云电脑（政企版）产品介绍

云中台 技术支撑部
2022-07
01 天翼云桌面基本概念
02 天翼云桌面产品能力
背景需求 智慧办公模式改革中面临的业务痛点及挑战

电脑收、发流程长 员工业务场景越发复杂化 企业数据易泄露 设备分散，运维压力大

１ 申领和归还 PC 设备流程繁琐
外包人员 & 实习生申请和归还办
公电脑流程长，业务开展效率低

２ 办公应用逐一安装，效率低
员工安装系统、应用，重复
操作，费时费力

3
背景需求 智慧办公模式改革中面临的业务痛点及挑战

电脑收、发流程长 员工业务场景越发复杂化 企业数据易泄露 设备分散，运维压力大

1 异地办公场景 2 双业务办公场景

难以移动办公

员工与主机强绑定

 远程访问公司的开  不同的业务系统需要

难！ 不同的应用环境；
发业务环境

 远程访问公司的文 单主机部署多系统
难！ 复杂！
档数据资料

4
背景需求 智慧办公模式改革中面临的业务痛点及挑战

电脑收、发流程长 员工业务场景越发复杂化 企业数据易泄露 设备分散，运维压力大

携带办公设备外出，易丢失 员工流动，关键资料难以回收

１ 数据拷贝传输管控不足

企业机密文件、客户信息
等数据泄露
数据落地存储，带来泄密风险 内部数据与互联网环境无法真正隔离

２ 互联网环境复杂，难以
防范病毒、木马等攻击

5
背景需求 智慧办公模式改革中面临的业务痛点及挑战

电脑收、发流程长 员工业务场景越发复杂化 企业数据易泄露 设备分散，运维压力大

设备损坏，硬件更换时间长 新老软件混聚，难以管理

１ 硬件、系统损坏，维修时间长
业务难以连续开展

运维繁琐

２ 设备分散，无法及时响应故障
运维团队资源有限，维护管理压力大

6
 产品介绍 什么是天翼云桌面

 云桌面是一种易用、安全、高效的云上桌面服务，可以快速构建、高效管理桌面办公环境，提供安全、灵活的办公体系。
同时，支持用户随时随地以多种网络方式、多种终端便捷接入，灵活办公。
 采用自研 Clink 桌面传输协
互联网 议，将桌面投射到用户侧的瘦
出口公网带宽
终端上，实现与 PC 机近似的
现有设备 访问公网
操作体验
互联网接入带宽 天翼云
 采用虚拟化技术，将物理服
务器资源虚拟成多个不同性能
操作系统、应用软件、个人数据
企业内网
的“虚机”资源，并且将操作
IPRAN 云专线
系统、应用软件、个人数据部
云桌面 访问企业内网
署其上。
瘦终端

 天翼云桌面四大特征

01 安全办公 数据云端存储；权限可控；策略可管

02 灵活便捷 随时随地，自由接入，访问体验一致
一块屏背后就是一朵云、一 云桌面 云桌面
云桌面
云桌面

03 降本增效 一次性零投入，仅收入月服务费
根线、一群应用，有屏幕的

04 高效运维 集中管理，远程运维，批量开通
地方就有云桌面
7
产品介绍 云电脑 = 电脑搬到云上？

云电脑基于虚拟化技术对物理设备进行虚拟化处理，将 Windows/Linux 电脑提供给用户。通过云电脑，用户可以通

过多种设备（包括台式机、笔记本 、手机、 pad 等）访问云电脑，实现计算机功能。

8
产品介绍 天翼云桌面重新定义云办公

类型 桌面类型
硬件设备部署周期长 桌面规格 形式 系统盘 / 数据盘
扩容需求响应慢  系统盘 SAS80G ；
2C4G ； 4C8G ；
单实例 Windows Server2008/2016 专属云桌面  数据盘 ( 上限挂挂载 5 块） , 每块上限
8C16G
5T
1 提高办工效率 2 极简运维 3 强化安全，自主可控

• 缩短办公设备申领时间 • 集中管理，提升效率 • 数据防止丢失

缩短领用 PC 的时间 模板定制，批量创建云电脑，实现 数据不落终端，集中在云端存储

电脑标准化，降低工作量
• 打破电脑性能不足、计算资源固化的瓶颈 • 防止企业数据被泄露

电脑设备使用年限过长，容易卡顿，硬件 • 提高运维响应速度 外设接口访问策略，提供水印等

难以灵活升级，满足办公需求。 功能，保证数据无忧。
统一业务管理平台，一人维护千台
桌面，减轻现场维护工作量
• 减少业务连续开展前的准备工作 • 防止访问遭受攻击

移动办公时无需反复拷贝数据。 网络访问策略，保护用户安全

9
01 天翼云桌面基本概念
02 天翼云桌面产品能力
产品介绍 天翼云电脑资质

序号 资质名称 颁发机构

1 可信云 中国信息通信研究院、云计算开源产业联盟
2 网络安全等级保护（ 3 北京市公安局
级）
3 2019 年优秀网络可信服 网络空间可信峰会
务解决方案（国产化云桌
面解决方案）
4 2020-2021 年可信云技术 中国信息通信研究院
最佳实践计算类
5 产品质量测试报告 国家工业信息安全发展研究中心
6 计算机软件著作权 中华人民共和国国家版权局
7 国家 APP 安全认证 中国移动互联网安全信用认证中心

11
 产品介绍 天翼云电脑网络要求

 云电脑接入带宽 用户侧接入网络 出口网络

云电脑接入带宽大小由用户侧网络接入类型决定，主要为宽带、互联网专线、 IPRAN 专线、
WiFi 等方式。传输的为云电脑 CLINK 协议，即外设控制协议和云电脑显示协议等。
宽带 / 专线 /WiFi/4G/5G
 云电脑接入带宽要求
1. 普通办公：单桌面接入带宽》 5Mbps
2. 视频播放：单桌面接入带宽》 10Mbps 天翼云电脑资源池 某租户 上行带宽
3. 网络延时：≤ 30ms 下行带宽
4. 用户云电脑如无需高并发使用摄像头类外设、文件重定向、 U 盘重定向等业务，接入上
行带宽可按 0.5M-1M 进行估算，可基本满足日常办公
VPC-A VPC-B

 云电脑上网带宽
云电脑上网带宽大小由管理员分配给业务子网的带宽大小所决定，所分配带宽实际为上行带
100M 400M
宽，下行带宽不收费。 子网 A 子网 B
带宽
带宽

 云电脑上网带宽规则 分配
1. 若子网所分配的带宽≤ 300M ，则子网上行带宽为实际分配值，子网下行带宽为
300M 。 例子：创建带宽 A （ 100M ）和带宽 B （ 400M ），分别关联
2. 若子网所分配带宽＞ 300M ，则子网带宽上行下行对等。 子 VPC-A 下的子网 A 和 VPC-B 下的子网 A 、子网 B ，效果如
3. 上行带宽：云电脑对外发送文件、上传文件到网盘等行为 下表：
4. 下行带宽：云电脑浏览网页、下载文件等行为 子网 网络包资源 子网共享上行速率 子网共享下行速率
子网 A 100M 100M （子网 A ） 300M （子网 A ）
 其它网络概念
1. VPC ：一个租户可创建多个 VPC ，逻辑隔离的虚拟网络，不同 VPC 子网网段可重叠， 子网 B 400M 400M （子网 B ） 400M （子网 B ）
VPC 间默认隔离。
2. 子网：一个 VPC 可创建多个子网， VPC 的 IP 地址范围内的一个区段，子网间不允许
地址重叠，云电脑会分配至某个 VPC 下的某个子网。

注： 1 个租户默认支持创建 10 个 VPC 、 1 个 VPC 支持创建 5 个子网

12
功能总览 天翼云桌面具有丰富的功能——总览

桌面管理 用户管理 桌面体验

指定云电脑归属的 VPC 和子网开通 重置密码 工具栏菜单配置
创建 / 批量创建桌面 创建、删除用户 分辨率自适应
删除 / 批量删除桌面 解锁账号 窗口化
单用户多桌面 自助维护 报障
批量 / 开机、关机、重启 自助重启云电脑 一键优化
开通后桌面升级 网络状态检测 组织管理
开通后磁盘扩容 客户端自助报障 角色设置
重置密码 客户端发起系统重装操作 子账号分配
用户登录记录 策略管理 增值服务（公测）
重装操作系统 外设策略 -USB 等外设重定向 翼甲防火墙
切换镜像 终端设备登录策略 企业文件加密
镜像管理 文件和剪切板策略 应用市场
快照 带宽策略
自定义镜像制作 水印策略
基于自定义镜像分发桌面 画面设置策略
13
安全可靠 天翼云电脑安全防护体系

终端、网络、平台、管理四个维度实现云桌面安全保障

云电脑系统 运维人员

专线接入 客户端软件 用户验证信息 User A

网络应用 用户个人数据
VPN 接入
桌面应用 企业办公数据
Internet 加密接入 User B

桌面终端 接入、网络 系统平台、数据 管理

终端安全 接入 / 网络安全 平台 / 数据安全 管理安全

14
 网络 / 数据安
终端安全 针对不同场景，对终端做限制 终端安全 接入安全
全
管理安全

限制终端的网络环境接入（公网 IP 、内网 IP ）、限制终端设备接入（ MAC 或者终端类型）

设备规则管理

15
 网络 / 数据安
终端安全 客户端 APP 账户安全 终端安全 接入安全
全
管理安全

 云电脑自动锁屏

Windows 客户端可在登录页 - 帐户与安全 - 更多设置

可设置超过一定时间没有操作云电脑，则自动锁屏

 云电脑修改密码 / 设备管理

Windows 客户端可在登录页 - 帐户与安全 - 更多设置

修改密码、查看登录过云电脑的设备并可进行设备移除

 帐号自动退出登录

Windows 客户端可在登录页 - 帐户与安全 - 更多设置

可设置超过一定时间没有操作云电脑，则自动退出已登录
的账号
16
 网络 / 数据安
接入安全 完善的用户接入身份认证 终端安全 接入安全
全
管理安全

密码认 二维码认证
证接入 接入

指纹认证
接入

双因子认证
防暴力破解

丰富的认证方式，支持多级认证、双因子认证
17
 网络 / 数据安
接入安全 Clink 协议传输通道安全 终端安全 接入安全
全
管理安全

CLINK
USB channel
Display channel
Audio channel
Management channel
Media channel
Mouse client
Others

云电脑

传输通道加密，防止监听窃取
客户端登陆云电脑时，认证数据采用 HTTPS 加密传输。
客户端连接虚拟桌面时使用可靠的 SSL 通道传输数据，保证用户数据安全。满足国标和国家密码
算法的传输加密保护。

18
 网络 / 数据安
网络安全 翼甲防火墙 终端安全 接入安全
全
管理安全

翼甲是与天翼云桌面深度融合的自研防火墙产品，可快速布署、方便快捷实现企业信息安全防护

 入侵防御
Internet
实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作
 病毒过滤
X 木马病毒 X 蠕虫病毒
探测各种病毒威胁并拦截，例如恶意软件、木马病毒等 X 漏洞攻击 X 暴力破解
 访问控制 X 数据库攻 访问
击
基于安全策略进行访问控制
翼甲防火墙
 上网行为管理（公测）
对员工上网行为进行精细化的管控和审计，如禁止员工网购
 VPN 功能 正常流量

具备 Ipsec VPN 功能
VPC

云电脑 云电脑 云电脑 云电脑

19
 网络 / 数据安
数据安全 磁盘数据加密 终端安全 接入安全
全
管理安全

虚拟磁盘
原始数据

原始数据
存储集群

从技术上保证了任何一块
密钥管理服务 加密 / 解密 网络
磁盘被取走都不能恢复所
存储数据的原始面貌
AES 256 位加密算法 加密数据

加密数据
QEMU

librbd

出于数据安全的问题，服务器硬盘在维修更换甚至是被恶意拔取的情况下，存在硬盘中的数据会直接或通过技
术手段被恢复出来，造成信息泄密，给企业带来不必要的损失。因此要求服务器上的硬盘被取下后，无法直接
读取上面的信息，也无法通过技术手段对硬盘上的信息进行恢复后再读取。

20
 网络 / 数据安
数据安全 数据高可靠 终端安全 接入安全
全
管理安全

数据高可靠，同城 / 异地三副本，磁盘损坏不会导致数据丢失

A
多副本技术

业务数据在存储服务器上采用三副本技术
分布式存储在三个机柜上，同时有 2 个机
高速 SSD 高速 SSD 高速 SSD 高速 SSD 高速 SSD 高速 SSD
柜的物理机器上的所有磁盘损坏均不会造
成数据丢失，数据可靠性高达 99.999%
A A A

EC 纠删码技术 ( 更低成本 )
提供更好的数据压缩比，节省存储资源 存储盘 存储盘 存储盘

服务器 1 服务器 1 服务器 1

服务器 2 服务器 2 服务器 2

服务器 3 服务器 3 服务器 3

机柜 1 机柜 2 机柜 21
 网络 / 数据安
数据安全 快照 终端安全 接入安全
全
管理安全

• 快照

CPU CPU CPU

GPU GPU GPU

VM
DISK DISK DISK

当前云电脑
T0 T1 T2 Timeline
云电脑快照

22
 网络 / 数据安
数据安全 外设管控 终端安全 接入安全
全
管理安全

有效灵活管控员工的外设使用

外设种类管控 外设权限单向管控 文件与剪切板管控

通过设置外设种类，仅允许合 对应允许加载驱动的外设，可 对本地和云电脑互相拷入、拷出

法外设加载驱动 根据用户的业务性质设置外设 文件或内容，可根据用户的需要
的读写权限 进行单向、双向、禁用控制

23
 网络 / 数据安
数据安全 水印 终端安全 接入安全
全
管理安全

显性水印，防软件截图，防拍照泄密，事前威慑，事后追溯

 租户名
 用户名
 虚拟 IP 地址
 虚拟 MAC 地址
 客户端时间
 满屏水印
 自定义内容

24
 网络 / 数据安
管理安全 管理员操作安全 终端安全 接入安全
全
管理安全

 分权分域控制，按角色分类控制管理员的权限，且按部门控制管理员可管理的桌面（管理员归属部门和下级部门的桌面）。
 账号：管理员可以邀请子账号协助管理云电脑。子账号通过邮件确认后，可登录天翼云控制台。子账号的菜单权限由管理员通过
角色进行控制。子账号的数据权限对应子账号归属部门和下级部门数据

 对管理员操作生成审计日志

25
 网络 / 数据安
管理安全 用户登录日志 & 运维保障 终端安全 接入安全
全
管理安全

用户使用云电脑日志
记录用户登录云电脑，包括终端
设备信息、开始连接时间和结束
连接时间，实现对异常使用云电
脑情况可追溯

 云电脑使用过程中遇到产品问题，可通过多种方式
提交报障
 使用云电脑客户端自助报障功能，反馈问题，如右图
 拨打客服电话 400-810-9889 报障

26
天翼云 安全云