华中药业移动信息化解决专业方案.doc

1、华中药业移动信息化处理方案中国移动通信集团湖北襄阳市分企业3月目录1 概述42 现实状况分析52.1 现实状况52.2 需求分析52.2.1 总体需求52.2.2 具体需求63 处理方案63.1 系统架构63.2 功效架构74 方案应用94.1 手机用户端功效94.2 短信功效94.3 移动化适配技术94.4 邮件推送应用144.5 安全处理方案154.5.1 专线接入154.5.2 VPDN拨号154.5.3 内外网安全隔离164.5.4 应用系统安全18图表目录图目录图 31 移动办公系统组网架构8图 32 移动办公系统组网架构8图 41 移动化应用插件11图 42 “移动办公”手机用户端

2、界面示意11图 43 Pushmail示意图12图 44 移动专线接入示意图13图 45 端到端VPDN通道13图 46 防火墙安全访问控制14图 46 网闸组网方案151 概述中国移动移动办公业务满足现代企业办公热点要求和发展要求，提供以企业短信、企业彩信、移动邮件为主基础移动通信应用，和办公管理、信息管理等应用为主移动化延伸应用。同时，移动办公还能面向企业协同办公、专业办公需求、提供移动ERP、移动CRM和企业行业应用移动协相同更丰富、更复杂综合移动办公业务功效。基于3G互联网手机移动办公系统，既摆脱了以往基于定点办公不足，又摆脱了基于笔记本电脑基于移动办公携带不便，实现办公信息以无线方法

3、进行流转，不管人员身处何处，全部能够很方便地进行日常办公，从而实现比传统模式愈加便捷、灵活、高效协作方法，为企业提供信息共享和信息集成办公平台。中国移动移动办公系统完全遵照相关业务规范开发，能够完全满足移动办公业务需求。中国移动在移动办公领域经过长久市场调研和实践，广泛和政府、工商、金融、电力、钢铁、物流、医药、卫生等多种行业展开合作，提供一系列有针对性、便捷高效优异行业应用处理方案，塑造了一大批移动信息化成功应用案例，帮助政府部门和集团企业取得了更大发展。2 现实状况分析2.1 现实状况华中药业业务规模大，职员数量多，经过多年信息化建设，华中药业在办公自动化方面已基础实现信息化改造，实现了网

4、上公文上传下达、邮箱、通知公告、新闻等应用。信息化改造不仅给华中药业带来了工作效率提升，也从侧面对职员生产、生活带来了便利。但伴随职员对信息化系统依靠程度提升，基于固网信息化系统也从侧面约束了华中药业日常工作开展，常常出差或驻外管理人员及一线业务人员要实现网上办公很不方便，有时反而会被固网应用系统困在了办公室里。对于业务较为分散部门，尤其像华中药业这么业务步骤较为复杂，基于固网应用系统已经无法满足企业正常办公、监管和维护工作需要，日常公文和业务信息查询和反馈不立即，将造成人员信息沟通不畅甚至不对等，进而影响到华中药业工作效率。集团日益复杂化业务系统和人员对移动办公需求不停提升，使得华中药业布署

5、移动办公需求日益迫切。伴伴随无线通信技术不停革新和企业信息化建设快速发展，现代办公模式也在发生着不停改变，实时性、移动性、互动性成为现代办公关键特点。“移动办公”作为无线通信业和信息产业结合产物应运而生，成为继电脑无纸化办公、互联网远程化办公以后新一代办公模式。“移动办公”以手机终端为载体，利用无线网络和宽带网络和企业信息化系统进行连接，建立起一套可移动化应用信息系统，帮助用户摆脱时间和场所限制，实现随时随地随意高效迅捷办公。医药是一个竞争猛烈行业，为了提升企业关键竞争力，就要求提升运行效率，促进企业内部信息沟通和管理。2.2 需求分析2.2.1 总体需求医药行业信息化建设已全方面展开，打造了

6、成熟企业信息化平台，涵盖办公、邮件、公文、新闻、通知公告、通讯录等各个步骤，有效提升了医药行业标准化经营管理。面对日趋猛烈市场竞争，医药行业对信息技术工作产生了新需求：在确保企业信息安全前提下，对企业信息系统进行移动化延伸和扩展，从而摆脱对固定办公场所和固定网络信息化业务系统依靠，真正实现随时随地随意办公外部需求。2.2.2 具体需求1、领导会议日程比较繁忙，外出期间领导期望经过手机收到会议提醒、会议改期通知，以免耽搁关键会议；2、电子邮件是现在办公关键手段，领导期望不在办公室时候也能够查看、回复关键邮件；3、领导外出时，需要不受场地和网络局限签批关键文件。待批公文抵达时，领导将收到提醒短信，

7、领导能够依据公文标题和摘要决定是否登陆移动办公系统、签批关键文件。4、职员或领导外出时，无须携带纸质通讯录，也无须在手机上存放大量联络人，只需要登录办公系统就能够随时查看同事、用户通讯录信息。5、随时随地全部能够查看企业通知公告，新闻等，立即了解信息。3 处理方案针对华中药业上述需求，中国移动能够提供全套“移动办公”处理方案，将医药行业已经有企业信息系统和手机移动化优势结合起来，利用手机终端构建规范统一移动信息化平台。中国移动“移动办公”处理方案包含以下三个部分：手机适配方案对医药行业已经有信息系统进行手机适配，实现移动化延伸短信推送方案借助运行商提供移动化服务，提供方便短信、彩信群发邮件推送

8、方案结合医药行业已经有邮件系统，实现移动邮箱功效3.1 系统架构基于中国移动移动办公业务设计处理方案，只要有GSM/TD-SCDMA无线网络信号覆盖地方，就能够利用手机等移动终端设备审批公文、查看公告、公布信息、实现通讯录管理，进行信息沟通和数据传输，提升企业内外办公工作效率。网络结构图以下：图 31 移动办公系统组网架构3.2 功效架构MAS系统功效架构以下图所表示：图 32 移动办公系统组网架构1）业务处理模块对从企业IT系统接收到数据信息进行处理，可包含信息处理及路由、用户认证、业务调度、日志处理和QoS控制等功效。l 用户认证模块： 对使用本平台用户（管理员和企业用户）进行认证和鉴权；

9、l 业务调度模块： 对预约服务和周期性服务进行自动调度、对大量并发需求进行调度；l 排队调度、对因偶然原因而失败操作，进行重新尝试；l 日志处理模块： 包含用户访问日志处理、用户操作日志管理；l QoS管理模块：包含管理和限制各项业务所使用系统限额，调整各项业务资源；l 运行优先级，保障各项服务顺畅，使系统资源得到最大利用。2）通信接口模块经过业务引擎提供接口协议，实现服务器和业务引擎之间数据通信，包含短信、彩信、Wappush、邮件推送、协同通信等。3）管理模块完成系统自管理和服务，应包含网管接口和认证鉴权接口，可包含业务导航、路由管理、业务管理、数据管理、应用公布、统计分析、地址本管理、系

10、统配置管理等。通信能力支持：系统支持通信能力包含：短信收发能力、彩信收发能力、WAP通信能力、WEB通信能力、通信能力控制、失败重传机制、上行缓存队列溢出处理功效。4 方案应用4.1 手机用户端功效 一、公文审批立即查阅审批公文，提升公文流转效率，为领导管理工作带来帮助；具体实现功效模块以下：二、移动邮箱邮件被推送到手机上，以方便用户立即查阅回复。附件支持两种查阅方法：在线浏览和下载至手机离线阅读；三、企业公告实时公布企业信息系统各类公告，便于外出时了解企业动态，也方便领导管理；四、企业通信录实时获取最新企业内部人员联络方法。联络方法变更时，只需在企业通信录上更新，企业内部人员全部能够得到更新

11、后信息；五、会议管理当企业要举行会议时，会议管理员在系统中创建会议。会议创建后，系统会自动将会议通知发送到和会者手机上，和会者能够经过会议管理功效查看会议具体信息，包含：会议时间、会议地点、会议议题、会议准备材料。4.2 短信功效公文抵达通知新公文抵达时，发送提醒短信给用户，短信内容包含公文名称、等级、内容摘要等，用户能够依据短信内容决定是否登陆用户端即时签批；邮件抵达通知新邮件抵达时，能够发送提醒短信给用户，短信内容包含发件人、邮件专题等；会议日程提醒依据日程表中统计会议安排，提前发送提醒短信给用户，便于用户合理安排时间，以预防用户因为事务繁忙耽搁关键会议；会议改期通知会议改期时经过短信立即

12、通知和会者，当用户外出办公时短信通知是最高效且普遍适用方法；企业公告公布企业信息系统中有新公告公布时，发送短信给用户，简单内容能够直接包含在短信内，复杂内容提供摘要，提醒用户登录用户端查看；4.3 移动化适配技术经过在移动办公MAS服务器上集成移动化应用插件，能够实现企业现有信息系统基础保持不变情况下，将现有PC应用延伸到手机，实现经过手机登录现有IT系统，以下图所表示：图 41 移动应用引擎移动应用引擎支持多个数据接口方法，实现手机应用和现有系统耦合。依据华中药业系统特点，适合页面解析、转换接口模式以下是手机用户端适配后使用界面示意图：图 42 “移动办公”手机用户端界面示意以下是手机WAP

13、方法范围适配后界面示意图：使用该方案能够处理绝大部分B/S架构IT系统手机移动化应用要求，而且无需对现有系统进行更改，可操作性高。假如系统中采取了微软ActiveX等专有控件，则需要现有系统厂商提供配合，以开放接口技术等方法配合完成适配工作。经过适配技术实现手机审批功效以下：日常工作审批功效模块说明讨论沟通指定讨论人经过手机填写讨论意见请示和批复请示和批复审批出差申请出差申请审批新闻及公告新闻及公告查阅日常请示日常请示审批借条借条确定、归还确定企业办事务审批功效模块说明企业办资料报送企业办资料报送手机审批通常办公物资维修通常办公物资维修手机审批复印、打印申请复印、打印手机办公用具领用办公用具领

14、用手机审批计算机相关设备及软件采购计算机相关设备及软件采购手机审批发送传真发送传真手机审批车辆调派车辆调派手机审批计算机及相关设备维修申请计算机及相关设备维修申请手机审批企业通知功效模块说明通知通知公布手机审批费用相关功效模块说明付款申请付款申请手机审批考勤相关功效模块说明请假申请请假申请手机审批协议管理功效模块说明协议审查及用印申请协议审查及用印申请手机审批采购管理功效模块说明管理部门物资采购申请管理部门物资采购申请手机审批档案管理功效模块说明档案借阅档案借阅手机审批档案归档档案归档手机审批质管资料借阅申请质管资料借阅申请手机审批法律事务功效模块说明授权申请授权申请手机审批案件呈报案件呈报手

15、机审批生产事务功效模块说明生产用设备采购设备维修申请手机审批设备维修申请设备维修申请手机审批生产事务功效模块说明生产用设备采购设备维修申请手机审批设备维修申请设备维修申请手机审批介绍信功效模块说明华中药业接待外来人员华中药业接待外来人员手机审批4.4 邮件推送应用经过移动办公MAS提供邮件推送能力，能够实现端到端Pushmail能力。区分于传统“Pull”型收取邮件方法，Pushmail能够在用户邮件服务器收到新邮件后第一时间主动将邮件推送到用户端手机终端，无需手机一直在线。图 43 Pushmail示意图l 支持POP3/SMTP、IMAP4、Exchange、Domino等多种内外网邮箱系

16、统；l 真正离线Pushmail，无需手机一直在线，省电省流量；l 支持附件在线预览方法，提供更强大附件能力支持；l 提供灵活邮件推送策略，满足不一样场景应用需求。4.5 安全处理方案4.5.1 移动专线接入企业可申请采取物理专线方法将企业侧MAS服务器接入移动网络。图 44 移动专线接入示意图SDH/E1专线接入含有可靠、简单、高效、安全、时延小特点。l 能提供高性能点到点通信，通信保密性强，尤其适合保密性要求用户需要；l 传输质量高，网络时延小，信道固定分配，充足确保了通信可靠性，确保用户带宽不会受其它用户影响。4.5.2 VPDN拨号（移动专用接入点cmmail）移动办公业务手机用户端通

17、常采取WAP或用户端接入MAS服务器，假如企业期望有更高通信私密性，能够经过在企业侧布署LNS，在手机用户端到MAS服务器之间实现VPDN方法接入。图 45 端到端VPN通道采取这种方法，要求企业侧布署LNS，包含路由器、认证服务器、防火墙等设备，而且要求手机终端必需支持VPN拨号方法。4.5.3 内外网安全隔离（网闸设备）方案中MAS服务器需要同时连接企业内部信息系统和外部移动网络，所以需要考虑内外网安全隔离问题。中国移动提议将MAS服务器布署在企业内部边界防火墙非军事区（DMZ）内，并置于防火墙安全保护之下。图 46 防火墙安全访问控制l 经过防火墙NAT功效将MAS服务器内网地址静态映射

18、成可和电信运行商通信外网地址。l 经过边界防火墙能够有效地限制移动通信网络侧只能访问MAS服务器对应端口和服务。l 经过防火墙安全策略可拒绝和阻断来自广域网、专线和政企内网非授权访问和攻击。同时，MAS服务器作为布署在政企内部一个独立服务器单元，可深入将其置于企业其它安全系统保护之下，如经过企业网内现有入侵检测系统、漏洞扫描系统和网络防病毒系统对MAS服务器制订其安全访问、安全保护策略和规则。对于华中药业，为了避免信息外泄和网络病毒侵扰等网络危害，内部信息系统网络可能是和外网完全物理隔离，之间没有任何信息交互。这种情况下，单纯使用防火墙安全访问控制这种逻辑隔离已经不能满足内外网隔离需求，需要引

19、入含有更高安全等级物理隔离网闸处理方案。图 47 网闸组网方案当内网数据需要发送到移动网络时，网闸主动向内网服务器数据交换代剪提议数据连接请求，并发出“写”命令，将写入开关合上，并把全部协议剥离，将原始数据写入网闸内存放介质中。一旦数据完全写入网闸存放介质，立即中止和内网连接，转而提议对外数据连接请求，当MAS服务器收到请求后，发出“读”命令，将网闸存放介质内数据导向MAS服务器。MAS服务器收到数据后，按TCP/IP协议重新封装接收到数据，交给应用系统，完成单向信息交换。内外网安全隔离和数据是经过两个相互独立单向通道进行，即外网到内网单向迁移通道和内网到外网单向迁移通道。网闸可支持数据库访问

20、、FTP访问、HTTP访问等多个应用类型，能够满足短信、彩信、Pushmail、移动OA等移动办公业务需求。4.5.4 应用系统安全1）多重身份验证对于移动办公业务，能够提供高安全用户名、手机号和密码三重绑定，确保用户账号和手机号实施绑定。对于更高安全需求，还能够实现手机机体（SIM卡IMSI号或手机ESN号）和用户账号绑定。ESN是手机身份识别码，俗称串码，和手机号码没相关系；IMSI是网络接入识别码，是一个手机号码唯一身份证实。当用户域内SIM卡在PDSN上登录时，PDSN需查对SIM卡IMEI号码及用户名及密码，正确无误后，将分配域内SIM卡指定私网IP地址。当用户开通移动办公业务时，M

21、AS服务器登记其SIM卡IMSI号，当用户手机登录MAS时，同时对其系统账号和获取到IMSI号进行匹配验证，同时验证经过后，才能使用MAS业务。2）高强度密码和强制密码输入用户每次登录系统，均需强制输入密码，不许可在手机端保留密码；设置用户密码使用期，超出使用期后，可强制用户修改密码；设置用户密码长度范围，同时能够设定限制用户密码必需同时包含字母和数字；设置登录错误次数限制，只许可用户每次登录尝试可设定次数密码，超出要求次数，将自动在一段时间内中止登录系统，以预防对用户密码穷举攻击。3）停用锁止当用户手机丢失，可汇报管理员，由管理员在系统中将丢失手机列入黑名单，系统锁定用户全部数据，并阻止用户登录。确保用户机密信息不会泄漏。4）炸弹消息当用户丢失手机或手机使用权发生更变时候，移动办公产品可发出炸弹消息，利用炸弹消息清空用户手机中移动办公相关全部资料。5）离线数据加密移动办公产品手机用户端上保留离线数据（如邮件、帐户信息、通讯录等）支持128位高强度AES加密存放，确保了数据保密性和完整性，预防数据被非法获取或篡改。