全站搜索
 
 
新闻详情
 
智能终端办公一站式解决方案
作者:小东    发布于:2014-08-27 16:33:42    文字:【】【】【

1     需求概述

1.1   背景介绍
随着企业信息化的快速发展,企业的分支机构与总部之间在应用上必须实现实时连接和数据共享,在异地实时协同、移动办公。企业IT架构从局域网走向互联网已经是必然的趋势。此外,随着各种智能手机、平板电脑以及3G网络的普及,人们的操作习惯和使用偏好正从原来笨拙的台式机、笔记本慢慢迁移到更加便携更加灵活的智能终端。然而,由于iPhone/iPad/Android智能手机或平板电脑本身的局限性,使得这些使用非Windows操作系统以及其使用的非IE内核的浏览器的智能终端无法真正进入人们的工作当中,仅仅成为一种智能玩具。

1.2   需求分析
企业采用智能终端进行移动办公,现在面临以下问题:

1.2.1 跨平台访问
现存绝大多数的业务系统以及办公平台都是架设在Windows平台之上的,而且传统应用如:ERP中的物流、分销、财务等大多采用C/S模式,很多B/S架构的业务系统也大多以IE作为平台。而iPhone/iPad/Android智能手机或平板电脑本身的局限性,无法安装Windows平台上运行的应用程序,因此,在智能终端上实现跨平台访问需求越来越强烈。

1.2.2 快速应用部署
一些C/S程序客户端安全配置辅助,或是B/S程序控件多,传统的应用部署模式占用IT人员大量的精力和时间,后续的维护管理十分复杂。如何将高度分散在每个员工终端上运行的业务系统集中到工作组、部门或者业务单元的应用程序服务器上,避免由于地理分散的而在终端上多次安装同类应用程序或控件的麻烦,成为企业关心的问题。

1.2.3 数据防泄密
客户业务系统通常采用的是较为单一的用户名密码认证方式,安全强度不高,极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破,导致核心数据的泄漏问题。因此必须采用更加强大的用户鉴权机制,确保接入用身份合法、权限匹配。

核心业务系统访问时会保护大量机密数据,通过智能手机、平板电脑或者普通PC访问时,必须要求数据不落地,即使终端丢失不会导致数据泄漏。

1.2.4 终端易用性
由于移动终端与普通PC使用体验迥异,客户已经适应了PC的使用,如何在智能终端上可以具备与PC等同的应用程序访问体验,这一点对于提高智能终端办公效率相当重要。

1.2.5 移动终端兼容平台
目前iPhone、iPad、Android平板和手机占据了移动办公使用终端的大部分市场,所以应用程序的访问应该可以覆盖以上所有终端。

1.2.6 应用访问速度
影响用户远程办公的最主要因素就的访问速度问题,拖滞的访问速度将大大影响用户的访问体验及办公效率,网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。

2     方案设计原则

2.1   安全设计原则
智能终端远程办公运行的基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是组织机构的私密信息,不允许为无关人员所知。因此必须保证合法用户的非授权访问数据访问,同时杜绝数据拷贝至于智能终端或PC的数据泄密风险。

2.2   高速性原则
远程办公最大的制约因素就是速度方面的问题,缓慢的访问速度大大拖滞了员工的办公效率。网络速度低下的有很多原因:高丢包高延时的恶劣网络环境、移动终端的3G无线访问、关键应用在广域网访问时对带宽的大量占用等,所以在设计接入方案的时候必须解决远程办公速度低下的问题。

2.3   易用性原则
终端用户的IT水平普遍不高,并且已经对PC的使用习惯根深蒂固。将智能终端作为远程办公的媒介,势必会挑战人们的使用习惯,而如果客户端的配置及操作繁杂的话,智能终端上实现办公平台接入不会被用户认可。因此,远程办公平台的设计必须在智能终端上贴近用户的使用习惯,同时避免繁杂的客户端配置,最大程度的提高用户的办公效率,从而大大降低网络管理人员对整个网络的维护工作量。

3     整体设计方案
 
本方案主要以深信服SSL VPN设备的EasyConnect功能和终端服务器搭建移动办公平台,通过远程发布Windows应用的形式,将办公系统延伸到个人PC或智能终端上,通过如个人PC、iPad、iPhone、Android等平板电脑或智能手机实现远程便捷办公,EasyConnect将数据保存在终端服务器上,只有鼠标键盘点击的少量控制信息和屏幕更新经过网络传输,EasyConnect让管理员可以为指定的用户群分配应用访问、打印和存储等权限策略;用户的各种终端通过深信服SSL VPN接入业务数据中心,可以实现跨平台的快速访问,如图1所示。

图1 PC或智能终端远程办公平台示意图

3.1   远程办公平台部署方案
整体网络结构可以分为四个部分,从客户到服务器分别为客户终端、SSL VPN应用发布平台、应用发布服务器以及企业应用服务器。在部署智能终端远程办公平台的硬件环境时,需保证SSL VPN设备可以与应用发布服务器互相通信。部署方式如图2所示:

图2 远程办公平台

远程应用发布功能通过以下组件来实现,软件架构见图3:

1、     远程应用发布模块:内置在SSLVPN 设备中,拥有获取应用发布服务器上的资源信息,为终端提供访问,并负责身份认证、传输数据处理等工作,是远程应用发布的核心组件。

2、     RemoteApp Agent:深信服服务端控件,安装在应用发布服务器上,用来提供远程应用服务和监控应用发布服务器状态信息的程序。该程序默认为服务器开启自动启动。

3、     RemoteApp Client:客户端控件,在苹果等移动终端上命名为EasyConnect,提供接入终端服务器的功能,苹果终端可在APPStore免费下载安装,Android终端可直接在登录界面下载使用,PC终端将自动安装相应客户端控件。

4、     应用程序客户端:需要发布给移动终端用户使用的应用程序,需要提前在应用发布服务器安装,如office、写字板等程序,基于C/S架构的应用系统需要在在应用发布服务器上安装客户端软件,B/S架构业务系统,需要在应用发布服务器上安装相应版本的IE浏览器。


图3 软件架构

3.2   远程办公平台特色
1、          智能终端与Windows无缝结合,令Windows程序无须修改即可用于智能终端,实现真正的轻量级移动办公;

2、          基于RDP协议的图像传输,终端可配置不保存应用的任何数据;

3、          支持Windows、iOS和Android操作系统;

4、          移动终端完美结合多点触摸操作技术;

5、          并发多任务会话支持;

6、          丰富的认证技术,其中智能终端认证包括用户名密码、证书认证、动态令牌、短信认证、外部认证、移动终端的硬件特征码认证等;

7、          业务数据安全防泄密保障;

8、          页面自动调节显示技术;

9、          独特鼠标模拟、键盘模拟技术;

10、      输入法映射技术。

3.3   客户端登录和使用界面

3.3.1、 安装客户端


 iOS版本(iPhone或者iPad)在APPStore上免费下载并安装深信服EasyConnect客户端。

 Adnroid 通过Android Market免费下载安装或通过B/S登录Portal下载安装。

3.3.2、启动登录

启动后,输入VPN的地址,连接登录。选择不同的认证方式会有不同的登录界面。


3.3.3、开始!

输入用户名、密码登录,进入资源组列表,点击资源组则进入对应的资源列表。

点击word,成功使用发布的word资源。

点击IE,成功使用发布的浏览器B/S资源。

3.3.4、结束会话及关闭

3.4   详细功能介绍

3.4.1 数据防泄漏

      基于RDP协议的数据传输技术,保证传输于互联网上的数据不但做了严格的加密,并且终端和服务器交互的额只有终端服务器的应用程序图像,不包含应用程序本身的任何数据;

    同时,由于应用系统运行在终端服务器及其应用服务器上,终端上只是即时显示图像,做到了应用程序数据不落地,即时终端丢失,也不存在终端上的机密数据丢失的可能。

     支持终端服务器权限细化控制。终端服务器权限的控制,往往关系到操作系统安全、OA系统安全、用户环境安全等因素,权限控制越细,安全性能和可配置性也越高,深信服EasyConnect对于权限的控制做了深入的细化,包括了如下的权限细化控制:

     支持用不同的Windows账号登录远程会话,做到操作系统会话层用户隔离,每个用户只能使用自己的会话来使用发布的程序;

    支持在终端服务器上进行网络拦截,做到网络安全可控,保护终端服务器不会恶意地访问危险或未授权的网络;

     支持在远程会话中只允许某些应用程序使用,做到程序安全可控,禁止用户私自运行影响终端服务器安全的程序;

    支持在远程会话中禁用客户端映射选项,做到对用户的映射权限可控;

    在终端服务器禁止访问某些系统进程,做到对系统进程的保护。

3.4.2 终端易用性
 

移动终端结合多点触摸操作技术

智能手机和平板电脑革命性的操控体验也在远程应用发布中得到了完美体现。

独特鼠标模拟、键盘模拟技术

一键唤出虚拟键盘或鼠标,提升用户体验,强化工作效率。

虚拟鼠标可模拟PC上双键鼠标的单击、双击或右键点击功能。弥补指触操作精度不高的缺陷。并且完美移植用户操作习惯,迅速上手,做到真正的如同在PC上操作。

并发多任务会话支持

使用户可以方便的在资源列表和多个进行中的会话之间来回切换。使用户可以方便的同事操作多个应用,免除多次登录之苦。

支持虚拟打印机映射

可以通过在终端服务器选择虚拟打印机,在客户端本地打印机打印文件,终端服务器无需安装客户端打印机驱动,并且支持在客户端查看本次会话中的打印任务状态

输入法映射技术

支持本地输入法映射。支持使用客户端本地输入法在远程应用中输入文字,在使用远程应用的时候可以继续保留本地的输入习惯。

单点登录功能

支持远程应用发布资源的单点登录,用户无需再次输入用户名密码,自动为用户登录远程发布的OA系统,为用户使用资源提供了便利性。

3.4.3 应用访问速度提升
 
例如OA或金蝶EAS服务器端和客户端在应用程序访问时会产生大量的数据交互,这在互联网上容易被带宽以及线路的稳定性所影响。远程办公平台应用集中发布降低了应用对网络和终端硬件的依赖,使其不再成为性能瓶颈。实现了以最低的带宽要求保证了最高的工作效率。

3.4.4 其它功能
 
1、  支持远程存储策略。对于集群部署的终端服务器,当用户登录时,可能被分配到不同的终端服务器,会导致用户无法使用上次保存在一台终端服务器上的文件,由此提出终端服务器与文件服务器的部署方式,功能如下:

在远程应用中使用远程私人存储和公共存储,做到安全与灵活兼备,示意图如下:

图7 文件服务器部署方式

通过WEB文件共享操作远程存储,方便用户使用终端服务器上的文件。

2、  远程应用程序支持工作目录设置,一些应用软件本身需要读取或写入文件,为远程应用程序设置工作目录,满足了这类应用的应用场景,支撑了这类应用的部署和推广。

3、  支持集群,且可以灵活的配置负载均衡策略。是否支持集群是终端服务器服务负载能力的一个重要功能,具备集群功能使得应用可以成规模扩展,支持更多终端用户使用资源。

支持以会话数、CPU、内存、I/O、综合性能,总计5种策略进行负载均衡,为同构或不同构的各种服务器提供最佳负载选择。

在启用了保持会话功能的情况下,默认往上次打开会话的服务器上分发,为用户节省重新连接的时间,为服务器节省终端授权。

4、  虚拟终端服务器运行状态监控。对于终端服务器,不但需要可以发布应用,满足一般用户功能,同时也需要能对其进行方便的管理,观察其状态,以便为企业展示庚还得投入产出效果。

管理员可以在控制台直观查看虚拟终端服务器的运行状态,以决定是否需要添加终端服务器。

管理员可以在终端服务器性能不足时收到邮件告警,以进行及时处理。

5、  支持服务端插件在有更新的时候自动更新,为大范围部署的升级节省了大量的重新部署时间。

3.5   跨平台的兼容性
 
远程应用发布方案最终使用者是业务系统使用者,所以平台必须具备足够的易用性,而不能要求终端用户具有相当水平的IT技能,这样才能更好帮助企业进行信息化建设。

智能终端与Windows无缝结合

软件的客户端也是安装运行在服务器上的,因此对客户端的运行环境就没有相关的要求限制,可以不用满足原来客户端要求的特定环境,也可以不要求客户端拥有比较高的硬件配置要求

全面支持主流移动操作系统

 支持iOS 4.x,并将很快支持最新的5.x版本。iPad和iPhone通用程序。

支持Android 2.x,3.x。支持主流屏幕分辨率:854*480、800*480、480*320、1280*800的智能手机和平板电脑。

集群和负载均衡功能

可以灵活的配置负载均衡策略,使得应用可以成规模扩展,支持更多终端用户使用资源。

同时支持以会话数、CPU、内存、I/O、综合性能等,总计5种策略进行负载均衡,为同构或异构的各种服务器提供最佳负载选择。

在启用了保持会话功能的情况下,应用默认会往上次打开会话的服务器上分发,为用户节省重新连接的时间,并为服务器节省终端授权。

4     方案价值

访问安全,降低业务风险

智能终端通过 SSL VPN 接入,数据经过强加密后传输,保证了数据传输的安全性;

具备用户名、硬件特征码、动态令牌等七种身份认证方式和授权机制,降低了用户接入的安全风险;

只有键盘输入、屏幕滑动和屏幕更新等少量数据通过网络传输,企业应用数据不会留存在智能终端设备上,有效保证了数据传输和访问的安全性;

可针对不同用户之间业务数据隔离及用户与终端服务器之间的数据交互权限,进行细粒度的权限控制, 从而防止越权访问;

交付快速,提高办公效率

独创的单边加速技术,极大地提升了传输效率;

自主研发的 SRAP 协议框架,比传统的 RDP 协议提高两倍以上传输速率;

有损压缩、无损压缩等技术,大幅降低数据传输量(如文字型、图片型 pdf 滚动浏览压缩比最大可达

90 倍;网页访问压缩比最大可达 15 倍);

图像缓存优化、动态内容过滤等技术,提升应用访问速度;

使用便捷,提升用户体验

支持调用本地输入法、打印机等本地资源;