移動OA系統(tǒng)技術(shù)解決方案設(shè)計

1、企業(yè)移動辦公應(yīng)用技術(shù)方案1.綜述32.總體解決方案42.1方案概述42.2 軟件部署架構(gòu)52.3技術(shù)原理62.4 訪問場景63.詳細(xì)方案設(shè)計73.1 網(wǎng)絡(luò)部署73.2應(yīng)用部署83.3 客戶端控制84.優(yōu)勢分析94.1 移動終端無關(guān)性94.2項目實施周期短94.3升級維護(hù)方便94.4網(wǎng)絡(luò)帶寬要求低94.5兼容性好104.6 同屏顯示104.7安全性擴(kuò)展104.8應(yīng)用擴(kuò)展性與可靠性114.9 其它115.總結(jié)111.綜述移動辦公系統(tǒng)是眾多企業(yè)和政府管理層及時掌握企業(yè)和政府信息、快速進(jìn)行管理決策的必備系統(tǒng)，其對企業(yè)和政府的重要性不言而喻。傳統(tǒng)的移動辦公系統(tǒng)（如筆記本電腦 +VPN模式，或者 WAF手

2、機(jī)）在使用中 往往面臨著如下問題：客戶端差異化問題：辦公系統(tǒng)往往是基于 PC機(jī)Windows系統(tǒng)開發(fā)的， 但是數(shù)量最大的移動終端往往是手機(jī)和 PDA將辦公系統(tǒng)移植到手機(jī)上 既費(fèi)時費(fèi)力，又帶來了額外的開發(fā)、維護(hù)和重新用戶培訓(xùn)等一系列問題。 網(wǎng)絡(luò)及性能問題：移動辦公的網(wǎng)絡(luò)千差萬別，而辦公軟件的運(yùn)行往往是 基于局域網(wǎng)設(shè)計的，因此很多應(yīng)用在移動辦公使用時因網(wǎng)絡(luò)而產(chǎn)生性能 瓶頸，比如當(dāng)郵件有比較大的附件時，局域網(wǎng)內(nèi)可以馬上打開，但是廣 域網(wǎng)上需要等很長時間才能下載后進(jìn)行處理。安全性問題：移動辦公是將企業(yè)和政府關(guān)鍵信息傳遞在公共網(wǎng)絡(luò)上，因 此面臨著比在企業(yè)和政府內(nèi)部使用更高的安全性要求，移動辦公不僅有數(shù)據(jù)

3、被截獲的危險，而且移動終端更加容易丟失，如果上面有信息敏感 數(shù)據(jù)則對企業(yè)和政府造成的無法估算的危害。同時如果外部終端接入企業(yè)和政府內(nèi)網(wǎng)，會對企業(yè)和政府內(nèi)部造成系統(tǒng)級的安全威脅。傳統(tǒng)的技術(shù)方案所帶來的這些問題，需要企業(yè)和政府不斷地投入人力物力進(jìn) 行解決，給企業(yè)和政府帶來了很大的管理和壓力成本， 因此企業(yè)和政府提出了技 術(shù)創(chuàng)新的要求。虛擬化技術(shù)的出現(xiàn)，使得企業(yè)和政府得以從技術(shù)架構(gòu)上根本解決如上問題。 通過應(yīng)用虛擬化使得傳統(tǒng)應(yīng)用直接升級為了面向服務(wù)的架構(gòu)，因此企業(yè)和政府的OA辦公軟件、業(yè)務(wù)系統(tǒng)和ERP系統(tǒng)等等，均不需要移植和安裝在手機(jī)、 PDA筆 記本電腦、平板電腦等上，而通過虛擬服務(wù)就可以被上述終

4、端訪問和使用。虛擬化應(yīng)用的特點是只要在后臺服務(wù)器安裝一次， 然后經(jīng)過管理員的權(quán)限定義，就可 以被用戶通過任意終端設(shè)備和任意網(wǎng)絡(luò)所使用，而所有的數(shù)據(jù)和維護(hù)管理工作全 部在數(shù)據(jù)中心。虛擬化技術(shù)不僅為企業(yè)和政府帶來了很大的資源節(jié)省和降低成本，同時使得企業(yè)和政府的IT響應(yīng)能力大大提高，移動辦公不再需要額外開發(fā)，而真正成為 了企業(yè)和政府IT架構(gòu)的自然延伸，實現(xiàn)了用戶隨時隨地地安全訪問企業(yè)和政府 內(nèi)部信息。2總體解決方案由于虛擬應(yīng)用技術(shù)，分離了應(yīng)用的使用平臺和運(yùn)行平臺，因此手機(jī)、 PDA 筆記本電腦、平板電腦等移動終端從應(yīng)用運(yùn)行設(shè)備變成純粹的輸入輸出設(shè)備， 通 過無線網(wǎng)絡(luò)遠(yuǎn)程運(yùn)行和操作各種應(yīng)用和服務(wù)，從而

5、實現(xiàn)了用戶的移動辦公。2.1方案概述在企業(yè)側(cè)配置部署移動辦公服務(wù)器，在移動辦公服務(wù)器上運(yùn)行虛擬應(yīng)用系統(tǒng)，實現(xiàn)穩(wěn)定的并發(fā)支撐能力，滿足移動用戶的同時使用。通過虛擬應(yīng)用平臺實 現(xiàn)移動辦公的總體架構(gòu)如下圖所示：DA門戶服務(wù)器移動辦公系統(tǒng)的部署，對于目前企業(yè) 0A系統(tǒng)的架構(gòu)沒有改變，只是在 0A 系統(tǒng)服務(wù)器所在的局域網(wǎng)內(nèi)，部署運(yùn)行虛擬應(yīng)用的移動辦公服務(wù)器， 供移動用戶 訪問，而固定辦公用戶仍直接訪問 0A服務(wù)器，因此原辦公模式不受影響。通過運(yùn)行虛擬應(yīng)用平臺的移動辦公系統(tǒng)的部署，一方面應(yīng)用更加方便使用，用戶無論在筆記本上還是手機(jī)上，實際上使用的都是運(yùn)行在虛擬應(yīng)用移動辦公服 務(wù)器上的同一個應(yīng)用，沒有適應(yīng)多

6、種界面的要求，而且可以實現(xiàn)同一個應(yīng)用在不 同的移動設(shè)備之間的漫游，實現(xiàn)了業(yè)務(wù)連續(xù)性；另一方面，由于所有的應(yīng)用和數(shù) 據(jù)都位于企業(yè)側(cè)數(shù)據(jù)中心的機(jī)房，網(wǎng)絡(luò)上沒有數(shù)據(jù)傳輸，手機(jī)、PDA筆記本電腦、平板電腦等終端設(shè)備上也并沒有數(shù)據(jù)， 集中管理的同時，也大大提高了辦公 數(shù)據(jù)的安全性。即使終端設(shè)備丟失，也不會造成泄密。而在移動終端和虛擬應(yīng)用移動辦公服務(wù)器之間只需10k左右的帶寬，因為其間傳遞的并非實際的業(yè)務(wù)數(shù)據(jù)，而是虛擬化圖像數(shù)據(jù)。這樣既保證了0A應(yīng)用系統(tǒng)可以在低帶寬網(wǎng)絡(luò)下使用，又避免了 0A業(yè)務(wù)數(shù)據(jù)在公網(wǎng)傳輸?shù)陌踩[患，從 根本上保證數(shù)據(jù)安全。2.2軟件部署架構(gòu)虛擬應(yīng)用移動辦公服務(wù)器上軟件部署包括：在底層

7、操作系統(tǒng)之上安裝 VAST 虛擬應(yīng)用服務(wù)器，然后在虛擬應(yīng)用服務(wù)器之上安裝各種辦公軟件如 OFFICE軟件、 郵件系統(tǒng)以及瀏覽器閱讀器等工具軟件。手機(jī)、PDA筆記本電腦、平板電腦等設(shè)備上的軟件部署包括：在終端設(shè)備 操作系統(tǒng)上安裝虛擬應(yīng)用接收器。終端設(shè)備上不安裝任何應(yīng)用軟件的客戶端， 通過虛擬應(yīng)用接收器，可以使用 所有虛擬應(yīng)用移動辦公服務(wù)器上的應(yīng)用，整個軟件架構(gòu)如下圖所示：辦公應(yīng)用 軟件瀏覽器OA門戶郵件公文Office 應(yīng)用應(yīng)用虛擬 分發(fā)（云）VAST虛擬平臺底層操作 平臺應(yīng)用安全移動平臺5滬tuttfmVAST虔擬接收售戶建android *.移動終端(JL/PDA/NateBook )移動終

8、端的網(wǎng)絡(luò)訪問只需要指定虛擬應(yīng)用移動辦公服務(wù)器的IP地址、用戶登陸的用戶名和口令，以及登錄域名稱等信息即可，用戶打開虛擬應(yīng)用接收器就 可以獲取服務(wù)器上授權(quán)使用的應(yīng)用圖標(biāo)，打開應(yīng)用圖標(biāo)即可使用。2.3技術(shù)原理我們可以換個角度思考安全一一管住了應(yīng)用，也就管住了不確定性。這是體 系結(jié)構(gòu)上的根本性思路轉(zhuǎn)變，實現(xiàn)了信息看得見、摸得著，卻帶不走，這也是應(yīng) 用虛擬化的最大價值。仃:何曽戶城設(shè)備屜用穢序町禺00%圖3應(yīng)用虛擬化架構(gòu)把表示層做成應(yīng)用虛擬化引擎。該引擎可以放在整個計算系 統(tǒng)的操作系統(tǒng)和應(yīng)用層之間，隔絕重要應(yīng)用，這是應(yīng)用虛擬化技術(shù)的核心思想。 應(yīng)用虛擬化在后端服務(wù)與終端之間增加一層虛擬層，應(yīng)用實際上運(yùn)

9、行在虛擬層， 而將應(yīng)用運(yùn)行的屏幕界面推送到終端上顯示，即“應(yīng)用交付”的概念。2.4訪問場景以O(shè)A系統(tǒng)為例，用戶在使用移動辦公 OA系統(tǒng)時的訪問方式如下：安裝并運(yùn)行虛擬化客戶端，PC筆記本就可以在桌面或者開始菜單中出現(xiàn)用戶授權(quán)使用的虛擬應(yīng)用圖標(biāo)，該圖標(biāo)跟普通的應(yīng)用程序快捷方式?jīng)]有區(qū)別，用戶直接點擊OA圖標(biāo)，就可以直接打開 OA界面（虛擬的應(yīng)用窗口界面），其無縫的 使用特點，讓用戶感受如同使用本機(jī)程序一樣，可以進(jìn)行COPY/PASTE輸入（包 括本地常用的輸入法）、打印等等。筆記本用戶打開瀏覽器，輸入統(tǒng)一的訪問網(wǎng)址，然后在出現(xiàn)的身份認(rèn)證頁面 里輸入自己的用戶身份，通過后就會看到 0A門戶圖標(biāo)以及其

10、他被授權(quán)使用的應(yīng) 用圖標(biāo)。點擊0A門戶圖標(biāo)，界面顯示建立服務(wù)的連接條，大約幾秒鐘后出現(xiàn)0A門戶的界面，剩下的操作就和本地訪問 0A門戶一樣。手機(jī)用戶還可以預(yù)先設(shè)置好訪問地址和用戶名口令，這樣直接打開0A圖標(biāo)就可以使用0A門戶。3. 詳細(xì)方案設(shè)計3.1網(wǎng)絡(luò)部署本方案充分利用用戶現(xiàn)有的網(wǎng)絡(luò)設(shè)施和資源，僅通過改變應(yīng)用程序的發(fā)布、 管理和訪問的方式，就幫助用戶快速實現(xiàn)高成本、高復(fù)雜性的計算環(huán)境向統(tǒng)一的、 安全的、便捷的信息接入架構(gòu)的目標(biāo)轉(zhuǎn)變，以獲取最大程度的IT投資回報。在一個完整的無線訪問網(wǎng)絡(luò)環(huán)境和應(yīng)用環(huán)境中構(gòu)建一個移動虛擬移動辦公服務(wù)平臺，其網(wǎng)絡(luò)部署如下圖所示：'戈I網(wǎng)終站W(wǎng)PDNI安全鏈

11、超農(nóng)因子身倔證 OVER SSL* 128位加圏專輸 *不1俐企業(yè)數(shù)據(jù)I0A/應(yīng)用客戶端屏昭墾示 各噪詵結(jié)合上述系統(tǒng)組網(wǎng)部署圖，以下就括號內(nèi)數(shù)字所對應(yīng)的元素概述如下:將原有辦公系統(tǒng)（1）通過移動辦公虛擬平臺（2）集中管控，所有內(nèi)網(wǎng) 終端（4）和外網(wǎng)終端（6）通過移動辦公虛擬平臺訪問現(xiàn)有的辦公系統(tǒng)。 內(nèi)網(wǎng)使用原有內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)，對外接口統(tǒng)一通過移動辦公虛擬平臺（2）， 再通過安全接入系統(tǒng)（3）統(tǒng)一出口。安全接入系統(tǒng)（3）利用用戶原有的安全接入環(huán)境（防火墻等），并如下 圖進(jìn)行增強(qiáng)，增加SSL接入網(wǎng)關(guān)。內(nèi)部防火墻外部防火墻安全移 動平臺接入網(wǎng)關(guān)128 bit SSIOverVPDN僅需開放TCP 80

12、/1494端口 僅需開放80/443端口通過上述應(yīng)用部署，可以在不改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和安全設(shè)計的條件下， 快速實現(xiàn)系統(tǒng)的統(tǒng)一管理和維護(hù)。3.2應(yīng)用部署在移動辦公虛擬平臺的服務(wù)器上部署應(yīng)用和升級軟件，在很短的時間內(nèi)就能部署妥當(dāng)新的應(yīng)用系統(tǒng)，集中進(jìn)行配置和管理，保證安全權(quán)限，統(tǒng)一業(yè)務(wù)標(biāo)準(zhǔn)， 及時獲取數(shù)據(jù)，并提供有效的遠(yuǎn)程技術(shù)支持與服務(wù)。 接入原有辦公系統(tǒng)時，該辦 公系統(tǒng)不需要任何改造，可直接接入移動虛擬平臺。3.3客戶端控制內(nèi)外網(wǎng)終端設(shè)備都通過移動辦公虛擬平臺使用辦公系統(tǒng)，可以保證終端不需 安裝維護(hù)辦公系統(tǒng)的客戶端（插件），并且在沒經(jīng)過授權(quán)的情況下系統(tǒng)數(shù)據(jù)不會 存儲（上下行）在客戶端本地，保證終

13、端在內(nèi)外網(wǎng)混用情況下的安全性。本地存 儲的授權(quán)是對移動虛擬平臺的用戶進(jìn)行配置的， 在需要的情況下可以授權(quán)某些用 戶的終端本地存儲（上下行）。4. 優(yōu)勢分析4.1移動終端無關(guān)性無線網(wǎng)絡(luò)的安全架構(gòu)需要滿足兩個條件：通過移動平臺使用辦公系統(tǒng)時用戶感受與原來沒有差別，支持終端類型豐 富，包括了PC筆記本、上網(wǎng)本MID( Mobile In ternet Device)An droid操作系統(tǒng)手機(jī)(如摩托羅拉XT8O0Windows Mobile 手機(jī)蘋果IPhone屏蔽了終端設(shè)備的性能差別，低端的機(jī)器也可以使用。4.2項目實施周期短由于重要的應(yīng)用程序只安裝在服務(wù)器上，因此一系列的安裝、配置、調(diào)試工作得

14、到簡化，原來需要一兩個月、來回奔波、重復(fù)進(jìn)行的工作，現(xiàn)在只需一兩個 星期、甚至幾天的時間就能完成。4.3升級維護(hù)方便應(yīng)用升級維護(hù)只需要在移動虛擬平臺實施，終端不需要維護(hù)應(yīng)用。客戶端的維護(hù)極大減少：由于下面的員工或使用者并沒有實質(zhì)性接觸到應(yīng)用軟件，升級、 維護(hù)、故障處理等工作就由“面”縮小到“點”，尤其是地域分散的用戶，繁重 的維護(hù)工作量立竿見影得到極大減少。4.4網(wǎng)絡(luò)帶寬要求低正常應(yīng)用狀態(tài)下平均每個用戶僅占用 10K左右?guī)?，另外，?yīng)用服務(wù)器與后 臺數(shù)據(jù)庫通常是局域網(wǎng)連接，計算和查詢所需的大量數(shù)據(jù)都是基于LAN傳輸速度，因此遠(yuǎn)程用戶的網(wǎng)絡(luò)性能非常理想。4.5兼容性好解決了終端設(shè)備兼容性的問題，

15、由于采用了 “操作與數(shù)據(jù)分離”的思路，使 得不同操作系統(tǒng)的終端都可以使用基于 PC的應(yīng)用，終端使用各種應(yīng)用間不會有 兼容性問題，用戶不需要維護(hù)終端的業(yè)務(wù)應(yīng)用程序等等。4.6同屏顯示在聯(lián)合辦公、移動會議、學(xué)習(xí)文件等場景中，用戶可以同時使用同一個應(yīng)用 界面一一可方便進(jìn)行協(xié)同工作。4.7安全性擴(kuò)展用戶對系統(tǒng)的安全性考慮是毋庸置疑的， 也是先決條件。本方案可以按照客 戶要求，提供靈活的、多層次、根本性的應(yīng)用安全保障：用戶登錄支持登錄名/密碼+數(shù)字證書的雙因子認(rèn)證（我們建議全部采用 國密局認(rèn)可的基于第三方 CA所頒發(fā)的數(shù)字證書的強(qiáng)身份認(rèn)證模式，避 免傳統(tǒng)的“登錄名+密碼”登錄方式所帶來的各種安全隱患）。

16、數(shù)據(jù)在高速安全的內(nèi)網(wǎng)中交互，網(wǎng)絡(luò)上傳輸?shù)闹皇强蛻舳说逆I盤、鼠標(biāo) 動作以及顯示界面的刷新部分，不是真正意義上的應(yīng)用交互所產(chǎn)生的數(shù) 據(jù)包。也就是說網(wǎng)路上傳輸?shù)牟皇怯脩魧嶋H數(shù)據(jù)，從根本上保證了數(shù)據(jù) 安全。終端與平臺間傳輸?shù)钠聊蛔兓?jīng)過國密局人口的算法加密處理，即使在空中鏈路也可以保證高度的安全性。加密算法采用高度安全的加密技術(shù)。登錄和網(wǎng)絡(luò)傳輸通過安全接入網(wǎng)關(guān)采用 128位加密SSL傳輸通道，通過 標(biāo)準(zhǔn)的443端口傳輸加密信息。用戶數(shù)據(jù)存儲可根據(jù)安全策略限制在移動虛擬平臺上，終端本地不存儲數(shù)據(jù)，保證內(nèi)外網(wǎng)混用和設(shè)備丟失的情況下的數(shù)據(jù)安全?？梢韵拗朴脩糁荒芸吹胶褪褂帽皇跈?quán)的應(yīng)用程序；可以根據(jù)位置（ IP

17、 和網(wǎng)段）限制用戶使用某個或多個應(yīng)用程序；可以根據(jù)時間限制用戶什 么時候可以使用某個或多個應(yīng)用程序。利用報表中心的報表模板，還可 以生成用戶的使用報告。在授權(quán)情況下，終端本地數(shù)據(jù)可在移動虛擬平臺與終端間傳輸，傳輸?shù)?數(shù)據(jù)采用國密局認(rèn)可的算法進(jìn)行加密，并且通過128位的SSL進(jìn)行傳輸。4.8應(yīng)用擴(kuò)展性與可靠性只需要在移動辦公虛擬平臺做一次安裝配置，就可以通過平臺發(fā)布給用戶使 用，對應(yīng)用本身不需要進(jìn)行二次開發(fā)和接口對接，可隨需進(jìn)行擴(kuò)展。方案支持提供先進(jìn)的負(fù)載平衡技術(shù)，使多個服務(wù)器形成集群，動態(tài)路由登錄 的用戶至“最閑”的服務(wù)器，使得不同服務(wù)器的負(fù)載狀況大致相同、訪問性能達(dá) 到最佳；即使其中的某臺服務(wù)器出現(xiàn)問題， 也可自動由其他服務(wù)器承擔(dān)，不會影 響用戶的正常工作。事實上，用戶只需進(jìn)行操作、而不必關(guān)心究竟是哪一臺服務(wù) 器在哪里或是怎樣為自己提供服務(wù)的，做到服務(wù)透明化。4.9其它支持內(nèi)外網(wǎng)混用，提供多層安全性，保證外網(wǎng)通過空中鏈路使用辦公系統(tǒng)的 安全性和穩(wěn)定性?？砂葱柙黾榆浖陌l(fā)布，通過這個平臺把更多的應(yīng)用提供給用戶使用。5. 總結(jié)隨著社會的發(fā)展，全社會對政府部門的工作效率提出了更高要求，同時政府部門內(nèi)部如何安全的提高