SecureOne 自带设备中组织数据防扩散系统(BYOD)用户手册

1、自带设备中组织数据防扩散系统SecureOne 数据安全生命周期管理系统V3.0上海祥殷信息技术有限公司2013年3月2012 Syncurity Technology Corporation 版权所有，保留所有权利。Syncurity Technology Corporation的用户操作手册受版权法的保护，并受许可协议的约束，复制、公开发行和使用此文档受到严格限制。Syncurity在此同意依据适用软件的许可协议规定，拥有软件使用权的用户允许以印刷形式复制本文档 (如果软件媒介中提供 )，并且仅限内部 /个人使用。任何复印件都应包括 Syncurity版权通告和由 Syncurity 提供

2、的其它专利通告。未经 Syncurity 明确授权许可，不得复制操作手册。未经 Syncurity事先书面许可，本文档不得公开、转让、修改或简化为任何形式 (包括电子媒介 )，也不允许以任何手段传播、公开发行或出于此目的进行复制。此处所描述的信息仅作为一般信息提供，如有更改恕不另行通知，并且不能将其解释为 Syncurity 的担保或承诺。本文档中如有错误或不确切之处， Syncurity概不负责。本文档中所述软件在有书面许可协议的条件下提供。未经 Syncurity 事先书面许可，本软件不能以任何形式在任何媒介中复制或分发、公开至第三方，或者以任何软件许可证协议所不允许的方式使用。未经授权使

3、用软件或其文档，将会引起民事赔偿和刑事诉讼。 Syncurity将软件盗版视为犯罪，而且我们据此来对待盗版者。我们不会容忍对 Syncurity 软件产品的盗版行为，我们会使用一切可用的法律手段来追查 (民事和刑事 ) 那些盗版者，包括公私两种监督资源。如果您在使用我们软件的非法副本，请停止使用此非法版本，然后与 Syncurity 联系以获取合法的许可版本。目 录变更记录4相关文档5技术支持51.系统概述62.应用场景63.证书管理63.1.硬件智能卡63.2.制作智能卡证书74.导出和导入离线策略95.证书登录106.工作模式切换107.智能卡离线补时117.1.创建更新文件117.2.智

4、能卡更新文件补时137.3.导入更新文件14附录I 常见问题与解答16 第 3 页 共 16 页上海祥殷信息技术有限公司自带设备中组织数据防扩散系统用户手册变更记录下列各表列出本指南中为 SecureOne版本所做的重大变更。变更时间说明2013年3月7日新建SecureOne 3.0自带设备中组织数据防扩散系统用户手册。相关文档Ø SecureOne数据防扩散管理系统用户手册Ø SecureOne数据访问权限管理系统用户手册Ø SecureOne数据分级管理系统用户手册Ø SecureOne数据审批流程管理系统用户手册Ø SecureOne数

5、据边界控制系统用户手册Ø SecureOne数据知识产品保护系统用户手册Ø SecureOne自带设备中组织数据防扩散系统（BYOD）用户手册Ø SecureOne电子文档协同管理系统用户手册Ø SecureOne软硬件资产管理系统用户手册Ø SecureOne终端行为管理系统用户手册Ø SecureOne上网行为管理系统用户手册Ø SecureOne信息系统准入控制用户手册Ø SecureOne移动存储介质注册管理系统用户手册Ø SecureOne统一身份认证系统用户手册Ø SecureOne

6、电子数据保险箱用户手册Ø SecureOne 系统基本功能用户手册Ø SecureOne 系统安装手册Ø SecureOne 系统维护手册技术支持如果您在使用 SecureOne 或产品文档时遇到问题，请通过SecureOne 的 Web 站点、电话、传真或电子邮件与 SecureOne 技术支持部门联系。1. 系统概述自带设备中组织数据防扩散系统主要用于解决组织自带移动笔记本电脑外出可能会出现的泄密问题。通过对移动笔记本的控制，最终实现在外笔记本的数据有意或无意泄密也无法正常读取，有效得保证了移动笔记本数据的安全性。同时系统提供“工作模式”和“个人模式”两种模式

7、自由切换，工作模式下可正常操作办公数据，新产生的数据同样会自动标密；当员工切换到个人模式下时，将不会影响到私人工作和娱乐。2. 应用场景适用于有笔记本用户出差或在外办公的组织。对移动笔记本进行认证授权，一切尽在管控之中，并且笔记本回到组织内所有的操作记录都可以审计。3. 证书管理对于脱离内网环境的台式机器、出差在外或回家办公的笔记本用户（简称离线计算机），系统提供了基于智能卡（硬件USBKEY）的离线文档控制。每个智能卡根据特定的计算机设备刷写，实现一机一卡，混用无效，卡内包含了加解密处理芯片和电子证书及PIN码。用户将该卡插入计算机的USB口，正确输入智能卡PIN码后，方能打开计算机中加密的

8、文件。智能卡采用了先进的防篡改技术，用户无法对卡内数据进行修改和物理复制。从而有效地解决了离线加密文件安全访问控制问题。3.1. 硬件智能卡智能卡颜色为白色，如下图：图 3-1使用说明：插入智能卡>>证书登录>>正常使用。智能卡能支持64位和32位客户端，使用时根据需要安装智能卡驱动。3.2. 制作智能卡证书智能卡授权步骤：插入智能卡>登录管理员工具>证书授权，如下图：图 3-2插入智能卡，从“证书管理”菜单上选择“证书授权”，弹出智能卡登录页面，如下图：图 3-3在登录页面中输入密码（初始密码为rockey，此密码为USB-key硬件厂商提供不可以更改。）

9、单击“确定”按钮，进入智能卡授权页面。在智能卡授权页面中分别输入用户名，用户密码，计算机MAC地址，有效期等信息后单击“确定”按钮即可完成授权。如下图：图 3-4备注：MAC（Media Access Control, 介质访问控制）地址是识别LAN（局域网）节点的标识。通过如下方法可以得到本计算机MAC地址：“开始”>“运行”> 输入“cmd” 回车> 输入“ipconfig/all”回车，本机的TCP/IP配置的详细信息将显示在DOS控制台中，其中“Physical Address”所对应的内容即为MAC地址。如下图：图 3-54. 导出和导入离线策略导出离线策略功能是将

10、加密服务器的加密策略以文件形式导出，然后采用USBkey和软件登陆客户端，通过导出离线策略文件的形式来更新加密策略。导出离线策略步骤：登录管理员工具>工具>导出离线策略，如下图：图 4-1导入离线策略步骤：右键客户端>更多选项>导入离线策略，如下图：图 4-25. 证书登录对于脱离网络环境的机器或出差在外的笔记本用户（简称离线客户端），需要一个经过管理员授权的智能卡（USB KEY）才能使用本系统。智能卡与指定的计算机绑定，混用无效。用户需在登录前需安装好智能卡驱动且将智能卡插入计算机的USB插口，在WINDOWS任务栏SecureOne托盘图标（“红色锁头”）上单击鼠

11、标右键将弹出客户端菜单选择页面，选择“证书登录”，进入智能卡登录页面，如下图： 图 5-1在智能卡登录页面中输入智能卡密码进行登录。对于出差在外使用USBKEY登陆的用户，如果需要更新加密策略，可以通过导入离线策略文件实现。将SecureOne安全管理员颁发的离线策略导入到本地计算机中即可。注意：离线策略对所有WINDOWS用户有效，更换了WINDOWS用户无需重新导入离线策略。导入离线策略后，需要注销一次WINDOWS系统方可生效。6. 工作模式切换系统可提供“工作模式”和“个人模式”两种模式自由切换，工作模式下可正常操作办公数据，新产生的文件同样也会自动加密；当员工切换到个人模式下时，将不

12、会影响到私人工作和娱乐。切换方式：右键客户端>更多选项>重启安全保护（如果是已启动安全保护，则选择暂停安全保护），如下图：图 6-17. 智能卡离线补时智能卡日期到期后，不需要用户将智能卡寄回公司延长时间，只需要导出文件发回公司制作即可。制作步骤如下：右键客户端>更多选项>创建更新文件>进入管理员工具>证书管理>智能卡更新文件（将创建更新文件导入）>更改智能卡日期>进入客户端选择导入更新文件（将更改日期后的更新文件导入）>完成智能卡离线补时。7.1. 创建更新文件右键客户端，选择更多选项智能卡更新，如下图：图 7-1单击“创建更新文件

13、”按钮，弹出另存为页面，如下图：图 7-2将生成的智能卡更新文件保存在本地。7.2. 智能卡更新文件补时进入管理员工具，选择证书管理智能卡更新文件进行智能卡文件补时，如下图：图 7-3单击“智能卡更新文件”按钮，进入智能卡更新文件选择页面，如下图：图 7-4选择导出智能卡更新文件“softkey1.uku”（此文件为客户端导出文件，名称为自定义），进入智能卡授权页面，如下图：图 7-5在授权有效期选项中设置智能卡到期时间。7.3. 导入更新文件右键客户端，选择更多选项智能卡更新，如下图：图 7-6单击“导入更新文件”按钮，进入智能卡更新文件选择页面，如下图：图 7-7选择已补时成功的“soft

14、key1.uku”文件，单击“打开”按钮，弹出操作成功提示，如下图：图 7-8单击“确定”按钮完成离线补时。附录I 常见问题与解答问：使用自带设备时，系统如何扫描判断数据是公司数据还是个人数据？答：系统无法自定判断是个人数据还是公司数据，这时可通过个人备份自己的数据，然后接入内网扫描。问：如果一直处于个人模式，不接入公司内网，公司数据如何控制？答：给暂停安全保护的权限增加一个时效限制，避免上班时间干私活。问：智能卡（USB KEY）是一种什么设备，它有何作用？答：本系统中使用的智能卡是一种形状类似U盘的硬件设备，但不同于U盘。智能卡上包含了CPU、存储器、RSA算法生成器等芯片。智能卡中自带一种微型的嵌入式卡操作系统，通过特殊的驱动程序与计算机通讯。智能卡的作用是生成、存储每个用户的电子证书和密钥，在用户脱离公司网络环境时为电脑提供身份识别所需的电子证书及文件解密密钥。智能卡由企业安全管理员统一发放和管理，每个智能卡都与特定的电脑绑定，不能混用。问：智能