移动办公安全解决方案.doc

某集团移动云应用解决方案深圳市赛蓝科技有限公司Shenzhen Cylan Technology Co., Ltd版权说明本文的内容是某集团移动云应用解决方案。文中的资料、说明等相关内容的版权归深圳市赛蓝科技有限公司所有和保留。本文中的任何部分未经深圳市赛蓝科技有限公司（以下简称赛蓝科技）许可，不得转印、影印或复印、发行。2009-2015 版权所有 深圳市赛蓝科技有限公司商标声明本解决方案中所谈及的赛蓝科技产品的名称是赛蓝科技的商标。方案中涉及的其他公司的注册商标属各商标注册人所有，恕不逐一列明。联系信息深圳市福田区彩田北路中科大产学研基地大厦608产品咨询热线：400-716-3232 0755-83073489传真：0755-83073493邮编：518035目 录1. 项目背景12.某集团项目介绍23.赛蓝移动云接入方案34.赛蓝移动云应用接入特点54.1 虚拟化应用54.2 应用可视化管理54.3 应用加速64.4 保护企业核心资源64.5 降低企业管理成本65.安全性保证75.1多样化接入认证方式75.1.1 AD域认证75.1.2 动态令牌认证75.1.3 手机令牌认证75.1.4 手机SIM卡绑定85.1.5 手机硬件特征码绑定85.1.6 证书认证85.1.7 短信认证85.2 VPDN/APN接入支持85.3 硬件终端绑定95.5 服务器端保护95.6 前置机隔离安全95.7 数据链路加密96.易用性96.1 操作简单96.2 速度优化96.3 个性定制9附录A 赛蓝云平台技术指标10附录B 赛蓝移动云功能表101. 项目背景随着企业信息化建设的发展，企业信息化应用的越来越多，如企业局域网、邮件系统、ERP、OA办公系统、共享文件、远程桌面等；同时，2009年以来，3G业务正式商用，各大运营商积极布局，广大的用户可以享受到手机上网、手机搜索、手机音乐、手机电视、可视电话、手机报、手机邮箱、手机导航、手机支付、手机在线游戏等精彩纷呈的3G业务。3G手机的广泛使用，特别是平板电脑的兴起，带来了用户对移动远程接入企业资源的新型需求，如何利用手机的方便性优势，平板电脑的良好操控性，使企业用户获得高效、快捷和安全的信息化应用环境，成为亟待解决的一个问题。2. 某集团项目介绍随着信息化办公的建设发展，电子化、数据化的办公方式已进入越来越多的企业和政府单位，信息化的办公系统在单位内部编织起一套高效、畅通的信息互联体系，极大推动了生产力的发展。但与此同时，由于需要依赖固定的办公场所和固定的办公配套设备，信息化的极盛发展又开始凸显一些新办公模式的问题：如何才能打破这些时空上的信息束缚限制，跳出固化的信息化建设窠臼，建立一套可以随时、随地、随手使用的信息系统，使得管理者、下属不管置身何地，都能随心所欲地和单位内部系统关联？移动办公已成为我们的一种必然选择。由于网络条件的优化，终端平台访问的不断升级，网络和硬件技术已完全达到应用需求，配套的软件开发技术也已成熟。目前移动虚拟化办公主要有两个发展方向：一是在不同类型的手机和平板上开发适配版本，此方案难度在于要针对不同的手机开发适配版本，且在软件开发周期上基于客户各应用单元需求，在手机上为每个软件开发定制版本，方案在手机上应用操控性较好，但是应用开发周期长，费用较高；二是虚拟化方案，将桌面软件镜像到手机和平板上进行应用，虽然在手机上的操控性较弱，但是项目实施快，适应性强，不管是B/S还是C/S架构系统能一次性部署，且扩展性很强，在平板电脑上的应用十分接近PC操作。某集团已建设好联合办公系统，为了满足各部门随时随地便携办公的需求，在原有笔记本移动办公基础上进一步扩展移动办公方式，实现手机移动办公，并将适用范围扩展到每一个移动办公员工，让大家体验到科技带来的便利与效率，因此亟需安全快捷的移动虚拟化接入方案。但在建设用户移动虚拟化方案时，遇到以下问题：1、 如何快速推广并部署手机移动虚拟化方案。2、 如何实现移动虚拟化方案的统一管理3、 如何保障移动办公中的接入身份安全，数据通讯安全。3. 赛蓝移动云接入方案赛蓝移动云应用虚拟化系统提供最佳的应用性能和灵活的应用虚拟化。某集团通过部署赛蓝移动云办公平台（双机热备，保证业务实时在线）实现移动接入的中心管控， 通过其将各种应用软件发布到手机界面中，员工无需在手机上安装任何业务软件，即可随时随地安全地访问服务器上的各种应用软件。赛蓝移动云应用虚拟化系统，为员工移动办公带来了质的变革，它开创了国内远程接入及应用虚拟化应用的先河，在PC、笔记本的基础上率先实现了手机客户端的接入功能，确保用户随时随地通过手机客户端远程登录、执行应用程序。赛蓝移动云应用虚拟化系统支持Ios、Android（平板&手机）、Windows等各种智能平台。赛蓝移动云应用解决方案的网络拓扑结构如下图所示：1、赛蓝移动云平台：在某集团的数据中心机房部署赛蓝移动云平台，实现：应用虚拟化办公发布、用户权限管理、用户统一身份认证管理、日志审计等功能。移动云平台设备放在客户数据机房，防火墙对外开放其TCP443端口（移动用户通过3G专线访问内网，则无须开放），对内能够访问到iserver前置机的TCP3389和TCP1234（默认设置，可更改）端口。移动用户可结合3G专线在内部加密线路下，使用赛蓝移动云应用方案，实现更高安全级别的链接接入。视接入用户多少配置接入带宽，保守估计按每用户接入须100K预留带宽，并发10用户建议2M光纤，并发100用户建议10M光纤，并发1000用户建议100M光纤。2、Iserver服务器（应用承载服务器）：为了保护某集团后台应用服务器的安全及更好的实现应用负载，要在数据中心机房里部署至少一台应用服务器做前置应用服务器（server2003或server2008系统），为手机移动用户提供应用承载平台，结合组策略或域安全策略，实现前置机更大程度的安全。如果云客户端很多的情况下，可以部署多台应用服务器，赛蓝的云平台支持应用的负载均衡，可以让移动用户接入应用更加快速。 赛蓝移动云系统是在微软RDP基础上进行开发，所以Iserver服务器需要安装终端服务，对外开放TCP3389端口，此外，为了更好实现接入应用，Iserver服务器上还需开放iserver模块的TCP1234（默认设置，可更改）端口，实现虚拟键盘、手机分辨率、3G连接优化、输入法（手写）支持、位图定位、单点登录、RDP负载均衡、IE浏览器安全控制等功能。3、移动办公用户（移动云客户端ICAB）：赛蓝的移动云接入平台，允许用户使用手机或平板电脑（苹果、安卓）以3G、WIFI或3G专线方式接入，在移动云客户端上安装赛蓝的移动云客户端的软件，通过云客户端认证后，客户即可以安全的使用办公应用。目前支持的移动云客户端平台有苹果的IPHONE,IPAD,ITOUCH，谷歌的Android和微软的Mobile及Phone7系统。需求设备清单：设备列表详细描述移动云平台(SGA)实现身份认证、SSL协议传输、权限控制、访问策略。厂家提供。Iserver服务器系统预装2003或2008server系统，作为手机用户访问内网业务服务器的代理访问服务器。用户数据中心机房自备。代理服务器参考配置：50100用户并发同时在线：HP DL360G7 1个XEON E5620(四核 2.40 GHz,12MB共享三级缓存)CPU/16GB PC3-10600R (寄存式内存)/146GB 硬盘*2100200用户并发同时在线：HP DL360G7 2个XEON E5620(四核 2.40 GHz,12MB共享三级缓存)CPU/16GB PC3-10600R (寄存式内存)/146GB 硬盘*2200300用户并发同时在线：HP DL360G7 2个XEON E5640(四核 2.66 GHz,12MB共享三级缓存)CPU/32GB PC3-10600R (寄存式内存)/146GB 硬盘*2300500用户并发同时在线：建议购买2台200300用户并发同时在线的服务器移动云客户端负责手机安全接入业务访问的客户端。厂家在电子市场提供下载。网络需求移动云平台设备外网出口。客户自备访问流量最低30K可以访问内网应用。流量费使用用户上网流量套餐中。用户自备。智能手机和平板电脑手机建议安卓和ios操作系统手机，4.0寸屏。平板用户不做硬性限制。客户自备。动态令牌实现加强型安全认证。厂家提供。SD卡证书平板证书认证。4. 赛蓝移动云应用接入特点4.1 虚拟化应用通过赛蓝的移动云接入平台，用户可以利用3G智能手机进行安全接入，通过赛蓝的移动客户端，用户可以很方便的进行远程资源访问，用户可以任意的使用WINDOWS服务器上所有资源，而资源原本在手机上是无法使用的，你可以打开ERP或OA办公系统，就像你在电脑上使用一样。4.2 应用可视化管理赛蓝3G应用虚拟化系统能方便快捷的为客户提供各种应用虚拟化：无论是B/S、C/S应用，还是局域网络共享文件，服务器的远程管理，管理员都可以通过手机随时随地为企业客户提供服务。企业用户可以通过统一界面看到各自权限内的应用资源，直观的进行办公操作。提高资源使用效率。应用资源统一虚拟化页面示例如图所示。4.3 应用加速赛蓝移动云应用虚拟化系统通过独特的HTTPS(SSL VPN)压缩、位图加速（虚拟化压缩技术）、应用缓存加速、它可以加速所有3G业务应用，并使所有跨无线广域网的3G应用性能得到显著提高，为用户创造最佳的网络体验与服务。4.4 保护企业核心资源赛蓝移动云应用虚拟化系统能够很好的保护企业核心资源，防止各种网络应用层攻击，阻止黑客等不法分子刺探企业的客户资料和机密文件。赛蓝移动云系统基于SSL 的数据加密技术，通过严格完善的用户权限管理，应用多种登录验证手段，确保合法用户安全访问应用。4.5 降低企业管理成本只须升级服务器端程序版本，客户端即可享受应用更新，无须对客户端做额外维护。管理员可以轻松设定远程用户的访问时间策略和权限，并可指定某个用户使用指定的计算机登录。此外，管理员可以通过清晰的表格，查看企业用户的使用情况和历史记录，提高IT管理效率。5. 安全性保证5.1多样化接入认证方式所有的智能手机或平板终端都要经过认证，才可以接入云平台，终端的认证方式有本地认证（用户名，密码）、第三方认证（LDAP/RADIUS/AD）、动态令牌（一次性密码认证令牌），手机SIM卡绑定、SD证书认证（云设备CA/第三方CA）、短信认证等方式。5.1.1 AD域认证赛蓝移动云平台可与用户AD域（或RADIUS）进行结合。用户无需在赛蓝设备上建立另外一套账号密码，即可用原有的AD域账号进行登录，并访问其权限内的应用。5.1.2 动态令牌认证可增配动态口令RSA令牌（类似网络银行的U盾，即在静态用户名和密码外增加一重安全性保障），实现更高级别的接入安全。赛蓝SGA平台内置了动态令牌服务端，基于时间周期与客户端动态令牌进行同步，每隔60秒产生一个新的口令，口令根据特定算法生成不可预测的随机数字组合，且每个口令只能使用一次。5.1.3 手机令牌认证手机令牌认证原理类似动态令牌认证。赛蓝SGA平台内置了手机动态令牌服务端，在手机上安装赛蓝手机令牌客户端软件，基于事件触发方式，与SGA服务器保持密码同步。由于其高安全性和易携带性，手机令牌认证将成为3G时代的主流认证方式。5.1.4 手机SIM卡绑定支持Android系统SIM卡绑定，通过赛蓝ICAB软件读取SIM卡特定信息，生成唯一特征码，在SGA后台设定用户SIM绑定后，用户第一次登录前台，会自动上传唯一特征码，完成SIM卡绑定。5.1.5 手机硬件特征码绑定支持Android、IOS系统硬件特征码绑定，通过赛蓝ICAB软件读取手机硬件信息，生成唯一特征码，在SGA后台设定用户手机硬件特征码绑定后，用户第一次登录前台，会自动上传唯一特征码，完成手机硬件信息绑定。5.1.6 证书认证支持SD卡证书认证。赛蓝SGA设备可做证书签发，或结合第三方证书认证平台，数字证书中含有密钥对（公钥和私钥）所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证。手机用户第一次以静态用户名密码方式登录，进行证书下载，下载证书安装后，即可由启用证书认证。如果是证书和静态用户名密码绑定用户，用户卸载终端或者更换设备后，须通知管理员清除其证书下载状态，才能再次下载证书进行认证。5.1.7 短信认证 支持和短信猫或短信平台结合认证。管理员在后台设置手机短信认证功能，为每个用户绑定手机号码，用户在进行移动办公登录时，首先会收到系统发送的短信验证码，才能在移动平台上进行相应的登录操作。5.2 VPDN/APN接入支持 赛蓝移动云平台客户端,支持运营商的APN专线域接入方式,可以保证用户的无线安全性(不上互联网)特殊安全要求。5.3 硬件终端绑定可以对手机做硬件绑定，绑定后，用户只能通过此绑定的手机或者平板电脑登录云平台。5.5 服务器端保护有云平台设备作接入，可以最大限度的保护服务器，可以避免服务器直接开放到互联网，另外，赛蓝云平台是基于代理的方式访问的，所以可以不要求服务器上网，可以做到服务器和互联网的隔离，可以避免服务器受互联网的攻击和威胁。5.6 前置机隔离安全在客户服务器区域部署前置机做堡垒机，既可以保护服务器的安全，又可以提高手机远程应用的速度，并且实现虚拟键盘、单点登录、3G网络优化等多项功能提升。5.7 数据链路加密手机终端在接入到云平台后，应用数据传输是经过国际标准算法SSL加密的，真正保证数据的传输安全。6. 易用性6.1 操作简单云客户端支持滚动，重力感应，屏幕缩放，支持触摸板、触摸屏方式，对触摸和手势进行了优化，让操作更加简单快捷。6.2 速度优化云客户端由于采用了高压缩缩放，每个客户端接入带宽只有30KB，最大限度提升了使用的性价比。6.3 个性定制支持个性化服务，定制登录LOGO，给客户定制自己的个性体验。附录A 赛蓝云平台技术指标技术指标：技术参数详细描述多种认证方式本地用户认证，X.509证书认证，WINDOWS AD，RADIUS，LDAP，SD卡加密证书认证，动态令牌，短信认证以及各种交叉认证支持。第三方数据库结合SQL，ORACLE，SYBASE等数据的账号作为SSL的登录认证账号，还有更高级的认证，指纹认证和邮箱账号认证广泛的手机系统支持iOS(iPhone、iPad)；Android 2.1、2.2、2.3、3.0、3.1；Windows Mobile 6.0、6.5、Phone 7；低带宽下快速流量访问30K 附录B 赛蓝移动云功能表赛蓝ICAB功能一览表特性功 能支持描述移动终端支持iPhone/iPadY支持iOS3/iOS4/iOS5操作系统Android Y支持Android 1.6/2.1/2.2/2.3/3.0/4.0操作系统Windows CEY支持Win CE/MOBIL6.0/6.5操作系统Windows Phone7预计2012年6月发布LePhone,LePadY支持LeOSOphoneY支持OPhone OS3G/WIFI/GPRSY人性化用户体验支持重力感应支持Y支持横屏竖屏自动切换单/多点触控支持Y支持电阻/电容屏多应用程序切换Y鼠标仿真支持Y支持鼠标单击/双击/长按人性化手势指令支持Y自由缩放输入法支持Y支持本地/远程输入法、输入框自动弹键盘/股票键盘/功能键手写输入支持Y支持中/英文手写输入手写签名支持Y声音效果Y震动效果Y应用加速Y支持数据压缩传输应用流量显示Y支持应用当前流量、应用总流量显示分辨率自定义Y支持1024*768/8000*600/服务器下发/自适应色位自定义Y支持8/16/24/32位色彩平滑滚屏Y应用发布应用程序发布Y桌面发布Y远程开机支持YSD卡映射支持Y支持Android系统SD内存卡映射到服务器离线手机办公支持Y远程音频传输支持Y易用性登录密码记忆Y手机SSO单点登录Y安全性SSL 加密Y手机SIM卡绑定Y支持Android系统手机SIM卡绑定多种身份认证Y支持帐号密码认证，手机证书认证，RADIUS/LDAP，Active Directory，本地动态口令牌认证，手机令牌支持，第三方动态令牌认证，手机短信认证等。访问控制Y运营商专网接入控制基于用户和组的控制特权用户的控制基于角色的访问控制基于时间的访问控制高可用性负载均衡Y支持多台应用服务器，ICAB自动选择最优性能多线路自动选入Y支持多线路接入，自动选择最优带宽线路手机缓存支持Y支持开启手机图片缓存，提升速度IBOX资源交互文件夹发布YPC/云存储/服务器任意文件文件远程和本地编辑Y本地打开编辑需要第三方软件支持文件上传下载Y支持视频/音频/图片/文档等其它文件文件管理操作Y支持文件及文件夹创建/重命名/删除/搜索文件传输管理Y单/批量传输，失败重传日志记录Y文件传输日志记录断点续传支持Y共享资源互访Y网页版IBOXY个性化门户登录LOGO自定义Y应用程序图标自定义Y