亿赛通电子文档安全管理系统V50系统管理员使用手册

1、文档类型： 文档编号：亿赛通电子文档安全管理系统 V5.0管理员使用手册北京亿赛通科技发展有限责任公司2016年1月目录1.引言51.1编写目的51.2系统背景51.3术语定义51.4参考资料51.5版权声明61.6最终用户许可协议61.6.1授权许可61.6.2知识产权保护71.6.3有限保证71.6.4您应保证82.软件概述102.1软件特性102.2CDG功能结构103.软件使用说明113.1登录113.2系统首页123.2.1修改密码133.2.2退出133.3组织管理133.3.1用户管理143.3.2登录管理203.3.3激活管理213.4终端管理223.4.1终端管理223.4.

2、2终端统计243.4.3终端维护253.5我的工作台263.5.1我的流程263.5.2我的模版273.5.3我的文档303.6策略管理323.6.1管理策略323.6.2签名准入543.6.3签名策略库543.6.4检测配置563.7预警管理673.8流程管理693.8.1表单管理693.8.2流程模版703.9算法管理733.9.1指纹库管理733.10系统维护753.10.1升级管理753.10.2数据库管理763.10.3应用无效进程763.11后台配置773.12帮助801. 引言1.1 编写目的本手册指导使用者进行用户管理、业务流程申请与审批管理、文档管理、策略管理、日志管理、终端

3、管理、后台配置等CDG系统各个模块的业务操作。本手册的使用对象：公司技术支持部、销售部、市场部、测试部和使用（CDG）系统产品的客户。1.2 系统背景系统名称及版本号：亿赛通电子文档安全管理系统 V5.0；任务提出者：北京亿赛通科技发展有限责任公司；任务承接者及实施者：北京亿赛通科技发展有限责任公司；系统使用者：使用亿赛通电子文档安全管理系统产品的用户；1.3 术语定义CDG：Cobra Document Guard，文档安全防护。1.4 参考资料编写本手册时参考的文档如下：亿赛通电子文档安全管理系统_需求规格说明书亿赛通电子文档安全管理系统_概要设计规格说明书亿赛通电子文档安全管理系统_详细

4、设计规格说明书亿赛通电子文档安全管理系统_技术白皮书1.5 版权声明本手册以及所提及的数据、图标、名称等信息，所有权皆属于亿赛通公司所有。未得到亿赛通公司的正式许可，任何人或组织均不得以任何手段与形式对本手册内容进行复制、转印和传播。本手册中的内容，亿赛通科技发展有限责任公司拥有最终解释权。1.6 最终用户许可协议本许可协议是您与北京亿赛通科技发展有限责任公司之间关于亿赛通软件产品的法律协议。在使用本软件前，您必须同意以下条款和条件以及所附文档中的所有其他条款和条件。如果您不同意此处包含的条款和条件，请不要进行安装或使用。“亿赛通软件产品”包括计算机软件、光盘、相关的使用说明性材料、电子文档。

5、您如果安装、复制、或以其他方式使用“亿赛通软件产品”，就表示您同意接受本协议各项条款的约束。1.6.1 授权许可亿赛通公司在此授予您使用所附软件和相关文档的非排它的、不可转让的许可，软件程序以及附件文档是亿赛通公司的专有产品，受版权法和现行适用法律的保护。您仅拥有该软件产品的使用权，并不拥有软件本身，亿赛通公司是软件本身的拥有者，并保留这种独家所有权，受中华人民共和国著作权法及国际著作权条约和中国其他知识产权法和其他国际知识产权条约的保护。 对一份软件产品，亿赛通公司只授权您在一台电脑上使用，出于备份或档案管理的目的您可以制作该软件副本，但您不可通过任何途径以任何形式将本软件产品分发转让到其他

6、的电脑上使用。如果您需要将本软件产品转让给他人，您必须遵守以下几项要求：1) 您同意将本协议、本软件和与本软件捆绑的所有资料一并转让给他人；2) 您不对任何副本进行留存，包括电脑上的存储的备份和副本；3) 接收方接受本协议的条款和条件以及您合法购买本软件时接受的任何其他条件和条款。1.6.2 知识产权保护本软件及亿赛通公司授权您制作的任何副本均为亿赛通公司的产品，其知识产权全部归亿赛通公司所有。本软件的结构、组织和代码均为亿赛通公司的有价商业机密信息。本软件受中华人民共和国著作权法、相关国家法律法规以及国际条约条款的保护。您不得在本协议许可的范围之外复制本软件，否则将构成对亿赛通公司知识产权的

7、侵犯。您必须同意决不通过任何方法和途径获取本软件源代码、对本软件进行修改、重新编程、编译、反编译或其他逆向解析。1.6.3 有限保证1) 自购买之日起15天正常使用期限内，传递软件的介质载体和工艺方面无缺损；2) 自收到软件之日起15天内，软件运行良好，但如果因意外事故、滥用、误用导致的软件失败和造成的损失，亿赛通公司不承担任何责任。在此保证亿赛通公司的唯一义务和对您的唯一的补救措施，不论是民事的侵权行为，还是合同、严格的责任或其他方面，都将按照亿赛通公司的选择执行。亿赛通公司不保证软件所包含的功能可以完全满足您的要求，包括软件操作不会终断或无错误。亿赛通公司对因计算机硬件操作特性的改变以及软

8、件发行后计算机操作系统的改变所引起的问题不负责任，也不负责本软件与其他非亿赛通公司软件因交互作用而出现的问题。由本许可协议、软件、随软件所附的书面材料引起的亿赛通公司的全部赔偿金额不超过购买本软件所付的全部金额。除上述保证外，就现行法律允许的最大程度，亿赛通公司或软件的供应商或分销商提供的本软件是没有任何明示或暗示的保证，包括但不限于为特定目的做出经销和使用的暗示保证。就现行法律允许的最大程度，在任何情况下，亿赛通公司及其分销商或供应商绝不因特殊、偶然或必然损失承担责任，包括数据丢失、重新生成已丢失数据的开销、利益或商业信息损失、商业中断或其他经济损失，不管是否已经告知亿赛通公司可能导致此类损

9、失。 1.6.4 您应保证1) 在安装和使用亿赛通软件产品之前、以及使用亿赛通软件产品过程中，已经将您电脑使用的所有文件或重要文件保留了备份；2) 按照亿赛通软件产品的使用手册正确地安装和操作亿赛通软件产品，并对其运行情况进行适时监控。本许可协议自您打开包装的密封或使用本软件之日起生效，并且一直有效至协议终止。您可用销毁本软件以及所附书面材料和所有副本的方式随时终止本协议。如果您违反本许可协议的任何条款和条件，本许可协议也将自动终止，不论是何种原因引起使用本软件的终止，您都必须删除并销毁本软件的所有副本以及所提供的所有文档。当亿赛通公司要求时，您必须提供此类销毁的书面证明。 除非在亿赛通公司书

10、面签署的情况下，本许可协议不做修改。如果发现本许可协议的任何条款不可行，则按现行法律许可的最大程度解释该条款。亿赛通公司否认与本许可协议的陈述或许诺不同的，或本许可协议的陈述或许诺之外的任何保证、陈述或许诺。 阅读并同意本许可协议的条款和条件后，才能使用本软件。 如果您对本协议存有疑问，请写信给北京亿赛通科技发展有限责任公司。2. 软件概述2.1 软件特性亿赛通电子文档安全管理系统是基于驱动层智能动态加解密技术，通过文档透明加密、文档权限管理、文档外发控制、业务流程申请和审批、融合身份认证、日志审计、终端管理、移动存储设备和系统容灾管理等功能，实现非结构化数据和结构化数据的全面防护； 本系统可

11、应用于各个领域和所有客户群。2.2 CDG功能结构欢迎您使用亿赛通电子文档安全管理系统，它是亿赛通公司推出的基于B/S和C/S架构的文档安全管理系统，是CDG产品体系中的一种，通过IE可以以基于Web的方式来访问CDG系统；亿赛通电子文档安全管理系统B/S和C/S架构。由客户端软件和服务器构成，结构如下图：在网络中的用户需要安装CDGClient客户端软件，并且至少有一台CDG服务器提供认证等服务。在CDG系统中，用户信息和文件权限信息等存储在数据库中，数据库类型可以选用MSSQL 2000、MSSQL 2005、MSSQL 2008等。3. 软件使用说明3.1 登录启动浏览器，在地址栏中输入

12、服务端的IP地址(IP地址+端口号如：33:8080)，进入服务端欢迎使用界面，表示服务启动正常，如下图所示：在欢迎页面内，点击【进入】按钮，页面跳转到登录界面，如图所示：输入用户ID和密码（用户ID：systemadmin 默认密码：），点击登录按钮进入管理平台管理界面。备注：（1） 该产品支持本地认证和AD域认证，管理员SystemAdmin只支持本地认证。（2）点击“客户端下载”下载客户端安装包，下载前客户端安装包应提前上传到服务器。安装包格式及命名：V3.8S_Client.rar安装包路径：C:Program Files (x86)ESAFENETC

13、DocGuard Servertomcat（64）webappsCDGServer3clientinstall3.2 系统首页【系统首页】功能说明：此模块功能包含：【首页】、【修改密码】、【退出】。正确登录系统，进入到系统的首页，如下图所示：3.2.1 修改密码点击【修改密码】功能按钮，可以修改用户的密码，如下图所示：在【旧密码】输入框内，首先输入旧密码，然后输入新的密码和确认密码，当点击【保存】按钮时，密码修改成功。在没有点击【保存】按钮之前，当点击【重置】按钮时，所输入的密码信息将会被清空，用户可以重新输入信息。3.2.2 退出在首页中点击右上角【退出】功能按钮时，系统将注销当前登录用户，

14、系统返回到登录页面。3.3 组织管理组织管理模块中包含【用户管理】、【登录管理】、【激活管理】模块。内置管理用户，【系统管理员/systemadmin】、【安全管理员/secadmin】、【文档管理员/docadmin】、【日志管理员/logadmin】四个账户，除可自主修改密码外，不提供任意属性修改功能；系统内置帐号不占用Licence许可，不提供密码重置、帐号冻结、帐号删除等帐号管理功能，3.3.1 用户管理用户管理功能用于创建数据泄露防护系统用户认证体系及关联用户安全策略，包括用户组织架构、用户（创建、删除、修改）、选取策略、同步用户（AD域）。. 本地组织架构组织架构栏提

15、供管理员维护组织架构功能，主要包含功能项：【新建】、【修改】、【删除】、【查询】； 新建组织架构点击“组织架构”，选择“新建”，输入“名称”后选择保存，完成新建组织机构。 修改组织架构选择要修改的组织架构，点击“修改”按钮，在操作框输入要修改的名称，选择“保存“，完成组织架构修改。 删除组织架构选择要选错的组织机构，点击“删除“按钮，确认提示框选择”确定“，完成组织架构删除。备注：（1）组织架构中包含用户，则无法删除。 查询组织架构点击“组织架构“，选择”查询“，输入要查询的组织架构名称，点击”查询按钮“，完成组织架构查询。. AD域组织架构AD域组织架构，同步于客户AD域，同步

16、组织架构与AD域相同，组织架构和用户的添加、删除、修改，依赖于AD域。 AD域配置（1）登录配置管理页面登录页面，选择“配置”，输入管理员用户名和密码（管理员：configadmin 默认密码：）（2）选择AD域配置，配置AD域信息根据“AD域配置”页面示例，根据实际情况填写AD域信息。连接测试成功后，点击“保存”按钮，完成AD域配置。 组织架构及用户同步用户管理，选择“同步用户”，完成AD域组织架构及用户同步。在导航栏选择【组织管理】模块，点击【用户管理】子模块，页面跳转到【用户管理】界面。该页面内功能提供管理员维护用户管理，管理员可以完成同步用户、选取策略、添加用户、删除用户、冻结用户、修

17、改用户属性等功能，如下图所示：. 添加用户在组织架构中选择一个组，点击【添加用户】按钮，页面切换到添加用户的详细页面内，在对应的标识输入框内输入相关信息，点击【保存】按钮，用户添加成功，如下图所示：. 删除用户除SystemAdmin、Secadmin、LogAdmin、Docadmin以外其他用户都可以删除。管理员进入要删除用户的【详细设置】页面内，点击【删除帐号】，该用户将删除。. 组选取策略选中一个组，点击页面内【选取策略】按钮，页面切换到选取策略页面，选中一个策略，点击【保存】按钮，策略选取成功，如下图所示：应用到子组：勾选【应用到该组及其子组

18、内的策略例外用户】功能将设置的策略应用到子组中，子组的每个组和组中的成员都更新为新设置的策略。. 单个用户添加策略点击用户列表内的【关联策略】，弹出策略选择界面，选中一个策略，点击【保存】按钮，策略选取成功，如下图所示：备注：单个用户添加策略，安全管理员在用户角色中需要为用户分配“策略例外权限”。. 用户启用用户启用状态默认为：未启用。点击【用户启用】按钮，启用状态由未启用状态自动变换为已启用状态，【用户启用】按钮自动变换为【用户冻结】；点击【用户冻结】按钮，启用状态自动变换为已冻结状态，【用户冻结】按钮再次变换为【用户启用】状态。 【未启用】状态表示：该用户为初始

19、状态。 【已启用】状态表示：该用户已经启用，可以正常使用。 【已冻结】状态表示：该用户已经被冻结，不可用，解冻后可以继续使用，用户的属性不受冻结影响。. 重置密码用户的密码丢失，管理员可以通过密码重置功能将用户的密码重置到默认密码状态，系统初始化的默认密码是。. 查询用户在【用户管理】界面，通过【用户ID】、【姓名】、【用户来源】、【认证方式】、【在线状态】、【用户状态】、【关联策略】等查询项，查询对应的用户；可精确查询本组成员，也可模糊查询。3.3.2 登录管理用于控制客户端登录模式以及客户端登录记录管理控制。. 客户端用户登录模式管理用于控制客户端

20、登录模式，分为手动登录和AD域单点登录。该功能在有多种登录模式时生效，如用户为本地用户只有手动登录模式（即客户端一次需手动登录）。 手动登录模式选择手动登录模式，客户端安装后第一次登录需要手动输入账号和密码进行登录。 AD单点登录模式选择AD单点登录模式，对于AD域用户，客户端安装后，随操作系统用户单点登录。. 客户端用户登录记忆管理用于设置在线或离线情况下，客户端登录方式，分为自动登录和手动登录。 在线状态登录记忆管理在线状态下，选择自动登录，每次重启电脑后客户端自动登录，选择手动登录，重启电脑后需要用户手动输入用户名密码进行登录。 离线状态登录记忆管理在线状态下，选择自动登录

21、，每次重启电脑后客户端自动登录，选择手动登录，重启电脑后需要用户手动输入用户名密码进行登录。3.3.3 激活管理激活管理是针对AD域或其他第三方认证系统同步用户进行统一激活管理，方便用户在批量添加用户的需要。在导航栏选择【组织管理】模块，点击【激活管理】子模块，进入到激活管理页面，如下图所示： 左侧的目录树显示为：未激活状态的组/用户； 右侧的目录数显示为：已激活状态的组/用户； 支持单个用户或者整个组激活，激活后的用户将显示在用户列表，取消激活，用户将从用户列表内删除； 用户激活后，在组织管理/用户管理中，【启用状态】默认设置为【未启用】、一旦用户成功登录，【启用状态】将更新为【已启用】；

22、激活用户数量受授权用户数量限制，激活用户数量超过授权数量时会弹出超出授权的提示。3.4 终端管理终端管理是集成通讯平台，控制客户端是否在线以及客户端登录用户的信息。可以与在线客户端建立消息会话，可以针对客户端版本升级、卸载、删除终端等操。可以针对客户端进行离线补时设置及补时码导出功能功能主要包括：【批量删除】、【升级所有终端】、【批量卸载】、【终端导出】、【终端会话】、【终端补时】、【终端调试】、【终端卸载】、【终端升级】、【终端删除】等功能。在导航栏选择【终端管理】模块，点击【终端管理】，跳转到【终端机器查询】列表页面，如下图所示：3.4.1 终端管理【批量删除】：当客户端处于未使用或者已卸

23、载状态时，管理员点击该【批量删除】按钮，将把列表内终端信息删除。信息删除后，客户端需要再次登录，才可以再次显示在该列表内；【升级所有终端】：批量升级所有客户端的版本，使客户端版本保持版本统一。【批量卸载】：批量卸载所有终端的客户端程序。客户端接收到冒泡通知可以不用输入卸载码就可以卸载客户端；【终端导出】：将终端列表完整属性导出为Excel csv报表格式。【终端会话】：与在线客户端建立消息会话，可以完成会话信息推送和客户端显示功能，主要完成点对点消息推送。选中用户，点击【终端会话】按钮。在消息栏内输入需要发送的消息，点击【发送】，客户端即可接到会话消息信息，如下图所示：【终端补时】：客户端终端

24、离线时间到期，管理员通过终端补时功能延长终端离线时间。点击【终端补时】，设置离线时间，生成离线补时文件，下载后发送给客户端，导入后即可延续离线时间。生成补时文件页面如下图所示：【终端调试】：是指可以针对客户端进行调试控制，如【客户端全模块关闭】、【仅客户端控制台关闭】、【仅客户端驱动关闭】等，实现客户端运维调试管理，如下图所示：【终端卸载】：卸载指定终端的客户端程序。该【卸载】功能等于直接审批终端卸载，客户端接收到冒泡通知可以不用输入卸载码就可以卸载客户端；【终端删除】：是指把终端信息列表内的信息从列表内删除。【终端升级】：点击【升级】按钮可以针对选中客户端进行升级；3.4.2 终端统计终端统

25、计功能，采用统计图表方式对终端进行统计,一目了然的显示所属终端、在线终端、客户端版本等信息；可将统计图表导出为Excel报表。【客户端在线统计】：客户端在线用户数进行统计：【终端总数】、【在线终端数】、【离线终端数】统计图表，如下图所示：【客户端版本统计】：针对客户端版本进行统计：【终端总数】、【版本终端数】、【版本终端数】统计图表，如下图所示：【客户端操作系统版本统计】：针对客户端操作系统版本进行统计：【终端总数】、【操作系统版本终端数】、【操作系统版本终端数】统计图表，如下图所示：3.4.3 终端维护终端维护功能，实现对客户端冗余记录的自动维护，设置终端维护任务自动执行日期，设置终端维护任

26、务自动执行目标，如定期清理连续10天未在线的冗余终端记录。终端数目预警机制提示等功能。在导航栏选择【终端管理】模块，点击【终端维护】，页面跳转到【终端维护】页面内，如下图所示： 一旦成功执行终端维护任务，将触发预警功能，系统自动对管理员发送终端维护日志; 当剩余Licence数量低于5个时，每新增加一条终端Licence记录，将触发预警功能，系统自动对管理员发送Licence容量预警日志，提醒管理员执行Licence管理。3.5 我的工作台我的工作台模块中包含【我的流程】、【我的模版】、【我的文档】三个个模块。实现对电子流表单的集中化管控；模版的定制和使用；权限文件的分发及管理；3.5.1 我

27、的流程流程审批平台，实现对电子流表单的集中化管控；采用表单管控原则，提供【我的申请】、【我的待办】和【我的已办】等模块功能。记录当前用户所提交的所有电子流申请，采用电子流任务列表方式进行管理；审批范围包含：【文档解密流程】、【文档还原流程】、【文档外发流程】、【邮件外发流程】、【离线办公流程】、【权限申请流程】等在导航栏选择【我的工作台】模块，点击【我的申请】，页面跳转到审批列表页面内，如下图所示：【我的申请】： 用户本人提交的申请表单；【我的待办】：只有审批员才能在此列表内看到信息，表内的信息为其他用户提交的申请流程表单。【流程明细】页面，可以完整显示该流程任务明细；【流程审批执行】包含：【

28、通过，流程自动执行】、【通过，强制结束本级流程】、【通过，强制流程终止】、【退回，强制流程终止】。不同的申请流程表单稍有不同，本处以离线申请为例，如下图所示：【我的已办】：用户作为审批员审批过的表单信息；3.5.2 我的模版权限模板：已经选定了用户、组并给用户、组授予一定的权限，在用户制作权限文件的时候，用户只需选择一个或者多个权限模板，可以完成一种授权模式。用户每次制作权限文件，需要把这个文件授予特定的用户、组时，应用权限模板可以快速便捷的完成授权。【添加权限模板】在导航栏选择【我的工作台】模块，点击【我的模版】，跳转到【模版列表】界面，如下图所示：点击【添加】按钮，进入到【添加权限模板】界

29、面，在【模板名称】中输入名称，【权限模板描述】中输入模板描述，选择【机密等级】。点击【保存】后，权限模板添加成功，如下图所示：【删除权限模板】：点击操作栏中的删除按钮，选定权限模板即被删除，如下图所示：【修改权限模板】：点击【操作】列的修改按钮，修改权限模板的信息，点击【保存】后权限模板修改成功，页面返回到权限模板界面。 如图所示，【添加授权对象】：1) 选中模版，点击【操作】列的【添加授权对象】按钮，进入到添加授权对象页面。2) 在添加授权对象页面，点击【添加授权对象】按钮，页面跳转到选择用户的列表中。选择用户、组，点击【添加】按钮，完成用户添加。如下图所示：3) 选定的用户进入到权限模板列

30、表内，管理员可以修改选定用户的权限，如下图所示：如果要设置该用户的详细权限，点击【详细】按钮，可以设置该用户对权限文件的只读次数、起始时间、截止时间，详细情况见下图：3.5.3 我的文档【收件箱】：用户可看到自己具有权限的权限文件。包括其它人员给该用户授权的权限文件。1) 在导航栏选择【我的工作台】模块，点击【我的文档】，跳转到【我的文档】界面，如下图所示：2) 选择文件，单击【再授权】，进入再授权界面，可查看文件的授权信息。3) 单击【详情】，可查看文件的相关信息。4) 单击【下载】，可对已上传文件进行下载。【发件箱】：用户自己制作的权限文件收集在该文件箱中。用户在客户端制作的权限文件，可在

31、发件箱中查看及进行再授权操作。1) 在导航栏选择【我的工作台】模块，点击【我的文档】，跳转到【我的文档】界面，如下图所示：2) 点击操作列的【再授权】，进入授权界面，可以给用户再授权。3) 单击操作列的【详情】按钮，可以查看文件的相关信息。4) 点击操作列的【下载】按钮可以下载用户上传的文件，如下图所示：5) 点击操作列的【生命周期】，可以设置文档的生命周期，如下图所示：6) 【权限缓存】是用户在脱机情况下对文件的操作模式，包括打开次数、打开时长。点击操作列的【权限缓存】，可以针对该文件进行设置打开次数、打开时长，如下图所示：3.6 策略管理3.6.1 管理策略策略管理模块用以创建、维护策略组

32、。策略组是用来管理控制用户文件类型、制作CDG格式、安全策略等的模块。每个策略组包含【策略推送控制】、【加密控制策略】、【安全增强策略】、【内容安全策略】、【水印控制策略】、【权限控制策略】、【邮件控制策略】、【打印控制策略】、【网络控制策略】、【日志控制策略】、【文件备份策略】、【外发控制策略】、【存储控制策略】、【辅助控制策略】、【策略库】等项目。 . 安全策略组导入导出安全策略组导入导出用于导入和导出安全策略组。使用方法如下： 安全策略组导出步骤1: 安全策略组中，选取要导出的策略组步骤2: 导出策略在操作框，选择“导出”按钮，导出策略组。 安全策略组导入步骤1: 选择策略

33、组导入位置，点击导入步骤2: 选取策略组，点击“提交”，导入策略备注：导入策略时，可以选择“安全策略组”或具体的策略组进行策略导入。选择“安全策略组”导入策略时，会生成一个新的策略组（如有重名策略组无法导入），选择“具体策略组”导入策略时，会在现有策略组上进行策略导入（如有重名策略则无法导入）。原则上建议导入策略时不能有重名。. 策略推送控制策略推送控制：通过策略主动推送的方式下发策略信息，确认客户端执行策略情况，确保执行策略的准确性，如下图所示： 策略推送控制，点击【策略推送】时方才下发策略，推送方式采用【立即生效】、【重启后生效】两种方式，策略推送只能按策略组推送。 推送策略

34、的同时重置【策略更新状态】为NO，客户端获取到策略后，【策略更新状态】自动更新为Yes，同时更新末次更新时间。当策略更新状态显示为Yes状态，表示客户端已经获取到策略。 策略关联列表内显示的用户，为使用该策略组的用户。. 加密控制策略加解密控制策略，主要用于设置应用软件对文件的加密、解密，该策略的核心是安全策略，安全策略的设置不仅影响是否能满足客户的需要，而且对系统性能的影响也比较大，正确设置安全策略是动态加解密应用的关键。 历史数据初始化用于对历史数据或全盘数据进行批量加密或解密，该功能默认为关闭状态，根据应用需要选择或填写初始化类型、文件类型设置、任务执行设置，最后点击“保存

35、”按钮完成策略设置，策略推送后终端生效。 进程签名配置用于签名进程收集和进程签名应用，防止伪造进程非法读取密文数据。签名收集：默认关闭，开启后客户端会自动搜集加解密策略中对应进程信息，并上传到服务器。签名应用：应用进程签名控制。策略推送后，进程签名策略生效。 透明加解密策略设置透明加解密策略，是整个软件策略核心，该策略设置关乎到整个系统是否平稳运行。一条完整加解密策略包括策略名称、策略描述、策略类别、策略密钥、关联类型、关联程序六部分组成，具体如下：、（1） 策略名称 本条策略命名，一般与应用软件名称保持相同。（2） 策略描述 对本条策略设置内容进行详细描述，可不填写。（3） 策略类别用于设置

36、驱动加解密方式，一般根据安全保护需求进行灵活设置。透明加解密_标准加解密关联程序操作的文件，符合该策略的文件被关联程序读写时将被加解密落地加密策略跟踪新建的指定类型的文件，加密所有的或指定进程新建的与策略匹配路径匹配的文件。删除备份策略通过该策略备份被删除的指定类型的文件，该策略只有在文件被删除时才进行备份。文件例外策略放过策略匹配路径中的文件透明加解密_子进程除加解密关联进程操作的文件外，还加解密关联进程的子进程操作的文件透明加解密_半透明用于打开本地加密文件，而本地明文不强制加密透明加解密_网络主要是用来网络进程上传和下载精确保护，传输文件为主，一般不是文件编辑程序HOOK例外策略放过策略

37、匹配路径中的DLL，允许这些DLL注入到关联进程中进程例外策略放过策略匹配路径中的进程名，允许这些进程访问已经打开的解密文件，可用于存放杀毒软件等。落地解密策略自动解密所有的或指定进程与策略匹配路径匹配的文件 策略导入导出用来对加解密策略进行导入导出，在进行策略导入时，如果导入策略名称与当前策略中名称相同，导入时不进行覆盖，维持当前策略状态。 每一个策略组只能选择一个密钥，根据加解密策略不同在添加策略时注意顺序(CDG策略需要放在动态加解密策略前)。 历史数据初始化，策略执行完毕后，应及时关闭，避免重复执行。 策略的顺序非常重要，匹配的原则是：从上到下优先匹配，如果一条策略没有匹配成功，则继续

38、匹配下一条策略，直到匹配成功或所有策略均已匹配完毕。 策略列表内的顺序可以点击策略排序栏的降级、提高来调整。. 智能加密策略该功能模块主要用于配置智能加密策略，通过配置敏感内容检测规则，下发到客户端后，客户端根据敏感内容检测规则对文档进行智能识别，从而实现包含敏感数据内容文档自动加密；智能加密策略包括智能加密开启与关闭、基础配置、DLP策略三部分，各部分操作与说明如下： 智能加密开启与关闭该项配置用于设置智能加密功能开启与关闭，智能加密功能默认为“关闭”状态。开启：启用智能加密功能；关闭：关闭智能加密功能；注意事项：(1) 智能加密功能默认为关闭状态，未开启状态下功能不生效；(2

39、) 智能加密当前版本主要适用于办公楼文档，如OFFICE/PDF/WPS； 基础配置策略列表基础配置策略，主要用于设置智能加密方式、文件分类（全盘扫描文件类型）、全盘（历史数据）扫描、文件变动监控配置；基础配置策略根据实际需求选择，配置详情请参照“检测规则”中的“基础配置”。注意事项：(1) 基础配置策略包括智能加密方式、全盘（历史数据）扫描文件类型及开启、文件变动监控，请根据实际需要做好选择，负责会影响智能加密效果。如不设置文件变动监控，新建文档包含敏感数据时不会不加密等； DLP策略DLP策略主要为文档内容检测规则，客户端内容识别引擎根据这些检测规则进行内容识别与匹配，对陪陪规则的敏感数据

40、文档自动加密；一条策略组（智能加密策略）可以包含一条检测规则或多条检测规则，根据实际需要勾选对应策略即可；注意事项：（1）DLP策略列表中的检测规则来源于“检测配置”中的策略列表，配置DLP策略前，请先在“检测配置”中设置好对应的检测规则策略。. 安全增强策略安全增强策略可以控制用户在注销状态以及异常脱机状态的使用控制；控制文件、注册表的使用；控制文件的内容过滤以及应用加固，更全面的适应用户的使用习惯，如下图所示： 访问控制策略由策略类型、控制类型和策略、策略匹配路径（注册表键值匹配名称和注册表匹配项名称）几部分组成。访问策略策略与具体的进程无关， 在用户注销后不加密不解密模式，

41、不影响用户的正常使用，但是存在泄密风险； 在用户注销后只加密不解密模式，驱动将不再解密任何加密文件，这种处理方式虽然能够防止泄密，但也存在坏文件的风险； 在用户注销后只读禁止保存模式，关联进程可以打开受保护的文件，但驱动不会解密，同时也禁止保存操作。在用户保存文件后会引起“延迟缓冲写入失败”的系统错误提示。. 内容安全策略内容安全策略可以设置辅助的应用安全模块，系统中提供六种应用安全模块，【拷贝控制】、【拖拽控制】、【另存为控制】、【插入控制】、【连接控制】、【截屏控制】，每项内容安全控制均提供开关式控制机制，如下图所示：【例外设置】详解如下：【拷贝控制】： 关联进程拷贝控制例外

42、设置：【关联进程内容拷贝至其他任意进程时均不受控】； 非关联进程拷贝控制例外设置：【关联进程内容拷贝至该非关联进程时不受控】； 上述控制基础上，均可设置允许拷贝字节数控制，默认任意字节。【拖拽控制】： 关联进程拖拽控制例外设置：【关联进程内容拖拽至其他任意进程时均不受控】； 非关联进程拖拽控制例外设置：【关联进程内容拖拽至该非关联进程时不受控】；【另存控制】： 关联进程另存控制例外设置：【关联进程执行另存时客户端不强制加密控制】；【插入控制】： 关联进程插入控制例外设置：【关联进程执行对象插入或被插入时均不受控】； 非关联进程插入控制例外设置：【非关联进程执行对象插入或被插入时均不受控】；【连

43、接控制】： 关联进程连接控制例外设置：【关联进程执行网络连接时不受控】。【截屏控制】： 【截屏控制】一旦开启，默认所有截屏软件均禁止截屏。 截屏白名单设置：【白名单内截屏软件允许截屏】； 截屏黑名单设置：【黑名单内截屏软件禁止启动】；. 水印控制策略用于设置文档水印内容，对于SmartSec、DRM模块支持阅读浮水印和打印浮水印，其中阅读水印支持屏幕水印和文档水印，打印水印分为可视水印和盲水印。 应用模块用于设置水印控制启用模块，根据应用需求进行勾选，水印应用模块选择，最后点击“保存”按钮完成设置。 阅读浮水印用于设置文档阅读水印，支持屏幕水印和文档水印，根据需求进行选择即可。阅

44、读模式每个策略组只能启用一种。最后点击“保存”按钮完成设置。针对水印显示位置，提供5个坐标点设置功能、每一个坐标点水印内容、水印深浅度都可以详细设置，每一个坐标点均提供【默认内容】和【自定义内容】配置功能。提供文字、图片两种格式； 打印浮水印用于设置文档打印水印，水印格式支持可视水印和盲水印。针对水印显示位置，提供5个坐标点设置功能、每一个坐标点水印内容、水印深浅度都可以详细设置，每一个坐标点均提供【默认内容】和【自定义内容】配置功能。提供文字、图片两种格式； 图片及深浅度设置，0值表示最深，255表示最浅；上传不能超过50KB的bmp图片,文件物理路径不能超过253个字符；字体设置请不要过大

45、，超过50会超出边界；备注：盲水印功能默认不启用，如需启用请参照特殊功能产品配置手册。. 权限控制策略权限控制策略，针对关联进程制作成权限文件，赋予用户的控制类型以及安全类别做一定的限制；指定可以制作权限文件的类型，控制用户对权限问价的操作范围和时间，界面如下图所示： 【权限文件类型】权限文件支持类型； 【权限控制类型】【只读】、【打印】、【修改】、【复制】权限，默认为勾选，不可修改； 【内容安全类型】【拷贝控制】、【拖拽控制】、【另存控制】、【插入控制】、【截屏控制】、【连接控制】等，默认全部勾选状态，不可修改；. 邮件控制策略邮件控制策略是为了防止通过邮件通信功

46、能，发送密文而导致泄密，而采用的一种有效策略控制；策略中可以控制邮件源地址、目的地址白名单；邮件发送审批附件查看等机制；如下图所示：【邮件白名单设置区】，分别设置源地址和目的地址白名单。源地址：发件人地址。目的地址：收件人地址。【邮件审批设置区】，针对【SMTP】协议进行邮件审批启用控制。【邮件审计设置区】，仅支持对【SMTP】协议邮件进行完整审计。 三个控制区均可独立及组合执行，所有邮件均可审计； 当【用户角色】中具备特权权限【邮件自解密权限】时，系统仅执行邮件审计控制。0. 打印控制策略打印黑白名单管理、打印审计，该模块分为两个控制区，第一个为【打印权限设置区】，分别对【虚拟

47、打印】、【物理打印】进行允许/禁止控制；第二个为【打印审批设置区】，针对【物理打印】启用是否执行审批控制；如下图所示： 打印审计为独立控制体系，只要执行成果【物理打印】均可审计；执行【物理】和【虚拟】打印时需校验水印控制策略，如开启【打印水印】，则需根据水印策略内容完成水印装填。1. 网络控制策略该模块是控制应用准入策略配置。通过配置终端应用程序、服务器端口以及地址之间关系，实现对客户端非法访问、用户仿冒服务器等一些非法操作，进行有效访问阻断，达到控制非法访问服务器的目的。网络控制策略包含：网络准入控制策略、网络访问控制策略、Linux SVN网络控制策略,如下图所示：【TDI网

48、络准入控制】、【基于Linux版本控制策略区】 协议类型支持 TCP；执行动作包含：Denied、Pass、Proxy、Transfer四个选项； 所有进程在控制范围内都执行当前规则； 定义IP地址作用区间，结束地址必须大于等于开始地址，如果地址相等则只对当前地址有效。格式：xxx.xxx.xxx.xxx , xxx为0到255之间的ASCII字符； *表示所有IP地址区间，等同于 F||55，用*号表示，而不是*|* 或者F|*|*。 定义端口地址作用区间，结束端口必须大于等于开始端口，如果端口地址相等则只对当前端口有效。格式0到65535之间的ASC

49、II字符。【NDIS网络访问控制】该策略控制进程能够访问的网络路径，防止通过该进程将解密的文件传输到网络上；控制访问网络共享；访问指定的网络；控制进程不能够访问的网络路径，防止通过该网络路径进行破解等功能，该控制策略需要驱动做支撑，功能界面如下图所示： 进程访问控制_ PROGNONET：进程不能访问指定的网络路径，通过该策略可以控制进程不能够访问的网络路径，防止通过该网络路径进行破解 进程网络访问控制_ PROGNET：进程与网络路径一一对应，是POLICY_PROGONLYNET策略与POLICY_NETONLYBYPROG策略的并集。 进程关联访问控制_NETRELPROG：指定的进程一

50、旦访问了指定的网络，就将该进程的Pid设置为关联进程Pid,用于为POLICYTYPE_PROGENCRYPT_PID策略提供进程Pid，在访问指定的网络前，该进程可以访问任何网络，但一旦访问了指定网络，该进程不能再访问其它网络，只能访问指定的网络（这时与POLICY_PROGONLYNET类似）。 网络访问控制_ NETONLYBYPROG：网络只能被指定的进程访问，通过该策略可以控制能够访问网络共享等的进程，防止未授权的进程拷贝泄密网络共享等的文件。 进程访问控制_ PROGONLYNET：进程只能访问指定的网络路径，通过该策略控制进程能够访问的网络路径，防止通过该进程将解密的文件传输到网

51、络上。2. 日志控制策略日志控制策略主要对透明加密驱动文件操作类日志类型进行过滤，可以针对日志内容进行日志内容排除、日志内容过滤等控制，如下图所示： 对文件操作类日志类型进行过滤，一旦过滤则该类型日志不执行记录和上传； 可以针对日志内容进行【日志内容排除】、【日志内容过滤】等控制。3. 端口管控策略端口管控策略，用于对计算机端口进行开启或禁用管控。用户根据需要进行选择，最后点击“保存”完成策略设置。4. 文件备份策略对系统造成损坏或者影响用户工作的重要文件，在系统故障时，可通过选择某一版本进行恢复。用户可在客户端手动设置备份同步策略，把用户自身关心的文

52、件备份到远程服务器、其他磁盘或移动设备上。远程备份默认为关闭状态，管理员开启备份功能，设定周期时间，策略即可生效，客户端本地逻辑分区空闲容量低于设定值 5 G时，客户端启动时弹出提示信息。设置界面如下图所示：5. 外发控制策略该模块用来设置外发策略，配置客户端外发工具使用权限，如下图所示： 外发控制策略关闭时，外发工具使用不受控制； 外发工具插入外发key后控制策略才生效 用户需具有外发制作权限，才能使用外发工具。6. 密钥应用策略密钥应用策略用于设置安全策略组多密钥支持，策略下发后，客户端根据设置密钥值，打开对应多个密钥的加密文件。 智能密钥模式用户在打开密文时，

53、客户端自动判断当前加密文件使用密钥，进行文件解密。默认为关闭状态，选择启用后生效。 自选择主密钥用户在打开其他密钥加密文件时，需要通过客户端“切换密钥”功能切换密钥后打开密文。 密钥控制列表用于设置当前策略组应用密钥，策略下发后，客户端可以打开该列表密钥打开的加密文件。7. 存储控制策略该模块用来设置数据存储地址，本处的IP地址是指FTP服务器的IP及端口地址，默认均为本机及默认端口，用户可以根据实际情况自行修改，如下图所示：8. 辅助控制策略该模块控制客户端的菜单栏显示，设定某一项菜单的显示、隐藏。简化客户端菜单的暂时不用栏目，隐藏的栏目只是不显示在客户端菜单栏目

54、上，功能不受任何影响。详细设置项如下图所示： 是否添加加密文件上锁图标，这个设置需要客户端更新策略后注销机器方可生效。 为了防止客户端私自卸载，策略中设置了卸载码策略组管控，客户端卸载时必须输入策略对应的卸载码方可卸载客户端。用户可以自定义卸载码信息。 【冗余时间设置】，为了防止服务端出现异常情况，或者客户端没有申请离线的情况突然离线而采用的一种应急冗余措施。在冗余时间内，客户端对加解密文件可以正常操作。 【工作模式】，本系统更好的体现了人性化操作，在非工作时间允许用户切换到个人模式中，编辑文件，该模式下编辑阅读文件，文件不执行加解密。管理员可以自定义工作模式周期。9. 策略库【

55、策略库】模块提供维护策略的功能。策略库为系统默认配置，禁止修改，提供导入、导出功能。用户新建策略组可以以策略库为基准导入后再做编辑。系统初始化提供默认策略库，基本满足大部分用户需求，也可以自己手动维护，下图是加解密策略的一个示例： 策略库的编辑建议由厂家技术人员操作。3.6.2 签名准入把策略中允许通过的进程以唯一标识码的方式签名通过，防止伪进程造成泄密。 启用签名应用时，驱动判断所有进程的签名值，如果在列表中，即认为是签名信息3.6.3 签名策略库一般与签名准入配合使用，签名策略库主要包括两个功能，第一，防止仿冒进程非法读取加密文档带来的泄密风险，签名策略库与进程签名一起推送到客户端，客户端接收到策略后，对应用软件进程进行真伪鉴别，合法应用可正常访问加密文档，非法应用无法访问加密文档。第二，对于添加到签名策略库中应用软件，开启签名搜集后，客户端不再重复上传应用软件进程。签名策略库默认内置应用软件签名，支持用户自定义，用可以根据实际需要自主添加软件签名。【添加】用于添加应用软件签名，点击“添加”按钮，属于软件名称