电子文档安全管理系统使用手册

1、文档安全管理系统用户手册目 录一、系统初始化41.1.组织机构定义41.2.客户端定义51.3.员工帐户定义51.4.密钥创建6二、分配用户角色72.1.角色定义72.2.分配系统操作员角色82.3.分配审计员角色92.4.分配审批员角色102.5.分配普通用户10三、审批流程配置113.1定义流程类型113.2定义表单123.3定义工作流程13四、策略配置134.1.应用策略144.2.进程策略154.3.通信策略164.4.终端策略174.5.补丁分发174.6.策略备份18五、策略的查看与管理185.1.用户策略的查看185.2.策略的修改20六、监控管理21七、系统管理217.1.权限

2、管理217.2.辅助功能247.3.系统参数247.4.菜单维护24八、文档管理258.1.客户端文档授权258.2.集中存储文件268.3.上传文件授权278.4.授权文件权限回收27九、申请流程操作289.1.文档外发289.2.文档解密319.3.计算机离线32十、审计管理3310.1.安全日志3310.2.管理员日志3410.3.审计日志3410.4.流程审计日志3410.5.U盘日志34十一、系统管理员操作手册39 文档安全管理系统是基于角色的一种管理方式，不同的角色赋予不同权限因此系统初始化首先需要对管理系统的角色做初始化配置。系统默认角色有：系统管理员（用户名：superadmi

3、n,密码：superadmin）：u 定义系统角色并给员工分配角色u 设置分级管理权限系统操作员（用户名：，密码：）： u 建立企业组织架构将员工和客户端及帐户做对应信息绑定u 给企业员工设置管理策略u 设置申请表单、审批流程审计管理员（用户名：，密码：）：u 审计管理员、审批员、U盘操作日志审批员：u 负责系统审批流转环节中文档的审批工作u 酷卫士文档安全管理系统是对本地计算机存储文档做加密保护，经加密的文档脱离本地计算机及网络环境后不能正常使用，因为文档需要流转或计算机需要外出需经审批流程，经相关审批员同意后文档可正常使用。该系统需审批的环节包括：内部文档授权、文档解密、文档外出、计算机离

4、线。普通用户：u 设置授权文件u 申请文档外出、文档解密、计算机离线系统角色定义灵活、方便可根据客户需求新增不同权限的不同角色。一、 系统初始化酷卫士文档安全管理系统采用B/S的管理模式，服务器占有8091端口。登陆服务器网址为：http;/（服务器IP地址）:8091/security。系统初始化需默认【系统操作员】用户登陆系统做信息初始化。1.1. 组织机构定义组织机构定义是创建系统中员工基本信息，当员工和帐号创建后需将该员工安装代理的计算机IP地址做相应绑定，员工、帐号、IP地址绑定后就可对该员工的计算机下发相应的加密保护策略。l 增加公司、部门、员工u 业务流程组织机构增加下级增加公司

5、、部门、员工保存u 操作明细默认系统管理员（superadmin）登陆(密码默认和用户名一样)，点击【组织机构】，在部门管理集团公司弹出如下界面： 增加下级：可增加公司部门、员工详细信息。 选择下级：定位鼠标到选择下级的位置 下级排序：可将新建部门、员工调整顺序 修改：修改部门、员工信息 删除：删除部门、员工信息。部门下没有员工时才可以对部门删除。1.2. 客户端定义安装文档安全管理系统客户端的IP地址会自动提交到服务器端，系统管理员需新建客户端将IP地址和员工信息绑定，对本地文档加密就可通过给IP对于的员工下发策略来实现。l 增加客户端u 业务流程系统管理员（登陆）监控管理增加客户端保存u

6、操作明细点击【监控管理】在部门右键增加下级，选择客户端，弹出如下界面：注：姓名/名称：该字段建议与组织机构中员工名称相同IP地址：系统会搜索已装代理端计算机IP地址，选择该员工所属IP地址负责人：选择组织机构中员工的真实名称密级：1.3. 员工帐户定义创建员工后需建一个帐号作为系统识别该用户的唯一标识，也是该用户登陆系统的用户名。l 增加帐户u 业务流程系统管理用户管理右键增加用户创建点击【系统管理】选择用户管理，弹出如下界面： 增加用户：帐号是系统唯一识别的标识注：帐户：是做为员工登陆系统的唯一标识，每个帐户对应一个员工的真实信息中文名称：从组织机构中选择员工名称密码：登陆系统的密码安全级别

7、：允许创建的最大会话数：该用户可以同时登录该系统的数目。该处填写的是大于等于-1的整数，其中填入-1表示最大会话数的个数不受限制，可以是任意多个会话数状态：用户登录设定的次数失败后，即锁定用户，用户无法登录，需要找管理员解锁 修改： 变更所属部门1.4. 密钥创建酷卫士文档安全管理系统通过对不同部门设置不同密钥来防止部门、单机之间通过网络或其它方式互访文件。只有机器的密钥相同且下发相同策略的计算机才可互访文件。江民科技酷卫士文档管理系统支持企业级密钥、部门级密钥、单机密钥，可根据企业的管理要求设置不同级别的密钥。l 业务流程n 密钥管理增加密钥密钥备份l 操作明细默认系统管理员登陆，点击【密钥

8、管理】，弹出如下界面：u 增加密钥 增加：定义密钥名称，系统会随机生成密钥，密钥长度为256位 修改：修改密钥名称。 删除：删除新建密钥u 密钥备份：可将密钥导入、导出。二、 分配用户角色系统初始化完成后【系统管理员】登陆系统分配角色。系统默认的角色有：系统管理员、审批员、审计员，普通用户。不同角色有不同的操作权限，对于管理员和审计员可设置管理范围实现分级管理的管理模式。2.1. 角色定义l 业务流程：n 系统管理角色管理角色列表（右键）增加角色l 操作明细点击【增加角色】，即可进入角色增加界面如下图所示，填写角色名称u 定义新增加角色的基本信息在定义角色的基本信息中输入“角色名称”和“角色业

9、务含义”，“是否系统管理员”可以由用户自己选择，若是系统管理员则在后面的方框中点击一下出现对号即可，若不选择系统默认不是系统管理员。u 定义新增加角色的继承的角色点击中间定义角色一栏中的【角色】，此时会出现为角色授予已有角色的界面。用户此时可以将系统中已经存在的角色授予新增加的角色，具体操作方法是：在可用角色中选中将要授予新增加角色的角色，然后鼠标点击界面中间中最上方的一个按钮即可（该操作也可以通过鼠标双击右面选中的角色来实现），完成后新添加的角色就拥有了授予的角色的操作权限。点击【创建】，完成对角色的创建。切换到如下界面：u 定义新增加角色的操作权限鼠标右击界面中的【功能模块列表】，此时系统

10、会出现为新增加角色设置操作权限的界面，如下图所示： 增加角色的操作权限右键菜单提供了：【按模块增加】、【按功能增加】、【按资源增加】、【删除】选项，增加操作权限可按模块/功能/资源进行增加，如，点击【按模块增加】，此时系统会弹出增加角色操作权限的选择，用户只需逐层选择后选中要增加的角色操作权限，点击网页对话框中的【确定】。 删除角色的操作权限如果角色已经拥有了部分操作权限，如果想删除其中的部分操作，只需指向要删除的操作权限，然后右键，点击【删除】菜单，此时系统会弹出一个提示删除操作无法恢复的提示窗口，如果确定要删除选中的操作权限，点击提示窗口中的【确定】即可；如果决定不删除选中的操作，点击提示

11、窗口中的【取消】即可。2.2. 分配系统操作员角色l 增加系统操作员u 业务流程系统管理用户管理u 操作明细点击【用户管理】显示帐户信息，在对应员工帐户上右键菜单【修改】选择【角色】，弹出如下界面：在【角色】中选择系统操作员角色添加，在【组织机构权限】中选择管理的企业部门，点击【创建】系统操作员创建成功。2.3. 分配审计员角色l 增加审批员u 业务流程系统管理用户管理u 操作明细点击【用户管理】显示帐户信息，在对应员工帐户上右键菜单【修改】选择【角色】，弹出如下界面：在【角色】中选择系统审计员角色添加，在【组织机构权限】中选择管理的企业部门，点击【创建】系统审计员创建成功。2.4. 分配审批

12、员角色系统在使用前需设定好相关环节的审批员。l 增加审批员u 业务流程系统管理用户管理u 操作明细点击【用户管理】显示帐户信息，在对应员工帐户上右键菜单【修改】选择【角色】，弹出如下界面：在【角色】中选择系统审批员角色添加，在【组织机构权限】中选择管理的企业部门，点击【创建】系统审批员创建成功。2.5. 分配普通用户l 增加普通用户u 业务流程系统管理用户管理u 操作明细点击【用户管理】显示帐户信息，在对应员工帐户上右键菜单【修改】选择【角色】，弹出如下界面：在【角色】中选择普通用户角色添加，在【组织机构权限】中选择管理的企业部门，点击【创建】系统普通用户角色员创建成功。分配用户角色后【系统管

13、理员】的操作结束，之后需要【系统操作员】对系统进行管理配置。三、 审批流程配置审批流程配置是由【系统操作员】定义配置的。审批流程主要是定义客户端加密文档授权、解密、外出及计算机离线时提交申请如何保证文档及计算机正常外出。申请提交后经相应环节审批同意后文档才可以做相应操作。系统支持自定义表单和流程，可根据客户需要灵活定义表单，系统默认四种申请表单可根据申请方式直接使用。l 定义流程u 业务流程系统操作员（登陆）审批流程管理流程类型表单管理工作流程载入3.1 定义流程类型l 增加流程类型u 业务流程流程类型增加保存点击【流程类型】，弹出如下界面：类型名称：填写该流程的名称，如：申请外出组织机构：可

14、选择该表单应用的部门，整个集团公司或某几个部门3.2 定义表单l 增加流程类型u 业务流程表单管理增加保存表单主要应用与流程中，因此定义表单需跟流程关联。点击【表单管理】增加表单，需选择相应流程弹出如下界面：选择一种类型，确定后进入新建该类型的表单编辑页面（如图3-5），其中红色框内的区域是表单操作栏，红色方框下面的区域是表单编辑区。图 3-5功能描述：编辑表单:如图3-5在表单编辑页面，在表单操作栏中可以对表单进行各种的操作。(1) 更改表单属性。填写表单名称，表单数据表名可不用填写，系统会自动给出。填写完毕保存返回。(2) 更改表格属性。可以设定表格的宽度、对齐方式、边框宽度以及颜色等，单

15、击确定，保存更改。(3) 合并单元格。选择一组单元格，单击“合并单元格”，将选中的单元格合并为一个大单元格。(4) 拆分单元格。选择要拆分的大单元格，单击“拆分单元格”按钮，可将合并的单元格恢复初始状。(5) 插入一行或一列。选择想要插入的地方，单击“插入一行”按钮，在相应位置插入空白一行；单击“插入一列”按钮，在相应位置插入一列。(6) 删除一行或一列。单击想要删除的行或列，单击“删除一行”按钮，删除相应的一行：单击“删除一列”按钮，删除相应的一列。注意,删除时，此行或列内的内容将被一并删除，请谨慎操作。3.3 定义工作流程操作说明：在流程列表页面中点击“增加”按钮，进入新建列表页面（如图4

16、-2）：图 4-2根据需要选择相应的属性，【确定】后进入流程设计界面（在进入之前会在浏览器下边显示正在加载一个java小程序的提示）（如图4-3）：图 4-3注：将鼠标停留在操作栏的按钮上，就可以看到此按钮的相应提示。设置流程属性操作说明：在流程列表中点击“流程属性”，出现流程属性对话框（如图4-4）：图 4-4功能描述：在基本信息和监控者设置中用户可以根据需要设置值，其中id不用自己设，系统可自动指定。优先级是用来说明流程的重要程度，数字越大重要性越高。持续时间单位是流程定义里所使用的时间单位。在监控者条件下，不建议在一般下选择所有人。可选择其中一个机构或人进行设置。在安全级别中，因为每个角

17、色都有自己的安全级别，这里是指只有达到要求的才可以进行操作。只读操作，是指在只读状态下的操作，如在待办、在办、已办，结束的状态下的操作。设置环节属性操作说明：在图4-5中，选中一个环节双击，进入环节属性对话框（如图4-6）：图 4-6功能描述：环节信息包括环节操作、正文权限、环节任务等，可进行页与页的切换设置信息基本信息。如图4-6，环节名称中填入可用的信息。开始、结束方式为【自动】时，环节任务才有效，即环节任务只对自动环节有效。【是否会签环节】，如果选中说明该环节是多人处理环节。【会签是否顺序执行】，如果选中说明委派是按顺序送交多人处理的，否则按并序送交多人处理。环节操作（如图4-7）：图

18、4-7在这里选择的操作就是当在流程被执行时，表单中所显示的操作命令按钮。选择一个操作名称，如保存，点击“选择显示条件”弹出操作条件对话框，（如图4-8）载入流程操作说明：点击功能模块区的载入流程按钮执行载入操作（如图4-19）：图 4-19功能描述：定制流程完毕，点击载入流程，返回流程列表页面，新建的流程名称将显示在列表上。流程载入后即可使用此流程定义新建此流程的任务工作流程用户可以使用定制好的流程，来完成业务的需求。也可根据需要自己定义。四、 策略配置策略配置作为文档安全管理系统的核心模块，由【系统操作员】登陆设置完成。4.1. 应用策略 应用策略主要设置内核是否启用，是否允许打印，是否允许

19、复制、粘贴，是否允许截屏，设置离线时间。l 增加应用进程策略u 业务流程策略管理应用策略管理点击【应用策略管理】弹出如下界面：注：是否禁用内核：下发加密策略如禁用内核则加密策略不起作用是否允许打印：下发加密策略的受控文件是否允许打印是否允许复制、粘贴：下发加密策略的受控文件是否允许与非受控文件之间的复制、粘贴是否允许截屏：下发加密策略的受控文件是否允许截屏离线时间：下发加密策略的受控文件允许在计算机断开时正常读写u 操作明细组织机构员工(右键) 修改应用策略增加（如下图）在组织机构下选中添加应用策略的员工右键点击【修改】，点击【应用策略】弹出如下界面：设置对应项点击【确定】后单击【保存】可将应

20、用策略下发到员工的所属计算机。4.2. 进程策略进程策略是实现本地计算机上文件加密存储。文件加密策略可针对不同进程生成的相应文件类型设置加密策略。业务流程：策略管理进程策略管理（如下图）u 进程策略的添加选择文件类型（如：）单击“”按钮。自定义策略名称，相应的进程与文件类型的后缀名，同时可设置读写、打印、剪切、批量加解密等权限。然后单击“”按钮。u 进程策略的下发勾选要下发的进程策略单击“”选择要下发的部门或者员工，单击“”。4.3. 通信策略通信策略是设置邮箱白名单，给白名单邮箱发送加密文件时会自动脱密。设置为邮箱白名单时接收邮箱不受加密策略的影响。l 增加邮箱白名单u 业务流程通信策略增加

21、保存u 操作明细在通信策略中点击【增加】填写相应信息，弹出如下界面：l 下发通信策略组织机构员工(右键) 修改通信策略增加（如下图）在组织机构下选中添加应用策略的员工右键点击【修改】，点击【应用策略】弹出如下界面：设置对应项点击【确定】后单击【保存】可将应用策略下发到员工的所属计算机。4.4. 终端策略终端管理功能可以对客户机上的移动存储介质进行管理与控制。可以做到普通U盘只读或者禁用，可控制注册U盘的只读与读写功能。业务流程：策略管理终端管理 4.5. 补丁分发 补丁分发功能是针对客户机所存在的系统漏洞进行的补丁更新与下发。业务流程：策略管理补丁分发分发补丁4.6. 策略备份备份下发的系统策

22、略，可将下发的策略直接导入系统。u 业务流程策略管理策略导入导出进程策略导出选择要备份的进程策略然后单击“”按钮。（如下图）五、 策略的查看与管理通过【系统操作员】登陆系统可查看部门或员工的相应策略信息，同时可对策略进行修改。5.1. 用户策略的查看l 查看策略信息u 业务流程：组织机构部门员工管理选择要查看的部门或者员工u 操作明细例：员工XXX的策略信息基本信息 进程策略信息 应用策略信息 通信策略信息5.2. 策略的修改l 修改员工策略u 业务流程：组织机构部门员工管理选择要修改的员工或者部门u 操作明细选择修改的员工右键菜单点击【修改】，弹出如下界面选择要修改的策略（如下图）可对策略进

23、行增加或者删除六、 监控管理监控管理可查看客户端在线情况u 业务流程：监控管理选择相应的部门或者员工监控信息u 操作明细在【监控管理】菜单项下选择员工右侧弹出如下界面：可查看部门或单机的在线情况。七、 系统管理权限管理权限管理包括用户管理，角色管理，功能资源管理，修改密码。用户管理：给用户分配不同的角色权限。一般信息：可以修改用户的密码，以及是否锁定。 角色：赋予用户相应的角色权限。代理用户：设置此用户可以代替另一个用户的权限。组织结构权限：赋予用户可查看的组织机构。辅助功能辅助功能包括组织机构导入，LDAP同步用户，用户数字证书映射。辅助功能包括组织机构导入，LDAP同步用户，用户数字证书映

24、射。系统参数系统参数包括客户端获取策略的间隔时间，客户端连接限制时间，用户登录错误限制次数，申请离线时间。菜单维护菜单维护可以自定义系统菜单的位置。自定义菜单的添加例：在进程策略下添加“office类”目录为例系统管理菜单管理进程策略管理右键增加名称：office类 提示信息：可以自定义，值：appployquery_page_init.cmd?PROCESS_TYPE=01 （TYPE后面的值必须根据以前表的顺序顺延） 目标：main 单击“保存”然后单击“”。八、 文档管理文档管理分为文档授权和文件存储两类功能。安装代理端的计算机右键菜单项可操作【文档授权】实现对部门、员工授权。同时具有【

25、普通用户】权限的员工在IE页面中可显示文档管理模块，主要实现文件存储、通过页面做文件授权及授权文件下载功能。通过【普通用户】帐户登陆服务器端可显示文档管理模块，弹出如下界面8.1. 客户端文档授权1 业务流程文件右键文档授权2 操作明细客户端选中文件右键菜单弹出如下界面：弹出文件授权界面（下图）点击【确定】后文件自动上传到服务器端，拥有文件访问权限的用户可通过帐户、密码登陆到服务器下载文件。注：文档授权：打开、打印、修改、剪切、销毁、离线操作、使用次数、打印次数、使用期限、使用时段、离线时间、密级控制8.2. 集中存储文件通过员工帐户登录可将本地客户端存储的重要文件集中到服务器端保存。l 上传

26、文件u 业务流程普通用户登陆文档管理上传u 操作明细在文档管理菜单项点击【上传】，弹出如下界面：点击【上传】可将文档存储到服务器端集中保存。8.3. 上传文件授权本地帐户上传文件可通过服务器端将文档授权给其他用户。u 操作明细在文档管理菜单项可显示所有上传的文件，点击【授权】后单击【添加用户】可对企业其他员工授权，弹出如下操作：8.4. 授权文件权限回收对于本地帐户授权的文件可将授权文件更改或回收，修改权限后用户只能按照新的权限策略访问文件。u 操作明细在文档管理菜单项可显示所有上传的文件，点击【销毁】可将授权文件权限销毁九、 申请流程操作客户端接收到加密策略编辑的文件会自动加密，文件脱离计算

27、机环境不能正常打开，计算机脱离内网环境不能正常打开计算机上存储的文件。因此对于员工需文档外出或计算机外出办公等操作都必须通过提交申请，经系统相关审批人员同意后操作才可继续。申请审批分为：文档解密、文档外出、计算机离线9.1. 文档外发文档外发是指外出的文件依然可以控制它的使用时间、使用周期及使用次数。u 业务流程安装代理端的客户选中文件右键菜单项可申请解密u 操作明细右键菜单项连接到服务器页面，输入客户端帐户、密码弹出如下界面： 单击审批流程管理权限申请选择右边所要使用的申请表。如图： 填写表单上的申请项如：外发。通过“附件”增加需要外发的文档，单击发送。 审批通过后就可以设置外发权限了。选择文件右键选择“文档外发”。如图： 弹出如下窗口。设置文件访问密码、密级。设置文件的使用期限、使用权限（包括只读、读写、内容防复制）使用次数、使用时间段。权限确认单击“确定”完成。系统会自动生成一个同名的EXE文件，此文件为外发文件 生成后的文件如图：，该文件即可以外出。9.2. 文档解密文档解密是指文档直接解密，解密后的文件不做任何控制功能u 操作明细右键