中国海事局部局移动办公系统解决方案

中国海事局部局 移动办公系统解决方案

中国联合网络通信有限公司

2012年5月

中国海事局部局移动办公系统解决方案

目 录

1、 项目概述 ............................................................................................................................... 1 1.1、 项目背景........................................................................................................................ 1 1.2、 业务现状........................................................................................................................ 1 1.3、 项目需求........................................................................................................................ 2 2、 项目建设目标和原则 ........................................................................................................... 3 2.1、 建设目标........................................................................................................................ 3 2.2、 建设原则........................................................................................................................ 4 2.3、 建设范围........................................................................................................................ 5 3、 移动办公解决方案 ............................................................................................................... 6 3.1、 总体方案架构 ................................................................................................................ 7 3.2、 系统数据接口模式 ........................................................................................................ 9 3.3、 软件功能........................................................................................................................ 9 3.4、 应用效果...................................................................................................................... 13 3.5、 移动终端选型 .............................................................................................................. 14 4、 业务功能设计 ..................................................................................................................... 15 4.1、 系统登录权限 .............................................................................................................. 15 4.2、 系统首页...................................................................................................................... 16 4.3、 邮件管理...................................................................................................................... 16 4.4、 通讯录管理 .................................................................................................................. 24 4.5、 公文管理...................................................................................................................... 25 4.6、 通知公告...................................................................................................................... 28 4.7、 新闻 ............................................................................................................................. 29 4.8、 文件查询...................................................................................................................... 30 4.9、 综合查询...................................................................................................................... 30 4.10、 终端管理.................................................................................................................... 32 5、 安全保障方案 ..................................................................................................................... 32 5.1、 网络安全...................................................................................................................... 32 5.2、 主机安全...................................................................................................................... 35 5.3、 应用安全...................................................................................................................... 37 5.4、 终端安全...................................................................................................................... 37 6、 软硬件配置 ......................................................................................................................... 38 6.1、 硬件配置...................................................................................................................... 38 6.2、 软件环境...................................................................................................................... 39 7、 总体方案特点 ..................................................................................................................... 39

中国海事局部局移动办公系统解决方案

1、项目概述

1.1、项目背景

当前，信息化开始迎来了移动化时代，各级政府对于移动办公需求强烈。海事部门从自身发展要求提出了“科技强局”的发展战略，完成了海事信息系统顶层设计，顶层设计中提出充分利用云计算、物联网、移动互联等新理念、新技术全方位提高海事监管、服务、应急反应等能力，转变管理方式，建设“四型海事”，实现海事科学发展，海事管理向着更加注重精细化管理、更加注重发展质量提高、更加注重海事服务水平提升、更加注重深层次和全局性问题解决的方向转变。

海事信息化自2000年启动建设以来，已取得了长足发展。信息化应用全面覆盖海事业务，网络建设形成了一定的规模。目前海事系统开发了30多个业务系统，建立了覆盖部局、各直属局、分支局、海事处的海事专网。在移动办公系统建设方面，各直属海事局已全部建立自己的办公自动化系统，部分直属局在内部办公系统的基础上整合了相关业务系统并通过3G网络实现了移动办公。

根据交通部海事局2011年信息化工作安排，交通部海事局将建设覆盖局机关全体工作人员的移动办公系统。该系统作为部局信息化系统顶层设计理念的具体实践，也是推进“四型海事”构建的重要驱动和有力支撑，对于促进全国海事系统政令畅通、规范行政管理、提高工作效率具有重要意义。

本项目技术方案设计将按照顶层设计中提出的信息化框架目标，构建标准统一、功能完善、安全可靠，可扩展、易于维护、兼顾个性化的移动办公系统。为部局机关工作人员提供一种便捷、灵活和具有跨地域性的办公手段，使员工无论身在何处，都能随时随地访问内网办公系统及时处理工作。

1.2、业务现状

目前，部局已经建设了内、外部网站及邮件系统，在吨位丈量系统中建

1

中国海事局部局移动办公系统解决方案

立了海事电子印章平台，但尚未建立自己的OA系统，收发文、行政管理仍采用传统的手工处理方式；档案系统使用交通部统一下发的档案管理系统。

各直属海事局已全部建立自己的办公自动化系统，部分直属局已经使用RTS系统，部分直属局在内部办公系统的基础上整合了相关业务系统并通过3G网络实现了移动办公。

业务系统方面：部局已有船舶动态系统、船员管理系统、船舶登记系统、VIS、VTS等业务系统，也有实现数据查询等移动化办公的需要。

1.3、项目需求

随着海事局工作的发展，业务区域越来越大，面临着员工出差频繁的问题，需要提供一种便捷、灵活和具有跨地域性的办公手段，使机关工作人员无论身在何处，都能实现随时随地访问内网办公系统及业务系统。

系统用户最终要面向部局机关工作人员，规模约300人。

1.3.1、功能需求

普通工作人员、机关领导需要通过移动终端安全高效访问新建OA系统中各个功能模块，包括待办事宜、公文查阅审批、通知公告、公共信息、移动邮件等模块，并且不同级别用户有不同权限，可使用各模块中的不同功能。除了移动OA之外，还需要将船舶动态、船员管理、船舶登记三个系统实现移动化，只需要实现简单的浏览类功能即可。

1.3.2、技术需求

应充分考虑系统的可靠性，采用开放和标准的系统架构，终端系统将充分考虑应用实用性，真正为工作带来便利，以及系统的可扩展性和与其他直属局移动办公系统的兼容性。

1.3.3、管理需求

对系统的管理需要实现移动办公业务方便的开通，业务使用的操作日志管理，使用统计，实时监控，客户端程序的自动更新和升级。同时形成《中国海事局移动办公建设指导意见白皮书》作为指导各直属局移动办公系统建设（改造）的规范文件。

2

中国海事局部局移动办公系统解决方案

1.3.4、安全需求

面对海事局信息系统，要通过公网访问这些核心信息资源，就面临着非法访问、信息窃取等越来越多的来自外部的安全威胁，有必要实施适当的信息安全策略，在严格防止机关信息资源被非法窃取的同时，对合法的访问要提供方便。鉴于海事局属于行政执法单位，其系统建设因此需从身份认证、信息保密、信息完整性、行为抵赖、安全隔离、必要的网络安全防护、以及安全管理等方面进行全面的安全考虑。

2、项目建设目标和原则

2.1、建设目标

本次移动办公系统建设主要目标：建设高质量、高效率、覆盖面广的移动办公系统使部局机关工作人员通过使用手持移动终端设备，借助3G、互联网网络，通过统一安全认证的方式，在任何时间、地点能够实现公文处理，各类海事信息查询，内网邮件处理，日常行政事务处理，同时提供智能提醒等功能。通过该系统地应用提高海事工作人员的工作效率，降低工作强度。

业务功能包括协同工作、公文管理、电子邮件、文档管理、日程、计划、会议和公告信息等内容。

考虑到移动终端屏幕尺寸的大小、以及用户操作的简便性，移动终端的业务特征是以快捷的方式、图形化的操作界面、较少的文字输入，提供移动性办公环境中使用频率较高的功能，因此手机终端提供的业务功能总体上是整体业务功能的一个子集。

（1） 创造全新的办公环境

移动办公打破了办公地点的物理限制，工作人员再也不受限于办公位置，使得用户成为有线专网和无线专网上的一个虚拟的实体。办公环境整体复制于不同的时间与地点，实现办公环境随身携带，无论同城或异地，都能拥有在办公室工作的同等效率，实现办公环境的无差异化。

（2） 提高办公效率

3

中国海事局部局移动办公系统解决方案

针对机关领导及相关人员工作的移动性、突发性、紧急性等特点，移动办公系统实现了出差及外出办公的领导实时与单位的数据中心交换信息；实现外出领导随时掌控日程安排，并能随时处理紧急公文和会议结果批复，实现高水平的OA自动化建设，提高日常工作效率。

（3） 打造协同办公环境

移动办公产品基于信息化建设的概念，为机关打造信息化办公环境。在信息化办公的环境中，打造协同办公环境，使单位各级职员都处于一个协同办公平台中，各司其职，协同处理应急事件、突发事件、重大事件，保证单位领导及决策层对工作的宏观监控，并有效提高协同办公的工作执行力，打造团队整体协同作业环境。

2.2、建设原则

系统建设应充分考虑中远未来技术发展和办公应用发展的变化要求（如Web 2.0类应用层出不穷），为中远搭建有效的互联网工作平台，因此对这两类系统的设计需要遵循不同的系统设计原则：

? 规范性原则

软件设计严格执行国家有关软件工程和行业标准，保证系统质量。 ? 开放性原则

整个系统遵循开放性架构的设计要求，采用标准开放的接口协议与开发平台，为用户提供统一的、开放的各种能力调用。并且整个业务的维护与发展不依赖于设备厂商，可以保证在现有系统上对业务进行持续升级和发展。系统建设中充分考虑了“标准和开放”的原则，要支持各种相应的软硬件接口，使之具有灵活性和延展性。

? 互不影响性原则

任何一个政府与企业的IT系统建设都是一个长期的过程，系统建设之后的维护与保障也是对整个单位有着重要的影响，因此一套优秀的、正确的系统应当是与原系统互不影响，能够在独立运行的情况下也能够保证与原系统进行业务交互。移动办公产品通过优秀的架构设计，可以通过多种数据交互方式与原系统的接驳，让原系统在尽量不改造的情况下实现移动

4

中国海事局部局移动办公系统解决方案

办公业务。

? 安全性原则

移动办公是一个无线业务，与传统互联网业务的安全机制不同。涉及3G无线接入网络、VPN/VPDN网络、海事局内网三网之间数据交换，所有网络布局和应用开发必须在符合《交通运输部海事局信息系统信息安全等级保护定级建议报告》、《信息系统安全等级保护基本要求》要求的前提下展开，系统建设应包括终端数据安全、无线网络传输数据加密、服务器数据安全等，能够全方位的保证系统的安全。

? 易用性原则

移动办公需要通过终端来操作才能体现出优越性，对于大部的客户来说，终端的操作并非一开始就能够适应。移动办公系统应具有良好的人机交互界面，使用户可以在最短的时间内完成各种操作，让用户（特别是一些领导）在最短的时间内掌握系统的使用方法。

2.3、建设范围

中国海事局移动化应用系统包括移动OA，以及对部分业务系统的移动接入（通过业务系统接口实现对船舶、船员、船检数据的查询）。

基于OA系统建设移动办公系统，实现OA系统部分功能在移动终端的应用，具体建设内容包括：

（1） 移动终端软件开发：为各种主流操作系统的移动终端提供智能客户端软件和后台支持。

（2） 标准接口：提供标准的数据接口、软件二次开发接口、网络接入接口等，为系统扩展提供支持。

（3） 安全认证：采用网络专线接入技术，用户账户、手机号和手机设备号等多重绑定，防止密码穷举攻击；使用CA数字证书进行远程登录的身份认证，保障外部用户服务的安全，确保外部用户的真实性和唯一性。

（4） 移动办公：通过移动终端登录OA系统，实现待办事宜、公文流转、信息交流、个人办公、知识资源、系统维护等功能的正常使用。

（5） 综合查询：能够查询船舶、船员、船检等海事业务信息数据，支持模糊查询、精确查询、定制查询、关联查询、紧急情况个性化设置查

5

中国海事局部局移动办公系统解决方案

询等查询方式。

（6） 后台管理和数据服务：实现用户管理、用户权限管理、字典维护及后台数据服务。

3、移动办公解决方案

中国海事局移动办公系统是基于WCDMA 3G高速网络、终端适配和各种信息安全技术，实现办公系统的移动化应用。只要在WCDMA 3G网络覆盖的地方，用户都可以通过手机终端、笔记本、上网本，高速、稳定、安全的访问OA、邮件等办公系统，随时随地处理公文、收发邮件、查询信息。

根据不同工作条件、办公终端情况，分为两种应用场景，以满足不同的工作需求：

手机移动办公：当用户在一些非固定场所或紧急情况下，如没有固定办公场所、不方便用手提电脑办公，或者需要现场及时处理公文、收发邮件、查询信息等，可通过手机终端，在有WCDMA 3G网络覆盖的情况下进行移动办公，这种方式方便快捷、应用简单。

手机移动办公产品由移动办公平台、终端客户端、业务功能适配开发三部分组成：

模块 功能摘要 备注 基础软件平台，实现与现有系统对接。还有一些其他增值模块，基础功能包括统一登录管理、文档解系统平台 析服务、网络优化服务、统一推送服务、适配工具，以及终端客户端程序。 通过电子市场或OTA方式安装在用户终端客户端 终端上的应用程序。 客户应用系统功能模块的适配开发，业务功能适配需要根据客户需求进行定制开发，有开发 一定的开发工作量。 不改变原有业务系统。 服务等。 包括多重校验、智能更新电脑远程办公：当用户在一些固定场所，如家中、餐厅、咖啡厅、车

6

中国海事局部局移动办公系统解决方案

站等，可以方便放置电脑，并需要进行发文、附件编辑上传等复杂工作时，适合通过笔记本、上网本等，通过WCDMA 3G网络进行移动办公。采用e盾卡、数字证书、SSL VPN网关保证系统安全。

3.1、总体方案架构

移动办公系统的总体架构图如下：

终端侧 网络侧 海事局内网 客户侧 OA系统 船舶 船员 船检 其他系统 移动应用服务平台 海事系统内网 安全隔离区 移动应用接入代理服务平台 应用服务区 VPDN接入平台 客户侧安全防护（防火墙、SSL VPN、入侵检测等） 边界保护区 3G移动网络 VPDN网络 手机 笔记本 上网本 上网卡 安全SD卡 安全保障、CA认证服务 移动办公系统的网络拓扑图如下：

7

中国海事局部局移动办公系统解决方案 移动终端安全隔离及信息导入系统手机软证书移动应用服务器运营商VPDN网络防火墙笔记本电脑3G上网卡安全SD卡LNSSSL VPN认证网关交换机数据交换系网闸数据交换系统内主机统外主机内网交换机OA系统移动应用代理服务器上网本安全SD卡邮件系统AAA服务器船舶动态、船员管理、船舶登记系统终端侧网络侧边界保护区应用服务区安全隔离区海事局内网CA认证中心CA认证服务区

终端侧：支持手机、笔记本、上网本等移动终端。在手机上安装客户端软件，并采用数字证书认证通过后，实现公文处理、浏览公告、通讯录、收发邮件等移动办公相关功能展现。笔记本或上网本采用集成在SDKey里的CA证书进行身份认证，并通过SSL VPN网关实现网络通道加密。

网络侧：提供WCDMA 3G网络通道，以及联通VPDN网络。

边界保护区：包括防火墙、入侵检测、安全审计、漏洞扫描、SSL VPN认证网关、LNS和3A服务器。SSL VPN认证网关用于SDKey证书用户的身份认证，认证通过后建立SSL安全隧道。LNS和3A服务器用于手机用户的VPDN认证，并建立L2TP安全隧道。

应用服务区：包括移动应用接入代理服务器，移动应用接入代理服务器通过网闸与内网移动应用服务器进行数据交换，即使应用服务区受到攻击，也不会殃及内网安全。

安全隔离区：主要通过网闸实现海事局内网和应用服务区的数据交换，保证内网不被攻击。

海事局内网：包括移动应用服务器和海事局内网的各类业务系统。移动应用服务器采用手机适配技术，与内网业务系统对接，通过http方式访问业务系统，采用页面抓取分析、格式转换、页面重排等技术，将客户的业务系统适配到手机上，重新排版，使系统界面在用户手机上完美展现。

8

中国海事局部局移动办公系统解决方案

CA安全认证服务区：采用CA认证，为移动办公系统提供CA证书受理服务。

各区域服务器：在各区域服务器部署内网安全管理软件，防止非法外联。

3.2、系统数据接口模式 海事局移动OA平台页面适配接口 海事局其他系统海事局船舶、船检、船员系统页面适配接口海事局OA系统WebService接口 移动办公平台与OA系统的对接采用WebService方式。

移动办公平台与海事局业务系统进行对接时，首选接口方式（如WebService），对于不能提供接口的业务系统，移动办公平台采用页面适配方式实现。

3.3、软件功能

主要对移动应用服务平台和终端客户端软件进行描述。移动化应用整体技术采用终端适配技术实现，并可采用PKI/CA技术保证应用安全。这种方式用户体验好，适用终端广，开发速度较快，可满足用户的个性化需求。

3.3.1、移动应用服务器功能

(一)

应用接入适配

应用接入适配模块实现将复杂的Web页面或应用页面，进行智能的抓取、过滤、重排、优化和内容调整，以便用户可以在移动终端上进行快速的浏览，并得到最佳的浏览效果。

9

中国海事局部局移动办公系统解决方案

应用适配的功能是以HTML语法分析为基础的，其实现主要原理包括以下步骤：

1) 通过页面分析得到HTML页面中所有的数据元素，然后使用屏幕渲

染技术就能模拟出原页面显示的效果来。

2) 通过对数据元素的比较和分析，可以得到数据元素与页面显示板块

之间的对应关系。

3) 通过对多个页面的数据元素进行横向比较和分析，可以进一步分析

出这个页面的“模板”和“数据”。模板是指在构造此页面时相对不变化的部分，而数据则是页面中的变化部分。例如，在一个天气预报的网页中，其框架结构是模板，而阴晴雨雪等信息则是数据。 4) 通过辅助工具，可以为每个页面书写一个对应的剪裁脚本，将页面

中不需要的数据元素自动剪裁掉，仅剩下关键的数据元素。 5) 然后再通过一套HTML模板引擎，将得到的页面数据元素按照需要

重新排版和输出。从而得到内容简练、适合终端显示和操作的页面来。

在整个适配过程中，主要的技术思路是：通过人工智能和互动辅助技术，让开发人员可以快速的分辨出关键信息的特征。并提供一种HTML数据元素的自动识别和分拣机制，使这个分拣过程能自动完成。 (二)

终端接入适配

1) 解析页面：因终端硬件的限制，传统的HTML页面难以在终端本地

进行HTML语法分析、语法容错处理、页面元素提取、CSS语法解析等操作。终端接入适配模块帮助终端客户端软件，将一些对CPU、内存资源要求较高的操作和运算，在服务器端进行预分析操作，然后将处理好的页面内容发送到终端客户端软件端进行本地的解析和展现。

2) 数据压缩：数据在终端接入适配模块发送给终端客户端软件前，会

先进行数据流的压缩操作，客户端软件在终端接收到数据流后，也会进行对应的数据解压动作。

3) 数据加解密：终端接入适配模块的数据加解密操作主要和终端客户

10

中国海事局部局移动办公系统解决方案

端软件的数据加解密操作对应。支持高强度的加密算法（例如DES、RSA），以便进行安全的数据连接和传送。

(三)

统一推送

终端的便携性使得公司领导和员工可以随身携带着，可以随时通过移动OA来访问内部的OA系统，但如果当OA系统有新公文、新信息、新通知等传达时，不能让领导及时的得知，就不能体现终端移动OA的优越性，领导无法及时处理各类紧急事件，即使是通过终端来办公却不能大大改善现状。

UAPS－Uni All Push Service统一推送服务，最优越的推送技术。当OA系统有新公文、新通知、新邮件、新消息时，移动OA系统会第一时间内获取响应，并将新公文、新通知、新邮件、新消息推送到终端上。

基于UAPS，还可以实现其它消息的推送，如配置消息、软件更新通知等。 (四)

文档解析

由于目前终端的性能还远不及PC机的处理能力，在终端使用任何软件都存在一定的局限，例如在终端上查看Word、Excel、PPT、Tiff、PDF等文件还是很理想，并且并不是所有的终端都可以查看这些常用办公文档，因此，为了解决用户可以在任何终端上都可以查看、及时浏览这些文档，就要对系统进行适当的优化，以解决各种文件的查看问题。

从移动办公系统第一代开始，中国联通就深刻地了解通过终端上来查看各类文件（文档、图片、压缩文件、政府/企业专用文件等）是移动OA的关键技术环节，因此独立研发了UDPS－Uni Document Parse Service，文档解析服务。经过不断，目前已经可以解析多达30多种文档文件格式，而且还在增加格式数量。

各种表单、各种公文、各种数据，只要用户需要，中国联通都可为用户进行解析。

以下截图为常用办公文档：

11

中国海事局部局移动办公系统解决方案

(五) 用户管理

系统的管理级别分为企业管理员和用户。

管理员：企业创建和维护的一级管理帐号，对其企业的业务、用户等进行相关的管理，他可以再创建更低一级的帐号和分配权限。

用户：即使用本企业平台的用户，由管理员创建和维护，可以进行相关办公操作、日志查询等。 (六)

日志管理

用户通过客户端软件访问业务过程中，系统会把用户的访问日志信息记录入库，企业管理员可以查询本公司各用户的日志使用情况，包括导出和清除。

3.3.2、客户端软件功能

客户端软件通过HTTPS的方式向适配服务器提交请求，再通过接入适配模块请求目标服务器，获取页面信息后，应用服务器会根据客户端的具

12

中国海事局部局移动办公系统解决方案

体配置（包括移动终端屏幕大小，终端色彩度，终端应用配置等）进行相应的数据解析、转换和压缩后再传回给客户端，最后由客户端负责页面内容的显示以及提供人机交互。 (一)

页面展现

可支持HTML4.0、WML1.3、XHTML1.0页面语法在终端的快速展现，针对使用触摸屏的终端，支持通过触摸笔的方式直接操作和点击屏幕上的相应页面元素和控件。 (二)

用户身份认证

可通过用户帐号、口令、终端设备号、终端号等多重绑定的方式保证用户身份安全。 (三)

数据加解密

定制浏览器可嵌入不同的加解密算法，并根据数据的重要性，提供相应的密钥强度。例如，针对用户登陆密码使用非对称密钥RSA算法进行加密。 (四)

数据解压

将数据压缩后在网络传送，不仅能够大大加快应用的访问效率，还能降低网络数据流量，为用户节省使用费用。定制浏览器拥有适用于终端的轻量级解压技术，可将服务器发送的经压缩后数据流在本地进行高速的解压。

3.4、应用效果

客户OA系统的页面将被转化为终端上的图标和短行文本格式，根据不同的终端分辨率和屏幕大小显示适合的界面。

13

中国海事局部局移动办公系统解决方案

方案特点：

客户体验好：定制客户端界面，显示效果好，易操作。

适用终端广：支持目前各大品牌的智能终端，也支持具有JAVA扩展功能的非智能终端。

按需定制：可量身定制，满足客户的个性化需求。

安全性高：采用PKI/CA、SSL VPN等安全技术手段，确保移动办公使用过程的安全可靠。

3.5、移动终端选型

移动办公支持目前各大品牌的智能手机，如iOS、Windows Mobile、Symbian、Android等操作系统的手机或PDA，也支持具有JAVA扩展功能的非智能手机。但由于政府机构自身的信息化系统安全政策，不允许使用iPhone手机做为移动终端，因此该方案不使用iPhone手机。

由于海事局的业务功能不同处室的人员可以使用不同的功能，根据海事局的实际使用情况，建议配置不同的终端，对于领导岗位来说，需要办公处理、业务查询等所有功能，需要的终端配置相对较高，对于普通的工作人员，一般业务比较简单，相对终端配置可以低一些。

移动终端选型的原则如下：

? 按照应用不同原则、选择高中两款终端；

? 建议采用Android、Windows Mobiles6.0以上版本操作系统的智能

手机，也可使用支持3G和2G的双模手机，可同时兼容之前使用的2G手机号码；

? 手机终端的存储易于开发和扩展。

? 支持设置多个APN接入点，并可灵活切换，支持多任务模式。 ? PDA终端应能够支持电话功能。

14

中国海事局部局移动办公系统解决方案

4、业务功能设计

在将系统中功能和内容移植到移动终端时，应考虑等保二级的相关安全要求，不对涉密的功能和内容进行适配，涉密内容不对移动办公应该开放。移动终端展现的功能只是在原有系统已具备相应功能的前提下，将原有系统中的功能进行适配，客户端界面也可按照客户要求进行定制开发。

4.1、系统登录权限

4.1.1、多系统集成

由于移动办公对接了多个应用业务系统，如OA系统、邮件系统、船员系统、船舶系统、船检系统等，每个系统都有自己独立的用户认证逻辑和身份信息。

鉴于这种场景，需要在移动办公平台上建立一套自己的身份体系，将此身份与其他应用系统的身份进行映射，从而实现用户只需要登录移动办公系统就可以访问其他集成的业务应用系统，完成逻辑上单独登陆。

4.1.2、用户认证鉴权

用户在登陆界面中输入用户名和密码，点击登录后，手机客户端将传送给移动办公平台，对其进行验证，验证成功后则进入程序主界面，失败将返回错误信息。

15

中国海事局部局移动办公系统解决方案

用户在成功登录后，系统将对用户身份信息进行鉴权，通过鉴权每个用户只能访问自己有权限访问的系统，对于没有权限的业务应用系统，即使成功地登陆移动办公系统，也无法进行查看，以保证移动办公中特定业务系统的安全性。

4.1.3、身份绑定

用户在第一次成功登录后，移动办公平台将自动对手机SIM卡号，手机设备号等信息进行保存，并与此用户名进行绑定，形成一套新的身份信息。

当用户再次登陆时，如果这套身份信息中的任意一个元素发生变化，都将无法登陆。从而确保终端、手机SIM卡与用户的统一，加强移动办公应用的安全。

4.2、系统首页

终端登录后的首页，提供了移动办公中使用的业务功能按钮，包括公文管理、邮件、通知公告、群发短信等功能模块。

4.3、邮件管理

移动办公的邮件管理采用页面适配的方式，在移动终端实现现有邮件系统的基本功能，如收件箱、发件箱、草稿箱、写邮件、转发邮件、回复

16

中国海事局部局移动办公系统解决方案

邮件、删除邮件、抄送、密送等功能；在详情中可以查看常见的附件类型，包括doc、docx、xls、xlsx、ppt、pptx、txt、pdf和jpg等文档、图片类文件，其中不包括压缩格式的附件，如zip、rar等。

4.3.1、收件箱

在收件箱中实现接收邮件、查看已接收邮件详情和附件功能。

17

中国海事局部局移动办公系统解决方案

4.3.2、发件箱

在发件箱中实现查看已发送邮件列表、详情和附件的功能。

用户通过客户端发送邮件成功后，已经发出的邮件保存在发件箱中。

18

中国海事局部局移动办公系统解决方案

4.3.3、草稿箱

在草稿箱中保存用户保存的未发送邮件，以便用户进行再次编辑并正常发送。

19

中国海事局部局移动办公系统解决方案

4.3.4、新建邮件

用户通过编辑收件人、抄送、暗送、主题和内容等信息完成新建邮件的功能，点击发送按钮后，完成邮件的发送。

在新建邮件中不支持添加附件的功能。

20

中国海事局部局移动办公系统解决方案

21

中国海事局部局移动办公系统解决方案

4.3.5、转发邮件

在邮件详情中点击转发按钮，进入转发邮件的界面。在转发邮件界面中可以编辑收件人和内容，点击发送按钮后完成邮件的转发。

22

中国海事局部局移动办公系统解决方案

4.3.6、回复邮件

在邮件详情中点击回复按钮，进入回复邮件的界面。在回复邮件界面中可以编辑收件人和内容，点击回复按钮后完成邮件的回复。

4.3.7、删除邮件

用户可以在邮箱列表中选择要删除的邮件，然后点击删除按钮，完成删除邮件的功能。

23

中国海事局部局移动办公系统解决方案

4.4、通讯录管理

移动办公通过WebService接口的方式，获取海事局部局和各个直属局的通讯录信息。

用户进入通讯录后，可选择相应的局单位对通讯录信息进行查询。点击通讯录中某个联系人的电话号码，可以实现拨打电话的功能。

移动办公<>查看通讯录<><>顶层包::用户拨打电话

24

中国海事局部局移动办公系统解决方案

4.5、公文管理

移动办公公文管理模块主要包括查询类功能和审批类功能。 查询的具体功能包括对特定文种的列表、详情和附件进行查看；审批功能包括在公文流转过程中的环节选择、人员选择和审批操作。

移动办公中的所有业务数据都来源于OA服务器，所有业务逻辑与OA系统保持一致。

移动应用服务器与公文系统服务器的接口采用WebService方式，从而保证公文业务功能的稳定性和兼容性。

由于受到终端硬件的限制（如屏幕尺寸、处理器、内存等），以及移动办公中公文管理的实际业务需求，在移动办公中暂不实现公文起草功能。

4.5.1、公文查询

公文查询按照业务处理逻辑分为待办、已办、待阅、已阅等。 在移动办公中可以选择某个业务类型进行展示。每个类型都以列表的形式在移动办公中展现，当公文较多时采取分页处理，从而降低终端的压

25

中国海事局部局移动办公系统解决方案

力和网络流量。

在每一个列表项中显示公文的关键信息，如公文标题，种类，发文单位，发文日期等。

移动办公<>已办<>发文收文<><><>待办<>收文发文<>顶层包::用户<>已阅<><>收文发文<>待阅<>收文发文

4.5.2、公文详情

用户在移动办公的公文列表中任意点击一个列表项，即可查看公文详情，详情的内容与OA系统一致，如标题、来发单位、日期、各部门意见、正文、附件等。

当公文中包含附件时，用户可以在公文详情中选择预览附件，附件类型包括doc、docx、xls、xlsx、ppt、pptx、txt、pdf和jpg等文档、图片类文件，其中不包括压缩格式的附件，如zip、rar等。

26

中国海事局部局移动办公系统解决方案

当用户在移动办公客户端中触发查看附件的操作时，移动应用服务器会从OA系统中获取相应的附件并解析，然后以数据流的方式返回给客户端进行展现。

移动办公<>公文详情<>附件顶层包::用户

4.5.3、待办处理

用户进入待办公文列表后，选择某一个公文查看详细信息。知晓此公文的详细情况后，可以填写自己的意见并选择审批操作（如退回、签收或发送等），然后按照OA工作流引擎中预设置的流程，选择下一步环节和下一步人员，最后完成提交。

27

中国海事局部局移动办公系统解决方案

移动办公选择下一步环节<><><><>选择下一步人员填写审批意见签字顶层包::用户<><>审批通过退回

4.6、通知公告

通知公告的类别包括直属海事系统通知、部局内部通知。可以按照类别查询通知的标题列表及详细信息。

通知功能的数据来源于海事局内网网站。

28

中国海事局部局移动办公系统解决方案

4.7、新闻

在移动办公类型分为文字新闻和图片新闻，其中图片新闻采取图文混排模式，新闻列表一级目录包含标题，图片索引和详情说明。

新闻功能的数据来源于海事局内网网站。

29

中国海事局部局移动办公系统解决方案

4.8、文件查询

对海事中的常用的法律法规、规章、国际公约、规范性文件都可进行列表和详细信息的查询。

数据来源于海事局OA系统。

4.9、综合查询

用于实现对各种海事业务信息的查询功能，包括船舶、船员、船检等数据的详细查询。具体如下：

（1） 船舶信息

? 基本信息：根据船舶名称、初次登记号等条件，查询船舶的基本

信息，并将该信息返回至移动终端；

? 重点跟踪船舶：以船舶名称、初次登记号等字段为条件，查询重

点跟踪船舶相关数据；

? 滞留船舶：根据船舶名称、初次登记号等条件，查询指定滞留船

舶信息，信息中包含滞留原因、滞留时间等数据；

30

中国海事局部局移动办公系统解决方案

? 协查船舶：根据船舶名称、船舶编号等条件，查询指定协查船舶

相关信息；

? 船舶签证：根据进港或出港标志、船舶名称、船舶初次登记号等

条件，查询船舶签证信息，还可查看关联的货物、船员和集装箱等相关信息；

? 定期签证：查询指定时间段内的船舶签证信息，结果以列表显

示，点击详细可查看详细信息；

? 船舶查验：根据进港或出港标志、船舶名称等条件，查询船舶查

验的详细信息，结果以页面形式呈现，还可查询关联的货物、船员、集装箱等相关信息；

? 船舶动态：根据船舶名称、初次登记号等条件，查询指定船舶在

指定时间段内的动态信息，同时还可查看关联的货物、旅客、船舶等附加信息，方便用户了解相关信息；

? 关联查询：根据船舶名称、船舶编号等条件，查询船舶的所有信

息，如基本信息、重点跟踪信息、安检信息等信息，结果以列表形式呈 现，点击可查看详细信息。 （2） 船员信息

? 基本信息：以船员姓名、身份证号为条件，查询船员的注册号、

出生时间等详细信息；

? 适用证书：根据船员姓名、证书类别、发证时间等条件，查询船

员的适用证书的详细信息；

? 服务簿：根据船员姓名、身份证号等条件，查询船员的服务簿详

细信息；

? 海员证：根据船员姓名、身份证号等条件，查询船员的海员证的

详细信息。 （3） 船检信息

该模块用于根据船舶名称、检查日期等条件，查询船舶的船检信息。 备注：随着业务系统的逐步发展，待业务部门确认该部分需求后，在后续的移动办公系统建设中逐步完善此功能。功能开发前需要开放业务系统

31

中国海事局部局移动办公系统解决方案

（船员、船检、船舶）的使用权限，确定查询数据的范围以及接口方式。

4.10、终端管理

4.10.1、用户管理

用户在成功登录移动办公后，平台会将用户名、手机SIM卡号，手机设备号、登陆时间等信息进行保存，以满足海事局对终端使用情况的管理要求。

当用户更改终端或SIM卡后登陆移动办公，会收到身份变更的登陆失败提示信息。

4.10.2、下载控制

为了防止海事局信息的外泄，对移动办公客户端软件的下载权限进行了控制，用户连接VPN后，通过自己的用户名和密码登录下载网站，然后下载客户端。

4.10.3、版本维护

客户端采用自动更新技术，当发布了新的客户端版本后，系统将会自动通知用户是否需要更新，如果需要，客户端将自动下载并安装。

4.10.4、个性化设置

在移动办公设置中可以选择“标准字体”和“大字体”，从而实现对客户端界面中字体大小的调整。

5、安全保障方案

安全保障方案的设计将以保障业务安全为目标，整个移动办公系统建设应符合等保二级的安全要求，涉及各个环节的安全机制和安全措施，分别从网络安全、主机安全、应用安全、终端安全等方面，提供相应的安全解决方案。

5.1、网络安全

为保证移动办公整体网络安全，采用VPDN专网和SSL VPN隧道加密等

32

中国海事局部局移动办公系统解决方案

方案，采用联通的VPDN无线数据专网技术，以保证在网络层面实现“专用私有网络”，在物理上实现业务数据和信息安全的最有力保障。基于基础的VPDN无线数据专网，并利用CA认证体系及SSL VPN加密隧道技术，可以为海事局在基础网络平台之上构建一个能够对客户数据进行加密、客户身份进行识别、控制手机、笔记本等进行非法外联的安全体系。

在企业侧的边界保护区部署SSL VPN认证网关。用户使用手机、笔记本、3G上网本等办公设备，通过联通VPDN专网认证，并采用内置在SDKey中的CA证书与SSL VPN网关进行双向身份认证后，用户终端与SSL VPN网关之间建立SSL安全通道，才能进入应用服务区。所有数据还需通过移动应用代理服务器进行数据过滤和安全防护后，将数据通过安全隔离区的网闸进行数据交换，才能进入海事局内网，访问授权的应用系统。

移动终端入侵检测手机软证书电脑SSL VPN认证网关安全隔离与信息导入系统移动应用服务器笔记本电脑3G上网卡安全SD卡防火墙运营商VPDN网络安全审计手机、电脑交换机数据交换系统外主机数据交换系统内主机内网交换机漏洞扫描内网安全管理LNS内网安全管理OA系统邮件系统移动应用代理服务器船舶动态、船员管理、船舶登记系统上网本安全SD卡AAA服务器终端侧网络侧边界保护区应用服务区安全隔离区海事局内网联通CA认证证中心服务区中国联通CA认 在网络中会通过联通VPDN、SSL VPN、边界防火墙、IDS入侵检测、网闸、移动代理服务器等安全手段的有效组合，保证网络层的安全。

5.1.1、联通VPDN网络安全

利用联通VPDN平台保证移动终端接入客户网络的安全，终端用户可通过专有VPDN方式接入平台，相当于无线专网，确保只有特定的手机号才能

33

中国海事局部局移动办公系统解决方案

接入手机办公应用，保证了用户接入网络的安全性。由客户向联通申请专门的客户单位特有的手机专有接入点名称，保证除了客户单位所预先设定的手机号之外无法接入并取得其中的数据。

由联通网络到客户网络，部署专线接入至客户单位机房，避免客户系统数据传输时经过Internet所造成的风险。

5.1.2、SSL VPN认证网关

用户使用手机或电脑远程接入客户网络时，通过在客户网络的边界保护区部署SSL VPN网关设备，利用PKI技术，在移动终端与SSL VPN设备之间，建立端到端的SSL 加密通道，保证了数据传输安全。并通过用户终端侧的e盾卡和CA数字证书作为用户唯一合法标示，保证身份认证的安全性。

SSL(Secure Socket Layer)技术是国际上公认并普遍采用的网络通道加密技术，通过PKI技术保证系统的整体安全。需要在平台上集成数字证书，实现标准的SSL通道加密。

5.1.3、边界防火墙

防火墙技术是目前用来实现网络安全措施的一种主要手段，主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。防火墙实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。

5.1.4、IDS入侵检测

通过IDS入侵检测设备防范各种网络攻击，例如端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等，当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。并可与防火墙进行联动，当检测到有非法入侵时，及时通知防火墙中断非法连接。

5.1.5、网闸

物理隔离网闸是一种由专用硬件在电路上切断网络之间的链路层连

34

中国海事局部局移动办公系统解决方案

接，能够在物理隔离的网络之间进行适度的安全数据交换的网络安全设备。是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

此方案中网闸主要用于海事局内网和外网的物理隔离，并与外网主机和内网主机结合实现数据交换。

5.1.6、移动应用代理服务器

做为进入安全隔离区的前置机，用以对来自边界保护区和安全隔离区的数据进行数据过滤和转发，只允许通过移动办公应用所需的协议和数据。

总之，防火墙是网络层边界检查工具，可以设置规则对内部网络进行安全防护，而IDS一般是对已知攻击行为进行检测，这两种产品的结合可以很好的保护用户的网络，但是从安全原理上来讲，无法对内部网络做更深入的安全防护。隔离网闸重点是保护内部网络，如果用户对内部网络的安全非常在意，那么防火墙和IDS再加上隔离网闸将会形成一个很好的防御体系。

5.2、主机安全

5.2.1、身份鉴别

只有通过身份认证的授权管理员才能登录操作系统和数据库系统。 操作系统和数据库系统管理员用户名应至少8位以上，并不易被冒用，口令应尽量复杂，应由大小写字母、数字，以及特殊字符混合组成，并定期更换。

启用登录失败处理机制，可采取结束会话、限制非法登录次数和自动退出等措施。

为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名

35

中国海事局部局移动办公系统解决方案

具有唯一性。

5.2.2、访问控制

主机系统的访问控制主要包含两方面：

1) 主机操作系统的外围加固，采用防火墙访问控制功能和交换机的

VLAN功能对主要服务器进行网络逻辑隔离保护。

2) 主机操作系统本身加固，采用安全软件对操作系统内核进行加固，

保障主机操作系统不受非法访问。

5.2.3、漏洞扫描

在主机上部署漏洞扫描软件，对计算机系统进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞，可以有效的防范黑客入侵。因此，漏洞扫描是保证系统和网络安全必不可少的手段。

漏洞扫描通常采用两种策略，第一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查；而主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为网络安全扫描。

漏洞扫描软件能够对网络设备、操作系统和数据库三个方面进行扫描，指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。

5.2.4、恶意代码防范

通过部署防病毒软件实现。在网络中办公用计算机和服务器上配置网络病毒查杀软件，对这些计算机采取集中管理模式，统一由管理中心制定强制病毒查杀策略，统一由管理中心及时、强制为所有用户PC进行病毒特征库升级。

36

中国海事局部局移动办公系统解决方案

5.3、应用安全

5.3.1、多重校验

移动办公产品可以实现用户名密码、用户的终端号、终端设备号（IMEI）、终端SIM卡编号（IMSI）等用户信息的多重绑定、。即使有人获知了正确的用户名密码，也必须使用特定的唯一一个终端号、唯一一个终端卡和唯一一个终端才能登录移动应用服务平台。该功能需要终端API的支持，以便获取到终端设备号及终端SIM卡编码，同时，如果需要绑定用户的终端号码进行验证，需要联通向移动应用服务平台提供用户的终端号码。

5.3.2、CA证书认证

可在用户e盾卡上安装数字证书，并与SSL VPN设备进行数字证书签名认证，认证通过后再通过网闸与内网业务系统进行通信。如果在终端上安装数字证书，可与移动应用接入代理服务器进行双向SSL认证，建立SSL加密通道，在终端用户身份认证方面增加了一层保护机制，只是在终端端安装证书流程比较复杂；或者不在终端安装数字证书，只与移动应用接入代理服务器进行单向SSL认证，移动应用接入代理服务器不验证终端客户端证书，只建立SSL加密通道保证应用层通道安全。

5.3.3、数据加密

终端与服务端的传输数据可以采用MD5/RSA/DES等主流的加密算法进行加密，数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读，即使数据被窃取仍然无法访问其中内容的目的。

5.4、终端安全

5.4.1、终端安全机制

目前针对不同类型的手机终端或上网本终端，采取的终端安全方案也有所不同，简述如下：

37

中国海事局部局移动办公系统解决方案

适合采用多重校验（用户名密码、UDID绑定）、单向SSL认证机制保证安全。采用服务器单向认证机制，即终端侧仅保存根证书，而平台和服务器上加载CA签发的服务器证书，使得终端连接时可以明确服务器的可信任性，在服务器证书得到用户终端信任后，才开始建立SSL加密通道，进行数据加密传输。

5.4.2、用户密码安全

移动应用服务器上不直接存储用户的密码信息，而是存储用户的密码的摘要信息，每次用户登录时进行摘要匹配，保证用户的密码不会被解密取得。

6、软硬件配置

6.1、硬件配置

硬件系统平台的建设是应用软件平台的基础，合理的系统平台可以为用户提供高效、稳定的服务，同时，也可以保护用户的投资。在移动办公系统建设中需要考虑系统的安全性、扩展性、应用的连续性。

序号 项目名称 单位 数量/平台 备注 四个双核CPU或同等配置CPU，至少8G内存。每台包括2个多模FC-HBA卡，提供2个2Gb/s光纤接口，与光1 应用服务器 台 2 纤交换机互连。双电源，配置至少2个10/100/1000M网卡。硬盘配置146G*4。其中应用服务器各2台做负载均衡，工作流引擎服务器一台。 2 VPN网关 台 1 10/100/1000自适应网卡×2，TCP/IP协议支持。 支持HSUPA／HSDPA／WCDMA 2100MHz 网速：下行速度：7.2 Mbps，上行速3 无线上网卡 个 300 38

中国海事局部局移动办公系统解决方案 度：5.7Mbps 功率：睡眠状态 2mA，最大650mA 天线：内置双天线 支持SD卡嵌入

6.2、软件环境

本项目投产所需软件清单见下表： 名称 操作系统 系统软件 系统软件 系统软件 数据库软件 应用软件 详情 Windows 2008 Server R2（Enterprise） .Net Framework 4.0 IIS 6.0+ wic_x86_chs.exe SQLServer 2008 R2 Enterprise 移动办公应用系统 办公自动化系统

数量 备注 2 1 1 1 2 1 1 7、总体方案特点

? 高速稳定、安全可靠：

采用国际最通行的WCDMA 3G网络，上下行速度最高可达5.76Mbps／14.4 Mbps。

? 终端丰富、全面支持：

支持Windows Mobile、Symbian、Android等各种操作系统的智能手机作为移动办公终端，以及平板电脑、笔记本、上网本等多种移动终端。

? 安全认证、传输加密：

采用PKI/CA、SSL VPN、VPDN、APN等安全技术，实现用户身份认证、业务数据在网络中的加密传输。

? 多场景应用、使用面广

39

中国海事局部局移动办公系统解决方案

用户通过WCDMA、GPRS等无线上网方式，使用各种智能手机或非智能手机访问信息化系统，实现多种场景下的移动办公。

? 快速部署、无缝衔接

无需对原有系统进行任何改造，只要通过标准化的软硬件部署和对接，用户就可以快速享受到便捷的移动办公服务。

40

本文来源：https://www.bwwdw.com/article/bt8r.html