稳定的并发支撑。
5.2.5.1 虚拟桌面技术方式方案要点
1、虚拟应用服务器部署在企业侧,装有用户使用的IE和办公软件,通过专有协议连接最终用户客户端,完成将服务器上办公软件运行的页面发布给用户。
2、手机客户端软件,支持与虚拟应用服务器间专有的数据交换协议,能够显示虚拟应用服务器发布的页面,并将对页面的操作发送给虚拟应用服务器。
5.2.5.2 虚拟桌面技术方式产品总体功能架构
在OA服务器与公网访问用户之间放臵一组虚拟应用服务器,手机用户使用客户端软件访问虚拟应用服务器,进而访问后台OA服务器。
5.2.5.3 虚拟应用服务器功能 1、
业务虚拟展现
虚拟应用服务器和客户端软件之间,通过专有数据传输协议建立通道,
31
使得客户端设备可以远程操作服务器上的应用。虚拟化应用实现了应用软件运行在服务器上,但是对该软件的操作(输入输出)在客户端设备上,所有的输入如点击等操作被专有协议同步到服务器上执行,所有的输出如屏幕的刷新也被专有协议同步到客户端。 2、
用户认证和管理
由于虚拟应用平台部署的是Windows平台应用,因此需要AD域来统一定义用户访问服务器的权限,该域的成员不仅包含所有的虚拟应用服务器,还有所有授权用户身份,因此需要集成AD与LDAP。
虚拟桌面技术支持的身份认证模式包括:
? 静态口令:目前的用户名加口令,属于低强度身份认证,建议只在
内网使用。
? 数字证书及其他高强度认证:应用集中发布平台预留了集成其他身
份认证的接口,可以方便地集成用户自由认证或第三方认证。
3、
带宽控制
由于应用集中运行时,会话会持续消耗网络带宽,因此带宽控制能力,是后台支持并发能力的一个重要指标。
平台的带宽控制能力包括:
? 每用户消耗带宽应尽可能低,例如10K-20K。 ? 控制带宽的消耗,如设定每用户消耗带宽的最大值。
? 提供网络硬件加速方案,实现诸如压缩、缓存和TCP/CIFS等协议
优化,以进一步节省带宽,从而提高用户在有限带宽下的应用体验。
5.2.5.4 客户端软件功能 1、
页面展现与操作
客户端软件和虚拟应用服务器之间,通过专有数据传输协议建立通道,使得客户端可以展现虚拟应用服务提供的页面,并远程操作服务器上的应用。
32
2、 用户登录
手机的网络访问只需要指定虚拟应用服务器的IP地址、用户登陆的用户名和口令,或是应用了高强度认证数字证书的PIN码,以及登录域名称等信息即可,用户打开客户端软件就可以获取服务器上授权使用的应用图标,打开应用图标即可使用。 5.3 安全机制
这两种模式都需要各种安全机制来保证业务使用的安全性,包括系统安全、网络及接入安全、应用安全、终端安全等,描述如下: 5.3.1 系统安全
平台通过系统漏洞扫描、系统加固、系统防病毒、多级访问权限控制、安全审计等保证系统安全可靠。 5.3.2 网络及接入安全
通过边界防火墙、VPN网关、IPS、网络防病毒等安全手段的有效组合,保证网络层的安全。
PC用户通过数字证书和VPN网关接入系统平台,保证了用户接入的安全性和传输通道的加密,移动终端用户可通过专有APN方式接入移动网络,保证除了用户接入网络的安全性。 5.3.3 应用安全
1. 多因素身份认证
无论是平台管理员或是企业员工,都需要申请联通的CA实名制数字证书,数字证书做为用户唯一身份标示,登录平台使用各项服务,并通过密码保护数字证书的自身安全。并且使用联通CA第三方权威电子认证服务机构作为安全保障,可作为合法有效的法律凭证,受国家《电子签名法》的保护,具有法律效力。
并可结合数字证书、手机号和手机设备的三重绑定,保证更高级别的
33
认证安全。即使有人获得正确的数字证书并知道证书保护密码,还必须使用特定的唯一一个手机号和唯一一个手机才能登录。
2. 数据安全传输
在平台与移动终端客户端之间,用户可选择基于数字证书的SSL 通道加密或256位AES 数据传输加密,保证了数据传输安全。
3. 硬件加密
终端系统还提供了基于PKI体系的e盾卡(安全SD卡)和安全SIM卡的加密方式,卡内存有用户密钥,并且密钥无法导出,系统传输的每一条数据都要经过硬件卡的加密处理,保证了高强度的数据加密,硬件加密在加密效率和安全级别上都要比软件加密更高一筹。
4. 统一认证、单点登录
不同用户登录平台,使用平台提供的各种业务,用户数字证书作为身份唯一标识,用户只需要一次登录,即可使用授权的各种业务服务,实现统一认证和单点登录。
5. 分级权限管理
新增、删除、编辑用户信息,用户的权限分配。 5.3.4 终端安全
可实现丢失手机信息保护。当用户丢失手机或手机使用权发生更变的时候,综合办公业务平台可发出远程信息,清空用户手机中移动办公业务相关的所有资料。当用户丢失手机或手机使用权发生更变的时候,移动办公业务平台在系统中将丢失手机列入黑名单,系统锁定用户所有的数据,并阻止用户登录。保证用户的机密信息不会泄漏。
6 笔记本移动办公方案
6.1 需求分析
一些大型企业、国家部委、党政机关等,这些单位已经有电子化办公系
34
统,并且员工有笔记本办公的条件,并且经常会有外出移动办公的需求,需要通过一些技术手段实现移动办公。 6.2 总体方案描述
移动办公用户使用笔记本(结合3G上网卡)或3G上网本做为移动办公设备,通过WCDMA或WLAN接入互联网,并将e盾卡做为身份认证终端,认证通过后接入客户内网,访问内网的各种办公系统,实现与企业内网相同的移动办公体验, 并可以保证身份认证和信息传输的安全可靠。根据不同的用户规模和需求特点,笔记本移动办公方案可分为硬件网关模式和软件模式。
笔记本移动办公主要应用在无线网络(3G(WCDMA)、GPRS、WLAN)覆盖的餐厅、咖啡厅、机场、车站等场所,为政府、电力、金融等集团行业客户、大型企事业单位、中小型企业移动办公人员提供移动办公应用。 6.2.1 硬件网关模式
主要面向国家部委、省、地市级政府行业,金融、电力、教育等行业以及大型企事业单位。该模式适用于移动办公性能要求较高,安全性要求较高的企业。
在企业侧部署硬件SSL VPN网关,移动办公用户采用笔记本或3G上网本做为办公设备,通过3G上网卡、3G上网本或WLAN方式接入互联网,并通过e盾卡认证后接入企业内网,即可使用内网的各种办公系统,如企业OA、ERP、CRM、企业邮箱等。
产品组成 SSL VPN设备 具体描述 指采用SSL (Security Socket Layer)协议来实现远程接入的一种VPN设备。 联通CA数字证书 是联通CA为企业移动办公员工签发的包含员工实名身份信息的电子文件。 E盾卡 内臵国密局审核的专用加密芯片、用户公私钥对、联通
35