移動辦公系統(tǒng)(MOA)建設(shè)方案.doc

XXXX政府移動辦公系統(tǒng)（MOA）建設(shè)方案 移動辦公系統(tǒng)（MOA）建設(shè)方案 2011年1月目 錄1項目概述22技術(shù)方案概述42.1MOA概述42.2MOA工作原理簡介62.3MOA系統(tǒng)的部署73詳細設(shè)計93.1系統(tǒng)現(xiàn)狀與需求93.1.1系統(tǒng)現(xiàn)狀93.1.2用戶需求93.2設(shè)計理念93.3系統(tǒng)架構(gòu)設(shè)計103.4網(wǎng)絡(luò)控制113.5用戶和終端控制123.6數(shù)據(jù)和代碼控制133.7業(yè)務(wù)控制143.8精簡設(shè)計143.9系統(tǒng)物理結(jié)構(gòu)圖163.10應(yīng)用軟件的部署163.11移動終端用戶的安全接入161 項目概述國家努力推進的各大“金字工程”在把傳統(tǒng)政務(wù)數(shù)字化，而移動信息化大潮又讓很多數(shù)字化的業(yè)務(wù)過程“移動”起來。將市政府辦公電子化、數(shù)字化、移動化，從而提高辦公效率，做一心一意為人民服務(wù)一直是國家公務(wù)人員期望達到的目標。而“移動數(shù)字城市”的逐步發(fā)展正將這一目標拉近。 眾所周知，市政府系統(tǒng)是數(shù)據(jù)集中的中心，數(shù)據(jù)訪問量巨大，要求設(shè)備具有極高的穩(wěn)定性、功能兼容性和較高的處理性能。 市政府對MOA的應(yīng)用主要體現(xiàn)在移動辦公、信息系統(tǒng)查詢等方面。市政府人員外出辦公時，需要在線查詢時，使用手機終端(或PDA)接入市政府APN網(wǎng)絡(luò)，訪問單位內(nèi)部網(wǎng)頁，進行實時公文處理。 由于市政府對從內(nèi)部網(wǎng)接入移動網(wǎng)絡(luò)時的安全性非常重視，中國移動MOA和APN網(wǎng)絡(luò)在通信和傳輸過程中，對市政府內(nèi)部數(shù)據(jù)進行加密處理。同時，為了更好地保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩裕琈OA服務(wù)器和市政府手機終端之間建立加密的圖形碎片專用隧道。通過設(shè)置在市政府內(nèi)部網(wǎng)的MOA服務(wù)器實現(xiàn)市政府用戶身份認證。同時，構(gòu)建市政府移動信息查詢系統(tǒng)的APN，以保證市政府專有系統(tǒng)的安全性。移動辦公自動化系統(tǒng)即移動OA，是以“簡單、實用、使用不受地點限制”為設(shè)計理念開發(fā)的辦公自動化系統(tǒng)。移動辦公自動化系統(tǒng)網(wǎng)絡(luò)部署方案是利用XXXX提供的GPRS/EDGE專用網(wǎng)絡(luò)。在移動狀態(tài)下，通過智能移動終端利用GPRS/EDGE專用網(wǎng)絡(luò)實現(xiàn)查詢、審批、回復(fù)、確認等OA辦公操作，使辦公信息可以隨時隨地地進行交互流動，整體運作更加協(xié)調(diào)。使得辦公自動化系統(tǒng)除了傳統(tǒng)的通過電腦辦公的方式，用戶還可通過手機進行辦公系統(tǒng)的各種操作。涵蓋辦理待辦、在辦、待閱信息，瀏覽公告、查看附件、電子郵件等多種功能，并無縫銜接了電子郵件、短信等多種移動辦公形式。通過專用移動終端的客戶端程序，為用戶實現(xiàn)隨時隨地的移動辦公。除傳統(tǒng)的通過電腦辦公的方式，還可通過智能移動終端登錄辦公系統(tǒng)進行操作，帶來更多樣化的辦公渠道，發(fā)揮辦公系統(tǒng)更大的自身價值。產(chǎn)品在安裝、設(shè)置、學(xué)習(xí)、使用、維護等環(huán)節(jié)直觀簡便，使用戶可以將精力集中在辦公本身，而非復(fù)雜的概念與操作，大大降低了用戶的應(yīng)用難度和應(yīng)用成本。移動辦公自動化系統(tǒng)具有以下特點： 高效：跨越了時間與空間的限制，將辦公室的概念從一間屋子衍生到整個世界。隨時隨地，只要需要就可以辦公； 便捷：點擊手機上的幾個按鍵，迅速進入辦公新世界； 強大：基于鏡像技術(shù)的移動辦公自動化系統(tǒng)直接與中間服務(wù)器通信，指令都在中間服務(wù)器端執(zhí)行，能夠突破傳統(tǒng)手機應(yīng)用的種種限制，輕松實現(xiàn)各種復(fù)雜應(yīng)用； 易用：清晰而且邏輯合理的導(dǎo)航設(shè)計保證用戶容易上手，不會再有面對電腦屏幕上一堆按鈕拿著鼠標而不知往哪點的尷尬； 先進：移動OA屬于新興的ICT技術(shù)，它結(jié)合了通信技術(shù)和信息技術(shù)的最新成果，具有強大的生命力和無限的發(fā)展空間； 靈活：我們可以根據(jù)需求以及現(xiàn)有辦公自動化系統(tǒng)的特點，通過定制，使原有辦公自動化系統(tǒng)的數(shù)據(jù)和業(yè)務(wù)處理模式可以完整的體現(xiàn)到手機上； 持續(xù)發(fā)展和投資保護：使用基于鏡像技術(shù)的移動辦公系統(tǒng)，可以在用戶數(shù)量急劇擴容時，簡單地通過增加中間服務(wù)器數(shù)量來擴大系統(tǒng)容量；而且，其他業(yè)務(wù)系統(tǒng)進行移動化改造時，可以利用相同的中間服務(wù)器而無需再單獨購買服務(wù)器。這樣，系統(tǒng)可以自始至終地支持市政府移動應(yīng)用的發(fā)展進程，永遠不會落伍淘汰； 安全：中間服務(wù)器部署在市政府的內(nèi)網(wǎng)，而市政府應(yīng)用的數(shù)據(jù)只在中間服務(wù)器和應(yīng)用服務(wù)器之間傳輸，即實現(xiàn)了應(yīng)用數(shù)據(jù)不出內(nèi)網(wǎng)，極大地保證了應(yīng)用的安全性。而中間服務(wù)器與移動終端之間，只傳遞OSI表示層信息，已經(jīng)失去了敏感性，但也經(jīng)過系統(tǒng)的加密后，在APN專網(wǎng)中傳輸。因此，整個系統(tǒng)在各個環(huán)節(jié)上都具有完善的保護措施。 市政府目前使用的辦公自動化系統(tǒng)，實現(xiàn)公文處理、政務(wù)信息、歸檔查詢等主要功能，該系統(tǒng)平臺運行于政務(wù)內(nèi)網(wǎng)上，受線路和設(shè)備的限制，這就要求人員必須在辦公室、電腦前才能實現(xiàn)對文件的辦公操作，為了實現(xiàn)能夠在任何時間、地點均能提供各種工作辦理及信息通信的服務(wù)，脫離線纜與辦公場地的束縛，擁有自由的移動辦公空間，使得無論身處何地都能隨時與辦公系統(tǒng)保持密切聯(lián)系，這就需要一套具有高安全性的移動自動化辦公系統(tǒng)。XXXX計劃采用先進的MOA（MOA）平臺，為XXXX政府提供移動OA和移動Email業(yè)務(wù)。XXXX與XXXX合作運營MOA系統(tǒng)，運營的架構(gòu)如下： 2 技術(shù)方案概述2.1 MOA概述我們推薦使用“MOA”市政府移動應(yīng)用安全發(fā)布系統(tǒng)，來搭建移動OA發(fā)布平臺，實現(xiàn)XXXX政府的移動辦公需求。以MOA系統(tǒng)搭建移動應(yīng)用發(fā)布平臺，可以將現(xiàn)有的IT應(yīng)用快速、方便、無損地移植到手機上。它不受行業(yè)和應(yīng)用的限制，是個通用的移動IT應(yīng)用發(fā)布平臺，能夠適用于絕大多數(shù)IT應(yīng)用向手機發(fā)布。典型地，它經(jīng)常用于以下兩類市政府應(yīng)用：l 通用IT系統(tǒng)。通用IT系統(tǒng)包括OA、ERP、進銷存、CRM、人力資源管理、財務(wù)管理、電子郵件等各行業(yè)通用的IT應(yīng)用系統(tǒng)。l 行業(yè)業(yè)務(wù)系統(tǒng)。行業(yè)業(yè)務(wù)系統(tǒng)與本行業(yè)的專業(yè)密切相關(guān)，是本行業(yè)專用的IT應(yīng)用系統(tǒng)。目前市政府在部署移動應(yīng)用時經(jīng)常遇到的問題：1. 市政府內(nèi)部已有很多IT應(yīng)用，整合難度很大。2. 把OA應(yīng)用等應(yīng)用發(fā)布到Internet，安全性低。3. 利用Wap技術(shù)實現(xiàn)辦公，開發(fā)量大，等于把現(xiàn)有系統(tǒng)重新建設(shè)一次，并且數(shù)據(jù)交互量大，手機容易死機。MOA移動應(yīng)用發(fā)布平臺的到來解決上述市政府移動辦公的難題：1. 應(yīng)用發(fā)布技術(shù)，把市政府內(nèi)部應(yīng)用整合到MOA平臺，快速，高效，便捷。2. 手機或移動PC通過XXXXAPN專線或cmnet移動互聯(lián)網(wǎng)訪問MOA平臺，數(shù)據(jù)始終保持在XXXX政府的內(nèi)網(wǎng)中，不會暴露到外網(wǎng)，安全可靠。3. MOA平臺在市政府內(nèi)網(wǎng)中訪問市政府應(yīng)用，再與客戶端交互（手機或移動PC），并且客戶端與MOA平臺直接是通過傳輸圖象刷新來進行交互，不會造成市政府應(yīng)用信息外泄。帶寬占用少（10-20kbps），應(yīng)用運行效率高。如下是使用MOA平臺和不使用MOA平臺的一個響應(yīng)時間對比圖：4. 應(yīng)用適配工作，只需要修改頁面表現(xiàn)層顯示效果，核心業(yè)務(wù)邏輯不會涉及。綜上所述，依靠MOA的產(chǎn)品技術(shù)特性，安全快捷的實現(xiàn)了市政府移動辦公需求。2.2 MOA工作原理簡介MOA系統(tǒng)之所以能夠?qū)崿F(xiàn)卓越的移動辦公及其他移動應(yīng)用，是因為它具有其他移動應(yīng)用系統(tǒng)完全不同的核心技術(shù)鏡像技術(shù)。鏡像技術(shù)，是將應(yīng)用系統(tǒng)的輸入輸出界面，與應(yīng)用系統(tǒng)的數(shù)據(jù)和邏輯完全分離：l 應(yīng)用系統(tǒng)客戶端的數(shù)據(jù)和邏輯，完全部署在MOA平臺的服務(wù)器中，由平臺的服務(wù)器來處理應(yīng)用系統(tǒng)客戶端的計算任務(wù)；l 手機終端只負責(zé)應(yīng)用系統(tǒng)的輸入輸出工作：應(yīng)用系統(tǒng)的屏幕顯示，則由手機終端來完成；用戶對應(yīng)用系統(tǒng)的鼠標鍵盤輸入，也由手機終端來收集，并發(fā)送給MOA平臺。在移動終端，用戶看到的操作界面和PC上是一樣的，用戶不必再去適應(yīng)新的系統(tǒng)。2.3 MOA系統(tǒng)的部署MOA平臺部署十分簡單，只需將MOA平臺部署在市政府內(nèi)網(wǎng)最外側(cè)防火墻之內(nèi)、應(yīng)用系統(tǒng)之外即可，如圖：系統(tǒng)的典型部署方式如下： MOA軟件安裝在平臺服務(wù)器設(shè)備上，部署在IT應(yīng)用系統(tǒng)和移動終端之間。移動終端只能通過MOA平臺來間接訪問應(yīng)用系統(tǒng)，而不能直接訪問應(yīng)用系統(tǒng)。也就是說，MOA平臺是移動終端訪問應(yīng)用系統(tǒng)的唯一門戶； 在移動終端上，一次性安裝一個“虛擬代理”軟件。移動終端將通過虛擬代理與平臺通信。這個虛擬代理對任何應(yīng)用系統(tǒng)是通用的。除此之外，移動終端上不需安裝任何應(yīng)用的客戶端或代理； 所有被發(fā)布的應(yīng)用系統(tǒng)的客戶端全部安裝在MOA平臺上； 在MOA平臺上，集中管理每個手機用戶的帳號、口令、強認證策略、用戶對應(yīng)用的訪問權(quán)限、用戶審計策略等； 在MOA平臺上，可以對用戶和應(yīng)用的各種參數(shù)進行配置，也可以使用默認參數(shù)； 移動終端、MOA平臺、應(yīng)用系統(tǒng)之間使用IP網(wǎng)絡(luò)互聯(lián)。一般來說，平臺和應(yīng)用系統(tǒng)之間的網(wǎng)絡(luò)質(zhì)量要求高些，平臺和移動終端之間的網(wǎng)絡(luò)質(zhì)量要求較低。MOA平臺部署的關(guān)鍵問題： 被發(fā)布的應(yīng)用系統(tǒng)的客戶端只安裝在MOA平臺上，所有應(yīng)用計算都在MOA平臺上進行。手機上只安裝一個功能簡單的虛擬代理。因此，解決了移動終端性能低下的問題； 被發(fā)布的應(yīng)用系統(tǒng)需要滿足多個移動終端對MOA平臺的并發(fā)訪問，因此，MOA平臺的軟件系統(tǒng)具有支持多用戶的能力； MOA平臺服務(wù)器的硬件架構(gòu)和操作系統(tǒng)，也是可以支持多用戶的系統(tǒng)。目前主流服務(wù)器和操作系統(tǒng)都可以做到。由于應(yīng)用客戶端一般運行在Windows操作系統(tǒng)之上，因此，平臺服務(wù)器通常使用X86架構(gòu)的PC Server，操作系統(tǒng)通常選擇Windows 2000/2003的服務(wù)器版本； 目前，大多數(shù)應(yīng)用系統(tǒng)的客戶端都可以支持多用戶，可以正常運行在發(fā)布平臺上。對于一些不支持多用戶的客戶端，平臺可以使用“隔離技術(shù)”，對此客戶端的每個instance分配一個完全封閉的運行環(huán)境，使其可以在同一臺服務(wù)器上運行并發(fā)的多instance。3 詳細設(shè)計3.1 系統(tǒng)現(xiàn)狀與需求3.1.1 系統(tǒng)現(xiàn)狀需進一步與用戶調(diào)研。3.1.2 用戶需求在本項目中，XXXX政府的具體需求如下： 功能需求：將XXXX政府的OA和EMAIL系統(tǒng)發(fā)布到手機上，實現(xiàn)中層以上干部的移動辦公。移動辦公用戶數(shù)為200（？待調(diào)研）人，并發(fā)率10； 可靠性需求：由于移動OA系統(tǒng)是個輔助系統(tǒng)，暫不考慮冗余設(shè)計以節(jié)省投資； 安全性需求：OA和EMAIL系統(tǒng)都是內(nèi)網(wǎng)使用的系統(tǒng)，安全性較高。實現(xiàn)移動辦公后，不應(yīng)降低系統(tǒng)的安全性； 擴展性需求：當(dāng)系統(tǒng)因用戶數(shù)增加、應(yīng)用數(shù)增加等原因需要擴容時，應(yīng)可以實現(xiàn)平滑擴容，前期部署的設(shè)備應(yīng)該可以繼續(xù)使用，避免投資浪費；3.2 設(shè)計理念MOA系統(tǒng)的設(shè)計思想以安全為本。在系統(tǒng)的每個環(huán)節(jié)，無不體現(xiàn)了安全控制的理念。XXXX政府的辦公系統(tǒng)具有很高的安全要求。按照規(guī)范，OA和EMAIL系統(tǒng)不能與外網(wǎng)互聯(lián)互通。而在移動應(yīng)用的環(huán)境下，移動終端可能漫游到世界上的任何一個角落，增加了系統(tǒng)的安全風(fēng)險。因此，需要通過對系統(tǒng)的有效安全控制，來規(guī)避因此帶來的安全風(fēng)險。提高安全性的有效的方式是安全控制。良好的安全控制手段能夠保證正常業(yè)務(wù)運行，又能隔離無關(guān)因素的介入。物理隔離是最可靠的安全控制手段，但也是最無奈的手段，因為它徹底否定了網(wǎng)絡(luò)的最基本功能：互聯(lián)互通。我們對XXXX政府移動辦公系統(tǒng)的設(shè)計也著重于安全控制，但并不是物理隔離，而是在保證正常業(yè)務(wù)能夠互聯(lián)互通基礎(chǔ)上的安全控制措施。這些措施包括：l 網(wǎng)絡(luò)控制。對于非正常業(yè)務(wù)的通信，在網(wǎng)絡(luò)上予以阻止；l 用戶和終端控制。禁止非合法用戶訪問系統(tǒng)；禁止用戶訪問授權(quán)外的資源；對用戶的行為進行審計；l 數(shù)據(jù)和代碼控制。嚴格控制業(yè)務(wù)數(shù)據(jù)的流動方式和流動范圍和應(yīng)用代碼的部署范圍，禁止數(shù)據(jù)和代碼流入不安全的區(qū)域；防止數(shù)據(jù)和代碼被他人接觸到。l 業(yè)務(wù)控制。根據(jù)業(yè)務(wù)的安全性要求，決定什么樣的業(yè)務(wù)可以在移動終端上使用。3.3 系統(tǒng)架構(gòu)設(shè)計 按照目前世界上公認的安全域理論，我們將XXXX政府移動辦公系統(tǒng)分為3個安全域：1. 內(nèi)部域。內(nèi)部域是目前XXXX政府IT系統(tǒng)的局域網(wǎng)及其中的IT設(shè)備， 包括路由器、交換機、服務(wù)器、存儲設(shè)備、應(yīng)用軟件和數(shù)據(jù)等。由于XXXX政府的核心系統(tǒng)和數(shù)據(jù)全部存在于內(nèi)部域中，是XXXX政府最重要的IT資產(chǎn)，因此它的安全級別是最高的，是我們需要重點防護的區(qū)域。OA應(yīng)用系統(tǒng)部署在內(nèi)部域中。內(nèi)部域中的設(shè)備不能與其它域進行直接通信，以防止其它域中的惡意攻擊入侵內(nèi)部域。2. 接入域。任何在XXXX政府辦公區(qū)域之外的終端和系統(tǒng)需要訪問內(nèi)部域中的應(yīng)用系統(tǒng)，都不能與內(nèi)部域建立直接通信，只能與接入域建立通信，再由接入域代理通信。MOA發(fā)布平臺就部署在接入域中，它能夠終止移動終端的訪問請求，并代理移動終端與內(nèi)部域中的應(yīng)用系統(tǒng)進行通信。接入域是移動域和內(nèi)部域之間的過渡區(qū)，其中都是資產(chǎn)價值較低的IT系統(tǒng)。它直接與安全性最低的移動域通信，為內(nèi)部域抵擋安全風(fēng)險。一旦發(fā)生惡意攻擊，攻擊也只能威脅到接入域中的設(shè)備，造成的損失也很小。從這方面講，它是內(nèi)部域中高價值IT資產(chǎn)的替身。3. 移動域。移動域處于XXXX政府辦公區(qū)域之外，移動終端（手機）就處于移動域。由于XXXX政府對移動域中的設(shè)備不能完全控制（比如無法完全控制手機的工作地點和使用方式），因此，此域中的設(shè)備具有被病毒、木馬、黑客入侵的可能性，安全性較低，資產(chǎn)價值也最低。為了實現(xiàn)以上設(shè)計目標，整個系統(tǒng)中，部署有6個安全控制點：1. 網(wǎng)閘2. 發(fā)布平臺3. 防火墻4. APN5. 移動終端6. OA服務(wù)器每個安全控制點都實現(xiàn)1個或多個安全控制功能。3.4 網(wǎng)絡(luò)控制網(wǎng)絡(luò)控制是在網(wǎng)絡(luò)的關(guān)鍵位置，通常是安全域的接口處，對網(wǎng)絡(luò)通信進行控制，決定什么樣的通信被允許，什么樣的通信被禁止。網(wǎng)絡(luò)控制的常見設(shè)備是防火墻和網(wǎng)閘。防火墻可以針對網(wǎng)絡(luò)通信的地址和端口甚至應(yīng)用層協(xié)議進行控制；而網(wǎng)閘不僅具有防火墻的功能，還能阻斷內(nèi)外網(wǎng)之間的直接通信，所有通信數(shù)據(jù)都由網(wǎng)閘進行“擺渡”，有效地阻止了針對內(nèi)網(wǎng)的攻擊行為。網(wǎng)閘是政府部門實現(xiàn)通信安全的最常用產(chǎn)品。在本設(shè)計中，實現(xiàn)網(wǎng)絡(luò)控制的控制點有如下幾個：l 防火墻（控制點3）。防火墻控制移動域與接入域之間的網(wǎng)絡(luò)通信。在防火墻上的控制策略如下： 允許手機終端主動對MOA服務(wù)器工作端口發(fā)起的網(wǎng)絡(luò)通信； 其它網(wǎng)絡(luò)通信一律禁止。l 網(wǎng)閘（控制點1）。網(wǎng)閘控制內(nèi)部域與接入域之間的網(wǎng)絡(luò)通信。在網(wǎng)閘上，部署以下控制策略： 允許MOA服務(wù)器主動發(fā)起的對OA服務(wù)器http業(yè)務(wù)的網(wǎng)絡(luò)通信； MOA服務(wù)器不能直接與OA服務(wù)器通信。MOA服務(wù)器首先與網(wǎng)閘建立連接，將數(shù)據(jù)發(fā)送給網(wǎng)閘，然后網(wǎng)閘斷開連接；網(wǎng)閘再與OA服務(wù)器建立連接，將MOA服務(wù)器的數(shù)據(jù)發(fā)送給OA服務(wù)器。OA服務(wù)器對MOA服務(wù)器的應(yīng)答通信也使用此機制； 其它網(wǎng)絡(luò)通信一律禁止。l MOA服務(wù)器（控制點2）。MOA服務(wù)器上，可實現(xiàn)以下控制策略： 中止移動終端的訪問請求。移動終端對應(yīng)用的訪問請求被中止在MOA服務(wù)器上，由MOA服務(wù)器代替移動終端向OA服務(wù)器發(fā)出請求。 協(xié)議轉(zhuǎn)換。移動終端與MOA服務(wù)器之間的通信協(xié)議采用私有協(xié)議，而MOA服務(wù)器與OA服務(wù)器之間的通信才使用http協(xié)議。MOA服務(wù)器相當(dāng)于協(xié)議轉(zhuǎn)換器，可以防止網(wǎng)絡(luò)通信中的惡意行為被傳播到OA服務(wù)器。3.5 用戶和終端控制由于移動用戶和移動終端的不確定性，因此，對每個試圖使用OA應(yīng)用的用戶和終端，必須進行嚴格的鑒別。只有那些合法的、被授權(quán)的用戶和終端，才能夠使用OA應(yīng)用?？刂泣c有：l APN（控制點3）。它的控制策略有： 移動終端認證。APN上可以設(shè)置以手機號碼為特征的終端準入。當(dāng)一個移動終端請求接入APN時，APN會獲取此終端的號碼，并從數(shù)據(jù)庫中查找此號碼是否存在于數(shù)據(jù)庫中。如果是，則允許接入，否則拒絕接入。它能夠有效控制終端接入的合法性。l MOA服務(wù)器（控制點2）。它的控制策略有： 用戶認證。MOA服務(wù)器的數(shù)據(jù)庫中存儲了每個用戶的用戶名和密碼。當(dāng)用戶訪問OA應(yīng)用之前，必須先登錄MOA服務(wù)器。MOA服務(wù)器要求用戶提供用戶名和密碼，并與數(shù)據(jù)庫中的數(shù)據(jù)進行比對。只有提供了正確的用戶名和密碼才被認為是合法用戶，才能登錄服務(wù)器。 用戶應(yīng)用級授權(quán)。當(dāng)用戶登錄MOA服務(wù)器后，服務(wù)器查詢授權(quán)數(shù)據(jù)庫，對此用戶進行授權(quán)。只有有權(quán)訪問OA的用戶才能夠啟動OA系統(tǒng)，否則OA系統(tǒng)對此用戶是不可見的。由于本項目中，僅有OA一個應(yīng)用，還不能體現(xiàn)授權(quán)的優(yōu)勢。當(dāng)MOA服務(wù)器發(fā)布多個應(yīng)用系統(tǒng)時，授權(quán)的優(yōu)勢就可以體現(xiàn)出來。 用戶操作級授權(quán)。MOA平臺可以根據(jù)不同的用戶，授予不同的操作權(quán)限。例如，是否允許本地打印、是否允許上傳下載附件、是否允許復(fù)制粘貼、是否允許編輯等。 用戶審計。MOA服務(wù)器可以對用戶的行為進行記錄和審計。記錄的信息包括：登錄時間、啟動了那個應(yīng)用及時間、何時退出應(yīng)用、登出時間等。3.6 數(shù)據(jù)和代碼控制應(yīng)用的數(shù)據(jù)和代碼都是安全保護的對象，最好的安全保護是將他們部署在安全和環(huán)境中，而不是風(fēng)險高的環(huán)境中。同時，對惡意代碼進行控制和查殺。在本設(shè)計中，多個控制點保證了OA應(yīng)用的數(shù)據(jù)和代碼的安全：l MOA服務(wù)器（控制點2）。根據(jù)MOA系統(tǒng)的工作原理，OA應(yīng)用的客戶端只部署在MOA服務(wù)器上，OA應(yīng)用的數(shù)據(jù)只會被傳送到MOA服務(wù)器上，而不會被發(fā)送到安全性較低的移動終端上。這樣，OA應(yīng)用的客戶端和數(shù)據(jù)都僅在XXXX政府內(nèi)部部署和通信，極大地保證OA應(yīng)用的安全性。同時，在MOA服務(wù)器上，安裝防病毒系統(tǒng)和主機防護系統(tǒng)，以防止病毒、木馬和黑客的入侵。l APN專線（控制點4）。根據(jù)MOA原理，MOA服務(wù)器和手機終端之間只傳送應(yīng)用界面圖象和用戶的鍵盤鼠標信息。這部分信息是在移動域中傳送的。雖然這些信息對竊聽者已經(jīng)沒有什么價值了，但為了安全起見，我們?nèi)栽谠O(shè)計中使用了APN專線，防止信息被竊取和篡改。使用了APN專線，使移動域的安全性與市政府內(nèi)網(wǎng)相當(dāng)接近。l 移動終端（控制點5）。移動終端的不確定性較大，XXXX政府也難以對其進行有效的管理和控制，因此，移動終端的安全性較低，有可能被病毒、木馬、黑客等入侵，因此，應(yīng)用數(shù)據(jù)和應(yīng)用代碼不適合部署在移動終端上。根據(jù)MOA原理，移動終端上不會有應(yīng)用代碼和應(yīng)用數(shù)據(jù)存在，只有價值很低的應(yīng)用屏幕圖象和用戶輸入信息會存在于移動終端上，即使被竊取和破壞，也不會造成什么損失。另外，移動終端與MOA服務(wù)器之間主要通過私有協(xié)議通信，移動終端上的病毒和黑客也無法通過正常通信入侵接入域。3.7 業(yè)務(wù)控制業(yè)務(wù)控制是指，對于安全性較低的移動終端，只允許其使用部分業(yè)務(wù)功能，而不是全部業(yè)務(wù)功能。業(yè)務(wù)控制在OA服務(wù)器（控制點6）上實現(xiàn)。OA服務(wù)器將發(fā)布2套頁面：一套是原始的頁面，一套是針對移動終端定制的頁面。原始頁面還是提供給XXXX政府辦公區(qū)內(nèi)的用戶使用，而定制頁面對現(xiàn)有業(yè)務(wù)進行精簡，把不適合移動終端的業(yè)務(wù)刪除或限制，以防止敏感信息發(fā)布到移動終端上。3.8 精簡設(shè)計以上方案按照嚴格的安全域理論而設(shè)計。但在XXXX政府的實際情況中，有些部分可以適當(dāng)精簡，即不會影響系統(tǒng)的安全性，又能提高系統(tǒng)效率，節(jié)省建設(shè)投資。我們注意到，在本項目中使用了APN作為移動域的通信線路。APN既能對接入的手機終端進行基于號碼的認證，又能將系統(tǒng)的通信數(shù)據(jù)與外部隔離，形成封閉的網(wǎng)絡(luò)環(huán)境。因此，移動域的安全性是相當(dāng)高的，在通信安全性上甚至高于以intranet互聯(lián)的內(nèi)部單位（內(nèi)部單位經(jīng)常使用穿越互聯(lián)網(wǎng)的VPN相互通信，其通信安全性不如APN專線）。再加上MOA平臺是個功能強大的安全控制點，能夠?qū)κ謾C進行嚴格的訪問控制、訪問代理和協(xié)議級的隔離，因此，接入域的設(shè)計完全可以簡化，去掉網(wǎng)閘控制點。精簡后的設(shè)計如下： 3.9 系統(tǒng)物理結(jié)構(gòu)圖3.10 應(yīng)用軟件的部署使用了MOA平臺后，應(yīng)用軟件的部署就極為簡單，一