移動(dòng)OA系統(tǒng)技術(shù)解決方案

叮叮小文庫(kù)企業(yè)移動(dòng)辦公應(yīng)用技術(shù)方案-叮叮小文庫(kù)目 錄1.綜述32.總體解決方案42.1方案概述42.2軟件部署架構(gòu)52.3技術(shù)原理62.4訪問(wèn)場(chǎng)景73.詳細(xì)方案設(shè)計(jì)73.1網(wǎng)絡(luò)部署73.2應(yīng)用部署93.3客戶端控制94.優(yōu)勢(shì)分析94.1移動(dòng)終端無(wú)關(guān)性94.2項(xiàng)目實(shí)施周期短94.3升級(jí)維護(hù)方便104.4網(wǎng)絡(luò)帶寬要求低104.5兼容性好104.6同屏顯示104.7安全性擴(kuò)展104.8應(yīng)用擴(kuò)展性與可靠性114.9其它115.總結(jié)121. 綜述移動(dòng)辦公系統(tǒng)是眾多企業(yè)和政府管理層及時(shí)掌握企業(yè)和政府信息、快速進(jìn)行管理決策的必備系統(tǒng)，其對(duì)企業(yè)和政府的重要性不言而喻。傳統(tǒng)的移動(dòng)辦公系統(tǒng)（如筆記本電腦+VPN模式，或者WAP手機(jī)）在使用中往往面臨著如下問(wèn)題： 客戶端差異化問(wèn)題：辦公系統(tǒng)往往是基于PC機(jī)Windows系統(tǒng)開(kāi)發(fā)的，但是數(shù)量最大的移動(dòng)終端往往是手機(jī)和PDA，將辦公系統(tǒng)移植到手機(jī)上既費(fèi)時(shí)費(fèi)力，又帶來(lái)了額外的開(kāi)發(fā)、維護(hù)和重新用戶培訓(xùn)等一系列問(wèn)題。 網(wǎng)絡(luò)及性能問(wèn)題：移動(dòng)辦公的網(wǎng)絡(luò)千差萬(wàn)別，而辦公軟件的運(yùn)行往往是基于局域網(wǎng)設(shè)計(jì)的，因此很多應(yīng)用在移動(dòng)辦公使用時(shí)因網(wǎng)絡(luò)而產(chǎn)生性能瓶頸，比如當(dāng)郵件有比較大的附件時(shí)，局域網(wǎng)內(nèi)可以馬上打開(kāi)，但是廣域網(wǎng)上需要等很長(zhǎng)時(shí)間才能下載后進(jìn)行處理。 安全性問(wèn)題：移動(dòng)辦公是將企業(yè)和政府關(guān)鍵信息傳遞在公共網(wǎng)絡(luò)上，因此面臨著比在企業(yè)和政府內(nèi)部使用更高的安全性要求，移動(dòng)辦公不僅有數(shù)據(jù)被截獲的危險(xiǎn)，而且移動(dòng)終端更加容易丟失，如果上面有信息敏感數(shù)據(jù)則對(duì)企業(yè)和政府造成的無(wú)法估算的危害。同時(shí)如果外部終端接入企業(yè)和政府內(nèi)網(wǎng)，會(huì)對(duì)企業(yè)和政府內(nèi)部造成系統(tǒng)級(jí)的安全威脅。傳統(tǒng)的技術(shù)方案所帶來(lái)的這些問(wèn)題，需要企業(yè)和政府不斷地投入人力物力進(jìn)行解決，給企業(yè)和政府帶來(lái)了很大的管理和壓力成本，因此企業(yè)和政府提出了技術(shù)創(chuàng)新的要求。虛擬化技術(shù)的出現(xiàn)，使得企業(yè)和政府得以從技術(shù)架構(gòu)上根本解決如上問(wèn)題。通過(guò)應(yīng)用虛擬化使得傳統(tǒng)應(yīng)用直接升級(jí)為了面向服務(wù)的架構(gòu)，因此企業(yè)和政府的OA辦公軟件、業(yè)務(wù)系統(tǒng)和ERP系統(tǒng)等等，均不需要移植和安裝在手機(jī)、PDA、筆記本電腦、平板電腦等上，而通過(guò)虛擬服務(wù)就可以被上述終端訪問(wèn)和使用。虛擬化應(yīng)用的特點(diǎn)是只要在后臺(tái)服務(wù)器安裝一次，然后經(jīng)過(guò)管理員的權(quán)限定義，就可以被用戶通過(guò)任意終端設(shè)備和任意網(wǎng)絡(luò)所使用，而所有的數(shù)據(jù)和維護(hù)管理工作全部在數(shù)據(jù)中心。虛擬化技術(shù)不僅為企業(yè)和政府帶來(lái)了很大的資源節(jié)省和降低成本，同時(shí)使得企業(yè)和政府的IT響應(yīng)能力大大提高，移動(dòng)辦公不再需要額外開(kāi)發(fā)，而真正成為了企業(yè)和政府IT架構(gòu)的自然延伸，實(shí)現(xiàn)了用戶隨時(shí)隨地地安全訪問(wèn)企業(yè)和政府內(nèi)部信息。2. 總體解決方案由于虛擬應(yīng)用技術(shù)，分離了應(yīng)用的使用平臺(tái)和運(yùn)行平臺(tái)，因此手機(jī)、PDA、筆記本電腦、平板電腦等移動(dòng)終端從應(yīng)用運(yùn)行設(shè)備變成純粹的輸入輸出設(shè)備，通過(guò)無(wú)線網(wǎng)絡(luò)遠(yuǎn)程運(yùn)行和操作各種應(yīng)用和服務(wù)，從而實(shí)現(xiàn)了用戶的移動(dòng)辦公。2.1 方案概述在企業(yè)側(cè)配置部署移動(dòng)辦公服務(wù)器，在移動(dòng)辦公服務(wù)器上運(yùn)行虛擬應(yīng)用系統(tǒng)，實(shí)現(xiàn)穩(wěn)定的并發(fā)支撐能力，滿足移動(dòng)用戶的同時(shí)使用。通過(guò)虛擬應(yīng)用平臺(tái)實(shí)現(xiàn)移動(dòng)辦公的總體架構(gòu)如下圖所示：移動(dòng)辦公系統(tǒng)的部署，對(duì)于目前企業(yè)OA系統(tǒng)的架構(gòu)沒(méi)有改變，只是在OA系統(tǒng)服務(wù)器所在的局域網(wǎng)內(nèi)，部署運(yùn)行虛擬應(yīng)用的移動(dòng)辦公服務(wù)器，供移動(dòng)用戶訪問(wèn)，而固定辦公用戶仍直接訪問(wèn)OA服務(wù)器，因此原辦公模式不受影響。通過(guò)運(yùn)行虛擬應(yīng)用平臺(tái)的移動(dòng)辦公系統(tǒng)的部署，一方面應(yīng)用更加方便使用，用戶無(wú)論在筆記本上還是手機(jī)上，實(shí)際上使用的都是運(yùn)行在虛擬應(yīng)用移動(dòng)辦公服務(wù)器上的同一個(gè)應(yīng)用，沒(méi)有適應(yīng)多種界面的要求，而且可以實(shí)現(xiàn)同一個(gè)應(yīng)用在不同的移動(dòng)設(shè)備之間的漫游，實(shí)現(xiàn)了業(yè)務(wù)連續(xù)性；另一方面，由于所有的應(yīng)用和數(shù)據(jù)都位于企業(yè)側(cè)數(shù)據(jù)中心的機(jī)房，網(wǎng)絡(luò)上沒(méi)有數(shù)據(jù)傳輸，手機(jī)、PDA、筆記本電腦、平板電腦等終端設(shè)備上也并沒(méi)有數(shù)據(jù)，集中管理的同時(shí)，也大大提高了辦公數(shù)據(jù)的安全性。即使終端設(shè)備丟失，也不會(huì)造成泄密。而在移動(dòng)終端和虛擬應(yīng)用移動(dòng)辦公服務(wù)器之間只需10k左右的帶寬，因?yàn)槠溟g傳遞的并非實(shí)際的業(yè)務(wù)數(shù)據(jù)，而是虛擬化圖像數(shù)據(jù)。這樣既保證了OA應(yīng)用系統(tǒng)可以在低帶寬網(wǎng)絡(luò)下使用，又避免了OA業(yè)務(wù)數(shù)據(jù)在公網(wǎng)傳輸?shù)陌踩[患，從根本上保證數(shù)據(jù)安全。2.2 軟件部署架構(gòu)虛擬應(yīng)用移動(dòng)辦公服務(wù)器上軟件部署包括：在底層操作系統(tǒng)之上安裝 VAST虛擬應(yīng)用服務(wù)器，然后在虛擬應(yīng)用服務(wù)器之上安裝各種辦公軟件如OFFICE軟件、郵件系統(tǒng)以及瀏覽器閱讀器等工具軟件。手機(jī)、PDA、筆記本電腦、平板電腦等設(shè)備上的軟件部署包括：在終端設(shè)備操作系統(tǒng)上安裝虛擬應(yīng)用接收器。終端設(shè)備上不安裝任何應(yīng)用軟件的客戶端，通過(guò)虛擬應(yīng)用接收器，可以使用所有虛擬應(yīng)用移動(dòng)辦公服務(wù)器上的應(yīng)用，整個(gè)軟件架構(gòu)如下圖所示：移動(dòng)終端的網(wǎng)絡(luò)訪問(wèn)只需要指定虛擬應(yīng)用移動(dòng)辦公服務(wù)器的IP地址、用戶登陸的用戶名和口令，以及登錄域名稱等信息即可，用戶打開(kāi)虛擬應(yīng)用接收器就可以獲取服務(wù)器上授權(quán)使用的應(yīng)用圖標(biāo)，打開(kāi)應(yīng)用圖標(biāo)即可使用。2.3 技術(shù)原理我們可以換個(gè)角度思考安全管住了應(yīng)用，也就管住了不確定性。這是體系結(jié)構(gòu)上的根本性思路轉(zhuǎn)變，實(shí)現(xiàn)了信息看得見(jiàn)、摸得著，卻帶不走，這也是應(yīng)用虛擬化的最大價(jià)值。圖3應(yīng)用虛擬化架構(gòu)把表示層做成應(yīng)用虛擬化引擎。該引擎可以放在整個(gè)計(jì)算系統(tǒng)的操作系統(tǒng)和應(yīng)用層之間，隔絕重要應(yīng)用，這是應(yīng)用虛擬化技術(shù)的核心思想。應(yīng)用虛擬化在后端服務(wù)與終端之間增加一層虛擬層，應(yīng)用實(shí)際上運(yùn)行在虛擬層，而將應(yīng)用運(yùn)行的屏幕界面推送到終端上顯示，即“應(yīng)用交付”的概念。2.4 訪問(wèn)場(chǎng)景以O(shè)A系統(tǒng)為例，用戶在使用移動(dòng)辦公OA系統(tǒng)時(shí)的訪問(wèn)方式如下：安裝并運(yùn)行虛擬化客戶端，PC、筆記本就可以在桌面或者開(kāi)始菜單中出現(xiàn)用戶授權(quán)使用的虛擬應(yīng)用圖標(biāo)，該圖標(biāo)跟普通的應(yīng)用程序快捷方式?jīng)]有區(qū)別，用戶直接點(diǎn)擊OA圖標(biāo)，就可以直接打開(kāi)OA界面（虛擬的應(yīng)用窗口界面），其無(wú)縫的使用特點(diǎn)，讓用戶感受如同使用本機(jī)程序一樣，可以進(jìn)行COPY/PASTE、輸入（包括本地常用的輸入法）、打印等等。筆記本用戶打開(kāi)瀏覽器，輸入統(tǒng)一的訪問(wèn)網(wǎng)址，然后在出現(xiàn)的身份認(rèn)證頁(yè)面里輸入自己的用戶身份，通過(guò)后就會(huì)看到OA門(mén)戶圖標(biāo)以及其他被授權(quán)使用的應(yīng)用圖標(biāo)。點(diǎn)擊OA門(mén)戶圖標(biāo)，界面顯示建立服務(wù)的連接條，大約幾秒鐘后出現(xiàn)OA門(mén)戶的界面，剩下的操作就和本地訪問(wèn)OA門(mén)戶一樣。手機(jī)用戶還可以預(yù)先設(shè)置好訪問(wèn)地址和用戶名口令，這樣直接打開(kāi)OA圖標(biāo)就可以使用OA門(mén)戶。3. 詳細(xì)方案設(shè)計(jì)3.1 網(wǎng)絡(luò)部署本方案充分利用用戶現(xiàn)有的網(wǎng)絡(luò)設(shè)施和資源，僅通過(guò)改變應(yīng)用程序的發(fā)布、管理和訪問(wèn)的方式，就幫助用戶快速實(shí)現(xiàn)高成本、高復(fù)雜性的計(jì)算環(huán)境向統(tǒng)一的、安全的、便捷的信息接入架構(gòu)的目標(biāo)轉(zhuǎn)變，以獲取最大程度的IT投資回報(bào)。在一個(gè)完整的無(wú)線訪問(wèn)網(wǎng)絡(luò)環(huán)境和應(yīng)用環(huán)境中構(gòu)建一個(gè)移動(dòng)虛擬移動(dòng)辦公服務(wù)平臺(tái)，其網(wǎng)絡(luò)部署如下圖所示：結(jié)合上述系統(tǒng)組網(wǎng)部署圖，以下就括號(hào)內(nèi)數(shù)字所對(duì)應(yīng)的元素概述如下： 將原有辦公系統(tǒng)（1）通過(guò)移動(dòng)辦公虛擬平臺(tái)（2）集中管控，所有內(nèi)網(wǎng)終端（4）和外網(wǎng)終端（6）通過(guò)移動(dòng)辦公虛擬平臺(tái)訪問(wèn)現(xiàn)有的辦公系統(tǒng)。 內(nèi)網(wǎng)使用原有內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)外接口統(tǒng)一通過(guò)移動(dòng)辦公虛擬平臺(tái)（2），再通過(guò)安全接入系統(tǒng)（3）統(tǒng)一出口。 安全接入系統(tǒng)（3）利用用戶原有的安全接入環(huán)境（防火墻等），并如下圖進(jìn)行增強(qiáng)，增加SSL 接入網(wǎng)關(guān)。通過(guò)上述應(yīng)用部署，可以在不改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和安全設(shè)計(jì)的條件下，快速實(shí)現(xiàn)系統(tǒng)的統(tǒng)一管理和維護(hù)。3.2 應(yīng)用部署在移動(dòng)辦公虛擬平臺(tái)的服務(wù)器上部署應(yīng)用和升級(jí)軟件，在很短的時(shí)間內(nèi)就能部署妥當(dāng)新的應(yīng)用系統(tǒng)，集中進(jìn)行配置和管理，保證安全權(quán)限，統(tǒng)一業(yè)務(wù)標(biāo)準(zhǔn)，及時(shí)獲取數(shù)據(jù)，并提供有效的遠(yuǎn)程技術(shù)支持與服務(wù)。接入原有辦公系統(tǒng)時(shí)，該辦公系統(tǒng)不需要任何改造，可直接接入移動(dòng)虛擬平臺(tái)。3.3 客戶端控制內(nèi)外網(wǎng)終端設(shè)備都通過(guò)移動(dòng)辦公虛擬平臺(tái)使用辦公系統(tǒng)，可以保證終端不需安裝維護(hù)辦公系統(tǒng)的客戶端（插件），并且在沒(méi)經(jīng)過(guò)授權(quán)的情況下系統(tǒng)數(shù)據(jù)不會(huì)存儲(chǔ)（上下行）在客戶端本地，保證終端在內(nèi)外網(wǎng)混用情況下的安全性。本地存儲(chǔ)的授權(quán)是對(duì)移動(dòng)虛擬平臺(tái)的用戶進(jìn)行配置的，在需要的情況下可以授權(quán)某些用戶的終端本地存儲(chǔ)（上下行）。4. 優(yōu)勢(shì)分析4.1 移動(dòng)終端無(wú)關(guān)性無(wú)線網(wǎng)絡(luò)的安全架構(gòu)需要滿足兩個(gè)條件：通過(guò)移動(dòng)平臺(tái)使用辦公系統(tǒng)時(shí)用戶感受與原來(lái)沒(méi)有差別，支持終端類型豐富，包括了 PC、筆記本、上網(wǎng)本 MID（Mobile Internet Device） Android操作系統(tǒng)手機(jī)（如摩托羅拉XT800） Windows Mobile手機(jī) 蘋(píng)果IPhone屏蔽了終端設(shè)備的性能差別，低端的機(jī)器也可以使用。4.2 項(xiàng)目實(shí)施周期短由于重要的應(yīng)用程序只安裝在服務(wù)器上，因此一系列的安裝、配置、調(diào)試工作得到簡(jiǎn)化，原來(lái)需要一兩個(gè)月、來(lái)回奔波、重復(fù)進(jìn)行的工作，現(xiàn)在只需一兩個(gè)星期、甚至幾天的時(shí)間就能完成。4.3 升級(jí)維護(hù)方便應(yīng)用升級(jí)維護(hù)只需要在移動(dòng)虛擬平臺(tái)實(shí)施，終端不需要維護(hù)應(yīng)用?？蛻舳说木S護(hù)極大減少：由于下面的員工或使用者并沒(méi)有實(shí)質(zhì)性接觸到應(yīng)用軟件，升級(jí)、維護(hù)、故障處理等工作就由“面”縮小到“點(diǎn)”，尤其是地域分散的用戶，繁重的維護(hù)工作量立竿見(jiàn)影得到極大減少。4.4 網(wǎng)絡(luò)帶寬要求低正常應(yīng)用狀態(tài)下平均每個(gè)用戶僅占用10K左右?guī)挘硗?，?yīng)用服務(wù)器與后臺(tái)數(shù)據(jù)庫(kù)通常是局域網(wǎng)連接，計(jì)算和查詢所需的大量數(shù)據(jù)都是基于LAN傳輸速度，因此遠(yuǎn)程用戶的網(wǎng)絡(luò)性能非常理想。4.5 兼容性好解決了終端設(shè)備兼容性的問(wèn)題，由于采用了“操作與數(shù)據(jù)分離”的思路，使得不同操作系統(tǒng)的終端都可以使用基于PC的應(yīng)用，終端使用各種應(yīng)用間不會(huì)有兼容性問(wèn)題，用戶不需要維護(hù)終端的業(yè)務(wù)應(yīng)用程序等等。4.6 同屏顯示在聯(lián)合辦公、移動(dòng)會(huì)議、學(xué)習(xí)文件等場(chǎng)景中，用戶可以同時(shí)使用同一個(gè)應(yīng)用界面可方便進(jìn)行協(xié)同工作。4.7 安全性擴(kuò)展用戶對(duì)系統(tǒng)的安全性考慮是毋庸置疑的，也是先決條件。本方案可以按照客戶要求，提供靈活的、多層次、根本性的應(yīng)用安全保障： 用戶登錄支持登錄名/密碼+數(shù)字證書(shū)的雙因子認(rèn)證（我們建議全部采用國(guó)密局認(rèn)可的基于第三方CA所頒發(fā)的數(shù)字證書(shū)的強(qiáng)身份認(rèn)證模式，避免傳統(tǒng)的“登錄名+密碼”登錄方式所帶來(lái)的各種安全隱患）。 數(shù)據(jù)在高速安全的內(nèi)網(wǎng)中交互，網(wǎng)絡(luò)上傳輸?shù)闹皇强蛻舳说逆I盤(pán)、鼠標(biāo)動(dòng)作以及顯示界面的刷新部分，不是真正意義上的應(yīng)用交互所產(chǎn)生的數(shù)據(jù)包。也就是說(shuō)網(wǎng)路上傳輸?shù)牟皇怯脩魧?shí)際數(shù)據(jù)，從根本上保證了數(shù)據(jù)安全。 終端與平臺(tái)間傳輸?shù)钠聊蛔兓?jīng)過(guò)國(guó)密局人口的算法加密處理，即使在空中鏈路也可以保證高度的安全性。 加密算法采用高度安全的加密技術(shù)。 登錄和網(wǎng)絡(luò)傳輸通過(guò)安全接入網(wǎng)關(guān)采用128位加密SSL傳輸通道，通過(guò)標(biāo)準(zhǔn)的443端口傳輸加密信息。 用戶數(shù)據(jù)存儲(chǔ)可根據(jù)安全策略限制在移動(dòng)虛擬平臺(tái)上，終端本地不存儲(chǔ)數(shù)據(jù)，保證內(nèi)外網(wǎng)混用和設(shè)備丟失的情況下的數(shù)據(jù)安全。 可以限制用戶只能看到和使用被授權(quán)的應(yīng)用程序；可以根據(jù)位置（IP和網(wǎng)段）限制用戶使用某個(gè)或多個(gè)應(yīng)用程序；可以根據(jù)時(shí)間限制用戶什么時(shí)候可以使用某個(gè)或多個(gè)應(yīng)用程序。利用報(bào)表中心的報(bào)表模板，還可以生成用戶的使用報(bào)告。 在授權(quán)情況下，終端本地?cái)?shù)據(jù)可在移動(dòng)虛擬平臺(tái)與終端間傳輸，傳輸?shù)臄?shù)據(jù)采用國(guó)密局認(rèn)可的算法進(jìn)行加密，并且通過(guò)128位的SSL進(jìn)行傳輸。4.8 應(yīng)用擴(kuò)展性與可靠性只需要在移動(dòng)辦公虛擬平臺(tái)做一次安裝配置，就可以通過(guò)平臺(tái)發(fā)布給用戶使用，對(duì)應(yīng)用本身不需要進(jìn)行二次開(kāi)發(fā)和接口對(duì)接，可隨需進(jìn)行擴(kuò)展。方案支持提供先進(jìn)的負(fù)載平衡技術(shù)，使多個(gè)服務(wù)器形成集群，動(dòng)態(tài)路由登錄的用戶至“最閑”的服務(wù)器，使得不同服務(wù)器的負(fù)載狀況大致相同、訪問(wèn)性能達(dá)到最佳；即使其中的某臺(tái)服務(wù)器出現(xiàn)問(wèn)題，也可自動(dòng)由其他服務(wù)器承擔(dān)，不會(huì)影響用戶的正常工作。事實(shí)上，用戶只需進(jìn)行操作、而不必關(guān)心究竟是哪一臺(tái)服務(wù)器在哪里或是怎樣為自己提供服務(wù)的，做到服務(wù)透明化。4.9 其它支持內(nèi)外網(wǎng)混用，提供多層安全性，保證外網(wǎng)通過(guò)空中鏈路使用辦公系統(tǒng)的安全性和穩(wěn)定性。可按需增加軟件的發(fā)布，通過(guò)這個(gè)平臺(tái)把更多的應(yīng)用提供給用戶使用。5. 總結(jié)隨著社會(huì)的發(fā)展，全社會(huì)對(duì)政府部門(mén)的工作效率提出了更高要求，同時(shí)政府部門(mén)內(nèi)部如何安全的提高辦公效率也是亟待解決的問(wèn)題。做