甘肃联通移动办公系统实施方案

甘肃联通移动办公系统实施 第3章甘肃联通信息系统现状分析 3.1甘肃联通信息系统概况 3.1.1甘肃联通信息系统简介 甘肃联通属于电信运营商企业，公司的日常经营管理工作均通过各信息来实 施，按照各业务系统的服务类别和功能，通常将其分为三类:MSS (Management support System管理支撑系统)、BSS (Business support system业务支撑系 统)以及OSS (Operation support system运营支撑系统)。具体内容见图3。 是一个综合的业务运营和管理平台，同时也是真正融合了传统IP数据业务与移 动增值业务的综合管理平台。BSS是面向运营商业务和服务的，而OSS是对BSS 提供技术(特别是计算机技术)支撑和管理的。有了 BSS才会有OSS。从辩证法 角度看，BSS决定OSS，但OSS对BSS起反作用，二者缺一不可。 OSS/BSS是电信运营商的一体化、信息资源共享的支持系统，它主要由网络 管理、系统管理、计费、营业、账务和客户服务等部分组成，系统间通过统一的 信息总线有机整合在一起。 3.1.2甘肃联通DCN网络结构 甘肃联通于2009年启动建设DCN (Data Commucation Network )，首期建成 了省公司双核心和地市单核心结构，经过2010年扩容，完全实现了地市到省完 全双设备双链路冗余。图4为目前甘肃联通的DCN网络拓扑图。 从图4来看，目前的DCN网络使用双链路结构，以策略控制MSS、 BSS以及 OSS的应用访问隔离，具有上联联通总部的出口。所有互联网的访问统一经由具 有防火墙控制的出口进行。该网络具有如下特点- 1) 双设备双链路的口字型冗余结构 2) 地市PE-省分P设备1000M带宽 3) MPLS/VPN实现不同系统数据隔离 4) 地市PEcisco7200/7600搭配、省分核心GSR12416，提供了高性能。 3.1.3甘肃联通VPN网关介绍 为了解决员工外出无法正常办公的问，曾经由信息化部、产品创新部，网 络建设部、集团客户部等部门分别建立了自己的各类"移动办公系统"，其中有 VPN接入的，有使用JAVA手机开发的等等。2008年，随着电信行业重组，集团 公司要求公司内部办公网统一出口，将除信息化部的其他网出口统一关停，可以 通过公网访问公司办公内网的途径只剩下了一条:通过信息化部的VPN系统认证 后接入公司内网进行各业务系统的访问。 由于原VPN系统使用的是一套CISCO设备，用户使用动态令牌的方式进行认 证，每个密钥的成本较高不方便携带且具有使用时间的限制的缺点。2010年， 信息化部重新建设了使用SSL VPN技术的新VPN终端，使用用户名密码加上手机 短信认证的方式进行认证。用户通过在PC终端连接程序上输入用户名密码获取 短信认证码，然后通过验证码验证后VPN登入公司内容，处理相关业务。图5为 目前甘肃联通VPN网关连接的拓扑图。 虽然已经具备VPN条件，可以让用户在外出时通过VPN系统接入公司办公网 进行应急的操作，但是在实际使用过程中发现这种方式存在如下问题: 3.2.1前期准备工作复杂 首先，使用这种IPSec VPN的连接方式有两个前提条件- 1) 必须在PC终端上安装相应的客户端程序，并经行相应的配置;这个工作 事先需要专门的技术人员进行安装并进行相应的配置。 2) 用户所访问的系统如需要客户端或者进行浏览器插件的安装、配置，需 要在用户的PC上事先做好，否则即使网络连入公司办公网，也无法进行正常的 业务操作。 以上两个条件缺一不可，而其中的任何一种情况在技术人员不在现场的情况 下，很难通过操作手册或电话指导等形式进行远程的指导支撑，用户只能在外出 前在自己的笔记本电脑上进行完相应的配置后才能正常使用，而遇到紧急的外出 情况时，基本上就抓瞎了。 3.2.2办公场所限制 目前的VPN连接方式只能在较为稳定的网络条件以及办公场所中才能顺利 的支撑访问，如果条件不具备，如在交通工具移动的过程中，或者没有携带笔记 本电脑而旅馆没有提供上网的终端条件，这样就无法使用VPN连接进入系统进行 办公，无法实现真正意义的"移动办公"。 3.2.3安全隐患 PC终端通过IP方式接入公司办公内网，实际上打通了 PC与内部网之间的 通道，如果PC上有病毒或者木马程序，也能够通过这个通道对于公司内部的其 他设备进行传播，同时也存在较大的资料泄露的风险。 由于外出员工对于系统访问的需求不同，VPN系统需要打通与各个系统之间 的通道，如MSS、 BSS、 ESS、 OSS等，但是目前的VPN平台并不具备对于用户的 分级分权的鉴权机制，所有用户访问权限一致，无法从系统层面进行区分，这样 造成了管理的混乱，企业核心系统暴露于过多的未授权用户之前，存在较大的安 全隐患。 3.2.4系统兼容性不强 目前的VPN连接方式只是解决了网络连接的问题，涉及到应用的层面没有考 虑，如果为C/S结构的应用，需要在用户的终端相应进行客户端安装或者浏览器 的控件安装、配置工作。如果客户端升级，需要在所有终端上进行相应的变更， 这样极大的增加了维护工作量。 3.3移动办公系统的发展趋势 世界范围内远程办公员工数量持续高速增长，仅就美国而言，到2008年这 一数字已达到1.03亿人，占美国总体员工数的72%。而在中国，企业远程办公 也正处于大规模启动期，已经应用远程办公的占21%，并且应用需求越来越明 显。据计世资讯(CCW Research)发布的白皮书称，2009年中国移动信息化市 场销售额达到253亿元人民币，与2008年相比增长速度达到31.1%。增长的动 力主要来自于移动办公应用带来的高速发展。 随着全球经济一体化的发展，电子商务的应用正逐步广泛，各种事业单位用 户远程办公的需求日益增长，用户发现自己很难构造和维护一个能满足不断增长 需求的业务网络，而利用运营商无线通信网络的优势建设一个部署灵活简便、一 次性投资较小、管理和维护成本低的无线网络恰恰能满足其需要。它使网络应用 几乎可以无限延伸到地球的每个角落，从而以安全、低廉的网络互联模式为包罗 万象的应用服务提供了发展的舞台。 移动办公系统己成为现代企业提高竞争力的重要方式，有助于提高工作效 率、节省工作时间、降低网络投资且可以带来其他增值效益。使用移动办公系统， 办公人员可以在不同办公区、户外、街道、乡村内自由移动，当有网络访问需求 时，随时随地处理事务，而不需回到座位，从而节省了办公时间，提高了办公效 率;由于有移动网络终端在手，办公人员处理细节事务时，随时可以联网査询， 降低了因凭记忆办事而出错的机会，提高了办事正确率;在会议室，更可以自由 交换资料，并可方便联网査询信息，提高会议沟通效率。 随着移动设备技术和网络通讯技术的发展，移动办公自动化系统建设主要经 历了以下三个阶段: 第一个阶段:离线式的移动办公; 第二个阶段:有线的移动办公; 第三个阶段:无线的移动办公; 办公人员由于出现出差、请假等情况，会经常远离日常的办公场所，人 们一直期望着能在任何地方都可以访问到自己需要的信息，然而这个过程由于技 术的局限性，经历了一个逐步演变的过程。 第一阶段:离线式移动办公 90年代出现的笔记本为这种需求提供了首次技术上的支持，于是人们 可以带着笔记本周到任何地方均可以工作，但是又通讯技术的局限性，访问内部 网基本上无法实现。此时，信息交换是通过回到办公室后的同步来实现的，这也 就是邮件同步、日程同步技术出现的时期。这一时期，移动终端也加入了新的家 族PDA。 第二阶段:有线移动办公 随着VPN技术的出现，为移动办公带来重要的契机，于是人们借助VPN 提供的安全通道可以安全地通过通讯接入提供商和运营商提供的网络，在旅馆或 会议现场接入到公司内部网，实现有线的移动办公。 第三阶段:无线移动办公 随着CDMA和GPRS移动通讯技术的出现，移动办公技术带来了质的飞跃，移 动办公此刻才正式进入了无线时代。随着通讯技术的发展，目前，移动通讯已 经由2G进入了 3G时代，为移动办公提供了更加先进更快速的移动通讯平台。 信息技术的突飞猛进为移动办公的发展拓宽了道路，3G技术的实现，改变 了移动办公的模式。智能手机终端责无旁贷的成了企业进行移动办公的利器。移 ' 动运营商、手机制造服务商、通讯设备商、软件开发商等纷纷开始了移动办公市 场布局，并逐步形成一条初具规模的产业链。产业链的末端，即移动办公的应用 者们，正在以前所未有的速度膨胀，移动办公手段正在成为企业的新竞争力。IDC 预测，到2011年，全球移动办公人员将上升到10亿左右。企业间的竞争将由产 品或者服务的竞争逐渐演化为时间和效率的竞争，快速变化的外部环境、不断更 新的信息资源、企业间即时的信息交流促使越来越多的企业把移动办公加入信息 化进程。 目前并存于市场上的移动办公系统，以智能终端实现方式来看，可以分为手 机WAP页面模式，定制程序模式以及远程应用发布模式三类，以下对于三种方式 的优缺点进行简要的比较- 从上表的对比情况来看，似乎三种模式各有优劣，实际上，手机WAP页面的 方式是在GPRS时代，迫于很低的网速以及较高的移动网络流量费用作出的无奈 选择。定制终端的方式依据我们在集团客户实施的经验来看，它在流量节省以及 终端安全方面有独到之处，但是在用户培训以及后期的软件升级、维护方面开销 太大，除非一些专业性很强、个性化需求较多而且不会经常变化的应用外，移动 办公不建议使用这种模式。远程应用发布的方式实现移动办公这一方法是随着 3G技术的发展而兴起的，足够的带宽将支撑起远端屏幕的展现可以顺畅的传输 到本端的设备上使用，随着宽带无线化趋势的进一步发展，无线网络的带宽将进 一步扩大，远程应用发布方式实现移动办公以其保护用户习惯和良好的兼容性将 是未来移动办公应用的发展方向。 第4章甘肃联通移动办公方案设计 4.1需求分析 4.1.1实现信息化后存在的问题 随着企业信息化管理的深入，特别是对于甘肃联通公司，企业的日常经营活 动，生产管理以及各类报表信息，无不来源于各类信息系统，可以说离开了计算 机，公司的运行将陷入瘫痪状态，可是对于公司中层以上的领导调研，我们发现 处于各个系统重要环节上的中层以上领导，在正常上班时间能够打开办公终端处 从上图来看，处于关键岗位的中层以上领导在正常的工作时间仅有8%能被 用来处理，而根据调査，甘肃联通中层以上领导的系统在线时间(不仅仅指办公 系统，含经营分析、BSS等)经常在6小时左右，造成经常性的领导下班后大量 处理文件无法即时回家，而部分紧急的工作安排也十分仓促，要求员工处理的时 限相应也就很短，同时也造成员工经常为了一个文件或者处理一个问题需要下班 后再从家中打车回到单位，浪费时间不说，有时候还延误工作。 此外，单位领导及相关人员日常工作具有经常外出的特点，使用传统的OA 系统，很多紧急事务或公文都无法得到及时处理，从而导致整个工作的延迟。在 市场竞争压力下，各个单位都开始深修内功，这就要求业务工作应该更加快速、 积极的迅速开展。在这种环境要求下，信息化建设也必须适应这种变化，必须寻 找突破口，进一步提升工作效率。 随着信息化水平和管理效能的不断提升，基于传统的PC的办公自动化已经 不能完全的满足当前高节奏、高效率的办公需求了，公司领导、各级管理人员以 及公司的各专业线的员工迫切的需要一个能够融合各项业务，方便快捷的移动办 公手段来作为目前办公的补充。 4.1.2移动办公需求收集 ? 通过调査问卷、用户访谈等形式对于甘肃联通用户的移动终端情况以及用户 使用习惯进行了调研，将了解到的情况进行了整理: 1) 移动办公使用范围 甘肃联通目前全省制员工人数3327人，其中，部门经理以上领导人数 218人。目前，部门经理以上全部配备苹果Iphone手机，部分持有苹果IPad或 者联想乐PAD平板电脑。公司普通员工的智能手机持有率为80%以上，其中，苹 果IPhone手机(Iphone4， Iphone3以及Ipone3GS)占比最大，超过40%以上， 其余绝大多数为安卓操作系统的各品牌型号手机，极个别使用windows mobile 操作系统。统计的前10位的终端情况见表2。 2) 移动办公使用时间和需求强烈程度 员工一般使用办公OA以及其相应的业务系统(BSS、 OSS等)，在线时间每 天约为4小时，移动办公需求不迫切。与之相反，部门经理以上领导集中使用办 : 公OA与经营分析系统，很少涉及其他业务系统，每天系统在线时间约为6小吋 并且有很强烈的移动办公需求。 3) 用户的期望 对于将要建设的甘肃联通移动办公系统，用户具有如下期望: >支持尽可能多型号的智能手机和平板电脑; >认证简单，最好与目前的统一办公门户用户名密码统一; >用户使用习惯尽量与日常办公的PC办公终端操作一致，不需要另外 的培训才能使用; >速度快，保证使用的流畅性; >持续性好，移动办公是在外出时使用的，必须保证在非正常办公时 间能够正常服务。 4.1.3移动办公需求分析 根据以上收集的情况，结合当前甘肃联通移动办公现状，对于甘肃联通移动 办公系统实施项目进行需求分析工作，由于本文着重于方案的研究，以下将需求 分析的主要内容列出，并不按照需求分析文件格式叙述- 1) 目标 根据目前的甘肃联通移动办公现状，了解到公司经常外出的领导、员工 的移动办公迫切需求，经与部门领导进行细致的沟通，我们确立了甘肃联通移动 办公项目的近期目标及远景规划: 近期目标:在三个月内搭建一套可行的移动办公接入系统并投入试用，满足 省、市分公司中层领导以上(约200人)，外出对于日常0A、管网系统、ERP系 统的事务处理。 远景规划:满足全省合同员工的移动办公需求，支撑所有办公、计费、客服 等应用系统的移动使用。 2) 用户特点 甘肃联通公司是电信运营商，普通员工对于信息系统比较熟悉，同时，具有 基础的电脑、智能终端的操作能力。系统需求较为迫切的基本上为中层以上领导 或者关键岗位员工，这部分人员普遍配置有智能终端，对于移动办公的接受能力 较强。 4)系统容量 甘肃联通合同制员工人数为3327人，在考虑系统承载能力方面，我们关注 的是并发用户数，也就是从业务角度关注究竟应该设置多少个并发数比较合理。 在本次项目中，采用以下公式来进行: A、计算平均的并发用户数:C = nL/T 即:平均并发数=总用户数*用户在线时长/总工作时间 B、并发用户数峰值:C' ^ C+3*SQRT (C) 即:峰值并发数=平均并发数+3* (平均并发数~1/2) 公式A中，C是平均的并发用户数;n是login session的数量;L是login session的平均长度;T指考察的时间段长度。 公式B则给出了并发用户数峰值的计算方式中，其中，C'指并发用户数的 峰值，C就是公式A中得到的平均的并发用户数。该公式的得出是假设用户的 login session产生符合泊松分布而估算得到的。 经计算得出，如果要满足全公司移动办公需要，建成的移动办公系统需要支 撑平均3327*4/24=554. 5人的平均并发用户在线，满足并发1386. 25人的峰值用 户并发需求。实际上，不可能有这么多人在使用移动办公系统，以上我们只是作 为一个极限峰值的参考。 3)功能规定 >对于功能的要求 支持使用各类智能终端通过互联网宽.带访问公司内部各项应用，支 撑用户外出或非工作时间的办公需求。 >对于性能的要求 在不考虑网络延迟的条件下，要求达到页面刷新展示时间不超过2S/ 页，点击响应时间不超过2S/页。 由于系统主要支撑用户在日常工作以外的时间使用或者在外出时使 用，因此要求系统具有24小时在线的高可用性。 >对于安全性的要求 集成甘肃联通自身已经实施的域账户控制用户名密码，使用口令加 硬件特征码绑定集成的SSLVPN (虚拟专用通道技术)进行办公网的 访问，系统不直接访问各应用系统而是通过堡垒机(前置机)的形 式对于应用系统进行访问。 对于用户的登录按照用户级别进行分级分权的设置，按照需求隔离 用户的业务系统访问能力，并具备日志检测的功能。日志应保 存至少三个月以上的时间备査，并提供简单的报表功能。 >对于运行环境的要求 支持目前常用的移动终端设备，包括:笔记本电脑、平板电脑以及 智能手机。支持Windows XP， Win7, I OS 4.x,安卓2. x操作系统。 支持各类的网络连接模式。 >用户管理要求 用户使用统一域账号进行系统登录，移动办公的登录用户名与甘肃 联通统一域账号进行同步。用户登录操作需在系统中进行日志记录， 记录的内容包括:用户姓名、登录时间、分配权限等。日志提供简 单的报表及检索功能，至少保持三个月备査。 4) 与其他系统的接口 由于系统需要同步使用用户的办公门户数据进行登录鉴权，移动办公系 统需要其VPN安全网关与办公门户的LDAP数据目录进行用户名密码的确认，即: 用户使用名户名密码在安全网关进行登录后，网关用户数据通过PAP发送至 LDAP, LDAP判断用户信息是否正确并返回网关。接口定义见表3: 4.2系统架构 在尽量利用现有的资源、避免重复建设的前提下，注重用户感知、保留 用户的使用习惯，计划使用安全网关+VPN通道技术+前端堡垒机的架构实现甘肃 联通的移动办公整体架构:利用一台放置于外网的安全网关设备，集成甘肃联通 自身已经实施的域账户控制用户名密码，使用口令加硬件特征码绑定集成的SSL VPN (虚拟专用通道技术)保证到移动智能终端访问到处于公司内网的堡塋机， ?通过堡垒机的用户应用虚拟，按照用户的不同等级权限，模拟用户使用PC办公终端访问居于公司办公内网的各项应用。应用的返回结果，利用现有成熟的远程 控制协议以图片帧的形式回传用户的移动终端。用户感觉自己在使用一台办公的PC机在操作日常熟悉的各项操作系统。整体架构示意见图3。 4.2.2应用实现层 移动应用发布功能基于远程桌面协议(RDP)实现，区别于远程桌面发布， 移动办公应用发布是将应用服务器中指定的应用程序窗口发布到客户端，而不是 整个桌面发布到客户端。对于用户的感觉在客户端使用起来就像本地的一个应用 程序窗口 一样。 移动办公应用发布功能通过以下组件来实现: 1) 远程应用发布模块: 内置在SSL VPN网关设备中，拥有获取服务器上的资源信息，并提供终端 进行访问，并负责身份认证、传输数据处理等工作，是远程应用发布的核心组件。 2) 远程代理服务器(RemoteAppAgent):' 安装在应用服务器上，部署在终端服务器上的用来提供远程应用服务和监控 服务器状态信息的程序。 3) 移动办公终端(RemoteApp Client): 部署在用户终端的用来连接终端服务器使用远程应用资源的应用程序。此程 序将随SSL VPN用户登录时随控件一起下发，无需手动干预安装。 远程应用发布数据交互过程为:通过远程应用发布模块进行总体的调度，当 用户启用远程应用发布资源时，相应的应用服务器上的RemoteApp Agent获取服 务器上的资源信息，并且把相关信息如安装路径、运行情况、系统运行的结果等 信息传输给SSL VPN设备。在客户端，RemoteApp Client用于接受服务器的信 息，并且把本地的输入指令传输至服务器。 _ 4.2.3用户展现层 通过接入平台，用户可以利用智能手机或终端进行安全接入，通过移动客户端，用户可以很方便的进行远程资源访问，用户可以任意的使用服务器上所有资 源，而这些资源原本在手机上是无法使用的，可以像在PC上一样在智能手机或 pad上操作公司ERP、 0A、 BSS或其他应用系统。 移动办公系统为客户提供各种应用虚拟化:无论是B/S、 C/S应用，还是局 域网络共享文件，服务器的远程管理，用户通过手机随时随地为访问移动办公提 供的服务。企业用户可以通过统一界面看到各自权限内的应用资源，直观的进行 办公操作，提高资源使用效率。用户通过移动办公系统看到的是远程服务器上打 开的各项应用系统界面，用户直接在界面上进行相应的操作，智能终端记录用户 的操作并传送到服务器进行同步的响应，远端服务器将执行后的结果界面通过图 片帧的方式回传给用户的智能终端。 从始至终，用户都在堡垒机的服务器上进行操作，用户的操作习惯与界面与 平时的办公终端完全一致。移动办公系统将用户的操作指令发送给远端配置好的 服务器，由服务器完成用户的操作并将结果图形化的回传用户，用户感受不到与 平时在PC终端操作的区别，除了智能终端屏幕的大小限制外，对于用户来说， 操作展示界面与日常工作无异。实现原理见图5 如图，远程应用接入采用基于服务器计算的应用模式，应用程序的安装、配 置、管理、维护以及应用的执行均集中在服务器上进行，用户通过远程客户端登 录服务器操作，输入输出内容(键盘输入、鼠标移动、运行结果在屏幕上的显示 输出)则通过网络传输到客户端。 采用基于服务器计算的远程应用发布，有以下优势: 1) 软件的客户端也是安装运行在服务器上的，因此对客户端的运行环境就 没有相关的要求限制，可以不用满足原来客户端要求的特定环境，也可以不要求 客户端拥有比较高的硬件配置要求。帮助用户减少业务系统在外部接入时遇到的 环境限制问题。 2) 由于传输内容不包括应用数据，因此可大大降低网络数据传输量，解决 因交互复杂所带来的应用系统响应慢的问题。 3) 将远程应用发布技术与VPN技术集成后，可为远程应用接入提供一个更 加安全、更加完备的远程应用发布解决方案。 4.3相关管理机制 4.3.1用户鉴权及分级机制 为了减少维护的工作量和用户的困扰，办公系统的用户名密码应与甘肃联通本身的统一 域账户具有同步机制，即:用户可以使用日常的统一办公门户用户密码进行登录操作，如果 用户修改了域账户密码，移动办公用户名密码同步进行变更。 用户登录后，系统可以根据用户的不同级别、专业线配置用户使用的应用系统，并且具 有基本的用户登录日志功能。 4.3.2安全认证机制 移动办公系统为员工带来了很大的便捷，但同时也可能对企业内网安全造成 影响。移动虚拟化办公系统需要通过多种手段有效地保证内网安全: 1)接入认证 所有的智能手机或平板电脑终端都要经过认证，才可以接入平台，终端 的认证用户名密码与用户的本地域账户相同。 2) 终端绑定 系统对于智能终端做硬件特征码+账号绑定，绑定后，该用户只能通过此 绑定的手机登录。允许一个账号最多绑定三个终端。 3) 服务器端保护 由接入平台设备，可以最大限度的保护堡全机，可以避免服务器直接开 放到互联网，另外，移动接入平台是基于代理的方式访问的，堡垒机不能连 接外网，可以做到服务器和互联网的隔离，可以避免堡垒机受互联网的直接 攻击和威胁。 4) 堡皇机 在客户服务器区域部署前置机做堡垒机，既可以保护服务器的安全，又 可以提高手机远程应用的速度。 5) 加密 终端在接入平台后，应用数据传输经过SSL算法加密，保证数据的传输 安全。 4.3.3负载均衡机制 安全网关设备具有基本的负载均衡的机制:使用两台IBMX385作为堡垒 机配置移动办公服务器程序分别连接移动办公安全接入网关，用户登录验 证通过后，系统根据堡垒机的资源占用情况自动分配连接资源空闲较多的 服务器。这种负载的方式对于移动办公系统有重要的意义: 1) 增加系统的稳定性 使用负载均衡手段能够防止在一台堡垒机故障的情况下，系统无法正常 的使用。只要系统中的堡垒机还有一台能够正常工作，系统就能够支撑基 本的运行。 2) 提供良好的扩展能力 可以通过扩展内部堡垒机的数量来达到简单的扩容目的，系统可以将用 户分配至负载较少的堡垒机上保证系统的流畅性。如果将来业务系统大量 增加或者人员怎加系统负荷过重，可以通过简单的增加堡全机分流用户的 手段实现系统扩容。 第5章甘肃联通移动办公方案实施 5.1实施前期准备 方案确立后，进入项目的实施阶段，为了保证项目的顺利实施，对于项 目的实施进行相应的前期准备工作: 5.1.1人员准备 为了保证项目的顺利实施，甘肃联通公司成立了以公司分管副总挂帅， 信息化部牵头，各应用系统业务指导部门配合的项目实施小组，图6为项目 项目管理组由信息化部以及各业务部门的部门领导组成，主要掌控项目 进展情况，协调各部门之间沟通协同以及向领导小组汇报项目进度等职责。 项目经理由甘肃联通信息化部指定人员担任，主要为项目实施的具体执 行人，负责项目实施的各项工作，负责召开项目周例会并发布每周进度表、 给最终用户的系统安装、培训等。 . 厂家现成实施组由乙方现场工程师和乙方项目经理组成，负责配合项目 经理进行软硬件的安装、调试，负责现场培训工作以及小型的BUG修改完善 等工作。 各系统的相关关键用户主要负责配备系统的测试工作以及参与系统使用 的培训。 5.1.2硬件、网络环境准备 本项目的硬件系统的结构相对简单，主要由安全网关+堡垒机构成，按照 系统设计的要求，系统需要承载约5000人的移动办公需求。经过前文的公式 计算，并发人数约为550人左右，实际的情况应该更少，暂时按照500进行 估算。其主要的系统开销 CPU占用:单核CPU,远程登录用户占用1%左右。 服务器内存:服务器所需内存=操作系统和系统冗余内存(按512M计算) +每个用户登录应用所需内存X登录数量。 内存的需求量按照日常的使用情况进行估计，如金蝶K3和用友的U6， 通常此配置是按照每个连接用户平均占用80MB内存进行计算的。如只打开 IE网站或0A， 一般占用20M-40M内存。如多flash图片的应用系统，会消耗 稍多一些。甘肃联通的应用系统多为B/S架构，基本上可以按照50M/客户进 行估算。按照上面的公式，那么总需求内存的最低值应为: 500 X 50M = 25000M 为了减少投入，充分利用资源。在前期测试阶段，我们从其他项目利旧 了两台一般配置的IBM 3850 (4CPU 8G内存)作为移动办公堡垒机使用。不 足的内存资源将从公司内实施的基础云项目虚拟计算机中申请划拨补足。 为了保障设备的网络通畅，协调网络管理部在通向外网的防火墙上开通 了一个外网端口作为移动办公接入安全网关使用，另在内部办公网核心交换 处直接连接一台专用的二级交换机，开通16个连续内网IP地址作为内部的 堡垒机的使用。 5.1.3厂家准备 将前期的需求分析结果整理完毕后，形成系统采购的采购需求单，提交给公 司物资与采购管理部进行采购。并于项目实施前完成项目的采购、到货工作。 5.2项目实施 5.2.1确立实施进度计划 采购完成后，为了保障项目的实施进度，我们与中标厂家进行了施工进度的 详细协商沟通，并进行了 WBS项目分解工作，确定了项目的施工进度安排。图7 为分解后的结果: 确认，软硬件采购，现场实施以及项目的内部测试阶段，截至2012年2月1日 起，开始正式的试运行。试运行由各业务部门的经理及相关系统关键用户参与， 对于系统的运行情况进行详细的测试工作。 5.2.2实施难点与解决措施 在本次移动办公项目的实施过程中，由于很多部分也是我们初次的尝试，我 们也遇到了部分的实施难点: 1) 应用系统繁多，集成困难 由于考虑到远景期望移动办公系统将面向全省员工开放，需要在系统上集成 各应用系统。每个应用系统无论B/S架构还是C/S架构，都可能或多或少的在终 端进行诸如:安装客户端、证书、控件等等的操作，而每个操作，均需要配置进 入相应的堡垒机对应员工账户上。我们为了解决这一问题，有计划的收集整理了 所有在用的应用系统配置，在事先建立好的一个测试账户上全部配置完毕，然后 将该配置文件覆盖堡垒机的DEFAULT USER的配置，新添加的用户将以此为模板 生成账户的默认配置，解决了这个问题。 2) SSL VPN安装复杂，众口难调 连接SSLVPN还是需要安装客户端程序的，目前已经开发了支持IOS以及安 卓系统的客户端程序，可是员工手机型号众多，技术水平参差不齐，如何能够简 单的让用户自行安装,如果需要一个一个终端的技术支撑，维护的工作量未免太 大了。我们的解决办法是，将支持IOS的客户端，通过苹果Appstore发布，用 户可以直接从苹果商城下载;对于安卓用户则更加简单，使用一个公网地址直接 链接APK安装包，下载后直接安装，然后通知用户使用本身域账号登录后，报批 绑定硬件特征码即可。 5.3项目实施后评价与相关问题 系统实施完成，通知试运行后，我们密切的关注用户的试用情况，并且 组织进行了用户的电话回访，将各类型的终端以及应用系统的试用情况整理 出了一份试用报告，以下为部分的表格: 从上述试用结果以及电话回访的情况来看，移动办公系统对于的应用系统以 及用户的手机终端的支持情况较为良好，测试用户对于移动办公系统的使用比较 满意，基本实现了项目建设的短期目标。但是，我们注意到，项目中仍然有部分 值得我们注意的问题: 5.3.1图片推送模式的带宽占用惊人 联通公司目前WCDMA的3G下行速率理论已经达到7. 2Mbps,我们实测下行 速度也经常能够达到5-600KB,这样的速度，在遇到翻页、滚动等操作时还是会 出现明显的迟延现象。不过我们相信，移动宽带的速度将越来越快，比起为了追 求速度而去开发并要求用户适应一套新的系统，项目组认为这点延时的牺牲是值 得的。 5.3.2小flash,大问题 由于RDP协议本身的原因，在一个图片界面上的任何一个部分发生变化时， 它并不像流媒体协议一样，只是对于该部分图像进行变化传输节省流量，而是将 整个的页面整体传送过来。我们在项目中就碰到了这种情况:一个门户页面上有 一个宣传用的小FLASH,这个FLASH十分简单，就是一句标语的滚动，但是，通 过移动办公打开这个页面时，操作和页面响应的时间异常的长，通常类似的页面 只需要1秒左右就能载入完成，点击刷新也不过2秒，但是在这个页面上，经常 是5-6秒的操作、刷新的延时。当我们将那个flash更换为一张静态图片时，一 切问题迎刃而解。由此看出，使用这种VPN+RDP模式的移动办公也不是万能灵丹， 当遇到动态图片较多的应用时，效果不是很理想，该问题也许随着远程桌面协议 的升级将得到有效解决。 5.3.3虚级化之祸, 为了节省费用，项目中使用了两台相同配置的IBM X3850服务器，其中一台 直接作为堡垒机使用，虚拟用户应用;另外一台，我们将其归属到本地实施的基 础云虚拟化应用上，从基础云中虚拟了一个相同配置的服务器来做堡垒机。可是 我们发现，在用户被网关负载分配到这个虚拟化的服务器上时，明显响应速度和 访问速度下降，但是在另外一台实体服务器上一切正常，是否虚拟化系统与RDP 协议之间存在冲突的情况而引起的性能下降,该问题我们正在继续的跟踪观察。