北信源电子文档安全产品用户使用手册-单仰苏给的.doc

北信源电子文档安全管理产品 用户使用手册 北京北信源软件股份有限公司北京北信源软件股份有限公司 目 录 一 产品安装 4 1 1 电子文档安全管理产品环境要求 4 1 1 1 硬件环境 4 1 1 2 软件环境 4 1 1 3 其他环境 4 1 2 服务器端环境软件安装 4 1 2 1 安装 IIS 4 1 2 2 安装 SQL Server 2000 数据库 7 1 2 3 安装 SQL Server SP4 补丁程序 17 1 3 电子文档安全管理系统安装 24 1 3 2 数据库初始化模块安装 27 1 3 3 区域管理器模块安装 30 1 3 4 EDocSec 数据库和认证服务器安装 34 1 3 5 WEB 管理平台安装 38 1 4 系统配置 43 1 4 1 IIS 配置 43 二 产品应用 46 2 1 服务器配置 46 2 1 1 区域划分 46 2 1 2 区域管理器配置 49 2 1 3 扫描器配置 54 2 1 4 注册程序配置 57 2 2 系统维护 59 2 2 1 用户权限分配 59 2 2 2 用户设置 62 2 2 3 数据重整 62 三 服务器配置使用说明 63 3 1 用户组织管理 63 3 1 1 用户组织管理 63 3 2 策略管理中心 68 3 2 1 密钥管理 68 3 2 2 进程指纹管理 68 3 2 3 可信进程管理 69 3 2 4 客户端登陆配置策略 70 3 2 5 策略自动下发查询 71 3 3 系统审计信息 71 3 3 1 文档授权审计 71 3 3 2 授权访问审计 72 3 3 3 文档操作审计 73 3 3 4 文档打印审计 73 3 3 5 文档管理用户登录审计 74 3 3 6 权限申请审计 75 3 3 7 待审批申请审计 76 3 3 8 已审批申请审计 77 3 3 9 待审批解密申请审计 78 3 3 10 已审批解密申请申请审计 79 四 客户端使用说明 80 4 1 主动授权加密 80 4 2 透明加密 85 4 3 手动加密 86 4 4 申请解密 87 4 5 文档外发 89 4 6 托盘功能 94 4 7 用户登陆 WEB 95 一 产品安装一 产品安装 1 1 电子文档安全管理产品环境要求电子文档安全管理产品环境要求 1 1 1 硬件环境硬件环境 服务器配置 Pentium 2 4C 以上 CPU 配置 Pentium 2 4C 以上 内存配置 2G 以上 硬盘配置 10G 以上 通讯协议 TCP IP 1 1 2 软件环境软件环境 操作系统 Microsoft Windows Server 2000 企业版或 Microsoft Windows Server 2003 企业版 数据库 Microsoft SQL Server 2000 企业版 SP4 WEB 服务器 Microsoft Internet Information Services 5 0 IIS 1 1 3 其他环境其他环境 端口开放 80 88 2388 2399 8901 8900 161 137 22105 8889 22106 22 108 1 2 服务器端环境软件安装服务器端环境软件安装 1 2 1 安装安装 IIS 将系统光盘放入计算机 CD 或 DVD 光驱中 然后进入 开始 菜单 选择 控制面 板 选择 添加或删除程序 如下图所示 图 1 2 1 1 选择 添加或删除程序 菜单 进入 添加或删除程序 后 选择 添加 删除 Windows 组件 如下图所示 图 1 2 1 2 选择 添加 删除 Windows 组件 在 Windows 组件向导 窗体中 勾选中 应用程序服务器 如果您的计算机系 统分区文件格式是 FAT32 类型 系统将提示警告信息 这个警告并不影响正常 安装和使用 IIS 请在提示窗口中点击 确定 系统将为您安装 IIS 如下图所 示 图 1 2 1 3 选择 应用程序服务器 并安装 IIS 图 1 2 1 4 系统正在安装 Internet 信息服务 IIS 1 2 2 安装安装 SQL Server 2000 数据库数据库 进入 SQL Server 2000 的安装界面后 选择 安装 SQL Server 2000 简体中文 企业版 E 如下图所示 图 1 2 2 1 选择 安装 SQL Server 2000 简体中文企业版 进入企业版安装页面后 选择 安装 SQL Server 2000 组件 C 如下图所示 图 1 2 2 2 选择 安装 SQL Server 2000 组件 进入 SQL Server 组件安装页面后 选择 安装数据库服务器 如下图所示 图 1 2 2 3 选择 安装数据库服务器 S 点击 安装数据库服务器 后 系统可能会提示 SQL Server 2000 sp2 不支持此 操作系统 该警告不会影响您安装数据库 请点击 继续 稍后 我们会安装 SQL Server 2000 sp4 补丁程序 从而解决该问题 如下图所示 图 1 2 2 4 数据库 sp2 版本兼容提示 进入数据库安装向导页面 点击 下一步 如图所示 图 1 2 2 5 数据库安装向导首页 选择要创建新数据库实例的计算机 此处选择 本地计算机 点击 下一步 如 下图所示 图 1 2 2 6 选择创建新实例的计算机 点击 下一步 后 如果系统提示需要新启动计算机 请重启计算机 然后重复 以上数据库安装步骤 如果没有提示将进入下一个向导页面 进入后 选择 创 建新的 SQL Server 实例 或安装 客户端工具 然后点击 下一步 如图所示 图 1 2 2 6 选择创建新的 SQL Server 实例 输入您的姓名和公司名称 点击 下一步 如图所示 图 1 2 2 7 输入姓名及公司名称 进入 软件许可协议 窗体 点击 是 如果所示 图 1 2 2 8 同意软件许可证协议 进入安装类型选择窗体 选择 服务器和客户端工具 点击 下一步 如图所示 图 1 2 2 9 安装类型选择 创建数据库实例名 此处选择数据库默认实例名 点击 下一步 如图所示 图 1 2 2 10 创建实例名 再次进入安装类型选择 请选择典型安装 如果您想将 程序文件 和 数据文件 安装在其他盘符 可以点击 浏览 进行位置选择 这里选择的系统默认路径 然后点击 下一步 图 1 2 2 10 典型安装 进入 服务帐户 窗口 对每个服务使用同一个帐户 并自动启动服务 使用本 地系统帐户 进行 SQL Server 服务的启动 图 1 2 2 11 服务帐户配置 选择 windows 系统身份认证和 SQL Server 身份认证混合模式 并设置 sa 密 码 sa 密码请牢记 后续安装电子文档安全管理软件会使用 如图所示 图 1 2 2 12 配置身份验证模式 点击 下一步 开始复制文件 如图所示 图 1 2 2 13 开始复制文件 进入 选择许可模式 窗体 选择 每用户 许可模式 可以根据您的实际情况 制 定允许多少设备访问 这里设置的是 5 台 点击 继续 后 进行数据库的安装 如图所示 图 1 2 2 14 选择许可模式 图 1 2 2 15 正在安装 SQL Server 2000 数据库 图 1 2 2 16 数据库安装完成 1 2 3 安装安装 SQL Server SP4 补丁程序补丁程序 SQL Server 2000 数据库安装完毕后 需要安装 SP4 补丁程序 运行 SQL2000 KB884525 SP4 x86 CHS EXE 后将文件保存在本地硬盘上 这里 使用默认路径 将 SP4 补丁文件放置在 C SQL2KSP4 中 点击 下一步 进 行文件保存 如图所示 图 1 2 3 1 选择 SP4 补丁文件保存位置 进入 C SQL2KSP4 文件夹中 运行 setup bat 进入 SP4 程序安装向导 如图 所示 图 1 2 3 2 进入 SP4 安装向导 进入软 件许可证协议 窗体 同意该协议 并点击 是 如图所示 图 1 2 3 3 软件许可证协议 进入 实例名 设置 在安装 SQL Server 数据库时已经进行了实例名的设置 此 处不再进行设置 点击 下一步 如图所示 图 1 2 3 3 不进行实例名设置 选择数据库连接验证模式 使用 SQL Server 身份认证 输入 sa 用户密码 然 后点击 下一步 如图所示 图 1 2 3 4 选择数据库连接验证方式并输入 sa 密码 密码验证成功 进入 SP4 程序安装 选择 升级 Microsoft Search 并应用 SQL Server 2000 SP4 必需 然后点击 继续 如图所示 图 1 2 3 4 SP4 安装界面 不启用 SQL Server 错误报告 直接点击 确定 后 进行 SP4 补丁程序安装 如图所示 图 1 2 3 5 设置错误报告 进入 开始复制文件 窗体 点击 下一步 开始复制文件 如图所示 图 1 2 3 6 确定开始复制文件 系统提示更新与备份 master 数据库和 msdb 数据库 点击 确定 如图所示 图 1 2 3 7 更新与备份 master 和 msdb 数据库 成功安装 SP4 补丁程序安装 点击 完成 退出安装程序 图 1 2 3 8 SP4 补丁程序安装成功 1 3 电子文档安全管理系统安装电子文档安全管理系统安装 电子文档安全管理系统安装顺序 1 WinPcap 网卡驱动模块 2 数据库初始化模块 3 区域管理器模块 4 EDocSec 数据库和认证服务器 5 WEB 管理平台 进入 WinPcap 文件夹 运行 WinPcap exe 进入 WinPcap 安装向导窗体 点 击 Next 如图所示 图 1 3 1 1 WinPcap 安装向导 1 点击 Next 如图所示 图 1 3 1 2 WinPcap 安装向导 2 同意 WinPcap 许可证协议 并点击 I Agree 如图所示 图 1 3 1 3 WinPcap 许可证协议 安装成功后 点击 Finish 退出安装程序 如图所示 图 1 3 1 4 WinPcap 安装成功 1 3 2 数据库初始化模块安装数据库初始化模块安装 启动 SQL Server 数据库服务器 进入 开始 菜单 选择 所有程序 选择 Microsoft SQL Server 选择服务管理器 如图所示 图 1 3 2 1 选择 SQL Server 服务管理器 启动 SQL Server 服务 点击 开始 继续 启动成功后 在计算机任务栏右边 会显示图标 如图所示 图 1 3 2 2 SQL Server 服务管理器 进入 环境初始化 文件夹 运行 InitEvn exe 进入系统环境初始化窗体 点击 下一步 如图所示 图 1 3 2 3 系统环境初始化向导 配置数据库服务器地址和连接数据库验证方式 因为安装数据库时身份验证方 式选择的是混合模式 所以这里请使用 SQL 身份认证 SQL Server 数据库地 址为 代表本地计算机 IP SQL 用户名填写 sa 密码填写安装 SQL Server 数据库时所设置的 sa 密码 填写完毕后 点击 下一步 后 进行数据库 初始化 如图所示 图 1 3 2 4 设置数据库服务器地址及连接验证方式 系统正在进行数据库初始化 图 1 3 2 5 正在进行数据库初始化 点击 确定 完成数据库初始化 图 1 3 2 6 数据库初始化成功 1 3 3 区域管理器模块安装区域管理器模块安装 进入 RegionManage 文件夹 运行 Setup exe 进入区域管理器安装向导窗体 点击 下一步 如图所示 图 1 3 3 1 区域管理器安装向导 同意许可证协议 并点击 是 如图所示 图 1 3 3 2 区域管理器许可证协议 输入用户名 公司名及序列号 软件序列号可从用户卡 光盘封面或说明书封 面获得 输入完毕后 点击 下一步 如图所示 图 1 3 3 3 用户信息及软件序列号输入 选择程序安装路径 然后点击 下一步 如图所示 图 1 3 3 4 软件安装路径设置 设置程序在 开始 菜单的 应用程序 中的文件夹名 选择系统默认即可 然后点 击 下一步 如图所示 图 1 3 3 5 设置程序文件夹 正在安装区域管理器程序 如图所示 图 1 3 3 6 正在进行区域管理器安装 安装成功 点击 完成 退出安装 如图所示 图 1 3 3 7 完成安装 1 3 4 EDocSec 数据库和认证服务器安装数据库和认证服务器安装 进入 EDocSec 数据库和认证服务器安装包 文件夹 运行 Setup exe 进入 EDocSec 数据库和认证服务器安装向导 点击 下一步 如图所示 图 1 3 4 1 EDocSec 数据库和认证服务器安装向导 同意许可证协议 并点击 是 如图所示 图 1 3 4 2 许可证协议 输入用户名 公司名及序列号 软件序列号可从用户卡 光盘封面或说明书封 面获得 输入完毕后 点击 下一步 如图所示 图 1 3 4 3 用户信息及软件序列号设置 选择软件安装路径 然后点击 下一步 如图所示 图 1 3 4 4 安装路径设置 输入数据库服务器 IP 地址 及数据库用户和密码 这里输入的是 127 0 0 1 本 地服务器地址 您可以根据实际情况填写服务器 IP 地址 建议使用 sa 数据库 用户 输入完毕后 点击 下一步 如图所示 图 1 3 4 5 数据库服务器地址及用户 密码设置 点击 下一步 进行文件复制 如图所示 图 图 1 3 4 6 确认开始复制文件 安装成功 点击 完成 退出安装 如图所示 图 1 3 4 7 安装成功 1 3 5 WEB 管理平台安装管理平台安装 进入 网页平台 文件夹 运行 Setup exe 进入 WEB 管理平台安装向导 然后 点击 下一步 如图所示 图 1 3 5 1 WEB 管理平台安装向导 同意软件许可证协议 并点击 是 如图所示 图 1 3 5 2 许可证协议 输入用户名 公司名及序列号 软件序列号可从用户卡 光盘封面或说明书封 面获得 输入完毕后 点击 下一步 如图所示 图 1 3 5 3 用户信息及软件序列号设置 选择 WEB 管理平台安装路径 建议选择默认安装路径 然后点击 下一步 如 图所示 图 1 3 5 4 设置 WEB 管理平台安装路径 输入数据库服务器 IP 地址 及数据库用户和密码 这里输入的是 127 0 0 1 本 地服务器地址 您可以根据实际情况填写服务器 IP 地址 建议使用 sa 数据库 用户 输入完毕后 点击 下一步 如图所示 图 1 3 5 5 数据库服务器地址及用户 密码设置 设置 WEB 管理平台虚拟目录 建议使用默认名称 然后点击 下一步 如图所 示 图 1 3 5 5 WEB 管理平台虚拟目录设置 确认设置信息 点击 下一步 开始进行文件复制 如图所示 图 1 3 5 6 确认设置并开始复制文件 正在复制 WEB 管理平台程序文件 图 1 3 5 7 正在复制文件 安装成功 点击 完成 退出安装 图 1 3 5 8 安装成功 1 4 系统配置系统配置 1 4 1 IIS 配置配置 打开 开始 菜单 选择 管理工具 选择 Internet 信息服务 IIS 管理器 进入 Internet 信息服务 IIS 管理器 窗体 在展开左侧树形菜单中 鼠标左键点击 Web 服务扩展 在右侧操作鼠标右键点击 Active Server Pages 在弹出的菜 单中选择 允许 使用同样的操作 将 Internet 数据连接器 和 在服务器端的包 含文件 设置为 允许 如图所示 图 1 4 1 1 IIS 管理器改变 Web 服务状况 在左侧树形菜单中 双击 网站 节点 节点展开后 双击 默认网站 节点 展开 后使用鼠标右键点击 VRVEIS 虚拟目录 在弹出菜单中选择 属性 如图所示 图 1 4 1 2 选择 VRVEIS 虚拟目录属性 在 VRVEIS 属性 窗体中 选择 虚拟目录 标签 然后勾选 脚本资源访问 和 写 入 然后点击 配置 按钮 如图所示 图 1 4 1 3 设置 VRVEIS 属性参数 在 应用程序配置 窗体中 选择 选项 标签 然后勾选 启用父路径 点击 确定 回到 VRVEIS 属性 窗体 点击 确定 完成设置 如图所示 图 1 4 1 4 设置应用程序配置参数 如果您的系统分区的文件格式是 FAT32 格式 那么您已经完成 IIS 服务器的配 置 如果是 NTFS 格式 那么您还需要完成以下设置 进入电子文档安全管理 系统安装目录 进入 二 产品应用二 产品应用 2 1 服务器配置服务器配置 2 1 1 区域划分区域划分 在网页平台安装完毕之后 访问 http Web 服务器域名 服务器域名 IP VRVEIS 访 问 WEB 管理平台登录界面 如下图所示 图 2 1 1 1 Web 管理登录界面 其中 工具下载 菜单提供了包括用户注册器下载 补丁检测中心 多路帮用户注册器下载 补丁检测中心 多路帮 助平台 普通工具下载 管理员工具下载 工具上传管理助平台 普通工具下载 管理员工具下载 工具上传管理等功能 用户按照页 面提示操作即可 图 2 1 1 2 客户端工具下载界面 系统默认用户为 admin 密码为 123456 登录后建议管理员修改管理员 密码 成功登录后 进入系统的主界面 如下图所示 图 2 1 1 3 Web 管理主界面 在所处的在所处的 IP 地址段内 进行区域划地址段内 进行区域划分操作分操作 首先 进行区域添加和划分操作 区域划分 区域划分 单击配置管理里的 区域划分与配置 对网络中的客户端进行区 域划分管理 按照提示依次添加区域 增加区域 IP 管理范围 分配区域管 理器 并完成系统组件运行参数配置 具体步骤 具体步骤 区域描述配置栏中填写好一些必要的与区域相关的信息 如区域机构代码 区域名称 负责人姓名等 其他信息可以酌情依照实际用途填写 本区域 IP 划分 根据用户实际需要在下图所示的文本框中填入需要管辖的 IP 地址 其中保留 IP 段为该网段目前没有网络设备存在的网段 如有设备存在 则 会产生报警信息 图 2 1 1 4 下级区域划分 下级区域划分 在已有区域页面中点击 增加下级区域增加下级区域 按钮进行下级区域添 加 如集团总部下属总裁办 行政部 财务部等 图 2 1 1 5 增加区域 2 1 2 区域管理器配置区域管理器配置 区域管理器 区域管理器 区域管理器为系统策略控制及数据接收处理中心 具有控制 完成系统相关的动作行为处理功能 同时与本级数据库系统连接 统一接 收注册程序提供的信息 将用户信息 填写的计算机使用人姓名 联系电 话 E mail 等 计算机 IP MAC 地址 硬盘 CPU 内存等其它硬件信 息均为自动采集 存入数据库 根据本区域客户端 IP 管理情况确定对 IP 地址的 管理方式 若选择 IP MAC 地址绑定 需要在静态 IP 环境下进行设置 允许客户端控头升级允许客户端控头升级 设置本区域管理器管理范围内的客户端的升级操作 设置设置 vpn 网络虚拟管理器网络虚拟管理器 IP 是指添加 VPN 虚拟服务器的 IP 地址 管理器标识管理器标识 是指管理器的标记 当服务器迁移时需要设置与之相同的管 理器标识 管理器可直接通信网段管理器可直接通信网段 在管理多个独立子网时 该配置填写区域管理器 服务器可直接通信的地址 允许客户端注册允许客户端注册 是指任意一台在区域范围内的客户端都可以在服务器 上注册 管理器配置同步管理器配置同步 当选中 下级区域 时下级区域的配置应该和上级区域管理 器的配置相同 当选中 全部区域 时是指下面的任意级联区域都要和区域管 理器的配置同步 图 2 1 2 1 区域管理器参数设置 区域管理器系统配置 区域管理器系统配置 当设置完当前页面这时我们可以配置刚才安装好的 内网安全管理管理器去桌面双击 内网安全管理管理器内网安全管理管理器 快捷方式弹出如下界 面 图 2 1 2 2 区域管理器系统配置 先进行先进行 SQL 服务器配置 服务器配置 进入 系统配置系统配置 逐步输入 SQL 服务器 IP 地址 用户名称及密码 数据库名称 默认为 VRVEIS 单击 确定 完成 SQL 服务器配置 图 2 1 2 3 SQL 服务器配置 管理器配置 管理器配置 本软件默认机器操作系统 88 端口 若其它应用程序占用该 端口 将自动更改为 188 如果区域管理器应用于多级管理 每级都有独立的 SQL server 和相应的内 网安全管理及补丁自动分发管理平台 的级联构架体系 其上级还有区域管理 器的情况下 当前区域管理器需要将所有信息上报到上级管理器 区域管理器支持多级级联 如国家 省 市 县多级规模网络管理构架 下属区域管理器将其所有计算机报警信息转报到上级数据库 注 需要把 上报给上级管理器 上 输入上级管理器地址 升级配置 用于配置区域管理器的自动升级 升级服务器地址为上级区域 管理器 IP 区域管理器配置区域管理器配置 高级设置高级设置 系统配置 系统配置 锁定下级策略是指下级不能够更改策略信息 上报给上级区域管理器上报给上级区域管理器是指下级的策略 阻断 违规信息上报给上级区域管理 器 在此处打上 添加上上级管理器地址 配置级联 图 2 1 2 4 阻断配置 阻断配置 图 2 1 2 5 探头阻断 目前常用的阻断方式 由扫描器调度探头完成阻断任务 只要 保证一个网段 VLAN 中有一台存活的已注册计算机 就可以实现阻断 防火墙阻断 该方式必须与防火墙结合使用 需要设置必要的防火墙规则 集和安全认证 与其它防火墙不兼容 策略配置 策略配置 系统支持对各种文件的分发 在 Web 中央管理平台进行软件分 发操作前 必须对本项进行配置 默认将分发文件放在 C VRV RegionManage Distribute 目录下 管理员 可根据需要自行更改路径 同时 修改本路径后 补丁下载存放的位置也会相 应改变 图 2 1 2 6 2 1 3 扫描器配置扫描器配置 点击增加扫描器增加扫描器设置扫描器扫描网络 IP 范围 机构代码机构代码 一般为阿拉伯数字 由用户单位根据管理要求进行设定 扫描间隔扫描间隔 根据管理 IP 范围大小进行设置 建议设置为 10 分钟 图 2 1 3 1 区域扫描器参数设置 扫描器配合区域管理器进行工作 扫描器的扫描范围不可能超过它的区域 管理器管理的 IP 范围 扫描器除了指定扫描的 IP 范围外还能够指定排除不扫描的地址范围 如有 某些网段不需要扫描器发现设备 为缩短扫描时间 可在扫描器设置中增加禁 止扫描地址段的设置 扫描器高级配置扫描器高级配置 图 2 1 3 2 扫描器配置 系统配置 扫描器高级配置扫描器高级配置 系统配置 系统配置 扫描频率设定 用户可以根据网络中网络带宽占用情况 灵活设置扫描频 率 同样可以选择是否 使用 SNMP 扫描 扫描方式 如果选择 使用 SNMP 扫 描 则系统能够自动对网络设备 例如交换机 路由器 网络打印机等 进行 扫描 并自动登记到设备列表库中 阻断选项 如果用户选择 扫描器阻断 此时可采取 轻量级阻断 和 重量 级阻断 两种方式 轻量级阻断 轻量级阻断 阻断计算机向网络中广播一个 ARP 请求报文 将被阻断计算 机的 IP 地址及对应的假 MAC 地址发送给网络内所有的计算机 每台计算机收 到请求后便会对本地的 ARP 缓存进行更新 将收到的请求中的 IP 和对应的假 MAC 地址存储在 ARP 缓存中 这样对于网络中的计算机看来 被阻断计算机 的 IP 地址没有变化 而它的 MAC 地址已经不是原来那个了 由于局域网的网 络通信不是根据 IP 地址进行 而是按照 MAC 地址进行传输 因此 被阻断计 算机便接收不到网络中计算机 不含阻断计算机 传送过来的信息 重量级阻断 重量级阻断 阻断计算机冒充网络中的其他计算机 本网段 1 255 给被 阻断计算机发送定向 ARP 应答报文 被阻断计算机收到请求后便会对本地的 ARP 缓存进行更新 将收到的请求中的 IP 和对应的假 MAC 地址存储在 ARP 缓存中 这样对于被阻断计算机看来 网络中的计算机的 IP 地址没有变化 而 它们的 MAC 地址已经不是原来那个了 因此 被阻断计算机便不能向网络中 的计算机 不含阻断计算机 传送信息 扫描器高级配置扫描器高级配置 交换机扫描配置 交换机扫描配置 交换机扫描用于扫描发现交换机 进行拓扑发现 Snmp 团体名 根据拓 扑管理需要输入网络中所有网络设备的 snmp 读团体名用 隔开 图 2 1 3 3 交换机扫描配置 如上图 配置扫描间隔时间一般设成 5 10 分钟 IP 范围设置需要扫描的 ip 段 snmp 读团体名称是根据交换机口令设置的 该功能的启用需要下载交换机拓扑模块 安装后进行网络拓扑发现 进入 web 管理平台主页面 运维监控 菜单 启用网络拓扑图 安装交换机拓扑模块 后进行网络拓扑发现 2 1 4 注册程序配置注册程序配置 控制页面如下 管理员可以通过设置来按照需求来配置客户端注册程序 让用 户填入相应的信息 方便以后管理 其中的项有启用 必选 还可以对输入数 据进行控制 后面的功能设置必须对每个功能模块启用 图 2 1 4 1 注册程序配置 选择编辑单位编辑单位 部门部门弹出如下图 图 2 1 4 2 先选择修改单位修改单位弹出如下窗口 图 2 1 4 3 填写单位名称和单位备注消息点击添加添加 修改单位 修改单位 最后点击保存修改保存修改关闭窗口返回上级窗口如下图 图 2 1 4 4 可以看到刚才添加的单位 在此输入每个单位所对应的部门 部门备注信息 选择保存修改保存修改可以完成单位 和部门的配置 点击设置注册密码设置注册密码弹出如下窗体原注册密码为空 设置注册密码是为了防止新接入设备非法进行注册 图 2 1 4 5 用户可直接添加新注册密码并点击保存修改保存修改 注册单位与注册部门选择联动注册单位与注册部门选择联动 当对单位和注册部门设置为必填必填和仅选择仅选择 这时客户端注册程序 对单位和部门的填写只能按照管理员的设置来选择 不 能手动填写 使用静默注册 使用静默注册 以上的设置都不生效这时客户端注册程序只需选择下载运 行就可以 注册程序会自己上报终端的计算机名和 IP 地址 MAC 地址 选择保存修改保存修改点击打包注册程序打包注册程序这时完成客户端注册程序配置 2 2 系统维护系统维护 系统维护主要功能项包括 系统用户分配与管理 用户设置 数据重整 普通 工具下载 管理员工具下载 工具上传管理 2 2 1 用户权限分配用户权限分配 用户管理 操作功能为不同级区域网络管理员提供权限设定 具有可靠 性 管理性强 支持统一 多级监控模式 提供超级用户和普通用户两种权限 分配对不同区域的管理权限 如下图所示 可在其左侧的网页框中实现增加用户的操作 图 2 2 1 用户权限分配 用户分为超级用户 普通用户和审计用户 由超级用户开设并分配用户及权限 设定权限时根据工作需要 规定该用 户所能操作的策略 管理的区域及查看的信息 设定权限时还可以根据工作需 要设定用户是否是只读用户 只能看数据 不能改数据 还是有读写权限 超级用户权限 添加用户 删除用户 修改密码 给普通用户分配权限 进行控制管理等 普通用户权限 由超级用户开设并分配用户及权限 设定权限时根据工作 需要 规定该用户所能操作的策略 管理的区域及查看的信息 设定权限时还 可以根据工作需要设定用户是否是只读用户 只能看数据 不能改数据 还是 有读写权限 图 2 2 2 管理用户权限分配 图 2 2 3 管理用户区域分配 图 2 2 4 屏幕监控设置 2 2 2 用户设置用户设置 修改用户密码 添加仅允许来自以下 ip 列表的访问登陆 空允许所有 ip 访问 图 2 2 5 用户设置 2 2 3 数据重整数据重整 类似于刷新功能 每隔一段时间对本系统数据库进行重新整理 可针对重复 冗余或无效的数据进行重整 IP 和 MAC 重复 IP 不在区域范围内 长时间未 使用 区域 IP 范围改变 建议为一周一次 如下图所示 图 2 2 6 数据重整 三 三 服务器配置使用说明服务器配置使用说明 3 1 用户组织管理用户组织管理 3 1 1 用户组织管理用户组织管理 点击用户组织管理 右边将出现创建用户界面点击用户组织管理 右边将出现创建用户界面 图 3 1 1 1 用户组织管理界面 1 创建同级节点 创建同级节点 用户点击创建同级节点 可创建部门级的组织结构类节点或个人级的客户端用 户类节点 图 3 1 1 2 组织类节点 图 3 1 1 3 用户类节点 节点类型 节点类型 指定节点的属性类型 节点名称 节点名称 部门名称或者用户登陆的登录名 用户密码 用户密码 注册客户端用户登陆密码 USB 离线使用时间 离线使用时间 当客户端与服务器无法通讯时 允许客户端的脱机使 用时间 用户密级 用户密级 用户拥有的密级等级 序号 序号 每个用户特有的标识序号 2 创建下级节点创建下级节点 创建当前选中组织结构类节点的下级组织节点或下级客户端用户节点 3 删除节点删除节点 删除当前选中节点 4 保存保存 保存管理员为当前用户更改的相关信息 5 导入用户导入用户 用户可点击 点击下载模板 将 EXCEL 模板下载到本地填写节点相关信 息 填写后点击 浏览 选中已填写好的 EXCEL 模板文件 之后点击 上传 EXCEL 文件 即可将节点数据上传至服务器 图 3 1 1 4 导入用户界面 6 用户属性界面用户属性界面 客户端节点客户端节点 图 3 1 1 5 客户端节点界面 基本信息界面基本信息界面 名称 节点名称 用户类型 组织类节点或客户端类节点 在线状态 用户是否当前联网 状态重置 用户非正常注销后的恢复键 密码 用户是否已更改默认密码 序号 系统产生的用户序列号 创建人 节点创建管理员名称 创建时间 节点创建时间 离线使用时间 客户端无法正常联网通讯时 可离线使用的时长 最后修改时间 节点信息最后一次修改的时间 最近登录时间 节点最后一次的登录时间 最近登录 IP 节点最后一次的登录计算机 IP 权限管理界面权限管理界面 修改密码 用户默认拥有权限 用户自行修改密码功能 文档授权 用户默认拥有权限 用户授权操作功能 离线使用权限 用户脱离内网环境后 文档解密 透明加密文档的解密申请功能 文档外发 制作外网加密文档的功能 启动 停止加密权限 透明加解密的开关功能 授权范围界面授权范围界面 授权范围设置 用户可自行设置授权用户 7 用户属性界面用户属性界面 组织结构节点组织结构节点 图 3 1 1 6 客户端节点界面 名称 节点名称 用户类型 组织类节点或客户端类节点 创建人 节点创建管理员名称 创建时间 节点创建时间 最后修改时间 节点信息最后一次修改的时间 3 2 策略管理中心策略管理中心 3 2 1 密钥管理密钥管理 图 3 2 1 密钥管理界面 企业特征密钥 企业特征密钥 密钥名称 企业特征密钥的名称 加密强度 企业特征密钥的加密强度 可信进程加密密钥 可信进程加密密钥 密钥名称 可信进程加密密钥的名称 加密强度 可信进程加密密钥的加密强度 增加 增加新的可信进程加密密钥 从服务器导入 远程导入 删除 删除当前的加密密钥 3 2 2 进程指纹管理进程指纹管理 图 3 2 2 进程指纹管理界面 指纹上传 上传由指纹提取工具生成的指纹文件 txt 格式 指纹工具下载 下载提取进程指纹的应用程序 导出 将当前指纹信息以 txt 文件方式导出 删除 删除当前指纹信息 3 2 3 可信进程管理可信进程管理 图 3 2 3 可信进程管理界面 加密算法 标准加密算法或者快速加密算法 设定加密密钥 选择密钥管理策略中指定的加密密钥 用于可信进程加解密的进程列表 进程浏览 选择进程指纹管理中的相关信息 进程名简称 可信进程名的简称 进程文件名 可信进程在任务管理器中的显示名称 进程指纹 可信进程的指纹信息 受控文件类型 可信进程可产生的文件后缀名称 允许打印 是否允许可信进程使用打印功能 添加进程 将填写完毕的信息添加入用于可信进程加解密的进程列表 删除进程 删除选中的可信进程信息 进程上移 将选中的可信进程列表显示位置上移 进程下移 将选中的可信进程列表显示位置下移 设置说明 策略配置说明 脚本查看 浏览策略脚本信息 保存策略 保存策略信息 3 2 4 客户端登陆配置策略客户端登陆配置策略 图 3 2 4 客户端登陆管理界面 客户端登陆方式 客户端登陆方式 1 默认登录 使用操作系统用户名和密码 实现自动登录 本系统不进行验证 2 用户名和口令 使用本系统在用户组织管理中创建的用户名和密码进行登录 3 USB KEY 使用 USB KEY 中的用户名和密码进行登录 用户选择后 需 要厂家订制 USB KEY 4 域登录 用户登录域后可直接进入系统 5 PKI 登录 用户需要导入证书后进行登录 水印显示信息 水印显示信息 配置相关文档打印的水印显示信息 设置说明 策略配置说明设置说明 策略配置说明 脚本查看 浏览策略脚本信息脚本查看 浏览策略脚本信息 保存策略 保存策略信息保存策略 保存策略信息 3 2 5 策略自动下发查询策略自动下发查询 图 3 2 5 策略查询界面 设备 IP 查询目标 IP 对应计算机的下发策略 单位名称 查询目标单位的下发策略 部门名称 查询目标部门的下发策略 策略名称 查询目标策略的下发机器 3 3 系统审计信息系统审计信息 3 3 1 文档授权审计文档授权审计 图 3 3 1 文档授权审计界面 审计客户端用户的授权加密操作 行号 文档授权审计数据的序号 文档名称 进行授权加密的文档名称 文档作者 进行授权操作的作者 授权时间 进行授权操作的时间 授权权限 授权的操作权限 授权方式 授权认证方式 认证方式 授权作者的登录方式 3 3 2 授权访问审计授权访问审计 图 3 3 2 文档授权访问审计界面 审计客户端用户对授权加密文档的读写操作 行号 文档授权访问数据的序号 文档名称 客户端打开的授权加密文档名称 使用人 打开授权加密文档的用户名 授权方式 授权认证方式 认证方式 打开授权加密文档客户的认证方式 打开方式 客户端打开授权文档的方式 返回结果 客户端操作授权加密文档的结果 时间 客户端操作授权加密文档的时间 3 3 3 文档操作审计文档操作审计 图 3 3 3 文档操作访问审计界面 审计注册客户端用户对透明加解密文档的操作 行号 文档操作审计序号 用户名 对透明加密文档进行操作的用户名称 计算机名 对透明加密文档进行操作的计算机名称 进程名 被操作的透明加密文档的进程名 文件名 被操作的透明加密文档的文件名称 操作方式 透明加密文档的操作方式 发生时间 透明加密文档的操作时间 3 3 4 文档打印审计文档打印审计 图 3 3 4 文档打印审计界面 审计客户端对加密文档的打印操作 行号 文档授权访问数据的序号 用户名 使用打印功能客户的登录名 计算机名 使用打印功能计算机的计算机名 IP 地址 使用打印功能计算机的 IP 地址 打印结果 客户端打印结果 打印页数 加密文档的打印页数 打印时间 计算机打印时间 进程名 使用打印功能的进程 打印机名 打印机的名称 文档名称 打印文档名称 3 3 5 文档管理用户登录审计文档管理用户登录审计 图 3 3 5 文档管理用户登陆审计界面 审计注册客户端的登录记录 行号 文档管理用户登录管理的序号 用户名 注册客户端的登录用户名 IP 地址 注册客户端登录计算机的 IP 地址 时间 注册客户端登录时间 登录信息 注册客户端登录时的提示信息 3 3 6 权限申请审计权限申请审计 图 3 3 6 文档管理用户权限申请审计界面 注册用户的申请权限操作列表 行号 授权申请审计的数据序号 文档管理用户名 申请新权限的用户名称 申请权限类型 用户申请的新功能名称 IP 地址 用户进行申请新功能操作的计算机 IP 地址 申请时间 用户申请新功能的时间 3 3 7 待审批申请审计待审批申请审计 图 3 3 7 待审批申请审计界面 行号 待审批申请审计数据序号 申请人用户名 申请权限用户登录名 申请权限类型 申请权限的功能名 申请原因 申请用户的申请原因 申请时间 申请用户的申请操作时间 审批 审批状态 3 3 8 已审批申请审计已审批申请审计 图 3 3 8 已审批申请审计界面 行号 已审批申请审计数据序号 申请人用户名 申请权限用户登录名 申请权限类型 申请权限的功能名 申请原因 申请用户的申请原因 申请时间 申请用户的申请操作时间 审批 审批状态 自动审批相关设置可在 权限审批管理 中的 权限申请设置中 设置 3 3 9 待审批解密申请审计待审批解密申请审计 图 3 3 9 待审批解密申请审计界面 行号 待审批申请审计数据序号 文档名称 申请审批文档名称 文档管理用户名 申请文档解密的用户名 申请原因 申请用户的申请原因 申请时间 申请用户的申请操作时间 审批 审批状态 3 3 10 已审批解密申请申请审计已审批解密申请申请审计 图 3 3 10 已审批解密申请申请审计界面 行号 已审批申请审计数据序号 文档名称 申请审批文档名称 文档管理用户名 申请文档解密的用户名 申请原因 申请用户的申请原因 申请时间 申请用户的申请操作时间 审批 审批状态 四 客户端使用说明四 客户端使用说明 4 1 主动授权加密主动授权加密 注册用户登陆后 对欲保护文档右击鼠标 将弹出右键菜单 图 4 1 1 右键功能菜单 如图所示 使用文档安全功能的文档授权功能 图 4 1 2 信息确认界面 1 确定授权文件名称及路径 图 4 1 3 授权参数设置界面 2 配置授权文件操作参数 文件打开次数超过上限或超过使用期限将自动删 除 图 4 1 4 授权文件密级设置界面 3 配置文件密级 图 4 1 5 授期口令设置界面 4 配置授权口令 图 4 1 6 授权对象设置界面 5 选择授权对象 点击用户前的方框可选中授权用户 图 4 1 7 授权信息确认界面 6 授权信息确认 图 4 1 8 授权信息提示界面 7 授权成功提示 4 2 透明加密透明加密 注册用户登陆后 使用管理员设定的可信进程列表中的进程操作过程中 一旦 保存或者生成新文件 文件将会被自动加密 加密文件右下角将会出现锁状图 标 如图所示 图 4 2 1 透明加密文件生成 4 3 手动加密手动加密 注册用户登陆后 对欲保护 且不希望更改内容的文档 可使用鼠标右键的 手 动加密 功能 如图 4 3 1 所示 加密效果同透明加解密相同 如图所示 图 4 3 1 右键功能菜单 加密成功后 系统将提示加密成功 如图 4 3 2 所示 图 4 3 2 提示信息窗口界面 提示成功后 在相应