政府移動辦公系統解決方案

郭珠琴

摘 要：移動互聯網廣泛應用于個人的生活、學習、社交和娛樂的基礎上，已逐漸成為政府政務辦公、社會公共服務、社會公共管理和領導指揮決策以及企業生產經營和管理決策的緊迫需求，實現移動信息化已經成為各行業信息化的戰略目標。該設計解決方案在不影響單個政府機關現有內部辦公系統運行使用的基礎上，基于無線網絡建設移動應用平臺，延伸和補充內部辦公系統建設內容，實現了移動辦公。

關鍵詞：政府；移動；辦公；安全；平臺

1 設計方案背景

移動通信和互聯網的結合催生并推動移動互聯網的發展，高速移動通信、云計算、物聯網及移動智能終端等新技術的持續創新發展，促使移動互聯網正在成為信息產業中發展最快、競爭最激烈、創新最活躍的領域。移動互聯網是一種新能力、新思想和新模式，改善了整個社會使用信息技術的基本方式。據統計， 2012年7月，移動互聯網的人均上網時長首次超過PC，信息服務以PC為中心轉向以移動智能終端為中心正在成為新的發展趨勢。

移動互聯網服務并廣泛應用于個人的生活、學習、社交和娛樂的基礎上，已逐漸成為政府政務辦公、社會公共服務、社會公共管理和領導指揮決策以及企業生產經營和管理決策的緊迫需求，實現移動信息化已經成為各行業信息化的戰略目標。移動辦、市府辦等多個部門已在OA內網上建設了政務辦公自動化系統（簡稱“政務OA系統”），為進一步推動和提升政務信息化工作水平，迫切需要在現有政府部門內部OA系統基礎上構建一套安全可信的移動應用平臺，用于幫助解決領導外出或出差期間對辦文、辦會、辦事等的處理需要。為此提出了建設“安全可信移動應用平臺”。

2 總體設計

2.1 設計目標

在不影響單個政府機關現有內部辦公系統的運行使用基礎上，基于無線網絡建設移動應用平臺，作為內部辦公系統建設內容延伸和補充內容，實現移動辦公，即解決現有內部辦公系統碰到問題和存在瓶頸，又能夠有效地保護原有投資和充分利用現有資源，平臺建設要做到便捷、簡單、易用、安全、可推廣。

2.2 總體架構

移動應用平臺總體架構如圖1：

基礎應用層：在內網使用辦公門戶實現平臺服務的接入和使用。外網使用移動應用門戶為用戶提供移動政務辦公接入。

業務應用層：在內網辦公門戶基礎上提供內部辦公、電子郵件等系統作為可選應用服務，提供給政府辦使用。

基礎應用層和數據資源層：支撐業務應用層的基礎部分，其中包括用戶、公文、流程、郵件等在內的基礎數據服務和即時通訊、電子郵件、工作流、表單、數據交換等在內的基礎能力。

基礎設施和基礎網絡層：電子政務平臺現有的基礎設施層，包括主機、存儲、網絡、安全等硬件設施和基礎軟件，以及可利用的外網、內網、無線網通訊網絡設施。

2.3 網絡結構設計

移動應用平臺由內外網兩部分組成，內網存儲內部辦公系統數據，外網搭建移動OA辦公平臺，內網與外網中間使用兩套單項傳輸系統進行物理隔離，并在內外網服務器區外各搭建一臺防火墻及應用防火墻（WAF）保障數據的安全，移動數據通過SSL安全通道訪問應用區。

政務移動辦公平臺網絡結構設計如圖2：

圖2

網絡設計說明如下：（1）移動應用平臺設計規劃為內網區、數據交換區、外網區和移動終端接入區。（2）政府辦OA服務器部署于內網區，在內網區與數據交換區網絡連接處部署防火墻，首先，通過防火墻將內網與數據交換區進行隔離，將內網屏蔽起來，其次，通過訪問策略控制進出防火墻的網絡流量，嚴格規定何種數據可以從內網的何種途徑到數據交換區；何種數據可以從數據交換區的何種途徑到達內網等等，防止有害信息的傳播。最后，通過防火墻可以對網絡進出流量進行審計詳細記錄，發生安全事件時有據可查。（3）由于內網信息系統的重要性，數據交換區采用單向傳輸系統和前置機來實現，以保證網絡的安全。單向傳輸系統（單向光閘）采用專用的硬件和模塊化的工作組件設計，集成安全隔離、實時信息交換、單向傳輸、內容檢測、訪問控制、安全決策等多種安全功能為一體，適合部署于不同安全等級的網絡間，在實現多個網絡安全隔離的同時，實現高速的、安全的數據單向傳輸，提供可靠的信息交換服務。（4）分別在內外網核心服務器區部署應用防火墻（WAF）。網站防護系統通過實時監控、實時報警等功能為OA系統提供實時安全保護，并通過日志實現對網站文件訪問的全程監控，防止黑客、惡意程序及網絡病毒等對網站的網頁、電子文檔、圖片等所有類型的文件進行任何形式的破壞或非法修改，從而為OA系統提供可靠的安全保障。（5）安全防火墻。防火墻是網絡安全的基礎構件，分別部署在內外網核心服務器區，對進出網絡的流量進行訪問控制，為內部局域網提供最基本的安全防護措施。通過訪問策略控制進出防火墻的網絡流量，嚴格規定何種數據以何種途徑進出網絡，有效防止有害信息的傳播。通過防火墻可以對使用網絡的人員進行審計，詳細記錄網絡的使用情況，發生安全事件時有據可查。（6）在外網區部署一套SSLVPN系統，建立一個安全的VPN服務器系統。所有遠端用戶的訪問都是經過標準Web瀏覽器內置的加密套件進行加密并經過服務器端認證許可的，即經過授權用戶只要能上網，就可以通過瀏覽器接入遠程的應用服務器，建立安全SSL VPN隧道，訪問OA資源。（7）專用終端接入：為確保終端數據的安全性，本期建設擬采用專用終端接入的方式，為每個移動終端配備專用的平板電腦，再通過專用的VPN網絡通道接入到辦公系統中。

2.4 無線VPDN專線接入

無線VPDN（Virtual Private Dialup Network）即虛擬專用撥號網絡無線數據，在高速移動通信網絡的基礎上，通過虛擬撥號技術建立虛擬數據專網，為移動用戶提供數據傳輸服務，是解決無線數據傳輸服務的一種較完美的方案，以數據流量計費，覆蓋范圍廣泛、數據傳輸速度快。與有線網絡相比，具有費用低、可無線傳輸數據，不受地域制約等優點。endprint

根據VPDN技術以及L2TP隧道技術，接入流程示意圖如圖3：

圖3

如上圖所示移動終端向單位建立安全數據通道，首先需要向VPDN接入平臺請求認證，認證通過后會得到建立分組數據環境的授權，然后終端所在SGSN會向終端歸屬GGSN建立GTP隧道，GGSN向客戶端的接入路由器建立L2TP隧道，所有的通道建立之后，數據會安全的在終端與企業網絡間傳輸。

MS發起Activate PDP請求，在PDP報文中攜帶APN，用戶名和密碼等信息；SGSN向HLR鑒權后，從省DNS獲得GGSN IP，發起創建GTP隧道請求；GGSN向AAA發起一次認證鑒權，下發隧道屬性；GGSN向LNS發起建立L2TP隧道請求，隧道建立后，用戶信息透傳到LNS設備；LNS設備向AAA發起二次認證，認證通過后分配IP給終端用戶；MS和客戶側服務器進行通信。

整個流程經過的通信通道有，移動網空中接口、無線接入網絡（RAN）、SGSN、GGSN、VPDN接入平臺、客戶內網。

（1）第一段安全保障——移動網空中接口：是通過空中接口技術命名的，是寬帶碼分多址技術，碼分多址技術由于其本身的安全性最早使用在軍用通信。其主要安全機制有如下幾方面：a.提供了雙向認證。不但提供基站對MS的認證，也提供了MS對基站的認證，可有效防止偽基站攻擊；b.提供了接入鏈路信令數據的完整性保護；c.密碼長度增加為128bit，改進了算法；d.接入鏈路數據加密延伸至RNC；e.具有可拓展性，為將來引入新業務提供安全保護措施；f.向用戶提供安全可視性操作，用戶可隨時查看自己所用的安全模式及安全級別。

（2）第二段安全保障——無線接入網絡（RAN）：無線接入網絡（RAN）主要負責從無線信號中提取信息向分組域或電路域轉發，本身就是安全的網絡，數據在其中傳輸也會有加密，壓縮等步驟。而且RAN都是底層設備，數據在上層的含義對這些設備來說是抽象的，RAN設備本身不會帶來安全隱患。

（3）第三段安全保障——SGSN與GGSN：SGSN、GGSN以及客戶端接入路由器都是上層設備，這些網元之間的通信承載于物理上獨立于互聯網、覆蓋全國的IP專網上，再通過建立加密隧道來保證數據安全。SGSN與GGSN建立GTP隧道，GGSN與客戶端接入路由器間建立L2TP隧道。隧道的建立保證了數據傳輸的安全。

（4）第四段安全保障——防火墻：在VPDN系統中在不同網絡之間設置了防火墻，核心網（GGSN、SGSN）和VPDN接入平臺網絡間設置了防火墻，核心網和公眾網之間設置了防火墻，只有合法的設備和通信消息才能通過防火墻訪問網絡。這樣就避免了整個網絡內部的潛在威脅。

（5）第五段安全保障——客戶內網的AAA服務器與防火墻：為了進一步加強網絡的安全性，客戶可以再其內網部署第二臺AAA服務器，對于申請接入內網的終端進行第二次的認證；同時，客戶可以在其內網部署防火墻或網閘設備，對不同網絡間的通信進行限制或隔離處理，將VPDN網絡系統受外界影響的風險降到最低。

參考文獻

[1]YD/T 1123-2001綜合交換機技術規范[S].

[2]YD/T 1130-2001基于IP網的信息點播業務技術要求[S].

[3]YD/T 1141-2001千兆以太網交換機測試方法[S].

[4]YD/T 761-95詞匯-維護術語和定義[S].

[5]YD/T 849-1996開放系統互連安全體系結構[S].

[6]YD 5036-97智能網工程設計暫行規定[S].

[7]YD/T 819-1996數據傳輸鏈路和系統的性能分配及限值[S].

[8]ISO/IEC11801-95信息技術互連國際標準[S].

[9]GB/T 17544-1998信息技術、軟件包質量要求和測試[S].

[10]GB/T22239-2008信息系統安全等級保護基本要求[S].

[11]GB/T22240-2008信息系統安全等級保護定級指南[S].

[12]信安字[2007]10號信息系統安全等級保護實施指南[S].endprint