亿赛通电子文档安全管理系统V5.0--系统管理员使用手册
亿赛通电子文档安全管理系统
管理员使用手册
北京亿赛通科技发展有限责任公司
2016年1月
目录
1.
2.
3.
引言 ................................................. 错误!未定义书签。 编写目的 ............................................. 错误!未定义书签。 系统背景 ............................................. 错误!未定义书签。 术语定义 ............................................. 错误!未定义书签。 参考资料 ............................................. 错误!未定义书签。 版权声明 ............................................. 错误!未定义书签。 最终用户许可协议 ..................................... 错误!未定义书签。 授权许可 ........................................... 错误!未定义书签。 知识产权保护 ....................................... 错误!未定义书签。 有限保证 ........................................... 错误!未定义书签。 您应保证 ........................................... 错误!未定义书签。 软件概述 ............................................. 错误!未定义书签。 软件特性 ............................................. 错误!未定义书签。 CDG功能结构.......................................... 错误!未定义书签。 软件使用说明 ......................................... 错误!未定义书签。 登录 ................................................. 错误!未定义书签。 系统首页 ............................................. 错误!未定义书签。 修改密码 ........................................... 错误!未定义书签。 退出 ............................................... 错误!未定义书签。 组织管理 ............................................. 错误!未定义书签。 用户管理 ........................................... 错误!未定义书签。 登录管理 ........................................... 错误!未定义书签。 激活管理 ........................................... 错误!未定义书签。 终端管理 ............................................. 错误!未定义书签。 终端管理 ........................................... 错误!未定义书签。 终端统计 ........................................... 错误!未定义书签。 终端维护 ........................................... 错误!未定义书签。 我的工作台 ........................................... 错误!未定义书签。 我的流程 ........................................... 错误!未定义书签。 我的模版 ........................................... 错误!未定义书签。 我的文档 ........................................... 错误!未定义书签。 策略管理 ............................................. 错误!未定义书签。 管理策略 ........................................... 错误!未定义书签。 签名准入 ........................................... 错误!未定义书签。 签名策略库 ......................................... 错误!未定义书签。 检测配置 ........................................... 错误!未定义书签。 预警管理 ............................................. 错误!未定义书签。 流程管理 ............................................. 错误!未定义书签。 表单管理 ........................................... 错误!未定义书签。
流程模版 ........................................... 错误!未定义书签。 算法管理 ............................................. 错误!未定义书签。 指纹库管理 ......................................... 错误!未定义书签。 系统维护 ............................................. 错误!未定义书签。 升级管理 ........................................... 错误!未定义书签。 数据库管理 ......................................... 错误!未定义书签。 应用无效进程 ....................................... 错误!未定义书签。 后台配置 ............................................. 错误!未定义书签。 帮助 ................................................. 错误!未定义书签。
1. 引言
1.1 编写目的
本手册指导使用者进行用户管理、业务流程申请与审批管理、文档管理、策略管理、日志管理、终端管理、后台配置等CDG系统各个模块的业务操作。
本手册的使用对象:公司技术支持部、销售部、市场部、测试部和使用(CDG)系统产品的客户。
1.2 系统背景
系统名称及版本号:亿赛通电子文档安全管理系统 ; 任务提出者:北京亿赛通科技发展有限责任公司; 任务承接者及实施者:北京亿赛通科技发展有限责任公司; 系统使用者:使用亿赛通电子文档安全管理系统产品的用户;
1.3 术语定义
CDG:Cobra Document Guard,文档安全防护。
1.4 参考资料
编写本手册时参考的文档如下:
《亿赛通电子文档安全管理系统_需求规格说明书》 《亿赛通电子文档安全管理系统_概要设计规格说明书》 《亿赛通电子文档安全管理系统_详细设计规格说明书》 《亿赛通电子文档安全管理系统_技术白皮书》
1.5 版权声明
本手册以及所提及的数据、图标、名称等信息,所有权皆属于亿赛通公司所有。未得到亿赛通公司的正式许可,任何人或组织均不得以任何手段与形式对本手册内容进行复制、转印和传播。
本手册中的内容,亿赛通科技发展有限责任公司拥有最终解释权。
1.6 最终用户许可协议
本许可协议是您与北京亿赛通科技发展有限责任公司之间关于亿赛通软件产品的法律协议。在使用本软件前,您必须同意以下条款和条件以及所附文档中的所有其他条款和条件。
如果您不同意此处包含的条款和条件,请不要进行安装或使用。“亿赛通软件产品”包括计算机软件、光盘、相关的使用说明性材料、电子文档。您如果安装、复制、或以其他方式使用“亿赛通软件产品”,就表示您同意接受本协议各项条款的约束。
1.6.1 授权许可
亿赛通公司在此授予您使用所附软件和相关文档的非排它的、不可转让的许可,软件程序以及附件文档是亿赛通公司的专有产品,受版权法和现行适用法律的保护。您仅拥有该软件产品的使用权,并不拥有软件本身,亿赛通公司是软件本身的拥有者,并保留这种独家所有权,受中华人民共和国著作权法及国际著作权条约和中国其他知识产权法和其他国际知识产权条约的保护。
对一份软件产品,亿赛通公司只授权您在一台电脑上使用,出于备份或档案管理的目的您可以制作该软件副本,但您不可通过任何途径以任何形式将本软件产品分发转让到其他的电脑上使用。
如果您需要将本软件产品转让给他人,您必须遵守以下几项要求: 1) 您同意将本协议、本软件和与本软件捆绑的所有资料一并转让给他人; 2) 您不对任何副本进行留存,包括电脑上的存储的备份和副本;
3) 接收方接受本协议的条款和条件以及您合法购买本软件时接受的任何其他条件和条款。
1.6.2 知识产权保护
本软件及亿赛通公司授权您制作的任何副本均为亿赛通公司的产品,其知识产权全部归亿赛通公司所有。本软件的结构、组织和代码均为亿赛通公司的有价商业机密信息。本软件受中华人民共和国著作权法、相关国家法律法规以及国际条约条款的保护。您不得在本协议许可的范围之外复制本软件,否则将构成对亿赛通公司知识产权的侵犯。
您必须同意决不通过任何方法和途径获取本软件源代码、对本软件进行修改、重新编程、
编译、反编译或其他逆向解析。
1.6.3 有限保证
1) 自购买之日起15天正常使用期限内,传递软件的介质载体和工艺方面无缺损; 2) 自收到软件之日起15天内,软件运行良好,但如果因意外事故、滥用、误用导致的软
件失败和造成的损失,亿赛通公司不承担任何责任。
在此保证亿赛通公司的唯一义务和对您的唯一的补救措施,不论是民事的侵权行为,还是合同、严格的责任或其他方面,都将按照亿赛通公司的选择执行。亿赛通公司不保证软件所包含的功能可以完全满足您的要求,包括软件操作不会终断或无错误。亿赛通公司对因计算机硬件操作特性的改变以及软件发行后计算机操作系统的改变所引起的问题不负责任,也不负责本软件与其他非亿赛通公司软件因交互作用而出现的问题。由本许可协议、软件、随软件所附的书面材料引起的亿赛通公司的全部赔偿金额不超过购买本软件所付的全部金额。
除上述保证外,就现行法律允许的最大程度,亿赛通公司或软件的供应商或分销商提供的本软件是没有任何明示或暗示的保证,包括但不限于为特定目的做出经销和使用的暗示保证。就现行法律允许的最大程度,在任何情况下,亿赛通公司及其分销商或供应商绝不因特殊、偶然或必然损失承担责任,包括数据丢失、重新生成已丢失数据的开销、利益或商业信息损失、商业中断或其他经济损失,不管是否已经告知亿赛通公司可能导致此类损失。
1.6.4 您应保证
1) 在安装和使用亿赛通软件产品之前、以及使用亿赛通软件产品过程中,已经将您电脑使
用的所有文件或重要文件保留了备份;
2) 按照亿赛通软件产品的使用手册正确地安装和操作亿赛通软件产品,并对其运行情况进
行适时监控。
本许可协议自您打开包装的密封或使用本软件之日起生效,并且一直有效至协议终止。您可用销毁本软件以及所附书面材料和所有副本的方式随时终止本协议。如果您违反本许可协议的任何条款和条件,本许可协议也将自动终止,不论是何种原因引起使用本软件的终止,您都必须删除并销毁本软件的所有副本以及所提供的所有文档。当亿赛通公司要求时,您必须提供此类销毁的书面证明。
除非在亿赛通公司书面签署的情况下,本许可协议不做修改。如果发现本许可协议的任
何条款不可行,则按现行法律许可的最大程度解释该条款。亿赛通公司否认与本许可协议的陈述或许诺不同的,或本许可协议的陈述或许诺之外的任何保证、陈述或许诺。
阅读并同意本许可协议的条款和条件后,才能使用本软件。
如果您对本协议存有疑问,请写信给北京亿赛通科技发展有限责任公司。
2. 软件概述
2.1 软件特性
亿赛通电子文档安全管理系统是基于驱动层智能动态加解密技术,通过文档透明加密、文档权限管理、文档外发控制、业务流程申请和审批、融合身份认证、日志审计、终端管理、移动存储设备和系统容灾管理等功能,实现非结构化数据和结构化数据的全面防护;
本系统可应用于各个领域和所有客户群。
2.2 CDG功能结构
欢迎您使用亿赛通电子文档安全管理系统,它是亿赛通公司推出的基于B/S和C/S架构的文档安全管理系统,是CDG产品体系中的一种,通过IE可以以基于Web的方式来访问CDG系统;
亿赛通电子文档安全管理系统B/S和C/S架构。由客户端软件和服务器构成,结构如下图:
在网络中的用户需要安装CDGClient客户端软件,并且至少有一台CDG服务器提供认证等服务。在CDG系统中,用户信息和文件权限信息等存储在数据库中,数据库类型可以选用MSSQL 2000、MSSQL 2005、MSSQL 2008等。
3. 软件使用说明
3.1 登录
启动浏览器,在地址栏中输入服务端的IP地址(IP地址+端口号如: ,进入服务端欢迎使用界面,表示服务启动正常,如下图所示:
在欢迎页面内,点击【进入】按钮,页面跳转到登录界面,如图所示:
输入用户ID和密码(用户ID:systemadmin 默认密码:),点击登录按钮进入管理平台管理界面。
备注:
(1) 该产品支持本地认证和AD域认证,管理员SystemAdmin只支持本地认证。 (2)点击“客户端下载”下载客户端安装包,下载前客户端安装包应提前上传到服务器。
安装包格式及命名:安装包路径:
C:\\Program Files (x86)\\ESAFENET\\CDocGuard
Server\omcat(64)\\webapps\\CDGServer3\\clientinstall
3.2 系统首页
【系统首页】功能说明:此模块功能包含:【首页】、【修改密码】、【退出】。正确登录系统,进入到系统的首页,如下图所示:
3.2.1 修改密码
点击【修改密码】功能按钮,可以修改用户的密码,如下图所示:
在【旧密码】输入框内,首先输入旧密码,然后输入新的密码和确认密码,当点击【保
存】按钮时,密码修改成功。在没有点击【保存】按钮之前,当点击【重置】按钮时,所输入的密码信息将会被清空,用户可以重新输入信息。
3.2.2 退出
在首页中点击右上角【退出】功能按钮时,系统将注销当前登录用户,系统返回到登录页面。
3.3 组织管理
组织管理模块中包含【用户管理】、【登录管理】、【激活管理】模块。
内置管理用户,【系统管理员/systemadmin】、【安全管理员/secadmin】、【文档管理员/docadmin】、【日志管理员/logadmin】四个账户,除可自主修改密码外,不提供任意属性修改功能;
系统内置帐号不占用Licence许可,不提供密码重置、帐号冻结、帐号删除等帐号管理功能,
3.3.1 用户管理
用户管理功能用于创建数据泄露防护系统用户认证体系及关联用户安全策略,包括用户组织架构、用户(创建、删除、修改)、选取策略、同步用户(AD域)。
3.3.1.1. 本地组织架构
组织架构栏提供管理员维护组织架构功能,主要包含功能项:【新建】、【修改】、【删除】、【查询】;
新建组织架构
点击“组织架构”,选择“新建”,输入“名称”后选择保存,完成新建组织机构。
修改组织架构
选择要修改的组织架构,点击“修改”按钮,在操作框输入要修改的名称,选择“保存“,完成组织架构修改。
删除组织架构
选择要选错的组织机构,点击“删除“按钮,确认提示框选择”确定“,完成组织架构删除。
备注:
(1)组织架构中包含用户,则无法删除。 查询组织架构
点击“组织架构“,选择”查询“,输入要查询的组织架构名称,点击”查询按钮“,完成组织架构查询。
3.3.1.2. AD域组织架构
AD域组织架构,同步于客户AD域,同步组织架构与AD域相同,组织架构和用户的添加、删除、修改,依赖于AD域。
AD域配置
(1)登录配置管理页面
登录页面,选择“配置”,输入管理员用户名和密码(管理员:configadmin 默认密码:123456)
(2)选择AD域配置,配置AD域信息
根据“AD域配置”页面示例,根据实际情况填写AD域信息。连接测试成功后,点击“保存”按钮,完成AD域配置。
组织架构及用户同步
用户管理,选择“同步用户”,完成AD域组织架构及用户同步。
在导航栏选择【组织管理】模块,点击【用户管理】子模块,页面跳转到【用户管理】界面。该页面内功能提供管理员维护用户管理,管理员可以完成同步用户、选取策略、添加
用户、删除用户、冻结用户、修改用户属性等功能,如下图所示:
3.3.1.3. 添加用户
在组织架构中选择一个组,点击【添加用户】按钮,页面切换到添加用户的详细页面内,在对应的标识输入框内输入相关信息,点击【保存】按钮,用户添加成功,如下图所示:
3.3.1.4. 删除用户
除SystemAdmin、Secadmin、LogAdmin、Docadmin以外其他用户都可以删除。管理员进入要删除用户的【详细设置】页面内,点击【删除帐号】,该用户将删除。
3.3.1.5. 组选取策略
选中一个组,点击页面内【选取策略】按钮,页面切换到选取策略页面,选中一个策略,点击【保存】按钮,策略选取成功,如下图所示:
应用到子组:勾选【应用到该组及其子组内的策略例外用户】功能将设置的策略应用到子组中,子组的每个组和组中的成员都更新为新设置的策略。
3.3.1.6. 单个用户添加策略
点击用户列表内的【关联策略】,弹出策略选择界面,选中一个策略,点击【保存】按钮,策略选取成功,如下图所示:
备注:单个用户添加策略,安全管理员在用户角色中需要为用户分配“策略例外权限”。
3.3.1.7. 用户启用
用户启用状态默认为:未启用。
点击【用户启用】按钮,启用状态由未启用状态自动变换为已启用状态,【用户启用】按钮自动变换为【用户冻结】;
点击【用户冻结】按钮,启用状态自动变换为已冻结状态,【用户冻结】按钮再次变换为【用户启用】状态。
【未启用】状态表示:该用户为初始状态。
【已启用】状态表示:该用户已经启用,可以正常使用。
【已冻结】状态表示:该用户已经被冻结,不可用,解冻后可以继续使用,用户的属性不受冻结影响。
3.3.1.8. 重置密码
用户的密码丢失,管理员可以通过密码重置功能将用户的密码重置到默认密码状态,系统初始化的默认密码是。
3.3.1.9. 查询用户
在【用户管理】界面,通过【用户ID】、【姓名】、【用户来源】、【认证方式】、【在线状态】、【用户状态】、【关联策略】等查询项,查询对应的用户;可精确查询本组成员,也可模糊查询。
3.3.2 登录管理
用于控制客户端登录模式以及客户端登录记录管理控制。
3.3.2.1. 客户端用户登录模式管理
用于控制客户端登录模式,分为手动登录和AD域单点登录。该功能在有多种登录模式时生效,如用户为本地用户只有手动登录模式(即客户端一次需手动登录)。 手动登录模式
选择手动登录模式,客户端安装后第一次登录需要手动输入账号和密码进行登录。 AD单点登录模式
选择AD单点登录模式,对于AD域用户,客户端安装后,随操作系统用户单点登录。
3.3.2.2. 客户端用户登录记忆管理
用于设置在线或离线情况下,客户端登录方式,分为自动登录和手动登录。 在线状态登录记忆管理
在线状态下,选择自动登录,每次重启电脑后客户端自动登录,选择手动登录,重启电脑后需要用户手动输入用户名密码进行登录。 离线状态登录记忆管理
在线状态下,选择自动登录,每次重启电脑后客户端自动登录,选择手动登录,重启电
脑后需要用户手动输入用户名密码进行登录。
3.3.3 激活管理
激活管理是针对AD域或其他第三方认证系统同步用户进行统一激活管理,方便用户在批量添加用户的需要。
在导航栏选择【组织管理】模块,点击【激活管理】子模块,进入到激活管理页面,如下图所示:
左侧的目录树显示为:未激活状态的组/用户; 右侧的目录数显示为:已激活状态的组/用户;
支持单个用户或者整个组激活,激活后的用户将显示在用户列表,取消激活,用户将从用户列表内删除;
用户激活后,在组织管理/用户管理中,【启用状态】默认设置为【未启用】、一旦用户成功登录,【启用状态】将更新为【已启用】;
激活用户数量受授权用户数量限制,激活用户数量超过授权数量时会弹出超出授权的提示。
3.4 终端管理
终端管理是集成通讯平台,控制客户端是否在线以及客户端登录用户的信息。可以与在线客户端建立消息会话,可以针对客户端版本升级、卸载、删除终端等操。可以针对客户端进行离线补时设置及补时码导出功能
功能主要包括:【批量删除】、【升级所有终端】、【批量卸载】、【终端导出】、【终端会话】、【终端补时】、【终端调试】、【终端卸载】、【终端升级】、【终端删除】等功能。
在导航栏选择【终端管理】模块,点击【终端管理】,跳转到【终端机器查询】列表页面,如下图所示:
3.4.1 终端管理
【批量删除】:当客户端处于未使用或者已卸载状态时,管理员点击该【批量删除】按钮,将把列表内终端信息删除。信息删除后,客户端需要再次登录,才可以再次显示在该列表内; 【升级所有终端】:批量升级所有客户端的版本,使客户端版本保持版本统一。
【批量卸载】:批量卸载所有终端的客户端程序。客户端接收到冒泡通知可以不用输入卸载码就可以卸载客户端;
【终端导出】:将终端列表完整属性导出为Excel csv报表格式。
【终端会话】:与在线客户端建立消息会话,可以完成会话信息推送和客户端显示功能,主要完成点对点消息推送。
选中用户,点击【终端会话】按钮。在消息栏内输入需要发送的消息,点击【发送】,客户端即可接到会话消息信息,如下图所示:
【终端补时】:客户端终端离线时间到期,管理员通过终端补时功能延长终端离线时间。 点击【终端补时】,设置离线时间,生成离线补时文件,下载后发送给客户端,导入后即可延续离线时间。生成补时文件页面如下图所示:
【终端调试】:是指可以针对客户端进行调试控制,如【客户端全模块关闭】、【仅客户端控制台关闭】、【仅客户端驱动关闭】等,实现客户端运维调试管理,如下图所示:
【终端卸载】:卸载指定终端的客户端程序。该【卸载】功能等于直接审批终端卸载,客户端接收到冒泡通知可以不用输入卸载码就可以卸载客户端; 【终端删除】:是指把终端信息列表内的信息从列表内删除。 【终端升级】:点击【升级】按钮可以针对选中客户端进行升级;
3.4.2 终端统计
终端统计功能,采用统计图表方式对终端进行统计,一目了然的显示所属终端、在线终端、客户端版本等信息;可将统计图表导出为Excel报表。 【客户端在线统计】:
客户端在线用户数进行统计:【终端总数】、【在线终端数】、【离线终端数】统计图表,如下图所示:
【客户端版本统计】:
针对客户端版本进行统计:【终端总数】、【版本终端数】、【版本终端数】统计图表,如下图所示:
【客户端操作系统版本统计】:
针对客户端操作系统版本进行统计:【终端总数】、【操作系统版本终端数】、【操作系统版本终端数】统计图表,如下图所示:
3.4.3 终端维护
终端维护功能,实现对客户端冗余记录的自动维护,设置终端维护任务自动执行日期, 设置终端维护任务自动执行目标,如定期清理连续10天未在线的冗余终端记录。终端数目预警机制提示等功能。
在导航栏选择【终端管理】模块,点击【终端维护】,页面跳转到【终端维护】页面内,如下图所示:
一旦成功执行终端维护任务,将触发预警功能,系统自动对管理员发送终端维护日志; 当剩余Licence数量低于5个时,每新增加一条终端Licence记录,将触发预警功能,系统自动对管理员发送Licence容量预警日志,提醒管理员执行Licence管理。
3.5 我的工作台
我的工作台模块中包含【我的流程】、【我的模版】、【我的文档】三个个模块。实现对电子流表单的集中化管控;模版的定制和使用;权限文件的分发及管理;
3.5.1 我的流程
流程审批平台,实现对电子流表单的集中化管控;采用表单管控原则,提供【我的申请】、【我的待办】和【我的已办】等模块功能。
记录当前用户所提交的所有电子流申请,采用电子流任务列表方式进行管理; 审批范围包含:【文档解密流程】、【文档还原流程】、【文档外发流程】、【邮件外发流程】、【离线办公流程】、【权限申请流程】等
在导航栏选择【我的工作台】模块,点击【我的申请】,页面跳转到审批列表页面内,
如下图所示:
【我的申请】: 用户本人提交的申请表单;
【我的待办】:只有审批员才能在此列表内看到信息,表内的信息为其他用户提交的申请流程表单。
【流程明细】页面,可以完整显示该流程任务明细;‘【流程审批执行】包含:【通过,流程自动执行】、【通过,强制结束本级流程】、【通过,强制流程终止】、【退回,强制流程终止】。不同的申请流程表单稍有不同,本处以离线申请为例,如下图所示:
【我的已办】:用户作为审批员审批过的表单信息;
3.5.2 我的模版
权限模板:已经选定了用户、组并给用户、组授予一定的权限,在用户制作权限文件的时候,用户只需选择一个或者多个权限模板,可以完成一种授权模式。
用户每次制作权限文件,需要把这个文件授予特定的用户、组时,应用权限模板可以快速便捷的完成授权。 【添加权限模板】
在导航栏选择【我的工作台】模块,点击【我的模版】,跳转到【模版列表】界面,如下图所示:
点击【添加】按钮,进入到【添加权限模板】界面,在【模板名称】中输入名称,【权限模板描述】中输入模板描述,选择【机密等级】。点击【保存】后,权限模板添加成功,如下图所示:
【删除权限模板】:
点击操作栏中的删除按钮,选定权限模板即被删除,如下图所示:
【修改权限模板】:
点击【操作】列的修改按钮,修改权限模板的信息,点击【保存】后权限模板修改成功,页面返回到权限模板界面。 如图所示,
【添加授权对象】:
1) 选中模版,点击【操作】列的【添加授权对象】按钮,进入到添加授权对象页面。 2) 在添加授权对象页面,点击【添加授权对象】按钮,页面跳转到选择用户的列表中。选
择用户、组,点击【添加】按钮,完成用户添加。如下图所示:
3) 选定的用户进入到权限模板列表内,管理员可以修改选定用户的权限,如下图所示:
如果要设置该用户的详细权限,点击【详细】按钮,可以设置该用户对权限文件的
只读次数、起始时间、截止时间,详细情况见下图:
3.5.3 我的文档
【收件箱】:
用户可看到自己具有权限的权限文件。包括其它人员给该用户授权的权限文件。 1)
在导航栏选择【我的工作台】模块,点击【我的文档】,跳转到【我
的文档】界面,如下图所示:
2)
息。 3) 4) 【发件箱】:
用户自己制作的权限文件收集在该文件箱中。用户在客户端制作的权限文件,可在发件箱中查看及进行再授权操作。
1)
在导航栏选择【我的工作台】模块,点击【我的文档】,跳转到【我
的文档】界面,如下图所示:
2)
点击操作列的【再授权】,进入授权界面,可以给用户再授权。 单击【详情】,可查看文件的相关信息。 单击【下载】,可对已上传文件进行下载。
选择文件,单击【再授权】,进入再授权界面,可查看文件的授权信
3) 4)
单击操作列的【详情】按钮,可以查看文件的相关信息。
点击操作列的【下载】按钮可以下载用户上传的文件,如下图所示:
5) 点击操作列的【生命周期】,可以设置文档的生命周期,如下图所示:
6) 【权限缓存】是用户在脱机情况下对文件的操作模式,包括打开次数、
打开时长。点击操作列的【权限缓存】,可以针对该文件进行设置打开次数、打开时长,如下图所示:
3.6 策略管理 3.6.1 管理策略
策略管理模块用以创建、维护策略组。策略组是用来管理控制用户文件类型、制作CDG格式、安全策略等的模块。每个策略组包含【策略推送控制】、【加密控制策略】、【安全增强策略】、【内容安全策略】、【水印控制策略】、【权限控制策略】、【邮件控制策略】、【打印控制策略】、【网络控制策略】、【日志控制策略】、【文件备份策略】、【外发控制策略】、【存储控制策略】、【辅助控制策略】、【策略库】等项目。
3.6.1.1. 安全策略组导入导出
安全策略组导入导出用于导入和导出安全策略组。使用方法如下: 安全策略组导出
步骤1: 安全策略组中,选取要导出的策略组
步骤2: 导出策略
在操作框,选择“导出”按钮,导出策略组。
安全策略组导入
步骤1: 选择策略组导入位置,点击导入
步骤2: 选取策略组,点击“提交”,导入策略
备注:
导入策略时,可以选择“安全策略组”或具体的策略组进行策略导入。选择“安全策略组”导入策略时,会生成一个新的策略组(如有重名策略组无法导入),选择“具体策略组”导入策略时,会在现有策略组上进行策略导入(如有重名策略则无法导入)。原则上建议导入策略时不能有重名。
3.6.1.2. 策略推送控制
策略推送控制:通过策略主动推送的方式下发策略信息,确认客户端执行策略情况,确保执行策略的准确性,如下图所示:
策略推送控制,点击【策略推送】时方才下发策略,推送方式采用【立即生效】、【重启后生效】两种方式,策略推送只能按策略组推送。
推送策略的同时重置【策略更新状态】为NO,客户端获取到策略后,【策略更新状态】自动更新为Yes,同时更新末次更新时间。当策略更新状态显示为Yes状态,表示客户端已经获取到策略。
策略关联列表内显示的用户,为使用该策略组的用户。
3.6.1.3. 加密控制策略
加解密控制策略,主要用于设置应用软件对文件的加密、解密,该策略的核心是安全策略,安全策略的设置不仅影响是否能满足客户的需要,而且对系统性能的影响也比较大,正确设置安全策略是动态加解密应用的关键。
历史数据初始化
用于对历史数据或全盘数据进行批量加密或解密,该功能默认为关闭状态,根据应用需要选择或填写初始化类型、文件类型设置、任务执行设置,最后点击“保存”按钮完成策略设置,策略推送后终端生效。
进程签名配置
用于签名进程收集和进程签名应用,防止伪造进程非法读取密文数据。
签名收集:默认关闭,开启后客户端会自动搜集加解密策略中对应进程信息,并上传到服务器。
签名应用:应用进程签名控制。策略推送后,进程签名策略生效。
透明加解密策略设置
透明加解密策略,是整个软件策略核心,该策略设置关乎到整个系统是否平稳运行。一条完整加解密策略包括策略名称、策略描述、策略类别、策略密钥、关联类型、关联程序六部分组成,具体如下:、 (1) 策略名称
本条策略命名,一般与应用软件名称保持相同。 (2) 策略描述
对本条策略设置内容进行详细描述,可不填写。 (3) 策略类别
用于设置驱动加解密方式,一般根据安全保护需求进行灵活设置。
加解密关联程序操作的文件,符合该策略的文件被关联程透明加解密_标准 序读写时将被加解密 跟踪新建的指定类型的文件,加密所有的或指定进程新建落地加密策略 的与策略匹配路径匹配的文件。 通过该策略备份被删除的指定类型的文件,该策略只有在删除备份策略 文件被删除时才进行备份。。 文件例外策略 放过策略匹配路径中的文件 除加解密关联进程操作的文件外,还加解密关联进程的子透明加解密_子进程 进程操作的文件 透明加解密_半透明 用于打开本地加密文件,而本地明文不强制加密 主要是用来网络进程上传和下载精确保护,传输文件为透明加解密_网络 主,一般不是文件编辑程序 放过策略匹配路径中的DLL,允许这些DLL注入到关联进HOOK例外策略 程中 放过策略匹配路径中的进程名,允许这些进程访问已经打进程例外策略 开的解密文件,可用于存放杀毒软件等。 落地解密策略 自动解密所有的或指定进程与策略匹配路径匹配的文件
策略导入导出
用来对加解密策略进行导入导出,在进行策略导入时,如果导入策略名称与当前策略中名称相同,导入时不进行覆盖,维持当前策略状态。
每一个策略组只能选择一个密钥,根据加解密策略不同在添加策略时注意顺序(CDG策略需要放在动态加解密策略前)。
历史数据初始化,策略执行完毕后,应及时关闭,避免重复执行。
策略的顺序非常重要,匹配的原则是:从上到下优先匹配,如果一条策略没有匹配成功,则继续匹配下一条策略,直到匹配成功或所有策略均已匹配完毕。 策略列表内的顺序可以点击策略排序栏的降级、提高来调整。
3.6.1.4. 智能加密策略
该功能模块主要用于配置智能加密策略,通过配置敏感内容检测规则,下发到客户端后,客户端根据敏感内容检测规则对文档进行智能识别,从而实现包含敏感数据内容文档自动加密;
智能加密策略包括智能加密开启与关闭、基础配置、DLP策略三部分,各部分操作与说明如下:
智能加密开启与关闭
该项配置用于设置智能加密功能开启与关闭,智能加密功能默认为“关闭”状态。 开启:启用智能加密功能; 关闭:关闭智能加密功能; 注意事项:
(1) 智能加密功能默认为关闭状态,未开启状态下功能不生效; (2) 智能加密当前版本主要适用于办公楼文档,如OFFICE/PDF/WPS; 基础配置策略列表
基础配置策略,主要用于设置智能加密方式、文件分类(全盘扫描文件类型)、全盘(历史数据)扫描、文件变动监控配置;
基础配置策略根据实际需求选择,配置详情请参照“检测规则”中的“基础配置”。 注意事项:
(1) 基础配置策略包括智能加密方式、全盘(历史数据)扫描文件类型及开启、文件变动监
控,请根据实际需要做好选择,负责会影响智能加密效果。如不设置文件变动监控,新建文档包含敏感数据时不会不加密等; DLP策略
DLP策略主要为文档内容检测规则,客户端内容识别引擎根据这些检测规则进行内容识别与匹配,对陪陪规则的敏感数据文档自动加密;
一条策略组(智能加密策略)可以包含一条检测规则或多条检测规则,根据实际需要勾选对应策略即可;
注意事项:
(1)DLP策略列表中的检测规则来源于“检测配置”中的策略列表,配置DLP策略前,请先在“检测配置”中设置好对应的检测规则策略。
3.6.1.5. 安全增强策略
安全增强策略可以控制用户在注销状态以及异常脱机状态的使用控制;控制文件、注册表的使用;控制文件的内容过滤以及应用加固,更全面的适应用户的使用习惯,如下图所示:
访问控制策略由策略类型、控制类型和策略、策略匹配路径(注册表键值匹配名称和注册表匹配项名称)几部分组成。访问策略策略与具体的进程无关,
在用户注销后不加密不解密模式,不影响用户的正常使用,但是存在泄密风险;
在用户注销后只加密不解密模式,驱动将不再解密任何加密文件,这种处理方式虽然能够防止泄密,但也存在坏文件的风险;
在用户注销后只读\\禁止保存模式,关联进程可以打开受保护的文件,但驱动不会解密,同时也禁止保存操作。在用户保存文件后会引起“延迟缓冲写入失败”的系统错误提示。
3.6.1.6. 内容安全策略
内容安全策略可以设置辅助的应用安全模块,系统中提供六种应用安全模块,【拷贝控制】、【拖拽控制】、【另存为控制】、【插入控制】、【连接控制】、【截屏控制】,每项内容安全控制均提供开关式控制机制,如下图所示:
【例外设置】详解如下:
【拷贝控制】:
关联进程拷贝控制例外设置:【关联进程内容拷贝至其他任意进程时均不受控】; 非关联进程拷贝控制例外设置:【关联进程内容拷贝至该非关联进程时不受控】; 上述控制基础上,均可设置允许拷贝字节数控制,默认任意字节。
【拖拽控制】:
关联进程拖拽控制例外设置:【关联进程内容拖拽至其他任意进程时均不受控】; 非关联进程拖拽控制例外设置:【关联进程内容拖拽至该非关联进程时不受控】;
【另存控制】:
关联进程另存控制例外设置:【关联进程执行另存时客户端不强制加密控制】;
【插入控制】:
关联进程插入控制例外设置:【关联进程执行对象插入或被插入时均不受控】; 非关联进程插入控制例外设置:【非关联进程执行对象插入或被插入时均不受控】;
【连接控制】:
关联进程连接控制例外设置:【关联进程执行网络连接时不受控】。
【截屏控制】:
【截屏控制】一旦开启,默认所有截屏软件均禁止截屏。 截屏白名单设置:【白名单内截屏软件允许截屏】; 截屏黑名单设置:【黑名单内截屏软件禁止启动】;
3.6.1.7. 水印控制策略
用于设置文档水印内容,对于SmartSec、DRM模块支持阅读浮水印和打印浮水印,,其中阅读水印支持屏幕水印和文档水印,打印水印分为可视水印和盲水印。
应用模块
用于设置水印控制启用模块,根据应用需求进行勾选,水印应用模块选择,最后点击“保存”按钮完成设置。
阅读浮水印
用于设置文档阅读水印,支持屏幕水印和文档水印,根据需求进行选择即可。阅读模式每个策略组只能启用一种。最后点击“保存”按钮完成设置。
针对水印显示位置,提供5个坐标点设置功能、每一个坐标点水印内容、水印深浅度都可以详细设置,每一个坐标点均提供【默认内容】和【自定义内容】配置功能。提供文字、图片两种格式;
打印浮水印
用于设置文档打印水印,水印格式支持可视水印和盲水印。
针对水印显示位置,提供5个坐标点设置功能、每一个坐标点水印内容、水印深浅度都可以详细设置,每一个坐标点均提供【默认内容】和【自定义内容】配置功能。提供文字、图片两种格式;
图片及深浅度设置,0值表示最深,255表示最浅;
上传不能超过50KB的bmp图片,文件物理路径不能超过253个字符; 字体设置请不要过大,超过50会超出边界;
备注:盲水印功能默认不启用,如需启用请参照特殊功能产品配置手册。
3.6.1.8. 权限控制策略
权限控制策略,针对关联进程制作成权限文件,赋予用户的控制类型以及安全类别做一定的限制;指定可以制作权限文件的类型,控制用户对权限问价的操作范围和时间,界面如下图所示:
【权限文件类型】权限文件支持类型;
【权限控制类型】【只读】、【打印】、【修改】、【复制】权限,默认为勾选,不可修改;
【内容安全类型】【拷贝控制】、【拖拽控制】、【另存控制】、【插入控制】、【截屏控制】、【连接控制】等,默认全部勾选状态,不可修改;
3.6.1.9. 邮件控制策略
邮件控制策略是为了防止通过邮件通信功能,发送密文而导致泄密,而采用的一种有效策略控制;策略中可以控制邮件源地址、目的地址白名单;邮件发送审批附件查看等机制;如下图所示:
【邮件白名单设置区】,分别设置源地址和目的地址白名单。源地址:发件人地址。目的地址:收件人地址。
【邮件审批设置区】,针对【SMTP】协议进行邮件审批启用控制。 【邮件审计设置区】,仅支持对【SMTP】协议邮件进行完整审计。
三个控制区均可独立及组合执行,所有邮件均可审计;
当【用户角色】中具备特权权限【邮件自解密权限】时,系统仅执行邮件审计控制。
3.6.1.10. 打印控制策略
打印黑白名单管理、打印审计,该模块分为两个控制区,第一个为【打印权限设置区】,分别对【虚拟打印】、【物理打印】进行允许/禁止控制;第二个为【打印审批设置区】,针对【物理打印】启用是否执行审批控制;如下图所示:
打印审计为独立控制体系,只要执行成果【物理打印】均可审计;执行【物理】和【虚拟】打印时需校验水印控制策略,如开启【打印水印】,则需根据水印策略内容完成水印装填。
3.6.1.11. 网络控制策略
该模块是控制应用准入策略配置。通过配置终端应用程序、服务器端口以及地址之间关系,实现对客户端非法访问、用户仿冒服务器等一些非法操作,进行有效访问阻断,达到控制非法访问服务器的目的。
网络控制策略包含:网络准入控制策略、网络访问控制策略、Linux SVN网络控制策略,如下图所示:
【TDI网络准入控制】、【基于Linux版本控制策略区】
协议类型支持 TCP;执行动作包含:Denied、Pass、Proxy、Transfer四个选项; 所有进程在控制范围内都执行当前规则;
定义IP地址作用区间,结束地址必须大于等于开始地址,如果地址相等则只对当前地址有效。格式: , xxx为0到255之间的ASCII字符;
‘*’表示所有IP地址区间,等同于 F|,用‘*’号表示,而不是{*|*} 或者{F|*|*}。 定义端口地址作用区间,结束端口必须大于等于开始端口,如果端口地址相等则只对当前端口有效。格式0到65535之间的ASCII字符。
【NDIS网络访问控制】
该策略控制进程能够访问的网络路径,防止通过该进程将解密的文件传输到网络上;控制访问网络共享;访问指定的网络;控制进程不能够访问的网络路径,防止通过该网络路径进行破解等功能,该控制策略需要驱动做支撑,功能界面如下图所示:
进程访问控制_ PROGNONET:进程不能访问指定的网络路径,通过该策略可以控制进程不能够访问的网络路径,防止通过该网络路径进行破解
进程网络访问控制_ PROGNET:进程与网络路径一一对应,是POLICY_PROGONLYNET策略与POLICY_NETONLYBYPROG策略的并集。
进程关联访问控制_NETRELPROG:指定的进程一旦访问了指定的网络,就将该进程的Pid设置为关联进程Pid,用于为POLICYTYPE_PROGENCRYPT_PID策略提供进程Pid,在访问指定的网络前,该进程可以访问任何网络,但一旦访问了指定网络,该进程不能再访问其它网络,只能访问指定的网络(这时与POLICY_PROGONLYNET类似)。
网络访问控制_ NETONLYBYPROG:网络只能被指定的进程访问,通过该策略可以控制能够访问网络共享等的进程,防止未授权的进程拷贝泄密网络共享等的文件。
进程访问控制_ PROGONLYNET:进程只能访问指定的网络路径,通过该策略控制进程能够访问的网络路径,防止通过该进程将解密的文件传输到网络上。
3.6.1.12. 日志控制策略
日志控制策略主要对透明加密驱动文件操作类日志类型进行过滤,可以针对日志内容进行日志内容排除、日志内容过滤等控制,如下图所示:
对文件操作类日志类型进行过滤,一旦过滤则该类型日志不执行记录和上传; 可以针对日志内容进行【日志内容排除】、【日志内容过滤】等控制。
3.6.1.13. 端口管控策略
端口管控策略,用于对计算机端口进行开启或禁用管控。用户根据需要进行选择,最后点击“保存”完成策略设置。
3.6.1.14. 文件备份策略
对系统造成损坏或者影响用户工作的重要文件,在系统故障时,可通过选择某一版本进行恢复。
用户可在客户端手动设置备份同步策略,把用户自身关心的文件备份到远程服务器、其他磁盘或移动设备上。
远程备份默认为关闭状态,管理员开启备份功能,设定周期时间,策略即可生效,
客户端本地逻辑分区空闲容量低于设定值 5 G时,客户端启动时弹出提示信息。设置界面如下图所示:
3.6.1.15. 外发控制策略
该模块用来设置外发策略,配置客户端外发工具使用权限,如下图所示:
外发控制策略关闭时,外发工具使用不受控制; 外发工具插入外发key后控制策略才生效 用户需具有外发制作权限,才能使用外发工具。
3.6.1.16. 密钥应用策略
密钥应用策略用于设置安全策略组多密钥支持,策略下发后,客户端根据设置密钥值,打开对应多个密钥的加密文件。
智能密钥模式
用户在打开密文时,客户端自动判断当前加密文件使用密钥,进行文件解密。默认为关闭状态,选择启用后生效。 自选择主密钥
用户在打开其他密钥加密文件时,需要通过客户端“切换密钥”功能切换密钥后打开密文。
密钥控制列表
用于设置当前策略组应用密钥,策略下发后,客户端可以打开该列表密钥打开的加密文件。
3.6.1.17. 存储控制策略
该模块用来设置数据存储地址,本处的IP地址是指FTP服务器的IP及端口地址,默认均为本机及默认端口,用户可以根据实际情况自行修改,如下图所示:
3.6.1.18. 辅助控制策略
该模块控制客户端的菜单栏显示,设定某一项菜单的显示、隐藏。简化客户端菜单的暂时不用栏目,隐藏的栏目只是不显示在客户端菜单栏目上,功能不受任何影响。详细设置项如下图所示:
是否添加加密文件上锁图标,这个设置需要客户端更新策略后注销机器方可生效。 为了防止客户端私自卸载,策略中设置了卸载码策略组管控,客户端卸载时必须输入策略对应的卸载码方可卸载客户端。用户可以自定义卸载码信息。
【冗余时间设置】,为了防止服务端出现异常情况,或者客户端没有申请离线的情况突然离线而采用的一种应急冗余措施。在冗余时间内,客户端对加解密文件可以正常操作。 【工作模式】,本系统更好的体现了人性化操作,在非工作时间允许用户切换到个人模式中,编辑文件,该模式下编辑阅读文件,文件不执行加解密。管理员可以自定义工作模式周期。
3.6.1.19. 策略库
【策略库】模块提供维护策略的功能。策略库为系统默认配置,禁止修改,提供导入、导出功能。用户新建策略组可以以策略库为基准导入后再做编辑。
系统初始化提供默认策略库,基本满足大部分用户需求,也可以自己手动维护,下图是加解密策略的一个示例:
策略库的编辑建议由厂家技术人员操作。
3.6.2 签名准入
把策略中允许通过的进程以唯一标识码的方式签名通过,防止伪进程造成泄密。
启用签名应用时,驱动判断所有进程的签名值,如果在列表中,即认为是签名信息
3.6.3 签名策略库
一般与签名准入配合使用,签名策略库主要包括两个功能,第一,防止仿冒进程非法读取加密文档带来的泄密风险,签名策略库与进程签名一起推送到客户端,客户端接收到策略后,对应用软件进程进行真伪鉴别,合法应用可正常访问加密文档,非法应用无法访问加密文档。第二,对于添加到签名策略库中应用软件,开启签名搜集后,客户端不再重复上传应用软件进程。
签名策略库默认内置应用软件签名,支持用户自定义,用可以根据实际需要自主添加软件签名。
【添加】
用于添加应用软件签名,点击“添加”按钮,属于软件名称和签名关键字后,点击“添加”完成新增软件签名。
备注:软件名称用户自定义,签名关键字指的是应用软件签名人信息中的名称,如图所示(Office签名关键字):
【删除】用于删除应用软件签名。
点击删除按钮,系统会提示“是否删除”,选择“是”,则删除软件签名。
3.6.4 检测配置
检测配置功能用于设置智能加密检测策略,一条完整的智能加密策略包括DLP策略(策略列表)和基础配置两部分,一条DLP策略由检测规则组和响应规则组成,一条检测检测规则组由一条检测规则或多条检测规则组成,检测规则是智能加密策略的基本组成单元。
备注:
(1) DLP策略包含一条检测规则组或多条检测规则组,可实现检测规则直接“或”的关系;
(2) 检测规则组包含一条检测规则或多条检测规则,可实现检测检测规则“与”的关系;
3.6.4.1. 检测规则管理
检测规则管理用于设置敏感内容检测项,是智能加密策略的基本组成单元;敏感数据监测规则包括“正则表达式”、“关键字”、“文件属性”、“文档指纹”四种检测规则,用户根据敏感数据内容特征选择对应的检测规则。
检测规则管理包括规则的“新增”、“编辑”、“删除”、“查询”四项功能,具体操作如下: 新增
以下以“关键字”为例进行操作说明;
(1) 点击“新增”,填写检测规则名称和选择“检测规则”;
(2) 设置识别关键字内容
说明:
完全匹配:识别出的敏感内容与设置内容一致;
非完全匹配:即模糊匹配,例如“核心中国机密”,虽然中间插入“中国”,但也识别为敏感数据;非完全匹配插入内容长度为10字节;为识别内容; 关键字对:用于使用多个关键字组合,实现敏感内容识别; (3) 点击“确定”,完成一条检测规则设置;
备注:检测规则编辑、删除、查询功能使用简单,本说明书不做详细说明;
3.6.4.2. 检测规则组管理
检测规则组用于设置使用多种检测规则对敏感数据文档识别规则,即“与”的关系。 一条检测规则组可以包含一条或多条检测规则,检测规则组包括新增、编辑、删除、查询四项功能,其中编辑、删除、查询功能使用简单,本文档不进行操作说明,重点介绍如何新增一条检测规则组:
(1) 点击新增,设置检测规则组名称;
检测规则组名称,一般根据要识别的文档类别选择。
(2) 点击“添加规则”,勾选检测规则,选择完成后,点击“确定”按钮
(3) 设置检测规则组匹配阈值;
点击“规则阈值”列,根据实际情况设置阈值;
完成以上设置后,点击“确定”按钮完成检测规则组设置;
3.6.4.3. 响应规则管理
响应规则管理,用于设置匹配到检测规则的敏感数据的响应动作,智能加密中,响应规则只有”文件加密“一种,该部分不需要设置;
3.6.4.4. 策略列表
策略列表,用于设置敏感数据智能加密的识别规则,一条策略由检测规则组和响应规则组成,包含一条检测规则组或多条检测规则组。
其他功能操作简单,本文档不进行说明,重点对新增策略进行操作说明,具体如下: (1)设置策略基本信息,包括策略名称、优先级、严重性等级、策略描述;
策略基础配置中,策略名称、优先级、严重性等级为必填项,设置完成后点击“下一步”按钮;
(2)添加检测规则组
点击“添加规则组”,勾选检测规则组;
选择完成后,点击 “确定”按钮,完成检测规则组选择;
(3)设置”例外检测规则组”
点击”下一步“按钮,设置“例外检测规则组”,例外规则组添加与检测规则及检测规则组操作基本相同,本部分不再进行说明;
(4)设置“响应规则”
点击“下一步”按钮,设置相应规则; 选择“添加响应规则”按钮,勾选“响应规则”
勾选完成后,点击“确认”按钮完成响应规则选择;
最后,点击“确定”按钮,即可完成一条策略添加设置;
3.6.4.5. 基础配置
基础配置,用于设置智能加密策略基础项设置,包括“加密方式”、“全盘扫描文件类型”、“全盘扫描开关”、“文件变动监控”;
【基础项说明】 (1)加密方式
加密方式用于设置客户端加密方式,包括通用扫描加密和编辑加密两种加密方式,其他加密方式作为扩展项保留,暂不生效;
通用扫描加密:实现全盘历史数据初始化扫描识别加密; 编辑加密:实现文档编辑保存时,对内容进行识别加密;
注意事项:基础配置根据需要必须加密方式,负责智能加密不生效; (2)文件类型
文件类型,用于设置历史数据全盘扫描文件类型,智能加密本版本仅支持Office、WPS、PDF类型文档; (3)通过扫描开关配置
通用扫描开关:用于开启历史数据全盘扫描功能;
文件变动监控检测开关:用于开启文档监控,启动识别引擎进行敏感数据检测与识别; 【操作说明】
(1)点击“新增”,设置配置项名称及选择基础配置项;
(2)以上设置完成后,点击“保存”按钮,完成基础策略配置设置;
3.7 预警管理
针对【流程审核】、【数据使用】等方面执行风险预警。Email通知/终端消息通知,如下图所示:
【流程审核】预警设置包含:文档解密流程违规预警、文档还原流程违规预警、文档外发流程违规预警、权限申请流程违规预警、邮件解密流程违规预警、离线申请流程违规预警等设置项,预警频率都为实时,如下图所示:
【数据使用】预警设置包含:流程解密预警、外发制作预警、特权解密预警、特权还原预警、特权打印预警、特权邮件预警,预警频率都为实时,如下图所示:
一旦触发风险预警,系统自动发送管理员预警通知; 数据使用预警以天为计算单位,每天最多触发一次预警通知; 【预警员的添加、删除】
点击【预警管理】页面内的【预警冒泡、邮件人员设置】行的【详细信息】,页面切换到预警员列表页面,如下图所示:
点击【添加】按钮,在用户列表内点击【操作】列的添加链接。【添加】链接文字,转换为【已是预警员】,表示预警员设置成功。如下图所示:
3.8 流程管理 3.8.1 表单管理
表单管理,内容式样支持查看,表单列表包含:【文档解密流程表单】、【文档还原流程表单】、【文档外发流程表单】、【邮件外发流程表单】、【离线办公流程表单】、【权限申请流程表单】等
3.8.2 流程模版
优化流程管理模块,支持业务流程模板,系统默认给与了六个流程模版;默认一级审批员为系统管理员,用户可以自行修改。
在导航栏选择【流程管理】模块,点击【流程模版】子模块,页面内功能提供管理员,添加申请等级、删除申请登记、查看模版详情,针对审批登记中的审批员,设置审批范围等功能,如下图所示:
【增加申请等级】
点击【模版详情】,进入到模版详情页面,点击【增加申请登记】按钮,增加一级审批
登记,如下图所示:
增加登录完成,点击【添加审批员】进入选择用户界面,选择本级的审批员;选择用户界面如下图所示:
添加审批员成功后的界面如下图所示:
删除审批员操作,点击【删除申请审批员】按钮,最后一级审批员将被删除。为了保证流程的完整性,至少要保留一个审批员。
当前流程提交时申请人同时为审批人时,流程引擎自动过滤,自动将流程申请提交至当前审批人所处的下一审批节点:系统不提供自我审批功能,VIP用户可设置特殊用户角色权限不执行流程申请,如【可自解密】等;
当前流程提交时申请人不为审批人时,流程自动从第一级节点开始。 【设置审批范围】
点击【模版详情】,进入到模版详情页面,点击【审批员】列的用户,如下图所示:
弹出【审批员管理范围】页面,勾选对应的组,完成管理范围的分配,如下图所示:
3.9 算法管理 3.9.1 指纹库管理
用于对文档进行智能学习,形成文档指纹库,实现对敏感数据文档进行识别与检测; 【操作步骤】
(1) 点击“新增”,设置文档指纹库
(2) 填写指纹库名称,一般根据文档类别命名,如“管理制度”、“财务数据”等;
(3) 上传学习素材
点击“浏览”,上传学习素材进行智能学习;
最后点击“确定”按钮,完成文档指纹创建;
注意事项:上传学习素材必须为zip压缩包,大小不超过300M; 3.10 系统维护
此模块主要包含:【升级管理】,【数据库管理】,【应用无效进程】,等三个功能项。
3.10.1 升级管理
在导航栏选择【系统维护】模块,点击【升级管理】,跳转到【客户端升级】界面,如下图所示:
【客户端升级】界面点击【上传补丁】,跳转到【上传补丁】2界面,如图所示,点击【浏览】,选择升级包文件路径地址后,点击【确定上传】,客户补丁包上传成功跳转到【客户端升级】界面。
3.10.2 数据库管理
在导航栏选择【系统维护】模块,点击【数据库管理】,跳转到数据库备份界面,如下图所示:
此界面内提供两个功能,分别是【备份数据库】和【还原数据库】。点击【数据库备份】,
实现数据库的备份,备份的路径在后台已配置;点击【还原数据库】,实现数据库的备份还原操作。
3.10.3 应用无效进程
无效进程主要是指那些“无窗口的程序”和“挂不上钩子的程序”(在策略管理里面设置无效的进程,需要添加到该进程进行再次控制)。
从导航栏选择【系统维护】模块,点击【应用无效进程】,跳转到应用无效进程界面,如下图所示:
进入【应用无效进程】界面,击【添加】按钮,跳转到【添加】界面,如下图所示:
3.11 后台配置
【后台配置】:此功能模块主要配置数据库信息、域环境信息,邮件信息,以及上传下载路径,方便管理员维护系统使用。
配置管理员configadmin;密码默认为:123456
主要模块有:【数据库配置】,【AD域配置】、【邮件配置】、【上传下载】、【管理员】、【数据库备份】、【返回首页】功能项。 【数据库配置】
【数据库用户名】输入所要连接的数据库用户名; 【数据库密码】输入用户名所对应的密码;
目前只支持MS-SQL,所以这里默认就已经选择了MS-SQL; 【数据库IP】连接的数据库IP地址,如果是本机,默认即可;
【连接测试】功能按钮,检查所连接的数据库是否正确创建了名为CobraDGServer的数据库;
点击【保存】功能按钮,将对所设置的信息进行保存;
未保存之前,点击【重置】功能按钮,将使输入的信息还原到初始时所设置的信息。
【AD域配置】
【LDAP自动同步】:是与否的选择决定了能否自动进行用户同步。 【LDAP的自动同步周期】:设定同步周期数。 【同步周期的周期单位】:设定同步的周期单位。
【LDAP域的类型】:设置各种不同域的类型,目前只支持AD域。 【LDAP是否存在备用域】:基于用户的备用域。
【LDAP路径】:设置域服务器IP地址,以及相应的端口信息。 【LDAP指定连接名】:设置域管理员用户名。 【LDAP指定连接密码】:设置域管理员用户密码。
【LDAP指定连接全DN】:设置域中DN,OU组织单元,DC域名和DC域名后缀。 【LDAP同步OU节点数】:设置同步OU组织单元,右键可以添加、删除节点。 【节点】: 设置OU组织单元,OU为组织单元名称,DC为域名,CN为域名后缀。 【邮件配置】
【发送邮件服务器】,设置邮件服务器。
【发送邮件服务器端口】:设置发件服务器端口,使用默认值25。
【系统邮件发送源帐号】:发件箱的邮件账户;系统中用户提交解密申请,所使用的邮件账号统一为此处配置的账号; 【系统邮件帐号密码】:发件箱密码。
【申请审批发送邮件】:选择【发送】,用户在申请外发解密申请时,会以冒泡提示的方式通知管理员,请求管理员审批。选择【不发送】,用户在申请外发解密申请时,管理员不会收到提示。
【上传下载】
【上载文件大小的设置】:设置允许上传文件大小的上限,默认最小值为5 MB,最大值为100 MB。
【备份路径】:文件在服务器上存放路径盘符。
【管理员】
用户设置配置管理员密码,修改完毕后点击保存完成设置。
【数据库备份还原】
用于设置数据库自动备份,根据需要进行设置,点击保存完成。
3.12 帮助
【帮助】:功能模块里面主要是对授权文件进行更新和替换,以及版本信息的查询。 【版本信息】
初始版本显示页面为【导入授权】。授权导入成功后,显示的是【版本信息】,如:版本号,版本类型,版本类别,授权用户,用户人数,授权期限和版本启用时间等信息,如下图所示:
【导入授权】
对CDG系统进行不同版本授权文件的替换和更新操作。选择不同的授权导入,对应不同的版本。授权信息中包含了用户的使用数量和时间,以及版本类型等信息,导入界面如下图所示:
因篇幅问题不能全部显示,请点此查看更多更全内容