中国电信移动办公产品白皮书范本_第1页
中国电信移动办公产品白皮书范本_第2页
中国电信移动办公产品白皮书范本_第3页
中国电信移动办公产品白皮书范本_第4页
中国电信移动办公产品白皮书范本_第5页
已阅读5页,还剩30页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

中国电信移动办公中国电信移动办公 产品白皮书产品白皮书 中国电信中国电信 20112011 年年 6 6 月月 文档修改文档修改/ /批准记录批准记录 版本版本修改修改/ /批准日期批准日期内容内容修订人修订人批准人批准人 0.12011-6-1 创建文档,完成部分内容编写金琦 02 2011-6-2 完成初稿内容编写金琦 0.32011-6-3 新增产品部署方案,修改部分 内容 金琦 04 2011-6-13 修改各个章节内容金琦 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权 均属中国电信所有,并受到有关产权及版权法保护。任何个人、机构未经授权许可,不得以任何方 式复制或引用本文的任何片断。 如何联系我们 中国电信中国电信 地址:地址: 中国浙江杭州市莫干山路 118 号 产品电话:产品电话: 王先生,0571-;金先生,0571- 传真号码:传真号码: 0571- 目目 录录 1 引言引言.1 2 客户面临的困扰客户面临的困扰.2 3 产品概述产品概述.4 4 为客户带来的价值为客户带来的价值.5 4.1 固网应用移动化,提升工作效率决策能力5 4.2 不改变客户原有系统,新型低碳节约6 4.3 安全接入,多终端覆盖7 5 产品功能说明产品功能说明.8 5.1 手机客户端功能模块8 5.1.1 业务支持功能:.8 5.1.2 通讯支持功能:.11 5.2 客户自服务功能12 6 产品应用场景示例产品应用场景示例.13 6.1 移动 OA 办公13 6.2 移动执法(卫生监督执法/工商执法/城管执法/烟草执法等).14 6.3 烟草定烟14 6.4 移动销售15 6.5 移动物流15 6.6 移动保险16 7 支持手机终端支持手机终端 OS.17 8 产品部署方案产品部署方案.18 8.1 集中部署方式18 8.1.1 系统组网图.18 8.1.2 组网说明.18 8.2 分布式部署方式19 8.2.1 各本地网客户侧接入.19 8.2.2 手机端接入.21 8.3 安全建设方案22 8.3.1 整体分级安全保障.22 8.3.2 网络接入层面安全保障.24 8.3.3 应用层面的安全保障.26 8.4 设备清单26 9 产品主要优势产品主要优势.28 10 产品成功案例产品成功案例.30 10.1 本省成功案例30 产品白皮书 移动办公 中国电信 版权所有1 1 引言引言 随着信息化系统的普及,电子化、数据化的工作方式已进入越来越多的企业和政府 单位,信息化系统在企事业内部编织起一套高效、畅通的信息互联体系,极大推动了企 事业单位生产力的发展。但与此同时,由于需要依赖固定的工作场所和固定的配套设备, 信息化的极盛又开始凸显一些新工作模式的问题:如何才能打破这些时空上的信息束缚 限制,跳出固化的信息化建设窠臼,建立一套可以随时、随地、随手使用的信息系统, 使得公司管理者、业务人员不管置身何地,都能随心所欲地和企事业内部系统关联?这 一问题日渐成为信息化市场的关注焦点。 随着移动技术地不断发展,移动办公逐渐映入人们的眼帘,它的发展也经历了三个 阶段:第一代移动办公产品以短讯技术为基础,实时性较差, 查询请求不会立即得到 回答;第二代移动办公系统采用基于 WAP 技术的方式,手机主要通过浏览器的方式 来访问网 页实现信息的查询,虽然部分地解决了访问技术的问题。但是访问网页的 交互能力极差,因此极大地限制了移动办公系统的灵活性和方便性;新一代的移动 办公系统,也就是第三代移动办公系统融合了 3G 移动技术、智能移动终端等多种 前沿技术,以专网和无线通讯技术为依托,使得系统的安全性和交互能力有了极大 的提高。 目前,中国电信 3G 技术服务具备网络覆盖好、服务质量高、上网速度快、使用 绿色健康、通讯信息保密、以及宽带移动互联网的优势特点。用户可以随时方便稳 定地接入高速移动互联网,并将享受多种宽带互联网服务,其中中国电信推出移动 办公业务就是基于中国电信 3G 技术的高品质增值服务产品,它是建立以手机终端为 载体实现的移动信息化系统,系统将智能手机、中国电信 3G 无线网络、应用系统三者 有机结合,实现任何工作地点和工作时间的无缝接入,提高了办公效率。 它连接客户 原有的各种应用系统,使手机也可以用以操作、浏览、管理公司的全部工作事务,如移 动办公、移动销售、移动执法等,帮助用户摆脱时间和空间的限制,随时随地随意地处 理工作,提高效率、增强协作。 产品白皮书 移动办公 中国电信 版权所有2 2 客户面临的困扰客户面临的困扰 随着工作模式的改变,从传统固定工作模式转变为移动工作模式,各行各业开始大 力发展移动信息化的建设,试图把原有建设信息化系统延伸到移动手机终端上进行办公 及应用,这是因为他们在工作中经常面临这样的困扰: 领导在外无法及时处理公文领导在外无法及时处理公文 经调查显示,领导在办公室处理文件的时间低于 10%,大量公文往往堆积得不到及 时处理,执行停滞,降低企事业的工作效率。 市场外勤人员如何及时信息互通市场外勤人员如何及时信息互通 市场人员如何第一时间把握商机及时反馈公司进行决策执行?外勤人员如何第一时 间将工作情况提交汇报?如何加强在外人员与本部人员信息互通变得有为重要。 流动人员如何实现流动处理工作派单流动人员如何实现流动处理工作派单 流动行业工作人员如何代替原有纸张处理录入电脑方式,随时随地在外工作能够自 如接受工作派单,及时处理,及时反馈工作结果,在有限工作时间提高工作效率? 如何实现对整个生产办公的严格管控如何实现对整个生产办公的严格管控 如何方便地查询数据信息,以便及时分析,将决策指令快速有效下达以及对实行线 有效管控,也是各行各业高度重视的一件事情。 在各行各业中,如何实现移动处理在各行各业中,如何实现移动处理 OAOA 办公?如何实现移动执法?如何实现流动销办公?如何实现移动执法?如何实现流动销 售?如何实现移动便民服务?这样的客户还有很多,都在面临着各式各样的工作困扰。售?如何实现移动便民服务?这样的客户还有很多,都在面临着各式各样的工作困扰。 。 。 。 对于以上的客户面临的业务困扰,如果有一套移动化信息解决方案是可以迎刃而解 的,但是在建设过程中客户同样提出更高的要求: 如何不改变原有系统,实现移动应用,又能节约投资建设如何不改变原有系统,实现移动应用,又能节约投资建设 一般情况下,各行各业的客户都已投资建设过一些信息化系统,来实现各式各样的 应用,比如企事业的 OA 办公系统、行政机关执法系统、烟草系统、销售系统、物流系 统等等。如何既能不改变原有系统,又能够节约投资建设,就能快速建设接入原有应用 业务系统实现移动平台建设,是客户考虑主要因素。 如何保证移动接入的安全性如何保证移动接入的安全性 产品白皮书 移动办公 中国电信 版权所有3 无论是办公 OA 系统,还是生产 CRM 系统,都会涉及到各行各自身隐私信息。如 何保证移动接入的安全,是许多电信大客户重点考虑的事情。 如何支持各类手机终端标准如何支持各类手机终端标准 移动应用与手机终端必不可分,随着科技不断发展,手机终端承载移动应用的能力 变得越来越强大,各类手机终端层出不穷。如何做到一次适配全终端使用,降低手机终 端维护工作变得越来越重要。 产品白皮书 移动办公 中国电信 版权所有4 3 产品概述产品概述 “移动办公”是基于中国电信 3G 网络、数据网或互联网,在手机终端上安全地为 客户提供轻松工作的解决方案,将原有客户的生产及办公系统延伸到移动终端上,满足 政府及企事业客户随时随地的工作需求,提高工作效率,拓展工作范围。 移动办公是通过移动信息转换中间件技术将客户原有系统页面自动转换为手机终端 能支持应用功能页面,面向中国电信客户提供手机办公应用服务,实现随时随地办公应 用需求,帮助客户提升工作效率及管理能力。 客户只要内置移动办公手机客户端软件实现流动工作需求,保证与原有客户系统业 务逻辑及功能的一致性;系统还提供后台客户自服务,满足客户自助管理功能。 移动办公的实现原理如下图所示: 产品白皮书 移动办公 中国电信 版权所有5 4 为客户带来的价值为客户带来的价值 移动办公部署并应用后,能够为客户面临的困扰带来有效的解决方案。具体来说, 能够带来的价值包括: 4.1 固网应用移动化,提升工作效率决策能力固网应用移动化,提升工作效率决策能力 传统的驻地办公及人工处理工作流的方式,已经越来越不能适应快节奏的市场运作, 势必对各行各业提出信息化改革的要求,其中移动化应用就是在这种大背景下孕育而生。 中国电信移动办公产品是一套基于先进中间件技术,通过中国电信 3G 网络、数据 网络以及宽带网络,将客户应用办公系统有效、快速、精准、安全的移植至客户智能手 机终端,使得手机应用与原客户应用系统一致,实现异地移动办公应用。这样的产品对 于客户的长远发展是有价值的,主要从几个方面:1、提升员工工作效率提升员工工作效率,拓展了工作 人员工作空间,提升产能;2、提升企业决策能力提升企业决策能力,将企业经营数据整合呈现在决策层 手机上。运筹帷幄之中,决胜千里之外!;3、提升企业相应速度提升企业相应速度, “快鱼吃慢鱼”是现 代市场竞争法则。移动办公可提高企业的市场反应速度!;4、增强员工执行能力增强员工执行能力,推 送方式提醒员工处理工作,以免延误时机 ;5、提高员工满意度和归属感提高员工满意度和归属感,使员工不用 携带沉重的电脑,或赶回办公室办公。 产品白皮书 移动办公 中国电信 版权所有6 4.2 不改变客户原有系统,新型低碳节约不改变客户原有系统,新型低碳节约 随着科技发展以及手机终端承载能力提高,移动化应用在现实生活中得到了越来越 广泛的应用,比如移动 OA、移动执法、烟草 e 通、销售 e 通、物流 e 通、保险 e 通等 等。客户如何实现?传统的实现方式对于客户自己开发的原有 IT 系统无法复用、需要 重新开发数据接口,WAP 系统逻辑和页面展示,这样的做法往往造成实施周期长、实 施成本高,效果不理想。 我们提供的移动办公产品的解决方案是基于中间件适配的方案,对于 WEB 系统可 通过抓取系统页面进行自动适配转换,仅需少量简单模板的制作,不需重新设计开发数 据层及逻辑层,简单地说只是对客户原有系统页面展现的一个转换,并不涉及对后台的 操作,无需改变原系统,不涉及第三方厂商,从而降低了实施风险,保证了与原 IT 系 统业务逻辑的一致性。 产品白皮书 移动办公 中国电信 版权所有7 4.3 安全接入,多终端覆盖安全接入,多终端覆盖 相比传统固网应用系统地安全性,客户对移动应用系统的安全性提出了要求。客户 在网络接入安全这块可以选择中国电信专线接入或是 VPN 接入等安全机制的方式。另 外系统具备完善的身份认证、访问控制、日志管理、数据加密等安全保密机制,保证网 络系统、主机系统和应用系统的安全,提供完整的安全机制。 。 目前系统支持各种主流手机平台,包括 Android、WindowMobile、WindowsCE、iPhone、BREW;手机客户端界面风格统一, 开发一次,同平台全终端使用,操作简单。 产品白皮书 移动办公 中国电信 版权所有8 5 产品功能说明产品功能说明 移动办公产品的功能由手机客户端与客户自服务两部分组成。如下图所示: (产品功能组成) 5.1 手机客户端功能模块手机客户端功能模块 5.1.1 业务支持功能:业务支持功能: 移动办公产品最大亮点就是可以把客户原有应用系统经过中间件转化适配到手机客 户端上,保证手机客户端与客户原有系统业务应用系统功能保持一致,目前中国电信的保证手机客户端与客户原有系统业务应用系统功能保持一致,目前中国电信的 移动办公产品已经能支撑很多行业的应用,移动办公产品已经能支撑很多行业的应用,列举如下: 移动移动 OAOA 类:类: 公文管理:包括发文管理(待办发文、发文库、公文流转日志),办文管理(待 办抄告单、待办批示传阅单、待办公文处理单、待办公文处理简复单)。 公文签批:处理待签批的公文,可提供六种公文类型的签批,超过另计费。 公文浏览:已办公文、转办公文、已发公文、草稿箱功能。 通知公告:实现公告列表、打开列表和浏览公告的功能。对于公告中的附件, 支持浏览。 产品白皮书 移动办公 中国电信 版权所有9 OA 邮件:发邮件、收件箱、发件箱、草稿箱、回收站、邮箱分类。 通讯录 移动执法类(卫生监督执法移动执法类(卫生监督执法/工商执法工商执法/城管执法城管执法/烟草执法等):烟草执法等): 企业信息查询:执法人员在现场通过手机查询卫生监督信息系统里企业卫生许 可证、违法记录及办事流程中涉及到的各种表单等详细数据。 行政许可:监督员在企业现场进行监督,如果符合要求,通过手机终端实现现 场审批,自动进入下一个流程环节。 日常监督:执法人员在日常检查中进行现场记录。 行政处罚:执法人员在对企业进行行政处罚时调阅企业的相关卫生许可信息、 历史违法记录等供处罚参考 法规查询:查询法规。 处罚查询或统计:查询统计信息或者已有处罚的记录。 拍照记录:对现场做拍照记录 信用档案 烟草定烟类:烟草定烟类: 订购卷烟:客户手机订购卷烟品种,数量。 订购记录:查询已订购卷烟的记录。 通知查看:查看卷烟专卖局发布的通知信息。 余额查询:查询帐号余额,避免订购失败。 卷烟介绍:查看卷烟信息,价格等。 移动销售管家类:移动销售管家类: 营销数据采集功能:销售员,营业员进行销售数据上报。 订货功能:进行货物预订。 信息发布和查询:查询公告,信息。 产品白皮书 移动办公 中国电信 版权所有10 销售数据分析统计:对产品统计分析。 客户信息登记查询:登记,查看。 工作计划:书写和记录工作计划。 工作日志和汇报:查看工作日志,汇报。 任务分派和查看:领导分派任务,下属查看任务。 产品查询:查看产品信息和介绍,功能特点。 移动物流类:移动物流类: 任务查询:查询分派的任务情况。 客户查询:查询客户资料,电话,地址。 签收拍照:签收情况拍照。 手机扫描:扫描货物。 任务反馈上传:任务完成后上传记录汇报。 定位查询服务:车辆定位,车辆查询,历史查询。 物流信息发布:车辆调度的信息发布、公共信息发布。 物流信息管理:派车情况、车辆调度,货物运输情况。 移动保险类:移动保险类: 客户资料查询:查看客户信息,保险单,保险内容,地址,电话等。 移动定损登记:实现移动定损等记录和提交。 定损(工作)记录查询:查看工作记录。 规章和制度查询:查看会议通知,派遣单,公司公告,法规制度等。 备忘录:记录需要零时记录的电话号码,事宜,地址,配件名等。 常用信息查询:如定损时需要的修店店联系方式,参考配件资料,参考价格等。 移动警务类:移动警务类:人员信息 、车辆信息 、通缉查看 、公文处理 、法律法规 、 产品白皮书 移动办公 中国电信 版权所有11 通讯录 、现场处罚等。 移动便民服务类:移动便民服务类:查询便民服务内容 、各部门服务热线 、便民信息 、最新 通知,政策 等。 移动电力保修类:移动电力保修类:客户查询 、业务受理 、用户建议 、用户投诉 、业务派发 等。 移动医药类:移动医药类:订单管理 、稽核管理 、收发邮件 、公共信息 、周月报管理 、OTC 管理等。 移动教育类:移动教育类:通知公告 、最新作业 、成绩查看 、家校留言 、平安考勤 、 通讯录 、内部邮件 、内部短信等。 街道社区类:街道社区类:企业基本信息、环评、试运行、竣工验收、排污许可等。 等等等等 针对支持上述各行各业业务功能以外,手机客户端还具备以下业务通用功能:针对支持上述各行各业业务功能以外,手机客户端还具备以下业务通用功能: 文件上传和下载:文件上传和下载:支持通过从手机客户端上传文件到政企/行业应用系统,支 持从政企/行业应用系统下载文件到手机客户端,支持断点续传。 文件预览:文件预览:客户端以导航目录的形式显示压缩文件中的目录和文件,对其中的 文件能进行再次预览。支持的文档格式包括 word、 ppt、, excel、 txt、 jpeg、 gif、 png、 bmp、 zip、 pdf 等。 支持多应用:支持多应用:支持企业内部多个应用系统安装在同一个手机客户端上,以满足 企业选择多个应用的情况。 客户端软件更新:客户端软件更新:手机客户端支持更新客户端程序本身,在联网时自动检查是 否有最新版本,提示用户进行更新安装或实现自动升级。 支持用户身份认证:支持用户身份认证:手机客户端支持企业用户通过企业管理员分配的 license 账号密码登录时进行身份认证。用户安装客户端后,首次登录需要输入用户名 密码。客户端可以设定是否记住账号密码,可使用户下次使用不需再次输入。 支持手机本地资源调用:支持手机本地资源调用:支持摄像头等手机本地资源的调用。 产品白皮书 移动办公 中国电信 版权所有12 5.1.2 通讯支持功能:通讯支持功能: 短信支持:短信支持:手机客户端需要支持界面中点击链接、按钮、列表等发送短信。 网络连接功能:网络连接功能:手机客户端支持自动拨号,连接无线网络。当网络连接断开后, 例如语音电话打入造成客户端数据连接中断等,手机客户端网络的自动重连, 用户不需要重新登陆即可继续使用业务。 加密传输:加密传输:手机客户端支持通过 SSL 进行加密传输,保证用户的数据通讯安全。 5.2 客户自服务功能客户自服务功能 客户管理员通过此系统可实现对用户使用业务的开通、功能权限、操作权限的增加、 修改、删除、查询统计报表及系统设置等功能。 产品白皮书 移动办公 中国电信 版权所有13 6 产品应用场景示例产品应用场景示例 以下列举部分应用场景实例: 6.1 移动移动 OA 办公办公 产品白皮书 移动办公 中国电信 版权所有14 6.2 移动执法(卫生监督执法移动执法(卫生监督执法/工商执法工商执法/城管执法城管执法/烟草执法烟草执法 等)等) 6.3 烟草定烟烟草定烟 产品白皮书 移动办公 中国电信 版权所有15 6.4 移动销售移动销售 6.5 移动物流移动物流 产品白皮书 移动办公 中国电信 版权所有16 6.6 移动保险移动保险 产品白皮书 移动办公 中国电信 版权所有17 7 支持手机终端支持手机终端 OS Android Window Mobile Windows CE iPhone BREW 产品白皮书 移动办公 中国电信 版权所有18 8 产品部署方案产品部署方案 移动办公按实现方式分为集中型接入和分布型接入。集中型接入移动办公是基于中 国电信集中部署的移动办公应用平台,为客户提供移动办公服务。分布型接入移动办公 是通过部署在客户侧并为其专用的定制服务器,提供移动办公应用。 8.1 集中部署方式集中部署方式 8.1.1 系统组网图系统组网图 电电信信 N NM MA AP P移移动动办办 公公服服务务平平台台 互互联联网网 接接入入 C CN N2 2 V VP PN N专专线线 用用户户O OA A系系统统 用用户户C CR RM M系系统统 用用户户E ER RP P系系统统 适适用用于于安安全全性性 要要求求比比较较高高的的 用用户户 用用户户应应用用系系统统 适适用用于于安安全全 性性要要求求低低的的 用用户户 接接入入防防火火墙墙 CTNET/CWAP/ WIFI VPDN 互连网方式 本地网CN2 VPN 汇聚节点 互联网 8.1.2 组网说明组网说明 1、概述、概述 如图所示,集中式平台部署在杭州的电信机房,手机通过互联网或电信的 VPDN 平 台接入电信的集中式平台,客户侧通过互联网或 CN2 VPN 专线接入集中式平台,在集 中式平台进行适配。 2、客户应用接入、客户应用接入 1)CN2 专线方式接入专线方式接入 对于 CN2 VPN 接入,各地市客户先通过 CN2 VPN 接入到各地市的 CN2 汇聚路由 产品白皮书 移动办公 中国电信 版权所有19 器,再由 CN2 汇聚路由器通过 CN2 专线与中心平台互通。 对客户侧设备要求: a.需要有一台企业级防火墙或路由器,且至少有一个空余以太口或光口。 b.需要在企业侧防火墙或路由器上进行静态地址映射,将企业内网业务门户网站服 务器地址映射成 CN2 VPN 地址。 c.需要在企业侧防火墙或路由器上开放移动办公涉及的相应端口。 2)互联网方式接入)互联网方式接入 对于互联网接入,各客户通过互联网接入到集中式平台的接入防火墙,再由接入防 火墙与集中式平台互通。 对客户侧设备要求: a.需要有一台企业级防火墙或路由器,且至少有一个空余以太口或光口。 b.需要在企业侧防火墙或路由器上进行静态地址映射,将企业内网业务门户网站服 务器地址映射成互联网地址。 c.需要在企业侧防火墙或路由器上开放移动办公涉及的相应端口。 3、手机端接入、手机端接入 1)VPDN 方式接入方式接入 客户移动用户通过电信的 VPDN 网络,并经过电信的 AAA 认证服务器认证后接入 集中式平台内网,再通过集中式平台接入各企业内网。 2)互联网方式接入)互联网方式接入 客户移动用户通过互联网接入经集中式台,认证后通过后再通过集中式平台接 入各自企业内网。 8.2 分布式部署方式分布式部署方式 8.2.1 各本地网客户侧接入各本地网客户侧接入 1、CN2 专线方式接入专线方式接入 1)系统组网图)系统组网图 产品白皮书 移动办公 中国电信 版权所有20 2)组网说明)组网说明 如图所示,用户侧通过 CN2 等专线的方式接入电信网络,手机客户端通过电信的 CDMA 网络以 VPDN 拨号的方式接入到电信的网络中,再通过 CN2 等专线接入企业侧 移动办公系统,通过企业侧移动办公系统于企业内网办公系统适配。 对客户侧设备要求: a.需要有一台企业级防火墙或路由器,且至少有一个空余以太口或光口。 b.需要在企业侧防火墙或路由器上进行静态地址映射,将企业内网业务门户网站服 务器地址映射成 CN2 VPN 地址。 c.需要在企业侧防火墙或路由器上开放移动办公涉及的相应端口。 2、互联网接入、互联网接入 1)系统组网图)系统组网图 产品白皮书 移动办公 中国电信 版权所有21 2)组网说明)组网说明 如图所示,用户侧通过接入防火墙接入互联网,手机客户端通过电信的 CDMA 网络 以互联网的方式接入到电信的网络中。 对于安全性要求比较高的用户,可以考虑增加 SSL VPN 接入设备,手机客户端通过 电信的 CDMA 网络与 SSL VPN 接入设备建立 VPN 隧道,安全接入移动办公平台。 对客户侧设备要求: )纯互联网接入 a.需要有一台企业级防火墙或路由器,且至少有一个空余以太口或光口。 b.需要在企业侧防火墙或路由器上进行静态地址映射,将企业内网业务门户网站服 务器地址映射成互联网地址。 c.需要在企业侧防火墙或路由器上开放移动办公涉及的相应端口。 2)SSL VPN 接入 a.需要在企业接入防火墙或路由器后面部署一台 SSL VPN 网关设备。 b.需要在企业侧防火墙或路由器上进行静态地址映射,将 SSL VPN 网关的内网地址 映射成互联网地址。 c.需要在企业侧防火墙或路由器上开放 SSL VPN 的 443 端口。 8.2.2 手机端接入手机端接入 1、VPDN 方式接入方式接入 产品白皮书 移动办公 中国电信 版权所有22 客户移动用户通过电信的 CDMA 网络拨号接入电信的 VPDN 网络,再通过 CN2 等专线 接入企业内网。 2、互联网方式接入、互联网方式接入 1)纯互联网方式)纯互联网方式 客户移动用户通过互联网接入各自的企业。 2)SSL VPN 方式方式 客户移动用户从互联网接入 SSL VPN 网关,建立手机到 SSL VPN 网关的 VPN 加密 隧道,并通过该加密隧道安全访问企业内网。 8.3 安全建设方案安全建设方案 8.3.1 整体分级安全保障 1) 第一级安全保障:手机到电信网络(第一级安全保障:手机到电信网络(CDMA 本身安全)本身安全) CDMA 起源军事保密技术,广泛应用于军事领域,具有抗干扰、安全通信、保密 性好等特性。 保密性能好 安全系数高 抗干扰能力强 2)第二级安全保障:电信网络到政企客户接入第二级安全保障:电信网络到政企客户接入 a.电信专线接入,直接接入到电信专线接入,直接接入到 CN2 VPN 网络中网络中 专线的接入具有可靠、简单、高效、安全、时延小的特点 能提供高性能的点到点通信,通信保密性强,特别适合政府、金融等保密 性要求的客户需要; 传输质量高,网络时延小,信道固定分配,充分保证了通信的可靠性,保 证用户的带宽不会受其他用户的影响。 b.基于基于 ChinaNet 的互联网接入的互联网接入 在 CN2 和 ChinaNet 之间部署 VPN 网关设备,利用 SSL/IPSEC 等 VPN 加密 方式实现。 通过这种方式,政企侧防火墙无需为综合办公业务开放任何端口,不会对政企 产品白皮书 移动办公 中国电信 版权所有23 原有 IT 系统安全造成影响。 3)第三级安全保障:手机到政企客户第三级安全保障:手机到政企客户 a.SSL VPN EMA 服务器支持 SSL(或者在政企侧部署专门的 SSL VPN 网关) ,可以在手 机客户端与 EMA 服务器、PC 与 EMA 服务器之间搭建基于 SSL 的传输通道,为 EMA 提供安全加密和分配内网地址,保证数据传输的私密性。 b.数字安全加密数字安全加密 EMA 服务器提供认证管理,对于手机客户端,CA 证书将以软件方式存储在手 机中;数字证书用以表明政企员工的网上身份。手机终端用户通过使用 CA 数字证 书进行验证后远程登录,通过使用 SSL 安全网关和数字证书可以确保移动办公人 员在进行远程访问时保证政企内应用系统的安全。 c.VPDN 拨号接入拨号接入 通过在政企侧部署 LNS,可以在手机客户端到 EMA 服务器之间实现 VPDN 方 式接入。 企业部署 LNS,包括路由器、认证服务器、防火墙; EMA 服务器部署在 LNS 后面,与内部 IT 系统对接; LNS 连接电信 CN2 专线; EMA 服务器通过 LNS 路由访问电信侧位于 CN2 网络的业务引擎与 EMA 管理平台; LNS 通过端口映射方式开放 EMA 服务器的回调端口,供电信侧业务引擎 和 EMA 管理平台访问 EMA 服务器; LNS 关闭其它端口,外部网络无法访问 EMA,保障网络安全 4)第四级安全保障:政企客户内外网安全第四级安全保障:政企客户内外网安全 防火墙安全访问控制 可以将 EMA 部署在政企内部边界防火墙的非军事区(DMZ)内,并置于防火墙 的安全保护之下。 5)第五级安全保障:应用系统安全保障第五级安全保障:应用系统安全保障 多种身份校验机制 提供用户名、手机号和密码的三重绑定,保证用户账号和手机号实行绑定 手机客户端通过用户名绑定手机号码 IMSI、手机 IMEI 等方式来增强安全性能,达 到只能允许指定手机接入系统的目的。 高强度密码和强制密码输入 产品白皮书 移动办公 中国电信 版权所有24 如设置登录错误次数限制,只允许用户每次登录尝试可设定次数的密码,超出规定 的次数,将自动在一段时间内中止登录系统,以防止对用户密码的穷举攻击。 8.3.2 网络接入层面安全保障 1)客户侧专线接入安全保障客户侧专线接入安全保障 企业侧接入基本是通过专线的方式进行接入,专线即专属线路,为企业内部的一 条专用传输线路,电信为企业开通一条专属于该企业的传输线路,该线路只传输该企业 的数据,不会接受其他企业和用户的任何数据,各企业独自占用专线全部带宽,与其他 企业及公网之间是完全隔离的,从而全面保证了企业网络的可靠、稳定及保密性。 对于不同企业之间的数据隔离,可以通过在汇聚路由器和核心路由器上配置访问 控制列表,只允许中心平台地址段和各企业内网之间进行互访,拒绝不同企业之间互访, 从而保障企业数据的安全。同时在企业侧接入设备上进行 NAT 地址转换,以避免不同 企业内网地址冲突。 2)客户侧公网接入安全保障客户侧公网接入安全保障 对于通过公网方式接入的企业,通过在企业接入防火墙上进行策略配置,关闭所 有不需要的端口,从而实现公网用户安全接入。 3)手机接入侧手机接入侧 VPDN 方式接入安全保障方式接入安全保障 手机侧通过电信 VPDN 网络接入,为其分配 VPDN 网的 IP 地址,手机再使用该 地址通过专线与对应的企业内网互通。 VPDN 采用专用的网络安全和通信协议,可以使企业在公共网络上建立相对安全 的虚拟专网。VPN 用户可以经过公共网络,通过虚拟的安全通道和用户内部的用户网 络进行连接,而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。 VPDN 利用隧道技术,通过在公用网络上建立逻辑隧道、网络层的加密以及采用 口令保护、身份验证、权限设置、防火墙等措施,保证数据的完整性、避免被非法窃取。 VPDN 采用了先进的 IP 虚拟通道技术,所有传送的文件资料信息不会被人监测窃 取。 中国电信 VPDN 系统的业务安全通过第二层隧道协议在建立时的认证、拨号用户在 企业内部网认证系统的用户名和口令认证与授权、分配企业内部网地址等方式提供。 产品白皮书 移动办公 中国电信 版权所有25 4)手机接入侧手机接入侧 SSL VPN 方式接入安全保障方式接入安全保障 SSL VPN 是一个安全协议,数据全程加密传输的。另外,由于 SSL 网关隔离了内 部服务器和客户端,只留下一个 WEB 浏览接口,客户端的大多数病毒木马感染不到内 部服务器。其安全性主要体现在以下两个方面: 由于 SSL VPN 采用了 SSL(Security socket layer)协议,该协议是介于 HTTP 层及 TCP 层的安全协议。 通过 SSL VPN 是接入企业内部的应用,而不是企业的整个网络。 由于采用 SSL 安全协议在网络中传输,所以在防火墙上只需要打开有限 的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大 大降低了整个网络被公网来的攻击的可能性。 数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样, 有标准的算法比如 DES,3DES,RSA 等等也有自己的加密算法。黑客想 要窃听网络中的数据,就要能够解开这些加密算法后的数据包。 Session 保护功能:现在所有的 SSL VPN 基本上都能够做到这个功能,就 是在会话停止一段时间以后自动停止会话,如果需要继续访问则要从新登 陆,通过对 Session 的保护来起到数据被窃听后伪装访问的攻击。 5)客户端接入安全保障)客户端接入安全保障 客户端实用 SSL 加密协议与集中式平台通信,确保用户数据安全可靠地在网络上 进行传输。 SSL 加密技术介绍: 为了保护敏感数据在传送过程中的安全,全球许多知名企业采用 SSL(Security Socket Layer)加密机制。 SSL 是 Netscape 公司所提出的安全保密协议,在浏览器(如 Internet Explorer、Netscape Navigator)和 Web 服务器(如 Netscape 的 Netscape Enterprise Server、ColdFusion Server 等等)之间构造安全通道来进行数据传输,SSL 运 行在 TCP/IP 层之上、应用层之下,为应用程序提供加密数据通道,它采用了 RC4、MD5 以及 RSA 等加密算法,使用 40 位的密钥,适用于商业信息的加密。同时, Netscape 公司相应开发了 HTTPS 协议并内置于其浏览器中,HTTPS 实际上就是 HTTP over SSL,它使用默认端口 443,而不是像 HTTP 那样使用端口 80 来和 TCP/IP 进行通 信。HTTPS 协议使用 SSL 在发送方把原始数据进行加密,然后在接受方进行解密,加 产品白皮书 移动办公 中国电信 版权所有26 密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易 被网络黑客截获和解密。 8.3.3 应用层面的安全保障 1)系统安全)系统安全 a信息安全信息安全 移动办公平台不存储用户任何信息, 移动办公平台将透传用户的信息数据,比如 用户名、密码、交互信息等等。 b安全记录安全记录 NMAP 平台对用户的操作进行详细的记录和报警,保证用户和管理员和用户可以 查看以往的操作日志;同时也可以对日志分析,查看系统是否曾遭到攻击。 2)应用安全)应用安全 a炸弹短信炸弹短信 当用户丢失手机或手机使用权发生更变的时候,可利用 NMAP 平台发出炸弹短信, 利用炸弹短信,可以清空用户手机中移动信息化系统相关的所有资料。(可选,需要增 加短信设备) b停用锁止停用锁止 当用户因为手机丢失或其他原因需要暂停业务时,系统会锁定用户所有的数据, 并阻止用户登录,保证用户的机密信息不会泄漏。 c多重绑定多重绑定 NMAP 平台可以提供高安全的用户名、手机 SIM 编码(IMSI)和手机终端序列号 (ESN)的多重绑定,只有当多重校验全部匹配时,才能允许用户登录,可以有效地实 行用户的鉴权登录,保证用户登录时身份的不可伪造性。 8.4 企业侧需要的接入设备建议企业侧需要的接入设备建议 企业侧至少需要一个企业级的接入防火墙或路由器用于互联网或 CN2 VPN 专线的 接入,若已经有接入防火墙或路由器,则至少需要有一个空余的以太网口或光口。 若企业侧没有接入防火墙或路由器,则需要购买一个防火墙或路由器,建议型号如 产品白皮书 移动办公 中国电信 版权所有27 下: 考虑到安全性,对于采用互联网接入的建议使用防火墙接入。 防火墙(需要支持防火墙(需要支持 VPDN 接入)设备参考:接入)设备参考: 用户规模设备厂商设备型号 100 用户以下网御神州 SecGate3600- F3-RC4(CY) 100-500 用户网御神州 SecGate3600- F6-RC06 500 用户以上网御神州 SecGate3600- F6-RC3609 路由器(需要支持路由器(需要支持 VPDN 接入)设备参考:接入)设备参考: 用户规模设备厂商设备型号 100 用户以下 H3CMSR 900 100-500 用户 H3CMSR 20-21 500 用户以上 H3CMSR 30-40 对于使用 SSL VPN 接入的企业用户,还需要增加一个 SSL VPN 网关设备,建议型 号如下: SSL VPN 接入设备参考:接入设备参考: 用户规模设备厂商设备型号 100 用户以下网御神州SecSSL 3600-M-2(并发用户数 50) 100-500 用户网御神州SecSSL 3600-M-2(并发用户数 200) 500 用户以上网御神

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论