王永起
[摘要]随着我国移动互联网技术的快速发展,以及更多的移动终端、传感设备随时随地的接入网络,加之云计算、物联网等技术的驱动作用,我国正逐渐步入了大数据时代。而针对大数据的研究与应用,也已逐步成为了推动移动终端技术应用与发展的重要推动力量。本文基于云计算和虚拟化技术,从大数据的内涵及特点出发,着重就安全移动办公终端在大数据中的应用进行了研究与介绍。
[关键词]大数据 虚拟化技术 安全移动终端
一、背景
随着移动互联技术的日益成熟,企业服务网、网络视频、电子商务、社交媒体的应用更加丰富以及物联网的飞速发展,尤其是更多的移动智能终端接人到网络,在企事业单位的快速普及和应用,由此产生的数据正在以几何倍数增长。互联网数据中心(IDC)报告指出,2012年全球已经开始进人大数据时代,并在2013年全面引爆大数据,而全球数据量大约每两年翻一番,预测到2020年,全球将拥有共计35 ZB的海量数据,我们已经迈进入了大数据时代。大数据有4个特征,即大容量、多样性、快速度和真实性。在当前大数据这个时代,每一个人都可以是贡献自己的数据,同时也可以使用他人的数据。对每一个使用者来说,利用移动终端能在任何时间、任何地点处理分享和使用大数据服务,可以摆脱时间和空间的束缚,有效提高办公效率和推动企业效益增长。因此大数据服务一方面将推动管道技术演进,另一方面也推动移动终端的技术演进。
移动互联技术的日益成熟和通信基础设施建设的飞速发展,推动了移动终端的快速普及和应用。基于移动终端设备的便携性,及网络覆盖的广泛性,移动智能终端设备正在大规模地替代台式计算机进入办公业务系统应用领域。办公企业业务系统的移动化已成基本趋势,移动智能终端设备替代台式计算机已不可避免。近年来,移动办公智能终端设备从功能型向智能型发生了重大的转变,基于其便携性及网络服务,可以摆脱时间和空间的限制使用和分享大数据。因此移动智能终端设备在大数据时代扮演角色愈发重要,其发展方向也以用户体验与需求为最终目的。
二、技术特点
(一)终端多模技术
大数据时代的海量数据依托有线方式和无线方式进行出传送,随着无线技术的快速发展及网络覆盖的广泛性,2G模式对于移动终端设备已不能满足实际需求,2G、3G、4G多种网络并存成为必然趋势。随着移动智能终端设备的应用普及和移动互联网的日益成熟,移动技术正在向宽带化发展,其业务不再局限于语音、短信,移动终端设备集成多种移动网络接人技术。用户可以根据无线网络的实际部署情况,进行网络接入方式的选择。
Wifi凭借其技术优势,在无线传输领域得等飞速发展。一方面Wifi可以作为单独的接人点让移动设备接人,另一方面可以使用组网方式作为无线接人点,实现个人电脑、移动终端等设备的互通。因此Wi-Fi接收终端成为各类终端的标准配置,尤其在移动智能终端方面,Wi-Fi已成为移动终端的主要接入方式之一。
为了满足用户需求,增强用户体验性,安全移动办公终端采用多模双待技术,同时接收2G.3G和4G网络,避免网络间的互操作,实现随时随地块速接入网络。多模多待业务并发机制也将随着移动互联网需求提升而成为可能,即移动办公终端可以同时接人多种管道网络,实现多业务并发。基于多模技术的安全移动办公终端,其网络接入方式根据当前所在地区网络覆盖、负荷等实际情况进行选择,移动终端设备仅检测数据进行上报。以此保证网络的快速接人,增强用户的体验性。
(二)虚拟化技术
安全移动办公平台通过架构在IPSec协议基础上的安全接入网关以及虚拟化技术,采用安全、可靠的硬件平台,无需改变现有企事业单位办公网的网络结构和应用模式,将企事业单位办公系统本地应用、C/S应用、B/S应用平滑迁移到移动办公终端上,移动终端从应用运行设备变成纯粹的输入输出设备,实现移动端和固定办公数据和文档的统一与共享,达到任何时间、任何地点进行办公的目的,实现了用户的移动办公。
其逻辑架构如下图:
虚拟应用交付协议在安全移动办公终端与安全应用服务器之间通过安全协商,建立逻辑上的多数据传输通道,以实现虚拟应用交付过程中多媒体数据的通讯。主通道负责把安全应用服务器端的图像信息传送到终端并显示,同时负责从安全移动办公终端向安全应用服务器端传送用户输入命令(例如键盘鼠标命令),这些命令将会在安全应用服务器端执行。协议允许在主通道基础上,建立扩展通道,实现安全移动办公终终端与安全应用服务器之间各类数据流的传输,例如设备重定向通道、视频重定向通道、图形加速通道等。通道之间在传输和处理数据时相互隔离,根据用途特性分别采用各自独立的数据包格式、处理算法等。
(三)多传感器技术集成
现今,移动智能终端设备基础功能更加丰富,其性能不再局限于最初的基本通信功能。为了提高用户体验性及功能丰富性,移动智能终端设备集成了多种多样的传感器,如重力感应器、GPS定位、觸摸屏、加速度传感器、光线感应器、霍尔感应器等等,通过这些传感器,可以将人的感官系统同移动终端设备相连通,增强了人机互动性。在当前大数据时代,移动智能终端设备通过这些感应器进行数据采集,然后通过网络技术将数据传输到云端进行大数据处理,最后将数据处理结果传输反馈到用户。云服务让用户体验提升到一个新的高度。传感器集成方式可以选择,可以通过内置方式集成到移动终端终端设备中,也可以采用外接方式进行连接。基于目前强大的CPU和开放的操作系统,智能终端可以运用各种运用程序,其软件应用系统日益成熟。此外,随着传感器应用种类的不断增多,移动终端已经融入到日常生活的各个方面。终端的发展呈现综合化、专业化、多样化。其中传感器正是功能多样化的体现。各种功能的传感器集成到一起,是用户得到更完美的体验,实现更加完美的人机互动。
(四)云计算与低功耗
随着移动智能终端设备集成功能的愈加丰富,包括移动通信网络接人技术和多种传感器技术等,移动智能终端设备的功耗问题愈发引起人们的重视。移动智能终端设备的最终目的是保证终端能在低功耗情况下完成各种应用服务,以提高用户的体验性。
当前,移动智能终端设备的性能不再局限于最初的基本通信功能。一方面,移动智能终端设备通过移动互联网技术进行数据分V-fn访问,另一方面,通过云计算服务平台可以将复杂的计算和存储等任务交给云端进行处理,降低了移动智能终端设备的计算量和存储量,同时,终端功耗也相应的降低,延长了终端待机实际,提高了用户体验性。因此,移动智能终端设备与计算的应用结合将是必然趋势。预计在以后的发展中,更多的移动终端设备应用将有云端提供。
(五)安全加密技术
安全移动办公系统为企事业单位提供了一个健康安全的办公环境,其关键加密技术具体如下:
1.开放网络全程多层次数据加密。通过多层次安全通道加密手段,保证通信数据在开放网络以密文形式传输。
2-用户个人数据加密存储,防止数据意外泄漏。安全移动办公终端内置加密硬盘,用户的个人数据存储在加密硬盘,以密文形式存在,即使用暴力拆解存储芯片也无法获取明文信息,可以做到信息绝不泄漏。
3.终端不存储办公数据,杜绝办公数据泄露危险。通过虚拟桌面实现的移动办公,网络传输的是办公系统显示图像,没有真实的业务数据在公网传输,杜绝网络窃取,办公终端也不会存储任何办公数据,有效避免了办公数据泄露风险。
4.安全网络隔离设备实现内外网物理隔离。通过安全网络隔离设备,能够实现企事业单位内外网双网物理隔离,避免内网数据泄露。
5.密码算法和密码设备自主可控,符合国家政策要求。系统中数据加密使用的密码算法均采用国家密码管理局指定的密码算法,其中公钥算法采用256位的SM2算法,对称算法采用128位的SM1算法,所有算法均采用国家密码管理局认证的硬件加密设备运算,在密码算法高安全强度的基础上实现密码算法自主可控,也符合国家对密码产品和密码算法国产化的相关规定。
6.基于操作系统的多层次防护机制,从根源杜绝黑客篡改和恶意软件植入。安全移动办公终端操作系统启动过程需要进行多层次的校验和验证,只有校验和验证成功后系统才能启动,有效避免操作系统被黑客篡改,另外操作系统对应用APP授权安装也有效避免了恶意软件植入风险。
7.安全VPN硬件级高强度身份认证机制,有效避免非授权办公接入。安全移动办公终端和安全接入网关之间采用基于终端内置的加密安全芯片进行身份认证,只有安全接入网关检测到安全移动办公终端的内置加密安全芯片,才能与安全接入网关进行连接,因此可以有效避免非授权接入。
三、产品构成
安全移动办公终端方案设计的网络拓扑图如图二,此网络拓扑结构在保证移动办公系统的数据安全性的同时,快速地将业务系统平滑迁移到移动办公终端系统上。
图二移动办公平台网络拓扑图
移动终端:采用我公司自主研发的安全终端;配置专网APN接人点,安装“移动办公”客户端,用于移动性办公,通过数据流量与其他设备连接。
APN:一种网络接人技术,是通过终端上网时必须配置的一个参数,它决定了终端通过哪种接入方式来访问网络。与防火墙设备采用千兆电口连接。
防火墙:网络出口处串接部署防火墙,设置访问控制规则,只允许VPDN专线链路访问,确保数据访问的安全性。防火墙内部部署入侵检测,发现攻击行为时,防火墙根据接收到信息后动态生成安全规则,将攻击来源进行阻断。
安全接入网关:实现双向身份认证,保证合法身份证书的安全移动办公终端接入,防止接人非法网络;只有被授权的安全移动办公终端访问,阻断异常访问
安全应用服务器:通过虚拟化技术,将现有业务直接投射到安全移动办公终端上,不需要对现有业务系统进行任何软件改造。
网闸:实现安全应用服务器与专网之间的网络隔离,对数据进行协议剥离和内容过滤,实现数据信息交换。
四、产品特色
安全移动办公终端的特点如下所述:
(一)内置国密芯片,保证办公数据安全
终端内置国密芯片,实现通信和存储数据的加密,保证终端通信安全。终端采用自主研发的cos系统,防止系统后门泄密,保证系统安全。
(二)双卡双硬盘双启动,内外网隔离
安全移动办公终端具有双SIM卡连接,双硬盘存储,双系统运行的功能;能够给实现内外网物理隔离,互不干扰,互不影响,从而保证办公系统的安全。
(三)内嵌安全加密存储
可将办公文件或个人隐私文件存储到加密存储中,保障数据安全,防止局部泄露。
(四)专用网络接入,非授权用户无法访问
将授权用户与安全终端绑定,实现非授权用户无法实现访问,保证安全终端内部数据的安全。
(五)安全终端、普通平板和笔记本电脑三合一
安全终端同时具有安全办公的功能、普通平板电脑的功能;能实现浏览互联网,收发邮件;当安全终端加上键盘后具有笔记本电脑功能,能够实现文字处理。
(六)随时随地办公
安全终端将平板电脑和笔记本电脑完美结合于一身,只需要携带一台安全终端就能够随时随地进行办公。
(七)4G通信。保障数据畅通
可以随时随地通过安全终端连接到办公业务系统,及时处理各种业务、收发信息,安排和汇报工作,提高工作效率。
五、解决问题和产生的效益
(一)无需改造现有应用。降低实施成本,缩短实施周期
本产品采用先进的云计算技术和虚拟化手段,相比其它应用方式,不需要再进行移动端的应用适配和二次应用开发,因此开发人力投入较少,成本低,实施周期也相应大大缩短,平台具有强大的应用程序手机发布功能,其虚拟化的特性,将企事业单位办公系统本地应用、C/S应用、B/S应用(如:Office软件、办公系统、办案系统等)平滑迁移到移动办公终端上,无需改变现有企事业单位办公网的网络结构和应用模式就可以实现在移动终端上使用。
(二)随时随地安全办公,提高决策能力和管理效率
将企业内网办公系统功能安全拓展到移动办公终端上,无论领导身在何处,都能实现随时审批,随时决策,提高管理效率。
(三)全方面安全机制。有效保护企业内网核心资源
安全移动办公平台能够很好的保护企业内网核心资源,防止各种网络应用层攻击,阻止黑客等不法分子刺探企业的机密资料。移动办公终端作为移动办公的输入端,和后台只传输操作指令和操作界面,本身不暂存也不传输办公数据,在设备丢失的情况下,办公数据不存在泄露的风险;同时终端严格控制非授权应用的安装,避免不法应用的安装。平台内部通讯基于SSL的数据加密技术,采用多层次加密手段,確保办公通讯安全。通过严格完善的用户权限管理、访问控制及认证机制,确保合法用户安全访问内网办公应用。当远端用户和办公终端登录平台进行办公时,系统会产生相应的审计记录,审计管理员可以随时查看用户的使用情况和历史记录。
(四)简化终端维护工作。降低维护成本
本方案采用云计算和虚拟化技术实现移动办公,企业办公系统客户端程序集中部署在安全应用服务器上,由管理员进行统一维护,进行操作系统的升级及配置、防病毒软件的升级配置、客户端软件(组件)的安装升级等工作,降低了安装和部署的费用,提高移动应用的发布速度。而移动办公使用者无需关心安装部署、升级问题,只需连接上虚拟应用服务使用企业业务系统即可。管理员可以远程设定用户的访问控制策略,并可绑定用户使用智能终端进行办公。
(五)国密算法和国产密码设备使用。符合政策要求
方案中数据加密的密码算法采用国家密码管理局指定的国密算法,密码运算设备均采用有国家密码管理局资质的国产密码设备,符合国家对网络安全产品国产化要求,紧跟国家政策要求。
六、总结
近年来,在大数据的时代背景下,随着互联网技术的日益成熟、移动终端的普及应用以及云计算产业的快速发展,移动办公正在逐步改变人们的日常工作方式。数据作为一种重要的战略资源,掌握数据的能力将是国家数字主权的重要体现。而各种移动智能终端设备作为数据的主要来源者和传递者,在大数据时代中将扮演着极其重要的角色,其相关技术的应用,也必将朝着更好的满足多样化与差异化的用户需求方向发展。