企事业单位移动办公解决方案.doc

《企事业单位移动办公解决方案.doc》由会员分享，可在线阅读，更多相关《企事业单位移动办公解决方案.doc（16页珍藏版）》请在三一办公上搜索。

1、企事业单位移动办公解决方案版权所有：深圳市惠尔顿信息技术有限公司二零壹壹年九月声明Copyright20011 深圳市惠尔顿信息技术有限公司 版权所有。由深圳市惠尔顿信息技术有限公司提供的本方案中包含的所有信息，都将被视为机密信息，本方案仅供选择网络异地互联解决方案时使用，不得将本方案作其他用途。 本方案针对具体的需求而定制，客户在未与本公司正式签署合约之前，本业务方案建议书的知识产权归深圳市惠尔顿信息技术有限公司所有，不得将本方案内容透露给第三方，且由深圳市惠尔顿信息技术有限公司所开发的任何原始概念、结构、设计、处理方法不得用于商业用途。文档说明深圳市惠尔顿信息技术有限公司（以下简称“惠尔顿

2、”）凭借长期以来对现实异地互联方案的专业考察，依托于国家863科研成果，惠尔顿实力雄厚、技术领先的研发队伍开发出了填补国际空白的全球第一套自主知识产权的e地通系列产品，不仅具有传统VPN的优势，更有VPN运营商无可比拟的优势核心数据区的内网安全管理，以及未来扩展性强的远程集中接入优势，可以使C/S软件B/S化，布署更容易，维护量更小，成为业界速度最快、最安全、布局最易的产品！我们为参与到贵公司管理信息系统的建设，并有机会发表专业意见而倍感荣幸！本方案建议书是在我们所了解的需求的背景下得以完成的，但限于时间紧迫，某些非关键性问题可能被忽略。对此，我们除表示歉意外，愿意针对大家关心的其它问题再进行

3、补充报告。本方案已列出了能够满足当前网络异地互联和使用移动终端办公对速度以及安全的需求，并能够支持管理系统长期发展对网络平台的需要。目 录一、前言4二、项目概述41、项目目标42、项目范围4三、网络调研情况分析41、网络互联展望4四、方案详细设计51、网络拓扑52、连接说明63、实现效果6五、e地通方案的优势71、Socks5 VPN平台优势安全、节省成本71）免安装的瘦客户端相比传统VPN和运营商VPN安装维护成本更低72）先进的VPN安全体系相比传统VPN和运营商VPN更安全73）支持各种接入方式相比传统VPN和运营商VPN线路成本更低82、支持远程集中接入速度更快，节省租用带宽的成本83

4、、优秀的防火墙功能保障数据接入安全，节省客户投资94、智能化路由管理功能节省客户投资95、先进的带宽叠加和负载均衡功能更稳定、速度更快9六、e地通方案的内网安全功能保障内网安全10七、售后服务141、服务目标142、服务简介143、紧急情况的分类和响应时间144、服务步骤155、服务内容15一、前言在快速发展的信息化时代，为提升事业单位信息化管理，以适应快速发展的管理要求，需布署一套覆盖数据中心和分支机构的管理信息系统，实现信息共享、业务互动，系统的、先进的、安全的信息平台，实现远程用户安全、高效、方便地应用总部应用系统。惠尔顿公司基于对上述情况的初步了解和调研分析，根据我们了解到的具体需求，

5、制作了本方案书。二、项目概述1、项目目标实现企事业单位领导或者办事人员在异地快速、安全、便捷的接入到应用系统，并保证总部核心数据在内网的安全。2、项目范围项目范围涉及惠尔顿e地通异地互联产品。 三、需求调研情况分析由于时间有限，无法对贵单位现有业务及网络环境进行很深入的分析，此处进行的分析仅是基于一般网络情况而进行的，其中必有不妥甚至是错误的描述。我们期待有机会与贵单位进行更深一步的探讨。网络互联展望管理软件数据库的内网安全是政府信息化的基础之一。信息化管理3分软件、7分管理、12分数据，建设一套符合管理软件数据库安全需求的网络优化平台是政府信息化道路上重要组成部分。通过e地通实现整个异地用户

6、对总部系统的访问，在实现互联的过程中、以及实现互联后通过移动终端来实现异地办公，我们要面对什么课题？l 首先是互联计划的实施难度l 如何使用移动终端实现对公司进销存软件的访问l 互联后整个网络的安全性l 互联后整个网络的稳定性l 互联后整个网络其他应用的可拓展性 四、方案详细设计1、网络拓扑2、连接说明1） 总部网络无需替换现有的网关，直接将e地通服务器架设在内网即可，为了保证核心数据区服务器的安全，我们可以把数据库服务器和Web服务器通过e地通服务器与内网其他电脑隔离。2） 异地客户端采用WEB客户端，绿色客户端，硬件KEY,等多种认证方式登录应用系统。3） 连接模式 使用移动终端连接总部进

7、销存软件进行办公。a、 使用WebServers、点对点长连接，请求级响应应答机制。采用公安部制定的移动通讯端到加密算法的VPN技术。b、 无线应用服务器对捆绑的ip及Mac、机器码进行绑定。c、 对通信IP进行验证、认证及鉴权，没有符合一致的进行屏蔽。d、 对应用服务器加密处理和软件防范机制，封闭应用服务器多余端口，修改使用通信端口。 3、实现效果1)、实现外网用户访问数据中心的应用系统异地用户通过惠尔顿e地通系统客户端只要以任何方式接入Internet、便可以安全方便的接入应用系统，随时随地移动办公。2）、实现内网安全管理把应用数据库服务器隔离出来，杜绝内网用户对数据服务器的病毒感染。3）

8、、实现总部公司数据中心与分支机构间的文件、资源共享，和安全规范的共享的文档管理帮助企事业单位建立一个专用的文件传输网络，实时进行文件的共享、如同在局域网内一样。系统扩展方便，再增加其他的用户时，只需在新的下属分支局域网内计算机上安装e地通客户端，正在使用的分公司单位移动用户不受任何影响。总部文件可以远程打印、远程共享，不受文件大小限制。所有的传输过程均经过了加密、确保安全。4）、实现远程网络邻居功能惠尔顿e地通支持Windows“网上邻居”功能，在原来局域网里可实现的功能全部可在远程虚拟局域网里实现，让企事业不再受地域限制，就象在一个办公室里办公一样。5）、使用终端设备实现异地安全、便捷办公

9、惠尔顿e地通Socks 5 VPN助企业轻松使用笔记本、桌面PC、智能手机、PDA等移动终端设备实现安全、便捷的远程接入内网，在降低运营成本的同时大幅提高企业的办公效率。五、e地通方案的优势1、Socks5 VPN平台优势安全、节省成本惠尔顿e地通Socks5 VPN将远程安全接入延伸到传统 VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署和支持费用。 惠尔顿e地通Socks5 VPN正在被越来越多的客户作为远程接入的首选，下面列举了其中的一些理由。1）免安装的瘦客户端相比传统VPN和运营商VPN安装维护成本更低Socks5 VPN整个系统

10、架构在操作系统的应用层，所以系统的安装十分简单，使用相当方便，绿色的VPN，相比SSL VPN的ActiveX安装，Socks5 VPN的使用也十分简单，并且对原有的操作系统没有任何影响。惠尔顿e地通Socks5 VPN成为一种有客户端但在客户端免安装、零配置的解决方案，可以节省安装和维护成本，同时VPN SERVER端一旦升级，客户端自动升级，无须人工干预。传统的VPN和运营商的VPN需要在远程终端上安装特定设备的客户端程序或客户端设备，这是一件十分困难的事，而且在某些情况下是不可能的，比如某些合作伙伴。此外，使传统VPN客户端保持最新状态是IT人员的负担。 惠尔顿e地通Socks5 VPN

11、可以在任何地点，利用任何设备，连接到相应的网络资源上，它具有穿越防火墙的能力。传统 VPN和运营商VPN通常不能支持复杂的网络，这是因为它们需要克服穿越防火墙、IP地址冲突、多重路由转发等困难。鉴于传统 VPN和运营商VPN客户机存在的问题，传统 VPN和运营商VPN实际上只适用于易于管理的或者位置固定的设备。2）先进的VPN安全体系相比传统VPN和运营商VPN更安全作为架构在应用层的VPN，系统有效的屏蔽了VPN服务器的网络结构，也屏蔽了常见的网络攻击手段，系统根据授权与认证访问授信网络。更重要的是，在系统的客户端，可以指定特定的应用程序才能发起连接，连接到服务器，完成应用的代理过程，根据这

12、个控制，系统可以阻止病毒程序不能通过VPN隧道传输到VPN服务器端，有效保护了服务器数据资源的病毒威胁。由于传统 VPN和运营商VPN打通了网络低层，一旦被侵入，整个网络都将暴露，建立隧道后，远程PC就像物理地运行在企业局域网上一样，相当于为远程访问者敞开了访问所有资源的大门，并对全部网络可视，为企业网络带来了安全风险。所以非常容易成为黑客攻击的目标。而且一旦客户端被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果雇员从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，由于个人家用电脑一般缺乏安全防护措施，安全级别很低，如果黑客侵入了

13、这台没有保护的PC，他就获得了经过IPSec VPN隧道访问公司局域网的能力，而且这台接入电脑一旦中毒也非常容易通过VPN在整个内网传输。 作为架构在会话层的VPN，在VPN服务器端，系统有效地屏蔽了的网络结构，也屏蔽了常见的网络攻击手段，如PING 、UDP、ICMP包等，系统根据授权与认证访问授信网络；在VPN的客户端，可以指定特定的应用程序才能发起连接，连接到VPN服务器，完成应用的代理过程，根据这个控制，不仅可以实现精细的访问控制功能，重要的是可以阻止病毒和黑客程序不能通过VPN隧道传输到VPN服务器端，有效保护了服务器端数据资源受到安全防范措施弱的异地端的威胁。e地通 SOCKS5

14、VPN要求远程接入者必须正确地使用客户端软件或接入设备，将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上，也不允许从公共Internet发起访问，从而提供了更高水平的安全性。同时提供不需用户任何干预就可以自动将客户端机器硬件信息作为用户认证机制，完美实现了易用、经济又安全的解决方案。SSL VPN由于完全没有客户端，使得SSL VPN允许用户利用不安全的计算机访问企业网络，这些计算机易于受到键盘敲击记录软件和特洛伊木马的攻击，对企业网络造成威胁。同时用户在Internet上发起访问时，SSL VPN客户端为企业网络带来了风险。为了避免这个缺陷，必须启用硬件KEY这样的外

15、设来做辅助认证工具，这样又会增加它的整体购买成本，同时也削弱了SSL VPN的便利性特性。3）支持各种接入方式相比传统VPN和运营商VPN线路成本更低惠尔顿e地通产品支持ADSL等各种接入方式，无需固定公网地址，线路的租用成本更低。2、支持远程集中接入速度更快，节省租用带宽的成本采用服务器计算模式，网络只传输键盘信息、鼠标点击和屏幕更新信息，大大降低对带宽的需求，保证并发用户数较多情况下的使用速度。网络传输的不是真正的业务数据，而是经压缩和加密后的屏幕变化数据，提供了对远程访问的实时监控和审计。部署特简单，不需要修改现有的应用程序，不需要改变原有的网络结构，不需要在原有的应用系统中加装任何软件

16、或插件。按需最灵活，能够满足企业的个性化接入需求，很容易地进行扩展和升级。成本更节省，集中布署、管理和维护，客户端免维护，大大降低IT投资的总体拥有成本(TCO)。e地通通过VPN模式，服务器和分支权限对等，可以实现互通，在服务器添加网络打印机，直接输入客户端内网共享打印机地址,打印时直接选择打印机即可,这样既方便了实施安装，又彻底解决了打印。3、优秀的防火墙功能保障数据接入安全，节省客户投资l l提供基于IP、MAC、PORT的用户组管理，对不同的用户组进行策略控制；l l优秀的状态检测引擎，可以为每个防火墙访问控制策略进行状态检测；l l可提供关键字、URL地址过滤，抵抗恶意脚本的攻击；l

17、 l支持IP与MAC地址绑定，支持和IE无缝整合的用户访问认证；l l支持虚拟主机、端口映射功能，支持DMZ区安全访问服务；l l有效抵抗DOS、DDOS、扫描、嗅探、同步等多种攻击，可自定义TCP/UDP/ICMP的Flood攻击检测策略；l l基于Hash表的快速转发功能，极大提高了防火墙的吞吐率；l l支持NAT网络地址转换，支持LAN口多网段绑定；l l可提供管理服务器群的负载平衡能力。4、智能化路由管理功能节省客户投资l l独特的“隧道保活连接”技术，能确保惠尔顿e地通加密通道的全时段连通；l l多线路捆绑技术、实现带宽捆绑和叠加；l l支持三级流量管理实现不同服务的Qos保证，并能

18、为每个访问控制策略独立分配带宽；支持带宽的严格锁定和动态平衡方式； l l采用先进的防丢包技术，支持数据的本地队列，减少数据传输丢包率；l l支持智能路由器分离功能、分流上网数据、扩充互联线路；l l支持DHCP、PPPoE、NTP、NAPT/PAT、NAT穿越、DNS增强版缓存；l l网络地址转换(NAT).配合APR-PROXY技术，可以在不改变现有网络客户配制的情况下直接 上网；l l可自由设定静态路由，支持集团用户的多级复杂网络。5、先进的带宽叠加和负载均衡功能更稳定、速度更快l最大可同时支持五路ADSL拨号连接，具有自动带宽叠加和线路备份，也可以选择不同的用户使用不同的ADSL接口上

19、网，可以为需要高流量带宽的用户提供稳定，廉价的解决办法；l可以为关键业务多且对通信线路保密和可用性要求高的行业大客户（如政府、电信、金融等客户）和已有专线的用户提供线路备份；l流量带宽控制及优先级设置：可以为用户组设置三个级别的上网优先级，并按需求管理流量，同时为每路接口提供拥塞管理。六、e地通方案的内网安全功能保障内网安全1、首先将核心数据区与内网中其他用户隔离。通过e地通中的VLAN功能将核心数据从内网中隔离出来，这样一旦内网中其他机器有安全事故，不会轻易通过内网传播到核心数据区。2、需要去访问核心数据区的非核心区的应用客户端用户（以下简称应用用户）又如何访问到已经被隔离了的核心数据区呢？

20、在应用用户的机器上运行e地通客户端，由它监控这些用户对核心数据区资源的访问请求，并将这些请求压缩、加密，然后转化成Socks5代理协议可以识别的请求发送给放置在核心数据区边界的e地通服务器（该设备既有与应用用户同一网段的IP地址，又有与核心数据区在同一网段的IP地址）进行处理，e地通服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上，e地通客户端和e地通服务器扮演了中间代理的角色，可以在应用用户访问核心数据区资源之前执行相应的身份认证和访问控制，只有通过检查的合法数据才允许流进核心数据区应用服务器，从而既实现了两者之间的访问，又有力地保护了核心数据区的安全。下面做详细阐述：

21、如何实现两个被隔离了的区域之间的访问，即应用用户对核心区的访问？通过代理机制：代理服务器的工作原理就是接受用户的请求并把请求转发给用户原本要访问的目的主机，反过来，目的主机的应答通过代理服务器再转发给用户。代理服务器根据支持的协议不同而又有所区别， e地通采用Socks5作为代理协议，可以支持所有基于应用层的通信协议。基于以上现有的技术，e地通（如图五），其中包含有代理客户端、代理服务器。图五 代理模式的应用图解上图给出了代理模式下e地通客户端、e地通服务器协同工作的流程，这个流程可以简单概括如下：1) e地通客户端监听用户对核心数据区的访问请求，并将该访问请求以Socks5协议的方式封装并加

22、密起来发送给e地通服务器；2) e地通服务器执行相关的身份认证及访问控制策略，决定是否将该请求转发到目的应用服务器上。以上步骤简要的概括了代理模式下如何完成应用用户对核心区的访问。3、如何规避二者实现访问后的安全隐患？e地通运行在会话层，并且提供了对应用数据和应用协议的可见性，使网络管理员能够对用户访问核心数据区实施安全策略检查。e地通分析应用信息，执行安全策略检查，并发挥普通用户与核心数据区之间传输的关卡作用。1） 、传输通道加密数据从装有e地通客户端的应用用户处开始加密，到e地通SERVER端解密，整个传输过程中的数据是密文，不是明文，这样就非常好的保证了应用用户到核心数据区的传输过程中的

23、安全性，不被恶意的内网用户嗅探到本不是他该访问的内容，并防止他分析到传输使用的协议，截获传输中的所有数据。同时采用了SHA1的数据完整性认证保证传输数据的完整性。2）、细粒度访问控制访问控制可以保护应用用户非法操作对核心区的安全侵袭，切断应用用户对核心数据区指定机器指定应用以外数据的非法访问。评价一个系统是否具有比较高的安全性能指标，一个重要因素就是看该系统提供的访问控制粒度。作为一个好的安全系统，细粒度的访问控制是至关重要的。E地通支持基于IP地址、端口和应用的访问控制策略，从而方便网络管理员对应用用户访问核心区应用资源进行更为准确和细致的定位。在访问控制的具体实现上，访问控制模块维护了一个

24、全局的访问控制列表，列表中定义了每一个用户的访问权限，包括被访问资源的IP地址、端口号及可以被RDP执行的应用程序。可以用一棵资源树型图简单的表示其结构：图六 用户权限树型图每一项网络资源都拥有若干种访问权限属性，上图简单列出了最基本的访问权限属性，包括IP地址、端口、用户身份、应用程序路径等属性信息。当远程用户发出应用资源访问请求时，访问控制模块可以根据该请求所包含的如下信息：IP地址、端口号、用户身份、应用协议（协议分析模块分析而得）判定用户的请求是否合法，从而决定是否允许用户进行远程访问网络资源。基于上面的用户权限树，访问控制模块对每一个用户远程访问网络资源的请求作如下过程的解析： 图七

25、根据以往经验，为了充分保证该功能的充分实现，最好不要在核心数据区开放过大过粗的访问权限（如大到整个核心区网段的机器；粗到所有的端口，尤其是文件拷贝和粘贴的功能。）3）、身份认证身份认证模块可以有效地鉴别来访应用用户的身份信息，以及确定其是否具有访问核心区受控资源的权限。传统的身份认证机制往往采用的是简单的用户名和密码的形式，在进行身份信息确认的过程中，通常也是采用明文方式来发送身份信息，比如不支持HTTPS的WEB邮件系统就是一个典型的例子。这种通过明文方式来进行身份信息认证的过程是非常危险的，攻击者可以很轻松的利用一些常用的嗅探工具（如Sniffer Pro）就可以得到用户的身份信息。E地通

26、安全系统在身份认证上提供了简单安全可靠的双因素认证方式，既支持传统的用户名/密码认证方式，也支持更为安全的硬件KEY认证方式，不同的认证方式适合安全需求不同的客户。对于上述的用户名/密码及硬件KEY认证，它们认证的过程是统一的，唯一的区别在于硬件KEY是提供用户身份信息的唯一途径，只有拥有该硬件KEY的用户才能合法登录e地通服务器并访问核心区受控的资源。此外，在唯一表示用户身份信息的同时，e地通服务器还可以鉴别硬件设备的唯一性。换句话说，在进行授权的同时既授权用户的身份信息，同时也授权了用户所使用的机器硬件信息，这种授权方式特别适防止办公人员在认证了的办公机器以外的终端上登录并获取核心区的安全

27、保密信息，从而防止机密信息的外泄。如何规避黑客和病毒从应用用户的机器上传播到核心数据区？首先，二者是在不同的网段，且相互之间在路由上终止了通讯的功能，所以黑客和病毒想通过这种办法来穿透不可行；其次有访问权限的也只是到e地通SERVER，根本无法直接访问到核心数据区的应用资源，从e地通SERVER到核心数据区的访问也是细到了每个应用，除非开放了的这些应用本身有安全漏洞，否则没有机会来导致安全侵袭。4、降低核心数据区工作人员导致的安全事故。通过e地通安全增强工具让管理员设置操作系统其他帐户的分级使用权限，例如，可以定义某一个用户帐号不能对系统盘或者所有硬盘进行任何存取删除操作。也可以定义一部分人员

28、不能使用或者管理某些特定的应用程序。即对于核心区操作人员的权限也尽量做到准确和细致，避免过大权限导致的道德风险和其他因素导致的安全事故。七、售后服务1、服务目标服务对象是VPN系统。当网络出现问题时，我方工程师最短时间赶到现场或通过通讯方式协助解决，保障VPN系统正常稳定的运行。2、服务简介应急响应与应急计划以及支持和运作紧密相连。应急响应能力可以被视为应急计划的组件，因为它提供了对正常处理过程中断提供快速有效响应的能力。广义地讲，应急计划涉及到所有可能会中断系统运作的事件。事件处理可以被考虑为应急计划中响应恶意技术威胁的部分。在客户运行维护系统过程中，作为客户方的技术人员由于时间和精力的问题

29、，常常对于这些紧急事件缺乏有效的处理，这样往往会对系统正常运转造成重大影响。如果用户选择了的应急响应服务，那么在服务期间，一旦客户系统发生紧急事件，我方就将派出专业工程师，到现场或通过远程方式速快速响应，解决问题，并根据出现的问题及时调整系统设置，帮助用户在以后的维护中正确解决问题。3、紧急情况的分类和响应时间故障级别定义惠尔顿公司故障响应时间和故障上报时间（深圳地区）一级故障主要指产品在运行中出现系统瘫痪或服务中断，导致产品的基本功能不能实现或全面退化的故障。10分钟内通过NETMEETING远程呼入分析问题并解决问题，如需现场解决1小时内响应。二级故障主要指产品在运行中出现的故障具有潜在的

30、系统瘫痪或服务中断的危险，并可能产品的基本功能不能实现或全面退化。10分钟内通过NETMEETING远程呼入分析问题并解决问题，如需现场解决2小时内响应，通过乘坐当地最快的交通工具抵达现场。三级故障主要指产品在运行中出现的直接影响服务，导致系统性能或服务部分退化的故障10分钟内通过NETMEETING远程呼入分析问题并解决问题，如需现场解决4小时内响应。四级故障主要指产品在运行中出现的，断续或间接地影响系统功能和服务的故障10分钟内通过NETMEETING远程呼入分析问题并解决问题，如需现场解决8小时内响应。4、服务步骤问题检测：进行快速评估；l 确定问题来源l 用户的失误操作？l 网络问题造

31、成的影响？l 应用软件的问题造成的影响？l 操作系统的问题造成的影响？l VPN系统本身的问题？检查的结果l 检查操作系统、网络、VPN系统本身，确定问题来源；l 检查网络是否出现问题；l 应用软件是否出现问题；l 检查操作系统是否出现问题；l 检查VPN系统是否出现问题；l 准确定位相应的问题，给出处理意见，涉及VPN的问题即时解决，遇到其他问题先配合协调解决。l 避免类似问题的再次发生，以及给出遇到类似问题的解决方案。立即行动：限制损失l 如果发生了较为严重的事件，管理负责人和技术负责人应该决定所采取的应急手段以消除威胁，限制损失。l 要明确地指出处理事件的人员，确保问题及时解决；l 启动

32、事件日志：记录每一个发生的问题的情况5、服务内容1、故障情况通知及确定1）我方对用户的紧急事件提供响应热线电话/手机和客户专用的Email联系方式。2）我方将在接到用户紧急响应请求后的10分钟内，通过电话、远程协助等多种方式，确定故障类型，定义故障级别。3）远程支持响应4）对于能够通过电话或网络方式远程支持解决的重要故障，我方承诺在故障等级情况确定后尽快从远程帮助用户或由我方从远程修复系统，解决故障，使故障造成的损失减小到最小。2、现场支持响应在接到用户紧急安全响应请求后的1个小时内，在远程不能确定安全故障类型或故障情况严重不能通过远程解决的严重故障情况下，我方承诺安排工程技术人员到达现场解决问题，到达现场时间依故障等级对应的时间为准（以交通工具到达时间为限）。