移动政务云解决方案
相对弱
基于认证和加密技术,本地会留存数据 好
相对慢
快
移动应用门户
移动政务云平台安全体系
安 全 体 系
移动政务云平台安全整体思路
事先(加固预防)
事中(监控干预)
事后(审计追溯)
终端层 应用层
移动政务 云平台
交付域
系统层
计算域
虚拟层
基础设施层
存储域
移动政务云平台安全防护对象
无线终端
便携式终端 手持式终端 其他终端
无线鉴别和保密基础结构(WAPI证书) 双向认证
移动政务标准体系
标 准 体 系
标准体系
移动政务标准规范
移动应用开发规范 移动应用管理规范 移动应用安全规范
应
应
用
用
接
上
口
线
规
规
范
范
终
端应
使
用
用
管
管理
理规
规范
范
视应安终
频用全端安
访
访
接
安
全
问
问
入
全
监
控控网接管
制制关入规
规规规规范
范范范范
SDK 接口类型
业务服务类 (标准服务)
用户认证类
移动应用管理平台
移动应用服务平台
App Store Clent
App Store Service
应用开 发人员
Web Service 应用开发入口
管理员
Web Service 应用开发入口 应用发布入口
服务总线
测试人员
公共服务 App Clent
2.通过虚拟化简化应用适配工作,降低开发/使用成本;
3.业务数据与文件不会通过网络传输,具有较高的安全性。
移动交付方式-移动APP
用户
接入区
业务数据传输
防火墙、VPN
服务总线
服务
政务内网 内网业务
终端交付方式
内容
建设成本 建设方式
扩展性 升级管理 安全性 用户体验 速度
虚拟化交付方案
低,业务系统越多建设成本越低
APP方案
高,业务系统越多建设成本越高
无需二次开发,直接把原有业务系统 每个业务系统需要单独开发不同平台的
发布即可,不影响原有业务系统
APP,会对原有业务系统进行一定改造
新增业务系统,直接发布,扩展性好 新增业务系统即需进行APP开发
升级管理方便
需后台和APP同时升级处理
基于虚拟化、认证和加密技术,本地 不留密
环境适应性
无线终端
便携式终端 手持式终端
终 端 类 型
终端用户、系统管理员、开发测试人员 用户类型
无线传输网
无线接入网
政务内网
接入控制区
业务应用服务区
公众移动通 信网3G/4G
传 输 网 类 型
视频接入
固定数据接入
小文件数据接 入
实时数据接入接 入 类 型
移动 应用 服务 区
隔离 交换 区
B/S应用
……
建设原则
统筹规划、分步实 施、突出实战、有 序推进
加强 顶层 设计
加强 标准 建设
强调IT资源复 用,不能推到 重来
加强 现状 分析
处理好安全、应用与 管理之间的关系,安 全是基础、应用是灵 魂、管理是保障
建设原则
加强 能力 建设
加强 安全 管理
建立科学、先进 、准确、实用和 可操作性强的政 策法规和标准规 范
政务内网
政务内网
应用服务 器机群
核心交换机
应用服务 器机群
移动警务接 入平台
应用服务 器机群
核心交换机
应用服务 器机群
移动警务接 入平台
移动VPN 网关
移动应 用服务 器群组
移动应 用管理 服务器
隔离 网闸
移动应 用代理 服务器
室内 AP
防火墙
无线控
无
制器
线
接
入
系
室内
室内 统
AP
AP
无线接入层 移动终端层
应用服务器 池
数据库池
移动应用服务平台
移动交付方式-桌面虚拟化
将PC运行的桌面和应用迁移到数据中心,通过SMEP协议 建立客户端和服务器的一个安全的多虚拟通道,当用户使用 时通道将服务端的用户界面推送到客户端设备,同时通道将 鼠标与键盘输入信号发送到服务器。
桌面的存储和执行都集中在数 据中心的虚拟机上
移动应用开发平台:主要包括开发资源共享管理、技术交流服务和开发共享 门户服务三部分,核心功能包括:
开发测试机构管理,如:注册、备案等; 开发资源管理,如:资源检索、申请及审核等 开发测试过程管理,如:应用的开发、测试过程的管理,协同互动等
移动应用开发平台接口标准化
UI组件类
日志统计分析类 应用监控类
目录
01 移动办公背景 02 建设目标及内容 03 建设方案
— *—
移动政务发展过程
单机办公
• 第一代办公 • 微机、无网络、单机办
公软件 • 强调自动:计算自动化、
存贮电子化
网络办公
• 第二代办公 • 商用台式机、有线网络、
网络办公系统 • 强调协作:网络化、数
据的传输和共享
移动办公
• 第三代办公 • 移动终端、无线网络、
政府内部数据 社会资源数据 互联网数据
移动应用碎片化、丰富化
政务云数据仓库
移动业务服务化 移动数据标准化 基础设施资源池化
计算资源
存储资源
网络资源
…
基础资源
大数据平台
移动政务云平台整体架构
标准体系 应 用 管 理 规 范 应 用 开 发 规 范 终 端 管 理 规 范
门户服务 移动管理门户
移动平台 移动开发门户
应用层 操作系统层
硬件层
无线传输网
移动通信网 (3G/4G)
WIFI
无线接入网
移动应用服务区
接入 控制 区
应用层 操作系统层 虚拟化层 基础设施层
隔离 交换 区
系统管理区
政务内网
业务应用服务区
终端层
应用层
数
据 操作系统层 层
虚拟化层
基础设施层
移动政务云平台安全防护框架
传统 安全领域
假冒入侵 越权访问 误操作 病毒木马 ……
应
C/S应用
用
类
视频应用
型
语音 文本
视频 数 据
类 图片 型
建设内容
标准规范建设 应用管理规范 应用开发规范 终端使用规范 移动安全规范
移动政务云平台
硬件环境建设 服务器
安全接入设备 终端设备 无线网络
平台建设 云基础平台 应用开发平台 应用管理平台 应用服务平台 安全平台
应用建设 快速查询 数据采集 移动办公
各地认证分别接入方式:在市级安全接入平台中增加一条访问省厅应用平台的通路,具体内 容是在安全接入区部署省厅应用平台的前置设备,进行相关的安全配置内容,确保终端通过VPN 实现对省厅应用平台的信息访问通路。
移动边界接入平台
基于WIFI的无线局域网安全接入方案、基于WAPI的无线局域网安全接入方案 移动3G/4G便携式基站
大数据 平台
移动应用服务运行平台
开发资源库
移动应用开发平台
应用资源库
移动应用发布管理平台 移动政务云设施
业务资源库
移动应用服务平台
移动应用开发平台总体思路
移动应用开发与管理为各种类型和规模的移动云应用提供统一的云开发环境、云 测试环境、云生产环境,以及对政务云应用系统进行生命周期管理
移动应用开发平台结构组成及功能
终端安全
以Android操作系统安全加固为基础,实现终端安全策略统一、系 统可控、集中监管。 对终端进行准入控制、行为统计、远程控制等措施。
通过SDK来获取各类预设的行为,如:启动、退出、特定事件等; 通过服务器端进行汇总和存储,方便审计员进行查询和分析。
移动接入平台
统一认证接入方式:具体措施为全省的终端通过运营商网络统一接入到安全接入平台,通过 安全接入平台使用移动应用平台,业务人员通过终端直接访问统一平台。
提高管理、保障、服 务等能力,提升运行 维护和实际操作水平
目录
01 移动办公背景 02 建设目标及内容 03 建设方案
— *—
移动政务云平台概念模型
标
准
数据
规
范
用户个性化
工具
视频应用
合成类
执法类
信息采集
应用中心
数据中心
通用功能
通用服务
移动政务云平台目标
目标是让应用
开放接口 提供丰富的服务支 撑接口和通用组件
移动政务云平台安全中心
手机 病毒
SIM 卡复 制
伪基 站诱 骗
… …
终端加固 信道加密 边界防护
……
认证授权
移动政务云平台
访问控制
安全审计
病毒防护
… ….
虚拟化 安全领域
虚机隔离 自省监控 隔离保护
……
虚机
虚机
虚机
…
逃逸
滥用
入侵
…
移动安全领 域
窃取
数据加密
越权
租户隔离
违规
追溯取证
灾难
大数据防护
……
… ….
PAD
智能手机 笔记本电脑
无线相容性认证(WIFI,用户名/密码) 单项认证
移动VPN 网关
移动应 用服务 器群组
移动应 用管理 服务器
隔离 网闸
防火墙
移动应 用代理 服务器
