广西法院虚拟桌面办公、办案系统方案

1、广西法院虚拟桌面办公、办案系统中国联通广西分公司目录12方案建设的目标与原则方案介绍3网络拓扑图5安全策略4项目背景介绍6附录项目背景 目前，基于 PC 的办公自动化系统逐渐普及，从传统的办公方式逐渐过渡到无纸化办公，这是无可争议的一大进步，工作方式从此迈入一个挑战传统、不断革新的新时代。 随着移动通信技术的飞速发展以及金信、金盾、金税、金关等众多国家级信息化工程和企业信息化建设的整体推进，实现移动公网环境下的移动办公已成为政府/企业网络发展的必然趋势 。 鉴于广西法院系统对业务建设的力度不断加大，因此，提高办案效率、普及县、乡、村级信息化建设、实现随时随地处理OA以及案件的需求已经突围显著。

2、 因此，广西联通与广西法院进行了详细的项目需求了解和沟通，整理提出的各项系统建设要求，集成各领域的先进技术，特提出虚拟桌面办公、办案系统建设方案。目录12方案建设的目标与原则方案介绍3网络拓扑图5安全策略4项目背介绍景6附录方案建设目标在保证电子政务网络信息安全的前提下，利用中国联通成熟的无线网络，促进现有电子政务网络资源更充分地利用，实现移动终端设备实时查询内网数据、快速采集外部信息、现场处置办公业务等，有效提高工作效率和实战能力。法院领导远程指挥，移动审批，督查督办，统计报表，为领导的决策提供详实的数据支持。一线人员综合查询，移动办公，视频监控，拍照取证，现场执法. 为广大一线人员日常工作

3、提供技术支撑。最高安全性原则先进性原则标准化经济性原则采用先进的控制技术、网络传输技术、数据压缩技术、数据传输技术以及数据安全技术，从而使系统的建设达到和具备国内的较先进水平。方案从广西法院内网到联通机房、联通机房到3G/4G无线信号基站、基站到手机、手机到客户端，进行了层层安全设置。系统采用模块化设计方法，可根据系统容量的不同灵活部署设备，保证业务、功能、界面、内容的高度统一化和标准化，从而达到服务的规范化和管理的高效性。在满足系统功能及性能要求的前提下，尽量降低系统建设成本，综合考虑系统的建设、升级和维护费用，不盲目投入。可维护性系统采用高级别的网管系统，支持各独立网络单元结构自由组合，当

4、系统任何分支单元出现出现故障时，可以快速准确的诊断出故障点从而进行维护处理，缩短故障相应处理时间。方案建设原则目录12方案建设的目标与原则方案介绍3网络拓扑图5安全策略4项目背介绍景6附录面临的主要问题由于终端的移动性、使用场景的开放性和不可监督性、无线传输安全的脆弱性、网络环境的复杂性，广西法院虚拟桌面办案系统可能面临的风险如下：1、接入内网的终端设备的风险2、应用程序处理、承载的风险3、接入内网的用户风险4、数据在传输链路上被截获、篡改或伪造的风险5、其它恶意攻击、电脑病毒、黑客行为的风险广西法院虚拟桌面办公、办案系统可能面临的风险风险的解决方案采取桌面虚拟化技术，数据以图片的方式传送到终

5、端，数据在终端不落地，不能被拷贝，不能被复原采取云计算技术，把应用处理和信息转换能力放在云端（服务器），移动终端仅仅作为输入输出设备采取高安全的接入技术与超过10种身份认证手段，终端的安全得到最高的保障通过数据完整性校验、信息传输过程中加密和抗抵赖等安全服务，保证移动应用系统中信息内容在存取、处理和传输中保持其机密性、完整性、真实性采取物理隔离方式，使用防火墙、网闸等设备，应用多种网络安全技术预防网络攻击与其它威胁。采用虚拟化技术，代理服务处于系统前端，成为系统的替身，截断所有攻击，内网OA、办案等系统绝不受到影响接入内网的终端设备的风险应用程序处理、承载的风险接入内网的用户风险数据在传输链路

6、上被截获、篡改或伪造的风险其它恶意攻击、电脑病毒、黑客行为的风险虚拟桌面办公、办案系统安全接入子系统本方案包含的子系统两子系统形成安全互补，实现端到端的整体安全解决方案，为广西法院提供安全的移动办案系统，解决广西法院虚拟桌面办公、办案系统面临的风险。虚拟桌面办公、办案子系统方案介绍安全接入子系统介绍安全接入子系统 负责对整体网络环境的安全接入、传输、链路、架构的加密、监控、保护、隔离、管理等。安全接入子系统主要优点扩展性兼容性安全性先进性可靠性灵活性全面性完整的接入安全解决方案虚拟桌面办公、办案子系统虚拟桌面办公、办案子系统 负责对内网的电子政务办公、办案系统，通过虚拟桌面的方式，实现外网以及

7、远程的访问。本子系统由深圳赛蓝负责建设和实施。虚拟桌面办案子系统设备清单序号名称参考配置数量单位成本单价（元）小计备注1Iserver服务器1、必选，建议客户自己准备。该配置是推荐配置，可以根据预算或市场价调整。2、服务器需安装2003或2008server系统，作为手机用户访问内网业务服务器的代理访问服务器。3、需用户提供一个内网IP地址配套使用。 4、服务器报价根据市场情况而定。1台4000040000参考配置(至少)：HP DL360p Gen8 E5-2630v2/2*8Gb /460W PT/1T硬盘/DVD光驱/Windows Server 2008 R2企业版，3.0GHz晶振。

8、可满足50左右并发数的需求。2赛蓝SGA移动云软件V1.8.401、包含一台硬件网关、一套平移软件系统。 2、需用户提供一个内网IP地址配套使用。 3、需要用户把该设备的内网IP地址映射到公网或APN专线直接就可以不用做端口映射。 4、提供一年软硬件免费维护，过保后，每年按照设备金额的15%收取。 1套4940049400含移动办公软件并发许可数10个。定制开发费0根据用户系统而定。3互联网专线4M条/月00可选，根据并发用户数而定，每个用户连接一般在90K流量。可与互联网共用。该链路直接影响移动办公的访问速度。4手机及平板台0虚拟桌面办案子系统主要优点多终端：支持Windows、Androi

9、d、IOS平板电脑/智能手机双模式：支持浏览器访问和APP访问模式多接入：支持4G、WiFi等各种网络环境，支持互联网/APN接入多应用：支持各种B/S和C/S方式的办公应用高安全：全程SSL数据加密传输，支持多种身份认证技术易实施：无需任何二次开发工作，只要一天即可完成部署Android Windows IOS 目录12方案建设的目标与原则方案介绍3网络拓扑图5安全策略4项目背介绍景6附录拓扑结构图2移动接入区部署注：建议采取移动接入区部署方案，虚拟桌面接入处于电子政务专网之外，更能提高系统的安全性。目录12方案建设的目标与原则方案介绍3网络拓扑图5安全策略4项目背介绍景6附录安全策略终端安

10、全策略传输隧道安全策略内网结构保护策略终端安全策略1、终端加固 基于硬件密码对终端进行安全加固，保证终端计算环境、资源和网络访问的安全和控制。移动终端安全加固由鉴别评估管理系统和移动终端安全加固组件及终端安全卡共同实现。系统具有以下功能： 10种认证方式针对终端的硬件特征码认证支持证书生成和第三方证书，增强了用户数据安全。银行级的身份认证技术，身份保护有保证。技术上与动态令牌同源，更好地与手机业务结合。6.硬件特征码2. 证书认证3. 动态令牌认证4. 手机令牌短信认证，联通用户网内专用5. 短信认证支持企业原有USB KEY认证方式，高安全。1.USB KEY 系统安全加强网络与外设控制文件

11、与数据保护安全威胁检测与防护2、多种、多重身份认证3、桌面虚拟化技术采用深圳赛蓝专用桌面虚拟化技术和CSMP协议，数据以图片的方式传送到终端，数据在终端不落地，不能被拷贝，不能被复原，用户数据在终端得到最根本的保护。*USB KEY认证 已申请国家专利LDAP、Radius,固定账号密码、第三方证书结合数据信息安全性SSL协议隧道中国联通APN专线虚拟专用信道信道加密结合4种数据保密专有手段传输隧道安全策略中国联通APN专线是基于L2TP二层链路加密协议，在中国联通交换机到广西法院的防火墙之间形成一条安全隧道，用户数据得到高等级的保护。深圳赛蓝桌面虚拟化技术采用了128位SSL数据加密协议，从

12、移动终端到虚拟桌面办案系统网关，形成一条完整保密的安全隧道，用户数据在原有基础上添加了最大长度的安全保护基于我国密码管理局批准专用的密码算法实现移动终端到移动接入区端到端的通信加密，保证政务信息在传输过程中的机密性和完整性。移动终端和移动接入网之间的基于SM1实现穿越移动公网的端到端加密隧道。全面的传输隧道安全策略传输隧道安全策略（续）1、中国联通APN专线2、SSL协议隧道3、虚拟专用信道4、信道加密广西法院内网结构保护策略2处安全隔离3个安全区域统1（一）管理对系统的安全策略进行统一管理通过统一管理的安全保障策略，广西法院管理人员更容易通过简单的管理手段去保证系统安全策略的安全性和一致性。

13、移动公网与移动接入网：防火墙移动接入网与法院内网：网闸实现移动接入区和政务信息网之间的网络隔离及数据信息交换。确保政务信息网和移动接入区在任何时间都是物理隔离的。移动专网，移动接入区，政务内网由于政务内网具有信息极其保密，不可侵入的特点，所以政务内网的安全等级最高，只能通网闸隔离。而移动接入区与移动专网之间也有防火墙作为防护设施，安全性也是很高的。移动专网采用了中国联通的APN网，本身就是个内网结构，虽然作为接入端，但安全性也很高。目录12方案建设的目标与原则方案介绍3网络拓扑图5安全策略4项目背介绍景6附录使用流量统计具体操作 上行流量（KB） 下行流量（KB） 总流量（KB） 打开联通云门户首页 5.8 84.7 90.5 完成云门户登录 23.2 968 991.2 完成对一个流程的审批 24.6 1213 1237.6 打开一个Word文档 23.7 923 946.7 以下测试数据基于中国中国联通WCDMA 3G网络，2.6.4 Android版本客户端（1024x768），采用中国联通门户作为应用接入，得出以下流量数据：类别故障描述响应时间恢复时间一级故障系统瘫痪，无法使用10分钟8小时二级故障部分系统损坏，系统使用受阻30分钟12小时三级故障部分功能故障，不影响正常使用30分钟24小时服务质量