希拓加密产品使用说明书.doc

产品说明书产品说明书 希拓数据防泄密系统希拓数据防泄密系统 KDSKDS 金盾卫士金盾卫士 V3 5V3 5 南京希拓科技有限公司 Nanjing Hitop Technology Co Ltd 版版 权权 声声 明明 南京希拓科技有限公司版权所有 并保留对本文档及本声明的最终解释权和修改权 本文档中出现的任何文字叙述 文档格式 插图 照片 方法 过程等内容 除另有 特别注明外 其著作权或其他相关权利均属于南京希拓科技有限公司 未经南京希拓科技有 限公司书面同意 任何人不得以任何方式或形式对本手册内的任何部分进行复制 摘录 备份 修改 传播 翻译成其它语言 将其全部或部分用于商业用途 免责条款免责条款 本文档依据现有信息制作 其内容如有更改 恕不另行通知 南京希拓科技有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠 但南 京希拓科技有限公司不对本文档中的遗漏 不准确 或错误导致的损失和损害承担责任 信息反馈信息反馈 您可以访问希拓科技网站 获得最新技术和产品信息 目目 录录 第一章 系统主要名词说明第一章 系统主要名词说明 4 第二章 系统使用第二章 系统使用 5 1 服务端的使用 5 2 控制台的使用 6 2 1 名词说明 6 2 2 操作界面 6 2 3 基本设置 8 2 3 1 登陆控制台 8 2 3 2 修改密码 8 2 3 3 设置管理组 8 2 3 4 设置组加密信息 9 2 3 5 设置客户端权限 10 2 3 6 文件备份设置 12 2 3 7 帐号设置及管理 13 2 3 8 系统运行配置 14 2 4 文件加解密 15 2 4 1 邮件自动解密 15 2 4 2 解密审批 16 2 4 3 硬盘文件加密解密 17 2 4 4 本地文件加解密 18 2 4 5 远程文件加解密 19 2 5 客户端管理 20 2 5 1 客户端离线 20 2 5 2 生成客户端 21 2 6 日志管理 22 2 7 远程监视及远程控制 22 2 8 卸载删除客户端 23 3 客户端的使用 23 3 1 开关客户端 23 3 2 邮件解密 24 3 3 申请解密 25 3 4 文件权限 25 第三章 注意事项第三章 注意事项 27 第四章 常见问题第四章 常见问题 FAQ 29 第一章 系统主要名词说明第一章 系统主要名词说明 1 服务端 用于存放配置信息 负责网络通讯以及验证客户端的程序 运行于后台 在系统运行 过程中要确保服务端一直处于运行状态 服务端在整个系统中有唯一性 系统的授权 信息也是存放在服务端 2 控制台 控制台是用于配置系统的子程序 用户可以通过控制台配置系统 是直接面对用户的 系统接口 控制台在系统运行期间可以是关闭的 可以安装多个控制台 3 客户端 客户端是安装在涉密的计算机上 负责文档的自动加解密功能 以及执行相关操作 4 用户组 部门 用户组是一个虚拟的名称 是由一部分客户端组成的集合 在同一个用户组下面的文 档利用该组的加密策略 5 密钥 密钥是用来加密算法使用 在系统中密钥很重要 每个用户组拥有一个唯一的密钥 用户组建立以后密钥将会随机产生 一旦密钥启用 不要随便修改 第二章 系统使用第二章 系统使用 1 服务端的使用 服务端的使用 运行服务端 将需要添加授权文件 如果你没有授权文件 请与我们我们公司联系 添加注册文件后系统将正常运行 不需要其他配置 服务端要保持一直运行的状态 否则客户端和控制台将会无法正常使用 如果条件 允许请保持 24 小时运行 2 控制台的使用 控制台的使用 控制台是管理系统的平台 提供给管理人员使用 系统设置都需要通过控制台来完成 2 1 名词说明名词说明 1 管理组 管理组是客户端的管理对象 每个管理组有不同的密钥 在同一个管理组的 客户端计算机之间加密的文档能够流通 2 加密类型 当前管理组需要自动加密的文档集合 例如 OFFICE CAD 图纸等 只有 当前组选择了加密类型 这些文档才能够自动加密解密 3 加密等级 根据保密制度和策略 通过部门 密级 文档类型的相关联 细化到各部 门加密的不同文件类型 划分 公开 普通 私密 保密 机密 绝密 六个等级 这样 只能是具有相应访问权限的人才能访问该部门的某种类型文件 2 2 操作界面操作界面 控制台操作主要分三个区域 如下图标记 A 左视图 B 右视图 C 上视图 A 左视 图选择对象 组或客户端 鼠标左键点击 B 右视图将会出现相关的操作界面或者信息 命令功能 系统维护菜单 锁定系统控制台最小化到系统托盘 打开界面需要重新输入密码 修改密码修改当前用户登录密码 刷新系统更新客户端在线状态 系统退出退出控制台 系统设置菜单 运行配置对断线时间 U KEY 验证进行设置 帐号管理添加管理员帐号 修改管理员权限 删除管理员帐号 组信息查看组的信息 包括名称 密钥 加密策略 客户端信息查看客户端的信息 包括描述 所属组 IP 在线状态 客户端加密等级查看添加客户端访问策略 程序黑名单添加 删除禁止运行程序的策略 邮件自动解密管理添加 编辑 删除邮件自动解密策略 文件备份设置设置客户端文件备份 加密管理菜单 硬盘文件加密对所选客户端文件批量加密 硬盘文件解密对所选客户端文件批量解密 客户端离线管理客户端离线时间及验证方式进行设置 生成单机客户端根据策略生成单机客户端安装程序 生成老板客户端生成老板客户端安装程序 信息审计菜单 文件审计信息查看客户端文件操作日志 打印审计信息查看客户端打印日志 解密审批信息查看解密审批日志 文件加解密菜单 本地文件加 解密控制台本地文件的手工加解密操作 远程文件加 解密远程客户端文件的手工加解密操作 远程管理菜单 远程控制对在线的远程客户端进行控制 远程监视对在线的远程客户端进行监视 日志管理菜单 删除操作日志删除操作日志 删除文件审计删除文件审计日志 删除打印审计删除打印审计日志 帮助菜单 帮助文档查看帮助文档 关于系统查看系统版本信息 2 3 基本设置基本设置 2 3 1 登陆控制台登陆控制台 首次使用控制台 系统默认管理员的帐号为 admin 密码为 123456 进入控制台后 请马上修改 admin 帐号的密码 服务端的 IP 指的是安装服务端的计算机的 IP 地址 2 3 2 修改密码修改密码 首次登陆控制台以后 一定要修改密码 保护你的帐户安全 系统维护 菜单选择 修改密码 2 3 3 设置管理组设置管理组 A 左视图上选择组对象 右键菜单选择 新建组 2 3 4 设置组加密信息设置组加密信息 A 左视图选中组对象 B 右视图出现设置界面 设置界面有两个部分组成 组基本信 息和加密策略 组基本信息显示组的名称及密钥 加密策略显示组当前所应用的策略 点击 修改信息 按钮 选择组的加密类型 这个组下面的客户端将自动加密所选的 类型文件 选择确定以后 客户端加密策略立即生效 无需重启客户端 系统几乎支持所有的文档类型 如果列表里面没有你的需要的加密类型 请与我们联 系 我们会进行配置 2 3 5 设置客户端设置客户端权限权限 安装好的客户端 将会自动上线 如果客户端在线图标就是 亮 的 如下图的客户 端 192 168 1 3 如果客户端不在线图标就是 灰 的 如下图的客户端 192 168 1 5 1 修改基本信息 A 左视图选中客户端对象 B 右视图会出现设置界面 在 客户端基本信息 区域点击 修改信息 按钮 出现如下图的对话框 可以对客 户端的外设 审计信息控制等进行管理 其中 USB 存储指的是 USB 存储设备 USB 设备指的是 USB 存储 USB 打印机 USB 鼠标等与 USB 接口有关的设备 开关客户端 启动该功能 可以对客户端文件进行有选择的加解密 开启加解密时 策略内的公司文件仍然自动加密 关闭加解密时 公司文件就无法打开 同时保证私人的 文档不会加密 允许剪切板 勾选表示加密文件内容可以复制到非加密文件中 启用文件审计 当客户端机器有文件修改时候自动记录日志 启用打印审计 在安装 打印机的客户端记录下打印的信息日志 如果选择审计功能 服务器需要有足够的存储空 间 审计产生的日志数据量很大 会给服务器造成压力 2 客户端加密等级 A 左视图中选中某客户端 在 系统设置 菜单里选 客户端加密等级 就可以设置 当前客户端访问策略 如下图 设置的客户端就拥有查看开发部 公开 普通 等级文件的权限 3 程序黑名单 程序黑名单指的是 禁止客户端机器运行指定的程序 比如 QQ MSN 等 首先在系 统设置程序黑名单里面增加你需要禁用的程序列表如下图 增加好了以后要选择保存 A 左视图选择客户端对象 然后在 客户端程序黑名单 区域点击 修改信息 来设 置某个客户端的程序黑名单 确定后生效 客户端计算机将无法运行这些程序 2 3 6 文件备份设置文件备份设置 系统设置 菜单选择 文件备份设置 如下图 勾选 启用加密文件备份 则备 份功能生效 选择需要备份的客户端 及备份的文件类型 完成设置就可以对所选类型加 密文件进行备份 2 3 7 帐号设置及管理帐号设置及管理 名词说明 1 手工加密组 系统有自动加密的部分和手工加密的部分 自动加密是由客户端来完成 手工加密由控制台来完成 由于登陆控制台的是某个账号 加密是通过密钥来完成 而密钥存放在组信息里面 所以就有了手工加密组的概念 归根到底就是获取这个组 的密钥来加密文件 2 管理组 系统可以由几个管理员来管理 管理员能够管理各个组的客户端 这样管理 组的概念就产生了 通过管理组可以设置特定的账号来分配管理的权限 比如说财务 部门有管理员 设计部有管理员 在给他们设置管理组的时候可以选择相对应的部门 这样这个管理员只能看到自己部门的客户端 同时管理员也可以拥有不同的管理权限 在 系统设置 菜单选择 帐号管理 如下图 需要注意的是 如果在安装客户端的计算机使用账号登陆控制台 这个时候如果此账 号的手工加密组和客户端的组不是同一个组 那么如果这个时候使用控制台来加密本地文 件 这些加密文件客户端有可能无法打开 因为他们使用加密文件的密钥不同 2 3 8 系统运行配置系统运行配置 断线运行时间 当客户端和服务端网络无法连接的时候 为了保证不影响客户端计算 机的工作 可以设置在多长时间内客户端能够正常使用加密文件 一旦网络连接上以后断 线时间将重新开始计算 客户端离线使用 U KEY 验证 需要出差的时候 可以通过把系统的加密以及配置信 息写入到 U KEY 里面 这样 U KEY 就是一个简单的服务端程序 能够保证出差的客户 端机器能够使用加密文件 控制台使用 U KEY 验证 用 U KEY 来验证帐号的登陆身份 如果你没有 U KEY 请不要选择这个选项 不然会造成无法登陆控制台 2 4 文件加解密文件加解密 2 4 1 邮件自动解密邮件自动解密 邮件解密设置 系统设置 菜单 邮件自动解密管理 选项 B 右视图出现策略列 表 右键选择新增 编辑 删除策略 通过三种控制方式 只验证发件人 只验证收件人和同时验证发件人收件人 成功发 送出去的文件就会自动解密 1 只验证发件人 是指只要发件人在授权列表中 就可以发给任何人以进行解密 2 只验证收件人 是指内部任何人发往授权列表中的收件人 文件将解密 3 更为严格的方式就是同时验证收发者 两者都在授权列表才能成功发送解密 另外还可以设置备份抄送邮箱 这样就能了解发送出去的文件 留做记录 2 4 2 解密审批解密审批 申请解密设置 A 左视图右键需要设置的客户端对象 选择 解密审批设置 这里有两种方式 顺序审批和共同审批 顺序审批就是只要某一个管理员同意即可进 行文件解密 共同审批就是需要所有管理员都同意才能解密 同时可以设置审批时间 超 时则未通过审批 客户端发送解密申请 登录控制台具有审批权限的管理员能够收到信息 如下图 管 理员可以查看申请解密的文件内容 作为审批依据 审批结果会反馈给客户端 2 4 3 硬盘文件加密解密硬盘文件加密解密 硬盘文件加密 对某一客户端硬盘中某一类型的所有文件加密 可以选择对客户端整 个硬盘文件进行搜索加密指定的类型 目的是第一次使用本系统的时候进行初始化 加密 原来的文档 安装系统以后产生的文档将会自动加密 注意使用这个功能要谨慎 请输入确实要加密的文档类型 比如需要初始化加密 CAD 图纸 可以输入 dwg 格式的文档类型 不要输入一些系统文件类型 比如 dll ini 等 由于此功能需要搜索整个硬盘所以需要耐心等待 而且保证客户端在线 在加密过程 中不要关闭客户端的计算机 一般来说加密 10G 的数据硬盘需要大约 20 分钟左右 同时 你可以通过远程文件的功能查看是否需要初始化加密的类型是否已经加密 使用说明 加密管理 菜单选择 硬盘文件加密 如下图 选择客户端 添加需 要初始化加密的客户端 所选客户端必须是在线的 输入需要加密的文档类型 点击 执 行 按钮 在加密的过程中请不要关闭客户端机器 硬盘文件解密操作与之类似 2 4 4 本地文件加解密本地文件加解密 本地文件指的是当前登陆控制台的计算机文件 管理员可以通过此功能加密解密指定 的文件 本地文件加密使用的密钥就是账号里面的手工加密组的密钥 手工加密能够加密 任何格式的文件 需要注意的是不要加密系统目录的系统文件 以免系统受到破坏 当公司有重要的文件封存的时候 也可以采用此功能来实现对文件的保护 本地文件 加密解密 可以针对单个文件 多个文件 目录 磁盘来进行加密解密 使用说明 文件加解密 菜单选择 本地文件加解 密 或直接在 C 上视图点击 本地文件 按钮 1 文件加密解密 选择一个或者多个文件 右键点击 然后选择加密解密 2 文件夹加密解密 选择一个文件夹右键点击 然后选择加密解密 2 4 5 远程文件加解密远程文件加解密 远程文件加密解密是针对的是客户端的文件 管理人员可以通过远程文件来浏览控制 客户端的文件 可以对指定的文件进行加密解密 能把远程计算机的文件拷贝到本机上 远程文件加密采用的是客户端所属组的密钥 而不是当前帐号的手工加密组 原因就 是客户端的机器自动加密采用的是客户端所属组的密钥 那么这个时候远程加密也应该采 用相同的密钥 否则客户端机器会出现无法打开远程文件加密的问题 使用说明 A 左视图选择一个在线的客户端对象 文件加解密 菜单选择 远程文件 加解 密 或者在 C 上视图工具栏点击 远程文件 需要注意的是如果客户端计算机正在使用当前文件 不要加密他使用的这个文件 以 免产生错误 2 5 客户端管理客户端管理 2 5 1 客户端离线客户端离线 出差或者其他需要脱离服务器运行的情况 可以采用客户端离线功能 加密管理 菜 单选择 客户端离线管理 如下图 选择需要离线运行的客户端 然后选择离线的日期 在这段时间内客户端机器可以正常使用加密文件 1 采用 U KEY 验证没有时间的限制 使用 U KEY 验证时 加密的文件只有在插入 U KEY 时才能正常使用 拔下 U KEY 就不能打开 2 如果客户端不在线 可以生成一个离线包 将离线包放到系统目录的 System32 目录 启动机器生效 一旦连接到网络离线功能将失效 3 如果客户端在线 那么可以直接下发 立即生效 计算机脱离服务端能够自动运行 一旦连接到网络离线功能将失效 2 5 2 生成客户端生成客户端 包括生成单机客户端与生成老板客户端 1 单机客户端包含加密策略 可以不连接服务器而实行自动加解密 加密管理 菜单选 择 生成单机客户端 2 老板客户端的这台客户机上 可以查看加密文件 而不需要加密本机的文件 通过老 板客户端打开的文件就成为未加密状态 加密管理 菜单选择 生成老板客户端 注 二者安装都需要授权 2 6 日志管理日志管理 日志管理包括文件审计信息 打印审计信息 操作日志信息以及解密审批信息 系统设立专门的日志管理员对 操作日志信息 解密审批信息 进行管理 操作日 志包括所有手动加解密操作 所有系统设置信息 解密审批信息包括所有客户端申请解密 的操作 审批状态 申请解密的文件 2 7 远程监视远程监视及远程控制及远程控制 远程监视能够监控客户端计算机 能够了解客户端计算机实时的操作情况 了解员工 在做什么 远程控制是在远程监视的基础上加上操作控制客户端计算机 2 8 卸载删除客户端卸载删除客户端 客户端卸载可以通过控制台完成 选择需要卸载删除的客户端 然后选择删除客户端 使用此功能时确保客户端在线 也可以利用软件自带的客户端卸载工具进行卸载 3 客户端的使用 客户端的使用 客户端安装在需要加密的机器上 不需要任何设置 3 1 开关客户端开关客户端 控制台允许 开关客户端 的时候 客户端电脑系统托盘会出现图标 右击 出现菜单 可以开启 关闭自动加解密 3 2 邮件解密邮件解密 右击加密的文件 在快捷菜单出现邮件解密的选项 添加需要解密的文件为附件 填写正确信息 即可发送邮件 在授信列表中的客户端 成功发送邮件 文件将解密 3 3 申请解密申请解密 右击加密的文件 在快捷菜单出现申请解密的选项 申请解密之后 管理员进行审批 结束后反馈信息给客户端 审批通过之后 就可以 接收文件 此时的得到文件就是未加密的 3 4 文件权限文件权限 右击加密的文件 在快捷菜单出现文件权限的选项 通过文件授权的功能 授权加密后的文件 这样只有授权列表中的人才能查看该文件 可以对某个组授权 也可以某个人授权 第三章 注意事项第三章 注意事项 1 客户端网络连接 客户端安装完毕 通过以下几种方式可以检测是否安装成功 从控制台查看 安装完成的客户端会自动上线 在控制台列表中出现 A 左视图 在客户端机器上通过系统命令查看 开始菜单 运行 输入 cmd 命令行 输入 netstat 该命令可查看客户端连接状况 注 客户端连接端口为 10018 对应信息 ESTABLISHED 表示连接上服务端 客户端安装成功 SYN SENT 表示客户端发送信息无反馈 连接不上服务端 原因可能是防火墙将 端口阻止 需要在防火墙设置里将端口开放 2 管理员帐号安全 本系统可以设立多个管理员 通过设置不同权限 达到分级别分组管理的效果 管理员可以拥有文件解密 远程控制 信息审计等权限 所以账户的安全尤为重要 默认的系统管理员 登录帐号为 admin 初始密码为 123456 日志管理员 登 录帐号为 logadmin 初始密码为 123456 新建的帐号密码默认为 111 设置好帐 号后第一时间应修改密码 保证管理员帐号安全 3 加密安全 系统根据硬盘号和随机密钥来加密文件 防止硬件损坏或者操作系统崩溃引起的 客户端文件无法自动加解密 事先应做好如下备份 授权文件 产品正式注册的授权文件 硬盘号 包括服务端及客户端 硬盘号会自动保存在数据库中 随机密钥 系统第一次运行产生的加密密钥 控制文件加解密 随机密钥保存 在数据库中 组加密密钥 每新建一个组 系统会分配一个密钥 如果要修改该密钥 需先 把组下面所有客户端加密文件先解密 组加密密钥保存在数据库中 4 文件安全 软件最新版本在权限上做了细分 即可以对每一个客户端设置访问权限 控制其 访问其他部门文件 对于加密后的文件 在没有权限 未经授权 自动加密策略取消或者客户端脱离 服务端等情况下 强行打开出现的会是乱码或根本无法打开 这时 若是对文件修改 保存 文件格式就会破坏 导致无法解密 数据丢失 5 日志与备份 系统可以对客户端文件操作 加解密操作 打印操作等进行记录 以便追根溯源 保留泄密证据 系统能对客户端加密文件备份 确保文件安全 日志与备份均保存在服务端的机器上 如果启用这些功能 需保证服务端硬盘有 足够空间 6 其他 不要对系统文件加密 exe dll ini 等 这样会导致操作系统崩溃 第四章 常见问题第四章 常见问题 FAQ 1 系统对使用的操作系统有要求吗 答 对于所有的 windows 系统没有要求 系统支持全部的 Windows 操作系统 包括 NT 2000 XP 2003 2 系统对使用的硬件有要求吗 需要服务器支持 答 没有硬件要求 普通的 PC 就能满足服务器的要求 启用文件审批及备份功能需要服务 端机器有足够的硬盘空间 3 安装使用后 对目前的操作有什么改变 答 和以前操作一样 无需任何改变 系统采用动态透明加密的方式 运行