【文章內(nèi)容簡介】 SSL 證書建立到移動辦公平臺的安全通道，確保數(shù)據(jù)在傳輸過程中的完整性和安全性。 第四層 :是網(wǎng)絡(luò)安全隔離層，實 現(xiàn)通過防火墻及路由器，實現(xiàn) X 局內(nèi) 網(wǎng)和移動接入網(wǎng)的隔離、數(shù)據(jù)傳遞和轉(zhuǎn)發(fā)。 第五層 :放在 X 局內(nèi)部系統(tǒng)的 前置服務(wù)器以及通用 WebService 服務(wù) ， 該前置服務(wù)是前端應(yīng)用與后端 內(nèi) 網(wǎng)及各類應(yīng)用的中間橋梁。 第六層 :是業(yè)務(wù)應(yīng)用支撐平臺，它是面向應(yīng)用程序的，包括 內(nèi)部 網(wǎng)、 內(nèi)部 各業(yè)務(wù)應(yīng)用系統(tǒng)等。 、 手機移動辦公方案 當用戶在非固定場所，如機場、火車、輪船上、行走中，或突發(fā)情況下，如新聞采訪第一現(xiàn)場、執(zhí)法現(xiàn)場、貨物配送現(xiàn)場等，不方便用筆記本電腦的地XX 單 位移動辦公系統(tǒng)解決方案 10 / 40 方，可通過手機終端，在有 GPRS、 3G（ WCDMA）等移動網(wǎng)絡(luò)覆蓋的情況下進行移 動辦公操作，這種方式方便快捷、應(yīng)用簡單，并通過內(nèi)置在手機上的數(shù)字證書、 e 盾卡（安全 SD 卡）或安全 SIM 卡保證移動辦公的安全可靠。 ? 技術(shù)描述 手機移動辦公可通過兩種技術(shù)實現(xiàn)：一種是企業(yè)適配方式，即根據(jù)客戶的定制化需求和企業(yè)的業(yè)務(wù)應(yīng)用系統(tǒng)進行接口開發(fā)，手機終端直接訪問企業(yè)應(yīng)用系統(tǒng)，通過適配技術(shù)將訪問結(jié)果直接完整的展現(xiàn)在手機終端；另一種是遠程虛擬桌面方式，即采用云計算技術(shù)原理，通過虛擬服務(wù)器訪問企業(yè)的業(yè)務(wù)系統(tǒng)，手機終端作為業(yè)務(wù)展現(xiàn)的終端，并不直接對企業(yè)應(yīng)用系統(tǒng)進行訪問連接。 、 總體方案描述 客戶專有平臺模式可通過適 配或虛擬桌面技術(shù)實現(xiàn)，為客戶提供獨享平臺集成及管理功能。 客戶專有平臺模式是指在客戶側(cè)部署客戶獨享的移動辦公專有平臺，完成該客戶的移動辦公用安全接入、無線通道加密及辦公系統(tǒng)到手機屏幕的翻譯適配工作?？蛻魧Ｓ衅脚_模式可通過虛擬技術(shù)和適配技術(shù)實現(xiàn)。適配技術(shù)需要對企業(yè)現(xiàn)有辦公系統(tǒng)進行業(yè)務(wù)適配開發(fā)，在客戶側(cè)建設(shè)移動辦公客戶專有平臺（簡稱移動辦公平臺）， Android 和 Symbian 操作系統(tǒng)的手機可支持適配技術(shù)。虛擬桌面技術(shù)在手機上的呈現(xiàn)與客戶業(yè)務(wù)無關(guān)，適用各類復(fù)雜的業(yè)務(wù)系統(tǒng)，但對終端要求較高，目前在 iPhone 有較 好的體驗。 、 方案適用范圍 客戶專有平臺模式是針對企業(yè)保密要求高、自身管理能力強、定制化要求內(nèi)容多、資金能力充足的大企業(yè)，專門針對移動辦公在企業(yè)端建立一整套平臺管理系統(tǒng)，用戶管理、身份認證、數(shù)據(jù)傳輸加密通道等平臺管理功能在企業(yè)端實現(xiàn)，無須通過聯(lián)通側(cè)的移動辦公集中平臺進行管理，實現(xiàn)其移動辦公的功能。 XX 單 位移動辦公系統(tǒng)解決方案 11 / 40 、 適配技術(shù)方式 、 適配技術(shù)方式方案要點 在客戶側(cè)建設(shè)移動辦公平臺，移動辦公平臺通過應(yīng)用集成接口與企業(yè)現(xiàn)有業(yè)務(wù)系統(tǒng)整合，實現(xiàn)企業(yè)應(yīng)用向移動終端的延伸。 移動辦公平臺完成用戶管理、日志管理、客戶端軟件更新管理、客戶 端數(shù)字證書管理等工作。 手機客戶端集成中國聯(lián)通的數(shù)字證書應(yīng)用，實現(xiàn)個人身份認證、無線通道加密、核心流程簽名等功能。 、 適配技術(shù)方式產(chǎn)品總體功能架構(gòu) 客戶專有平臺適配技術(shù)模式移動辦公系統(tǒng)主要包括兩大部分：企業(yè)側(cè)移動辦公平臺和手機客戶端軟件。 、 移動辦公平臺功能 應(yīng)用接入適配 XX 單 位移動辦公系統(tǒng)解決方案 12 / 40 應(yīng)用接入適配模塊實現(xiàn)將復(fù)雜的 Web 頁面或應(yīng)用頁面，進行智能的抓取、過濾、重排、優(yōu)化和內(nèi)容調(diào)整，以便用戶可以在移動終端上進行快速的瀏覽，并得到最佳的瀏覽效果。 應(yīng)用適配的功能是以 HTML語法分析為基礎(chǔ)的，其實現(xiàn)主要原理包括以下步驟 ： 1) 通過頁面分析得到 HTML 頁面中所有的數(shù)據(jù)元素，然后使用屏幕渲染技術(shù)就能模擬出原頁面顯示的效果來。 2) 通過對數(shù)據(jù)元素的比較和分析，可以得到數(shù)據(jù)元素與頁面顯示板塊之間的對應(yīng)關(guān)系。 3) 通過對多個頁面的數(shù)據(jù)元素進行橫向比較和分析，可以進一步分析出這個頁面的“模板”和“數(shù)據(jù)”。模板是指在構(gòu)造此頁面時相對不變化的部分，而數(shù)據(jù)則是頁面中的變化部分。例如，在一個天氣預(yù)報的網(wǎng)頁中，其框架結(jié)構(gòu)是模板，而陰晴雨雪等信息則是數(shù)據(jù)。 4) 通過輔助工具，可以為每個頁面書寫一個對應(yīng)的剪裁腳本，將頁面中不需要的數(shù)據(jù)元素自動剪裁掉，僅剩下關(guān)鍵的 數(shù)據(jù)元素。 5) 然后再通過一套 HTML 模板引擎，將得到的頁面數(shù)據(jù)元素按照需要重新排版和輸出。從而得到內(nèi)容簡練、適合手機顯示和操作的頁面來。 在整個適配過程中，主要的技術(shù)思路是：通過人工智能和互動輔助技術(shù)，讓開發(fā)人員可以快速的分辨出關(guān)鍵信息的特征。并提供一種 HTML 數(shù)據(jù)元素的自動識別和分揀機制，使這個分揀過程能自動完成。 手機接入適配 1) 解析頁面：因手機終端硬件的限制，傳統(tǒng)的 HTML 頁面難以在手機終端本地進行 HTML 語法分析、語法容錯處理、頁面元素提取、 CSS 語法解析等操作。手機接入適配模塊幫助手機客戶端軟件，將一 些對 CPU、內(nèi)存資源要求較高的操作和運算，在服務(wù)器端進行預(yù)分析操作，然后將處理好的頁面內(nèi)容發(fā)送到手機客戶端軟件端進行本地的解析和展現(xiàn)。 2) 數(shù)據(jù)壓縮：數(shù)據(jù)在手機接入適配模塊發(fā)送給手機客戶端軟件前，會先進行數(shù)據(jù)流的壓縮操作，客戶端軟件在手機終端接收到數(shù)據(jù)流后，也會進行對應(yīng)的數(shù)據(jù)解壓動作。 XX 單 位移動辦公系統(tǒng)解決方案 13 / 40 3) 數(shù)據(jù)加解密：手機接入適配模塊的數(shù)據(jù)加解密操作主要和手機客戶端軟件的數(shù)據(jù)加解密操作對應(yīng)。支持高強度的加密算法（例如 DES、RSA），以便進行安全的數(shù)據(jù)連接和傳送。 用戶管理 系統(tǒng)的管理級別分為企業(yè)管理員和用戶。 管理員：企業(yè)創(chuàng)建 和維護的一級管理帳號，對其企業(yè)的業(yè)務(wù)、用戶等進行相關(guān)的管理，他可以再創(chuàng)建更低一級的帳號和分配權(quán)限； 用戶：即使用本企業(yè)平臺的用戶，由管理員創(chuàng)建和維護，可以進行相關(guān)辦公操作、日志查詢等。 日志管理 用戶通過客戶端軟件訪問業(yè)務(wù)過程中，系統(tǒng)會把用戶的訪問日志信息記錄入庫，企業(yè)管理員可以查詢本公司各用戶的日志使用情況，包括導(dǎo)出和清除。 客戶端軟件更新管理 用戶在使用客戶端的過程中，系統(tǒng)自動監(jiān)測原客戶端軟件的版本，若需要升級，則會通過客戶端上“升級通知”告知用戶，若用戶選擇升級，移動辦公平臺會下推這個新版本的客 戶端軟件，下載完成后會自動安裝和覆蓋原應(yīng)用程序，原應(yīng)用程序中已有的相關(guān)數(shù)據(jù)可以繼續(xù)使用。 客戶端數(shù)字證書管理 無論是企業(yè)管理員或是員工，都需要申請聯(lián)通的 CA 實名制數(shù)字證書，數(shù)字證書作為用戶唯一身份標示，登錄平臺使用各項服務(wù)，并通過密碼保護數(shù)字證書的自身安全。并且使用聯(lián)通 CA 第三方權(quán)威電子認證服務(wù)機構(gòu)作為安全保障，可作為合法有效的法律憑證，受國家《電子簽名法》的保護，具有法律效力。移動辦公平臺負責接受客戶端軟件的數(shù)字證書更新申請，發(fā)放數(shù)字證書，以及客戶端數(shù)字證書的注銷等工作。 、 客戶端軟件功能 客戶端軟件通過 HTTPS 的方式向移動辦公平臺提交請求，再通過接入適配模塊請求目標服務(wù)器，獲取頁面信息后，應(yīng)用服務(wù)器會根據(jù)客戶端的具體配置（包括移動終端屏幕大小，手機色彩度，終端應(yīng)用配置等）進行相應(yīng)的數(shù)據(jù)解析、轉(zhuǎn)換和壓縮后再傳回給客戶端，最后由客戶端負責頁面內(nèi)容的顯示以及提XX 單 位移動辦公系統(tǒng)解決方案 14 / 40 供人機交互。 頁面展現(xiàn) 可支持 、 、 頁面語法在手機終端的快速展現(xiàn)，針對使用觸摸屏的手機，支持通過觸摸筆的方式直接操作和點擊屏幕上的相應(yīng)頁面元素和控件。 基于數(shù)字證書的身份認證 客戶端軟件可支持軟證書、ｅ盾卡、安全 SIM 卡身份認證方式，并可以通過手機申請、更新、吊銷數(shù)字證書，在線進行設(shè)備解鎖。 數(shù)據(jù)加解密 定制瀏覽器可嵌入不同的加解密算法，并根據(jù)數(shù)據(jù)的重要性，提供相應(yīng)的密鑰強度。例如，針對用戶登陸密碼使用非對稱密鑰 RSA 算法進行加密。 數(shù)據(jù)解壓 將數(shù)據(jù)壓縮后在網(wǎng)絡(luò)傳送，不僅能夠大大加快應(yīng)用的訪問效率，還能降低網(wǎng)絡(luò)數(shù)據(jù)流量，為用戶節(jié)省使用費用。定制瀏覽器擁有適用于手機終端的輕量級解壓技術(shù)，可將服務(wù)器發(fā)送的經(jīng)壓縮后數(shù)據(jù)流在本地進行高速的解壓。 、 安全機制 這兩種模式都需要各種安全機制來保 證業(yè)務(wù)使用的安全性，包括系統(tǒng)安全、網(wǎng)絡(luò)及接入安全、應(yīng)用安全、終端安全等，描述如下： 、 系統(tǒng)安全 平臺通過系統(tǒng)漏洞掃描、系統(tǒng)加固、系統(tǒng)防病毒、多級訪問權(quán)限控制、安全審計等保證系統(tǒng)安全可靠。 、 網(wǎng)絡(luò)及接入安全 通過邊界防火墻、 VPN 網(wǎng)關(guān)、 IPS、網(wǎng)絡(luò)防病毒等安全手段的有效組合，保證網(wǎng)絡(luò)層的安全。 PC 用戶通過數(shù)字證書和 VPN 網(wǎng)關(guān)接入系統(tǒng)平臺，保證了用戶接入的安全性和傳輸通道的加 密，移動終端用戶可通過專有 APN 方式接入移動網(wǎng)絡(luò)， 保證除了用戶接入網(wǎng)絡(luò)的安全性。 XX 單 位移動辦公系統(tǒng)解決方案 15 / 40 、 應(yīng)用安全 1. 多因素身份認證 無論是平臺管理員或是企業(yè)員工，都 需要申請聯(lián)通的 CA 實名制數(shù)字證書，數(shù)字證書做為用戶唯一身份標示，登錄平臺使用各項服務(wù)，并通過密碼保護數(shù)字證書的自身安全。并且使用聯(lián)通 CA 第三方權(quán)威電子認證服務(wù)機構(gòu)作為安全保障，可作為合法有效的法律憑證，受國家《電子簽名法》的保護，具有法律效力。 并可結(jié)合數(shù)字證書、手機號和手機設(shè)備的三重綁定，保證更高級別的認證安全。即使有人獲得正確的數(shù)字證書并知道證書保護密碼，還必須使用特定的唯一一個手機號和唯一一個手機才能登錄。 2. 數(shù)據(jù)安全傳輸 在平臺與移動終端客戶端之間，用戶可選擇基于數(shù)字證書的 SSL 通道加密或 256 位 AES 數(shù)據(jù)傳輸加密，保證了數(shù)據(jù)傳輸安全。 3. 硬件加密 終端系統(tǒng)還提供了基于 PKI 體系的 e 盾 卡 （安全 SD 卡）和安全 SIM 卡 的加密方式， 卡內(nèi)存有用戶密鑰，并且密鑰無法導(dǎo)出， 系統(tǒng)傳輸?shù)拿恳粭l數(shù)據(jù)都要經(jīng)過 硬件卡 的加密處理， 保證了高強度的數(shù)據(jù)加密， 硬件加密在加密效率和安全級別上都要比軟件加密更高一籌。 4. 統(tǒng)一認證、單點登錄 不同用戶登錄平臺，使用平臺提供的各種業(yè)務(wù)，用戶數(shù)字證書作為身份唯一標識，用戶只需要一次登錄，即可使用授權(quán)的各種業(yè)務(wù)服務(wù)，實現(xiàn)統(tǒng)一認證和單點登錄。 5. 分級權(quán)限管理 新增、刪除、編輯用戶信息，用戶的權(quán)限分配 。 、 終端安全 可實現(xiàn)丟失手機信息保護。當用戶丟失手機或手機使用權(quán)發(fā)生更變的時候，綜合辦公業(yè)務(wù)平臺可發(fā)出遠程信息，清空用戶手機中移動辦公業(yè)務(wù)相關(guān)的所有資料。當用戶丟失手機或手機使用權(quán)發(fā)生更變的時候，移動辦公業(yè)務(wù)平臺在系統(tǒng)中將丟失手機列入黑名單，系統(tǒng)鎖定用戶所有的數(shù)據(jù)，并阻止用戶登錄。保XX 單 位移動辦公系統(tǒng)解決方案 16 / 40 證用戶的機密信息不會泄漏。 、 筆記本 及普通電腦 移動辦公方案 、 需求分析 XX 單位已經(jīng)有電子化辦公系統(tǒng)， 部分 有筆記本辦公 條件 的員工 ， 并且經(jīng)常會有外出移動辦公的需求， 需要通過一些技術(shù)手段實現(xiàn)移動辦公 ；而部分沒有筆記本辦公條件的員工，例 如在家中、賓館或其他無內(nèi)網(wǎng)接入的辦公場所，只要可以接入互聯(lián)網(wǎng)，就可以使用普通電腦進行移動辦公。 、 總體方案描述 筆記本電腦移動辦公 總體方案描述 ： 移動辦公用戶使用筆記本（結(jié)合 3G上網(wǎng)卡）或 3G上網(wǎng)本做為移動辦公設(shè)備，通過 WCDMA或 WLAN接入互聯(lián)網(wǎng)，并將 e盾卡做為身份認證終端，認證通過后接入客戶內(nèi)網(wǎng)，訪問內(nèi)網(wǎng)的各種辦公系統(tǒng) ，實現(xiàn)與企業(yè)內(nèi)網(wǎng)相同的移動辦公體驗 , 并可以保證身份認證和信息傳輸?shù)陌踩煽?。根據(jù)不同的用戶規(guī)模和需求特點，筆記本移動辦公方案可分為硬件網(wǎng)關(guān)模式和軟件模式。 筆記本移動辦公主要應(yīng)用在無線網(wǎng) 絡(luò)（ 3G（ WCDMA）、 GPRS、 WLAN）覆蓋的餐廳、咖啡廳、機場、車站等場所，為政府、電力、金融等集團行業(yè)客戶、大型企事業(yè)單位、中小型企業(yè)移動辦公人員提供移動辦公應(yīng)用。 普通臺式電腦移動辦公總體方案描述 移動辦公用戶使用普通電腦做為辦公設(shè)備，通過 ADSL/LAN等有線方式上網(wǎng)，并將 iPASS做為身份認證終端，認證通過后接入客戶內(nèi)網(wǎng)，訪問內(nèi)網(wǎng)的各種辦公系統(tǒng)， 實現(xiàn)與企業(yè)內(nèi)網(wǎng)相同的移動辦公體驗，并可以保證身份認證和信息傳輸?shù)陌踩煽?。根據(jù)不同的用戶規(guī)模和需求特點，普通電腦移動辦公可分為硬件網(wǎng)關(guān)模式和軟件模式。 XX 單 位移動辦公系統(tǒng)解決方案 17 / 40 、 硬件網(wǎng)關(guān)模式 筆記本電腦移動辦公 硬件網(wǎng)管模式： 在企業(yè)側(cè)部署硬件 SSL VPN 網(wǎng)關(guān)，移動辦公用戶采用筆記本或 3G 上網(wǎng)本做為辦公設(shè)備，通過 3G 上網(wǎng)卡、 3G 上網(wǎng)本或 WLAN 方式接入互聯(lián)網(wǎng)，并通過 e 盾卡認證后接入企業(yè)內(nèi)網(wǎng)，即可使用內(nèi)網(wǎng)的各種辦公系統(tǒng)，如企業(yè) OA、 ERP、 CRM、企業(yè)郵箱等。 普通臺式電腦移動辦公 硬件網(wǎng)管模式： 在企業(yè)側(cè)部署硬件 SSL VPN 網(wǎng)關(guān)，移動辦公用戶采用普通電腦做為辦公設(shè)備，通過 ADSL/LAN 等有線方式上網(wǎng)，并通過 iPASS 認證后接入企業(yè)內(nèi)網(wǎng)，即可使用內(nèi)網(wǎng)的各種辦公系統(tǒng)，如企業(yè) OA、 ERP、 CRM、企業(yè)郵箱等。 產(chǎn)品組成 具體描述 SSL VPN設(shè)備 同上（筆記本電腦模式表格） 聯(lián)通 CA數(shù)字證書 同上