1、中国石油管道公司信息中心2012年4月25日,企业移动应用平台管道分公司试点工作交流,提纲,一、移动互联综述二、总体方案设计三、项目管理初步四、项目工作进展五、典型功能演示六、后续工作计划,1、移动互联时代已经来临2、十二五信息化六项重点工作之一3、各级领导高度重视移动应用4、企业移动应用定位,1、移动互联时代已经来临,19902000:PC时代“让每个人的桌面上都有一台电脑”20002010:互联网时代“让每台电脑都可以联网”2010未来:移动互联网时代(移动云)“让每个人使用各种设备随时随地都可以联网”,云,1.1 企业移动互联具备条件,终端:能够满足移动应用的各种终端设备日益丰富,价格低
2、廉网络:第三代移动通信3G已经普及,WiFi日趋覆盖,4G通信已开始试点,网络无处不在,带宽不再是瓶颈应用:各种系统日臻成熟,云计算正在推广和普及,三星 e人e本 黑莓 Dell 联想。,移动互联网发展趋势,美国思科移动流量预测,李开复对移动用户增长的预测,1.2 国内政府机关已经使用,4月份,国务院新闻办公室在App Store发布iOS客户端,免费下载8月7日,国防部发布了客户端,免费下载,去年“两会”期间,代表们纷纷使用平板电脑,开发投资公司董事长王会生(左)招商银行行长马蔚华(右),中信 张懿宸,记者提问,广东省委书记 汪洋,港首 曾荫权(非两会期间照片),1.3 国内高级官员已经使用
3、,1.4 国外政府及官员已经使用,权威网站发布的照片显示,美国总统奥巴马工作与出行时,iPad2不离左右,2、十二五信息化六项重点工作之一,集团公司“十二五”信息化工作会议明确,重点由集中建设转向集成应用。六项重点工作之一就是推进企业移动应用蒋洁敏总经理做了总体要求(五)推进移动应用系统建设,满足随时随地的办公需求。喻宝才副总经理做了具体要求近年来,新一代网络和移动设备快速发展,移动应用正越来越受到关注,在国内一些银行和央企已经得到很好应用。集团公司地域范围广、作业环境复杂,对移动应用的需求非常迫切。要综合运用无线通信、桌面虚拟化和信息安全等技术,搭建移动办公平台,使公司员工利用移动设备随时随
4、地访问公司网络,查看、调用、审批非涉密资料文档,处理日常业务,有效提高工作效率,2.1 集团公司发展战略需要移动互联,移动应用实现集团公司跨国业务随时随地的“零距离”管理,支撑集团公司“国际性能源公司建设”的发展战略,2.2 信息化深化应用需要移动互联,“十五”、“十一五”期间,在“六统一”方针指导下,集团公司信息化建设成效显著,位列央企前列建成并应用了集中统一的经营管理平台、生产运行管理平台、办公管理平台和网络基础设施信息化在统一优化业务流程、创新生产作业方式和经营管理模式、强化过程管控、优化资源配置、提升业务运行效率和决策水平等发挥了重要作用,北京,曲子,淄博,沧州,郑州,黄石,长沙,襄樊
5、,靖边,任丘,秦皇岛,大连,长春,沈阳,丹东,抚顺,银川,兰州,西宁,涩北,廊坊,石家庄,林源,西宁,漠河,2.3 管道公司生产经营需要移动互联,管道分公司下辖24个输油气分公司,180多座输油气站管道总长1.3万多公里,分布在全国10个省、自治区员工总数是集团公司的1/100,VPN注册用户4,800人,占集团公司用户总数的8,是集团公司平均密度的45倍2010年,两级机关OA系统发文8,337个,平均33个/工作日全年合同会审5,841份,平均23份/工作日,2011年3月10日,集团公司办公厅(保密办)范宁副总经济师(主任)亲赴廊坊,参加安全方案审查4月13日,信息管理部古学进副总经理专
6、程到廊坊听取移动应用汇报8月2日,信息管理部刘希俭总经理、古学进副总经理、刘顺春处长、靖小伟处长等多位领导听取移动应用汇报11月15日,古学进副总经理对上线试点工作作出了具体的指示和意见11月18至25日,任勇副处长组织,法律事务部柳峰处长、财务资产部赵嘉辉处长、信息技术服务中心王海山处长分别听取汇报集团公司保密办陈汉龙副主任在廊坊会议的间歇,专程到管道公司,对移动应用的信息安全、保密等工作作出了指示和要求管道公司领导多次听取移动应用工作汇报12月7日,信息管理部在北京组织移动应用试点上线审查会,赵彤副总工程师亲自主持,靖小伟处长参加。专家分别来自国家信息安全测评中心、解放军信息安全测评中心、
7、办公厅、保密办和集团公司相关厅局,3、各级领导高度重视移动应用,3.1 集团公司信息化大会,集团公司信息大会上,各级领导关心和重视企业移动应用,4、企业移动应用定位,随时随地了解公司管理动态实时获取集团公司及其所属企事业单位门户发布的相关新闻动态随时随地掌握生产经营信息以ERP为核心的数据展示,实时掌握生产经营、跟踪业务绩效随时随地审批各项待办工作企业内部各项任务审批工作,如办公管理的公文、合同、报销等随时随地应急管理指挥支持工业监视、视频会议提供站队可视和会议接入,便于应急管理和专家支持随时随地协同工作企业员工实时沟通及协同工作,如电子邮件、即时消息、统一通信等,提纲,一、移动互联综述二、总
8、体方案设计三、项目管理初步四、项目工作进展五、典型功能演示六、后续工作计划,1、安全设计原则2、中国石油安全规定3、移动安全方案4、移动应用架构,根据移动应用数据的处理和传输过程,对其进行物理和逻辑多层次区域防护,以满足国家安全等级保护基本要求,制定统一的移动应用平台安全方案,在局部试点成功后,再在企业全面推广,设计方案要符合国家法律法规及中国石油的信息安全政策;厂商、技术、产品整体合规。,在功能、容量、覆盖能力等各方面,系统架构要易于扩展,以适应业务快速变化对移动应用的要求,在现有中国石油的安全防护体系及成熟业务应用的基础上,根据安全方案进行功能扩展和延伸,以移动应用需求为导向,将信息安全贯
9、穿于数据整个生命周期,1、安全设计原则,2、中国石油安全规定,中国石油天然气集团公司于2011年5月印发了秘密信息分级保护目录(试行)2011年1.1版 ,对商密信息的秘密事项、密级、保密期限、密源单位、知悉范围等做了明确的规定移动应用的原则“涉密不上网,上网不涉密”按照公安部信息系统等级保护定级评审结果,中国石油广域网上运行的统建系统中,ERP、管道生产系统为3级,普通OA、合同、报销等均在2级或2级以下,使用高可靠性安全凭证识别终端和用户身份,建立安全有效的通信链路,一层:使用代理模式访问移动应用展示服务,二层:移动应用控制服务进行移动应用内部业务逻辑控制,三层:为业务逻辑提供移动应用核心
10、数据,严格分层,逐层通信;不可越界,确保安全。,3.1 终端接入原理,4.1 接入及访问控制,HTTP接入网关,TCP接入网关,内容服务,Push网关,会话服务,安全接入,APNS,业务路由服务,业务服务,业务服务,业务服务,其他,其他,业务服务,业务服务,核心服务,Internet,移动设备,管理门户,自服务门户,iOS门户,Android门户,iOS网关,Android网关,Web门户,设备门户,设备网关,PC,业务分发服务,推送集成服务,4.2 业务逻辑处理,业务路由服务,新闻,OA,小信封,其他,单点登录服务(SSO),其他,业务日志,新闻数据接口,OA系统接口,小信封系统接口,加解密
11、服务,新闻数据库,新闻数据库,新闻数据库,新闻数据库,新闻数据库,OA系统,小信封系统,认证系统接口,新闻数据库,新闻数据库,业务系统,认证系统接口,认证系统接口,其他,其他,Web门户,设备门户,设备网关,用户管理,组织机构管理,应用管理,权限管理,设备管理,系统管理&统计,SQL Server数据接口,DB2数据接口,Oracle数据接口,核心数据库,核 心 服 务,提纲,一、移动互联综述二、总体方案设计三、项目管理初步四、项目工作进展五、典型功能演示六、后续工作计划,1、项目实施策略2、项目组织结构3、项目阶段划分4、初步风险管理,1、项目实施策略,遵循 “统一规划、统一标准、统一设计、
12、统一投资、统一建设、统一管理”的信息化建设原则遵循“立足管道公司的移动需求,兼顾集团公司总部”的统一设计原则遵循“先管道公司机关试点,后二级单位推广”的项目实施原则采取“先移动安全保证,再典型应用整合,后管理平台建设”的三步系统建设策略采取“先iPad版后iPhone版,先门户/新闻与任务/审批,后信息化管理平台”的应用开发策略采取“边建设边运行,边完善边使用”的运维支持策略,2、项目组织结构,项目指导委员会,项目协调办公室,试点单位项目指导委员会,项目经理部项目总监:安绍旺项目经理:李海泉技术总监:李 昕实施总监:曹 鑫,试点单位项目经理部,规划设计组负责人:胡兆旭,用户体验组负责人:宋立军
13、,开发配置组负责人:冯永强,测试稳定组负责人:潘牧野,培训推广组负责人:王瑾,运行支持组负责人:王兴兆,文档资料组负责人:刘洋,监理/专家组项目监理:内部专家:曾萍 石允滔外部专家:,项目启动2011年6月,3、项目阶段划分,项目结束2012年7月,4.1 安全风险,风险描述接入:移动设备通过3G/WiFi进入中国石油企业网DMZ区,涉及到安全接入问题接口:与门户、办公、业务及ERP等系统集成,涉及到接口安全问题系统:移动应用平台也是信息系统,首先是安全等级划分(现有系统定为三级),其次是系统级安全问题信息:通过移动应用平台发布信息或数据,可能涉及公司商业秘密设备:移动设备上需要缓存部分数据,
14、可能涉及公司商业秘密风险影响接入:如接入不安全,可能非法用户进入中国石油企业网接口:如接口不安全,可能非法系统调用相关接口系统:系统安全不合规,可能导致项目延期,甚至暂停信息:不能发布的信息出去了,可能导致公司商业秘密泄漏设备:移动设备丢失,可能涉及公司商业秘密风险应对接入:只有插入合法硬Key,移动设备才能通过3G/WiFi进入中国石油企业网接口:移动应用平台与后台系统互访,严格执行应用认证及加密传输系统:严格按照集团公司信息系统安全要求,对移动应用平台的安全等级合理划分、整改、审查信息:严格按照集团公司信息安全保密级别,办公厅、保密办及业务部门审核通过后再上移动应用平台设备:在移动设备上落
15、地的任何数据,严格执行加密后存储,同时远程擦除,4.2 技术风险,风险描述操作系统:Apple移动设备iPad或iPhone,其操作系统为iOS,开放程度低,尤其是针对企业开发工具:基于iOS的应用开发工具X-Code,其易用性相对较差开发人员:移动设备刚刚兴起,基于iOS及X-Code的开发人员相对较少风险影响操作系统:由于对企业开放程度低,一些深度开发工作,主要安全部分,难以开展开发工具:开发工具易用性差,移动应用开发工作量相对较大开发人员:移动开发团队建设有难度,成本相对较高风险应对操作系统:与Apple沟通,并与合作伙伴合作,逐步解决关键问题开发工具:抽象公共部分,加强代码和技术的共享
16、,降低对工具的依赖开发人员:加强人员技术培训,逐步建立移动应用开发项目团队,4.3 实施风险,风险描述系统接口:每一个需要移动的应用,一般对应一个后台系统,就需要与其对接组织人员: 企业包括众多组织,组织包括相关人员应用服务:移动服务的可控性移动设备:移动设备可能归公司,也可能归个人风险影响系统接口:原系统提供约定规范的接口服务组织人员:企业移动应用涉及组织及人员的权限应用服务:该移动化的应用才能出来移动设备:涉及其全生命周期需要管理风险应对系统接口:制订标准对接规范,尽可能与现有规范兼容组织人员:完善的管理平台有效管理组织及人员应用服务:完善的管理平台有效管理提供的相关服务移动设备:提供对其
17、全生命周期需要管理,4.4 运维风险,风险描述业务全新:移动应用平台是全新的平台,运维人员需要时间运用和管理该平台技术熟练:加之这属于新增工作,可能导致运维支撑工作不能快速步入正常轨道运维范围:运维的工作范围大,除了移动应用平台,还有后台系统对接风险影响业务全新:一定时期内,运维团队不能很好地开展运维支撑工作技术熟练:运维支撑团队需要一定时间建立,工作效率可能不高运维范围:后台接口、移动接入等,都可能影响系统使用风险应对业务全新:移动应用相关技术储备技术熟练:强化系统管理员培训运维范围:集团公司及相关兄弟单位能给予一定的支持,提纲,一、移动互联综述二、总体方案设计三、项目管理初步四、项目工作进
18、展五、典型功能演示六、后续工作计划,1、移动应用安全2、移动应用管理3、移动化的应用4、移动应用规范5、项目提交文档6、移动应用专利,1.1 移动安全方案通过评审,2011年3月10日,安全方案通过评审,评审结论是:满足国家信息安全等级保护的政策、法规和标准,满足信息安全等级保护三级的基本要求,可进行试点实施集团公司保密办范总出席了评审会,1、移动应用安全,完成Dock加密机的研发和安全平台的搭建反向代理、国产非公开隐秘算法的软硬件开发和部署安全平台兼容Android、iOS、Windows等操作系统全面兼容WiFi和各种制式的3G接入加密带宽:WiFi 8M确保产品、技术、厂商、整体合规,1
19、.2 安全实施效果,2、移动应用管理,初步完成企业级移动管理平台的开发,通过该平台,使分散的各种移动终端受控,并对管理透明:通过OTA方式,对移动终端的远程管理。如:设备注册,密码、各种配置的推送,各种应用的禁止与解禁,以及设备丢失后的文件擦除、锁定、追寻、注销等企业自建“应用大厅”,通过OTA方式,对不同用户分发不同的应用程序支持多层级和多任务的管理,支持自助服务和呼叫中心服务,3、移动化的应用,以全新的用户体验、便捷的触控操作,基本完成了以下典型应用:信息门户/新闻中心任务中心/审批中心电子公文合同管理财务报销信息化管理平台信息化管理平台工业视频,移动应用是集团公司成熟应用系统的功能扩展,
20、对原固定PC应用没有影响,4、移动应用规范,通过管道公司试点项目,初步形成了移动应用规范移动客户端规范客户端框架规范客户端应用开发规范用户体验规范交互设计规范(iPad和iPhone版)视觉设计规范(iPad和iPhone版)系统接口规范后端系统接口规范移动平台接口规范移动应用安全规范客户端接入安全规范客户端应用安全规范,5、项目提交文档,项目提交文档如下中国石油管道公司企业移动应用平台需求报告中国石油管道公司企业移动应用平台设计报告中国石油管道公司企业移动应用平台部署手册中国石油管道公司企业移动应用平台测试方案中国石油管道公司企业移动应用平台用户手册 制订中国石油管道公司企业移动应用管理办法
21、,按照中国石油保密和信息安全的相关规定,就数据源、移动终端、应用授权、用户行为、使用场所进行规范,杜绝因移动应用引起的泄密事件发生。,6、移动应用专利,移动应用初步形成专利,合计4类13项,其中发明专利11项安全(2项)基于iOS系统移动终端的加解密方法及装置基于iOS系统移动终端的加解密电路管理(8项)基于Exchange对iPAD的擦除方法不违反沙箱机制的企业应用大厅管理方法基于iOS设备ID的校验方法基于多型号的自动配置方法基于多型号的自动应用发布方法基于群组方式的设备管理方法在iPad上验证配置是否安装的方法在iPad上验证应用程序是否安装的方法应用(2项)多层级展示文档格式预转换方法
22、短信(1项)小信封即时短信回复应用,1、安全接入2、门户/新闻中心3、任务/审批中心4、信息化管理平台5、工业监视,汇报提纲,一、移动互联综述二、总体方案设计三、项目管理初步四、项目工作进展五、典型功能演示六、后续工作计划,1、安全接入,设置,连接,2、门户/新闻中心,3、任务/审批中心,电子公文,合同管理,财务报销,信息化管理平台,5、工业视频,1、系统试运行2、系统上线3、系统完善4、技术支持,提纲,一、移动互联综述二、总体方案设计三、项目管理初步四、项目工作进展五、典型功能演示六、后续工作计划,1、试点运行,2011年12月8日,管道公司开始试点运行部分兄弟单位共同试用试点运行以来,系统
23、运行稳定通过电话跟踪和调查表反馈,用户反映良好,2、下一步安排和打算,1、在做好管道公司试点工作总结的同时,做好移动应用在管道公司推广工作;2、提交集团公司企业移动应用平台可研报告,并向主管部门汇报、请咨询公司组织评审; 3、采用中国石油统一PKI/CA,将证书颁发到Dock加密机,整合移动安全和移动应用; 4、开发企业级移动应用管理系统,整合安全与管理,全方位管理移动应用相关内容; 5、本着“业务主导,急用先行”的原则,以良好用户体验为宗旨,开发移植移动应用; 6、抽象桌面应用系统,建立移动端应用模型,抽象封装基础应用,降低移动化成本。,3、两点体会,关于移动操作系统的选择1、Andtiod:开放系统、版本繁多、深度定制;2、Windows:尚无体验较好的移动终端。关于虚拟桌面的开发方式1、传输码流大;2、交互体验差。,鸣谢:勘探开发研究院 兰州石化项目组,51,汇报完毕谢谢指导,
