考慮到推送后客戶端升級帶來的網(wǎng)絡(luò)帶寬壓力，每批次推送建議不多于2000臺設(shè)備。具體情況以實際情況為準(zhǔn)。（4）設(shè)備安裝新版客戶端后，訪問新平臺。（5）所有設(shè)備的客戶端均已升級到新版本客戶端后，舊平臺才可下線。（6）舊平臺下線后，將舊系統(tǒng)數(shù)據(jù)增量遷移到新平臺，遷移完成。

九、定制化支持

為便于未來針對MDM系統(tǒng)進(jìn)行定制化功能擴(kuò)展，系統(tǒng)從設(shè)計及實現(xiàn)上考慮，提供靈活的擴(kuò)展API。

9.1擴(kuò)展定制接口

接口說明：該接口主要定義MDM系統(tǒng)管理端的擴(kuò)展規(guī)范。

接口定義：業(yè)務(wù)擴(kuò)展接口（JSGap）業(yè)務(wù)集成接口（webPortal）

（1）業(yè)務(wù)擴(kuò)展接口（JSGap）是基于JavaScript構(gòu)建的一套完整的業(yè)務(wù)服務(wù)擴(kuò)展引擎，它提供一系列的接口適配、組裝能力，可用于為移動端、后端業(yè)務(wù)提供數(shù)據(jù)服務(wù)。

它提供的部分通用接口規(guī)范如下所示：

（2）業(yè)務(wù)集成接口（webPortal）是一個完整的門戶解決方案，基于J2EE的架構(gòu)，前臺界面部分使用Spring MVC框架，作為企業(yè)業(yè)務(wù)系統(tǒng)的統(tǒng)一入口和接入平臺，提供了登錄管理，鑒權(quán)驗證，資源、菜單管理，應(yīng)用集成及內(nèi)容管理等功能，主要是實現(xiàn)對現(xiàn)有業(yè)務(wù)系統(tǒng)的整合。它提供的主要接口如下：

9.2統(tǒng)一認(rèn)證接口

接口說明：該接口主要定義MDM系統(tǒng)中認(rèn)證接口的統(tǒng)一規(guī)范。

接口定義：authToken

9.3消息推送接口

接口說明：該接口主要定義MDM系統(tǒng)中的消息推送服務(wù)的統(tǒng)一調(diào)用接口規(guī)范。

接口定義：pushMsg

9.4應(yīng)用發(fā)布接口

接口說明：該接口定義MDM客戶端的應(yīng)用商店API接口規(guī)范。

接口定義：ApplicationStore Open API

十、MD 系統(tǒng)升級規(guī)則

MDM系統(tǒng)針對升級兼容問題，從技術(shù)架構(gòu)設(shè)計、接口設(shè)計、數(shù)據(jù)模型設(shè)計等各個環(huán)節(jié)綜合考慮，主要及關(guān)鍵的機(jī)制如下：

（1）接口版本號：。所有接口設(shè)計，添加嚴(yán)格的版本號兼容控制機(jī)制，根據(jù)版本號的不同做針對性響應(yīng)。如果是非強(qiáng)制性的升級導(dǎo)致的版本號差異，則原則上盡可能保證低版本的系統(tǒng)可以正常運行。如MDM客戶端與MDM管理端間的接口規(guī)范定義。

（2）API兼容。API的兼容設(shè)計，主要是考慮MDM客戶端的版本升級的自身功能、數(shù)據(jù)、設(shè)置等的兼容問題，如果是正常的應(yīng)用升級覆蓋的前提，則原則上盡可能保證升級后的應(yīng)用可用性、原始數(shù)據(jù)狀態(tài)正常。比如客戶端上的嵌入式數(shù)據(jù)庫的升級API設(shè)計，數(shù)據(jù)存儲的API設(shè)計，新版本增加使用的新功能的API兼容等。

（3）協(xié)議兼容。協(xié)議的兼容設(shè)計，主要是考慮MDM客戶端與MDM連接服務(wù)端間的兼容問題，主要包括的是基于TCP鏈路上的消息協(xié)議的兼容問題，比如新增加擴(kuò)展的協(xié)議，一定不影響原有的協(xié)議正常使用。

結(jié)論與展望

本文提出的移動管理平臺解決方案：一方面提供智能終端設(shè)備、應(yīng)用、內(nèi)容的統(tǒng)一管理，另一方面提供全面的安全防護(hù)。通過部署本移動管理平臺，可在不影響現(xiàn)有企業(yè)信息系統(tǒng)的前提下解決上述難題，實現(xiàn)如下三方面的價值：（一）大幅提升企業(yè)生產(chǎn)效率。實現(xiàn)員工在任何時間、任何地點進(jìn)行無線辦公，采用Push通知第一時間精準(zhǔn)分發(fā)企業(yè)應(yīng)用和文檔，使企業(yè)在激烈競爭的信息時代贏得市場先機(jī)。（二）全面降低企業(yè)成本。多操作系統(tǒng)移動設(shè)備、應(yīng)用、內(nèi)容統(tǒng)一管理，降低IT管理費用；利用員工的設(shè)備實現(xiàn)移動辦公，降低公司在設(shè)備資產(chǎn)方面的開支；監(jiān)控智能手機(jī)消費行為，引導(dǎo)合理套餐設(shè)定以節(jié)約話費。（三）充分保證企業(yè)數(shù)據(jù)及應(yīng)用商店的安全。設(shè)備定位、鎖定及數(shù)據(jù)擦除保護(hù)企業(yè)信息不外漏，采用全球最大移動安全知識庫讓企業(yè)應(yīng)用商店遠(yuǎn)離病毒干擾。如通過統(tǒng)一下發(fā)策略配置保證設(shè)備強(qiáng)制密碼設(shè)定，防止設(shè)備非法越獄，限制部分應(yīng)用、文檔的使用權(quán)限等。

參 考 文 獻(xiàn)

[1]湯瑪士.戴文坡.ERP進(jìn)階實務(wù)[M].商周出版，2011，12.

[2]吉爾伯特.托平，菲奧娜.切爾尼亞夫斯卡.企業(yè)咨詢[M].東北財經(jīng)大學(xué)出版社，2008，4.

[3]大島祥譽.麥肯錫工作法[M].中信出版社，2014，5.

[4]維克托.邁爾-舍恩伯格，肯尼思.庫克耶.大數(shù)據(jù)時代[M].浙江人民出版社，2013，1.

[5]Oracle Method CDM Quick Tour， Release 2.0.0， February， 2000.

[6] Oracle Method Application Implementation Method Handbook Release 3.0.0， August， 1999.

[7] Oracle Method Project Managemnt Method Handbook Release 2.6.0， March， 1999.

[8]曾躍.Oracle ERP實施方法論及其在通訊企業(yè)的應(yīng)用[D].碩士學(xué)位論文，西南交通大學(xué)，2004.

[9]徐寧.基于BPR的SR物流公司ERP系統(tǒng)構(gòu)建與實施研究[D].碩士學(xué)位論文，燕山大學(xué)，2012.

[10]趙志芳.基于xSimple的業(yè)務(wù)流程優(yōu)化研究[D].碩士學(xué)位論文，首都經(jīng)濟(jì)貿(mào)易大學(xué)，2008.

[11]李士強(qiáng).xSimple系統(tǒng)規(guī)劃與實施[D].碩士學(xué)位論文，南京理工大學(xué)，2013.

[12]羅永勝.CZ公司xSimples實施方法體系研究[D].碩士學(xué)位論文，廣東工業(yè)大學(xué)，2013.

[13]劉華.PCB行業(yè)Oracle ERP實施方案的改進(jìn)研究[D].碩士學(xué)位論文，電子科技大學(xué)，2012.

[14]白燕梅.中小企業(yè)實施ERP過程及方法的研究[D].碩士學(xué)位論文，吉林大學(xué)，2005.

[15]周玲.咨詢公司ERP咨詢項目實施風(fēng)險評估與對策研究[D].碩士學(xué)位論文，西安理工大學(xué)，2007.

[16]溫和.用友公司xSimple實施方法體系研究[D].碩士學(xué)位論文，吉林大學(xué)，2011.

[17]徐學(xué)軍.鄒明信.xSimple實施方法論研究[J].中國管理信息化，2006，7.

[18]丁正新.對我國中小企業(yè)xSimpless實施的研究[J].經(jīng)管空間，2014.

[19]崔錦杰.企業(yè)成功實施xSimple的實踐總結(jié)[J].信息與電腦.2014.

[20]盛如龍.ASAP實施方法論及其在奇華頓項目中的應(yīng)用[D].碩士學(xué)位論文，大連理工大學(xué)，2009

[21]張玉權(quán).xSimple實施過程控制方法及其在T集團(tuán)的應(yīng)用研究[D].碩士學(xué)位論文，北京郵電大學(xué)，2010

[22]汪曉華.Oracle ERP實施和估算方法的改進(jìn)研究與應(yīng)用[D].碩士學(xué)位論文，上海交通大學(xué)，2009

[23]史英杰.中國本土咨詢業(yè)發(fā)展研究[D].碩士學(xué)位論文，天津大學(xué)，2002

[24]趙靜怡.中國管理咨詢公司發(fā)展對策研究[D].碩士學(xué)位論文，復(fù)旦大學(xué)，2002

[25]吳亞軍.基于ERP實施影響因素的協(xié)同機(jī)制研究[D].碩士學(xué)位論文，西安科技大學(xué)，2006