1、1电子文件数据加密系统软件介绍目录一、产品介绍二、安装部署三、功能使用四、最佳配置一、产品介绍由于电子文件具有易于复制、易于传输的特点,电子文件的管控一直是个难于解决的问题。同时电子文件的使用是日常办公的最基本的形式。如何解决好电子文件信息的安全性和日常办公使用的方便性。XX安全数据加密系统贯彻先进的设计理念,从产品的安全性、易用性、易管理性三个方面入手,采用先进的“双缓存驱动层透明加解密技术”对数据的源头即源文件进行加密保护,该加密方式属于用驱动层透明加密技术,文件加解密的过程对用户透明,用户不会感知加解密过程存在。对用户使用习惯无影响。同时解决文件在加解密过程中损坏的问题。除了对文件加密外
2、还对加密文件进行权限控制、使文件在单位内不被随意传播,保证机密文件在单位内部的安全性。XX安全数据加密系统让用户对文件整个生命周期的安全进行管理。从文件的创建、存储、使用、流转和销毁全过程进行保护,同时不影响用户使用习惯。一、产品介绍 XX安全数据加密系统向最终用户提供服务采用的是C/S架构,向管理员提供服务采用的是B/S和C/S架构,其主要组成部分包括客户端(BDMAgent)、后台服务器(BDMServer)、控制中心(BDMNOC)构成。客户端(BDMAgent)通过消息中间件(MOM)与服务器端(BDMServer)进行通讯。管理员通过控制台(BDMNOC)或者以WEB的方式来管理或设
3、置各种文件安全管理策略。二、安装部署服务器硬件环境要求终端数量终端数量服务器最低配置要求服务器最低配置要求5000个以下CPU:主频2.6Ghz 核心数4 内存:16G 硬盘:100G5000-10000个CPU:主频2.6Ghz 核心数4 内存:32G 硬盘:100G10000个以上CPU:主频2.6Ghz 核心数8 内存:32G 硬盘:100G单台服务器承载终端数量与服务器硬件环境的要求二、安装部署服务器软件环境要求用途用途版本版本后台服务Windows Server 2008 R2及以上版本数据库Windows Server 2008 R2以上版本操作系统二、安装部署用途用途版本版本数据
4、库Windows SQL Server 2008 R2以上版本数据库概要概要用户端用户端端口端口访问关系访问关系服务器端服务器端端口端口备注备注用户用户PC与服与服务器间访问务器间访问关系关系用户PCany1024加密策略服务器IP地址1IP地址221(需考虑行方安全,端口可更换安全端口)用户数据备份所使用的命令端口与数据传输端口102420(需考虑行方安全,端口可更换安全端口)10241234或8080审批员所使用审批平台的访问端口10249001向客户端、分级管理控制平台提供服务端口服务器与服服务器与服务器间访问务器间访问关系关系加密策略服务器IP地址1IP地址21024数据库服务器IP地
5、址31433日志访问、审批以及管理提供的数据服务端口1024AD域服务器IP地址4445、389、88、53后台服务器组织架构与用户同步、转发客户端认证信息至AD域服务器的应用端口二、安装部署网络端口开放要求二、安装部署系统组件介绍服务程序XX安全数据加密系统控制中心程序Web平台程序客户端程序备份系统程序数据库程序二、安装部署数据库安装1、提前安装Windows SQL Server 2008 R2以上版本数据库程序,且开放sa账号。2、将Asiainfo.mdf、Asiainfo_log.LDF、AsiainfoLog.mdf、AsiainfoLog_log.LDF附加到数据中。二、安装部
6、署服务程序安装 运行DMService-Setup.exe程序,默认选择下一步,直至安装完成。为客户端、控制中心提供服务二、安装部署控制中心程序安装 运行DMCenter-Setup.exe程序,默认选择下一步,直至安装完成。提供策略配置解密二、安装部署备份系统程序安装 运行FtpService-Setup.exe程序,默认选择下一步,直至安装完成。提供FTP服务和客户端版本升级服务二、安装部署Web平台程序安装 运行Web-Setup.exe程序,默认选择下一步,直至安装完成。提供审批和日志审计升级服务二、安装部署客户端程序安装 运行SetupClient_*.exe程序,默认选择下一步,直
7、至安装完成。注意:1、应提前配置config.ini文件填写相应的服务器IP地址、服务端口信息。2、安装时将config.ini文件和客户端程序放在同一级目录,或者打包成自解压格式。参数名称参数名称(*为必填项)为必填项)参数值范围参数值范围参数说明参数说明*SYSNAMEXX安全数据加密系统软件_AOS_TDE终端系统显示名称*MainServerIP主服务所在的地址*SlaveServerIP从服务所在的地址*ServerPort9001主、从服务的通讯端口*ftpipIP备份服务所在的地址*Ftpport21备份服务的通讯端口*DisableFireWall0 或 11.参数等于0时,正
8、常加载应用保护防火墙。2.参数等于1时,停止加载应用保护防火墙。DisableMicroEdge0 或 11.参数等于0时,放行Edge浏览器。2.参数等于1时,禁用Edge浏览器。*EncryptType0 或 11.参数等于0时,系统使用AES算法。2.参数等于1时,系统使用国密算法。zipPath绝对路径,例如 D:qzfile_backupxls、xlsx文件安全备份的路径(文件经过隐藏、加密、分片,需专用工具进行提取)unZipPath绝对路径,例如 D:qzunfile专用工具进行提取备份文件保存路径delDate整数xls、xlsx文件安全备份的时间长度,以天为单位Require
9、InjectAs1解决部分特殊WIN10电脑打开32位程序很慢问题,有该情况配置LogDelDate整数客户端运行日志保存周期,以月为单位Config配置文件参数说明二、安装部署服务数据配置二、安装部署 当服务程序安装完成后,需要对服务相关的一些参数进行配置,配置工具通过执行开始菜单中的“Asiainfo-Sec”-“QZDMService”-“服务器数据库配置工具”-“数据库配置”选项卡。AD域配置二、安装部署 当服务程序安装完成后,需要对服务相关的一些参数进行配置,配置工具通过执行开始菜单中的“Asiainfo-Sec”-“QZDMService”-“服务器数据库配置工具”-“AD域配置”
10、选项卡。服务器配置二、安装部署 当服务程序安装完成后,需要对服务相关的一些参数进行配置,配置工具通过执行开始菜单中的“Asiainfo-Sec”-“QZDMService”-“服务器数据库配置工具”-“服务器配置”选项卡。服务器配置项说明:服务器侦听端口:是指当前XX安全数据加密系统服务的通讯端口。自动同步时间:是指AD域的组织架构自动同步时间。系统日志目录:服务输出日志存放的路径。日志保存周期:日志保存的时间,填写自然数,例6表示保存近6个月的日志。保存加解密日志:输出加解密接口日志的开关。保存其它系统日志:输出系统的运行、网络运行日志。注意:配置完成后需要重启该服务(QZDMService
11、服务)。多AD域配置二、安装部署 当服务程序安装完成后,需要对服务相关的一些参数进行配置,配置工具通过执行开始菜单中的“Asiainfo-Sec”-“QZDMService”-“服务器数据库配置工具”-“多AD域配置”选项卡。配置方法:1.勾选“多AD验证方式”2.在接口配置中,将“ADMulti”设定为同步接口3.接口配置进入口令为adc123!系统授权二、安装部署 获取系统授权序列号,在开始菜单-Asiainfo-Sec-“QZDMService”-“授权升级”三、功能使用控制中心登录当安装部署完成后需要登录控制中心对系统完成有关配置,点击Asiainfo-Sec控制中心说明服务器:是指X
12、X安全数据系统服务端地址用户:使用系统初始化用户 admin密码:使用初始化密码123456qz端口:使用服务器数据库配置工具中服务器配置的端口三、功能使用对象管理 对象管理包括终端管理、部门管理、角色管理和审批管理。说明终端管理:对公司的所有安装XX加密客户端的计算机进行统一的管理。部门管理:管理部门,对公司的组织架构以及员工进行统一的管理。角色管理:对使用XX安全数据加密系统的所有用户的账号进行统一的管理。新建账号和删除账号都在这里完成。并对角色进行分类。角色分为普通用户、控制台管理员、特权用户、普通管理员3种角色。审批管理:审批员管理是对公司的每个部门的审批员进行管理。三、功能使用终端管
13、理终端管理 客户端登录系统时由系统自动完成注册,注册成功后将显示在终端列表区域。在终端列表右击菜单中可以进行修改终端、删除终端、刷新终端、注销终端、整盘加密、整盘解密、目录加密、目录解密、终端信息、检索加密、终止检索、终端升级、版本回退以及设置认证等操作。三、功能使用修改终端 选择一个部门,在终端列表中选择一台需要修改的终端计算机,右键修改终端在弹出的终端属性窗口中设置终端属性。三、功能使用删除终端删除终端 选择一个部门,在终端列表中选择一台需要删除的终端计算机,右键删除终端。注意:删除终端后,登录登录后需要重新注册。三、功能使用刷新列表 刷新列表用于刷新当前终端列表窗口。选择一个部门,在终端
14、列表中选中要刷新的终端,右键刷新类表。三、功能使用注销终端 在终端显示列表的上方,选中某个部门的某台需要注销的终端计算机,右键-点击注销终端。发布终端注销后,终端所在的计算机右下角会弹出注销成功提示窗口。三、功能使用卸载终端1、在终端显示列表的上方,选中某个部门某台需要卸载的终端计算机,右键卸载终端。注意2、如果在该终端计算机有用户登录的情况下,会弹出一个提示窗,点击“是”,则卸载终端,点击“否”则取消卸载。三、功能使用整盘加密整盘加密1、设置整盘加密格式整盘加密前先要设置整盘加密格式,可在“配置”-“格式设置”设置全局策略,也可在每个部门下右键“整盘加密格式设置”设置局部策略。注意:整盘加密
15、的格式是在部门管理模块中设置。整盘加密当指定路径是指加密指定的路径下的文件,不指定是全盘加密。点击“开始”按钮之前勾选“扫描时候备份文件”可在整盘加密之前备份需要加密的文件,不勾选则不备份。2、指定终端在终端显示列表的上方,选中某个部门的某台需要整盘加密的终端计算机,右键整盘加密,点击后策略发布完成。3、在终端上点击开始在该终端计算机有用户登录的情况下,会弹出一个“整盘扫描加密”的对话框。三、功能使用目录加解密目录加密 右键菜单中选择目录加密,弹出提示框要求输入该终端已存在的且需要加密的本地路径。(目录加密的格式是在部门管理模块中设置的)目录解密 右键菜单中选择目录解密,弹出提示框要求输入该终
16、端已存在的且需要解密的本地路径。(目录解密的格式是在部门管理模块中设置的。三、功能使用开始和终止检索加密1 检索加密前需要先在控制中心的“配置”-“文件检索加密”中设置检索的规则 系统支持两种检索方式,按“文件名称”或“文件内容”进行检索,可以添加多条规矩同时控制检索加密结果。2 检索加密规则设定后,在终端显示列表的上方,选中某个部门的某台需要检索加密的终端计算机,右键-点击检索加密 该终端计算机在有用户登录的情况下,会自动弹出关键字扫描加密的窗口,根据检索的条件自动扫描全盘加密。3 在终端显示列表的上方,选中某个部门的某台需要整盘加解密的终端计算机,右键-点击中止检索。发送中止检索后,会立刻
17、关闭关键字检索加密的窗口中止检索加密。三、功能使用终端升级 在终端显示列表的上方,选中某个部门的某台需要升级的终端计算机,右键-点击终端升级。注意:终端升级前需要先把终端升级包拷贝至备份服务器的文件备份目录下,按实际情况放置例如:c:HomeDirqzdmupdateexternfile下。三、功能使用终端列表管理和统计选中company或某一部门右键菜单出现以下列选项。(1)选择“显示全部终端”:则在右侧的终端列表中显示所有已登录或未登录的终端。(2)选择“显示已登录终端”:则在右侧的终端列表中显示所有已登录的终端。(3)选择“显示未登录终端”:则在右侧的终端列表中显示所有未登录的终端。(4
18、)选择“显示回收终端”:可以将长时间不使用的终端进行回收,避免占用节点数,在弹出窗口中输入具体的天数,点击“查询”后,即可在右侧的终端列表中显示所有大于或等于该天数的终端。(5)选择“客户端数据统计”:对终端数据进行柱状图的统计。(6)选择“终端升级”:则该部门下的用户在登录状态、重启终端托盘、或重启电脑时,会收到终端升级的提示。(7)选择“版本回退”:该部门下的用户登录过终端后,重启托盘或重启电脑时,会自动回退三、功能使用创建本地部门、用户 在功能导航-部门管理公司名称下,选中“company”,右键鼠标,选择“添加部门”在添加部门的窗口,填写好部门属性后如右图,按“确定”按钮就可以新建了一
19、个公司名称下的部门。在功能导航角色管理普通用户,选中右键鼠标,选择“添加用户”,填写用户信息。三、功能使用导入AD部门、用户1、AD域配置域配置开始菜单-“Asiainfo-Sec”-“QZDMService”-“服务器数据库配置工具”-“AD域配置”。2、配置自动同步时间、配置自动同步时间开始菜单-“Asiainfo-Sec”-“QZDMService”-“服务器数据库配置工具”-“服务器配置”。3、重启服务、重启服务配置完成后,重启服务使配置生效,等待指定时间进行同步。4、手动、手动AD用户同步用户同步AD域配置完成后,也可以选择手动同步。三、功能使用部门信任关系设置 通过设置部门间的信任
20、关系,可以指定部门与部门之间加密文件是否有使用权限,控制加密文件的流转范围。设置了该策略后,加密文件流转到任意部门都可以打开1、允许所有部门文件相互打开三、功能使用 单向信任 设置单向信任时,如A部门信任B部门,B部门的加密文件可以被A部门打开,而A部门的加密文件B部门无法打开。双向信任 信任部门和被信任部门的加密文件可以相互打开。2、指定信任部门三、功能使用 审批设置审批策略有:1、自动审批,自动审批可分全局自动审批、指定部门自动审批、指定用户自动审批。2、手动审批,手动审批可分为全局手动审批、指定部门手动审批。设置自动审批后,文件解密以及其它需要审批的功能,均自动完成操作,不需经过审批流程
21、。设置手动审批后,文件解密以及其它需要审批的功能,需经过审批流程才可以完成操作。三、功能使用1、全局自动审批、部门自动审批三、功能使用2、指定用户自动审批选中用户,右键-设为自动审批。三、功能使用3、手动审批-设置审批员进入手动审批流程,需要提前设置审批员。三、功能使用4、设置跨部门审批员图中test 为跨部门审批员三、功能使用解密申请策略解密申请策略可以设置:允许用户申请解密自己文件允许用户申请解密所有文件允许用户离线解密所有文件在线审批策略三、功能使用在线解密策略 当系统未设置“允许用户申请解密所有文件”时,可以给某个用户设置只能申请解密指定用户制作的文件。操作:普通用户右键,选择“在线解
22、密策略”菜单-弹出为选中用户xxx分配解密用户的窗口在窗口中为xxx添加解密用户后,点击“确定”按钮即可分配成功,xxx即可为所选的用户的加密文件进行申请解密。如果勾选“解密全部用户”选项,即可申请解密整个公司的加密文件。三、功能使用设置特权人 当某个用户身份比较特殊需要的权限比较大时,可以设置问特权人操作:在用户列表中选择被设为特权人的用户,右键设置特权人-弹出设置特权人的信息,可以选择成为哪个部门的特权人,支持单选和多选,也可以选中部门右键-勾选取消勾选当前和子部门;勾上“允许访问私有文件”选项,表明有权限访问个人的私密文件,反之,则无。三、功能使用默认用户策略 默认用户策略是每个用户默认
23、存在的策略,在新创建用户后直接拥有这些用户策略。操作:操作:普通用户右键,选择“默认用户策略”菜单-弹出设置默认用户策略窗口中-勾选需要的用户策略。点击设为默认策略后,新建的用户则默认继承了该策略。点击应用策略:勾选需要的用户策略,设为应用策略,则当前所有的用户都修改为该策略。三、功能使用允许分级管理 当用户需求是有双重身份,普通用户和分级管理员时可以把用户设置为允许分级管理操作:普通用户右键,选择“允许分级管理”菜单。-在弹出的窗口中勾选需要的属性“确定”即能完成设置三、功能使用其余用户管理1、控制台管理员控制台管理员控制台管理员是用来登录控制中心的,选中控制台管理员,其控制台管理员用户则在
24、右边列表中显示。新增、修改、删除等用户操作和普通用户类同。2、特权用户特权用户拥有访问所选部门的加密文件的权限,如果勾选访问私有文件选项,则可以访问所选部门的私有文件的权限。新增、修改、删除等用户操作和普通用户类同。3、普通管理员普通管理员可以对普通用户管理。有关设置和普通用户类同。当为该管理员选择需要分配的部门,以及是否有全局配置、部门策略、用户策略、策略模板、删除部门、常用工具、设置分级管理员的权限确定即可。此时该普通管理员登录控制中心后,既可管理其所负责的部门。三、功能使用策略配置 策略配置包含部门策略、用户策略以及策略模板三部分。部门策略:对部门的应用进行管理。根据每个部门对不同应用的
25、安全要求不同,可以定制不同的部门应用加密策略;配置好策略后会自动下发到该部门终端用户。用户策略:对不同的用户定制不同的权限与功能。策略模板:按需求对模板策略就行修改或者新增模板。三、功能使用部门策略 当需要给部门配置策略时,在策略配置导航栏-部门策略-选择某个部分-在弹出的策略选择窗口中勾选有关策略“确定”可完成对部门策略的部分设置。在右框的加密选项中可以选择运用的加密选项,点击“修改加密属性”按钮完成部门策略配置加密说明:自动加密:对文件进行自动加密。手动加密:对文件进行手动加密。透明加解密:对文件的加密解密都在后台进行,对用户来说是完全透明的。未加密文件第一次写时加密:没有加密的文件第一次
26、修改保存后自动加密。使用加密副本:对原文本拷贝一个副本,对副本进行加密。扩展名不匹配禁止加解密:文件的扩展名不是进程属性列出的扩展名就禁止加解密。三、功能使用部门策略管理 当2个或多个部门间的策略需求相同时,可以通过在已配置好策略的部门-右键策略复制在被需要策略的部门-右键粘贴策略完成相同的策略配置。当某个部门策略比较符合实际使时可以把这个策略设置为公共策略,然后应用的所有部门,即所有部门都具有该策略。三、功能使用用户策略 当需要给用户配置策略时,可在策略配置导航栏中-用户策略-company下选中某个部门-在右边窗口会显示该部门的所有用户-选择某一个用户在终端功能许可中勾选需要设置的权限点击
27、“应用策略”按钮则应用刚设置的用户策略,点击“放弃更改”则放弃刚设置的用户策略更改。当某个用的的策略比较具有实用性时,可以选择该用户右键应用到所有部门,即所有部门用户都有该属性。应用到指定部门在弹出的部门中勾选指定的部门,即指定的部门用户都具有该属性。三、功能使用策略模板 当系统默认的策略不太符合实际使用时可以通过新建策略创建比较实用的策略当需要添加某些定义的加密时,可以通过新建加密类型来增加需要加密的类型。在进程名称属性框中输入进程的名称,在扩展名中输入需要加密的格式-点击“添加”按钮即完成一个加密类型的设置。“修改”按钮是对原有的属性进行修改。当确认不需要某个策略时可以右键删除策略名称(该
28、策略名称下所配置的加密类型也一同删除)当感觉策略命名有歧义时-右键修改策略名称-修改策略的名称修改类型名称和修改策略名称同理。三、功能使用控制台配置菜单栏系统配置:是对加密系统的全局配置。系统容灾:设置在服务器出现故障、断网、员工使用终端异常等情况时可自动切换成容灾模式。容灾登陆后,可以加密文件和使用有权限的文件,但不能发起解密申请。只能在有效期内进行容灾登陆。当容灾策略设置为0时,在服务器故障、断网的情况下,终端用户会自动注销,同时把打开的加密文件都强制性关闭。数据库备份:备份策略是备份系统服务器现状的所有策略。备份日志是备份系统审计日志平台上现状所有的日志记录。清空日志:清空系统审计日志平
29、台上现状所有的日志记录。格式设置:用于设定保密文件夹和落地加密策略的格式。外发策略:用与设置外发策略的属性。应用保护:共享配置是对共享文件夹下载文件自动加密(需要制定的资源管理器配合)。服务器配置是对远端的文件管理系统设置下载自动加密上传自动解密客户端配置用于配置指定的端口和进程放行访问。转跳应用保护用于配置指定的转跳进程对应的ip和端口进行对加密系统的调用。三、功能使用控制台配置菜单栏全盘扫描过滤:用于设置全盘加密时不加密的目录。杀毒扫描软件:用于设定杀毒软件,设定的杀毒软件扫描的时候加密文件自动解密默认解密理由:设置解密申请时,默认填入的文本信息。文件加密检索:用于配置加密系统对指定属性的
30、文件进行加密。其中文件名称检索的是任意格式的文件,文件内容检索的是记事本和office文件。水印设置:其中包含打印文件水印设置和文档水印设置。可以把水印应用的某个用户组,也可应用到全局组,当应用到全局组时,系统的所有用户都可以使用该属性,在两个水印设置完成后在用户策略中的文件水印和打印文件水印权限才有水印效果。三、功能使用控制台配置菜单栏 加密算法:加密系统提供高级对称加密算法AES 以及国密加密算法两种加密算法选择。打印机许可设置:用于管理登录用户的打印机使用。登录验证方式:配置用户登录的严证方式。(包含域认证,用户口令认证和数字签名认证)加解密接口认证:系统提供java平台加密控件,应用系
31、统开发人员可灵活调用加密控件,对应用系统中数据提供加密服务,下载加密文件,终端电脑需要安装加解密客户端并登录才能使用加密数据;该模式与应用系统高度集成,开发商对其调用方式灵活可控,对最终使用用户影响最小。加解密接口需要配合加密服务器才能正常使用即加解密接口认证。三、功能使用控制台工具菜单栏 查找工具:用于查找指定的内容。导出报表:可以勾选部门导出部门终端以及审批员报表。USB Keys 制作:可以给用户制作登录Ukey,离线Ukey以及对制作的Ukey回收。离线手动注册:当用户在终端需要脱离server端网络时,申请离线申请手动注册后管理员可以在该模块授权终端离线。生成客户端包:用于生成客户端
32、安装包和配置文件模板。三、功能使用终端用户登录 当在控制中心配置好用户的部门和有关的用户策略后,用户便可以在用户端登录并接受server端的策略控制。双击XX安全数据加密系统软件_AOS_TED图标运行终端右键选中“用户登录”菜单,出现终端登录窗口在弹出的窗口输入管理员分配的账号和密码点击“登录”完成登录动作。登录成功后会提示登录成功。三、功能使用注销登录 当用户在登录的状态下需要登录别的用户或者退出终端需要注销登录。鼠标单击终端图标,出现终端菜单,选择“注销登录”成功注销登录,也会弹出一个消息框提示用户成功注销登录。三、功能使用离线管理 当用户终端不在服务端网络环境内,可以离线登录。登录方法
33、和用户登录同理 当用户要脱离服务端网络办公时可以申请离线-在弹出的对话框中填写离线申请的属性(手动注册需要在控制中心-工具菜单栏-离线认证下完成认证)三、功能使用外发制作 当客户需要本公司文件时,如果把解密的文件直接发送给客户则出现泄密的可能,这时就可以把加密文件制作成外发文件,并且可以设置其有效期,将制作后的外发包发送给客户,客户双击后可直接开启并阅读。超过有效期,则不能使用。说明:密码验证:选择密码验证时,设置输入密码,在客户打开外发文件时就必须使用该密码才可以正常浏览文件。USB-KEY:在制作外发文件时,必须插入usb-key。用户把外发文件文件的所有权限信息都放在usb-key中。当
34、客户需要打开外发文件时必须插入usb-key才可以正常浏览文件。序列号认证:打开需要序列号认证的外发文件,每一台电脑会产生一个和操作系统绑定的序列号,只需要客户将该序列号发送给系统厂家制作一个对应的认证号,才可以打开该外发文件。三、功能使用外发认证 当外发制作认证方式选择序列号认证时客户双击打开时,弹出序列号认证窗口此时客户把该序列号发给系统管理员后,管理员选择终端托盘菜单的文件外发外发认证菜单-把客户发过来的序列号拷贝到文件外发授权窗口的序列号框中,点击“生成认证码”按钮即可生成一个认证码三、功能使用外发提取 在外发文件没有过期的情况下,选择外发文件和提取保存的目录,点击“提取”即可把外发文
35、件提取出来。提取出来的外发文件是加密的。三、功能使用我的申请 当在你需要查看你提交的解密申请、离线申请、拷贝申请内容和当前状态时,可以查看我的申请。选择“待审批”页面,用户可以查看到解密申请、离线申请、拷贝申请的待审批记录。选择“已审批”页面,则可以查看到解密申请、离线申请、拷贝申请的已审批记录。三、功能使用我的审批 当账号是审批员账号时会收到普通用户的审批申请。在审批人的终端托盘会闪动,点击后出现消息框。此时在终端托盘菜单处选择“我的审批”菜单,会弹出审批窗口-在待审批列表-勾选审批审批项-“同意”则通过审批“拒绝”则审批不通过。注意:在部门的审批人中有2个审批等级或者以上,则审批申请必需要
36、通过所有审批等级的人员同意,才算审批通过。三、功能使用保密截屏 当双方都在同一的加密系统网络环境内,某一方想要查看另外一方的加密文件的某些片段内容时,可以通过保密截屏功能实现。保密截屏发送的内容是经过加密的。操作:终端托盘菜单处选择“保密截屏”菜单在弹出的保密截屏中-“添加”-添加对方用户添加用户后在用户列表选择要发送的用户-“发送”-对发的终端即能收到发送的图片。三、功能使用策略更新 当管理员在控制中心给用户修改了部门策略或用户策略时,用户需要使用策略更新,策略更新成功管理员设置的策略才能生效。操作:用户在登录状态,可以直接点击“策略更新”,进行策略更新-弹出窗口点击“是”则更新策略,点击“
37、否”则取消更新。,三、功能使用系统管理保密文件夹:设定文件夹,文件夹中的文件自动加密。修改密码:修改登录用户的密码。系统设置:提供登录设置和终端语言设置。地址设置:设定终端链接加密服务端、备份服务器的ip地址和端口。浏览截图:查看保密截图的历史信息。备份浏览:查看或删除用户的备份文件。资源管理器:在应用保护中设置的共享文件夹和映射文件夹通过此管理器操作文件实现上传解密,下载加密。终端卸载:在没有登录的情况下,卸载用户终端。三、功能使用容灾登录 在服务器出现故障、断网、员工使用终端异常等情况下,终端用户登陆失败两次后提示是否进行容灾登陆,点击“是”-输入正确的用户名和密码后,即可容灾登录成功。容
38、灾登录成功后,可以对文件进行加密和查看文件属性,如果有离线解密权限则可以进行离线解密,离线解密不需要经过审批,离线解密申请后系统自动解密,当该用户在线登陆后,容灾登录所做的操作(如离线加解密)会自动上传到日记管理系统。三、功能使用解密申请 解密申请是控制台管理员在角色管理中的在线解密策略中设置的。选择您需要解密的文件,右键菜单,选择“解密申请”-弹出手动解密申请窗口-填写有关属性-选择“是”则申请解密成功。申请后,审批员根据情况予以同意或者驳回,并以消息的方式通知用户审批结果。审批员同意该文件申请解密审批后,终端托盘会闪动以提示申请解密的文件已经成功解密。解密后的文件就变成普通文件了。三、功能
39、使用文件授权 用户可以把自己的文件授权给其它用户。也可以对授权用户的权限进行回收。用户选择需要授权的文件,右键,选择“文件授权”-在弹出的授权属性窗口中-选择其中的一个部门或者部门的用户,点击“添加”后完成部门的选择,该部门用户会在已添加授权用户窗口中显示。点击“历史记录”按钮,弹出授权用户的历史记录-选择某个历史授权用户,添加即可。点击“查找用户”按钮,弹出用户查找窗口-输入用户名或用户姓名都可以进行精确查找用户,选择查找的用户添加即可添加到授权列表中,确定完成需要授权用户的选择-点击“确定”按钮完成授权。当对某授权用户的权限需要取消时,就要进行权限的回收时,选中某一个用户,单击“删除”按钮
40、把该用户删除,“确定”后即可完成权限的回收。注意:同一部门的用户无需授权,所授权的用户在授权后所拥有的权限不能超过管理员对该用户设置的权限。该用户第一次授权的记录会保存为授权的历史记录,下次授权可以直接在历史记录中选择需要授权的用户。三、功能使用查看文件属性选择一份加密文件,右键,选择“文件安全管理”,选择“查看权限属性”设为私有选择一份加密文件,右键,选择“文件安全管理”,选择“设为私有”,这样文件就变成私有文件,设为私有文件后,除了自己,其他所有用户都不能打开。如果想撤销私有,就点击上面的“撤销私有”即可。文件备份在终端用户登录的情况下,可以对未加密的文件进行备份,备份文件为明文,同时也可
41、以对已经加密的文件进行备份,备份的文件为密文。选择一份文件,右键,选择“文件备份”-弹出备份成功的提示,点击“确定”。备份的文件在终端菜单的备份文件找到(点击终端托盘,选择备份浏览)可以查看。三、功能使用离线解密在离线登陆的情况下,对加密文件右键菜单上选择“离线解密”-之后弹出信息提示框,解密成功后,加密文件右下角的锁解除云私密 当需要把文件设置为云私密时,可在加密文件-右键-文档安全管理-云私密。WEB审批系统Web审批系统是B/S架构,在浏览器输入web审批的服务端的url,输入账号密码登录成功后。当用户是普通用户时可以查看我的审批内容,当用户是审批员时,审批用户界面的待审批和已审批模块下
42、有我的申请和我的审批两个模块,我的申请菜单包括解密申请、离线申请和拷贝申请,我的审批菜单包括解密审批、离线审批和拷贝审批。审批用户登录后可以查看自己的业务申请、审批状态以及需要进行审批的业务。WEB日志管理系统登录后可以进行日志查询、日志统计、日志导出和日志管理.四、最佳配置为保障系统的安全运行,建议部署系统时服务器和数据库均采用主备双机方式,其中一台故障,另一台也能及时替补。架构部署三、功能使用四、最佳配置硬件最低配置三、功能使用四、最佳配置网络端口管理概要概要用户端用户端端口端口访问关访问关系系服务器端服务器端端口端口备注备注用户PC与服务器间访问关系用户PCany1024加密策略服务器I
43、P地址1IP地址221(需考虑行方安全,端口可更换安全端口)用户数据备份所使用的命令端口与数据传输端口102420(需考虑行方安全,端口可更换安全端口)10248080审批员所使用审批平台的访问端口10249001向防泄密客户端、分级管理控制平台提供服务端口服务器与服务器间访问关系加密策略服务器IP地址1IP地址21024数据库服务器IP地址31433日志访问、审批以及管理提供的数据服务端口1024AD域服务器IP地址4445、389、88、53后台服务器组织架构与用户同步、转发客户端认证信息至AD域服务器的应用端口三、功能使用四、最佳配置全局配置建议勾选“手动加密备份文件”、“解密申请备份文
44、件”、“允许所有部门文件相互打开”、“允许用户申请解密所有文件”这些策略。(1)“手动加密备份文件”策略是为了用户能在加密明文文件前备份好明文文件,避免文件因极端情况下的损坏问题。(2)“解密申请备份文件”策略是为了用户能在解密密文文件前备份好明文文件,避免文件因极端情况下的损坏问题以及提供审批员审核依据。(3)“允许所有部门文件相互打开”策略是为了让单位或公司的所有合法用户生产的加密文件都能相互打开。(4)“允许用户申请解密所有文件”策略是为了让单位或公司的所有合法用户能对公司内的加密文档提交解密申请。三、功能使用四、最佳配置用户策略普通用户:防止涉密文档在传播使用过程中导致泄密,建议配置以
45、下权限。运行打印、打印水印、保密文件夹、文档水印和保密截屏。部门领导:具有特殊职能,在权限管控上应适当放开,建议配置以下权限。运行复制、运行打印、私有文档、运行截屏、打印水印、文档水印、文档外发、保密文件夹、保密截屏。公司领导:公司领导应是权限最大化,建议配置以下权限。超级特权用户三、功能使用四、最佳配置部门策略 建议设置为加密的基本程序有Office软件类软件、压缩软件、图片查看器等,其他加密程序根据客户需求进行增设。建议在客户使用期间将每个加密程序的加密方式设置为“手动加密”,避免个别用户有被强制感。建议创建一个本地部门(公共策略部门),在配置好相应的部门策略后,将其设为“公共部门策略”,
46、设置后新增创建的部门拥有和公共策略部门相同的部门策略。三、功能使用四、最佳配置审批策略 系统最多支持3级审批,例申请解密1级审批2级审批3级审批解密成功,建议在每个部门设置1-2级审批员,3级审批员设置为跨部门方式由公司领导层担任,并且将领导层成员设置为“自动审批”,方便领导解密自己的文件。三、功能使用四、最佳配置组织架构同步策略 为减轻运人员管理数据安全管理系统组织架构的压力,在客户有AD域条件下,可将数据安全维管理系统进行AD对接,不必自建系统本地用户,由系统自动同步AD域组织架构到数据安全管理系统,用户也可直接使用AD域账号登录加密客户端。三、功能使用四、最佳配置服务性能设置 在服务程序的安装目录C:Program Files(x86)Asiainfo-SecQZDMServiceSystem下,打开config.ini文件,根据CPU核心数,设置NetThreadNum的值。注意:设置建议值为CPU核心数的2倍,最大不能超过20 NetThreadNum,该字段是指服务的最大线程数,用以处理服务的所有任务,比如登录、日志记录等。五、结语谢谢!
