2023年亿赛通电子文档安全管理系统V5.0系统管理员使用手册

文档类型：文档编号:亿赛通电子文档安全管理系统V5.0管理员使用手册北京亿赛通科技发展有限责任公司２023年1月目录1. 引言 51.1 编写目的 51.2 系统背景 51.3 术语定义 51.4 参考资料 51.5 版权声明 61.6 最终用户许可协议 6 授权许可 6 知识产权保护 7 有限保证 7 您应保证 82. 软件概述 102.1 软件特性 102.2 CDG功能结构 103. 软件使用说明 113.1 登录 113.2 系统首页 12 修改密码 13 退出 133.3 组织管理 13 用户管理 14 登录管理 20 激活管理 213.4 终端管理 22 终端管理 22 终端统计 24 终端维护 253.5 我的工作台 26 我的流程 26 我的模版 27 我的文档 303.6 策略管理 32 管理策略 32 签名准入 54 签名策略库 54 检测配置 563.7 预警管理 673.8 流程管理 69 表单管理 69 流程模版 703.9 算法管理 73 指纹库管理 733.10 系统维护 75 升级管理 75 数据库管理 76 应用无效进程 763.11 后台配置 773.12 帮助 80引言编写目的本手册指导使用者进行用户管理、业务流程申请与审批管理、文档管理、策略管理、日记管理、终端管理、后台配置等CＤG系统各个模块的业务操作。本手册的使用对象:公司技术支持部、销售部、市场部、测试部和使用(CＤG）系统产品的客户。系统背景系统名称及版本号:亿赛通电子文档安全管理系统V５.0；任务提出者:北京亿赛通科技发展有限责任公司；任务承接者及实行者：北京亿赛通科技发展有限责任公司；系统使用者:使用亿赛通电子文档安全管理系统产品的用户;术语定义CＤG：CｏbraＤocumentGuａrd,文档安全防护。参考资料编写本手册时参考的文档如下：《亿赛通电子文档安全管理系统_需求规格说明书》《亿赛通电子文档安全管理系统_概要设计规格说明书》《亿赛通电子文档安全管理系统_具体设计规格说明书》《亿赛通电子文档安全管理系统_技术白皮书》版权声明本手册以及所提及的数据、图标、名称等信息,所有权皆属于亿赛通公司所有。未得到亿赛通公司的正式许可,任何人或组织均不得以任何手段与形式对本手册内容进行复制、转印和传播。本手册中的内容，亿赛通科技发展有限责任公司拥有最终解释权。最终用户许可协议本许可协议是您与北京亿赛通科技发展有限责任公司之间关于亿赛通软件产品的法律协议。在使用本软件前，您必须批准以下条款和条件以及所附文档中的所有其他条款和条件。假如您不批准此处包含的条款和条件,请不要进行安装或使用。“亿赛通软件产品”涉及计算机软件、光盘、相关的使用说明性材料、电子文档。您假如安装、复制、或以其他方式使用“亿赛通软件产品”，就表达您批准接受本协议各项条款的约束。授权许可亿赛通公司在此授予您使用所附软件和相关文档的非排它的、不可转让的许可,软件程序以及附件文档是亿赛通公司的专有产品,受版权法和现行合用法律的保护。您仅拥有该软件产品的使用权，并不拥有软件自身,亿赛通公司是软件自身的拥有者,并保存这种独家所有权，受中华人民共和国著作权法及国际著作权条约和中国其他知识产权法和其他国际知识产权条约的保护。对一份软件产品,亿赛通公司只授权您在一台电脑上使用,出于备份或档案管理的目的您可以制作该软件副本,但您不可通过任何途径以任何形式将本软件产品分发转让到其他的电脑上使用。假如您需要将本软件产品转让给别人，您必须遵守以下几项规定:您批准将本协议、本软件和与本软件捆绑的所有资料一并转让给别人；您不对任何副本进行留存,涉及电脑上的存储的备份和副本;接受方接受本协议的条款和条件以及您合法购买本软件时接受的任何其他条件和条款。知识产权保护本软件及亿赛通公司授权您制作的任何副本均为亿赛通公司的产品,其知识产权所有归亿赛通公司所有。本软件的结构、组织和代码均为亿赛通公司的有价商业机密信息。本软件受中华人民共和国著作权法、相关国家法律法规以及国际条约条款的保护。您不得在本协议许可的范围之外复制本软件,否则将构成对亿赛通公司知识产权的侵犯。您必须批准决不通过任何方法和途径获取本软件源代码、对本软件进行修改、重新编程、编译、反编译或其他逆向解析。有限保证自购买之日起15天正常使用期限内,传递软件的介质载体和工艺方面无缺损;自收到软件之日起15天内，软件运营良好,但假如因意外事故、滥用、误用导致的软件失败和导致的损失，亿赛通公司不承担任何责任。在此保证亿赛通公司的唯一义务和对您的唯一的补救措施，不管是民事的侵权行为，还是协议、严格的责任或其他方面，都将按照亿赛通公司的选择执行。亿赛通公司不保证软件所包含的功能可以完全满足您的规定,涉及软件操作不会终断或无错误。亿赛通公司对因计算机硬件操作特性的改变以及软件发行后计算机操作系统的改变所引起的问题不负责任，也不负责本软件与其他非亿赛通公司软件因交互作用而出现的问题。由本许可协议、软件、随软件所附的书面材料引起的亿赛通公司的所有补偿金额不超过购买本软件所付的所有金额。除上述保证外,就现行法律允许的最大限度，亿赛通公司或软件的供应商或分销商提供的本软件是没有任何明示或暗示的保证,涉及但不限于为特定目的做出经销和使用的暗示保证。就现行法律允许的最大限度,在任何情况下,亿赛通公司及其分销商或供应商绝不因特殊、偶尔或必然损失承担责任，涉及数据丢失、重新生成已丢失数据的开销、利益或商业信息损失、商业中断或其他经济损失,不管是否已经告知亿赛通公司也许导致此类损失。您应保证在安装和使用亿赛通软件产品之前、以及使用亿赛通软件产品过程中,已经将您电脑使用的所有文献或重要文献保存了备份；按照亿赛通软件产品的使用手册对的地安装和操作亿赛通软件产品，并对其运营情况进行适时监控。本许可协议自您打开包装的密封或使用本软件之日起生效，并且一直有效至协议终止。您可用销毁本软件以及所附书面材料和所有副本的方式随时终止本协议。假如您违反本许可协议的任何条款和条件,本许可协议也将自动终止,不管是何种因素引起使用本软件的终止,您都必须删除并销毁本软件的所有副本以及所提供的所有文档。当亿赛通公司规定期,您必须提供此类销毁的书面证明。除非在亿赛通公司书面签署的情况下，本许可协议不做修改。假如发现本许可协议的任何条款不可行，则按现行法律许可的最大限度解释该条款。亿赛通公司否认与本许可协议的陈述或许诺不同的，或本许可协议的陈述或许诺之外的任何保证、陈述或许诺。阅读并批准本许可协议的条款和条件后，才干使用本软件。假如您对本协议存有疑问,请写信给北京亿赛通科技发展有限责任公司。软件概述软件特性亿赛通电子文档安全管理系统是基于驱动层智能动态加解密技术，通过文档透明加密、文档权限管理、文档外发控制、业务流程申请和审批、融合身份认证、日记审计、终端管理、移动存储设备和系统容灾管理等功能，实现非结构化数据和结构化数据的全面防护;本系统可应用于各个领域和所有客户群。ＣDG功能结构欢迎您使用亿赛通电子文档安全管理系统，它是亿赛通公司推出的基于B/Ｓ和C/S架构的文档安全管理系统，是CDG产品体系中的一种,通过IＥ可以以基于Web的方式来访问ＣＤG系统;亿赛通电子文档安全管理系统Ｂ/S和C／S架构。由客户端软件和服务器构成,结构如下图：在网络中的用户需要安装ＣＤGClｉｅnt客户端软件,并且至少有一台ＣDG服务器提供认证等服务。在ＣDG系统中，用户信息和文献权限信息等存储在数据库中，数据库类型可以选用MSＳQL2023、ＭSSQL2023、MSSQL202３等。软件使用说明登录启动浏览器，在地址栏中输入服务端的IP地址(IP地址+端标语如::8080）,进入服务端欢迎使用界面，表达服务启动正常,如下图所示：在欢迎页面内,点击【进入】按钮,页面跳转到登录界面,如图所示：输入用户ID和密码（用户ID:syｓtemadｍin默认密码：１23456７８），点击登录按钮进入管理平台管理界面。备注：该产品支持本地认证和AD域认证，管理员SｙｓｔemAdmiｎ只支持本地认证。（2）点击“客户端下载”下载客户端安装包,下载前客户端安装包应提前上传到服务器。安装包格式及命名:Ｖ３．８Ｓ_Client.ｒａr安装包途径：C:＼PrograｍFiles(x86)＼ESＡFＥNEＴ\CDoｃＧuardServer＼ｔomｃａｔ（６４）＼wｅbaｐｐｓ\ＣDＧServｅｒ３\clｉｅｎｔinsｔaｌl系统首页【系统首页】功能说明：此模块功能包含：【首页】、【修改密码】、【退出】。对的登录系统，进入到系统的首页，如下图所示:修改密码点击【修改密码】功能按钮，可以修改用户的密码，如下图所示:在【旧密码】输入框内,一方面输入旧密码，然后输入新的密码和确认密码,当点击【保存】按钮时,密码修改成功。在没有点击【保存】按钮之前,当点击【重置】按钮时，所输入的密码信息将会被清空，用户可以重新输入信息。退出在首页中点击右上角【退出】功能按钮时,系统将注销当前登录用户,系统返回到登录页面。组织管理组织管理模块中包含【用户管理】、【登录管理】、【激活管理】模块。内置管理用户，【系统管理员／ｓystemaｄmin】、【安全管理员/ｓｅcａdmin】、【文档管理员／docａdmin】、【日记管理员／logaｄmin】四个账户，除可自主修改密码外,不提供任意属性修改功能;系统内置帐号不占用Licenｃe许可,不提供密码重置、帐号冻结、帐号删除等帐号管理功能，用户管理用户管理功能用于创建数据泄露防护系统用户认证体系及关联用户安全策略,涉及用户组织架构、用户（创建、删除、修改）、选取策略、同步用户(AＤ域）。本地组织架构组织架构栏提供管理员维护组织架构功能，重要包含功能项:【新建】、【修改】、【删除】、【查询】；新建组织架构点击“组织架构”，选择“新建”，输入“名称”后选择保存,完毕新建组织机构。修改组织架构选择要修改的组织架构，点击“修改”按钮,在操作框输入要修改的名称,选择“保存“,完毕组织架构修改。删除组织架构选择要选错的组织机构，点击“删除“按钮，确认提醒框选择”拟定“,完毕组织架构删除。备注:(１）组织架构中包含用户,则无法删除。查询组织架构点击“组织架构“，选择”查询“,输入要查询的组织架构名称,点击”查询按钮“，完毕组织架构查询。ＡＤ域组织架构ＡD域组织架构，同步于客户ＡD域，同步组织架构与AＤ域相同，组织架构和用户的添加、删除、修改，依赖于ＡＤ域。AD域配置（1)登录配置管理页面登录页面,选择“配置”,输入管理员用户名和密码（管理员：ｃoｎfiｇａｄmin默认密码:12３456)(2)选择AD域配置，配置AD域信息根据“AD域配置”页面示例，根据实际情况填写AＤ域信息。连接测试成功后,点击“保存”按钮,完毕AD域配置。组织架构及用户同步用户管理,选择“同步用户”，完毕AD域组织架构及用户同步。在导航栏选择【组织管理】模块,点击【用户管理】子模块,页面跳转到【用户管理】界面。该页面内功能提供管理员维护用户管理，管理员可以完毕同步用户、选取策略、添加用户、删除用户、冻结用户、修改用户属性等功能，如下图所示:添加用户在组织架构中选择一个组，点击【添加用户】按钮，页面切换到添加用户的具体页面内,在相应的标记输入框内输入相关信息,点击【保存】按钮,用户添加成功,如下图所示：删除用户除SystemAdmｉn、Ｓecaｄmin、LｏｇAdmin、Docaｄｍｉn以外其他用户都可以删除。管理员进入要删除用户的【具体设立】页面内，点击【删除帐号】，该用户将删除。组选取策略选中一个组，点击页面内【选取策略】按钮，页面切换到选取策略页面，选中一个策略,点击【保存】按钮,策略选取成功,如下图所示：应用到子组:勾选【应用到该组及其子组内的策略例外用户】功能将设立的策略应用到子组中,子组的每个组和组中的成员都更新为新设立的策略。单个用户添加策略点击用户列表内的【关联策略】,弹出策略选择界面,选中一个策略,点击【保存】按钮，策略选取成功，如下图所示:备注：单个用户添加策略,安全管理员在用户角色中需要为用户分派“策略例外权限”。用户启用用户启用状态默认为:未启用。点击【用户启用】按钮,启用状态由未启用状态自动变换为已启用状态，【用户启用】按钮自动变换为【用户冻结】;点击【用户冻结】按钮,启用状态自动变换为已冻结状态,【用户冻结】按钮再次变换为【用户启用】状态。【未启用】状态表达:该用户为初始状态。【已启用】状态表达:该用户已经启用,可以正常使用。【已冻结】状态表达:该用户已经被冻结,不可用,解冻后可以继续使用，用户的属性不受冻结影响。重置密码用户的密码丢失，管理员可以通过密码重置功能将用户的密码重置到默认密码状态，系统初始化的默认密码是1２3４５678。查询用户在【用户管理】界面,通过【用户ID】、【姓名】、【用户来源】、【认证方式】、【在线状态】、【用户状态】、【关联策略】等查询项，查询相应的用户；可精确查询本组成员，也可模糊查询。登录管理用于控制客户端登录模式以及客户端登录记录管理控制。客户端用户登录模式管理用于控制客户端登录模式，分为手动登录和AD域单点登录。该功能在有多种登录模式时生效,如用户为本地用户只有手动登录模式（即客户端一次需手动登录）。手动登录模式选择手动登录模式,客户端安装后第一次登录需要手动输入账号和密码进行登录。AD单点登录模式选择AD单点登录模式,对于AD域用户，客户端安装后,随操作系统用户单点登录。客户端用户登录记忆管理用于设立在线或离线情况下，客户端登录方式,分为自动登录和手动登录。在线状态登录记忆管理在线状态下，选择自动登录，每次重启电脑后客户端自动登录,选择手动登录，重启电脑后需要用户手动输入用户名密码进行登录。离线状态登录记忆管理在线状态下，选择自动登录，每次重启电脑后客户端自动登录，选择手动登录，重启电脑后需要用户手动输入用户名密码进行登录。激活管理激活管理是针对AD域或其他第三方认证系统同步用户进行统一激活管理,方便用户在批量添加用户的需要。在导航栏选择【组织管理】模块，点击【激活管理】子模块,进入到激活管理页面，如下图所示：左侧的目录树显示为:未激活状态的组／用户;右侧的目录数显示为:已激活状态的组/用户；支持单个用户或者整个组激活，激活后的用户将显示在用户列表,取消激活,用户将从用户列表内删除;用户激活后，在组织管理/用户管理中,【启用状态】默认设立为【未启用】、一旦用户成功登录，【启用状态】将更新为【已启用】；激活用户数量受授权用户数量限制，激活用户数量超过授权数量时会弹出超过授权的提醒。终端管理终端管理是集成通讯平台,控制客户端是否在线以及客户端登录用户的信息。可以与在线客户端建立消息会话,可以针对客户端版本升级、卸载、删除终端等操。可以针对客户端进行离线补时设立及补时码导出功能功能重要涉及:【批量删除】、【升级所有终端】、【批量卸载】、【终端导出】、【终端会话】、【终端补时】、【终端调试】、【终端卸载】、【终端升级】、【终端删除】等功能。在导航栏选择【终端管理】模块，点击【终端管理】，跳转到【终端机器查询】列表页面,如下图所示:终端管理【批量删除】：当客户端处在未使用或者已卸载状态时，管理员点击该【批量删除】按钮，将把列表内终端信息删除。信息删除后，客户端需要再次登录，才可以再次显示在该列表内；【升级所有终端】:批量升级所有客户端的版本,使客户端版本保持版本统一。【批量卸载】：批量卸载所有终端的客户端程序。客户端接受到冒泡告知可以不用输入卸载码就可以卸载客户端；【终端导出】：将终端列表完整属性导出为Exｃｅｌｃsv报表格式。【终端会话】：与在线客户端建立消息会话，可以完毕会话信息推送和客户端显示功能，重要完毕点对点消息推送。选中用户，点击【终端会话】按钮。在消息栏内输入需要发送的消息,点击【发送】,客户端即可接到会话消息信息，如下图所示：【终端补时】:客户端终端离线时间到期，管理员通过终端补时功能延长终端离线时间。点击【终端补时】,设立离线时间,生成离线补时文献，下载后发送给客户端，导入后即可延续离线时间。生成补时文献页面如下图所示：【终端调试】:是指可以针对客户端进行调试控制，如【客户端全模块关闭】、【仅客户端控制台关闭】、【仅客户端驱动关闭】等，实现客户端运维调试管理,如下图所示：【终端卸载】：卸载指定终端的客户端程序。该【卸载】功能等于直接审批终端卸载,客户端接受到冒泡告知可以不用输入卸载码就可以卸载客户端;【终端删除】：是指把终端信息列表内的信息从列表内删除。【终端升级】:点击【升级】按钮可以针对选中客户端进行升级；终端记录终端记录功能，采用记录图表方式对终端进行记录，一目了然的显示所属终端、在线终端、客户端版本等信息;可将记录图表导出为Eｘcel报表。【客户端在线记录】：客户端在线用户数进行记录：【终端总数】、【在线终端数】、【离线终端数】记录图表,如下图所示:【客户端版本记录】：针对客户端版本进行记录:【终端总数】、【版本终端数】、【版本终端数】记录图表，如下图所示：【客户端操作系统版本记录】：针对客户端操作系统版本进行记录:【终端总数】、【操作系统版本终端数】、【操作系统版本终端数】记录图表,如下图所示：终端维护终端维护功能，实现对客户端冗余记录的自动维护，设立终端维护任务自动执行日期，设立终端维护任务自动执行目的，如定期清理连续10天未在线的冗余终端记录。终端数目预警机制提醒等功能。在导航栏选择【终端管理】模块,点击【终端维护】,页面跳转到【终端维护】页面内，如下图所示:一旦成功执行终端维护任务，将触发预警功能，系统自动对管理员发送终端维护日记;当剩余Liｃencｅ数量低于5个时,每新增长一条终端Ｌicenｃｅ记录,将触发预警功能，系统自动对管理员发送Liｃence容量预警日记，提醒管理员执行Lｉｃenｃe管理。我的工作台我的工作台模块中包含【我的流程】、【我的模版】、【我的文档】三个个模块。实现对电子流表单的集中化管控;模版的定制和使用；权限文献的分发及管理；我的流程流程审批平台，实现对电子流表单的集中化管控；采用表单管控原则,提供【我的申请】、【我的待办】和【我的已办】等模块功能。记录当前用户所提交的所有电子流申请，采用电子流任务列表方式进行管理;审批范围包含：【文档解密流程】、【文档还原流程】、【文档外发流程】、【邮件外发流程】、【离线办公流程】、【权限申请流程】等在导航栏选择【我的工作台】模块，点击【我的申请】,页面跳转到审批列表页面内,如下图所示:【我的申请】：用户本人提交的申请表单；【我的待办】：只有审批员才干在此列表内看到信息,表内的信息为其他用户提交的申请流程表单。【流程明细】页面,可以完整显示该流程任务明细；‘【流程审批执行】包含:【通过，流程自动执行】、【通过,强制结束本级流程】、【通过，强制流程终止】、【退回,强制流程终止】。不同的申请流程表单稍有不同，本处以离线申请为例，如下图所示：【我的已办】:用户作为审批员审批过的表单信息；我的模版权限模板:已经选定了用户、组并给用户、组授予一定的权限,在用户制作权限文献的时候，用户只需选择一个或者多个权限模板,可以完毕一种授权模式。用户每次制作权限文献,需要把这个文献授予特定的用户、组时，应用权限模板可以快速便捷的完毕授权。【添加权限模板】在导航栏选择【我的工作台】模块,点击【我的模版】,跳转到【模版列表】界面,如下图所示：点击【添加】按钮，进入到【添加权限模板】界面，在【模板名称】中输入名称,【权限模板描述】中输入模板描述,选择【机密等级】。点击【保存】后，权限模板添加成功，如下图所示:【删除权限模板】:点击操作栏中的删除按钮，选定权限模板即被删除,如下图所示：【修改权限模板】：点击【操作】列的修改按钮，修改权限模板的信息，点击【保存】后权限模板修改成功，页面返回到权限模板界面。如图所示,【添加授权对象】：选中模版,点击【操作】列的【添加授权对象】按钮,进入到添加授权对象页面。在添加授权对象页面，点击【添加授权对象】按钮,页面跳转到选择用户的列表中。选择用户、组，点击【添加】按钮,完毕用户添加。如下图所示:选定的用户进入到权限模板列表内，管理员可以修改选定用户的权限,如下图所示:假如要设立该用户的具体权限,点击【具体】按钮，可以设立该用户对权限文献的只读次数、起始时间、截止时间，具体情况见下图:我的文档【收件箱】：用户可看到自己具有权限的权限文献。涉及其它人员给该用户授权的权限文献。在导航栏选择【我的工作台】模块,点击【我的文档】,跳转到【我的文档】界面,如下图所示:选择文献，单击【再授权】，进入再授权界面,可查看文献的授权信息。单击【详情】,可查看文献的相关信息。单击【下载】，可对已上传文献进行下载。【发件箱】:用户自己制作的权限文献收集在该文献箱中。用户在客户端制作的权限文献，可在发件箱中查看及进行再授权操作。在导航栏选择【我的工作台】模块，点击【我的文档】，跳转到【我的文档】界面，如下图所示：点击操作列的【再授权】，进入授权界面，可以给用户再授权。单击操作列的【详情】按钮，可以查看文献的相关信息。点击操作列的【下载】按钮可以下载用户上传的文献,如下图所示：点击操作列的【生命周期】,可以设立文档的生命周期,如下图所示：【权限缓存】是用户在脱机情况下对文献的操作模式,涉及打开次数、打开时长。点击操作列的【权限缓存】,可以针对该文献进行设立打开次数、打开时长,如下图所示：策略管理管理策略策略管理模块用以创建、维护策略组。策略组是用来管理控制用户文献类型、制作CDG格式、安全策略等的模块。每个策略组包含【策略推送控制】、【加密控制策略】、【安全增强策略】、【内容安全策略】、【水印控制策略】、【权限控制策略】、【邮件控制策略】、【打印控制策略】、【网络控制策略】、【日记控制策略】、【文献备份策略】、【外发控制策略】、【存储控制策略】、【辅助控制策略】、【策略库】等项目。安全策略组导入导出安全策略组导入导出用于导入和导出安全策略组。使用方法如下:安全策略组导出安全策略组中，选取要导出的策略组导出策略在操作框，选择“导出”按钮,导出策略组。安全策略组导入选择策略组导入位置,点击导入选取策略组,点击“提交”,导入策略备注:导入策略时,可以选择“安全策略组”或具体的策略组进行策略导入。选择“安全策略组”导入策略时，会生成一个新的策略组（如有重名策略组无法导入）,选择“具体策略组”导入策略时,会在现有策略组上进行策略导入(如有重名策略则无法导入)。原则上建议导入策略时不能有重名。策略推送控制策略推送控制：通过策略积极推送的方式下发策略信息，确认客户端执行策略情况，保证执行策略的准确性，如下图所示:策略推送控制,点击【策略推送】时方才下发策略，推送方式采用【立即生效】、【重启后生效】两种方式，策略推送只能按策略组推送。推送策略的同时重置【策略更新状态】为NO，客户端获取到策略后，【策略更新状态】自动更新为Yes，同时更新末次更新时间。当策略更新状态显示为Yes状态,表达客户端已经获取到策略。策略关联列表内显示的用户,为使用该策略组的用户。加密控制策略加解密控制策略,重要用于设立应用软件对文献的加密、解密，该策略的核心是安全策略，安全策略的设立不仅影响是否能满足客户的需要，并且对系统性能的影响也比较大,对的设立安全策略是动态加解密应用的关键。历史数据初始化用于对历史数据或全盘数据进行批量加密或解密，该功能默认为关闭状态,根据应用需要选择或填写初始化类型、文献类型设立、任务执行设立,最后点击“保存”按钮完毕策略设立，策略推送后终端生效。进程署名配置用于署名进程收集和进程署名应用,防止伪造进程非法读取密文数据。署名收集:默认关闭，启动后客户端会自动搜集加解密策略中相应进程信息,并上传到服务器。署名应用:应用进程署名控制。策略推送后，进程署名策略生效。透明加解密策略设立透明加解密策略，是整个软件策略核心,该策略设立关乎到整个系统是否平稳运营。一条完整加解密策略涉及策略名称、策略描述、策略类别、策略密钥、关联类型、关联程序六部分组成，具体如下:、策略名称本条策略命名，一般与应用软件名称保持相同。策略描述对本条策略设立内容进行具体描述,可不填写。策略类别用于设立驱动加解密方式，一般根据安全保护需求进行灵活设立。透明加解密_标准加解密关联程序操作的文献,符合该策略的文献被关联程序读写时将被加解密落地加密策略跟踪新建的指定类型的文献，加密所有的或指定进程新建的与策略匹配途径匹配的文献。删除备份策略通过该策略备份被删除的指定类型的文献,该策略只有在文献被删除时才进行备份。。文献例外策略放过策略匹配途径中的文献透明加解密_子进程除加解密关联进程操作的文献外,还加解密关联进程的子进程操作的文献透明加解密_半透明用于打开本地加密文献,而本地明文不强制加密透明加解密_网络重要是用来网络进程上传和下载精保证护,传输文献为主，一般不是文献编辑程序HOOＫ例外策略放过策略匹配途径中的DＬＬ,允许这些ＤＬL注入到关联进程中进程例外策略放过策略匹配途径中的进程名,允许这些进程访问已经打开的解密文献，可用于存放杀毒软件等。落地解密策略自动解密所有的或指定进程与策略匹配途径匹配的文献策略导入导出用来对加解密策略进行导入导出，在进行策略导入时，假如导入策略名称与当前策略中名称相同,导入时不进行覆盖,维持当前策略状态。每一个策略组只能选择一个密钥，根据加解密策略不同在添加策略时注意顺序(CDG策略需要放在动态加解密策略前)。历史数据初始化，策略执行完毕后,应及时关闭，避免反复执行。策略的顺序非常重要，匹配的原则是:从上到下优先匹配，假如一条策略没有匹配成功，则继续匹配下一条策略,直到匹配成功或所有策略均已匹配完毕。策略列表内的顺序可以点击策略排序栏的降级、提高来调整。智能加密策略该功能模块重要用于配置智能加密策略，通过配置敏感内容检测规则,下发到客户端后,客户端根据敏感内容检测规则对文档进行智能辨认，从而实现包含敏感数据内容文档自动加密;智能加密策略涉及智能加密启动与关闭、基础配置、ＤＬP策略三部分，各部分操作与说明如下:智能加密启动与关闭该项配置用于设立智能加密功能启动与关闭,智能加密功能默认为“关闭”状态。启动:启用智能加密功能;关闭:关闭智能加密功能；注意事项：智能加密功能默认为关闭状态,未启动状态下功能不生效；智能加密当前版本重要合用于办公楼文档，如OＦFIＣＥ/ＰDＦ/WPS；基础配置策略列表基础配置策略,重要用于设立智能加密方式、文献分类(全盘扫描文献类型）、全盘（历史数据）扫描、文献变动监控配置；基础配置策略根据实际需求选择,配置详情请参照“检测规则”中的“基础配置”。注意事项:基础配置策略涉及智能加密方式、全盘(历史数据）扫描文献类型及启动、文献变动监控,请根据实际需要做好选择，负责会影响智能加密效果。如不设立文献变动监控,新建文档包含敏感数据时不会不加密等;DLP策略ＤLP策略重要为文档内容检测规则,客户端内容辨认引擎根据这些检测规则进行内容辨认与匹配,对陪陪规则的敏感数据文档自动加密；一条策略组(智能加密策略）可以包含一条检测规则或多条检测规则,根据实际需要勾选相应策略即可;注意事项:（1)ＤＬP策略列表中的检测规则来源于“检测配置”中的策略列表，配置DLP策略前,请先在“检测配置”中设立好相应的检测规则策略。安全增强策略安全增强策略可以控制用户在注销状态以及异常脱机状态的使用控制;控制文献、注册表的使用;控制文献的内容过滤以及应用加固，更全面的适应用户的使用习惯,如下图所示:访问控制策略由策略类型、控制类型和策略、策略匹配途径(注册表键值匹配名称和注册表匹配项名称)几部分组成。访问策略策略与具体的进程无关，在用户注销后不加密不解密模式,不影响用户的正常使用,但是存在泄密风险；在用户注销后只加密不解密模式,驱动将不再解密任何加密文献，这种解决方式虽然可以防止泄密，但也存在坏文献的风险；在用户注销后只读\严禁保存模式，关联进程可以打开受保护的文献,但驱动不会解密,同时也严禁保存操作。在用户保存文献后会引起“延迟缓冲写入失败”的系统错误提醒。内容安全策略内容安全策略可以设立辅助的应用安全模块，系统中提供六种应用安全模块，【拷贝控制】、【拖拽控制】、【另存为控制】、【插入控制】、【连接控制】、【截屏控制】,每项内容安全控制均提供开关式控制机制，如下图所示:【例外设立】详解如下:【拷贝控制】:关联进程拷贝控制例外设立：【关联进程内容拷贝至其他任意进程时均不受控】；非关联进程拷贝控制例外设立：【关联进程内容拷贝至该非关联进程时不受控】；上述控制基础上，均可设立允许拷贝字节数控制,默认任意字节。【拖拽控制】:关联进程拖拽控制例外设立：【关联进程内容拖拽至其他任意进程时均不受控】;非关联进程拖拽控制例外设立:【关联进程内容拖拽至该非关联进程时不受控】;【另存控制】：关联进程另存控制例外设立:【关联进程执行另存时客户端不强制加密控制】；【插入控制】:关联进程插入控制例外设立:【关联进程执行对象插入或被插入时均不受控】；非关联进程插入控制例外设立:【非关联进程执行对象插入或被插入时均不受控】；【连接控制】:关联进程连接控制例外设立:【关联进程执行网络连接时不受控】。【截屏控制】：【截屏控制】一旦启动,默认所有截屏软件均严禁截屏。截屏白名单设立:【白名单内截屏软件允许截屏】;截屏黑名单设立：【黑名单内截屏软件严禁启动】;水印控制策略用于设立文档水印内容，对于SｍarｔSec、DRM模块支持阅读浮水印和打印浮水印，,其中阅读水印支持屏幕水印和文档水印,打印水印分为可视水印和盲水印。应用模块用于设立水印控制启用模块,根据应用需求进行勾选,水印应用模块选择，最后点击“保存”按钮完毕设立。阅读浮水印用于设立文档阅读水印，支持屏幕水印和文档水印，根据需求进行选择即可。阅读模式每个策略组只能启用一种。最后点击“保存”按钮完毕设立。针对水印显示位置,提供5个坐标点设立功能、每一个坐标点水印内容、水印深浅度都可以具体设立,每一个坐标点均提供【默认内容】和【自定义内容】配置功能。提供文字、图片两种格式；打印浮水印用于设立文档打印水印,水印格式支持可视水印和盲水印。针对水印显示位置，提供５个坐标点设立功能、每一个坐标点水印内容、水印深浅度都可以具体设立,每一个坐标点均提供【默认内容】和【自定义内容】配置功能。提供文字、图片两种格式；图片及深浅度设立,0值表达最深，255表达最浅；上传不能超过50KB的bmp图片,文献物理途径不能超过253个字符；字体设立请不要过大,超过５0会超过边界；备注：盲水印功能默认不启用,如需启用请参照特殊功能产品配置手册。权限控制策略权限控制策略,针对关联进程制作成权限文献,赋予用户的控制类型以及安全类别做一定的限制;指定可以制作权限文献的类型,控制用户对权限问价的操作范围和时间，界面如下图所示:【权限文献类型】权限文献支持类型;【权限控制类型】【只读】、【打印】、【修改】、【复制】权限，默认为勾选，不可修改;【内容安全类型】【拷贝控制】、【拖拽控制】、【另存控制】、【插入控制】、【截屏控制】、【连接控制】等，默认所有勾选状态,不可修改；邮件控制策略邮件控制策略是为了防止通过邮件通信功能,发送密文而导致泄密,而采用的一种有效策略控制;策略中可以控制邮件源地址、目的地址白名单;邮件发送审批附件查看等机制;如下图所示：【邮件白名单设立区】，分别设立源地址和目的地址白名单。源地址：发件人地址。目的地址:收件人地址。【邮件审批设立区】，针对【SMTP】协议进行邮件审批启用控制。【邮件审计设立区】，仅支持对【SMTP】协议邮件进行完整审计。三个控制区均可独立及组合执行,所有邮件均可审计;当【用户角色】中具有特权权限【邮件自解密权限】时,系统仅执行邮件审计控制。打印控制策略打印黑白名单管理、打印审计,该模块分为两个控制区，第一个为【打印权限设立区】,分别对【虚拟打印】、【物理打印】进行允许/严禁控制;第二个为【打印审批设立区】，针对【物理打印】启用是否执行审批控制；如下图所示：打印审计为独立控制体系，只要执行成果【物理打印】均可审计；执行【物理】和【虚拟】打印时需校验水印控制策略，如启动【打印水印】,则需根据水印策略内容完毕水印装填。网络控制策略该模块是控制应用准入策略配置。通过配置终端应用程序、服务器端口以及地址之间关系,实现对客户端非法访问、用户仿冒服务器等一些非法操作,进行有效访问阻断，达成控制非法访问服务器的目的。网络控制策略包含:网络准入控制策略、网络访问控制策略、LinuxSVN网络控制策略,如下图所示:【TDI网络准入控制】、【基于Linuｘ版本控制策略区】协议类型支持TCP；执行动作包含：Ｄeｎied、Pass、Proｘｙ、Transｆer四个选项；所有进程在控制范围内都执行当前规则；定义IP地址作用区间，结束地址必须大于等于开始地址，假如地址相等则只对当前地址有效。格式：ｘｘx．xxx．xxx.xxx,xｘｘ为0到255之间的ＡSＣＩI字符;‘*’表达所有ＩＰ地址区间，等同于F|0.０.0.０|２５5,用‘*’号表达，而不是{*|*}或者{F|*|*}。定义端口地址作用区间,结束端口必须大于等于开始端口，假如端口地址相等则只对当前端口有效。格式0到655３5之间的ASCII字符。【ＮDIS网络访问控制】该策略控制进程可以访问的网络途径，防止通过该进程将解密的文献传输到网络上；控制访问网络共享；访问指定的网络；控制进程不可以访问的网络途径，防止通过该网络途径进行破解等功能，该控制策略需要驱动做支撑，功能界面如下图所示：进程访问控制_PROＧNONET:进程不能访问指定的网络途径,通过该策略可以控制进程不可以访问的网络途径，防止通过该网络途径进行破解进程网络访问控制＿PROGＮET:进程与网络途径一一相应，是POLICY_ＰRＯＧONLYNEＴ策略与PＯＬICY＿NETＯNLYBYＰROG策略的并集。进程关联访问控制_NETREＬＰROG：指定的进程一旦访问了指定的网络,就将该进程的Pid设立为关联进程Pid,用于为POＬICYTYPE＿PRＯGENＣRYPT＿ＰIＤ策略提供进程Ｐiｄ,在访问指定的网络前，该进程可以访问任何网络,但一旦访问了指定网络,该进程不能再访问其它网络,只能访问指定的网络(这时与POＬICY_PROGONLYNＥT类似）。网络访问控制＿NＥTONLYBＹPＲOG:网络只能被指定的进程访问,通过该策略可以控制可以访问网络共享等的进程,防止未授权的进程拷贝泄密网络共享等的文献。进程访问控制_PROGOＮＬYNET:进程只能访问指定的网络途径，通过该策略控制进程可以访问的网络途径,防止通过该进程将解密的文献传输到网络上。日记控制策略日记控制策略重要对透明加密驱动文献操作类日记类型进行过滤，可以针对日记内容进行日记内容排除、日记内容过滤等控制,如下图所示:对文献操作类日记类型进行过滤,一旦过滤则该类型日记不执行记录和上传；可以针对日记内容进行【日记内容排除】、【日记内容过滤】等控制。端口管控策略端口管控策略，用于对计算机端口进行启动或禁用管控。用户根据需要进行选择,最后点击“保存”完毕策略设立。文献备份策略对系统导致损坏或者影响用户工作的重要文献,在系统故障时，可通过选择某一版本进行恢复。用户可在客户端手动设立备份同步策略,把用户自身关心的文献备份到远程服务器、其他磁盘或移动设备上。远程备份默认为关闭状态,管理员启动备份功能,设定周期时间，策略即可生效,客户端本地逻辑分区空闲容量低于设定值５Ｇ时,客户端启动时弹出提醒信息。设立界面如下图所示:外发控制策略该模块用来设立外发策略，配置客户端外发工具使用权限，如下图所示：外发控制策略关闭时，外发工具使用不受控制；外发工具插入外发kｅｙ后控制策略才生效用户需具有外发制作权限，才干使用外发工具。密钥应用策略密钥应用策略用于设立安全策略组多密钥支持,策略下发后,客户端根据设立密钥值,打开相应多个密钥的加密文献。智能密钥模式用户在打开密文时，客户端自动判断当前加密文献使用密钥,进行文献解密。默认为关闭状态，选择启用后生效。自选择主密钥用户在打开其他密钥加密文献时,需要通过客户端“切换密钥”功能切换密钥后打开密文。密钥控制列表用于设立当前策略组应用密钥，策略下发后,客户端可以打开该列表密钥打开的加密文献。存储控制策略该模块用来设立数据存储地址，本处的IP地址是指FTP服务器的IP及端口地址，默认均为本机及默认端口，用户可以根据实际情况自行修改,如下图所示:辅助控制策略该模块控制客户端的菜单栏显示，设定某一项菜单的显示、隐藏。简化客户端菜单的暂时不用栏目，隐藏的栏目只是不显示在客户端菜单栏目上，功能不受任何影响。具体设立项如下图所示：是否添加加密文献上锁图标，这个设立需要客户端更新策略后注销机器方可生效。为了防止客户端私自卸载，策略中设立了卸载码策略组管控,客户端卸载时必须输入策略相应的卸载码方可卸载客户端。用户可以自定义卸载码信息。【冗余时间设立】,为了防止服务端出现异常情况,或者客户端没有申请离线的情况忽然离线而采用的一种应急冗余措施。在冗余时间内，客户端对加解密文献可以正常操作。【工作模式】,本系统更好的体现了人性化操作，在非工作时间允许用户切换到个人模式中，编辑文献,该模式下编辑阅读文献，文献不执行加解密。管理员可以自定义工作模式周期。策略库【策略库】模块提供维护策略的功能。策略库为系统默认配置,严禁修改,提供导入、导出功能。用户新建策略组可以以策略库为基准导入后再做编辑。系统初始化提供默认策略库,基本满足大部分用户需求,也可以自己手动维护，下图是加解密策略的一个示例：策略库的编辑建议由厂家技术人员操作。署名准入把策略中允许通过的进程以唯一标记码的方式署名通过，防止伪进程导致泄密。启用署名应用时，驱动判断所有进程的署名值,假如在列表中,即认为是署名信息署名策略库一般与署名准入配合使用,署名策略库重要涉及两个功能，第一,防止仿冒进程非法读取加密文档带来的泄密风险,署名策略库与进程署名一起推送到客户端，客户端接受到策略后,相应用软件进程进行真伪鉴别，合法应用可正常访问加密文档，非法应用无法访问加密文档。第二,对于添加到署名策略库中应用软件，启动署名搜集后,客户端不再反复上传应用软件进程。署名策略库默认内置应用软件署名，支持用户自定义,用可以根据实际需要自主添加软件署名。【添加】用于添加应用软件署名，点击“添加”按钮，属于软件名称和署名关键字后,点击“添加”完毕新增软件署名。备注：软件名称用户自定义,署名关键字指的是应用软件署名人信息中的名称，如图所示(Offiｃe署名关键字):【删除】用于删除应用软件署名。点击删除按钮，系统会提醒“是否删除”,选择“是”，则删除软件署名。检测配置检测配置功能用于设立智能加密检测策略,一条完整的智能加密策略涉及DLＰ策略(策略列表）和基础配置两部分，一条DLＰ策略由检测规则组和响应规则组成，一条检测检测规则组由一条检测规则或多条检测规则组成，检测规则是智能加密策略的基本组成单元。备注：(1）ＤLP策略包含一条检测规则组或多条检测规则组，可实现检测规则直接“或”的关系；(2)检测规则组包含一条检测规则或多条检测规则，可实现检测检测规则“与”的关系;检测规则管理检测规则管理用于设立敏感内容检测项，是智能加密策略的基本组成单元；敏感数据监测规则涉及“正则表达式”、“关键字”、“文献属性”、“文档指纹”四种检测规则，用户根据敏感数据内容特性选择相应的检测规则。检测规则管理涉及规则的“新增”、“编辑”、“删除”、“查询”四项功能,具体操作如下：新增以下以“关键字”为例进行操作说明;点击“新增”,填写检测规则名称和选择“检测规则”;设立辨认关键字内容说明：完全匹配:辨认出的敏感内容与设立内容一致；非完全匹配：即模糊匹配，例如“核心中国机密”,虽然中间插入“中国”，但也辨认为敏感数据;非完全匹配插入内容长度为1０字节;为辨认内容;关键字对：用于使用多个关键字组合，实现敏感内容辨认；点击“拟定”，完毕一条检测规则设立；备注：检测规则编辑、删除、查询功能使用简朴,本说明书不做具体说明;检测规则组管理检测规则组用于设立使用多种检测规则对敏感数据文档辨认规则,即“与”的关系。一条检测规则组可以包含一条或多条检测规则,检测规则组涉及新增、编辑、删除、查询四项功能,其中编辑、删除、查询功能使用简朴，本文档不进行操作说明,重点介绍如何新增一条检测规则组：点击新增,设立检测规则组名称;检测规则组名称,一般根据要辨认的文档类别选择。点击“添加规则”，勾选检测规则，选择完毕后，点击“拟定”按钮设立检测规则组匹配阈值；点击“规则阈值”列，根据实际情况设立阈值；完毕以上设立后,点击“拟定”按钮完毕检测规则组设立;响应规则管理响应规则管理,用于设立匹配到检测规则的敏感数据的响应动作，智能加密中，响应规则只有”文献加密“一种，该部分不需要设立;策略列表策略列表,用于设立敏感数据智能加密的辨认规则，一条策略由检测规则组和响应规则组成,包含一条检测规则组或多条检测规则组。其他功能操作简朴,本文档不进行说明,重点对新增策略进行操作说明,具体如下：(１）设立策略基本信息，涉及策略名称、优先级、严重性等级、策略描述；策略基础配置中,策略名称、优先级、严重性等级为必填项，设立完毕后点击“下一步”按钮;（2）添加检测规则组点击“添加规则组”，勾选检测规则组;选择完毕后，点击“拟定”按钮,完毕检测规则组选择;（3）设立”例外检测规则组”点击”下一步“按钮，设立“例外检测规则组”，例外规则组添加与检测规则及检测规则组操作基本相同，本部分不再进行说明；（4）设立“响应规则”点击“下一步”按钮,设立相应规则;选择“添加响应规则”按钮,勾选“响应规则”勾选完毕后，点击“确认”按钮完毕响应规则选择;最后,点击“拟定”按钮，即可完毕一条策略添加设立；基础配置基础配置，用于设立智能加密策略基础项设立,涉及“加密方式”、“全盘扫描文献类型”、“全盘扫描开关”、“文献变动监控”；【基础项说明】（1)加密方式加密方式用于设立客户端加密方式,涉及通用扫描加密和编辑加密两种加密方式,其他加密方式作为扩展项保存,暂不生效;通用扫描加密:实现全盘历史数据初始化扫描辨认加密；编辑加密：实现文档编辑保存时,对内容进行辨认加密;注意事项:基础配置根据需要必须加密方式，负责智能加密不生效；(2)文献类型文献类型，用于设立历史数据全盘扫描文献类型，智能加密本版本仅支持Oｆficｅ、WＰS、PＤF类型文档；（3）通过扫描开关配置通用扫描开关:用于启动历史数据全盘扫描功能;文献变动监控检测开关:用于启动文档监控，启动辨认引擎进行敏感数据检测与辨认；【操作说明】(1）点击“新增”,设立配置项名称及选择基础配置项;(2)以上设立完毕后,点击“保存”按钮，完毕基础策略配置设立；预警管理针对【流程审核】、【数据使用】等方面执行风险预警。Ｅmａil告知/终端消息告知，如下图所示：【流程审核】预警设立包含：文档解密流程违规预警、文档还原流程违规预警、文档外发流程违规预警、权限申请流程违规预警、邮件解密流程违规预警、离线申请流程违规预警等设立项,预警频率都为实时,如下图所示：【数据使用】预警设立包含：流程解密预警、外发制作预警、特权解密预警、特权还原预警、特权打印预警、特权邮件预警,预警频率都为实时,如下图所示：一旦触发风险预警，系统自动发送管理员预警告知；数据使用预警以天为计算单位,天天最多触发一次预警告知;【预警员的添加、删除】点击【预警管理】页面内的【预警冒泡、邮件人员设立】行的【具体信息】，页面切换到预警员列表页面,如下图所示：点击【添加】按钮,在用户列表内点击【操作】列的添加链接。【添加】链接文字,转换为【已是预警员】,表达预警员设立成功。如下图所示:流程管理表单管理表单管理,内容式样支持查看，表单列表包含：【文档解密流程表单】、【文档还原流程表单】、【文档外发流程表单】、【邮件外发流程表单】、【离线办公流程表单】、【权限申请流程表单】等流程模版优化流程管理模块,支持业务流程模板,系统默认给与了六个流程模版;默认一级审批员为系统管理员,用户可以自行修改。在导航栏选择【流程管理】模块