建行甘肃省分行高端客户智能办公解决方案

概述

移动办公系统是建行甘肃省分行在企业管理层及时掌握企业信息、快速进行管理决策的必备系统，其对企业的重要性不言而喻。

传统的移动办公系统（如笔记本电脑+VPN模式，或者WAP手机）在使用中往往面临着如下问题：

1、客户端差异化问题：办公系统往往是基于PC机Windows系统开发的，但是数量最大的移动终端往往是手机和PDA，将办公系统移植到手机上既费时费力，又带来了额外的开发、维护和重新用户培训等一系列问题。

2、网络及性能问题：移动办公的网络千差万别，而办公软件的运行往往是基于局域网设计的，因此很多应用在移动办公使用时因网络而产生性能瓶颈，比如当邮件有比较大的附件时，局域网内可以马上打开，但是广域网上需要等很长时间才能下载后进行处理。

3、安全性问题：移动办公是将企业关键信息传递在公共网络上，因此面临着比在企业内部使用更高的安全性要求，移动办公不仅有数据被截获的危险，而且移动终端更加容易丢失，如果上面有信息敏感数据则对企业造成的无法估算的危害。同时如果外部终端接入企业内网，会对企业内部造成系统级的安全威胁。

传统的技术方案所带来的这些问题，需要企业不断地投入人力物力进行解决，给企业带来了很大的管理和压力成本，因此企业提出了技术创新的要求。

虚拟化技术的出现，使得企业得以从技术架构上根本解决如上问题。通过应用虚拟化使得传统应用直接升级为了面向服务的架构，因此企业的OA办公软件、业务系统和ERP系统等等，均不需要移植和安装在手机上，而通过虚拟服务就可以被手机访问和使用。虚拟化应用的特点是只要在后台服务器安装一次，然后经过管理员的权限定义，就可以被用户通过任意终端设备和任意网络所使用，而所有的数据和维护管理工作全部在数据中心。

虚拟化技术不仅为企业带来了很大的资源节省和降低成本，同时使得企业的IT响应能力大大提高，移动办公不再需要额外开发，而真正成为了企业IT架构的自然延伸，实现了用户随时随地地安全访问企业内部信息。

总体方案

由于Citrix虚拟应用技术，分离了应用的使用平台和运行平台，因此手机和移动终端从应用运行设备变成纯粹的输入输出设备，通过无线网络远程运行和操作Windows或Unix平台的各种应用和服务，从而实现了用户的移动办公。

1.1.方案概述

在数据中心配置Citrix服务器集群为应用的运行平台，实现稳定的大并发支撑能力，满足大规模移动用户的同时使用。通过虚拟应用平台实现移动办公的总体架构如下图所示：

移动办公系统的部署，对于目前OA系统的架构没有改变，只是在OA门户服务器的局域网内，放置一组虚拟应用服务器集群，供移动用户访问，而固定办公用户仍直接访问OA门户服务器，因此原办公模式不受影响。

通过虚拟应用平台部署移动办公系统，一方面应用更加方便使用，用户无论在笔记本上还是手机上，实际上使用的都是运行在虚拟应用服务器上的同一个应用，没有适应多种界面的要求，而且可以实现同一个应用在不同的移动设备之间的漫游，实现了业务连续性；另一方面，由于所有的应用都位于数据中心的机房，集中管理的同时，也大大提高了办公数据的安全性。

而在手机和虚拟应用服务器之间只需20k左右的带宽，因为其间传递的并非实际的业务数据，而是虚拟化数据。这样既保证了OA系统可以在低带宽网络下使用，又避免了业务数据在公网传输的安全隐患。

1.2.软件部署架构

虚拟应用服务器上软件部署包括：在底层Windows2003/Windows2008操作系统之上安装Citrix XenApp虚拟应用服务器，然后在虚拟应用服务器之上安装各种办公软件如OFFICE软件、邮件系统以及浏览器阅读器等工具软件。

手机上的软件部署包括：在手机操作系统上安装虚拟应用接收器。

手机上不安装任何应用软件的客户端，通过虚拟应用接收器，可以使用所有虚拟应用服务器上的应用，整个软件架构如下图所示：

手机的网络访问只需要指定虚拟应用服务器的IP地址、用户登陆的用户名和口令，以及登录域名称等信息即可，用户打开虚拟应用接收器就可以获取服务器上授权使用的应用图标，打开应用图标即可使用。

1.3.访问场景

用户在使用移动办公OA系统时的访问方式如下：

笔记本用户打开浏览器，输入统一的访问网址，然后在出现的身份认证页面里输入自己的用户身份，通过后就会看到OA门户图标以及其他被授权使用的应用图标。点击OA门户图标，界面显示建立服务的连接条，大约10秒钟后出现OA门户的界面，剩下的操作就和本地IE访问OA门户一样。

手机用户可以预先设置好访问地址和用户名口令，这样直接打开OA图标就可以使用OA门户。

面向服务的访问使用体现在：

1、用户可以中断和重连服务（session disconnect and reconnect），当用户离开一段时间，但又不想结束业务操作，可以选择断开服务，这时用户屏幕上的OA应用消失，等用户回来后，重新输入身份认证，通过后刚才做了一半的业务就重新出现在屏幕上，可以继续工作；

2、客户端和网络故障不会影响业务操作，如果业务用户的客户端设备死机或者网络中断，同上面一样只是服务断开，工作是运行在服务器上，并没有受影响。用户只需要更换任意客户端或网络，就可以重新连接服务，继续刚才中断了一半的业务操作；

3、会话超时（Session timeout），管理员可以在后台设置服务超时，当一个用户打开业务操作后长时间不用，系统可以自动释放该会话，业务界面暂时消失。当这个用户重新使用时，再做身份认证后，继续刚才的业务操；

4、会话监控（Session Shadow），系统有远程监控的功能和权限，如果某用户出现操作上的问题，有相关权限的管理人员，可以监控该用户的操作，两个人可以共享同一个会话服务，管理人员可以远程帮助用户操作或解决问题。

其中访问服务超时设置可以针对不同的用户进行不同的设置，例如对于VIP用户，可以设置永不超时，这样VIP用户即使不操作也会一直连接；对于一般用户，可以设置超时时间例如30分钟，这样如果这个用户30分钟不操作，该连接就会释放。

1.4.拓扑结构

虚拟应用服务器群组要求和OA门户服务器部署在同一局域网内，可以放置在用户数据中心机房内，用户数据中心需要和移动网络连接。

通过公网（internet）使用SSL VPN加密连接，企业用户需要开通数据中心和internet的线路访问，用户通过手机访问和来自互联网的访问一样，可以访问其数据中心。

用户通过SSL VPN认证后由DHCP服务器分配企业内部的静态IP地址。

端到端加密：移动终端和服务器平台之间采用端到端加密，避免信息在整个传输过程中可能的泄漏。

采用防火墙进行隔离，并在防火墙上进行IP地址和端口过滤。

1.5.用户认证

为了提高系统访问的安全性，移动用户在访问虚拟应用平台时需要进行身份认证，以确定该用户是否可以使用移动办公应用，防止非法用户或其他非授权人员的访问。

由于建行甘肃省分行办公软件及业务系统以统一做身份认证，因此建议采用XenApp本地身份认证+建行统一身份认证账户作为统一的用户身份管理系统。

移动办公系统会在公网上传递用户身份，因此建议提高用户认证强度。虚拟应用平台支持的身份认证模式包括：

1、静态口令：目前的用户名加口令，属于低强度身份认证，建议只在内网使用；

2、数字证书：通过数字证书可以有效识别客户端有效性。可以统一采用企业内部认可的证书体系，通过在虚拟应用平台和用户手机客户端加载数字证书，来确保用户身份的可靠性。如果用户手机丢失，则发证机构将该证书作废，则丢失手机无法使用移动办公系统；

3、动态口令/双因素认证：虚拟应用平台经集成了大量的高强度身份认证技术，如RSA令牌等等。认证令牌可以硬件、软件和智能卡等多种形式向用户提供。令牌在发售时已经使用唯一的128位种子初始化；内部芯片每分钟都会使用一种算法，组合该种子与当前时间，生成一个随机的数字作为动态密码，从而提高用户的密码强度；

4、生物识别（如指纹）及其他高强度认证：应用集中发布平台预留了集成其他身份认证的接口，如RADIUS认证等等，可以方便地集成用户自由认证或第三方认证。

1.6.应用部署

移动办公系统的部署工作，主要是将应用客户端部署在虚拟应用服务器上。以Lotus Notes为例说明如何在服务器上进行应用部署。

部署基于Notes的虚拟应用时，对于原先部属的Lotus Notes办公系统、Domino服务器、数据库服务器等应用系统不变，通过在原来的Domino服务器前，增加了Citrix 虚拟服务器。原先安装在客户端的Notes客户端程序现在需要安装在Citrix服务器上。相应的客户端的配置文件，统一安装在一台单独的文件服务器之内，在客户端访问的时候，可以提取相应的客户端信息进行认证。

在将要部署Citrix系统的服务器上先安装好win2003server和 Citrix之后，那么就需要发布 Lotus Notes的客户端了。具体步骤如下：

1、首先创建一个域管理员账号来安装Notes(如，Notesadmin)；

2、所有登陆系统的用户都有一个主目录，把此目录映射成一个盘符，如W，可运行Microsoft Application Compatibility Scripts目录下的chkroot.cmd；

3、用新创建的Notesadmin账号登陆系统，在命令行提示符下打入change user /install，是系统处于安装模式，然后运行安装Lotus Notes，注意选择共享安装；

4、安装完毕后，不要重启系统，再次运行Lotus Notes安装程序，此次不要选择共享安装，在程序文件夹目录下选c:\lotus\notes，在数据文件夹下选w:\lotus\notes\data；

5、安装完毕后，不要启动notes，不要重启系统。在c:\lotus\notes下打开notes.ini文件，修改Directory=w:\lotus\notes\data，并添加一条目，WinNTIconPath=w:\lotus\notes\data\w32。保存此文件并剪切到w:\lotus\notes\data目录下，在Citrix里发布lotus notes应用程序时，指定工作目录为w:\lotus\notes；

6、制定登陆脚本，使每个登录的新用户都能拷贝Notesadmin的主目录到自己的w盘下；

7、将每个用户登录Lotus的ID文件拷贝到其相应中央共享目录中。

通过这样配置，每个用户通过Citrix来使用Lotus时，互相之间就不会产生影响，每个用户将有自己的配置或模板文件，使用起来得心应手。

1.7.客户端要求

虚拟应用的客户端支持最新的的智能手机，以及其他客户端操作系统。

Citrix支持的智能手机/PDA如下：

• Apple iPhone/iPod Touch/iPad

• Android GPhone

• Window Mobile/PocketPC

Citrix支持的其他客户端类型如下：

• Windows:

• 32-bit: 95, 98, NT and 2000/XP/2003/Vista

• 16-bit: 3.1, 3.11, WFWG

• CE

• DOS: 32-bit, 16-bit Real Mode Version
  

• Macintosh: iMAC, 68k & PowerPC

• Unix:

• HP-UX

• IBM AIX

• Solaris Sparc

• Solaris x86

• SunOS

• SGI IRIX

• Compaq Tru64

• SCO - UnixWare, OpenServer

• Linux:Red Hat, Caldera, SuSE, Slackware