移動辦公網(wǎng)絡建設技術(shù)方案

1、移動辦公網(wǎng)絡建設技術(shù)方案一、項目背景隨著移動互聯(lián)技術(shù)快速發(fā)展，智能手機已經(jīng)全面普及，使用手機等移動終端進行移動辦公具有不受地域、時間限制、可隨時隨地工作的特點，應用范圍越來越廣。為提高日常辦公效率，根據(jù)國家稅務總局關(guān)于印發(fā)<稅務電子數(shù)據(jù)安全保護總體技術(shù)框架>的通知(稅總發(fā)2014129號)的有關(guān)要求，我省將在移動辦公系統(tǒng)建設中參考“江蘇省國家稅務局移動辦公安全解決方案”的做法，通過統(tǒng)一接入、認證管理和應用推送，充分保障應用和數(shù)據(jù)安全,實現(xiàn)辦公系統(tǒng)在移動互聯(lián)網(wǎng)和智能終端的延伸。二、實現(xiàn)原理當用戶在移動終端上點擊綜合辦公系統(tǒng)APP按鈕時，終端將切換信號接入點，斷開與公有互聯(lián)網(wǎng)的連接，通

2、過4G網(wǎng)絡和VPDN專線接入部署在國稅移動辦公接入?yún)^(qū)的應用發(fā)布設備，通過該設備建立一個安全通道，連接部署在國稅移動辦公安全緩沖區(qū)的服務器，在該服務器上打開綜合辦公系統(tǒng)的主頁，利用應用發(fā)布設備具備的應用推送功能，將系統(tǒng)界面截圖加密后通過VPDN專線和4G網(wǎng)絡推送到移動終端，這樣移動終端上就可以進行點擊、輸入等操作，如同在移動終端遠程操控辦公電腦一樣。移動終端只是用作界面截圖展示，真正的數(shù)據(jù)流轉(zhuǎn)還是在國稅端緩沖服務器上實現(xiàn)，并未在移動終端落地。三、網(wǎng)絡系統(tǒng)設計（一）網(wǎng)絡與安全架構(gòu)移動辦公省局端網(wǎng)絡由接入?yún)^(qū)和安全緩沖區(qū)兩部分組成，均采用冗余架構(gòu)?？傮w網(wǎng)絡結(jié)構(gòu)如下圖：接入?yún)^(qū)用于連接移動VPDN線路，部

3、署應用發(fā)布設備等安全設備，移動終端對綜合辦公系統(tǒng)的訪問到該區(qū)域應用發(fā)布設備截止。安全緩沖區(qū)上聯(lián)接入?yún)^(qū)，下聯(lián)業(yè)務專網(wǎng)，部署緩沖服務器，應用發(fā)布設備訪問綜合辦公系統(tǒng)服務器，該服務器再訪問業(yè)務專網(wǎng)綜合辦公系統(tǒng)，并將返回流量發(fā)送應用發(fā)布設備。詳細設計如下：（1）兩臺路由器作為VPDN線路接入路由器。（2）兩臺三層交換機作為接入?yún)^(qū)核心交換機，與路由器之間采用防火墻安全隔離，防火墻啟用路由模式。應用推送設備、入侵檢測均部署在接入?yún)^(qū)。（3）兩臺三層交換機作為緩沖區(qū)核心交換機，與接入?yún)^(qū)核心交換機通過網(wǎng)閘安全隔離。該區(qū)域與業(yè)務專網(wǎng)通過防火墻安全隔離，啟用NAT反向代理。綜合辦公系統(tǒng)緩沖服務器部署在該區(qū)域。（二）

4、數(shù)據(jù)流向設計為保證移動辦公安全穩(wěn)定運行，省局端網(wǎng)絡將采用主備模式。對于數(shù)據(jù)流向設計主要基于以下幾個原則：l 上下行數(shù)據(jù)流向盡量保持一致；l 發(fā)生故障時，堅持影響范圍最小、偏離正常數(shù)據(jù)流向最小的原則；l 各功能區(qū)域之間通過防火墻進行安全防護；l 移動終端用戶訪問綜合辦公應用時，數(shù)據(jù)終結(jié)在安全緩沖區(qū)；l 僅允許移動辦公緩沖區(qū)服務器對業(yè)務專網(wǎng)綜合辦公系統(tǒng)發(fā)起訪問。移動辦公數(shù)據(jù)流向如下圖：1、移動終端對綜合辦公系統(tǒng)的訪問通過路由器接入，通過第一道防火墻，首先訪問應用發(fā)布設備，應用發(fā)布設備首先進行身份認證，核實用戶的身份，并且做賬號審計。該設備通過網(wǎng)閘，建立一個安全加密通道, 調(diào)用緩沖區(qū)服務器通過防火墻訪問部署在業(yè)務專網(wǎng)內(nèi)的綜合辦公系統(tǒng)，在緩沖服務器桌面上顯示綜合辦公系統(tǒng)主頁。3、應用發(fā)布設備將緩沖服務器桌面截圖后，進行加密，通過VPDN專線和移動4G網(wǎng)絡返回用戶移動終端上展示。4、當用戶在移動終端上進行點擊、輸入等操作時，移動終端會將該指令通過網(wǎng)絡發(fā)送到應用發(fā)布設備，由該設備指揮緩沖服務器進行相同的操作。移動終端只作為界面截圖展示和接受操作指令，數(shù)據(jù)不