移动办公方案

移动办公方案第二章移动办公解决方案河北省高级人民法院的信息化经过近 10年的发展，已经在内部 专网部署了多套应用系统用于日常办公。 但是当院领导在会议、外出 等没有办公环境的时候，常常会面临紧急文件签署的问题。伴随着 3G时代来临，这个问题已经迎刃而解。中国联通能够充分发挥自身 的资源优势和专业性，可在不改变客户原有业务系统的同时， 快速满 足客户移动办公需求。河北联通拥有先进的通信及移动办公技术，可改变客户原有办 公方式，帮助客户实现随时随地办公，事随人走，人真正成为工作的 主体的目标。通过智能手机等终端设备，借助联通3G高速无线网络， 实现客户办公系统的移动化，达到随时随地都能掌上办公的目的。根据需求调研的结果，可通过虚拟桌面技术开发，满足河北省 高级人民法院办公系统移动化如下要求：(1) 、公文运转：包括发文、收文、会议纪要。(2) 、招投标管理和合同管理。(3) 、咼院最新通知。(4) 、新闻宣传报道。(5) 、法务系统流程。(6) 、其他相关业务系统等。预计安装手机办公终端数量为 500个2.1系统方案随着时代信息化的发展，各种智能手机、平板电脑以及3G网络快速普及，人们的操作习惯和使用偏好正从原来固定的台式机、笔记本慢慢迁移到更加便携更加灵活的智能终端。然而，由于 iPho ne/iPad/A ndroid 智能手机或平板电脑本身的局限性，使得这些 使用非Windows操作系统以及其使用的非IE内核的浏览器的智能终 端无法直接使用办公系统所有功能。虚拟桌面移动办公可以满足以下需求：（1）跨平台访问在智能终端上实现跨平台访问办公系统的需求越来越强烈，而办公平台设计是基于Windows平台上的IE内核等的浏览器，公文查看 等网页控件以及工作流提交、审批等基于PC浏览器开发，由于iPho ne/iPad/A ndroid 智能手机或平板电脑本身的局限性，无法安装Win dows平台上运行的应用程序，因此亟需一种可以跨平台部署，将 办公系统延伸到多种移动终端设备的移动办公方案。（2）快速应用部署办公系统功能模块多，且涉及网页插件，传统的应用部署模式占 用信息技术人员大量的精力和时间， 后续的维护管理十分复杂，如何 避免由于地理分散的而在终端上多次安装同类应用程序或控件的麻 烦，成为需要关心的问题。（3）数据防泄密智能终端远程办公运行的基础是网络，所有的数据也必须经过网 络进行交换，而这些数据都是组织机构的私密信息， 不允许为无关人 员所知。因此必须保证合法用户的非授权访问数据访问， 同时杜绝数 据拷贝至于智能终端或PC的数据泄密风险。办公系统访问时需要对访问数据保密， 通过智能手机、平板电脑 等移动设备访问时，必须要求数据不落地。（4）终端易用性将智能终端作为远程办公的媒介，势必会挑战人们的使用习惯， 而如果客户端的配置及操作繁杂的话，智能终端上实现办公平台接入 不会被用户认可。因此，远程办公平台的设计必须在智能终端上贴近 用户的使用习惯，同时避免繁杂的客户端配置，最大程度的提高用户 的办公效率，从而大大降低移动办公的使用以及推广难度。（5）应用访问速度影响用户远程办公的最主要因素就的访问速度问题，拖滞的访问 速度将大大影响用户的访问体验及办公效率， 网络状况、传输数据量 及应用的交互方式等等都将影响着速度质量。移动终端的 3G无线访 问、关键应用在广域网访问时对带宽的大量占用等， 所以在设计接入 方案的时候必须解决远程办公速度低下的问题。河北联通移动办公系统可提供最佳的应用性能和灵活的应用虚拟化功能。只需将省高法办公软件安装在移动虚拟化服务器上，通过移动办公平台整合高院内部系统资源，将各种应用软件发布到手机/平板电脑中，员工无需在手机/平板上安装任何业务软件，即可随时 随地安全地使用高院网内的各种应用。当用户使用移动终端办公时，只有鼠标键盘点击的少量控制信息 和屏幕更新经过网络传输，管理员可以为指定的用户群分配应用访问、打印和存储等权限策略；用户的各种终端通过远程应用发布平台接入业务数据中心，可以实现跨平台的快速访问移动云办公解决方案的网络拓扑结构如图所示:移动办公解决方案需要在河北省高级人民法院办公内网侧安装 一台移动办公管理平台、一台虚拟化服务器。移动终端通过河北联通 专线接入到省高法办公内网，访问移动办公平台以进行内部业务系统 的操作。移动办公管理系统，提供了数据传输加密功能以及完善的用户认 证功能，并为每位移动办公用户提供独立的办公环境（应用隔离技 术）；vmServer虚拟化服务器，部署高法内部办公应用（B/S或C/S 均可）的共享运行环境，此服务器不直接向用户提供服务， 需配合移动办公管理平台使用部署方式如下图所示:AF工岡关认证移动办公用户图示；数据传输流GGSX专线移动云接入 局域网管理平台远程办公平台2.2组网方案目前，可用于搭建VPN网络的技术较多，例如：L2TP PPTRGREIP Sec、SSL MPLS等，而移动VPDN业务基于河北联通的3G WCDMA高速分组数据网，为集团客户构建安全的、移动的、高速率的和有质 量保证的虚拟专用数据网络，提供了差异化的、安全可靠的无线数据 解决方案。可采用中国联通的VPDN业务构建无线网络接入环境。河北联通在对多种VPN技术进行深入的研究和切实的分析后，拟选择GRE技术进行网络架构的具体构建。GRE（ Gen eric Routi ng En capsulation ，通用路由圭寸装），是一 种三层隧道的承载协议。目前最为普遍的VPN建网方式，适用于构建 省高法内部虚拟专网（Intran et VPN 和Extra net VPN ）。建立GRE VPN$接的技术过程如下：1）首先，建立起用户侧到联通侧的 GRE隧道；2）MS（ Mobile Station，即：智能移动终端）发起 ActivatePDP请求，在PDP报文中携带有APN用户名和密码等信息；3）SGSN（ Serving GPRSSupport Node,服务 GPRS支持节点） 向HLR（ Home Location Register ，本地用户位置寄存器）鉴权后, 从中国联通的 DNS获得 GGSN IP发起创建 GTP（GPRS TunnelingProtocol ）隧道请求;4）GGSr从SGSN获取用户信息后，向AAA服务器发送认证请求，AAA服务器对终端用户进行鉴权，并由 GGSN/AA服务器分配IP地址;5）MS和用户服务器进行通信。通过对以上所述的GREVPN技术方案进行分析，再结合移动化安全发布平台对数据安全的绝密性要求,符合实际要求的组网方案如下图所示:BAM空专疋114-社坊J .从中国联通核心网机房开通一条10M（建议值，视具体数据量调整）专线至高级人民法院的中心机房,此专线依托中国联通骨干传输网，上联至中国联通公司的 GGSf移动网关设备，同时，在高级人民 法院的数据中心机房设置一台路由器。这样的网络组建方式以专线技术手段从物理上根本杜绝了用户侧路由器与互联网之间的联系，保证了客户端数据的绝对安全。用于安全认证和鉴权的 AAA服务器放在中国联通侧，在用户侧（高级人民法院），通过路由器与中国联通的GGS设备建立GRB隧道, 移动用户的IP地址由中国联通AAA服务器和GGS临时分配。对高级人民法院的各类智能移动终端，中国联通将分配专属的APN域名，基于此技术，还可以将无线上网卡的 IMSI号和移动通讯 号码绑定到专属的APN域名，实现3G卡的绑定接入认证。2.3移动办公安全策略河北联通移动办公业务充分考虑到河北省高级人民法院移动办 公项目实施和运行时的各个节点的攻击可能性，分别从接入，传输， 存储，机制等四个方面组织了多种安全策略。 客户根据安全级别要求 可以自由的选取相关的安全策略以保证客户实施移动办公的安全性。231接入安全（1）接入安全：包括安全组网和联通专线网络组网遵从如下原则：网络边界做到逻辑隔离，防火墙均仅开 放有限端口；专网与河北联通移动办公服务器所在区物理隔离。联通专线：由河北联通直接将物理线路（例如光纤）从联通机房 接入点接入至河北省高级人民法院机房侧，避免用户数据与移动传输 时经In ter net所造成的风险。用户智能终端使用运营商分配的接入 APN用户名和密码连接网 络系统，运营商对接入的智能终端是否合法进行判定， 合法用户连通 网络，不合法用户拒绝连通网络。敢朗油if廷立1I用户业务安全性保障点；K联通侧对卡是否合法进行州定；2、联通侧对于卡使用的APW是否合法进行判定3、用户mius对于用户号码是否合法进行判遛；k用户RADIUS对于用Q名.应码是否合法进行判定5*可以在无线侧到用户核心洌叠加加营算法师E律逬！客户f辆232网络层安全移动办公系统：在省高法中心机房部署移动办公， 实现：应用虚 拟化办公发布、用户权限管理、用户统一身份认证管理、日志审计等 功能。移动办公系统设备放在高法数据机房，路由防火墙对外开放其 TCP443 3389 和 5150 端口。APN/VPDN专线在内部加密线路下，使用移动办公系统方案，实 现更高安全级别的链接接入。通过防火墙隔离移动办公平台网络区域和高法内部应用系统局 域网，在防火墙上开通TCP80和443端口，以便用户访问内网的应用 系统。233机制安全:手机终端的多重校验：提供高安全的用户名、密码、手机号和终 端实体的多重绑定，保证用户账号和终端实体等因素实行绑定。 只有 当多种校验全部匹配时，才能允许用户登录，可以有效地实行用户的 鉴权登录，保证用户登录时身份的不可伪造性。防止密码穷举攻击：系统采取有效的机制，只允许用户每次登录 尝试三次密码，假如还不对，将自动中止与用户的连线。使得无法完 成对用户密码的穷举攻击。停用锁止：当用户因为手机丢失或其他原因需要暂停业务时，系统会锁定用户所有的数据，并阻止用户登录。保证用户的机密信息不 会泄漏。2.4关键技术虚拟化技术虚拟化技术是指计算机软件在一个虚拟的平台上面而不是真实的基础之上运行，将CPU莫拟多个CPU并行运行，允许一个平台同时 运行机多个操作系统，且应用程序都可以在相互独立的空间内运行而 互不影响，从而显著提高计算机的工作效率和安全性。移动虚拟化技 术是基于PC虚拟化平台的技术延伸，是实现单 CPU智能手机的根本 技术。手机客户端软件虚拟应用界面，通过发送键盘、屏幕触摸指令 来传递控制信息至远端数据中心，数据中心接收指令信息后，将计算结果推送至手机客户端242应用云CAB术河北联通移动办公系统采用应用 CAB技术，将应用逻辑与用户界面显示分开，所有运算都在服务器上运行，在网络上只传输鼠标、键盘指令等远端变化部分的屏幕信息。远程用户无须安装相应的客户CAB应用端，有效解决了 C/S应用Web化的问题。通过移动办公系统平台，即使带宽占有量只需30K,仍然可以低带宽载入高效率运行。原理下图所示SSL隧道加密压缩传输单点登录单点登录模块，给应用系统复杂且多的法院政务，提供了一个全新的基于应用的安全管理方式，他可以结合法院政务目录服务，对一 个内部网络用户进行集中式应用的权限分发和管理(即统一的身份认 证和访问控制)，通过内置的SSO(Single sign on )单点登陆，将 不同应用的不同身份认证方式，不同的访问权限，进行一个有效的整 合，方便了用户的使用，简化了多次的登陆过程和网络管理员在权限 管理上的复杂性。244用户行为审计通过记录和审计，管理员可以搞明白每个用户每时每刻都在做什 么。而丰富的审计报表使管理员能够及时发现系统瓶颈、操作习惯、 以及不当行为。日志审计系统大致分为日志审计、 数据报表、系统设置和日志查 询四大模块：日志审计分为登陆日志审计和资源访问审计两大模块， 可进行指定时间段内相关信息查询；数据报表主要反应了用户活跃程 度和资源活跃程度，方便管理员直观了解系统登录情况。并可根据单 个用户进行具体查询；系统设置主要分为日志管理员管理和系统接口 配置；而日志查询里则包括系统日志，用户登录日志和资源访问日志 等所有信息。租用联通GGSN专线，内网核心交换部署EC移动办公平台。移动 办公用户通过3G网络接入联通APN网关，鉴权和认证符合要求的用 户通过GGSN专线接入内网。接入的用户访问虚拟桌面移动办公平台， 根据员工身份进行接入系统认证，并对员工身份进行权限划分和资源 分配。245手机UIM卡绑定支持An droid系统UIM卡绑定，通过镜像平移客户端读取 UIM 卡特定信息，生成唯一特征码，在移动云办公后台设定用户 UIM绑定 后，用户第一次登录前台，会自动上传唯一特征码，完成UIM卡绑定。246手机硬件特征码绑定支持An droid、IOS系统硬件特征码绑定，通过移动云办公客户 端读取手机硬件信息，生成唯一特征码，在移动云办公系统后台设定 用户手机硬件特征码绑定后，用户第一次登录前台，会自动上传唯一 特征码，完成手机硬件信息绑定。247 支持USBKE证书认证支持USBKE证书认证。结合第三方证书认证平台（国家法定的 CA数字证书中心），数字证书中含有密钥对（公钥和私钥）所有者的 识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。手机用户在平板上插入定制的 USBKE便件证书，移动云办公系 统通过移动客户端集成的 USBKEY中间件识别程序，识别到 USBKEY 卡证书内容，完成用户的接入身份识别。用户通过移动办公系统登录 应用程序，使用如 OA等政务办公系统时，也可以随时调用USBKEY中的证书、数字签名或数字印章等，完成日常的政务签批等工作。248远程桌面协议RDPRDP是 Microsoft （微软）基于 WindowsNT终端服务器上研发的 远程虚拟桌面协议，它是面向 TCP/IP协议的，所以保证了数据传输 的有效性和稳定性。通过对 RDP层次分解，大致可以分为5层。网络连接层：RDP协议建立在TCP/IP协议之上，由于传输的数 据量比较大，因此在协议的底层首先定义一层网络连接层。 它定义了 一个完事的RDP数据逻辑包，以避免由于网络包长度过长而被分割使 数据丢失。ISO数据层：在网络连接层之上是ISO数据层，它表示RDP数据 的正常连接通信。虚拟通道层：在ISO数据层之上，RDP协议定义一个虚拟通道层， 用以拆分标示不同虚拟通道的数据， 加快客户端处理速度，节省占用 网络接口的时间。加密解密层：在虚拟通道层之上，RDP定义一个数据加密解密层。 此层用于对所有的功能数据进行加密、解密处理。功能数据层：在加密解密层之上是功能数据， 画面信息，本地资 源转换，声音数据，打印数据等所有的功能数据信息都在此层进行处 理。移动办公终端上截取到代理服务器返回的数据流是经过RDP加密解密层进行过数据加密的二进制图形码流， 然后在终端上解密后呈 现服务器虚拟桌面图片，所以无需担心服务器上的公文、邮件等明文 文件被空中窃取。2.5硬件及软件部分（1）移动云办公管理平台（1台）移动化统一接入云平台，管理省高法用户权限、隔离内网与公网、深度管理应用虚拟化到移动设备上。（2）虚拟化服务器（1台）作为承载应用虚拟化功能的服务器或 PC （视规模而定），是移动办公平台访问内网的唯一通道，服务器使用 Win dows7操作系统，（3）APN/VPN专线（10M*1）提供专网接入带宽，可进一步提咼安全性。2.6技术特点及优势河北联通移动办公系统与传统移动办公相比，具有以下技术特点：（1）多终端：支持An droid平板电脑/智能手机、iPad/IPho ne等（2）高速接入：采用联通 WCDM和/VPDN专线高速接入多应用：支持各种B/S和C/S方式的办公应用（4）高安全：支持高级的数字证书认证技术，全程数据加密传输（5）易实施：无需任何二次开发工作，只要一天即可完成部署与其它同样使用虚拟桌面技术的移动办公产品相比，具有以下优点： 更丰富更安全的身份认证方式：支持USBKEY证书认证、指纹认证（需 设备支持）、短信认证；CA认证、动态令牌认证、手机令牌认证、X.509数字证书认证；支持WINDOWS、RADIUS和LDAP等；提供IBOX功能：支持移动终端与代理服务器的文件交互，解决移动终端上文件不能上传和发送的局限性；更丰富的B/S应用支持：支持所有 WEB占点、OA WEB MAIL系统， 支持 Html/Dhtml、Jsp、Asp、Java applet、ActiveX、Cookies 等各种 Web技术；支持FTP Email的Web访问；更丰富的C/S应用支持：支持所有C/S软件和WINDOWS序的发布,包括：http、Email、Ftp、网上邻居、Notes、Outlook、Oracle、SQL等各种动态和静态的C/S应用；支持内网DNS支持对应用的透 明访问，自动定位URL支持隐藏服务、应用的快捷方式、自动启动 服务；更加可靠的安全策略：第一层安全策略：彻底隔离内外网；第二层安 全策略：数据传输全程加密，防止数据被窃取；第三层安全策略：数 字证书验证、防暴力破解，使用者身份唯一确定。