天翼云国产化云平台

一、项目背景

在数字化浪潮下，人民法院依托国产化私有云构建新型信息化体系，既是政策导向的必然选择，也是技术自主创新的战略实践。国产化私有云以自主研发的云计算架构为核心，通过资源池化、弹性扩展等技术，打破传统硬件束缚，实现跨终端协同与高效资源调度，为法院业务处理、数据分析提供稳定支撑。人民法院国产化私有云的落地，不仅是政策驱动的成果，更是技术创新与安全需求的深度融合。未来，这一模式将持续赋能司法领域数字化转型，为国家信息安全与司法效能提升提供坚实保障。

二、法院信息化现状

在数字化转型浪潮中，中国法院系统正经历一场深刻的变革。自2019年《人民法院信息化建设五年发展规划》实施以来，智慧法院建设已从蓝图走向现实，形成覆盖全国四级法院的智能化司法网络。2024年《法治蓝皮书》数据显示，全国法院信息化指数较三年前提升47%，司法效率与服务质量实现跨越式发展。

1、技术赋能：构建全链条智慧司法体系

智慧法院建设以技术融合为核心，形成审判、执行、服务、管理四位一体的智能生态。最高人民法院打造的"移动微法院"平台集成29项在线服务功能，2024年在线立案量突破1500万件，非工作时间立案占比达28%。浙江法院的电子质证系统通过区块链技术实现证据链全程追溯，庭审效率提升60%。这些创新实践标志着中国法院信息化已从单点突破迈向系统集成。

2、数据治理：司法大数据的价值释放

司法大数据应用正成为社会治理的新引擎。全国法院大数据平台汇聚超3亿案件数据，通过数据建模分析，形成覆盖经济风险、社会治理等领域的司法指数体系。最高人民法院构建的"司法链"平台实现核心业务全流程上链，数据防篡改率保持100%。某地法院开发的"数助决策"系统，通过案件数据与人事数据关联分析，将审判管理精准度提升至92%。这种数据驱动的管理模式，有效破解了传统司法管理的粗放化难题。

3、挑战与展望：迈向深度融合的新阶段

尽管取得显著成效，法院信息化仍面临技术伦理、数据安全等挑战。2024年网络安全监测显示，法院系统日均抵御攻击超10万次，数据跨境流动监管亟待加强。同时，人工智能在司法裁判中的边界问题引发学界讨论，需要建立技术伦理审查机制。未来，法院信息化将聚焦三个方向：一是深化AI与司法业务的融合，开发具有法律逻辑推理能力的司法认知系统；二是推进跨部门数据共享，构建社会治理协同平台；三是完善数字司法规则体系，制定智能审判伦理准则。随着《"十四五"国家信息化规划》的深入实施，中国智慧法院必将为全球司法现代化提供更多中国方案。从"线下跑腿"到"云端诉讼"，从经验判断到数据决策，中国法院信息化建设正以科技创新重塑司法形态。这场变革不仅提升了司法效能，更在数字时代开辟了公平正义的新航道，为法治中国建设注入强劲动力

三、总体解决方案

在司法系统数字化转型的浪潮中，传统PC分散化管理带来的数据安全隐患、运维成本压力与协同效率瓶颈日益凸显。基于中国电信自主研发的桌面传输协议，法院云电脑解决方案以集中式虚拟桌面架构为核心，为司法信息化构建起安全、高效、智能的新基建体系。

该解决方案通过自研协议实现桌面传输全链路加密，将计算资源与数据存储集中于云端服务器。法官可通过任意终端设备安全接入虚拟桌面，所有操作痕迹实时记录，核心数据永不落地。这种"云端计算+本地渲染"的架构，既保证了与PC一致的流畅体验，又实现了对桌面环境、应用权限、网络访问的精细化管控。

集中化管理平台能够批量部署虚拟桌面镜像，自动完成系统更新与漏洞修复。当法官异地办案时，只需通过身份认证即可调取专属桌面，实现跨地域业务协同。衡南法院部署云电脑后，将实现终端运维工作量下降70%，桌面故障响应时间缩短至15分钟以内，真正实现"让数据多跑路，让法官少跑腿"。在涉密案件处理场景中，云电脑的动态权限分配机制可精准控制文档访问范围。通过水印追踪、操作审计等技术，确保敏感信息在流转过程中全程留痕、可追溯。这种"零信任"安全模型，为司法数据构筑起比传统PC更坚固的防护体系。作为司法信息化2.0时代的代表性技术，法院云电脑正在重塑办公模式与业务流程。从立案大厅到审判庭，从书记员到院领导，云电脑将推动司法系统向更高效、更公正、更透明的方向持续进化。工作人员能够通过云电脑安全而方便地访问虚拟桌面，升级和修补工作都从单个控制台集中进行，因此可以有效地管理数百甚至数千个桌面，从而节约时间和资源。数据、信息和知识财产将保留在数据中心内，而且永远不外流。

图：云电脑总体架构、云电脑国产化架构

(一)、网络拓扑

图：国产化云电脑网络拓扑

(二)、云国产化云电脑解决方案介绍

云电脑通过Clink协议使用可靠的SSL通道传输数据，保证用户数据安全。不同的应用都会建立各自的数据通道，做到应用之间互不干扰，避免出现某一个通道数据量过大而对其他应用造成影响的情况；同时图像做了协议优化处理，保证用户达到流畅的使用体验云电脑通过Clink协议通过重定向技术，较好地实现了对市面上大部分外设的支持。支持常用USB接口的键盘、鼠标、U盘、打印机、网络打印机；支持Ukey识别，满足OA办公需求。 用户桌面的显示输出，以及键盘鼠标输入，TC/SC通过桌面接入网关代理访问对应的桌面，同桌面接入网关之间采用SSL加密的CLINK协议进行信息传递，可以通过策略开放或者禁止TC/SC USB等外设至虚拟机的重新定向；用户通过在TC/SC上输入域用户名和密码访问对应桌面。计算型服务器：对虚拟机提供计算、网络、负载均衡、控制等功能。

存储型服务器：对虚拟机提供管理、存储等功能。交换机:计算与存储服务器采用10GE网络接口用作业务与存储的交换，GE接口用作管理。

（三）、专属云电脑 + 云专线建设模式

采用租用的形式使用天翼云电脑，无需自建机房和IDC资源。通过云专线接入桌面，桌面通过专线访问内网应用。

图：专属云+云专线建设模式

（四）、安全准入控制

为适应云桌面平台的网络信息安全管控需求，需建立标准化的IT安全管理体系，强化安全防护机制与接入认证体系，提升整体网络安全运维效能。通过实施全网安全态势的整体评估与实时监测，实现安全风险的动态管控，从而有效防范潜在安全隐患。

为此，盈高科技准入ASM可以围绕以虚拟桌面为平台构建的内网网络环境实现以下的目标：

1．不改变现有网络环境及结构。

2．对云桌面终端进行准入控制，杜绝不合规范终端接入网络。

3．对接入终端的注册、审核，并可以实现管理员二级分权审核。

4．将终端、使用人、使用人部门信息进行一一对应，加强管理。

5．通过角色的划分，可以精确的划分网络访问的权限。

6．通过合规化管理策略对终端若口令、密码安全策略、杀毒软件安装情况、基线安全等进行加固。

7．IP绑定管理、资产台账管理，实现IP/MAC地址绑定杜绝私自篡改IP地址的情况，同时通过资产台账管理实现自动收集终端软硬件资产信息，以此减少管理人员工作量及提高资产数据的准确性。

8．通过盈高ASM准入控制系统，可以构建更可靠、更安全的网络环境。准入控制系统以旁路方式部署于网络核心区域并且准入设备与云桌面服务器相连接，网络入网的完成由两部分组成。即，实体机入网和云桌面入网两个状态过程。ASM通过管控云桌面服务器的方式实现实体机入网后，在云桌面入网时需要受控于ASM准入设备。准入部署时不会改变原有网络结构，实现了“便捷准入，安全入网”的管理效果。

四、云电脑平台主要功能

(一)、云电脑平台优势

1．兼容业务系统：为保障正常工作，云电脑必须兼容现有所有业务系统。

2．安全管控：需按照高院统一要求，安装盈高的准入控制等安全管控系统。

3．升级服务：高院对业务进行升级时，要及时提供相应的升级服务。

4．简化运维：基层人力资源紧张，运维琐事杂多，不便于管理。

5．外设适配：法院电脑需要接入多种设备（例如打印设备、存储设备、摄像设备等）进行信创适配，同时需要对外围设备具有一定的管控手段。

6．系统要支持安全架构设计，具有完善安全防护能力。

7．系统支持高可用性、动态迁移等可靠性设计。

8．系统支持通过扩容存储与计算资源实现用户平滑扩容。

（二）、云终端盒

在使用端口级准入控制技术的情况下，考虑到云终端盒是配置实际内网IP接入到公司内网当中，准入将会针对云终端盒进行基于mac地址的可信放行处理方式，设置可信后的云终端盒子通讯数据将会由准入设备代为转发。同时为防止云终端盒子被非法设备伪造mac替换，准入系统同时支持对云终端盒子进行基于设备指纹的绑定措施，在确保云终端设备的正常使用的同时，提供强制的唯一绑定措施，有效杜绝非法替换接入的风险

（三）、云终端系统

鉴于云终端系统是直接从云服务端拉取操作系统，云系统本身无法存储数据，所以建议针对云系统采用例外处理方式，不对云系统进行管控；重点加强对云服务器的访问防护，这样的话准入控制系统的防护重点就是访问云服务器的设备，云系统本身的工作模式及流量收发将不会有任何改变及影响。

（四）、入网身份认证

开启后台准入身份认证功能。可进行用户名密码、Usbkey、指纹认证等多种认证方式，以防止外来人员利用衡南县法院终端随意访问衡南县法院核心信息。

（五）、入网流程

身份认证，浏览器会将页面跳转到认证界面，根据页面提示，输入AD域用户名，密码，完成用户身份认证。身份认证完成后，对于员工来说，因为要做安全检查，因此必须要安装控件并弹出安装小助手的运行框，点击运行。安装完成小助手会弹出入网设备注册界面如下图所示，填写正确的“所属部门”、“使用人”和“联系电话”信息，点击“下一步”完成注册。注册界面项目均可灵活定义编辑。设备审核。设备注册之后会提示注册成功，等待管理员审核通过即可接入网络。管理员亦可通过审核指定终端使用时间范围。安全检查。完成终端注册后，浏览器会自动跳转至安全检查页面，如下图所示。准入ASM将会依据管理员后台配置的安检策略进行安检。安检结果显示终端存在的安全隐患，对其安全隐患进行自动修复。亦可以灵活配置修复容留期并指定某安检项需强制通过。

（六）、特色功能

1．边界管理

ASM 是目前最具适应性的内网控制系统。利用不同模式下的准入联动技术， ASM能够帮助用户快速实现对于内网边界的规划，可以实现基于接入层边界的控制和基于重要资源边界的控制。

2．终端、人员管理

ASM 能够要求接入终端进行登记注册，并进行审核，防止非法终端的随意接入；同时能够提供广泛的身份认证功能，以及基于人员角色的权限控制功能，从而在识别、授权、审计等多个角度对内网边界设立好人员管理的第一道防线。

3．终端安全加固

ASM拥有丰富的安全检查规范，通过对终端进行安全检查，并提供一键式智能修复，在加固终端安全防护能力的同时，节约了运维成本，提高了工作效率。

4．日志报表，简化管理

ASM 提供详细的入网报告，对接入网络的终端进行统计与归类，并生成报表，通过ASM ，能够对全网终端有一个全局的把握，给管理员的管理带来了很大的方便。

5．基于角色的权限分配

ASM可以定义员工、第三方维护人员等角色，并赋予不同的访问权限。这样，不同的人员认证之后将获得各自的网络访问权限。准入ASM可为终端，哑终端提供设备指纹技术。在终端入网后，通过终端的硬盘ID，操作系统，MAC等信息为网络终端生成唯一指纹。防止伪造相同IP，MAC的终端接入网络确保网络安全。

五、云电脑平台主要成效：

国产化私有云平台构建实施取得显著成果，有效强化了数据安全保障与业务稳定运营，实现资源利用降本增效，同步提升协同作业效能与自主技术研发水平。在数据防护层面，私有云架构构建多维度安全防护体系，通过精细化权限管理机制显著降低信息泄露风险，实现数据全生命周期可控管理。业务支撑方面，平台具备高可用架构设计与弹性资源调配能力，保障核心业务7×24小时不间断运行，智能调度策略有效应对流量峰值波动。成本优化成效突出，采用集中化资源池管理模式，大幅缩减基础设施投入，配合动态资源分配机制避免冗余浪费。协同办公能力升级，集成文档云存储、多端同步编辑、跨平台移动办公等先进工具，构建全场景数字化工作环境。技术自主化进程加速，实现从底层硬件到应用软件的全栈国产化替代，形成抵御外部技术制约的核心能力。实践证明，该平台在法院系统中展现出可复制、可推广的技术优势，有效推进智慧政务体系建设，助力公共服务提质增效，实现运营成本集约化管控与技术供应链安全可控。为智慧法院体系构建提供关键技术支撑，显著提升司法服务智能化水平与审判执行工作效率。

责任编辑：广汉