王嘉延,楊杰,戴浩良(中國南方電網廣州供電局有限公司,廣州 510620)
企業移動應用安全超市技術架構研究
王嘉延,楊杰,戴浩良
(中國南方電網廣州供電局有限公司,廣州510620)
以智能手機、平板電腦的廣泛應用為標志的移動互聯網時代來臨,已經對包括電力行業在內的企業信息化進程帶來了深遠的影響。已經習慣于使用智能移動終端來進行交流、溝通和信息獲取的企業員工,提出了越來越多的企業業務移動化的要求。然而,企業移動化不是簡單地將企業應用遷移或移植到智能移動終端上就可以了,由于智能移動應用具有多平臺、開放性、小型化、碎片化、個人化和隨時更新下載等新的特點,對企業信息化管理,尤其是關系到國家能源安全的電力行業帶來了全新的挑戰。
企業移動化對電力企業信息化建設和管理帶來了全新的挑戰:
(1)包括iOS、Android、Windows Phone在內的智能終端平臺操作的多樣性差異和海量的移動應用,為企業移動化管理帶來巨大的挑戰;
(2)用戶已經習慣通過第三方公共應用市場,大量下載和更新移動應用,如何對企業移動應用進行統一安全發布管理,也是電力企業移動化建設面臨的新問題;
(3)移動智能終端應用接入和使用的身份認證問題;
(4)由此帶來的移動智能終端應用企業數據安全訪問問題。
針對以上在企業移動化中面臨的突出問題,結合電力企業信息化安全管理規范,南方電網廣州電力局的王嘉延、楊杰和戴浩良三人共同創新規劃和設計了面向未來電力企業移動應用管理的 “企業移動應用安全超市”的企業移動化應用管理平臺框架,有效解決了上面企業移動應用管理的四個問題。
目前,針對智能移動終端的移動應用分發,主要依賴于由蘋果公司首創的移動應用電子市場(App Store)模式。但是,包括蘋果公司在內的App Store,所分發和管理的移動應用,由于是對平臺內所有終端用戶都是開放的,更適合通用的移動應用的分發和管理。尤其是Android平臺,由于沒有對移動應用的來源做嚴格的審核和驗證,大量非原廠的第三方App Store已經占據了Android平臺的移動應用分發和管理的主要份額,例如有三星、華為這些手機廠商,也有91手機助手、運營商背景的各種電子市場,由此帶來移動應用管理存在巨大的安全風險和隱患。
因此,對于面向企業移動化的企業移動應用管理,尤其是企業內部使用的移動應用,這些由第三方管理的App Store顯然無法滿足企業移動應用管理的要求,尤其是對信息安全要求比較高的電力行業企業,更有迫切的要求能夠由一套安全和企業自主管理的App Store,用于對企業的移動應用進行統一管理,在保證安全的前提下,實現企業應用移動化提升企業信息化能力的目標。
基于以上考慮,筆者就建設符合電力企業移動化管理要求的“移動應用安全超市”的相關技術和架構進行了研究,并以這項研究為基礎,最終研發出“移動接入辦公平臺系統”產品,完全實現了移動應用安全超市的技術目標。
(1)建立企業移動應用超市系統架構
在目前企業的主流的智能移動終端系統平臺中,以蘋果公司為代表的系統平臺廠商,專門為需要自主主建設企業應用超市的企業,提供了一套完整的企業開發者計劃(“Apple Developer Enterprise Program”),允許申請加入該計劃的企業,除了在其提供的面向大眾的App Store之外,建設符合自身移動應用管理要求的企業移動應用電子市場。對于包括Android這樣的系統平臺,則由于其本身就沒有對第三方移動應用的發布做太多限制,允許企業建設自主管理的企業應用電子市場來自主進行移動應用的發布管理。
下圖是以蘋果公司的 “Apple Developer Enterprise Program”所提供的技術規范基礎上,結合電力行業企業移動化管理規范和特征,梳理出完全能夠滿足電力企業移動應用管理要求的企業移動應用超市體系框架圖如圖1所示。
圖1 企業移動應用超市體系框架
企業移動應用超市體系框架,主要包括兩大部分組成:“企業應用超市客戶端”和 “企業應用超市云平臺”,構建成“云+端”的企業移動應用管理體系。
(2)企業應用超市客戶端(以下簡稱平臺App)功能和體系架構
平臺App是安裝在企業用戶的智能終端上,作為企業移動應用發布的門戶和窗口。平臺App作為企業移動應用超市的用戶客戶端,不僅支持Android、iOS、WP等不同操作系統平臺,也同時能夠支持多品牌廠商、多種分辨率的智能手機和智能平板電腦。
圖2為平臺App軟件架構設計圖。
圖2 平臺APP軟件架構設計圖
為了保證平臺App具備的靈活性和可擴展能力,客戶端軟件劃分為四層,分別是“UI交互層”、“UI適配層”、“業務邏輯層”和“系統能力適配層”,以降低層次系統的耦合性。例如:通??蛻舳俗兓容^多的部分集中在UI交互層(調整界面布局、風格定制、更換主題等),這樣的劃分可以將變動限制在一定范圍內,減少變動引起的工作量,提高軟件的可維護性。
(3)企業應用超市云平臺功能和體系架構
企業應用管理云平臺,是企業移動應用管理后臺,為企業提供移動應用全生命周期的管理。企業應用超市云平臺由“企業移動應用超市”、“企業移動應用超市控制臺”、“企業移動應用超市門戶網站”和“企業移動接入管理”四個模塊組成。
●“企業移動應用超市”作為企業移動應用的管理核心,提供了包括“應用類別管理”、“應用來源管理”、“應用中心”、“應用分發管理”和“應用超市客戶端”管理的職責,能夠實現對應用簽名認證用于驗證應用的合法來源與完整性,確保應用安全,并與企業應用超市App客戶端,實現了企業應用管理全生命周期管理。
●“企業移動應用超市控制臺”是提供給企業移動移動應用管理人員對企業移動應用進行管理的門戶平臺。
●“企業移動應用超市門戶網站”則是直接面向企業內部員工和企業合作伙伴,了解企業移動應用發布和更新情況,下載更新平臺App,以獲得最新的平臺App版本更新。
●“企業移動接入管理”是整個企業移動應用超市的基礎支撐模塊,提供對智能終端設備、企業移動應用超市用戶進行實名身份安全認證和數據安全傳輸的能力,保證只有獲得企業授權的合法的用戶才能對企業進行安全訪問。
(3)企業移動應用超市平臺邏輯架構
企業移動應用超市作為面向企業移動互聯網信息化的創新型應用平臺系統,要求系統自身應具備移動互聯網平臺特性。由本文作者共同研究和設計的面向電力行業“企業移動應用安全超市”,就是按照云計算架構進行規劃和設計。如圖3所示。
南方電網廣州供電局已經在內部實施基于虛擬化技術的私有云計算基礎架構,可以直接對內提供IaaS模式的云平臺服務?!捌髽I移動應用安全超市”在設計的時候,就已經考慮能夠直接利用廣州供電局基于IaaS的基礎網絡運算能力,直接運行在廣州供電局的內部私有云平臺上,通過私有云平臺提供的強大的系統伸縮性和數據安全備份能力,保證“企業移動應用安全超市”持續穩定運行。
圖3 企業移動應用超市平臺邏輯架構
“企業移動應用安全超市云平臺”,則是按照PaaS云計算架構進行規劃和設計的。通過對企業移動應用超市的業務流程進行模塊化分離,能夠對外跨平臺的企業移動應用管理能力。
而“企業應用超市客戶端”則不僅僅只是設計作為執行移動應用分發單一功能的客戶端App軟件,而是在設計的時候,也充分考慮未來企業云計算應用前進,將客戶端同時設計作為SaaS化的企業移動應用訪問門戶,例如企業通訊錄,就是直接由平臺客戶端軟件直接提供的服務化的移動應用功能,不需要終端用戶另外安裝客戶端。除此之外,平臺客戶端內置基于HTML5應用支撐框架,作為未來基于SaaS的企業移動應用開發基礎,為未來企業移動化應用提供無限擴展能力。
(3)企業移動應用安全超市關鍵技術
除了以上所述的系統框架之外,下面的幾個關鍵技術問題,也是此次研究重點研究問題,以保證已經確定的系統框架,在電力行業具備實用性:
問題1:關于設備和用戶認證的問題。
身份認證是企業移動應用超市管理的關鍵的支撐技術。針對移動應用的復雜性,本文所規劃設計的“企業移動應用安全超市”按照目前比較成熟MDM安全管理技術,設計了一套結合智能終端設備自動設備、登錄用戶在線認證和移動電話在線認證等手段,實現基于終端設備及用戶的實名認證機制,保證只有合法的和安全的設備和用戶才能使用和訪問企業移動應用超市。
問題2:數據安全共享問題
由于電力行業對數據安全性要求比較高,尤其是企業移動應用會需要直接訪問電力企業的內部系統數據。未來保證數據傳輸的安全?!捌髽I移動應用安全超市”內建基于SSL VPN的數據安全通道加密技術,所有移動應用都只能通過該安全通道,對企業進行系統訪問和數據交換,保證數據傳輸和共享的安全。
問題3:移動終端數據安全保密的問題。
針對移動終端可能存在遺失的情況,“企業移動應用安全超市”的平臺客戶端內建動態數據安全區,保證數據在移動端的安全性。并結合MDM設備安全管理技術,實現遠程安全擦出數據、鎖定手機的機制,保證數據安全使用和存儲。
經過研究,確定以安全云計算基礎架構參照,構建符合電力企業移動信息化建設要求的 “企業移動應用超市”,作為企業移動應用承擔發布、更新和升級的管理平臺,實現對企業移動應用全生命周期管理。結合實名制終端設備和用戶管理技術、基于SSL VPN的數據安全通道技術和終端數據安全技術,保證“企業移動應用超市”完全符合電力企業信息安全合規管理要求,在企業移動信息化體系中發揮持久的效能。
[1](美)林西克姆著.云計算與SOA[M].馬國耀譯.北京:人民郵電出版社,2011.1.
[2](美)德維威迪著,移動應用安全[M].李祥軍,羅熊等譯.北京:電子工業出版社,2012.2.
[3]閔棟,劉東明.移動應用商店跟蹤研究[J].北京:電信網技術,2010.2.
Enterprise Mobility;App Store;Mobile Application Security Supermarket;Information Security;Cloud Computing Architecture
Research on the Technology Structure of Enterprise Mobile Application Security Supermarket
WANG Jia-yan,YANG Jie,DAI Hao-liang
(China Southern Power Grid Guangzhou Power Supply Bureau Co.,Ltd.,Guangzhou 510620)
1007-1423(2015)27-0054-04
10.3969/j.issn.1007-1423.2015.27.015
王嘉延(1980-),男,廣東廣州人,碩士,從事領域為廣州供電局信息運行管理工作
楊杰 (1981-),男,廣東廣州人,碩士,從事領域為廣州供電局信息運行維護管理工作
戴浩良(1980-),男,廣東江門人,碩士,工程師,從事領域為網絡及安全方面的運維管理
2015-07-14
2015-09-09
針對電力企業移動化建設過程中,如何實現大量的企業移動應用進行全生命周期的管理問題,提出企業移動應用安全超市的企業移動應用管理架構體系,并結合實名制終端設備和用戶管理技術、基于SSL VPN的數據安全通道技術和終端數據安全技術,提出一套完全符合電力行業移動應用管理架構和技術方案,有效解決電力企業移動應用全生命周期管理的問題。
企業移動化;應用電子市場;企移動應用超市;信息安全;云計算
According to solve the problem of the mobile application lifecycle management in of the electric power industry,creates a new app store named Mobile Application Security Supermarket.Based on SSL VPN secure channel,cloud computing architecture and terminal data security technology,solves the problem of the mobile application lifecycle management perfectly.