移动OA系统技术解决方案设计

1、企业移动办公应用技术方案1.综述32.总体解决方案42.1方案概述42.2 软件部署架构52.3技术原理62.4 访问场景63.详细方案设计73.1 网络部署73.2应用部署83.3 客户端控制84.优势分析94.1 移动终端无关性94.2项目实施周期短94.3升级维护方便94.4网络带宽要求低94.5兼容性好104.6 同屏显示104.7安全性扩展104.8应用扩展性与可靠性114.9 其它115.总结111.综述移动办公系统是众多企业和政府管理层及时掌握企业和政府信息、快速进行管理决策的必备系统，其对企业和政府的重要性不言而喻。传统的移动办公系统（如笔记本电脑 +VPN模式，或者 WAF手

2、机）在使用中 往往面临着如下问题：客户端差异化问题：办公系统往往是基于 PC机Windows系统开发的， 但是数量最大的移动终端往往是手机和 PDA将办公系统移植到手机上 既费时费力，又带来了额外的开发、维护和重新用户培训等一系列问题。 网络及性能问题：移动办公的网络千差万别，而办公软件的运行往往是 基于局域网设计的，因此很多应用在移动办公使用时因网络而产生性能 瓶颈，比如当邮件有比较大的附件时，局域网内可以马上打开，但是广 域网上需要等很长时间才能下载后进行处理。安全性问题：移动办公是将企业和政府关键信息传递在公共网络上，因 此面临着比在企业和政府内部使用更高的安全性要求，移动办公不仅有数据

3、被截获的危险，而且移动终端更加容易丢失，如果上面有信息敏感 数据则对企业和政府造成的无法估算的危害。同时如果外部终端接入企业和政府内网，会对企业和政府内部造成系统级的安全威胁。传统的技术方案所带来的这些问题，需要企业和政府不断地投入人力物力进 行解决，给企业和政府带来了很大的管理和压力成本， 因此企业和政府提出了技 术创新的要求。虚拟化技术的出现，使得企业和政府得以从技术架构上根本解决如上问题。 通过应用虚拟化使得传统应用直接升级为了面向服务的架构，因此企业和政府的OA办公软件、业务系统和ERP系统等等，均不需要移植和安装在手机、 PDA笔 记本电脑、平板电脑等上，而通过虚拟服务就可以被上述终

4、端访问和使用。虚拟化应用的特点是只要在后台服务器安装一次， 然后经过管理员的权限定义，就可 以被用户通过任意终端设备和任意网络所使用，而所有的数据和维护管理工作全 部在数据中心。虚拟化技术不仅为企业和政府带来了很大的资源节省和降低成本，同时使得企业和政府的IT响应能力大大提高，移动办公不再需要额外开发，而真正成为 了企业和政府IT架构的自然延伸，实现了用户随时随地地安全访问企业和政府 内部信息。2总体解决方案由于虚拟应用技术，分离了应用的使用平台和运行平台，因此手机、 PDA 笔记本电脑、平板电脑等移动终端从应用运行设备变成纯粹的输入输出设备， 通 过无线网络远程运行和操作各种应用和服务，从而

5、实现了用户的移动办公。2.1方案概述在企业侧配置部署移动办公服务器，在移动办公服务器上运行虚拟应用系统，实现稳定的并发支撑能力，满足移动用户的同时使用。通过虚拟应用平台实 现移动办公的总体架构如下图所示：DA门户服务器移动办公系统的部署，对于目前企业 0A系统的架构没有改变，只是在 0A 系统服务器所在的局域网内，部署运行虚拟应用的移动办公服务器， 供移动用户 访问，而固定办公用户仍直接访问 0A服务器，因此原办公模式不受影响。通过运行虚拟应用平台的移动办公系统的部署，一方面应用更加方便使用，用户无论在笔记本上还是手机上，实际上使用的都是运行在虚拟应用移动办公服 务器上的同一个应用，没有适应多

6、种界面的要求，而且可以实现同一个应用在不 同的移动设备之间的漫游，实现了业务连续性；另一方面，由于所有的应用和数 据都位于企业侧数据中心的机房，网络上没有数据传输，手机、PDA笔记本电脑、平板电脑等终端设备上也并没有数据， 集中管理的同时，也大大提高了办公 数据的安全性。即使终端设备丢失，也不会造成泄密。而在移动终端和虚拟应用移动办公服务器之间只需10k左右的带宽，因为其间传递的并非实际的业务数据，而是虚拟化图像数据。这样既保证了0A应用系统可以在低带宽网络下使用，又避免了 0A业务数据在公网传输的安全隐患，从 根本上保证数据安全。2.2软件部署架构虚拟应用移动办公服务器上软件部署包括：在底层

7、操作系统之上安装 VAST 虚拟应用服务器，然后在虚拟应用服务器之上安装各种办公软件如 OFFICE软件、 邮件系统以及浏览器阅读器等工具软件。手机、PDA笔记本电脑、平板电脑等设备上的软件部署包括：在终端设备 操作系统上安装虚拟应用接收器。终端设备上不安装任何应用软件的客户端， 通过虚拟应用接收器，可以使用 所有虚拟应用移动办公服务器上的应用，整个软件架构如下图所示：办公应用 软件浏览器OA门户邮件公文Office 应用应用虚拟 分发（云）VAST虚拟平台底层操作 平台应用安全移动平台5沪tuttfmVAST虔拟接收售户建android *.移动终端(JL/PDA/NateBook )移动终

8、端的网络访问只需要指定虚拟应用移动办公服务器的IP地址、用户登陆的用户名和口令，以及登录域名称等信息即可，用户打开虚拟应用接收器就 可以获取服务器上授权使用的应用图标，打开应用图标即可使用。2.3技术原理我们可以换个角度思考安全一一管住了应用，也就管住了不确定性。这是体 系结构上的根本性思路转变，实现了信息看得见、摸得着，却带不走，这也是应 用虚拟化的最大价值。仃:何曽户城设备屉用秽序町禺00%图3应用虚拟化架构把表示层做成应用虚拟化引擎。该引擎可以放在整个计算系 统的操作系统和应用层之间，隔绝重要应用，这是应用虚拟化技术的核心思想。 应用虚拟化在后端服务与终端之间增加一层虚拟层，应用实际上运

9、行在虚拟层， 而将应用运行的屏幕界面推送到终端上显示，即“应用交付”的概念。2.4访问场景以OA系统为例，用户在使用移动办公 OA系统时的访问方式如下：安装并运行虚拟化客户端，PC笔记本就可以在桌面或者开始菜单中出现用户授权使用的虚拟应用图标，该图标跟普通的应用程序快捷方式没有区别，用户直接点击OA图标，就可以直接打开 OA界面（虚拟的应用窗口界面），其无缝的 使用特点，让用户感受如同使用本机程序一样，可以进行COPY/PASTE输入（包 括本地常用的输入法）、打印等等。笔记本用户打开浏览器，输入统一的访问网址，然后在出现的身份认证页面 里输入自己的用户身份，通过后就会看到 0A门户图标以及其

10、他被授权使用的应 用图标。点击0A门户图标，界面显示建立服务的连接条，大约几秒钟后出现0A门户的界面，剩下的操作就和本地访问 0A门户一样。手机用户还可以预先设置好访问地址和用户名口令，这样直接打开0A图标就可以使用0A门户。3. 详细方案设计3.1网络部署本方案充分利用用户现有的网络设施和资源，仅通过改变应用程序的发布、 管理和访问的方式，就帮助用户快速实现高成本、高复杂性的计算环境向统一的、 安全的、便捷的信息接入架构的目标转变，以获取最大程度的IT投资回报。在一个完整的无线访问网络环境和应用环境中构建一个移动虚拟移动办公服务平台，其网络部署如下图所示：'戈I网终站WPDNI安全链

11、超农因子身倔证 OVER SSL* 128位加圏专输 *不1俐企业数据I0A/应用客户端屏昭垦示 各噪诜结合上述系统组网部署图，以下就括号内数字所对应的元素概述如下:将原有办公系统（1）通过移动办公虚拟平台（2）集中管控，所有内网 终端（4）和外网终端（6）通过移动办公虚拟平台访问现有的办公系统。 内网使用原有内网网络结构，对外接口统一通过移动办公虚拟平台（2）， 再通过安全接入系统（3）统一出口。安全接入系统（3）利用用户原有的安全接入环境（防火墙等），并如下 图进行增强，增加SSL接入网关。内部防火墙外部防火墙安全移 动平台接入网关128 bit SSIOverVPDN仅需开放TCP 80

12、/1494端口 仅需开放80/443端口通过上述应用部署，可以在不改变现有网络拓扑结构和安全设计的条件下， 快速实现系统的统一管理和维护。3.2应用部署在移动办公虚拟平台的服务器上部署应用和升级软件，在很短的时间内就能部署妥当新的应用系统，集中进行配置和管理，保证安全权限，统一业务标准， 及时获取数据，并提供有效的远程技术支持与服务。 接入原有办公系统时，该办 公系统不需要任何改造，可直接接入移动虚拟平台。3.3客户端控制内外网终端设备都通过移动办公虚拟平台使用办公系统，可以保证终端不需 安装维护办公系统的客户端（插件），并且在没经过授权的情况下系统数据不会 存储（上下行）在客户端本地，保证终

13、端在内外网混用情况下的安全性。本地存 储的授权是对移动虚拟平台的用户进行配置的， 在需要的情况下可以授权某些用 户的终端本地存储（上下行）。4. 优势分析4.1移动终端无关性无线网络的安全架构需要满足两个条件：通过移动平台使用办公系统时用户感受与原来没有差别，支持终端类型丰 富，包括了PC笔记本、上网本MID( Mobile In ternet Device)An droid操作系统手机(如摩托罗拉XT8O0Windows Mobile 手机苹果IPhone屏蔽了终端设备的性能差别，低端的机器也可以使用。4.2项目实施周期短由于重要的应用程序只安装在服务器上，因此一系列的安装、配置、调试工作得

14、到简化，原来需要一两个月、来回奔波、重复进行的工作，现在只需一两个 星期、甚至几天的时间就能完成。4.3升级维护方便应用升级维护只需要在移动虚拟平台实施，终端不需要维护应用。客户端的维护极大减少：由于下面的员工或使用者并没有实质性接触到应用软件，升级、 维护、故障处理等工作就由“面”缩小到“点”，尤其是地域分散的用户，繁重 的维护工作量立竿见影得到极大减少。4.4网络带宽要求低正常应用状态下平均每个用户仅占用 10K左右带宽，另外，应用服务器与后 台数据库通常是局域网连接，计算和查询所需的大量数据都是基于LAN传输速度，因此远程用户的网络性能非常理想。4.5兼容性好解决了终端设备兼容性的问题，

15、由于采用了 “操作与数据分离”的思路，使 得不同操作系统的终端都可以使用基于 PC的应用，终端使用各种应用间不会有 兼容性问题，用户不需要维护终端的业务应用程序等等。4.6同屏显示在联合办公、移动会议、学习文件等场景中，用户可以同时使用同一个应用 界面一一可方便进行协同工作。4.7安全性扩展用户对系统的安全性考虑是毋庸置疑的， 也是先决条件。本方案可以按照客 户要求，提供灵活的、多层次、根本性的应用安全保障：用户登录支持登录名/密码+数字证书的双因子认证（我们建议全部采用 国密局认可的基于第三方 CA所颁发的数字证书的强身份认证模式，避 免传统的“登录名+密码”登录方式所带来的各种安全隐患）。

16、数据在高速安全的内网中交互，网络上传输的只是客户端的键盘、鼠标 动作以及显示界面的刷新部分，不是真正意义上的应用交互所产生的数 据包。也就是说网路上传输的不是用户实际数据，从根本上保证了数据 安全。终端与平台间传输的屏幕变化经过国密局人口的算法加密处理，即使在空中链路也可以保证高度的安全性。加密算法采用高度安全的加密技术。登录和网络传输通过安全接入网关采用 128位加密SSL传输通道，通过 标准的443端口传输加密信息。用户数据存储可根据安全策略限制在移动虚拟平台上，终端本地不存储数据，保证内外网混用和设备丢失的情况下的数据安全。可以限制用户只能看到和使用被授权的应用程序；可以根据位置（ IP

17、 和网段）限制用户使用某个或多个应用程序；可以根据时间限制用户什 么时候可以使用某个或多个应用程序。利用报表中心的报表模板，还可 以生成用户的使用报告。在授权情况下，终端本地数据可在移动虚拟平台与终端间传输，传输的 数据采用国密局认可的算法进行加密，并且通过128位的SSL进行传输。4.8应用扩展性与可靠性只需要在移动办公虚拟平台做一次安装配置，就可以通过平台发布给用户使 用，对应用本身不需要进行二次开发和接口对接，可随需进行扩展。方案支持提供先进的负载平衡技术，使多个服务器形成集群，动态路由登录 的用户至“最闲”的服务器，使得不同服务器的负载状况大致相同、访问性能达 到最佳；即使其中的某台服务器出现问题， 也可自动由其他服务器承担，不会影 响用户的正常工作。事实上，用户只需进行操作、而不必关心究竟是哪一台服务 器在哪里或是怎样为自己提供服务的，做到服务透明化。4.9其它支持内外网混用，提供多层安全性，保证外网通过空中链路使用办公系统的 安全性和稳定性。可按需增加软件的发布，通过这个平台把更多的应用提供给用户使用。5. 总结随着社会的发展，全社会对政府部门的工作效率提出了更高要求，同时政府部门内部如何安全的提高