《移动办公方案(共16页).docx》由会员分享,可在线阅读,更多相关《移动办公方案(共16页).docx(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上第二章 移动办公解决方案河北省高级人民法院的信息化经过近10年的发展,已经在内部专网部署了多套应用系统用于日常办公。但是当院领导在会议、外出等没有办公环境的时候,常常会面临紧急文件签署的问题。伴随着3G时代来临,这个问题已经迎刃而解。中国联通能够充分发挥自身的资源优势和专业性,可在不改变客户原有业务系统的同时,快速满足客户移动办公需求。河北联通拥有先进的通信及移动办公技术,可改变客户原有办公方式,帮助客户实现随时随地办公,事随人走,人真正成为工作的主体的目标。通过智能手机等终端设备,借助联通3G高速无线网络,实现客户办公系统的移动化,达到随时随地都能掌上办公的目的。根
2、据需求调研的结果,可通过虚拟桌面技术开发,满足河北省高级人民法院办公系统移动化如下要求:(1)、公文运转:包括发文、收文、会议纪要。(2)、招投标管理和合同管理。(3)、高院最新通知。(4)、新闻宣传报道。(5)、法务系统流程。(6)、其他相关业务系统等。预计安装手机办公终端数量为500个。2.1系统方案随着时代信息化的发展,各种智能手机、平板电脑以及3G网络快速普及,人们的操作习惯和使用偏好正从原来固定的台式机、笔记本慢慢迁移到更加便携更加灵活的智能终端。然而,由于iPhone/iPad/Android智能手机或平板电脑本身的局限性,使得这些使用非Windows操作系统以及其使用的非IE内核
3、的浏览器的智能终端无法直接使用办公系统所有功能。虚拟桌面移动办公可以满足以下需求:(1)跨平台访问在智能终端上实现跨平台访问办公系统的需求越来越强烈,而办公平台设计是基于Windows平台上的IE内核等的浏览器,公文查看等网页控件以及工作流提交、审批等基于PC浏览器开发,由于iPhone/iPad/Android智能手机或平板电脑本身的局限性,无法安装Windows平台上运行的应用程序,因此亟需一种可以跨平台部署,将办公系统延伸到多种移动终端设备的移动办公方案。(2)快速应用部署办公系统功能模块多,且涉及网页插件,传统的应用部署模式占用信息技术人员大量的精力和时间,后续的维护管理十分复杂,如何
4、避免由于地理分散的而在终端上多次安装同类应用程序或控件的麻烦,成为需要关心的问题。(3)数据防泄密智能终端远程办公运行的基础是网络,所有的数据也必须经过网络进行交换,而这些数据都是组织机构的私密信息,不允许为无关人员所知。因此必须保证合法用户的非授权访问数据访问,同时杜绝数据拷贝至于智能终端或PC的数据泄密风险。办公系统访问时需要对访问数据保密,通过智能手机、平板电脑等移动设备访问时,必须要求数据不落地。(4)终端易用性将智能终端作为远程办公的媒介,势必会挑战人们的使用习惯,而如果客户端的配置及操作繁杂的话,智能终端上实现办公平台接入不会被用户认可。因此,远程办公平台的设计必须在智能终端上贴近
5、用户的使用习惯,同时避免繁杂的客户端配置,最大程度的提高用户的办公效率,从而大大降低移动办公的使用以及推广难度。(5)应用访问速度影响用户远程办公的最主要因素就的访问速度问题,拖滞的访问速度将大大影响用户的访问体验及办公效率,网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。移动终端的3G无线访问、关键应用在广域网访问时对带宽的大量占用等,所以在设计接入方案的时候必须解决远程办公速度低下的问题。河北联通移动办公系统可提供最佳的应用性能和灵活的应用虚拟化功能。只需将省高法办公软件安装在移动虚拟化服务器上,通过移动办公平台整合高院内部系统资源,将各种应用软件发布到手机/平板电脑中,员工无
6、需在手机/平板上安装任何业务软件,即可随时随地安全地使用高院网内的各种应用。当用户使用移动终端办公时,只有鼠标键盘点击的少量控制信息和屏幕更新经过网络传输,管理员可以为指定的用户群分配应用访问、打印和存储等权限策略;用户的各种终端通过远程应用发布平台接入业务数据中心,可以实现跨平台的快速访问移动云办公解决方案的网络拓扑结构如图所示:移动办公解决方案需要在河北省高级人民法院办公内网侧安装一台移动办公管理平台、一台虚拟化服务器。移动终端通过河北联通专线接入到省高法办公内网,访问移动办公平台以进行内部业务系统的操作。移动办公管理系统,提供了数据传输加密功能以及完善的用户认证功能,并为每位移动办公用户
7、提供独立的办公环境(应用隔离技术);vmServer虚拟化服务器,部署高法内部办公应用(B/S或C/S均可)的共享运行环境,此服务器不直接向用户提供服务,需配合移动办公管理平台使用。部署方式如下图所示:远程办公平台2.2组网方案目前,可用于搭建VPN网络的技术较多,例如:L2TP、PPTP、GRE、IP Sec、SSL、MPLS等,而移动VPDN业务基于河北联通的3G WCDMA高速分组数据网,为集团客户构建安全的、移动的、高速率的和有质量保证的虚拟专用数据网络,提供了差异化的、安全可靠的无线数据解决方案。可采用中国联通的VPDN业务构建无线网络接入环境。河北联通在对多种VPN技术进行深入的研
8、究和切实的分析后,拟选择GRE技术进行网络架构的具体构建。GRE(Generic Routing Encapsulation,通用路由封装),是一种三层隧道的承载协议。目前最为普遍的VPN建网方式,适用于构建省高法内部虚拟专网(Intranet VPN和Extranet VPN)。建立GRE VPN连接的技术过程如下:1)首先,建立起用户侧到联通侧的GRE隧道;2)MS(Mobile Station,即:智能移动终端)发起Activate PDP请求,在PDP报文中携带有APN、用户名和密码等信息;3)SGSN(Serving GPRS Support Node,服务GPRS支持节点)向HLR
9、(Home Location Register,本地用户位置寄存器)鉴权后,从中国联通的DNS获得GGSN IP,发起创建GTP(GPRS Tunneling Protocol)隧道请求;4)GGSN从SGSN获取用户信息后,向AAA服务器发送认证请求,AAA服务器对终端用户进行鉴权,并由GGSN/AAA服务器分配IP地址;5)MS和用户服务器进行通信。通过对以上所述的GRE VPN技术方案进行分析,再结合移动化安全发布平台对数据安全的绝密性要求,符合实际要求的组网方案如下图所示:从中国联通核心网机房开通一条10M(建议值,视具体数据量调整)专线至高级人民法院的中心机房,此专线依托中国联通骨干
10、传输网,上联至中国联通公司的GGSN移动网关设备,同时,在高级人民法院的数据中心机房设置一台路由器。这样的网络组建方式以专线技术手段从物理上根本杜绝了用户侧路由器与互联网之间的联系,保证了客户端数据的绝对安全。用于安全认证和鉴权的AAA服务器放在中国联通侧,在用户侧(高级人民法院),通过路由器与中国联通的GGSN设备建立GRE隧道,移动用户的IP地址由中国联通AAA服务器和GGSN临时分配。对高级人民法院的各类智能移动终端,中国联通将分配专属的APN域名,基于此技术,还可以将无线上网卡的IMSI号和移动通讯号码绑定到专属的APN域名,实现3G卡的绑定接入认证。2.3 移动办公安全策略河北联通移
11、动办公业务充分考虑到河北省高级人民法院移动办公项目实施和运行时的各个节点的攻击可能性,分别从接入,传输,存储,机制等四个方面组织了多种安全策略。客户根据安全级别要求可以自由的选取相关的安全策略以保证客户实施移动办公的安全性。2.3.1接入安全(1)接入安全:包括安全组网和联通专线网络组网遵从如下原则:网络边界做到逻辑隔离,防火墙均仅开放有限端口;专网与河北联通移动办公服务器所在区物理隔离。联通专线:由河北联通直接将物理线路(例如光纤)从联通机房接入点接入至河北省高级人民法院机房侧,避免用户数据与移动传输时经Internet所造成的风险。用户智能终端使用运营商分配的接入APN、用户名和密码连接网
12、络系统,运营商对接入的智能终端是否合法进行判定,合法用户连通网络,不合法用户拒绝连通网络。2.3.2网络层安全移动办公系统:在省高法中心机房部署移动办公,实现:应用虚拟化办公发布、用户权限管理、用户统一身份认证管理、日志审计等功能。移动办公系统设备放在高法数据机房,路由防火墙对外开放其TCP443、3389和5150端口。APN/VPDN专线在内部加密线路下,使用移动办公系统方案,实现更高安全级别的链接接入。通过防火墙隔离移动办公平台网络区域和高法内部应用系统局域网,在防火墙上开通TCP80和443端口,以便用户访问内网的应用系统。2.3.3机制安全:手机终端的多重校验:提供高安全的用户名、密
13、码、手机号和终端实体的多重绑定,保证用户账号和终端实体等因素实行绑定。只有当多种校验全部匹配时,才能允许用户登录,可以有效地实行用户的鉴权登录,保证用户登录时身份的不可伪造性。防止密码穷举攻击:系统采取有效的机制,只允许用户每次登录尝试三次密码,假如还不对,将自动中止与用户的连线。使得无法完成对用户密码的穷举攻击。停用锁止:当用户因为手机丢失或其他原因需要暂停业务时,系统会锁定用户所有的数据,并阻止用户登录。保证用户的机密信息不会泄漏。2.4关键技术2.4.1虚拟化技术虚拟化技术是指计算机软件在一个虚拟的平台上面而不是真实的基础之上运行,将CPU模拟多个CPU并行运行,允许一个平台同时运行机多
14、个操作系统,且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率和安全性。移动虚拟化技术是基于PC虚拟化平台的技术延伸,是实现单CPU智能手机的根本技术。手机客户端软件虚拟应用界面,通过发送键盘、屏幕触摸指令来传递控制信息至远端数据中心,数据中心接收指令信息后,将计算结果推送至手机客户端。2.4.2应用云CAB技术河北联通移动办公系统采用应用CAB技术,将应用逻辑与用户界面显示分开,所有运算都在服务器上运行,在网络上只传输鼠标、键盘指令等远端变化部分的屏幕信息。远程用户无须安装相应的客户端,有效解决了C/S应用Web化的问题。通过移动办公系统平台,即使带宽占有量只需3
15、0K,仍然可以低带宽载入高效率运行。CAB应用原理下图所示。 2.4.3单点登录单点登录模块,给应用系统复杂且多的法院政务,提供了一个全新的基于应用的安全管理方式,他可以结合法院政务目录服务,对一个内部网络用户进行集中式应用的权限分发和管理(即统一的身份认证和访问控制), 通过内置的SSO(Single sign on)单点登陆,将不同应用的不同身份认证方式,不同的访问权限,进行一个有效的整合,方便了用户的使用,简化了多次的登陆过程和网络管理员在权限管理上的复杂性。2.4.4用户行为审计通过记录和审计,管理员可以搞明白每个用户每时每刻都在做什么。而丰富的审计报表使管理员能够及时发现系统瓶颈、操
16、作习惯、以及不当行为。日志审计系统大致分为日志审计、数据报表、系统设置和日志查询四大模块:日志审计分为登陆日志审计和资源访问审计两大模块,可进行指定时间段内相关信息查询;数据报表主要反应了用户活跃程度和资源活跃程度,方便管理员直观了解系统登录情况。并可根据单个用户进行具体查询;系统设置主要分为日志管理员管理和系统接口配置;而日志查询里则包括系统日志,用户登录日志和资源访问日志等所有信息。租用联通GGSN专线,内网核心交换部署EC移动办公平台。移动办公用户通过3G网络接入联通APN网关,鉴权和认证符合要求的用户通过GGSN专线接入内网。接入的用户访问虚拟桌面移动办公平台,根据员工身份进行接入系统
17、认证,并对员工身份进行权限划分和资源分配。2.4.5手机UIM卡绑定支持Android系统UIM卡绑定,通过镜像平移客户端读取UIM卡特定信息,生成唯一特征码,在移动云办公后台设定用户UIM绑定后,用户第一次登录前台,会自动上传唯一特征码,完成UIM卡绑定。2.4.6手机硬件特征码绑定支持Android、IOS系统硬件特征码绑定,通过移动云办公客户端读取手机硬件信息,生成唯一特征码,在移动云办公系统后台设定用户手机硬件特征码绑定后,用户第一次登录前台,会自动上传唯一特征码,完成手机硬件信息绑定。2.4.7 支持USBKEY证书认证支持USBKEY证书认证。结合第三方证书认证平台(国家法定的CA
18、数字证书中心),数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。手机用户在平板上插入定制的USBKEY硬件证书,移动云办公系统通过移动客户端集成的USBKEY中间件识别程序,识别到USBKEY卡证书内容,完成用户的接入身份识别。用户通过移动办公系统登录应用程序,使用如OA等政务办公系统时,也可以随时调用USBKEY中的证书、数字签名或数字印章等,完成日常的政务签批等工作。2.4.8远程桌面协议RDPRDP是Microsoft(微软)基于Windows NT终端服务器上研发的远程虚拟桌面协议,它是面向TCP/IP协议的,所以保证了数据传输的有
19、效性和稳定性。通过对RDP层次分解,大致可以分为5层。网络连接层:RDP协议建立在TCP/IP协议之上,由于传输的数据量比较大,因此在协议的底层首先定义一层网络连接层。它定义了一个完事的RDP数据逻辑包,以避免由于网络包长度过长而被分割使数据丢失。ISO数据层:在网络连接层之上是ISO数据层,它表示RDP数据的正常连接通信。虚拟通道层:在ISO数据层之上,RDP协议定义一个虚拟通道层,用以拆分标示不同虚拟通道的数据,加快客户端处理速度,节省占用网络接口的时间。加密解密层:在虚拟通道层之上,RDP定义一个数据加密解密层。此层用于对所有的功能数据进行加密、解密处理。功能数据层:在加密解密层之上是功
20、能数据,画面信息,本地资源转换,声音数据,打印数据等所有的功能数据信息都在此层进行处理。移动办公终端上截取到代理服务器返回的数据流是经过RDP加密解密层进行过数据加密的二进制图形码流,然后在终端上解密后呈现服务器虚拟桌面图片,所以无需担心服务器上的公文、邮件等明文文件被空中窃取。2.5硬件及软件部分(1)移动云办公管理平台(1台)移动化统一接入云平台,管理省高法用户权限、隔离内网与公网、深度管理应用虚拟化到移动设备上。(2)虚拟化服务器(1台)作为承载应用虚拟化功能的服务器或PC(视规模而定),是移动办公平台访问内网的唯一通道,服务器使用Windows7操作系统,(3)APN/VPN专线(10
21、M*1)提供专网接入带宽,可进一步提高安全性。2.6技术特点及优势河北联通移动办公系统与传统移动办公相比,具有以下技术特点:(1)多终端:支持Android平板电脑/智能手机、iPad/IPhone等(2)高速接入:采用联通WCDMA和/VPDN专线高速接入(3)多应用:支持各种B/S和C/S方式的办公应用(4)高安全:支持高级的数字证书认证技术,全程数据加密传输(5)易实施:无需任何二次开发工作,只要一天即可完成部署与其它同样使用虚拟桌面技术的移动办公产品相比,具有以下优点:更丰富更安全的身份认证方式:支持USB KEY证书认证、指纹认证(需设备支持)、短信认证;CA认证、动态令牌认证、手机
22、令牌认证、X.509数字证书认证;支持WINDOWS域、RADIUS和 LDAP等;提供IBOX功能:支持移动终端与代理服务器的文件交互,解决移动终端上文件不能上传和发送的局限性;更丰富的B/S应用支持:支持所有WEB站点、OA、WEB MAIL系统,支持 Html/Dhtml、Jsp、Asp、Java applet、 ActiveX、 Cookies等各种Web技术;支持FTP、Email的Web访问;更丰富的C/S应用支持:支持所有C/S软件和WINDOWS程序的发布,包括:http、Email、Ftp、网上邻居、Notes、Outlook、Oracle、SQL等各种动态和静态的C/S应用;支持内网DNS;支持对应用的透明访问,自动定位URL;支持隐藏服务、应用的快捷方式、自动启动服务;更加可靠的安全策略:第一层安全策略:彻底隔离内外网;第二层安全策略:数据传输全程加密,防止数据被窃取;第三层安全策略:数字证书验证、防暴力破解,使用者身份唯一确定。专心-专注-专业