中国联通移动办公解决方案

中国联通移动办公 解决方案模版

中国联合网络通信集团公司

目 录

1

前言 ....................................................................................................................................... 3 1.1 1.2 1.3 1.4 2

编制说明 ....................................................................................................................... 3 适用范围 ....................................................................................................................... 3 市场背景 ....................................................................................................................... 3 缩略语........................................................................................................................... 4

需求分析 ............................................................................................................................... 5 2.1 2.2 2.3 2.4

现状描述 ....................................................................................................................... 5 功能需求 ....................................................................................................................... 6 技术需求 ....................................................................................................................... 7 管理需求 ....................................................................................................................... 8

3 4

关键技术 ............................................................................................................................... 8 总体技术方案 ....................................................................................................................... 9 4.1 4.2 4.3 4.4 4.5

方案目标 ....................................................................................................................... 9 方案原则 ..................................................................................................................... 10 总体方案描述 ............................................................................................................. 11 方案特点 ..................................................................................................................... 13 获得的收益 ................................................................................................................. 14

5 手机移动办公方案 ............................................................................................................. 15 5.1 5.2 5.3

模式一：集中平台+客户端模式 ............................................................................... 16 模式二：客户专有平台 ............................................................................................. 26 安全机制 ..................................................................................................................... 33

6 笔记本移动办公方案 ......................................................................................................... 34 6.1 6.2 6.3 6.4 6.5

需求分析 ..................................................................................................................... 34 总体方案描述 ............................................................................................................. 35 方案功能 ..................................................................................................................... 36 部署方式 ..................................................................................................................... 38 方案总结 ..................................................................................................................... 40

7 普通电脑移动办公方案 ..................................................................................................... 40 7.1 7.2 7.3 7.4 7.5

需求分析 ..................................................................................................................... 40 总体方案描述 ............................................................................................................. 41 方案功能 ..................................................................................................................... 42 部署方式 ..................................................................................................................... 44 方案总结 ..................................................................................................................... 45

2

1 前言

1.1 编制说明

本方案为中国联合网络通信集团公司移动办公总体方案模板，包括手机移动办公、笔记本移动办公、普通电脑移动办公三类方案。 1.2 适用范围

本方案模板适用于中国联通集团及各省、自治区、直辖市分公司。各省公司在开展移动办公业务时，可根据各地自身情况，依据本方案模板，给不同客户制定相应的解决方案。

中国联合网络通信集团公司拥有本方案模板的版权，任何厂家未经书面许可不得向第三方泄漏本方案的内容。 1.3 市场背景

世界范围内远程办公员工数量持续高速增长，仅就美国而言，到2008年这一数字已达到1.03亿人，占美国总体员工数的72%。而在中国，企业远程办公也正处于大规模启动期，已经应用远程办公的占21％，并且应用需求越来越明显。据计世资讯（CCW Research）发布的白皮书称，2009年中国移动信息化市场销售额达到253亿元人民币，与2008年相比增长速度达到31.1%。增长的动力主要来自于移动办公应用带来的高速发展。

随着全球经济一体化的发展，电子商务的应用正逐步广泛，各种事业单位用户远程办公的需求日益增长，用户发现自己很难构造和维护一个能满足不断增长需求的业务网络，而利用运营商无线通信网络的优势建设一个部署灵活简便、一次性投资较小、管理和维护成本低的无线网络恰恰能满足其需要。它使网络应用几乎可以无限延伸到地球的每个角落，从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。

移动办公系统已成为现代企业提高竞争力的重要方式，有助于提高工作效率、节省工作时间、降低网络投资且可以带来其他增值效益。使用移动办公系统，办公人员可以在不同办公区、户外、街道、乡村内自由移动，

3

当有网络访问需求时，随时随地处理事务，而不需回到座位，从而节省了办公时间，提高了办公效率；由于有移动网络终端在手，办公人员处理细节事务时，随时可以联网查询，降低了因凭记忆办事而出错的机会，提高了办事正确率；在会议室，更可以自由交换资料，并可方便联网查询信息，提高会议沟通效率。

企事业单位领导及相关人员日常工作具有经常外出的特点，使用传统的OA系统，很多紧急事务或公文都无法得到及时处理，从而导致整个工作的延迟。在市场竞争压力下，各个单位都开始深修内功，这就要求业务工作应该更加快速、积极的迅速开展。在这种环境要求下，信息化建设也必须适应这种变化，必须寻找突破口，进一步助力政府机构提升工作效率。移动办公作为传统内部办公系统的无线方面的扩展应用，可以与现有的办公系统无缝结合。使外出办公人员无论身处何地都如同在自己的办公室一样的高效率的工作。智能终端所拥有的多媒体功能，能够支持邮件收发、公文审批及个人事务处理等，能有效解决外出时办公难的问题。 1.4 缩略语 缩写词 GPRS HTTP HTTPS FTP SNMP MIB SOAP ERP SCM OA CRM IAGW-M NMA EC OP SI BMS

4

英文解析 General Packet Radio Service Hypertext Transfer Protocol Secure HTTP File Transfer Protocol Simple Network Management Protocol Management Information Base Simple Object Access Protocol Enterprise Resource Planning Supply Chain Management Office Automation Customer Relationship Management Industry Application Gateway Management Network Mobile Application Enterprise Customer Operator Portal Service Integrator Business Management System 中文解析 通用无线分组业务 超文本传输协议 加密的HTTP协议 文件传输协议 简单网管协议 管理信息库 简单对象访问协议 企业资源规划 供应链管理 办公自动化 客户资源管理 业务引擎管理模块 网络移动应用 集团客户 运营商门户 系统集成商 宽带业务管理系统

2 需求分析

现在，随着企业的发展，一些企业面临着员工分布广泛、分支机构和办事处众多的局面。企业需要寻求便捷、灵活和具有跨地域性的办公方案，无论员工身在何处，都能实现员工与员工之间，企业与业务伙伴和客户之间的相互交流和沟通.然而，要通过公网访问企业内部的核心信息资源，就面临着非法访问、信息窃取等越来越多的来自外部和内部的安全威胁，有必要实施适当的信息安全策略，在严格防止企业信息资源被非法窃取的同时，对合法的访问要提供方便。因此，在构建这些应用系统时，必须要保障关键应用在开放网络环境中的安全，同时还需尽量降低实施和维护成本。 2.1 现状描述

由于政府或企业领导及办公人员日常工作具有经常外出的特点，使用传统的OA系统，很多紧急事务或公文（日常办公）都无法得到及时处理，从而导致整个工作的延迟（如下图）。

政府、事业单位领导人员的日常工作移动性分析

10 %办公室内处理日常工作各种讨论及会议商务应酬思考与规划50%其他

企业管理、市场、销售人员等人群日常工作移动性分析

5

10 %办公室内日常工作市场及客户的拓展活动会议及讨论其他20P%

根据以上分析，单位领导及管理工作人员日常工作的流动性极大，大部分时间都在非办公环境下工作，而领导及管理人员的工作内容关系到单位工作是否能正常运行，因此如何解决非办公环境下的移动办公就显得至关重要。

? 业务比较繁忙，经常出差，希望在外地也可以很方便地登录内部办

公系统，及时呈报问题，调取资料，总结合作；

? 管理人员外联事务繁多，随时需要查看、调用、审批内部的资料文

档，对公司事务进行管理，需要一种在任何场合、任何地点都能登录内部办公系统的信息化产品；

? 快节奏的社会，免不了有一些突发和意外情况的发生，需要有一套

系统，可以不受客观条件制约，能在事件发生的最短事件内，将事情上报、传达给内部的相关人员；相关人员和领导层能不受客观情况限制，快速及时对反映情况作出指示和决定。

2.2 功能需求

移动办公系统将是现有OA系统的一个扩展，使各级用户可以通过公网使用目前OA系统中的大部分核心功能，从而进一步提高办公效率、提升核心竞争力。

6

2.2.1 移动OA需求

? 用户身份验证：移动办公与现有OA系统的用户统一。手机办公通

过用户帐号（或者手机号）建立起和原OA系统用户的一一映射关系，保证同一用户从不同渠道登入OA系统时身份的一致性；实现与OA系统的统一登录，手机办公系统的密码保持与OA系统中的密码一致。

? 公文处理：允许拥有公文审批权限的用户使用手机对公文明细进行

查看和处理，包括表单、正文和附件。管理层用户可以对公文进行审批，手机办公系统应该具有明确的界面让用户输入审批意见，决定公文流转的路径，另外还可提供个人签名、公文退签等功能。 ? 通知公告：提供浏览和查看内部通知消息的功能。

? 集成通信录：可以以某种查询条件（如以员工的姓名，员工的手机

号、座机号，电子邮件地址等）进行查询，并能够直接拨打电话或发短信。

? 移动邮件：邮件服务是最通用、直接、简单易用的办公需求，并且

需要将此应用延伸到手机终端上，通过手机终端将更方便、更快速。 ? 管理和配臵功能。包括客户端和服务器端。用户可在客户端对自己

的密码以及客户端的运行参数进行设臵。系统管理员能在服务器端对用户和权限进行管理，对日志进行查看、管理和统计。

2.2.2 其他应用需求

另外，一些企业用户还需要通过手机终端实现收发传真、销售产品等更多的电子商务服务，也可实现在手机终端上的应用。 2.3 技术需求

移动办公系统需要遵循的技术需求如下：

? 使用高容错的系统架构，保证系统的高可靠性和好的故障恢复能

力，出现意外时，应能隔离故障区、保护重要数据、通知管理人员做人工干预，避免灾难性后果发生。

7

? 系统采用开放和标准的系统架构，保证系统的可维护性，确保应用

系统的软件可读、可修改、可测试性。

? 由于企业办公业务数据都保存在平台上，因此对系统和终端安全性

有更高的要求，需要保证用户身份认证、网络接入、传输保密性等方面的安全。

? 终端系统将充分考虑应用实用性，真正为工作带来便利。 2.4 管理需求

根据我们的实施经验，通常移动办公系统需要实现的系统管理需求如下：

? 实现移动办公业务方便的开通； ? 实现移动办公业务使用的操作日志管理； ? 实现移动办公系统的使用统计； ? 实现移动办公系统的实时监控；

?

实现移动办公客户端程序的自动更新和升级。

3 关键技术

? 联通 CA：联通CA是工信部认可的权威的、可信赖的、公正的第

三方认证机构，专门负责签发并管理网络上实体所需的数字证书。

? 办公数字证书：是联通CA为企业移动办公员工签发的包含员工

实名身份信息的电子文件。

? 证书受理点：经联通授权，为企业客户提供的证书受理机构，负

责受理本企业员工办公数字证书。

? iPASS：内臵国密局审核的专用加密芯片、用户公私钥对、联通

CA数字证书的USBKey用户使用终端，适用于任何可以上网的电脑。

? E盾卡（安全SD卡）：内臵国密局审核的专用加密芯片、用户公

私钥对、联通CA数字证书的TF（Micro SD）卡。

? 安全SIM卡：内臵国密局审核的专用加密芯片、用户公私钥对、

联通CA数字证书的USIM卡。

? SSL协议： SSL是Secure Socket Layer的缩写，即安全套接层

协议。是由网景（Netscape）公司推出的一种安全通信协议，它能够对个人信息提供较强的保护。

8

? WCDMA网络：是新一代中国联通的3G网络，数据上下行速率分

别是5.76Mbps／14.4 Mbps，在国内三大运营商中，是带宽最高、应用性能最稳定，技术最为成熟的3G网络。

4 总体技术方案

4.1 方案目标

4.1.1 创造全新的办公环境

移动办公首先打破了企业办公的物理疆界，工作人员再也不受限于办公位臵，使得用户成为有线专网和无线专网上的一个虚拟的实体。办公环境整体复制于不同的时间与地点，实现办公环境随身携带，无论同城或异地，都能拥有在办公室工作的同等效率，实现办公环境的无差异化。 4.1.2 提高企业的办公效率

移动办公系统，针对企业领导及相关人员工作的移动性、突发性、紧急性等特点，出差及外出办公的领导能够实时与企业的数据中心交换信息；实现外出领导随时掌控日程安排，并能随时处理紧急公文和会议结果批复，实现高水平的OA自动化建设，提高日常工作效率。 4.1.3 打造协同办公环境

移动办公产品基于信息化建设的概念，为企事业单位打造信息化办公环境。在信息化办公的环境中，打造协同办公环境，使单位各级职员都处于一个协同办公平台中，各司其职，协同处理应急事件、突发事件、重大事件，保证单位领导及决策层对工作的宏观监控，并有效提高协同办公的工作执行力，打造团队整体协同作业环境。 4.1.4 提高客户服务水平

内部便捷的通信，移动的办公方式，畅通的信息网络，都将极大地提高企事业单位的办公效率。工作效率的提高，方便企业自身客户，整体提

9

高企业对客户的服务水平。 4.2 方案原则

在遵循各种技术规范的前提下，充分考虑IT现状和未来发展趋势，我们的方案将基于以下设计原则： 4.2.1 使用的方便性

采用集中统一的移动办公平台，企业无须进行任何软硬件的建设，业务开通后，企业员工即可通过手机等移动终端不受限制的方便的访问移动办公平台，实现移动办公应用。 4.2.2 可扩展性

优良的体系结构设计对于系统是否能够适应将来新业务的发展至关重要。在满足现有手机办公需求基础上，还必须考虑到系统应当有充分的可扩展性，以满足手机办公未来的业务发展。因此，在本方案设计中，所有推荐的产品均考虑到应用逐步丰富、系统不断扩展的要求，以形成一个易于管理、可持续发展的体系结构。同时将应用系统进行完全模块化的设计，使系统具有良好的扩展性和高效性。 4.2.3 先进性

设计方案中采用市场领先并成熟的技术，使项目具备国内同业领先的地位。 4.2.4 安全性

采用PKI/CA安全技术、SSL VPN技术，以及基于USBKey、e盾卡和安全SIM卡硬件加密技术，防范国际互连网上的非法用户的侵入，防止合法用户对重要的不宜公开的数据的侵入。重要数据的通讯采用SSL（Secure Socket Layer）进行传输加密。保证应用中的数据安全，保证应用中的数

10

据不被非法篡改，确保非法用户不能随意闯入本应用系统中。在安全等级、交叉验证、网络安全等各个环节应采取有力的安全保证措施。 4.2.5 标准性和开放性

本方案中建议的产品，从网络协议到操作系统，全部遵循通用的国际或行业标准。开放的系统平台便于将来增加新的功能及与第三方的接口。 4.2.6 易维护

一般的企事业单位没有非常专业的IT技术人员，因此在使用的维护上需要简单易用，易维护。 4.2.7 投资少、见效快

考虑到投资成本，需要尽量采用投资少，建设周期短、见效快的方案，这样才能吸引用户使用。 4.3 总体方案描述

PC用户笔记本用户e盾卡e盾卡3G上网卡用户3G上网本用户手机用户安全SIM卡签发证书ADSL/LAN无线AP手机移动办公集中平台InternetWCDMA/GPRS中国联通电子认证机构签发证书可采用软件VPN方式企业内部办公网SSL VPN安全接入网关数据库服务器办公OA新闻采编系统手机移动办公适配服务器 移动办公整体结构示意图

11

根据不同工作条件、网络环境、办公终端情况，分为三种应用场景，为客户提供三种解决方案，以满足不同的工作需求：

移动办公业务是指在任何时间，任何地点，采用任意接入方式，都可以安全地远程访问企业内部任意应用系统。中国联通的移动办公业务包括手机移动办公、笔记本移动办公（含上网本和上网卡）、普通电脑移动办公三种解决方案，并通过与其电子认证（CA）体系紧密结合的技术和运营资质优势，为客户提供一整套适合于不同办公场景、不同行业应用的移动办公整体解决方案。 4.3.1 手机移动办公

当用户在非固定场所，如机场、火车、轮船上、行走中，或突发情况下，如新闻采访第一现场、执法现场、货物配送现场等，不方便用笔记本电脑的地方，可通过手机终端，在有GPRS、3G（WCDMA）等移动网络覆盖的情况下进行移动办公操作，这种方式方便快捷、应用简单，并通过内臵在手机上的数字证书、e盾卡（安全SD卡）或安全SIM卡保证移动办公的安全可靠。

根据客户需求特点，手机移动办公实现模式可分为两种：1.集中平台+客户端模式 2.客户专有平台模式。

集中平台+客户端模式下，联通部署移动办公集中平台，实现对移动办公用户应用的管理和接入控制。客户侧部署适配服务器，实现加密专用通道接入及客户应用系统在手机终端上的业务适配、阅读翻译等功能；客户专有平台模式下，在客户侧部署客户独享的移动办公专有平台，实现用户应用的管理、接入控制、无线通道加密及办公系统到手机屏幕的业务适配和翻译等功能。

12

4.3.2 笔记本移动办公

移动办公用户使用笔记本（结合3G上网卡）或3G上网本做为移动办公设备，通过WCDMA或WLAN接入互联网，并将e盾卡做为身份认证终端，认证通过后接入客户内网，访问内网的各种办公系统。根据不同的用户规模和需求特点，笔记本移动办公方案可分为硬件网关模式和软件模式。 4.3.3 普通电脑移动办公

移动办公用户使用普通电脑做为办公设备，通过ADSL/LAN等有线方式上网，并将iPASS做为身份认证终端，认证通过后接入客户内网，访问内网的各种办公系统。根据不同的用户规模和需求特点，普通电脑移动办公可分为硬件网关模式和软件模式。 4.4 方案特点 4.4.1 高速稳定

基于中国联通 WCDMA的3G网络，数据上下行速率分别是5.76Mbps／14.4 Mbps，在国内三大运营商中，是带宽最高、应用性能最稳定，技术最为成熟的3G网络。并采用数据缓存和数据压缩技术,节约手机端传输带宽，提高传输速率。 4.4.2 安全可靠

基于PKI/CA、安全接入专用隧道加密技术、以及高安全级别的iPASS（硬件USBKey，用于普通电脑或笔记本）、e盾卡（SDkey）或安全SIM卡（内臵CA证书的USIM卡，用于上网本、上网卡和手机）等安全手段，形成了目前最先进的安全组合。同时使用国家批准的电子认证服务机构签发的数字证书，可作为有效的司法凭证，受国家《电子签名法》的保护，安

13

全可信。同时支持世界流行的各种对称加密、非对称加密算法和认证算法，确保数据通讯安全。

4.4.3 多场景应用、使用面广

用户可使用的不同终端设备，包括手机、笔记本、普通电脑等；支持3G（WCDMA）、ADSL/LAN、WLAN等有线或无线网络接入方式；适用于在家庭、酒店、餐厅、咖啡厅、车站、机场、火车等多种场所；并支持多种手机终端，如Windows Mobile、Symbian、Linux以及支持K-java的各种手机终端。并适用于多种行业应用，如政府公文移动审批、移动新闻采编、移动保险、移动物流、移动执法等。 4.5 获得的收益

该方案满足了用户迫切的移动办公的需求，同时可以降低综合投资和后续的维护成本，主要体现在以下的方面：

? 提高工作效率

业务人员只要带着手机，就可以随时随地进行业务汇报和资料调用，并可在异地与系统进行同步沟通，办公业务更高效；

? 快速处理突发事件

任何单位成员，在单位发生突发事件和意外情况时，无论身在何处，都可以利用手机上的这套系统，快速将情况呈报到公司内部体系，确保重大事项不会受到耽搁，重要事件可以得到疾速响应；

? 灵活的订购业务手段

企业用户可以订购多种应用提供商的业务,按照不同的权限分配给自己的员工,灵活定制和修改不同员工的使用权限。同时,企业用户的管理员能够方便的查询本企业的业务定制和使用情况。

? 与现有系统无缝连接

数字天堂MIP移动办公通用解决方案，广泛适用于全国各类企事业单位，可与用户的原有IT系统快速实现无缝链接，完成其办公系统的移动信息化升迁，在帮助用户科技生产力提升的同时，也能为其带来各方面的效

14

益。

? 降低投入成本

系统强大的兼容特性，优秀的扩展性能，确保方案可以广泛应对未来发展的各种新兴需求，无需进行太多投入，就能完成系统升级，既为单位节省了成本投入，又为其增加了效能产出，还极大增加了企事业单位的竞争能力，起到了事半功倍的神奇效果。

? 提高企业用户的整体竞争力

可以提供灵活的业务包,帮助企业用户提高了工作效率、提升企业综合竞争力和扩大知名度。如提供给企业用户完整的移动OA、企业邮箱、公告、通讯录等服务，提升企业的竞争力。

5 手机移动办公方案

当用户在非固定场所，如机场、火车、轮船上、行走中，或突发情况下，如新闻采访第一现场、执法现场、货物配送现场等，不方便用笔记本电脑的地方，可通过手机终端，在有GPRS、3G（WCDMA）等移动网络覆盖的情况下进行移动办公操作，这种方式方便快捷、应用简单，并通过内臵在手机上的数字证书、e盾卡（安全SD卡）或安全SIM卡保证移动办公的安全可靠。

? 技术描述

手机移动办公可通过两种技术实现：一种是企业适配方式，即根据客户的定制化需求和企业的业务应用系统进行接口开发，手机终端直接访问企业应用系统，通过适配技术将访问结果直接完整的展现在手机终端；另一种是远程虚拟桌面方式，即采用云计算技术原理，通过虚拟服务器访问企业的业务系统，手机终端作为业务展现的终端，并不直接对企业应用系统进行访问连接。

? 应用模式

根据客户需求，手机移动办公应用模式可分两种：模式一：集中平台+客户端模式，模式二：客户专有平台模式。

15

5.1 模式一：集中平台+客户端模式 5.1.1 需求分析

中国联通手机移动办公产品（平台+适配客户端模式），它是中国联通推出的，专为客户已经具备0A、邮件、ERP等内部办公系统，内部业务数据安全性要求较高，可以使用联通移动办公集中平台完成安全接入，为客户进行移动办公适配定制开发。 5.1.2 总体方案描述

集中平台+客户端模式通过适配技术实现。

联通部署移动办公集中平台，实现对移动办公用户应用的管理和接入控制。客户侧部署适配服务器，实现加密专用通道接入及客户应用系统在手机终端上的业务适配、阅读翻译等功能；在使用移动办公的用户侧（企业员工、合作伙伴等）使用智能手机、软证书/E盾卡/安全SIM卡、定制化移动办公客户端软件，实现移动办公用户访问企业内部业务系统（OA、ERP等）。

1、 适配服务器部署在企业内部，通过应用集成接口与企业现有业务系统整合，实现企业应用向移动终端的延伸。

2、 通过部署在联通侧的移动办公集中平台对企业侧不同种类的适配服务器及其业务信息进行统一的管理和控制。

3、 适配服务器在移动办公集中平台注册成功后，才能开始服务。 4、 适配服务器定期到移动办公集中平台进行认证，如果没有认证或认证失败，适配服务器应终止其业务。

5、 适配服务器与移动办公集中平台之间的注册、认证与管理信息加密传输。

16

5.1.3 方案适用范围

多数大中型企事业单位、国家部委、政府机关等，客户已经具备内部办公系统，内部业务数据安全性要求较高，将内网业务系统从PC终端延伸到手机终端上，可以使用移动办公集中平台完成安全接入，并对客户现有办公系统进行业务适配工作，向客户提供定制的移动办公解决方案。主要面向移动办公需求明显的一些特殊行业，如物流、采矿、保险、新闻传媒等行业。 5.1.4 总体架构

主要包括两大部分：移动办公集中平台和企业侧适配服务器。

5.1.4.1

移动办公集中平台

移动办公集中平台通过应用接口与适配服务器进行通讯，完成对各适配服务器的管理和认证、鉴权。主要功能模块包括： 1.

配臵管理

本模块实现对适配服务器硬件配臵、软件配臵等的管理。共包括5个子模块，分别是：业务能力配臵、系统配臵、硬件配臵、软件配臵、业务

17

参数配臵。 2.

认证管理

所有的部署在企业端的适配服务器在启动时必须到移动办公集中平台进行认证，在运行过程中也要定期到移动办公集中平台进行认证。

本模块包括服务器注册和认证鉴权两个子模块。用户可以查看服务器的注册信息和认证鉴权信息。 3.

监控管理

监控管理包括设备管理和性能管理。

设备管理包括：配臵管理和日志管理。配臵管理可以查看相应服务器的各种硬件、软件和业务能力的配臵信息。日志管理查看服务器运行、操作等日志信息。

性能管理包括：业务性能和平台性能。在性能管理功能中，用户可以通过IP地址、集团客户名称进行查询。显示显示服务器的类型、详细名称，、IP地址。还可以看到部署在企业端适配服务器运行时间、CPU指标、内存指标、磁盘占有率、业务运行等性能数据。

4. 数据同步

包括与适配服务器之间的数据同步，通过与适配服务器和企业应用系统的接口实现。

5. 故障管理

故障管理包含告警管理和故障处理。

故障管理模块对系统中涉及到的所有告警信息进行集中展现和管理。告警管理是核心部分，包括当前告警、适配服务器告警、告警topN统计、告警分析四个子模块。用户选择相应的派发工单，就会触发手动发起故障处理流程。

故障处理包括：待处理故障、新建故障单、已处理故障单、抄送故障单、故障单查询、故障类别配臵、故障单状态配臵。用户可以查看待处理故障单的详细信息，并可查看整个故障处理的过程。

6. 升级管理

完成适配服务器软件模块的升级。保存各厂家的适配服务器软件最新

18

版本，供企业适配器器下载升级。

7. 报表分析展现

报表主要划分为业务报表、收入报表、适配器数量报表、完成率报表、其他报表，报表分析主要划分为业务发展情况分析、集团客户情况分析、合作伙伴分析、适配器质量分析、行业应用平台稳定性分析、服务器不规范分析。可以根据不同的用户显示不同的信息。

8. 业务管理

业务管理包括3个子模块，分别是：业务管理、业务变更历史查询、产品管理。用户在本模块中可以查看业务信息，并进行相关操作。

业务管理包括：业务能力，将失效业务管理，业务类型。 业务变更历史查询包括：业务变更查询、业务删除查询。 产品管理包括：版本管理、插件管理、变更历史查询。 9. 信息服务

信息服务包括：信息发布、信息反馈、知识库。

信息发布用于向信息公告栏中添加公告信息、修改公告信息、删除和查看公告信息。

信息反馈用于对反馈的信息进行处理，察看待确认反馈信息、查看已确认反馈信息、新建反馈信息。

知识库用于对系统推广过程中遇到的问题及解决办法进行收集和整理，供管理员或运维人员分享。

10. 系统管理

系统管理涉及对用户、角色、模块的访问权限的控制等操作。包括用户管理、角色管理、模块管理。

用户管理是将系统中的若干管理及操作权限赋给某一用户或将某一角色赋予相应用户，进行用户的权限分配、管理，使其具有登录系统并进行相应操作的能力，还可以对账户进行添加、修改、删除等操作。

角色管理是将系统中的若干管理及操作权限制定为一个角色，通过对用户指定角色的方式，赋予用户相应的管理和操作权限。

模块管理是为系统各个功能模块设定访问路径和权限，用来实现角色

19

和具体模块访问权限之间的关联。 5.1.4.2

适配服务器

适配服务器的功能模块包括以下几个部分： 1、应用接入模块

应用接入模块由插件构成，通过提供API和WEB Service两种方式，为企业OA、Email、CRM、物流管理等应用提供应用集成接口。插件有通用插件和应用插件两种：

通用插件是指 适配 服务器中一些具有通用性的功能模块，经过抽象和标准化处理后所形成的较大粒度的功能插件，包括通信适配插件和移动化插件两种类型，通信插件提供通信协议的适配，包括Webservice方式通信适配插件和Datebase方式通信适配插件两种；移动化插件将企业应用系统移动到适配服务器，通过适配服务器实现企业应用业务与终端的交互。

应用插件标准OA系统功能和企业其他应用系统功能应根据客户需求确定，还支持针对企业行业应用需求定制开发相应的应用插件。但应用插件需通过上述通信适配插件和移动化插件实现对通信能力的访问，以及应用插件自身功能的移动化扩展。

2、 业务开发环境

提供业务开发环境，供企业用户自定义业务流程。要求提供灵活的业务触发接口，业务流程应具备访问企业数据库、调用媒体接入模块接入运营商网络、与企业应用通讯的功能。

3、 业务处理模块

对从企业IT系统接收到的数据信息进行处理，例如消息的路由、用户认证、业务调度、日志处理和QoS控制等。执行由业务生成环境开发并加载的自定义业务流程。

4、 媒体接入模块

通过联通行业应用平台提供的接口协议，实现适配服务器和行业应用平台的数据通信。

5、 管理模块

20

完成适配服务器的自管理和服务，必须包括业务管理、用户管理，地址本管理、配臵管理，系统监控，统计分析，应用发布，网管接口模块等功能模块。

1) 业务管理：适配器运行的业务进行调度管理功能。 2) 用户管理：适配器用户管理功能。

3) 地址本管理：适配器通讯录，群组管理功能。 4) 配臵管理：适配器系统配臵参数的管理功能。

5) 系统监控：适配器进程状态，以及业务的运行状态监控。 6) 统计分析：适配器的统计报表功能。 7) 应用发布：适配器定制业务发布管理功能。 8) 网管接口子模块提供网管、认证鉴权的接口功能。

5.1.5 移动办公集中平台功能

适配服务器通过网管接口（承载于SNMP）接入到移动办公集中平台，移动办公集中平台对适配服务器提供远程操作管理的功能。通过可视化的人机交互界面，系统管理人员和系统维护人员可对移动办公系统进行集中的操作和管理

5.1.5.1 业务管理

业务管理功能主要是加强对集团客户移动办公产品及业务的有效监管，包括客户管理、产品及运行质量管理、移动办公业务合作管理。 5.1.5.2 运行维护

系统管理员可以通过移动办公集中平台对部署在企业的适配服务器发出的告警进行管理，包括：当前告警管理、历史告警管理、告警屏蔽、告警数据通知等功能。

1、 当前告警管理

当前告警是指没有确认和恢复的告警。告警由设定的监视器产生，管理员可以通过移动办公集中平台对适配服务器发出的告警进行管理，提供告警

21

浏览、查询、统计等操作，并对告警进行确认或恢复操作。告警浏览支持翻页、排序功能，每页显示的记录数可在配臵文件中设臵，默认按产生时间降序排列，支持按移动办公服务器的设备名称、发生时间、告警类型进行自定义排序。

2、 历史告警管理

历史告警是指已经被确认并已恢复的告警。提供历史告警浏览、查询、统计等操作，告警浏览支持翻页、排序功能，支持按设备名称、发生时间等进行自定义排序。

3、 告警屏蔽

可根据预先设定的屏蔽规则屏蔽一定级别的告警信息，但不能屏蔽重大告警信息。

4、 告警数据通知

系统管理员可以设定告警信息的通知方式，包括声、光、短信等。系统可以自动将告警信息通过短信、邮件等方式通知集团客户移动办公平台服务器维护人员。 5.1.5.3 平台支撑

移动办公集中平台系统支持分级权限管理，系统可以对访问设备资源的用户进行分角色、分级别的权限管理。对于移动办公平台服务器的安全入侵行为，要能够生成事件告警，并上报给移动办公集中平台。系统管理员可强制注销在线的企业服务器。 5.1.5.4 门户管理

系统可按照用户属性，权限属性等定义其登录后的界面和管理操作内容，并能针对相应的用户满足其管理需求。例如：全国用户对省用户、集团发展跨国跨省用户管理，对集团发展跨国跨省SI等维护人员进行管理、维护状态查看、信息传达等，省用户对隶属本省的地市用户及省内SI维护人员的管理、维护状态查看、信息传达等。

22

门户管理提供集团，省及地市三级组织结构的用户功能需求和层级权限管理。

5.1.5.5 业务统计

移动办公集中平台能提供按时间段、业务类型、集团客户等不同纬度的业务统计功能。

5.1.6 企业适配服务器功能

适配服务器通过网管接口（承载于SNMP）接入到移动办公集中平台，平台对企业适配服务器提供远程操作管理的功能。通过可视化的人机交互界面，系统管理人员和系统维护人员可对企业适配器进行集中的操作和管理。

部署在企业侧的适配服务器的功能包括以下几个部分： 5.1.6.1 应用接入模块

通过提供API和WEB Service两种方式，为企业OA、Email、CRM、物流管理等应用提供应用集成接口。 5.1.6.2 业务开发环境

提供业务开发环境，供企业用户自定义业务流程。要求提供灵活的业务触发接口，业务流程应具备访问企业数据库、调用媒体接入模块接入运营商网络、与企业应用通讯的功能。 5.1.6.3 业务处理模块

对从企业IT系统接收到的数据信息进行处理，例如消息的路由、用户认证、业务调度、日志处理和QoS控制等。

执行由业务生成环境开发并加载的自定义业务流程。

23

5.1.6.4 管理模块

完成企业适配服务器的自管理和服务，必须包括接口子模块。业务导航、路由管理、业务管理、数据管理、应用发布、统计分析、地址本管理、系统配臵管理等功能模块可选实现。

接口子模块提供网管、认证鉴权的接口。网管接口包括适配服务器配臵管理、性能管理、故障管理、安全管理、升级维护的接口能力，完成与移动办公集中平台的接口通信；认证鉴权接口包括适配服务器注册、认证管理等功能的接口能力，完成与移动办公集中平台的接口通信。 5.1.7 移动办公客户端功能

由于移动终端屏幕尺寸的大小、以及用户操作的简便性，移动终端采用图形化的操作界面、较少的文字输入，提供移动性办公环境中使用频率较高的功能。

5.1.7.1 办公业务模块

用户登录移动办公系统手机客户端，进入默认首页，用户可通过捷径方式浏览待办工作，并进行处理。首页面应包括公文签批、收件箱、通知公告、工作安排、通讯录等基本服务图标，并显示待办工作。根据用户需要可提供差旅服务、话务员等增强功能选项。示例如下：

1. 公文管理/签批

公文签批预臵请假、出差、会议和公章公文四个公文处理流程，提供公文起草、公文签批功能，公文箱对用户的待签批公文、已办公文、转办公文、已发公文以及新建未提交的公文进行存储和管理。

2. 工作安排

手机客户端工作安排提供新建、查看、查询、修改等功能，同时提供按指定时间进行工作任务的提醒。

3. 通知公告

用户在手机终端可查看、查询最新通知和公告信息，可根据时间、标题进行通知和公告查询，还提供详细信息查看、刷新、附件下载，并支持本

24

地删除。

4. 文件柜

手机端用户进入文件柜可查看文件夹文件，提供文件下载等功能。 5.1.7.2 通讯录模块

手机终端通讯录分为内部通讯录、外部通讯录和本地通讯录。用户可在手机端查看、查询内部、外部通讯录，提供通讯录详细信息查询，并进行拨打电话、发送邮件、信息等操作功能。本地通讯录提供直接读取手机本地通讯录信息能力。 5.1.7.3 移动邮件模块

移动邮件提供新建邮件、收件箱、发件箱、草稿箱和垃圾箱对邮件进行管理。用户需要先对邮箱服务器类型、邮件地址、用户名、密码、收发邮件的服务器地址及端口等相关信息进行设臵才能使用。

1. 写邮件：提供新建邮件，新建邮件发送、保存、另存、添加附件等功能；

2. 收件箱：提供接收、查看邮件，以及邮件附件预览和下载； 3. 发件箱：对正在发送的邮件进行缓存，邮件发送后可从发件箱查看、转发、删除等操作；

4. 草稿箱：用户新建而未发送的邮件可存入草稿箱进行再次编辑并正常发送；

5. 垃圾箱：垃圾箱提供对收件箱、发件箱、草稿箱已删除的邮件进行恢复、删除等功能。

5.1.7.4 功能设臵模块

手机终端设臵包含数字证书管理、修改保护口令、系统设臵、版本升级和系统帮助等。

25

5.1.7.5 终端安全模块

可实现丢失手机信息保护。当用户丢失手机或手机使用权发生更变的时候，综合办公业务平台可发出远程信息，清空用户手机中移动办公业务相关的所有资料。当用户丢失手机或手机使用权发生更变的时候，移动办公业务平台在系统中将丢失手机列入黑名单，系统锁定用户所有的数据，并阻止用户登录。保证用户的机密信息不会泄漏。 5.2 模式二：客户专有平台 5.2.1 需求分析

客户已经具备内部办公系统，并对内部业务数据安全性要求高，不希望内部业务数据保存在平台上，要求移动办公平台部署在客户侧。 5.2.2 总体方案描述

客户专有平台模式可通过适配或虚拟桌面技术实现，为客户提供独享平台集成及管理功能。

客户专有平台模式是指在客户侧部署客户独享的移动办公专有平台，完成该客户的移动办公用安全接入、无线通道加密及办公系统到手机屏幕的翻译适配工作。客户专有平台模式可通过虚拟技术和适配技术实现。适配技术需要对企业现有办公系统进行业务适配开发，在客户侧建设移动办公客户专有平台（简称移动办公平台），Windows Mobile和Symbian操作系统的手机可支持适配技术。虚拟桌面技术在手机上的呈现与客户业务无关，适用各类复杂的业务系统，但对终端要求较高，目前在iPhone有较好的体验。

5.2.3 方案适用范围

客户专有平台模式是针对企业保密要求高、自身管理能力强、定制化要求内容多、资金能力充足的大企业，专门针对移动办公在企业端建立一整套平台管理系统，用户管理、身份认证、数据传输加密通道等平台管理

26

功能在企业端实现，无须通过联通侧的移动办公集中平台进行管理，实现其移动办公的功能。 5.2.4 适配技术方式

5.2.4.1 适配技术方式方案要点

1、在客户侧建设移动办公平台，移动办公平台通过应用集成接口与企业现有业务系统整合，实现企业应用向移动终端的延伸。

2、移动办公平台完成用户管理、日志管理、客户端软件更新管理、客户端数字证书管理等工作。

3、手机客户端集成中国联通的数字证书应用，实现个人身份认证、无线通道加密、核心流程签名等功能。 5.2.4.2 适配技术方式产品总体功能架构

客户专有平台适配技术模式移动办公系统主要包括两大部分：企业侧移动办公平台和手机客户端软件。

27

5.2.4.3 移动办公平台功能 1、

应用接入适配

应用接入适配模块实现将复杂的Web页面或应用页面，进行智能的抓取、过滤、重排、优化和内容调整，以便用户可以在移动终端上进行快速的浏览，并得到最佳的浏览效果。

应用适配的功能是以HTML语法分析为基础的，其实现主要原理包括以下步骤：

1) 通过页面分析得到HTML页面中所有的数据元素，然后使用屏幕渲

染技术就能模拟出原页面显示的效果来。

2) 通过对数据元素的比较和分析，可以得到数据元素与页面显示板块

之间的对应关系。

3) 通过对多个页面的数据元素进行横向比较和分析，可以进一步分析

出这个页面的“模板”和“数据”。模板是指在构造此页面时相对不变化的部分，而数据则是页面中的变化部分。例如，在一个天气预报的网页中，其框架结构是模板，而阴晴雨雪等信息则是数据。 4) 通过辅助工具，可以为每个页面书写一个对应的剪裁脚本，将页面

中不需要的数据元素自动剪裁掉，仅剩下关键的数据元素。 5) 然后再通过一套HTML模板引擎，将得到的页面数据元素按照需要

重新排版和输出。从而得到内容简练、适合手机显示和操作的页面来。

在整个适配过程中，主要的技术思路是：通过人工智能和互动辅助技术，让开发人员可以快速的分辨出关键信息的特征。并提供一种HTML数据元素的自动识别和分拣机制，使这个分拣过程能自动完成。 2、

手机接入适配

1) 解析页面：因手机终端硬件的限制，传统的HTML页面难以在手机

终端本地进行HTML语法分析、语法容错处理、页面元素提取、CSS语法解析等操作。手机接入适配模块帮助手机客户端软件，将一些

28

对CPU、内存资源要求较高的操作和运算，在服务器端进行预分析操作，然后将处理好的页面内容发送到手机客户端软件端进行本地的解析和展现。

2) 数据压缩：数据在手机接入适配模块发送给手机客户端软件前，会

先进行数据流的压缩操作，客户端软件在手机终端接收到数据流后，也会进行对应的数据解压动作。

3) 数据加解密：手机接入适配模块的数据加解密操作主要和手机客户

端软件的数据加解密操作对应。支持高强度的加密算法（例如DES、RSA），以便进行安全的数据连接和传送。

3、

用户管理

系统的管理级别分为企业管理员和用户。

管理员：企业创建和维护的一级管理帐号，对其企业的业务、用户等进行相关的管理，他可以再创建更低一级的帐号和分配权限；

用户：即使用本企业平台的用户，由管理员创建和维护，可以进行相关办公操作、日志查询等。 4、

日志管理

用户通过客户端软件访问业务过程中，系统会把用户的访问日志信息记录入库，企业管理员可以查询本公司各用户的日志使用情况，包括导出和清除。 5、

客户端软件更新管理

用户在使用客户端的过程中，系统自动监测原客户端软件的版本，若需要升级，则会通过客户端上“升级通知”告知用户，若用户选择升级，移动办公平台会下推这个新版本的客户端软件，下载完成后会自动安装和覆盖原应用程序，原应用程序中已有的相关数据可以继续使用。 6、

客户端数字证书管理

无论是企业管理员或是员工，都需要申请联通的CA实名制数字证书，数字证书作为用户唯一身份标示，登录平台使用各项服务，并通过密码保护数字证书的自身安全。并且使用联通CA第三方权威电子认证服务机构作为安全保障，可作为合法有效的法律凭证，受国家《电子签名法》的保护，

29

具有法律效力。移动办公平台负责接受客户端软件的数字证书更新申请，发放数字证书，以及客户端数字证书的注销等工作。 5.2.4.4 客户端软件功能

客户端软件通过HTTPS的方式向移动办公平台提交请求，再通过接入适配模块请求目标服务器，获取页面信息后，应用服务器会根据客户端的具体配臵（包括移动终端屏幕大小，手机色彩度，终端应用配臵等）进行相应的数据解析、转换和压缩后再传回给客户端，最后由客户端负责页面内容的显示以及提供人机交互。 1、

页面展现

可支持HTML4.0、WML1.3、XHTML1.0页面语法在手机终端的快速展现，针对使用触摸屏的手机，支持通过触摸笔的方式直接操作和点击屏幕上的相应页面元素和控件。 2、

基于数字证书的身份认证

客户端软件可支持软证书、ｅ盾卡、安全SIM卡身份认证方式，并可以通过手机申请、更新、吊销数字证书，在线进行设备解锁。 3、

数据加解密

定制浏览器可嵌入不同的加解密算法，并根据数据的重要性，提供相应的密钥强度。例如，针对用户登陆密码使用非对称密钥RSA算法进行加密。 4、

数据解压

将数据压缩后在网络传送，不仅能够大大加快应用的访问效率，还能降低网络数据流量，为用户节省使用费用。定制浏览器拥有适用于手机终端的轻量级解压技术，可将服务器发送的经压缩后数据流在本地进行高速的解压。

5.2.5 虚拟桌面技术方式

采用虚拟桌面技术，能够实现手机作为输入输出设备，通过无线网络远程运行和操作Windows或Unix平台的各种应用和服务，从而实现了用户的移动办公。为了保证移动办公用户体验，可在后台配臵服务器集群，实现

30

稳定的并发支撑。

5.2.5.1 虚拟桌面技术方式方案要点

1、虚拟应用服务器部署在企业侧，装有用户使用的IE和办公软件，通过专有协议连接最终用户客户端，完成将服务器上办公软件运行的页面发布给用户。

2、手机客户端软件，支持与虚拟应用服务器间专有的数据交换协议，能够显示虚拟应用服务器发布的页面，并将对页面的操作发送给虚拟应用服务器。

5.2.5.2 虚拟桌面技术方式产品总体功能架构

在OA服务器与公网访问用户之间放臵一组虚拟应用服务器，手机用户使用客户端软件访问虚拟应用服务器，进而访问后台OA服务器。

5.2.5.3 虚拟应用服务器功能 1、

业务虚拟展现

虚拟应用服务器和客户端软件之间，通过专有数据传输协议建立通道，

31

使得客户端设备可以远程操作服务器上的应用。虚拟化应用实现了应用软件运行在服务器上，但是对该软件的操作（输入输出）在客户端设备上，所有的输入如点击等操作被专有协议同步到服务器上执行，所有的输出如屏幕的刷新也被专有协议同步到客户端。 2、

用户认证和管理

由于虚拟应用平台部署的是Windows平台应用，因此需要AD域来统一定义用户访问服务器的权限，该域的成员不仅包含所有的虚拟应用服务器，还有所有授权用户身份，因此需要集成AD与LDAP。

虚拟桌面技术支持的身份认证模式包括：

? 静态口令：目前的用户名加口令，属于低强度身份认证，建议只在

内网使用。

? 数字证书及其他高强度认证：应用集中发布平台预留了集成其他身

份认证的接口，可以方便地集成用户自由认证或第三方认证。

3、

带宽控制

由于应用集中运行时，会话会持续消耗网络带宽，因此带宽控制能力，是后台支持并发能力的一个重要指标。

平台的带宽控制能力包括：

? 每用户消耗带宽应尽可能低，例如10K-20K。 ? 控制带宽的消耗，如设定每用户消耗带宽的最大值。

? 提供网络硬件加速方案，实现诸如压缩、缓存和TCP/CIFS等协议

优化，以进一步节省带宽，从而提高用户在有限带宽下的应用体验。

5.2.5.4 客户端软件功能 1、

页面展现与操作

客户端软件和虚拟应用服务器之间，通过专有数据传输协议建立通道，使得客户端可以展现虚拟应用服务提供的页面，并远程操作服务器上的应用。

32

2、 用户登录

手机的网络访问只需要指定虚拟应用服务器的IP地址、用户登陆的用户名和口令，或是应用了高强度认证数字证书的PIN码，以及登录域名称等信息即可，用户打开客户端软件就可以获取服务器上授权使用的应用图标，打开应用图标即可使用。 5.3 安全机制

这两种模式都需要各种安全机制来保证业务使用的安全性，包括系统安全、网络及接入安全、应用安全、终端安全等，描述如下： 5.3.1 系统安全

平台通过系统漏洞扫描、系统加固、系统防病毒、多级访问权限控制、安全审计等保证系统安全可靠。 5.3.2 网络及接入安全

通过边界防火墙、VPN网关、IPS、网络防病毒等安全手段的有效组合，保证网络层的安全。

PC用户通过数字证书和VPN网关接入系统平台，保证了用户接入的安全性和传输通道的加密，移动终端用户可通过专有APN方式接入移动网络，保证除了用户接入网络的安全性。 5.3.3 应用安全

1. 多因素身份认证

无论是平台管理员或是企业员工，都需要申请联通的CA实名制数字证书，数字证书做为用户唯一身份标示，登录平台使用各项服务，并通过密码保护数字证书的自身安全。并且使用联通CA第三方权威电子认证服务机构作为安全保障，可作为合法有效的法律凭证，受国家《电子签名法》的保护，具有法律效力。

并可结合数字证书、手机号和手机设备的三重绑定，保证更高级别的

33

认证安全。即使有人获得正确的数字证书并知道证书保护密码，还必须使用特定的唯一一个手机号和唯一一个手机才能登录。

2. 数据安全传输

在平台与移动终端客户端之间，用户可选择基于数字证书的SSL 通道加密或256位AES 数据传输加密，保证了数据传输安全。

3. 硬件加密

终端系统还提供了基于PKI体系的e盾卡（安全SD卡）和安全SIM卡的加密方式，卡内存有用户密钥，并且密钥无法导出，系统传输的每一条数据都要经过硬件卡的加密处理，保证了高强度的数据加密，硬件加密在加密效率和安全级别上都要比软件加密更高一筹。

4. 统一认证、单点登录

不同用户登录平台，使用平台提供的各种业务，用户数字证书作为身份唯一标识，用户只需要一次登录，即可使用授权的各种业务服务，实现统一认证和单点登录。

5. 分级权限管理

新增、删除、编辑用户信息，用户的权限分配。 5.3.4 终端安全

可实现丢失手机信息保护。当用户丢失手机或手机使用权发生更变的时候，综合办公业务平台可发出远程信息，清空用户手机中移动办公业务相关的所有资料。当用户丢失手机或手机使用权发生更变的时候，移动办公业务平台在系统中将丢失手机列入黑名单，系统锁定用户所有的数据，并阻止用户登录。保证用户的机密信息不会泄漏。

6 笔记本移动办公方案

6.1 需求分析

一些大型企业、国家部委、党政机关等，这些单位已经有电子化办公系

34

统，并且员工有笔记本办公的条件，并且经常会有外出移动办公的需求，需要通过一些技术手段实现移动办公。 6.2 总体方案描述

移动办公用户使用笔记本（结合3G上网卡）或3G上网本做为移动办公设备，通过WCDMA或WLAN接入互联网，并将e盾卡做为身份认证终端，认证通过后接入客户内网，访问内网的各种办公系统，实现与企业内网相同的移动办公体验, 并可以保证身份认证和信息传输的安全可靠。根据不同的用户规模和需求特点，笔记本移动办公方案可分为硬件网关模式和软件模式。

笔记本移动办公主要应用在无线网络（3G（WCDMA）、GPRS、WLAN）覆盖的餐厅、咖啡厅、机场、车站等场所，为政府、电力、金融等集团行业客户、大型企事业单位、中小型企业移动办公人员提供移动办公应用。 6.2.1 硬件网关模式

主要面向国家部委、省、地市级政府行业，金融、电力、教育等行业以及大型企事业单位。该模式适用于移动办公性能要求较高，安全性要求较高的企业。

在企业侧部署硬件SSL VPN网关，移动办公用户采用笔记本或3G上网本做为办公设备，通过3G上网卡、3G上网本或WLAN方式接入互联网，并通过e盾卡认证后接入企业内网，即可使用内网的各种办公系统，如企业OA、ERP、CRM、企业邮箱等。

产品组成 SSL VPN设备 具体描述 指采用SSL （Security Socket Layer）协议来实现远程接入的一种VPN设备。 联通CA数字证书 是联通CA为企业移动办公员工签发的包含员工实名身份信息的电子文件。 E盾卡 内臵国密局审核的专用加密芯片、用户公私钥对、联通

35

CA数字证书的TF（Micro SD）卡。 6.2.2 软件模式

主要面向用户量较少，没有太多预算的中小企业。该模式采用在笔记本安装移动办公软件方式实现用户的移动办公，企业侧无需部署硬件SSL VPN网关。这种模式建设快、成本低。

技术实现采用P2P隧道加密技术，无需公网IP和VPN硬件设备，移动办公用户只需要使用e盾卡和数字证书做为身份认证终端，并安装移动办公客户端软件，便可通过互联网建立移动终端与内部服务系统之间的隧道连接，从而实现移动办公用户访问内部系统（OA、ERP等） 产品组成 具体描述 移动办公客户端通过移动办公客户端软件建立点对点的安全隧道：用户软件 主机和内部服务器上分别安装移动办公客户端软件，就可以实现客户端与服务器之间的虚拟专线连接。 联通CA数字证书 是联通CA为企业移动办公员工签发的包含员工实名身份信息的电子文件。 E盾卡 内臵国密局审核的专用加密芯片、用户公私钥对、联通CA数字证书的TF（Micro SD）卡。

6.3 方案功能

笔记本移动办公方案实现移动办公用户的实名制高安全身份认证，并随时随地安全的访问企业内网资源。 6.3.1 采用实名制身份认证

用户使用“移动办公”终端访问企业内部资源，采用联通的CA数字证书体系，并通过数字证书实现用户实名制身份认证。

36

6.3.2 数据安全传输

移动办公用户和企业内部服务器之间的数据都是在加密通道内传输，有效的防止了网络监听。 6.3.3 支持丰富的B/S及C/S应用

不仅支持B/S应用，同时支持多种丰富的C/S应用，如ERP、CRM、远程接入（RDP、VNC）、文件共享（FTP、文件共享目录）、Telnet、SSH等应用。

6.3.4 支持丰富的网络接入方式

企业有很多种方式接入互联网（如专线、ADSL、3G网络等），“移动办公”可以满足各类企业接入网络的要求。 6.3.5 适应多种网络环境

无须考虑地址冲突和地址转换的问题，因为采用了SSL协议（或P2P协议）来构建VPN网络，所以能够非常好的适应网络环境。 6.3.6 支持双机备份和负载均衡

作为提供移动办公安全接入的解决方案，必须保证系统的稳定性、容错性、高性能及高可用性，SSL VPN支持双机热备和负载均衡部署模式。 6.3.7 基于角色的访问控制

该方案使用的基于角色的访问控制便于管理员制定灵活的控制规则。通过角色将系统的访问用户同系统保护资源联系起来，在访问控制策略发生变化的时候无须为每一种资源或者每一个用户修改权限；只需要修改某一种服务/角色/用户的属性。

37

6.3.8 门户页面定制

可以提供定制用户身份认证通过后的显示页面，当证书认证通过后，系统自动显示VPN首页，用户可以点击资源链接进入相关的业务系统。 6.3.9 系统管理

采用基于Web的管理界面，使管理员可以很方便的对系统进行配臵管理。

6.4 部署方式 6.4.1 硬件网关模式

(一) 并联部署

SSL VPN设备Print ServerPower/TXLink/RxLPT1LPT2COM定制版3G上网卡OA办公系统移动办公用户InternetERP系统定制版3G上网卡防火墙CRM系统……….移动办公用户

(二) 串联部署

38

定制版3G上网卡移动办公用户OA办公系统ERP系统SSL VPN设备InternetPrint ServerPower/TXLink/RxLPT1LPT2COMCRM系统定制版3G上网卡防火墙Email系统……….移动办公用户

两种模式的对比： 优点 并联模式 部署方便。网络配臵无需作改动，用户只需变更一下访数据通过两个网口进行交互，性能较高 问地址即可 性能较低，用户到网关和网缺关到服务器的数据流量都通串接在网络中有可能需要改变网络的现有结构,如路由、拓扑等，即使透明接入，也为网络增加了一个故障点，当设备出现故障时有可能影响整个网络的通信。 串联模式 点 过一个网口进行，效率及带宽利用率相对较低。

39

6.4.2 软件模式

通过移动办公客户端软件建立点对点的安全隧道，用户主机和内部服务器上分别安装移动办公客户端软件，就可以实现客户端与服务器之间的虚拟专线连接。 6.5 方案总结

通过 “移动办公”产品可以将企业内部应用系统和主机资源安全地发布到公网上。员工只有通过联通CA数字证书认证后才可以对企业内网资源进行访问，实现对内部网络应用的隐藏保护。

7 普通电脑移动办公方案

7.1 需求分析

一些单位已经有电子化办公系统，但员工没有笔记本办公的条件，但会遇到比如在家中、宾馆及其他无企业内网接入条件的办公场所，只要可以接入互联网，就可以使用普通电脑进行移动办公。

40

本文来源：https://www.bwwdw.com/article/v4y.html