飞想文档安全系统v4.doc

此文档收集于网络 如有侵权 请联系网站删除 精品文档 Winmanager 文档安全系文档安全系统统 V4 0 操操 作作 手手 册册 本手册解释说明软件程序的安装方法 功能及操作步骤 使用软件前 请先详细阅读本说明书 并妥善保存说明书作为日后参考 上上海海飞飞想想信信息息科科技技有有限限公公司司 S SH HA AN NG GH HA AI I F FA AI ID DE EA A T TE EC CH HN NO OL LO OG GY Y C CO O L LT TD D 此文档收集于网络 如有侵权 请联系网站删除 精品文档 摘要摘要 信息化时代的企业都在最大化地利用信息技术以提高企业的运营效率 致使企业百分 之九十的知识产权 如新发明 设计图纸 程序代码等 是以电子数据的形式存在企业的 内部网络中 同时随着网络技术的发展 ERP CRM 等新型的企业生产信息管理系统被现代 企业广泛采用 这些新型管理手段的采用在为企业带来更高生产效率的同时也对企业的网 络安全管理带来了新的挑战 现代企业为保护其网络用户的安全 虽然已经采取了防病毒软件 主机防火墙 入侵检 测 数据加密 身份认证等多种安全手段 但是只有当这些安全投资被充分利用 如安全 软件是否运行 病毒特征库 入侵检测特征库是否及时升级等 时才能有效保护企业网络用 户的信息安全 同时所有以电子形式存在的企业知识产权信息均有可能会以电子邮件 文 件传输等形式轻而一举地流出企业 NFO 调研表明 24 的企业电子邮件用户收到过其他企业的机密信息 84 的机密信息 泄漏是由企业内部员工造成的 Winmanager 文档安全系统从计算机操作系统底层入手 对涉密文件从新建 保存 另 存 编辑 复制 粘贴 输出 虚拟打印等各个环节都处于保护之中 也就是说安装 Winmanager 软件后 只要该电脑硬盘上生成的文件符合用户涉密文件的特征 系统一概自 动地 不受人工干预地予以强制透明加密 保证涉密文件在安装该系统的电脑硬盘上一律 以密文的形式存在 从源头上保证了涉密资料的安全 这些加密状态的涉密文档在企业内 部可以正常的流通 当需要流出企业时 必须由相应的管理人员审核通过后解密放行 否 则即使带出也无法打开 从而有效地防范和控制企业中的各类电子文档泄密事故 适用范围适用范围 本文档适用于购买或者使用 Winmanager 文档安全系统 V4 0 的用户 版权声明版权声明 本文档版权归上海飞想信息科技有限公司 以下简称 上海飞想 所有 并对本文档 的内容保留一切权利 未经本公司书面许可 文档中的任何部分不得以任何形式或手段复 制 拷贝 传播给其它第三方 此文档收集于网络 如有侵权 请联系网站删除 精品文档 免责声明免责声明 本文档为上海飞想提供给用户的技术文档 只作为产品的说明 不作为合同要约 如 因本文档使用不当造成的直接或间接损失 本公司不承担任何责任 本文档中的任何内容都不具任何明示或暗示的保证 担保或许可 对于此类保证 担 保和许可 上海飞想不负担任何责任 忠告用户 第三方可能拥有与本文档或在此讨论的 技术有关的知识产权 如果发生侵权行为 需要诉诸法律解决 上海飞想不负任何责任 文档更新文档更新 上海飞想将不定期对本文档内容及相关的产品规范和说明进行修订 请关注上海飞想 的公司动态以及时获取最新版本 恕不另行通知 最后一次修订时间 2009 年 2 月 19 日 星期四 目目 录录 此文档收集于网络 如有侵权 请联系网站删除 精品文档 概述概述 5 主要功能主要功能 5 基本运行框架基本运行框架 6 WINMANAGER 文档安全系统文档安全系统 V4 0 的安装的安装 11 1 系统要求系统要求 11 2 网络要求网络要求 11 3 数据库要求数据库要求 11 4 网络配置要求网络配置要求 11 5 总体安装说明总体安装说明 11 6 服务器端的安装服务器端的安装 13 7 服务器端的卸载服务器端的卸载 14 8 服务器端的升级服务器端的升级 17 9 控制台的安装控制台的安装 17 10 控制台的卸载控制台的卸载 17 11 控制台的升级控制台的升级 17 12 客户端的安装客户端的安装 18 13 客户端的卸载客户端的卸载 21 14 客户端的升级客户端的升级 22 15 解密端的安装解密端的安装 23 16 解密端的卸载解密端的卸载 23 17 解密端的升级解密端的升级 23 WINMANAGER 文档安全系统文档安全系统 V4 0 的使用的使用 25 1 客户端的使用客户端的使用 25 2 服务器的使用服务器的使用 25 3 控制台的使用控制台的使用 27 3 1登录登录 27 3 2公司名称设定 自定义密钥公司名称设定 自定义密钥 29 3 3新建部门新建部门 30 3 4部门电脑设置部门电脑设置 32 3 5新建策略新建策略 32 3 6下发策略和回收策略下发策略和回收策略 33 3 7终端卸载终端卸载 36 3 8离线授权离线授权 36 3 9离线策略管理离线策略管理 38 3 10批量加密 批量解密功能批量加密 批量解密功能 40 3 11密级设置密级设置 42 3 12邮件策略设置邮件策略设置 44 3 13自定义新增软件自定义新增软件 46 3 14更新策略库更新策略库 52 3 153 15DBDB 备份设置 数据库备份 备份设置 数据库备份 53 3 16解密端认证 在线解密解密端认证 在线解密 53 3 17控制台日志控制台日志 56 此文档收集于网络 如有侵权 请联系网站删除 精品文档 3 18解密端日志解密端日志 56 3 19申请解密日志申请解密日志 57 3 20用户管理用户管理 57 3 21密钥备份密钥备份 59 3 22自动生成客户端自动生成客户端 59 4 解密端的使用解密端的使用 60 4 1登录登录 60 4 2用户管理用户管理 61 4 3加解密图文档加解密图文档 62 4 4增 降图文档密级增 降图文档密级 64 4 5文件格式设置的使用文件格式设置的使用 65 4 6日志查看日志查看 66 4 7外发文件控制外发文件控制 67 4 8在线解密在线解密 69 常见问题常见问题 72 概述概述 此文档收集于网络 如有侵权 请联系网站删除 精品文档 Winmanager 文档安全系统是上海飞想为了防止本企业中的一些重要的图纸或者文件扩 散到本企业外部而专门开发的一套强制性自动加解密系统 本系统利用软硬件相结合的技 术 配上高强度的非线性加解密算法 对企业中涉密的图纸和文件进行强制性自动加解密 使得加密后的图纸和文件只能在本企业内部授权的电脑上正常使用 未经授权私自将这些 图纸文件带出单位时 这些文件将变成一堆乱码 无法正常打开 从而实现企业中重要的 图纸或文件的保密要求 主要功能主要功能 强制加密强制加密 1 安装 Winmanager 软件后 对于用户指定类型的涉密文件 只要产生 就被自动的强制 性加密 安装 Winmanager 软件后电脑硬盘上生成的涉密文件都是密文状态 能够从源 头上有效防止内部人员的 主动泄密 透明操作透明操作 1 Winmanager 软件的存在对电脑使用者而言是透明的 用户不需要任何额外的操作 打 开或者保存文件时 Winmanager 的加密或者解密动作都是在电脑后台自动完成的 用户 感觉不到 2 加密状态的文件 在企业内部允许打开涉密资料的电脑上可以双击直接打开 无需输 入任何密码 像没有加密前一样对该文件进行各种正常的操作 3 客户端对使用者是不可见的 未经授权不可任意卸载或停止 对于指定类型的文件实 行强制性加密 但在加密状态的文件企业内部涉密环境中是可以自由流通的 过程加密 全程监控过程加密 全程监控 1 任何一个受控程序开始运行后 Winmanager 软件对其新建 保存 编辑 浏览 复制 传输等整个过程都是出于加密监控之中的 对于通过 保存 另存 输出 虚拟打印 等每一个出口出来的文件均是加密的 用户完全不用担心在哪个环节会有不加密的文 件被带走 国密局指定算法 终极捍卫国密局指定算法 终极捍卫 1 Winmanager 中的密钥采用用户自定义方式 只要用户不泄露密钥 连软件开发商也无 法解开其加密过的文件 2 通过自定义密钥再加上国家密码管理局指定的 SCB2SCB2 通用算法结合通用算法结合 SZD19 BSZD19 B 智能密码钥智能密码钥 此文档收集于网络 如有侵权 请联系网站删除 精品文档 匙匙 该硬件为可选项 进行加密 并且加密算法和机器的相关硬件都有关联 因此用 户不用但心会被破解 外设控制外设控制 1 控制打印功能 未经授权 安装 Winmanager 的电脑上不具备打印功能 防止将涉密资 料打印成纸质文件带出 2 控制 USB 端口的使用 并且可以将 USB 端口设置成只读功能 可以有效防止各种 U 盘或者移动硬盘的随意使用带来外部病毒 3 控制光驱和软驱 防止重装系统 乱装各种游戏软件或者其它应用程序 截屏控制截屏控制 1 控制各种截屏软件 包括键盘上的 Print Scrn SysRq 键 防止将各种涉密资料截 成图片带出公司 基本运行框架基本运行框架 Winmanager 文档安全系统分为客户端 控制台 解密端和密钥服务端四部分 其系统 架构图如下图 1 所示 图 1 系统逻辑拓扑图如下 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 2 各个部分的详细功能说明如下 1 客户端程序客户端程序安装于每一台涉密计算机上 并以后台方式运行 由于采用了特殊的技术 客户端程序并无任何操作界面 用户也无法停止其进程 其功能包括 a 当用户保存一个特定的文件时 自动地在内存中对数据进行加密处理 并 在存储介质 例如磁盘 上直接写密文 b 当用户打开一个特定的文件时 将数据读入内存之后自动地对数据进行解 密处理 但不对存储介质上的密文文件作解密 c 当剪贴板中的内容来自一个涉密文件时 阻止用户将这些内容粘贴 或拖 拽 到一个不会被自动加密的文件中去 d 接收控制台下发的策略 包括不同部门的不同密钥信息 e 接收控制台下发的密级设置命令 确定客户端电脑以哪种密级 或 VIP 客 户端的方式 进行加密 f 接收控制台下发的命令确定是否需要执行 批量加密 或者 批量解密 功能 g 接收控制台下发的策略确定是否控制用户的打印功能和截屏功能 包括键 盘上的 PrtSc sysRq 键 此文档收集于网络 如有侵权 请联系网站删除 精品文档 h 截获本地客户端电脑以 SMTP 协议 在 TCP 的 25 端口 发送的电子邮件 中的收 发件人的 E Mail 地址 i 根据收 发件人的 E mail 地址的匹配规则对外发电子邮件中所含的加密状 态的附件进行自动解密 j 导入控制台设定的离线策略信息后 自动启用离线功能 按设定的时间继 续为客户端电脑提供透明加解密服务 k 按照控制台设定的决定是否启动自动审批解密功能 l 接收控制台下发过来的策略卸载命令 自动清除客户端程序的文件加密策 略和密钥信息 m 执行控制台下发的自动反安装 修复或者自动更新命令 n 检查涉密计算机与服务器的连接状态 并依据策略来判断是否继续为用户 提供上述服务 2 控制台程序控制台程序安装于企业内计算机部门的管理员电脑上 具体对客户端实现不同策略的 下发功能 控制台拥有一个企业中的最高权限 控制台具有如下功能 a 设定公司信息 密钥信息 密钥管理员可自定义 部门信息等 b 备份各部门的密钥信息 c 编辑策略库 用户可以自行集成原本不支持的软件 d 编辑不同的加密策略 控制策略 通讯策略和离线使用策略 e 给每个部门或者每个具体的客户端下发不同的策略 f 设定某个部门或某台具体的客户端电脑以 内部级 秘密级 机密级 绝 密级或者是 VIP 客户端 的方式进行加解密操作的命令 g 基于部门或者特定的客户端下发对历史文件的 批量加密 或者 批量解 密 动作的执行命令 h 对部门级或者企业级的解密端进行认证 经过认证的解密端可以解密本部 门或者企业内任意一个部门的不同密级的图纸 i 设定相应的邮件黑白名单策略 j 密钥服务器数据库备份设置 k 控制台登陆日志管理与审计 l 所有解密端登陆日志和解密日志搜集与审计 m 卸载 修复客户端 此文档收集于网络 如有侵权 请联系网站删除 精品文档 n 下发客户端自动更新及修复命令 o 生成客户端安装文件 exe 可执行程序或者脚本文件 p 设定允许自动审批的客户端 q 生成客户端程序的离线策略导入包文件 r 生成离线授权号 s 解密端认证 与解密端在给解密授权 3 解密端程序解密端程序安装于部门负责人或者公司负责人计算机上 具体负责对企业中一些通过 正常途径或手续需要外发出企业的图纸进行解密操作 解密端只有经过服务端的认证 后 管理员才能凭正确的用户名和密码登陆解密端 解密端的具体功能如下 a 对一个目录下所有的文件进行手动批量加密 b 对一个目录下的所有文件进行手动批量解密 c 对选定的一个或多个文件进行手动加密 d 对选定的一个或多个文件进行手动解密 e 对选定的一个或多个文件进行 增加密级 的操作 f 对选定的一个或多个文件进行 降低密级 的操作 g 按指定 IP 地址对客户端电脑的涉密文件进行加解密 h 生成手动加解密文件的日志信息 i 审批客户端提交过来的 在线申请解密 请求 j 转换需要外发的涉密文件 并为其设置打开的时效性和次数 k 生成外发文件查看客户端程序及该客户端安装时的授权号 l 按文件后缀过滤文件 将符合要求的文件加密 4 服务端程序服务端程序安装于公司内特定的服务器上 仅控制台管理员才能有权限读取服务器上 的数据 服务端程序随服务器系统启动时启动 Winmanager 服务器除了认证控制台程 序外 基本上只是起一个中转数据 存储策略信息和日志的功能 服务端的功能包括 a 读取授权文件信息 b 保存不同部门的分级信息和密钥信息 c 负责与各客户端的通讯和密钥发放 并检测客户端在线情况 d 保存和下发各客户端的策略信息 e 认证控制台 此文档收集于网络 如有侵权 请联系网站删除 精品文档 f 认证解密端 g 接收解密端上传的手动加解密文件的日志信息 h 显示本服务器电脑的硬件号 i 自动备份在客户端电脑使用自动审批解密功能时解密的文件 WinmanagerWinmanager 文档安全系统文档安全系统 V4 0V4 0 的安装的安装 本章主要讲述安装的环境要求 包括安装系统要求 网络要求 数据库要求 网络配 置要求 以及服务器 控制台 客户端和解密端的安装 卸载和升级的办法 此文档收集于网络 如有侵权 请联系网站删除 精品文档 1 系统要求系统要求 客户端电脑建议配置如下 CPU 在 P 500 以上 128M 以上内存 硬盘剩余空间大于 50M 10M 网卡 单机版可以不需要网卡 VGA 或者 Super VGA 显示器 操作系统 Win 2000 XP 2003 最低配置 Pentium III 500 128MB 内存 50MB 可用硬盘空间 建议配置 Pentium III 1G 256MB 内存 100MB 可用硬盘空间 2 网络要求网络要求 Winmanager 文档安全系统 V4 0 对网络环境要求非常简单 只要客户端或解密端电脑 与服务器之间的 TCP IP 协议通畅就可以了 其中服务器使用的是 4089 端口 其它 客户 端 控制台 解密端 用临时端口向服务器连接 建议局域网内的数据传输率配置为 10 100Mbps 或者以上 3 数据库要求数据库要求 Winmanager 文档安全系统不要数据库 可以选装 SQL 数据库 的支持 安装非常方便 4 网络配置要求网络配置要求 Winmanager 文档安全系统 V4 0 运行时使用的是 TCP 通信协议 其中服务器使用的是 4089 端口 其它 客户端 控制台 解密端 用临时端口向服务器连接 如果企业内部使 用了防火墙产品 应在防火墙上将以上端口开放 允许服务器和控制台通过这些端口访问 整个网络 建议局域网内的数据传输速率配置为 10 100Mbps 或者以上 5 总体安装说明总体安装说明 Winmanager 文档安全系统 V4 0 的安装程序 分别是 服务器安装 解密端安装 控制台安装 客户端安装 如下图所示 双击安装程序 按提示操作 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 5 1 输入用户名与公司名称 图 5 2 用户可以更改安装路径 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 5 3 图 5 4 具体安装的时候可以分步安装 服务器程序 客户端程序 控制台程序 解密端程序 也可以一并同时安装 6 服务器端的安装服务器端的安装 运行安装文件 根据提示操作 如下图例 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 6 1 服务器安装 按下一步后 可进行服务器安装 服务器是整个系统工作的核心 安装后没有界面 功能主要是保存数据与通信中转 安装后如果没有算到授权码 不支持任何客户端 如果测试其功能 必须向厂商索取正式 授权文件 Key 注意 注意 有些装有杀毒软件的电脑上在该步骤点击 确定 时 会跳出几个对话框 此时 一律点击 允许 或 解除阻止 放行即可 否则有可能造成 Winmanager 服务器无法正常 运行 重新启动计算机进入 Windows 系统后 装有杀毒软件的计算机仍旧会跳出相应报警对 话框 此时一律点击 允许 或 解除阻止 即可 完成 Winmanager 软件的 服务器端程 序安装 如果 Winmanager 服务器端程序安装正确 此时会在屏幕右下角出现 Winmanager 服务器端程序正常运行的红色三角形图标 否则需要重新安装 Winmanager 服务器端程序 7 服务器端的卸载服务器端的卸载 点击屏幕左下角的 开始 按钮 打开控制面板 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 7 1 单击 添加 删除程序 图 7 2 选择 Winmanager 文档安全系统 V4 0 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 7 3 单击更改 如下图所示 如要删除全部功能请选择 删除 图 7 4 选择下一步 选择服务器程序后完成 Winmanager 软件服务器端程序的卸载 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 7 5 单击 下一步 完成 Winmanager 服务器程序的卸载 8 服务器端的升级服务器端的升级 升级前请及时备份 C Program Files Winmanager 文档安全系统 V4 0 服务器 中的 jjmdb mdb 数据库文件 否则升级后容易造成原来部门分组信息和策略设置信息的丢失 首先卸载原来的服务器程序 然后运用新的服务器安装程序进行安装 安装后请用原 来备份的 jjmdb mdb 这个文件复制到 C Program Files Winmanager 文档安全系统 V4 0 服务器程序 目录下进行替换 完成 Winmanager 软件服务器程序的升级 9 控制台的安装控制台的安装 参照服务器的安装 注意 注意 有些装有杀毒软件的电脑上在该步骤点击 确定 时 会跳出几个对话框 此 时一律点击 允许 或 解除阻止 放行即可 否则有可能造成 Winmanager 控制台无法正 常运行 10 控制台的卸载控制台的卸载 参照服务器的卸载 11 控制台的升级控制台的升级 此文档收集于网络 如有侵权 请联系网站删除 精品文档 Winmanager 文档安全系统 V4 0 控制台的升级很简单 只要卸载原来老的控制台程序 安装新版本的 Winmanager 文档安全系统控制台程序即可 12 客户端的安装客户端的安装 Winmanager 客户端程序的安装方式有两种 一种是直接运行 Winmanager 软件的安装 程序 在 选择功能 界面中钩选 客户端程序 选项进行安装 另外一种是在 Winmanager 控制台程序安装完毕之后 由 Winmanager 控制台程序生成客户端程序 exe 可执行文件 进行安装 现分别说明如下 图 12 1 选择 客户端程序 按下一步后 填入服务器 IP 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 12 2 输入服务器电脑所在的 IP 地址 点下一步后 开始安装 图 12 3 当使用控制台自动生成的客户端安装程序安装时 安装步骤如下 进入 Winmanager 文 档安全系统 V4 0 控制台 选择 系统管理 里面的 生成客户端安装程序 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 12 4 进入客户端程序生成界面 配置好各项参数 点击 确定生成客户端安装程序 见图 12 5 所示 图 12 5 进入刚刚设定的客户端程序存放目录 找到如下图 12 6 所示的客户端程序 双击该客 户端安装程序进行安装 图 12 6 如下图所示界面 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 12 7 进入伪装安装模式 些时可能会有防病毒软件出现如下警告 选择跳过 完成安装 图 12 8 注意 注意 有些装有杀毒软件的电脑上在该步骤点击 确定 时 会跳出几个对话框 此 时一律点击 允许 或 解除阻止 放行即可 否则有可能造成 Winmanager 客户端无法 正常运行 13 客户端的卸载客户端的卸载 客户端本身是不能直接卸载的 必须到控制台的界面上对要操作的电脑单击右键选择 终端卸载 来卸载该电脑上的客户端程序 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 13 1 卸载客户端 重新启动电脑 完成客户端的卸载 注意 注意 不论是从控制台还是用厂商提供的强制卸载工具来卸载 Winmanager 客户端 卸载后必须重启一下电脑才能将 Winmanager 客户端彻底卸载干净 尤其当您卸载 Winmanager 客户端后想再次安装 Winmanager 客户端 更应该重启电脑 否则会造成下次 客户端程序安装后无法正常工作 14 客户端的升级客户端的升级 注意 升级一定要在管理员帐号下进行 升级完成后重启电脑也必须再登录一次管理 员帐号权限的系统 否则可能造成升级不成功 客户端升级时无需卸载原来的客户端程序 可直接运行新的客户端安装程序进行升级 双击运行该目录下 ClientSetup exe 文件 客户端安装程序 跳出如下升级画面 图 14 1 客户端升级开始 点击 确定 进入下一步 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 14 2 打钩 允许修改注册表 注 电脑上安装的杀毒软件不同 跳出的对话框也不同 此时一律点击 允许 或 解 除阻止 放行即可 否则有可能造成 Winmanager 客户端无法正常运行 图 14 3 提示重启 点击 确定 重启电脑 注意 如果升级成功 重启电脑后会显示 客户端安装 升级成功 提示 如果重启电 脑后没有该提示 则说明没有升级成功 此时客户端虽然能在控制台上显示 但是不会正 常工作 需要重新升级 15 解密端的安装解密端的安装 参照服务器的安装 注意 有些装有杀毒软件的电脑上在该步骤点击 确定 时 会跳出几个对话框 此 时一律点击 允许 或 解除阻止 放行即可 否则有可能造成 Winmanager 解密端无法正 常运行 16 解密端的卸载解密端的卸载 参照服务器的卸载 17 解密端的升级解密端的升级 Winmanager 文档安全系统 V4 0 解密端的升级很简单 只要卸载原来老的解密端程序 此文档收集于网络 如有侵权 请联系网站删除 精品文档 新安装新版本的 Winmanager 文档安全系统解密端程序即可 WinmanagerWinmanager 文档安全系统文档安全系统 V4 0V4 0 的使用的使用 此文档收集于网络 如有侵权 请联系网站删除 精品文档 1 客户端的使用客户端的使用 Winmanager 文档安全系统客户端安装后 该计算机的使用者察觉不到它的存在 也不 能通过其它任何非正常途径将其卸载 当客户端接收到控制台下发过来的加密策略后 对 策略中指定类型的文件进行强制性透明加解密操作 使相关软件在保存该类型的文件时自 动加密 以密文形式写在硬盘上 而当相关软件打开该类型的文件时 自动将其在内存中 解密 硬盘上仍旧是密文形式 查看 客户端根据不同的控制策略和密钥通讯方式控制着本机透明加 解密文件的类型 打 印功能 截屏功能 剪贴板功能的开放或禁止 从服务器下载打开文件所需验证密钥的方 式和时间等 在客户端电脑上 图文档的查看 编辑 保存等操作不受影响 客户端作为隐形的 盾 时时刻刻保护着所有相关图文档 确保这些图文档被保护在我们 Winmanager 的 盔 甲 之下 只要操作系统未被破坏或恶意修改 客户端将一直有效 一旦失效 该计算机中新生 成的图文档将不被加密 同时打不开已加密的图文档 但此前保存过的图文档始终是加密 的 如果需要将这些文件解密 将硬盘上的密文解密成明文 需在 Winmanager 解密端上 方可进行 正常卸载客户端时 需登录控制台 在控制台中卸载客户端程序 总之 只要计算机上成功安装了 Winmanager 文档安全系统客户端 在此计算机上生成 的图文档将被强制性加密 无需额外的操作 2 服务器的使用服务器的使用 Winmanager 服务器安装成功后 随着 Windows 系统的启动自动运行 它的主要功能是 保存各种设置数据和通讯中转 除用于认证控制台和手动重启服务器程序外 一般不需要 在服务器上做任何操作 在默认状态下 Winmanager 控制台在同一个公司内可以多个安装 但是同时只能有一 个运行 Winmanager 服务器的控制台认证功能 可以使控制台只能在某台特定的电脑上运 行 以满足更高安全性的需求 具体控制台认证功能如下 双击屏幕右下角的 Winmanager 服务器图标 弹出 Winmanager 文档安全系统 V4 0 服务器控制台 界面 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 2 1 服务器控制台界面 如图 2 1 服务器控制台界面所示 计算机硬件号 下面一栏对话框中显示的为安装 Winmanager 服务器程序所在电脑的硬件号 在正式使用 Winmanager 软件之前 客户需将 该硬件号码 需要支持的客户端点数 公司名称一起发给上海飞想公司 以便及时获取 Winmanager 软件运行的授权文件 上海飞想提供的授权方式有两种 一种是以硬件 USBKEY 的方式提供 客户拿到该 USBKEY 后 插入服务器电脑的 USB 端口中 再在图 2 1 服务器控制台界面所示界面中点击 重启服务器 待 Winmanager 软件重启后 即可完成 Winmanager 软件的注册 另外一种是以授权文件方式提供 我们称之为软锁 届时上海飞想将会给客户提供一 个名为 Licence thr 的授权文件 客户请将该文件拷贝至 Winmanager 服务器安装的根 目录下面 比如 C Program Files Winmanager 文档安全系统 V4 0 服务器程序 随后 重启 Winmanager 服务器程序即可完成注册 只有通过注册后 Winmanager 控制台才能正常登陆 在 输入认证号 下面的对话框中输入需要运行控制台程序电脑的硬件号 该硬件号 可从控制台登录界面的左上角找到 然后单击 增加认证号 完成该控制台电脑的认证 图 2 1 中所示 Winmanager 控制台程序只能在单位中某台硬件号为 2C794B6BE632EEFE 的 电脑上运行 其它电脑上运行控制台程序时 一律出现如下对话框 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 2 2 控制台未通过服务器认证 图 2 2 中表明该电脑上没有权限运行 Winmanager 控制台程序 选中图 2 1 中的已存在的认证号 单击 删除认证号 可将该认证的硬件号删除 另外 服务器可以为在线解密使用者备份解密文件 点击 解密备份 选择备份路径 当不需要在线解密文件备份时 可以将 备份在线解密文件 前的勾选去掉 如下图 图 2 3 3 控制台的使用控制台的使用 3 1登录登录 双击运行桌面上的 Winmanager 控制台快捷方式图标 运行 Winmanager 控制台程序 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 1 1 控制台登录 如果安装 Winmanager 控制台程序的电脑和安装 Winmanager 服务器的电脑在同一个网 段内的话 服务器 IP 地址会自动在 服务器 IP 地址 栏中显示 如果不能显示出来或不 在一个网段内的话请手动输入服务器 IP 地址 输入用户名 admin 密码为 12345678 点击确定登录控制台 注意 如果初次运行控制台无法成功登录的话 请检查 Winmanager 服务器程序是否正常 启动 服务器 IP 地址 栏中服务器的 IP 地址是否正确 以下是正确登录控制台后显示的界面 图 3 1 2 控制台界面 如果在运行控制台程序前已经在若干电脑上安装了 Winmanager 客户端程序 则界面 显示如下 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 1 3 控制台界面 有 1 台客户端电脑 注意 试用版本的 Winmanager 文档安全系统 V4 0 只支持通讯 5 个客户端 3 2公司名称设定 自定义密钥公司名称设定 自定义密钥 在控制台左侧树形目录中的 请修改公司名称 上单击鼠标右键 选择 修改公司名 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 2 1 修改公司名称 图 3 2 2 输入公司名称 输入公司名称与公司密码后单击 确定 图 3 2 3 公司名称定义完成 3 3新建部门新建部门 公司名称定义完成后 可以安装 Winmanager 客户端程序 客户端安装方式见 1 7 客户端安装完成后 均会自动在默认部门下面显示 如下图显示默认部门下面显示了 1 台 已经安装了 Winmanager 客户端的电脑 注意 在线的客户端电脑都是高亮蓝色显示 不在 线的是灰色显示 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 3 1 控制台界面显示 在公司名称 上海飞想信息科技有限公司 上单击右键 图 3 3 2 增加部门 图 3 3 3 输入部门名称 此文档收集于网络 如有侵权 请联系网站删除 精品文档 根据公司结构的不同 客户可以将自己公司分成相应的几个部门 3 4部门电脑设置部门电脑设置 根据公司中实际电脑使用情况将不同的客户端电脑分组到各自相应的部门中去 在控 制台左面默认部门下选中相应的客户端电脑 和 Windows 操作风格一致 可配合 ctrl 和 shift 键一起使用 将其拖拽到相应的部门中去 下图所示是将其中一台电脑拖拽到了 Information 部门中去 图 3 4 1 拖拽电脑至各个部门 3 5新建策略新建策略 点击菜单栏下面的 下发策略设置 快捷方式按钮 进入 下发策略设置界面 首先 单击 下发策略设置界面 中的 新建 对话框 弹出 新建策略名称 对话框 输入具 体策略名称 如下图 3 5 1 输入策略名称为 技术部加密策略 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 5 1 输入策略名称 根据本部门具体需要加密软件的类型 勾选各具体软件 并设置相应的控制策略和密 钥通讯策略 下图 3 5 2 所示的该 技术部加密策略 支持的软件是 Autocad 及二次开 发插件 Pro engineer UG 系列 CATIA 系列 I Deas 系列 打印功能禁止 截屏功能禁 止 控制客户端电脑的剪贴板 密钥验证方式为 电脑重起时验证 图 3 5 2 策略设置 设置好具体的加密策略后 单击右上角的 保存 按钮 将策略信息保存至服务器上 3 6下发策略和回收策略下发策略和回收策略 策略设置好后 可以给技术部或者技术部下面的某台电脑设置加密策略 当给技术部 设置策略时 该技术部门内所有的电脑都会自动继承本部门的加密策略 此文档收集于网络 如有侵权 请联系网站删除 精品文档 3 6 1 选择 策略组设置 3 6 2 选择具体策略 选择 技术部加密策略 点击 确定 下图中显示技术部门内相关电脑上都已经成 功下发相关加密策略了 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 6 3 下发策略 此时客户端电脑上 Autocad 及二次开发的插件 Pro engineer 软件 UG 软件 CATIA 软件 I Deas 软件新生成的文件开始强制性自动加解密 而当这些类型的软件打开原来电 脑上没装 Winmanager 客户端软件就存在的文件时 会将这些文件自动加密 若部门内某电脑不再需要使用某个加密策略时 只需在控制台的界面上对要操作的电 脑单击右键选择 策略卸载 来卸载该电脑上的策略 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 6 4 卸载策略 3 7终端卸载终端卸载 该命令主要用于远程卸载客户端程序 启用此命令卸载某台电脑的 Winmanager 客户 端程序后 必须要重起该电脑 才能彻底完成卸载工作 3 8离线授权离线授权 Winmanager 文档安全系统提供了离线授权功能 可对外出出差时需要使用涉密文档的 用户提供便利 在离线授权生效期内 外带出去的笔记本电脑能打开电脑上原本加密状态 的涉密类型的文档资料 但是同时新建的涉密类型的文档资料也将被加密 在使用离线授权时 应确保需外带出去的笔记本电脑上原本已正常安装 Winmanager 客户端程序 并能正常进行工作 具体设置方式如下 在 Winmanager 控制台中 对某台需带出公司的笔记本单击鼠标 右键 选择 离线授权 如下图 3 8 1 所示 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 8 1 离线策路 选择合适的离线起始时间和终止时间 单击 生成授权号 图 3 8 2 生成授权号 生成好的授权号 导出后 可以用离线授权导入工具直接导入到需要离线的客户端笔 记本 当客户端离线后在授权号规定的时间内可以像在线时一样使用加解密策略 如下图 图 3 8 3 导入授权号 当该笔记本电脑在离线策略授权的时间内没有及时连接到公司内部网络中的话 该笔 此文档收集于网络 如有侵权 请联系网站删除 精品文档 记本电脑上处于加密状态的涉密类型文档将无法被打开 注 设置离线授权的时候一定是要在该客户端电脑加解密功能都正常运行的状态下进行 否则有可能造成离线授权使用不正常 3 9离线策略管理离线策略管理 在控件台的离线策略管理里 单击 生成离线策略 如下图所示 图 3 9 1 输入离线授权号 选择要安装离线策略的计算机硬件号 选择存放路径 单击 发送请求 后 在目录 下会自动生成以下两个文件 拷贝这两个文件到需要使用离线策略的客户端 运行 RuleCopy exe 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 9 2 输入离线授权号 在图 3 9 2 中 当生成策略文件后 将策略文件导入 以 rul 为后缀 并单击 离线 客户端安装 安装后的客户端电脑就具备使用策略文件中规定的策略加 解密文档 当需要卸载离线策略时 在控制台离线策略管理里单击 生成卸载授权码 将该授权码拷 入 离线策略导入工具 的卸载认证码后单击 离线客户端卸载 即可删除离线策略客户 端 图 3 9 3 输入离线授权号 此文档收集于网络 如有侵权 请联系网站删除 精品文档 3 10批量加密 批量解密功能批量加密 批量解密功能 Winmanager 文档安全系统 V4 0 客户端部署完毕之后 对于原来客户端电脑上遗留的 历史数据 Winmanager 软件提供了自动批量加密功能 当在 Winmanager 控制台中基于部 门设置批量加密策略时 该部门中的所有客户端电脑都会根据本部门电脑中的文件加密策 略和密钥信息在电脑后台自动进行批量加密工作 如下图 3 9 1 所示 图 3 9 1 基于部门的批量加密设置 当在 Winmanager 控制台中基于某台客户端电脑设置批量加密策略时 该客户端电脑都 会根据本部门电脑中的文件加密策略和密钥信息在电脑后台自动进行批量加密工作 如下 图 3 9 2 所示 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 9 2 基于客户端电脑的批量加密设置 对于任意一台客户端电脑可以从以下方式判断该电脑是否已经完成对历史数据的批量 加密工作 如图 3 9 3 所示为没有开始进行批量加密操作或者说批量加密工作没有完成的 注 查看的时候在控制台左侧选中某台电脑 从控制台右面界面栏中查看 图 3 9 3 批量加密显示 否 如果某台客户端电脑已经自动完成了批量加密工作 此时其状态会显示如下 如图 3 9 4 批量加密显示 是 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 9 4 批量加密显示 是 批量解密操作同上面所述的批量加密操作 3 11密级设置密级设置 考虑到公司内不同职位的人员需要对不同的涉密文档有不同的访问权限 并简单的解 决一些越权访问的问题 Winmanager 软件特增加了 5 层密级控制 通过 Winmanager 控制 台中的设定 我们可以将 Winmanager 客户端电脑设定成 内部级 秘密级 机密级 绝 密级 VIP 客户端 5 层密级效果 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 10 1 密级设置 图 3 10 2 密级设置界面 各密级的含义如下 内部级 内部级 Winmanager 客户端部署后默认密级即为内部级 处于内部级的涉密文档只能在公 司内安装 Winmanager 客户端软件的电脑上打开 无法在公司内没有安装 Winmanager 客户 端软件的电脑上打开 或者是在其它公司 哪怕是同样购买了 Winmanager 软件 的电脑 上打开 秘密级 秘密级 处于秘密级的电脑能直接打开内部级电脑上的文档 反向则不行 此文档收集于网络 如有侵权 请联系网站删除 精品文档 机密级 机密级 机密级的电脑能直接打开内部级或秘密级电脑上的文档 反向则不行 绝密级 绝密级 绝密级的电脑能直接打开内部级 秘密级或机密级电脑上的文档 反向则不行 VIP 客户端 客户端 VIP 客户端电脑可以打开以上所有密级电脑上的文档 并在打开的瞬间将硬 盘上原本处于密文状态的文档转换成明文 注意 当在高密级的客户端电脑上打开低密级的文档时 并不会改变低密级文档的密级属 性 但是当在高密级的客户端电脑上编辑低密级的文档时 会改变该低密级文档的密级属 性 使之变成与该客户端电脑相同的密级属性 3 12邮件策略设置邮件策略设置 对于经常需要发送含加密状态附件的邮件 又不想频繁解密的 Winmanager 文档安全 系统提供了外发邮件策略设置功能 对于经过控制台认证过的收件人白名单 E Mail 地址 外发过去的邮件中含有加密状态的附件时 不能是压缩状态的 一律会自动解密 而对于 没有经过控制台认证过的收件人 E Mail 地址 外发过去的邮件中所含有的加密状态的附件 一律不会自动解密 还是保持加密状态 具体设置如下 点击菜单栏中的 邮件策略 按钮 弹出 邮件黑白名单设置 界面 图 3 11 1 邮件黑白名单设置界面 点选 添加用户 开始编辑邮件黑白名单策略 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 11 2 输入发件人邮件地址 在 添加邮件用户 中 添加发件人邮件地址 ccay427 举例 再点选 添 加白名单 按钮 进入如下界面 图 3 11 3 输入收件人邮件地址 选择 其他 输入相应的白名单邮件地址即可 注 利用界面中的 删除 按钮 可以删除不在授权范围内的收件人邮件地址 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 11 4 已编辑好的邮件白名单 如图 3 11 4 所示 意味着单位内某员工利用 ccay427 这个邮件地址发邮件 给 ccay427 和 ccay527 这两个收件人时 邮件中所含的加密状态的附 件会自动解密 另注 1 当白名单中的值为 Allow all 时 意味着所有外发的电子邮件中如果含有加密 状态的附件的话 均会自动解密 2 当白名单中的值为 Deny All 时 意味着所有外发的电子邮件中如果含有加密 状态的附件的话 均不会自动解密 3 当收件人中同时有白名单邮件地址 许可的 和黑名单地址 未许可的收件人 时 邮件附件将不被解密 4 邮件附件必须为原文件格式 不能是压缩格式或其它 3 13自定义新增软件自定义新增软件 Winmanager 网络版最大的特点之一就是客户可以自行集成新增的软件 当单位中新上 一个原来 Winmanager 策略库中没有的软件时 客户无需找软件开发商来集成或做二次开发 客户通过几步简单的设定 完全可以自行集成该软件 下面以一款常见的 HyperSnap DX 5 截屏软件来示范 Winmanager 软件的自定义功能 通过自定义设置 我们可以对该软件 此文档收集于网络 如有侵权 请联系网站删除 精品文档 保存到硬盘上的图片都强制加密 点击菜单栏下面的 策略库编辑 快捷图标 进入策略库编辑界面 在 策略库 文 字上单击右键 图 3 12 1 选择 新增软件类型 跳出 新增软件类型 编辑对话框 按下图所示顺序依次输入 软件类型名称 点击 添加 完成软件类型输入 如下图 3 12 2 所示 图 3 12 2 输入 截屏软件系列 在新加的 截屏软件系列 上单击鼠标右键 选择 新增软件名称 进入新增软件名 称编辑对话框中 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 12 3 选择新增软件名称 跳出 新增软件名称 编辑对话框 按下图所示顺序依次输入 软件类型名称 点击 增加 最后确定 完成软件类型输入 如下图 3 12 4 所示 图 3 10 4 输入 HaperSnap DX 5 在刚刚输入的截屏软件 HaperSnap DX 5 名字上单击鼠标右键 选择 新增进程名 输入 HaperSnap DX 5 这个截屏软件运行时的进程名 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 12 5 选择新增进程名 要具体查看 HaperSnap DX 5 这个软件运行时的进程名时 我们可以在键盘上同时按下 Ctrl Alt Delete 三个键 启动 Windows 任务管理器 在 进程 列表中查看相应 的进程名 图 3 12 6 查找软件进程名称 将查找到的该截屏软件运行时的进程名 HprSnap5 exe 中的 HprSnap5 输入下面 的 新增进程名 列表框中 此文档收集于网络 如有侵权 请联系网站删除 精品文档 图 3 12 7 输入 HprSnap5 输入完进程名后 在刚刚输入的截屏软件 HaperSnap DX 5 名字上单击鼠标右键 选择 新增后缀名 输入 HaperSnap DX 5 这个截屏软件能保存的 所有类型图片的后缀 名 图 3 12 8 选择新增后缀名 在跳出的 新增后缀名 编辑对话框中输入这个软件保存文件时能保存的所有格式的 后缀