【文章內(nèi)容簡(jiǎn)介】 SSL 證書(shū)建立到移動(dòng)辦公平臺(tái)的安全通道，確保數(shù)據(jù)在傳輸過(guò)程中的完整性和安全性。 第四層 :是網(wǎng)絡(luò)安全隔離層，實(shí) 現(xiàn)通過(guò)防火墻及路由器，實(shí)現(xiàn) X 局內(nèi) 網(wǎng)和移動(dòng)接入網(wǎng)的隔離、數(shù)據(jù)傳遞和轉(zhuǎn)發(fā)。 第五層 :放在 X 局內(nèi)部系統(tǒng)的 前置服務(wù)器以及通用 WebService 服務(wù) ， 該前置服務(wù)是前端應(yīng)用與后端 內(nèi) 網(wǎng)及各類應(yīng)用的中間橋梁。 第六層 :是業(yè)務(wù)應(yīng)用支撐平臺(tái)，它是面向應(yīng)用程序的，包括 內(nèi)部 網(wǎng)、 內(nèi)部 各業(yè)務(wù)應(yīng)用系統(tǒng)等。 、 手機(jī)移動(dòng)辦公方案 當(dāng)用戶在非固定場(chǎng)所，如機(jī)場(chǎng)、火車、輪船上、行走中，或突發(fā)情況下，如新聞采訪第一現(xiàn)場(chǎng)、執(zhí)法現(xiàn)場(chǎng)、貨物配送現(xiàn)場(chǎng)等，不方便用筆記本電腦的地XX 單 位移動(dòng)辦公系統(tǒng)解決方案 10 / 40 方，可通過(guò)手機(jī)終端，在有 GPRS、 3G（ WCDMA）等移動(dòng)網(wǎng)絡(luò)覆蓋的情況下進(jìn)行移 動(dòng)辦公操作，這種方式方便快捷、應(yīng)用簡(jiǎn)單，并通過(guò)內(nèi)置在手機(jī)上的數(shù)字證書(shū)、 e 盾卡（安全 SD 卡）或安全 SIM 卡保證移動(dòng)辦公的安全可靠。 ? 技術(shù)描述 手機(jī)移動(dòng)辦公可通過(guò)兩種技術(shù)實(shí)現(xiàn)：一種是企業(yè)適配方式，即根據(jù)客戶的定制化需求和企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行接口開(kāi)發(fā)，手機(jī)終端直接訪問(wèn)企業(yè)應(yīng)用系統(tǒng)，通過(guò)適配技術(shù)將訪問(wèn)結(jié)果直接完整的展現(xiàn)在手機(jī)終端；另一種是遠(yuǎn)程虛擬桌面方式，即采用云計(jì)算技術(shù)原理，通過(guò)虛擬服務(wù)器訪問(wèn)企業(yè)的業(yè)務(wù)系統(tǒng)，手機(jī)終端作為業(yè)務(wù)展現(xiàn)的終端，并不直接對(duì)企業(yè)應(yīng)用系統(tǒng)進(jìn)行訪問(wèn)連接。 、 總體方案描述 客戶專有平臺(tái)模式可通過(guò)適 配或虛擬桌面技術(shù)實(shí)現(xiàn)，為客戶提供獨(dú)享平臺(tái)集成及管理功能。 客戶專有平臺(tái)模式是指在客戶側(cè)部署客戶獨(dú)享的移動(dòng)辦公專有平臺(tái)，完成該客戶的移動(dòng)辦公用安全接入、無(wú)線通道加密及辦公系統(tǒng)到手機(jī)屏幕的翻譯適配工作。客戶專有平臺(tái)模式可通過(guò)虛擬技術(shù)和適配技術(shù)實(shí)現(xiàn)。適配技術(shù)需要對(duì)企業(yè)現(xiàn)有辦公系統(tǒng)進(jìn)行業(yè)務(wù)適配開(kāi)發(fā)，在客戶側(cè)建設(shè)移動(dòng)辦公客戶專有平臺(tái)（簡(jiǎn)稱移動(dòng)辦公平臺(tái)）， Android 和 Symbian 操作系統(tǒng)的手機(jī)可支持適配技術(shù)。虛擬桌面技術(shù)在手機(jī)上的呈現(xiàn)與客戶業(yè)務(wù)無(wú)關(guān)，適用各類復(fù)雜的業(yè)務(wù)系統(tǒng)，但對(duì)終端要求較高，目前在 iPhone 有較 好的體驗(yàn)。 、 方案適用范圍 客戶專有平臺(tái)模式是針對(duì)企業(yè)保密要求高、自身管理能力強(qiáng)、定制化要求內(nèi)容多、資金能力充足的大企業(yè)，專門針對(duì)移動(dòng)辦公在企業(yè)端建立一整套平臺(tái)管理系統(tǒng)，用戶管理、身份認(rèn)證、數(shù)據(jù)傳輸加密通道等平臺(tái)管理功能在企業(yè)端實(shí)現(xiàn)，無(wú)須通過(guò)聯(lián)通側(cè)的移動(dòng)辦公集中平臺(tái)進(jìn)行管理，實(shí)現(xiàn)其移動(dòng)辦公的功能。 XX 單 位移動(dòng)辦公系統(tǒng)解決方案 11 / 40 、 適配技術(shù)方式 、 適配技術(shù)方式方案要點(diǎn) 在客戶側(cè)建設(shè)移動(dòng)辦公平臺(tái)，移動(dòng)辦公平臺(tái)通過(guò)應(yīng)用集成接口與企業(yè)現(xiàn)有業(yè)務(wù)系統(tǒng)整合，實(shí)現(xiàn)企業(yè)應(yīng)用向移動(dòng)終端的延伸。 移動(dòng)辦公平臺(tái)完成用戶管理、日志管理、客戶端軟件更新管理、客戶 端數(shù)字證書(shū)管理等工作。 手機(jī)客戶端集成中國(guó)聯(lián)通的數(shù)字證書(shū)應(yīng)用，實(shí)現(xiàn)個(gè)人身份認(rèn)證、無(wú)線通道加密、核心流程簽名等功能。 、 適配技術(shù)方式產(chǎn)品總體功能架構(gòu) 客戶專有平臺(tái)適配技術(shù)模式移動(dòng)辦公系統(tǒng)主要包括兩大部分：企業(yè)側(cè)移動(dòng)辦公平臺(tái)和手機(jī)客戶端軟件。 、 移動(dòng)辦公平臺(tái)功能 應(yīng)用接入適配 XX 單 位移動(dòng)辦公系統(tǒng)解決方案 12 / 40 應(yīng)用接入適配模塊實(shí)現(xiàn)將復(fù)雜的 Web 頁(yè)面或應(yīng)用頁(yè)面，進(jìn)行智能的抓取、過(guò)濾、重排、優(yōu)化和內(nèi)容調(diào)整，以便用戶可以在移動(dòng)終端上進(jìn)行快速的瀏覽，并得到最佳的瀏覽效果。 應(yīng)用適配的功能是以 HTML語(yǔ)法分析為基礎(chǔ)的，其實(shí)現(xiàn)主要原理包括以下步驟 ： 1) 通過(guò)頁(yè)面分析得到 HTML 頁(yè)面中所有的數(shù)據(jù)元素，然后使用屏幕渲染技術(shù)就能模擬出原頁(yè)面顯示的效果來(lái)。 2) 通過(guò)對(duì)數(shù)據(jù)元素的比較和分析，可以得到數(shù)據(jù)元素與頁(yè)面顯示板塊之間的對(duì)應(yīng)關(guān)系。 3) 通過(guò)對(duì)多個(gè)頁(yè)面的數(shù)據(jù)元素進(jìn)行橫向比較和分析，可以進(jìn)一步分析出這個(gè)頁(yè)面的“模板”和“數(shù)據(jù)”。模板是指在構(gòu)造此頁(yè)面時(shí)相對(duì)不變化的部分，而數(shù)據(jù)則是頁(yè)面中的變化部分。例如，在一個(gè)天氣預(yù)報(bào)的網(wǎng)頁(yè)中，其框架結(jié)構(gòu)是模板，而陰晴雨雪等信息則是數(shù)據(jù)。 4) 通過(guò)輔助工具，可以為每個(gè)頁(yè)面書(shū)寫(xiě)一個(gè)對(duì)應(yīng)的剪裁腳本，將頁(yè)面中不需要的數(shù)據(jù)元素自動(dòng)剪裁掉，僅剩下關(guān)鍵的 數(shù)據(jù)元素。 5) 然后再通過(guò)一套 HTML 模板引擎，將得到的頁(yè)面數(shù)據(jù)元素按照需要重新排版和輸出。從而得到內(nèi)容簡(jiǎn)練、適合手機(jī)顯示和操作的頁(yè)面來(lái)。 在整個(gè)適配過(guò)程中，主要的技術(shù)思路是：通過(guò)人工智能和互動(dòng)輔助技術(shù)，讓開(kāi)發(fā)人員可以快速的分辨出關(guān)鍵信息的特征。并提供一種 HTML 數(shù)據(jù)元素的自動(dòng)識(shí)別和分揀機(jī)制，使這個(gè)分揀過(guò)程能自動(dòng)完成。 手機(jī)接入適配 1) 解析頁(yè)面：因手機(jī)終端硬件的限制，傳統(tǒng)的 HTML 頁(yè)面難以在手機(jī)終端本地進(jìn)行 HTML 語(yǔ)法分析、語(yǔ)法容錯(cuò)處理、頁(yè)面元素提取、 CSS 語(yǔ)法解析等操作。手機(jī)接入適配模塊幫助手機(jī)客戶端軟件，將一 些對(duì) CPU、內(nèi)存資源要求較高的操作和運(yùn)算，在服務(wù)器端進(jìn)行預(yù)分析操作，然后將處理好的頁(yè)面內(nèi)容發(fā)送到手機(jī)客戶端軟件端進(jìn)行本地的解析和展現(xiàn)。 2) 數(shù)據(jù)壓縮：數(shù)據(jù)在手機(jī)接入適配模塊發(fā)送給手機(jī)客戶端軟件前，會(huì)先進(jìn)行數(shù)據(jù)流的壓縮操作，客戶端軟件在手機(jī)終端接收到數(shù)據(jù)流后，也會(huì)進(jìn)行對(duì)應(yīng)的數(shù)據(jù)解壓動(dòng)作。 XX 單 位移動(dòng)辦公系統(tǒng)解決方案 13 / 40 3) 數(shù)據(jù)加解密：手機(jī)接入適配模塊的數(shù)據(jù)加解密操作主要和手機(jī)客戶端軟件的數(shù)據(jù)加解密操作對(duì)應(yīng)。支持高強(qiáng)度的加密算法（例如 DES、RSA），以便進(jìn)行安全的數(shù)據(jù)連接和傳送。 用戶管理 系統(tǒng)的管理級(jí)別分為企業(yè)管理員和用戶。 管理員：企業(yè)創(chuàng)建 和維護(hù)的一級(jí)管理帳號(hào)，對(duì)其企業(yè)的業(yè)務(wù)、用戶等進(jìn)行相關(guān)的管理，他可以再創(chuàng)建更低一級(jí)的帳號(hào)和分配權(quán)限； 用戶：即使用本企業(yè)平臺(tái)的用戶，由管理員創(chuàng)建和維護(hù)，可以進(jìn)行相關(guān)辦公操作、日志查詢等。 日志管理 用戶通過(guò)客戶端軟件訪問(wèn)業(yè)務(wù)過(guò)程中，系統(tǒng)會(huì)把用戶的訪問(wèn)日志信息記錄入庫(kù)，企業(yè)管理員可以查詢本公司各用戶的日志使用情況，包括導(dǎo)出和清除。 客戶端軟件更新管理 用戶在使用客戶端的過(guò)程中，系統(tǒng)自動(dòng)監(jiān)測(cè)原客戶端軟件的版本，若需要升級(jí)，則會(huì)通過(guò)客戶端上“升級(jí)通知”告知用戶，若用戶選擇升級(jí)，移動(dòng)辦公平臺(tái)會(huì)下推這個(gè)新版本的客 戶端軟件，下載完成后會(huì)自動(dòng)安裝和覆蓋原應(yīng)用程序，原應(yīng)用程序中已有的相關(guān)數(shù)據(jù)可以繼續(xù)使用。 客戶端數(shù)字證書(shū)管理 無(wú)論是企業(yè)管理員或是員工，都需要申請(qǐng)聯(lián)通的 CA 實(shí)名制數(shù)字證書(shū)，數(shù)字證書(shū)作為用戶唯一身份標(biāo)示，登錄平臺(tái)使用各項(xiàng)服務(wù)，并通過(guò)密碼保護(hù)數(shù)字證書(shū)的自身安全。并且使用聯(lián)通 CA 第三方權(quán)威電子認(rèn)證服務(wù)機(jī)構(gòu)作為安全保障，可作為合法有效的法律憑證，受國(guó)家《電子簽名法》的保護(hù)，具有法律效力。移動(dòng)辦公平臺(tái)負(fù)責(zé)接受客戶端軟件的數(shù)字證書(shū)更新申請(qǐng)，發(fā)放數(shù)字證書(shū)，以及客戶端數(shù)字證書(shū)的注銷等工作。 、 客戶端軟件功能 客戶端軟件通過(guò) HTTPS 的方式向移動(dòng)辦公平臺(tái)提交請(qǐng)求，再通過(guò)接入適配模塊請(qǐng)求目標(biāo)服務(wù)器，獲取頁(yè)面信息后，應(yīng)用服務(wù)器會(huì)根據(jù)客戶端的具體配置（包括移動(dòng)終端屏幕大小，手機(jī)色彩度，終端應(yīng)用配置等）進(jìn)行相應(yīng)的數(shù)據(jù)解析、轉(zhuǎn)換和壓縮后再傳回給客戶端，最后由客戶端負(fù)責(zé)頁(yè)面內(nèi)容的顯示以及提XX 單 位移動(dòng)辦公系統(tǒng)解決方案 14 / 40 供人機(jī)交互。 頁(yè)面展現(xiàn) 可支持 、 、 頁(yè)面語(yǔ)法在手機(jī)終端的快速展現(xiàn)，針對(duì)使用觸摸屏的手機(jī)，支持通過(guò)觸摸筆的方式直接操作和點(diǎn)擊屏幕上的相應(yīng)頁(yè)面元素和控件。 基于數(shù)字證書(shū)的身份認(rèn)證 客戶端軟件可支持軟證書(shū)、ｅ盾卡、安全 SIM 卡身份認(rèn)證方式，并可以通過(guò)手機(jī)申請(qǐng)、更新、吊銷數(shù)字證書(shū)，在線進(jìn)行設(shè)備解鎖。 數(shù)據(jù)加解密 定制瀏覽器可嵌入不同的加解密算法，并根據(jù)數(shù)據(jù)的重要性，提供相應(yīng)的密鑰強(qiáng)度。例如，針對(duì)用戶登陸密碼使用非對(duì)稱密鑰 RSA 算法進(jìn)行加密。 數(shù)據(jù)解壓 將數(shù)據(jù)壓縮后在網(wǎng)絡(luò)傳送，不僅能夠大大加快應(yīng)用的訪問(wèn)效率，還能降低網(wǎng)絡(luò)數(shù)據(jù)流量，為用戶節(jié)省使用費(fèi)用。定制瀏覽器擁有適用于手機(jī)終端的輕量級(jí)解壓技術(shù)，可將服務(wù)器發(fā)送的經(jīng)壓縮后數(shù)據(jù)流在本地進(jìn)行高速的解壓。 、 安全機(jī)制 這兩種模式都需要各種安全機(jī)制來(lái)保 證業(yè)務(wù)使用的安全性，包括系統(tǒng)安全、網(wǎng)絡(luò)及接入安全、應(yīng)用安全、終端安全等，描述如下： 、 系統(tǒng)安全 平臺(tái)通過(guò)系統(tǒng)漏洞掃描、系統(tǒng)加固、系統(tǒng)防病毒、多級(jí)訪問(wèn)權(quán)限控制、安全審計(jì)等保證系統(tǒng)安全可靠。 、 網(wǎng)絡(luò)及接入安全 通過(guò)邊界防火墻、 VPN 網(wǎng)關(guān)、 IPS、網(wǎng)絡(luò)防病毒等安全手段的有效組合，保證網(wǎng)絡(luò)層的安全。 PC 用戶通過(guò)數(shù)字證書(shū)和 VPN 網(wǎng)關(guān)接入系統(tǒng)平臺(tái)，保證了用戶接入的安全性和傳輸通道的加 密，移動(dòng)終端用戶可通過(guò)專有 APN 方式接入移動(dòng)網(wǎng)絡(luò)， 保證除了用戶接入網(wǎng)絡(luò)的安全性。 XX 單 位移動(dòng)辦公系統(tǒng)解決方案 15 / 40 、 應(yīng)用安全 1. 多因素身份認(rèn)證 無(wú)論是平臺(tái)管理員或是企業(yè)員工，都 需要申請(qǐng)聯(lián)通的 CA 實(shí)名制數(shù)字證書(shū)，數(shù)字證書(shū)做為用戶唯一身份標(biāo)示，登錄平臺(tái)使用各項(xiàng)服務(wù)，并通過(guò)密碼保護(hù)數(shù)字證書(shū)的自身安全。并且使用聯(lián)通 CA 第三方權(quán)威電子認(rèn)證服務(wù)機(jī)構(gòu)作為安全保障，可作為合法有效的法律憑證，受國(guó)家《電子簽名法》的保護(hù)，具有法律效力。 并可結(jié)合數(shù)字證書(shū)、手機(jī)號(hào)和手機(jī)設(shè)備的三重綁定，保證更高級(jí)別的認(rèn)證安全。即使有人獲得正確的數(shù)字證書(shū)并知道證書(shū)保護(hù)密碼，還必須使用特定的唯一一個(gè)手機(jī)號(hào)和唯一一個(gè)手機(jī)才能登錄。 2. 數(shù)據(jù)安全傳輸 在平臺(tái)與移動(dòng)終端客戶端之間，用戶可選擇基于數(shù)字證書(shū)的 SSL 通道加密或 256 位 AES 數(shù)據(jù)傳輸加密，保證了數(shù)據(jù)傳輸安全。 3. 硬件加密 終端系統(tǒng)還提供了基于 PKI 體系的 e 盾 卡 （安全 SD 卡）和安全 SIM 卡 的加密方式， 卡內(nèi)存有用戶密鑰，并且密鑰無(wú)法導(dǎo)出， 系統(tǒng)傳輸?shù)拿恳粭l數(shù)據(jù)都要經(jīng)過(guò) 硬件卡 的加密處理， 保證了高強(qiáng)度的數(shù)據(jù)加密， 硬件加密在加密效率和安全級(jí)別上都要比軟件加密更高一籌。 4. 統(tǒng)一認(rèn)證、單點(diǎn)登錄 不同用戶登錄平臺(tái)，使用平臺(tái)提供的各種業(yè)務(wù)，用戶數(shù)字證書(shū)作為身份唯一標(biāo)識(shí)，用戶只需要一次登錄，即可使用授權(quán)的各種業(yè)務(wù)服務(wù)，實(shí)現(xiàn)統(tǒng)一認(rèn)證和單點(diǎn)登錄。 5. 分級(jí)權(quán)限管理 新增、刪除、編輯用戶信息，用戶的權(quán)限分配 。 、 終端安全 可實(shí)現(xiàn)丟失手機(jī)信息保護(hù)。當(dāng)用戶丟失手機(jī)或手機(jī)使用權(quán)發(fā)生更變的時(shí)候，綜合辦公業(yè)務(wù)平臺(tái)可發(fā)出遠(yuǎn)程信息，清空用戶手機(jī)中移動(dòng)辦公業(yè)務(wù)相關(guān)的所有資料。當(dāng)用戶丟失手機(jī)或手機(jī)使用權(quán)發(fā)生更變的時(shí)候，移動(dòng)辦公業(yè)務(wù)平臺(tái)在系統(tǒng)中將丟失手機(jī)列入黑名單，系統(tǒng)鎖定用戶所有的數(shù)據(jù)，并阻止用戶登錄。保XX 單 位移動(dòng)辦公系統(tǒng)解決方案 16 / 40 證用戶的機(jī)密信息不會(huì)泄漏。 、 筆記本 及普通電腦 移動(dòng)辦公方案 、 需求分析 XX 單位已經(jīng)有電子化辦公系統(tǒng)， 部分 有筆記本辦公 條件 的員工 ， 并且經(jīng)常會(huì)有外出移動(dòng)辦公的需求， 需要通過(guò)一些技術(shù)手段實(shí)現(xiàn)移動(dòng)辦公 ；而部分沒(méi)有筆記本辦公條件的員工，例 如在家中、賓館或其他無(wú)內(nèi)網(wǎng)接入的辦公場(chǎng)所，只要可以接入互聯(lián)網(wǎng)，就可以使用普通電腦進(jìn)行移動(dòng)辦公。 、 總體方案描述 筆記本電腦移動(dòng)辦公 總體方案描述 ： 移動(dòng)辦公用戶使用筆記本（結(jié)合 3G上網(wǎng)卡）或 3G上網(wǎng)本做為移動(dòng)辦公設(shè)備，通過(guò) WCDMA或 WLAN接入互聯(lián)網(wǎng)，并將 e盾卡做為身份認(rèn)證終端，認(rèn)證通過(guò)后接入客戶內(nèi)網(wǎng)，訪問(wèn)內(nèi)網(wǎng)的各種辦公系統(tǒng) ，實(shí)現(xiàn)與企業(yè)內(nèi)網(wǎng)相同的移動(dòng)辦公體驗(yàn) , 并可以保證身份認(rèn)證和信息傳輸?shù)陌踩煽?。根據(jù)不同的用戶規(guī)模和需求特點(diǎn)，筆記本移動(dòng)辦公方案可分為硬件網(wǎng)關(guān)模式和軟件模式。 筆記本移動(dòng)辦公主要應(yīng)用在無(wú)線網(wǎng) 絡(luò)（ 3G（ WCDMA）、 GPRS、 WLAN）覆蓋的餐廳、咖啡廳、機(jī)場(chǎng)、車站等場(chǎng)所，為政府、電力、金融等集團(tuán)行業(yè)客戶、大型企事業(yè)單位、中小型企業(yè)移動(dòng)辦公人員提供移動(dòng)辦公應(yīng)用。 普通臺(tái)式電腦移動(dòng)辦公總體方案描述 移動(dòng)辦公用戶使用普通電腦做為辦公設(shè)備，通過(guò) ADSL/LAN等有線方式上網(wǎng)，并將 iPASS做為身份認(rèn)證終端，認(rèn)證通過(guò)后接入客戶內(nèi)網(wǎng)，訪問(wèn)內(nèi)網(wǎng)的各種辦公系統(tǒng)， 實(shí)現(xiàn)與企業(yè)內(nèi)網(wǎng)相同的移動(dòng)辦公體驗(yàn)，并可以保證身份認(rèn)證和信息傳輸?shù)陌踩煽?。根據(jù)不同的用戶規(guī)模和需求特點(diǎn)，普通電腦移動(dòng)辦公可分為硬件網(wǎng)關(guān)模式和軟件模式。 XX 單 位移動(dòng)辦公系統(tǒng)解決方案 17 / 40 、 硬件網(wǎng)關(guān)模式 筆記本電腦移動(dòng)辦公 硬件網(wǎng)管模式： 在企業(yè)側(cè)部署硬件 SSL VPN 網(wǎng)關(guān)，移動(dòng)辦公用戶采用筆記本或 3G 上網(wǎng)本做為辦公設(shè)備，通過(guò) 3G 上網(wǎng)卡、 3G 上網(wǎng)本或 WLAN 方式接入互聯(lián)網(wǎng)，并通過(guò) e 盾卡認(rèn)證后接入企業(yè)內(nèi)網(wǎng)，即可使用內(nèi)網(wǎng)的各種辦公系統(tǒng)，如企業(yè) OA、 ERP、 CRM、企業(yè)郵箱等。 普通臺(tái)式電腦移動(dòng)辦公 硬件網(wǎng)管模式： 在企業(yè)側(cè)部署硬件 SSL VPN 網(wǎng)關(guān)，移動(dòng)辦公用戶采用普通電腦做為辦公設(shè)備，通過(guò) ADSL/LAN 等有線方式上網(wǎng)，并通過(guò) iPASS 認(rèn)證后接入企業(yè)內(nèi)網(wǎng)，即可使用內(nèi)網(wǎng)的各種辦公系統(tǒng)，如企業(yè) OA、 ERP、 CRM、企業(yè)郵箱等。 產(chǎn)品組成 具體描述 SSL VPN設(shè)備 同上（筆記本電腦模式表格） 聯(lián)通 CA數(shù)字證書(shū) 同上