早在2012年,南方电网公司便依据现实条件,启动了企业级远程移动安全接入平台建设,并首先完成了在公司总部的试点应用。远程移动安全接入平台能够有效保障接入安全和移动终端安全,对移动终端和接入方式进行全面监控,确保远程/移动访问不会损害公司内部应用系统的安全性,实现移动终端接入的信息安全全程管控,为实现应用系统的移动信息化奠定了坚实基础。
无规矩不成方圆,在移动应用中亦是如此,2013年,南方电网公司为了规范和指导远程移动安全接入平台建设,加强移动终端安全接入管理,做到技术先进、经济合理、安全适用,在全网范围内按照统一的技术规范推广建设该平台。这些技术规范包含了五个方面的内容,即技术框架、功能要求、接口配置、数据管理、运维管理。
技术框架
南方电网公司远程移动安全接入平台技术框架,提出了系统架构、应用架构、数据架构、集成架构、安全架构,阐述了远程移动接入平台部署要求。
系统架构:南方电网远程移动安全接入系统架构分成移动终端、移动接入通信层、安全控制层、展示层、服务处理层、数据交换和内部核心业务层。
应用架构:应用架构分为移动智能终端、移动接入通信层、安全控制层、功能展示层、服务处理层和数据交换层。
数据架构:数据模型基于南方电网公司的整体数据架构规划,遵循从主域逐层子域分解原则,构建形成支撑整个远程移动安全接入平台的数据模型。
集成架构:远程移动安全接入平台与周边系统的集成关系,包括:与短信网关、AD域、防火墙、SSL VPN等系统集成。
安全架构:安全访问采用入网许可、设备合法、用户合法、权限合法等四重验证,整个安全访问流程分为入网许可、设备合法性认证、用户合法性认证、用户访问权限认证。
部署架构:远程移动安全接入平台采用网省两级部署、多级接入的架构模式来建设,即南网总部可对网省级应用进行统一管理、监控,各分子公司可实现统一的接入管理。架构分为三大部分,即移动应用接入区、移动应用管控区和内部应用系统。
功能要求
南方电网公司远程移动安全接入平台功能要求了描述平台功能要求,提出了功能模型、功能要求。
首先是功能模型,远程移动安全接入平台是运行于服务器端的软件,负责响应移动应用门户及其移动应用的请求,包括移动应用管理、配置开发、动态口令管理、SSL证书管理、应用接口、用户管理、客户端管理、统计与查询、运行监控等功能,同时能够集成公司的AD域服务、短信网关,以及移动协同办公系统等移动应用系统接入,为平台提供全面的安全保证和灵活的移动应用接入。
其次是功能要求,功能要求涵盖面广,包括了终端管理、接入管理、企信通知、通信录管理、短信管理、用户管理、数据管理、日志管理、安全管理、系统管理和应用管理等。
每一个功能要求都有详细的内容,例如,企信通知支持移动企信功能,可通过管理界面向移动终端发送可带附件的信息,其一是信息收发,用户可在移动终端的移动应用门户中发送、查看信息与附件,并支持按照组织机构分组显示,支持附件发送;其二是收件管理,具备收件管理功能,支持查询、删除等功能,并可设置查询条件为时间段、发送人、企信标题、企信内容;其三是发件管理,支持发件管理功能,并可设置查询条件为时间段、接送人、企信标题、企信内容。
接口配置
南方电网公司描述了远程移动安全接入平台接口及其配置,提出了接口模型以及与AD域、短信网关、防火墙、SSL VPN、移动应用等系统接口。
公司对一些系统接口的配置条件做了详细说明,如AD域信息的接口配置需要提供AD域系统的子域、根域以及拥有检索系统信息权限的用户账号及密码。移动接入平台组织单位信息只需要集成AD域系统中OU名称为‘用户,…,hq.corp.csg’的上级OU信息。用户信息的集成与组织单位信息相关联;短信网关接口,现有短信平台的企业通讯簿集成需要拥有短信平台通讯簿表信息检索权限的用户名及密码(或者平台提供通讯簿查询接口),短信的发送需要拥有短信发送接口、接口地址、接口用户名以及接口密码。
此外,策略路由接口配置、SSLVPN接口配置、移动应用接口配置和ITSM接口也有相应的内容,为各分子公司构建平台的接口提供了方向。
无规矩不成方圆,在移动应用中亦是如此,2013年,南方电网公司为了规范和指导远程移动安全接入平台建设,加强移动终端安全接入管理,做到技术先进、经济合理、安全适用,在全网范围内按照统一的技术规范推广建设该平台。这些技术规范包含了五个方面的内容,即技术框架、功能要求、接口配置、数据管理、运维管理。
技术框架
南方电网公司远程移动安全接入平台技术框架,提出了系统架构、应用架构、数据架构、集成架构、安全架构,阐述了远程移动接入平台部署要求。
系统架构:南方电网远程移动安全接入系统架构分成移动终端、移动接入通信层、安全控制层、展示层、服务处理层、数据交换和内部核心业务层。
应用架构:应用架构分为移动智能终端、移动接入通信层、安全控制层、功能展示层、服务处理层和数据交换层。
数据架构:数据模型基于南方电网公司的整体数据架构规划,遵循从主域逐层子域分解原则,构建形成支撑整个远程移动安全接入平台的数据模型。
集成架构:远程移动安全接入平台与周边系统的集成关系,包括:与短信网关、AD域、防火墙、SSL VPN等系统集成。
安全架构:安全访问采用入网许可、设备合法、用户合法、权限合法等四重验证,整个安全访问流程分为入网许可、设备合法性认证、用户合法性认证、用户访问权限认证。
部署架构:远程移动安全接入平台采用网省两级部署、多级接入的架构模式来建设,即南网总部可对网省级应用进行统一管理、监控,各分子公司可实现统一的接入管理。架构分为三大部分,即移动应用接入区、移动应用管控区和内部应用系统。
功能要求
南方电网公司远程移动安全接入平台功能要求了描述平台功能要求,提出了功能模型、功能要求。
首先是功能模型,远程移动安全接入平台是运行于服务器端的软件,负责响应移动应用门户及其移动应用的请求,包括移动应用管理、配置开发、动态口令管理、SSL证书管理、应用接口、用户管理、客户端管理、统计与查询、运行监控等功能,同时能够集成公司的AD域服务、短信网关,以及移动协同办公系统等移动应用系统接入,为平台提供全面的安全保证和灵活的移动应用接入。
其次是功能要求,功能要求涵盖面广,包括了终端管理、接入管理、企信通知、通信录管理、短信管理、用户管理、数据管理、日志管理、安全管理、系统管理和应用管理等。
每一个功能要求都有详细的内容,例如,企信通知支持移动企信功能,可通过管理界面向移动终端发送可带附件的信息,其一是信息收发,用户可在移动终端的移动应用门户中发送、查看信息与附件,并支持按照组织机构分组显示,支持附件发送;其二是收件管理,具备收件管理功能,支持查询、删除等功能,并可设置查询条件为时间段、发送人、企信标题、企信内容;其三是发件管理,支持发件管理功能,并可设置查询条件为时间段、接送人、企信标题、企信内容。
接口配置
南方电网公司描述了远程移动安全接入平台接口及其配置,提出了接口模型以及与AD域、短信网关、防火墙、SSL VPN、移动应用等系统接口。
公司对一些系统接口的配置条件做了详细说明,如AD域信息的接口配置需要提供AD域系统的子域、根域以及拥有检索系统信息权限的用户账号及密码。移动接入平台组织单位信息只需要集成AD域系统中OU名称为‘用户,…,hq.corp.csg’的上级OU信息。用户信息的集成与组织单位信息相关联;短信网关接口,现有短信平台的企业通讯簿集成需要拥有短信平台通讯簿表信息检索权限的用户名及密码(或者平台提供通讯簿查询接口),短信的发送需要拥有短信发送接口、接口地址、接口用户名以及接口密码。
此外,策略路由接口配置、SSLVPN接口配置、移动应用接口配置和ITSM接口也有相应的内容,为各分子公司构建平台的接口提供了方向。