当前位置:文档之家› 移动办公系统MOA建设办法

移动办公系统MOA建设办法

精心整理移动办公系统(MOA)建设方案2011年1月目录1项目概述............................................................... 错误!未指定书签。

23指定书指定书3.8精简设计3.9系统物理结构图........................................... 错误!未指定书签。

3.10应用软件的部署........................................... 错误!未指定书签。

3.11移动终端用户的安全接入............................. 错误!未指定书签。

1 项目概述国家努力推进的各大“金字工程”在把传统政务数字化,而移动信息化大潮又让很多数字化的业务过程“移动”起来。

将市政府办公电子化、数字化、移动化,从而提高办公效率,做一心一意为人民服务一直是国家公务人员期望达到的目标。

而“移动数字城市”的逐步发展正将这一目标拉近。

众所周知,市政府系统是数据集中的中心,数据访问量巨大,要求设备具有极高的稳定性、功能兼容性和较高的处理性能。

市政府对MOA的应用主要体现在移动办公、信息系统查询等方面。

市政府人员外出办公时,需要在线查询时,使用手机终端(或PDA)接入市政府APN网络,访问单位内部网页,进行实时公文处理。

网传统的通过电脑办公的方式,还可通过智能移动终端登录办公系统进行操作,带来更多样化的办公渠道,发挥办公系统更大的自身价值。

产品在安装、设置、学习、使用、维护等环节直观简便,使用户可以将精力集中在办公本身,而非复杂的概念与操作,大大降低了用户的应用难度和应用成本。

移动办公自动化系统具有以下特点:✓高效:跨越了时间与空间的限制,将办公室的概念从一间屋子衍生到整个世界。

随时随地,只要需要就可以办公;✓便捷:点击手机上的几个按键,迅速进入办公新世界;不会落伍淘汰;✓安全:中间服务器部署在市政府的内网,而市政府应用的数据只在中间服务器和应用服务器之间传输,即实现了应用数据不出内网,极大地保证了应用的安全性。

而中间服务器与移动终端之间,只传递OSI表示层信息,已经失去了敏感性,但也经过系统的加密后,在APN专网中传输。

因此,整个系统在各个环节上都具有完善的保护措施。

市政府目前使用的办公自动化系统,实现公文处理、政务信息、归档查询等主要功能,该系统平台运行于政务内网上,受线路和设备的限制,这就要求人员必须在办公室、电脑前才能实现对文件的办公操作,为了实现能够在任何时间、地点均能提XXXX业务。

XXXX22.1现以●通用IT系统。

通用IT系统包括OA、ERP、进销存、CRM、人力资源管理、财务管理、电子邮件等各行业通用的IT应用系统。

●行业业务系统。

行业业务系统与本行业的专业密切相关,是本行业专用的IT应用系统。

目前市政府在部署移动应用时经常遇到的问题:1.市政府内部已有很多IT应用,整合难度很大。

2.把OA应用等应用发布到Internet,安全性低。

3.利用Wap技术实现办公,开发量大,等于把现有系统重新建设一次,并且数据交互量大,手机容易死机。

MOA移动应用发布平台的到来解决上述市政府移动办公的难题:2.2MOA镜像技术,是将应用系统的输入输出界面,与应用系统的数据和逻辑完全分离: 应用系统客户端的数据和逻辑,完全部署在MOA平台的服务器中,由平台的服务器来处理应用系统客户端的计算任务;●手机终端只负责应用系统的输入输出工作:应用系统的屏幕显示,则由手机终端来完成;用户对应用系统的鼠标键盘输入,也由手机终端来收集,并发送给MOA平台。

在移动终端,用户看到的操作界面和PC上是一样的,用户不必再去适应新的系统。

2.3 MOA系统的部署MOA应用平台是MOA平台部署的关键问题:✓被发布的应用系统的客户端只安装在MOA平台上,所有应用计算都在MOA平台上进行。

手机上只安装一个功能简单的虚拟代理。

因此,解决了移动终端性能低下的问题;✓被发布的应用系统需要满足多个移动终端对MOA平台的并发访问,因此,MOA平台的软件系统具有支持多用户的能力;✓MOA平台服务器的硬件架构和操作系统,也是可以支持多用户的系统。

目前主流服务器和操作系统都可以做到。

由于应用客户端一般运行在Windows操作系统之上,因此,平台服务器通常使用X86架构的PCServer,操作系统通常选择Windows2000/2003的服务器版本;✓目前,大多数应用系统的客户端都可以支持多用户,可以正常运行在发布平台上。

对于一些不支持多用户的客户端,平台可以使用“隔离技术”,对此客户端的每个instance分配一个完全封闭的运行环境,使其可以在同一台服务器上运行并发的多instance。

3 详细设计3.1实现平滑扩容,前期部署的设备应该可以继续使用,避免投资浪费;3.2 设计理念MOA系统的设计思想以安全为本。

在系统的每个环节,无不体现了安全控制的理念。

XXXX政府的办公系统具有很高的安全要求。

按照规范,OA和EMAIL系统不能与外网互联互通。

而在移动应用的环境下,移动终端可能漫游到世界上的任何一个角落,增加了系统的安全风险。

因此,需要通过对系统的有效安全控制,来规避因此带来的安全风险。

提高安全性的有效的方式是安全控制。

良好的安全控制手段能够保证正常业务运行,又能隔离无关因素的介入。

物理隔离是最可靠的安全控制手段,但也是最无奈的手段,因为它彻底否定了网络的最基本功能:互联互通。

3.3括路由器、交换机、服务器、存储设备、应用软件和数据等。

由于XXXX政府的核心系统和数据全部存在于内部域中,是XXXX政府最重要的IT资产,因此它的安全级别是最高的,是我们需要重点防护的区域。

OA应用系统部署在内部域中。

内部域中的设备不能与其它域进行直接通信,以防止其它域中的恶意攻击入侵内部域。

2.接入域。

任何在XXXX政府办公区域之外的终端和系统需要访问内部域中的应用系统,都不能与内部域建立直接通信,只能与接入域建立通信,再由接入域代理通信。

MOA发布平台就部署在接入域中,它能够终止移动终IT4.APN5.移动终端6.OA服务器每个安全控制点都实现1个或多个安全控制功能。

3.4 网络控制网络控制是在网络的关键位置,通常是安全域的接口处,对网络通信进行控制,决定什么样的通信被允许,什么样的通信被禁止。

网络控制的常见设备是防火墙和网闸。

防火墙可以针对网络通信的地址和端口甚至应用层协议进行控制;而网闸不仅具有防火墙的功能,还能阻断内外网之间的直接服务器的应答通信也使用此机制;✓其它网络通信一律禁止。

●MOA服务器(控制点2)。

MOA服务器上,可实现以下控制策略:✓中止移动终端的访问请求。

移动终端对应用的访问请求被中止在MOA 服务器上,由MOA服务器代替移动终端向OA服务器发出请求。

✓协议转换。

移动终端与MOA服务器之间的通信协议采用私有协议,而MOA服务器与OA服务器之间的通信才使用http协议。

MOA服务器相当于协议转换器,可以防止网络通信中的恶意行为被传播到OA服务器。

3.5应用。

户提供用户名和密码,并与数据库中的数据进行比对。

只有提供了正确的用户名和密码才被认为是合法用户,才能登录服务器。

✓用户应用级授权。

当用户登录MOA服务器后,服务器查询授权数据库,对此用户进行授权。

只有有权访问OA的用户才能够启动OA系统,否则OA系统对此用户是不可见的。

由于本项目中,仅有OA一个应用,还不能体现授权的优势。

当MOA服务器发布多个应用系统时,授权的优势就可以体现出来。

✓用户操作级授权。

MOA平台可以根据不同的用户,授予不同的操作权限。

例如,是否允许本地打印、是否允许上传下载附件、是否允许复制粘贴、是否允许编辑等。

3.6XXXX●APN专线(控制点4)。

根据MOA原理,MOA服务器和手机终端之间只传送应用界面图象和用户的键盘鼠标信息。

这部分信息是在移动域中传送的。

虽然这些信息对窃听者已经没有什么价值了,但为了安全起见,我们仍在设计中使用了APN专线,防止信息被窃取和篡改。

使用了APN专线,使移动域的安全性与市政府内网相当接近。

移动终端(控制点5)。

移动终端的不确定性较大,XXXX政府也难以对其进行有效的管理和控制,因此,移动终端的安全性较低,有可能被病毒、木马、黑客等入侵,因此,应用数据和应用代码不适合部署在移动终端上。

根据MOA原理,移动终端上不会有应用代码和应用数据存在,只有价值很低的应用屏幕图象和用户输入信息会存在于移动终端上,即使被窃取和破坏,也不会造3.73.8我们注意到,在本项目中使用了APN作为移动域的通信线路。

APN既能对接入的手机终端进行基于号码的认证,又能将系统的通信数据与外部隔离,形成封闭的网络环境。

因此,移动域的安全性是相当高的,在通信安全性上甚至高于以intranet互联的内部单位(内部单位经常使用穿越互联网的VPN相互通信,其通信安全性不如APN 专线)。

再加上MOA平台是个功能强大的安全控制点,能够对手机进行严格的访问控制、访问代理和协议级的隔离,因此,接入域的设计完全可以简化,去掉网闸控制点。

精简后的设计如下:3.9 系统物理结构图3.10 应用软件的部署使用了MOA平台后,应用软件的部署就极为简单,一般只需要以下步骤:平的是它里面存放了单片机或智能卡芯片,SD-KEY有一定的存储空间,可以存储用户的私钥以及数字证书,利用SD-KEY内置的公钥算法可以实现对用户身份的认证。

SD-KEY认证对持SD-KEY人、服务系统两方的合法身份做认证,SD-KEY可以做到对持SD-KEY人、对服务系统的两方的合法性认证。

SD-KEY具有两种认证方法:持SD-KEY者合法性认证——PIN校验服务系统合法性认证——外部认证1、持SD-KEY者合法性认证:2、系统合法性认证(外部认证)过程。

相关主题